Informatica Forence

Download Report

Transcript Informatica Forence

Informática Forense

William Ivan Alejandro Llanos Torrico www.llanos.org

Dispositivos de almacenamiento

Los datos nos se borran completamente

Etimología

El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado” Fuente: http://buscon.rae.es/draeI

Definición y objetivo

La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada.

Definición

La informática forense en una ciencia que involucra: la ubicación recuperación preservación, identificación, extracción, documentación interpretación y presentación de datos que han sido procesados electrónicamente y guardos en un medio computacional con fines legales.

Quiénes usan la Informática Forense?

• Jueces y fiscales (materia penal) • Jueces (materia civil) • Compañias de seguro • Corporaciones privadas • Policías • Personas particulares

Requerimiento de forenses informáticos

Escena del crimen

Escena del crimen

RFC 3227

Guía para la recolección y almacenamiento de evidencias Las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa.

Las circunstancias varían en función de muchas características: - Los sistemas operativos involucrados.

Donde se encuentra la información.

- Las consecuencias legales.

- Que herramientas utilizamos para la toma de información Esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe.

Requerimientos

• Hardware – Familiaridad con dispositivos internos y externos de un computador – Profundo conocimiento de discos duros y configuraciones – Conocimiento de tarjetas madre y configuración de chips – Conexiones de alimentación – Memorias • BIOS – Entender cómo funcina el BIOS – Familiaridad con varios tipos de configuración y limitaciones de BIOS

Requerimietos

(cont)

• Sistemas Operativos – Windows 3.1/95/98/ME/NT/2000/2003/XP – DOS – MAC – LINUX • Software – Familiaridad con la mayoría de los paquetes comerciales populares • Herramientas forenses – Familiaridad con las técnicas forenses

Pasos a seguir 1/28 Inventario

Pasos a seguir 2/28 Fotografiar los equipos

Pasos a seguir 3/28 Fotografiar las conexiones

Pasos a seguir 4/28 Fotografiar pantallas

Pasos a seguir 5/28 Recolección de información volátil 1. date and time RFC 3227

Pasos a seguir 6/28 Recolección de información volátil 2. netstat -na Conexiones activas

Pasos a seguir 7/28 Recolección de información volátil 3. ipconfig /all Configuración de red

Pasos a seguir 8/28 Recolección de información volátil 4. systeminfo Información del sistema

Pasos a seguir 9/28 Recolección de información volátil 5. doskey /history Histórico de comandos

Pasos a seguir 10/28 Recolección de información volátil 5. psloggedon.exe

Usuarios logueados al sistema

Pasos a seguir 11/28 Recolección de información volátil 5. pslist.exe

Procesos corriendo

Pasos a seguir 12/28 Desconectar la conectividad

Pasos a seguir 13/28 Guardar la evidencia

Pasos a seguir 14/28 Proteger la cadena de custodia

¿ Qués es la evidencia ?

¿ Cómo se la obtuvo ?

¿ Cuando fue obtenida ?

¿ Quién la obtuvo ?

¿ Donde viajo y donde fue guardada ?

Pasos a seguir 15/28 Adquisición/preservación de la evidencia por HW www.tableau.com

Pasos a seguir 16/28 Adquisición/preservación de la evidencia por SW

Pasos a seguir 17/28 Autenticación de la evidencia

¿ Qué es un Hash ?

Método para generar una firma que represente de manera unívoca a un archivo.

Algunos algoritmos criptográficos usados: MD5 o SHA-1.

- Gran cantidad de programas, como md5sum o md5deep.

- http://www.forensicswiki.org/index.php?title=Hashing ¿ Para qué sirve ?

- Verificar que la evidencia no se ha modificado.

Identificar unívocamente a un archivo.

Realizar búsquedas de Hashes.

Pasos a seguir 18/28 Identificación

Datos que serán recuperados y herramientas que serán utilizadas NO SE EMPIEZA una análisis explorando archivos al azar

Pasos a seguir 19/28 Análisis de la papelera de reciclaje

¿ Cómo funciona la Papelera de Reciclaje ?

• Directorio oculto “RECYCLER”.

• Directorios con el SID de cada usuario.

• Posee un archivo oculto llamado INFO2.

¿ Dónde se guarda el archivo INFO2 ?

