ADACSI Ardita Analisis Forense Informaticov2 PDF

Metodologa de Anlisis
Forense Informtico
MSc. Julio C. Ardita, CISM.
jardita@cybsec.com
11 de Julio de 2007
Buenos Aires - ARGENTINA
Metodologa de Anlisis Forense
Informtico
2007
Temario
Qu es el anlisis forense informtico?

Metodologa
Identificar, preservar, analizar y presentar
Aspectos legales bsicos
Identificacin y recoleccin de evidencia
Anlisis de la evidencia
Metodologas de investigacin
2
Informtico
2007
Anlisis Forense
Informtico
3
Informtico
2007
Crecimiento de incidentes
Network Incidents Reported
180000
160000
140000
120000
100000 Network
80000
Incidents
60000
40000 Reported
20000
0
2003 (E s t)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Source: CMU Computer Emergency Response Team
4
Informtico
2007
Incidentes en Latinoamrica
Ha t enido incident es de Seguridad
Informt ica en el lt imo ao?
150%
NO SABE
100% 18% 20% 15%
27% NO
35% 42%
50% SI
46% 53% 43%
0%
Ao 2002 Ao 2003 Ao 2004

5
Informtico
2007
Por qu se generan ms incidentes que antes?
- Crecimiento de la dependencia tecnolgica.

- Amplia disponibilidad de herramientas.
- No hay leyes globales.
- Internet es un laboratorio.
- Falsa sensacin de que todo se puede hacer.
- Gran aumento de vulnerabilidades de seguridad
(8.064 nuevas en 2006 segn CERT).
6
Informtico
2007
Desde 1999 a
hoy hubo ms de
21.000 ataques
exitosos a
pginas Web
en Argentina.
http://www.zone-h.org
7
Informtico
2007
Qu son los delitos informticos?

Son actos criminales en los cuales se encuentran involucrados
las computadoras.
1. Delitos directamente contra computadoras.

2. Delitos donde la computadora contiene evidencia.
3. Delitos donde la computadora es utilizada para cometer
el crimen.
8
Informtico
2007
Tipos de incidentes
Robo de propiedad Extorsin.

intelectual.
Estafa.
Pornografa infantil.
Acceso no autorizado.
Fraude
Robo de servicios.
Distribucin de virus.
Abuso de privilegios.
Denegacin de
servicios
9
Informtico
2007
Qu hacer ante un incidente informtico?

Vale la pena investigarlo?
Qu puedo lograr?
Qu ofrece el Anlisis Forense Informtico?
El anlisis forense informtico se aplica

una vez que tenemos un incidente y queremos
investigar qu fue lo que pas, quin fue
y cmo fue.
10
Informtico
2007
Evidencia Digital
La evidencia computacional es nica, cuando se la compara con

otras formas de evidencia documental.
A diferencia de la documentacin en papel, la evidencia

computacional es frgil y una copia de un documento almacenado
en un archivo es idntica al original.
Otro aspecto nico de la evidencia computacional es el potencial

de realizar copias no autorizadas de archivos, sin dejar rastro de
que se realiz una copia.
11
Informtico
2007
Qu significa la evidencia?
Requiere tener un conocimiento general profundo.
Cmo la evidencia es creada.

Se puede falsificar.
Qu informacin se puede perder.
Qu puede estar mal.
- Caso log UNIX wtmp Acceso de usuarios.

- Caso DHCP Asignacin de direcciones.
12
Informtico
2007
Anlisis Forense Informtico
Es la tcnica de capturar, procesar e investigar

informacin procedente de sistemas informticos
utilizando una metodologa con el fin de que pueda
ser utilizada en la justicia.
Rodney McKennish, report, 1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing (Australia)
La Informtica Forense se encarga de analizar

sistemas informticos en busca de evidencia que
colabore a llevar adelante una causa judicial o
una negociacin extrajudicial.
13
Informtico
2007
Usos de la informtica forense

1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para
procesar una variedad de crmenes, incluyendo homicidios, fraude financiero,
trfico y venta de drogas, evasin de impuestos o pornografa infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio,
pueden ser ayudados por la informtica forense.
3. Investigacin de Seguros: La evidencia encontrada en computadores, puede

ayudar a las compaas de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos que tratan

sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o
propietaria, o an de espionaje industrial.
14
Informtico
2007
Parte del
proceso judicial
en relacin al
anlisis forense
informtico
15
Informtico
2007
Problemticas
Los sistemas son grandes, complejos y cambiantes.

