SlideShare une entreprise Scribd logo

Forence

Télécharger en tant que PPT, PDF
5
5124042

Este documento ofrece información sobre análisis forense digital. Explica conceptos clave como cadena de custodia y hashes para garantizar la integridad de la evidencia digital. También describe procedimientos forenses como la adquisición de datos volátiles, análisis de logs, memoria y registro en sistemas Windows. El objetivo final es llevar a cabo un análisis forense completo siguiendo los principios de la informática forense para identificar evidencia digital de incidentes.

1  sur  42
NO HAY MAS TINIEBLAS QUE LA IGNORANCIA Realizado por juan esteban
QUE CONOCEMOSQUE CONOCEMOS DEFINICIONESDEFINICIONES PROCEDIMIENTO FORENSEPROCEDIMIENTO FORENSE GENERALGENERAL DESCANSODESCANSO ANALISIS FORENSE EN ENTORNOSANALISIS FORENSE EN ENTORNOS WINDOWSWINDOWS HERRAMIENTAS VARIASHERRAMIENTAS VARIAS
QUE APRENDIMOS ENQUE APRENDIMOS EN MUNDO HACKER I:MUNDO HACKER I: FORMAS DE ATAQUE EN LA RED SPAM SPYWARE ADWARE INGENIERIA SOCIAL
QUE PODEMOS HACER?
ANALISIS DEL RIESGOANALISIS DEL RIESGO Proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo de la prevención de esta pérdida. Su análisis no sólo lleva a establecer un nivel adecuado de seguridad: permite conocer mejor el sistema que vamos a proteger.
ANALISIS DEL RIESGOANALISIS DEL RIESGO BB >> PP ∗∗ L ?L ? – BB: Peso o carga que significa la: Peso o carga que significa la prevención de una pérdida específica.prevención de una pérdida específica. – PP: Probabilidad de ocurrencia de una: Probabilidad de ocurrencia de una pérdida específica.pérdida específica. – LL: Impacto total de una pérdida: Impacto total de una pérdida específica.específica.
ANALISIS DEL RIESGOANALISIS DEL RIESGO 1. Identificación de posibles pérdidas (L) Identificar amenazas 3. Identificar posibles acciones y sus implicaciones. (B) Seleccionar acciones a implementar. 2. Determinar susceptibilidad. Posibilidad de pérdida (P)
La clave de una buena recuperación en caso de fallo es una preparación adecuada. Por recuperación entendemos tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior habiendo reemplazado o recuperado el máximo de los recursos y de la información. ANALISIS DEL RIESGOANALISIS DEL RIESGO PLAN DEPLAN DE CONTINGENCIACONTINGENCIA
Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
“Forensic Computing is the process of identifying, preserving, analyzing and presenting digital evidence in a manner that is legally acceptable” (Rodney McKemmish 1999) INFORMATICAINFORMATICA FORENSEFORENSE
INFORMATICAINFORMATICA FORENSEFORENSE
INFORMATICAINFORMATICA FORENSEFORENSE Evidencia digital: Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.
INFORMATICAINFORMATICA FORENSEFORENSE Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
INFORMATICAINFORMATICA FORENSEFORENSE Objetivos 1.Investigación en Procesamiento judicial 2.ámbito organizacional 3.Errores, fallas, pérdidas de datos 4.Medidas preventivas
INFORMATICAINFORMATICA FORENSEFORENSE Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso ade- cuado o de las buenas prácticas de utilización de los sistemas informáticos.
INFORMATICAINFORMATICA FORENSEFORENSE Incidentes de Denegación de Servicios (DoS): Incidentes de código malicioso: Incidentes de acceso no autorizado: Incidentes por uso inapropiado: Incidente múltiple:
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Identificación y Descripción
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Recolección de evidencia
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA SACARSACAR IMÁGENES DE DISCOSIMÁGENES DE DISCOS • Imágenes de un sistema “vivo”Imágenes de un sistema “vivo” –– Uso de "Uso de "dd" y "netcatdd" y "netcat" para enviar una copia" para enviar una copia bit-a-bit a un sistema remotobit-a-bit a un sistema remoto •• Tanto Windows como Unix/LinuxTanto Windows como Unix/Linux –– Para Windows puede ser más cómodo usarPara Windows puede ser más cómodo usar HELIXHELIX •• http://www.e-fense.com/helix/http://www.e-fense.com/helix/ •• Permite realizar imagen de la memoria físicaPermite realizar imagen de la memoria física –– Una vez realizada la imagen se computa unUna vez realizada la imagen se computa un hash MD5 y SHA-1hash MD5 y SHA-1
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA Imágenes de un sistema apagadoImágenes de un sistema apagado • Extraer disco duroExtraer disco duro • Conecta el disco a la workstation de análisis forenseConecta el disco a la workstation de análisis forense •• es recomendable que sea Linux (permite montar loses recomendable que sea Linux (permite montar los discosdiscos manualmente y en modo "read-only")manualmente y en modo "read-only") • Realiza copia con "dd"Realiza copia con "dd" •• la imagen se puede guardar en discos externosla imagen se puede guardar en discos externos Firewire/USB,Firewire/USB, almacenamiento SAN, etcalmacenamiento SAN, etc • Por supuesto, hashes MD5 y SHA-1 de original y copiaPor supuesto, hashes MD5 y SHA-1 de original y copia para garantizar integridadpara garantizar integridad
