Este documento ofrece información sobre análisis forense digital. Explica conceptos clave como cadena de custodia y hashes para garantizar la integridad de la evidencia digital. También describe procedimientos forenses como la adquisición de datos volátiles, análisis de logs, memoria y registro en sistemas Windows. El objetivo final es llevar a cabo un análisis forense completo siguiendo los principios de la informática forense para identificar evidencia digital de incidentes.
5. ANALISIS DEL RIESGOANALISIS DEL RIESGO
Proceso de identificación y evaluación del
riesgo a sufrir un ataque y perder datos,
tiempo y horas de trabajo, comparándolo
con el costo de la prevención de esta
pérdida.
Su análisis no sólo lleva a establecer un
nivel adecuado de seguridad: permite
conocer mejor el sistema que vamos a
proteger.
6. ANALISIS DEL RIESGOANALISIS DEL RIESGO
BB >> PP ∗∗ L ?L ?
– BB: Peso o carga que significa la: Peso o carga que significa la
prevención de una pérdida específica.prevención de una pérdida específica.
– PP: Probabilidad de ocurrencia de una: Probabilidad de ocurrencia de una
pérdida específica.pérdida específica.
– LL: Impacto total de una pérdida: Impacto total de una pérdida
específica.específica.
7. ANALISIS DEL RIESGOANALISIS DEL RIESGO
1. Identificación de
posibles pérdidas (L)
Identificar amenazas
3. Identificar posibles
acciones y sus
implicaciones. (B)
Seleccionar acciones a
implementar.
2. Determinar susceptibilidad.
Posibilidad de pérdida (P)
8. La clave de una buena recuperación en caso de
fallo es una preparación adecuada. Por
recuperación entendemos tanto la capacidad de
seguir trabajando en un plazo mínimo después de
que se haya producido el problema, como la
posibilidad de volver a la situación anterior
habiendo reemplazado o recuperado el máximo de
los recursos y de la información.
ANALISIS DEL RIESGOANALISIS DEL RIESGO
PLAN DEPLAN DE
CONTINGENCIACONTINGENCIA
11. “Forensic Computing is the
process of identifying, preserving,
analyzing and presenting digital
evidence in a manner that is legally
acceptable” (Rodney McKemmish
1999)
INFORMATICAINFORMATICA
FORENSEFORENSE
14. INFORMATICAINFORMATICA
FORENSEFORENSE
Ventajas de la evidencia digital
Puede ser duplicada de manera exacta y copiada
tal como si fuese el original.
Con herramientas adecuadas es relativamente
fácil identificar si la evidencia ha sido alterada,
comparada con la original.
Aún si es borrada, es posible, en la mayoría de los
casos, recuperar la información.
Cuando los criminales o sospechosos tratan de
destruir la evidencia, existen copias que
permanecen en otros sitios
16. INFORMATICAINFORMATICA
FORENSEFORENSE
Incidente de Seguridad Informática
puede considerarse como una violación
o intento de violación de la política de
seguridad, de la política de uso ade-
cuado o de las buenas prácticas de
utilización de los sistemas
informáticos.
21. PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
SACARSACAR IMÁGENES DE DISCOSIMÁGENES DE DISCOS
• Imágenes de un sistema “vivo”Imágenes de un sistema “vivo”
–– Uso de "Uso de "dd" y "netcatdd" y "netcat" para enviar una copia" para enviar una copia
bit-a-bit a un sistema remotobit-a-bit a un sistema remoto
•• Tanto Windows como Unix/LinuxTanto Windows como Unix/Linux
–– Para Windows puede ser más cómodo usarPara Windows puede ser más cómodo usar
HELIXHELIX
•• http://www.e-fense.com/helix/http://www.e-fense.com/helix/
•• Permite realizar imagen de la memoria físicaPermite realizar imagen de la memoria física
–– Una vez realizada la imagen se computa unUna vez realizada la imagen se computa un
hash MD5 y SHA-1hash MD5 y SHA-1
22. PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
IFORMATICAIFORMATICA
Imágenes de un sistema apagadoImágenes de un sistema apagado
• Extraer disco duroExtraer disco duro
• Conecta el disco a la workstation de análisis forenseConecta el disco a la workstation de análisis forense
•• es recomendable que sea Linux (permite montar loses recomendable que sea Linux (permite montar los
discosdiscos
manualmente y en modo "read-only")manualmente y en modo "read-only")
• Realiza copia con "dd"Realiza copia con "dd"
•• la imagen se puede guardar en discos externosla imagen se puede guardar en discos externos
Firewire/USB,Firewire/USB,
almacenamiento SAN, etcalmacenamiento SAN, etc
• Por supuesto, hashes MD5 y SHA-1 de original y copiaPor supuesto, hashes MD5 y SHA-1 de original y copia
para garantizar integridadpara garantizar integridad
24. Cadena de Custodia
Cadena de Custodia
““LaLa cadena de custodiacadena de custodia
documenta el procesodocumenta el proceso
completo de las evidenciascompleto de las evidencias
durante la vida del caso, quiéndurante la vida del caso, quién
la recogió y donde, como lala recogió y donde, como la
almacenó, quien la procesó,almacenó, quien la procesó,
etc.etc.
PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
25. PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
Con la evidencia electrónica (imágenes deCon la evidencia electrónica (imágenes de
discos y memoria, ficheros de datos ydiscos y memoria, ficheros de datos y
ejecutables, etc.) la práctica consiste enejecutables, etc.) la práctica consiste en
obtener “hashes” de la información en elobtener “hashes” de la información en el
momento de su recolección, de forma quemomento de su recolección, de forma que
se pueda comprobar en cualquier momentose pueda comprobar en cualquier momento
si la evidencia ha sido modificada.si la evidencia ha sido modificada.
26. PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
Una función de hash esUna función de hash es
unauna funciónfunción para resumirpara resumir
o identificaro identificar
probabilísticamente unprobabilísticamente un
grangran conjuntoconjunto dede
información,información,
Sirve para comprobar que unSirve para comprobar que un
archivo no ha sido modificadoarchivo no ha sido modificado
o alteradoo alterado
DEMOSTRACION MD5
27. Analisis de la evidencia
PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
Forensic toolkit2
28. PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
Informe Escrito:
•Informe Ejecutivo, Breve resumen con un máximo de
5 páginas entendible por personal no técnico en el que
se detallaran los aspectos más importantes de la
intrusión, que medidas hubieran podido evitar que
esta tuviera lugar y que recomendaciones se deberían
realizar tras este ataque
29. PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
INFORMATICAINFORMATICA
Informe técnico, donde con una mayor extensión, se
debían resumir el análisis del equipo, considerándose entre
otros los siguientes aspectos:
•Identificación del sistema operativo atacado
•Descripción de las herramientas empleadas y de los
procedimientos de obtención de la información de la máquina
atacada.
•Determinación del origen del ataque, vulnerabilidad
empleada por el atacante, descripción de la linea de tiempos
del ataque
•Información detallada sobre las acciones realizadas por el
atacante y las herramientas que instaló este en el equipo
atacado
30. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
Adquisicion de datos volatiles
FPORT
NETSTAT
IPCONFIG/ALL
31. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
Analisis de LOG FILES
Start Settings
Control Panel
Administrative Tools
Event Viewer
32. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
Copias de los
archivos
C:windowssystem32config
AppEvent.Evt
SecEvent.Evt
SysEvent.Evt
33. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
RECOPILACION DE LOS ULTIMOS ACCESOS A FICHEROS
34. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
RECOPILACION DE INFORMACION DEL SISTEMA
SYSTEMINFO
35. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
Análisis del archivo
swap
METODO FILE CARVING
el file carving es el proceso cuya
misión es recuperar ficheros en un
escenario forense basando el
análisis en contenidos , o en el
análisis de estructuras de ficheros.
36. Los programas pueden
ejecutarse remotamente y
generar daños sin estar
registrados en el disco
Análisis de la
memoria
ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
pmdump
37. Dado que Windows utiliza como referencia
toda la información que se encuentra en el
registro, un analista forense puede utilizar
como referencia esta gran base de datos
para recabar información sobre la
máquina. En la base de datos de registro
que se encuentra en el sistema Windows,
podremos averiguar:
Análisis del
registro de
windows
ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
38. Cada sección del Registro está asociada a
un conjunto de archivos estándar.
ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
39. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
Podemos buscar información en el registro
de la siguiente manera
HKCUSoftwareMicrosoft
WindowsCurrentVersion
ExplorerComDlg32Last
VisitedMRU
Mantiene una lista de
los archivos abiertos
recientemente
40. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
HKCUSoftwareMicroso
ftWindowsCurrentVersi
onExplorerRecentDocs
Contiene los
documentos abiertos
recientemente por el
explorador
HKLMSYSTEMCurren
tControlSetControlSe
ssion ManagerMemory
Management
Contiene informacion
del archivo pagefile.sys
41. ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce
Programas que se
activan al startup
HKCUSoftwareMicrosoftInternet
ExplorerTypedURLs
42. HKCUSoftwareMicrosoftI
nternet
ExplorerTypedURLs
Contiene una lista de
25 urls recientes
HKCUSoftwareGoogleNav
Client1.1History
Es posible investigar si
un usuario utilizo una
cuenta de messenger
en un sistema
comprometido
ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS