Introducción a la Informática Forense ADQUISICIÓN DE...

25
man.com.ar Introducción a la Informática Forense ADQUISICIÓN DE EVIDENCIA DIGITAL

Transcript of Introducción a la Informática Forense ADQUISICIÓN DE...

  • man.com.ar

    Introducción a la Informática Forense

    ADQUISICIÓN DE EVIDENCIA DIGITAL

  • ADQUISICION DE EVIDENCIA

    Definición de Informatica Forense

    “ Es la ciencia de adquirir , preservar

    , obtener y presentar datos que

    han sido procesados

    electronicamente y almacenadosen un medio informático ”

    http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

    2

  • ADQUISICION DE EVIDENCIA

    Que diferencia la evidenciainformatica de la evidencia

    tradicional ?

    • La volatilidad

    • La capacidad de duplicacion

    • La facilidad de alterarla

    • La cantidad de Metadatos queposee

    4

  • ADQUISICION DE EVIDENCIA

    El “iceberg” de los datos

    Datos Obtenidos con

    herramientas comunes

    Datos adicionales obtenidos

    con herramientas forenses(Borrados, Renombrados, Ocultos,

    Dificiles de obtener…)

    5

  • ADQUISICION DE EVIDENCIA

    Que contiene un archivo de Imagen forense * ?

    o Copia bit a bit Archivos

    o Metadatos del sistema operativo

    o Espacio utilizado y no utilizado

    o Slack space

    o Mecanismos de Validación

    * Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

    6

  • ADQUISICION DE EVIDENCIA

    Que debe hacer una utilidad de imagen forense * ?

    o Imagen “cruda” sin alterar el original

    o Acceso a discos IDE , SCSI , SATA...

    o Verificar la integridad del archivo

    o Debe crear un log de errores

    o Debe estar documentada

    * Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

    7

  • ADQUISICION DE EVIDENCIA

    COMO RESGUARDO EVIDENCIA DIGITAL ?

    Al resguardar un medio magnético se puede:

    1) Hacer una copia Forense(Archivo de evidencia)

    2) Hacer un clonado Forense

    3) Aportar el disco original

    8

  • ADQUISICION DE EVIDENCIA

    Formatos de Archivos de Imágen

    • Formato Abierto : ddFormato universal de Linux/Unix

    • Formato Propietario : Encase ,

    FTK , SafebackFormatos aceptados en numerosas cortes del

    mundo y validados por instituciones

    independientes

    9

  • ADQUISICION DE EVIDENCIA

    Formato de evidencia “dd”

    Simple de utilizar

    Split externo

    Hash MD5 externo

    Compresión externa

    Checksum externo

    Sin límite de tamaño

    10

  • ADQUISICION DE EVIDENCIA

    Formato de evidencia “Encase”

    Simple de utilizar

    Split y compresión nativa

    Hash MD5

    CRC ajustable /granularidad

    límite de tamaño de cada split 2 GB

    Soporte password de adquisición

    11

  • ADQUISICION DE EVIDENCIA

    INTEROPERABILIDAD DE ARCHIVOS DE

    EVIDENCIA

    * Compatibilidad de las aplicaciones forenses

    * Conversion de Formatos

    13

  • ADQUISICION DE EVIDENCIA

    ARCHIVOS DE EVIDENCIA LOGICA

    ARCHIVO DE EVIDENCIA FISICA ARCHIVO DE EVIDENCIA LOGICA

    •COPIA FISICA •COPIA DE ARCHIVOS LOGICOS

    •HASH MD5 •HASH MD5 DE CADA ARCHIVO

    14

  • ADQUISICION DE EVIDENCIA

    MODOS DE ADQUISICION

    • Adquisición Según el lugar

    Laboratorio

    Campo

    • Adquisición por método

    Directa

    Indirecta

    15

  • ADQUISICION DE EVIDENCIA

    MODOS DE ADQUISICION

    Aspectos a tener en cuenta paraelegir el modo de adquisición

    Lugar

    Posibilidad de apertura del CPU

    Tiempo disponible

    Espacio de almacenamiento

    16

  • ADQUISICION DE EVIDENCIA

    LIVE CD

    Puede ser Windows o Linux

    Live CD según plataforma

    PC Helix , BartPE , EBCD

    MAC PPC Ubuntu , BBCD

    MAC Intel Helix , EBCD

    18

  • ADQUISICION DE EVIDENCIA

    CUESTIONES BASICAS PARA LA ADQUISICION EN

    EL CAMPO

    Acceso al BIOS para :

    Verificar Secuencia de arranque

    Registrar Fecha y hora RTC

    • Usualmente no es posible conocer el escenario

    de adquisición anticipadamente..

    • El paradigma de la apertura

    19

  • ADQUISICION DE EVIDENCIA

    Escenario simple de adquisición en campo

    20

  • ADQUISICION DE EVIDENCIA

    Escenario complejo de adquisición en campo

    21

  • ADQUISICION DE EVIDENCIA

    ADQUISICION POR METODO DIRECTO

    Es el más rápido pero requiere de un bloqueador de

    escritura (Write blocker) o un OS (DOS-Linux)

    modificado

    Pasos a seguir :

    1. Extraer disco de PC sospechoso

    2. Montar disco en CPU de adquisición

    3. Adquirir imagen

    4. Reinstalar disco en PC sospechoso

    Sospechoso Investigador

    22

  • ADQUISICION DE EVIDENCIA

    BLOQUEADORES DE ESCRITURA /DUPLICADORES

    FORENSES

    23

  • ADQUISICION DE EVIDENCIA

    Plataformas para Adquisición Directa

    PC del Investigador

    Write Blocker para Windows o

    adquisición directa para DOS ó

    Linux modificados

    Adquisición DOS

    /Windows/ LinuxAlmacenamiento adicional

    24

  • ADQUISICION DE EVIDENCIA

    ADQUISICION POR METODO INDIRECTO

    Permite adquirir sin apertura pero...Donde

    guardo la imagen ?

    Pasos a seguir :

    Lograr Conectividad equipo de adquisición

    Correr aplicación “Server” en PC

    sospechoso

    Adquirir imagen

    25

  • ADQUISICION DE EVIDENCIA

    Plataformas para Adquisición Indirecta

    Adquisición DOS /

    Windows/ Linux

    Sospechoso Investigador

    Almacenamiento adicional USB

    26

  • ADQUISICION DE EVIDENCIA

    Comparativa de Tiempos de Adquisición

    Los tiempos mejoran un 30 % en discos PATA 133 y un 50

    % en SATA usando Fastbloc2 - Al usar compresión el

    tiempo aumenta en un factor de 1.3 a 1.5

    OS Adquisición Método Tiempo /GB

    Linux Indirecto 10 m 17 s

    Windows Directo 1 m 57 s

    Linux Directo 5 m 58 s

    27

  • ADQUISICION DE EVIDENCIA

    ADQUISICION DE EVIDENCIA EN RED

    Respuesta a incidentes inmediata

    Adquisición de servidores en

    producción

    Adquisición de imágenes de

    cualquier nodo

    Adquisición en modo invisible

    28