Transcript Informatica Forence
Informática Forense
William Ivan Alejandro Llanos Torrico www.llanos.org
Dispositivos de almacenamiento
Los datos nos se borran completamente
Etimología
El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado” Fuente: http://buscon.rae.es/draeI
Definición y objetivo
La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada.
Definición
La informática forense en una ciencia que involucra: la ubicación recuperación preservación, identificación, extracción, documentación interpretación y presentación de datos que han sido procesados electrónicamente y guardos en un medio computacional con fines legales.
Quiénes usan la Informática Forense?
• Jueces y fiscales (materia penal) • Jueces (materia civil) • Compañias de seguro • Corporaciones privadas • Policías • Personas particulares
Requerimiento de forenses informáticos
Escena del crimen
Escena del crimen
RFC 3227
Guía para la recolección y almacenamiento de evidencias Las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa.
Las circunstancias varían en función de muchas características: - Los sistemas operativos involucrados.
Donde se encuentra la información.
- Las consecuencias legales.
- Que herramientas utilizamos para la toma de información Esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe.
Requerimientos
• Hardware – Familiaridad con dispositivos internos y externos de un computador – Profundo conocimiento de discos duros y configuraciones – Conocimiento de tarjetas madre y configuración de chips – Conexiones de alimentación – Memorias • BIOS – Entender cómo funcina el BIOS – Familiaridad con varios tipos de configuración y limitaciones de BIOS
Requerimietos
(cont)
• Sistemas Operativos – Windows 3.1/95/98/ME/NT/2000/2003/XP – DOS – MAC – LINUX • Software – Familiaridad con la mayoría de los paquetes comerciales populares • Herramientas forenses – Familiaridad con las técnicas forenses
Pasos a seguir 1/28 Inventario
Pasos a seguir 2/28 Fotografiar los equipos
Pasos a seguir 3/28 Fotografiar las conexiones
Pasos a seguir 4/28 Fotografiar pantallas
Pasos a seguir 5/28 Recolección de información volátil 1. date and time RFC 3227
Pasos a seguir 6/28 Recolección de información volátil 2. netstat -na Conexiones activas
Pasos a seguir 7/28 Recolección de información volátil 3. ipconfig /all Configuración de red
Pasos a seguir 8/28 Recolección de información volátil 4. systeminfo Información del sistema
Pasos a seguir 9/28 Recolección de información volátil 5. doskey /history Histórico de comandos
Pasos a seguir 10/28 Recolección de información volátil 5. psloggedon.exe
Usuarios logueados al sistema
Pasos a seguir 11/28 Recolección de información volátil 5. pslist.exe
Procesos corriendo
Pasos a seguir 12/28 Desconectar la conectividad
Pasos a seguir 13/28 Guardar la evidencia
Pasos a seguir 14/28 Proteger la cadena de custodia
¿ Qués es la evidencia ?
¿ Cómo se la obtuvo ?
¿ Cuando fue obtenida ?
¿ Quién la obtuvo ?
¿ Donde viajo y donde fue guardada ?
Pasos a seguir 15/28 Adquisición/preservación de la evidencia por HW www.tableau.com
Pasos a seguir 16/28 Adquisición/preservación de la evidencia por SW
Pasos a seguir 17/28 Autenticación de la evidencia
¿ Qué es un Hash ?
Método para generar una firma que represente de manera unívoca a un archivo.
Algunos algoritmos criptográficos usados: MD5 o SHA-1.
- Gran cantidad de programas, como md5sum o md5deep.
- http://www.forensicswiki.org/index.php?title=Hashing ¿ Para qué sirve ?
- Verificar que la evidencia no se ha modificado.
Identificar unívocamente a un archivo.
Realizar búsquedas de Hashes.
Pasos a seguir 18/28 Identificación
Datos que serán recuperados y herramientas que serán utilizadas NO SE EMPIEZA una análisis explorando archivos al azar
Pasos a seguir 19/28 Análisis de la papelera de reciclaje
¿ Cómo funciona la Papelera de Reciclaje ?
• Directorio oculto “RECYCLER”.
• Directorios con el SID de cada usuario.
• Posee un archivo oculto llamado INFO2.
¿ Dónde se guarda el archivo INFO2 ?
