SlideShare une entreprise Scribd logo

Analisis Forense Busca De Evidencias

Fundació CATIC
Fundació CATIC
TechnologieFormation
1  sur  22
Télécharger pour lire hors ligne
Análisis forense y herramientas Módulo 1. Entendiendo el problema
Análisis forense y herramientas La auditoría forense o informática forense Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológicas que permiten: identificar, preservar, analizar y presentar datos que sean válidos dentro de un “proceso legal”. Se persigue la búsqueda de evidencias Antonio Ramos / Jean Paúl García 2008/2009 2
Análisis forense y herramientas Dichas técnicas incluyen: • Reconstruir el bien informático. • Examinar datos residuales. • Autenticar datos. • Explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Antonio Ramos / Jean Paúl García 2008/2009 3
Análisis forense y herramientas El análisis forense informático será siempre un proceso reactivo que la organización acomete ante eventuales problemas de seguridad interna o externa. En mucha ocasiones intentando que sus resultados “objetivos” tengan un valor legal como evidencias antes un tribunal. Este proceso podrá o no podrá finalizar de este modo. Antonio Ramos / Jean Paúl García 2008/2009 4
Análisis forense y herramientas Razones por la cuales será necesario el análisis forense: Sospechas de actos no autorizados dentro de la organización. Ataques contra los sistemas informáticos de la organización. Sustracción de información sensible o confidencial de la organización. Intentar probar autorías o no autorías ante una acusación. Antonio Ramos / Jean Paúl García 2008/2009 5
Análisis forense y herramientas Se analizarán las dos principales vertientes 1. Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias. 2. Análisis forense en sistemas telemáticos orientado a la detección de actividades no autorizadas. Nota: tener en cuenta que aunque las herramientas utilizadas podrán variar de una a otra los pasos del proceso de análisis a seguir tienen la misma estructura y son requisitos de este. Antonio Ramos / Jean Paúl García 2008/2009 6
Análisis forense y herramientas Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias El proceso es el siguiente: - Identificación. - Preservación. - Recuperación y Análisis. - Presentación de resultados objetivos. - Destrucción segura del bien clonado (información). Antonio Ramos / Jean Paúl García 2008/2009 7
Análisis forense y herramientas Identificación Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para tomar la mejor decisión a la hora de la búsqueda de información. A su vez resulta crítico tener información sobre el equipo informático, posición y uso en la red a si como datos relativos a los problemas detectados que evidenciaron la necesidad de la auditoria forense. En esta etapa debe quedar claro el procedimiento a seguir en función de los datos aportados. Antonio Ramos / Jean Paúl García 2008/2009 8
Análisis forense y herramientas Preservación Este paso incluye la revisión y generación de un clonado bit a bit del dispositivo (imagen o cd ...) que vaya a ser estudiado. Es imprescindible salvaguardar la integridad de los datos realizando una comprobación del checksum del original y de la copia creada. Antonio Ramos / Jean Paúl García 2008/2009 9
Análisis forense y herramientas Se deberá trabajar en todo momento sobre la copia. Si es posible se trabajará de tal forma que no se modifique nada de la imagen creada. El original deberá guardarse y permanecer bajo custodia. Antonio Ramos / Jean Paúl García 2008/2009 10
Análisis forense y herramientas Dentro de esta etapa se pueden definir los siguientes pasos: 1. Montaje del dispositivo. 2. Obtener las particiones del dispositivo. 3. Realizar la suma de verificación (checksum) del dispositivo original objeto de la auditoria. 4. Creación de una imagen para trabajar con ella (clonado). 5. Una vez realizado el clonado se comprobará el checksum obtenido con el checksum del original. Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso antes de saltar a la siguiente etapa. Antonio Ramos / Jean Paúl García 2008/2009 11
Análisis forense y herramientas Para la realización del clonado del dispositivo objeto del análisis forense, se podrá utilizar: Software específico para la generación de clonados e imágenes. Hardware específico desarrollado para el clonado de dispositivos. Nota: Las diferencias pueden ser notables en tiempos empleados en realizar la operación, facilidad de uso y precio, aunque los resultados deben de ser los mismos. Antonio Ramos / Jean Paúl García 2008/2009 12