Es posible esconder cosas en cualquier lugar.
Existe una gran variedad de tecnologas disponibles.
No existe una gran cantidad de software.
Conocimiento y experiencia es muy importante.
Obtener y preservar la evidencia es relativamente fcil,
el anlisis es complejo y consume mucho tiempo.
Aunque la evidencia pueda ser admitida correctamente,
existe un gran desconocimiento por parte de los jueces.
16
Informtico
2007
Metodologa utilizada
El primer paso es identificar los equipos que pueden contener

evidencia, reconociendo la frgil naturaleza de los datos digitales.
La segunda gran tarea es preservar la evidencia contra daos

accidentales o intencionales, usualmente esto se realiza efectuando
una copia o imagen espejada exacta del medio analizado.
17
Informtico
2007
Metodologa utilizada
El tercer paso es analizar la imagen copia de la original,

buscando la evidencia o informacin necesaria.
Finalmente una vez terminada la investigacin se debe realizar

el reporte de los hallazgos a la persona indicada para tomar
las decisiones, como puede ser un juez o un CEO.
18
Informtico
2007
Documentar la Escena
Secuestrar S Capturar voltiles

voltiles?
Es necesario S Investigar ON-SITE

Investigar ONSITE?
Hacer imgenes
Investigar en el Laboratorio
Generar
Conclusiones
S Volver a buscar ms
informacin?
19
Informtico
2007
Casos donde se aplic el

Anlisis Forense Informtico
20
Informtico
2007
CASO 1: Denegacin de servicio
Descripcin del incidente:
El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada

por un intruso que impidi la continuidad del negocio en sus casi 120
sucursales.
En un anlisis preliminar de la situacin determin que un intruso haba

dejado un programa que se ejecut el da viernes a las 19:00 horas
y que bloqueaba el acceso al sistema de Ventas.
Se comenz a trabajar en dos lneas:

- Volver a la operacin normal.
- Deteccin, anlisis y rastreo del intruso.
21
Informtico
2007
Metodologa de Investigacin:
En relacin a la vuelta a la operacin normal:

1. Anlisis forense inmediato de los equipos afectados.
2. Deteccin de programas que impedan el normal funcionamiento del
Sistema de Ventas.
3. Anlisis de programas y modificaciones realizadas por el intruso.
4. Planteo de soluciones.
5. Pruebas sobre una sucursal de los cambios.
6. Aplicacin masiva de cambios y vuelta a la operacin normal.
22
Informtico
2007
En relacin a la deteccin, anlisis y rastreo del intruso:

1. Ingeniera reversa de los programas que dej el intruso
2. Determinacin de las actividades que realiz el intruso.
3. Deteccin de rastros de pruebas 4 das antes.
4. Determinacin de pruebas que podran indicar el perfil del intruso.
5. Anlisis de los sistemas de acceso remoto.
6. Evaluacin de las computadoras personales de los potenciales
sospechosos.
23
Informtico
2007
7. En el equipo de Jos se detectaron varios elementos (repeticin del

patrn de comportamiento del intruso por la forma en que ejecutaba
los comandos).
8. Se detect que otra computadora que contena evidencia y se

encontraba al lado del equipo de Jos misteriosamente fue formateada
y re-instalada dos das despus del incidente y en la misma se detect
el patrn de comportamiento del intruso.
24
Informtico
2007
Resultados obtenidos :
Se logr detectar la intrusin y se volvi la operacin normal en el

plazo inmediato.
De acuerdo a las caractersticas detectadas del patrn de

comportamiento, informacin encontrada, re-instalacin de un
equipo, conocimiento de las claves de acceso
necesarias, existe una gran probabilidad de que
el intruso fuera Jos.
25
Informtico
2007
CASO 2: Extorsin
Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no

hacer circular entre los Clientes de la misma informacin confidencial que
haba obtenido.
El intruso se comunicaba a travs de mensajes de correo electrnico y

