Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

INFORMATICA FORENSE PRIMEROS PASOS

No description
by

Leonardo Emmanuel González

on 2 November 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of INFORMATICA FORENSE PRIMEROS PASOS

RESPUESTA A INCEDENTES
Para hacer frente a los incidentes de manera inmediata, se suele contar con el apoyo de los CSIRT (Computer Security Incident Response Team o Equipo de Respuesta a Incidentes de Seguridad). Es común pensar en ellos como CERT (Computer Emergency Reponse Team), pero el nombre CERT esta registrado en la oficina de marcas y patentes de los EE.UU. y las organizaciones que quieran usar CERT en su nombre deben requerir permiso.
En palabras de la gente de ArCERT (CSIRT gubernamental argentino), un CSIRT es una organización responsable de recibir, revisar a informes y actividades sobre incidente de seguridad. Normalmente prestan servicio en un área delimitada, como puede ser un organismo relacionado, una empresa, un organismo de gobierno institución educativa. También pueden abarcar una región específica, provincia o país, o bien ser un servicio prestado a un cliente.
Así mismo existen ArCERT y muchos otro países tienen su CERT.

TAREAS TIPICAS
Alguna habilidades básicas que requiere la informática forense son las relaciones con el origen de un correo electrónico, determinación de propietarios de dominios web, pruebas de violación de derechos de autor, recuperación de archivos borrados y claves de acceso, y demostración de acciones en una red por medio de logs de auditoria.

DELITOS INFORMATICOS
Aunque no hay una definición formal y a la ves universal del delito informático, se han definido algunos conceptos que responden a realidades concretas. A partir de 1983, la OCDE (Organización de Cooperación y Desarrollo Económico) Estudio la necesidad de crear leyes penales de aplicación al plano internacional para combatir el uso inapropiado del software. La OCDE definió delitos informáticos como: cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático y/o transmisiones de datos. La ONU (Organización de la Naciones Unidas, por su parte definió tres tipos de delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras: sustracción de datos, manipulación de programas y de datos de salida y manipulación informática de pequeños datos en interacciones automáticas.
2. Manipulación de los datos de entrada: como objeto o como instrumento.
3. Daño o modificación de programas o datos: sabotaje informático, acceso no autorizado a servicios y sistemas, y reproducción ilegal de programas.

PRIMEROS PASOS EN INFORMATICA FORENSE
En un texto de origen australiano de 1998, Rodney McKennish define informática forense como la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia. El FBI, por su parte, la define como la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio informático. Ambas definiciones comparten conceptos, pero a su vez pueden completarse. Uno de los principales objetivos del análisis forense informático es obtener EVIDENCIAS que permitan llegar a conclusiones sin dar lugar a la duda razonable.
El FBI ha contribuido históricamente en la teoría, metodologías y definiciones conceptuales para la Informática Forense.
LOS INCIDENTES
Cada empresa u organización deberá definir explícitamente que es un incidente de seguridad. Algún ejemplo podría ser: cualquier evento negativo, ya sea real o por sospecha relativo a la seguridad de los sistemas informáticos o redes, o bien el hecho de violar implícita o explícitamente una política de seguridad.

www.first.org es un foro internacional de equipos de seguridad y respuesta a incidentes, establecido en 1990, que interconecta equipos de organizaciones gubernamentales, comerciales y académicas.
CADENA DE CUSTODIA

Llamamos cadena de custodia al procedimiento cuyo objetivo es preservar la evidencia reunida en función de su naturaleza durante todas las fases de la investigación, para garantizar que sea autentica a los fines del proceso y de la ley.
Para esto, debe realizarse primero un correcto etiquetado, luego la persona que recibe la evidencia deberá entregarla a cambio de una constancia, y así repetir el procedimiento en cada instancia que se necesario a través de cada persona relacionada con su tenencia. También implica que se mantendrá en un lugar seguro, protegida de elementos que puedan alterarla, y no se deberá permitir el acceso a personas no autorizadas.
No se concibe la cadena de custodia como medida protectora de la cantidad y la calidad de la evidencia, pero su ruptura resulta en la perdida de la garantía de integridad entre lo que se encuentra y lo que llega al laboratorio de análisis.

