Your SlideShare is downloading. ×
  • Like
Forence
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
241
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
24
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. NO HAY MAS TINIEBLAS QUE LA IGNORANCIA Realizado por juan esteban
  • 2. QUE CONOCEMOSQUE CONOCEMOS DEFINICIONESDEFINICIONES PROCEDIMIENTO FORENSEPROCEDIMIENTO FORENSE GENERALGENERAL DESCANSODESCANSO ANALISIS FORENSE EN ENTORNOSANALISIS FORENSE EN ENTORNOS WINDOWSWINDOWS HERRAMIENTAS VARIASHERRAMIENTAS VARIAS
  • 3. QUE APRENDIMOS ENQUE APRENDIMOS EN MUNDO HACKER I:MUNDO HACKER I: FORMAS DE ATAQUE EN LA RED SPAM SPYWARE ADWARE INGENIERIA SOCIAL
  • 4. QUE PODEMOS HACER?
  • 5. ANALISIS DEL RIESGOANALISIS DEL RIESGO Proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo de la prevención de esta pérdida. Su análisis no sólo lleva a establecer un nivel adecuado de seguridad: permite conocer mejor el sistema que vamos a proteger.
  • 6. ANALISIS DEL RIESGOANALISIS DEL RIESGO BB >> PP ∗∗ L ?L ? – BB: Peso o carga que significa la: Peso o carga que significa la prevención de una pérdida específica.prevención de una pérdida específica. – PP: Probabilidad de ocurrencia de una: Probabilidad de ocurrencia de una pérdida específica.pérdida específica. – LL: Impacto total de una pérdida: Impacto total de una pérdida específica.específica.
  • 7. ANALISIS DEL RIESGOANALISIS DEL RIESGO 1. Identificación de posibles pérdidas (L) Identificar amenazas 3. Identificar posibles acciones y sus implicaciones. (B) Seleccionar acciones a implementar. 2. Determinar susceptibilidad. Posibilidad de pérdida (P)
  • 8. La clave de una buena recuperación en caso de fallo es una preparación adecuada. Por recuperación entendemos tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior habiendo reemplazado o recuperado el máximo de los recursos y de la información. ANALISIS DEL RIESGOANALISIS DEL RIESGO PLAN DEPLAN DE CONTINGENCIACONTINGENCIA
  • 9. Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
  • 10. Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
  • 11. “Forensic Computing is the process of identifying, preserving, analyzing and presenting digital evidence in a manner that is legally acceptable” (Rodney McKemmish 1999) INFORMATICAINFORMATICA FORENSEFORENSE
  • 12. INFORMATICAINFORMATICA FORENSEFORENSE
  • 13. INFORMATICAINFORMATICA FORENSEFORENSE Evidencia digital: Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.
  • 14. INFORMATICAINFORMATICA FORENSEFORENSE Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
  • 15. INFORMATICAINFORMATICA FORENSEFORENSE Objetivos 1.Investigación en Procesamiento judicial 2.ámbito organizacional 3.Errores, fallas, pérdidas de datos 4.Medidas preventivas
  • 16. INFORMATICAINFORMATICA FORENSEFORENSE Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso ade- cuado o de las buenas prácticas de utilización de los sistemas informáticos.
  • 17. INFORMATICAINFORMATICA FORENSEFORENSE Incidentes de Denegación de Servicios (DoS): Incidentes de código malicioso: Incidentes de acceso no autorizado: Incidentes por uso inapropiado: Incidente múltiple:
  • 18. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Identificación y Descripción
  • 19. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Recolección de evidencia
  • 20. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
  • 21. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA SACARSACAR IMÁGENES DE DISCOSIMÁGENES DE DISCOS • Imágenes de un sistema “vivo”Imágenes de un sistema “vivo” –– Uso de "Uso de "dd" y "netcatdd" y "netcat" para enviar una copia" para enviar una copia bit-a-bit a un sistema remotobit-a-bit a un sistema remoto •• Tanto Windows como Unix/LinuxTanto Windows como Unix/Linux –– Para Windows puede ser más cómodo usarPara Windows puede ser más cómodo usar HELIXHELIX •• http://www.e-fense.com/helix/http://www.e-fense.com/helix/ •• Permite realizar imagen de la memoria físicaPermite realizar imagen de la memoria física –– Una vez realizada la imagen se computa unUna vez realizada la imagen se computa un hash MD5 y SHA-1hash MD5 y SHA-1
  • 22. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA Imágenes de un sistema apagadoImágenes de un sistema apagado • Extraer disco duroExtraer disco duro • Conecta el disco a la workstation de análisis forenseConecta el disco a la workstation de análisis forense •• es recomendable que sea Linux (permite montar loses recomendable que sea Linux (permite montar los discosdiscos manualmente y en modo "read-only")manualmente y en modo "read-only") • Realiza copia con "dd"Realiza copia con "dd" •• la imagen se puede guardar en discos externosla imagen se puede guardar en discos externos Firewire/USB,Firewire/USB, almacenamiento SAN, etcalmacenamiento SAN, etc • Por supuesto, hashes MD5 y SHA-1 de original y copiaPor supuesto, hashes MD5 y SHA-1 de original y copia para garantizar integridadpara garantizar integridad
  • 23. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA
