Informatica Forense

Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15.Mayo.2003) C/ Jordi Girona, 29. Edificio Nexus II, 1 B 08034 Barcelona ~ España Tel. (34)934137947 ~ Fax. (34)934137946

Definiciones 1 RAE U 1992. (Pag:478,3) http ://www.rae.es RAE U 1992. (Pag:655,1) http :// www.rae.es

Definiciones 2 RAE U 1992. (Pag:1119,1) http://www.rae.es RAE U 1992. (Pag:660,2) http://www.rae.es

Definiciones 3 CERT: Computer Emergency Response Team IRT: Incident Response Team Forensic computing Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology Informática forense Forensic computing Computer forensics Digital forensics Sólo difiere en el tema tecnológico Medios o dispositivos electrónicos, comunicaciones Se busca pistas diferentes

Para qué? Cómo entraron Cuándo Para qué Quién Costo de los daños Soporte amplio al incidente Requerimiento legal Soporte al proceso judicial “ Modus operandi”, modos de operar de diferentes puntos de vista

Qué no cubre? Seguimiento, captura o identificar a perpetradores Negociar con cuerpos policiales, juzgados, TELCOs

Escenarios Entornos donde se podría realizar investigaciones: Intrusión a sistemas informáticos Web defacement Uso no autorizado de equipo informático coorporativo Wireless? Contenidos ilícitos Pornografía infantil: CDs, P2P, Internet Amenzas Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs Fraudes Estafas Propiedad intelectual Etc.

El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros

El proceso: actual Técnico Sistemas informáticos: dinámicos, grandes, distribuidos, etc. Se puede ocultar información Muy poco conocimiento técnico, la tecnología avanza Herramientas existen pero no son globales: opensource, privadas Obtener información es fácil, no el análisis Almacenamiento Legal Tecnología avanza y se adapta, leyes cambian lentamente Procesos judiciales son lentos en comparación con cambios en la Tecnología Protocolo. La presentación de la evidencia debe reunir características especiales Sustentar el informe sobre evidencia admitida Organizacional Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc.

El proceso: cómo debe ser cuando sucede Determinar origen y tamaño de intrusión Protección de información sensitiva en sistemas Protección de los sistemas, redes y su capacidad para seguir funcionado Recuperación de sistemas Colección de información de manera consistente con TERCERA parte legal Proveer soporte a las investigaciones

El proceso: ser proactivo Políticas de seguridad Plan de respuesta para incidentes de seguridad Plan de informática forense Plan para detección de incidentes Determinar equipo con recursos y autoridad para actuar Implementar procedimientos para diferentes situaciones y amenazas Con regularidad revisar políticas y procedimientos Proteger Preservar Notificar Sistemas Información Contener intrusión Sistemas y logs aceptablemente legal A tu CERT Administración CERT Cuerpo Policial

El forense informático: requerimientos 1 1/3 Técnico: Conocimiento técnico Implicaciones técnicas de acciones Comprensión de cómo la información puede ser modificada Perspicaz Mente abierta y taimado Ético Continua formación Conocimiento de historia: casos pasados, vulnerabilidades, etc. Uso de fuentes de datos redundantes

1/3 Legal Conocimiento de aspectos legales España es diferente: LOPD, LSSI, ?? Protocolo de gestión de evidencia El forense informático: requerimientos 2 Admisible Auténtico Completo Confiable Creíble 1/3 Operacional, no todos los desafíos son de naturaleza tecnológica Gestión de recursos Políticas y procedimientos Entrenamiento Cambios organizacionales

Los cuatro principios, surge de la definición de computer forensics El forense informático: proceso de investigación 4 Presentar 3 Analizar 2 Preservar 1 Identificar

El forense informático: lemas Rapidez es la esencia, pero no llegar a extremos Volatilidad de la evidencia Cualquier cosa que se hace a un sistema lo altera Principio de Incertidumbre de W. Heinsenberg - 1927 Nunca confiar en el sistema Rootkits Considerar siempre tus políticas Admitir las fallas Preparado para sorpresas Documentar

El proceso: (1) Identificar Qué evidencia hay Dónde está Cómo está almacenada El objetivo: determinar que proceso será empleado para facilitar la recuperación Ejm.: Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. 4 3 2 1

El proceso: (2) Preservar Etapa crítica Orden de volatilidad Cadena de custodia Evitar cambios posibles y si no se logra, registrarlo y justificarlo 4 3 2 1

El proceso: (2) Preservar Volatilidad de evidencia Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil De Farmer & Venema – http://www.porcupine.org Registers, peripheral memory, caches Memory (virtual, physical) Network state Running processes Disks, floppies, tapes CD/ROM, printouts 4 3 2 1

“ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” En la informática forense: Examinar o coleccionar una parte del sistema alterará otros componentes Es imposible capturar completamente un sistema completo en un punto en el tiempo Si no se puede evitar el cambio, entonces documentarlo y justificarlo El proceso: (2) Preservar: Principio de Heinsenberg 4 3 2 1

El proceso: (2) Preservar: Cadena de custodia Registro de todas las operaciones sobre la evidencia Disponible El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial Ciclo de vida de la Evidencia Cadena de custodia 4 3 2 1 4 Presentar 3 Analizar 2 Preservar 1 Identificar

