CĂ“MPUTO FORENSE M.C. Juan Carlos Olivares Rojas Universidad Vasco de Quiroga, Noviembre de 2013
Cómputo Forense • Aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Ciber-crimen • Una acción ilícita o tipificada como delito utilizando a propósito las TIC como medio o fin.
Tipos de Incidentes o Ataques • Robo de propiedad intelectual • Extorsión • Pornografía infantil • Fraude • Distribución de virus. • Estafa. • Acceso no autorizado. • Robo de servicios. • Abuso de privilegios • Denegación de Servicios • …
Análisis Forense • El análisis forense informático se aplica una vez que tenemos un incidente o ataque y queremos investigar qué fue lo que pasó, quién fue y cómo fue
Análisis Forense • Responder a las preguntas W5: – ¿Quién? – ¿Qué? – ¿Cuándo? – ¿Dónde? – ¿Por qué?
Legislación Informática • Legislación Internacional • Legislación Federal – http://www.diputados.gob.mx/LeyesBiblio
• Legislaciones Estatales
– http://www.diputados.gob.mx/LeyesBiblio/go – http ://celem.michoacan.gob.mx/celem/main.jsp
Art铆culos del C贸digo Penal Federal
Proceso Forense
Proceso Forense
Reglas Generales
Documentar cambios
Minimizar el manejo de los datos originales.
Cumplir Reglas de la Evidencia
No exceder el conocimiento.
Evidencia • Para que la evidencia sea admisible, debe ser: • • • •
Suficiente Relevante Competente Legalmente obtenida
Tipos de evidencia • Evidencia transitoria • Evidencia curso o patrón • Evidencia condicional • Evidencia transferidas
Orden de JerarquĂa
Registros y contenidos de la cachĂŠ.
+
Contenidos de la memoria. Estado de las conexiones de red, tablas de rutas. Estado de los procesos en ejecuciĂłn. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento.
-
Recolecci贸n y manejo de evidencias Procedimiento de recolecci贸n
Herramientas necesarias y medios de almacenamiento de 茅stas
Transparencia
RFC3227 Pasos de la recolecci贸n
Como archivar una evidencia
Cadena de custodia
Manipulaciรณn de la Evidencia โ ข Si no se toman las medidas adecuadas para la manipulaciรณn de la evidencia esta puede perderse o resultar inaceptable como prueba.
Preservar la evidencia Sistema “vivo”
Sistema “desconectado”
ROS Fecha y hora del sistema Memoria RAM activa Procesos arrancados Actividad de red, conexiones abiertas Conexiones de Red Usuarios conectados en el momento
ONS Cualquier activdad “altera” el entorno
PROS • Análisis del sistema “congelado” • Multiples copias del entorno • Posibilidad de realizar hash • Mayor validez jurídica CONS • Solamente disponemos del HDD
Preservar la evidencia
1
Preservar la evidencia
Bloqueo de conexi贸n al sistema celular
1
Equipo para Anรกlisis Forense
Analizar la evidencia • Extraer, procesar e interpretar. • Para interpretar la evidencia se requiere conocimiento profundo para entender como embonan las piezas. • El análisis efectuado por el forense debe poder ser repetido.
Anรกlisis de encabezados SMTP Encabezado
Valor
Received:
from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100
X-TM-IMSS-MessageID:
<41f1650600009a67@FQDN_SMTP_Remitente>
Received:
from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100
Subject:
TEST de Encabezados
Date:
Tue, 8 Feb 2011 16:02:40 +0100
Message-ID:
<CF21BECC94E6884EB134AD30F14C8D1F1A40@FQDN_mailbox_remitente>
X-MS-Has-Attach:
MIME-Version: 1.0
Content-Type:
multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81"
X-MS-TNEF-Correlator: Thread-Topic:
TEST de Encabezados
Thread-Index:
AcvHoTrEROEEE3f6TR+CRJDGNrHF4w==
From:
<SMTP_Remitente>
Content-Class:
urn:content-classes:message
X-MimeOLE:
Produced By Microsoft Exchange V6.5
To:
<SMTP_Destinatario>
Return-Path:
SMTP_Remitente
Tabla de Particiones Byte 446
Bitácoras / var/log/messages
• contiene los mensajes generales del sistema
/var/log/secure
• guarda los sistemas de autenticación y seguridad
/var/log/wmtp
• guarda un historial de inicio y cierres de sesión pasadas
/var/run/utmp
• guarda una lista dinámica de quien ha iniciado la sesión
/var/log/btmp
• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)
Archivos Temporales
Presentar la evidencia • Abogados, fiscales, jurado, etc. • La aceptación dependerá de factores como: – La forma de presentarla (¿se entiende?, ¿es convincente?) – El perfil y credibilidad de la persona que presenta la evidencia. – La credibilidad de los procesos usados para preservar y analizar la evidencia.
Documentación del análisis forense • • • •
Reporte Ejecutivo Reporte Técnico Catálogo de evidencias Enumeración de evidencias – Iniciales del investigador – Fecha (ddmmyyyy) – Número de equipo (nnn) – Parte del equipo (aa)
Requerimientos de un Investigador Forense Digital • Conocimiento técnico • Conocer las implicaciones de sus acciones • Ingenioso, mente abierta • Ética muy alta • Educación continua • Siempre usa fuentes altamente redundantes de datos para obtener sus conclusiones
Laboratorio de anรกlisis forense
Técnicas Anti-forenses Manipulación, eliminación y/o ocultamiento de pruebas para complicar o imposibilidad la efectivdad del análisis forense. • Ejemplos: – Eliminación de información – Borrado seguro de archivos – Cifrado u ocultamiento (esteganografía) – Alteración de archivos (cambio de nombre y/o extensión).
Contramedidas de anti-forense • Activación de logs de auditoría para S.O., apps y dispositivos. • Instlación de IDS’s (Intrusion Detection Systems) • Implementación de un equipo concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas. • Sistemas de vigilancia • …
Herramientas
Herramientas
多Preguntas? jcolivares@itmorelia.edu.mx MSN: juancarlosolivares@hotmail.com /juancarlosolivaresrojas @jcolivares http://antares.itmorelia.edu.mx/~jcolivares