Ing. Gustavo Daniel Presman , MCP, EnCE , CCE
IUPFA , 26 al 28 de Agosto de 2008
V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE DELITOS RELACIONADOS CON TECNOLOGÍA INFORMATICA
Introducción a la Informática Forense ADQUISICIÓN DE EVIDENCIA DIGITAL
www.presman.com.arpres
man.com.ar
2
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Definición de Informatica Forense
“ Es la ciencia de adquirir , preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados en un medio informático ”
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
3
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Evidencia informática = Evidencia Digital = Evidencia Electrónica
• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada
medios electrónicos
�Discos rígidos en computadoras
�Palms / PDA
�Teléfonos celulares
�Cámaras digitales
�Faxes
� ....
4
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Que diferencia la evidencia informatica de la evidencia
tradicional ?
• La volatilidad
• La capacidad de duplicacion
• La facilidad de alterarla
• La cantidad de Metadatos que posee
5
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
El “iceberg” de los datos
DatosDatos ObtenidosObtenidos con con herramientasherramientas comunes comunes (p/(p/ej ej Windows Explorer)Windows Explorer)
DatosDatos adicionalesadicionales obtenidosobtenidoscon con herramientasherramientas forensesforenses
((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, , DificilesDificiles de de obtenerobtener…)…)
6
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Que contiene un archivo de Imagen forense * ?
oCopia bit a bit Archivos
o Metadatos del sistema operativo
o Espacio utilizado y no utilizado
o Slack space
oMecanismos de Validación
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
7
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Que debe hacer una utilidad de imagen forense * ?
o Imagen “cruda” sin alterar el original
o Acceso a discos IDE , SCSI , SATA...
o Verificar la integridad del archivo
o Debe crear un log de errores
o Debe estar documentada
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
8
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
COMO RESGUARDO EVIDENCIA DIGITAL ?
Al resguardar un medio magnético se puede:
1) Hacer una copia Forense(Archivo de evidencia)
2) Hacer un clonado Forense
3) Aportar el disco original
9
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Formatos de Archivos de Imágen
• Formato Abierto : dd�Formato universal de Linux/Unix
• Formato Propietario : Encase ,
FTK , Safeback�Formatos aceptados en numerosas cortes del
mundo y validados por instituciones
independientes
10
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Formato de evidencia “dd”
� Simple de utilizar
� Split externo
� Hash MD5 externo
� Compresión externa
� Checksum externo
� Sin límite de tamaño
11
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Formato de evidencia “Encase”
� Simple de utilizar
� Split y compresión nativa
� Hash MD5
� CRC ajustable /granularidad
� límite de tamaño de cada split 2 GB
� Soporte password de adquisición
12
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ARCHIVOS DE EVIDENCIA
FORMATO 2
FORMATO 1
FORMATO 4
FORMATO 3
FORMATO 5
13
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
INTEROPERABILIDAD DE ARCHIVOS DE
EVIDENCIA
* Compatibilidad de las aplicaciones forenses
* Conversion de Formatos
14
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ARCHIVOS DE EVIDENCIA LOGICA
ARCHIVO DE EVIDENCIA FISICA
•COPIA FISICA
•HASH MD5
•COPIA DE ARCHIVOS LOGICOS
•HASH MD5 DE CADA ARCHIVO
ARCHIVO DE EVIDENCIA LOGICA
15
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
•Adquisición Según el lugar
�Laboratorio
�Campo
•Adquisición por método
�Directa
�Indirecta
16
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
Aspectos a tener en cuenta para elegir el modo de adquisición
� Lugar
� Posibilidad de apertura del CPU
� Tiempo disponible
� Espacio de almacenamiento
17
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
PLATAFORMAS DE ADQUISICION
• Boot DOS/Windows 98 (modificados)http://www.guidancesoftware.com/support/downloads.asp
• Linux : Helix Live CDhttp://www.e-fense.com/helix/
• Windows XP : Encase Forensic /FTK /WinHex ...
18
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
LIVE CD
Puede ser Windows o Linux
Live CD según plataforma
PC Helix , BartPE , EBCD
MAC PPC Ubuntu , BBCD
MAC Intel Helix , EBCD
19
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
CUESTIONES BASICAS PARA LA ADQUISICION EN
EL CAMPO
Acceso al BIOS para :
� Verificar Secuencia de arranque
� Registrar Fecha y hora RTC
• Usualmente no es posible conocer el escenario
de adquisición anticipadamente..
• El paradigma de la apertura
20
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Escenario simple de adquisición en campo
21
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Escenario complejo de adquisición en campo
22
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO DIRECTO
Es el más rápido pero requiere de un bloqueador de
escritura (Write blocker) o un OS (DOS-Linux)
modificado
Pasos a seguir :
1. Extraer disco de PC sospechoso
2. Montar disco en CPU de adquisición
3. Adquirir imagen
4. Reinstalar disco en PC sospechoso
Sospechoso Investigador
23
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
BLOQUEADORES DE ESCRITURA /DUPLICADORES
FORENSES
24
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Directa
Write Blocker para Windows o
adquisición directa para DOS ó
Linux modificados
PC del Investigador
Adquisición DOS
/Windows/ LinuxAlmacenamiento adicional
25
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO INDIRECTO
Permite adquirir sin apertura pero...Donde
guardo la imagen ?
Pasos a seguir :
� Lograr Conectividad equipo de adquisición
� Correr aplicación “Server” en PC
sospechoso
� Adquirir imagen
26
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Indirecta
Almacenamiento adicional USB
Adquisición DOS /
Windows/ Linux
Sospechoso Investigador
27
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Comparativa de Tiempos de Adquisición
• PC Sospechoso/Lab : P4 3 Ghz/512 MB/ HD 2.1 GB IDE
• Notebook Investigador: P4 2.8 Ghz /1536 MB/HD IDE
5 m 58 sDirectoLinux
12 m 49 sDirectoDos
1 m 57 sDirectoWindows
10 m 17 sIndirectoLinux
19 m 35 sIndirectoDOS
Tiempo /GBMétodoOS Adquisición
Los tiempos mejoran un 30 % en discos PATA 133 y un 50
% en SATA usando Fastbloc2 – Al usar compresión el
tiempo aumenta en un factor de 1.3 a 1.5
28
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ADQUISICION DE EVIDENCIA EN RED
�Respuesta a incidentes inmediata
�Adquisición de servidores en
producción
�Adquisición de imágenes de
cualquier nodo
�Adquisición en modo invisible
V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE DELITOS RELACIONADOS CON TECNOLOGÍA INFORMATICA
Ing. Gustavo Daniel Presman
www.presman.com.ar
MUCHAS GRACIAS POR SU PARTICIPACION
Top Related