en dos oportunidades envi dos documentos de Word escritos por el.
26
Informtico
2007
CASO 2: Extorsin
1. Se investigaron los mensajes de correo electrnico enviados por el

intruso y se determinaron que venan de Locutorios y/o Cybercafes.
2. En dos oportunidades el intruso realiz envos de mensajes de correo

electrnico conteniendo documentos de Word.
3. Se analizaron los documentos de Word con herramientas para anlisis

a nivel binario y se obtuvo informacin sobre nombres de archivos
internos, fechas de creacin, unidades donde fue copiado (apareca
una unidad A:) y apareca el directorio donde fue almacenado.
27
Informtico
2007
CASO 2: Extorsin
4. El usuario que apareca como Autor del documento en el anlisis era x

y la Organizacin x, eso implicaba que el archivo fue generado con un
Microsoft Word registrado a ese nombre.
5. Se analiz el nombre del directorio y apareci lo siguiente:

C:\Documents and Settings\oalvarez\Mis documentos\
6. Una de las personas que haban desvinculado de mala manera unos

meses antes era Omar Alvarez.
28
Informtico
2007
CASO 2: Extorsin
Resultados obtenidos:
Se logr determinar que el intruso fue Omar Alvarez, ya que escribi los
documentos con su computadora personal.
29
Informtico
2007
CASO 3: Phishing a un Banco
Un Banco Argentino comenz a recibir llamados de Clientes alertando

sobre un mensaje que estaban recibiendo pidiendo que se actualizaran
sus datos a las 9:30 am de un jueves de febrero de 2006.
En el anlisis preliminar de uno de los mensajes recibidos va correo

electrnico por parte de un Cliente, se determin que el Banco estaba
sufriendo un ataque de Phishing.
A las 10:20 am se comenz a investigar el incidente.
30
Informtico
2007
1. Se analiz el mensaje de correo electrnico que estaba siendo recibido

por los Clientes. Dentro del mail figuraba un link al sitio web del Banco.
El link que apareca era correcto, pero la referencia apuntaba a otro
sitio web que se encontraba en Singapur.
2. Se determin que una vez que se realizaba un click sobre el link, el

sitio falso del intruso explotaba una vulnerabilidad en el Explorer que
le hacia aparecer en la direccin del navegador el sitio original del
Banco.
31
Informtico
2007
3. Se analizaron los scripts que se ejecutaban y se determin que el sitio

falso peda el usuario y la clave del sistema de Home Banking y luego
enviaba esa informacin a una cuenta determinada de Gmail. Finalmente
lo rediriga al sitio original del Banco con un mensaje para que vuelva a
ingresar los datos.
4. Ante esta situacin, se trabaj en dos lneas:

- Generacin de datos falsos para el intruso.
- Tomar contacto con la Empresa del sitio web afectado.
32
Informtico
2007
4.1 Generacin de datos falsos para el intruso.

Para confundir y sobrecargar la cuenta de mail del intruso, se generaron
lotes de datos que cumplan con los requerimientos formales, pero que no
eran vlidos. Se enviaron unos 37.000 mensajes de forma automatizada.
4.2 Contacto con Singapur.

Debido a la diferencia horaria, cerca de las 19:00hs (GMT-3) pudimos
contactarnos telefnicamente y va mail con el proveedor de hosting
que colabor activamente, dando de baja los scripts del intruso del
sitio web y envindonos la informacin de los logs de acceso.
33
Informtico
2007
5. Con la informacin de los logs de acceso, se filtr la informacin

basura que habamos generado a propsito y junto con otra
informacin se entrecruzaron los datos determinando qu Clientes
haban ingresado sus datos.
6. Paralelamente se comenz a investigar el origen del intruso.
34
Informtico
2007
Resultados obtenidos:
En pocas horas se logr frenar el ataque de phishing y determinar

cules haban sido los Clientes del Banco afectados. Se detect que el
intruso haba accedido solamente a dos cuentas.
Se logr rastrear el origen del intruso. Provena de Colombia.
35
Informtico
2007
Aspectos legales
36
Informtico
2007
Medidas Legales
Es muy importante tomar contacto y tener charlas informativas

