h2jose@gmail.

com

Informtica Forense
Conceptos Bsicos Definicin Metodologa Bsica Anlisis de la comunicacin de datos Herramientas Ventajas de Linux como herramienta de anlisis forense

Conceptos Basicos
Si hay un forense es que hubo o hay sospecha de un crimen

El Crimen Informtico
Crimen Informtico en sentido estricto
Cualquier comportamiento ilegal, dirigido por medio de operaciones electrnicas que tengan como objetivo la seguridad de sistemas informticos y de los datos que procesan

Crimen Informtico en sentido amplio

Cualquier comportamiento ilegal cometido con un sistema informtico o una red, incluyendo crmenes como la posesin ilegal, la oferta y la distribucin de informacin

Informtica Forense
DEFINICION Es la aplicacin de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal
Hubo un crimen

Objetivos de la Informtica Forense

Reconstruir el bien informtico Examinar datos residuales Autenticar datos

Alcance de la Informtica Forense

Extraccin Conservacin Identificacin Documentacin Interpretacin Presentacin de las evidencias digitales

Metodologa Bsica
1. Adquirir las evidencias 2. Comprobar (Autenticar) las evidencias 3. Analizar los datos sin modificarlos

Metodologa Bsica
1. Adquirir las evidencias

Sin alterar ni daar el original. Detenerlo y examinar una copia de los datos originales:
No se puede examinar un sistema presuntamente comprometido utilizando las herramientas que se encuentran en dicho sistema pues estas pueden estar afectadas.

La Cadena de Custodia documenta el proceso completo de las evidencias durante la vida del caso:
Quin la recogi y donde, quien y como la almacen, quin la proces etc. Cada evidencia deber ser identificada y etiquetada a ser posible en presencia de testigos, con el nmero del caso, una breve descripcin, la firma y la fecha en que fue recogida

Metodologa Bsica
2. Comprobar (Autenticar) Se debe Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de la investigacin son idnticas a las abandonadas por el delincuente en la es cena del crimen. Data corrupta, gener conclusiones corruptas.

Metodologa Bsica
3. Analizar los datos sin modificarlos. Es crucial proteger las evidencias fsicas originales trabajando con copias idnticas de forma que en caso de error se pueda recuperar la imagen original y continuar con el anlisis de forma correcta.
Copias deben ser clones realizados bit a bit del dispositivo original Control de integridad de la copia antes de comenzar el anlisis

Evidencia Digital Vs Evidencia Fsica

Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera el original. Con herramientas adecuadas es fcil determinar si la evidencia ha sido modificada o falsificada. Es relativamente difcil destruir una evidencia digital. Incluso borrndola puede ser recuperada del disco.

Anlisis de la comunicacin de datos

1. Intrusin en una red de computadoras o mal uso de la misma. 2. Interceptacin de datos.

Anlisis de la comunicacin de datos

Intrusin en una red de computadoras o mal uso de la misma.
a) Deteccin de la intrusin. b) Detectar la evidencia, capturarla y preservarla; y c) Reconstruccin de la actividad especfica o del hecho en s.

Anlisis de la comunicacin de datos

Intrusin en una red de computadoras o mal uso de la misma.
Identificar y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modificacin del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.

Anlisis de la comunicacin de datos

Antes de realizar un anlisis se debe tener en cuenta la siguiente informacin
a) sistema operativo afectado. b) inventario de software instalado en el equipo c) tipo de hardware del equipo d) accesorios y/o perifricos conectados al equipo e) si posee firewall m) el pc esta dentro del DMZ f) si esta en el mbito del DMZ (Zona desmilitarizada) g) conexin a internet n) existe IDS o) cuantos equipos en red k) forma de almacenamiento de la informacin (cifrada o no) l) personas con permisos de acceso al equipo h) configuracin i) parches y/o actualizaciones de software j) polticas de seguridad implementadas

Herramientas
Cmputo Forense Anlisis de discos duros Anlisis de correo electrnico Anlisis de Usb

Herramientas del Cmputo Forense

Sleuth Kit (Forensics Kit) Py-Flag (Forensics Browser) netcat (Command Line) Autopsy (Forensics Browser for Sleuth Kit) dcfldd (DD Imaging Tool command line tool and also works with AIR) foremost (Data Carver command line tool) Air (Forensics Imaging GUI) cryptcat (Command Line) NTFS-Tools qtparted (GUI Partitioning Tool) regviewer (Windows Registry) Viewer md5deep (MD5 Hashing Program)

Herramientas
Anlisis de discos duros
AccessData Forensic ToolKit (FTK) Guidance Software EnCase

Anlisis de disco duro

Paraben

Anlisis de usb
USBdeview

Ventajas de linux en el anlisis forense

Linux es un entorno ideal en el cual realizar tareas de anlisis forense pues est dotado de gran variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la realizacin de un anlisis exhaustivo de un sistema comprometido.

Ventajas de linux en el anlisis forense

Captura de todo los tecleado en el sistema:
# script a fichero

Transferir va red la informacin del servidor afectado a otro sistema en el cual realizar el anlisis:
# nc l p puerto > fichero de salida

Captura de pantalla con x-view:

# xwd display direccionIP:0 root > pantalla.xwd

Ventajas de linux en el anlisis forense

Captura de la memoria:
# strings /dev/mem | more

Anlisis conexin de red:

# netstat pan | more

Copia de disco duro y sistema de arhivo:

# dd if=/dev/zero of=/dev/fd0

No hay crimen impune

La desconfianza es madre de la seguridad. (Aristfanes)

Muchas Gracias
Preguntas ??