Escolar Documentos
Profissional Documentos
Cultura Documentos
Forense Informtico
MSc. Julio C. Ardita, CISM.
jardita@cybsec.com
11 de Julio de 2007
Buenos Aires - ARGENTINA
Metodologa de Anlisis Forense
Informtico
2007
Temario
2
Metodologa de Anlisis Forense
Informtico
2007
Anlisis Forense
Informtico
3
Metodologa de Anlisis Forense
Informtico
2007
Crecimiento de incidentes
Network Incidents Reported
180000
160000
140000
120000
100000 Network
80000
Incidents
60000
40000 Reported
20000
0
2003 (E s t)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Source: CMU Computer Emergency Response Team
4
Metodologa de Anlisis Forense
Informtico
2007
Incidentes en Latinoamrica
Ha t enido incident es de Seguridad
Informt ica en el lt imo ao?
150%
NO SABE
100% 18% 20% 15%
27% NO
35% 42%
50% SI
46% 53% 43%
0%
Ao 2002 Ao 2003 Ao 2004
5
Metodologa de Anlisis Forense
Informtico
2007
- Internet es un laboratorio.
- Falsa sensacin de que todo se puede hacer.
- Gran aumento de vulnerabilidades de seguridad
(8.064 nuevas en 2006 segn CERT).
6
Metodologa de Anlisis Forense
Informtico
2007
Desde 1999 a
hoy hubo ms de
21.000 ataques
exitosos a
pginas Web
en Argentina.
http://www.zone-h.org
7
Metodologa de Anlisis Forense
Informtico
2007
8
Metodologa de Anlisis Forense
Informtico
2007
Tipos de incidentes
Evidencia Digital
11
Metodologa de Anlisis Forense
Informtico
2007
Qu significa la evidencia?
13
Metodologa de Anlisis Forense
Informtico
2007
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio,
pueden ser ayudados por la informtica forense.
Parte del
proceso judicial
en relacin al
anlisis forense
informtico
15
Metodologa de Anlisis Forense
Informtico
2007
Problemticas
16
Metodologa de Anlisis Forense
Informtico
2007
Metodologa utilizada
17
Metodologa de Anlisis Forense
Informtico
2007
Metodologa utilizada
18
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
Hacer imgenes
Investigar en el Laboratorio
Generar
Conclusiones
S Volver a buscar ms
informacin?
19
Metodologa de Anlisis Forense
Informtico
2007
20
Metodologa de Anlisis Forense
Informtico
2007
Metodologa de Investigacin:
22
Metodologa de Anlisis Forense
Informtico
2007
Metodologa de Investigacin:
23
Metodologa de Anlisis Forense
Informtico
2007
Metodologa de Investigacin:
24
Metodologa de Anlisis Forense
Informtico
2007
Resultados obtenidos :
25
Metodologa de Anlisis Forense
Informtico
2007
CASO 2: Extorsin
26
Metodologa de Anlisis Forense
Informtico
2007
CASO 2: Extorsin
Metodologa de Investigacin:
27
Metodologa de Anlisis Forense
Informtico
2007
CASO 2: Extorsin
Metodologa de Investigacin:
28
Metodologa de Anlisis Forense
Informtico
2007
CASO 2: Extorsin
Resultados obtenidos:
Se logr determinar que el intruso fue Omar Alvarez, ya que escribi los
documentos con su computadora personal.
29
Metodologa de Anlisis Forense
Informtico
2007
30
Metodologa de Anlisis Forense
Informtico
2007
Metodologa de Investigacin:
31
Metodologa de Anlisis Forense
Informtico
2007
Metodologa de Investigacin:
32
Metodologa de Anlisis Forense
Informtico
2007
Metodologa de Investigacin:
Metodologa de Investigacin:
34
Metodologa de Anlisis Forense
Informtico
2007
Resultados obtenidos:
35
Metodologa de Anlisis Forense
Informtico
2007
Aspectos legales
36
Metodologa de Anlisis Forense
Informtico
2007
Medidas Legales
37
Metodologa de Anlisis Forense
Informtico
2007
Problemas jurisdiccionales
38
Metodologa de Anlisis Forense
Informtico
2007
http://www.hfernandezdelpech.com.ar/DerechoInfoInter.htm
39
Metodologa de Anlisis Forense
Informtico
2007
Anlisis de Caso
Investigacin tcnica.
Ley.
40
Metodologa de Anlisis Forense
Informtico
2007
41
Metodologa de Anlisis Forense
Informtico
2007
Metodologa
42
Metodologa de Anlisis Forense
Informtico
2007
Identificar la evidencia
43
Metodologa de Anlisis Forense
Informtico
2007
Discos rgidos.
- Archivos de SWAP.
- Archivos temporales.
- Espacio no asignado en el disco.
- Espacio File-Slack.
Memoria y procesos que se encuentran
ejecutando.
Diskettes, CD-ROMS, DVDs, ZIP, Jazz, Tapes.
Archivos de logs.
Backups.
PDAs.
Memory Sticks.
44
Metodologa de Anlisis Forense
Informtico
2007
Preservar la evidencia
Se debe tratar de no realizar ningn cambio sobre la misma.
Se deben registrar y justificar todos los cambios.
Realizar un by-pass del sistema operativo y crear por fuera
un backup de toda la evidencia.
Las copias duplicadas deben ser escritas en otro disco rgido o
CD-ROM.
Se debe realizar una documentacin de todo el proceso de la
generacin de imgenes.
Se deben autenticar todos los archivos e imgenes utilizadas
con hashes MD5 o SHA.