Análisis forense y herramientas Recuperación En este paso se utilizarán distintas herramientas diseñadas para la recuperación de datos borrados/perdidos en el dispositivo. Se recomienda el utilizar más de una herramienta de manera de asegurar con las máximas garantías la recuperación de todo dato del dispositivo que pudiera ser accedido. Antonio Ramos / Jean Paúl García 2008/2009 13
Análisis forense y herramientas Es importante el número de herramientas comerciales y de código abierto disponibles para la recuperación de datos, siempre dependerá del tipo de formato del dispositivo a auditar y del gusto del auditor. Entre ellas: EnCase (evaluada entre las mejores herramientas existentes por sus altas prestaciones). Sleunthkit con su entorno web Autopsy (Una posible alternativa de código libre a EnCase) OndataRecoverySoft. Herramientas para Webmailrecovery. Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel, etc.). Antonio Ramos / Jean Paúl García 2008/2009 14
Análisis forense y herramientas Análisis Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Antonio Ramos / Jean Paúl García 2008/2009 15
Análisis forense y herramientas Se pueden realizar búsquedas de: Cadenas de caracteres, fechas, horarios, palabras clave, etc. Acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo). Búsqueda de archivos específicos. Recuperación e identificación de correos electrónicos. Recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. Búsquedas realmente avanzadas mediante el uso de scripting si se esta auditando desde un sistema Linux como puede ser Backtrack. Todas estas operaciones se pueden realizar con comandos propios del sistema operativo GNU/Linux y están incluidas en los paquetes de software comercial. Antonio Ramos / Jean Paúl García 2008/2009 16
Análisis forense y herramientas También a la hora de hacer una auditoría forense uno de los recursos que nos va a dar información relevante y probablemente información crítica para nuestro trabajo son los ficheros de logs de los distintos sistemas operativos. En sistemas Windows estos se pueden encontrar en “c:windowssystem32config” . En sistemas *NIX los logs se pueden encontrar en “/var/log”. Nota: También se comentará la importancia de los logs generados y guardados en servidores, dispositivos, servicios y bases de datos. Antonio Ramos / Jean Paúl García 2008/2009 17
Análisis forense y herramientas Presentación Una vez obtenidas las evidencias ya sea de archivos del sistema o archivos recuperados se debe realizar un informe que cubra todo el proceso realizado explicando paso a paso lo acontecido y las pruebas encontradas así como la metodología utilizada. Antonio Ramos / Jean Paúl García 2008/2009 18
Análisis forense y herramientas Es importante que este informe no este cargado de tecnicismos y sea relativamente fácil de leer y entender por cualquier persona no especializada en informática, ya que los análisis forenses pueden terminar generando procesos judiciales en los que este informe será una pieza clave en su desarrollo. Antonio Ramos / Jean Paúl García 2008/2009 19
Análisis forense y herramientas Destrucción segura del bien clonado Será primordial si el bien clonado no va a permanecer custodiado o no es demandado por la empresa en el proceso, su correcta destrucción y certificación de esta destrucción. Antonio Ramos / Jean Paúl García 2008/2009 20
Análisis forense y herramientas Fuentes para consulta y herramientas: Helix Linux: distribución especializada en análisis forense www.e- fense.com/helix Fire Linux: http://biatchux.dmzs.com The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php Autopsy Forensics Browser. http://www.sleuthkit.org/autopsy/index.php Sysinternals web site. http://www.sysinternals.com Foundstone free forensic tools. http://www.founstone.com National Software Referente Library. http://www.nsrl.nist.gov Herramientas para manejar NTFS desde Linux. http://www.linux- ntfs.org/doku.php?id=ntfsprogs Y probablemente la URL mas importante http://www.google.com Antonio Ramos / Jean Paúl García 2008/2009 21
Análisis forense y herramientas Desarrollo práctico con los alumnos de algunas fases del proceso forense y uso de herramientas Prueba de concepto Antonio Ramos / Jean Paúl García 2008/2009 22

