AI05 Analisis forense de sistemas

AI05 ANÁLISIS FORENSE DE SISTEMAS
AI.05 1
ANÁLISIS FORENSE
DE SISTEMAS
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM

AI.05 2
Índice
1. Introducción
2. ISO/IEC 27037
3. Recolección de datos
4. Análisis de evidencias
5. Respuesta a incidentes
6. Bibliografía

AI.05 3
1 Introducción – Análisis Forense
Análisis Forense: se trata de saber quién, cuándo,
dónde, cómo y por qué se produjo un incidente de
seguridad
Análisis Forense: proceso para identificar, analizar y
presentar evidencias digitales, de modo y forma
que sean aceptadas en un tribunal
Análisis Forense: proceso interactivo que parte de
una hipótesis y una línea temporal (fecha y hora
aproximada del incidente) y que evoluciona según se
van constatando evidencias

AI.05 4
1 Introducción – Análisis Forense
Características del análisis forense
 Documentado
 Reproducible
 Resultados verificables
 Independiente
 Del investigador
 De las herramientas empleadas
 De la metodología

AI.05 5
1 Introducción – Evidencia digital
Evidencia digital
Cualquier información contrastable del sistema
Información de valor probatorio: que prueba o ayuda
a probar algo relevante en relación con el sistema
Las evidencias tienen que ser recogidas según
procedimientos formales y por personal autorizado
para poder establecer su fiabilidad y respetando el
derecho a la intimidad
La evidencia tiene que ser autentificada por un
testigo que de fe de que es original para ser admitida
en un juicio

AI.05 6
Evidencia digital
Hay que garantizar su integridad mediante métodos
formales al recoger, almacenar, analizar y presentar
Mantener la cadena de custodia garantizando la
confidencialidad, autenticidad e integridad
Si la evidencia va a ser presentada en un juicio:
 Etiquetar evidencias y obtener hash MD5 o SHA1/2
 Registro de accesos ASPEI - RUBRIKA

AI.05 7
Perito informático
Al no ser la evidencia auto-explicativas es necesario la
presencia de un experto (perito informático forense)
RAE Perito:
1. Entendido, experimentado, hábil, práctico en una
ciencia o arte.
3. Persona que, poseyendo determinados
conocimientos científicos, artísticos, técnicos o
prácticos, informa, bajo juramento, al juzgador
sobre puntos litigiosos en cuanto se relacionan con su
especial saber o experiencia.

AI.05 8
1 Introducción – Legislación aplicable
Suprancional
 Carta de Derechos Humanos
 Convención Europea sobre Protección de los
Individuos respecto al Tratamiento Automatizado de
Datos Personales
Unión europea
 Directiva 95/46EC sobre Protección de los
Individuos respecto al Tratamiento Automatizado de
Datos Personales y movimiento de dichos datos
 Directiva 97/66EC sobre Procesamiento de Datos
Personales y Protección de la Privacidad en el
Sector de las Telecomunicaciones

AI.05 9
1 Introducción – Legislación aplicable: delitos
 Contra el derecho a la intimidad: difusión de datos
 Propiedad intelectual por derechos de autor
 Falsedades: moneda o tarjetas de crédito
 Sabotajes informáticos
 Fraudes informáticos con fines de lucro ilícito
 Amenazas, calumnias o injurias realizadas por
medios informáticos o de comunicación
 Pornografía infantil: posesión, distribución o
exhibición en soportes informáticos o telemáticos

AI.05 10
1 Introducción – Actuaciones Peritaje

AI.05 11
1 Introducción – Proceso Análisis Forense
Evaluar Adquirir Analizar Informar
Preservar y documentar la evidencia

AI.05 12
EVALUAR
Decretar
• Notificar
• Autorización
Revisar
• Políticas
• Legislación
Equipo
Auditor
Evaluación
Inicial
Planificar
adquisición

