Informatica Forense

3,085
-1

Published on

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,085
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

Informatica Forense

  1. 1. Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15.Mayo.2003) C/ Jordi Girona, 29. Edificio Nexus II, 1 B 08034 Barcelona ~ España Tel. (34)934137947 ~ Fax. (34)934137946
  2. 2. Definiciones 1 <ul><li>RAE U 1992. (Pag:478,3) http ://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:655,1) http :// www.rae.es </li></ul>
  3. 3. Definiciones 2 <ul><li>RAE U 1992. (Pag:1119,1) http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:660,2) http://www.rae.es </li></ul>
  4. 4. Definiciones 3 <ul><li>CERT: Computer Emergency Response Team </li></ul><ul><li>IRT: Incident Response Team </li></ul><ul><li>Forensic computing </li></ul><ul><ul><li>Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology </li></ul></ul><ul><li>Informática forense </li></ul><ul><li>Forensic computing </li></ul><ul><li>Computer forensics </li></ul><ul><li>Digital forensics </li></ul><ul><ul><li>Sólo difiere en el tema tecnológico </li></ul></ul><ul><ul><li>Medios o dispositivos electrónicos, comunicaciones </li></ul></ul><ul><ul><li>Se busca pistas diferentes </li></ul></ul>
  5. 5. Para qué? <ul><li>Cómo entraron </li></ul><ul><li>Cuándo </li></ul><ul><li>Para qué </li></ul><ul><li>Quién </li></ul><ul><li>Costo de los daños </li></ul><ul><li>Soporte amplio al incidente </li></ul><ul><li>Requerimiento legal </li></ul><ul><li>Soporte al proceso judicial </li></ul><ul><li>“ Modus operandi”, modos de operar de diferentes puntos de vista </li></ul>
  6. 6. Qué no cubre? <ul><li>Seguimiento, captura o identificar a perpetradores </li></ul><ul><li>Negociar con cuerpos policiales, juzgados, TELCOs </li></ul>
  7. 7. Escenarios <ul><li>Entornos donde se podría realizar investigaciones: </li></ul><ul><ul><li>Intrusión a sistemas informáticos </li></ul></ul><ul><ul><ul><li>Web defacement </li></ul></ul></ul><ul><ul><ul><li>Uso no autorizado de equipo informático coorporativo </li></ul></ul></ul><ul><ul><ul><li>Wireless? </li></ul></ul></ul><ul><ul><li>Contenidos ilícitos </li></ul></ul><ul><ul><ul><li>Pornografía infantil: CDs, P2P, Internet </li></ul></ul></ul><ul><ul><ul><li>Amenzas </li></ul></ul></ul><ul><ul><li>Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs </li></ul></ul><ul><ul><ul><li>Fraudes </li></ul></ul></ul><ul><ul><ul><li>Estafas </li></ul></ul></ul><ul><ul><ul><li>Propiedad intelectual </li></ul></ul></ul><ul><ul><ul><li>Etc. </li></ul></ul></ul>
  8. 8. El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros
  9. 9. El proceso: actual <ul><li>Técnico </li></ul><ul><ul><li>Sistemas informáticos: dinámicos, grandes, distribuidos, etc. </li></ul></ul><ul><ul><li>Se puede ocultar información </li></ul></ul><ul><ul><li>Muy poco conocimiento técnico, la tecnología avanza </li></ul></ul><ul><ul><li>Herramientas existen pero no son globales: opensource, privadas </li></ul></ul><ul><ul><li>Obtener información es fácil, no el análisis </li></ul></ul><ul><ul><li>Almacenamiento </li></ul></ul><ul><li>Legal </li></ul><ul><ul><li>Tecnología avanza y se adapta, leyes cambian lentamente </li></ul></ul><ul><ul><li>Procesos judiciales son lentos en comparación con cambios en la Tecnología </li></ul></ul><ul><ul><li>Protocolo. La presentación de la evidencia debe reunir características especiales </li></ul></ul><ul><ul><li>Sustentar el informe sobre evidencia admitida </li></ul></ul><ul><li>Organizacional </li></ul><ul><ul><li>Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación </li></ul></ul><ul><ul><li>Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc. </li></ul></ul>
  10. 10. El proceso: cómo debe ser cuando sucede <ul><li>Determinar origen y tamaño de intrusión </li></ul><ul><li>Protección de información sensitiva en sistemas </li></ul><ul><li>Protección de los sistemas, redes y su capacidad para seguir funcionado </li></ul><ul><li>Recuperación de sistemas </li></ul><ul><li>Colección de información de manera consistente con TERCERA parte legal </li></ul><ul><li>Proveer soporte a las investigaciones </li></ul>
