Download 09 Informática forense

Document related concepts
no text concepts found
Transcript
Curso de Peritajes
CPIICyL
09 INFORMÁTICA FORENSE
janguas@gmail.com
Curso de Peritajes
CPIICyL
bloque 4: marco pericial
07 Deontología y procedimientos
básicos
08 Método y discurso
bloque 5: informática forense
09 Informática forense
10 Recapitulación
bloque 6: casos prácticos
11 Caso práctico informática forense
12 Caso práctico implantación
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Objetivo de la sesión
Dar una primera aproximación a las
técnicas de informática forense.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Informática forense
Conjunto de técnicas orientadas a
la adquisición, preservación y
análisis de indicios informáticos
de forma verificable.
Utilizadas por: peritos, fuerzas
y cuerpos de seguridad, equipos
de gestión de seguridad,
auditores, etc.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Ingeniería informática
Aunque se trata de un conjunto de
técnicas utilizadas por
diferentes perfiles
profesionales, la formación
reglada en ingeniería informática
ofrece un marco de contraste de
gran valor.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Empirismo
Comúnmente asociadas a
funcionalidades o circunstancias
de los sistemas poco conocidos.
Permite un análisis a un nivel
semántico más bajo y con un
contexto de coherencia mayor.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Cadena de custodia
La cadena de custodia
convencional incluiría la gestión
de la integridad y el control de
acceso.
En el caso informático la segunda
acepción queda poco cubierta.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Herramientas y dispositivos
Bloqueadores de escritura,
clonadoras, dispositivos y
programas de adquisición de
teléfonos, herramientas de
análisis, etc…
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Distribuciones forenses
Distribuciones (live) que se
comportan de una manera
respetuosa con los medios que se
conectan y que incluyen
herramientas forenses.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Distribuciones forenses
(II)
SIFT
http://digitalforensics.sans.org/community/downloads
CAINE
DEFT
http://www.caine-live.net/
http://www.deftlinux.net/
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Distribuciones forenses
(III)
Falta de homogeneidad y
continuidad. Dependen de
esfuerzo voluntario.
Se espera que se estabilicen
con el tiempo.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Acciones
- Copia forense de medios,
- Gestión de integridad y
- Análisis.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Copia forense
La copia forense incluye todo
el espacio del medio de
almacenamiento. De disco a
disco -> clonado, de disco a
fichero -> imagen forense.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Copia forense (II)
Hardware (clonadora)
Software (programas, dd y
derivados –dc3dd, dcfldd-)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Copia forense (III)
Situaciones atípicas: disco
con errores (ddrescue) o medio
flash. Se debe realizar una
copia con las máximas
garantías y considerar dicha
copia como en nuevo original.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Gestión de integridad
Ver http://en.wikipedia.org/wiki/Cryptographic_hash_function
Propiedades: sensible a la
entrada, no reversible,
equidistribuida.
Diferentes funciones: md5 (32
hex), sha1 (40 hex), sha256
(64 hex)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Análisis
Fundamentación de hechos
relevantes y contraste con un
contexto de coherencia amplio.
Influenciado por el posible
ánimo de ocultación.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Previo
smartctl –i
dd // dcfldd //dc3dd
ddrescue
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Copia de medios
sudo dc3dd if=/dev/sdc1
conv=sync,noerror progress=on | tee
>(dc3dd of=/media/sdd1/sdc1.dd
hash=sha1
hashlog=/media/sdd1/hash_sdc1.sha1) |
dc3dd of=/media/sda2/sdc1.dd hash=sha1
hashlog=/media/sda2/hash_sdc1.sha1
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Copia de medios (II)
ddrescue -f -n /dev/hda
/dev/hdb logfile
ddrescue -d -f -r3 /dev/hda
/dev/hdb logfile
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Copia de ficheros
cp –p
rsync –a
xcopy /k
Robocopy (http://www.microsoft.com/enus/download/details.aspx?id=17657)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Integridad
md5sum / sha1sum
md5deep / sha1deep
fciv (http://www.microsoft.com/enus/download/details.aspx?id=11533)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Recuperación de datos
testdisk
fatback
photorec
ntfsundelete
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Búsquedas
grep
Autopsy/The Sleuth Kit
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Búsquedas
¡Términos relevantes!
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Metadatos
exiftool
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
“Artifacts”
lnkinfo
rip (RegRipper)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
“Carving”
Foremost
Scalpel
Bulk Extractor
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Líneas temporales
log2timeline
fls
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Navegación
Pasco
Galleta
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Teléfonos
SQLiteBrowser
iPBA
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Análisis en caliente
DART (DEFT)
Win-UFO (CAINE)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Otros: borrado seguro
DBAN
Wipe
Shred
Eraser (http://eraser.heidi.ie/)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Otros: cifrado
Bitlocker
FileVault
Hardware (WD My Passport Ultra)
TCNext (https://truecrypt.ch/)
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Herramientas comerciales
EnCase
FTK
X-Ways
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Mostrar elementos de
seguridad física,
bloqueadores, etc.
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
Enlaces
NIST-CFTT (prueba de herramientas)
http://www.cftt.nist.gov/
NIST-CFReDS (conjuntos de datos de
referencia)
http://www.cfreds.nist.gov/
Open Source Digital Forensics
http://www2.opensourceforensics.org/
janguas@gmail.com
Curso de Peritajes CPIICyL
09 Informática forense
¿PREGUNTAS?
janguas@gmail.com