Embed Size (px)
Citation preview
Primer
Respondiente en
Cómputo Forense
Fecha: 27/03/2018
Instructor: Eduardo Antonio Zepeda Estrada
Webinar
Mensual
Instructor Mto. Eduardo Zepeda Maestro en Seguridad de Tecnologías de Información y Comunicaciones; Licenciado en Ciencias de la Informática por IPN, Diplomado en MTK Digital, CEH (Certified Ethical Hacker), Diplomado en Linux Technologies, Certificación ISO:27000; Certificación Análisis Moviles Paraben y Certificación Computo Forense y Legislación –UNAM DGTIC’s.
Experiencia en el tema con más de 19 años, Co-Fundador de la Policía Cibernética de la Policía Federal Preventiva, siendo el Jefe de departamento de uso ilícito de internet, responsable de la atención a denuncias de Fraude, Hackeo, Amenazas, Difamaciones y los delitos de cuello blanco. Coordinando operativos en contra de Pederastas y distribución de Pornografía Infantil;
En el año 2004 recibió un premio de manos del C. Presidente Lic. Vicente Fox Quesada, por el resultado de una investigación internacional, se retiró como Inspector en el año 2008. Ha recibido e impartido entrenamiento con policías cibernéticas de: España, Portugal, U.S.A., Colombia, Brasil, Canadá, Honduras, Venezuela, a nivel nacional capacitado y apoyado a la creación de policías cibernéticas Estatales en: Jalisco, Michoacán, Guerrero, D.F., Hidalgo, Querétaro, Coahuila, Guanajuato, Quintana Roo, Nuevo León, entre otras.
Ha impartido conferencias de seguridad de la información a nivel nacional e internacional, creyendo que la creación de conciencia es un gran avance para evitar que se consuman los crímenes electrónicos.
Contenido
• Primer Respondiente
• Incidente de Seguridad de la Información
• Equipo involucrado en incidente.
• Análisis de cómputo Forense
• ¿Qué si hacer?
• ¿Qué no hacer?
Primer Respondiente
“Es la primera autoridad con funciones de seguridad pública en el lugar de la intervención.” Primer Respondiente Protocolo
Nacional de Actuación
http://www.secretariadoejecutivo.gob.mx/docs/pdfs/normateca/protocolos/ProtocoloPrimerRespondienteV1.pdf
Para este Webinar, nos referiremos al Primer Respondiente, como el primer sujeto que tiene interacción o acceso al equipo de cómputo o dispositivo electrónico que es el objeto de estudio.
Incidente de Seguridad de la Información
Se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información del organismo.
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
Dispositivo electrónico utilizado como Herramienta:
Se indica que un dispositivo electrónico puede utilizarse de diversas maneras para la comisión de un ilícito:
• Para realizar cualquier tipo de fraudes.
• Descargar material ilícito.
• Atentar contra los derechos de autor.
• Distribuir / Almacenar contenido ilícito.
Dispositivo electrónico utilizado como Objetivo:
Se indica la actividad de comprometer la seguridad de un dispositivo electrónico:
• Hackear dispositivos electrónicos, instituciones, etc.
Qué hacer si: • El equipo de cómputo o dispositivo electrónico se
utilizó para realizar un ilícito? • Denunciar / Reportar a la autoridad competente y que el
sea el responsable del levantamiento de la escena del crimen y se haga responsable del dispositivo electrónico.
Qué hacer si:
• El equipo de cómputo o dispositivo electrónico fue victima de un ilícito? • Le borraron información
• Le robaron información
• Le modificaron información
• Lo descompusieron
• Lo infectaron con un virus
Acercarse al personal de informática de su institución y solicitarle ayuda, sin embargo si indica que desconoce el procedimiento, que no haga nada.
Le borraron o modificaron información • Identificar si existe un respaldo y restaurar la
información (la mejor práctica es hacer respaldos periódicamente como mínimo cada semana).
• Rescatar el dispositivo de almacenamiento y desde otro dispositivo analizarlo.
• Software recomendado:
• Recover my files
• Recuva
• Partition recovery
Está infectado su dispositivo con un virus • Obtener el Disco Duro
• Desde otro dispositivo con un antivirus actualizado analizarlo. • Software recomendado:
• Norton
• Nod32
• Avira
• Kaspersky
• En caso de que sea infección por Ransomware, verificar si en el sitio: https://www.nomoreransom.org/es/index.html existe la vacuna.
Análisis de Computo Forense
Según el FBI, la COMPUTACIÓN FORENSE es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.
Objetivos de la Informática Forense
El objetivo del análisis forense es reconstruir los hechos pasados en base en los indicios (evidencia) que se recolecta y preservar la información que pueda ser usada como evidencia.
Metodología del Proceso de Análisis Forense
El modelo del DOJ (Eloff et al., 2008) no hace distinción entre los métodos forenses aplicados a computadores o a algún otro dispositivo electrónico. Intenta construir un modelo general para aplicarlo a la mayoría de dispositivos electrónicos.
