Upload
richard-rivas
View
234
Download
2
Embed Size (px)
DESCRIPTION
Analsiis sobre cmo conservar la evidencia digital de Gustavo Presman
Citation preview
Ing. Gustavo D. Presman
@gpresman
COMO PRESERVAR LA EVIDENCIA DIGITAL EN UN INCIDENTE INFORMATICO
Agenda
• Aspectos básicos de la evidencia digital
• Aspectos Legales
• Aspectos Técnicos y Procedimentales
• Conclusiones
¿ Judicializar o no Judicializar ? ...
Esa es la
cuestiòn ...
Que hacer frente al incidente ?
Que hacer frente al incidente ?
• Mitigar : Restaurar la operatividad
• Identificar : Como ? Cuando ? Donde ?
• Preservar Evidencia : Posible Judicialización
• En que orden ? • Equipo de Respuesta a Incidentes : Dirección ,
Sistemas , Auditores , Abogados (I/E)
Preservar Evidencia
Con planificación previa y procedimientos claros en la recolección de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicialización.
Resguardo de la Prueba
• EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA
• ... “ Datos que han sido procesados electronicamente y almacenados o transmitidos a
través de un medio informático”... • (FBI)
MEMORIA DE ALMACENAMIENTO MEMORIA RAM TRAFICO DE RED
Que es la Evidencia Digital ?
• Que diferencia la evidencia
informática de la evidencia tradicional ?
• La volatilidad
• La capacidad de duplicación
• La facilidad de alterarla
• LosMetadatos que posee
Escenario
La Investigación corporativa Investigación Interna
Auditoría Externa
La vía Judicial
Participantes Informáticos (Sistemas , Peritos)
Abogados (Internos Vs. Externos )
Mejor Escenario: Posible Judicialización
• Amplitud Probatoria
• Validez Judicial : Merituada por el Juez según el ámbito (Trabajo- CyC Penal) y existencia de códigos procesales
• Validez Técnica : Recolección que asegure la inalterabilidad (Fruto del Arbol Envenenado)
• RECOLECCION EFECTIVA
Aspectos básicos de la evidencia digital
Antes de Recolectar Evidencia tener presente las siguientes consideraciones:
Unicidad de Formato
Alterabilidad
Interpretación
Medio Activo
Medio de Destino
10
Aspectos básicos de la evidencia digital 1.Unicidad de Formato
Algunos documentos electrónicos solo pueden preservarse en su estado digital
Archivos Multimedia
Bases de Datos Relacionales
Documentos simples con sus metadatos
Aspectos básicos de la evidencia digital
2. Alterabilidad
Todo Archivo digital posee metadatos
asociados
12
APERTURA
NO MANIPULE
ARCHIVOS QUE
PUEDA UTILIZAR
COMO EVIDENCIA
Aspectos básicos de la evidencia digital
3. Interpretación
Puede ser necesario recolectar :
Programas
Configuraciones
Llaves /Certificados
SI PLANIFIQUE LA
RECOLECCION DE
LA EVIDENCIA
Aspectos básicos de la evidencia digital 4. Medio Activo
El medio físico que almacena nuestra evidencia puede alterarla
COPIA NO UTILIZE DE
HERRAMIENTAS
DEL SISTEMA
OPERATIVO
Aspectos básicos de la evidencia digital
5. Medio de Destino
Prestar atención a
Universalidad: El medio utilizado estará disponible al momento de la prueba ?
Obsolesencia :El medio utilizado estará accesible al momento de la prueba ?
Confiabilidad:El medio utilizado es confiable ? (HD-Tapes-CD/DVD)
SI PREFIERA MEDIOS
MAGNETICOS DE ACCESO
ALEATORIO FRENTE A LOS
OPTICOS O SECUENCIALES
Resguardo Digital Vs. Impresiones
• Documentos impresos
• Correos Electrónicos impresos
• Identidad del Material Impreso ?
• Con la evidencia digital ...
Metadatos de Archivos (Usuarios , Fechas )
Procedencia de mails ( Datos de Tráfico )
Elementos borrados (Documentos , imágenes , mails)
Aspectos Legales
Recolección de Evidencia mediante acta Notarial
Requirente : Apoderado o Titular con derecho
Elementos : Propiedad / Inventarios
Profesional Informático : Audiencia Testimonial o de peritos
Material Resguardado > AUTENTICACION
Aspectos Técnicos
Clasificación de Evidencia
DE ALMACENAMIENTO – Evidencia Física
– Evidencia Lógica
MEMORIA RAM
TRAFICO DE RED
EVIDENCIA FISICA
• ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A
BIT DEL MEDIO MAGNETICO
AUTENTICACION DE EVIDENCIA
POR MEDIO DE UN ALGORITMO DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA
5b748e186f622c1bdd6ea9843d1609c1
HASHES USUALES
MD5 (128 bits)
SHA-1(160 bits)
SHA-256 (256 bits)
Aspectos Técnicos
Adquisición de Evidencia de Almacenamiento
BLOQUEO DE ESCRITURA
• EVITAR LA ESCRITURA EN EL MEDIO BAJO INVESTIGACION
HARDWARE WRITE BLOCKER
SOFTWARE WRITE BLOCKER
PLATAFORMA DE ADQUISICION CONTROLADA (OS)
Aspectos Técnicos
Adquisición de Evidencia de Almacenamiento
FREE IMAGING TOOLS
dd/dcfldd/Adepto
FTK Imager
Tableau Imager
Aspectos Técnicos
Adquisición de Evidencia de Almacenamiento
EVIDENCIA LOGICA
CONTENEDOR DE ARCHIVOS MANTENIENDO LA METADATA INTACTA CON
AUTENTICACION INDIVIDUAL
Aspectos Técnicos
Adquisición de Memoria RAM
EVIDENCIA SIN AUTENTICACION
ADQUISICION BASADA EN HARDWARE
Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD)
DATOS VOLATILES
ADQUISICION BASADA EN SOFTWARE *
Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase)
*Tener presente al efectuar el análisis
Aspectos Técnicos
Adquisición de Tráfico de Red
ESCENARIO CAPTURA
ARCHIVO PCAP EVIDENCIA LOGICA
CONCLUSIONES
Trabajar sobre la hipótesis de judicialización
Planificar la recolección para que sea EFECTIVA
Hacer el Resguardo Notarial
Elegir el procedimiento técnico que mejor se
ajuste a los recursos disponibles, según el tipo
de evidencia a recolectar
Conocenos en:
http://www.issaarba.org
Seguinos en:
@ISSAarba
Muchas Gracias por su participación
Ing. Gustavo Daniel Presman [email protected]
Twitter : @gpresman