Analisis Forense Busca De Evidencias
-
Upload
fundacio-catic -
Category
Technology
-
view
4.811 -
download
2
Transcript of Analisis Forense Busca De Evidencias
AnAnáálisis forense y herramientaslisis forense y herramientas
Módulo 1. Entendiendo el problema
Antonio Ramos / Jean Paúl García22008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
La auditoría forense o informática forense
Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológicas que permiten: identificar, preservar, analizar y presentar datos que sean válidos dentro de un “proceso legal”.
Se persigue la búsqueda de evidencias
Antonio Ramos / Jean Paúl García32008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Dichas técnicas incluyen:
• Reconstruir el bien informático.
• Examinar datos residuales.
• Autenticar datos.
• Explicar las características técnicas del uso aplicado a los datos y bienes informáticos.
Antonio Ramos / Jean Paúl García42008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
El análisis forense informático será siempre un proceso reactivo que la organización acomete ante eventuales problemas de seguridad interna o externa.
En mucha ocasiones intentando que sus resultados “objetivos” tengan un valor legal como evidencias antes un tribunal.
Este proceso podrá o no podrá finalizar de este modo.
Antonio Ramos / Jean Paúl García52008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Razones por la cuales será necesario el análisis forense:
Sospechas de actos no autorizados dentro de la organización.Ataques contra los sistemas informáticos de la organización.Sustracción de información sensible o confidencial de la organización.Intentar probar autorías o no autorías ante una acusación.
Antonio Ramos / Jean Paúl García62008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Se analizarán las dos principales vertientes
1. Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias.
2. Análisis forense en sistemas telemáticosorientado a la detección de actividades no autorizadas.
Nota: tener en cuenta que aunque las herramientas utilizadas podrán variar de una a otra los pasos del proceso de análisis a seguir tienen la misma estructura y son requisitos de este.
Antonio Ramos / Jean Paúl García72008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias
El proceso es el siguiente:
- Identificación.
- Preservación.
- Recuperación y Análisis.
- Presentación de resultados objetivos.
- Destrucción segura del bien clonado (información).
Antonio Ramos / Jean Paúl García82008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
IdentificaciónEs muy importante conocer los antecedentes,
situación actual y el proceso que se quiere seguir para tomar la mejor decisión a la hora de la búsqueda de información.
A su vez resulta crítico tener información sobre el equipo informático, posición y uso en la red a si como datos relativos a los problemas detectados que evidenciaron la necesidad de la auditoria forense.
En esta etapa debe quedar claro el procedimiento a seguir en función de los datos aportados.
Antonio Ramos / Jean Paúl García92008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
PreservaciónEste paso incluye la revisión y generación de un
clonado bit a bit del dispositivo (imagen o cd ...) que vaya a ser estudiado.
Es imprescindible salvaguardar la integridad de los datos realizando una comprobación del checksum del original y de la copia creada.
Antonio Ramos / Jean Paúl García102008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Se deberá trabajar en todo momento sobre la copia.
Si es posible se trabajará de tal forma que no se modifique nada de la imagen creada.
El original deberá guardarse y permanecer bajo custodia.
Antonio Ramos / Jean Paúl García112008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Dentro de esta etapa se pueden definir los siguientes pasos:
1. Montaje del dispositivo.2. Obtener las particiones del dispositivo.3. Realizar la suma de verificación (checksum)
del dispositivo original objeto de la auditoria.4. Creación de una imagen para trabajar con ella
(clonado).5. Una vez realizado el clonado se comprobará el
checksum obtenido con el checksum del original.
Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso antes de saltar a la siguiente etapa.
Antonio Ramos / Jean Paúl García122008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Para la realización del clonado del dispositivo objeto del análisis forense, se podrá utilizar:
Software específico para la generación de clonados e imágenes.
Hardware específico desarrollado para el clonado de dispositivos.
