Upload
felipa-caraveo
View
222
Download
0
Embed Size (px)
Citation preview
M.I.G.T. - Diciembre de 2005 1
Técnicas de Técnicas de Computación ForenseComputación Forense
2
IntroducciónIntroducción
• ObjetivoObjetivo• ImportanciaImportancia
– Tecnología => Valor de la informaciónTecnología => Valor de la información– Conectividad => RiesgosConectividad => Riesgos– Evidencias => Registros, bitácoras - Evidencias => Registros, bitácoras -
Nuevas técnicasNuevas técnicas– Pruebas => Menos tiempoPruebas => Menos tiempo
3
Norma 1210.A2Norma 1210.A2
• El auditor internoEl auditor interno debe tener suficientes debe tener suficientes conocimientos para identificar los conocimientos para identificar los indicadores de fraudeindicadores de fraude, pero no es de , pero no es de esperar que tenga conocimientos similares a esperar que tenga conocimientos similares a los de aquellas personas cuya los de aquellas personas cuya responsabilidad principal es la detección e responsabilidad principal es la detección e investigación del fraude.investigación del fraude.
4
Consejo para la práctica Consejo para la práctica 1210.A2-11210.A2-1
• Cuando el auditor interno sospeche de la Cuando el auditor interno sospeche de la existencia de irregularidades debe informar a existencia de irregularidades debe informar a las autoridades. El auditor interno las autoridades. El auditor interno puede puede recomendar cualquier investigaciónrecomendar cualquier investigación......
• Dentro de la investigación se incluye la Dentro de la investigación se incluye la obtención de evidencia.obtención de evidencia.
• Auditores internos, Auditores internos, abogados,... usualmente abogados,... usualmente dirigen o participandirigen o participan en las investigacionesen las investigaciones..
5
Consejo para la práctica Consejo para la práctica 1210.A2-1 (cont.)1210.A2-1 (cont.)
• Al dirigir la investigación del fraude los Al dirigir la investigación del fraude los auditores auditores internosinternos debendeben entre otros entre otros::– Determinar los conocimientosDeterminar los conocimientos, técnicas y competencias , técnicas y competencias
para llevar a cabo la investigación.para llevar a cabo la investigación.– Diseñar los procedimientosDiseñar los procedimientos a seguir. a seguir.– Coordinar las actividades con el personal.Coordinar las actividades con el personal.
• Concluida la investigación, los auditores internos Concluida la investigación, los auditores internos deben evaluar los hechos para:deben evaluar los hechos para:– Mantener un conocimiento suficienteMantener un conocimiento suficiente del fraude, e del fraude, e
identificar los indicadores en el futuro.identificar los indicadores en el futuro.
6
AgendaAgenda
• Ilícito InformáticoIlícito Informático• Incidentes de seguridad Incidentes de seguridad
informáticainformática• Computación ForenseComputación Forense• Evidencia DigitalEvidencia Digital• Cadena de CustodiaCadena de Custodia• Pasos del Cómputo ForensePasos del Cómputo Forense• Prueba Informática Prueba Informática • Herramientas del PeritoHerramientas del Perito
7
Ilícito InformáticoIlícito Informático
• Debería definirse como:Debería definirse como:– ““Todas aquellas conductas ilícitas, Todas aquellas conductas ilícitas,
susceptibles de ser sancionadas, que susceptibles de ser sancionadas, que hacen uso de cualquier medio informáticohacen uso de cualquier medio informático.”.”
8
Incidentes de seguridad Incidentes de seguridad informáticainformática
• Tipos:Tipos:– Uso no apropiadoUso no apropiado: : FraudeFraude, incumplir políticas de , incumplir políticas de
uso, estafa, hurto de información, software ilegal, uso, estafa, hurto de información, software ilegal, esteganografía, etc. esteganografía, etc.