AI.05 13
ADQUIRIR
Investigación
Recopilar
datos
Almacenar Archivar

AI.05 14
ANALIZAR
Red Ordenadores Almacenamiento

AI.05 15
INFORMAR
Recopilar Organizar Redactar Comunicar

AI.05 16
Índice
1. Introducción
2.ISO/IEC 27037
6. Bibliografía

AI.05 17
2 ISO/IEC 27037
Identificación Recolección
Adquisición Preservación
Directrices

AI.05 18
2 ISO/IEC 27037
ISO/IEC 27042
Analizar Interpretar

AI.05 19
2 ISO/IEC 27037
Principios que gobiernan la evidencia digital
1. Relevancia
 Pertinente a la situación que se analiza
2. Confiabilidad
 Repetibilidad
 Auditabilidad
3. Suficiencia
 Sustentar los hallazgos
 Verificar las afirmaciones

AI.05 20
2 ISO/IEC 27037
Relevancia
¿La evidencia que se aporta vincula al sujeto
con la escena del crimen y la víctima?
¿La evidencia prueba algunas hipótesis
concreta que se tiene del caso en estudio?
¿La evidencia recolectada valida un indicio
clave que permita esclarecer los hechos en
estudio?

AI.05 21
2 ISO/IEC 27037
Confiabilidad
¿Los procedimientos efectuados sobre los
dispositivos tecnológicos han sido previamente
probados?
¿Se conoce la tasa de error de las
herramientas forenses informáticas utilizadas?
¿Se han efectuado auditorias sobre la eficacia
y eficiencia de los procedimientos y
herramientas utilizadas para adelantar el
análisis forense informático?

AI.05 22
2 ISO/IEC 27037
Suficiencia
¿Se ha priorizado toda la evidencia
recolectada en el desarrollo del caso, basado
en su apoyo a las situaciones que se deben
probar?
¿Se han analizado todos los elementos
informáticos identificados en la escena del
crimen?
¿Se tiene certeza que no se ha eliminado o
sobreescrito evidencia digital en los medios
analizados?

AI.05 23
2 ISO/IEC 27037
Roles o actores
Digital Evidence First Responder (DEFR)
Autorizado, formado y habilitado para actuar
en la escena de un incidente, y así evaluar el
escenario y adquirir las evidencias digitales
con las debidas garantías
Digital Evidence Specialist (DES)
Perito digital
Adquirir y analizar evidencias digitales

AI.05 24
Índice
1. Introducción
2. ISO/IEC 27037
3.Recolección de datos
6. Bibliografía

AI.05 25
3 Recolección de datos
Principio de intercambio de Locard
Cuando dos objetos entran en contacto siempre
transfieren material que incorporan al otro
Escena del
crimen
VíctimaSospechoso
Evidencia

AI.05 26
Principio de intercambio de Locard (Digital)
Escena del
crimen
VíctimaSospechoso
Evidencia
Alertas de equipos
de monitorización
Trazas de
conexiones
Contienen ficheros
con el mismo hash
Histórico de
últimas conexiones

AI.05 27
Principio de indeterminación de Heisenberg
Teoría cuántica
Es imposible conocer
simultáneamente la posición y
velocidad del electrón, y por tanto,
es imposible determinar su
trayectoria.
Cuanto mayor sea la exactitud con
la que se conozca la posición,
mayor será el error de velocidad, y
viceversa, …

AI.05 28
Principio de indeterminación de Heisenberg
 No se puede obtener el estado de un sistema sin
alterarlo
 El mero hecho de medir altera la magnitud medida
 Tratar de obtener la mayor información posible con
el mínimo impacto
 Normalmente el administrador detecta el incidente
 Cambio de contraseñas
 Reinicio, actualización o instalación
 La mayor parte de las veces sin éxito
 Preguntar y anotar todo lo realizado por el
administrador

AI.05 29
Clasificación de evidencias
 Registros CPU
 Memoria caché
 Memoria interna
 Módulos S.O.
 Controladores de dispositivos
 Programas en ejecución
 Conexiones activas
 Memoria externa
 Discos
 Soportes regrabables
 Soportes no regrabables VOLATILIDAD

AI.05 30
Evidencia digital volátil
 Último arranque del sistema
 El histórico de comandos
 Procesos en ejecución
 Información del portapapeles («clipboard»)
 Usuarios conectados local o remótamente
 Conexiones abiertas y puertos
 Información de rutas
 Etc.