con los abogados del Departamento Legal de la Empresa.
Es clave que los abogados estn al da de esta nueva problemtica,

ya que llegado el caso de actuar, ellos decidirn qu pasos legales
seguir.
37
Informtico
2007
Problemas jurisdiccionales
El hecho dnde ocurri?
El Intruso dnde se encuentra?
El pas donde ocurri posee legislacin?
El pas donde estamos posee legislacin?
Dnde se juzga el hecho?
38
Informtico
2007
Aspectos Legales Legislacin en el Mundo
http://www.hfernandezdelpech.com.ar/DerechoInfoInter.htm
39
Informtico
2007
Anlisis de Caso
Anlisis del fallo de un juez sobre una intrusin

en la Pgina Web de la Corte Suprema de Justicia.
Investigacin tcnica.
Tcnicas de anlisis forense informtico.
Ley.
40
Informtico
2007
El sistema legal y la informtica forense
En una causa, hay que tener en cuenta lo siguiente:
La credibilidad del investigador va a ser cuestionada.

El otro lado tendr un equipo de anlisis forense.
Utilizar software validado.
Mantener la cadena de custodia.
Asegurarse que el anlisis est completo.
41
Informtico
2007
Metodologa
42
Informtico
2007
Identificar la evidencia
Qu tipo de informacin est disponible?
Cmo la podemos llevar de forma segura?.
Qu puede formar parte de la evidencia?
43
Informtico
2007
Discos rgidos.
- Archivos de SWAP.
- Archivos temporales.
- Espacio no asignado en el disco.
- Espacio File-Slack.
Memoria y procesos que se encuentran
ejecutando.
Diskettes, CD-ROMS, DVDs, ZIP, Jazz, Tapes.
Archivos de logs.
Backups.
PDAs.
Memory Sticks.
44
Informtico
2007
Preservar la evidencia
Se debe tratar de no realizar ningn cambio sobre la misma.
Se deben registrar y justificar todos los cambios.
Realizar un by-pass del sistema operativo y crear por fuera
un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rgido o
CD-ROM.
Se debe realizar una documentacin de todo el proceso de la
generacin de imgenes.
Se deben autenticar todos los archivos e imgenes utilizadas
con hashes MD5 o SHA.
45
Informtico
2007
Orden de volatilidad
Se debe preservar la evidencia ms volatil al principio:
Registros, caches, memoria de perifricos.

Memoria (kernel, fsica)
Estado de las conexiones de red.
Procesos que se estn ejecutando.
Discos rgidos.
Diskettes, archivos de backups
CD-ROMs, impresiones.
46
Informtico
2007
Analizar la evidencia
Se debe extraer la informacin, procesarla e interpretarla.
Extraerla producir archivos binarios.
Procesarla generar informacin entendible.
Interpretarla es la parte ms importante del proceso.
El proceso debe poder re-hacerse y producir el mismo
resultado.
47
Informtico
2007
Presentar la evidencia
A la empresa, abogados, la corte, etc.
La aceptacin de la misma depender de:
Forma de presentacin.
Antecedentes y calificacin de la persona que

realiz el anlisis.
La credibilidad del proceso que fue utilizado para la

preservacin y anlisis de la evidencia.
48
Informtico
2007

voltiles?

Investigar ONSITE?
Hacer imgenes
Generar
Conclusiones
informacin?
49
Informtico
2007
Realizar un mapa de la ubicacin fsica de los componentes.
Realizar un mapa con las conexiones fsicas de los equipos.
Etiquetar todos los elementos de forma unvoca de forma

permanente.
50
Informtico
2007
Fotografiar o videograbar todo el procedimiento.

Fotografiar la disposicin de los equipos.
Conexiones de las computadoras, redes, etc.
El display de los equipos involucrados.
51
Informtico
2007
Asegurar los equipos

Analizar si existen diskettes y cd-roms puestos en las
unidades. Extraer los discos y etiquetarlos.
Desenchufar las computadoras (PC y MAC). En las
Minis y Mainframe se debe utilizar el proceso de
apagado estndar).
Abrir el equipo para identificar las partes internas
(discos rgidos, etc):
Fotografiar la parte interna de los equipos abiertos.
Identificar cada componente, etiquetarlo y documentarlo
(discos rgidos, etc).
Colocar el switch de on/off en OFF de la Computadora.
52
Informtico
2007

voltiles?

