InformáticaForense<br />José Hernández<br />h2jose@gmail.com<br />@0800jose<br />
InformáticaForense<br />ConceptosBásicos<br />Definición<br />MetodologíaBásica<br />Análisis de la comunicación de datos<...
ConceptosBasicos<br />Si hay un forenseesquehubo o hay sospecha de un crimen<br />
El CrimenInformático<br />Crimen Informático en sentido estricto<br />Crimen Informático en sentido amplio<br />Cualquier ...
InformáticaForense<br />DEFINICION<br />Es la aplicación de técnicas científicas y analíticas especializadas a infraestruc...
Objetivos de la InformáticaForense<br />Reconstruir el bien informático<br />Examinar datos residuales<br />Autenticar dat...
Alcance de la InformáticaForense<br />Extracción<br />Conservación<br />Identificación<br />Documentación<br />Interpretac...
MetodologíaBásica<br />Adquirir las evidencias<br />Comprobar (Autenticar) las evidencias<br />Analizar los datos sin modi...
MetodologíaBásica<br />1. Adquirir las evidencias <br />Sin alterar ni dañar el original. <br />Detenerlo y examinar una c...
MetodologíaBásica<br />2. Comprobar (Autenticar)<br />Se debe Comprobar (Autenticar) que las evidencias recogidas y que va...
MetodologíaBásica<br />3. Analizar los datos sin modificarlos.<br />Es crucial proteger las evidencias físicas originales ...
Evidencia Digital VsEvidenciaFísica<br />Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera...
Análisis de la comunicación de datos <br />Intrusión en una red de computadoras o mal uso de la misma.<br />Interceptación...
Análisis de la comunicación de datos <br />Intrusión en una red de computadoras o mal uso de la misma.<br />a) Detección d...
Análisis de la comunicación de datos <br />Intrusión en una red de computadoras o mal uso de la misma.<br />Identificar y ...
Análisis de la comunicación de datos <br />Antes de realizar un análisis se debe tener en cuenta la siguiente información<...
Herramientas<br /><ul><li>CómputoForense
Análisis de discos duros
Análisis de correoelectrónico
Análisis de Usb</li></li></ul><li>Herramientas del CómputoForense<br />Sleuth Kit (Forensics Kit)<br />Py-Flag (Forensics ...
Herramientas<br />Análisis de discos duros<br />AccessData Forensic ToolKit (FTK)<br />Guidance Software EnCase<br />Análi...
Ventajas de linux en el análisisforense<br />Linux es un entorno ideal en el cual realizar tareas de análisis forense pues...
Ventajas de linux en el análisisforense<br />Captura de todo los tecleado en el sistema:<br /># script –a fichero<br />Tra...
Ventajas de linux en el análisisforense<br />Captura de la memoria:<br /># strings /dev/mem | more<br />Análisis conexión ...
Upcoming SlideShare
Loading in...5
×

Informatica forense

1,017

Published on

Unefa, Guana

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,017
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
65
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Informatica forense

