Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

PRINCIPIOS DE INFOMATICA FORENSE

La informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espacios donde es usada.
by

Andres Felipe

on 24 August 2010

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of PRINCIPIOS DE INFOMATICA FORENSE

Administracion de LOGS y eventos de
Seguridad Informatica Que es LOG? Un log es un registro oficial de eventos durante un rango de tiempo en particular PARA QUE SIRVE? Los profesionales en seguridad informática lo utilizan para registrar datos o información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo en particular o aplicación COMO ES? El formato de los logs varia dependiendo del contexto,de cada servidor
y dentro de cada servidor de la configuración del mismo. Un Ejemplo seria Y ESTO EN QUE CONTRIBUYE EN UN ANALISIS FORENSE? En procesos de análisis forense es frecuente, además de efectuar procesado masivo y completo de registros, inspeccinar logs en busca de patrones determinados y concretos. Por ejemplo, en un análisis forensico a un equipo, los logs nos pueden brindar información mediante códigos de eventos,
que nos especifican el tipo de suceso que se
origino en el equipo El "evento 624" refleja un suceso de creación de cuenta de usuario. ANTIMALWARE QUE ES MALWARE? También llamado badware, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. COMO SE CLASIFICAN? Se clasifican en a modo global en tres grupos que son: Virus informático Es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos por que no tienen esa facultad como el gusano informático, son muy nocivos. categorias Adicionan Sustituyen Appending
Prepending
Samdwich overwriting
cavity GUSANOS es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. CATEGORIAS email network instant mesaging p2p IRC exploit TROYANOS un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado. Un troyano no es un virus informático, la principal diferencia es que los troyanos no propagan la infección a otros sistemas por si mismos. CATEGORIAS Keyloggers File droppers Downloaders Do5 Backdoors Destructive Troyans HERRAMIENTAS DE ANALISIS DE MALWARE ANALISIS FISICO DEL ARCHIVO IDENTIFICACION DUMPERS
SysAnalizer Peid Stud_pe RGD Packer detector Bintext HERRAMIENTAS QUE ANALIZAN E INTERPRETAN
LOS ARCHIVOS PERO NO LOS EJECUTA Bintext Hiew EJECUCION Y MONITORIO Herramientas que permiten detectar y hacer muestros de archivos sospechosos, ejecutando los recursos. InstallRite detecta cambios permite Snopshot Process Explorer Muestra recursos en ejecucion TCP View Muestra puntos de conexion TCP Muestra conexiones remotas Ethereal/wireshork Revisa Trafico Revisa SMTP malisioso Procceas Analizer Llevar registros de procesos FileMan Muestra informacion
de ficheros en ejecucion ADQUISICION EN ENCASE es una serie de especialidades software forense productos fabricados por Guidance Software Es utilizado por muchas agencias policiales y corporaciones de todo el mundo para apoyar civil y las investigaciones penales EnCase ha sido diseñado para hacer de la calidad grabaciones forense de los datos almacenados en los ordenadores personales, y para recuperar algunos datos borrados insegura. La versión de red habilitada de EnCase es capaz de tomar instantáneas de RAM con el tiempo en un equipo de destino. Adquisición de datos Principios: Conseguir la imagen más fiel del sistema Minimizar los cambios en el sistema Documentar cada paso Colectar de lo más volátil a lo menos volátil Adherirse a las normas y políticas aplicables HACER: Bajar o Reiniciar el sistema (hasta haber colectado) No confiar en el sistema comprometido No comprometer más sistemas por proteger la evidencia!! Información a adquirir Por orden de volatilidad Registros, cache Memoria, procesos, estado del kernel Información de red Filesystem temporal Discos Información remota (logs, remote file
system) Información física (escena) Sistema offline (postmortem): Archivos temporales Swap Discos Información remota Información física Sistema online (vivo): Cache, memoria Procesos, estadísticas Actividad de red Discos, swap, archivos temporales Información física CONCEPTOS
TECNICOS consiste en la toma de muestras del mundo real (sistema analógico) para generar datos que puedan ser manipulados por un ordenador u otras electrónicas (sistema digital). Consiste, en tomar un conjunto de señales físicas, convertirlas en tensiones eléctricas y digitalizarlas de manera que se puedan procesar en una computadora o PAC. Se requiere una etapa de acondicionamiento, que adecua la señal a niveles compatibles con el elemento que hace la transformación a señal digital. El elemento que hace dicha transformación es el módulo de digitalización o tarjeta de Adquisición de Datos (DAQ). Adquisición de datos Son componentes especializados que evitan la contaminación del disco duro al interrumpir la lectura del disco lo que provocaría una alteración no deseada en los medios bloqueadores Busca evidencia de fraude, en los diferentes dispositivos que involucre el caso y permite reconstruir las acciones que se han llevado a cabo. examinador Son individuos, grupos y representaciones que comprenden y resuelven alguna situación, necesidad o problema en un contexto determinado. El investigador trabaja en el ambiente natural en que conviven las personas y las fuentes consultadas, de las que obtendrán los datos más relevantes a ser analizados. investigador Es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Perito OPERATIVOS JURIDICOS Administración de Casos son imprescindibles para manejar los sistemas judiciales de manera eficiente y efectiva. Estos sistemas contribuyen a la transparencia de las operaciones de los tribunales y por lo tanto reducen las posibilidades de que se presenten casos de corrupción, además de asegurar la rendición de cuentas. Backup de casos Son soportes de la informacion que Proveen al juez un registro completo del caso que sirva de ayuda en la toma de decisiones y el control de casos. Difundir información de estadística y de gestión así como de notificaciones, listas de fallos y otros resultados de los casos. Uso de herramientas forenses con EnCase Las dos características principales que hacen de EnCase una herramienta software única son la variedad de sistemas operativos y sistemas de archivos que admite. Para cada sistema operativo existen varios sistemas de archivos que pueden utilizarse en un equipo. El sistema operativo y el sistema de archivos son elementos distintos pero tienen una estrecha relación en cuanto a cómo almacenan la información y cómo el sistema operativo interactúa con el sistema de archivos. La capacidad de analizar con profundidad un amplio rango de sistemas operativos y sistemas de ficheros es un componente crítico en las investigaciones. EnCase tiene la capacidad de analizar todos los sistemas de archivos, para los cuales se ha desarrollado un Servlet (actualmente Windows, Linux, Solaris, AIX y OSX; está en camino el soporte de más sistemas). Además, EnCase puede interpretar otros sistemas de archivos para los cuales actualmente no existe un Servlet desarrollado. La cadena de custodia Es el procedimiento de control que se emplea para los indicios materiales afines al delito, desde su ubicación, hasta que son valorados por los diferentes funcionarios encargados de administrar justicia, y que tiene como finalidad no viciar el manejo que de ellos se haga, y así evitar la contaminación, alteración, daños, reemplazos, contaminación o destrucción. Delito informático crimen genérico o crimen electrónico, que agobia con operaciones ilícitas realizadas por medio de Internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Sin embargo, las categorías que definen un delito informático son aún mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados. Ley 1273 de 2009 - Protección de la información y de los datos “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.
Full transcript