  11. 11. El proceso: ser proactivo <ul><li>Políticas de seguridad </li></ul><ul><li>Plan de respuesta para incidentes de seguridad </li></ul><ul><li>Plan de informática forense </li></ul><ul><li>Plan para detección de incidentes </li></ul><ul><li>Determinar equipo con recursos y autoridad para actuar </li></ul><ul><li>Implementar procedimientos para diferentes situaciones y amenazas </li></ul><ul><li>Con regularidad revisar políticas y procedimientos </li></ul>Proteger Preservar Notificar <ul><li>Sistemas </li></ul><ul><li>Información </li></ul><ul><li>Contener intrusión </li></ul><ul><li>Sistemas y logs aceptablemente legal </li></ul><ul><li>A tu CERT </li></ul><ul><li>Administración </li></ul><ul><li>CERT </li></ul><ul><li>Cuerpo Policial </li></ul>
  12. 12. El forense informático: requerimientos 1 <ul><li>1/3 Técnico: </li></ul><ul><ul><li>Conocimiento técnico </li></ul></ul><ul><ul><li>Implicaciones técnicas de acciones </li></ul></ul><ul><ul><li>Comprensión de cómo la información puede ser modificada </li></ul></ul><ul><ul><li>Perspicaz </li></ul></ul><ul><ul><li>Mente abierta y taimado </li></ul></ul><ul><ul><li>Ético </li></ul></ul><ul><ul><li>Continua formación </li></ul></ul><ul><ul><li>Conocimiento de historia: casos pasados, vulnerabilidades, etc. </li></ul></ul><ul><ul><li>Uso de fuentes de datos redundantes </li></ul></ul>
  13. 13. <ul><li>1/3 Legal </li></ul><ul><ul><li>Conocimiento de aspectos legales </li></ul></ul><ul><ul><li>España es diferente: LOPD, LSSI, ?? </li></ul></ul><ul><ul><li>Protocolo de gestión de evidencia </li></ul></ul>El forense informático: requerimientos 2 Admisible Auténtico Completo Confiable Creíble <ul><li>1/3 Operacional, no todos los desafíos son de naturaleza tecnológica </li></ul><ul><ul><li>Gestión de recursos </li></ul></ul><ul><ul><li>Políticas y procedimientos </li></ul></ul><ul><ul><li>Entrenamiento </li></ul></ul><ul><ul><li>Cambios organizacionales </li></ul></ul>
  14. 14. <ul><li>Los cuatro principios, surge de la definición de computer forensics </li></ul>El forense informático: proceso de investigación 4 Presentar 3 Analizar 2 Preservar 1 Identificar
  15. 15. El forense informático: lemas <ul><li>Rapidez es la esencia, pero no llegar a extremos </li></ul><ul><ul><li>Volatilidad de la evidencia </li></ul></ul><ul><li>Cualquier cosa que se hace a un sistema lo altera </li></ul><ul><ul><li>Principio de Incertidumbre de W. Heinsenberg - 1927 </li></ul></ul><ul><li>Nunca confiar en el sistema </li></ul><ul><ul><li>Rootkits </li></ul></ul><ul><li>Considerar siempre tus políticas </li></ul><ul><li>Admitir las fallas </li></ul><ul><li>Preparado para sorpresas </li></ul><ul><li>Documentar </li></ul>
  16. 16. El proceso: (1) Identificar <ul><li>Qué evidencia hay </li></ul><ul><li>Dónde está </li></ul><ul><li>Cómo está almacenada </li></ul><ul><li>El objetivo: determinar que proceso será empleado para facilitar la recuperación </li></ul><ul><li>Ejm.: </li></ul><ul><ul><li>Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. </li></ul></ul>4 3 2 1
  17. 17. El proceso: (2) Preservar <ul><li>Etapa crítica </li></ul><ul><li>Orden de volatilidad </li></ul><ul><li>Cadena de custodia </li></ul><ul><li>Evitar cambios posibles y si no se logra, registrarlo y justificarlo </li></ul>4 3 2 1
  18. 18. El proceso: (2) Preservar Volatilidad de evidencia <ul><li>Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil </li></ul><ul><li>De Farmer & Venema – http://www.porcupine.org </li></ul><ul><ul><li>Registers, peripheral memory, caches </li></ul></ul><ul><ul><li>Memory (virtual, physical) </li></ul></ul><ul><ul><li>Network state </li></ul></ul><ul><ul><li>Running processes </li></ul></ul><ul><ul><li>Disks, floppies, tapes </li></ul></ul><ul><ul><li>CD/ROM, printouts </li></ul></ul>4 3 2 1
  19. 19. <ul><li>“ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” </li></ul><ul><li>En la informática forense: </li></ul><ul><ul><li>Examinar o coleccionar una parte del sistema alterará otros componentes </li></ul></ul><ul><ul><li>Es imposible capturar completamente un sistema completo en un punto en el tiempo </li></ul></ul><ul><li>Si no se puede evitar el cambio, entonces documentarlo y justificarlo </li></ul>El proceso: (2) Preservar: Principio de Heinsenberg 4 3 2 1
