Upload File

sad tema1 punto8

21
Análisis Forenses en Sist. Inf. Javier Rodríguez Granados

Upload: strespj

Post on 25-Nov-2015

10 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Anlisis Forenses en Sist. Inf.Javier Rodrguez Granados

  • DefinicinEl anlisis forense es la tcnica de capturar, procesar e investigar informacin procedente de sistemas informticos utilizando una metodologa con el fin de que pueda ser utilizada en la justicia.

    La Informtica Forense se encarga de analizar sistemas informticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociacin extrajudicial.

  • Funcionalidad y Fases del anlisisFases del anlisis:

    1.Identificacin y captura de las evidencias2.Preservacin de las evidencias3.Anlisis de la informacin obtenida4.Elaboracin de un informe con las conclusiones del anlisis forense

  • Captura de evidencias RFC3227:Guidelines for Evidence Collection and Archiving

    Ejemplos de evidencias:

    Registro de acceso a un ficheroCookie de navegacin webTiempo que lleva el sistema sin apagarseContenido de un ficheroProceso en ejecucinArchivo temporalResto de instalacin de un software

  • Captura de evidenciasPrincipios RFC3227: Legalidad: Se debe tener autorizacinReproducible: Utilizacin de metodologa para cada tipo de evidenciaVolatilidad: Orden de recogida de evidencias: registros, memoria principal, procesos, discos duros, topologa de la red, medio de almacenamiento extrables, copias de seguridadCadena de custodia: Registro de operaciones y personas que han tenido acceso a las evidencias

  • Preservacin de las evidenciasCreacin de copias digitales de las evidencias para su anlisis.

    Creacin de firmas digitales para comprobacin de la integridad de las evidencias.

  • Anlisis forense de las evidenciasBsqueda de ficheros sospechosos como virus, troyanos o gusanosComprobacin de la integridad de los ficheros y libreras del sistemaRevisin de la configuracin del sistemaRevisin de los registros de actividad del sistemaBsqueda de informacin oculta en ficheros, volmenes o discosRecuperacin de informacin eliminadaEjecucin del sistema en un entorno controlado

  • Elaboracin del informeTan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo.Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de anlisis forense, esto le har ser ms eficiente y efectivo al tiempo que reducir las posibilidades de error a la hora de gestionar el incidente.

    Es recomendable adems realizar los siguientes documentos:

    Utilizacin de formularios de registro del incidente. El Informe Tcnico. El Informe Ejecutivo.

  • Respuesta a incidentesUn incidente en seguridad informtica esta definido como un evento que atente contra la confidencialidad, integridad y disponibilidad de la informacin.Algunos tipos de incidentes son:Compromisos de integridadUso no autorizadoDenegacin de servicioDaosIntrusionesEl proceso para una respuesta a un incidente es el siguiente:

  • Respuesta a incidentesLa respuesta a incidentes persigue los siguientes objetivos: Identificar, designar o custodiar evidencias. Revisar cualquier diario existente de lo que ya se ha hecho en el sistema y/o como se detect la intrusin Empezar un nuevo diario o mantener el ya existente, instalar herramientas de monitorizacin (sniffers, detectores de puertos) Sin re-arrancar el sistema o afectar los procesos en ejecucin realizar una copia del disco fsico Capturar informacin de red Capturar procesos y ficheros en uso (dll, exe, etc.) Capturar informacin de configuracin Recoger y firmar datos

  • Anlisis de evidencias digitalesTipos de evidencias:

    Testimonio humano. Evidencias fsicas. Evidencias de red. Evidencias de host (memoria, conexiones de red, procesos, usuarios conectados, configuraciones de red, discos).

  • Anlisis de evidencias digitalesConsideraciones a tener en cuenta antes de realizar el anlisis:

    NUNCA trabajar con datos ORIGINALES, evidencias, dispositivos, etc.. Respetar la legislacin y las polticas de la Organizacin Documentacin Resultados Verificables y Reproducibles No existe un procedimiento estndar.

