View
269
Download
1
Category
Preview:
Citation preview
Informática Forense
William Ivan Alejandro Llanos Torrico
www.llanos.org
Dispositivos de almacenamiento
Los datos nos se borran completamente
Etimología
Fuente: http://buscon.rae.es/draeI
El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado”
La Informática Forense es una disciplina criminalística que
tiene como objeto la investigación en sistemas informáticos
de hechos con relevancia jurídica o para la simple
investigación privada.
Definición y objetivo
Definición
La informática forense en una ciencia que involucra:
- la ubicación- recuperación- preservación,- identificación,- extracción,- documentación- interpretación y
- presentación de datos que han sido procesados electrónicamente y
guardos en un medio computacional con fines legales.
Quiénes usan la Informática Forense?
• Jueces y fiscales (materia penal)
• Jueces (materia civil)
• Compañias de seguro
• Corporaciones privadas
• Policías
• Personas particulares
Requerimiento de forenses informáticos
Escena del crimen
Escena del crimen
RFC 3227
Las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa.
Las circunstancias varían en función de muchas características:
- Los sistemas operativos involucrados.- Donde se encuentra la información.- Las consecuencias legales.- Que herramientas utilizamos para la toma de información
Guía para la recolección y almacenamiento de evidencias
Esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe.
Requerimientos• Hardware
– Familiaridad con dispositivos internos y externos de un computador
– Profundo conocimiento de discos duros y configuraciones
– Conocimiento de tarjetas madre y configuración de chips
– Conexiones de alimentación– Memorias
• BIOS– Entender cómo funcina el BIOS– Familiaridad con varios tipos de configuración y
limitaciones de BIOS
Requerimietos (cont)
• Sistemas Operativos– Windows 3.1/95/98/ME/NT/2000/2003/XP– DOS– MAC– LINUX
• Software– Familiaridad con la mayoría de los
paquetes comerciales populares
• Herramientas forenses– Familiaridad con las técnicas forenses
Pasos a seguir 1/28Inventario
Pasos a seguir 2/28Fotografiar los equipos
Pasos a seguir 3/28Fotografiar las conexiones
Pasos a seguir 4/28Fotografiar pantallas
Pasos a seguir 5/28Recolección de información volátil1. date and time
RFC 3227
Pasos a seguir 6/28Recolección de información volátil2. netstat -na
Conexiones activas
Pasos a seguir 7/28Recolección de información volátil3. ipconfig /all
Configuración de red
Pasos a seguir 8/28Recolección de información volátil4. systeminfo
Información del sistema
Pasos a seguir 9/28Recolección de información volátil5. doskey /history
Histórico de comandos
Pasos a seguir 10/28Recolección de información volátil5. psloggedon.exe
Usuarios logueados al sistema
Pasos a seguir 11/28Recolección de información volátil5. pslist.exe
Procesos corriendo
Pasos a seguir 12/28Desconectar la conectividad
Pasos a seguir 13/28Guardar la evidencia
Pasos a seguir 14/28Proteger la cadena de custodia
- ¿ Qués es la evidencia ?- ¿ Cómo se la obtuvo ?- ¿ Cuando fue obtenida ?- ¿ Quién la obtuvo ?- ¿ Donde viajo y donde fue guardada ?
Pasos a seguir 15/28Adquisición/preservación de la evidencia por HW
www.tableau.com
Pasos a seguir 16/28Adquisición/preservación de la evidencia por SW
Pasos a seguir 17/28Autenticación de la evidencia
¿ Qué es un Hash ?- Método para generar una firma que represente de manera unívoca a un archivo.- Algunos algoritmos criptográficos usados: MD5 o SHA-1.- Gran cantidad de programas, como md5sum o md5deep.- http://www.forensicswiki.org/index.php?title=Hashing¿ Para qué sirve ?- Verificar que la evidencia no se ha modificado.- Identificar unívocamente a un archivo.- Realizar búsquedas de Hashes.
Datos que serán recuperados y herramientas que serán utilizadas
Pasos a seguir 18/28Identificación
NO SE EMPIEZA una análisis explorando archivos al azar
¿ Cómo funciona la Papelera de Reciclaje ?• Directorio oculto “RECYCLER”.• Directorios con el SID de cada usuario.• Posee un archivo oculto llamado INFO2.