  20. 20. El proceso: (2) Preservar: Cadena de custodia <ul><li>Registro de todas las operaciones sobre la evidencia </li></ul><ul><li>Disponible </li></ul><ul><li>El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué </li></ul><ul><li>El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial </li></ul>Ciclo de vida de la Evidencia Cadena de custodia 4 3 2 1 4 Presentar 3 Analizar 2 Preservar 1 Identificar
  21. 21. El proceso: (2) Preservar: diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Power Off What Was The point?  Make Images Back @ lab, Analyze Copies, Reconstruct Computers, Analyze “ artifacts” Investigate online, run “ last”, etc. NO NO NO YES YES YES 4 3 2 1 Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació
  22. 22. El proceso: (2) Preservando <ul><li>Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal </li></ul><ul><li>1. Copiar </li></ul><ul><li>2. Generar checksums de copias y originales </li></ul><ul><li>3. Verificar checksums </li></ul><ul><li>4. Time stamping </li></ul><ul><ul><li>Estampar sello de tiempo a checksums </li></ul></ul><ul><ul><li>Fecha checksum = Fecha de copia = Fecha documento </li></ul></ul><ul><li>5. Documente: quién, dónde, cuándo, por qué </li></ul><ul><li>6. Dar copia a custodio </li></ul><ul><ul><li>Custodio da copias a otros investigadores </li></ul></ul><ul><ul><li>Documenta cadena de custodia </li></ul></ul><ul><ul><li>Pocos custodios, pocos testificantes </li></ul></ul>4 3 2 1
  23. 23. El proceso: (3) Analizar <ul><li>Extrae: Puede dar algo no humanamente legible </li></ul><ul><li>Procesa: Lo hace humanamente legible </li></ul><ul><li>Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas </li></ul>4 3 2 1
  24. 24. El proceso: (3) Analizando <ul><li>Estado de arte del análisis </li></ul><ul><li>Usar metodología: receta de cocina + experiencia </li></ul><ul><li>Recomendaciones: </li></ul><ul><ul><li>Correlacionar logs: por IP, por tiempo </li></ul></ul><ul><ul><li>Sincronización: </li></ul></ul><ul><ul><ul><li>Tiempo de sincronización </li></ul></ul></ul><ul><ul><ul><li>Tiempo de zona </li></ul></ul></ul><ul><ul><ul><li>Retraso de eventos </li></ul></ul></ul><ul><ul><ul><li>Orden cronológico de eventos </li></ul></ul></ul><ul><ul><li>Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? </li></ul></ul><ul><ul><li>Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros </li></ul></ul>4 3 2 1
  25. 25. El proceso: (3) Analizar: resultados <ul><li>Gestión de versiones de documentos/bitácoras </li></ul><ul><li>Reconstrucción cronológica de eventos </li></ul><ul><li>Diagramas: estático y dinámico </li></ul>4 3 2 1
  26. 26. El proceso: (4) Presentar <ul><li>Implica la presentación a: </li></ul><ul><ul><li>A la administración </li></ul></ul><ul><ul><li>Fuerza de la ley </li></ul></ul><ul><ul><li>Abogados </li></ul></ul><ul><ul><li>En procesos judiciales </li></ul></ul><ul><li>Incluye la manera de la presentación, contenido y legibilidad </li></ul><ul><li>Se sustenta el proceso empleado para obtener la evidencia </li></ul><ul><li>La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida , la falla en ello puede causar que la evidencia sea inadmisible </li></ul><ul><li>La experiencia y habilidades están en juego </li></ul>4 3 2 1
  27. 27. El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 <ul><li>Denuncia – Conocimiento delito público </li></ul><ul><li>Recogida de evidencias del delito (inspección ocular) </li></ul><ul><li>Búsqueda de información y referencias identificativas </li></ul><ul><li>Resolución de “datos de tráfico” y referencias identificativas </li></ul><ul><li>Identificación y localización </li></ul><ul><li>Vigilancia </li></ul><ul><li>Interceptación </li></ul><ul><li>Registro e incautación </li></ul><ul><li>Análisis forense de sistema y soportes intervenidos </li></ul><ul><li>Informe policial incriminatorio </li></ul>IDENTIFICACIÓN Qué ha pasado? Cómo lo ha hecho INVESTIGACIÓN Quién lo ha hecho? INCRIMINACIÓN ? 4 Presentar 3 Analizar 2 Preservar 1 Identificar Guardia Civil Grupo de Delitos Telemáticos
