Digital Forensics V1.4

  • 1,331 views
Uploaded on

Digital Forensics V1.4 Perú

Digital Forensics V1.4 Perú

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,331
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
46
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1st Peruvian Workshop on IT Security Digital Forensics 29.Dic.2003 Colaboración http://escert.upc.es Roger Carhuatocto Miembro esCERT-UPC Responsable de Servicios Educacionales Instituto de Investigación UNI -FIIS esCERT-UPC http://www.uni.edu.pe C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055 Atención : No se permite la reproducción total o parcial de este material sin el permiso del autor Definiciones 1 § RAE U 1992. (Pag:478,3) http://www.rae.es § RAE U 1992. (Pag:655,1) http://www.rae.es Roger Carhuatocto / Digital Forensics 2
  • 2. Definiciones 2 § RAE U 1992. (Pag:1119,1) http://www.rae.es § RAE U 1992. (Pag:660,2) http://www.rae.es Roger Carhuatocto / Digital Forensics 3 Definiciones 3 § CERT: Computer Emergency Response Team § IRT: Incident Response Team § Forensic computing § Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology § Informática forense § Forensic computing § Computer forensics § Digital forensics § Sólo difiere en el tema tecnológico § Medios o dispositivos electrónicos, comunicaciones § Se busca pistas diferentes Roger Carhuatocto / Digital Forensics 4
  • 3. Para qué? § Cómo entraron § Cuándo § Para qué § Quién § Costo de los daños § Soporte amplio al incidente § Requerimiento legal § Soporte al proceso judicial § “Modus operandi”, modos de operar de diferentes puntos de vista Roger Carhuatocto / Digital Forensics 5 Qué no cubre? § Seguimiento, captura o identificar a perpetradores § Negociar con cuerpos policiales, juzgados, TELCOs Roger Carhuatocto / Digital Forensics 6
  • 4. Escenarios § Entornos donde se podría realizar investigaciones: § Intrusión a sistemas informáticos § Web defacement § Uso no autorizado de equipo informático coorporativo § Wireless? § Contenidos ilícitos § Pornografía infantil: CDs, P2P, Internet § Amenzas § Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs § Fraudes § Estafas § Propiedad intelectual § Etc. Roger Carhuatocto / Digital Forensics 7 El proceso: elementos Labs I Peritos n c i Legal d CERT Cuerpo policial e Sw / Hw n t e Proceso judicial Seguros Roger Carhuatocto / Digital Forensics 8
  • 5. El proceso: actual § Técnico § Sistemas informáticos: dinámicos, grandes, distribuidos, etc. § Se puede ocultar información § Muy poco conocimiento técnico, la tecnología avanza § Herramientas existen pero no son globales: opensource, privadas § Obtener información es fácil, no el análisis § Almacenamiento § Legal § Tecnología avanza y se adapta, leyes cambian lentamente § Procesos judiciales son lentos en comparación con cambios en la Tecnología § Protocolo. La presentación de la evidencia debe reunir características especiales § Sustentar el informe sobre evidencia admitida § Organizacional § Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación § Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc. Roger Carhuatocto / Digital Forensics 9 El proceso: cómo debe ser cuando sucede § Determinar origen y tamaño de intrusión § Protección de información sensitiva en sistemas § Protección de los sistemas, redes y su capacidad para seguir funcionado § Recuperación de sistemas § Colección de información de manera consistente con TERCERA parte legal § Proveer soporte a las investigaciones Roger Carhuatocto / Digital Forensics 10
  • 6. El proceso: ser proactivo § Políticas de seguridad § Plan de respuesta para incidentes de seguridad § Plan de informática forense § Plan para detección de incidentes § Determinar equipo con recursos y autoridad para actuar § Implementar procedimientos para diferentes situaciones y amenazas § Con regularidad revisar políticas y procedimientos Proteger Preservar Notificar §Sistemas §Sistemas y logs aceptablemente legal § A tu CERT §Información § Administración §Contener intrusión § CERT §Cuerpo Policial Roger Carhuatocto / Digital Forensics 11 El forense informático: requerimientos 1 § 1/3 Técnico: § Conocimiento técnico § Implicaciones técnicas de acciones § Comprensión de cómo la información puede ser modificada § Perspicaz § Mente abierta y taimado § Ético § Continua formación § Conocimiento de historia: casos pasados, vulnerabilidades, etc. § Uso de fuentes de datos redundantes Roger Carhuatocto / Digital Forensics 12
