Your SlideShare is downloading. ×
Digital Forensics V1.4
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Digital Forensics V1.4

1,346
views

Published on

Digital Forensics V1.4 Perú

Digital Forensics V1.4 Perú

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,346
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
46
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1st Peruvian Workshop on IT Security Digital Forensics 29.Dic.2003 Colaboración http://escert.upc.es Roger Carhuatocto Miembro esCERT-UPC Responsable de Servicios Educacionales Instituto de Investigación UNI -FIIS esCERT-UPC http://www.uni.edu.pe C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055 Atención : No se permite la reproducción total o parcial de este material sin el permiso del autor Definiciones 1 § RAE U 1992. (Pag:478,3) http://www.rae.es § RAE U 1992. (Pag:655,1) http://www.rae.es Roger Carhuatocto / Digital Forensics 2
  • 2. Definiciones 2 § RAE U 1992. (Pag:1119,1) http://www.rae.es § RAE U 1992. (Pag:660,2) http://www.rae.es Roger Carhuatocto / Digital Forensics 3 Definiciones 3 § CERT: Computer Emergency Response Team § IRT: Incident Response Team § Forensic computing § Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology § Informática forense § Forensic computing § Computer forensics § Digital forensics § Sólo difiere en el tema tecnológico § Medios o dispositivos electrónicos, comunicaciones § Se busca pistas diferentes Roger Carhuatocto / Digital Forensics 4
  • 3. Para qué? § Cómo entraron § Cuándo § Para qué § Quién § Costo de los daños § Soporte amplio al incidente § Requerimiento legal § Soporte al proceso judicial § “Modus operandi”, modos de operar de diferentes puntos de vista Roger Carhuatocto / Digital Forensics 5 Qué no cubre? § Seguimiento, captura o identificar a perpetradores § Negociar con cuerpos policiales, juzgados, TELCOs Roger Carhuatocto / Digital Forensics 6
  • 4. Escenarios § Entornos donde se podría realizar investigaciones: § Intrusión a sistemas informáticos § Web defacement § Uso no autorizado de equipo informático coorporativo § Wireless? § Contenidos ilícitos § Pornografía infantil: CDs, P2P, Internet § Amenzas § Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs § Fraudes § Estafas § Propiedad intelectual § Etc. Roger Carhuatocto / Digital Forensics 7 El proceso: elementos Labs I Peritos n c i Legal d CERT Cuerpo policial e Sw / Hw n t e Proceso judicial Seguros Roger Carhuatocto / Digital Forensics 8
  • 5. El proceso: actual § Técnico § Sistemas informáticos: dinámicos, grandes, distribuidos, etc. § Se puede ocultar información § Muy poco conocimiento técnico, la tecnología avanza § Herramientas existen pero no son globales: opensource, privadas § Obtener información es fácil, no el análisis § Almacenamiento § Legal § Tecnología avanza y se adapta, leyes cambian lentamente § Procesos judiciales son lentos en comparación con cambios en la Tecnología § Protocolo. La presentación de la evidencia debe reunir características especiales § Sustentar el informe sobre evidencia admitida § Organizacional § Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación § Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc. Roger Carhuatocto / Digital Forensics 9 El proceso: cómo debe ser cuando sucede § Determinar origen y tamaño de intrusión § Protección de información sensitiva en sistemas § Protección de los sistemas, redes y su capacidad para seguir funcionado § Recuperación de sistemas § Colección de información de manera consistente con TERCERA parte legal § Proveer soporte a las investigaciones Roger Carhuatocto / Digital Forensics 10
  • 6. El proceso: ser proactivo § Políticas de seguridad § Plan de respuesta para incidentes de seguridad § Plan de informática forense § Plan para detección de incidentes § Determinar equipo con recursos y autoridad para actuar § Implementar procedimientos para diferentes situaciones y amenazas § Con regularidad revisar políticas y procedimientos Proteger Preservar Notificar §Sistemas §Sistemas y logs aceptablemente legal § A tu CERT §Información § Administración §Contener intrusión § CERT §Cuerpo Policial Roger Carhuatocto / Digital Forensics 11 El forense informático: requerimientos 1 § 1/3 Técnico: § Conocimiento técnico § Implicaciones técnicas de acciones § Comprensión de cómo la información puede ser modificada § Perspicaz § Mente abierta y taimado § Ético § Continua formación § Conocimiento de historia: casos pasados, vulnerabilidades, etc. § Uso de fuentes de datos redundantes Roger Carhuatocto / Digital Forensics 12