AI.05 31
Evidencia digital persistente
 Metadatos (Prácticas con FOCA y Office)
 Ficheros modificados o accedidos
 Recuperar ficheros borrados (papelera reciclaje,
sectores no reutilizados de ficheros borrados)
 Entradas en logs del sistema (histórico accesos)
 Ficheros temporales (Ej. cookies de navegación)
 Caché del navegador y URL recientes
 Registro de windows
 Correos enviados, recibidos o borrados
 Ficheros ocultos
 Ejecutables camuflados
 Usuarios y grupos de reciente creación

AI.05 32
Duplicado forense
 Es una copia exacta bit a bit o byte a byte de toda
la información fuente.
 Puede almacenarse de una forma diferente, en
forma comprimida.
 Se obtienen hash y se etiquetan como evidencia.
 El análisis forense se hace sobre la copia y así se
preserva el original.
 Herramientas hardware para copia física.

AI.05 33
Duplicado forense – Área memoria proceso
 PMDUMP: área de memoria de un proceso
 Práctica de análisis
 EnCase Imager. Copia:
 Unidades de disco.
 Memoria RAM completa
 Áreas de memoria de un proceso.
 DD (Unix y Linux) y windd (Windows)

AI.05 34
3 Recolección de datos volátiles
 Respuesta inicial ante un incidente con el objetivo
de recoger datos que se pueden perder
 Realizar pocas operaciones (Locard) antes de
decidir si se realiza un duplicado forense
 Herramientas:
 Sysinternals (Descargar de microsoft)
 Foundstone
 Errores habituales
 Apagar o reiniciar el sistema
 Suponer que el sistema es seguro
 No documentar el proceso de recogida de datos
 Documentar el proceso

AI.05 35
3 Recolección de datos volátiles Windows
 Tener preparado un sistema de confianza con los
comandos del sistema y utilidades necesarias
«sysinternals» (Ej. USB boot)
1. Consola (CMD.exe) de confianza
2. Fecha y hora
 Date /t > Evidencias_Volatiles.txt (E_V)
 Time /t >> E_V
3. Obtener una relación de todos los ficheros con las
fechas de:
 Último acceso dir /t:a/a/s/o:d >> E_V
 Modificación dir /t:w/a/s/o:d >> E_V
 Creación dir /t:c/a/s/o:d >> E_V

AI.05 36
4. Relación de usuarios conectados al sistema
 Psloggedon >> E_V
5. Puertos abiertos netstat –an >> E_V
6. Tabla de rutas netstat –r >> E_V
7. Procesos en ejecución
 Pslist >> E_V
8. Tabla conversión IP a MAC
 arp –a >> E_V
9. Fecha y hora fin recogida información
 Date /t >> E_V
 Time /t >> E_V
10.Histórico de comandos utilizados
 Doskey /history >> E_V

AI.05 37
Recolección especial si:
 No se hace duplicado forense
 No se puede apagar el servidor
1. Política de auditoría auditpol /get /category:*
2. Conexiones de usuarios Ntlast (McAffee)
3. Exportar el registro para un análisis posterior
 Reg export clave/subclave fichero
 DumpReg
4. SAM y «crack» de contraseñas
 Pwdump3
 John de Ripper
5. Dump de RAM: userdump, pmdump, dd,
EndCase Imager, Adplus, etc