Investigar ONSITE?
Hacer imgenes
Generar
Conclusiones
informacin?
53
Informtico
2007
Llevar la evidencia volatil?
La evidencia volatil es aquella que desaparecer rpido,

como ser conexiones activas de red, procesos en la
memoria, archivos abiertos, etc.
Lo que se haga, tcnicamente va a afectar la evidencia.

Ejecutar el comando ps en UNIX sobreescribir partes
de la memoria.
Se puede sobreescribir la historia de comandos.
Se pueden afectar las fechas de acceso a los archivos.
Existe el riesgo de programas troyanos.
54
Informtico
2007
Qu llevar?
Memoria, swap y contenido de directorios temporales.

Conexiones de red actuales, puertos abiertos, interfaces
promiscuas, archivos relacionados con los puertos.
Procesos, archivos abiertos por los procesos.
- En lo posible se deben utilizar herramientas seguras para

analizar el sistema.
- Se deben utilizar herramientas conocidas y ampliamente
utilizadas.
- Herramientas propias en un CD-ROM, diskette, USB Drive.
55
Informtico
2007
WINHEX
Editor de discos, memorias, procesos.
Posee muchos usos en informtica forense

(Clonacin de discos, Captura de RAM,
bsqueda de archivos ocultos, etc).
Puede entrar en un diskette.
56
Informtico
2007
Informacin de conexiones a la red
netstat an
TCPVIEW
57
Informtico
2007
Conexiones a nivel Netbios
58
Informtico
2007
Procesos
Process
Explorer
59
Informtico
2007

voltiles?

Investigar ONSITE?
Hacer imgenes
Generar
Conclusiones
informacin?
60
Informtico
2007
Proceso de copia de la Imagen
61
Informtico
2007
Realizando imgenes
Dos posibilidades:
Imgenes bit a bit (dd, WinHEX).
Imgenes bit a bit o compactadas (Ghost).
62
Informtico
2007
MD5
Se utiliza para generar un checksum, a travs
de una funcin hash de un archivo.
Funciona bajo Windows y bajo UNIX (md5sum).
C:\md5 autoruns.exe
6CEEBF54C840854415163A186E172D02 autoruns.exe
63
Informtico
2007

voltiles?

Investigar ONSITE?
Hacer imgenes
Generar
Conclusiones
informacin?
64
Informtico
2007
Comienzo de la investigacin
Primero se trabaja utilizando herramientas sobre la imagen.
Luego se pasa la imagen al formato original y se comienza a

aplicar las tcnicas antes descriptas.
Se requiere de tiempo para realizar una investigacin seria.
65
Informtico
2007
Correlacin de eventos
Se puede obtener un caso ms slido si se puede

mostrar logs de varias fuentes que tienen una
relacin.
Qu se debe buscar?:
Buscar entradas en los logs por usuario.
Buscar entradas en los logs por direccin IP.
Buscar entradas en los logs por tiempo.
66
Informtico
2007
Problemticas de los LOGS
Siempre utilizamos la fecha de los logs para correlacionar

eventos de diferentes logs de diferentes Sistemas.
Los principales problemas son:
Sincronizacin de relojes de los sistemas.
Zona horaria.
Orden cronolgico de eventos.
Saltos de eventos.
67
Informtico
2007
Sincronizacin de relojes
Muchas veces inferimos la hora de los eventos de los logs.
En un Servidor vemos en los logs del Web Server una
conexin al puerto 80 en T1.
Luego vemos en los logs de la aplicacin, un acceso de un
usuario xxxx en T2. (Sabemos que es el mismo usuario).
Existe una diferencia: T2-T1. Si se utiliza la misma zona
horaria.
Muchas veces no se puede realizar este anlisis, depende
de la cantidad de fuentes que tengamos.
68
Informtico
2007
Zona horaria
No se puede comparar manzanas con naranjas.
Se debe pedir la zona horaria (Time Zone) de cada Log.
En una investigacin global, se debe utilizar GMT como

