TALLER SOBRE COMPUTO FORENSE
Ing. Atzimba G. López M.
TALLER SOBRE CÓMPUTO FORENSE
Objetivo del taller: describir los pasos necesarios para realizar un análisis forense, contemplando las cuestiones legales existentes. Realizar análisis forense a los diferentes equipos (móviles, servidores, laptops, escritorio, etc) que se encuentren comprometidos, o sean parte de alguna investigación; todo esto apegado a los lineamientos estándares y legales. Manejar algunas técnicas para la extracción de información de algún dispositivo que se encuentre bajo investigación.
Dias: del lunes 12 al viernes 16, agosto 2013Hora: 09:00 - 15:00
CÓMPUTO FORENSE Se refiere al proceso de aplicar técnicas
científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal.
El Análisis y Computación Forense permiten recolectar, preservar y analizar grandes volúmenes de datos e información, para corroborar o refutar los hechos y los alegatos de un caso.
ANÁLISIS FORENSE El análisis forense informático se aplica
una vez que tenemos un incidente o ataque y queremos investigar qué fue lo que pasó, quién fue y cómo fue
Responder a las preguntas W5: ¿Quién?¿Qué?¿Cuándo?¿Dónde?¿Por qué?
Reconstrucción de eventos
CIBER-CRIMEN Una acción ilícita o tipificada como
delito utilizando a propósito las TIC como medio o fin.
Legislación federalhttp://www.diputados.gob.mx/LeyesBiblio
Legislaciones estataleshttp://www.diputados.gob.mx/LeyesBiblio/g
obiernos.htm Legislación de Michoacán
http://celem.michoacan.gob.mx/celem/main.jsp?p_height=900
TIPOS DE INCIDENTES O ATAQUES Robo de propiedad intelectual Extorsión. Pornografía infantil. Fraude Distribución de virus. Estafa. Acceso no autorizado. Robo de servicios. Abuso de privilegios Denegación de Servicios Entre otros
ALGUNOS DE LOS ARTÍCULOS DEL CÓDIGO PENAL FEDERAL
TIPOS DE ANÁLISIS FORENSE Análisis de intrusión Evaluación de daños Investigación de sospechosos Análisis de herramientas Análisis de bitácoras Búsqueda de evidencia
PROCESO FORENSE
PRINCIPIO DE LOCARD Identificar evidencia Preservar evidencia Analizar evidencia Presentar evidencia
IDENTIFICAR EVIDENCIA Los equipos que pueden contener
evidencia, reconociendo la frágil naturaleza de los datos digitales
Identificar la información que se encuentra disponible.
Determinar la mejor forma de recolectarla.¿Qué tipo de información está disponible?¿Cómo la podemos “llevar” de forma
segura?.¿Qué puede formar parte de la evidencia?
TIPOS DE EVIDENCIA Evidencia transitoria
Temporal por naturaleza (RAM, registros, etc)
Evidencia curso o patrónProducidas por contacto (Archivos)
Evidencia condicionalCausadas por una acción o un evento en la
escena del crimen (bitacoras, cookies) Evidencia transferidas
Generalmente producidas por contacto entre personas y/o objetos. (correos, conversaciones)
EVIDENCIAPara que la evidencia sea admisible, debe ser: Suficiente
¿existe suficiente evidencia para convencer a una persona “razonable” de la validez de los hallazgos?
Relevante ¿tiene la evidencia una relación sensible y
lógica con el hallazgo? Competente
¿es la evidencia consistente con los hechos? ¿es válida? ¿se genera en el curso normal del negocio?
Y por supuesto, legalmente obtenida
PRESERVAR LA EVIDENCIA Se debe tratar de no realizar ningún cambio
sobre la misma. Se deben registrar y justificar todos los cambios. Realizar un by-pass del sistema operativo y
crear por “fuera” un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rígido o CD-ROM
Se debe realizar una documentación de todo el proceso de la generación de imágenes.
