seguridad y cómputo forense - uam azcapotzalco · 2009-03-09 · zherramientas para la detección...
TRANSCRIPT
![Page 1: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/1.jpg)
Seguridad y CSeguridad y Cóómputo forensemputo forense
Manuel Aguilar Cornejo
Area de Computación y Sistemas Universidad Autónoma Metropolitana Iztapalapa
![Page 2: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/2.jpg)
10/09/2007 Manuel Aguilar Cornejo 2
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo Forense Conclusiones
![Page 3: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/3.jpg)
10/09/2007 Manuel Aguilar Cornejo 3
IntroducciIntroduccióónn
Objetivo: dar un panorama sobre la importancia de la información, los cuidados necesarios, y algunos ejemplos de técnicas y herramientas para su protección, así como un panorama general de lo que es el cómputo forense.
![Page 4: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/4.jpg)
10/09/2007 Manuel Aguilar Cornejo 4
IntroducciIntroduccióónn
Importancia– Tecnología => Valor de la información– Conectividad => Riesgos– Evidencias => Registros, bitácoras -Nuevas técnicas
![Page 5: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/5.jpg)
10/09/2007 Manuel Aguilar Cornejo 5
IntroducciIntroduccióónn
Tenemos diferentes tipos de amenazas a la seguridadde la información debido a:
– Fallas humanas– Ataques malintencionados– Catastrofes naturales
Para todos los casos una solución factible seríarespaldar la información en algún lugar diferente y seguro.
![Page 6: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/6.jpg)
10/09/2007 Manuel Aguilar Cornejo 6
IntroducciIntroduccióónn
Debemos de garantizar no solamente la seguridadde la información sino su confidencialidad y mal uso.
Para ello debemos de evitar los accesos no autorizados al sistema, así como los ataques al mismo.
![Page 7: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/7.jpg)
10/09/2007 Manuel Aguilar Cornejo 7
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo forenseConclusiones
![Page 8: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/8.jpg)
10/09/2007 Manuel Aguilar Cornejo 8
TiposTipos de de ataquesataques
sniffing: Consiste en observar todos los paquetes que pasan por la redAtaques de contraseña: – Usando diccionario– Por fuerza bruta
DS: Denegacion de servicio. consiste en mandar mas informacion de la que puedaser atendida.
![Page 9: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/9.jpg)
10/09/2007 Manuel Aguilar Cornejo 9
TiposTipos de de ataquesataques
Ingeniería social: consiste en obtenerinformación del sistema mediante engaños. Phising: fraude electrónico, ejemplo mails de banamex.Escaneo de puertos: busqueda de algúnpuerto para accesar los servicios del sistema.
![Page 10: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/10.jpg)
10/09/2007 Manuel Aguilar Cornejo 10
TiposTipos de de ataquesataquesCódigo malicioso (virus) – Bombas lógicas: código que se activa bajo la ocurrencia
de un evento– Troyanos: programa que simula ejecutar una función
mientras que ejecuta otra.– Cookies: archivos de texto con información acerca de la
navegación efectuada por el usuario en internet e información confidencial del usuario
– Keyloggers: programas que registran todas las teclaspulsadas
– Spyware: aplicaciones que recogen y envian informaciónsobre el usuario de internet.
![Page 11: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/11.jpg)
10/09/2007 Manuel Aguilar Cornejo 11
TiposTipos de de ataquesataques
Puertas traseras: consiste en buscar huecosde seguridad en los sistemas operativosTrashing: consiste en buscar informaciónimportante en la “basura”
![Page 12: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/12.jpg)
10/09/2007 Manuel Aguilar Cornejo 12
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – SDI, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo forenseConclusiones
![Page 13: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/13.jpg)
10/09/2007 Manuel Aguilar Cornejo 13
PrevenciPrevencióón de ataquesn de ataques
Los métodos para reducir los riesgos debido a virus pueden ser activos o pasivos:
Activos: – Antivirus
Pasivos: – Copias de seguridad– Estudiar mas sobre el software de nuestra computadora– Desconfiar
![Page 14: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/14.jpg)
10/09/2007 Manuel Aguilar Cornejo 14
PrevenciPrevencióónn de de ataquesataques
Antiespías gratuitos:
Spybot – Search & DestroyAd-AwareSpywareBlaster
Se recomienda no usar un solo programa antiespíasino una combinación de varios
![Page 15: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/15.jpg)
10/09/2007 Manuel Aguilar Cornejo 15
PrevenciPrevencióónn de de ataquesataques
Por otro lado, también existen muchos programas que se presentan como "antiespías" y en realidad no lo son.
