análisis forense
Páginas: 15 (3596 palabras)
Publicado: 15 de abril de 2013
Análisis Forense de un
Sistema Windows
3ª Jornada Tecnológica inFORMANdo
Ismael Valenzuela Espejo
Information Security Specialist
Ismael.valenzuela@isoftplc.com
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Agenda
• Introducción al Análisis Forense
• Fases de una investigación
– Verificación
– Obtención
– Análisis
– Elaboración de informes y custodiade evidencias
• Obtención de evidencias en un sistema Windows
• Aspectos Legales
• Referencias
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Acerca de mí
•
•
•
•
•
•
•
•
•
•
Information Security Specialist en iSOFT, una
compañía del Grupo IBA Health
• Presente en 5 continentes
• Más de 3.500 empleados
Responsabilidades
• Respuesta ante incidentes
• Investigaciones forenses / Log Analysis
• Auditorías de seguridad / Pentests
• Diseño e implementación de políticas,
arquitecturas de seguridad, implementación
de ISO 27001, etc..
Certified Information Systems Security Professional
(CISSP)
Certified Information Security manager (CISM)
SANS GIAC Certified Intrusion Analyst (GCIA)
SANS GIAC Certified ForensicAnalyst (GCFA)
IRCA accredited ISO 27001 Lead Auditor
ITIL Certified
Miembro del SANS GIAC Advisory Board
Instructor de BSi en ISO 27001, ISO 20000 y BS 27999
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
Respuesta a Incidentes vs Análisis Forense
• Fases habituales de la Respuesta a
Incidentes:
– Planificar y preparar– Detección del Incidente
– Contención y Respuesta
– Recuperación
– Análisis (post-mortem)
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
¡¡¡ ME
HAN
¿AHO
HACK
EADO
RA Q
UÉ?
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
!!!
Introducción al Análisis Forense
Respuesta a Incidentes vs Análisis Forense
© iSOFT plc 2008. All rightsreserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• “dos palabras”…
En
•
“Forensic Computing is the
process of identifying, preserving,
analyzing and presenting digital
evidence in a manner that is legally
acceptable” (Rodney McKemmish
1999)
• Se basa en el principio “de
intercambio de Locard ”
• Edmun Locard(1877-1966), criminalista francés.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Principio de intercambio de LOCARD
– “siempre que dos objetos entran en contacto
transfieren parte del material que incorporan al
otro objeto”
© iSOFT plc 2008. All rights reserved. Commercial - in confidence. Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Una investigación forense consta de:
– Identificación de la evidencia (verificación)
– Obtención de la evidencia
– Análisis y evaluación de evidencias
– Presentación y almacenamiento de evidencias
• Incluye los siguientes aspectos:
– IDENTIFICAR, PRESERVAR, ANALIZAR y PRESENTAR la
evidencia de manera adecuada.
– Debe realizarsesiguiendo los estándares apropiados,
especialmente si los resultados tienen que poder admitirse en
un juicio.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Tipos de evidencias:
–
–
–
–
–
–
–
–
Testimonio humano
Tráfico de red
Dispositivos de red
Sistemas Operativos
Bases deDatos
Aplicaciones
Periféricos
Ficheros en discos internos, externos,
USB, CD-ROM, etc…
– Teléfonos
– Impresoras
– …¡TODO!
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Inicio
• Usuarios o personal de TI informan de un posible
incidente
– Cuentas bloqueadas, funcionamiento errático o incorrecto de
aplicaciones, ficheros...
Sistema Windows
3ª Jornada Tecnológica inFORMANdo
Ismael Valenzuela Espejo
Information Security Specialist
Ismael.valenzuela@isoftplc.com
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Agenda
• Introducción al Análisis Forense
• Fases de una investigación
– Verificación
– Obtención
– Análisis
– Elaboración de informes y custodiade evidencias
• Obtención de evidencias en un sistema Windows
• Aspectos Legales
• Referencias
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Acerca de mí
•
•
•
•
•
•
•
•
•
•
Information Security Specialist en iSOFT, una
compañía del Grupo IBA Health
• Presente en 5 continentes
• Más de 3.500 empleados
Responsabilidades
• Respuesta ante incidentes
• Investigaciones forenses / Log Analysis
• Auditorías de seguridad / Pentests
• Diseño e implementación de políticas,
arquitecturas de seguridad, implementación
de ISO 27001, etc..
Certified Information Systems Security Professional
(CISSP)
Certified Information Security manager (CISM)
SANS GIAC Certified Intrusion Analyst (GCIA)
SANS GIAC Certified ForensicAnalyst (GCFA)
IRCA accredited ISO 27001 Lead Auditor
ITIL Certified
Miembro del SANS GIAC Advisory Board
Instructor de BSi en ISO 27001, ISO 20000 y BS 27999
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
Respuesta a Incidentes vs Análisis Forense
• Fases habituales de la Respuesta a
Incidentes:
– Planificar y preparar– Detección del Incidente
– Contención y Respuesta
– Recuperación
– Análisis (post-mortem)
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
¡¡¡ ME
HAN
¿AHO
HACK
EADO
RA Q
UÉ?
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
!!!
Introducción al Análisis Forense
Respuesta a Incidentes vs Análisis Forense
© iSOFT plc 2008. All rightsreserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• “dos palabras”…
En
•
“Forensic Computing is the
process of identifying, preserving,
analyzing and presenting digital
evidence in a manner that is legally
acceptable” (Rodney McKemmish
1999)
• Se basa en el principio “de
intercambio de Locard ”
• Edmun Locard(1877-1966), criminalista francés.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Principio de intercambio de LOCARD
– “siempre que dos objetos entran en contacto
transfieren parte del material que incorporan al
otro objeto”
© iSOFT plc 2008. All rights reserved. Commercial - in confidence. Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Una investigación forense consta de:
– Identificación de la evidencia (verificación)
– Obtención de la evidencia
– Análisis y evaluación de evidencias
– Presentación y almacenamiento de evidencias
• Incluye los siguientes aspectos:
– IDENTIFICAR, PRESERVAR, ANALIZAR y PRESENTAR la
evidencia de manera adecuada.
– Debe realizarsesiguiendo los estándares apropiados,
especialmente si los resultados tienen que poder admitirse en
un juicio.
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Introducción al Análisis Forense
¿Qué es un Análisis Forense?
• Tipos de evidencias:
–
–
–
–
–
–
–
–
Testimonio humano
Tráfico de red
Dispositivos de red
Sistemas Operativos
Bases deDatos
Aplicaciones
Periféricos
Ficheros en discos internos, externos,
USB, CD-ROM, etc…
– Teléfonos
– Impresoras
– …¡TODO!
© iSOFT plc 2008. All rights reserved. Commercial - in confidence.
Fases de una Investigación
Inicio
• Usuarios o personal de TI informan de un posible
incidente
– Cuentas bloqueadas, funcionamiento errático o incorrecto de
aplicaciones, ficheros...
Leer documento completo
Regístrate para leer el documento completo.