Analisis Forense Busca De Evidencias

Análisis forense y herramientas

Módulo 1. Entendiendo el problema

La auditoría forense o informática forense

Es la aplicación de técnicas científicas y
analíticas especializadas a infraestructura
tecnológicas que permiten: identificar,
preservar, analizar y presentar datos que sean
válidos dentro de un “proceso legal”.

Se persigue la búsqueda de evidencias

Antonio Ramos / Jean Paúl García
2008/2009 2

Dichas técnicas incluyen:

• Reconstruir el bien informático.
• Examinar datos residuales.
• Autenticar datos.
• Explicar las características técnicas del
uso aplicado a los datos y bienes
informáticos.
2008/2009 3

El análisis forense informático será siempre
un proceso reactivo que la organización
acomete ante eventuales problemas de
seguridad interna o externa.

En mucha ocasiones intentando que sus resultados
“objetivos” tengan un valor legal como evidencias
antes un tribunal.
Este proceso podrá o no podrá finalizar de este modo.

2008/2009 4

Razones por la cuales será necesario el
análisis forense:

Sospechas de actos no autorizados dentro de la
organización.
Ataques contra los sistemas informáticos de la
organización.
Sustracción de información sensible o confidencial de
la organización.
Intentar probar autorías o no autorías ante una
acusación.

2008/2009 5

Se analizarán las dos principales vertientes
1. Análisis forense de dispositivos de
almacenamiento en búsqueda de
evidencias.
2. Análisis forense en sistemas telemáticos
orientado a la detección de actividades
no autorizadas.
Nota: tener en cuenta que aunque las herramientas utilizadas
podrán variar de una a otra los pasos del proceso de análisis a
seguir tienen la misma estructura y son requisitos de este.

2008/2009 6

Análisis forense de dispositivos de almacenamiento en
búsqueda de evidencias
El proceso es el siguiente:

- Identificación.
- Preservación.
- Recuperación y Análisis.
- Presentación de resultados objetivos.
- Destrucción segura del bien clonado (información).

2008/2009 7

Identificación
Es muy importante conocer los antecedentes,
situación actual y el proceso que se quiere
seguir para tomar la mejor decisión a la hora de
la búsqueda de información.
A su vez resulta crítico tener información sobre el
equipo informático, posición y uso en la red a si
como datos relativos a los problemas detectados
que evidenciaron la necesidad de la auditoria
forense.
En esta etapa debe quedar claro el procedimiento
a seguir en función de los datos aportados.
2008/2009 8

Preservación
Este paso incluye la revisión y generación de un
clonado bit a bit del dispositivo (imagen o cd
...) que vaya a ser estudiado.

Es imprescindible salvaguardar la integridad de
los datos realizando una comprobación del
checksum del original y de la copia creada.

2008/2009 9

Se deberá trabajar en todo momento sobre la
copia.

Si es posible se trabajará de tal forma que no se
modifique nada de la imagen creada.

El original deberá guardarse y permanecer bajo
custodia.

2008/2009 10

Dentro de esta etapa se pueden definir los
siguientes pasos:
1. Montaje del dispositivo.
2. Obtener las particiones del dispositivo.
3. Realizar la suma de verificación (checksum)
del dispositivo original objeto de la auditoria.
4. Creación de una imagen para trabajar con ella
(clonado).
5. Una vez realizado el clonado se comprobará el
checksum obtenido con el checksum del
original.
Nota: Si en el paso 5 no coinciden los checksum se debe repetir el proceso
antes de saltar a la siguiente etapa.
2008/2009 11

Para la realización del clonado del
dispositivo objeto del análisis forense, se
podrá utilizar:
Software específico para la generación de clonados e
imágenes.
Hardware específico desarrollado para el clonado de
dispositivos.

Nota: Las diferencias pueden ser notables en tiempos empleados
en realizar la operación, facilidad de uso y precio, aunque los
resultados deben de ser los mismos.

2008/2009 12

Recuperación
En este paso se utilizarán distintas herramientas
diseñadas para la recuperación de datos
borrados/perdidos en el dispositivo.