RECOPILACION DE DATOS
La recopilación de datos suele hacerse en el laboratorio de análisis mediante el uso de software o de hardware especializado. En el caso del software, estos se encargan de analizar, a bajo nivel, el formato de los datos en los medios de almacenamiento. En el caso del hardware, realizan la misma función pero más bien a nivel electrónico. La información recuperada es luego analizada y correlacionada para poder determinar los hechos que ocurrieron en cuanto al caso investigado. Muchas veces, los atacantes tienen mayor nivel tecnológico que los propios investigadores, por lo que es posible que estos no puedan recuperar los datos o analizar las evidencias que dejo un incidente.

DEVICE SEIZURE es una herramienta para el relevamiento de dispositivos moviles que cuenta con opciones para una gran cantidad de telefonos celulares, smartphone, etc.
WinHex en una podedorosa herramienta con diversas utilidades para analisis forense, incluyendo el borrado seguro.
De manera general, el especialista Jeimy Cano propone una serie de niveles desde un menor a un mayor nivel de sofisticación. En el menor de ellos se apunta a deshabilitar , en el siguiente a manipular o modificar, en el próximo a esconder o mimetizar, y en el más sofisticado se apunta a destruir definitivamente.
EL DOCTOR FORENSE INFORMATICO
Un latinoamericano destacado en el ámbito es el Dr. Jeimy Cano, profesor de la Universidad de los Andes (Colombia), investigador en CriptoRed (www.criptored.upm.es) de la Universidad politécnica de Madrid, moderador de la lista de seguridad informática de la Asociación Colombiana de Ingenieros de Sistemas (www.acis.org.co) y gran conferencista internacional.

LA EVIDENCIA DIGITAL
En lo cotidiano, la evidencia es todo lo que se requiere para demostrar un hecho y sirve para establecer relaciones entre sucesos. En cuanto al mundo digital, existen también evidencias, llamadas evidencias digitales, que es otra forma de evidencia física, de menor tangibilidad que otros tipos (ADN, hullas, papeles, etc). Esta ultimas poseen ciertas ventajas sobre la tradicional y dado que puede ser perfectamente duplicada, puede detectarse si sufrió alteraciones e incluso, a veces, recuperarse si ha sido eliminada. En síntesis, es repetible, recuperable, redundante e integra.

TEORIA ANTIFORENSE0

Conociendo las principales técnicas forenses, es posible deducir las técnicas de evasión que compliquen la aplicación de las primeras. Estas técnicas pueden ser útiles para evitar que un análisis forense no deseado revele información, pero por otro lado tenemos el uso malicioso. Estas técnicas anti forenses las podríamos definir como aquellas que tienen un impacto negativo contra los mecanismos para identificar los datos, así como también la disponibilidad, la confiabilidad, y la relevancia de la evidencia digital en un proceso de análisis forense. En este sentido, también aparecerán técnicas anti-anti forenses, que son las que utilizamos para complicar las aplicaciones de técnicas anti forenses. En la práctica, algunas técnicas anti forenses comunes referidas a los datos almacenados son:
- Eliminación segura: en dispositivos magnéticos, puede realizarse con software como PGP, Wiper, WinHex, Erase, etc.
- Cifrado de información: en general, mediante algoritmos simétricos.
- Esteganografia: ocultación de un tipo de datos dentro de otro tipo de datos.

INVESTIGACION Y EVIDENCIA
Un atacante hará lo imposible por destruir la evidencia y entorpecer su recopilación, ya sea mediante su alteración, haciendo que el sistema mismo la elimine o sobrescriba, o simplemente utilizando técnicas más sofisticadas que los investigadores. Una regla táctica que es fundamental en la disciplina de investigación indica que no siempre tiene sentido continuar investigando. Esto implica que, de producirse un incidente, se hará un análisis de las pruebas, se crearan hipótesis y se presumirá una respuesta, pero así y todo no habrá una certeza de lo que se supone que sucedió, un atacante corre con ventaja.
Siendo más pragmáticos, la investigación supone un gasto de tiempo, esfuerzo, dinero y personal, que deben estar disponible para el caso. Incluso, muchas veces se debe inutilizar el material y los equipos para analizarlos, lo que podría disminuir la productividad. La decisión de investigar u operar lo antes posible es de carácter crítico y poco trivial. Es de ayuda que la empresa tenga una política ante incidentes. Los buenos investigadores saben, por propia experiencia, cuando llega el momento de detenerse. Según el FBI, un incidente que dura una hora tomaría, en promedio, alrededor de veinte para ser analizado. El atacante, sabiendo que el equipo de investigación posee un límite, tendrá esto en cuenta para lograr despistar a sus perseguidores hasta asegurarse que ya no están siguiendo sus pasos.