Algunos de ellos hacen lo contrario de lo que predican, instalan espías (ejemplos conocidosy comprobados, verhttp://www.vsantivirus.com/lista-nospyware.htm)
![Page 16: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/16.jpg)
10/09/2007 Manuel Aguilar Cornejo 16
PrevenciPrevencióónn de de ataquesataques
Otro sistema de prevención de ataquesefectivo son los firewalls (cortafuegos), queprotege de accesos no autorizados hacia la red interna (pero no protege contra ataquesdesde dentro de la red).
![Page 17: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/17.jpg)
10/09/2007 Manuel Aguilar Cornejo 17
Internet
Firewall
![Page 18: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/18.jpg)
10/09/2007 Manuel Aguilar Cornejo 18
PrevenciPrevencióónn de de ataquesataques
Sistemas de Detección de Intrusos (SDI)
Una intrusión es definida como un conjuntode acciones que intentan comprometer(poner en peligro) la integridad, la confidencialidad o la disponibilidad de un sistema informático.
![Page 19: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/19.jpg)
10/09/2007 Manuel Aguilar Cornejo 19
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusosHerramientas para la detección de intrusos Cómputo forenseConclusiones
![Page 20: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/20.jpg)
10/09/2007 Manuel Aguilar Cornejo 20
SDISDI
Normalmente los intrusos (crakers) expertos siguentres pasos para llevar un ataque:
– Preparan el ataque (ej. Busqueda de puertos)– Lanzan el ataque– Borra todo rastro de su acceso
Nuestro objetivo es detectar y eliminar la intrusión lo antes posible para limitar el daño
![Page 21: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/21.jpg)
10/09/2007 Manuel Aguilar Cornejo 21
SDI SDI
Existen dos tipos de sistemas de detección de intrusos:
Los basados en host, SDIhLos basados en red, SDIrActualmente se proponen una combinaciónde ambos, SDIh&r
![Page 22: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/22.jpg)
10/09/2007 Manuel Aguilar Cornejo 22
SDIhSDIh
Su fuente de información son las bitácorasdel sistema prestando especial énfasis a los registros relativos a los demonios de red, como un servidor web o el propio demonioinetd.
Problema: pocos administradores revisanesas bitácoras.
![Page 23: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/23.jpg)
10/09/2007 Manuel Aguilar Cornejo 23
EsquemaEsquema de un de un SDIhSDIh
Registro de actividadesen bitácoras
Análisis de datos
Encargado de seguridad
Respuestas
![Page 24: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/24.jpg)
10/09/2007 Manuel Aguilar Cornejo 24
SDIhSDIhEntre las bitácoras del sistema, tenemos los
archivos:– secure: registra los accesos logrados y fallidos. – maillog: supervisa el servicio de e-mail– message: almacena mensajes de baja y media prioridad.
Contiene información sobre el arranque del sistema, asícomo de las sesiones abiertas
– acces_log: almacena los accesos a la pag. del servidor– error_log: presenta informes de todos los errores que
provienen del servidor web.– Etc.
![Page 25: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/25.jpg)
10/09/2007 Manuel Aguilar Cornejo 25
SDIhSDIh
Ejemplo:
Oct 31 00:42:19 alpha sshd[12433]: Failed password for root from 67.33.168.95 port 54455 ssh2
Indica que un usuario con IP 67.33.168.95 intentóconectarse como root por el puerto 54455 en la fecha señalada, pero con contraseña incorrecta
![Page 26: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/26.jpg)
10/09/2007 Manuel Aguilar Cornejo 26
EjemplosEjemplos de de SDIhSDIh
OSSEC (http://ossec.net) de dominiopúblico, actúa en tiempo real, puederesponder de manera activa a los ataques y es compatible con Linux, MacOS, Solaris y Windows.
Tripware, SDI comercial realiza análisisperiódico con respuestas pasivas.
![Page 27: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/27.jpg)
10/09/2007 Manuel Aguilar Cornejo 27
SDIrSDIr
Son capaces de detectar ataques contra una red local.
Detectan las anomalías en la red cuando el ataqueestá en curso.
La prioridad de estos sistemas es detectar el ataquelo antes posible para que cause el menor dañoposible.
![Page 28: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/28.jpg)
10/09/2007 Manuel Aguilar Cornejo 28
Sensor de red
Paquete de red
RED
Almacenamientode la información
de paquetes
Analisis de datos
Respuestas
Encargado de seguridad
Organización de un SDIr
![Page 29: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/29.jpg)
10/09/2007 Manuel Aguilar Cornejo 29
SDIrSDIr
Snort (http://www.snort.org) es un sniffer de paquetes (de dominio público).
