Download Análisis forense (Presentación). - Mi portal

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
Document related concepts
no text concepts found
Transcript 
Análisis Forense
Técnicas de Seguridad en Sistemas de Información
Master TIC – Noviembre 2011
Iván Marsá Maestre
Introducción
¿Análisis Forense?
 El título no está muy bien puesto
 ¿Informática forense?
 Veremos tres temas relacionados
 Forensic Informatics
 Information Forensics
 Security Audit and Risk Analysis
 Cada uno con sus técnicas y desafíos
1
Introducción
Forensic Informatics
 Informática aplicada a la investigación forense
 El dispositivo informático es una “evidencia” de un
delito
 No necesariamente electrónico
 Empleo de técnicas informáticas para extraer y
recopilar evidencias “lógicas” de la evidencia
“física”
 Desafíos
 Validez jurídica
Introducción
Information Forensics
 Investigación forense aplicada a sistemas de
información
 El dispositivo informático es el “objeto” de una
intrusión
 No necesariamente un delito
 Empleo de técnicas informáticas para recopilar
evidencias acerca de la intrusión
 Desafíos
 La fuente de información es el objeto atacado
2
Introducción
Security Audit and Risk Analysis
 Análisis de Riesgos asociados a Sistemas de
Información
 El sistema no ha sido atacado, pero comporta
riesgos
 No necesariamente frente a ataques
 Recopilación de evidencias que permitan valorar
los riesgos del sistema
 Desafíos
 No es “¿qué ha pasado?”, sino “¿qué puede pasar”
Fuentes de Información
¿Qué tienen en común?
 El procedimiento
 Recuperación de información
 Análisis de evidencias
 Elaboración de un informe
 Las habilidades que se requieren
 Análisis crítico y objetivo
 Valoración fundada
 Rigor
 …
3
Forensic Informatics
(Informática Forense)
Técnicas de Seguridad en Sistemas de Información
Master TIC – Noviembre 2011
Introducción
Informática Forense
 Recopilar evidencia de equipos informáticos y
dispositivos de almacenamiento digitales que pueda
ser presentada ante un tribunal
 Requisitos específicos
 Preservación de la evidencia
 Cadena de custodia
 Reproducibilidad
4
Introducción
Metodología Forense
 Recolección de evidencia
 ¡Manteniendo la integridad y la cadena de custodia!
 Análisis de la evidencia
 Metódico y reproducible
 Informe pericial
 Riguroso, claro y preciso
Recogida de Evidencias
Recogida de Evidencias
 Evidencia: elemento físico o lógico que permite
confirmar o refutar una hipótesis
 En este caso, la hipótesis del hecho delictivo o de su
autoría
 Evidencia electrónica o informática: alude al
soporte específico
 ¿Qué puede ser una evidencia?
5
Recogida de Evidencias
Volatilidad de la evidencia
 Alude a la facilidad de alteración de la evidencia
 Evidencias volátiles
 Memoria RAM
 Procesos activos
 Conexiones de red
 …
 Debe ser recolectada en primer lugar
Recogida de Evidencias
Volatilidad de la evidencia
 ¿Apagar o no apagar la máquina?
 Si se apaga, se pierde la evidencia volátil
 Si no se apaga, se puede alterar toda la evidencia
 Ataque en curso
 Mecanismos de protección
 …
 En general, hay que llegar a una solución de
compromiso
6
Recogida de Evidencias
Integridad de la evidencia
 Asegurar que la evidencia no ha sido alterada
 Minimizar pérdida de datos
 Evitar agregar datos
 Garantizar que la evidencia no ha sido alterada
 Imprescindible en todo proceso judicial
Recogida de Evidencias
Integridad de la evidencia
 ¿Cómo asegurar la no alteración de la
evidencia?
 Copiados bit a bit
 Bloqueadores de escritura
 Hashes criptográficos
 Jaulas de faraday
 Garantizar que la evidencia no ha sido alterada
 Protocolos de cadena de custodia
 Protección física de la evidencia
7
Recogida de Evidencias
Proceso de Análisis Forense
ESCENA
Asegurar la
escena
Identificar
evidencias
Capturar
evidencias
Proteger la escena para
evitar la modificación o
destrucción de las
evidencias digitales
existentes
Identificar de entre los
equipos y dispositivos
existentes, los que
puedan contener una
información relevante
Realizar copia exacta de
las evidencias identificadas
sin alterar el original, o con
el mínimo impacto sobre
ésta
Definición de los protocolos
de actuación a seguir ante un
determinado tipo
investigación digital
Experiencia en investigación
y conocimiento de sistemas
informáticos para identificar
las fuentes de información
Empleo de herramientas
fiables, contrastadas y
eficientes que garanticen
que NO se altera la
evidencia original
Documentar
detalladamente todos los
procedimientos realizados
sobre las evidencias
Analizar las evidencias
siguiendo métodos forenses
especializados y empleando
las herramientas forenses
adecuadas al caso
Presentación de los
resultados de forma
clara y en un formato
adecuado al tipo de
informe requerido
Adecuado tratamiento y
documentación de las
evidencias garantizando
la «cadena de custodia»
Equipo formado por
personal capacitado con
experiencia en el uso de
herramientas de análisis
forense
Redacción de informes
claros, concretos y
concisos ilustrativos de
los hechos.
Preservar
evidencias
Analizar
evidencias
Presentar
resultados
LABORATORIO FORENSE
Recogida de Evidencias
La imagen forense
 Copia “bit a bit” de la evidencia contenida en un
sitema
 Discos duros, unidades extraíbles, memoria
 ¿Cómo se obtiene?
 Duplicadoras hardware
 Software específico
 Propietario: Encase
 De libre distribución: dd
8
Análisis de la Información
Análisis de la información
 Localizar información relevante para el caso
 ¿Qué es relevante?
 ¿Cómo localizo esa información en un tiempo razonable?
 Métodos de análisis
 Establecimiento de la línea temporal
 Análisis de palabras clave
 Técnicas de inteligencia artificial
 …
Análisis de la Información
Análisis de la información
 Desafíos
 Dispositivos cada vez más heterogéneos
 Cifrado de datos
 Almacenamiento en la nube
 Revisión no supervisada de contenidos
 …
9
Related documents
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Metodología de análisis forense orientada a incidentes en
Metodología de análisis forense orientada a incidentes en
Informática Forense
Informática Forense
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
La cadena de custodia informático-forense
La cadena de custodia informático-forense
informática forense
informática forense
Análisis forense en dispositivos móviles iOS y Android
Análisis forense en dispositivos móviles iOS y Android
Objetivos de la Informática forense
Objetivos de la Informática forense
Workshop ekoparty 2011_20110924202716
Workshop ekoparty 2011_20110924202716