  • 7. El forense informático: requerimientos 2 § 1/3 Legal § Conocimiento de aspectos legales § España es diferente: LOPD, LSSI, ?? § Protocolo de gestión de evidencia Admisible Auténtico Completo Confiable Creíble § 1/3 Operacional, no todos los desafíos son de naturaleza tecnológica § Gestión de recursos § Políticas y procedimientos § Entrenamiento § Cambios organizacionales Roger Carhuatocto / Digital Forensics 13 El forense informático: proceso investigación § Los cuatro principios, surge de la definición de computer forensics 1 2 3 4 Identificar Preservar Analizar Presentar Roger Carhuatocto / Digital Forensics 14
  • 8. El forense informático: lemas § Rapidez es la esencia, pero no llegar a extremos § Volatilidad de la evidencia § Cualquier cosa que se hace a un sistema lo altera § Principio de Incertidumbre de W. Heinsenberg - 1927 § Nunca confiar en el sistema § Rootkits § Considerar siempre tus políticas § Admitir las fallas § Preparado para sorpresas § Documentar Roger Carhuatocto / Digital Forensics 15 El proceso: (1) Identificar 1 2 3 4 § Qué evidencia hay § Dónde está § Cómo está almacenada § El objetivo: determinar que proceso será empleado para facilitar la recuperación § Ejm.: § Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. Roger Carhuatocto / Digital Forensics 16
  • 9. El proceso: (2) Preservar 1 2 3 4 § Etapa crítica § Orden de volatilidad § Cadena de custodia § Evitar cambios posibles y si no se logra, registrarlo y justificarlo Roger Carhuatocto / Digital Forensics 17 El proceso: (2) Preservar Volatilidad de evidencia 1 2 3 4 § Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil § De Farmer & Venema – http://www.porcupine.org § Registers, peripheral memory, caches § Memory (virtual, physical) § Network state § Running processes § Disks, floppies, tapes § CD/ROM, printouts Roger Carhuatocto / Digital Forensics 18
  • 10. El proceso: (2) Preservar: Principio de Heinsenberg 1 2 3 4 § “Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” § En la informática forense: § Examinar o coleccionar una parte del sistema alterará otros componentes § Es imposible capturar completamente un sistema completo en un punto en el tiempo § Si no se puede evitar el cambio, entonces documentarlo y justificarlo Roger Carhuatocto / Digital Forensics 19 El proceso: (2) Preservar: Cadena de custodia 1 2 3 4 § Registro de todas las operaciones sobre la evidencia § Disponible § El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué § El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial 1 2 3 4 Identificar Preservar Analizar Presentar Ciclo de vida de la Evidencia Cadena de custodia Roger Carhuatocto / Digital Forensics 20
  • 11. El proceso: (2) Preservar: diagrama 1 2 3 4 YES Document Collect Record The Scene Volatiles? Volatiles NO YES Being Safe? Power Off NO What Was NO Investigate The point? Image online, run Drives? “last”, etc. Mossos J d’Esquadra YES Unitat de Delictes en Tecnologie Back @ lab, Analyze s de la Make Copies, Reconstruct Informació Images Computers, Analyze “artifacts” Roger Carhuatocto / Digital Forensics 21 El proceso: (2) Preservando 1 2 3 4 § Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal § 1. Copiar § 2. Generar checksums de copias y originales § 3. Verificar checksums § 4. Time stamping § Estampar sello de tiempo a checksums § Fecha checksum = Fecha de copia = Fecha documento § 5. Documente: quién, dónde, cuándo, por qué § 6. Dar copia a custodio § Custodio da copias a otros investigadores § Documenta cadena de custodia § Pocos custodios, pocos testificantes Roger Carhuatocto / Digital Forensics 22
  • 12. El proceso: (3) Analizar 1 2 3 4 § Extrae: Puede dar algo no humanamente legible § Procesa: Lo hace humanamente legible § Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas Roger Carhuatocto / Digital Forensics 23 El proceso: (3) Analizando 1 2 3 4 § Estado de arte del análisis § Usar metodología: receta de cocina + experiencia § Recomendaciones: § Correlacionar logs: por IP, por tiempo § Sincronización: § Tiempo de sincronización § Tiempo de zona § Retraso de eventos § Orden cronológico de eventos § Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? § Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros Roger Carhuatocto / Digital Forensics 24
  • 13. El proceso: (3) Analizar: resultados 1 2 3 4 § Gestión de versiones de documentos/bitácoras § Reconstrucción cronológica de eventos § Diagramas: estático y dinámico Roger Carhuatocto / Digital Forensics 25 El proceso: (4) Presentar 1 2 3 4 § Implica la presentación a: § A la administración § Fuerza de la ley § Abogados § En procesos judiciales § Incluye la manera de la presentación, contenido y legibilidad § Se sustenta el proceso empleado para obtener la evidencia § La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida, la falla en ello puede causar que la evidencia sea inadmisible § La experiencia y habilidades están en juego Roger Carhuatocto / Digital Forensics 26