  1. 1. InformáticaForense<br />José Hernández<br />h2jose@gmail.com<br />@0800jose<br />
  2. 2. InformáticaForense<br />ConceptosBásicos<br />Definición<br />MetodologíaBásica<br />Análisis de la comunicación de datos<br />Herramientas<br />Ventajas de Linux comoherramienta de análisisforense<br />
  3. 3. ConceptosBasicos<br />Si hay un forenseesquehubo o hay sospecha de un crimen<br />
  4. 4. El CrimenInformático<br />Crimen Informático en sentido estricto<br />Crimen Informático en sentido amplio<br />Cualquier comportamiento ilegal cometido con un sistema informático o una red, incluyendo crímenes como la posesión ilegal, la oferta y la distribución de información<br />Cualquier comportamiento ilegal, dirigido por medio de operaciones electrónicas que tengan como objetivo la seguridad de sistemas informáticos y de los datos que procesan<br />
  5. 5. InformáticaForense<br />DEFINICION<br />Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal<br />Hubo un crimen…<br />
  6. 6. Objetivos de la InformáticaForense<br />Reconstruir el bien informático<br />Examinar datos residuales<br />Autenticar datos<br />
  7. 7. Alcance de la InformáticaForense<br />Extracción<br />Conservación<br />Identificación<br />Documentación<br />Interpretación <br />Presentación de las evidencias digitales<br />
  8. 8. MetodologíaBásica<br />Adquirir las evidencias<br />Comprobar (Autenticar) las evidencias<br />Analizar los datos sin modificarlos<br />
  9. 9. MetodologíaBásica<br />1. Adquirir las evidencias <br />Sin alterar ni dañar el original. <br />Detenerlo y examinar una copia de los datos originales:<br />No se puede examinar un sistema presuntamente comprometido utilizando las herramientas que se encuentran en dicho sistema pues estas pueden estar afectadas. <br />La Cadena de Custodia documenta el proceso completo de las evidencias durante la vida del caso:<br />Quién la recogió y donde, quien y como la almacenó, quién la procesó… etc.<br />Cada evidencia deberá ser identificada y etiquetada a ser posible en presencia de testigos, con el número del caso, una breve descripción, la firma y la fecha en que fue recogida<br />
  10. 10. MetodologíaBásica<br />2. Comprobar (Autenticar)<br />Se debe Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de la investigación son idénticas a las abandonadas por el delincuente en la escena del crimen. <br />Data corrupta, generá conclusiones corruptas.<br />
  11. 11. MetodologíaBásica<br />3. Analizar los datos sin modificarlos.<br />Es crucial proteger las evidencias físicas originales trabajando con copias idénticas de forma que en caso de error se pueda recuperar la imagen original y continuar con el análisis de forma correcta.<br />Copias deben ser clones realizados bit a bit del dispositivo original<br />Control de integridad de la copia antes de comenzar el análisis<br />
  12. 12. Evidencia Digital VsEvidenciaFísica<br />Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera el original. <br />Con herramientas adecuadas es fácil determinar si la evidencia ha sido modificada o falsificada.<br />Es relativamente difícil destruir una evidencia digital. Incluso borrándola puede ser recuperada del disco. <br />
  13. 13. Análisis de la comunicación de datos <br />Intrusión en una red de computadoras o mal uso de la misma.<br />Interceptación de datos. <br />
  14. 14. Análisis de la comunicación de datos <br />Intrusión en una red de computadoras o mal uso de la misma.<br />a) Detección de la intrusión.<br />b) Detectar la evidencia, capturarla y preservarla; y <br />c) Reconstrucción de la actividad específica o del hecho en sí.<br />
  15. 15. Análisis de la comunicación de datos <br />Intrusión en una red de computadoras o mal uso de la misma.<br />Identificar y aislar un comportamiento potencialmente ilegal.<br />Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos. <br />
  16. 16. Análisis de la comunicación de datos <br />Antes de realizar un análisis se debe tener en cuenta la siguiente información<br />a) sistema operativo afectado.<br />b) inventario de software instalado en el equipo<br />c) tipo de hardware del equipo<br />d) accesorios y/o periféricos conectados al equipo<br />e) si posee firewall<br />f) si esta en el ámbito del DMZ (Zona desmilitarizada)<br />g) conexión a internet <br />h) configuración<br />i) parches y/o actualizaciones de software<br />j) políticas de seguridad implementadas<br />k) forma de almacenamiento de la información (cifrada o no)<br />l) personas con permisos de acceso al equipo<br />m) el pc esta dentro del DMZ<br />n) existe IDS<br />o) cuantos equipos en red <br />
  17. 17. Herramientas<br /><ul><li>CómputoForense
  18. 18. Análisis de discos duros
  19. 19. Análisis de correoelectrónico
  20. 20. Análisis de Usb</li></li></ul><li>Herramientas del CómputoForense<br />Sleuth Kit (Forensics Kit)<br />Py-Flag (Forensics Browser)<br />Autopsy (Forensics Browser for Sleuth Kit)<br />dcfldd (DD Imaging Tool command line tool and also works with AIR)<br />foremost (Data Carver command line tool)<br />Air (Forensics Imaging GUI)<br />md5deep (MD5 Hashing Program)<br />netcat (Command Line)<br />cryptcat (Command Line)<br />NTFS-Tools<br />qtparted (GUI Partitioning Tool)<br />regviewer (Windows Registry) <br />Viewer<br />
  21. 21. Herramientas<br />Análisis de discos duros<br />AccessData Forensic ToolKit (FTK)<br />Guidance Software EnCase<br />Análisis de disco duro<br />Paraben<br />Análisis de usb<br />USBdeview<br />
  22. 22. Ventajas de linux en el análisisforense<br />Linux es un entorno ideal en el cual realizar tareas de análisis forense pues está dotado de gran<br />variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la realización<br />de un análisis exhaustivo de un sistema comprometido.<br />
  23. 23. Ventajas de linux en el análisisforense<br />Captura de todo los tecleado en el sistema:<br /># script –a fichero<br />Transferir vía red la información del servidor afectado a otro sistema en el cual realizar el análisis:<br /># nc –l –p puerto > fichero de salida<br />Captura de pantalla con x-view:<br /># xwd –display direccionIP:0 –root > pantalla.xwd<br />
  24. 24. Ventajas de linux en el análisisforense<br />Captura de la memoria:<br /># strings /dev/mem | more<br />Análisis conexión de red:<br /># netstat –pan | more<br />Copia de disco duro y sistema de arhivo:<br /># ddif=/dev/zero of=/dev/fd0<br />
  25. 25. No hay crimenimpune<br />La desconfianza es madre de la seguridad. (Aristófanes)<br />
  26. 26. Muchas Gracias<br />Preguntas ??<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×