  • 7. El forense informático: requerimientos 2 § 1/3 Legal § Conocimiento de aspectos legales § España es diferente: LOPD, LSSI, ?? § Protocolo de gestión de evidencia Admisible Auténtico Completo Confiable Creíble § 1/3 Operacional, no todos los desafíos son de naturaleza tecnológica § Gestión de recursos § Políticas y procedimientos § Entrenamiento § Cambios organizacionales Roger Carhuatocto / Digital Forensics 13 El forense informático: proceso investigación § Los cuatro principios, surge de la definición de computer forensics 1 2 3 4 Identificar Preservar Analizar Presentar Roger Carhuatocto / Digital Forensics 14
  • 8. El forense informático: lemas § Rapidez es la esencia, pero no llegar a extremos § Volatilidad de la evidencia § Cualquier cosa que se hace a un sistema lo altera § Principio de Incertidumbre de W. Heinsenberg - 1927 § Nunca confiar en el sistema § Rootkits § Considerar siempre tus políticas § Admitir las fallas § Preparado para sorpresas § Documentar Roger Carhuatocto / Digital Forensics 15 El proceso: (1) Identificar 1 2 3 4 § Qué evidencia hay § Dónde está § Cómo está almacenada § El objetivo: determinar que proceso será empleado para facilitar la recuperación § Ejm.: § Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. Roger Carhuatocto / Digital Forensics 16
  • 9. El proceso: (2) Preservar 1 2 3 4 § Etapa crítica § Orden de volatilidad § Cadena de custodia § Evitar cambios posibles y si no se logra, registrarlo y justificarlo Roger Carhuatocto / Digital Forensics 17 El proceso: (2) Preservar Volatilidad de evidencia 1 2 3 4 § Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil § De Farmer & Venema – http://www.porcupine.org § Registers, peripheral memory, caches § Memory (virtual, physical) § Network state § Running processes § Disks, floppies, tapes § CD/ROM, printouts Roger Carhuatocto / Digital Forensics 18
  • 10. El proceso: (2) Preservar: Principio de Heinsenberg 1 2 3 4 § “Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” § En la informática forense: § Examinar o coleccionar una parte del sistema alterará otros componentes § Es imposible capturar completamente un sistema completo en un punto en el tiempo § Si no se puede evitar el cambio, entonces documentarlo y justificarlo Roger Carhuatocto / Digital Forensics 19 El proceso: (2) Preservar: Cadena de custodia 1 2 3 4 § Registro de todas las operaciones sobre la evidencia § Disponible § El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué § El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial 1 2 3 4 Identificar Preservar Analizar Presentar Ciclo de vida de la Evidencia Cadena de custodia Roger Carhuatocto / Digital Forensics 20
  • 11. El proceso: (2) Preservar: diagrama 1 2 3 4 YES Document Collect Record The Scene Volatiles? Volatiles NO YES Being Safe? Power Off NO What Was NO Investigate The point? Image online, run Drives? “last”, etc. Mossos J d’Esquadra YES Unitat de Delictes en Tecnologie Back @ lab, Analyze s de la Make Copies, Reconstruct Informació Images Computers, Analyze “artifacts” Roger Carhuatocto / Digital Forensics 21 El proceso: (2) Preservando 1 2 3 4 § Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal § 1. Copiar § 2. Generar checksums de copias y originales § 3. Verificar checksums § 4. Time stamping § Estampar sello de tiempo a checksums § Fecha checksum = Fecha de copia = Fecha documento § 5. Documente: quién, dónde, cuándo, por qué § 6. Dar copia a custodio § Custodio da copias a otros investigadores § Documenta cadena de custodia § Pocos custodios, pocos testificantes Roger Carhuatocto / Digital Forensics 22
  • 12. El proceso: (3) Analizar 1 2 3 4 § Extrae: Puede dar algo no humanamente legible § Procesa: Lo hace humanamente legible § Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas Roger Carhuatocto / Digital Forensics 23 El proceso: (3) Analizando 1 2 3 4 § Estado de arte del análisis § Usar metodología: receta de cocina + experiencia § Recomendaciones: § Correlacionar logs: por IP, por tiempo § Sincronización: § Tiempo de sincronización § Tiempo de zona § Retraso de eventos § Orden cronológico de eventos § Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? § Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros Roger Carhuatocto / Digital Forensics 24