– Acceso no autorizado (físico o lógico) Acceso no autorizado (físico o lógico) : : Hackeo de servidores, crackeo passwords, Hackeo de servidores, crackeo passwords, phishing, keyloggers, hackers, crackers, phishing, keyloggers, hackers, crackers, phreakers, ingeniería social, etc.phreakers, ingeniería social, etc.
– Código maliciosoCódigo malicioso: Virus, gusanos, troyanos, : Virus, gusanos, troyanos, espías, etc..espías, etc..
– Denegación de servicioDenegación de servicio
9
Señales de alertaSeñales de alerta
• Detección automáticaDetección automática:: Software de Software de detección de intrusos (IDS), antivirus, detección de intrusos (IDS), antivirus, analizadores de logs, monitoreo analizadores de logs, monitoreo automático de controles e integridad.automático de controles e integridad.
• ManualManual:: Denuncias de usuarios o Denuncias de usuarios o
administradores, caídas de servidores y administradores, caídas de servidores y servicios, bajo rendimiento.servicios, bajo rendimiento.
10
Computación ForenseComputación Forense
• Según el FBI:Según el FBI: “Es la ciencia de adquirir, “Es la ciencia de adquirir, preservar, analizar y presentar datos preservar, analizar y presentar datos que han sido procesados que han sido procesados electrónicamente y guardados en un electrónicamente y guardados en un medio computacional, aplicando medio computacional, aplicando técnicas científicas y analíticas”técnicas científicas y analíticas”
11
Computación ForenseComputación Forense
• Objetos Objetos
• Objetivos Objetivos – Procesamiento judicialProcesamiento judicial– Investigación en ámbito organizacionalInvestigación en ámbito organizacional– Errores, fallas, pérdidas de datosErrores, fallas, pérdidas de datos– Medidas preventivasMedidas preventivas
• Usos Usos
12
Registros de un casoRegistros de un caso
• Se utilizaron los siguientes:Se utilizaron los siguientes:– Conexiones a la red y al PCConexiones a la red y al PC– Análisis de archivos la red y del PCAnálisis de archivos la red y del PC– Recuperación de archivos eliminadosRecuperación de archivos eliminados– Recuperación de cintas de respaldosRecuperación de cintas de respaldos– Archivos temporales de OfficeArchivos temporales de Office– Propiedades de los documentos de OfficePropiedades de los documentos de Office– Agendas electrónicasAgendas electrónicas– Marcas de tarjeta de ingresoMarcas de tarjeta de ingreso– Llamadas telefónicasLlamadas telefónicas
13
Evidencia DigitalEvidencia Digital
• Según Casey:Según Casey: Es un tipo de evidencia física. Es un tipo de evidencia física. Está construida de campos magnéticos y Está construida de campos magnéticos y pulsos electrónicos que pueden ser pulsos electrónicos que pueden ser recolectados y analizados con herramientas y recolectados y analizados con herramientas y técnicas especiales.técnicas especiales.
• “ “Cualquier tipo de dato digital que pueda Cualquier tipo de dato digital que pueda ayudar a demostrar que se ha cometido un ayudar a demostrar que se ha cometido un ilícito, o bien que permita establecer un ilícito, o bien que permita establecer un vínculo entre el ilícito, la víctima, y el criminal”.vínculo entre el ilícito, la víctima, y el criminal”.
