1 / 42

Técnicas de Computación Forense

Técnicas de Computación Forense. Introducción. Objetivo Importancia Tecnología => Valor de la información Conectividad => Riesgos Evidencias => Registros, bitácoras - Nuevas técnicas Pruebas => Menos tiempo. Norma 1210.A2.

telyn
Download Presentation

Técnicas de Computación Forense

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Técnicas de Computación Forense M.I.G.T. - Diciembre de 2005

  2. Introducción • Objetivo • Importancia • Tecnología => Valor de la información • Conectividad => Riesgos • Evidencias => Registros, bitácoras - Nuevas técnicas • Pruebas => Menos tiempo

  3. Norma 1210.A2 • El auditor internodebe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.

  4. Consejo para la práctica 1210.A2-1 • Cuando el auditor interno sospeche de la existencia de irregularidades debe informar a las autoridades. El auditor interno puede recomendar cualquier investigación... • Dentro de la investigación se incluye la obtención de evidencia. • Auditores internos, abogados,... usualmente dirigen o participanen las investigaciones.

  5. Consejo para la práctica 1210.A2-1 (cont.) • Al dirigir la investigación del fraude los auditores internosdeben entre otros: • Determinar los conocimientos, técnicas y competencias para llevar a cabo la investigación. • Diseñar los procedimientos a seguir. • Coordinar las actividades con el personal. • Concluida la investigación, los auditores internos deben evaluar los hechos para: • Mantener un conocimiento suficiente del fraude, e identificar los indicadores en el futuro.

  6. Agenda • Ilícito Informático • Incidentes de seguridad informática • Computación Forense • Evidencia Digital • Cadena de Custodia • Pasos del Cómputo Forense • Prueba Informática • Herramientas del Perito

  7. Ilícito Informático • Debería definirse como: • “Todas aquellas conductas ilícitas, susceptibles de ser sancionadas, que hacen uso de cualquier medio informático.”

  8. Incidentes de seguridad informática • Tipos: • Uso no apropiado: Fraude, incumplir políticas de uso, estafa, hurto de información, software ilegal, esteganografía, etc. • Acceso no autorizado (físico o lógico) : Hackeo de servidores, crackeo passwords, phishing, keyloggers, hackers, crackers, phreakers, ingeniería social, etc. • Código malicioso: Virus, gusanos, troyanos, espías, etc.. • Denegación de servicio

  9. Señales de alerta • Detección automática: Software de detección de intrusos (IDS), antivirus, analizadores de logs, monitoreo automático de controles e integridad. • Manual: Denuncias de usuarios o administradores, caídas de servidores y servicios, bajo rendimiento.

  10. Computación Forense • Según el FBI: “Es la ciencia de adquirir, preservar, analizar y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional, aplicando técnicas científicas y analíticas”

  11. Computación Forense • Objetos • Objetivos • Procesamiento judicial • Investigación en ámbito organizacional • Errores, fallas, pérdidas de datos • Medidas preventivas • Usos

  12. Registros de un caso • Se utilizaron los siguientes: • Conexiones a la red y al PC • Análisis de archivos la red y del PC • Recuperación de archivos eliminados • Recuperación de cintas de respaldos • Archivos temporales de Office • Propiedades de los documentos de Office • Agendas electrónicas • Marcas de tarjeta de ingreso • Llamadas telefónicas

  13. Evidencia Digital • Según Casey: Es un tipo de evidencia física. Está construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales. • “Cualquier tipo de dato digital que pueda ayudar a demostrar que se ha cometido un ilícito, o bien que permita establecer un vínculo entre el ilícito, la víctima, y el criminal”.