Es un detector de intrusos basados en anomaliasdel funcionamiento de la red
Utiliza un lenguaje basado en reglas (definidas porel administrador, creadas autómaticamente por el sistema, o una combinacion de ambas) paradetectar intrusos.
![Page 30: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/30.jpg)
10/09/2007 Manuel Aguilar Cornejo 30
SDIrSDIr
La caracteristica más apreciada de Snort essu subsistema flexible de firmas de ataquesque está actualizandose constantemente a través de internet.
Los usuarios de Snort pueden enviar susfirmas de ataques para beneficiar a toda la comunidad.
![Page 31: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/31.jpg)
10/09/2007 Manuel Aguilar Cornejo 31
SDIh&rSDIh&r
Los SDIh y los SDIr se puedencomplementar e implementarsimultánemente para obtener un alto nivelde seguridad.
Un SDIh&r está constituido por sensores en cada huésped y un sensor en cada segmentode red.
![Page 32: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/32.jpg)
10/09/2007 Manuel Aguilar Cornejo 32
SDIh&rSDIh&r
Sus principales componentes son:
– Agentes huesped– Agentes de red– Transeptores (comunicación) – Consola de eventos (interfaz con el operador)
![Page 33: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/33.jpg)
10/09/2007 Manuel Aguilar Cornejo 33
SDIh&rSDIh&r
Internet
Firewall
AH AH AH AH AH AH
ARAR
![Page 34: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/34.jpg)
10/09/2007 Manuel Aguilar Cornejo 34
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusosCómputo Forense Conclusiones
![Page 35: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/35.jpg)
10/09/2007 Manuel Aguilar Cornejo 35
EjemplosEjemplos de de herramientasherramientas de de SDISDI
SDI Sensor Ejecución Respuesta Arquitectura Distribucion
Tripware Huésped Periódico Pasivas Centralizado Comercial
OSSEC Huésped T. Real Activas Distribuido Libre
RealSecure Red T. Real Activas Distribuido Comercial
Snort Red T. Real Activas Centralizado Libre
Prelude Híbrido T. Real Activas Distribuido Libre
DIDS Híbrido T. Real Activas Centralizado No disp.
![Page 36: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/36.jpg)
10/09/2007 Manuel Aguilar Cornejo 36
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo Forense Conclusiones
![Page 37: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/37.jpg)
10/09/2007 Manuel Aguilar Cornejo 37
CCóómputomputo ForenseForenseEvidencia digital:– Es un tipo de evidencia física. Esta construida de
campos magnéticos y pulsos electrónicos que puedenser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4)
Computación forense– Es la aplicación legal de métodos, protocolos y técnicas
para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich2000, pag.243)
![Page 38: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/38.jpg)
10/09/2007 Manuel Aguilar Cornejo 38
CCóómputomputo ForenseForenseProvee principios y técnicas que facilitan la investigación de ofensas catalogadas como criminales.– Implica la aplicación de la ciencia al campo legal– Cualquier principio científico o técnica puede ser aplicada
para:Identificar,Recuperar,Reconstruir yAnalizar evidencia durante un investigación de un delito.
– Aplicando métodos científicos los especialistas forensespueden analizar la evidencia para:
Crear hipótesis, efectuar pruebas para verificar dichas hipótesis, generando posibilidades claras sobre lo que ocurrió.
![Page 39: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/39.jpg)
10/09/2007 Manuel Aguilar Cornejo 39
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
![Page 40: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/40.jpg)
10/09/2007 Manuel Aguilar Cornejo 40
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Instalación de herramientas adecuadas
Auditorias, parches, cultura seguridad, etc.
Incidentes externos: web, phishing, DDS, etc.
Incidentes internos
![Page 41: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/41.jpg)
10/09/2007 Manuel Aguilar Cornejo 41
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
•Verificar que no sea falsa alarma
•Buena documentación
•Iniciar una cadena de custodia
•No hay receta: hay que utilizarbitacoras, firewall, IDS, etc. y correlacionar la información
•Cualquier comando modifica la evidencia, el no hacer nada también la modifica.
![Page 42: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/42.jpg)
10/09/2007 Manuel Aguilar Cornejo 42
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Evitar daños colaterales
•Limitar el control de acceso
•Cambiar contraseñas
•Deshabilitar cuentas, etc.
Analizar riesgos de cada acción
•Intruso observando
•Evidencia volatil
![Page 43: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/43.jpg)
10/09/2007 Manuel Aguilar Cornejo 43
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Evitar al máximo la contaminación de la evidencia
Apagar el sistema?
Desconectar el sistema de la red?
Acciones a evitar:
•Escribir en medios originales,
•Matar algún proceso
•Modificar el sistema antes de obtener evidencia (apagar, actualizar, etc.)
