Está en la página 1de 79

Jornadas Espacios de Ciberseguridad

Forense en Windows

Esta presentacin se publica bajo licencia Creative Commons del tipo:


Reconocimiento No comercial Compartir Igual
http://creativecommons.org/licenses/by-nc-sa/4.0/

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

INCIBE - Qu es?
El Instituto Nacional de Ciberseguridad de Espaa (INCIBE) es una sociedad dependiente del Ministerio de Industria,
Energa y Turismo (MINETUR) a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la
Informacin (SETSI).
INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos, la
red acadmica y de investigacin espaola (RedIRIS) y las empresas, especialmente para sectores estratgicos (Agenda
Digital para Espaa, aprobada en Consejo de Ministros el 15 de Febrero de 2012).
Como centro de excelencia, INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como motor de
transformacin social y oportunidad para la innovacin. Para ello, con una actividad basada en la investigacin, la
prestacin de servicios y la coordinacin con los agentes con competencias en la materia , INCIBE lidera diferentes
actuaciones para la ciberseguridad a nivel nacional e internacional.

www.incibe.es

Jornadas Espacios de Ciberseguridad Forense en Windows

INCIBE - Qu es?
Pilares fundamentales sobre los que se apoya la actividad de INCIBE
Prestacin de servicios de proteccin de la privacidad, prevencin y reaccin a incidentes en ciberseguridad
Investigacin generacin de inteligencia y mejora de los servicios
Coordinacin colaboracin con entidades pblicas y privadas, nacionales e internacionales

rea de Operaciones

Jornadas Espacios de Ciberseguridad Forense en Windows

I+D+i y Promocin del Talento en Ciberseguridad


Fomento del Ecosistema de I+D+i en Ciberseguridad
INCIBE como Centro de Excelencia impulsa el ecosistema nacional de I+D+i en
Ciberseguridad
Enfoque INTEGRADO de la I+D+i
Anlisis y diagnstico de la Investigacin en Ciberseguridad (Conocimiento de las actividades que se llevan a cabo,
contar con los investigadores como activo principal y tener infraestructuras)

Red de Centros de Excelencia en I+D+i en Ciberseguridad (Plan Director e inteligencia colectiva) a travs del
lanzamiento de la Agenda Estratgica Nacional I+D+I en Ciberseguridad

Mejor ENFOQUE y coordinacin


Agenda Estratgica Nacional I+D+i en Ciberseguridad (programas nacionales I+D)
Agenda Estratgica Internacional I+D+I Comisin Europea (NIS WG3) (programa internacional H2020)

Resultados orientados a Negocio


SPIN-OFF / SPIN-UP.
Lanzaderas / incubadoras / aceleradoras de START-UPs.
Capital semilla / Capital riesgo (VC).
Transferencia de conocimiento a la industria
(capital humano investigador y adquisicin de patentes).

Enfoque basado en la INTERNACIONALIZACIN desde el inicio


Jornadas Espacios de Ciberseguridad Forense en Windows

I+D+i y Promocin del Talento en Ciberseguridad


Mejores prcticas en la Gestin del Talento en Ciberseguridad
INCIBE como Centro de Excelencia impulsa la alta capacitacin de profesionales en
el mbito de la Ciberseguridad
Enfoque INTEGRADO
Itinerarios educativos en Ciberseguridad (alineado con la demanda del sector).
Coherente a todos los niveles (FP, Grado y Mster y Pre-doctorales y Post-doctorados).
Iniciativas para la gestin de talento: atraccin, deteccin, promocin y retencin.

Mejor ENFOQUE
Anlisis del GAP entre los itinerarios educativos vs. oferta formativa vs. Iniciativas para la gestin del talento.
Acciones:
Deteccin: Retos tipo pruebas de habilidad.
Atraccin: Formacin avanzada y ponentes / premios / reconocimientos / ofertas de empleo.
Promocin: Reorientacin / Nuevos Contenidos prcticos (aspectos tcnicos en profundidad para todos
los itinerarios educativos) / Formacin para jvenes en ciberseguridad (Espacios de Ciberseguridad).
Atraccin / Retencin: Financiacin de apoyo una vez identificado el talento.

Enfoque basado en la INTERNACIONALIZACIN desde el inicio buscando su residencia en Espaa

Jornadas Espacios de Ciberseguridad Forense en Windows

I+D+i y Promocin del Talento en Ciberseguridad


Oportunidad para una accin global que estimule la
Industria Espaola de Ciberseguridad
INCIBE como Centro de Excelencia impulsa la competitividad de la Industria nacional de
Ciberseguridad en base a un modelo de colaboracin pblico-privada (PPP): Polo de
Ciberseguridad
Enfoque INTEGRADO

Potenciar el tejido empresarial espaol en ciberseguridad.


Renovar la imagen del sector.
Guiar la innovacin y comercializacin de nuevos productos/servicios a la demanda nacional/internacional.
Mejorar el posicionamiento y la comercializacin de la industria de la ciberseguridad espaola.
Aumentar la actividad productiva competitiva de los participantes a nivel internacional.

Mejor ENFOQUE

Facilitar un pensamiento estratgico conjunto para identificar ventajas competitivas y diferenciacin.


Definicin de acciones colectivas para abordar los desafos estratgicos.
Priorizacin e implementacin rpida de las acciones identificadas.
Fomento de una colaboracin pblico-privada con los principales actores de la industria.
Definicin de un modelo de gobierno que permite una sostenibilidad a largo plazo.

Resultados orientados a NEGOCIO

Acceso a nuevos mercados.


Innovacin.
Demanda sofisticada, certificacin y la concienciacin.
Financiacin.
Jornadas Espacios de Ciberseguridad Forense en Windows

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

Introduccin a la ciberseguridad
Evolucin de las Tecnologas de la Informacin

La informacin es uno de los principales activos de una empresa.


Las empresas almacenan y gestionan la informacin en los Sistemas de Informacin.
Para una empresa resulta fundamental proteger sus Sistemas de Informacin para que su informacin est a
salvo. Dificultades:
El entorno donde las empresas desarrollan
sus actividades es cada vez ms complejo
debido al desarrollo de las tecnologas de
informacin y otros factores del entorno
empresarial
El perfil de un ciberdelincuente de un
sistema
informtico
ha
cambiado
radicalmente. Si bien antes los objetivos
podan ser ms simples (acceder a un sitio
donde nadie antes haba conseguido
llegar) en la actualidad los atacantes se han
percatado de lo importante que es la
informacin y sobre todo de lo valiosa que
puede llegar a ser.

Es fundamental poner los medios tcnicos y organizativos necesarios para garantizar la seguridad de la
informacin. Para lograrlo hay que garantizar la confidencialidad, disponibilidad e integridad de la
informacin.
Jornadas Espacios de Ciberseguridad Forense en Windows

Introduccin a la ciberseguridad
Casos notorios

Jornadas Espacios de Ciberseguridad Forense en Windows

10

Introduccin a la ciberseguridad
Seguridad de la Informacin
La seguridad de la informacin busca establecer y mantener programas, controles y polticas, que tengan como
finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin:

La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas no


autorizadas.

La integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

La autenticidad: la informacin es lo que dice ser o el transmisor de la informacin es quien dice ser.
El no repudio: Estrechamente relacionado con la Autenticidad. Permite, en caso de ser necesario, que
sea posible probar la autora u origen de una informacin.

Jornadas Espacios de Ciberseguridad Forense en Windows

11

Introduccin a la ciberseguridad
Riesgos para los Sistemas de Informacin
Qu son los riesgos en los sistemas de informacin?

Las amenazas sobre la informacin almacenada en un sistema informtico.


Ejemplos de riesgos en los sistemas de informacin

Dao fsico: fuego, agua, vandalismo, prdida de energa y desastres naturales.


Acciones humanas: accin intencional o accidental que pueda atentar contra la productividad.
Fallos del equipamiento: fallos del sistema o dispositivos perifricos.
Ataques internos o externos: hacking, cracking y/o cualquier tipo de ataque.

Prdida de datos: divulgacin de secretos comerciales, fraude, espionaje y robo.


Errores en las aplicaciones: errores de computacin, errores de entrada, etc.

Jornadas Espacios de Ciberseguridad Forense en Windows

12

Introduccin a la ciberseguridad
La figura del HACKER
Qu es un hacker?
Experto en seguridad informtica, que se dedica a intervenir y/o realizar alteraciones tcnicas con
buenas o malas intenciones sobre un producto o dispositivo.
Qu tipos de hackers existen en funcin de los objetivos que tienen?
Black Hat Hackers: Suelen quebrantar la seguridad de un sistema o una red con fines
maliciosos.

White Hat Hackers: normalmente son los que penetran la seguridad de los sistemas bajo
autorizacin para encontrar vulnerabilidades. Suelen ser contratados por empresas para
mejorar la seguridad de sus propios sistemas.

Gray (Grey) Hat Hackers: Son una mezcla entre los dos anteriores puesto que tienen una tica
ambigua. Normalmente su cometido es penetrar en sistemas de forma ilegal para luego
informar a la empresa vctima y ofrecer sus servicios para solucionarlo.

Jornadas Espacios de Ciberseguridad Forense en Windows

13

Introduccin a la ciberseguridad
Clases de ataques
Interrupcin: se produce cuando un recurso, herramienta o la propia red deja de estar disponible
debido al ataque.

Intercepcin: se logra cuando un tercero accede a la informacin del ordenador o a la que se encuentra
en trnsito por la red.

Modificacin: se trata de modificar la informacin sin autorizacin alguna.


Fabricacin: se crean productos, tales como pginas web o tarjetas magnticas falsas.

Jornadas Espacios de Ciberseguridad Forense en Windows

14

Introduccin a la ciberseguridad
Tcnicas de hacking
Spoofing: se suplanta la identidad de un sistema total o parcialmente.
Sniffing: se produce al escuchar una red para ver toda la informacin transmitida por sta.
Man in the middle: siendo una mezcla de varias tcnicas, consiste en interceptar la comunicacin entre
dos interlocutores posicionndose en medio de la comunicacin y monitorizando y/o alterando la
comunicacin.