45
Metodologa de Anlisis Forense
Informtico
2007
Orden de volatilidad
Analizar la evidencia
resultado.
47
Metodologa de Anlisis Forense
Informtico
2007
Presentar la evidencia
Forma de presentacin.
48
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
Hacer imgenes
Investigar en el Laboratorio
Generar
Conclusiones
S Volver a buscar ms
informacin?
49
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
50
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
51
Metodologa de Anlisis Forense
Informtico
2007
52
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
Hacer imgenes
Investigar en el Laboratorio
Generar
Conclusiones
S Volver a buscar ms
informacin?
53
Metodologa de Anlisis Forense
Informtico
2007
54
Metodologa de Anlisis Forense
Informtico
2007
Qu llevar?
55
Metodologa de Anlisis Forense
Informtico
2007
WINHEX
Editor de discos, memorias, procesos.
56
Metodologa de Anlisis Forense
Informtico
2007
netstat an
TCPVIEW
57
Metodologa de Anlisis Forense
Informtico
2007
58
Metodologa de Anlisis Forense
Informtico
2007
Procesos
Process
Explorer
59
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
Hacer imgenes
Investigar en el Laboratorio
Generar
Conclusiones
S Volver a buscar ms
informacin?
60
Metodologa de Anlisis Forense
Informtico
2007
61
Metodologa de Anlisis Forense
Informtico
2007
Realizando imgenes
Dos posibilidades:
62
Metodologa de Anlisis Forense
Informtico
2007
MD5
Se utiliza para generar un checksum, a travs
de una funcin hash de un archivo.
C:\md5 autoruns.exe
6CEEBF54C840854415163A186E172D02 autoruns.exe
63
Metodologa de Anlisis Forense
Informtico
2007
Documentar la Escena
Hacer imgenes
Investigar en el Laboratorio
Generar
Conclusiones
S Volver a buscar ms
informacin?
64
Metodologa de Anlisis Forense
Informtico
2007
Comienzo de la investigacin
65
Metodologa de Anlisis Forense
Informtico
2007
Correlacin de eventos
Qu se debe buscar?:
Buscar entradas en los logs por usuario.
Buscar entradas en los logs por direccin IP.
Buscar entradas en los logs por tiempo.
66
Metodologa de Anlisis Forense
Informtico
2007
Zona horaria.
Saltos de eventos.
67
Metodologa de Anlisis Forense
Informtico
2007
Sincronizacin de relojes
Muchas veces inferimos la hora de los eventos de los logs.
En un Servidor vemos en los logs del Web Server una
conexin al puerto 80 en T1.
Luego vemos en los logs de la aplicacin, un acceso de un
usuario xxxx en T2. (Sabemos que es el mismo usuario).
Existe una diferencia: T2-T1. Si se utiliza la misma zona
horaria.
Muchas veces no se puede realizar este anlisis, depende
de la cantidad de fuentes que tengamos.
68
Metodologa de Anlisis Forense
Informtico
2007
Zona horaria
69
Metodologa de Anlisis Forense
Informtico
2007
Saltos de eventos
70
Metodologa de Anlisis Forense
Informtico
2007
Investigar on-line
Nivel de red
71
Metodologa de Anlisis Forense
Informtico
2007
72
Metodologa de Anlisis Forense
Informtico
2007
Ethereal
73
Metodologa de Anlisis Forense
Informtico
2007
DHCP
74
Metodologa de Anlisis Forense
Informtico
2007
Correo Electrnico
75
Metodologa de Anlisis Forense
Informtico
2007
HTTP/S
76
Metodologa de Anlisis Forense
Informtico
2007
Anlisis Windows
77
Metodologa de Anlisis Forense
Informtico
2007
Objetivo de la investigacin
Qu busco?
79
Metodologa de Anlisis Forense
Informtico
2007
80
Metodologa de Anlisis Forense
Informtico
2007
Aplicacin:
Computer
Management
81
Metodologa de Anlisis Forense
Informtico
2007
82
Metodologa de Anlisis Forense
Informtico
2007
Event Viewer
83
Metodologa de Anlisis Forense
Informtico
2007
LOGS IIS
84
Metodologa de Anlisis Forense
Informtico
2007
Servicios activos
85
Metodologa de Anlisis Forense
Informtico
2007
86
Metodologa de Anlisis Forense
Informtico
2007
Bsqueda de archivos
87
Metodologa de Anlisis Forense
Informtico
2007
Informacin borrada
Papelera de reciclaje.
Norton.
Utilizando el WINHEX.
88
Metodologa de Anlisis Forense
Informtico
2007
89
Metodologa de Anlisis Forense
Informtico
2007
- Cache
C:\Documents and Settings\USER\Configuracin local\Archivos
temporales de Internet
C:\Documents and Settings\jardita.ADCYBSEC\Configuracin
local\Temp
- Cookies.
90
Metodologa de Anlisis Forense
Informtico
2007
http://www.cftt.nist.gov
91
Metodologa de Anlisis Forense
Informtico
2007
dd FreeBSD
Encase 3.20
Safeback 2.18
Safeback (Sydex) 2.0
dd GNU fileutils 4.0.36, Provided with Red Hat Linux 7.1
RCMP HDL VO.8.
92
Metodologa de Anlisis Forense
Informtico
2007
ENCASE
http://www.youtube.com/watch?v=O4ce74q2zqM 93
Metodologa de Anlisis Forense
Informtico
2007
ENCASE
94
Preguntas?
www.cybsec.com
Muchas gracias por
acompaarnos
www.cybsec.com