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA
Cadena de Custodia Cadena de Custodia ““LaLa cadena de custodiacadena de custodia documenta el procesodocumenta el proceso completo de las evidenciascompleto de las evidencias durante la vida del caso, quiéndurante la vida del caso, quién la recogió y donde, como lala recogió y donde, como la almacenó, quien la procesó,almacenó, quien la procesó, etc.etc. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Con la evidencia electrónica (imágenes deCon la evidencia electrónica (imágenes de discos y memoria, ficheros de datos ydiscos y memoria, ficheros de datos y ejecutables, etc.) la práctica consiste enejecutables, etc.) la práctica consiste en obtener “hashes” de la información en elobtener “hashes” de la información en el momento de su recolección, de forma quemomento de su recolección, de forma que se pueda comprobar en cualquier momentose pueda comprobar en cualquier momento si la evidencia ha sido modificada.si la evidencia ha sido modificada.
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Una función de hash esUna función de hash es unauna funciónfunción para resumirpara resumir o identificaro identificar probabilísticamente unprobabilísticamente un grangran conjuntoconjunto dede información,información, Sirve para comprobar que unSirve para comprobar que un archivo no ha sido modificadoarchivo no ha sido modificado o alteradoo alterado DEMOSTRACION MD5
Analisis de la evidencia PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Forensic toolkit2
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe Escrito: •Informe Ejecutivo, Breve resumen con un máximo de 5 páginas entendible por personal no técnico en el que se detallaran los aspectos más importantes de la intrusión, que medidas hubieran podido evitar que esta tuviera lugar y que recomendaciones se deberían realizar tras este ataque
PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe técnico, donde con una mayor extensión, se debían resumir el análisis del equipo, considerándose entre otros los siguientes aspectos: •Identificación del sistema operativo atacado •Descripción de las herramientas empleadas y de los procedimientos de obtención de la información de la máquina atacada. •Determinación del origen del ataque, vulnerabilidad empleada por el atacante, descripción de la linea de tiempos del ataque •Información detallada sobre las acciones realizadas por el atacante y las herramientas que instaló este en el equipo atacado
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Adquisicion de datos volatiles FPORT NETSTAT IPCONFIG/ALL
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Analisis de LOG FILES Start  Settings  Control Panel  Administrative Tools  Event Viewer
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Copias de los archivos C:windowssystem32config AppEvent.Evt SecEvent.Evt SysEvent.Evt
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE LOS ULTIMOS ACCESOS A FICHEROS
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE INFORMACION DEL SISTEMA SYSTEMINFO
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Análisis del archivo swap METODO FILE CARVING el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos , o en el análisis de estructuras de ficheros.
Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco Análisis de la memoria ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS pmdump
Dado que Windows utiliza como referencia toda la información que se encuentra en el registro, un analista forense puede utilizar como referencia esta gran base de datos para recabar información sobre la máquina. En la base de datos de registro que se encuentra en el sistema Windows, podremos averiguar: Análisis del registro de windows ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
Cada sección del Registro está asociada a un conjunto de archivos estándar. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Podemos buscar información en el registro de la siguiente manera HKCUSoftwareMicrosoft WindowsCurrentVersion ExplorerComDlg32Last VisitedMRU Mantiene una lista de los archivos abiertos recientemente
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKCUSoftwareMicroso ftWindowsCurrentVersi onExplorerRecentDocs Contiene los documentos abiertos recientemente por el explorador HKLMSYSTEMCurren tControlSetControlSe ssion ManagerMemory Management Contiene informacion del archivo pagefile.sys
ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce Programas que se activan al startup HKCUSoftwareMicrosoftInternet ExplorerTypedURLs
HKCUSoftwareMicrosoftI nternet ExplorerTypedURLs Contiene una lista de 25 urls recientes HKCUSoftwareGoogleNav Client1.1History Es posible investigar si un usuario utilizo una cuenta de messenger en un sistema comprometido ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS

Recommandé

43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig
Academia de Ciencias Forenses del Ecuador
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
vanearely cc
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
psanchezcordero
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistema
Eventos Creativos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
T fase1 103380_grupo23
T fase1 103380_grupo23T fase1 103380_grupo23
T fase1 103380_grupo23
Javier Martinez
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
RootedCON
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Manuel Mujica
 

Recommandé

43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig
Academia de Ciencias Forenses del Ecuador
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
vanearely cc
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
psanchezcordero
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistema
Eventos Creativos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
Alejandro Ramos
 
T fase1 103380_grupo23
T fase1 103380_grupo23T fase1 103380_grupo23
T fase1 103380_grupo23
Javier Martinez
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
RootedCON
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Manuel Mujica
 
Tailuma madriz delitos informativos
Tailuma madriz delitos informativosTailuma madriz delitos informativos
Tailuma madriz delitos informativos
madriztailuma
 
la informática en la educación y el delito informatico
la informática en la educación y el delito informatico la informática en la educación y el delito informatico
la informática en la educación y el delito informatico
Yzol Figuera
 
AI05 Analisis forense de sistemas
AI05 Analisis forense de sistemasAI05 Analisis forense de sistemas
AI05 Analisis forense de sistemas
Pedro Garcia Repetto
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Kmilo Perez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Fredy Ricse
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Analista Forense
 
Modulo I
Modulo IModulo I
Modulo I
Jleon Consultores
 
Computación Forense
Computación ForenseComputación Forense
Computación Forense
Ebert Bonill
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
hendrykfer2
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
CsarVera14
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
melida19
 
Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
Pablo Llanos Urraca
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
Internet Security Auditors
 
Analisis forense I
Analisis forense IAnalisis forense I
Analisis forense I
Rosariio92
 
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
AbundioTeca
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
MaraBruzanovski
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Jhon Jairo Hernandez
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informatico
Darwin Del Castillo Tenazoa
 

Contenu connexe

En vedette

la informática en la educación y el delito informatico
la informática en la educación y el delito informatico la informática en la educación y el delito informatico
la informática en la educación y el delito informatico
Yzol Figuera
 

En vedette (8)

Tailuma madriz delitos informativos
Tailuma madriz delitos informativosTailuma madriz delitos informativos
Tailuma madriz delitos informativos
 
la informática en la educación y el delito informatico
la informática en la educación y el delito informatico la informática en la educación y el delito informatico
la informática en la educación y el delito informatico
 
AI05 Analisis forense de sistemas
AI05 Analisis forense de sistemasAI05 Analisis forense de sistemas
AI05 Analisis forense de sistemas
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Modulo I
Modulo IModulo I
Modulo I
 
Computación Forense
Computación ForenseComputación Forense
Computación Forense
 

Similaire à Forence

Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
melida19
 
Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 
Analisis forense I
Analisis forense IAnalisis forense I
Analisis forense I
Rosariio92
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Jhon Jairo Hernandez
 

Similaire à Forence (20)

Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Forense Linux.pdf
Forense Linux.pdfForense Linux.pdf
Forense Linux.pdf
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
 
Forense digital
Forense digitalForense digital
Forense digital
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Analisis forense I
Analisis forense IAnalisis forense I
Analisis forense I
 
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
Como Evitar el Espionaje de E.E.U.U. y otras Práticas Soluciones Informaticas...
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informatico
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
 
3 Informática forense
3 Informática forense 3 Informática forense
3 Informática forense
 
U1 sistemas operativos
U1 sistemas operativosU1 sistemas operativos
U1 sistemas operativos
 
Webinar Gratuito: Analisis Forense a Linux
Webinar Gratuito: Analisis Forense a LinuxWebinar Gratuito: Analisis Forense a Linux
Webinar Gratuito: Analisis Forense a Linux
 

