Documentos de Académico
Documentos de Profesional
Documentos de Cultura
17 de Mayo de 2004
Buenos Aires - ARGENTINA
1
© 2004 CYBSEC S.A.
Análisis Forense Informático
Temario
2
© 2004 CYBSEC S.A.
Análisis Forense Informático
4500
4000
3500
3000
2500 Vulnerabilities
2000 Reported
1500
1000
500
0
2003 (Est)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Source: CMU Computer Emergency Response Team
3
© 2004 CYBSEC S.A.
Análisis Forense Informático
Crecimiento de incidentes
Network Incidents Reported
180000
160000
140000
120000
100000 Network
80000
60000 Incidents
40000 Reported
20000
0
2003 (Est)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Source: CMU Computer Emergency Response Team
4
© 2004 CYBSEC S.A.
Análisis Forense Informático
5
© 2004 CYBSEC S.A.
Análisis Forense Informático
6
© 2004 CYBSEC S.A.
Análisis Forense Informático
Evidencia Digital
7
© 2004 CYBSEC S.A.
Análisis Forense Informático
8
© 2004 CYBSEC S.A.
Análisis Forense Informático
Parte del
proceso judicial
en relación al
análisis forense
informático
9
© 2004 CYBSEC S.A.
Análisis Forense Informático
Proceso general
Leyes locales.
11
© 2004 CYBSEC S.A.
Análisis Forense Informático
Problemas jurisdiccionales
12
© 2004 CYBSEC S.A.
Análisis Forense Informático
13
© 2004 CYBSEC S.A.
Análisis Forense Informático
Metodología utilizada
14
© 2004 CYBSEC S.A.
Análisis Forense Informático
Metodología utilizada
15
© 2004 CYBSEC S.A.
Análisis Forense Informático
Identificar la evidencia
16
© 2004 CYBSEC S.A.
Análisis Forense Informático
Discos rígidos.
- Archivos de SWAP.
- Archivos temporales.
- Espacio no asignado en el disco.
- Espacio File-Slack.
Memoria y procesos que se encuentran ejecutando.
Diskettes, CD-ROMS, DVD’s, ZIP, Jaz, Tapes.
Archivos de logs.
Backups.
17
© 2004 CYBSEC S.A.
Análisis Forense Informático
Preservar la evidencia
Se debe tratar de no realizar ningun cambio sobre la misma.
Se deben registrar y justificar todos los cambios.
Realizar un by-pass del sistema operativo y crear por “fuera”
un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rígido o
CD-ROM.
Se debe realizar una documentación de todo el proceso de la
generación de imagenes.
Se deben autenticar todos los archivos e imágenes utilizadas
con hashes MD5 o SHA1.
19
© 2004 CYBSEC S.A.
Análisis Forense Informático
Disk to be Imaged
Last Sector
First Sector
Image File
20
© 2004 CYBSEC S.A.
Análisis Forense Informático
Orden de volatilidad
21
© 2004 CYBSEC S.A.
Análisis Forense Informático
Analizar la evidencia
22
© 2004 CYBSEC S.A.
Análisis Forense Informático
Presentar la evidencia
23
© 2004 CYBSEC S.A.
Análisis Forense Informático
Cadena de custodia
24
© 2004 CYBSEC S.A.
Análisis Forense Informático
Discos rígidos.
Diskettes.
CD-ROM’s.
ZIP drive.
Tape backups.
Dispositivos USB (Discos virtuales).
Memory Sticks – Cámaras de fotos.
PDA’s.
25
© 2004 CYBSEC S.A.
Análisis Forense Informático
- Linux - FDISK
Device Boot Start End Blocks Id System
/dev/hda1 1 62 497983+ 82 Linux swap
/dev/hda2 63 2494 19535040 83 Linux
Linux:~# fdisk
26
© 2004 CYBSEC S.A.
Análisis Forense Informático
Diskettes.
Baja utilización de diskettes de 3 ½. y 5 ¼.
Poca capacidad – 1.440Kbytes (3 ½).
Acceso a la información.
27
© 2004 CYBSEC S.A.
Análisis Forense Informático
CR-ROMS.
Amplia utilización.
Difusión masiva.
Elevada capacidad – 650 – 700 Mb.
Formatos estándares.
28
© 2004 CYBSEC S.A.
Análisis Forense Informático
Tape Backups.
Memory Sticks
(Cámaras fotográficas).
29
© 2004 CYBSEC S.A.
Análisis Forense Informático
PDA’s.
Memoria de la Agenda.
30
© 2004 CYBSEC S.A.
Análisis Forense Informático
Imágenes
IMAGEN
31
© 2004 CYBSEC S.A.
Análisis Forense Informático
Procedimiento de
Identificación y Preservación
de la Evidencia
32
© 2004 CYBSEC S.A.
Análisis Forense Informático
Sistema PC PC PC
Victima
DHCP
Dialup
NAT
Lanzamiento TelCo
del Ataque RED Interna
Modems
Terminal
¿Dónde esta la evidencia? Auth Server
Server
33
© 2004 CYBSEC S.A.
Análisis Forense Informático
34
© 2004 CYBSEC S.A.
Análisis Forense Informático
¿Secuestrar SI Capturar
Documentar Volatiles? Volátiles
la Escena
NO NO ¿Es necesario
Investigar?
Apagar
SI
¿Hacer Investigar
¿Por qué? NO Imágenes? ON-SITE
SI
Hacer En el Laboratorio,
Imágenes comenzar la fase
de Análisis.
36
© 2004 CYBSEC S.A.
Análisis Forense Informático
¿Qué llevar?
Memoria, swap y contenido de directorios temporales.
Conexiones de red actuales, puertos abiertos, interfaces
promiscuas, archivos relacionados con los puertos.
Procesos, archivos abiertos por los procesos.
WINHEX
Editor de discos, memorias, procesos.
39
© 2004 CYBSEC S.A.
Análisis Forense Informático
WINHEX
Capturar la memoria RAM.
40
© 2004 CYBSEC S.A.