referencia.
Es realmente muy complejo tratar con estas diferencias.
69
Informtico
2007
Saltos de eventos
Cuando estamos investigando entre diferentes LOGS, lo que

se debe hacer es analizar un log, relacionarlo con los otros,
investigar en los otros, para luego poder volver a investigar
nuevamente en el primer log nuevas posibilidades.
Otras sesiones (anteriores o posteriores).
Analizando usuario, direccin IP, servicios, etc.
70
Informtico
2007
Investigar on-line
Nivel de red
Nivel Sistema Operativo Windows.
Nivel Sistema Operativo UNIX
Nivel Sistema Operativo AS/400
71
Informtico
2007
Analizar el trfico de red
Se puede capturar todo el trfico de red.

Es difcil para el intruso poder detectarlo.
Simplemente loguear las conexiones es muy til.
Si se loguea el contenido, es necesario espacio en disco.
El Servidor donde funciona el analizador de protocolos debe
estar protegido.
Existen problemas con las conexiones encriptadas.
72
Informtico
2007
Ethereal
73
Informtico
2007
DHCP
La computadora cuando bootea le pide al DCHP Server

que le asigne una direccin IP y la utiliza durante un
tiempo.
Una vez que el leasing termin, otra computadora puede

utilizar esa direccin IP.
Deben almacenarse los LOGS del DHCP Server.
Tomar fotos o Print-Screens
74
Informtico
2007
Correo Electrnico
Estos protocolos de correo electrnico (POP/IMAP)

generan los logs bsicos en el archivo syslog en UNIX.
El logging es bsico.
A qu hora alguien se conect y desconect.
Hay que activarlo extra si se quiere conocer qu actividad
se realiz sobre el Servidor.
Exchange/Groupwise/Lotus Notes generan sus propios
LOGS.
75
Informtico
2007
LOGS de Web Servers
Problemtica del protocolo HTTP.

Tamao.
Anlisis y separacin de una conexin.
LOGS de Proxy.
Cache Proxy intermedios de Proveedores.
HTTP/S
76
Informtico
2007
Anlisis Windows
Se realiza ON-SITE o en el Laboratorio.
77
Informtico
2007
Objetivo de la investigacin
Foco en el uso tpico de la computadora.

Foco en posibles actividades no autorizadas.
- Material no autorizado.
- Hacking.
Foco en la informacin.
- Contactos.
- Passwords.
- Nmeros de cuenta.
78
Informtico
2007
Qu busco?
Configuracin: Archivo borrados:

Informacin del sistema. Papelera de reciclaje.
Configuracin de la red. Anlisis de la registry.
Programas instalados.
Archivos ocultos:
Cosas estndares: Slack Space.
Documentos. Archivos encriptados.
Mensajes de correo electrnico. Tipos de archivos alterados.
Archivos zipeados.
Msica archivos grficos.
79
Informtico
2007
Fechas MAC en Windows
80
Informtico
2007
Informacin del sistema
Aplicacin:
Computer
Management
81
Informtico
2007
Cosas especficas a buscar
Sitios Web (Si es un IIS).

Sitios FTP (Si es un IIS).
Terminal Services
Si se utiliza como DNS o Servidor de Mail.
Log propios de Windows
EventViewer
C:\WINNT\system32\LogFiles\
82
Informtico
2007
Event Viewer
83
Informtico
2007
LOGS IIS
84
Informtico
2007
Servicios activos
85
Informtico
2007
Bsqueda con el Regedit
86
Informtico
2007
Bsqueda de archivos
87
Informtico
2007
Informacin borrada
Papelera de reciclaje.
Norton.
Utilizando el WINHEX.
88
Informtico
2007
WINHEX Anlisis de la informacin
89
Informtico
2007
Informacin relacionada con Internet
- Historia de navegacin (Ver el browser).