  • 24. Cadena de Custodia Cadena de Custodia ““LaLa cadena de custodiacadena de custodia documenta el procesodocumenta el proceso completo de las evidenciascompleto de las evidencias durante la vida del caso, quiéndurante la vida del caso, quién la recogió y donde, como lala recogió y donde, como la almacenó, quien la procesó,almacenó, quien la procesó, etc.etc. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
  • 25. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Con la evidencia electrónica (imágenes deCon la evidencia electrónica (imágenes de discos y memoria, ficheros de datos ydiscos y memoria, ficheros de datos y ejecutables, etc.) la práctica consiste enejecutables, etc.) la práctica consiste en obtener “hashes” de la información en elobtener “hashes” de la información en el momento de su recolección, de forma quemomento de su recolección, de forma que se pueda comprobar en cualquier momentose pueda comprobar en cualquier momento si la evidencia ha sido modificada.si la evidencia ha sido modificada.
  • 26. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Una función de hash esUna función de hash es unauna funciónfunción para resumirpara resumir o identificaro identificar probabilísticamente unprobabilísticamente un grangran conjuntoconjunto dede información,información, Sirve para comprobar que unSirve para comprobar que un archivo no ha sido modificadoarchivo no ha sido modificado o alteradoo alterado DEMOSTRACION MD5
  • 27. Analisis de la evidencia PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Forensic toolkit2
  • 28. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe Escrito: •Informe Ejecutivo, Breve resumen con un máximo de 5 páginas entendible por personal no técnico en el que se detallaran los aspectos más importantes de la intrusión, que medidas hubieran podido evitar que esta tuviera lugar y que recomendaciones se deberían realizar tras este ataque
  • 29. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe técnico, donde con una mayor extensión, se debían resumir el análisis del equipo, considerándose entre otros los siguientes aspectos: •Identificación del sistema operativo atacado •Descripción de las herramientas empleadas y de los procedimientos de obtención de la información de la máquina atacada. •Determinación del origen del ataque, vulnerabilidad empleada por el atacante, descripción de la linea de tiempos del ataque •Información detallada sobre las acciones realizadas por el atacante y las herramientas que instaló este en el equipo atacado
  • 30. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Adquisicion de datos volatiles FPORT NETSTAT IPCONFIG/ALL
  • 31. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Analisis de LOG FILES Start  Settings  Control Panel  Administrative Tools  Event Viewer
  • 32. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Copias de los archivos C:windowssystem32config AppEvent.Evt SecEvent.Evt SysEvent.Evt
  • 33. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE LOS ULTIMOS ACCESOS A FICHEROS
  • 34. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE INFORMACION DEL SISTEMA SYSTEMINFO
  • 35. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Análisis del archivo swap METODO FILE CARVING el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos , o en el análisis de estructuras de ficheros.
  • 36. Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco Análisis de la memoria ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS pmdump
  • 37. Dado que Windows utiliza como referencia toda la información que se encuentra en el registro, un analista forense puede utilizar como referencia esta gran base de datos para recabar información sobre la máquina. En la base de datos de registro que se encuentra en el sistema Windows, podremos averiguar: Análisis del registro de windows ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
  • 38. Cada sección del Registro está asociada a un conjunto de archivos estándar. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
  • 39. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Podemos buscar información en el registro de la siguiente manera HKCUSoftwareMicrosoft WindowsCurrentVersion ExplorerComDlg32Last VisitedMRU Mantiene una lista de los archivos abiertos recientemente
  • 40. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKCUSoftwareMicroso ftWindowsCurrentVersi onExplorerRecentDocs Contiene los documentos abiertos recientemente por el explorador HKLMSYSTEMCurren tControlSetControlSe ssion ManagerMemory Management Contiene informacion del archivo pagefile.sys
  • 41. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce Programas que se activan al startup HKCUSoftwareMicrosoftInternet ExplorerTypedURLs
  • 42. HKCUSoftwareMicrosoftI nternet ExplorerTypedURLs Contiene una lista de 25 urls recientes HKCUSoftwareGoogleNav Client1.1History Es posible investigar si un usuario utilizo una cuenta de messenger en un sistema comprometido ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS