Está en la página 1de 17

1st Peruvian Workshop on IT Security

Digital Forensics
29.Dic.2003

Colaboración Roger Carhuatocto Miembro esCERT-UPC Responsable de Servicios Educacionales
Instituto de Investigación UNI -FIIS http://www.uni.edu.pe

http://escert.upc.es

esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055

Atención : No se permite la reproducción total o parcial de este material sin el permiso del autor

Definiciones 1
§ RAE U 1992. (Pag:478,3) http://www.rae.es

§ RAE U 1992. (Pag:655,1) http://www.rae.es

Roger Carhuatocto / Digital Forensics

2

Sgt.es Roger Carhuatocto / Digital Forensics 3 Definiciones 3 § CERT: Computer Emergency Response Team § IRT: Incident Response Team § Forensic computing § Proceso de identificar.rae. comunicaciones § Se busca pistas diferentes Roger Carhuatocto / Digital Forensics 4 . preservar.rae. analizar y presentar evidencia digital de manera que sea legalmente aceptable.2) http://www. (Pag:1119. Rodney McKemmish – Autralian Institute of Criminology § Informática forense § Forensic computing § Computer forensics § Digital forensics § Sólo difiere en el tema tecnológico § Medios o dispositivos electrónicos.es § RAE U 1992.Definiciones 2 § RAE U 1992. (Pag:660.1) http://www.

juzgados. TELCOs Roger Carhuatocto / Digital Forensics 6 . modos de operar de diferentes puntos de vista Roger Carhuatocto / Digital Forensics 5 Qué no cubre? § Seguimiento.Para qué? § Cómo entraron § § § § § § Cuándo Para qué Quién Costo de los daños Soporte amplio al incidente Requerimiento legal § Soporte al proceso judicial § “Modus operandi”. captura o identificar a perpetradores § Negociar con cuerpos policiales.

Roger Carhuatocto / Digital Forensics 7 El proceso: elementos Labs I n c i d e n t e Peritos Legal CERT Cuerpo policial Sw / Hw Proceso judicial Seguros Roger Carhuatocto / Digital Forensics 8 . dispositivos que trata contenido digital.Escenarios § Entornos donde se podría realizar investigaciones: § Intrusión a sistemas informáticos § Web defacement § Uso no autorizado de equipo informático coorporativo § Wireless? § Contenidos ilícitos § Pornografía infantil: CDs. P2P. Internet § Amenzas § Cualquier crimen físico en el que se implique infraestructura. no sólo PCs § Fraudes § Estafas § Propiedad intelectual § Etc.

la tecnología avanza § Herramientas existen pero no son globales: opensource. sólo ve a corto plazo: reactivo y recuperación § Resultado ante incidente: descoordinación. evidencia perdida. distribuidos. privadas § Obtener información es fácil. § § Roger Carhuatocto / Digital Forensics 9 El proceso: cómo debe ser cuando sucede § § § § Determinar origen y tamaño de intrusión Protección de información sensitiva en sistemas Protección de los sistemas. no el análisis § Almacenamiento Legal § Tecnología avanza y se adapta.El proceso: actual § Técnico § Sistemas informáticos: dinámicos. etc. § Se puede ocultar información § Muy poco conocimiento técnico. etc. pérdida de tiempo. La presentación de la evidencia debe reunir características especiales § Sustentar el informe sobre evidencia admitida Organizacional § Falta de preparación de organizaciones contra intrusiones y su operativa policial. redes y su capacidad para seguir funcionado Recuperación de sistemas § Colección de información de manera consistente con TERCERA parte legal § Proveer soporte a las investigaciones Roger Carhuatocto / Digital Forensics 10 . grandes. leyes cambian lentamente § Procesos judiciales son lentos en comparación con cambios en la Tecnología § Protocolo.

etc. vulnerabilidades. Uso de fuentes de datos redundantes Roger Carhuatocto / Digital Forensics 12 .El proceso: ser proactivo § § § § Políticas de seguridad Plan de respuesta para incidentes de seguridad Plan de informática forense Plan para detección de incidentes § Determinar equipo con recursos y autoridad para actuar § Implementar procedimientos para diferentes situaciones y amenazas § Con regularidad revisar políticas y procedimientos Proteger §Sistemas §Información §Contener intrusión Preservar §Sistemas y logs aceptablemente legal Notificar § A tu CERT § Administración § CERT §Cuerpo Policial Roger Carhuatocto / Digital Forensics 11 El forense informático: requerimientos 1 § 1/3 Técnico: § Conocimiento técnico § Implicaciones técnicas de acciones § Comprensión de cómo la información puede ser modificada § § § § § § Perspicaz Mente abierta y taimado Ético Continua formación Conocimiento de historia: casos pasados.