Malware: se introducen programas dainos en un sistema, como por ejemplo un virus, un keylogger
(herramientas que permiten monitorizar las pulsaciones sobre un teclado) o rootkits (herramientas que
ocultan la existencia de un intruso en un sistema).

Denegacin de servicio: consiste en la interrupcin de un servicio sin autorizacin.


Ingeniera social: se obtiene la informacin confidencial de una persona u organismo con fines
perjudiciales. El Phishing es un ejemplo de la utilizacin de ingeniera social, que consigue informacin
de la vctima suplantando la identidad de una empresa u organismo por internet. Se trata de una
prctica muy habitual en el sector bancario.

Adicionalmente existen multitud de ataques como XSS, CSRF, SQL injection, etc.

Jornadas Espacios de Ciberseguridad Forense en Windows

15

Introduccin a la ciberseguridad
Mecanismos de defensa
Ante esta figura, cmo pueden protegerse las compaas con las nuevas tecnologas?
Los principales sistemas y ms conocidos son los siguientes:

Firewall: sistemas de restriccin de trfico basado en reglas.


Sistemas IDS / IPS: sistemas de monitorizacin, deteccin y/o
prevencin de accesos no permitidos en una red.

Honeypot: equipos aparentemente vulnerables diseados para atraer y


detectar a los atacantes, protegiendo los sistemas realmente crticos.

SIEM: sistemas de correlacin de eventos y generacin de alertas de


seguridad.

Antimalware: sistemas de deteccin de malware informtico.

Jornadas Espacios de Ciberseguridad Forense en Windows

16

Introduccin a la ciberseguridad

Las prcticas del taller se realizan sobre un entorno controlado.


Utilizar las tcnicas mostradas en el presente taller sobre
un entorno real como Internet, puede ocasionar problemas legales.

Jornadas Espacios de Ciberseguridad Forense en Windows

17

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

18

Objetivos del curso


Qu vamos a aprender hoy?
En qu consiste el anlisis forense de un sistema informtico.
Diferentes situaciones en las cuales se realizan este tipo de anlisis.
Conceptos bsicos del anlisis forense.
Tcnicas de anlisis forense en sistemas Windows.
Principales ficheros y procesos con informacin sensible.
Cmo lo vamos a aprender?
1. Teora.
2. Prctica:
a. Ejercicios prcticos a lo

b.

largo de la presentacin.
Prctica final sobre un
sistema preconfigurado.

Jornadas Espacios de Ciberseguridad Forense en Windows

19

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

20

Contexto
El papel de la tecnologa en un delito
Desde el punto de vista del uso, los dispositivos pueden:

Verse involucrados en un delito.


Ser el propio canal a travs del cual se comete el delito.
Desde el punto de vista de la persona:
Puede pertenecer a la vctima.
O al delincuente.
Desde el punto de vista del mbito, puede aplicar:
En un entorno empresarial.
En un entorno personal.

La utilidad del anlisis forense


Puede ser utilizado para, gracias al anlisis del dispositivo, determinar qu es

lo que ha ocurrido.
Siendo aplicable para cualquiera de las casusticas anteriores.

Jornadas Espacios de Ciberseguridad Forense en Windows

21

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

22

Introduccin al anlisis forense


Qu es el anlisis forense?
Extraccin de datos de un dispositivo informtico, preservando la veracidad

de los datos extrados.


Dos enfoques de anlisis forense:

Incidentes de seguridad
Incidentes relacionados con el hacking:
Robo de informacin
Intrusin en redes empresariales
Espionaje industrial
Defacements
Etc.

Delitos
Siempre que sirva como prueba:
Delitos de sangre
Secuestros
Delitos relacionados con menores
Etc.

Jornadas Espacios de Ciberseguridad Forense en Windows

23

Introduccin al anlisis forense


Objetivos del anlisis forense
Contestar a una serie de preguntas que aporten informacin relevante.
En el caso de un forense por un incidente de seguridad:

Quin realiz el ataque?


Cmo y cundo se realiz?
Qu vulnerabilidades explot?
Qu hizo el intruso dentro del sistema?
En el caso de un forense por un delito:
Posea algn dispositivo electrnico en el momento del delito?
Cules fueron sus ltimas llamadas?
Dnde estaba en el momento del delito?
Posee informacin relevante en sus dispositivos electrnicos?
Cules fueron sus ltimas conversaciones?

Jornadas Espacios de Ciberseguridad Forense en Windows

24

Introduccin al anlisis forense


Quin realiza el anlisis forense?
Analistas forenses cualificados.
En caso de intervenir en un proceso
judicial, debe ser un perito forense
certificado.

Qu valor tiene el anlisis forense?


Da respuestas ante un suceso en el que

se
ven
involucrados
dispositivos
informticos.
Si el anlisis y la preservacin de las
evidencias es correcta, sirve como
prueba judicial.