  14. Evidencia Digital • Características: Frágil y volátil • Diferencias con evidencia física tradicional • Ventajas • Repetible • Recuperable • Redundante • Íntegra (Función de hash)

  15. Evidencia Digital • Propiedades de la evidencia digital según IOCE (International Organization on Computer Evidence): • Consistencia con todos los sistemas legales • Permitir usar un lenguaje común • Durabilidad • Capacidad de cruzar límites internacionales • Capaz de ofrecer confianza en su integridad • Aplicables a toda la evidencia forense

  16. Dificultades • Alteración de la evidencia por falta de protección • Se llega tarde a levantar la evidencia, se pierden logs o se sobrescriben. • Falta de cuidados en la conservación de los equipos • Trabajar con medios originales • Falta de recursos humanos y materiales adecuados

  17. Recursos Humanos • Destrezas de los técnicos • Credibilidad y Confianza • Metodología

  18. Cadena de Custodia • “La cadena de custodia documenta el proceso completo de las evidencias durante la vida del caso, quién la recogió y donde, como la almacenó, quien la procesó, etc..” • Características: • Identificación • Continuidad de la posesión • Prueba la integridad • Documentación estándar (Formulario)

  19. Pasos a seguir • Identificación y Descripción • Recolección de evidencia • Línea del tiempo • Análisis del sistema • Recuperación de datos eliminados • Búsqueda de cadenas • Reconstrucción de los hechos • Prueba informática • Informe

  20. 2) Recolección de evidencia • Notificar. Presencia de testigos • Proceso documentado y repetible • Copia: Imagen bit a bit. • Obtener 2 copias. Nunca trabajar en medios originales • Anotar fechas y horas. Documentar. Precintar. • Utilizar software forense • Recoger en orden de volatilidad • Volátiles y no Volátiles

  21. Evidencia volátil • Depende del momento y las condiciones • Tipos: • Transitoria o pasajera: Se perderá al apagar la máquina. • Frágil: Inf. En disco fácilmente alterable. • Temporal: En disco, pero accesible durante un cierto período.

  22. Métodos de preservación • En lo posible: No apagar la máquina y recoger inmediatamente la evidencia volátil sin alterar la escena. • Guardar la información en otro dispositivo. • Poca inf.: Diskettes (baratos, rápidos, accesibles y transportables) • Lo ideal: A través de la red en un equipo seguro. • Usar poca memoria para no sobrescribir • Aislar la máquina para evitar alteraciones

  23. 3) Línea del tiempo • Graficar cronológicamente: • Conexiones al sistema o a la red • Fechas y horas de archivos • Eventos relevantes de los logs • Etc..

  24. 4) Análisis del Sistema • Análisis general del sistema buscando características especiales, fechas, permisos, etc. • Printer Spooler File • Papelera de Reciclaje • Links: Windows/Recent, Windows/Desktop, Windows/Start • Archivos temporales

  25. 5) Recuperación de datos eliminados u ocultos • Temporales de Microsoft • Archivos y carpetas eliminados • Espacio reservado en archivos • Información del autor en archivos Office

  26. Correo electrónico Return-Path: bounces@tuparada.com Remitente Received: from smtp-s4.antel.net.uy (192.168.2.4) by be04.in.adinet.com.uy (7.2.068.1)Una línea por cada servidor en la ruta del mensaje id 4373658A000CF9E5 for migarcia@adinet.com.uy; Sat, 19 Nov 2005 16:41:52 –0200 Received: from news2.tuparada.com (200.32.4.113) by smtp-s4.antel.net.uy (7.2.068.1) id 436059EE0040B83B for migarcia@adinet.com.uy; Sat, 19 Nov 2005 16:41:52 –0200 Message-ID: <436059EE0040B83B@smtp-s4.antel.net.uy> (added by postmaster@adinet.com.uy)Identificador único del mensaje To: migarcia@adinet.com.uy

  27. 8) Prueba informática • Objetivo de la prueba • Admisibilidad • Autenticidad: Evidencia relacionada con el caso y no alterada • Confiabilidad: Forma de registro comprobable • Suficiencia: Redundancia. Correlación de eventos • Conformidad con legislación vigente: Estándares internacionales (Unión Europea, etc..) • Criterio de razonabilidad

  28. Herramientas • Kit de Cómputo Forense • Computadoras, Discos externos • Grabadora de Cds y Cds libres • Cámara digital y celular • Herramientas y cables • Impresora portátil y Papel • Precintos, formularios de cadena de custodia • Herramientas de software de análisis forense (Encase, FIRE, Helix, Winhex, etc.) • Lugar seguro para guardar la evidencia