El proceso de análisis de cómputo forense, se realiza en las siguientes etapas:
• Identificación
• Preservación
• Examinación
• Análisis
• Presentación
Metodología del Proceso de Análisis Forense • Identificación
Es el proceso donde se realiza el levantamiento del caso del incidente, se mapea el incidente de seguridad presentado en el dispositivo electrónico.
Metodología del Proceso de Análisis Forense Cadena de Custodia
Es el sistema de control y registro que se aplica al indicio, evidencia, objeto, instrumento o producto del hecho delictivo, desde su localización, descubrimiento o aportación, en el lugar de los hechos o del hallazgo, hasta que la autoridad competente ordene su conclusión.
Elementos de la cadena de custodia. • Fecha y hora exacta en que se obtuvo.
• Lugar
• El propietario de la evidencia.
• De que equipo o sistema se obtuvo.
• Descripción de la evidencia.
• Nombre completo, cargo y firma del agente forense de computo y posteriormente los que reciben la evidencia.
• Número y nombre del caso.
• Número de pieza.
• Datos técnicos y observaciones.
• Debe crearse una etiqueta por cada pieza distinta.
Metodología del Proceso de Análisis Forense Cadena de Custodia
• Se deben realizar los pasos necesarios para que la recopilación de la evidencia analizada se mantenga de forma original y confiable, para ello, habrá que documentar en forma ordenada, los datos mínimos requeridos en los registros de cadena de custodia, no perdiendo de vista que serán necesarios para el caso de utilizar dicha evidencia en una instancia legal.
• Se establecen, recopilan y preservan los indicios, que son el sustento para determinar la evidencia digital, de lo que ocasiono el incidente, para este efecto se crean documentos de la cadena de custodia.
Metodología del Proceso de Análisis Forense • Preservación
Considera los pasos necesarios para que la recopilación de la evidencia se mantenga de forma original y confiable, para ello, habrá que documentar en forma ordenada, los datos mínimos requeridos en los registros de cadena de custodia.
Se establecen, recopilan y preservan los indicios, que son el sustento para determinar la evidencia digital, de lo que ocasiono el incidente, para este efecto se crean documentos de la cadena de custodia.
Metodología del Proceso de Análisis Forense
• Examinación
Se realiza un inventario de los discos duros recopilados, pudiendo con esto mantener la integridad de estos durante la cadena de custodia.
Metodología del Proceso de Análisis Forense
• Análisis
Se aplican técnicas científicas y analíticas a los respaldos de los discos duros obtenidos, a través de procesos forenses para recuperar información eliminada por el incidente.
Se busca en este componente los datos y/o evidencia que soporten y/o refuten alguna hipótesis sobre el motivo del incidente.
Metodología del Proceso de Análisis Forense
• Presentación
Aquí se utilizan los hallazgos y evidencias encontradas en el análisis para determinar los eventos ocurridos en el incidente y se plasma en una línea de tiempo. La presentación de la reconstrucción de eventos se lleva a cabo en un reporte, explicando a detalle las evidencias encontradas en la línea de tiempo (en caso de haberlas encontrado), así como los procedimientos y herramientas utilizadas.
Reglas de la informática Forense
Regla Número 1 de la Informática Forense:
“Preservar la Evidencia Original”
“La evidencia, no es lo más importante. Es lo único”
Reglas de la Computación Forense
1. Preservación del material original
2. Documentación de los cambios
3. Cumplimiento de las reglas de evidencias
4. No rebasar el conocimiento
Reglas de la Computación Forense • Preservación del material original
Esta es la primera y también la más importante de las reglas. Debe copiarse el original y trabajarse con la copia mientras el original queda a buen resguardo. Si los datos se alteraran o destruyesen durante el proceso de la extracción o recolección de evidencias, siempre estará disponible el original para compulsar una nueva copia donde trabajar. También es una forma excelente de realizar trabajo en equipo, toda vez que pueden hacerse tantas copias del original, como peritos trabajen en el caso.
Reglas de la Computación Forense
• Documentación de los cambios
Es posible que en el proceso de la obtención de la evidencia, y al realizar alguna prueba, la misma resulte alterada o destruida. El perito debe tener cuidado de documentar perfectamente cada cambio que efectúe, así como de entender y explicar la naturaleza de los cambios que se están realizando.
Reglas de la Computación Forense
• Cumplimiento de las reglas de evidencias
Asegurarse que al usar técnicas y herramientas, no afectará la admisibilidad de las pruebas, así como presentar el producto final que sea tan representativo del original como sea posible.
Reglas de la Computación Forense • No rebasar el conocimiento
El perito debe conocer sus limitaciones y no efectuar pruebas más allá de su nivel de habilidades y conocimientos. Si ocurriera, entonces debe buscar la ayuda de alguien más experimentado.
Uso de la Informática Forense
• Existen varios usos de la informática forense, muchos de estos usos provienen de la vida diaria, y no tienen que estar directamente relacionados con la informática forense:
• Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.
• Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.
Uso de la Computación Forense
• Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
• Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.
• Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.
Equipo Portátil Forense
Equipo básico:
• Computadora o laboratorio portátil de análisis forense.
