Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Es común encontrar estas preguntas , cuando se
ha perpetrado un ataque
Que fue lo que hicieron ..... ?Que fue lo que hicieron ..... ?
Como Fue que lo hicieron .... ?Como Fue que lo hicieron .... ?
Es donde la recolección de eventos en la red juega Es donde la recolección de eventos en la red juega
un papel importante al igual que su análisisun papel importante al igual que su análisis
[email protected]/05junio/05
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Objetivos
✔ Mostrar los aspectos mas importantes en la recolección de evidencia
en ambientes de red.
✔ Cuestionar los conocimientos de los ambientes de red existentes hoy
en día, para el proceso de recolección de evidencia en redes.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Plan de Temas
✔ Introducción
✔ Definiciones
✔ Proceso de recolección de evidencia
✔ Herramientas del proceso
✔ Conclusiones
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Existe un aumento creciente en
las vulnerabilidades de los
sistemas. (1220 1Q-2005) según
CERT
A su vez existe mayor interés y
creciente sobre las implicaciones
de la seguridad en los ambientes
organizacionales. Según
E-Crime Survey 2005
Introducción
0
500
1000
1500
2000
2500
3000
3500
4000
4500
2000 2001 2002 2003 2004 2005
Vulnerabilidades
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Virus o código malicioso, spyware, pishing, y spam de mayor proyección.
Siendo el pishing uno de los de mayor crecimiento contra el 2003. Según
E-Crime Survey 2005
Sin embargo existe más de un 30% no poseen sistemas para registrar
los incidentes y un 39% no tienen procedimientos para responder ante
una intrusión. Dejando espacio para la improvisación. Según
E-Crime Survey 2005
Un 19% no sabe de donde provino el ataque.
Introducción
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Un 80% reportan que realizan un procedimiento continuo de monitoreo a
sus infraestructuras de red. Aunque el manejo de los incidentes en su
mayoría (78%) siguen siendo manejados por la empresa.
En muchos casos estas situaciones se dan por el desconocimiento de la
normatividad vigente.
La educación se ha vuelto un factor importante a la hora de generar
cultura de seguridad y tratar de disminuir las amenazas existentes.
Introducción
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
La evidencia puede ser definida como “cualquier información de valor
probatorio” .
El término “evidencia” implica que tanto quien recoge la evidencia como
el proceso para recoger dicha evidencia son reconocidos por estamentos
legales. Corte, juzgado, legislación.
Para el FBI (Federal Bureau of Investigation) existen algunos conceptos
críticos en la computación forense.
Objetos de Datos. Objetos o información de valor probatorio, que está
asociado con elementos físicos. Pueden estar en diferentes formatos
( NTFS,EXT3), sin la alteración de la información original
Definiciones Básicas
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Elementos Físicos. Elementos sobre los cuales los objetos de datos o
información son almacenados y/o transferidos. (Diskettes, Discos, etc)
Evidencia Digital Original. Elementos físicos y objetos de datos o
información asociados a ellos en el momento de la adquisición
Duplicado de la Evidencia Digital. Replicación exacta de todos los
objetos de datos contenidos en los elementos físicos originales
Definiciones Básicas
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Definiciones
Básicas Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un
computador que soporte o refute una teoria de como una ofensa ocurrió
(Chisum 1999)
Evidencia Digital. Cualquier dato que puede establecer que un crimen ha
sido cometido o que suministre un enlace entre el crimen y la víctima o
entre el crimen y su perpetrador. (Casey 2000)
Evidencia Digital. Cualquier información de valor probatorio que sea
almacenada o transmitida de manera digital. (SWGDE. Standar Working
Group on Digital Evidence)
Evidencia Digital. Información almacenado o transmitida de manera
binaria que pueda ser confiable en una corte. (IOCE. International
Organization of Computer Evidence )
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Definiciones Básicas
Computación Forense. “Ciencia que se encarga de adquirir, recuperar,
preservar y presentar datos que han sido procesados electrónicamente y
están almacenados en medios electrónicos”.
Computación forense. Aplicación de investigación sobre medios
electrónicos y aplicación de técnicas de análisis, con el interés de
determinar evidencia potencial. Judd Robins
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Definiciones Básicas Incidente de Seguridad. Son eventos que interrumpen los procedimientos
normales de operación y precipitan a algún nivel de crisis. Específicamente
Incidentes pueden ser considerados intrusiones en computadores,
denegaciones de servicios, actividad de red no permitida o no autorizada
que requieran de personal de seguridad , administradores o investigadores
para responder.