  • Anlisis de evidencias digitalesPreparacin del entorno forense:

    Laboratorio forense. El Sistema de anlisis Entorno limpio Aislado de la red Herramientas limpias y esterilizadas Sistema de Simulacin Sistema de Pruebas en caliente

  • Anlisis de evidencias digitalesAnlisis del sistema de ficheros:

    Anlisis de los ficheros corrientes del sistema (Comprobacin de integridad de los binarios del sistema, ROOTKITS y Virus) Archivos temporales. Archivos o directorios ocultos: Nombres camuflados Archivos borrados Slack space Particin swap Esteganografa, cifrado, etc

  • Herramientas de Anlisis ForenseLas dificultades que se encuentra el investigador a la hora de analizar determinadas evidencias digitales es que los atacantes emplean cada vez herramientas ms sigilosas y perfeccionadas para realizar sus asaltos.

    Por lo tanto no estar de ms disponer de un conjunto de herramientas especficas para el anlisis de evidencias.

    Dejando aparte el software comercial, en el que podr encontrar herramientas especficas como EnCase de la empresa Guidance Software, considerado un estndar en el anlisis forense de sistemas, nos centraremos en herramientas de cdigo abierto (Open Source) que se pueden descargar libremente de las pginas de los autores.

  • The Forensic ToolKit Se trata de una coleccin de herramientas forenses para plataforma Windows, creada por el equipo de Foundstone.

    Puede descargarse desde www.foundstone.com.

    Este ToolKit le permite recopilar informacin sobre el ataque, y se compone de una serie aplicaciones en lnea de comandos que permiten generar diversos informes y estadsticas del sistema de archivos a estudiar. Para poder utilizarlos deber disponer de un intrprete de comandos como cmd.exe.

  • The Forensic ToolKit

  • The Sleuth Kit y Autopsy Consiste en una coleccin de herramientas forenses para entornos UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit (TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd.

    Se puede descargar desde www.sleuthkit.org

    Incluye funciones como registro de casos separados e investigaciones mltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, genera la lnea temporal de actividad de los archivos (timestamp), permite buscar datos dentro de las imgenes por palabras clave, permite crear notas del investigador e incluso genera informes, etc.

  • The Sleuth Kit y AutopsyAlgunas de las funciones bsicas son:

  • HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribucin Linux denominada Knoppix (que a su vez est basada en Debian).

    Posee la mayora de las herramientas necesarias para realizar un anlisis forense tanto de equipos como de imgenes de discos.

    Se puede descargar gratuitamente de: http://www.e-fense.com/helix/.

  • F.I.R.E. Linux Se trata de otro live CD que ofrece un entorno para respuestas a incidentes y anlisis forense, compuesto por una distribucin Linux a la que se le han aadido una serie de utilidades de seguridad, junto con un interfaz grfico que hace realmente fcil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad.

    Este live CD est creado y mantenido por William Salusky y puede descargarse gratuitamente desde la direccin http://biatchux.dmzs.com.


Tema1 Redes

Tema1 - ModelamientoBasesDatos

Guia Sad 2012

SAD CAMPANA

Tema1 curso2

Tema1 powerpoint2007

Introducción al sad

Sad tema2 pen_test_iii

Tema1 genetica

SAD Tema1 Introduccion II 1213 (1)

Tema1 soldadura

Sad sad dan

Proce Sad Or

Presentacion tema1

sad 601.pmd

SAD Proyecto Cortafuegos

Muestreo tema1

Marketing Tema1

Tema1 Agua

Preeclampsia tema1

Tesis SAD JCSantiagoM

SAD -371 -201

Modulo1 tema1

Projecte i sad

341gina completa) - rfef.es · Real Betis Balompié SAD C. Atlético de Madrid SAD 12 13 Real Murcia C.F. Real Sociedad de F. SAD U.D. Las Palmas SAD Albacete Balompié SAD Valencia

Tema1 introduccionalafilosofia

Tema1 historia

Tema1 numeros

Sad face libro

TEMA 1 SAD

Rrpp tema1

Sociales Tema1

Tema1 dinamica

Compen Sad Or

TEMA1- INTRODUCCION