Cpmx3 computo forense reloaded

1,556 views

Published on

Published in: Technology, Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,556
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
70
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Cpmx3 computo forense reloaded

  1. 1. CÓMPUTO FORENSE RELOADED Porque todo deja rastro Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica @cibercrimen
  2. 2. Proceso del Cómputo Forense• Proceso del Cómputo Forense • Identificación: conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto al levantamiento del bien, búsquedas y las estrategias de investigación. • Preservación: revisión y generación de las imágenes forenses de la evidencia para poder Identificación Preservación realizar el análisis • Análisis: aplican técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas, Presentación Análisis • Presentación: La información resultante del análisis quedará registrada en un dictamen técnico que puede ser presentado internamente o en un procedimiento legal.
  3. 3. La información contenida en …
  4. 4. Imagen Forense• Copia bit a bit del contenido de un medio a analizar desde el primer sector hasta el último sector del mismo.
  5. 5. ¿LOENCONTRASTE? NOP
  6. 6. ¿Qué se considera como un Incidente?“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?” 7
  7. 7. Necesitamos menos de esto…
  8. 8. Y mucho más de ésto…
  9. 9. Sniper Forensics• Crear un plan de investigación• Aplicar la lógica • Principio de Intercambio de Lockard’s • Principio de Alexiou • Navaja de Ockham • Extraer únicamente lo necesario • Permitir que los datos den las respuestas • Generar los reportes necesarios Christopher E. Pogue Trustwave
  10. 10. Si usted mira lo suficiente esta foto,Podrá encontrar el caparazón del Caracol
  11. 11. ¿A qué le voy a disparar?• Registros de Windows SAM System Security• NTUSER.DAT por cada usuario• Timelines• $MFT• Datos volátiles• Memoria RAM
  12. 12. Previsualizando
  13. 13. Software / Protección• Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:• [HKEY_LOCAL_MACHINESYSTEMCurrentContro lSetControlStorageDevicePolicies] "WriteProtect"=dword:00000001• Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionaría, tiene que ser de USB.
  14. 14. ¿Qué necesitamos?Recursos Hardware Software ProcedimientosHumanos
  15. 15. Podcast Crimen Digital…• El podcast de cómputo forense, seguridad en Internet y lo relacionado con el cibercrimen. • iTunes• http://www.crimendigital.com
  16. 16. ¡Muchas Gracias! ¿Preguntas?Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica @cibercrimen
  17. 17. Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V. -Todos los Derechos reservados. Ninguna parte de este documento puede serreproducida en forma o mecanismo alguno, incluido fotocopiado, grabación o -almacenamiento en algún sistema de información, sin la autorización por escritodel dueño del Derecho Reservado.Copias de este documento pueden ser distribuidas, en papel y en formatoelectrónico, siempre y cuando no se altere el documento original y se incluyaesta página.Este documento NO pertenece al dominio público.“Computo Forense Reloaded”por Andrés Velázquezcontacto@mattica.com

×