14
Evidencia DigitalEvidencia Digital
• Características: Frágil y volátilCaracterísticas: Frágil y volátil
• Diferencias con evidencia física tradicionalDiferencias con evidencia física tradicional
• VentajasVentajas– RepetibleRepetible– RecuperableRecuperable– RedundanteRedundante– Íntegra (Función de hash)Íntegra (Función de hash)
15
Evidencia DigitalEvidencia Digital
• Propiedades de la evidencia digital según Propiedades de la evidencia digital según IOCE (International Organization on Computer IOCE (International Organization on Computer Evidence):Evidence):
– Consistencia con todos los sistemas legalesConsistencia con todos los sistemas legales– Permitir usar un lenguaje comúnPermitir usar un lenguaje común– DurabilidadDurabilidad– Capacidad de cruzar límites internacionalesCapacidad de cruzar límites internacionales– Capaz de ofrecer confianza en su integridadCapaz de ofrecer confianza en su integridad– Aplicables a toda la evidencia forenseAplicables a toda la evidencia forense
16
DificultadesDificultades
• Alteración de la evidencia por falta de Alteración de la evidencia por falta de protecciónprotección
• Se llega tarde a levantar la evidencia, se Se llega tarde a levantar la evidencia, se pierden logs o se sobrescriben.pierden logs o se sobrescriben.
• Falta de cuidados en la conservación de Falta de cuidados en la conservación de los equiposlos equipos
• Trabajar con medios originalesTrabajar con medios originales• Falta de Falta de recursos humanosrecursos humanos y materiales y materiales
adecuadosadecuados
17
Recursos HumanosRecursos Humanos
• Destrezas de los técnicosDestrezas de los técnicos
• Credibilidad y Confianza Credibilidad y Confianza
• MetodologíaMetodología
18
Cadena de CustodiaCadena de Custodia
• ““La cadena de custodia documenta el proceso La cadena de custodia documenta el proceso completo de las evidencias durante la vida del completo de las evidencias durante la vida del caso, quién la recogió y donde, como la caso, quién la recogió y donde, como la almacenó, quien la procesó, etc..”almacenó, quien la procesó, etc..”
• CaracterísticasCaracterísticas::– Identificación Identificación – Continuidad de la posesiónContinuidad de la posesión– Prueba la integridadPrueba la integridad
• Documentación estándar (Formulario)Documentación estándar (Formulario)
19
Pasos a seguirPasos a seguir
1.1. Identificación y DescripciónIdentificación y Descripción2.2. Recolección de evidenciaRecolección de evidencia3.3. Línea del tiempoLínea del tiempo4.4. Análisis del sistemaAnálisis del sistema5.5. Recuperación de datos eliminadosRecuperación de datos eliminados6.6. Búsqueda de cadenasBúsqueda de cadenas7.7. Reconstrucción de los hechosReconstrucción de los hechos8.8. Prueba informáticaPrueba informática9.9. InformeInforme
20
2) Recolección de evidencia2) Recolección de evidencia
• Notificar. Presencia de testigosNotificar. Presencia de testigos• Proceso documentado y repetibleProceso documentado y repetible• Copia: Imagen bit a bit.Copia: Imagen bit a bit.• Obtener 2 copias. Nunca trabajar en Obtener 2 copias. Nunca trabajar en
medios originalesmedios originales• Anotar fechas y horas. Documentar. Anotar fechas y horas. Documentar.
Precintar.Precintar.• Utilizar software forense Utilizar software forense • Recoger en orden de volatilidadRecoger en orden de volatilidad
– Volátiles y no VolátilesVolátiles y no Volátiles
21
Evidencia volátilEvidencia volátil
• Depende del momento y las condicionesDepende del momento y las condiciones
• Tipos:Tipos:– Transitoria o pasajera: Se perderá al Transitoria o pasajera: Se perderá al
apagar la máquina.apagar la máquina.– Frágil: Inf. En disco fácilmente alterable.Frágil: Inf. En disco fácilmente alterable.– Temporal: En disco, pero accesible durante Temporal: En disco, pero accesible durante
un cierto período.un cierto período.
22
Métodos de preservaciónMétodos de preservación
• En lo posible: No apagar la máquina y En lo posible: No apagar la máquina y recoger inmediatamente la evidencia volátil recoger inmediatamente la evidencia volátil sin alterar la escena.sin alterar la escena.
