8/2/2019 Sesin 3 - Introduccin a la informatica forense
1/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
ComputacinForense:
Herramientas para
combatir la
ciberdelincuencia
Ing. Daniel Torres Falkonert
Email: [email protected]
22/10/20111
Daniel Torres Falkonert (c) 2011
El Proceso Forense en Informtica
Recolectar Examinar Analizar Presentar
Medios Datos Informacin Evidencia
8/2/2019 Sesin 3 - Introduccin a la informatica forense
2/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Dinmica del Proceso
Forense
Iterativo
Es clave usar metodologasformales!!! (P.E.O.,Clasificacin de incidentes)
El investigador nonecesariamente es el primerrespondiente.
Aunque toda la teora estorientada a investigacionespoliciales, los mismosprincipios aplican eninvestigaciones corporativas
22/10/2011 Daniel Torres Falkonert (c) 20113
PrimeraRespuesta
Recuerde las 7 P
Proper Prior Planning Prevents
Particularly Poor Performance
22/10/2011 Daniel Torres Falkonert (c) 20114
8/2/2019 Sesin 3 - Introduccin a la informatica forense
3/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Procedimientos estndar de
Operacin
Serie de pasos que deben ser seguidos cadavez que se requiera recolectar y/o examinarun computador o componente de este
Aseguran que la evidencia fue recolectada,preservada y analizada de una maneraconsistente y minuciosa
Afrontar crisis en todos los niveles.
Proteger la continuidad del negocio
22/10/2011 Daniel Torres Falkonert (c) 20115
Principios del manejo de la evidencia
Principio 1: Ninguna medida tomada por la polica osus agentes deber alterar datos almacenados en uncomputador o cualquier otro medio que pueda sereventualmente confiado ante una corte.
Principio 2: Bajo circunstancias excepcionales, endonde se considere necesario acceder a los datosoriginales en un computador, la persona encargada de
realizar dicha accin, deber ser competente parahacerlo, adicionalmente debe dar evidencia de susacciones, documentando y explicando la relevancia ylas implicaciones de stas.
22/10/2011 Daniel Torres Falkonert (c) 20116
8/2/2019 Sesin 3 - Introduccin a la informatica forense
4/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Principios del manejo de la evidencia
Principio 3: Se deber crear y preservar un registro desecuencia de eventos u otro tipo de registro de todos losprocesos aplicados a la evidencia digital. Una tercera parteindependiente deber estar en condiciones de examinaresos procesos y lograr el mismo resultado.
Principio 4: El oficial a cargo del caso es responsable deasegurarse que la ley y estos principios sean cumplidos.Esto con respecto a la posesin de la informacin contenidaen el computador, y el acceso a la misma. Se debersatisfacer que cualquiera que acceda al computador, o
cualquier uso que se haga sobre ste de un dispositivo decopiado, cumpla con estas leyes y principios.
22/10/2011 Daniel Torres Falkonert (c) 20117
Tenga MUY en cuenta
La persona que realice laprimera respuesta la
evidencia debe entenderla naturaleza de losdatos a recolectar.
En muchos casos solo setiene una oportunidad
de realizar el proceso.Generalmente los errores
en esta fase sonirreversibles!!!!
22/10/2011 Daniel Torres Falkonert (c) 20118
8/2/2019 Sesin 3 - Introduccin a la informatica forense
5/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Consejo
En el entorno corporativotodo el personal de TIdebe estar entrenado
para ser primerrespondiente.
As la organizacin norealice investigacionesinternas, es posible quesea necesario recolectar
datos para transferirlos auna autoridadcompetente.
22/10/2011 Daniel Torres Falkonert (c) 20119
Lectura Recomendada
Electronic Crime Scene Investigation: AGuide for First Responders
U.S. Department of Justice Office ofJustice Programs
National Institute of Justice
Descarga:http://www.ncjrs.gov/pdffiles1/nij/187736.pdf
22/10/2011 Daniel Torres Falkonert (c) 201110
8/2/2019 Sesin 3 - Introduccin a la informatica forense
6/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Primera Respuesta
Despus de la deteccin delincidente
Indagar Contaminacin escena delcrimen
Determinar presuntos actores(informticos)
Identificar problema aparente(Clasificacin del incidente)
Entrevistar usuarios Definir cuales son las mejores
herramientas. Iniciar cadena de custodia
22/10/2011 Daniel Torres Falkonert (c) 201111
Posible clasificacin de incidentes
Nivel Incidente
Muy alto
Incidente con aplicaciones de comercio electrnico Incidente con Servidor de autenticacin Incidente con el servidor de cobros/pagos electrnicos Sospecha de apropiacin de informacin sensible de clientes o personal de la organizacin
Alto
Incidente con el servidor de Nombres (DNS) Incidente con el servidor de correo electrnico Incidente con servidor WWW Violacin de Permetro (Incidente con enrutadores) Hallazgo de una mquina comprometida.
