Download Descargas - WordPress.com
Document related concepts
no text concepts found
Transcript
Luis Villalta Márquez Análisis forense en sistemas informáticos Es la investigación y análisis detallado y minucioso de cualquier dispositivo electrónico (ordenadores, teléfonos, agendas PDA, servidores corporativos, etc..) para la obtención de pruebas admisibles judicialmente o de información relevante para negociaciones internas. El objetivo del análisis es la identificación de indicios y certificación de hechos realizados a través de los mismos. En situaciones de conflicto, este servicio da respuesta al qué, quién, cuándo, dónde y cómo se ha cometido un determinado fraude, ilícito o delito. Debido a la arquitectura de los sistemas operativos actuales, donde el rendimiento prevalece sobre la seguridad de la información, un experto informático forense puede recuperar archivos o fragmentos que previamente el usuario había borrado o modificado. El aumento exponencial del tamaño de las unidades de almacenamiento permite a los expertos forenses recuperar ficheros borrados o manipulados con meses e incluso años de antigüedad. Identificación: Describe el método por el cual el investigador es notificado sobre un posible incidente. Preservación: Mecanismos utilizados para el correcto mantenimiento de evidencia. Importante para acciones legales posteriores. Colección: Involucra técnicas y métodos específicos utilizados en la recolección de evidencia. Examinación: Trata las herramientas y técnicas utilizadas para examinar los datos recolectados y extraer evidencia a partir de ellos. Análisis: Refiere a los elementos involucrados en el análisis de la evidencia recolectada. Presentación Herramientas y técnicas utilizadas para presentar las conclusiones del investigador ante una corte u organismo. Análisis forense en sistemas informáticos 1. 2. 3. El proceso de identificar, preservar, analizar y presentar las evidencias digitales de una manera que sea aceptable legalmente en cualquier vista judicial o administrativa. Es decir recupera datos utilizando las reglas de evidencia. Implica obtener y analizar información digital para conseguir evidencias en casos administrativos, civiles o criminales. Implica examinar y analizar científicamente datos de medios de almacenamiento de computadores para que dichos datos puedan utilizarse como evidencias digitales en los juzgados. 4. 5. Aplicación de método científico para medios de almacenamiento digital para establecer información basada en los hechos para revisión judicial. Implica preservar, identificar, extraer, documentar e interpretar medios de almacenamiento de computador en busca de evidencias y/o análisis de la causa raíz. Se utilizan diversos métodos como: Descubrir datos en un sistema de computación. Recuperar información de ficheros borrados, cifrados o dañados. Monitorizar la actividad habida. Detectar violaciones de la política corporativa. La información recogida permite el arresto, la persecución, el despido del empleado y la prevención de actividad ¡legal futura. Una evidencia digital es cualquier información que puede estar o no sujeta a intervención humana que puede extraerse de un computador, debe estar en formato leíble por las personas y capaz de ser interpretado por una persona con experiencia en el tema. Análisis forense en sistemas informáticos La Evidencia Digital, es todo aquel elemento que pueda almacenar información de forma física o lógica que pueda ayudar a esclarecer un caso. Pueden formar parte: Discos rígidos Archivos temporales Espacios no asignados en el disco Diskettes, Cd-rom, Dvd, Zip, etc. Pendrives Cámaras digitales Backups Conexiones de Red Procesos Usuarios conectados Configuraciones de red Discos Testimonio Humano Evidencias Físicas Evidencias de Red Evidencias de Host Análisis forense en sistemas informáticos Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace necesario debido a: La gran cantidad de datos que pueden estar almacenados en un computador. La variedad de formatos de archivos, los cuales pueden variar, aún dentro del contexto de un mismo sistema operativo. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta. Limitaciones de tiempo para analizar toda la información. Facilidad para borrar archivos de computadores. Mecanismos de encriptación, o de contraseñas. Herramientas para el Monitoreo de Redes y Ordenadores. Herramientas de Marcado de documentos. Herramientas de Hardware. Ejemplos de Herramientas para realizar análisis forense Herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos borrados o recolección de evidencia digital. Outport AIRT (Advanced incident response tool Foremost WebJob HashDig Md5deep