Investigación. Un proceso que desarrolla y evalua hipotesis para responder
preguntas acerca de un incidente que ha ocurrido.
Investigación Forense Digital. Un proceso que usa la ciencia y la tecnología
para examinar objectos digitales que desarrollen y prueben teorias, las
cuales puedan ser entregadas en una corte, para responder preguntas de
los incidentes ocurridos.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Conducir una investigación estructurada
Preservar y asegurar los datos electrónicos usando métodos que sean
aceptados legalmente
Obtener la mayor cantidad de datos relevantes frente a una intrusión
Documentar
Saber que fue lo que sucedió
Conducir un proceso legal
Objetivos de la Investigación Forense
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Por que existe un propósito
Dentro de los mas comunes están
Uso inapropiado de Internet, email, y/o recursos de la corporación
Robo o perdida de la información
Violación de políticas o normas de seguridad
Infracción de la propiedad intelectual
Invasión de la red
Por que Investigar
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Derivación de Computación Forense
“Captura, almacenamiento y análisis de los eventos presentados en
una red, para identificar la fuente de un posible ataque o presencia de
un incidente”. Según searchSecurity.com
“Principio de reconstruir las actividades que conducen a un evento y
poder determinar las respuestas de ¿ Que hicieron ? y ¿ Como lo
hicieron ?”
La recolección y centralización de los eventos, así como su análisis son
de gran importancia.
Network Foresinc
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Trabajar con evidencias digitales en red presentan ciertos desafíos
para el investigador.
Los datos en los sistemas de red son volátiles y dinámicos, haciendo
difícil tomar una fotografía en un instante de tiempo.
A diferencia de un PC es difícil tener abajo un ambiente de red. Uno
de los retos de los investigadores forenses es asegurar la evidencia
con la mínima interrupción de la operacional del negocio que confía en
la red.
Proceso Forense
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Debido a la diversidad de ambientes de red se debe seleccionar los
procedimientos adecuados para recoger de ellas la mejor información
Aislar una escena del crimen es mas difícil debido a que tenemos un
contexto multidimensional, se pueden presentar en varios escenarios
de red y a su vez en cualquier momento.
Al tener la evidencia digital en varios contextos y ambientes genera
ventajas con relación a la eliminación de la evidencia digital.
Proceso Forense
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Proceso ForenseAutorización y Preparación
Identificación
Documentación, Recolección yPreservación
Examinación y Análisis
Reconstrucción
Reportes y Resultados
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Autorización y Preparación
Antes de recoger cualquier prueba se debe preocuparse por no
infringir , ninguna normativa referente al manejo de la evidencia o que
genere alguna responsabilidad.
Se debe obtener los permisos necesarios para recolectar e indagar en
el escenario propuesto.
Estos permisos deberían ser escritos y estar autorizados por los
abogados o los encargados.
Se deben revisar las políticas de utilización de los recursos
computacionales. Para no ir en contra de la violación de la privacidad.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Autorización y Preparación
El investigador debe conocer y entender claramente el escenario de
red que esta bajo investigación. Identificando actores y el(los)
incidente(s) presentados. Comunicar y definir que tipo de evidencia
necesita en su totalidad.
Algunas veces deben recoger información antes de la autorización,
para definir que clase de herramientas utilizar.
Se debe planear que es lo que se desea recolectar, particularmente
cuando la cooperación es nula con los administradores del sistema.
Es importante definir los procedimientos necesarios para preservar
dicha información
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Identificación
Identificar todos los factores que interviene para el proceso de
recolección de la red.
Deben existir métodos para identificar los sistemas que mas evidencia
pueden tener.
Fase uno
Buscar en puntos terminales
Buscar en puntos intermedios. Switches, Routers, Proxys
Fase dos
Buscar eventos en los archivos de logs, que suministran un
panorama de las actividades de la red. Sistemas de monitoreo.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Identificación
Fase tres
Buscar en los sistemas de aplicaciones, para relacionar individuos.
Es necesario procedimientos estándares para lo colección de
evidencia de los diferentes dispositivos de red.
Crear mapas digitales de evidencia que ayuden a realizar de manera
metódica los procesos de búsqueda de evidencia.