• Guardar la información en otro dispositivo.Guardar la información en otro dispositivo.– Poca inf.: Diskettes (baratos, rápidos, accesibles y Poca inf.: Diskettes (baratos, rápidos, accesibles y
transportables)transportables)– Lo ideal: A través de la red en un equipo seguro.Lo ideal: A través de la red en un equipo seguro.
• Usar poca memoria para no sobrescribir Usar poca memoria para no sobrescribir • Aislar la máquina para evitar alteracionesAislar la máquina para evitar alteraciones
23
3) Línea del tiempo3) Línea del tiempo
• Graficar cronológicamente:Graficar cronológicamente:– Conexiones al sistema o a la redConexiones al sistema o a la red– Fechas y horas de archivosFechas y horas de archivos– Eventos relevantes de los logsEventos relevantes de los logs– Etc..Etc..
24
4) Análisis del Sistema4) Análisis del Sistema
• Análisis general del sistema buscando Análisis general del sistema buscando características especiales, fechas, características especiales, fechas, permisos, etc.permisos, etc.
• Printer Spooler FilePrinter Spooler File• Papelera de ReciclajePapelera de Reciclaje• Links: Windows/Recent, Links: Windows/Recent,
Windows/Desktop, Windows/StartWindows/Desktop, Windows/Start• Archivos temporalesArchivos temporales
25
5) Recuperación de datos 5) Recuperación de datos eliminados u ocultoseliminados u ocultos
• Temporales de MicrosoftTemporales de Microsoft
• Archivos y carpetas eliminadosArchivos y carpetas eliminados
• Espacio reservado en archivosEspacio reservado en archivos
• Información del autor en archivos OfficeInformación del autor en archivos Office
26
Correo electrónicoCorreo electrónico
Return-Path: [email protected]: [email protected] RemitenteRemitente
Received: from smtp-s4.antel.net.uy (192.168.2.4)Received: from smtp-s4.antel.net.uy (192.168.2.4) by by be04.in.adinet.com.uy (7.2.068.1)be04.in.adinet.com.uy (7.2.068.1) Una Una línea por cada servidor en la ruta del mensajelínea por cada servidor en la ruta del mensaje
id 4373658A000CF9E5 for [email protected]; Sat, 19 Nov 2005 id 4373658A000CF9E5 for [email protected]; Sat, 19 Nov 2005 16:41:52 –020016:41:52 –0200Received: from news2.tuparada.com (200.32.4.113)Received: from news2.tuparada.com (200.32.4.113) by smtp- by smtp-s4.antel.net.uy (7.2.068.1) s4.antel.net.uy (7.2.068.1) id 436059EE0040B83B for [email protected]; Sat, 19 Nov 2005 id 436059EE0040B83B for [email protected]; Sat, 19 Nov 2005 16:41:52 –020016:41:52 –0200Message-ID: <[email protected]> (added by Message-ID: <[email protected]> (added by [email protected])[email protected]) Identificador único del mensajeIdentificador único del mensajeTo: [email protected]: [email protected]
27
8) Prueba informática8) Prueba informática
• Objetivo de la pruebaObjetivo de la prueba• AdmisibilidadAdmisibilidad
– Autenticidad: Evidencia relacionada con el caso y Autenticidad: Evidencia relacionada con el caso y no alteradano alterada
– Confiabilidad: Forma de registro comprobableConfiabilidad: Forma de registro comprobable– Suficiencia: Redundancia. Correlación de eventosSuficiencia: Redundancia. Correlación de eventos– Conformidad con legislación vigente: Estándares Conformidad con legislación vigente: Estándares
internacionales (Unión Europea, etc..)internacionales (Unión Europea, etc..)
