Download 09 Informática forense
Document related concepts
no text concepts found
Transcript
Curso de Peritajes CPIICyL 09 INFORMÁTICA FORENSE janguas@gmail.com Curso de Peritajes CPIICyL bloque 4: marco pericial 07 Deontología y procedimientos básicos 08 Método y discurso bloque 5: informática forense 09 Informática forense 10 Recapitulación bloque 6: casos prácticos 11 Caso práctico informática forense 12 Caso práctico implantación janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Objetivo de la sesión Dar una primera aproximación a las técnicas de informática forense. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Informática forense Conjunto de técnicas orientadas a la adquisición, preservación y análisis de indicios informáticos de forma verificable. Utilizadas por: peritos, fuerzas y cuerpos de seguridad, equipos de gestión de seguridad, auditores, etc. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Ingeniería informática Aunque se trata de un conjunto de técnicas utilizadas por diferentes perfiles profesionales, la formación reglada en ingeniería informática ofrece un marco de contraste de gran valor. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Empirismo Comúnmente asociadas a funcionalidades o circunstancias de los sistemas poco conocidos. Permite un análisis a un nivel semántico más bajo y con un contexto de coherencia mayor. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Cadena de custodia La cadena de custodia convencional incluiría la gestión de la integridad y el control de acceso. En el caso informático la segunda acepción queda poco cubierta. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Herramientas y dispositivos Bloqueadores de escritura, clonadoras, dispositivos y programas de adquisición de teléfonos, herramientas de análisis, etc… janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Distribuciones forenses Distribuciones (live) que se comportan de una manera respetuosa con los medios que se conectan y que incluyen herramientas forenses. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Distribuciones forenses (II) SIFT http://digitalforensics.sans.org/community/downloads CAINE DEFT http://www.caine-live.net/ http://www.deftlinux.net/ janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Distribuciones forenses (III) Falta de homogeneidad y continuidad. Dependen de esfuerzo voluntario. Se espera que se estabilicen con el tiempo. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Acciones - Copia forense de medios, - Gestión de integridad y - Análisis. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Copia forense La copia forense incluye todo el espacio del medio de almacenamiento. De disco a disco -> clonado, de disco a fichero -> imagen forense. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Copia forense (II) Hardware (clonadora) Software (programas, dd y derivados –dc3dd, dcfldd-) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Copia forense (III) Situaciones atípicas: disco con errores (ddrescue) o medio flash. Se debe realizar una copia con las máximas garantías y considerar dicha copia como en nuevo original. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Gestión de integridad Ver http://en.wikipedia.org/wiki/Cryptographic_hash_function Propiedades: sensible a la entrada, no reversible, equidistribuida. Diferentes funciones: md5 (32 hex), sha1 (40 hex), sha256 (64 hex) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Análisis Fundamentación de hechos relevantes y contraste con un contexto de coherencia amplio. Influenciado por el posible ánimo de ocultación. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Previo smartctl –i dd // dcfldd //dc3dd ddrescue janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Copia de medios sudo dc3dd if=/dev/sdc1 conv=sync,noerror progress=on | tee >(dc3dd of=/media/sdd1/sdc1.dd hash=sha1 hashlog=/media/sdd1/hash_sdc1.sha1) | dc3dd of=/media/sda2/sdc1.dd hash=sha1 hashlog=/media/sda2/hash_sdc1.sha1 janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Copia de medios (II) ddrescue -f -n /dev/hda /dev/hdb logfile ddrescue -d -f -r3 /dev/hda /dev/hdb logfile janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Copia de ficheros cp –p rsync –a xcopy /k Robocopy (http://www.microsoft.com/enus/download/details.aspx?id=17657) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Integridad md5sum / sha1sum md5deep / sha1deep fciv (http://www.microsoft.com/enus/download/details.aspx?id=11533) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Recuperación de datos testdisk fatback photorec ntfsundelete janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Búsquedas grep Autopsy/The Sleuth Kit janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Búsquedas ¡Términos relevantes! janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Metadatos exiftool janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense “Artifacts” lnkinfo rip (RegRipper) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense “Carving” Foremost Scalpel Bulk Extractor janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Líneas temporales log2timeline fls janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Navegación Pasco Galleta janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Teléfonos SQLiteBrowser iPBA janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Análisis en caliente DART (DEFT) Win-UFO (CAINE) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Otros: borrado seguro DBAN Wipe Shred Eraser (http://eraser.heidi.ie/) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Otros: cifrado Bitlocker FileVault Hardware (WD My Passport Ultra) TCNext (https://truecrypt.ch/) janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Herramientas comerciales EnCase FTK X-Ways janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Mostrar elementos de seguridad física, bloqueadores, etc. janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense Enlaces NIST-CFTT (prueba de herramientas) http://www.cftt.nist.gov/ NIST-CFReDS (conjuntos de datos de referencia) http://www.cfreds.nist.gov/ Open Source Digital Forensics http://www2.opensourceforensics.org/ janguas@gmail.com Curso de Peritajes CPIICyL 09 Informática forense ¿PREGUNTAS? janguas@gmail.com