Nota: Las diferencias pueden ser notables en tiempos empleados en realizar la operación, facilidad de uso y precio, aunque los resultados deben de ser los mismos.
Antonio Ramos / Jean Paúl García132008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
RecuperaciónEn este paso se utilizarán distintas herramientas
diseñadas para la recuperación de datos borrados/perdidos en el dispositivo.
Se recomienda el utilizar más de una herramienta de manera de asegurar con las máximas garantías la recuperación de todo dato del dispositivo que pudiera ser accedido.
Antonio Ramos / Jean Paúl García142008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Es importante el número de herramientas comerciales y de código abierto disponibles para la recuperación de datos, siempre dependerá del tipo de formato del dispositivo a auditar y del gusto del auditor.
Entre ellas:EnCase (evaluada entre las mejores herramientas existentes por sus altas prestaciones).Sleunthkit con su entorno web Autopsy (Una posible alternativa de código libre a EnCase)OndataRecoverySoft.Herramientas para Webmailrecovery.Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel, etc.).
Antonio Ramos / Jean Paúl García152008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
AnálisisProceso de aplicar técnicas científicas y analíticas
a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas.
Antonio Ramos / Jean Paúl García162008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Se pueden realizar búsquedas de:
Cadenas de caracteres, fechas, horarios, palabras clave, etc.Acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo).Búsqueda de archivos específicos.Recuperación e identificación de correos electrónicos.Recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.Búsquedas realmente avanzadas mediante el uso de scripting si se esta auditando desde un sistema Linux como puede ser Backtrack.
Todas estas operaciones se pueden realizar con comandos propios del sistema operativo GNU/Linux y están incluidas en los paquetes de software comercial.
Antonio Ramos / Jean Paúl García172008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
También a la hora de hacer una auditoría forense uno de los recursos que nos va a dar información relevante y probablemente información crítica para nuestro trabajo son los ficheros de logs de los distintos sistemas operativos.
En sistemas Windows estos se pueden encontrar en “c:\windows\system32\config” .En sistemas *NIX los logs se pueden encontrar en “/var/log”.
Nota: También se comentará la importancia de los logs generados y guardados en servidores, dispositivos, servicios y bases de datos.
Antonio Ramos / Jean Paúl García182008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Presentación
Una vez obtenidas las evidencias ya sea de archivos del sistema o archivos recuperados se debe realizar un informe que cubra todo el proceso realizado explicando paso a paso lo acontecido y las pruebas encontradas así como la metodología utilizada.
Antonio Ramos / Jean Paúl García192008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Es importante que este informe no este cargado de tecnicismos y sea relativamente fácil de leer y entender por cualquier persona no especializada en informática, ya que los análisis forenses pueden terminar generando procesos judiciales en los que este informe será una pieza clave en su desarrollo.
Antonio Ramos / Jean Paúl García202008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Destrucción segura del bien clonado
Será primordial si el bien clonado no va a permanecer custodiado o no es demandado por la empresa en el proceso, su correcta destrucción y certificación de esta destrucción.
Antonio Ramos / Jean Paúl García212008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Fuentes para consulta y herramientas:
Helix Linux: distribución especializada en análisis forense www.e-fense.com/helix
Fire Linux: http://biatchux.dmzs.comThe Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.phpAutopsy Forensics Browser.
http://www.sleuthkit.org/autopsy/index.phpSysinternals web site. http://www.sysinternals.comFoundstone free forensic tools. http://www.founstone.comNational Software Referente Library. http://www.nsrl.nist.govHerramientas para manejar NTFS desde Linux. http://www.linux-
ntfs.org/doku.php?id=ntfsprogsY probablemente la URL mas importante http://www.google.com
Antonio Ramos / Jean Paúl García222008/2009
AnAnáálisis forense y herramientaslisis forense y herramientas
Desarrollo práctico con los alumnos de algunas fases del proceso forense y uso de herramientas
Prueba de concepto