¿ Dónde se guarda el archivo INFO2 ?• Windows 95/98/ME c:\Recycled\INFO2• Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2>
Pasos a seguir 19/28Análisis de la papelera de reciclaje
http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip
Pasos a seguir 19/28Análisis de la papelera de reciclaje
- “cd RECYCLER”- “dir /ah”
Pasos a seguir 20/28Análisis de metadatosDocumentos, tales como, Word, Excel, Powerpoint, etc.Contienes información sensible a la hora de realizas análisis.Metavier, de PINPOINT es una aplicación gratuita que muestra los metatags queestan incrustrados dentro de estos archivos
Pasos a seguir 21/28Análisis de archivos de intercambio
Internet explorer guarda una copia de las páginas visitadas en el disco duro.Se puede borrar el cache de disco desde el propio Internet Explorer.El problema es que esta opción borra todo el contenido del historial de internet (los archivos html, los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat.Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema Desde el DOSC:\Documents and Settings\user_name\onfiguración local\Historial\History.IE5>find /i "http://" index.dat | sort > C:\historial.txt
Pasos a seguir 22/28Análisis de periféricosCada que se ponde un dispositivo USB queda registrado
http://www.nirsoft.net/utils/usb_devices_view.html
Pasos a seguir 23/28FD, CD, DVD
Pasos a seguir 24/28Passwords
Métodos de ocultamiento 25/28
– Cambiar los nombres y extensiones de archivos por ejemplo renombrar un archivo .doc a .dll
Firmas de archivo
Métodos de ocultamiento 25/28 (cont)
– Encriptación: La información no está oculta, no se puede entender
h o l a
I p m b
Pasos a seguir 25/28Esteganografía
Métodos de detección y recuperación
• Stegoanálisis
• Criptología
• Software
Análisis Forense de otros dispositivos 26/28
Análisis Forense de otros dispositivos 26/28
Evaluación 27/28
Datos que serán utilizados ?
Razones para la evidencia• Rastreo de hábitos de Internet• Fraude• Extorsión• Espionaje Industrial• Posesión de pornografía• Investigaciones de SPAM• Distribución de virus• Investigación de homicidios• Propiedad intelectual• Hábitos sexuales• Piratería de software
La prueba informática
• Registros (de sesión) y otra evidencia de intrusión de una red
• Software pirata
• Pornografía y otras imágenes.
• Documentos normales, cartas,notas
• Correo electrónico, fax y otra correspondencia electrónicamente transmitida
• Información financiera y transacciones
La prueba informática
• Lista de clientes, víctimas, socios
• Archivos cache (memoria intermedia)
• Cookies de Internet y sitios visitados.
• Datos personales o de la compañía protegidos con contraseña
• Datos borrados o escondidos
La prueba informática
Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es más difícil el desafío de obtenerla que el testimonio de testigos u otros tipos de evidencia .
La prueba informática
Frecuentemente el descubrimiento y presentación de la evidencia computacional puede traer investigaciones o preguntas además de las sugerencias y conclusiones exitosas
Presentación 28/28
Abogados, no técnicos, relación con la legislación
Manejo de la evidencia• Admisibilidad de la evidencia
– La Ley determina qué evidencia potencial puede ser considerada en la Corte
– Debe ser obtenida de una forma que asegure la autenticidad y validez
• No se puede utilizar evidencia dañada, destruida o modificada, o comprometida por procesos de búsquedas
• Se debe prevenir la introducción de virus en el proceso de análisis
• La evidencia extraída debe ser apropiadamente manejada y protegida de daños físcos o electromagnéticos
Anti-Forense
• Software que limita o corrompe la evidencia
• Distorción u ocultamiento de información
Peritos y no peritos
• No se encuentran o recuperan los datos borrados
• No se recuperan las contraseñas de protección de datos
• No se encuentran o recuperan los datos ocultos
• Pérdida o corrupción de datos
• Colapso total de la computadora
• Asegurar la admisibilidad de los datos en juicio
Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informáticos es una práctica casi obligatoria en el ámbito internacional
Existe una gran diferencia entre el forense informático de un experto en informática, como lo es un médico de un médico forense
Experto vs. Forense
Ingeniería de SoftwareIngeniería inversa
No resolver problema operativoExplicar la causa y el por qué
Experto vs. Forense
El primer método de ataque por la otra parte es intentar prevenir la introducción de esa evidencia atacando al examinador
Atacando la evidencia
Dónde se formó? Qué experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez compartió el software con alguien que no fue autorizado para usar ese software?
Atacando la evidencia
Existen herramientas de HW y SW para el análisis forense informático, sin embargo es necesaria y obligatoria la formación complementaria de los profesionales informáticos.
Para finalizar
G R A C I A S
www.llanos.org
Recommended