Sesión 3 - Introducción a la informatica forense

8/2/2019 Sesin 3 - Introduccin a la informatica forense

1/25

Introduccin a la Computacin Forense 10/22/20

Daniel Torres Falkonert (c) 2011

ComputacinForense:

Herramientas para

combatir la

ciberdelincuencia

Ing. Daniel Torres Falkonert

Email: [email protected]

22/10/20111


El Proceso Forense en Informtica

Recolectar Examinar Analizar Presentar

Medios Datos Informacin Evidencia


2/25



Dinmica del Proceso

Forense

Iterativo

Es clave usar metodologasformales!!! (P.E.O.,Clasificacin de incidentes)

El investigador nonecesariamente es el primerrespondiente.

Aunque toda la teora estorientada a investigacionespoliciales, los mismosprincipios aplican eninvestigaciones corporativas

22/10/2011 Daniel Torres Falkonert (c) 20113

PrimeraRespuesta

Recuerde las 7 P

Proper Prior Planning Prevents

Particularly Poor Performance



3/25



Procedimientos estndar de

Operacin

Serie de pasos que deben ser seguidos cadavez que se requiera recolectar y/o examinarun computador o componente de este

Aseguran que la evidencia fue recolectada,preservada y analizada de una maneraconsistente y minuciosa

Afrontar crisis en todos los niveles.

Proteger la continuidad del negocio


Principios del manejo de la evidencia

Principio 1: Ninguna medida tomada por la polica osus agentes deber alterar datos almacenados en uncomputador o cualquier otro medio que pueda sereventualmente confiado ante una corte.

Principio 2: Bajo circunstancias excepcionales, endonde se considere necesario acceder a los datosoriginales en un computador, la persona encargada de

realizar dicha accin, deber ser competente parahacerlo, adicionalmente debe dar evidencia de susacciones, documentando y explicando la relevancia ylas implicaciones de stas.



4/25



Principios del manejo de la evidencia

Principio 3: Se deber crear y preservar un registro desecuencia de eventos u otro tipo de registro de todos losprocesos aplicados a la evidencia digital. Una tercera parteindependiente deber estar en condiciones de examinaresos procesos y lograr el mismo resultado.

Principio 4: El oficial a cargo del caso es responsable deasegurarse que la ley y estos principios sean cumplidos.Esto con respecto a la posesin de la informacin contenidaen el computador, y el acceso a la misma. Se debersatisfacer que cualquiera que acceda al computador, o

cualquier uso que se haga sobre ste de un dispositivo decopiado, cumpla con estas leyes y principios.


Tenga MUY en cuenta

La persona que realice laprimera respuesta la

evidencia debe entenderla naturaleza de losdatos a recolectar.

En muchos casos solo setiene una oportunidad

de realizar el proceso.Generalmente los errores

en esta fase sonirreversibles!!!!



5/25



Consejo

En el entorno corporativotodo el personal de TIdebe estar entrenado

para ser primerrespondiente.

As la organizacin norealice investigacionesinternas, es posible quesea necesario recolectar

datos para transferirlos auna autoridadcompetente.


Lectura Recomendada

Electronic Crime Scene Investigation: AGuide for First Responders

U.S. Department of Justice Office ofJustice Programs

National Institute of Justice

Descarga:http://www.ncjrs.gov/pdffiles1/nij/187736.pdf



6/25



Primera Respuesta

Despus de la deteccin delincidente

Indagar Contaminacin escena delcrimen

Determinar presuntos actores(informticos)

Identificar problema aparente(Clasificacin del incidente)

Entrevistar usuarios Definir cuales son las mejores

herramientas. Iniciar cadena de custodia


Posible clasificacin de incidentes

Nivel Incidente

Muy alto

Incidente con aplicaciones de comercio electrnico Incidente con Servidor de autenticacin Incidente con el servidor de cobros/pagos electrnicos Sospecha de apropiacin de informacin sensible de clientes o personal de la organizacin

Alto

Incidente con el servidor de Nombres (DNS) Incidente con el servidor de correo electrnico Incidente con servidor WWW Violacin de Permetro (Incidente con enrutadores) Hallazgo de una mquina comprometida.

Medio

Ataques llevndose a cabo desde equipos fuera del dominio de la organizacin. Sobrecarga inusual de la red o de los equipos de cmputo.

Envo de correo no deseado (SPAM) desde equipos dentro de la organizacin.

