Intro Forensia

Cmputo Forense Dr.
Roberto Gmez
Introduccin al Cmputo Forense
1
Introduccin al cmputo forense
Roberto Gmez Crdenas
ITESM CEM
Dr. Roberto Gmez Crdenas Lmina1
ITESM-CEM
rogomez@itesm.mx
http://homepage.cem.itesm.mx/rogomez
Definicin computo forense
Se refiere al proceso de aplicar tcnicas
cientficasyanalticasainfraestructurade cientficas y analticas a infraestructura de
cmputo, para identificar, preservar, analizar y
presentar evidencia de manera que sea aceptable
en un procedimiento legal.
Que clase de evidencia ?
Q
La computadora involucrada de forma directa.
La computadora involucrada de forma indirecta.
Meta: reconstruccin de eventos pasados
Cmputo Forense Dr. Roberto Gmez
2
Qu ofrece el anlisis forense?
El anlisis forense informtico se aplica una vez
quetenemosunincidenteyqueremosinvestigar que tenemos un incidente y queremos investigar
qu fue lo que pas, quin fue y cmo fue
Responder a las preguntas W5:
Quin?
Qu?
Cundo?
Dnde?
Por qu?
Reconstruccin de eventos
Por qu investigar?
Determinar
C t ? Cmo entr?
Qu daos cometio?
Informacin expuesta
Informacin robada
Informacin borrada
D
Daos a terceros
Deslindar responsabilidades
Apoyar al ministerio pblico
Saber exactamente qu paso!
3
Quin requiere del cmputo
forense?
La vctima!
P f i Personas fsicas
Personas morales
Gobierno
Los cuerpos policacos
Lascompaasdeseguros
Las compaas de seguros
El sistema legal
A qu se le puede hacer cmputo
forense?
Computadoras
PDA PDAs
Cmaras digitales
Discos duros externos
Memorysticks
Impresoras
Celulares
4
Algunas noticias
Ejemplos casos (i)
Agosto1986.- CasoIran-Contras
T C l Oli N h ibi Tte. Coronel Oliver North escribiunoscorreos
electrnicosquele involucrabanen el caso
Borrolos correosde suordenador
No se percatquese hacancopiasde respaldo
desusmensajes
de susmensajes
Los mensajesse recuperaronde los servidoresde
respaldo
5
Ejemplos casos (ii)
1991.- CasoGuttman
LaesposadeGuttmanaparecimuertaconunanotade La esposade Guttmanaparecimuertacon unanota de
suicidiosin firmar, escritapor ordenador con una
impresoramatricial
El ordenador de GuttmanNO contenarastrosdel
documento
Guttmantenaunaamante.
Se registrla casa de la amante.
Encontraronun disco flexible de 5 cortadoen pedazos
Se reconstruyfsicamenteel disco y se recuperaronlos
datoscon un programallamadoAnadisk
Evidencia
Certeza clara, manifiesta, de una cosa
Aquelloselementosquenosproporcionan Aquellos elementos que nos proporcionan
informacin, que nos permite soportar
conclusiones, hallazgos y recomendaciones.
La evidencia puede ser de varios tipos:
Directa
i i l
Circunstancial
Concluyente
Pericial
...
6
Evidencia
Para que la evidencia sea admisible, debe ser:
S fi i t i t fi i t id i Suficiente - existe suficiente evidencia para
convencer a una persona razonable de la validez de
los hallazgos?
Relevante - tiene la evidencia una relacin sensible
y lgica con el hallazgo?
C l id i i l
Competente - es la evidencia consistente con los
hechos? es vlida? se genera en el curso normal del
negocio?
Y por supuesto, legalmente obtenida
Evidencia digital
Evidencia digital o electrnica es MUY frgil.
Mantener laintegridaddelaescenadel crimen Mantener la integridad de la escena del crimen.
Datos admisibles ante un juez.
La evidenciavolatil esaquellaquedesaparecer
rpido, comoser conexionesactivasde red, procesos
en lamemoria, archivosabiertos, etc.
Lo quese haga, tcnicamentevaa afectar la evidencia.
oquese g , c c e ev ec ev de c .
