Cpmx3 computo forense reloaded

20
CÓMPUTO FORENSE RELOADED Porque todo deja rastro Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica @cibercrimen

Transcript of Cpmx3 computo forense reloaded

Page 1: Cpmx3   computo forense reloaded

CÓMPUTO FORENSE RELOADED

Porque todo deja rastro

Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica

@cibercrimen

Page 2: Cpmx3   computo forense reloaded

• Proceso del Cómputo Forense

• Identificación: conocer los antecedentes,

situación actual y el proceso que se quiere seguir

para poder tomar la mejor decisión con respecto

al levantamiento del bien, búsquedas y las

estrategias de investigación.

• Preservación: revisión y generación de las

imágenes forenses de la evidencia para poder

realizar el análisis

• Análisis: aplican técnicas científicas y analíticas a

los medios duplicados por medio del proceso

forense para poder encontrar pruebas de ciertas

conductas,

• Presentación: La información resultante del

análisis quedará registrada en un dictamen

técnico que puede ser presentado internamente

o en un procedimiento legal.

Proceso del Cómputo Forense

Preservación

Análisis Presentación

Identificación

Page 3: Cpmx3   computo forense reloaded

La información contenida en …

Page 4: Cpmx3   computo forense reloaded
Page 5: Cpmx3   computo forense reloaded

Imagen Forense

• Copia bit a bit del contenido de un medio a analizar desde

el primer sector hasta el último sector del mismo.

Page 6: Cpmx3   computo forense reloaded

¿LO ENCONTRASTE?

NOP

Page 7: Cpmx3   computo forense reloaded

¿Qué se considera como un Incidente?

7

“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?”

Page 8: Cpmx3   computo forense reloaded

Necesitamos menos de esto…

Page 9: Cpmx3   computo forense reloaded

Y mucho más de ésto…

Page 10: Cpmx3   computo forense reloaded

Sniper Forensics

• Crear un plan de investigación

• Aplicar la lógica

• Principio de Intercambio

de Lockard’s

• Principio de Alexiou

• Navaja de Ockham

• Extraer únicamente lo

necesario

• Permitir que los datos den

las respuestas

• Generar los reportes

necesarios

Christopher E. Pogue Trustwave

Page 11: Cpmx3   computo forense reloaded

Si usted mira lo suficiente esta foto, Podrá encontrar el caparazón del Caracol

Page 12: Cpmx3   computo forense reloaded

¿A qué le voy a disparar?

• Registros de Windows

SAM

System

Security

• NTUSER.DAT por cada usuario

• Timelines

• $MFT

• Datos volátiles

• Memoria RAM

Page 13: Cpmx3   computo forense reloaded
Page 14: Cpmx3   computo forense reloaded

Previsualizando

Page 15: Cpmx3   computo forense reloaded

Software / Protección

• Lo siguiente funciona en un Windows XP Profesional SP2, donde

hay que modificar del registro:

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro

lSet\Control\StorageDevicePolicies]

"WriteProtect"=dword:00000001

• Una vez realizado, se coloca el disco evidencia en un Enclosure

(dispositivo que permite conectar discos duros por USB o Firewire)

donde por razones antes mencionadas uno de Firewire NO nos

funcionaría, tiene que ser de USB.

Page 16: Cpmx3   computo forense reloaded
Page 17: Cpmx3   computo forense reloaded

¿Qué necesitamos?

Recursos Humanos

Hardware Software Procedimientos

Page 18: Cpmx3   computo forense reloaded

Podcast Crimen Digital…

• El podcast de cómputo forense,

seguridad en Internet y lo

relacionado con el cibercrimen.

• iTunes

• http://www.crimendigital.com

Page 19: Cpmx3   computo forense reloaded

¡Muchas Gracias!

¿Preguntas?

Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica

@cibercrimen

Page 20: Cpmx3   computo forense reloaded

-

-

Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V. Todos los Derechos reservados. Ninguna parte de este documento puede ser reproducida en forma o mecanismo alguno, incluido fotocopiado, grabación o almacenamiento en algún sistema de información, sin la autorización por escrito del dueño del Derecho Reservado. Copias de este documento pueden ser distribuidas, en papel y en formato electrónico, siempre y cuando no se altere el documento original y se incluya esta página.

Este documento NO pertenece al dominio público.

“Computo Forense Reloaded”

por Andrés Velázquez [email protected]