Jornadas Espacios de Ciberseguridad Forense en Windows

25

Introduccin al anlisis forense


Tipos de anlisis forense
Anlisis forense de sistemas:

Windows
MacOS
Unix

Anlisis forense de redes:


Diferentes dispositivos = diferentes tcnicas

Redes Ethernet

Diferentes dispositivos diferentes objetivos

Redes WiFi

Anlisis forense de mviles:

Android
iOS
Jornadas Espacios de Ciberseguridad Forense en Windows

26

Introduccin al anlisis forense


Cul es el objetivo de un anlisis forense digital?
Extraer informacin de un sistema de manera que sirva como evidencia

digital.
Respondiendo a las preguntas asociadas al suceso.
Pudiendo utilizar las evidencias en un proceso judicial.
Catalogando la informacin en funcin de su naturaleza.
Ficheros

Documento

Fotos

Videos
Correos
electrnicos

Coordenadas
GPS

Jornadas Espacios de Ciberseguridad Forense en Windows

27

Introduccin al anlisis forense


Fases del anlisis forense
Anlisis forense de sistemas:

Informe
Anlisis

Adquisicin

Valoracin

Jornadas Espacios de Ciberseguridad Forense en Windows

28

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

29

Tratamiento de la evidencia
Qu es una evidencia digital?
Cualquier informacin generada o almacenada en un sistema informtico y
que pueda ser utilizada en un proceso legal como prueba.

Existen tres tipos de evidencia digital:

Informacin almacenada en el equipo informtico.

Informacin generada por los equipos informticos.

Informacin que parcialmente ha sido generada y almacenada en los equipos informticos.

La evidencia se debe obtener, custodiar, revisar, analizar y presentar.


Para que tenga validez legalmente, se debe demostrar que la evidencia no
ha sido alterada.

Jornadas Espacios de Ciberseguridad Forense en Windows

30

Tratamiento de la evidencia
El principio de Locard
Siempre que dos objetos entran en contacto transfieren parte del material
que incorporan al otro objeto
Aplicado al anlisis
forense

El uso de cualquier dispositivo informtico siempre deja algn tipo de rastro.


Escena del
crimen

Vctima

Entorno del
sistema

Sospechoso

Sistema
atacado

Atacante

Jornadas Espacios de Ciberseguridad Forense en Windows

31

Tratamiento de la evidencia
Principio de indeterminacin de Heisenberg
No es posible analizar algo sin que ello conlleve alguna alteracin debido a
la intervencin del observador
Aplicado al anlisis
forense

No es posible realizar un anlisis forense de un sistema sin alterar el mismo.

Tratar de obtener la mxima cantidad de


informacin con el mnimo impacto

Trabajar con clones de los discos duros,


preservando inalterados los originales

Jornadas Espacios de Ciberseguridad Forense en Windows

32

Tratamiento de la evidencia
La cadena de custodia

Para que las evidencias tengan

validez en un proceso judicial, stas


no deben ser alteradas.
Adems, se debe demostrar la no
alteracin de las evidencias.
Para ello se utiliza la cadena de
custodia.
Es un seguimiento y control de las
evidencias que certifica:
Que la evidencia no ha sido alterada o
manipulada.

Las personas por las que ha pasado la


evidencia.

Detalles sobre el tratamiento de la


evidencia.
Jornadas Espacios de Ciberseguridad Forense en Windows

33

Tratamiento de la evidencia
Cmo se justifica la no manipulacin?
Mediante la firma digital de las evidencias.
Las evidencias deben ser copiadas y firmadas para verificar que se
mantienen inalterables durante el proceso de anlisis forense.

Qu es una firma digital?


Una cadena alfanumrica que se obtiene tras aplicar un algoritmo, llamada
funcin hash o funcin resumen, a un fichero origen y que identifica
inequvocamente al mismo.

Funcin
Hash

4d186321c1a7f0f354b297e8914ab240

Existen varios algoritmos de hashing: MD5, SHA1, SHA2, etc.


Jornadas Espacios de Ciberseguridad Forense en Windows

34

Tratamiento de la evidencia
Cmo se realiza la firma digital?
Existen gran cantidad de herramientas para firmar ficheros:

HashMyFiles
HashCalc
Gran parte de los softwares de clonacin permiten calcular el hash de los
elementos clonados:
FTK Imager
DD
Las funciones hash no son reversibles:
Funcin
Hash

hola

4d186321c1a7f0f354b297e8914ab240
Funcin
inversa

Jornadas Espacios de Ciberseguridad Forense en Windows

35

Tratamiento de la evidencia
Prctica: Firmando digitalmente un fichero
Crear un fichero de texto con cualquier contenido:
echo contenido > nombre_del_fichero.txt

Calcular el hash MD5 de dicho fichero con la herramienta md5sum:


md5sum nombre_del_fichero.txt

Anotar el hash MD5 devuelto.


Modificar el fichero original.
Calcular de nuevo el hash del fichero modificado.
Comparar el hash MD5 del fichero original y del fichero modificado.

Jornadas Espacios de Ciberseguridad Forense en Windows

36

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

37

Conceptos bsicos
Tipos de entorno de anlisis
Si nos encontramos el dispositivo encendido: Anlisis en caliente

Podemos recoger informacin de la memoria voltil.