Ejecutar el comandopsen UNIX sobreescribirpartesde la
memoria.
Se puedesobreescribir la historiade comandos.
Se puedenafectar lasfechasde accesoa los archivos.
Existeel riesgode programastroyanos y de rootkits.
7
Principio Heisenbergdel anlisis del
sistema.
Mundo real: imposible saber tanto el
momento como la ubicacin; examinando
uno afecta al otro
Computadoras: examinar o recolectar una
parte del sistema afectara a otros
componentesdel sistema Esimposible
componentes del sistema. Es imposible
capturar el sistema entero en cualquier
punto del tiempo.
Tipos de anlisis forense
Anlisis de intrusin
E l i d d Evaluacin de daos
Investigacin de sospechosos
Anlisis de herramientas
Anlisis de bitcoras
Bsqueda de evidencia
8
Anlisis de Intrusin
Quin logr entrar?
Q f l hi i ? Qu fue lo que hicieron?
Cundo ocurri el evento?
Adonde ms fueron?
Por qu escogieron el blanco?
Cmo realizaron esto?
Evaluacin de Daos
Qu pudo ver el intruso?
Q ll ? Qu se llevo?
Qu fue lo que dej detrs?
Adonde se fu?
9
Recuperacin de Archivos
Archivos borrados
A hi did Archivos escondidos
Slack space
Bloques daados
Esteganografa
X-Drives
Anlisis de Herramientas
Qu herramientas us el atacante?
C ili ? Cmo se utilizaron?
En que lenguaje estn escritas?
Comparacin de la herramienta vs. archivos del
sospechoso.
10
Anlisis de Bitcoras
Eventos
M it Monitoreo
Qu informacin se puede obtener?
FW/Router/Server?
Tripwire?
Modem/FTP/Telnet/Ras?
Modem/FTP/Telnet/Ras?
Bsqueda de Evidencia
Archivos de imgenes
S f Software
Archivos borrados
Archivos escondidos
Encriptados
Particiones escondidas
Palabras claves
Herramientas de acceso remoto
11
El proceso forense
Cuatro pasos
Identificar
evidencia
Preservar
evidencia
Analizar
evidencia
Presentar
evidencia
Identificar la evidencia
Los equipos que pueden contener evidencia,
reconociendolafrgil naturalezadelosdatos reconociendo la frgil naturaleza de los datos
digitales
Identificar la informacin que se encuentra
disponible.
Determinar lamejor formaderecolectarla.
Determinar la mejor forma de recolectarla.
Qutipode informacinestdisponible?
Cmola podemosllevar de forma segura?.
Qupuedeformar parte de la evidencia?
12
Dnde puede residir?
Discos rgidos.
Archivosde SWAP.
Archivostemporales.
Espaciono asignadoen el disco.
EspacioFile-Slack.
Memoriay procesosquese encuentranejecutando.
Diskettes, CD-ROMS, DVDs, ZIP, J azz, Tapes.
Archivosdebitcoras
Archivosde bitcoras
Respaldos
PDAs.
Memory Sticks.
Preservar la evidencia
Con la menor cantidad de cambios
(contaminacin) (contaminacin).
El forense debe poder demostrar su
responsabilidad en cualquier cambio que tenga la
evidencia.
Cmodemostrar queloquesetienecomo
Cmo demostrar que lo que se tiene como
evidencia es exactamente igual a lo que
originalmente se recolect
13
Puntos a considerar
Se debetratar de no realizar ningncambiosobrela
misma.
Se debenregistrar y justificar todoslos cambios.
Realizar un by-pass del sistemaoperativoy crear
por fuera un backup de todala evidencia.
Las copiasduplicadasdebenser escritasen otro
discorgidooCD-ROM
disco rgidoo CD-ROM.
Se deberealizar unadocumentacinde todoel
procesode la generacinde imgenes.
Se debenautenticar todoslos archivose imgenes
utilizadascon obtencinde huellasdigitales.
Orden de volatilidad
Registros Nanosegundos Registros Nanosegundos
Memoria principal Nanosegundos
Estado red Milisegundos
Procesos corriendo Segundos
Disco Minutos
Floppies, medios de respaldo, etc Aos

