Download 09 Informática forense
Document related concepts
no text concepts found
Transcript
Curso de Peritajes CPIICyL 09 INFORMÁTICA FORENSE [email protected] Curso de Peritajes CPIICyL bloque 4: marco pericial 07 Deontología y procedimientos básicos 08 Método y discurso bloque 5: informática forense 09 Informática forense 10 Recapitulación bloque 6: casos prácticos 11 Caso práctico informática forense 12 Caso práctico implantación [email protected] Curso de Peritajes CPIICyL 09 Informática forense Objetivo de la sesión Dar una primera aproximación a las técnicas de informática forense. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Informática forense Conjunto de técnicas orientadas a la adquisición, preservación y análisis de indicios informáticos de forma verificable. Utilizadas por: peritos, fuerzas y cuerpos de seguridad, equipos de gestión de seguridad, auditores, etc. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Ingeniería informática Aunque se trata de un conjunto de técnicas utilizadas por diferentes perfiles profesionales, la formación reglada en ingeniería informática ofrece un marco de contraste de gran valor. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Empirismo Comúnmente asociadas a funcionalidades o circunstancias de los sistemas poco conocidos. Permite un análisis a un nivel semántico más bajo y con un contexto de coherencia mayor. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Cadena de custodia La cadena de custodia convencional incluiría la gestión de la integridad y el control de acceso. En el caso informático la segunda acepción queda poco cubierta. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Herramientas y dispositivos Bloqueadores de escritura, clonadoras, dispositivos y programas de adquisición de teléfonos, herramientas de análisis, etc… [email protected] Curso de Peritajes CPIICyL 09 Informática forense Distribuciones forenses Distribuciones (live) que se comportan de una manera respetuosa con los medios que se conectan y que incluyen herramientas forenses. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Distribuciones forenses (II) SIFT http://digitalforensics.sans.org/community/downloads CAINE DEFT http://www.caine-live.net/ http://www.deftlinux.net/ [email protected] Curso de Peritajes CPIICyL 09 Informática forense Distribuciones forenses (III) Falta de homogeneidad y continuidad. Dependen de esfuerzo voluntario. Se espera que se estabilicen con el tiempo. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Acciones - Copia forense de medios, - Gestión de integridad y - Análisis. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Copia forense La copia forense incluye todo el espacio del medio de almacenamiento. De disco a disco -> clonado, de disco a fichero -> imagen forense. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Copia forense (II) Hardware (clonadora) Software (programas, dd y derivados –dc3dd, dcfldd-) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Copia forense (III) Situaciones atípicas: disco con errores (ddrescue) o medio flash. Se debe realizar una copia con las máximas garantías y considerar dicha copia como en nuevo original. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Gestión de integridad Ver http://en.wikipedia.org/wiki/Cryptographic_hash_function Propiedades: sensible a la entrada, no reversible, equidistribuida. Diferentes funciones: md5 (32 hex), sha1 (40 hex), sha256 (64 hex) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Análisis Fundamentación de hechos relevantes y contraste con un contexto de coherencia amplio. Influenciado por el posible ánimo de ocultación. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Previo smartctl –i dd // dcfldd //dc3dd ddrescue [email protected] Curso de Peritajes CPIICyL 09 Informática forense Copia de medios sudo dc3dd if=/dev/sdc1 conv=sync,noerror progress=on | tee >(dc3dd of=/media/sdd1/sdc1.dd hash=sha1 hashlog=/media/sdd1/hash_sdc1.sha1) | dc3dd of=/media/sda2/sdc1.dd hash=sha1 hashlog=/media/sda2/hash_sdc1.sha1 [email protected] Curso de Peritajes CPIICyL 09 Informática forense Copia de medios (II) ddrescue -f -n /dev/hda /dev/hdb logfile ddrescue -d -f -r3 /dev/hda /dev/hdb logfile [email protected] Curso de Peritajes CPIICyL 09 Informática forense Copia de ficheros cp –p rsync –a xcopy /k Robocopy (http://www.microsoft.com/enus/download/details.aspx?id=17657) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Integridad md5sum / sha1sum md5deep / sha1deep fciv (http://www.microsoft.com/enus/download/details.aspx?id=11533) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Recuperación de datos testdisk fatback photorec ntfsundelete [email protected] Curso de Peritajes CPIICyL 09 Informática forense Búsquedas grep Autopsy/The Sleuth Kit [email protected] Curso de Peritajes CPIICyL 09 Informática forense Búsquedas ¡Términos relevantes! [email protected] Curso de Peritajes CPIICyL 09 Informática forense Metadatos exiftool [email protected] Curso de Peritajes CPIICyL 09 Informática forense “Artifacts” lnkinfo rip (RegRipper) [email protected] Curso de Peritajes CPIICyL 09 Informática forense “Carving” Foremost Scalpel Bulk Extractor [email protected] Curso de Peritajes CPIICyL 09 Informática forense Líneas temporales log2timeline fls [email protected] Curso de Peritajes CPIICyL 09 Informática forense Navegación Pasco Galleta [email protected] Curso de Peritajes CPIICyL 09 Informática forense Teléfonos SQLiteBrowser iPBA [email protected] Curso de Peritajes CPIICyL 09 Informática forense Análisis en caliente DART (DEFT) Win-UFO (CAINE) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Otros: borrado seguro DBAN Wipe Shred Eraser (http://eraser.heidi.ie/) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Otros: cifrado Bitlocker FileVault Hardware (WD My Passport Ultra) TCNext (https://truecrypt.ch/) [email protected] Curso de Peritajes CPIICyL 09 Informática forense Herramientas comerciales EnCase FTK X-Ways [email protected] Curso de Peritajes CPIICyL 09 Informática forense Mostrar elementos de seguridad física, bloqueadores, etc. [email protected] Curso de Peritajes CPIICyL 09 Informática forense Enlaces NIST-CFTT (prueba de herramientas) http://www.cftt.nist.gov/ NIST-CFReDS (conjuntos de datos de referencia) http://www.cfreds.nist.gov/ Open Source Digital Forensics http://www2.opensourceforensics.org/ [email protected] Curso de Peritajes CPIICyL 09 Informática forense ¿PREGUNTAS? [email protected]