Computo Forense

34
CÓMPUTO FORENSE M.C. Juan Carlos Olivares Rojas Universidad Vasco de Quiroga, Noviembre de 2013

Transcript of Computo Forense

Page 1: Computo Forense

CÓMPUTO FORENSECÓMPUTO FORENSE

M.C. Juan Carlos Olivares Rojas

Universidad Vasco de Quiroga, Noviembre de 2013

Page 2: Computo Forense

Cómputo ForenseCómputo Forense

• Aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Page 3: Computo Forense

Ciber-crimenCiber-crimen

• Una acción ilícita o tipificada como delito utilizando a propósito las TIC como medio o fin.

Page 4: Computo Forense

Tipos de Incidentes o AtaquesTipos de Incidentes o Ataques

• Robo de propiedad intelectual• Extorsión

• Pornografía infantil• Fraude

• Distribución de virus.• Estafa.

• Acceso no autorizado.• Robo de servicios.

• Abuso de privilegios• Denegación de Servicios• …

Page 5: Computo Forense

Análisis ForenseAnálisis Forense

• El análisis forense informático se aplica una vez que tenemos un incidente o ataque y queremos investigar qué fue lo que pasó, quién fue y cómo fue

Page 6: Computo Forense

Análisis ForenseAnálisis Forense

• Responder a las preguntas W5: – ¿Quién?– ¿Qué?– ¿Cuándo?– ¿Dónde?– ¿Por qué?

Page 7: Computo Forense

Legislación InformáticaLegislación Informática

• Legislación Internacional

• Legislación Federal– http://www.diputados.gob.mx/Leyes

Biblio

• Legislaciones Estatales– http://www.diputados.gob.mx/Leyes

Biblio/gobiernos.htm– http

://celem.michoacan.gob.mx/celem/main.jsp?p_height=900

http://www.diputados.gob.mx/LeyesBiblio
http://www.diputados.gob.mx/LeyesBiblio
http://www.diputados.gob.mx/LeyesBiblio/gobiernos.htm
http://www.diputados.gob.mx/LeyesBiblio/gobiernos.htm
http://celem.michoacan.gob.mx/celem/main.jsp?p_height=900
http://celem.michoacan.gob.mx/celem/main.jsp?p_height=900
http://celem.michoacan.gob.mx/celem/main.jsp?p_height=900
Page 8: Computo Forense

Artículos del Código Penal FederalArtículos del Código Penal Federal

Page 9: Computo Forense

Proceso ForenseProceso Forense

Page 10: Computo Forense

Proceso ForenseProceso Forense

Page 11: Computo Forense

Reglas GeneralesReglas Generales

Documentar cambios

Cumplir Reglas de la Evidencia

Minimizar el manejo de los datos

originales.

No exceder el

conocimiento.

Page 12: Computo Forense

EvidenciaEvidencia

• Para que la evidencia sea admisible, debe ser:

• Suficiente • Relevante • Competente • Legalmente obtenida

Page 13: Computo Forense

Tipos de evidenciaTipos de evidencia

• Evidencia transitoria

• Evidencia curso o patrón

• Evidencia condicional

• Evidencia transferidas

Page 14: Computo Forense

Orden de JerarquíaOrden de Jerarquía

Registros y contenidos de la caché.

Contenidos de la memoria.

Estado de las conexiones de red, tablas de rutas.

Estado de los procesos en ejecución.

Contenido del sistema de archivos y de los discos duros.

Contenido de otros dispositivos de almacenamiento.

+

-

Page 15: Computo Forense

Recolección y manejo de evidenciasRecolección y manejo de evidencias

RFC3227

Procedimiento de recolección

Transparencia

Pasos de la recolección

Cadena de custodia

Como archivar una evidencia

Herramientas necesarias y medios de almacenamiento

de éstas

Page 16: Computo Forense

Manipulación de la Evidencia Manipulación de la Evidencia

• Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.

Page 17: Computo Forense

Preservar la evidenciaPreservar la evidenciaSistema “vivo” Sistema “desconectado”

PROS• Fecha y hora del sistema• Memoria RAM activa• Procesos arrancados• Actividad de red, conexiones abiertas• Conexiones de Red• Usuarios conectados en el momento

CONS• Cualquier activdad “altera” el entorno

PROS• Análisis del sistema “congelado”• Multiples copias del entorno• Posibilidad de realizar hash• Mayor validez jurídica

CONS• Solamente disponemos del HDD

Page 18: Computo Forense

Preservar la evidenciaPreservar la evidencia

1

Page 19: Computo Forense

Preservar la evidenciaPreservar la evidencia

1

Bloqueo de conexiónal sistema celular

Page 20: Computo Forense

Equipo para Análisis ForenseEquipo para Análisis Forense

Page 21: Computo Forense

Analizar la evidenciaAnalizar la evidencia

• Extraer, procesar e interpretar.

• Para interpretar la evidencia se requiere conocimiento profundo para entender como embonan las piezas.

• El análisis efectuado por el forense debe poder ser repetido.