CD-ROMS, impresiones Decenas aos
14
Analizar la evidencia
Extraer, procesar e interpretar.
L t i d bt l i bi i La extraccin puede obtener solo imgenes binarias,
que no son comprendidas por los humanos.
La evidencia se procesa para poder obtener
informacin que entiendan los investigadores.
Para interpretar la evidencia se requiere
conocimientoprofundoparaentender comoembonan
conocimiento profundo para entender como embonan
las piezas.
El anlisis efectuado por el forense debe poder ser
repetido.
Presentar la evidencia
Abogados, fiscales, jurado, etc.
Laaceptacindependerdefactorescomo: La aceptacin depender de factores como:
La forma de presentarla (se entiende?, es
convincente?)
El perfil y credibilidad del expositor.
La credibilidad de los procesos usados para preservar
y analizar la evidencia.
Aumenta si se pueden duplicar el proceso y los resultados.
Especialmente importante cuando la evidencia se
presenta en una corte
15
Requerimientos investigador
forense digital
Conocimiento tcnico
Conocer lasimplicacionesdesusacciones Conocer las implicaciones de sus acciones
Entender como los datos pueden ser modificados
Ingenioso, mente abierta
Eticamuy alta
Educacincontinua
Educacin continua
Siempre usa fuentes altamente redundantes de
datos para obtener sus conclusiones.
Certificacin y entrenamiento
International Association of Computer
InvestigativeSpecialists(IACIS) Investigative Specialists (IACIS)
Creado por loa oficiales de polica que deseaban
formalizar credenciales en investigaciones
computacionales.
Certified Electronic Evidence Collection Specialist
(CEECS)
(CEECS)
Certified Forensic Computer Examiners (CFCEs)
http://www.iacis.com
16
Certificaciones
High-Tech Crime Network (HTCN)
CertifiedComputer CrimeInvestigator BasicandAdvanced Certified Computer Crime Investigator, Basic and Advanced
Level
Certified Computer Forensic Technician, Basic and
Advanced Level
EnCaseCertified Examiner (EnCE) Certification
ifi d i ( ) ifi i
AccessDataCertified Examiner (ACE) Certification
Otrosentrenamientosy certifcaciones
High Technology Crime Investigation Association
(HTCIA)
Otros entrenamientos y
certificaciones
SysAdmin, Audit, Network, Security (SANS) Institute
Computer Technology Investigators Network (CTIN)
NewTechnologies, Inc. (NTI)
Southeast CybercrimeInstituteat KennesawState
Southeast Cybercrime Institute at Kennesaw State
University
Federal Law Enforcement Training Center (FLETC)
National White Collar Crime Center (NW3C)
17
El laboratorio forense
La mayor parte de la investigacin se lleva a
caboenunlaboratorio cabo en un laboratorio.
El laboratorio debe ser seguro, de tal forma que
la evidencia no se pierda, corrompa o destruya.
Proporcionar un ambiente fsico seguro.
Llevar uncontrol deinventariodesusactivos
Llevar un control de inventario de sus activos.
Estar conscientes de cuando ordenar ms
suministros.
El laboratorio forense
Laboratorio de computo forense
Dondesevaallevar acabosuinvestigacin Donde se va a llevar a cabo su investigacin.
Almacenar evidencia.
Donde se quedar el equipo, hardware y software
La American Society of Crime Laboratory Directors
(ASCLD) , ofreceguassobre
Administracindeunlaboratorio
Administracinde un laboratorio.
Adquirir unacertificacinoficial.
Auditar funcionesy procedimientosdel laboratorio.
18
Requerimientos seguridad del
laboratorio
Facilidades seguridad.
Debepreservar laintegridaddelaevidencia Debe preservar la integridad de la evidencia.
Requerimientos mnimos.
Pequeo cuarto con paredes de piso a techo.
Acceso a travs de una puerta con mecanismo de bloqueo.
Contenedores seguros.
Bitcoradevisitantes
Bitcora de visitantes.
Gente trabajando juntas debe contar con el mismo nivel
de acceso.
Informar al staff acerca de las polticas de seguridad.
Conduciendo investigaciones de
alto riesgo
Investigaciones de alto riesgo requieren ms
seguridadquelosrequerimientosmnimosdeun seguridad que los requerimientos mnimos de un
laboratorio.
Instalaciones TEMPEST
A prueba de radiacin electromagnetica, (EMR).
Las instalaciones TEMPEST son caras
Posible usar estaciones de baja emanacin.
19
Contenedores de evidencia
Conocidos como lockersde evidencia.
Debenser losuficientementesegurosparaquepersonasno Deben ser lo suficientemente seguros para que personas no
autorizadas puede acceder a la evidencia.
Recomendaciones para asegurar contenedores de
almacenamiento.
Ubicarlos en un rea restringida.
Nmero limitado de personas autorizadas a acceder los
p
contenedores.