Forence

  • 1. NO HAY MAS TINIEBLAS QUE LA IGNORANCIA Realizado por juan esteban
  • 2. QUE CONOCEMOSQUE CONOCEMOS DEFINICIONESDEFINICIONES PROCEDIMIENTO FORENSEPROCEDIMIENTO FORENSE GENERALGENERAL DESCANSODESCANSO ANALISIS FORENSE EN ENTORNOSANALISIS FORENSE EN ENTORNOS WINDOWSWINDOWS HERRAMIENTAS VARIASHERRAMIENTAS VARIAS
  • 3. QUE APRENDIMOS ENQUE APRENDIMOS EN MUNDO HACKER I:MUNDO HACKER I: FORMAS DE ATAQUE EN LA RED SPAM SPYWARE ADWARE INGENIERIA SOCIAL
  • 5. ANALISIS DEL RIESGOANALISIS DEL RIESGO Proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo de la prevención de esta pérdida. Su análisis no sólo lleva a establecer un nivel adecuado de seguridad: permite conocer mejor el sistema que vamos a proteger.
  • 6. ANALISIS DEL RIESGOANALISIS DEL RIESGO BB >> PP ∗∗ L ?L ? – BB: Peso o carga que significa la: Peso o carga que significa la prevención de una pérdida específica.prevención de una pérdida específica. – PP: Probabilidad de ocurrencia de una: Probabilidad de ocurrencia de una pérdida específica.pérdida específica. – LL: Impacto total de una pérdida: Impacto total de una pérdida específica.específica.
  • 7. ANALISIS DEL RIESGOANALISIS DEL RIESGO 1. Identificación de posibles pérdidas (L) Identificar amenazas 3. Identificar posibles acciones y sus implicaciones. (B) Seleccionar acciones a implementar. 2. Determinar susceptibilidad. Posibilidad de pérdida (P)
  • 8. La clave de una buena recuperación en caso de fallo es una preparación adecuada. Por recuperación entendemos tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior habiendo reemplazado o recuperado el máximo de los recursos y de la información. ANALISIS DEL RIESGOANALISIS DEL RIESGO PLAN DEPLAN DE CONTINGENCIACONTINGENCIA
  • 9. Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
  • 10. Y SI TODO FALLAY SI TODO FALLA QUE?...QUE?...
  • 11. “Forensic Computing is the process of identifying, preserving, analyzing and presenting digital evidence in a manner that is legally acceptable” (Rodney McKemmish 1999) INFORMATICAINFORMATICA FORENSEFORENSE
  • 13. INFORMATICAINFORMATICA FORENSEFORENSE Evidencia digital: Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.
  • 14. INFORMATICAINFORMATICA FORENSEFORENSE Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
  • 15. INFORMATICAINFORMATICA FORENSEFORENSE Objetivos 1.Investigación en Procesamiento judicial 2.ámbito organizacional 3.Errores, fallas, pérdidas de datos 4.Medidas preventivas
  • 16. INFORMATICAINFORMATICA FORENSEFORENSE Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso ade- cuado o de las buenas prácticas de utilización de los sistemas informáticos.
  • 17. INFORMATICAINFORMATICA FORENSEFORENSE Incidentes de Denegación de Servicios (DoS): Incidentes de código malicioso: Incidentes de acceso no autorizado: Incidentes por uso inapropiado: Incidente múltiple:
  • 21. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA SACARSACAR IMÁGENES DE DISCOSIMÁGENES DE DISCOS • Imágenes de un sistema “vivo”Imágenes de un sistema “vivo” –– Uso de "Uso de "dd" y "netcatdd" y "netcat" para enviar una copia" para enviar una copia bit-a-bit a un sistema remotobit-a-bit a un sistema remoto •• Tanto Windows como Unix/LinuxTanto Windows como Unix/Linux –– Para Windows puede ser más cómodo usarPara Windows puede ser más cómodo usar HELIXHELIX •• http://www.e-fense.com/helix/http://www.e-fense.com/helix/ •• Permite realizar imagen de la memoria físicaPermite realizar imagen de la memoria física –– Una vez realizada la imagen se computa unUna vez realizada la imagen se computa un hash MD5 y SHA-1hash MD5 y SHA-1
  • 22. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN IFORMATICAIFORMATICA Imágenes de un sistema apagadoImágenes de un sistema apagado • Extraer disco duroExtraer disco duro • Conecta el disco a la workstation de análisis forenseConecta el disco a la workstation de análisis forense •• es recomendable que sea Linux (permite montar loses recomendable que sea Linux (permite montar los discosdiscos manualmente y en modo "read-only")manualmente y en modo "read-only") • Realiza copia con "dd"Realiza copia con "dd" •• la imagen se puede guardar en discos externosla imagen se puede guardar en discos externos Firewire/USB,Firewire/USB, almacenamiento SAN, etcalmacenamiento SAN, etc • Por supuesto, hashes MD5 y SHA-1 de original y copiaPor supuesto, hashes MD5 y SHA-1 de original y copia para garantizar integridadpara garantizar integridad
  • 24. Cadena de Custodia Cadena de Custodia ““LaLa cadena de custodiacadena de custodia documenta el procesodocumenta el proceso completo de las evidenciascompleto de las evidencias durante la vida del caso, quiéndurante la vida del caso, quién la recogió y donde, como lala recogió y donde, como la almacenó, quien la procesó,almacenó, quien la procesó, etc.etc. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA
  • 25. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Con la evidencia electrónica (imágenes deCon la evidencia electrónica (imágenes de discos y memoria, ficheros de datos ydiscos y memoria, ficheros de datos y ejecutables, etc.) la práctica consiste enejecutables, etc.) la práctica consiste en obtener “hashes” de la información en elobtener “hashes” de la información en el momento de su recolección, de forma quemomento de su recolección, de forma que se pueda comprobar en cualquier momentose pueda comprobar en cualquier momento si la evidencia ha sido modificada.si la evidencia ha sido modificada.
  • 26. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Una función de hash esUna función de hash es unauna funciónfunción para resumirpara resumir o identificaro identificar probabilísticamente unprobabilísticamente un grangran conjuntoconjunto dede información,información, Sirve para comprobar que unSirve para comprobar que un archivo no ha sido modificadoarchivo no ha sido modificado o alteradoo alterado DEMOSTRACION MD5
  • 27. Analisis de la evidencia PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Forensic toolkit2
  • 28. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe Escrito: •Informe Ejecutivo, Breve resumen con un máximo de 5 páginas entendible por personal no técnico en el que se detallaran los aspectos más importantes de la intrusión, que medidas hubieran podido evitar que esta tuviera lugar y que recomendaciones se deberían realizar tras este ataque
  • 29. PROCEDIMIENTOPROCEDIMIENTO FORENSE ENFORENSE EN INFORMATICAINFORMATICA Informe técnico, donde con una mayor extensión, se debían resumir el análisis del equipo, considerándose entre otros los siguientes aspectos: •Identificación del sistema operativo atacado •Descripción de las herramientas empleadas y de los procedimientos de obtención de la información de la máquina atacada. •Determinación del origen del ataque, vulnerabilidad empleada por el atacante, descripción de la linea de tiempos del ataque •Información detallada sobre las acciones realizadas por el atacante y las herramientas que instaló este en el equipo atacado
  • 30. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Adquisicion de datos volatiles FPORT NETSTAT IPCONFIG/ALL
  • 31. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Analisis de LOG FILES Start  Settings  Control Panel  Administrative Tools  Event Viewer
  • 32. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Copias de los archivos C:windowssystem32config AppEvent.Evt SecEvent.Evt SysEvent.Evt
  • 33. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE LOS ULTIMOS ACCESOS A FICHEROS
  • 34. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS RECOPILACION DE INFORMACION DEL SISTEMA SYSTEMINFO
  • 35. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Análisis del archivo swap METODO FILE CARVING el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos , o en el análisis de estructuras de ficheros.
  • 36. Los programas pueden ejecutarse remotamente y generar daños sin estar registrados en el disco Análisis de la memoria ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS pmdump
  • 37. Dado que Windows utiliza como referencia toda la información que se encuentra en el registro, un analista forense puede utilizar como referencia esta gran base de datos para recabar información sobre la máquina. En la base de datos de registro que se encuentra en el sistema Windows, podremos averiguar: Análisis del registro de windows ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
  • 38. Cada sección del Registro está asociada a un conjunto de archivos estándar. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS
  • 39. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS Podemos buscar información en el registro de la siguiente manera HKCUSoftwareMicrosoft WindowsCurrentVersion ExplorerComDlg32Last VisitedMRU Mantiene una lista de los archivos abiertos recientemente
  • 40. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKCUSoftwareMicroso ftWindowsCurrentVersi onExplorerRecentDocs Contiene los documentos abiertos recientemente por el explorador HKLMSYSTEMCurren tControlSetControlSe ssion ManagerMemory Management Contiene informacion del archivo pagefile.sys
  • 41. ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce Programas que se activan al startup HKCUSoftwareMicrosoftInternet ExplorerTypedURLs
  • 42. HKCUSoftwareMicrosoftI nternet ExplorerTypedURLs Contiene una lista de 25 urls recientes HKCUSoftwareGoogleNav Client1.1History Es posible investigar si un usuario utilizo una cuenta de messenger en un sistema comprometido ANALISIS FORENSE ENANALISIS FORENSE EN SISTEMAS WINDOWSSISTEMAS WINDOWS