Forence

NO HAY MAS TINIEBLAS
QUE LA IGNORANCIA
Realizado por juan esteban

QUE CONOCEMOSQUE CONOCEMOS
DEFINICIONESDEFINICIONES
PROCEDIMIENTO FORENSEPROCEDIMIENTO FORENSE
GENERALGENERAL
DESCANSODESCANSO
ANALISIS FORENSE EN ENTORNOSANALISIS FORENSE EN ENTORNOS
WINDOWSWINDOWS
HERRAMIENTAS VARIASHERRAMIENTAS VARIAS

QUE APRENDIMOS ENQUE APRENDIMOS EN
MUNDO HACKER I:MUNDO HACKER I:
FORMAS DE ATAQUE EN LA RED
SPAM SPYWARE
ADWARE
INGENIERIA SOCIAL

ANALISIS DEL RIESGOANALISIS DEL RIESGO
Proceso de identificación y evaluación del
riesgo a sufrir un ataque y perder datos,
tiempo y horas de trabajo, comparándolo
con el costo de la prevención de esta
pérdida.
Su análisis no sólo lleva a establecer un
nivel adecuado de seguridad: permite
conocer mejor el sistema que vamos a
proteger.

BB >> PP ∗∗ L ?L ?
– BB: Peso o carga que significa la: Peso o carga que significa la
prevención de una pérdida específica.prevención de una pérdida específica.
– PP: Probabilidad de ocurrencia de una: Probabilidad de ocurrencia de una
pérdida específica.pérdida específica.
– LL: Impacto total de una pérdida: Impacto total de una pérdida
específica.específica.

1. Identificación de
posibles pérdidas (L)
Identificar amenazas
3. Identificar posibles
acciones y sus
implicaciones. (B)
Seleccionar acciones a
implementar.
2. Determinar susceptibilidad.
Posibilidad de pérdida (P)

La clave de una buena recuperación en caso de
fallo es una preparación adecuada. Por
recuperación entendemos tanto la capacidad de
seguir trabajando en un plazo mínimo después de
que se haya producido el problema, como la
posibilidad de volver a la situación anterior
habiendo reemplazado o recuperado el máximo de
los recursos y de la información.
PLAN DEPLAN DE
CONTINGENCIACONTINGENCIA

Y SI TODO FALLAY SI TODO FALLA
QUE?...QUE?...

“Forensic Computing is the
process of identifying, preserving,
analyzing and presenting digital
evidence in a manner that is legally
acceptable” (Rodney McKemmish
1999)
INFORMATICAINFORMATICA
FORENSEFORENSE

FORENSEFORENSE

FORENSEFORENSE
Evidencia digital:
Es un tipo de evidencia física.
Esta construida de campos
magnéticos y pulsos electrónicos
que pueden ser recolectados y
analizados con herramientas y
técnicas especiales.

FORENSEFORENSE
Ventajas de la evidencia digital
Puede ser duplicada de manera exacta y copiada
tal como si fuese el original.
Con herramientas adecuadas es relativamente
fácil identificar si la evidencia ha sido alterada,
comparada con la original.
Aún si es borrada, es posible, en la mayoría de los
casos, recuperar la información.
Cuando los criminales o sospechosos tratan de
destruir la evidencia, existen copias que
permanecen en otros sitios

FORENSEFORENSE
Objetivos
1.Investigación en Procesamiento
judicial
2.ámbito organizacional
3.Errores, fallas, pérdidas de
datos
4.Medidas preventivas

FORENSEFORENSE
Incidente de Seguridad Informática
puede considerarse como una violación
o intento de violación de la política de
seguridad, de la política de uso ade-
cuado o de las buenas prácticas de
utilización de los sistemas
informáticos.

FORENSEFORENSE
Incidentes de Denegación de Servicios
(DoS):
Incidentes de código malicioso:
Incidentes de acceso no autorizado:
Incidentes por uso inapropiado:
Incidente múltiple:

PROCEDIMIENTOPROCEDIMIENTO
FORENSE ENFORENSE EN
Identificación y Descripción

Recolección de evidencia

SACARSACAR IMÁGENES DE DISCOSIMÁGENES DE DISCOS
• Imágenes de un sistema “vivo”Imágenes de un sistema “vivo”
–– Uso de "Uso de "dd" y "netcatdd" y "netcat" para enviar una copia" para enviar una copia
bit-a-bit a un sistema remotobit-a-bit a un sistema remoto
•• Tanto Windows como Unix/LinuxTanto Windows como Unix/Linux
–– Para Windows puede ser más cómodo usarPara Windows puede ser más cómodo usar
HELIXHELIX
•• http://www.e-fense.com/helix/http://www.e-fense.com/helix/
•• Permite realizar imagen de la memoria físicaPermite realizar imagen de la memoria física
–– Una vez realizada la imagen se computa unUna vez realizada la imagen se computa un
hash MD5 y SHA-1hash MD5 y SHA-1