• Criterio de razonabilidad Criterio de razonabilidad
28
HerramientasHerramientas
• Kit de Cómputo ForenseKit de Cómputo Forense– Computadoras, Discos externosComputadoras, Discos externos– Grabadora de Cds y Cds libresGrabadora de Cds y Cds libres– Cámara digital y celularCámara digital y celular– Herramientas y cablesHerramientas y cables– Impresora portátil y Papel Impresora portátil y Papel – Precintos, formularios de cadena de custodiaPrecintos, formularios de cadena de custodia
• Herramientas de software de análisis forense Herramientas de software de análisis forense (Encase, FIRE, Helix, Winhex, etc.)(Encase, FIRE, Helix, Winhex, etc.)
• Lugar seguro para guardar la evidenciaLugar seguro para guardar la evidencia
29
ProblemasProblemas
• Falta de conocimiento o experiencia. Software Falta de conocimiento o experiencia. Software poco conocido, o antiguo.poco conocido, o antiguo.
• Malas prácticas en el tratamiento de la Malas prácticas en el tratamiento de la evidencia digitalevidencia digital
• Falta de recursos materialesFalta de recursos materiales• Subestimar el alcance del incidente. ¿A que Subestimar el alcance del incidente. ¿A que
nos enfrentamos?nos enfrentamos?• No entender que pasóNo entender que pasó
30
Más problemasMás problemas
• Software antiforenseSoftware antiforense• No tener en quien confiarNo tener en quien confiar• No aceptar sus limitaciones. No pedir ayudaNo aceptar sus limitaciones. No pedir ayuda• Falta de objetividadFalta de objetividad• Fallas en la documentación, o alteración de Fallas en la documentación, o alteración de
la cadena de custodiala cadena de custodia• Fallas en el informeFallas en el informe
31
Caso de FraudeCaso de Fraude
• Empresa utiliza planilla con inf. de Empresa utiliza planilla con inf. de deudas como sistema informático.deudas como sistema informático.
• Fraude: Alteración de la información de Fraude: Alteración de la información de la planilla en beneficio de otro.la planilla en beneficio de otro.
• Denuncia e investigación.Denuncia e investigación.
32
Caso de Fraude (cont.)Caso de Fraude (cont.)
Metodología:Metodología:• Diagnóstico inicialDiagnóstico inicial• Copias del disco duro del PCCopias del disco duro del PC• Guarda del disco originalGuarda del disco original• Análisis de directorios de la red donde estaba la Análisis de directorios de la red donde estaba la
planilla alterada.planilla alterada.• Se obtuvo copia del archivo con la planillaSe obtuvo copia del archivo con la planilla
33
Caso de Fraude (cont.)Caso de Fraude (cont.)
Metodología (cont.):Metodología (cont.):• Comando Salvage de red NovellComando Salvage de red Novell• Recuperación de archivos eliminados en disco local y Recuperación de archivos eliminados en disco local y
redred• Se obtuvieron archivos temporales de excel con Se obtuvieron archivos temporales de excel con
versiones anteriores a cada edición del archivo.versiones anteriores a cada edición del archivo.• Recuperación desde las cintas de respaldos de las Recuperación desde las cintas de respaldos de las
versiones de los archivos relacionadosversiones de los archivos relacionados• Se armó serie cronológica de versiones del archivo.Se armó serie cronológica de versiones del archivo.
34
Caso de Fraude (cont.)Caso de Fraude (cont.)
Metodología (cont.):Metodología (cont.):• Análisis de características de propiedad, Análisis de características de propiedad,
autor, fechas, horas de archivos originales y autor, fechas, horas de archivos originales y temporales de edición de Excel.temporales de edición de Excel.
• Análisis de registros de conexión a red y PC.Análisis de registros de conexión a red y PC.• Armado de la línea del tiempo y Armado de la línea del tiempo y
reconstrucción de los hechos para la prueba.reconstrucción de los hechos para la prueba.
35
Caso de Fraude (cont.)Caso de Fraude (cont.)
Conclusiones:Conclusiones:• Redundancia: Se obtuvo la historia de los Redundancia: Se obtuvo la historia de los
archivos por más de una vía.archivos por más de una vía.• Se demostró la identidad del perpetrador del Se demostró la identidad del perpetrador del
fraude, liberando de responsabilidad al fraude, liberando de responsabilidad al inocente.inocente.