Bajo Pruebas de red (port Scanning, pruebas de vulnerabilidades) Deteccin de firmas de ataques conocidos (Code Red, Nimda)


7/25



Responsabilidades del primer

respondiente1. Observar y establecer los lmites de

la escena del crimen

2. Iniciar medidas de seguridad(safety)

3. Proveer cuidado de emergencia

4. Asegurar fsicamente la escena delcrimen

5. Asegurar fsicamente la evidencia(Bag and Tag): e-csi!!

6. Entrega de la escena del crimen7. Finalizar documentacin


Entrevistas

Identificar sospechosos,vctimas, etc.

Familiarizarse con el entorno Indagar contaminacin de la

evidencia Comenzar a formular hiptesis Es til hacer preguntas

abiertas (puede decirme queocurri?)

Dejar que la conversacin

fluya OJO!!! Entrevista es diferente

a interrogatorio



8/25



Se necesita autorizacin pararecolectar la evidencia

(Warranted vs. Warrantless)?

Tiene la competencia parahacerlo?

Tenga siempre a mano unabogado

Identificacin de la evidencia

Identificacin

Reglas de la mano derecha:

1. Los primeros respondientes debenenfocarse en la identificacin deposibles contenedores deevidencia y no en qu evidenciapuede estar almacenada en uncontenedor.

1. Es mejor identificar ms

contenedores que los necesarios,que dejar por fuera alguno quepueda tener evidencia relevantepara el caso.

16


9/25



Reto: Autenticidad de la Evidencia

3 preguntas clave: Se alteraron los datos?

Cadena de custodia Documentacin Sumas de verificacin criptogrficas (Sha1)

El programa que produjo la informacin es confiable?(Representacin de los datos)

Software aceptado por la comunidad. Software legal Otros aspectos legales

Se puede determinar la identidad del autor? Uso de otra evidencia circunstancial pero que lo corrobore

(Cmaras de seguridad, acceso a otras cuentas, logs sistemas decontrol de acceso, libro de visitas, etc.)

17

Adquisicin

Y

Herramientas

Forenses



10/25



Dinmica de la Evidencia

Es una forma de describir y entender lasfuerzas que pueden actuar sobre la evidenciay los efectos que tenga sobre esta.

Clasificacin:

Fuerzas Humanas

Fuerzas Naturales


Apagar el equipo?

Cmo se apague el

sistema puede afectar

considerablemente la

evidencia.

El investigador debe

tomar la decisin decmo y cundo apagar.



11/25



Caractersticas del apagado

Cortar la Electricidad

Prdida de informacinvoltil

Dao del Sistema dearchivos (Raro en los FSactuales)

Se puede perder el accesoal la informacin en el disco(Truecrypt, Bitlocker, etc.)

Se limitan los cambios alsistema de archivos duranteel proceso de apagado

Apagado limpio

Puede perderse la memoriavirtual

Se pierde el control sobreprocesos que puedaneliminar evidencia al apagar.

El sistema de archivosqueda intacto.

Se disminuye la

probabilidad de recuperararchivos borrados


Orden Descendente devolatilidad

Tomar fotos y etiquetar losequipos involucrados

Usar ropa y equipo adecuados

Utilizar Medios dealmacenamiento estriles

Considerar Geometra de losmedios fuentes

Documentar

Recoleccin de la Evidencia


12/25



Orden de Volatilidad

No es posible grabar loscambios de los procesos y losarchivos de manera precisa entiempo real.

Cuando se capturan datos enuna parte del sistema, se estcambiando en otra.

Principio de la incertidumbrede Heisenberg:

Se puede determinar conprecisin la posicin de unapartcula o determinar su

movimiento, pero no medirlasambas simultneamente


Tenga en cuenta

Recuerde las 3 reglas de Orodel manejo de laevidencia digital.

Lo que finalmente se buscaes ser lo menos intrusivo

posible.

Pero tenga en cuenta elprincipio cientfico: Solo

el hecho de observar algo,de alguna manera lo

cambia



13/25



Flujo-grama de

escalamiento

Fundamental en elentorno corporativo

Permite saber cmo sedebe reaccionar ante unincidente y a quines sedebe llamar


I nvesti gado r Ger en te



14/25



Si no sabe qu hacer pidaayuda a algn experto.

No IMPROVISE con losprocedimientos.



No es siempre es posibletener los sistemasinvolucrados en ellaboratorio.

Duplicado forense

Espacio Utilizado

Espacio Disponible

Espacio no utilizado

Espacio Slack No toda la informacin que

se examine y/o recolectenecesita ser admisible


15/25



El disco duro

Es el Data Center delComputador

Es donde por lo generalse encuentra la mayorcantidad de evidenciadigital.


