cpmx3 computo forense reloaded
TRANSCRIPT
CÓMPUTO FORENSE RELOADED
Porque todo deja rastro
Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica
@cibercrimen
• Proceso del Cómputo Forense
• Identificación: conocer los antecedentes,
situación actual y el proceso que se quiere seguir
para poder tomar la mejor decisión con respecto
al levantamiento del bien, búsquedas y las
estrategias de investigación.
• Preservación: revisión y generación de las
imágenes forenses de la evidencia para poder
realizar el análisis
• Análisis: aplican técnicas científicas y analíticas a
los medios duplicados por medio del proceso
forense para poder encontrar pruebas de ciertas
conductas,
• Presentación: La información resultante del
análisis quedará registrada en un dictamen
técnico que puede ser presentado internamente
o en un procedimiento legal.
Proceso del Cómputo Forense
Preservación
Análisis Presentación
Identificación
La información contenida en …
Imagen Forense
• Copia bit a bit del contenido de un medio a analizar desde
el primer sector hasta el último sector del mismo.
¿LO ENCONTRASTE?
NOP
¿Qué se considera como un Incidente?
7
“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?”
Necesitamos menos de esto…
Y mucho más de ésto…
Sniper Forensics
• Crear un plan de investigación
• Aplicar la lógica
• Principio de Intercambio
de Lockard’s
• Principio de Alexiou
• Navaja de Ockham
• Extraer únicamente lo
necesario
• Permitir que los datos den
las respuestas
• Generar los reportes
necesarios
Christopher E. Pogue Trustwave
Si usted mira lo suficiente esta foto, Podrá encontrar el caparazón del Caracol
¿A qué le voy a disparar?
• Registros de Windows
SAM
System
Security
• NTUSER.DAT por cada usuario
• Timelines
• $MFT
• Datos volátiles
• Memoria RAM
Previsualizando
Software / Protección
• Lo siguiente funciona en un Windows XP Profesional SP2, donde
hay que modificar del registro:
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro
lSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
• Una vez realizado, se coloca el disco evidencia en un Enclosure
(dispositivo que permite conectar discos duros por USB o Firewire)
donde por razones antes mencionadas uno de Firewire NO nos
funcionaría, tiene que ser de USB.
¿Qué necesitamos?
Recursos Humanos
Hardware Software Procedimientos
Podcast Crimen Digital…
• El podcast de cómputo forense,
seguridad en Internet y lo
relacionado con el cibercrimen.
• iTunes
• http://www.crimendigital.com
¡Muchas Gracias!
¿Preguntas?
Andrés Velázquez, CISSP, GCFA, ACE, IEM Especialista en Delitos Informáticos Presidente & Fundador de MaTTica
@cibercrimen
-
-
Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V. Todos los Derechos reservados. Ninguna parte de este documento puede ser reproducida en forma o mecanismo alguno, incluido fotocopiado, grabación o almacenamiento en algún sistema de información, sin la autorización por escrito del dueño del Derecho Reservado. Copias de este documento pueden ser distribuidas, en papel y en formato electrónico, siempre y cuando no se altere el documento original y se incluya esta página.
Este documento NO pertenece al dominio público.
“Computo Forense Reloaded”
por Andrés Velázquez [email protected]