• Windows 95/98/ME c:\Recycled\INFO2 • Windows NT/2k/XP/2k3/V c:\Recycler\
Pasos a seguir 19/28 Análisis de la papelera de reciclaje
“cd RECYCLER” “dir /ah”
Pasos a seguir 20/28 Análisis de metadatos
Documentos, tales como, Word, Excel, Powerpoint, etc.
Contienes información sensible a la hora de realizas análisis.
Metavier, de PINPOINT es una aplicación gratuita que muestra los metatags que estan incrustrados dentro de estos archivos
Pasos a seguir 21/28 Análisis de archivos de intercambio
Internet explorer guarda una copia de las páginas visitadas en el disco duro.
Se puede borrar el cache de disco desde el propio Internet Explorer.
El problema es que esta opción borra todo el contenido del historial de internet (los archivos html , los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat.
Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema Desde el DOS C:\Documents and Settings\user_name\ onfiguración local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\historial.txt
Pasos a seguir 22/28 Análisis de periféricos
Cada que se ponde un dispositivo USB queda registrado
http://www.nirsoft.net/utils/usb_devices_view.html
Pasos a seguir 23/28 FD, CD, DVD
Pasos a seguir 24/28 Passwords
Métodos de ocultamiento 25/28
–
Cambiar los nombres y extensiones de archivos por ejemplo
renombrar un archivo .doc a .dll
Firmas de archivo
Métodos de ocultamiento 25/28 (cont)
–
Encriptación
: La información no está oculta, no se puede entender h o l a I p m b
Pasos a seguir 25/28 Esteganografía
Métodos de detección y recuperación
• • •
Stegoanálisis Criptología Software
Análisis Forense de otros dispositivos 26/28
Análisis Forense de otros dispositivos 26/28
Evaluación 27/28
Datos que serán utilizados ?
Razones para la evidencia
• Rastreo de hábitos de Internet • Fraude • Extorsión • Espionaje Industrial • Posesión de pornografía • Investigaciones de SPAM • Distribución de virus • Investigación de homicidios • Propiedad intelectual • Hábitos sexuales • Piratería de software
La prueba informáti ca
• Registros (de sesión) y otra evidencia de intrusión de una red • Software pirata • Pornografía y otras imágenes.
• Documentos normales, cartas,notas • Correo electrónico, fax y otra correspondencia electrónicamente transmitida • Información financiera y transacciones
La prueba informática
• Lista de clientes, víctimas, socios • Archivos cache (memoria intermedia) • Cookies de Internet y sitios visitados.
• Datos personales o de la compañía protegidos con contraseña • Datos borrados o escondidos
La prueba informática Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es más difícil el desafío de obtenerla que el testimonio de testigos u otros tipos de evidencia
.
La prueba informática Frecuentemente el descubrimiento y presentación de la evidencia computacional puede traer investigaciones o preguntas además de las sugerencias y conclusiones exitosas
Presentación 28/28
A bogados, no técnicos, relación con la legislación
Manejo de la evidencia
• Admisibilidad de la evidencia – La Ley determina qué evidencia potencial puede ser considerada en la Corte – Debe ser obtenida de una forma que asegure la autenticidad y validez • No se puede utilizar evidencia dañada, destruida o modificada, o comprometida por procesos de búsquedas • Se debe prevenir la introducción de virus en el proceso de análisis • La evidencia extraída debe ser apropiadamente manejada y protegida de daños físcos o electromagnéticos
Anti-Forense
• Software que limita o corrompe la evidencia • Distorción u ocultamiento de información
Peritos y no peritos
• No se encuentran o recuperan los datos borrados • No se recuperan las contraseñas de protección de datos • No se encuentran o recuperan los datos ocultos • Pérdida o corrupción de datos • Colapso total de la computadora • Asegurar la admisibilidad de los datos en juicio
Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informáticos es una práctica casi obligatoria en el ámbito internacional
Experto vs. Forense
Existe una gran diferencia entre el forense informático de un experto en informática, como lo es un médico de un médico forense
Experto vs. Forense
Ingeniería de Software Ingeniería inversa No resolver problema operativo Explicar la causa y el por qué
Atacando la evidencia El primer método de ataque por la otra parte es intentar prevenir la introducción de esa evidencia atacando al examinador
Atacando la evidencia Dónde se formó? Qué experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez compartió el software con alguien que no fue autorizado para usar ese software?
Para finalizar Existen herramientas de HW y SW para el análisis forense informático, sin embargo es necesaria y obligatoria la formación complementaria de los profesionales informáticos.
G R A C I A S
www.llanos.org