Medio
Ataques llevndose a cabo desde equipos fuera del dominio de la organizacin. Sobrecarga inusual de la red o de los equipos de cmputo.
Envo de correo no deseado (SPAM) desde equipos dentro de la organizacin.
Bajo Pruebas de red (port Scanning, pruebas de vulnerabilidades) Deteccin de firmas de ataques conocidos (Code Red, Nimda)
8/2/2019 Sesin 3 - Introduccin a la informatica forense
7/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Responsabilidades del primer
respondiente1. Observar y establecer los lmites de
la escena del crimen
2. Iniciar medidas de seguridad(safety)
3. Proveer cuidado de emergencia
4. Asegurar fsicamente la escena delcrimen
5. Asegurar fsicamente la evidencia(Bag and Tag): e-csi!!
6. Entrega de la escena del crimen7. Finalizar documentacin
22/10/2011 Daniel Torres Falkonert (c) 201113
Entrevistas
Identificar sospechosos,vctimas, etc.
Familiarizarse con el entorno Indagar contaminacin de la
evidencia Comenzar a formular hiptesis Es til hacer preguntas
abiertas (puede decirme queocurri?)
Dejar que la conversacin
fluya OJO!!! Entrevista es diferente
a interrogatorio
22/10/2011 Daniel Torres Falkonert (c) 201114
8/2/2019 Sesin 3 - Introduccin a la informatica forense
8/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Se necesita autorizacin pararecolectar la evidencia
(Warranted vs. Warrantless)?
Tiene la competencia parahacerlo?
Tenga siempre a mano unabogado
Identificacin de la evidencia
Identificacin
Reglas de la mano derecha:
1. Los primeros respondientes debenenfocarse en la identificacin deposibles contenedores deevidencia y no en qu evidenciapuede estar almacenada en uncontenedor.
1. Es mejor identificar ms
contenedores que los necesarios,que dejar por fuera alguno quepueda tener evidencia relevantepara el caso.
16
8/2/2019 Sesin 3 - Introduccin a la informatica forense
9/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Reto: Autenticidad de la Evidencia
3 preguntas clave: Se alteraron los datos?
Cadena de custodia Documentacin Sumas de verificacin criptogrficas (Sha1)
El programa que produjo la informacin es confiable?(Representacin de los datos)
Software aceptado por la comunidad. Software legal Otros aspectos legales
Se puede determinar la identidad del autor? Uso de otra evidencia circunstancial pero que lo corrobore
(Cmaras de seguridad, acceso a otras cuentas, logs sistemas decontrol de acceso, libro de visitas, etc.)
17
Adquisicin
Y
Herramientas
Forenses
22/10/2011 Daniel Torres Falkonert (c) 201118
8/2/2019 Sesin 3 - Introduccin a la informatica forense
10/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Dinmica de la Evidencia
Es una forma de describir y entender lasfuerzas que pueden actuar sobre la evidenciay los efectos que tenga sobre esta.
Clasificacin:
Fuerzas Humanas
Fuerzas Naturales
22/10/2011 Daniel Torres Falkonert (c) 201119
Apagar el equipo?
Cmo se apague el
sistema puede afectar
considerablemente la
evidencia.
El investigador debe
tomar la decisin decmo y cundo apagar.
22/10/2011 Daniel Torres Falkonert (c) 201120
8/2/2019 Sesin 3 - Introduccin a la informatica forense
11/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Caractersticas del apagado
Cortar la Electricidad
Prdida de informacinvoltil
Dao del Sistema dearchivos (Raro en los FSactuales)
Se puede perder el accesoal la informacin en el disco(Truecrypt, Bitlocker, etc.)
Se limitan los cambios alsistema de archivos duranteel proceso de apagado
Apagado limpio
Puede perderse la memoriavirtual
Se pierde el control sobreprocesos que puedaneliminar evidencia al apagar.
El sistema de archivosqueda intacto.
