COMO PRESERVAR LA EVIDENCIA DIGITAL EN UN INCIDENTE INFORMATICO Ing. Gustavo D. Presman @gpresman
Agenda • Aspectos básicos de la evidencia digital
• Aspectos Legales • Aspectos Técnicos y Procedimentales • Conclusiones
Que hacer frente al incidente ?
¿ Judicializar o no Judicializar ? ... Esa es la cuestiòn ...
Que hacer frente al incidente ? • Mitigar : Restaurar la operatividad • Identificar : Como ? Cuando ? Donde ? • Preservar Evidencia : Posible Judicialización
• En que orden ? • Equipo de Respuesta a Incidentes : Dirección , Sistemas , Auditores , Abogados (I/E)
Preservar Evidencia Con planificaci贸n previa y procedimientos claros en la recolecci贸n de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicializaci贸n.
Resguardo de la Prueba
Que es la Evidencia Digital ? • EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA
• ... “ Datos que han sido procesados
electronicamente y almacenados o transmitidos a través de un medio informático”... •
(FBI)
MEMORIA DE ALMACENAMIENTO MEMORIA RAM TRAFICO DE RED
• Que diferencia la evidencia informática de la evidencia tradicional ? • • • •
La volatilidad La capacidad de duplicación La facilidad de alterarla LosMetadatos que posee
Escenario
La Investigación corporativa Investigación Interna Auditoría Externa La vía Judicial
Participantes Informáticos (Sistemas , Peritos) Abogados (Internos Vs. Externos )
Mejor Escenario: Posible Judicialización • Amplitud Probatoria • Validez Judicial : Merituada por el Juez según el ámbito (Trabajo- CyC Penal) y existencia de códigos procesales
• Validez Técnica : Recolección que asegure la inalterabilidad (Fruto del Arbol Envenenado) • RECOLECCION EFECTIVA
Aspectos básicos de la evidencia digital Antes de Recolectar Evidencia tener presente las siguientes consideraciones:
Unicidad de Formato Alterabilidad Interpretación Medio Activo Medio de Destino 10
Aspectos básicos de la evidencia digital
1.Unicidad de Formato
Algunos documentos electrónicos solo pueden preservarse en su estado digital Archivos Multimedia Bases de Datos Relacionales Documentos simples con sus metadatos
Aspectos bรกsicos de la evidencia digital
2. Alterabilidad Todo Archivo digital posee metadatos asociados NO MANIPULE ARCHIVOS QUE PUEDA UTILIZAR COMO EVIDENCIA
APERTURA
12
Aspectos básicos de la evidencia digital
3. Interpretación Puede ser necesario recolectar :
Programas Configuraciones Llaves /Certificados
SI PLANIFIQUE LA RECOLECCION DE LA EVIDENCIA
Aspectos básicos de la evidencia digital
4. Medio Activo El medio físico que almacena nuestra evidencia puede alterarla
NO
UTILIZE DE HERRAMIENTAS DEL SISTEMA OPERATIVO
COPIA
Aspectos bรกsicos de la evidencia digital
5. Medio de Destino Prestar atenciรณn a Universalidad: El medio utilizado estarรก disponible al momento de la prueba ? Obsolesencia :El medio utilizado estarรก accesible al momento de la prueba ? Confiabilidad:El medio utilizado es confiable ? (HDTapes-CD/DVD) SI
PREFIERA MEDIOS MAGNETICOS DE ACCESO ALEATORIO FRENTE A LOS OPTICOS O SECUENCIALES
Resguardo Digital Vs. Impresiones • Documentos impresos • Correos Electrónicos impresos
• Identidad del Material Impreso ? • Con la evidencia digital ...
Metadatos de Archivos (Usuarios , Fechas ) Procedencia de mails ( Datos de Tráfico ) Elementos borrados (Documentos , imágenes , mails)
Aspectos Legales Recolecci贸n de Evidencia mediante acta Notarial
Requirente : Apoderado o Titular con derecho Elementos : Propiedad / Inventarios Profesional Inform谩tico : Audiencia Testimonial o de peritos Material Resguardado > AUTENTICACION
Aspectos Técnicos Clasificación de Evidencia
DE ALMACENAMIENTO – Evidencia Física – Evidencia Lógica
MEMORIA RAM
TRAFICO DE RED
Aspectos Técnicos
Adquisición de Evidencia de Almacenamiento EVIDENCIA FISICA • ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A BIT DEL MEDIO MAGNETICO
AUTENTICACION DE EVIDENCIA
POR MEDIO DE UN ALGORITMO DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA HASHES USUALES
MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits) 5b748e186f622c1bdd6ea9843d1609c1
Aspectos Técnicos
Adquisición de Evidencia de Almacenamiento BLOQUEO DE ESCRITURA •
EVITAR LA ESCRITURA EN EL MEDIO BAJO INVESTIGACION
HARDWARE WRITE BLOCKER SOFTWARE WRITE BLOCKER PLATAFORMA DE ADQUISICION CONTROLADA (OS)
FREE IMAGING TOOLS
dd/dcfldd/Adepto FTK Imager
Tableau Imager
Aspectos Técnicos
Adquisición de Evidencia de Almacenamiento
EVIDENCIA LOGICA
CONTENEDOR DE ARCHIVOS MANTENIENDO LA METADATA INTACTA CON AUTENTICACION INDIVIDUAL
Aspectos Técnicos
Adquisición de Memoria RAM
DATOS VOLATILES
EVIDENCIA SIN AUTENTICACION
ADQUISICION BASADA EN HARDWARE
Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD)
ADQUISICION BASADA EN SOFTWARE *
Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase) *Tener presente al efectuar el análisis
Aspectos Técnicos
Adquisición de Tráfico de Red ESCENARIO
EVIDENCIA LOGICA
CAPTURA
ARCHIVO PCAP
CONCLUSIONES Trabajar
sobre la hipótesis de judicialización
Planificar Hacer
Elegir
la recolección para que sea EFECTIVA
el Resguardo Notarial
el procedimiento técnico que mejor se ajuste a los recursos disponibles, según el tipo de evidencia a recolectar
Muchas Gracias por su participaci贸n Ing. Gustavo Daniel Presman gustavo@presman.com.ar Twitter : @gpresman
Conocenos en: http://www.issaarba.org
Seguinos en: @ISSAarba