?? § Protocolo de gestión de evidencia Admisible Auténtico Completo Confiable Creíble § 1/3 Operacional. LSSI. no todos los desafíos son de naturaleza tecnológica § § § § Gestión de recursos Políticas y procedimientos Entrenamiento Cambios organizacionales Roger Carhuatocto / Digital Forensics 13 El forense informático: proceso investigación § Los cuatro principios.El forense informático: requerimientos 2 § 1/3 Legal § Conocimiento de aspectos legales § España es diferente: LOPD. surge de la definición de computer forensics 1 Identificar 2 Preservar 3 Analizar 4 Presentar Roger Carhuatocto / Digital Forensics 14 .

agendas electrónicas.: § Cualquier dispositivo de almacenar información como: móvil. pero no llegar a extremos § Volatilidad de la evidencia § Cualquier cosa que se hace a un sistema lo altera § Principio de Incertidumbre de W. etc.1927 § Nunca confiar en el sistema § Rootkits § Considerar siempre tus políticas § Admitir las fallas § Preparado para sorpresas § Documentar Roger Carhuatocto / Digital Forensics 15 El proceso: (1) Identificar 1 2 3 4 § § § § Qué evidencia hay Dónde está Cómo está almacenada El objetivo: determinar que proceso será empleado para facilitar la recuperación § Ejm. smart cards. Roger Carhuatocto / Digital Forensics 16 . Heinsenberg . PC.El forense informático: lemas § Rapidez es la esencia.

physical) Network state Running processes Disks.org § § § § § § Registers. caches Memory (virtual. tapes CD/ROM.porcupine. peripheral memory.El proceso: (2) Preservar 1 2 3 4 § § § § Etapa crítica Orden de volatilidad Cadena de custodia Evitar cambios posibles y si no se logra. registrarlo y justificarlo Roger Carhuatocto / Digital Forensics 17 El proceso: (2) Preservar Volatilidad de evidencia 1 2 3 4 § Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil § De Farmer & Venema – http://www. printouts Roger Carhuatocto / Digital Forensics 18 . floppies.

cuándo y para qué § El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial 1 Identificar 2 Preservar 3 Analizar 4 Presentar Ciclo de vida de la Evidencia Cadena de custodia Roger Carhuatocto / Digital Forensics 20 . mayor será el error de velocidad. y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición.El proceso: (2) Preservar: Principio de Heinsenberg 1 2 3 4 § “Es imposible conocer simultáneamente la posición y velocidad del electrón. entonces documentarlo y justificarlo Roger Carhuatocto / Digital Forensics 19 El proceso: (2) Preservar: Cadena de custodia 1 2 3 4 § Registro de todas las operaciones sobre la evidencia § Disponible § El objetivo es determinar quién accedió a una pieza de evidencia. y viceversa…” § En la informática forense: § Examinar o coleccionar una parte del sistema alterará otros componentes § Es imposible capturar completamente un sistema completo en un punto en el tiempo § Si no se puede evitar el cambio.

online vs. dónde. Documente: quién. Generar checksums de copias y originales 3. run “last”. en presencia de tercera parte legal 1. Dar copia a custodio § Custodio da copias a otros investigadores § Documenta cadena de custodia § Pocos custodios.El proceso: (2) Preservar: diagrama Document The Scene Collect Volatiles? NO Power Off YES 1 2 Record Volatiles 3 4 YES Being Safe? NO What Was The point? Mossos d’Esquadra Unitat de Delictes en Tecnologie s de la Informació NO Investigate online. Analyze “artifacts” Roger Carhuatocto / Digital Forensics 21 El proceso: (2) Preservando 1 2 3 4 § § § § Usar Toolkit portable. Reconstruct Computers. Offline. Copiar 2. cuándo. J Image Drives? YES Make Images Back @ lab. Time stamping § Estampar sello de tiempo a checksums § Fecha checksum = Fecha de copia = Fecha documento § 5. Analyze Copies. pocos testificantes Roger Carhuatocto / Digital Forensics 22 . por qué § 6. etc. Verificar checksums § 4.

El proceso: (3) Analizar 1 2 3 4 § Extrae: Puede dar algo no humanamente legible § Procesa: Lo hace humanamente legible § Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas Roger Carhuatocto / Digital Forensics 23 El proceso: (3) Analizando 1 2 3 4 § Estado de arte del análisis § Usar metodología: receta de cocina + experiencia § Recomendaciones: § Correlacionar logs: por IP. y rootkit? § Si tienes Host IDS. por tiempo § Sincronización: § Tiempo de sincronización § Tiempo de zona § Retraso de eventos § Orden cronológico de eventos § Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs. entonces realizar pruebas de integridad de ficheros Roger Carhuatocto / Digital Forensics 24 .