Se disminuye la
probabilidad de recuperararchivos borrados
22/10/2011 Daniel Torres Falkonert (c) 201121
Orden Descendente devolatilidad
Tomar fotos y etiquetar losequipos involucrados
Usar ropa y equipo adecuados
Utilizar Medios dealmacenamiento estriles
Considerar Geometra de losmedios fuentes
Documentar
Recoleccin de la Evidencia
8/2/2019 Sesin 3 - Introduccin a la informatica forense
12/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Orden de Volatilidad
No es posible grabar loscambios de los procesos y losarchivos de manera precisa entiempo real.
Cuando se capturan datos enuna parte del sistema, se estcambiando en otra.
Principio de la incertidumbrede Heisenberg:
Se puede determinar conprecisin la posicin de unapartcula o determinar su
movimiento, pero no medirlasambas simultneamente
22/10/2011 Daniel Torres Falkonert (c) 201123
Tenga en cuenta
Recuerde las 3 reglas de Orodel manejo de laevidencia digital.
Lo que finalmente se buscaes ser lo menos intrusivo
posible.
Pero tenga en cuenta elprincipio cientfico: Solo
el hecho de observar algo,de alguna manera lo
cambia
22/10/2011 Daniel Torres Falkonert (c) 201124
8/2/2019 Sesin 3 - Introduccin a la informatica forense
13/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Flujo-grama de
escalamiento
Fundamental en elentorno corporativo
Permite saber cmo sedebe reaccionar ante unincidente y a quines sedebe llamar
22/10/2011 Daniel Torres Falkonert (c) 201125
I nvesti gado r Ger en te
22/10/2011 Daniel Torres Falkonert (c) 201126
8/2/2019 Sesin 3 - Introduccin a la informatica forense
14/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Si no sabe qu hacer pidaayuda a algn experto.
No IMPROVISE con losprocedimientos.
Recoleccin de la Evidencia
Recoleccin de la Evidencia
No es siempre es posibletener los sistemasinvolucrados en ellaboratorio.
Duplicado forense
Espacio Utilizado
Espacio Disponible
Espacio no utilizado
Espacio Slack No toda la informacin que
se examine y/o recolectenecesita ser admisible
8/2/2019 Sesin 3 - Introduccin a la informatica forense
15/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
El disco duro
Es el Data Center delComputador
Es donde por lo generalse encuentra la mayorcantidad de evidenciadigital.
22/10/2011 Daniel Torres Falkonert (c) 201129
Imagen Tomada de wikipedia
30
Geometra del discoEst compuesto de:
Parte fsica:
r/w Heads Platters
Parte Lgica
A. TrackB. Sectores (Generalmente 512
Bytes)C. CilindroD. Cluster (Windows) o bloques
(Unix) (unin de sectorescontiguos)
Imagen Tomada de wikipedia
8/2/2019 Sesin 3 - Introduccin a la informatica forense
16/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
31
Geometra del discoSistema CHS
Utilizando el siguiente sistema de Coordenadas podemosposicionarnos donde deseemos:
(Cilinder, Head, Sector)
MaxCapacity = (sector size) x (sectors per track) x (cylinders) x (heads)
Nota: Actualmente, las tecnologas modernas de discos duros utilizan su propiosistema de posicionamiento internamente, esto depende de cadafabricante. Sin embargo, para mantener compatibilidad el dispositivoTraduce sus coordenadas al sistema estndar.
32
Geometra del discoExiste otro sistema de posicionamiento
LBA (Logical Block Addressing).
Surgi por la necesidad de aumentar la capacidad dedireccionamiento.
Es una extensin de CHS, solo que aade un paso
adicional de traduccin Ahora a cada sector le corresponde un nmero nico
8/2/2019 Sesin 3 - Introduccin a la informatica forense
17/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Interfaces y mtodos de acceso
ATA
IDE, EIDE, ATAPI, SATA
SCSI
Firewire 400/800 - IEEE1394 (A & B)
USB
Fibra ptica
22/10/2011 Daniel Torres Falkonert (c) 201133
RAID: Redundant Array of
Inexpensive Devices
Cada vez ms comnencontrar sistemas queusan RAID
Proveen incrementos endesempeo y toleranciaa fallos.
RAID 0, 1 y 5 son losms comunes
22/10/2011 Daniel Torres Falkonert (c) 201134
8/2/2019 Sesin 3 - Introduccin a la informatica forense
18/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
RAID 0
La informacin sedistribuye a travs delos diferentes mediosconectados
Ofrece un Desempeosuperior en L/E
No tiene tolerancia afallos (Si se daa un
disco se pierde todo)
22/10/2011 Daniel Torres Falkonert (c) 201135
RAID 1
Se crea una copiaexacta de un conjuntode datos a travs de losmedios conectados
No hay mejora en eldesempeo en laescritura, pero s en lalectura
22/10/2011 Daniel Torres Falkonert (c) 201136
8/2/2019 Sesin 3 - Introduccin a la informatica forense
19/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
RAID 5
Distribuye los datos y laparidad a travs de losdiferentes medios.
Mejoras en eldesempeo de L/E
Provee una mejorrelacin entre espaciode almacenamiento y
tolerancia a fallos
22/10/2011 Daniel Torres Falkonert (c) 201137
Materiales de primera respuesta
Sobres de varios tamaos Cinta para etiquetas Bolsas para evidencia Bolsas antiestticas Bolsas de basura grandes Cosedora Cajas de diferentes tamaos Cmara digital Caja de herramientas para
computadores Multi-toma Extensin
Bandas antiestticas Grabadora de Audio Linterna Lupa Papel de dibujo Regla y Metro Marcadores permanentes Tiza y/o Crayolas Guantes de latex
Formatos impresos Cables de red Herramientas de informtica
forense
22/10/2011 Daniel Torres Falkonert (c) 201138
8/2/2019 Sesin 3 - Introduccin a la informatica forense
20/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Las Herramientas Forenses
Juegan un papel claveen el proceso deadquisicin y anlisis dela evidencia
Deben estardebidamentecertificadas, legalizadasy reconocidas
22/10/2011 Daniel Torres Falkonert (c) 201139
Forensic Soundness
Manejo robusto deerrores de lectura
La aplicacin no debecambiar de ningunamanera el medio original
Debe producir resultadosreproducibles yverificables por unatercera persona.
Debe dejar un registro(log) de todas lasoperaciones que realice.
22/10/2011 Daniel Torres Falkonert (c) 201140
8/2/2019 Sesin 3 - Introduccin a la informatica forense
21/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Existe una metodologa
22/10/2011 Daniel Torres Falkonert (c) 201141
Herramientas Forenses
Contar con un inventariodisponible de discosduros de diferentescapacidades y medios dealmacenamiento no re-escribibles (CD, DVD)
Bloqueadores de escrituracon soporte paradiferentes tipos de discos
Herramientas para sacarImgenes forenses (SW oHW)
22/10/2011 Daniel Torres Falkonert (c) 201142
8/2/2019 Sesin 3 - Introduccin a la informatica forense
22/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Tip
Es importante que siempre se encuentrendisponibles medios esterilizados, es
decir, en un estado tal que nocontenga ningn tipo informacin (ni
fragmentos de ella) anterior a larecoleccin.
Esto con el fin de garantizar su integridady carcter original, y as no se correr
el riesgo que la evidencia seacontaminada con datos que se
encuentren de escrituras anteriores.
No es necesario que sean nuevos pero sideben tener las mismas
caractersticas de un medio que nohaya sido utilizado
22/10/2011 Daniel Torres Falkonert (c) 201143
Formatos
Formato del primer respondiente
Propsito
Tener un registro de cmo la primeroinformacin que se tiene del incidente
22/10/2011 Daniel Torres Falkonert (c) 201144
8/2/2019 Sesin 3 - Introduccin a la informatica forense
23/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Formatos
Informacin detallada del dispositivo
Proposito:
Tener informacin detallada deldispositivo que sirva comocomplemento a la cadena de custodia.
No es un requisito legal
Muy til para la fase de anlisis
Es un documento interno
22/10/2011 Daniel Torres Falkonert (c) 201145
Fromatos
Entrega de dispositivos contenedoresde evidencia
Proposito:
Es un acta de entrega de undispositivo.
Se utiliza ms en investigacionesprivadas.
22/10/2011 Daniel Torres Falkonert (c) 201146
8/2/2019 Sesin 3 - Introduccin a la informatica forense
24/25
Introduccin a la Computacin Forense 10/22/20
Daniel Torres Falkonert (c) 2011
Formatos
Cadena de custodia
Propsito:
Llevar un registro
Todo movimiento de laevidencia debe quedardocumentado
Encontrar responsables dealteracin de la evidencia
Debe iniciarse en elmomento que se llega al sitiodel incidente
Es un requisito legal
22/10/2011 Daniel Torres Falkonert (c) 201147
22/10/2011 Daniel Torres Falkonert (c) 201148
8/2/2019 Sesin 3 - Introduccin a la informatica forense
25/25
Introduccin a la Computacin Forense 10/22/20
22/10/2011 Daniel Torres Falkonert (c) 201149
Daniel Torres Falkonert (c) 201150
Preguntas
22/10/2011
Recommended