Es sencillo contaminar el sistema de manera involuntaria.
Si nos encontramos el sistema apagado: Anlisis post mortem
Evitamos una alteracin de las evidencias del sistema.
Slo seremos capaces de recopilar informacin persistente.
Entonces, si la mquina est encendida es recomendable apagar?

Si se apaga el sistema
- Se pierden los datos voltiles

Solucin en
funcin del caso
Si no se apaga el sistema
- Se podra alterar el sistema

Jornadas Espacios de Ciberseguridad Forense en Windows

38

Conceptos bsicos
Tipos de datos
Voltiles:

Servicios en ejecucin.
Usuarios autenticados.
Ficheros en uso.
Procesos de memoria.
No voltiles:
Ficheros.
Documentos.
Logs.
Transitorios:
Memoria.
Cach.
Frgiles:
Archivos temporales.
Jornadas Espacios de Ciberseguridad Forense en Windows

39

Conceptos bsicos
Volatilidad
Qu es?

La capacidad de persistencia en el tiempo de los datos.


Prioridad
Registros y cach

Memorias voltiles
Conexiones
Procesos en ejecucin
Sistema de ficheros local
Sistema de ficheros externo

Jornadas Espacios de Ciberseguridad Forense en Windows

40

Conceptos bsicos
Clonado del disco
Por qu se realiza?

Para evitar alterar la muestra original.


Qu es el clonado?
Copia idntica del disco duro original.
Es lo mismo que realizar una imagen de un disco duro?
La imagen slo almacena ficheros.
No almacena otro tipo de sectores o informacin del disco duro.
Clon

Imagen
Jornadas Espacios de Ciberseguridad Forense en Windows

41

Conceptos bsicos
Prctica: Clonando un pendrive
Conectar el pendrive a clonar.
Ver los dispositivos conectados con el comando:
sudo -fdisk -l

Anotar la referencia del dispositivo del tipo:


/dev/sdb1

Ejecutar el clonado del dispositivo a una imagen:


dd if=/dev/sdb1 of=/root/backup.dd

Jornadas Espacios de Ciberseguridad Forense en Windows

42

Conceptos bsicos
Y si el disco est cifrado?
Es comn utilizar herramientas de cifrado para proteger los datos:

Bitlocker
TrueCrypt
Cmo nos afecta a la hora de analizar un disco cifrado?
La clonacin es posible.
Sin embargo, no veremos informacin legible.
Cmo actuamos entonces?
Es necesario obtener la clave de cifrado para poder analizarlo.
Obtencin mediante fuerza bruta.
Texto en claro

Unidad de
cifrado

Texto cifrado

Clave de cifrado
Jornadas Espacios de Ciberseguridad Forense en Windows

43

Conceptos bsicos
Prctica: Fuerza bruta en ficheros cifrados (I)
Creamos un fichero de texto:
echo texto > nombre_fichero.txt

Ciframos el fichero con TrueCrypt, arrancando la herramienta con el


siguiente comando y siguiendo las indicaciones:
truecrypt

Jornadas Espacios de Ciberseguridad Forense en Windows

44

Conceptos bsicos
Prctica: Fuerza bruta en ficheros cifrados (II)
Realizamos fuerza bruta contra el fichero mediante TrueCrack y un
diccionario en el cual estar la contrasea elegida:
truecrack -t nombre_fichero -c alfabeto -m longitud_mxima -v

Jornadas Espacios de Ciberseguridad Forense en Windows

45

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

46

Anlisis de datos voltiles en Windows


Qu informacin nos aportan los datos voltiles?
Los datos voltiles de Windows nos darn informacin acerca de:

Usuarios.
Conexiones.
Memoria.
Servicios.

Herramientas
Para realizar el anlisis de datos voltiles, es necesario utilizar
herramientas especiales.
Podemos utilizar herramientas nativas o no nativas del sistema operativo.
Nativas: herramientas y comandos de Windows que nos darn informacin
importante sobre la configuracin y el estado del sistema:
Ipconfig.
Route.

No nativas: herramientas especializadas para el diagnstico de sistemas


Windows:
Suite Sysinternals.

Jornadas Espacios de Ciberseguridad Forense en Windows

47

Anlisis de datos voltiles en Windows


Conexiones
Uno de los elementos voltiles ms importantes son las conexiones
abiertas del sistema.
Estas conexiones se pierden al apagar el equipo.
Existen herramientas nativas de Windows para visualizar las conexiones
abiertas.

Herramientas y comandos nativos

Netstat Puertos y conexiones abiertas.

Nbtstat Conexiones de NetBIOS.

Net Recursos compartidos.

Route Configuracin de la red.

Ipconfig Interfaces de red.