C:\Documents and Settings\jardita.ADCYBSEC\Configuracin
local\Historial
- Cache
C:\Documents and Settings\USER\Configuracin local\Archivos
temporales de Internet
C:\Documents and Settings\jardita.ADCYBSEC\Configuracin
local\Temp
- Cookies.
90
Informtico
2007
http://www.cftt.nist.gov
91
Informtico
2007
Software que ya ha pasado pruebas del NIST
dd FreeBSD
Encase 3.20
Safeback 2.18
Safeback (Sydex) 2.0
dd GNU fileutils 4.0.36, Provided with Red Hat Linux 7.1
RCMP HDL VO.8.
92
Informtico
2007
ENCASE
Lder en el mercado de productos de anlisis forense en

Estados Unidos.
De la empresa Guidance Software.
Permite realizar adquisicin y anlisis de evidencia
Para sistemas operativos FAT, NTFS, HPFS y EXT2.
http://www.youtube.com/watch?v=O4ce74q2zqM 93
Informtico
2007
ENCASE
94
Preguntas?

jardita@cybsec.com
www.cybsec.com
Muchas gracias por
acompaarnos

jardita@cybsec.com
www.cybsec.com

ADACSI Ardita Analisis Forense Informaticov2 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ADACSI Ardita Analisis Forense Informaticov2 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Metodologa de Anlisis

Qu es el anlisis forense informtico?

Por qu se generan ms incidentes que antes?

- Crecimiento de la dependencia tecnolgica.

Qu son los delitos informticos?

1. Delitos directamente contra computadoras.

Robo de propiedad Extorsin.

Qu hacer ante un incidente informtico?

El anlisis forense informtico se aplica

La evidencia computacional es nica, cuando se la compara con

A diferencia de la documentacin en papel, la evidencia

Otro aspecto nico de la evidencia computacional es el potencial

Requiere tener un conocimiento general profundo.

Cmo la evidencia es creada.

- Caso log UNIX wtmp Acceso de usuarios.

Anlisis Forense Informtico

Es la tcnica de capturar, procesar e investigar

La Informtica Forense se encarga de analizar

Usos de la informtica forense

3. Investigacin de Seguros: La evidencia encontrada en computadores, puede

4. Temas corporativos: Puede ser recolectada informacin en casos que tratan

Los sistemas son grandes, complejos y cambiantes.

El primer paso es identificar los equipos que pueden contener

La segunda gran tarea es preservar la evidencia contra daos

El tercer paso es analizar la imagen copia de la original,

Finalmente una vez terminada la investigacin se debe realizar

Secuestrar S Capturar voltiles

Es necesario S Investigar ON-SITE

Casos donde se aplic el

CASO 1: Denegacin de servicio

Descripcin del incidente:

El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada

En un anlisis preliminar de la situacin determin que un intruso haba

Se comenz a trabajar en dos lneas:

CASO 1: Denegacin de servicio

En relacin a la vuelta a la operacin normal:

CASO 1: Denegacin de servicio

En relacin a la deteccin, anlisis y rastreo del intruso:

CASO 1: Denegacin de servicio

7. En el equipo de Jos se detectaron varios elementos (repeticin del

8. Se detect que otra computadora que contena evidencia y se

CASO 1: Denegacin de servicio

Se logr detectar la intrusin y se volvi la operacin normal en el

De acuerdo a las caractersticas detectadas del patrn de

Descripcin del incidente:

Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no

El intruso se comunicaba a travs de mensajes de correo electrnico y

1. Se investigaron los mensajes de correo electrnico enviados por el

2. En dos oportunidades el intruso realiz envos de mensajes de correo

3. Se analizaron los documentos de Word con herramientas para anlisis

4. El usuario que apareca como Autor del documento en el anlisis era x

5. Se analiz el nombre del directorio y apareci lo siguiente:

6. Una de las personas que haban desvinculado de mala manera unos

CASO 3: Phishing a un Banco

Descripcin del incidente:

Un Banco Argentino comenz a recibir llamados de Clientes alertando

En el anlisis preliminar de uno de los mensajes recibidos va correo

A las 10:20 am se comenz a investigar el incidente.

CASO 3: Phishing a un Banco

1. Se analiz el mensaje de correo electrnico que estaba siendo recibido

2. Se determin que una vez que se realizaba un click sobre el link, el

CASO 3: Phishing a un Banco

3. Se analizaron los scripts que se ejecutaban y se determin que el sitio