  29. Problemas • Falta de conocimiento o experiencia. Software poco conocido, o antiguo. • Malas prácticas en el tratamiento de la evidencia digital • Falta de recursos materiales • Subestimar el alcance del incidente. ¿A que nos enfrentamos? • No entender que pasó

  30. Más problemas • Software antiforense • No tener en quien confiar • No aceptar sus limitaciones. No pedir ayuda • Falta de objetividad • Fallas en la documentación, o alteración de la cadena de custodia • Fallas en el informe

  31. Caso de Fraude • Empresa utiliza planilla con inf. de deudas como sistema informático. • Fraude: Alteración de la información de la planilla en beneficio de otro. • Denuncia e investigación.

  32. Caso de Fraude (cont.) Metodología: • Diagnóstico inicial • Copias del disco duro del PC • Guarda del disco original • Análisis de directorios de la red donde estaba la planilla alterada. • Se obtuvo copia del archivo con la planilla

  33. Caso de Fraude (cont.) Metodología (cont.): • Comando Salvage de red Novell • Recuperación de archivos eliminados en disco local y red • Se obtuvieron archivos temporales de excel con versiones anteriores a cada edición del archivo. • Recuperación desde las cintas de respaldos de las versiones de los archivos relacionados • Se armó serie cronológica de versiones del archivo.

  34. Caso de Fraude (cont.) Metodología (cont.): • Análisis de características de propiedad, autor, fechas, horas de archivos originales y temporales de edición de Excel. • Análisis de registros de conexión a red y PC. • Armado de la línea del tiempo y reconstrucción de los hechos para la prueba.

  35. Caso de Fraude (cont.) Conclusiones: • Redundancia: Se obtuvo la historia de los archivos por más de una vía. • Se demostró la identidad del perpetrador del fraude, liberando de responsabilidad al inocente. • Condiciones: En organizaciones grandes hay más recursos y ambientes más controlados.

  36. Recomendaciones • Seguridad Informática: • Politicas de seguridad • Firma Digital, encripción • Software actualizado • Servidores de aplicaciones y redes seguros • Firewalls y routers bien configurados • Controles, prácticas y procedimientos: Es más barato prevenir que detectar • Auditar regularmente, evaluar riesgos

  37. Más recomendaciones.. • Software antivirus e IDS • Conocer bien el ambiente y comportamiento normal • Loggear actividad • Mantener relojes y logs sincronizados • Recolectar información de análisis • Capacitación • Aprender de lo ocurrido • Campaña de sensibilización en seguridad

  38. Sitios de interés • Computer Forensics Inc.www.forensics.com • Computer Forensics Serviceswww.computer-forensics.com • Armor Forensicswww.forensics-intl.com • Computer Forensic News and Communitywww.foresicfocus.com • www.informaticaforense.com

  39. Más sitios de interés.. • International Organization on Computer Evidence www.ioce.org • European Network of forensic Science Instituteswww.enfsi.org • International Journal on Digital Evidencewww.ijde.org • Information Security and forensic societywww.isfs.org.hk • Scientific working group on digital evidencewww.ncfs.org/swgde • CERT: www.cert.org/kb/

  40. Software forense • Helix: www.e-fense.com/helix • Sleuth Kit & autopsy: www.sleuthkit.org • Snort: www.snort.org • F.I.R.E.: biatchux.dmzs.com • Encase: www.encase.com • Winhex: www.winhex.com

  41. Referencias Para la elaboración del siguiente material se utilizaron las siguientes referencias bibliográficas: • Preservation of fragile digital evidence by first responders – Special Agent Jesse Kornblum • Forensic examination of digital evidence (U.S. DOJ-2004) • Chain of custody form for forensic images (e-fense-2005) • Material del curso de “Computación Forense” dictado por Chavez y Andrés - Isaca Latin Cacs - Mérida 2004 • Digital Evidence: Standards and Principles by SWGDE and IOCE. • The Institute of Internal Auditors.

  42. Muchas gracias

More Related