Análisis forense en sistemas informáticos

Download Report

Transcript Análisis forense en sistemas informáticos

Luis Villalta Márquez
Análisis forense en sistemas
informáticos



Es la investigación y análisis detallado y minucioso de cualquier
dispositivo electrónico (ordenadores, teléfonos, agendas PDA,
servidores corporativos, etc..) para la obtención de pruebas
admisibles judicialmente o de información relevante para
negociaciones internas.
El objetivo del análisis es la identificación de indicios y
certificación de hechos realizados a través de los mismos. En
situaciones de conflicto, este servicio da respuesta al qué, quién,
cuándo, dónde y cómo se ha cometido un determinado fraude,
ilícito o delito.
Debido a la arquitectura de los sistemas operativos actuales,
donde el rendimiento prevalece sobre la seguridad de la
información, un experto informático forense puede recuperar
archivos o fragmentos que previamente el usuario había borrado
o modificado. El aumento exponencial del tamaño de las
unidades de almacenamiento permite a los expertos forenses
recuperar ficheros borrados o manipulados con meses e incluso
años de antigüedad.






Identificación: Describe el método por el cual el
investigador es notificado sobre un posible incidente.
Preservación: Mecanismos utilizados para el correcto
mantenimiento de evidencia. Importante para acciones
legales posteriores.
Colección: Involucra técnicas y métodos específicos
utilizados en la recolección de evidencia.
Examinación: Trata las herramientas y técnicas utilizadas
para examinar los datos recolectados y extraer evidencia a
partir de ellos.
Análisis: Refiere a los elementos involucrados en el
análisis de la evidencia recolectada.
Presentación Herramientas y técnicas utilizadas para
presentar las conclusiones del investigador ante una corte
u organismo.
Análisis forense en sistemas
informáticos
1.
2.
3.
El proceso de identificar, preservar, analizar y
presentar las evidencias digitales de una manera
que sea aceptable legalmente en cualquier vista
judicial o administrativa. Es decir recupera datos
utilizando las reglas de evidencia.
Implica obtener y analizar información digital para
conseguir evidencias en casos administrativos,
civiles o criminales.
Implica examinar y analizar científicamente datos
de medios de almacenamiento de computadores
para que dichos datos puedan utilizarse como
evidencias digitales en los juzgados.
4.
5.
Aplicación de método científico para medios de
almacenamiento digital para establecer información
basada en los hechos para revisión judicial.
Implica preservar, identificar, extraer, documentar e
interpretar medios de almacenamiento de computador
en busca de evidencias y/o análisis de la causa raíz. Se
utilizan diversos métodos como:




Descubrir datos en un sistema de computación.
Recuperar información de ficheros borrados, cifrados o dañados.
Monitorizar la actividad habida.
Detectar violaciones de la política corporativa. La información
recogida permite el arresto, la persecución, el despido del
empleado y la prevención de actividad ¡legal futura. Una
evidencia digital es cualquier información que puede estar o no
sujeta a intervención humana que puede extraerse de un
computador, debe estar en formato leíble por las personas y
capaz de ser interpretado por una persona con experiencia en el
tema.
Análisis forense en sistemas
informáticos
La Evidencia Digital, es todo aquel elemento que pueda
almacenar información de forma física o lógica que pueda
ayudar a esclarecer un caso. Pueden formar parte:
 Discos rígidos
 Archivos temporales
 Espacios no asignados en el disco
 Diskettes, Cd-rom, Dvd, Zip, etc.
 Pendrives
 Cámaras digitales
 Backups
 Conexiones de Red
 Procesos
 Usuarios conectados
 Configuraciones de red
 Discos




Testimonio Humano
Evidencias Físicas
Evidencias de Red
Evidencias de Host
Análisis forense en sistemas
informáticos
Existen una gran cantidad de herramientas para recuperar
evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:






La gran cantidad de datos que pueden estar almacenados
en un computador.
La variedad de formatos de archivos, los cuales pueden
variar, aún dentro del contexto de un mismo sistema
operativo.
La necesidad de recopilar la información de una manera
exacta, y que permita verificar que la copia es exacta.
Limitaciones de tiempo para analizar toda la información.
Facilidad para borrar archivos de computadores.
Mecanismos de encriptación, o de contraseñas.



Herramientas para el Monitoreo de Redes y Ordenadores.
Herramientas de Marcado de documentos.
Herramientas de Hardware.
Ejemplos de Herramientas para realizar análisis forense
Herramientas utilizadas en el ámbito de la informática
forense para la recuperación de datos borrados o recolección
de evidencia digital.






Outport
AIRT (Advanced incident response tool
Foremost
WebJob
HashDig
Md5deep