CÓMPUTO FORENSE RELOADED

Porque todo deja rastro

Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica

@cibercrimen

• Proceso del Cómputo Forense

• Identificación: conocer los antecedentes,

situación actual y el proceso que se quiere seguir

para poder tomar la mejor decisión con respecto

al levantamiento del bien, búsquedas y las

estrategias de investigación.

• Preservación: revisión y generación de las

imágenes forenses de la evidencia para poder

realizar el análisis

• Análisis: aplican técnicas científicas y analíticas a

los medios duplicados por medio del proceso

forense para poder encontrar pruebas de ciertas

conductas,

• Presentación: La información resultante del

análisis quedará registrada en un dictamen

técnico que puede ser presentado internamente

o en un procedimiento legal.

Proceso del Cómputo Forense

Preservación

Análisis Presentación

Identificación

La información contenida en …

Imagen Forense

• Copia bit a bit del contenido de un medio a analizar desde

el primer sector hasta el último sector del mismo.

¿LO ENCONTRASTE?

NOP

¿Qué se considera como un Incidente?

7

“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?”

Necesitamos menos de esto…

Y mucho más de ésto…

Sniper Forensics

• Crear un plan de investigación

• Aplicar la lógica

• Principio de Intercambio

de Lockard’s

• Principio de Alexiou

• Navaja de Ockham

• Extraer únicamente lo

necesario

• Permitir que los datos den

las respuestas

• Generar los reportes

necesarios

Christopher E. Pogue Trustwave

Si usted mira lo suficiente esta foto, Podrá encontrar el caparazón del Caracol

¿A qué le voy a disparar?

• Registros de Windows

SAM

System

Security

• NTUSER.DAT por cada usuario

• Timelines

• $MFT

• Datos volátiles

• Memoria RAM

Previsualizando

Software / Protección

• Lo siguiente funciona en un Windows XP Profesional SP2, donde

hay que modificar del registro:

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro

lSet\Control\StorageDevicePolicies]

"WriteProtect"=dword:00000001

• Una vez realizado, se coloca el disco evidencia en un Enclosure

(dispositivo que permite conectar discos duros por USB o Firewire)

donde por razones antes mencionadas uno de Firewire NO nos

funcionaría, tiene que ser de USB.

¿Qué necesitamos?

Recursos Humanos

Hardware Software Procedimientos

Podcast Crimen Digital…

• El podcast de cómputo forense,

seguridad en Internet y lo

relacionado con el cibercrimen.

• iTunes

• http://www.crimendigital.com

¡Muchas Gracias!

¿Preguntas?

Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica

@cibercrimen

-

-

Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V. Todos los Derechos reservados. Ninguna parte de este documento puede ser reproducida en forma o mecanismo alguno, incluido fotocopiado, grabación o almacenamiento en algún sistema de información, sin la autorización por escrito del dueño del Derecho Reservado. Copias de este documento pueden ser distribuidas, en papel y en formato electrónico, siempre y cuando no se altere el documento original y se incluya esta página.

Este documento NO pertenece al dominio público.

“Computo Forense Reloaded”

por Andrés Velázquez contacto@mattica.com