Delitos Informáticos. Análisis Forense

11,527 views

Published on

Delitos Informaticos. Primer nivel de analisis forense. Nuevas Tecnologias.

Congreso Internacional de Igeniería Forense INGEFOR. Madrid. Octubre 2008

Published in: Technology
1 Comment
5 Likes
Statistics
Notes
No Downloads
Views
Total views
11,527
On SlideShare
0
From Embeds
0
Number of Embeds
361
Actions
Shares
0
Downloads
431
Comments
1
Likes
5
Embeds 0
No embeds

No notes for slide

Delitos Informáticos. Análisis Forense

  1. 1. Delitos informáticos. Primer nivel de análisis informático. Nuevas tecnologías de análisis forense.por Pablo Llanos <br />
  2. 2. <ul><li>Se ocupa de adquirir, preservar y presentar datos que han sido procesados electrónicamente y guardados en un medio informático.
  3. 3. OBJETIVOS:
  4. 4. Recrear qué ha ocurrido en un dispositivo digital.
  5. 5. Analizar y esquematizar incidencias de forma que se impida la repetición de incidencias similares en el futuro.
  6. 6. Puesta a disposición y procesado judicial de pruebas incriminatorias.</li></ul>Análisis Forense Informático<br />
  7. 7. <ul><li> Evitar la contaminación
  8. 8. Actuar metódicamente
  9. 9. Controlar la cadena de evidencias</li></ul>Principios Forenses<br />
  10. 10. Dificultades del Investigador Forense<br />Dificultad para conseguir las herramientas necesarias para guardar, preservar y presentar los datos como evidencia.<br />Averías y sabotajes en los soportes de almacenamiento.<br />Técnicas anti forenses, ocultación de datos, claves y encriptación.<br />Avalancha de soportes para analizar en una redada.<br />Burocracia: Dificultades para una realización ágil de informes.<br />Dificultades para presentar y explicar los informes ante el órgano competente.<br />
  11. 11. <ul><li>Estudio Preliminar
  12. 12. Adquisición de Datos
  13. 13. Recuperación de Soporte en caso de Avería o Sabotaje
  14. 14. Recuperación de Datos Ocultos o Borrados
  15. 15. Análisis de las evidencias
  16. 16. Generación de Informes
  17. 17. Presentación de las pruebas
  18. 18. Esterilización de los equipos del laboratorio</li></ul>Metodología: <br />Proceso Forense Informático<br />
  19. 19. Recoger la mayor información posible sobre:<br /><ul><li> Qué ha ocurrido, qué se llevaron o intentaron llevar y cuándo ocurrió.
  20. 20. Organización, topología de red, usuarios con acceso, sistemas afectados.
  21. 21. Estado físico del disco, causas del posible fallo, sistema operativo, sistema de archivos.
  22. 22. Necesidad de una posible investigación en caliente.</li></ul>Estudio Preliminar<br />
  23. 23. Investigación en caliente<br />
  24. 24. Investigación en caliente<br />Debido a que las evidencias en un disco sospechoso no se pueden alterar, la investigación y el análisis de los datos <br />se realiza habitualmente en un <br />laboratorio especializado.<br />Shadow es una herramienta de investigación diseñada para habilitar la investigación del disco duro en la máquina sospechosa. <br />Permite utilizar el ordenador sospechoso para analizar el contenido del Disco Duro utilizando cualquier herramienta de software ya instalada en el ordenador o instalando software de análisis y recuperación de datos.<br />
  25. 25. Investigación en caliente<br /><ul><li> Puede arrancar bajo cualquier O.S.
  26. 26. Es posible realizar un estudio de los procesos del sistema (memoria, </li></ul>registro, logs, cookies, Ntuser.dat, eventos, Pagefile.sys, etc.)<br /><ul><li> Es posible acceder a los datos </li></ul>Borrados in situ instalando herramientas especificas.<br /><ul><li> Puede ser utilizado como </li></ul>write-blocker para no alterar las pruebas.<br />
  27. 27. Investigación en caliente<br />Los cambios son escritos en un HD que se encuentra en el interior de la unidad Shadow. No quedan restos en el Disco Duro sospechoso.<br />Si se considera conveniente, después de ver la evidencia de primera mano, siempre se puede decidir embalar y etiquetar para mandarlo a un laboratorio, las pruebas no habrán sido contaminadas.<br />