IFORMATICAIFORMATICA
Imágenes de un sistema apagadoImágenes de un sistema apagado
• Extraer disco duroExtraer disco duro
• Conecta el disco a la workstation de análisis forenseConecta el disco a la workstation de análisis forense
•• es recomendable que sea Linux (permite montar loses recomendable que sea Linux (permite montar los
discosdiscos
manualmente y en modo "read-only")manualmente y en modo "read-only")
• Realiza copia con "dd"Realiza copia con "dd"
•• la imagen se puede guardar en discos externosla imagen se puede guardar en discos externos
Firewire/USB,Firewire/USB,
almacenamiento SAN, etcalmacenamiento SAN, etc
• Por supuesto, hashes MD5 y SHA-1 de original y copiaPor supuesto, hashes MD5 y SHA-1 de original y copia
para garantizar integridadpara garantizar integridad

IFORMATICAIFORMATICA

Cadena de Custodia
Cadena de Custodia
““LaLa cadena de custodiacadena de custodia
documenta el procesodocumenta el proceso
completo de las evidenciascompleto de las evidencias
durante la vida del caso, quiéndurante la vida del caso, quién
la recogió y donde, como lala recogió y donde, como la
almacenó, quien la procesó,almacenó, quien la procesó,
etc.etc.

Con la evidencia electrónica (imágenes deCon la evidencia electrónica (imágenes de
discos y memoria, ficheros de datos ydiscos y memoria, ficheros de datos y
ejecutables, etc.) la práctica consiste enejecutables, etc.) la práctica consiste en
obtener “hashes” de la información en elobtener “hashes” de la información en el
momento de su recolección, de forma quemomento de su recolección, de forma que
se pueda comprobar en cualquier momentose pueda comprobar en cualquier momento
si la evidencia ha sido modificada.si la evidencia ha sido modificada.

Una función de hash esUna función de hash es
unauna funciónfunción para resumirpara resumir
o identificaro identificar
probabilísticamente unprobabilísticamente un
grangran conjuntoconjunto dede
información,información,
Sirve para comprobar que unSirve para comprobar que un
archivo no ha sido modificadoarchivo no ha sido modificado
o alteradoo alterado
DEMOSTRACION MD5

Analisis de la evidencia
Forensic toolkit2

Informe Escrito:
•Informe Ejecutivo, Breve resumen con un máximo de
5 páginas entendible por personal no técnico en el que
se detallaran los aspectos más importantes de la
intrusión, que medidas hubieran podido evitar que
esta tuviera lugar y que recomendaciones se deberían
realizar tras este ataque

Informe técnico, donde con una mayor extensión, se
debían resumir el análisis del equipo, considerándose entre
otros los siguientes aspectos:
•Identificación del sistema operativo atacado
•Descripción de las herramientas empleadas y de los
procedimientos de obtención de la información de la máquina
atacada.
•Determinación del origen del ataque, vulnerabilidad
empleada por el atacante, descripción de la linea de tiempos
del ataque
•Información detallada sobre las acciones realizadas por el
atacante y las herramientas que instaló este en el equipo
atacado

ANALISIS FORENSE ENANALISIS FORENSE EN
SISTEMAS WINDOWSSISTEMAS WINDOWS
Adquisicion de datos volatiles
FPORT
NETSTAT
IPCONFIG/ALL

Analisis de LOG FILES
Start  Settings 
Control Panel 
Administrative Tools
 Event Viewer

Copias de los
archivos
C:windowssystem32config
AppEvent.Evt
SecEvent.Evt
SysEvent.Evt

RECOPILACION DE LOS ULTIMOS ACCESOS A FICHEROS

RECOPILACION DE INFORMACION DEL SISTEMA
SYSTEMINFO

Análisis del archivo
swap
METODO FILE CARVING
el file carving es el proceso cuya
misión es recuperar ficheros en un
escenario forense basando el
análisis en contenidos , o en el
análisis de estructuras de ficheros.

Los programas pueden
ejecutarse remotamente y
generar daños sin estar
registrados en el disco
Análisis de la
memoria
pmdump

Dado que Windows utiliza como referencia
toda la información que se encuentra en el
registro, un analista forense puede utilizar
como referencia esta gran base de datos
para recabar información sobre la
máquina. En la base de datos de registro
que se encuentra en el sistema Windows,
podremos averiguar:
Análisis del
registro de
windows

Cada sección del Registro está asociada a
un conjunto de archivos estándar.

Podemos buscar información en el registro
de la siguiente manera
HKCUSoftwareMicrosoft
WindowsCurrentVersion
ExplorerComDlg32Last
VisitedMRU
Mantiene una lista de
los archivos abiertos
recientemente

HKCUSoftwareMicroso
ftWindowsCurrentVersi
onExplorerRecentDocs
Contiene los
documentos abiertos
recientemente por el
explorador
HKLMSYSTEMCurren
tControlSetControlSe
ssion ManagerMemory
Management
Contiene informacion
del archivo pagefile.sys

HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices
HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce
Programas que se
activan al startup
HKCUSoftwareMicrosoftInternet
ExplorerTypedURLs

HKCUSoftwareMicrosoftI
nternet
ExplorerTypedURLs
Contiene una lista de
25 urls recientes
HKCUSoftwareGoogleNav
Client1.1History
Es posible investigar si
un usuario utilizo una
cuenta de messenger
en un sistema
comprometido

Forence

Más contenido relacionado

Destacado

Similar a Forence

Forence