Download 09 Informática forense

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
Document related concepts
no text concepts found
Transcript 
Curso de Peritajes
CPIICyL
09 INFORMÁTICA FORENSE
[email protected]
Curso de Peritajes
CPIICyL
bloque 4: marco pericial
07 Deontología y procedimientos
básicos
08 Método y discurso
bloque 5: informática forense
09 Informática forense
10 Recapitulación
bloque 6: casos prácticos
11 Caso práctico informática forense
12 Caso práctico implantación
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Objetivo de la sesión
Dar una primera aproximación a las
técnicas de informática forense.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Informática forense
Conjunto de técnicas orientadas a
la adquisición, preservación y
análisis de indicios informáticos
de forma verificable.
Utilizadas por: peritos, fuerzas
y cuerpos de seguridad, equipos
de gestión de seguridad,
auditores, etc.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Ingeniería informática
Aunque se trata de un conjunto de
técnicas utilizadas por
diferentes perfiles
profesionales, la formación
reglada en ingeniería informática
ofrece un marco de contraste de
gran valor.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Empirismo
Comúnmente asociadas a
funcionalidades o circunstancias
de los sistemas poco conocidos.
Permite un análisis a un nivel
semántico más bajo y con un
contexto de coherencia mayor.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Cadena de custodia
La cadena de custodia
convencional incluiría la gestión
de la integridad y el control de
acceso.
En el caso informático la segunda
acepción queda poco cubierta.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Herramientas y dispositivos
Bloqueadores de escritura,
clonadoras, dispositivos y
programas de adquisición de
teléfonos, herramientas de
análisis, etc…
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Distribuciones forenses
Distribuciones (live) que se
comportan de una manera
respetuosa con los medios que se
conectan y que incluyen
herramientas forenses.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Distribuciones forenses
(II)
SIFT
http://digitalforensics.sans.org/community/downloads
CAINE
DEFT
http://www.caine-live.net/
http://www.deftlinux.net/
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Distribuciones forenses
(III)
Falta de homogeneidad y
continuidad. Dependen de
esfuerzo voluntario.
Se espera que se estabilicen
con el tiempo.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Acciones
- Copia forense de medios,
- Gestión de integridad y
- Análisis.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Copia forense
La copia forense incluye todo
el espacio del medio de
almacenamiento. De disco a
disco -> clonado, de disco a
fichero -> imagen forense.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Copia forense (II)
Hardware (clonadora)
Software (programas, dd y
derivados –dc3dd, dcfldd-)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Copia forense (III)
Situaciones atípicas: disco
con errores (ddrescue) o medio
flash. Se debe realizar una
copia con las máximas
garantías y considerar dicha
copia como en nuevo original.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Gestión de integridad
Ver http://en.wikipedia.org/wiki/Cryptographic_hash_function
Propiedades: sensible a la
entrada, no reversible,
equidistribuida.
Diferentes funciones: md5 (32
hex), sha1 (40 hex), sha256
(64 hex)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Análisis
Fundamentación de hechos
relevantes y contraste con un
contexto de coherencia amplio.
Influenciado por el posible
ánimo de ocultación.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Previo
smartctl –i
dd // dcfldd //dc3dd
ddrescue
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Copia de medios
sudo dc3dd if=/dev/sdc1
conv=sync,noerror progress=on | tee
>(dc3dd of=/media/sdd1/sdc1.dd
hash=sha1
hashlog=/media/sdd1/hash_sdc1.sha1) |
dc3dd of=/media/sda2/sdc1.dd hash=sha1
hashlog=/media/sda2/hash_sdc1.sha1
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Copia de medios (II)
ddrescue -f -n /dev/hda
/dev/hdb logfile
ddrescue -d -f -r3 /dev/hda
/dev/hdb logfile
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Copia de ficheros
cp –p
rsync –a
xcopy /k
Robocopy (http://www.microsoft.com/enus/download/details.aspx?id=17657)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Integridad
md5sum / sha1sum
md5deep / sha1deep
fciv (http://www.microsoft.com/enus/download/details.aspx?id=11533)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Recuperación de datos
testdisk
fatback
photorec
ntfsundelete
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Búsquedas
grep
Autopsy/The Sleuth Kit
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Búsquedas
¡Términos relevantes!
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Metadatos
exiftool
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
“Artifacts”
lnkinfo
rip (RegRipper)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
“Carving”
Foremost
Scalpel
Bulk Extractor
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Líneas temporales
log2timeline
fls
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Navegación
Pasco
Galleta
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Teléfonos
SQLiteBrowser
iPBA
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Análisis en caliente
DART (DEFT)
Win-UFO (CAINE)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Otros: borrado seguro
DBAN
Wipe
Shred
Eraser (http://eraser.heidi.ie/)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Otros: cifrado
Bitlocker
FileVault
Hardware (WD My Passport Ultra)
TCNext (https://truecrypt.ch/)
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Herramientas comerciales
EnCase
FTK
X-Ways
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Mostrar elementos de
seguridad física,
bloqueadores, etc.
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
Enlaces
NIST-CFTT (prueba de herramientas)
http://www.cftt.nist.gov/
NIST-CFReDS (conjuntos de datos de
referencia)
http://www.cfreds.nist.gov/
Open Source Digital Forensics
http://www2.opensourceforensics.org/
[email protected]
Curso de Peritajes CPIICyL
09 Informática forense
¿PREGUNTAS?
[email protected]
Related documents
Introducción a la Informática Forense
Introducción a la Informática Forense
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Un forense llevado a juicio
Un forense llevado a juicio
laboratorio forense digital
laboratorio forense digital
Un forense llevado a juicio
Un forense llevado a juicio
La recuperación de la información y la informática forense: Una
La recuperación de la información y la informática forense: Una
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Untitled
Untitled
Conservación de la cadena de custodia de una evidencia
Conservación de la cadena de custodia de una evidencia
8 JUDICIAL2017
8 JUDICIAL2017
MAGISTER EN SEGURIDAD, PERITAJE y AUDITORÍA EN
MAGISTER EN SEGURIDAD, PERITAJE y AUDITORÍA EN
UNIDAD DE FILTRACIÓN OPERATIVA tevex
UNIDAD DE FILTRACIÓN OPERATIVA tevex