gustavo presman intro a la a forense

Ing. Gustavo Daniel Presman , MCP, EnCE , CCE

[email protected]

IUPFA , 26 al 28 de Agosto de 2008

V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE DELITOS RELACIONADOS CON TECNOLOGÍA INFORMATICA

Introducción a la Informática Forense ADQUISICIÓN DE EVIDENCIA DIGITAL

www.presman.com.arpres

man.com.ar

2

EVIDENCIA DIGITAL PARA NO INFORMATICOS

ADQUISICION DE EVIDENCIA

Definición de Informatica Forense

“ Es la ciencia de adquirir , preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados en un medio informático ”

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

3



Evidencia informática = Evidencia Digital = Evidencia Electrónica

• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada

medios electrónicos

�Discos rígidos en computadoras

�Palms / PDA

�Teléfonos celulares

�Cámaras digitales

�Faxes

� ....

4



Que diferencia la evidencia informatica de la evidencia

tradicional ?

• La volatilidad

• La capacidad de duplicacion

• La facilidad de alterarla

• La cantidad de Metadatos que posee

5



El “iceberg” de los datos

DatosDatos ObtenidosObtenidos con con herramientasherramientas comunes comunes (p/(p/ej ej Windows Explorer)Windows Explorer)

DatosDatos adicionalesadicionales obtenidosobtenidoscon con herramientasherramientas forensesforenses

((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, , DificilesDificiles de de obtenerobtener…)…)

6



Que contiene un archivo de Imagen forense * ?

oCopia bit a bit Archivos

o Metadatos del sistema operativo

o Espacio utilizado y no utilizado

o Slack space

oMecanismos de Validación

* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

7



Que debe hacer una utilidad de imagen forense * ?

o Imagen “cruda” sin alterar el original

o Acceso a discos IDE , SCSI , SATA...

o Verificar la integridad del archivo

o Debe crear un log de errores

o Debe estar documentada

* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

8



COMO RESGUARDO EVIDENCIA DIGITAL ?

Al resguardar un medio magnético se puede:

1) Hacer una copia Forense(Archivo de evidencia)

2) Hacer un clonado Forense

3) Aportar el disco original

9



Formatos de Archivos de Imágen

• Formato Abierto : dd�Formato universal de Linux/Unix

• Formato Propietario : Encase ,

FTK , Safeback�Formatos aceptados en numerosas cortes del

mundo y validados por instituciones

independientes

10



Formato de evidencia “dd”

� Simple de utilizar

� Split externo

� Hash MD5 externo

� Compresión externa

� Checksum externo

� Sin límite de tamaño

11



Formato de evidencia “Encase”

� Simple de utilizar

� Split y compresión nativa

� Hash MD5

� CRC ajustable /granularidad

� límite de tamaño de cada split 2 GB

� Soporte password de adquisición

12



ARCHIVOS DE EVIDENCIA

FORMATO 2

FORMATO 1

FORMATO 4

FORMATO 3

FORMATO 5

13



INTEROPERABILIDAD DE ARCHIVOS DE

EVIDENCIA

* Compatibilidad de las aplicaciones forenses

* Conversion de Formatos

14



ARCHIVOS DE EVIDENCIA LOGICA

ARCHIVO DE EVIDENCIA FISICA

•COPIA FISICA

•HASH MD5

•COPIA DE ARCHIVOS LOGICOS

•HASH MD5 DE CADA ARCHIVO

ARCHIVO DE EVIDENCIA LOGICA

15



MODOS DE ADQUISICION

•Adquisición Según el lugar

�Laboratorio

�Campo

•Adquisición por método

�Directa

�Indirecta

16



MODOS DE ADQUISICION

Aspectos a tener en cuenta para elegir el modo de adquisición

� Lugar

� Posibilidad de apertura del CPU

� Tiempo disponible

� Espacio de almacenamiento

17



PLATAFORMAS DE ADQUISICION

• Boot DOS/Windows 98 (modificados)http://www.guidancesoftware.com/support/downloads.asp

• Linux : Helix Live CDhttp://www.e-fense.com/helix/

• Windows XP : Encase Forensic /FTK /WinHex ...

18



LIVE CD

Puede ser Windows o Linux

Live CD según plataforma

PC Helix , BartPE , EBCD

MAC PPC Ubuntu , BBCD

MAC Intel Helix , EBCD

19



CUESTIONES BASICAS PARA LA ADQUISICION EN

EL CAMPO

Acceso al BIOS para :

� Verificar Secuencia de arranque

� Registrar Fecha y hora RTC

• Usualmente no es posible conocer el escenario

de adquisición anticipadamente..

• El paradigma de la apertura

20



Escenario simple de adquisición en campo

21



Escenario complejo de adquisición en campo

22



ADQUISICION POR METODO DIRECTO

Es el más rápido pero requiere de un bloqueador de

escritura (Write blocker) o un OS (DOS-Linux)

modificado

Pasos a seguir :

1. Extraer disco de PC sospechoso

2. Montar disco en CPU de adquisición

3. Adquirir imagen

4. Reinstalar disco en PC sospechoso

Sospechoso Investigador

23



BLOQUEADORES DE ESCRITURA /DUPLICADORES

FORENSES

24



Plataformas para Adquisición Directa

Write Blocker para Windows o

adquisición directa para DOS ó

Linux modificados

PC del Investigador

Adquisición DOS

/Windows/ LinuxAlmacenamiento adicional

25



ADQUISICION POR METODO INDIRECTO

Permite adquirir sin apertura pero...Donde

guardo la imagen ?

Pasos a seguir :

� Lograr Conectividad equipo de adquisición

� Correr aplicación “Server” en PC

sospechoso

� Adquirir imagen

26



Plataformas para Adquisición Indirecta

Almacenamiento adicional USB

Adquisición DOS /

Windows/ Linux

Sospechoso Investigador

27



Comparativa de Tiempos de Adquisición

• PC Sospechoso/Lab : P4 3 Ghz/512 MB/ HD 2.1 GB IDE

• Notebook Investigador: P4 2.8 Ghz /1536 MB/HD IDE

5 m 58 sDirectoLinux

12 m 49 sDirectoDos

1 m 57 sDirectoWindows

10 m 17 sIndirectoLinux

19 m 35 sIndirectoDOS

Tiempo /GBMétodoOS Adquisición

Los tiempos mejoran un 30 % en discos PATA 133 y un 50

% en SATA usando Fastbloc2 – Al usar compresión el

tiempo aumenta en un factor de 1.3 a 1.5

28



ADQUISICION DE EVIDENCIA EN RED

�Respuesta a incidentes inmediata

�Adquisición de servidores en

producción

�Adquisición de imágenes de

cualquier nodo

�Adquisición en modo invisible

V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE DELITOS RELACIONADOS CON TECNOLOGÍA INFORMATICA

Ing. Gustavo Daniel Presman

www.presman.com.ar

[email protected]

MUCHAS GRACIAS POR SU PARTICIPACION

gustavo presman intro a la a forense

Documents