Mantener registros de quien esta autorizado a acceder que
lockers.
Contenedores deben permanecer bloqueados/cerrados cuando
no se estn usando.
Polticas cerrojos contenedores
Sistema de combinacin.
Proporcionar el mismo nivel de seguridad para las
combinaciones que para el contenido de los contenedores.
Destruir las combinaciones despus de configurar una nueva
combinacin.
Solo personal autorizado puede cambiar la combinacin.
Cambiar la combinacin cada seis meses o cuando se requiera.
Si t b ll
Sistema en base a llaves.
Designar un guardia de la llave.
Escribir nmeros secuenciales en cada duplicado de llave.
Registro de que llave se le ha asignado a que persona.
Cambiar cerrojos y llaves cada ao.
20
Laboratorio pequeo o casero
Laboratorio mediano
21
Laboratorio regional
Imagenesde un laboratorio
forense
22
Software necesario
Contar con licencias de softtwarecomo
Mi ft Offi 2007 2010 XP 2003 2000 97 Microsoft Officce 2007, 2010, XP, 2003, 2000, 97 y
95.
Quicken
Lenguajes de programacin
Visualizadores especializados
Corel Office Suite
StarOffice/OpenOffice
Aplicaciones de contabilidad de Peachtree
Mas software
Directory Snoop (FAT, NTFS)
http://wwwbriggsoft com http://www.briggsoft.com
ThumbsPlus (Imagenes)
http://www.cerious.com
WinHexy X-Ways
http://www.winhex.com
Mount Image
http://www.mountimage.com
p g
LiveView
http://liveview.sourceforge.net/
Autopsy Forensic Browser
http://www.sleuthkit.org/autopsy/
23
An ms software
ForensicAcquisitionUtilities
http://gmgsystemsinc.com/fau/
Encase
http://www.guidancesoftware.com/
FTK
http://www.accessdata.com/
ProDiscover Forensics
http://www.techpathways.com/prodis
coverdft htm
coverdft.htm
Net Witness
www.netwitness.com/
Xplico
http://www.xplico.org/
Pequea recomendacin
24
Hardware necesario
Cualquier laboratorio debe tener
CablesIDE Cables IDE
Cables Ribbon
Tarjetas SCSI
Tarjetas grficas, de tipo PCI y AGP
Cables de electricidad.
Discos duros
Al menos dos adaptadores IDE/ATA o
SATA para discos duros de Notebook.
Herramientas
Bloque escritura hardware
Dispositivo que se conecta a un sistema
computacional conel propsitoprimariode computacional con el propsito primario de
interceptar y prevenir (o bloquear) cualquier
comando de modificacin del dispositivo de
almacenamiento.
Fsicamente, el dispositivo es conectado entre la
computadorayel dispositivodealmacenamiento.
computadora y el dispositivo de almacenamiento.
Algunas de sus funciones abarcan monitoreo y
filtrado de cualquier actividad que es transmitida
o recibida entre su interfaz de conexin y la
computadora y el dispositivo de almacenamiento.
25
Ejemplo bloqueadores
ForensicSATA Bridge
ForensicIDE Pocket Bridge Forensic IDE Pocket Bridge
Disco de booteo (live) de forensia
Usado para arrancar sistemas sospechoso de forma
segura segura
Contiene un sistema de archivos y utilidades ligadas
estticamente, (p.e. ls, fdisk, ps, nc, dd, ifconfig, etc.)
Reconoce particiones largas (+2Gb o +8Gb)
Deja el medio en un estado de bloqueado o de solo
lectura
lectura
No hace ningn swap de datos al medio sospechoso.
26
Ejemplos CD Live
Helix
http://www.e-fense.com/helix/ p
Creado a partir de Knoppix
Trinux
http://trinux.sourceforge.net/
BartPE
http://www.nu2.nu/pebuilder/
FIRE
FIRE
http://fire.dmzs.com/
DEFT
http://www.deftlinux.net/
CAINE
http://www.caine-live.net/
Forensics toolkit
Herramientas de documentacin
Etiquetascables Etiquetas cables
Marcadores permanentes
Etiquetas stick-on
Herramientas de desemblaje y de borrado
Desarmadores de todo tipo y variedad
C d d bl
Cortadores de cables
Correas antiestticas
Pequeas cintas
27
53
54
28
55
56
29
57
58
30
Suplementos de empaquetamiento y
transporte
Bolsas antiestticas
C bl Cables para atar
Bolsas de evidencia
Cinta para empacar
Cinta de evidencia
59
Cajas resistentes de varios tamaos
Cinta de embalaje
Otros
Guantes de goma
Listadetelfonosdecontactosparaasistencia Lista de telfonos de contactos para asistencia
Ligas grandes
Lupa
Papel para imprimir
Lmpara pequea
60
Medios de almacenamiento removibles (CD, DVD, etc)
Discos duros en blanco
31
61
62
32
63
64
33
65
66
34
67
68
35
69
70
36
71
72
37
73
74
38
75
76
39
Introduccin al computo forense
Roberto Gmez Crdenas
ITESM CEM
ITESM-CEM
rogomez@itesm.mx
http://homepage.cem.itesm.mx/rogomez

Intro Forensia

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Intro Forensia

Încărcat de

Drepturi de autor:

Formate disponibile

Cmputo Forense Dr.

Dr. Roberto Gmez Crdenas Lmina26

S-ar putea să vă placă și