Se recomienda el utilizar más de una herramienta de
manera de asegurar con las máximas garantías la
recuperación de todo dato del dispositivo que
pudiera ser accedido.

2008/2009 13

Es importante el número de herramientas
comerciales y de código abierto disponibles
para la recuperación de datos, siempre
dependerá del tipo de formato del dispositivo a
auditar y del gusto del auditor.
Entre ellas:
EnCase (evaluada entre las mejores herramientas existentes por sus altas
prestaciones).
Sleunthkit con su entorno web Autopsy (Una posible alternativa de
código libre a EnCase)
OndataRecoverySoft.
Herramientas para Webmailrecovery.
Distintos comandos o kits de herramientas Linux (ntfsundelete, e2undel,
etc.).
2008/2009 14

Análisis
Proceso de aplicar técnicas científicas y analíticas
a los medios duplicados por medio del proceso
forense para poder encontrar pruebas de ciertas
conductas.

2008/2009 15

Se pueden realizar búsquedas de:

Cadenas de caracteres, fechas, horarios, palabras clave, etc.
Acciones específicas del o de los usuarios de la máquina como son el
uso de dispositivos de USB (marca, modelo).
Búsqueda de archivos específicos.
Recuperación e identificación de correos electrónicos.
Recuperación de los últimos sitios visitados, recuperación del caché del
navegador de Internet, etc.
Búsquedas realmente avanzadas mediante el uso de scripting si se esta
auditando desde un sistema Linux como puede ser Backtrack.

Todas estas operaciones se pueden realizar con comandos
propios del sistema operativo GNU/Linux y están
incluidas en los paquetes de software comercial.
2008/2009 16

También a la hora de hacer una auditoría forense
uno de los recursos que nos va a dar
información relevante y probablemente
información crítica para nuestro trabajo son los
ficheros de logs de los distintos sistemas
operativos.
En sistemas Windows estos se pueden encontrar en
“c:windowssystem32config” .
En sistemas *NIX los logs se pueden encontrar en “/var/log”.

Nota: También se comentará la importancia de los logs generados y
guardados en servidores, dispositivos, servicios y bases de datos.

2008/2009 17

Presentación
Una vez obtenidas las evidencias ya sea de
archivos del sistema o archivos recuperados se
debe realizar un informe que cubra todo el
proceso realizado explicando paso a paso lo
acontecido y las pruebas encontradas así como
la metodología utilizada.

2008/2009 18


Es importante que este informe no este cargado
de tecnicismos y sea relativamente fácil de
leer y entender por cualquier persona no
especializada en informática, ya que los
análisis forenses pueden terminar generando
procesos judiciales en los que este informe
será una pieza clave en su desarrollo.

2008/2009 19


Destrucción segura del bien clonado

Será primordial si el bien clonado no va a
permanecer custodiado o no es demandado
por la empresa en el proceso, su correcta
destrucción y certificación de esta
destrucción.

2008/2009 20

Fuentes para consulta y herramientas:
Helix Linux: distribución especializada en análisis forense www.e-
fense.com/helix
Fire Linux: http://biatchux.dmzs.com
The Sleuth Kit. http://www.sleuthkit.org/sleuthkit/index.php
Autopsy Forensics Browser.
http://www.sleuthkit.org/autopsy/index.php
Sysinternals web site. http://www.sysinternals.com
Foundstone free forensic tools. http://www.founstone.com
National Software Referente Library. http://www.nsrl.nist.gov
Herramientas para manejar NTFS desde Linux. http://www.linux-
ntfs.org/doku.php?id=ntfsprogs
Y probablemente la URL mas importante http://www.google.com

2008/2009 21


Desarrollo práctico con los alumnos de algunas
fases del proceso forense y uso de herramientas

Prueba de concepto

2008/2009 22

Analisis Forense Busca De Evidencias

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Analisis Forense Busca De Evidencias

Similar a Analisis Forense Busca De Evidencias (20)

Más de Fundació CATIC

Más de Fundació CATIC (20)

Último

Último (20)

Analisis Forense Busca De Evidencias