  28. 28. Iniciativas 1 <ul><li>Buenas prácticas para Informática Forense, herramientas </li></ul><ul><li>Pretenden dar ayuda a todos los involucrados en el proceso </li></ul><ul><li>No sólo técnicas </li></ul><ul><li>No específicas </li></ul><ul><li>Estándar, es necesario apoyo de todos </li></ul><ul><li>Interoperables </li></ul><ul><ul><li>Que se puedan utilizar a lo largo del proceso de gestión de un incidente informático </li></ul></ul><ul><ul><li>Legal, judicial, policial, técnico </li></ul></ul><ul><li>Para que sea válido e irrefutable </li></ul><ul><ul><li>Abierto, libre </li></ul></ul><ul><ul><li>Multi-operable </li></ul></ul><ul><ul><li>Apoyo de todos: comunidad, institucional </li></ul></ul>
  29. 29. Iniciativas 2 <ul><li>Comunidad </li></ul><ul><ul><li>Forensics - SecurityFocus </li></ul></ul><ul><ul><li>[email_address] </li></ul></ul><ul><li>Instituional </li></ul><ul><ul><li>AEFTIC – http://www.aeftic.org </li></ul></ul><ul><ul><ul><li>Fin genérico: La investigación, estudio, publicación y difusión a través de cualquier medio de todo lo relativo a seguridad tecnológica y jurídica en el ámbito de las nuevas tecnologías, así como el diseño y ejecución de programas de formación sobre esta materia a todos los niveles, ya sea directamente o a través de otras instituciones: Administraciones Públicas, Universidades, Colegios Profesionales, Sindicatos, Cámaras de Comercio y otras fundaciones, asociaciones y empresas. </li></ul></ul></ul><ul><ul><li>esCERT-UPC – http://escert.upc.es </li></ul></ul><ul><ul><ul><li>Fin: Educación. gestión y soporte a incidentes de seguridad. </li></ul></ul></ul><ul><ul><li>..... </li></ul></ul>
  30. 30. Referencias 1 <ul><li>Senado - Comisión Especial sobre Redes Informáticas - http://www.senado.es/comredinf </li></ul><ul><li>Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia - http://www.gencat.net/dji </li></ul><ul><li>Inspector BIT - PN : Antonio López Melgarejo </li></ul><ul><li>http://www.uoc.edu/in3/dt/20076 </li></ul><ul><li>Dan Farmer - http ://www.fish.com/security </li></ul><ul><li>Trends & Issues in Crime and Criminal Justice http ://www.aic.gov.au/publications/tandi/index.html </li></ul><ul><li>FIRST Conference on Computer Security, Incident Handling & Response 2001 http ://www.first.org/events/progconf/2001/progs.htm </li></ul><ul><li>Recovering and Examining - Computer Forensic Evidence http ://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm </li></ul><ul><li>Federal Guidelines For Searching And Seizing Computers http ://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm </li></ul>
  31. 31. Referencias 2 <ul><li>Forensic Tool en @Stake http://www.atstake.com/research/tools/forensic </li></ul><ul><li>Reserch reports en @Stake http://www.atstake.com/research/reports/index.html </li></ul><ul><li>Asociaciones Internacionales sobre Computer Forensics http ://www.iacis.com , http://www.htcia.org </li></ul><ul><li>Importance of a Standard Methodology in Computer Forensics http ://www.sans.org/rr/incident/methodology.php </li></ul><ul><li>Intrusion Investigation And Post-Intrusion, Computer Forensic Analysis ftp ://ftp.net.ohio-state.edu/pub/users/romig/other-papers/intrusion%20investigation.doc </li></ul><ul><li>National Software Reference Library (NSRL) Project http ://www.nsrl.nist.gov </li></ul><ul><li>Computer Forensics Tool Testing (CFTT) Project http ://www.cftt.nist.gov </li></ul><ul><li>Open Source Software As A Mechanism To Assess Reliability For Digital Evidence http ://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html </li></ul><ul><li>September 2000 Market Survey, Computer Forensics http :// www.scmagazine.com / scmagazine /2000_09/ survey / survey.html </li></ul>
  32. 32. Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació Piqué Abogados Asociados
  33. 33. Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15.Mayo.2003) C/ Jordi Girona, 29. Edificio Nexus II, 1 B 08034 Barcelona ~ España Tel. (34)934137947 ~ Fax. (34)934137946

×