INFORMATICA FORENSE BARILOCHE

MEDIOS DE ALMACENAMIENTO

Podemos asegurar que cualquier medio que se utilice para guardar y transportar datos digitales tendrá posibilidad de contener evidencia. Entre estos se encuentra los discos rígidos (aun algunos disquetes), los CDs/DVDs, cintas backup, dispositivos USB y tarjetas de memoria (SD, XD, etc.). Una de las actitudes más valiosas de un atacante es el hecho de saber de qué manera se guarda la información en los distintos medios, los sistemas de archivos asociados, y tener conocimiento de los estándares del mercado. De esta forma, conocer el formato ISO 9660, el UDF o los distintos sistemas como ext3, NTFS y FAT32, ofrecen ventajas a la hora de atacar un objetivo determinado con características propias. También ayudara el hecho de tener conocimiento sobre electrónica y hardware y, porque no, algo de física y matemáticas.

FUENTE DE EVIDENCIA

Podemos decir que, a nivel informático, todo elemento en el que sea posible el almacenamiento de información será tenido en cuenta en la fase de recopilación de datos. Por ejemplo, la PC origen del intruso puede contener información valiosa, así como también los dispositivos de red de la conexión y de redes internas, el equipo víctima y, eventualmente, el que se utilizó para lanzar el ataque (no necesariamente el mismo que desde donde se originó). En los dispositivos digitales, en necesario comprender la estructura física y la forma en la que almacenan los datos en los medios, además del formato y la estructura lógica. La complejidad se simplifica utilizando herramientas de recuperación automatizadas, ya que mucho del conocimiento exigido está integrado en el software de relevamiento y recuperación. También incluimos, como fuente de evidencia, todo dispositivo que permita almacenar datos: celulares, PDAs, routers, etc. En este aspecto, la estandarización de los dispositivos electrónicos permitió que fuera más simple extraer datos y recuperarse en dispositivos creados para tal fin.

ACTIVE@ BOOT DISK permite recuperar información de particiones y cuenta con versiones para windows y DOS.
ANONIMIDAD CRIMINAL
Mucha acciones maliciosas son realizadas utilizando herramientas de anonimidad, lo cual se aplica principalmente a la navegación y al uso del correo electrónico. Esto hace mas difícil la tarea del análisis forense, por lo que es necesario haber tomado medidas que garanticen medidas de autenticación.
EL PROCESO DE INVESTIGACION
Las metodologías nos aseguran que los procesos pueden ser sistemáticamente reproducibles. En este caso, el proceso se realiza sobre la evidencia digital de una forma aceptable desde el punto de vista de la ley, actuando sobre ella misma y siguiendo determinados pasos. El delincuente y el investigador se encuentran en un enfrentamiento constante en lo relacionado a la informática forense, por lo tanto el que tenga más conocimiento sobre cierta temática contara con mayores probabilidades de alcanzar su meta. El texto A las puertas de una nueva especialización: la informática forense (David Airala, Osvaldo Rapetti) menciona cuatro reglas generales básicas para el proceso de investigacion:
- Minimizar el manejo del original
- Documentar los cambios
- Cumplir con las reglas de la evidencia
- No exceder el conocimiento propio

IDENTIFICACION DE EVIDENCIA
La identificación es el primer paso en proceso. Sabiendo que evidencia está presente, se determinan los procesos para su recuperación. Como ya mencionamos, la evidencia se extiende a todo dispositivo electrónico que cuente con almacenamiento de datos, y es necesario identificar el tipo de información y el formato en que es guardada para usar la tecnología correspondiente para su extracción. El investigador debe conocer en profundidad como al evidencia es creada y como se puede falsificar a fin de saber cómo actuar con ella.

PRESERVACION
Como hemos dicho, la evidencia digital es de naturaleza particular, por lo que requiere ser preservada de manera especial. Si se trata de información almacenada en un medio magnético, se deberá tener en cuenta la fuente de peligro para la integridad, como emisiones electromagnéticas, o los golpes a la estructura física del dispositivo. En el caso de los medios ópticos, se prestara atención a las ralladuras y roces que pueda tener. Además el pasaje de un medio a otro, debe realizarse con la consecuente prueba de integridad para asegura que nada allá sido alterado. Cualquier otro tipo de medio que contenga evidencia será tratado con el debido cuidado en función de si sensibilidad a la perdida de datos. Finalmente es importante, que si se alteran datos que pueden servir de evidencia, se registre y justifique el hecho.

