Análisis forence digital
Páginas: 7 (1600 palabras)
Publicado: 25 de julio de 2010
Juan Luis García Rambla MVP Windows Security jlrambla@informatica64.com
Agenda
Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
El análisis forense
Cuando algo ha pasado que nos queda:
Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemoshacer para evitar que vuelva a suceder... !No¡
Análisis basados en modelos.
La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR.
R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisisde la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.
Digital Forensics Research Workshops (DFRW)
Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos:
Identificación. Preservación. Recogida. Examinación.Análisis.
Introducción
Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados Recogida y almacenamiento
Existe una serie de principios para la toma de información. ¿El caso se va a denunciar ojudicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias?
IETF RFC 3227
La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Estaguía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias.
Guía de principios
Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger yanalizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.
La volatilidad de los datos
De cara a recopilar datos, este debería ser el orden en función dela volatilidad de los datos:
Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos.
Consideraciones legales
Admisible. Auténtica. Completa. Creíble. Entendible.
Cosas a evitar
Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). Noejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias.
Evidencias invalidadas
Aquellas que vulneren la intimidad o revelen información personal.
Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-lasevidencias.html
Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedandemostrarse como no manipuladas.
Almacenamiento de las evidencias
Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia.
Cadena de custodia
Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse:
Quien, cuando, donde y como se han tomado las...
Agenda
Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
El análisis forense
Cuando algo ha pasado que nos queda:
Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemoshacer para evitar que vuelva a suceder... !No¡
Análisis basados en modelos.
La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR.
R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisisde la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.
Digital Forensics Research Workshops (DFRW)
Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos:
Identificación. Preservación. Recogida. Examinación.Análisis.
Introducción
Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados Recogida y almacenamiento
Existe una serie de principios para la toma de información. ¿El caso se va a denunciar ojudicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias?
IETF RFC 3227
La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Estaguía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias.
Guía de principios
Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger yanalizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.
La volatilidad de los datos
De cara a recopilar datos, este debería ser el orden en función dela volatilidad de los datos:
Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos.
Consideraciones legales
Admisible. Auténtica. Completa. Creíble. Entendible.
Cosas a evitar
Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). Noejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias.
Evidencias invalidadas
Aquellas que vulneren la intimidad o revelen información personal.
Caso: http://legalidadinformatica.blogspot.com/2008/01/cuidado-con-lasevidencias.html
Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedandemostrarse como no manipuladas.
Almacenamiento de las evidencias
Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia.
Cadena de custodia
Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse:
Quien, cuando, donde y como se han tomado las...
Leer documento completo
Regístrate para leer el documento completo.