![Page 44: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/44.jpg)
10/09/2007 Manuel Aguilar Cornejo 44
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Eliminacion de los factoresque llevaron al incidente: vulnerabilidades del sistema, configuraciones no seguras, control de acceso, etc.
![Page 45: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/45.jpg)
10/09/2007 Manuel Aguilar Cornejo 45
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Los sistemas se restauran, se configuran para su operaciónadecuada y comienzan a utilizarse
![Page 46: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/46.jpg)
10/09/2007 Manuel Aguilar Cornejo 46
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Recomendaciones paraevitar incidentos en lo sucesivo (en la medida de lo posible)
![Page 47: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/47.jpg)
10/09/2007 Manuel Aguilar Cornejo 47
HerramientasHerramientas
Deben de cubrir los siguientes aspectos:– Información sobre procesos– Información sobre cuentas de usuarios– Información para la revisión de bitácoras e historiales– Busqueda de malware– Información sobre los datos alojados en memoria
volátil– Busqueda de archivos– Creación de imágenes
![Page 48: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/48.jpg)
10/09/2007 Manuel Aguilar Cornejo 48
HerramientasHerramientasLas herramientas para el análisis forense se enfocan a
las fases de preservación y búsqueda, ejemplos de ellas son:
Encase producido por Guidance Software.Forensic Toolkit producido por Acces Data Corp (FTK™) FTK, tiene indexado total en texto, busquedasavanzadas, recuperación de archivos eliminados, búsqueda detallada de datos, análisis de e-mail, etc. disponible en:http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads(incluye manuales)
![Page 49: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/49.jpg)
10/09/2007 Manuel Aguilar Cornejo 49
HerramientasHerramientasProDiscovery facilita la localización de datos sobre unacomputadora mientras protege la evidencia. Se puededescargar un demo y manuales de: http://www.techpathways.com/ProDiscoverDFT.htm
SMART creada por ASData, versión de evaluaciónhttp://www.asrdata2.com/
The Coroner’s Toolkit (TCT): es una colección de programas escritos por Dan Farmer and Wietse Venemapara analisis post-mortem de sistemas UNIX. http://www.porcupine.org/forensics/tct.htmlEjemplos de sus uso se encuentran en su libro
![Page 50: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/50.jpg)
10/09/2007 Manuel Aguilar Cornejo 50
HerramientasHerramientas
The Sleuth Kit/Autopsy Browser son herramientas open source (disponibles de manera gratuita) de investigación digital que corren sobre sistemas unix (talcomo: Linux, OS X, FreeBSD, OpenBSD, and Solaris). Pueden analizar los sistemas de archivos NTFS, FAT, Ext2, Ext3, UFS1 y UFS2 y varios tipos de volumenesde sistemas, disponible en:
http://www.sleuthkit.org/sleuthkit/download.phphttp://www.sleuthkit.org/autopsy/download.php
![Page 51: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/51.jpg)
10/09/2007 Manuel Aguilar Cornejo 51
DocumentaciDocumentacióónnInternetLibrosEntre las revistas especializadas se encuentran International Journal of Digital Evidence, que acaba de liberar su edición Winter 2004; y Digital Investigation, que ofrece de forma gratuita su primer número.
Dentro de las distribuciones linux específicas para informática forense destacan F.I.R.E. Linux (Forensicand Incident Response Environment) y Honeynet CD-ROM.
![Page 52: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/52.jpg)
10/09/2007 Manuel Aguilar Cornejo 52
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo Forense Conclusiones
![Page 53: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/53.jpg)
10/09/2007 Manuel Aguilar Cornejo 53
ConclusionesConclusiones
Es más que indispensable la prevenciónEs necesario el conocimiento de qué nosvamos a prevenirEs necesario el conocimiento de herramientas para la prevención de ataques: antivirus, anti-spyware, firewalls, etc. Se hace necesaria la instalación de herramientas como los SDI
![Page 54: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/54.jpg)
10/09/2007 Manuel Aguilar Cornejo 54
ConclusionesConclusiones
Faltan profesionistas con conocimientoespecializado en el área.Existen organismos internacionales quecertifican los conocimientos en esta área de dominio. Es necesario conocer herramientasexistentes para el cómputo forense.
![Page 55: Seguridad y Cómputo forense - UAM Azcapotzalco · 2009-03-09 · zHerramientas para la detección de intrusos zCómputo Forense ... Evitar al máximo la contaminación de la evidencia](https://reader031.vdocuments.co/reader031/viewer/2022022012/5b2011917f8b9ae4208b5a1d/html5/thumbnails/55.jpg)
10/09/2007 Manuel Aguilar Cornejo 55
Muchas gracias !!!