  28. 28. <ul><li>Los datos digitales adquiridos de copias no se deben alterar de los originales del disco, ya que esto invalidaría la evidencia.
  29. 29. Los investigadores deben revisar que sus copias sean exactas a las del disco sospechoso.
  30. 30. Para esto sirve la comprobación de la integridad criptográfica mediante funciones hash. </li></ul>Adquisición de Datos: Clonado<br />
  31. 31. <ul><li>Digest: Número característico utilizado para la verificación de la autenticidad de datos, que detectan cualquier cambio que haya ocurrido en los archivos.
  32. 32. Función Hash: Hace posible obtener un hash (resumen de mensaje) de un dato, creando una serie corta de caracteres que representan al dato al cual se le aplica esta función hash.
  33. 33. Algoritmos Hash más utilizados: MD5 (128bits), SHA1 (160bits) </li></ul>Clonado: Integridad Criptográfica<br />
  34. 34. Clonado por Software<br />Dependemos de la velocidad del PC y de sus características y estabilidad para la velocidad del clonado.<br />La mayoría de las herramientas por software dejan marca en el disco al arrancarlo, con lo cual se produce una contaminación. <br />Esto provoca que haya que utilizar herramientas write-blockers que ralentizan aun más el proceso e clonado.<br />Cuelgues. Sobretodo en zonas de sectores defectuosos.<br />Necesitamos llevar un ordenador para hacerlo in-situ.<br />
  35. 35. <ul><li>No es necesario llevar encima nada más que la clonadora y el disco de destino.
  36. 36. Más velocidad. (Hasta 6 veces más rápido que el PC más veloz)
  37. 37. No es necesario el uso de write-blockers, no marca el disco sospechoso.
  38. 38. Comprobación al vuelo de las funciones hash.
  39. 39. No dependemos del hardware del PC y de su buen funcionamiento.</li></ul>Clonado: HardCopy II<br />
  40. 40. <ul><li> Clona y realiza imágenes de discos.
  41. 41. Realiza imágenes de tipo raw que pueden ser analizadas con EnCase.
  42. 42. Verifica la integridad criptográfica de la imagen mediante un hash MD5 y lo escribe en un archivo de cabecera asociado con la imagen.. Notifica las disparidades si las hay.
  43. 43. Se recupera de errores de lectura en sectores defectuosos del disco sospechoso.
  44. 44. Con sectores defectuosos recálcula o aborta el hashing.
  45. 45. Rellena el sector que falla con un valor especificado y sigue al hash con estos valores de reemplazo insertados.
  46. 46. Permite realizar un borrado seguro de los discos cuando sea necesario “esterilizar” el material del laboratorio</li></ul>Clonado: HardCopy II<br />
  47. 47. <ul><li>En las intervenciones normalmente encontramos dispositivos en funcionamiento.
  48. 48. Pero no debemos desestimar ningún dispositivo que pueda contener información relevante por estar defectuoso.
  49. 49. Tenemos disponibles recursos de recuperación de datos para la mayoría de averías que se presentan.
  50. 50. ¡Incluidas las intencionadas!</li></ul>Discos Duros defectuosos<br />
  51. 51. Disco Duro<br /><ul><li>Es un dispositivo compuesto por partes mecánicas, electrónicas, electromagnéticas y digitales.
  52. 52. Ante una avería intencionada o no, cualquiera de estas partes se puede reparar con el objetivo de recuperar la información almacenada.</li></li></ul><li>Averías más comunes y porcentaje de éxito en su recuperación<br />
  53. 53. <ul><li>Cabezas rotas o desmagnetizadas
  54. 54. Paradas de motor.
  55. 55. Fallos en bloque mecánico.
  56. 56. Platos magnéticos contaminados.</li></ul>Todas esta averías necesitan de la apertura del soporte en cámara limpia en un laboratorio especializado<br />Averías Mecánicas<br />
  57. 57. <ul><li> Circuitos integrados quemados debidos a sobretensiones
