Post on 05-Jul-2015
description
Informática Forense
Conceptos Básicos
Definición
Metodología Básica
Análisis de la comunicación de datos
Herramientas
Ventajas de Linux como herramienta de análisis forense
Conceptos Basicos
Si hay un forense es que
hubo o hay sospecha de un crimen
El Crimen Informático
Crimen Informático en sentido estricto
Crimen Informático en sentido amplio
Cualquier comportamiento ilegal cometido con un sistema informático o una red, incluyendo crímenes como la posesión ilegal, la oferta y la distribución de información
Cualquier comportamiento ilegal, dirigido por medio de operaciones electrónicas que tengan como objetivo la seguridad de sistemas informáticos y de los datos que procesan
Informática Forense
DEFINICION
Es la aplicación de técnicas científicas y analíticas
especializadas a infraestructura tecnológica que permiten identificar,
preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal
Hubo un crimen…
Objetivos de la Informática Forense
Reconstruir el bien informático
Examinar datos residuales
Autenticar datos
Alcance de la Informática Forense
Extracción
Conservación
Identificación
Documentación
Interpretación
Presentación de las evidencias digitales
Metodología Básica
1. Adquirir las evidencias
2. Comprobar (Autenticar) las evidencias
3. Analizar los datos sin modificarlos
Metodología Básica
1. Adquirir las evidencias
Sin alterar ni dañar el original.
Detenerlo y examinar una copia de los datos originales: No se puede examinar un sistema presuntamente
comprometido utilizando las herramientas que se encuentran en dicho sistema pues estas pueden estar afectadas.
La Cadena de Custodia documenta el proceso completo de las evidencias durante la vida del caso: Quién la recogió y donde, quien y como la almacenó, quién
la procesó… etc. Cada evidencia deberá ser identificada y etiquetada a ser
posible en presencia de testigos, con el número del caso, una breve descripción, la firma y la fecha en que fue recogida
Metodología Básica
2. Comprobar (Autenticar)
Se debe Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de la investigación son idénticas a las abandonadas por el delincuente en la escena del crimen.
Data corrupta, generá conclusiones corruptas.
Metodología Básica
3. Analizar los datos sin modificarlos.
Es crucial proteger las evidencias físicas originales trabajando con copias idénticas de forma que en caso de error se pueda recuperar la imagen original y continuar con el análisis de forma correcta. Copias deben ser clones realizados bit a bit del
dispositivo original Control de integridad de la copia
antes de comenzar el análisis
Evidencia Digital Vs Evidencia Física
Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera el original.
Con herramientas adecuadas es fácil determinar si la evidencia ha sido modificada o falsificada.
Es relativamente difícil destruir una evidencia digital. Incluso borrándola puede ser recuperada del disco.
Análisis de la comunicación
de datos
1. Intrusión en una red de computadoras o mal uso de la misma.
2. Interceptación de datos.
Análisis de la comunicación de datos
Intrusión en una red de computadoras o mal uso de la misma.a) Detección de la intrusión.
b) Detectar la evidencia, capturarla y preservarla; y
c) Reconstrucción de la actividad específica o del hecho en sí.
Análisis de la comunicación de datos
Intrusión en una red de computadoras o mal uso de la misma.Identificar y aislar un comportamiento potencialmente ilegal.
Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.
Análisis de la comunicación de datos
a) sistema operativo afectado.
b) inventario de software instalado en el equipo
c) tipo de hardware del equipo
d) accesorios y/o periféricos conectados al equipo
e) si posee firewall
f) si esta en el ámbito del DMZ (Zona desmilitarizada)
g) conexión a internet
h) configuración
i) parches y/o actualizaciones de software
j) políticas de seguridad implementadas
k) forma de almacenamiento de la información (cifrada o no)
l) personas con permisos de acceso al equipo
m) el pc esta dentro del DMZ
n) existe IDS
o) cuantos equipos en red
Antes de realizar un análisis se debe tener en cuenta la siguiente información
Herramientas
• Cómputo Forense
• Análisis de discos duros
• Análisis de correo electrónico
• Análisis de Usb
Herramientas del Cómputo Forense
Sleuth Kit (Forensics Kit)
Py-Flag (Forensics Browser)
Autopsy (Forensics Browser for Sleuth Kit)
dcfldd (DD Imaging Tool command line tool and also works with AIR)
foremost (Data Carver command line tool)
Air (Forensics Imaging GUI)
md5deep (MD5 Hashing Program)
netcat (Command Line)
cryptcat (Command Line)
NTFS-Tools
qtparted (GUI Partitioning Tool)
regviewer (Windows Registry)
Viewer
Herramientas
Análisis de discos duros
AccessData Forensic ToolKit (FTK)
Guidance Software EnCase
Análisis de disco duro
Paraben
Análisis de usb
USBdeview
Ventajas de linux en el
análisis forense
Linux es un entorno ideal en el cual realizar tareas de análisis forense pues está
dotado de gran
variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la
realización
de un análisis exhaustivo de un sistema comprometido.
Ventajas de linux en el análisis forense
Captura de todo los tecleado en el sistema:# script –a fichero
Transferir vía red la información del servidor afectado a otro sistema en el cual realizar el análisis:# nc –l –p puerto > fichero de salida
Captura de pantalla con x-view:# xwd –display direccionIP:0 –root > pantalla.xwd
Ventajas de linux en el análisis forense
Captura de la memoria:# strings /dev/mem | more
Análisis conexión de red:# netstat –pan | more
Copia de disco duro y sistema de arhivo:# dd if=/dev/zero of=/dev/fd0
No hay crimen impune
La desconfianza es madre de la seguridad. (Aristófanes)
Muchas Gracias
Preguntas ??