Utilizar los mapas de red de la organización y verificar sus niveles de
detalles.
Localización de los puntos de entrada y servidores claves, son las
fuentes mas extensas de evidencia. Routers, Firewalls
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Documentación, Recolección y Preservación
La primera diferencia cuando se trabaja en ambientes de red, es que
muchas veces no es posible realizar una copia bit a bit de la evidencia.
Por razones como
El sistema no puede estar abajo
Disco con demasiada información
No existe la autorización para copiar los datos
En muchos casos se requiere recolectar la evidencia de manera
remota
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Documentación, Recolección y Preservación
Preservación de la evidencia digital dinámica, Ej: Redireccionar la
salida estándar de una maquina *nix a un archivo o dispositivo. Para
recolectar evidencia de routers, firewall, y dispositivo de línea serial
HyperTerminal de Windows es una solución.
Se utiliza la figura de un segundo investigador que tome atenta nota y
documente los resultados, con el objetivo de mejorar los
procedimientos de recolección por parte de una sola persona
Para garantizar la preservación de los datos se pueden utilizar
mecanismos como grabaciones (video tapes), las firmas digitales son
de gran uso para comprobar la integridad y evitar manipulaciones al
futuro
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Documentación, Recolección y Preservación
La mayoría de veces es necesario utilizar herramientas que capturen
el trafico de la red.
La recolección de los logs se vuelve vital en los dispositivos de red.
Logs de IDS, de firewalls, de proxys y de mas elementos de
comunicaciones.
Es importante de todos los eventos de recolección para su
preservación mantener la “cadena de custodia”. Documentar
Quien recoge y manipula la evidencia ?, Como se recoge la
evidencia ?, Desde donde la recoge ?, Cuando fue realizado el
proceso?, y Por que fue realizado el proceso?
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Documentación, Recolección y Preservación
En muchos casos cuando las copias bits a bits no son posibles se
siguiere
Notificar la hora y fecha del sistema para el archivo de log
correspondiente
Documentar la localización del archivo, y los datos del metadata
(tamaño, firmas de tiempo)
Utilizar algoritmos de hash para los archivos. MD5
Impresión de los logs en caso de ser pequeños
Tratar de salvar el archivo o logs archivos en otro medio, y
verificar su lectura para futuros usos. Mejor el archivo completo
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Documentación, Recolección y Preservación
Para ayudar a documentar y demostrar integridad y autenticidad de la
maquina que recolecta la evidencia en red se debe saber.
Seguir estándares de operaciones
Esencial conservar un registro de las acciones tomadas durante el
proceso de recolección de la evidencia y tomar las pantallas de los
ítems más relevantes
Es necesario documentar que servidor es de donde se esta
extrayendo la información, por que es posible que quien examine
tenga que ir a otro servidor en alguna otra parte.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Documentación, Recolección y Preservación
Calcular las huellas MD5/SHA1 de toda la evidencia antes y
después de transferirla de la máquina remota.
Fírmelos digitalmente, cífrelos y sálvelos en dispositivos de solo
lectura
Trate de utilizar más de una forma de recolectar la información
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Examinar y Analizar
Examinar la información es vital
para poder realizar su posterior
análisis.
La profundización en la
examinación de la evidencia
depende en gran medida, del
conocimiento de la escena del
crimen y de las restricciones
colocadas por el investigador.
Este proceso es divido en tres
grandes labores
Clasificación y
Evaluación de la
Fuente
Recuperación
de los datos
Filtraje y
Reducción de
Datos
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Filtrado y Reducción de Datos
Cantidades extensas de información que en algunos casos no esta
relacionada con la investigación.
Se debe realizar para obtener la evidencia concluyente e importante.
Para extraer la información relevante de los archivos se debe tener en
cuenta.
Todo los archivos irrelevantes a la investigación. No tenerlos en
cuenta
Enfocar la investigación en los archivos mas probables creados por
los usuarios
Manejar redundancia de archivos
Discrepancias entre las evidencias digitales recolectadas. Ej: MD5
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
tcpdump –i eth0 tcp[13]==24 and host 172.30.8.54 and host 172.30.4.1 and port 3128tcpdump –i eth0 tcp[13]==24 and host 172.30.8.54 and host 172.30.4.1 and port 3128
Filtrado y Reducción de Datos
Es útil utilizar filtros a nivel de las aplicaciones de recolección de datos
A menudo es muy útil utilizar las técnicas de búsquedas por patrones
dentro de los archivos de logs.