  58. 58. Cortocircuitos</li></ul>Estas averías se reparan sustituyendo los componentes dañados. Pueden llevar asociados problemas en el Firmware<br />Averías Electrónicas <br />
  59. 59. En los platos hay una zona llamada System Area que el microprocesador de la placa del disco utiliza para operar en la unidad.<br />En ella se almacena el Firmware, la información SMART, las tablas de sectores defectuosos, las tablas de configuración del disco, el password, etc.<br />Si un disco tiene daños en la System Area queda inutilizado.<br />Estas averías se solucionan reprogramando el firmware del disco con herramientas que se comunican con el HD a bajo nivel. <br />Averías en el Firmware <br />
  60. 60. Geometría del Disco Duro<br /><ul><li>Pistas: Sucesión de bits en rutas circulares formadas por sectores contiguos.
  61. 61. Cilindros: Serie de pistas alineadas verticalmente.
  62. 62. Sectores: Unidad más pequeña de almacenamiento del disco.
  63. 63. Clusters: Mínimo espacio en disco que es posible asignar a un archivo.
  64. 64. FAT: Tabla de asignación de archivos. Se encarga de controlar los clústeres que se asignan.</li></li></ul><li><ul><li> Pérdida de FAT
  65. 65. Sectores Defectuosos
  66. 66. Archivos borrados
  67. 67. Soportes Formateados</li></ul>Estas averías se solucionan mediante herramientas software de recuperación de datos<br />Averías Lógicas<br />
  68. 68. Actualmente conviven en <br />el mercado un sinfín de herramientas de recuperación de datos, tanto de carácter general como especifico.<br />Estas herramientas aprovechan la geometría del disco para recuperar la información.<br />Averías Lógicas<br />
  69. 69. <ul><li> Gestores de Correo: Outlook, Outlook Express, Thuderbird, Eudora, Exchange, Lotus Notes
  70. 70. Emails Web: Hotmail, Gmail, Yahoo. Etc.
  71. 71. Exploradores: Internet Explorer, Firefox, Google Chrome, Safari.</li></ul>Recuperación de Correo Electrónico<br />
  72. 72. Una vez adquiridos los datos necesitamos analizarlos, para ello existen diferentes herramientas de Sofware Forense:<br /><ul><li> EnCase Forensics
  73. 73. Access Data
  74. 74. WinHex
  75. 75. Helix</li></ul>Analisis de las Evidencias<br />
  76. 76.
  77. 77. <ul><li> Copiado Comprimido de Discos Fuente.
  78. 78. Búsqueda y Análisis de Múltiples partes de archivos adquiridos
  79. 79. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo
  80. 80. Análisis Compuesto del Documento
  81. 81. Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
  82. 82. Firmas de archivos, Identificación y Análisis.
  83. 83. Análisis Electrónico Del Rastro De Intervención
  84. 84. Soporte de Múltiples Sistemas de Archivo
  85. 85. Vista de archivos y otros datos en el espacio Unallocated
  86. 86. Integración de Reportes
  87. 87. Visualizador Integrado de imágenes con Galería</li></ul>EnCase: El estándar de Analisis Forense<br />
  88. 88. Presentación de Resultados<br />
  89. 89. ¿Y si presentamos las pruebas “en caliente”?<br />Shadow puede ser un medio eficaz para presentar las pruebas de forma visual al tiempo que el investigador las explica. <br />Todos estamos familiarizados con el entorno gráfico de un sistema operativo.<br />Jueces, jurados o defensa ven qué ha ocurrido directamente sobre el ordenador sospechoso sin alterar ninguna evidencia.<br />Presentación de Resultados<br />
  90. 90. Esterilización del Material<br />Una vez terminada la investigación es necesario esterilizar el material utilizado para no dejar restos en los discos que utilizaremos en siguientes investigaciones.<br />Hardcopy II Permite realizar un borrado seguro y rápido de los discos cuando sea necesario “esterilizar” el material del laboratorio<br />
  91. 91. Hasta aquí ha llegado nuestro proceso de análisis forense.<br />Muchas gracias por su atención y buena suerte en el futuro<br />

×