Forence

505 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
505
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Forence

  1. 1. NO HAY MAS TINIEBLAS QUE LA IGNORANCIA Realizado por juan esteban
  2. 2. QUE CONOCEMOSQUE CONOCEMOS DEFINICIONESDEFINICIONES PROCEDIMIENTO FORENSEPROCEDIMIENTO FORENSE GENERALGENERAL DESCANSODESCANSO ANALISIS FORENSE EN ENTORNOSANALISIS FORENSE EN ENTORNOS WINDOWSWINDOWS HERRAMIENTAS VARIASHERRAMIENTAS VARIAS
  3. 3. QUE APRENDIMOS ENQUE APRENDIMOS EN MUNDO HACKER I:MUNDO HACKER I: FORMAS DE ATAQUE EN LA RED SPAM SPYWARE ADWARE INGENIERIA SOCIAL
  4. 4. QUE PODEMOS HACER?
  5. 5. ANALISIS DEL RIESGOANALISIS DEL RIESGO Proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo de la prevención de esta pérdida. Su análisis no sólo lleva a establecer un nivel adecuado de seguridad: permite conocer mejor el sistema que vamos a proteger.
  6. 6. ANALISIS DEL RIESGOANALISIS DEL RIESGO BB >> PP ∗∗ L ?L ? – BB: Peso o carga que significa la: Peso o carga que significa la prevención de una pérdida específica.prevención de una pérdida específica. – PP: Probabilidad de ocurrencia de una: Probabilidad de ocurrencia de una pérdida específica.pérdida específica. – LL: Impacto total de una pérdida: Impacto total de una pérdida específica.específica.
  7. 7. ANALISIS DEL RIESGOANALISIS DEL RIESGO 1. Identificación de posibles pérdidas (L) Identificar amenazas 3. Identificar posibles acciones y sus implicaciones. (B) Seleccionar acciones a implementar. 2. Determinar susceptibilidad. Posibilidad de pérdida (P)
  8. 8. La clave de una buena recuperación en caso de fallo es una preparación adecuada. Por recuperación entendemos tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior habiendo reemplazado o recuperado el máximo de los recursos y de la información. ANALISIS DEL RIESGOANALISIS DEL RIESGO PLAN DEPLAN DE CONTINGENCIACONTINGENCIA
  9. 9. Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
  10. 10. Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
  11. 11. “Forensic Computing is the process of identifying, preserving, analyzing and presenting digital evidence in a manner that is legally acceptable” (Rodney McKemmish 1999) INFORMATICAINFORMATICA FORENSEFORENSE
  12. 12. INFORMATICAINFORMATICA FORENSEFORENSE
  13. 13. INFORMATICAINFORMATICA FORENSEFORENSE Evidencia digital: Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.
  14. 14. INFORMATICAINFORMATICA FORENSEFORENSE Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
  15. 15. INFORMATICAINFORMATICA FORENSEFORENSE Objetivos 1.Investigación en Procesamiento judicial 2.ámbito organizacional 3.Errores, fallas, pérdidas de datos 4.Medidas preventivas
  16. 16. INFORMATICAINFORMATICA FORENSEFORENSE Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso ade- cuado o de las buenas prácticas de utilización de los sistemas informáticos.
  17. 17. INFORMATICAINFORMATICA FORENSEFORENSE Incidentes de Denegación de Servicios (DoS): Incidentes de código malicioso: Incidentes de acceso no autorizado: Incidentes por uso inapropiado: Incidente múltiple:
  18. 18. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Identificación y Descripción
  19. 19. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Recolección de evidencia
  20. 20. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
  21. 21. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA SACARSACAR IMÁGENES DE DISCOSIMÁGENES DE DISCOS • Imágenes de un sistema “vivo”Imágenes de un sistema “vivo” –– Uso de "Uso de "dd" y "netcatdd" y "netcat" para enviar una copia" para enviar una copia bit-a-bit a un sistema remotobit-a-bit a un sistema remoto •• Tanto Windows como Unix/LinuxTanto Windows como Unix/Linux –– Para Windows puede ser más cómodo usarPara Windows puede ser más cómodo usar HELIXHELIX •• http://www.e-fense.com/helix/http://www.e-fense.com/helix/ •• Permite realizar imagen de la memoria físicaPermite realizar imagen de la memoria física –– Una vez realizada la imagen se computa unUna vez realizada la imagen se computa un hash MD5 y SHA-1hash MD5 y SHA-1
  22. 22. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA Imágenes de un sistema apagadoImágenes de un sistema apagado • Extraer disco duroExtraer disco duro • Conecta el disco a la workstation de análisis forenseConecta el disco a la workstation de análisis forense •• es recomendable que sea Linux (permite montar loses recomendable que sea Linux (permite montar los discosdiscos manualmente y en modo "read-only")manualmente y en modo "read-only") • Realiza copia con "dd"Realiza copia con "dd" •• la imagen se puede guardar en discos externosla imagen se puede guardar en discos externos Firewire/USB,Firewire/USB, almacenamiento SAN, etcalmacenamiento SAN, etc • Por supuesto, hashes MD5 y SHA-1 de original y copiaPor supuesto, hashes MD5 y SHA-1 de original y copia para garantizar integridadpara garantizar integridad
  23. 23. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA
  24. 24. Cadena de Custodia Cadena de Custodia ““LaLa cadena de custodiacadena de custodia documenta el procesodocumenta el proceso completo de las evidenciascompleto de las evidencias durante la vida del caso, quiéndurante la vida del caso, quién la recogió y donde, como lala recogió y donde, como la almacenó, quien la procesó,almacenó, quien la procesó, etc.etc. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
  25. 25. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Con la evidencia electrónica (imágenes deCon la evidencia electrónica (imágenes de discos y memoria, ficheros de datos ydiscos y memoria, ficheros de datos y ejecutables, etc.) la práctica consiste enejecutables, etc.) la práctica consiste en obtener “hashes” de la información en elobtener “hashes” de la información en el momento de su recolección, de forma quemomento de su recolección, de forma que se pueda comprobar en cualquier momentose pueda comprobar en cualquier momento si la evidencia ha sido modificada.si la evidencia ha sido modificada.
  26. 26. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Una función de hash esUna función de hash es unauna funciónfunción para resumirpara resumir o identificaro identificar probabilísticamente unprobabilísticamente un grangran conjuntoconjunto dede información,información, Sirve para comprobar que unSirve para comprobar que un archivo no ha sido modificadoarchivo no ha sido modificado o alteradoo alterado DEMOSTRACION MD5
  27. 27. Analisis de la evidencia PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Forensic toolkit2
  28. 28. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe Escrito: •Informe Ejecutivo, Breve resumen con un máximo de 5 páginas entendible por personal no técnico en el que se detallaran los aspectos más importantes de la intrusión, que medidas hubieran podido evitar que esta tuviera lugar y que recomendaciones se deberían realizar tras este ataque
  29. 29. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe técnico, donde con una mayor extensión, se debían resumir el análisis del equipo, considerándose entre otros los siguientes aspectos: •Identificación del sistema operativo atacado •Descripción de las herramientas empleadas y de los procedimientos de obtención de la información de la máquina atacada. •Determinación del origen del ataque, vulnerabilidad empleada por el atacante, descripción de la linea de tiempos del ataque •Información detallada sobre las acciones realizadas por el atacante y las herramientas que instaló este en el equipo atacado
  30. 30. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Adquisicion de datos volatiles FPORT NETSTAT IPCONFIG/ALL
  31. 31. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Analisis de LOG FILES Start  Settings  Control Panel  Administrative Tools  Event Viewer
  32. 32. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Copias de los archivos C:windowssystem32config AppEvent.Evt SecEvent.Evt SysEvent.Evt
  33. 33. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE LOS ULTIMOS ACCESOS A FICHEROS
  34. 34. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE INFORMACION DEL SISTEMA SYSTEMINFO
  35. 35. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Análisis del archivo swap METODO FILE CARVING el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos , o en el análisis de estructuras de ficheros.
  36. 36. Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco Análisis de la memoria ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS pmdump
  37. 37. Dado que Windows utiliza como referencia toda la información que se encuentra en el registro, un analista forense puede utilizar como referencia esta gran base de datos para recabar información sobre la máquina. En la base de datos de registro que se encuentra en el sistema Windows, podremos averiguar: Análisis del registro de windows ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
  38. 38. Cada sección del Registro está asociada a un conjunto de archivos estándar. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
  39. 39. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Podemos buscar información en el registro de la siguiente manera HKCUSoftwareMicrosoft WindowsCurrentVersion ExplorerComDlg32Last VisitedMRU Mantiene una lista de los archivos abiertos recientemente
  40. 40. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKCUSoftwareMicroso ftWindowsCurrentVersi onExplorerRecentDocs Contiene los documentos abiertos recientemente por el explorador HKLMSYSTEMCurren tControlSetControlSe ssion ManagerMemory Management Contiene informacion del archivo pagefile.sys
  41. 41. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce Programas que se activan al startup HKCUSoftwareMicrosoftInternet ExplorerTypedURLs
  42. 42. HKCUSoftwareMicrosoftI nternet ExplorerTypedURLs Contiene una lista de 25 urls recientes HKCUSoftwareGoogleNav Client1.1History Es posible investigar si un usuario utilizo una cuenta de messenger en un sistema comprometido ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS

×