40 likes | 190 Views
1er Flash mob sobre Digital Forensics CP4DF Comentarios y sugerencias. Roger Carhuatocto rcarhuatocto@escert.upc.es esCERT-UPC/CP4DF. Comentarios y sugerencias CP4DF: Elementos. Aplicación Sistema Infraestructura. Prueba, evidencia. Laboratorio de Investigación. Herramienta.
E N D
1er Flash mob sobre Digital ForensicsCP4DFComentarios y sugerencias Roger Carhuatocto rcarhuatocto@escert.upc.es esCERT-UPC/CP4DF
Comentarios y sugerenciasCP4DF: Elementos AplicaciónSistemaInfraestructura Prueba,evidencia Laboratorio de Investigación Herramienta ProcedimientoMetodología
Comentarios y sugerenciasCP4DF: Auditabilidad AplicaciónSistemaInfraestructura Prueba,evidencia • Es integra? • Es completa? • Cumple leyes? • Es auditable? • Genera logs ? • Es fiable? • Es seguro • Es auditable? Laboratorio de Investigación • Contempla los principios? • Políticas, ética • Personal, equipo? • Homologada? • Es integra? • Es auditable? Herramienta • No repudiable? ProcedimientoMetodología A u d i t a b i l i d a d NO REPUDIABLE
Comentarios y sugerenciasCP4DF: Resumen • Se busca garantizar el correcto desarrollo del proceso de investigación, para ello es necesario puntos de control, en un inicio para guiar y luego para auditar. • Laboratorio de investigación, qué pasa con el laboratorio donde se realiza las investigaciones, es necesario que ellas colaboren con temas específicos en las investigaciones, además que ellas deben estar homologadas. • Herramientas OpenSource o Privadas, lo principal es garantizar el proceso (punto 1). Desde luego OpenSource ayuda, el siguiente paso es hacer un reconcimiento de c/herramienta y una garantía de parte de los que la usan. • Valorar riesgo de recogida de información tanto volátil como la no volátil. Buscar formas para reducir el riesgo, una sugerencia es automatizar la recogida. • Buscar punto medio para no ir en contra de los derechos fundamentales en privacidad cuando se realice investigaciones sobre datos privados. Sugieren análisis previo sobre datos privados en PCs/HDs comprometidos. • Definir roles en la investigación: policia judicial, investigador, cadena de custodia, etc. • Informe pericial, definir formatos. Es diferente a Informe por diligencias previas. • Definir “qué es delitos informáticos”, ello no se contempla completamente. Aplicar sentido común. • El proceso de análisis inicia cuando se interviene y se registra. Desde el punto de vista policial. • Definir protocolo de archivo de evidencia digital y cadena de custodia: hashing, cifrado o no?, sello de tiempo, almacenamiento seguro, etc. • Debemos conservar la prueba, cuánto tiempo?, quién lo debe hacer?. • Buscar medios para garantizar la admisibilidad de los registros de IDS y Honeynet, justificar. • Cómo combatir a problemas de Spam. Desde el punto de vista técnico o legal?. Es más fácil el legal. • Base de datos de casos y escenarios. Se hace necesario considerar escenarios tipos y técnicas anti-forenses como estenografía, técnicas de ingeniería inversa, cifrado, etc. • Se invita al primer “reto en análisis forense” en castellano.