LABORATORIO DE ANALISIS
Luego de recopilar la evidencia, se deberá realizar un proceso antes de que sea interpretada. El análisis comprende este proceso que se logra extrayendo, procesando e interpretando los datos, e intentando que todo sea lo menos intrusivo posible.
Un laboratorio de análisis forense debe tener la posibilidad de relevar toda la información en cualquier dispositivo o medio en donde pueda encontrase evidencia. Esto implica, muchas veces, un costoso instrumental, equipamiento y herramientas de hardware y software. Dada la dificultad de contar siempre con estos materiales, los laboratorios se limitan a veces a software y hardware básicos. Por ejemplo, si se debe encontrar información en teléfonos modernos y no se cuenta con el cable para realizar la conexión a la pc, esto constituiría una limitación para el análisis. En casos más complejos, debe poder replicarse estructuras de red y reproducir escenarios tecnológicos para el estudio de la situación original, lo cual suele ser también problemático.

PRESNENTACION DE REPORTES
Hasta le mejor trabajo de investigación podría fallar si no se tiene en cuenta la forma en la que comunican los resultados, ya que es importante lograr que se corresponda correctamente las conclusiones. Esto implica, al menos, dos niveles de informes, uno del tipo técnico y otro del tipo gerencial. En general, la presentación de resultados se hace frente a un grupo de directivos de una empresa, en una corte o bien al individuo que la solicite. La aceptación de las conclusiones suele depender de la forma de presentación, los antecedentes y las credenciales del analista, y la credibilidad del método que se utilizó para preservar y analizar la evidencia. Parte de la credibilidad de los procesos empleados se notaran en esta etapa.
Un informe ejecutivo contiene casi exclusivamente las conclusiones del caso, sin detalles técnicos, dado que a las personas a las que se orienta no son especialistas. Puede incluir imágenes aclaratorias, diagramas de flujo, líneas de tiempo, etc., y muchas veces también análisis de costos y valor de las pérdidas sufridas por el incidente. Por supuesto, contiene las hipótesis sobre el caso. En el informe técnico se colocan los detalles a nivel informático, reflejando la metodología utilizada, los resultados de pruebas sobre software y datos, capturas de protocolos, etc. Este informe indica, técnicamente, porque se ha llegado a determinada conclusión y no a otra.

ASPECTOS LEGALES
Respecto a la validez legal de la evidencia, en importante tener en cuenta algunos cuidados en especial. Esto permitirá que, al presentarla, sea considerada valida desde el punto de vista del manejo que se hizo de ella. Existen algunos requisitos para que la evidencia digital tenga valides legal, como ser:
- Precintado completo de equipos, componentes y medios de almacenamiento en el momento del procedimiento.
- Mantenimiento de la cadena de custodia.
- Apertura de los elementos en el laboratorio de manera auditada.
- Duplicación de elementos a auditar y verificación de integridad (hasshing).
- Trazabilidad registrada y auditada de todos los procesos de análisis.
Además de esto, cada país tendrá su código de procedimientos válidos, que deben ser seguidos por los peritos e investigadores para que el proceso tenga validez ante la ley. Algunos retos específicos del aspecto legal tiene que ver con la distancia entre estas disciplinas y la tecnología. Por ejemplo, se espera entender el hecho informático y sus implicancias en el comportamiento criminal y poder encontrar factores de pruebas sustentadas por la informática, que validen los documentos digitales. También se espera lograr el desarrollo de capacidades técnico-forense para combinar ambos mundos, y definir directivas que asocien a los bienes jurídicos con las acciones sobre objetos de crear un discurso penal sobre los delitos informáticos. Finalmente, seria esperable el desarrollo de alianzas que apoyaran y motivaran iniciativas legales a nivel internacional.

CERTIFICACIONES INTERNACIONALES
A fin de profesionalizar y nivelar los conocimientos sobre informática forense, existen certificaciones relacionadas con la materia, como la que aquí mencionamos:
EnCE, ACE, GCFA, CHFI, CFCE, CCE, CCFT



RESUMEN
En esta presentación vimos los principales temas relacionas con la informática forense, comenzando por los aspectos generales y conceptos fundamentales como los incidentes, delitos informáticos, teoría forense y anti forense. Luego, nos enfocamos en el proceso de investigación, eje central de la temática, con sus distintos pasos conceptuales. Finalmente, mencionamos algunos certificados profesionales y la relación de esta disciplina con respecto a los marcos legales.
Full transcript