Page 22: Computo Forense

Análisis de encabezados SMTPAnálisis de encabezados SMTPEncabezado Valor

Received: from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100

X-TM-IMSS-Message-ID:

<41f1650600009a67@FQDN_SMTP_Remitente>

Received: from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100

Subject: TEST de Encabezados

Date: Tue, 8 Feb 2011 16:02:40 +0100

Message-ID: <CF21BECC94E6884EB134AD30F14C8D1F1A40@FQDN_mailbox_remitente>

X-MS-Has-Attach: MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81"

X-MS-TNEF-Correlator:

Thread-Topic: TEST de Encabezados

Thread-Index: AcvHoTrEROEEE3f6TR+CRJDGNrHF4w==

From: <SMTP_Remitente>

Content-Class: urn:content-classes:message

X-MimeOLE: Produced By Microsoft Exchange V6.5

To: <SMTP_Destinatario>

Return-Path: SMTP_Remitente

Page 23: Computo Forense

Tabla de ParticionesTabla de Particiones

Byte 446

Page 24: Computo Forense

BitácorasBitácoras

• contiene los mensajes generales del sistema

/var/log/messages

• guarda los sistemas de autenticación y seguridad /var/log/secure

• guarda un historial de inicio y cierres de sesión pasadas

/var/log/wmtp

• guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp

• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)

/var/log/btmp

Page 25: Computo Forense

Archivos TemporalesArchivos Temporales

Page 26: Computo Forense

Presentar la evidenciaPresentar la evidencia

• Abogados, fiscales, jurado, etc.• La aceptación dependerá de

factores como:– La forma de presentarla (¿se

entiende?, ¿es convincente?)– El perfil y credibilidad de la persona

que presenta la evidencia.– La credibilidad de los procesos

usados para preservar y analizar la evidencia.

Page 27: Computo Forense

Documentación del análisis forenseDocumentación del análisis forense

• Reporte Ejecutivo• Reporte Técnico• Catálogo de evidencias• Enumeración de evidencias– Iniciales del investigador– Fecha (ddmmyyyy)–Número de equipo (nnn)– Parte del equipo (aa)

Page 28: Computo Forense

Requerimientos de un Investigador Forense Digital

Requerimientos de un Investigador Forense Digital

• Conocimiento técnico• Conocer las implicaciones de sus acciones

• Ingenioso, mente abierta

• Ética muy alta• Educación continua

• Siempre usa fuentes altamente redundantes de datos para obtener sus conclusiones

Page 29: Computo Forense

Laboratorio de análisis forenseLaboratorio de análisis forense

Page 30: Computo Forense

Técnicas Anti-forensesTécnicas Anti-forenses

Manipulación, eliminación y/o ocultamiento de pruebas para complicar o imposibilidad la efectivdad del análisis forense.• Ejemplos:– Eliminación de información– Borrado seguro de archivos– Cifrado u ocultamiento

(esteganografía)– Alteración de archivos (cambio de

nombre y/o extensión).

Page 31: Computo Forense

Contramedidas de anti-forenseContramedidas de anti-forense

• Activación de logs de auditoría para S.O., apps y dispositivos.

• Instlación de IDS’s (Intrusion Detection Systems)

• Implementación de un equipo concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas.

• Sistemas de vigilancia• …

Page 32: Computo Forense

HerramientasHerramientas

Page 33: Computo Forense

HerramientasHerramientas

Page 34: Computo Forense

¿Preguntas?¿Preguntas?

[email protected]: [email protected]

/juancarlosolivaresrojas@jcolivares

http://antares.itmorelia.edu.mx/~jcolivares

mailto:[email protected]
mailto:[email protected]
http://antares.itmorelia.edu.mx/~jcolivares
http://antares.itmorelia.edu.mx/~jcolivares

Balística Forense Balística Forense

Balística Forense Balística Forense

Computo Forense, informática forense

Computo Forense, informática forense

Mantenimiento computo

Mantenimiento computo

Astrid computo

Astrid computo

Deteccion del fraude informático mediante tecnicas de computo forense

Deteccion del fraude informático mediante tecnicas de computo forense

Cpmx3 computo forense reloaded

Cpmx3 computo forense reloaded

Computo Forense · Computo forense desconocido por la Ley Posible aplicación “no oficial” del computo forense Código de Comercio, Ley de Instituciones de Crédito, Ley del Mercado

Computo Forense · Computo forense desconocido por la Ley Posible aplicación “no oficial” del computo forense Código de Comercio, Ley de Instituciones de Crédito, Ley del Mercado

Proyecto computo

Proyecto computo

curso computo

curso computo

COMPUTO METRICO

COMPUTO METRICO

MAPEO COMPUTO

MAPEO COMPUTO

Taller computo

Taller computo

computo basico

computo basico

COMPUTO INFORME

COMPUTO INFORME

Centro computo

Centro computo

Twitter computo

Twitter computo

Computo tema

Computo tema

trabajo computo

trabajo computo

Diapositv computo

Diapositv computo

Introducción al cómputo forense - cryptomex.org · • Realizar un by-pass del sistema operativo y crear por “fuera” un backup de toda ... • Laboratorio de computo ... –

Introducción al cómputo forense - cryptomex.org · • Realizar un by-pass del sistema operativo y crear por “fuera” un backup de toda ... • Laboratorio de computo ... –