Upload
maria-luz-quintana-duarte
View
213
Download
0
Embed Size (px)
Citation preview
CÓMPUTO FORENSECÓMPUTO FORENSE
M.C. Juan Carlos Olivares Rojas
Universidad Vasco de Quiroga, Noviembre de 2013
Cómputo ForenseCómputo Forense
• Aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Ciber-crimenCiber-crimen
• Una acción ilícita o tipificada como delito utilizando a propósito las TIC como medio o fin.
Tipos de Incidentes o AtaquesTipos de Incidentes o Ataques
• Robo de propiedad intelectual• Extorsión
• Pornografía infantil• Fraude
• Distribución de virus.• Estafa.
• Acceso no autorizado.• Robo de servicios.
• Abuso de privilegios• Denegación de Servicios• …
Análisis ForenseAnálisis Forense
• El análisis forense informático se aplica una vez que tenemos un incidente o ataque y queremos investigar qué fue lo que pasó, quién fue y cómo fue
Análisis ForenseAnálisis Forense
• Responder a las preguntas W5: – ¿Quién?– ¿Qué?– ¿Cuándo?– ¿Dónde?– ¿Por qué?
Legislación InformáticaLegislación Informática
• Legislación Internacional
• Legislación Federal– http://www.diputados.gob.mx/Leyes
Biblio
• Legislaciones Estatales– http://www.diputados.gob.mx/Leyes
Biblio/gobiernos.htm– http
://celem.michoacan.gob.mx/celem/main.jsp?p_height=900
Artículos del Código Penal FederalArtículos del Código Penal Federal
Proceso ForenseProceso Forense
Proceso ForenseProceso Forense
Reglas GeneralesReglas Generales
Documentar cambios
Cumplir Reglas de la Evidencia
Minimizar el manejo de los datos
originales.
No exceder el
conocimiento.
EvidenciaEvidencia
• Para que la evidencia sea admisible, debe ser:
• Suficiente • Relevante • Competente • Legalmente obtenida
Tipos de evidenciaTipos de evidencia
• Evidencia transitoria
• Evidencia curso o patrón
• Evidencia condicional
• Evidencia transferidas
Orden de JerarquíaOrden de Jerarquía
Registros y contenidos de la caché.
Contenidos de la memoria.
Estado de las conexiones de red, tablas de rutas.
Estado de los procesos en ejecución.
Contenido del sistema de archivos y de los discos duros.
Contenido de otros dispositivos de almacenamiento.
+
-
Recolección y manejo de evidenciasRecolección y manejo de evidencias
RFC3227
Procedimiento de recolección
Transparencia
Pasos de la recolección
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento
de éstas
Manipulación de la Evidencia Manipulación de la Evidencia
• Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.
Preservar la evidenciaPreservar la evidenciaSistema “vivo” Sistema “desconectado”
PROS• Fecha y hora del sistema• Memoria RAM activa• Procesos arrancados• Actividad de red, conexiones abiertas• Conexiones de Red• Usuarios conectados en el momento
CONS• Cualquier activdad “altera” el entorno
PROS• Análisis del sistema “congelado”• Multiples copias del entorno• Posibilidad de realizar hash• Mayor validez jurídica
CONS• Solamente disponemos del HDD
Preservar la evidenciaPreservar la evidencia
1
Preservar la evidenciaPreservar la evidencia
1
Bloqueo de conexiónal sistema celular
Equipo para Análisis ForenseEquipo para Análisis Forense
Analizar la evidenciaAnalizar la evidencia
• Extraer, procesar e interpretar.
• Para interpretar la evidencia se requiere conocimiento profundo para entender como embonan las piezas.
• El análisis efectuado por el forense debe poder ser repetido.
Análisis de encabezados SMTPAnálisis de encabezados SMTPEncabezado Valor
Received: from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100
X-TM-IMSS-Message-ID:
<41f1650600009a67@FQDN_SMTP_Remitente>
Received: from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100
Subject: TEST de Encabezados
Date: Tue, 8 Feb 2011 16:02:40 +0100
Message-ID: <CF21BECC94E6884EB134AD30F14C8D1F1A40@FQDN_mailbox_remitente>
X-MS-Has-Attach: MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81"
X-MS-TNEF-Correlator:
Thread-Topic: TEST de Encabezados
Thread-Index: AcvHoTrEROEEE3f6TR+CRJDGNrHF4w==
From: <SMTP_Remitente>
Content-Class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft Exchange V6.5
To: <SMTP_Destinatario>
Return-Path: SMTP_Remitente
Tabla de ParticionesTabla de Particiones
Byte 446
BitácorasBitácoras
• contiene los mensajes generales del sistema
/var/log/messages
• guarda los sistemas de autenticación y seguridad /var/log/secure
• guarda un historial de inicio y cierres de sesión pasadas
/var/log/wmtp
• guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp
• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)
/var/log/btmp
Archivos TemporalesArchivos Temporales
Presentar la evidenciaPresentar la evidencia
• Abogados, fiscales, jurado, etc.• La aceptación dependerá de
factores como:– La forma de presentarla (¿se
entiende?, ¿es convincente?)– El perfil y credibilidad de la persona
que presenta la evidencia.– La credibilidad de los procesos
usados para preservar y analizar la evidencia.
Documentación del análisis forenseDocumentación del análisis forense
• Reporte Ejecutivo• Reporte Técnico• Catálogo de evidencias• Enumeración de evidencias– Iniciales del investigador– Fecha (ddmmyyyy)–Número de equipo (nnn)– Parte del equipo (aa)
Requerimientos de un Investigador Forense Digital
Requerimientos de un Investigador Forense Digital
• Conocimiento técnico• Conocer las implicaciones de sus acciones
• Ingenioso, mente abierta
• Ética muy alta• Educación continua
• Siempre usa fuentes altamente redundantes de datos para obtener sus conclusiones
Laboratorio de análisis forenseLaboratorio de análisis forense
Técnicas Anti-forensesTécnicas Anti-forenses
Manipulación, eliminación y/o ocultamiento de pruebas para complicar o imposibilidad la efectivdad del análisis forense.• Ejemplos:– Eliminación de información– Borrado seguro de archivos– Cifrado u ocultamiento
(esteganografía)– Alteración de archivos (cambio de
nombre y/o extensión).
Contramedidas de anti-forenseContramedidas de anti-forense
• Activación de logs de auditoría para S.O., apps y dispositivos.
• Instlación de IDS’s (Intrusion Detection Systems)
• Implementación de un equipo concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas.
• Sistemas de vigilancia• …
HerramientasHerramientas
HerramientasHerramientas
¿Preguntas?¿Preguntas?
[email protected]: [email protected]
/juancarlosolivaresrojas@jcolivares
http://antares.itmorelia.edu.mx/~jcolivares