Analisis Forense Busca De Evidencias

5,217 views

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,217
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
404
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Analisis Forense Busca De Evidencias

  1. 1. Análisis forense y herramientas Módulo 1. Entendiendo el problema
  2. 2. Análisis forense y herramientas La auditoría forense o informática forense Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológicas que permiten: identificar, preservar, analizar y presentar datos que sean válidos dentro de un “proceso legal”. Se persigue la búsqueda de evidencias Antonio Ramos / Jean Paúl García 2008/2009 2
  3. 3. Análisis forense y herramientas Dichas técnicas incluyen: • Reconstruir el bien informático. • Examinar datos residuales. • Autenticar datos. • Explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Antonio Ramos / Jean Paúl García 2008/2009 3
  4. 4. Análisis forense y herramientas El análisis forense informático será siempre un proceso reactivo que la organización acomete ante eventuales problemas de seguridad interna o externa. En mucha ocasiones intentando que sus resultados “objetivos” tengan un valor legal como evidencias antes un tribunal. Este proceso podrá o no podrá finalizar de este modo. Antonio Ramos / Jean Paúl García 2008/2009 4
  5. 5. Análisis forense y herramientas Razones por la cuales será necesario el análisis forense: Sospechas de actos no autorizados dentro de la organización. Ataques contra los sistemas informáticos de la organización. Sustracción de información sensible o confidencial de la organización. Intentar probar autorías o no autorías ante una acusación. Antonio Ramos / Jean Paúl García 2008/2009 5
  6. 6. Análisis forense y herramientas Se analizarán las dos principales vertientes 1. Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias. 2. Análisis forense en sistemas telemáticos orientado a la detección de actividades no autorizadas. Nota: tener en cuenta que aunque las herramientas utilizadas podrán variar de una a otra los pasos del proceso de análisis a seguir tienen la misma estructura y son requisitos de este. Antonio Ramos / Jean Paúl García 2008/2009 6
  7. 7. Análisis forense y herramientas Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias El proceso es el siguiente: - Identificación. - Preservación. - Recuperación y Análisis. - Presentación de resultados objetivos. - Destrucción segura del bien clonado (información). Antonio Ramos / Jean Paúl García 2008/2009 7
  8. 8. Análisis forense y herramientas Identificación Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para tomar la mejor decisión a la hora de la búsqueda de información. A su vez resulta crítico tener información sobre el equipo informático, posición y uso en la red a si como datos relativos a los problemas detectados que evidenciaron la necesidad de la auditoria forense. En esta etapa debe quedar claro el procedimiento a seguir en función de los datos aportados. Antonio Ramos / Jean Paúl García 2008/2009 8
  9. 9. Análisis forense y herramientas Preservación Este paso incluye la revisión y generación de un clonado bit a bit del dispositivo (imagen o cd ...) que vaya a ser estudiado. Es imprescindible salvaguardar la integridad de los datos realizando una comprobación del checksum del original y de la copia creada. Antonio Ramos / Jean Paúl García 2008/2009 9
  10. 10. Análisis forense y herramientas Se deberá trabajar en todo momento sobre la copia. Si es posible se trabajará de tal forma que no se modifique nada de la imagen creada. El original deberá guardarse y permanecer bajo custodia. Antonio Ramos / Jean Paúl García 2008/2009 10
  11. 11. Análisis forense y herramientas Dentro de esta etapa se pueden definir los siguientes pasos: 1. Montaje del dispositivo. 2. Obtener las particiones del dispositivo. 3. Realizar la suma de verificación (checksum) del dispositivo original objeto de la auditoria. 4. Creación de una imagen para trabajar con ella (clonado). 5. Una vez realizado el clonado se comprobará el checksum obtenido con el checksum del original. Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso antes de saltar a la siguiente etapa. Antonio Ramos / Jean Paúl García 2008/2009 11
  12. 12. Análisis forense y herramientas Para la realización del clonado del dispositivo objeto del análisis forense, se podrá utilizar: Software específico para la generación de clonados e imágenes. Hardware específico desarrollado para el clonado de dispositivos. Nota: Las diferencias pueden ser notables en tiempos empleados en realizar la operación, facilidad de uso y precio, aunque los resultados deben de ser los mismos. Antonio Ramos / Jean Paúl García 2008/2009 12