• Windows 95/98/ME c:\Recycled\INFO2 • Windows NT/2k/XP/2k3/V c:\Recycler\ http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip

Pasos a seguir 19/28 Análisis de la papelera de reciclaje

“cd RECYCLER” “dir /ah”

Pasos a seguir 20/28 Análisis de metadatos

Documentos, tales como, Word, Excel, Powerpoint, etc.

Contienes información sensible a la hora de realizas análisis.

Metavier, de PINPOINT es una aplicación gratuita que muestra los metatags que estan incrustrados dentro de estos archivos

Pasos a seguir 21/28 Análisis de archivos de intercambio

Internet explorer guarda una copia de las páginas visitadas en el disco duro.

Se puede borrar el cache de disco desde el propio Internet Explorer.

El problema es que esta opción borra todo el contenido del historial de internet (los archivos html , los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat.

Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema Desde el DOS C:\Documents and Settings\user_name\ onfiguración local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\historial.txt

Pasos a seguir 22/28 Análisis de periféricos

Cada que se ponde un dispositivo USB queda registrado

http://www.nirsoft.net/utils/usb_devices_view.html

Pasos a seguir 23/28 FD, CD, DVD

Pasos a seguir 24/28 Passwords

Métodos de ocultamiento 25/28

Cambiar los nombres y extensiones de archivos por ejemplo

renombrar un archivo .doc a .dll

Firmas de archivo

Métodos de ocultamiento 25/28 (cont)

Encriptación

: La información no está oculta, no se puede entender h o l a I p m b

Pasos a seguir 25/28 Esteganografía

Métodos de detección y recuperación

• • •

Stegoanálisis Criptología Software

Análisis Forense de otros dispositivos 26/28

Análisis Forense de otros dispositivos 26/28

Evaluación 27/28

Datos que serán utilizados ?

Razones para la evidencia

• Rastreo de hábitos de Internet • Fraude • Extorsión • Espionaje Industrial • Posesión de pornografía • Investigaciones de SPAM • Distribución de virus • Investigación de homicidios • Propiedad intelectual • Hábitos sexuales • Piratería de software

La prueba informáti ca

• Registros (de sesión) y otra evidencia de intrusión de una red • Software pirata • Pornografía y otras imágenes.

• Documentos normales, cartas,notas • Correo electrónico, fax y otra correspondencia electrónicamente transmitida • Información financiera y transacciones

La prueba informática

• Lista de clientes, víctimas, socios • Archivos cache (memoria intermedia) • Cookies de Internet y sitios visitados.

• Datos personales o de la compañía protegidos con contraseña • Datos borrados o escondidos

La prueba informática Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es más difícil el desafío de obtenerla que el testimonio de testigos u otros tipos de evidencia

.

La prueba informática Frecuentemente el descubrimiento y presentación de la evidencia computacional puede traer investigaciones o preguntas además de las sugerencias y conclusiones exitosas

Presentación 28/28

A bogados, no técnicos, relación con la legislación

Manejo de la evidencia

• Admisibilidad de la evidencia – La Ley determina qué evidencia potencial puede ser considerada en la Corte – Debe ser obtenida de una forma que asegure la autenticidad y validez • No se puede utilizar evidencia dañada, destruida o modificada, o comprometida por procesos de búsquedas • Se debe prevenir la introducción de virus en el proceso de análisis • La evidencia extraída debe ser apropiadamente manejada y protegida de daños físcos o electromagnéticos

Anti-Forense

• Software que limita o corrompe la evidencia • Distorción u ocultamiento de información

Peritos y no peritos

• No se encuentran o recuperan los datos borrados • No se recuperan las contraseñas de protección de datos • No se encuentran o recuperan los datos ocultos • Pérdida o corrupción de datos • Colapso total de la computadora • Asegurar la admisibilidad de los datos en juicio

Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informáticos es una práctica casi obligatoria en el ámbito internacional

Experto vs. Forense

Existe una gran diferencia entre el forense informático de un experto en informática, como lo es un médico de un médico forense

Experto vs. Forense

Ingeniería de Software Ingeniería inversa No resolver problema operativo Explicar la causa y el por qué

Atacando la evidencia El primer método de ataque por la otra parte es intentar prevenir la introducción de esa evidencia atacando al examinador

Atacando la evidencia Dónde se formó? Qué experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez compartió el software con alguien que no fue autorizado para usar ese software?

Para finalizar Existen herramientas de HW y SW para el análisis forense informático, sin embargo es necesaria y obligatoria la formación complementaria de los profesionales informáticos.

G R A C I A S

www.llanos.org