Se deben autenticar todos los archivos e imágenes utilizadas con obtención de huellas digitales
ANALIZAR LA EVIDENCIA Extraer, procesar e interpretar. La extracción puede obtener solo
imágenes binarias, que no son comprendidas por los humanos.
La evidencia se procesa para poder obtener información que entiendan los investigadores.
Para interpretar la evidencia se requiere conocimiento profundo para entender como embonan las piezas.
El análisis efectuado por el forense debe poder ser repetido.
PRESENTAR LA EVIDENCIA Abogados, fiscales, jurado, etc. La aceptación dependerá de factores como:
La forma de presentarla (¿se entiende?, ¿es convincente?)
El perfil y credibilidad de la persona que presenta la evidencia.
La credibilidad de los procesos usados para preservar y analizar la evidencia.
Aumenta si se pueden duplicar el proceso y los resultados.
Especialmente importante cuando la evidencia se presenta en una corte
DOCUMENTACIÓN DEL ANÁLISIS FORENSE Reporte Ejecutivo Reporte Técnico Catalogo de evidencias Enumeración de evidencias
Iniciales del investigadorFecha (ddmmyyyy)Número de equipo (nnn)Parte del equipo (aa)
SIETE PECADOS CAPITALES
1. Falla en reportar o pedir ayuda NO documentada.
2. Notas no completas o inexistentes3. Mal manejo de la evidencia4. Fallas en la creación de respaldos.5. Fallas en la erradicación o en la
contención.6. Fallas en la prevención de re-
infección.7. Fallas en aplicar las lecciones
aprendidas.
REQUERIMIENTOS DE UN INVESTIGADOR FORENSE DIGITAL Conocimiento técnico Conocer las implicaciones de sus acciones Entender como los datos pueden ser
modificados Ingenioso, mente abierta Ética muy alta Educación continua Siempre usa fuentes altamente
redundantes de datos para obtener sus conclusiones
Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir un incidente y encontrar evidencia, por tanto, sólo puede presentar posibilidades basadas en la información limitada que posee
LABORATORIO DE CÓMPUTO FORENSE El laboratorio debe ser seguro, de tal
forma que la evidencia no se pierda, corrompa o destruya.
Proporcionar un ambiente físico seguro Requerimientos mínimos.
Pequeño cuarto con paredes de piso a techo.
Acceso a través de una puerta con mecanismo de bloqueo.
Medios de almacenamiento seguros (físicos y digitales).
Bitácora de visitantes
LABORATORIO DE ANÁLISIS FORENSE (MEDIANO)
TÉCNICAS ANTI-FORENSESManipulación, eliminación y/o ocultamiento de pruebas para complicar o imposibilidad la efectivdad del análisis forense. Ejemplos:
Eliminación de informaciónBorrado seguro de archivosCifrado u ocultamiento (esteganografía)Alteración de archivos (cambio de nombre
y/o extensión).
CONTRAMEDIDAS DE ANTI-FORENSE Activación de logs de auditoría para
S.O., apps y dispositivos. Instlación de IDS’s (Intrusion Detection
Systems) Implementación de un equipo
concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas.
Sistemas de vigilancia Entre otros
HERRAMIENTAS Directory Snoop (FAT, NTFS)
http://www.briggsoft.com ThumbsPlus (Imagenes)
http://www.cerious.com WinHex y X-Ways
http://www.winhex.com Mount Image
http://www.mountimage.com LiveView
http://liveview.sourceforge.net/ Autopsy Forensic Browser
http://www.sleuthkit.org/autopsy
• Forensic Acquisition Utilitieshttp://gmgsystemsinc.com/fau/
• Encasehttp://www.guidancesoftware.com
• FTKhttp://www.accessdata.com/
• ProDiscover Forensics– http://www.techpathways.c
om/prodiscoverdft.htm
• Net Witnesswww.netwitness.com/
• Xplicohttp://www.xplico.org/
Top Related