El proceso: (3) Analizar: resultados § Gestión de versiones de documentos/bitácoras § Reconstrucción cronológica de eventos § Diagramas: estático y dinámico 1 2 3 4 Roger Carhuatocto / Digital Forensics 25 El proceso: (4) Presentar 1 2 3 4 § Implica la presentación a: § A la administración § Fuerza de la ley § Abogados § En procesos judiciales § Incluye la manera de la presentación. la falla en ello puede causar que la evidencia sea inadmisible § La experiencia y habilidades están en juego Roger Carhuatocto / Digital Forensics 26 . contenido y legibilidad § Se sustenta el proceso empleado para obtener la evidencia § La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida.

no sólo técnicas.El proceso para el cuerpo policial Guardia Civil 1 Identificar 2 Preservar 3 Analizar 4 Presentar Grupo de Delitos Telemáticos Fase 1 Fase 2 Fase 3 ? IDENTIFICACIÓN Qué ha pasado? Cómo lo ha hecho §Denuncia – Conocimiento delito público §Recogida de evidencias del delito (inspección ocular. Debe ser estándar. confiables. íntegros § Educación a todos los niveles y a todos los actores en el proceso Roger Carhuatocto / Digital Forensics 28 . herramientas § Dar soporte a todos los involucrados en el proceso.) §Búsqueda de información y referencias identificativas §Resolución de “datos de tráfico” y referencias identificativas §Identificación y localización §Vigilancia §Interceptación §Registro e incautación §Análisis forense de sistema y soportes intervenidos §Informe policial incriminatorio INVESTIGACIÓN Quién lo ha hecho? INCRIMINACIÓN Roger Carhuatocto / Digital Forensics 27 Iniciativas 1 § Buenas prácticas para Informática Forense. etc. no específicas. institucional § Herramientas de soporte al proceso: auditables. libre (auto certificable) § Multi/Inter-operable § Apoyo de todos: comunidad. es necesario apoyo de todos § Para que sea válido e irrefutable § Abierto. asegurar el escenario.

PN : Antonio López Melgarejo (Ciberdelito: Investigación criminal y proceso penal) http://www.gob.net/dji Policia Nacional Española (Delito Informático) http://www.htm Ley que Incorpora Los Delitos Informaticos Al Codigo Penal (Perú) http://www.senado.Iniciativas 2 § Comunidad § Honeynet in Spanish http://his.mir.es/comredinf Departament de Justícia i Interior .com/cgi-bin/mailman/listinfo/forensics § Lista en esCERT (Operacional: técnico legal.Comisión Especial sobre Redes Informáticas (España) http://www.somoslopeor.htm Ex-Inspector BIT .uoc.pe/culturales/revista_81/pag_36_40. policial) http://escert.net Roger Carhuatocto / Digital Forensics 29 Referencias 1 § § § § § Ley Especial contra Delitos Informáticos (Venezuela) http://www.pnp.gencat.mct.dgonzalez.pdf Senado .edu/in3/dt/20076 David Barroso (Links interesantes) http://voodoo.net/secinf § § § § Roger Carhuatocto / Digital Forensics 30 .upc.sourceforge.Direcció General de Relacions amb l’Administració de Justícia (Cataluña-España) http://www.es/foro/index.ve/leyes/lsdi.es/policia/bit/legisla.somoslopeor.php § Códigos de prácticas en Digital Forensics http://cp4df.net (Todo sobre honeynets en castellano) § Análisis Forensics en Castellano (Técnicas de análisis forense) § http://www.gov.html Diego Gonzalez (Links interesantes) http://www.sourceforge.com/forensics.

nist.usdoj.com.porcupine.fish.fbi.htm Federal Guidelines For Searching And Seizing Computers http://www.org/forensics Brian Carrier http://www.vjolt.html Roger Carhuatocto / Digital Forensics 31 Referencias 3 § § § § § § § Asociaciones Internacionales sobre Computer Forensics http://www.org Importance of a Standard Methodology in Computer Forensics http://www.sans.gov/hq/lab/fsc/backissu/oct2000/computer.iacis.org Trends & Issues in Crime and Criminal Justice http://www.sleuthkit.org/rr/incident/methodology.Computer Forensic Evidence http://www.edu/pub/users/romig/otherpapers/intrusion%20investigation.com/security Wietse Venema http://www. Computer Forensics http://www.cftt.net.first.html FIRST Conference on Computer Security.nist.htcia. Incident Handling & Response 2001 http://www.html September 2000 Market Survey.htm Recovering and Examining .gov Open Source Software As A Mechanism T o Assess Reliability For Digital Evidence http://www.com/scmagazine/2000_09/survey/survey.nsrl. Computer Forensic Analysis ftp://ftp.gov.aic.gov/criminal/cybercrime/search_docs/toc.au/publications/tandi/index.ohio-state.html Roger Carhuatocto / Digital Forensics 32 .org/events/progconf/2001/progs. http://www.atstake.php Intrusion Investigation And Post -Intrusion.htm Reserch reports en @Stake http://www.com/research/reports/index.net/vol6/issue3/v6i3-a13-Kenneally.gov Computer Forensics Tool Testing (CFTT) Project http://www.scmagazine.doc National Software Reference Library (NSRL) Project http://www.Referencias 2 § § § § § § § § Dan Farmer http://www.

Agradecimientos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació Guardia Civil Grupo de Delitos Telemáticos Roger Carhuatocto / Digital Forensics 33 .