Jornadas Espacios de Ciberseguridad Forense en Windows

48

Anlisis de datos voltiles en Windows


Prctica: Anlisis de conexiones (I)
Abrimos una consola de Windows:
C:\Windows\System32\cmd.exe

Puertos y conexiones abiertos:


netstat -a

Trfico por proceso:


netstat -b

Estadsticas de conexiones:
netstat -es

Conexiones de NetBIOS:
nbtstat -r

Jornadas Espacios de Ciberseguridad Forense en Windows

49

Anlisis de datos voltiles en Windows


Prctica: Anlisis de conexiones (II)
Cach de NetBIOS:
nbtstat -c

Configuracin de la red:
route PRINT

Interfaces de red:
ipconfig /all

Recursos compartidos:
net SHARE

Jornadas Espacios de Ciberseguridad Forense en Windows

50

Anlisis de datos voltiles en Windows


Usuarios
Los usuarios activos tambin se consideran un elemento voltil.
Existen herramientas nativas de Windows para visualizar los usuarios.
Tambin existen otras herramientas que extraen el hash de la contrasea e
incluso en texto plano.

Herramientas y comandos nativos

Nbtstat Usuarios de NetBIOS.

Net Usuarios de recursos compartidos.

Herramientas externas

Suite Sysinternals Usuarios externos conectados.

Jornadas Espacios de Ciberseguridad Forense en Windows

51

Anlisis de datos voltiles en Windows


Prctica: Anlisis de usuarios
Abrimos una consola de Windows:
C:\Windows\System32\cmd.exe

Usuarios de NetBIOS:
nbtstat -n

Usuarios de recursos compartidos:


net USERS

Usuarios locales y remotos:


[ruta]/sysinternals/PsLoggedon.exe

SID de usuarios:
[ruta]/sysinternals/PsGetsid.exe

Jornadas Espacios de Ciberseguridad Forense en Windows

52

Anlisis de datos voltiles en Windows


Servicios
Los servicios en ejecucin pueden aportar mucha informacin acerca de
conexiones maliciosas.
Es imprescindible analizarlos antes de apagar el equipo.

Herramientas externas
Suite Sysinternals:

Servicios en ejecucin y procesos activos.

Eventos del sistema.

Jornadas Espacios de Ciberseguridad Forense en Windows

53

Anlisis de datos voltiles en Windows


Prctica: Anlisis de servicios
Abrimos una consola de Windows:
C:\Windows\System32\cmd.exe

Servicios en ejecucin:
[ruta]/sysinternals/PsService.exe

Procesos activos:
[ruta]/sysinternals/PsList.exe

Eventos del sistema:


[ruta]/sysinternals/PsLoglist.exe

Jornadas Espacios de Ciberseguridad Forense en Windows

54

Anlisis de datos voltiles en Windows


Memoria RAM
La memoria RAM es una fuente muy importante de informacin en un
proceso forense.
La informacin, adems de voltil, es frgil, pues se libera y se reasigna de
forma dinmica.

Herramientas externas
MDD Volcado de la memoria RAM
Volatility Framework para el anlisis de un volcado RAM

Jornadas Espacios de Ciberseguridad Forense en Windows

55

Anlisis de datos voltiles en Windows


Prctica: Anlisis de memoria RAM (I)
Abrimos una consola de Windows:
C:\Windows\System32\cmd.exe

Realizamos un volcado de la memoria sobre un fichero:


[ruta]/mdd_1.3.exe -o fichero_de_volcado.img

Analizamos el volcado con Volatility.

Jornadas Espacios de Ciberseguridad Forense en Windows

56

Anlisis de datos voltiles en Windows


Prctica: Anlisis de memoria RAM (II)
Informacin del volcado:
volatility -f [ruta]/ fichero_de_volcado.img imageinfo

Procesos ocultos:
volatility -f [ruta]/ fichero_de_volcado.img psxview

rbol de procesos:
volatility -f [ruta]/ fichero_de_volcado.img pstree

Procesos hurfanos
volatility -f [ruta]/ fichero_de_volcado.img psscan

Conexiones
volatility -f [ruta]/ fichero_de_volcado.img connscan

Jornadas Espacios de Ciberseguridad Forense en Windows

57

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

58

Anlisis de datos no voltiles en Windows


Qu informacin nos aportan los datos no voltiles?
Los datos no voltiles de Windows nos darn informacin acerca de:
Logs.
Ficheros.
Emails.
Informacin relevante.
Etc.

Herramientas
Para realizar el anlisis de datos no voltiles, en muchas ocasiones no es
necesario utilizar herramientas especificas.
Existen herramientas para recuperar ficheros borrados.
Algunas herramientas: Hfind, Recuva Free, Exiftool, Foca Free

Jornadas Espacios de Ciberseguridad Forense en Windows

59

Anlisis de datos no voltiles en Windows


Registros
El registro de Windows almacena informacin sobre:
Configuraciones.
Programas ejecutados en el arranque.
Propiedades de usuarios.
Etc.

Herramientas nativas
Regedit Para la visualizacin del registro de Windows.

Jornadas Espacios de Ciberseguridad Forense en Windows

60

Anlisis de datos no voltiles en Windows


Prctica: Anlisis del Registro
Abrimos el editor del registro:
C:\Windows\regedit.exe

Anlisis de los registros de configuracin del usuario actual:


HKEY_CURRENT_USER

Anlisis de los registros de configuracin de otros usuarios:


HKEY_USERS

Anlisis de los registros de configuracin del sistema:


HKEY_LOCAL_MACHINE

Jornadas Espacios de Ciberseguridad Forense en Windows

61

Anlisis de datos no voltiles en Windows


Historial de navegacin
El historial de navegacin aporta datos acerca de las pginas web visitadas.
Cada navegador almacena el historial en rutas diferentes.