Imagen Tomada de wikipedia

30

Geometra del discoEst compuesto de:

Parte fsica:

r/w Heads Platters

Parte Lgica

A. TrackB. Sectores (Generalmente 512

Bytes)C. CilindroD. Cluster (Windows) o bloques

(Unix) (unin de sectorescontiguos)

Imagen Tomada de wikipedia


16/25



31

Geometra del discoSistema CHS

Utilizando el siguiente sistema de Coordenadas podemosposicionarnos donde deseemos:

(Cilinder, Head, Sector)

MaxCapacity = (sector size) x (sectors per track) x (cylinders) x (heads)

Nota: Actualmente, las tecnologas modernas de discos duros utilizan su propiosistema de posicionamiento internamente, esto depende de cadafabricante. Sin embargo, para mantener compatibilidad el dispositivoTraduce sus coordenadas al sistema estndar.

32

Geometra del discoExiste otro sistema de posicionamiento

LBA (Logical Block Addressing).

Surgi por la necesidad de aumentar la capacidad dedireccionamiento.

Es una extensin de CHS, solo que aade un paso

adicional de traduccin Ahora a cada sector le corresponde un nmero nico


17/25



Interfaces y mtodos de acceso

ATA

IDE, EIDE, ATAPI, SATA

SCSI

Firewire 400/800 - IEEE1394 (A & B)

USB

Fibra ptica


RAID: Redundant Array of

Inexpensive Devices

Cada vez ms comnencontrar sistemas queusan RAID

Proveen incrementos endesempeo y toleranciaa fallos.

RAID 0, 1 y 5 son losms comunes



18/25



RAID 0

La informacin sedistribuye a travs delos diferentes mediosconectados

Ofrece un Desempeosuperior en L/E

No tiene tolerancia afallos (Si se daa un

disco se pierde todo)


RAID 1

Se crea una copiaexacta de un conjuntode datos a travs de losmedios conectados

No hay mejora en eldesempeo en laescritura, pero s en lalectura



19/25



RAID 5

Distribuye los datos y laparidad a travs de losdiferentes medios.

Mejoras en eldesempeo de L/E

Provee una mejorrelacin entre espaciode almacenamiento y

tolerancia a fallos


Materiales de primera respuesta

Sobres de varios tamaos Cinta para etiquetas Bolsas para evidencia Bolsas antiestticas Bolsas de basura grandes Cosedora Cajas de diferentes tamaos Cmara digital Caja de herramientas para

computadores Multi-toma Extensin

Bandas antiestticas Grabadora de Audio Linterna Lupa Papel de dibujo Regla y Metro Marcadores permanentes Tiza y/o Crayolas Guantes de latex

Formatos impresos Cables de red Herramientas de informtica

forense



20/25



Las Herramientas Forenses

Juegan un papel claveen el proceso deadquisicin y anlisis dela evidencia

Deben estardebidamentecertificadas, legalizadasy reconocidas


Forensic Soundness

Manejo robusto deerrores de lectura

La aplicacin no debecambiar de ningunamanera el medio original

Debe producir resultadosreproducibles yverificables por unatercera persona.

Debe dejar un registro(log) de todas lasoperaciones que realice.



21/25



Existe una metodologa


Herramientas Forenses

Contar con un inventariodisponible de discosduros de diferentescapacidades y medios dealmacenamiento no re-escribibles (CD, DVD)

Bloqueadores de escrituracon soporte paradiferentes tipos de discos

Herramientas para sacarImgenes forenses (SW oHW)



22/25



Tip

Es importante que siempre se encuentrendisponibles medios esterilizados, es

decir, en un estado tal que nocontenga ningn tipo informacin (ni

fragmentos de ella) anterior a larecoleccin.

Esto con el fin de garantizar su integridady carcter original, y as no se correr

el riesgo que la evidencia seacontaminada con datos que se

encuentren de escrituras anteriores.

No es necesario que sean nuevos pero sideben tener las mismas

caractersticas de un medio que nohaya sido utilizado


Formatos

Formato del primer respondiente

Propsito

Tener un registro de cmo la primeroinformacin que se tiene del incidente



23/25



Formatos

Informacin detallada del dispositivo

Proposito:

Tener informacin detallada deldispositivo que sirva comocomplemento a la cadena de custodia.

No es un requisito legal

Muy til para la fase de anlisis

Es un documento interno


Fromatos

Entrega de dispositivos contenedoresde evidencia

Proposito:

Es un acta de entrega de undispositivo.

Se utiliza ms en investigacionesprivadas.



24/25



Formatos

Cadena de custodia

Propsito:

Llevar un registro

Todo movimiento de laevidencia debe quedardocumentado

Encontrar responsables dealteracin de la evidencia

Debe iniciarse en elmomento que se llega al sitiodel incidente

Es un requisito legal




25/25




Preguntas

22/10/2011

Documents

Sesión 3 - Introducción a la informatica forense