Introducción a la Informática Forense ADQUISICIÓN DE...

man.com.ar

Introducción a la Informática Forense

ADQUISICIÓN DE EVIDENCIA DIGITAL

ADQUISICION DE EVIDENCIA

Definición de Informatica Forense

“ Es la ciencia de adquirir , preservar

, obtener y presentar datos que

han sido procesados

electronicamente y almacenadosen un medio informático ”

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

2


Que diferencia la evidenciainformatica de la evidencia

tradicional ?

• La volatilidad

• La capacidad de duplicacion

• La facilidad de alterarla

• La cantidad de Metadatos queposee

4


El “iceberg” de los datos

Datos Obtenidos con

herramientas comunes

Datos adicionales obtenidos

con herramientas forenses(Borrados, Renombrados, Ocultos,

Dificiles de obtener…)

5


Que contiene un archivo de Imagen forense * ?

o Copia bit a bit Archivos

o Metadatos del sistema operativo

o Espacio utilizado y no utilizado

o Slack space

o Mecanismos de Validación

* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

6


Que debe hacer una utilidad de imagen forense * ?

o Imagen “cruda” sin alterar el original

o Acceso a discos IDE , SCSI , SATA...

o Verificar la integridad del archivo

o Debe crear un log de errores

o Debe estar documentada

* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

7


COMO RESGUARDO EVIDENCIA DIGITAL ?

Al resguardar un medio magnético se puede:

1) Hacer una copia Forense(Archivo de evidencia)

2) Hacer un clonado Forense

3) Aportar el disco original

8


Formatos de Archivos de Imágen

• Formato Abierto : ddFormato universal de Linux/Unix

• Formato Propietario : Encase ,

FTK , SafebackFormatos aceptados en numerosas cortes del

mundo y validados por instituciones

independientes

9


Formato de evidencia “dd”

Simple de utilizar

Split externo

Hash MD5 externo

Compresión externa

Checksum externo

Sin límite de tamaño

10


Formato de evidencia “Encase”

Simple de utilizar

Split y compresión nativa

Hash MD5

CRC ajustable /granularidad

límite de tamaño de cada split 2 GB

Soporte password de adquisición

11


INTEROPERABILIDAD DE ARCHIVOS DE

EVIDENCIA

* Compatibilidad de las aplicaciones forenses

* Conversion de Formatos

13


ARCHIVOS DE EVIDENCIA LOGICA

ARCHIVO DE EVIDENCIA FISICA ARCHIVO DE EVIDENCIA LOGICA

•COPIA FISICA •COPIA DE ARCHIVOS LOGICOS

•HASH MD5 •HASH MD5 DE CADA ARCHIVO

14


MODOS DE ADQUISICION

• Adquisición Según el lugar

Laboratorio

Campo

• Adquisición por método

Directa

Indirecta

15


MODOS DE ADQUISICION

Aspectos a tener en cuenta paraelegir el modo de adquisición

Lugar

Posibilidad de apertura del CPU

Tiempo disponible

Espacio de almacenamiento

16


LIVE CD

Puede ser Windows o Linux

Live CD según plataforma

PC Helix , BartPE , EBCD

MAC PPC Ubuntu , BBCD

MAC Intel Helix , EBCD

18


CUESTIONES BASICAS PARA LA ADQUISICION EN

EL CAMPO

Acceso al BIOS para :

Verificar Secuencia de arranque

Registrar Fecha y hora RTC

• Usualmente no es posible conocer el escenario

de adquisición anticipadamente..

• El paradigma de la apertura

19


Escenario simple de adquisición en campo

20


Escenario complejo de adquisición en campo

21


ADQUISICION POR METODO DIRECTO

Es el más rápido pero requiere de un bloqueador de

escritura (Write blocker) o un OS (DOS-Linux)

modificado

Pasos a seguir :

1. Extraer disco de PC sospechoso

2. Montar disco en CPU de adquisición

3. Adquirir imagen

4. Reinstalar disco en PC sospechoso

Sospechoso Investigador

22


BLOQUEADORES DE ESCRITURA /DUPLICADORES

FORENSES

23


Plataformas para Adquisición Directa

PC del Investigador

Write Blocker para Windows o

adquisición directa para DOS ó

Linux modificados

Adquisición DOS

/Windows/ LinuxAlmacenamiento adicional

24


ADQUISICION POR METODO INDIRECTO

Permite adquirir sin apertura pero...Donde

guardo la imagen ?

Pasos a seguir :

Lograr Conectividad equipo de adquisición

Correr aplicación “Server” en PC

sospechoso

Adquirir imagen

25


Plataformas para Adquisición Indirecta

Adquisición DOS /

Windows/ Linux

Sospechoso Investigador

Almacenamiento adicional USB

26


Comparativa de Tiempos de Adquisición

Los tiempos mejoran un 30 % en discos PATA 133 y un 50

% en SATA usando Fastbloc2 - Al usar compresión el

tiempo aumenta en un factor de 1.3 a 1.5

OS Adquisición Método Tiempo /GB

Linux Indirecto 10 m 17 s

Windows Directo 1 m 57 s

Linux Directo 5 m 58 s

27


ADQUISICION DE EVIDENCIA EN RED

Respuesta a incidentes inmediata

Adquisición de servidores en

producción

Adquisición de imágenes de

cualquier nodo

Adquisición en modo invisible

28

Introducción a la Informática Forense ADQUISICIÓN DE...

Documents

Transcript of Introducción a la Informática Forense ADQUISICIÓN DE...