Herramientas nativas
Notepad Visualizacin de ficheros en texto plano

Jornadas Espacios de Ciberseguridad Forense en Windows

62

Anlisis de datos no voltiles en Windows


Prctica: Anlisis del historial de navegacin
Abrir el explorador de Windows.
Navegar hasta las rutas de los diferentes navegadores.
C:\Users\<usuario>\AppData\Local\<navegador>

Analizar con Notepad los ficheros cach.


Analizar con Notepad cualquier fichero susceptible de contener
informacin relevante.

Prctica: Forense del navegador Firefox


Localizar la ruta de Firefox con los perfiles de usuario.
Ejecutar el comando:
python dumpzilla.py [ruta]\directorio_del_perfil --All

Jornadas Espacios de Ciberseguridad Forense en Windows

63

Anlisis de datos no voltiles en Windows


Ficheros temporales
Los ficheros temporales pueden almacenar informacin relevante acerca
de ficheros recientes y software del sistema.
Se consideran ficheros frgiles debido a su capacidad de eliminacin.

Herramientas nativas
Debido a la naturaleza de este tipo de ficheros, normalmente se utilizan
programas comunes para su visualizacin.

Imgenes.

Videos.

Ficheros de texto.

Documentos PDF.

Ejecutables.

Logs.

Etc.
Jornadas Espacios de Ciberseguridad Forense en Windows

64

Anlisis de datos no voltiles en Windows


Prctica: Anlisis de ficheros temporales
Abrir el explorador de Windows.
Navegar hasta la ruta de ficheros temporales:
C:\Users\<usuario>\AppData\Local\Temp

Explorar la carpeta en busca de archivos con informacin relevante:

Imgenes.

Videos.

Ficheros de texto.

Documentos PDF.

Jornadas Espacios de Ciberseguridad Forense en Windows

65

Anlisis de datos no voltiles en Windows


Backup de emails
Algunas aplicaciones de correo electrnico almacenan un backup de
emails.
Los correos electrnicos suelen ser una de las fuentes con ms informacin
relevante.

Herramientas
Para abrir este tipo de ficheros, normalmente es necesaria la aplicacin
nativa.
En el caso de Outlook, sera necesario disponer de la herramienta o de una
herramienta que analice los archivos PST/OST y muestre su informacin en
texto plano.
Ejemplo:

Outlook almacena un backup de emails en la ruta:


C:\Users\<usuario>\AppData\Local\Microsoft\Outlook

Jornadas Espacios de Ciberseguridad Forense en Windows

66

Anlisis de datos no voltiles en Windows


Metadatos
Los documentos almacenan informacin adicional en el propio fichero.
Esta informacin puede contener:

Usuario creador.

Fecha de creacin.

Fecha de modificacin.

Software utilizado.

Herramientas
Exiftool Para sistemas Linux o Windows.
Foca Free Para sistemas Windows.
Propiedades del fichero.

Jornadas Espacios de Ciberseguridad Forense en Windows

67

Anlisis de datos no voltiles en Windows


Prctica: Anlisis de metadatos
Crear un documento con una
herramienta ofimtica.
Seleccionar el fichero y visualizar sus
propiedades.
En la pestaa detalles, analizar los
metadatos del fichero.

Prctica: Eliminar metadatos


En la pestaa detalles seleccionar la
eliminacin de propiedades e
informacin personal.
Verificar la correcta eliminacin de
los metadatos.
Jornadas Espacios de Ciberseguridad Forense en Windows

68

Anlisis de datos no voltiles en Windows


Recuperar ficheros eliminados
Cuando se elimina un fichero, ste no es eliminado de la memoria.
El espacio que ocupa se marca como libre, pero la informacin sigue
existiendo.
Hasta que el espacio de memoria no se sobrescribe, es posible recuperar el
fichero original.
Estado

En uso

Contenido de memoria

Estado

documento.docx

Libre

Contenido de memoria

documento.docx

Borrado

Herramientas
Recuva Free Recuperacin de ficheros eliminados.
Jornadas Espacios de Ciberseguridad Forense en Windows

69

Anlisis de datos no voltiles en Windows


Prctica: Recuperar ficheros
Crear un documento con una
herramienta ofimtica.
Eliminar el fichero.
Abrir la herramienta Recuva Free.
Seleccionar la ruta a analizar.
Seleccionar todos los tipos de
archivo.
Verificar los resultados y recuperar
el fichero.
A tener en cuenta:
Para eliminar completamente los ficheros, se pueden utilizar herramientas como Eraser.
Estos programas sobrescriben la memoria con datos aleatorios.