El proceso: (2) Preservar: diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Power Off What Was The point?  Make Images Back @ lab, Analyze Copies, Reconstruct Computers, Analyze “ artifacts” Investigate online, run “ last”, etc. NO NO NO YES YES YES 4 3 2 1 Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació

El proceso: (2) Preservando Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal 1. Copiar 2. Generar checksums de copias y originales 3. Verificar checksums 4. Time stamping Estampar sello de tiempo a checksums Fecha checksum = Fecha de copia = Fecha documento 5. Documente: quién, dónde, cuándo, por qué 6. Dar copia a custodio Custodio da copias a otros investigadores Documenta cadena de custodia Pocos custodios, pocos testificantes 4 3 2 1

El proceso: (3) Analizar Extrae: Puede dar algo no humanamente legible Procesa: Lo hace humanamente legible Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas 4 3 2 1

El proceso: (3) Analizando Estado de arte del análisis Usar metodología: receta de cocina + experiencia Recomendaciones: Correlacionar logs: por IP, por tiempo Sincronización: Tiempo de sincronización Tiempo de zona Retraso de eventos Orden cronológico de eventos Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros 4 3 2 1

El proceso: (3) Analizar: resultados Gestión de versiones de documentos/bitácoras Reconstrucción cronológica de eventos Diagramas: estático y dinámico 4 3 2 1

El proceso: (4) Presentar Implica la presentación a: A la administración Fuerza de la ley Abogados En procesos judiciales Incluye la manera de la presentación, contenido y legibilidad Se sustenta el proceso empleado para obtener la evidencia La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida , la falla en ello puede causar que la evidencia sea inadmisible La experiencia y habilidades están en juego 4 3 2 1

El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 Denuncia – Conocimiento delito público Recogida de evidencias del delito (inspección ocular) Búsqueda de información y referencias identificativas Resolución de “datos de tráfico” y referencias identificativas Identificación y localización Vigilancia Interceptación Registro e incautación Análisis forense de sistema y soportes intervenidos Informe policial incriminatorio IDENTIFICACIÓN Qué ha pasado? Cómo lo ha hecho INVESTIGACIÓN Quién lo ha hecho? INCRIMINACIÓN ? 4 Presentar 3 Analizar 2 Preservar 1 Identificar Guardia Civil Grupo de Delitos Telemáticos

Iniciativas 1 Buenas prácticas para Informática Forense, herramientas Pretenden dar ayuda a todos los involucrados en el proceso No sólo técnicas No específicas Estándar, es necesario apoyo de todos Interoperables Que se puedan utilizar a lo largo del proceso de gestión de un incidente informático Legal, judicial, policial, técnico Para que sea válido e irrefutable Abierto, libre Multi-operable Apoyo de todos: comunidad, institucional

Iniciativas 2 Comunidad Forensics - SecurityFocus [email_address] Instituional AEFTIC – http://www.aeftic.org Fin genérico: La investigación, estudio, publicación y difusión a través de cualquier medio de todo lo relativo a seguridad tecnológica y jurídica en el ámbito de las nuevas tecnologías, así como el diseño y ejecución de programas de formación sobre esta materia a todos los niveles, ya sea directamente o a través de otras instituciones: Administraciones Públicas, Universidades, Colegios Profesionales, Sindicatos, Cámaras de Comercio y otras fundaciones, asociaciones y empresas. esCERT-UPC – http://escert.upc.es Fin: Educación. gestión y soporte a incidentes de seguridad. .....

Referencias 1 Senado - Comisión Especial sobre Redes Informáticas - http://www.senado.es/comredinf Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia - http://www.gencat.net/dji Inspector BIT - PN : Antonio López Melgarejo http://www.uoc.edu/in3/dt/20076 Dan Farmer - http ://www.fish.com/security Trends & Issues in Crime and Criminal Justice http ://www.aic.gov.au/publications/tandi/index.html FIRST Conference on Computer Security, Incident Handling & Response 2001 http ://www.first.org/events/progconf/2001/progs.htm Recovering and Examining - Computer Forensic Evidence http ://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm Federal Guidelines For Searching And Seizing Computers http ://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm

Referencias 2 Forensic Tool en @Stake http://www.atstake.com/research/tools/forensic Reserch reports en @Stake http://www.atstake.com/research/reports/index.html Asociaciones Internacionales sobre Computer Forensics http ://www.iacis.com , http://www.htcia.org Importance of a Standard Methodology in Computer Forensics http ://www.sans.org/rr/incident/methodology.php Intrusion Investigation And Post-Intrusion, Computer Forensic Analysis ftp ://ftp.net.ohio-state.edu/pub/users/romig/other-papers/intrusion%20investigation.doc National Software Reference Library (NSRL) Project http ://www.nsrl.nist.gov Computer Forensics Tool Testing (CFTT) Project http ://www.cftt.nist.gov Open Source Software As A Mechanism To Assess Reliability For Digital Evidence http ://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html September 2000 Market Survey, Computer Forensics http :// www.scmagazine.com / scmagazine /2000_09/ survey / survey.html

Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació Piqué Abogados Asociados

Informatica Forense

Más contenido relacionado

La actualidad más candente (20)

Destacado (10)

Similar a Informatica Forense (20)

Más de Roger CARHUATOCTO (20)

Último (20)

Informatica Forense