Recommandé

Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceii
lauramilagrosbuitronasmat
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
melida19
 
Informática forense
Informática forenseInformática forense
Informática forense
docentecis
 
Informaticaforense
InformaticaforenseInformaticaforense
Informaticaforense
lusanchezsebastian
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
Pancho Bbg
 
Auditoria Forense
Auditoria ForenseAuditoria Forense
Auditoria Forense
maricelaramirez1978
 
auditoria forense
auditoria forenseauditoria forense
auditoria forense
Fabiola Hernandez Gamez
 
Presentacion Auditoria Forense
Presentacion Auditoria ForensePresentacion Auditoria Forense
Presentacion Auditoria Forense
keniamunoz0618
 

Recommandé

Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceii
lauramilagrosbuitronasmat
 
Mely sis 0005+informatica+forense
Mely sis 0005+informatica+forenseMely sis 0005+informatica+forense
Mely sis 0005+informatica+forense
melida19
 
Informática forense
Informática forenseInformática forense
Informática forense
docentecis
 
Informaticaforense
InformaticaforenseInformaticaforense
Informaticaforense
lusanchezsebastian
 
Cómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa BbraggiCómputo forense e Ingenieria Inversa Bbraggi
Cómputo forense e Ingenieria Inversa Bbraggi
Pancho Bbg
 
Auditoria Forense
Auditoria ForenseAuditoria Forense
Auditoria Forense
maricelaramirez1978
 
auditoria forense
auditoria forenseauditoria forense
auditoria forense
Fabiola Hernandez Gamez
 
Presentacion Auditoria Forense
Presentacion Auditoria ForensePresentacion Auditoria Forense
Presentacion Auditoria Forense
keniamunoz0618
 
Auditoria forense
Auditoria forenseAuditoria forense
Auditoria forense
Jessy Hernandez Orozco
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
Roger CARHUATOCTO
 
Auditoría forense
Auditoría forenseAuditoría forense
Auditoría forense
THELALEY
 
Auditoria forrence
Auditoria forrenceAuditoria forrence
Auditoria forrence
Marquely Escorche
 
3.6 analisis de bitacoras
3.6 analisis de bitacoras3.6 analisis de bitacoras
3.6 analisis de bitacoras
Meztli Valeriano Orozco
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
Pablo Llanos Urraca
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
Chema Alonso
 
Herramientas de auditoría para evaluar el principio de materialidad en los e...
Herramientas de auditoría para evaluar el principio de materialidad en los e...Herramientas de auditoría para evaluar el principio de materialidad en los e...
Herramientas de auditoría para evaluar el principio de materialidad en los e...
Lauravictoriahurtado
 
Investigacion de auditoria forense
Investigacion de auditoria forenseInvestigacion de auditoria forense
Investigacion de auditoria forense
Sandrita33
 
Investigación
InvestigaciónInvestigación
Investigación
mbarbosao2012
 
Auditoria forense rossi
Auditoria forense rossiAuditoria forense rossi
Auditoria forense rossi
solerosse
 
Investigacion unidad 3
Investigacion unidad 3Investigacion unidad 3
Investigacion unidad 3
Daniel M. Garcia
 
UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS 2012-Inf12: Auditoría Forense UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS
 
Prevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezPrevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos Ramírez
Asociación
 
Auditoria forense para blearning
Auditoria forense para blearningAuditoria forense para blearning
Auditoria forense para blearning
trujillopuerta
 
Curso de tecnicas forenses 6012
Curso de tecnicas forenses 6012Curso de tecnicas forenses 6012
Curso de tecnicas forenses 6012
Udeo Beristain
 
Auditoría ambiental y auditoría forense
Auditoría ambiental y auditoría forenseAuditoría ambiental y auditoría forense
Auditoría ambiental y auditoría forense
JoAnGT.com
 
La auditoría-externa
La auditoría-externaLa auditoría-externa
La auditoría-externa
Alan Sanchez
 
Auditoria externa
Auditoria externaAuditoria externa
Auditoria externa
Thalia Arango Vargas
 
Curso de auditoria_financiera[1]
Curso de auditoria_financiera[1]Curso de auditoria_financiera[1]
Curso de auditoria_financiera[1]
Escuela Superior Politecnica de Chimborazo
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
josuemendivelso
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
josuemendivelso
 

Contenu connexe

En vedette

Auditoría forense
Auditoría forenseAuditoría forense
Auditoría forense
THELALEY
 
Auditoria forense rossi
Auditoria forense rossiAuditoria forense rossi
Auditoria forense rossi
solerosse
 
UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS 2012-Inf12: Auditoría Forense UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS
 
Auditoria forense para blearning
Auditoria forense para blearningAuditoria forense para blearning
Auditoria forense para blearning
trujillopuerta
 
Curso de tecnicas forenses 6012
Curso de tecnicas forenses 6012Curso de tecnicas forenses 6012
Curso de tecnicas forenses 6012
Udeo Beristain
 

En vedette (20)

Auditoria forense
Auditoria forenseAuditoria forense
Auditoria forense
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
 
Auditoría forense
Auditoría forenseAuditoría forense
Auditoría forense
 
Auditoria forrence
Auditoria forrenceAuditoria forrence
Auditoria forrence
 
3.6 analisis de bitacoras
3.6 analisis de bitacoras3.6 analisis de bitacoras
3.6 analisis de bitacoras
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
 
Herramientas de auditoría para evaluar el principio de materialidad en los e...
Herramientas de auditoría para evaluar el principio de materialidad en los e...Herramientas de auditoría para evaluar el principio de materialidad en los e...
Herramientas de auditoría para evaluar el principio de materialidad en los e...
 
Investigacion de auditoria forense
Investigacion de auditoria forenseInvestigacion de auditoria forense
Investigacion de auditoria forense
 
Investigación
InvestigaciónInvestigación
Investigación
 
Auditoria forense rossi
Auditoria forense rossiAuditoria forense rossi
Auditoria forense rossi
 
Investigacion unidad 3
Investigacion unidad 3Investigacion unidad 3
Investigacion unidad 3
 
UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS 2012-Inf12: Auditoría Forense UNEG-AS 2012-Inf12: Auditoría Forense
UNEG-AS 2012-Inf12: Auditoría Forense
 
Prevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezPrevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos Ramírez
 
Auditoria forense para blearning
Auditoria forense para blearningAuditoria forense para blearning
Auditoria forense para blearning
 
Curso de tecnicas forenses 6012
Curso de tecnicas forenses 6012Curso de tecnicas forenses 6012
Curso de tecnicas forenses 6012
 
Auditoría ambiental y auditoría forense
Auditoría ambiental y auditoría forenseAuditoría ambiental y auditoría forense
Auditoría ambiental y auditoría forense
 
La auditoría-externa
La auditoría-externaLa auditoría-externa
La auditoría-externa
 
Auditoria externa
Auditoria externaAuditoria externa
Auditoria externa
 
Curso de auditoria_financiera[1]
Curso de auditoria_financiera[1]Curso de auditoria_financiera[1]
Curso de auditoria_financiera[1]
 

Similaire à Analisis Forense Busca De Evidencias

Forense digital
Forense digitalForense digital
Forense digital
lbosquez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
carlanarro
 
Informática forense
Informática forenseInformática forense
Informática forense
000024
 

Similaire à Analisis Forense Busca De Evidencias (20)

Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
 
Computo forense
Computo forenseComputo forense
Computo forense
 
Forense digital
Forense digitalForense digital
Forense digital
 
Analisis forense
Analisis forenseAnalisis forense
Analisis forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forense Informática forense
Informática forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. Inf
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceii
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forence
Informatica forenceInformatica forence
Informatica forence
 

Plus de Fundació CATIC

Introducció a les xarxes socials cedem i
Introducció a les xarxes socials cedem iIntroducció a les xarxes socials cedem i
Introducció a les xarxes socials cedem i
Fundació CATIC
 
Introducció a les xarxes socials cedem iii
Introducció a les xarxes socials cedem iiiIntroducció a les xarxes socials cedem iii
Introducció a les xarxes socials cedem iii
Fundació CATIC
 
Introducció a les xarxes socials cedem ii
Introducció a les xarxes socials cedem iiIntroducció a les xarxes socials cedem ii
Introducció a les xarxes socials cedem ii
Fundació CATIC
 
Introducció a les xarxes socials cedem
Introducció a les xarxes socials cedemIntroducció a les xarxes socials cedem
Introducció a les xarxes socials cedem
Fundació CATIC
 
Estratègia digital internacional xarxessocials ii
Estratègia digital internacional xarxessocials iiEstratègia digital internacional xarxessocials ii
Estratègia digital internacional xarxessocials ii
Fundació CATIC
 
Estratègia digital internacional xarxessocials iv
Estratègia digital internacional xarxessocials ivEstratègia digital internacional xarxessocials iv
Estratègia digital internacional xarxessocials iv
Fundació CATIC
 
Estratègia digital internacional xarxessocials iii
Estratègia digital internacional xarxessocials iiiEstratègia digital internacional xarxessocials iii
Estratègia digital internacional xarxessocials iii
Fundació CATIC
 
Estratègia digital internacional xarxessocials i
Estratègia digital internacional xarxessocials iEstratègia digital internacional xarxessocials i
Estratègia digital internacional xarxessocials i
Fundació CATIC
 
Presentació utilitzar les xs per cercar feina
Presentació utilitzar les xs per cercar feinaPresentació utilitzar les xs per cercar feina
Presentació utilitzar les xs per cercar feina
Fundació CATIC
 
Cas d'èxit: Munich Sports
Cas d'èxit: Munich SportsCas d'èxit: Munich Sports
Cas d'èxit: Munich Sports
Fundació CATIC
 
Llibre Blanc de les Xarxes Socials
Llibre Blanc de les Xarxes SocialsLlibre Blanc de les Xarxes Socials
Llibre Blanc de les Xarxes Socials
Fundació CATIC
 

Plus de Fundació CATIC (20)

SonicWall_Protecció_Equips_Mòbils
SonicWall_Protecció_Equips_MòbilsSonicWall_Protecció_Equips_Mòbils
SonicWall_Protecció_Equips_Mòbils
 
Sonicwall_ngfw
Sonicwall_ngfwSonicwall_ngfw
Sonicwall_ngfw
 
CITRIX VDI in a Box
CITRIX VDI in a BoxCITRIX VDI in a Box
CITRIX VDI in a Box
 
Píndola twitter v3
Píndola twitter v3Píndola twitter v3
Píndola twitter v3
 
Recursos Multimèdia i eines de suport
Recursos Multimèdia i eines de suportRecursos Multimèdia i eines de suport
Recursos Multimèdia i eines de suport
 
Introducció a les xarxes socials cedem i
Introducció a les xarxes socials cedem iIntroducció a les xarxes socials cedem i
Introducció a les xarxes socials cedem i
 
Introducció a les xarxes socials cedem iii
Introducció a les xarxes socials cedem iiiIntroducció a les xarxes socials cedem iii
Introducció a les xarxes socials cedem iii
 
Introducció a les xarxes socials cedem ii
Introducció a les xarxes socials cedem iiIntroducció a les xarxes socials cedem ii
Introducció a les xarxes socials cedem ii
 
Introducció a les xarxes socials cedem
Introducció a les xarxes socials cedemIntroducció a les xarxes socials cedem
Introducció a les xarxes socials cedem
 
Estratègia digital internacional xarxessocials ii
Estratègia digital internacional xarxessocials iiEstratègia digital internacional xarxessocials ii
Estratègia digital internacional xarxessocials ii
 
Estratègia digital internacional xarxessocials iv
Estratègia digital internacional xarxessocials ivEstratègia digital internacional xarxessocials iv
Estratègia digital internacional xarxessocials iv
 
Estratègia digital internacional xarxessocials iii
Estratègia digital internacional xarxessocials iiiEstratègia digital internacional xarxessocials iii
Estratègia digital internacional xarxessocials iii
 
Estratègia digital internacional xarxessocials i
Estratègia digital internacional xarxessocials iEstratègia digital internacional xarxessocials i
Estratègia digital internacional xarxessocials i
 
Presentació utilitzar les xs per cercar feina
Presentació utilitzar les xs per cercar feinaPresentació utilitzar les xs per cercar feina
Presentació utilitzar les xs per cercar feina
 
Cas d'èxit: Munich Sports
Cas d'èxit: Munich SportsCas d'èxit: Munich Sports
Cas d'èxit: Munich Sports
 
Llibre Blanc de les Xarxes Socials
Llibre Blanc de les Xarxes SocialsLlibre Blanc de les Xarxes Socials
Llibre Blanc de les Xarxes Socials
 
Cas d'èxit: TOUS
Cas d'èxit: TOUSCas d'èxit: TOUS
Cas d'èxit: TOUS
 
Google+
Google+Google+
Google+
 
Monitorització
MonitoritzacióMonitorització
Monitorització
 
Reputació
ReputacióReputació
Reputació
 

Dernier

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Dernier (11)

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Analisis Forense Busca De Evidencias

  • 1. Análisis forense y herramientas Módulo 1. Entendiendo el problema
  • 2. Análisis forense y herramientas La auditoría forense o informática forense Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológicas que permiten: identificar, preservar, analizar y presentar datos que sean válidos dentro de un “proceso legal”. Se persigue la búsqueda de evidencias Antonio Ramos / Jean Paúl García 2008/2009 2
  • 3. Análisis forense y herramientas Dichas técnicas incluyen: • Reconstruir el bien informático. • Examinar datos residuales. • Autenticar datos. • Explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Antonio Ramos / Jean Paúl García 2008/2009 3
  • 4. Análisis forense y herramientas El análisis forense informático será siempre un proceso reactivo que la organización acomete ante eventuales problemas de seguridad interna o externa. En mucha ocasiones intentando que sus resultados “objetivos” tengan un valor legal como evidencias antes un tribunal. Este proceso podrá o no podrá finalizar de este modo. Antonio Ramos / Jean Paúl García 2008/2009 4
  • 5. Análisis forense y herramientas Razones por la cuales será necesario el análisis forense: Sospechas de actos no autorizados dentro de la organización. Ataques contra los sistemas informáticos de la organización. Sustracción de información sensible o confidencial de la organización. Intentar probar autorías o no autorías ante una acusación. Antonio Ramos / Jean Paúl García 2008/2009 5
  • 6. Análisis forense y herramientas Se analizarán las dos principales vertientes 1. Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias. 2. Análisis forense en sistemas telemáticos orientado a la detección de actividades no autorizadas. Nota: tener en cuenta que aunque las herramientas utilizadas podrán variar de una a otra los pasos del proceso de análisis a seguir tienen la misma estructura y son requisitos de este. Antonio Ramos / Jean Paúl García 2008/2009 6
  • 7. Análisis forense y herramientas Análisis forense de dispositivos de almacenamiento en búsqueda de evidencias El proceso es el siguiente: - Identificación. - Preservación. - Recuperación y Análisis. - Presentación de resultados objetivos. - Destrucción segura del bien clonado (información). Antonio Ramos / Jean Paúl García 2008/2009 7
  • 8. Análisis forense y herramientas Identificación Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para tomar la mejor decisión a la hora de la búsqueda de información. A su vez resulta crítico tener información sobre el equipo informático, posición y uso en la red a si como datos relativos a los problemas detectados que evidenciaron la necesidad de la auditoria forense. En esta etapa debe quedar claro el procedimiento a seguir en función de los datos aportados. Antonio Ramos / Jean Paúl García 2008/2009 8
  • 9. Análisis forense y herramientas Preservación Este paso incluye la revisión y generación de un clonado bit a bit del dispositivo (imagen o cd ...) que vaya a ser estudiado. Es imprescindible salvaguardar la integridad de los datos realizando una comprobación del checksum del original y de la copia creada. Antonio Ramos / Jean Paúl García 2008/2009 9
  • 10. Análisis forense y herramientas Se deberá trabajar en todo momento sobre la copia. Si es posible se trabajará de tal forma que no se modifique nada de la imagen creada. El original deberá guardarse y permanecer bajo custodia. Antonio Ramos / Jean Paúl García 2008/2009 10
  • 11. Análisis forense y herramientas Dentro de esta etapa se pueden definir los siguientes pasos: 1. Montaje del dispositivo. 2. Obtener las particiones del dispositivo. 3. Realizar la suma de verificación (checksum) del dispositivo original objeto de la auditoria. 4. Creación de una imagen para trabajar con ella (clonado). 5. Una vez realizado el clonado se comprobará el checksum obtenido con el checksum del original. Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso antes de saltar a la siguiente etapa. Antonio Ramos / Jean Paúl García 2008/2009 11
  • 12. Análisis forense y herramientas Para la realización del clonado del dispositivo objeto del análisis forense, se podrá utilizar: Software específico para la generación de clonados e imágenes. Hardware específico desarrollado para el clonado de dispositivos. Nota: Las diferencias pueden ser notables en tiempos empleados en realizar la operación, facilidad de uso y precio, aunque los resultados deben de ser los mismos. Antonio Ramos / Jean Paúl García 2008/2009 12
