Forencia Informatica
Lic. Julio C. Ardita
jardita@cybsec. jardita@cybsec.com
17 de Mayo de 2004 Buenos Aires - ARGENTINA
1
© 2004 CYBSEC S.A.
Análisis Forense Informático
Temario
- Análisis Forense Informático. - Preservación de la evidencia. - Metodología de Análisis Forense Informático. - Formas de almacenamiento – Imágenes. - Análisis Forense Windows – Linux.
2
©2004 CYBSEC S.A.
Análisis Forense Informático
Las vulnerabilidades están creciendo
Vulnerabilities Reported 4500 4000 3500 3000 2500 2000 1500 1000 500 0
Vulnerabilities Reported
Source: CMU Computer Emergency Response Team
3
© 2004 CYBSEC S.A.
2003 (Est)
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
AnálisisForense Informático
Crecimiento de incidentes
Network Incidents Reported 180000 160000 140000 120000 100000 80000 60000 40000 20000 0
Network Incidents Reported
2003 (Est) 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002
Source: CMU Computer Emergency Response Team
4
© 2004 CYBSEC S.A.
Análisis Forense Informático
¿Qué son los delitos informáticos?
Sonactos criminales en los cuales se encuentran involucrados las computadoras. 1. Delitos directamente contra computadoras. 2. Delitos donde la computadora contiene evidencia. 3. Delitos donde la computadora es utilizada para cometer el crimen.
5
© 2004 CYBSEC S.A.
Análisis Forense Informático ¿Vale la pena investigar incidentes de seguridad? ¿Qué es lo máximo que se puede lograr? ¿Cuál es el lapolítica de una Compañía ante un incidente?
Tiempo en el que se produce el incidente: 1 hora. Tiempo requerido para el análisis del mismo: 20 horas.
© Estimaciones FBI - 2001
6
© 2004 CYBSEC S.A.
Análisis Forense Informático
Evidencia Digital
La evidencia computacional es única, cuando se la compara con otras formas de “evidencia documental”. A diferencia de la documentación enpapel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia.
7
© 2004 CYBSEC S.A.
Análisis Forense Informático
Análisis Forense Informático
“Es la técnica de capturar,procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.
Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)
La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevaradelante una causa judicial o una negociación extrajudicial.
8
© 2004 CYBSEC S.A.
Análisis Forense Informático
Parte del proceso judicial en relación al análisis forense informático
9
© 2004 CYBSEC S.A.
Análisis Forense Informático
Proceso general
1. Surge un pedido desde un juzgado. 2. Se elabora un Plan (Inteligencia). 3. Se realiza el proceso de “secuestro de evidencia”. 4. Serealizan copias – Cadena de custodia. 5. Se realiza el análisis. 6. Se escribe y presenta el reporte.
© 2004 CYBSEC S.A.
Análisis Forense Informático
¿Por qué el análisis Forense?
Esclarecer actos criminales.
Leyes locales.
Leyes globales (Sarbanes-Oxley, etc).
11
© 2004 CYBSEC S.A.
Análisis Forense Informático
Problemas jurisdiccionales
¿El hecho donde ocurrió? ¿Elintruso donde se encuentra? ¿El país donde ocurrió posee legislación? ¿El país donde estamos posee legislación? ¿Dónde se juzga el hecho?
12
© 2004 CYBSEC S.A.
Análisis Forense Informático
¿Porque la evidencia es tan importante? En la vida real, la evidencia es TODO. Se utiliza para establecer hechos. Permite relacionar los diferentes eventos.
13
© 2004 CYBSEC S.A.
Análisis...
Regístrate para leer el documento completo.