  13. 13. Análisis forense y herramientas Recuperación En este paso se utilizarán distintas herramientas diseñadas para la recuperación de datos borrados/perdidos en el dispositivo. Se recomienda el utilizar más de una herramienta de manera de asegurar con las máximas garantías la recuperación de todo dato del dispositivo que pudiera ser accedido. Antonio Ramos / Jean Paúl García 2008/2009 13
  14. 14. Análisis forense y herramientas Es importante el número de herramientas comerciales y de código abierto disponibles para la recuperación de datos, siempre dependerá del tipo de formato del dispositivo a auditar y del gusto del auditor. Entre ellas: EnCase (evaluada entre las mejores herramientas existentes por sus altas prestaciones). Sleunthkit con su entorno web Autopsy (Una posible alternativa de código libre a EnCase) OndataRecoverySoft. Herramientas para Webmailrecovery. Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel, etc.). Antonio Ramos / Jean Paúl García 2008/2009 14
  15. 15. Análisis forense y herramientas Análisis Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Antonio Ramos / Jean Paúl García 2008/2009 15
  16. 16. Análisis forense y herramientas Se pueden realizar búsquedas de: Cadenas de caracteres, fechas, horarios, palabras clave, etc. Acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo). Búsqueda de archivos específicos. Recuperación e identificación de correos electrónicos. Recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. Búsquedas realmente avanzadas mediante el uso de scripting si se esta auditando desde un sistema Linux como puede ser Backtrack. Todas estas operaciones se pueden realizar con comandos propios del sistema operativo GNU/Linux y están incluidas en los paquetes de software comercial. Antonio Ramos / Jean Paúl García 2008/2009 16
  17. 17. Análisis forense y herramientas También a la hora de hacer una auditoría forense uno de los recursos que nos va a dar información relevante y probablemente información crítica para nuestro trabajo son los ficheros de logs de los distintos sistemas operativos. En sistemas Windows estos se pueden encontrar en “c:windowssystem32config” . En sistemas *NIX los logs se pueden encontrar en “/var/log”. Nota: También se comentará la importancia de los logs generados y guardados en servidores, dispositivos, servicios y bases de datos. Antonio Ramos / Jean Paúl García 2008/2009 17
  18. 18. Análisis forense y herramientas Presentación Una vez obtenidas las evidencias ya sea de archivos del sistema o archivos recuperados se debe realizar un informe que cubra todo el proceso realizado explicando paso a paso lo acontecido y las pruebas encontradas así como la metodología utilizada. Antonio Ramos / Jean Paúl García 2008/2009 18
  19. 19. Análisis forense y herramientas Es importante que este informe no este cargado de tecnicismos y sea relativamente fácil de leer y entender por cualquier persona no especializada en informática, ya que los análisis forenses pueden terminar generando procesos judiciales en los que este informe será una pieza clave en su desarrollo. Antonio Ramos / Jean Paúl García 2008/2009 19
  20. 20. Análisis forense y herramientas Destrucción segura del bien clonado Será primordial si el bien clonado no va a permanecer custodiado o no es demandado por la empresa en el proceso, su correcta destrucción y certificación de esta destrucción. Antonio Ramos / Jean Paúl García 2008/2009 20
  21. 21. Análisis forense y herramientas Fuentes para consulta y herramientas: Helix Linux: distribución especializada en análisis forense www.e- fense.com/helix Fire Linux: http://biatchux.dmzs.com The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php Autopsy Forensics Browser. http://www.sleuthkit.org/autopsy/index.php Sysinternals web site. http://www.sysinternals.com Foundstone free forensic tools. http://www.founstone.com National Software Referente Library. http://www.nsrl.nist.gov Herramientas para manejar NTFS desde Linux. http://www.linux- ntfs.org/doku.php?id=ntfsprogs Y probablemente la URL mas importante http://www.google.com Antonio Ramos / Jean Paúl García 2008/2009 21
  22. 22. Análisis forense y herramientas Desarrollo práctico con los alumnos de algunas fases del proceso forense y uso de herramientas Prueba de concepto Antonio Ramos / Jean Paúl García 2008/2009 22

×