  • 13. El proceso: (3) Analizar: resultados 1 2 3 4 § Gestión de versiones de documentos/bitácoras § Reconstrucción cronológica de eventos § Diagramas: estático y dinámico Roger Carhuatocto / Digital Forensics 25 El proceso: (4) Presentar 1 2 3 4 § Implica la presentación a: § A la administración § Fuerza de la ley § Abogados § En procesos judiciales § Incluye la manera de la presentación, contenido y legibilidad § Se sustenta el proceso empleado para obtener la evidencia § La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida, la falla en ello puede causar que la evidencia sea inadmisible § La experiencia y habilidades están en juego Roger Carhuatocto / Digital Forensics 26
  • 14. El proceso para el cuerpo policial Guardia Civil 1 2 3 4 Grupo de Delitos Identificar Preservar Analizar Presentar Telemáticos Fase 1 Fase 2 Fase 3 ? IDENTIFICACIÓN §Denuncia – Conocimiento delito público §Recogida de evidencias del delito (inspección ocular, Qué ha pasado? Cómo lo ha hecho asegurar el escenario, etc.) §Búsqueda de información y referencias identificativas §Resolución de “datos de tráfico” y referencias identificativas INVESTIGACIÓN §Identificación y localización Quién lo ha hecho? §Vigilancia §Interceptación §Registro e incautación INCRIMINACIÓN §Análisis forense de sistema y soportes intervenidos §Informe policial incriminatorio Roger Carhuatocto / Digital Forensics 27 Iniciativas 1 § Buenas prácticas para Informática Forense, herramientas § Dar soporte a todos los involucrados en el proceso, no sólo técnicas, no específicas. Debe ser estándar, es necesario apoyo de todos § Para que sea válido e irrefutable § Abierto, libre (auto certificable) § Multi/Inter-operable § Apoyo de todos: comunidad, institucional § Herramientas de soporte al proceso: auditables, confiables, íntegros § Educación a todos los niveles y a todos los actores en el proceso Roger Carhuatocto / Digital Forensics 28
  • 15. Iniciativas 2 § Comunidad § Honeynet in Spanish http://his.sourceforge.net (Todo sobre honeynets en castellano) § Análisis Forensics en Castellano (Técnicas de análisis forense) § http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics § Lista en esCERT (Operacional: técnico legal, policial) http://escert.upc.es/foro/index.php § Códigos de prácticas en Digital Forensics http://cp4df.sourceforge.net Roger Carhuatocto / Digital Forensics 29 Referencias 1 § Ley Especial contra Delitos Informáticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm § Ley que Incorpora Los Delitos Informaticos Al Codigo Penal (Perú) § http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf § Senado - Comisión Especial sobre Redes Informáticas (España) http://www.senado.es/comredinf § Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia (Cataluña-España) http://www.gencat.net/dji § Policia Nacional Española (Delito Informático) http://www.mir.es/policia/bit/legisla.htm § Ex-Inspector BIT - PN : Antonio López Melgarejo (Ciberdelito: Investigación criminal y proceso penal) http://www.uoc.edu/in3/dt/20076 § David Barroso (Links interesantes) http://voodoo.somoslopeor.com/forensics.html § Diego Gonzalez (Links interesantes) http://www.dgonzalez.net/secinf Roger Carhuatocto / Digital Forensics 30
  • 16. Referencias 2 § Dan Farmer http://www.fish.com/security § Wietse Venema http://www.porcupine.org/forensics § Brian Carrier http://www.sleuthkit.org § Trends & Issues in Crime and Criminal Justice http://www.aic.gov.au/publications/tandi/index.html § FIRST Conference on Computer Security, Incident Handling & Response 2001 http://www.first.org/events/progconf/2001/progs.htm § Recovering and Examining - Computer Forensic Evidence http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm § Federal Guidelines For Searching And Seizing Computers http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm § Reserch reports en @Stake http://www.atstake.com/research/reports/index.html Roger Carhuatocto / Digital Forensics 31 Referencias 3 § Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com, http://www.htcia.org § Importance of a Standard Methodology in Computer Forensics http://www.sans.org/rr/incident/methodology.php § Intrusion Investigation And Post -Intrusion, Computer Forensic Analysis ftp://ftp.net.ohio-state.edu/pub/users/romig/other- papers/intrusion%20investigation.doc § National Software Reference Library (NSRL) Project http://www.nsrl.nist.gov § Computer Forensics Tool Testing (CFTT) Project http://www.cftt.nist.gov § Open Source Software As A Mechanism T o Assess Reliability For Digital Evidence http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html § September 2000 Market Survey, Computer Forensics http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html Roger Carhuatocto / Digital Forensics 32
  • 17. Agradecimientos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació Guardia Civil Grupo de Delitos Telemáticos Roger Carhuatocto / Digital Forensics 33

×