• Computadora portátil (laptop).
• 2 sistemas operativos (Windows y Linux)
• CD-RW ó DVD-RW (quemador de cd’s o dvd’s)
• Floppy
• Tarjetas de red
• Modem
• Lectores de tarjetas de memoria y usb
• Discos duros removibles (SCSI e IDE)
Equipo Portátil Forense
• Discos duros externos de gran capacidad
• Discos de arranque de diferentes sistemas operativos.
• Memorias portatiles (flash memory)
• Sniffers
• Hub
• Cámara Fotográfica
• Libretas, plumas, cinta adhesiva, guantes de latex, franela,
• kit de herramientas
Equipo Portátil Forense
• Software (FTK, EnCase, dd, winhex, programas de visualización de imágenes, escaneador de puertos, programas de desencriptación de contraseñas, cygwin, escáner de virus, firewall y los programas propios de los sistemas operativos como netstat, find, ls, ps, lsof, strings, last, ifconfig. Uptime, consola de comandos, tracert, ping, editores hexadecimales etc.)
Herramientas utilizadas
TD2
Cellbrite
Evidence Talk
XYR
Parabens
•Encase •FTK •AXIOM MAGNETICS •Mobil edit •Oxygen Software
Hardware Software
Retos • El uso de Herramientas de
cifrado (encripción).
• Diferentes Métodos de Bloqueo.
• Capacidades de Almacenamiento = Mayor tiempo de análisis y proceso de información.
• Dispositivos dañados intencionalmente.
• Aplicativos Específicos – Apps
• Etc……..
Atención a un incidente de cómputo El agente forense de cómputo se encontrará únicamente con dos alternativas:
Cuando un sistema ó dispositivo esté “abajo”.
• Apagado
• Desconectado
• Disco duro afuera del equipo
• Floppies, CD’s, DVD’s, cintas, ZIP’s
Cuando un sistema ó dispositivo esté “arriba”.
• Encendido
• Procesos en ejecución
• Acceso a Internet o a una red autorizada
• Cambios en medios de almacenamiento
Atención a un incidente de cómputo con sistema apagado
Para comenzar a recopilar la evidencia:
• Fijar fotográficamente la escena de lo general a lo particular
• Identificar el dispositivo, sus accesorios, periféricos y comenzar a llenar la cadena de custodia.
• Identificar toda la escena (post it, libretas, tokens, notas, etc).
• Fijar fotográficamente el dispositivo
• Extraer el dispositivo de análisis objeto de estudio (disco duro, memoria usb, memorias externas, etc).
Ya que se podría borrar la información o modificarla.
*Se recomienda trasladar al laboratorio forense el equipo.
Atención a un incidente de cómputo con sistema encendido
Para comenzar a recopilar la evidencia:
• Fijar fotográficamente la escena de lo general a lo particular
• Identificar el dispositivo, sus accesorios, periféricos y comenzar a llenar la cadena de custodia.
• Identificar toda la escena (post it, libretas, tokens, notas, etc).
• Fijar fotográficamente el dispositivo
Se debe aprovecharse que el equipo está encendido y obtener:
• Saber el nombre de usuario y contraseña del equipo y/o de la red para poder acceder al mismo.
Hay que recordar que un sistema que esta encendido puede contener información volátil en la memoria RAM, archivos temporales, dispositivos externos como CD’s o memorias portátiles, por lo que antes de apagar el equipo, se deben revisar los antes mencionados. Se puede utilizar software que realice todas estas actividades.
También puede haber procesos ocultos corriendo, mismos que se deben revisar.
Recomendaciones Análisis de computo forense.
No creerle al informático de cabecera que dice: “No es problema, yo lo puedo hacer”, créanle a sus certificaciones, sus metodologías y sus procedimientos.
Consulte al profesional especialista en la materia.
No trabajar con la evidencia original.
Tener muy claro que un delincuente puede quedar libre por un mal cuidado o mal trato de los indicios.
Cosas que no deben hacerse
× Creer que es verdad lo que pasa en Serie y películas: CSI, Scorpion, Mision Imposible, etc.
× Escribir en la información original.
× Terminar algún proceso que esté corriendo.
× Modificar registros.
× Usar programas no confiables.
× Modificación (actualizaciones, parches, apagar-encender).
× Hacer supuestos (únicamente se debe ver hacia la evidencia).
× Creer que es sencillo y cualquier persona lo puede hacer.
Recomendaciones Generales Agregar doble factor de autenticidad a su correo electrónico y redes
sociales.
Tener respaldos de su información periodicamente.
Tener instalado antivirus actualizado, con anty spyware.
Tener sentido común (en internet no hay nada gratis)
No abrir correos de remitentes desconocidos
Cerciorarse que el sitio en donde ingresan datos sensibles es de la institución o empresa que dice ser. (verificar candadito, que tenga https y el url correcto)
Verificar archivos de dudosa procedencia en sitio www.virustotal.com
No enviar archivos o fotos que comprometan la imagen de la persona, empresa o institución.
