Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Automatizacin de Procesos de Anlisis Forense Informtico

Marcelo Rodrguez
Grupo de Seguridad Instituto de Computacin Facultad de Ingeniera - UdelaR
marcelor@fing.edu.uy

Jueves 24 de Junio, 2010

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contenido
1

Introduccin Contexto Deniciones Proceso forense Estado actual Trabajo realizado Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada Conclusiones y Trabajo futuro Conclusiones Trabajo futuro Referencias
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contexto Deniciones Proceso forense Estado actual

Contexto
A mediados de 2006 el GSI comienza a investigar sobre anlisis forense (herramientas de recuperacin de datos,kits anti-forenses,etc). En el 2007 se identican objetivos y se busca relacionar con otras reas de seguridad. En el 2009 se plantea un proyecto de grado (M.Barrere) con objetivos especcos y acotados.

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contexto Deniciones Proceso forense Estado actual

Denicones
Denicin de ciencia forense digital Uso de principios y mtodos cientcos, aplicados sobre evidencia obtenida de fuentes digitales,con el n de facilitar la reconstruccin de eventos dentro de un proceso legal (Digital Forensic Research Workshop DFRWS).

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contexto Deniciones Proceso forense Estado actual

Denicones
Denicin de ciencia forense digital Uso de principios y mtodos cientcos, aplicados sobre evidencia obtenida de fuentes digitales,con el n de facilitar la reconstruccin de eventos dentro de un proceso legal (Digital Forensic Research Workshop DFRWS). Objetivos Conrmar el incidente ocurrido. Quin? Cmo? Cundo? Desde dnde? Entender, corregir y protegerse de futuros compromisos.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contexto Deniciones Proceso forense Estado actual

Proceso forense
Etapas del proceso de una investigacin forense

Tratar de obtener la mayor informacin posible con el mnimo impacto.

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contexto Deniciones Proceso forense Estado actual

Estado actual
Fortalezas.
Existencia de esfuerzos conjuntos por generar un marco de referencia consensuado dentro del mbito forense. Variedad de herramientas para recoleccin de evidencia voltil y no voltil.

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Contexto Deniciones Proceso forense Estado actual

Estado actual
Fortalezas.
Existencia de esfuerzos conjuntos por generar un marco de referencia consensuado dentro del mbito forense. Variedad de herramientas para recoleccin de evidencia voltil y no voltil.

Debilidades.
Carencia de estndares rigurosos que denan las pautas generales de la actividad. Herramientas desarrolladas con objetivos especcos y difciles de extrapolar a otros entornos.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Objetivos
Investigar metodologas que describan los lineamientos de la actividad forense. (A Formalization of Digital Forensics) Contar con una infraestructura adecuada para plasmar los conceptos denidos en los procedimientos utilizados. (Lenguaje OVAL Mitre Corporation) Contar con una herramienta que incorpore la metodologa utilizando la infraestructura denida.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Metodologa

Un ataque puede ser visto como un proceso que afecta a un conjunto de componentes sobre un sistema. Un procedimiento forense puede verse como un conjunto de primitivas forenses (mtodos probados) que inspeccionan cada uno de los componentes afectados.

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Lenguaje OVAL
OVAL (Open Vulnerability and Assessment Language) es un lenguaje orientado a la evaluacin de sistemas en busca de vulnerabilidades o conguraciones especcas. Especicado mediante una coleccin de esquemas XML que permiten representar informacin de sistemas; expresar estados de mquinas especcos y reportar resultados de evaluacin.

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Lenguaje OVAL II

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Por qu OVAL?
Lenguaje desarrollado sobre un marco formal, altamente expresivo y poderoso. Fuerte tendencia a establecerse como estndar en la divulgacin de contenido vinculado a la seguridad informtica. Sus caractersticas estructurales lo hacen apropiado para dar soporte a los conceptos metodolgicos establecidos.

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Caractersticas
Se extiende el lenguaje OVAL para soportar la metodologa planteada. XOvaldi (eXtended Ovaldi) Herramienta desarrollada en Java. Permite su ejecucin en mltiples plataformas. Recoleccin de evidencia digital basada en plugins diseados para las diferentes plataformas de inters. Extensibilidad sin afectar el ncleo de la herramienta. Ejecucin desde medios extrables como unidades ash USB o CDs.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Arquitectura de la herramienta

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Funcionamiento de la herramienta

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Objetivos y Metodologa Lenguaje utilizado Herramienta desarrollada

Modalidades de uso

Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Conclusiones Trabajo futuro

Conclusiones
Se ha propuesto un modelo de trabajo para la etapa de recoleccin de evidencia digital. La capacidad de especicar procedimientos forenses y su evaluacin automatizada permiten que:
Analistas especializados especiquen qu es lo que se debe hacer, e incluso cmo, desarrollando los plugins apropiados. Quien hace la recoleccin no necesariamente debe ser un experto en la materia. Se reduzca el espacio de errores basndose en los mecanismos automticos de recoleccin.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Conclusiones Trabajo futuro

Trabajo a futuro
Repositorio de Elementos Dinmicos Online.
til sobre todo en ambientes distribuidos con gestin centralizada de recoleccin de evidencia.

Editor de Procedimientos Forenses.

Especicaciones extensas, propensa a errores.

Aspectos legales.
Analizar mecanismos de almacenamiento, integridad de la evidencia, trazabilidad, cadena de custodia, etc.

Investigar sobre la automatizacin de otras etapas del proceso forense de una manera correlativa.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico

Introduccin Trabajo realizado Conclusiones y Trabajo futuro Referencias

Referencias
MITRE Corporation. OVAL - Open Vulnerability and Assessment Language . http://oval.mitre.org/. Gary Palmer, The MITRE Corporation. A Road Map for Digital Forensic Research. TECHNICAL REPORT. Ryan Leigland and Axel W. Krings. A formalization of digital forensics. Article - International Journal of Digital Evidence. M. Barrere. Anlisis Forense Informtico. Tesis de grado 2009.
Marcelo Rodrguez

Automatizacin de Procesos de Anlisis Forense Informtico