• Condiciones: En organizaciones grandes hay Condiciones: En organizaciones grandes hay más recursos y ambientes más controlados.más recursos y ambientes más controlados.
36
RecomendacionesRecomendaciones
• Seguridad Informática:Seguridad Informática:– Politicas de seguridadPoliticas de seguridad– Firma Digital, encripciónFirma Digital, encripción– Software actualizadoSoftware actualizado– Servidores de aplicaciones y redes segurosServidores de aplicaciones y redes seguros– Firewalls y routers bien configuradosFirewalls y routers bien configurados
• Controles, prácticas y procedimientos: Es más Controles, prácticas y procedimientos: Es más barato prevenir que detectarbarato prevenir que detectar
• Auditar regularmente, evaluar riesgosAuditar regularmente, evaluar riesgos
37
Más recomendaciones..Más recomendaciones..
• Software antivirus e IDSSoftware antivirus e IDS• Conocer bien el ambiente y comportamiento Conocer bien el ambiente y comportamiento
normalnormal• Loggear actividadLoggear actividad• Mantener relojes y logs sincronizadosMantener relojes y logs sincronizados• Recolectar información de análisisRecolectar información de análisis• CapacitaciónCapacitación• Aprender de lo ocurridoAprender de lo ocurrido• Campaña de sensibilización en seguridadCampaña de sensibilización en seguridad
38
Sitios de interésSitios de interés
• Computer Forensics Inc.Computer Forensics Inc. wwwwww..forensicsforensics..comcom• Computer Forensics ServicesComputer Forensics Services wwwwww..computercomputer--
forensicsforensics..comcom• Armor ForensicsArmor Forensics www.forensics-intl.com www.forensics-intl.com• Computer Forensic News and CommunityComputer Forensic News and Community
www.foresicfocus.com www.foresicfocus.com
• www.informaticaforense.comwww.informaticaforense.com
39
Más sitios de interés..Más sitios de interés..
• International Organization on Computer Evidence International Organization on Computer Evidence
www.ioce.orgwww.ioce.org• European Network of forensic Science InstitutesEuropean Network of forensic Science Institutes
www.enfsi.orgwww.enfsi.org• International Journal on Digital EvidenceInternational Journal on Digital Evidence www.ijde.org www.ijde.org• Information Security and forensic societyInformation Security and forensic society www.isfs.org.hk www.isfs.org.hk• Scientific working group on digital evidenceScientific working group on digital evidence
www.ncfs.org/swgdewww.ncfs.org/swgde• CERT: www.cert.org/kb/CERT: www.cert.org/kb/
40
Software forenseSoftware forense
• Helix: www.e-fense.com/helixHelix: www.e-fense.com/helix
• Sleuth Kit & autopsy: www.sleuthkit.orgSleuth Kit & autopsy: www.sleuthkit.org
• Snort: www.snort.orgSnort: www.snort.org
• F.I.R.E.: biatchux.dmzs.comF.I.R.E.: biatchux.dmzs.com
• Encase: www.encase.comEncase: www.encase.com
• Winhex: www.winhex.comWinhex: www.winhex.com
41
ReferenciasReferencias
Para la elaboración del siguiente material se utilizaron las siguientes referencias bibliográficas:
– Preservation of fragile digital evidence by first responders – Special Agent Jesse Kornblum
– Forensic examination of digital evidence (U.S. DOJ-2004)– Chain of custody form for forensic images (e-fense-2005)– Material del curso de “Computación Forense” dictado por
Chavez y Andrés - Isaca Latin Cacs - Mérida 2004– Digital Evidence: Standards and Principles by SWGDE and
IOCE.– The Institute of Internal Auditors.
42
Muchas graciasMuchas gracias