  • 13. Análisis forense y herramientas Recuperación En este paso se utilizarán distintas herramientas diseñadas para la recuperación de datos borrados/perdidos en el dispositivo. Se recomienda el utilizar más de una herramienta de manera de asegurar con las máximas garantías la recuperación de todo dato del dispositivo que pudiera ser accedido. Antonio Ramos / Jean Paúl García 2008/2009 13
  • 14. Análisis forense y herramientas Es importante el número de herramientas comerciales y de código abierto disponibles para la recuperación de datos, siempre dependerá del tipo de formato del dispositivo a auditar y del gusto del auditor. Entre ellas: EnCase (evaluada entre las mejores herramientas existentes por sus altas prestaciones). Sleunthkit con su entorno web Autopsy (Una posible alternativa de código libre a EnCase) OndataRecoverySoft. Herramientas para Webmailrecovery. Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel, etc.). Antonio Ramos / Jean Paúl García 2008/2009 14
  • 15. Análisis forense y herramientas Análisis Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Antonio Ramos / Jean Paúl García 2008/2009 15
  • 16. Análisis forense y herramientas Se pueden realizar búsquedas de: Cadenas de caracteres, fechas, horarios, palabras clave, etc. Acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo). Búsqueda de archivos específicos. Recuperación e identificación de correos electrónicos. Recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. Búsquedas realmente avanzadas mediante el uso de scripting si se esta auditando desde un sistema Linux como puede ser Backtrack. Todas estas operaciones se pueden realizar con comandos propios del sistema operativo GNU/Linux y están incluidas en los paquetes de software comercial. Antonio Ramos / Jean Paúl García 2008/2009 16
  • 17. Análisis forense y herramientas También a la hora de hacer una auditoría forense uno de los recursos que nos va a dar información relevante y probablemente información crítica para nuestro trabajo son los ficheros de logs de los distintos sistemas operativos. En sistemas Windows estos se pueden encontrar en “c:windowssystem32config” . En sistemas *NIX los logs se pueden encontrar en “/var/log”. Nota: También se comentará la importancia de los logs generados y guardados en servidores, dispositivos, servicios y bases de datos. Antonio Ramos / Jean Paúl García 2008/2009 17
  • 18. Análisis forense y herramientas Presentación Una vez obtenidas las evidencias ya sea de archivos del sistema o archivos recuperados se debe realizar un informe que cubra todo el proceso realizado explicando paso a paso lo acontecido y las pruebas encontradas así como la metodología utilizada. Antonio Ramos / Jean Paúl García 2008/2009 18
  • 19. Análisis forense y herramientas Es importante que este informe no este cargado de tecnicismos y sea relativamente fácil de leer y entender por cualquier persona no especializada en informática, ya que los análisis forenses pueden terminar generando procesos judiciales en los que este informe será una pieza clave en su desarrollo. Antonio Ramos / Jean Paúl García 2008/2009 19
  • 20. Análisis forense y herramientas Destrucción segura del bien clonado Será primordial si el bien clonado no va a permanecer custodiado o no es demandado por la empresa en el proceso, su correcta destrucción y certificación de esta destrucción. Antonio Ramos / Jean Paúl García 2008/2009 20
  • 21. Análisis forense y herramientas Fuentes para consulta y herramientas: Helix Linux: distribución especializada en análisis forense www.e- fense.com/helix Fire Linux: http://biatchux.dmzs.com The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php Autopsy Forensics Browser. http://www.sleuthkit.org/autopsy/index.php Sysinternals web site. http://www.sysinternals.com Foundstone free forensic tools. http://www.founstone.com National Software Referente Library. http://www.nsrl.nist.gov Herramientas para manejar NTFS desde Linux. http://www.linux- ntfs.org/doku.php?id=ntfsprogs Y probablemente la URL mas importante http://www.google.com Antonio Ramos / Jean Paúl García 2008/2009 21
  • 22. Análisis forense y herramientas Desarrollo práctico con los alumnos de algunas fases del proceso forense y uso de herramientas Prueba de concepto Antonio Ramos / Jean Paúl García 2008/2009 22