Jornadas Espacios de Ciberseguridad Forense en Windows

70

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

71

Resumen
Resumen de conceptos
El anlisis forense de sistemas informticos pretende responder a varias
preguntas acerca de un suceso.
Con el tratamiento adecuado, las evidencias extradas pueden ser
utilizadas en un proceso judicial.
Hay que poner los medios necesarios para no alterar el sistema analizado.
Es importante planificar el proceso de anlisis:
Primero datos voltiles.
Posteriormente datos no voltiles.
Los procedimientos de anlisis de sistemas que no sean Windows son
conceptualmente similares.
nicamente varan las herramientas y los procesos de obtencin.

Jornadas Espacios de Ciberseguridad Forense en Windows

72

Resumen
Cuestiones
1.

Qu es la cadena de custodia de una evidencia digital? Por qu es til?

2.

Por qu se recomienda clonar el disco antes de analizarlo?

3.

Qu se recomienda extraer primero, los datos voltiles o no voltiles?

4.

La memoria RAM es informacin voltil o no voltil?

5.

Qu son los metadatos? Qu informacin pueden almacenar?

Jornadas Espacios de Ciberseguridad Forense en Windows

73

Resumen
Respuestas
1.

Es un seguimiento y control de las evidencias ante la validacin de un


proceso judicial que certifica: que la evidencia no ha sido alterada o
manipulada, las personas por las que ha pasado la evidencia, y los detalles
sobre el tratamiento de la evidencia.

2.

Para evitar alterar la muestra original.

3.

Se recomienda extraer primero los datos voltiles, que son aquellos que
estarn disponibles durante un menor periodo de tiempo y que son ms
susceptibles de ser modificados o desaparecer.

4.

La memoria RAM es informacin voltil.

5.

Los documentos almacenan informacin adicional en el propio fichero,


estos son los metadatos, pueden contener la siguiente informacin:
usuario creador, fecha de creacin, fecha de modificacin y software
empleado.
Jornadas Espacios de Ciberseguridad Forense en Windows

74

ndice
1.

INCIBE - Qu es?

2.

Introduccin a la ciberseguridad

3.

Objetivos del curso

4.

Contexto

5.

Introduccin al anlisis forense

6.

Tratamiento de la evidencia

7.

Conceptos bsicos

8.

Anlisis de datos voltiles en Windows

9.

Anlisis de datos no voltiles en Windows

10. Resumen
11. Otros datos de inters
Jornadas Espacios de Ciberseguridad Forense en Windows

75

Encuesta de satisfaccin

Jornadas Espacios de Ciberseguridad Forense en Windows

76

Actuaciones
I+D+i y Promocin de Talento en Ciberseguridad
Este taller y el resto de las Jornadas Espacio de Ciberseguridad forman parte del Eje V: Programa de
Excelencia en Ciberseguridad dentro del Plan de Confianza Digital del Ministerio de Industria, Energa
y Turismo (MINETUR) que se est llevando a cabo desde INCIBE para la promocin y captacin de
talento en Ciberseguridad.
Si te gusta la ciberseguridad y quieres profundizar en este tema, dentro del Plan de Confianza Digital se estn
desarrollando las siguientes actividades y eventos de ciberseguridad:

Formacin especializada en ciberseguridad: MOOC que se desarrollan a travs de la plataforma de


formacin de INCIBE (http://formacion-online.incibe.es) sobre conceptos avanzados en
ciberseguridad tales como ciberseguridad industrial, seguridad en dispositivos mviles, programacin
segura, malware y sistemas TI.

Programa de becas: Programa de becas anual en el que se establecern diferentes tipologas de


becas: formacin de cursos especializados y msteres en ciberseguridad, y becas de investigacin.
Todas las publicaciones de este tipo se realizar a travs de la siguiente pgina
https://www.incibe.es/convocatorias/ayudas/.

Evento de ciberseguridad CyberCamp (http://cybercamp.es).

Jornadas Espacios de Ciberseguridad Forense en Windows

77

CyberCamp es el evento internacional de INCIBE para

identificar,

atraer y promocionar el talento en ciberseguridad.


Identificar trayectorias profesionales de los jvenes talento.
Detectar y promocionar el talento mediante talleres y retos tcnicos.
Atraer el talento ofreciendo conferencias y charlas de ciberseguridad
por profesionales y expertos de primer nivel.

Y muchas cosas ms.


Evento para familias, contando con actividades de concienciacin y
difusin de la ciberseguridad para padres, educadores e hijos.
Promocin de la industria e investigacin en ciberseguridad.

https://cybercamp.es/
https://twitter.com/CybercampEs
https://www.facebook.com/CyberCampEs

Jornadas Espacios de Ciberseguridad Forense en Windows

78

Gracias
por tu atencin

Contacto (ms informacin y dudas sobre las jornadas):

espaciosciberseguridad@incibe.es
En las redes sociales:

Contctanos

@incibe
@certsi
@osiseguridad
@CyberCampES

Oficina de Seguridad del internauta


(Pienso luego clico)

INCIBE
OSIseguridad

Oficina de Seguridad del internauta


CyberCamp

Pg. INCIBE
Grupo INCIBE

Oficina de Seguridad del internauta

En la sede:

En los sitios web:

Avenida Jos Aguado, 41 - Edificio INCIBE


24005 Len
Tlf. 987 877 189

www.incibe.es
www.osi.es
www.cybercamp.es