Análisis forense - IMPRIMIBLE
Transcript of Análisis forense - IMPRIMIBLE
1
Análisis Forense
Técnicas de Seguridad en Sistemas de Información Master TIC – Noviembre 2011
Iván Marsá Maestre
¿Análisis Forense?
El título no está muy bien puesto ¿Informática forense?
Veremos tres temas relacionados Forensic Informatics Information Forensics Security Audit and Risk Analysis
Cada uno con sus técnicas y desafíos
Introducción
2
Forensic Informatics
Informática aplicada a la investigación forense El dispositivo informático es una “evidencia” de un
delito No necesariamente electrónico
Empleo de técnicas informáticas para extraer y recopilar evidencias “lógicas” de la evidencia “física”
Desafíos Validez jurídica
Introducción
Information Forensics
Investigación forense aplicada a sistemas de información El dispositivo informático es el “objeto” de una
intrusión No necesariamente un delito
Empleo de técnicas informáticas para recopilar evidencias acerca de la intrusión
Desafíos La fuente de información es el objeto atacado
Introducción
3
Security Audit and Risk Analysis
Análisis de Riesgos asociados a Sistemas de Información El sistema no ha sido atacado, pero comporta
riesgos No necesariamente frente a ataques
Recopilación de evidencias que permitan valorar los riesgos del sistema
Desafíos No es “¿qué ha pasado?”, sino “¿qué puede pasar”
Introducción
¿Qué tienen en común?
El procedimiento Recuperación de información Análisis de evidencias Elaboración de un informe
Las habilidades que se requieren Análisis crítico y objetivo Valoración fundada Rigor …
Fuentes de Información
4
Forensic Informatics (Informática Forense)
Técnicas de Seguridad en Sistemas de Información Master TIC – Noviembre 2011
Informática Forense
Recopilar evidencia de equipos informáticos y dispositivos de almacenamiento digitales que pueda ser presentada ante un tribunal
Requisitos específicos Preservación de la evidencia Cadena de custodia Reproducibilidad
Introducción
5
Metodología Forense
Recolección de evidencia ¡Manteniendo la integridad y la cadena de custodia!
Análisis de la evidencia Metódico y reproducible
Informe pericial Riguroso, claro y preciso
Introducción
Recogida de Evidencias
Evidencia: elemento físico o lógico que permite confirmar o refutar una hipótesis En este caso, la hipótesis del hecho delictivo o de su
autoría Evidencia electrónica o informática: alude al
soporte específico ¿Qué puede ser una evidencia?
Recogida de Evidencias
6
Volatilidad de la evidencia
Alude a la facilidad de alteración de la evidencia Evidencias volátiles
Memoria RAM Procesos activos Conexiones de red …
Debe ser recolectada en primer lugar
Recogida de Evidencias
Volatilidad de la evidencia
¿Apagar o no apagar la máquina? Si se apaga, se pierde la evidencia volátil Si no se apaga, se puede alterar toda la evidencia
Ataque en curso Mecanismos de protección …
En general, hay que llegar a una solución de compromiso
Recogida de Evidencias
7
Integridad de la evidencia
Asegurar que la evidencia no ha sido alterada Minimizar pérdida de datos Evitar agregar datos
Garantizar que la evidencia no ha sido alterada Imprescindible en todo proceso judicial
Recogida de Evidencias
Integridad de la evidencia
¿Cómo asegurar la no alteración de la evidencia? Copiados bit a bit Bloqueadores de escritura Hashes criptográficos Jaulas de faraday
Garantizar que la evidencia no ha sido alterada Protocolos de cadena de custodia Protección física de la evidencia
Recogida de Evidencias
8
Proceso de Análisis Forense
Recogida de Evidencias
Asegurar la escena
Identificar evidencias
E S C E N A Capturar
evidencias
Analizar evidencias
Presentar resultados
Preservar evidencias
L A B O R A T O R I O F O R E N S E
Adecuado tratamiento y documentación de las
evidencias garantizando la «cadena de custodia»
Equipo formado por personal capacitado con experiencia en el uso de herramientas de análisis
forense
Redacción de informes claros, concretos y
concisos ilustrativos de los hechos.
Documentar detalladamente todos los procedimientos realizados
sobre las evidencias
Analizar las evidencias siguiendo métodos forenses especializados y empleando las herramientas forenses
adecuadas al caso
Presentación de los resultados de forma
clara y en un formato adecuado al tipo de informe requerido
Definición de los protocolos de actuación a seguir ante un
determinado tipo investigación digital
Experiencia en investigación y conocimiento de sistemas informáticos para identificar las fuentes de información
Empleo de herramientas fiables, contrastadas y
eficientes que garanticen que NO se altera la evidencia original
Proteger la escena para evitar la modificación o
destrucción de las evidencias digitales
existentes
Identificar de entre los equipos y dispositivos
existentes, los que puedan contener una información relevante
Realizar copia exacta de las evidencias identificadas sin alterar el original, o con el mínimo impacto sobre
ésta
La imagen forense
Copia “bit a bit” de la evidencia contenida en un sitema Discos duros, unidades extraíbles, memoria
¿Cómo se obtiene? Duplicadoras hardware Software específico
Propietario: Encase De libre distribución: dd
Recogida de Evidencias
9
Análisis de la información
Localizar información relevante para el caso ¿Qué es relevante? ¿Cómo localizo esa información en un tiempo razonable?
Métodos de análisis Establecimiento de la línea temporal Análisis de palabras clave Técnicas de inteligencia artificial …
Análisis de la Información
Análisis de la información
Desafíos Dispositivos cada vez más heterogéneos Cifrado de datos Almacenamiento en la nube Revisión no supervisada de contenidos …
Análisis de la Información