  • 14. El proceso para el cuerpo policial Guardia Civil 1 2 3 4 Grupo de Delitos Identificar Preservar Analizar Presentar Telemáticos Fase 1 Fase 2 Fase 3 ? IDENTIFICACIÓN §Denuncia – Conocimiento delito público §Recogida de evidencias del delito (inspección ocular, Qué ha pasado? Cómo lo ha hecho asegurar el escenario, etc.) §Búsqueda de información y referencias identificativas §Resolución de “datos de tráfico” y referencias identificativas INVESTIGACIÓN §Identificación y localización Quién lo ha hecho? §Vigilancia §Interceptación §Registro e incautación INCRIMINACIÓN §Análisis forense de sistema y soportes intervenidos §Informe policial incriminatorio Roger Carhuatocto / Digital Forensics 27 Iniciativas 1 § Buenas prácticas para Informática Forense, herramientas § Dar soporte a todos los involucrados en el proceso, no sólo técnicas, no específicas. Debe ser estándar, es necesario apoyo de todos § Para que sea válido e irrefutable § Abierto, libre (auto certificable) § Multi/Inter-operable § Apoyo de todos: comunidad, institucional § Herramientas de soporte al proceso: auditables, confiables, íntegros § Educación a todos los niveles y a todos los actores en el proceso Roger Carhuatocto / Digital Forensics 28
  • 15. Iniciativas 2 § Comunidad § Honeynet in Spanish http://his.sourceforge.net (Todo sobre honeynets en castellano) § Análisis Forensics en Castellano (Técnicas de análisis forense) § http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics § Lista en esCERT (Operacional: técnico legal, policial) http://escert.upc.es/foro/index.php § Códigos de prácticas en Digital Forensics http://cp4df.sourceforge.net Roger Carhuatocto / Digital Forensics 29 Referencias 1 § Ley Especial contra Delitos Informáticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm § Ley que Incorpora Los Delitos Informaticos Al Codigo Penal (Perú) § http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf § Senado - Comisión Especial sobre Redes Informáticas (España) http://www.senado.es/comredinf § Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia (Cataluña-España) http://www.gencat.net/dji § Policia Nacional Española (Delito Informático) http://www.mir.es/policia/bit/legisla.htm § Ex-Inspector BIT - PN : Antonio López Melgarejo (Ciberdelito: Investigación criminal y proceso penal) http://www.uoc.edu/in3/dt/20076 § David Barroso (Links interesantes) http://voodoo.somoslopeor.com/forensics.html § Diego Gonzalez (Links interesantes) http://www.dgonzalez.net/secinf Roger Carhuatocto / Digital Forensics 30
  • 16. Referencias 2 § Dan Farmer http://www.fish.com/security § Wietse Venema http://www.porcupine.org/forensics § Brian Carrier http://www.sleuthkit.org § Trends & Issues in Crime and Criminal Justice http://www.aic.gov.au/publications/tandi/index.html § FIRST Conference on Computer Security, Incident Handling & Response 2001 http://www.first.org/events/progconf/2001/progs.htm § Recovering and Examining - Computer Forensic Evidence http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm § Federal Guidelines For Searching And Seizing Computers http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm § Reserch reports en @Stake http://www.atstake.com/research/reports/index.html Roger Carhuatocto / Digital Forensics 31 Referencias 3 § Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com, http://www.htcia.org § Importance of a Standard Methodology in Computer Forensics http://www.sans.org/rr/incident/methodology.php § Intrusion Investigation And Post -Intrusion, Computer Forensic Analysis ftp://ftp.net.ohio-state.edu/pub/users/romig/other- papers/intrusion%20investigation.doc § National Software Reference Library (NSRL) Project http://www.nsrl.nist.gov § Computer Forensics Tool Testing (CFTT) Project http://www.cftt.nist.gov § Open Source Software As A Mechanism T o Assess Reliability For Digital Evidence http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html § September 2000 Market Survey, Computer Forensics http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html Roger Carhuatocto / Digital Forensics 32
  • 17. Agradecimientos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació Guardia Civil Grupo de Delitos Telemáticos Roger Carhuatocto / Digital Forensics 33