Cat /var/log/messages | grep “\(conecction\|172.30.8.41\)Cat /var/log/messages | grep “\(conecction\|172.30.8.41\)
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Clasificación y Evaluación de la Fuente
Cuando se analiza la evidencia es importante responder a las
siguientes preguntas
Que es ?. Permite Identificar y Clasificar la Evidencia
De donde viene ?
El proceso de identificar involucra clasificar basados en características
similares. “class characteristic”
Un ítem es clasificado cuando este puede ser colocado en una clase
de ítems con características similares. (Inman and Rudin 1997)
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Clasificación y Evaluación de la Fuente
Cuando se evalúa el origen de una pieza de evidencia, el investigador
compara todos los ítems, determinando si son iguales o parecidos o si
viene del mismo origen
Examina característica por característica para determinar si tienen
relación.
Entre más características en común tenga un ítem y su origen mayor
será la probabilidad de que estén relacionadas.
Los ítems pueden tener características que los diferencien.
“características individuales”.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Clasificación y Evaluación de la Fuente
En los ambientes de red, las clases de características así como las
características individuales, son utilizadas para poder identificar el
origen de la evidencia.
2003-01-23 12:52:40 172.16.1.19 - 192.168.1.3 80 GET /documents/ project21.html - 200 Mozilla/4.75+[en]+(Windows+NT+5.0;+U)2003-01-23 12:52:40 172.16.1.19 - 192.168.1.3 80 GET /documents/ project21.html
- 200 Mozilla/4.75+[en]+(Windows+NT+5.0;+U)
Clases de Características
Clases de Características
Características Individuales
Características Individuales
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Recuperación de la Evidencia
Tratar de recuperar archivos de logs y/o eventos de las operaciones de
red
Se deben utilizar las herramientas apropiadas para la recuperación de
dichos datos. Sniffer en el caso de red
Existen hoy en día grandes retos relacionados con el cifrado de los
datos.
Utilización de las técnicas acordes a procedimientos forenses claras
para la obtención de los datos cuando se encuentren cifrados.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Reconstrucción del Escenario
La reconstrucción con lleva a un escenario mas complejo y completo
del incidente. En ella se pueden encontrar respuestas a preguntas
como
Que sucedió ?, Quien ?, Cuando ?, Donde ?, Como ?, y Por Que ?
Existen tres formas de realizar la reconstrucción
Análisis Funcional: De acuerdo a como funcionan las aplicaciones
y/o programas comprometidos, y como generan la evidencia.
Análisis Relacional: Análisis basado en la relación de la evidencia y
la escena.
Análisis Temporal: Análisis que relaciona los eventos y crea
secuencias de acuerdo a los tiempos presentados en los sistemas
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Reconstrucción del Escenario
En ambientes de red se empiezan los procesos de reconstrucción a
través de los tráficos generados y con ellos revisar si se han
comprometido otros sitios.
La reconstrucción de manera relacional tiene un grado de dificultad
mayor por la variabilidad de sus elementos. Ej: Ips, DNS.
Por lo tanto es necesario examinar todas las alternativas posibles de
evidencia.
Es importante ayudarse de los otros enfoques de reconstrucción de los
escenarios para validar la evidencia que se esta utilizando.
Los ambientes de red generalmente siempre tienen más de un origen
para corroborar los datos.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Reconstrucción del Escenario
En algunos casos se recomienda hacer extracción de los datos
relevantes de las evidencias encontradas.
Cuando se manejan volúmenes grandes de datos relacionados con la
re, se recomienda reconstruir escenarios pequeños antes de integrarlo
toda la escena del crimen.
En el caso de los análisis temporales es importante relacionar los
eventos de los diferentes elementos, antes de presentar un resultado
puesto que podría ser pasado por alto. “Fechas de los dispositivos”
Cuando se recolecta la evidencia de los ambientes de red, es posible
identificar los patrones de comportamiento de los ataques y atacantes.
Poder en muchos caso establecer el “modus operandi”
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Reporte de resultados
Se debe integrar todo lo
encontrado en un reporte
final que de las
conclusiones de la
investigación.
