Aspectos Legales de los Delitos Informáticos e Informática Forense
Delitos Informáticos. Análisis Forense
-
Upload
pablo-llanos-urraca -
Category
Technology
-
view
10.781 -
download
6
description
Transcript of Delitos Informáticos. Análisis Forense
Delitos informáticos. Primer nivel de análisis informático. Nuevas tecnologías de análisis forense.
por Pablo Llanos
Análisis Forense Informático
Se ocupa de adquirir, preservar y presentar datos que han sido procesados electrónicamente y guardados en un medio informático.
OBJETIVOS:Recrear qué ha ocurrido en un dispositivo digital.Analizar y esquematizar incidencias de forma que se
impida la repetición de incidencias similares en el futuro.
Puesta a disposición y procesado judicial de pruebas incriminatorias.
Principios Forenses
• Evitar la contaminación
• Actuar metódicamente
• Controlar la cadena de evidencias
Dificultades del Investigador Forense Dificultad para conseguir las herramientas necesarias para
guardar, preservar y presentar los datos como evidencia.
Averías y sabotajes en los soportes de almacenamiento.
Técnicas anti forenses, ocultación de datos, claves y encriptación.
Avalancha de soportes para analizar en una redada.
Burocracia: Dificultades para una realización ágil de informes.
Dificultades para presentar y explicar los informes ante el órgano competente.
Metodología: Proceso Forense Informático
Estudio PreliminarAdquisición de DatosRecuperación de Soporte en caso de Avería
o SabotajeRecuperación de Datos Ocultos o BorradosAnálisis de las evidenciasGeneración de InformesPresentación de las pruebasEsterilización de los equipos del laboratorio
Estudio Preliminar
Recoger la mayor información posible sobre:
• Qué ha ocurrido, qué se llevaron o intentaron llevar y cuándo ocurrió.
• Organización, topología de red, usuarios con acceso, sistemas afectados.
• Estado físico del disco, causas del posible fallo, sistema operativo, sistema de archivos.
• Necesidad de una posible investigación en caliente.
SHADOW Drive
Investigación en caliente
Debido a que las evidencias en un disco sospechoso no se pueden alterar, la investigación y el análisis de los datos se realiza habitualmente en un laboratorio especializado.
Shadow es una herramienta de investigación diseñada para habilitar la investigación del disco duro en la máquina sospechosa.
Investigación en caliente
Permite utilizar el ordenador sospechoso para analizar el contenido del Disco Duro utilizando cualquier herramienta de software ya instalada en el ordenador o instalando software de análisis y recuperación de datos.
• Puede arrancar bajo cualquier O.S.• Es posible realizar un estudio de los
procesos del sistema (memoria, registro, logs, cookies, Ntuser.dat, eventos, Pagefile.sys, etc.)• Es posible acceder a los datos Borrados in situ instalando herramientas especificas.• Puede ser utilizado como write-blocker para no alterar las pruebas.
Investigación en caliente
Los cambios son escritos en un HD que se encuentra en el interior de la unidad Shadow. No quedan restos en el Disco Duro sospechoso.
Si se considera conveniente, después de ver la evidencia de primera mano, siempre se puede decidir embalar y etiquetar para mandarlo a un laboratorio, las pruebas no habrán sido contaminadas.
Investigación en caliente
Adquisición de Datos: Clonado
• Los datos digitales adquiridos de copias no se deben alterar de los originales del disco, ya que esto invalidaría la evidencia.
• Los investigadores deben revisar que sus copias sean exactas a las del disco sospechoso.
• Para esto sirve la comprobación de la integridad criptográfica mediante funciones hash.
Clonado: Integridad Criptográfica
• Digest: Número característico utilizado para la verificación de la autenticidad de datos, que detectan cualquier cambio que haya ocurrido en los archivos.
• Función Hash: Hace posible obtener un hash (resumen de mensaje) de un dato, creando una serie corta de caracteres que representan al dato al cual se le aplica esta función hash.
• Algoritmos Hash más utilizados: MD5 (128bits), SHA1 (160bits)
Clonado por Software
◦Dependemos de la velocidad del PC y de sus características y estabilidad para la velocidad del clonado.
◦La mayoría de las herramientas por software dejan marca en el disco al arrancarlo, con lo cual se produce una contaminación.
◦Esto provoca que haya que utilizar herramientas write-blockers que ralentizan aun más el proceso e clonado.
◦Cuelgues. Sobretodo en zonas de sectores defectuosos.
◦Necesitamos llevar un ordenador para hacerlo in-situ.
• No es necesario llevar encima nada más que la clonadora y el disco de destino.
• Más velocidad. (Hasta 6 veces más rápido que el PC más veloz)
• No es necesario el uso de write-blockers, no marca el disco sospechoso.
• Comprobación al vuelo de las funciones hash.
• No dependemos del hardware del PC y de su buen funcionamiento.
Clonado: HardCopy II
• Clona y realiza imágenes de discos. • Realiza imágenes de tipo raw que pueden ser
analizadas con EnCase.• Verifica la integridad criptográfica de la imagen
mediante un hash MD5 y lo escribe en un archivo de cabecera asociado con la imagen.. Notifica las disparidades si las hay.
• Se recupera de errores de lectura en sectores defectuosos del disco sospechoso.
• Con sectores defectuosos recálcula o aborta el hashing.
• Rellena el sector que falla con un valor especificado y sigue al hash con estos valores de reemplazo insertados.
• Permite realizar un borrado seguro de los discos cuando sea necesario “esterilizar” el material del laboratorio
Clonado: HardCopy II
Discos Duros defectuosos
En las intervenciones normalmente encontramos dispositivos en funcionamiento.
Pero no debemos desestimar ningún dispositivo que pueda contener información relevante por estar defectuoso.
Tenemos disponibles recursos de recuperación de datos para la mayoría de averías que se presentan.
¡Incluidas las intencionadas!
Disco Duro
• Es un dispositivo compuesto por partes mecánicas, electrónicas, electromagnéticas y digitales.
• Ante una avería intencionada o no, cualquiera de estas partes se puede reparar con el objetivo de recuperar la información almacenada.
Averías más comunes y porcentaje de éxito en su recuperación
Averías Mecánicas
• Cabezas rotas o desmagnetizadas• Paradas de motor.• Fallos en bloque mecánico.• Platos magnéticos contaminados.
Todas esta averías necesitan de la apertura del soporte en
cámara limpia en un laboratorio especializado
Averías Electrónicas
• Circuitos integrados quemados debidos a sobretensiones
• Cortocircuitos
Estas averías se reparan sustituyendo los
componentes dañados. Pueden llevar asociados
problemas en el Firmware
Averías en el Firmware
En los platos hay una zona llamada System Area que el microprocesador de la placa del disco utiliza para operar en la unidad.En ella se almacena el Firmware, la información SMART, las tablas de sectores defectuosos, las tablas de configuración del disco, el password, etc.Si un disco tiene daños en la System Area queda inutilizado.
Estas averías se solucionan reprogramando el firmware del disco con herramientas que se
comunican con el HD a bajo nivel.
Geometría del Disco Duro• Pistas: Sucesión de bits en rutas circulares formadas por
sectores contiguos.• Cilindros: Serie de pistas alineadas verticalmente.• Sectores: Unidad más pequeña de almacenamiento del disco.• Clusters: Mínimo espacio en disco que es posible asignar a un
archivo.• FAT: Tabla de asignación de archivos. Se encarga de controlar
los clústeres que se asignan.
Averías Lógicas
• Pérdida de FAT• Sectores
Defectuosos• Archivos borrados • Soportes
Formateados
Estas averías se solucionan mediante
herramientas software de recuperación de
datos
Averías Lógicas
Actualmente conviven en el mercado un sinfín de herramientas de recuperación de datos, tanto de carácter general como especifico.
Estas herramientas aprovechan la geometría del disco para recuperar la información.
Recuperación de Correo Electrónico
• Gestores de Correo: Outlook, Outlook Express, Thuderbird, Eudora, Exchange, Lotus Notes
• Emails Web: Hotmail, Gmail, Yahoo. Etc.
• Exploradores: Internet Explorer, Firefox, Google Chrome, Safari.
Analisis de las Evidencias
Una vez adquiridos los datos necesitamos analizarlos, para ello existen diferentes herramientas de Sofware Forense:
• EnCase Forensics• Access Data• WinHex• Helix
EnCase: El estándar de Analisis Forense
• Copiado Comprimido de Discos Fuente. • Búsqueda y Análisis de Múltiples partes de archivos
adquiridos• Varios Campos de Ordenamiento, Incluyendo Estampillas de
tiempo• Análisis Compuesto del Documento• Búsqueda Automática y Análisis de archivos de tipo Zip y
Attachments de E-Mail.• Firmas de archivos, Identificación y Análisis. • Análisis Electrónico Del Rastro De Intervención• Soporte de Múltiples Sistemas de Archivo• Vista de archivos y otros datos en el espacio Unallocated• Integración de Reportes• Visualizador Integrado de imágenes con Galería
ProblemáticaActual
Presentación de Resultados
Presentación de Resultados
¿Y si presentamos las pruebas “en caliente”?
Shadow puede ser un medio eficaz para presentar las pruebas de forma visual al tiempo que el investigador las explica.
Todos estamos familiarizados con el entorno gráfico de un sistema operativo.
Jueces, jurados o defensa ven qué ha ocurrido directamente sobre el ordenador sospechoso sin alterar ninguna evidencia.
Una vez terminada la investigación es necesario esterilizar el material utilizado para no dejar restos en los discos que utilizaremos en siguientes investigaciones.
Hardcopy II Permite realizar un borrado seguro y rápido de los discos cuando sea necesario “esterilizar” el material del laboratorio
Esterilización del Material
Hasta aquí ha llegado nuestro proceso de análisis forense.
Muchas gracias por su atención y buena suerte en el futuro