AI.05 38
3 Recolección de datos de tráfico de red
Monitorizar conexiones: tcptrace
Monitorización total:
 WinDump (tcpdump)
 WinTcap
 Network Monitor
 WireShark
Privacidad de los datos escaneados
Analizar salida del sniffer
 IP origen o destino sospechosas
 Puerto destino sospechoso: no válido
 Tráfico de usuario o automático

AI.05 39
3 Recolección de datos persistentes
Ubicación de datos persistentes
 Discos duros
 Memorias flash
 Smartphones
 PDA
 Documentos (DOC, PDF, correos, borrados, etc)
 Problema: se puede alterar la evidencia sólo con
hacer la búsqueda
 Requisito: conocer la estructura de los sistemas de
ficheros a analizar o dónde se encuentran las
evidencias: FAT, NTFS, Ext2/3 (Linux)

AI.05 40
Índice
1. Introducción
2. ISO/IEC 27037
4.Análisis de evidencias
6. Bibliografía

AI.05 41
4 Análisis de evidencias
Prácticas con PMDUMP
Prácticas con Foca
Prácticas con Auto-Spy
Prácticas con Nitroba
Otras herramientas

AI.05 42
Duplicado forense
Área memoria proceso - Práctica
 wwww.securitytube.net - Práctica con PMDUMP
 PMDUMP Adquirir datos de memoria RAM
 -list Lista de procesos en ejecución
 PID fichero: volcado del área de memoria
 Práctica
 Descargar PMDUMP www.ntsecurity.nu
 Descargar programa ejemplo: mempass.exe
 Ejecutar mempass, contraseña y espera
 Copia área memoria de mempass con pmdump
 Strings Extrae cadenas ascii del volcado de
memoria de mempass hecho con pmdump

AI.05 43
Metadatos52 (Prácticas con FOCA y Office)
Descargar e instalar versión de prueba de «Forensic
FOCA» desde www.elevenpaths.com
Descargar desde el CV ZIP con DOC y PDF ejemplo
Localizar en el programa Word la utilidad
«Comprobar problemas – Inspeccionar documento»
Analizar y comparar los resultados de FOCA y WORD
de los ficheros ejemplo
Buscar en web públicas ficheros y analizarlos

AI.05 44
Índice
1. Introducción
2. ISO/IEC 27037
5.Respuesta a incidentes
6. Bibliografía

AI.05 45
5 Respuesta a incidentes
ISO/IEC 27002
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD
DE INFORMACIÓN
13.1 Reportando eventos y debilidades de la
seguridad de información
OBJETIVO: Asegurar que los eventos y
debilidades en la seguridad de información
asociados con los sistemas de información sean
comunicados de una manera que permita que se
realice una acción correctiva a tiempo.

AI.05 46
5 Respuesta a incidentes
ISO/IEC 27002
13.2 Gestión de las mejoras e incidentes en la
seguridad de información
OBJETIVO: Asegurar un alcance consistente y
efectivo aplicado a la gestión de incidentes en la
seguridad de información. Las responsabilidades
y procedimientos deben establecerse para
maniobrar los eventos y debilidades en la
seguridad de información de una manera efectiva
una vez que hayan sido reportados. Donde se
requiera evidencia, esta debe ser recolectada
para asegurar el cumplimiento de los requisitos
legales.

AI.05 47
5 Bibliografía
www.aspei.es www.sleuthkit.org
www.elevenpaths.com
www.securitytube.net
technet.microsoft.com/es-es/sysinternals
www.foundstone.com/
articulos.softonic.com/informatica-forense

AI.05 48
Dudas, preguntas y reflexiones
MUCHAS GRACIAS
?

AI05 Analisis forense de sistemas

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (17)

Similar a AI05 Analisis forense de sistemas

Similar a AI05 Analisis forense de sistemas (20)

Más de Pedro Garcia Repetto

Más de Pedro Garcia Repetto (10)

Último

Último (20)

AI05 Analisis forense de sistemas