Pieza clave cuando se
presenta como evidencia
en estamentos legales.
Normalmente un reporte
tiene una estructura
como sigue
Introducción: Quien solicito el reporte, que se buscó,
quien escribió el reporte, cuando y que fue encontrado
Resumen de evidencias: Que evidencias fueron
examinadas, cuando, de donde y cuando se obtuvieron
las pruebas
Resumen de proceso: Que herramientas fueron
utilizadas, que datos fueron recuperados
Examinación de evidencias: Archivos de logs, tráficos
de red o archivos.
Análisis: Descripción del o los análisis realizados
Conclusiones: Resumen que se enlace lógicamente y
se refiera a todas las evidencias recolectadas
Glosario de Términos: Explicación de los términos
técnicos utilizados.
Apéndices: Relación de la evidencia encontrada de
manera numerada y ordenada
Introducción: Quien solicito el reporte, que se buscó,
quien escribió el reporte, cuando y que fue encontrado
Resumen de evidencias: Que evidencias fueron
examinadas, cuando, de donde y cuando se obtuvieron
las pruebas
Resumen de proceso: Que herramientas fueron
utilizadas, que datos fueron recuperados
Examinación de evidencias: Archivos de logs, tráficos
de red o archivos.
Análisis: Descripción del o los análisis realizados
Conclusiones: Resumen que se enlace lógicamente y
se refiera a todas las evidencias recolectadas
Glosario de Términos: Explicación de los términos
técnicos utilizados.
Apéndices: Relación de la evidencia encontrada de
manera numerada y ordenada
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Herramientas utilizadas en el proceso
Existen una gran cantidad de
herramientas que ayudan al proceso de
recolección de datos.
Lo importante es entender cual puede
ser su utilidad y cual es el momento
indicado para utilizarlos.
Herramientas de carácter global.
Agrupación de herramientas
Herramientas de carácter individual.
Entre algunas de las herramientas más
utilizadas y su clasificación están
Patrón Función
C Colección y Filtrado de datos
L Análisis de logs
S Reensamble de datos
R Correlación y análisis de múltiples fuentes de datos
A Visores de capa de aplicaciones
W Workflow
Clasificación de Herramientas
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C
Ngrep http://ngrep.sourceforge.net *nix C
Network Stumbler http://netstumbler.com Windows C
Kismet www.kismetwireless.net Windows, Linux C
Argus www.qosient.com/argus7/ *nix CL
Flow-tools www.splintered.net/sw/flow-tools/ *nix CL
Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L
Etherape http://etherape.sourceforge.net *nix C
Ethereal www.ethereal.com Windows-Linux CLS
Etherpeek www.wildpackets.com Windows CLS
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Herramientas utilizadas en el proceso
Nombre Suministrada por Plataforma Características
Flag(Forensic and Log Analysis GUI )
www.dsd.gov.au/library/software/flag/ *nix L
Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS
Sleuth9 www.deepnines.com/sleuth9.html *nix CSR
Dragon IDS www.enterasys.com/products/ids/ *nix CLSR
NSM Incident response www.intellitactics.com Windows CLSRW
neuSecure www.guarded.net *nix CLSRW
NetIntercept www.sandstorm.net Linux box CSRA
NetWitness www.forensicexplorer.com Windows CLSRA
OSSIM www.ossim.net *nix CLSRA
SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Herramientas utilizadas en el proceso
Algunas otras herramientas que ayudan en el proceso de
recolección de la información.
Nessus. www.nessus.org
Nmap. www.insecure.org
También existen las llamadas distribuciones booteables, que
son definidas como el conjunto de herramientas en el
proceso forense. FIRE,Sleuth,Helix,Plan-B
Dentro del conjunto de herramientas existen dos
herramientas que se consideran vitales para el manejo de
incidentes y análisis forense.
IDS/IPS
Honeytrap
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
IDS
Considerada de las herramientas de nuestro arsenal la más poderosa.
Por las operaciones que realiza.
Herramienta de apoyo en los procesos de seguridad
Recolección de Información
Basado en el análisis de la información contra patrones previamente
definidos
Tengo como objetivo primario el de informar, puede llegar a tomar
medidas (IPS)
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
IDS
Dentro de las funciones básicas de un IDS están
Monitorea las actividades a nivel de usuario o procesos y actividades
de un sistema (HIDS), o las actividades de una red (NIDS)
Basa su trabajo en los estándares de protocolos construidos. Cifrado
de datos uno de los retos actuales
Debe garantizar el 100% de confianza en los reportes presentados.
Falsos positivos
Hace un diagnostico completo del ataque
En algunos casos puede dar recomendaciones de cómo controlar el
ataque
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
IDS
IDS
Red InternaInternet
Router
Firewall
DMZNetwork
WWWServer
Desktop
RedInternaInternet
Router
Firewall
DMZNetwork
WWWServer
Desktop
IDS
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Honeytrap
Sistemas diseñados para ser comprometidos
Su característica principal es que no tendrán datos reales o información
relevante
Su objetivo principal es el recolectar, capturar y analizar los datos en
orden para aprender sobre los ataques realizados en una red.
Están dividido en dos clases o grupos
Honeypots: Máquinas con servicios activos, aislados con el objetivo
de atraer a los atacantes, y capturar las actividades realizadas por
ellos
Honeynets: Redes donde se encuentran sistemas de producción y
honeypots interconectados, con el objetivo de recoger, analizar la
información de un ataque, para aprender de el
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Validez Jurídica
La evidencia digital deben cumplir con algunos requerimientos para
tener validez jurídica
Autenticidad: La evidencia no ha sido modificada
Precisión: Tanto las herramientas, como los procedimientos no
deben presentar dudas, además debe estar relacionada con el
incidente
Suficiencia: Debe mostrar todo los eventos que relacionan a un
incidente
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Validez Jurídica
En colombia la Ley 527. Art. 10, referencia la fuerza probatorio de los
mensajes de datos
La ley 527. Art. 11, Presenta los criterios probatorio de los mensajes de
datos. “confiabilidad en la forma que se generó la evidencia”,
“confiabilidad en la forma en que se conservó la evidencia” y la
“confiabilidad en la forma en como se identificó al autor”
Sentencia No. C-662 de junio 8 de 2000, da el mismo valor de peso a la
evidencia digital frente a otros medios probatorios existentes.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Conclusiones
Grandes retos por parte de los investigadores forenses frente a los modelos
de red de hoy y sus posibles situaciones. Spoofing, Robo de Identidad.
Complejidad de los protocolos y a su vez inseguridad de los mismos,
naturaleza volátil de las conexiones
Los investigadores deben ser muy cuidadosos en las formas como recojan la
evidencia en ambientes de red, para darle un peo y valor probatorio
Uno de los grandes retos en estos escenarios es el dinamismo y multiplicidad
de ambientes a los que se enfrenta un investigador forense.
Nuevamente la educación y formación en estos temas es de gran ayuda para
poder enfrentarse a estas situaciones
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
Conclusiones
En muchos casos muchos de estos delitos son cometidos desde punto fuera
de control “Café Internet”, haciendo que la investigación pueda llegar a
hasta este punto. No existe una normativa vigente de mayor control para
este tipo de situaciones.
Independiente de la legislación sobre la que se encuentre debe haber un
manejo adecuado de la evidencia.
Dada la gran proyección de delitos que día a día se comente deberían existir
mayores proyecciones en la presencia de procedimientos forenses en
informática para contrarrestar esta situación.
Fortalecer la utilización y creación de los grupos de manejo de incidentes
que ayuden en el proceso.
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
I. Jhon R. Vacca (2002). Computer Forensic: Computer Crime Scene Investigaction. Charles Rivera Media
II. Eogan Casey (2004). Digital Evidence and Computer Crime: Forensic Science,
Computers and Internets. Second Edition. Academic Press
III. Julie Lucals, Brian Moller (2003). Effective Incident Response Team. Addison
Wesley
IV. Douglas Schweitzer (2003). Incident Response: Computer Forense Toolkit.
Wiley
V. Debra Littlejohn Shinder (2002). Scene of the cyber crime: Computer Forensic
Handbook. Syngress.
VI. Evidencia Digital en el contexto colombiano. Consideraciones técnicas y
Juridicas para su Manejo. Daniel A. Torres, Jeimy J. Cano, Sandra Rueda
Referencias
Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red
VII. Honeytraps, A Network Forensic Tool. Alec Yasinac y Yanet Manzano
VIII. A Framework of Distributed Agent-Based Network Forensic System. Dr Ren
Wei
Referencias