USC Forense
Páginas: 10 (2317 palabras)
Publicado: 22 de junio de 2015
Análisis Forense de
Sistemas
Rafael Calzada Pradas
Universidad Carlos III de Madrid
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Agenda
●
Introducción Teórica
●
Aspectos Legales
●
Preparación
●
●
Análisis de un sistema
Windows 2000
2
Análisis de un sistema
GNU/Linux
●
Conclusiones
●
Referencias
II Foro de Seguridad de RedIRIS
Análisis Forense de SistemasIntroducción Teórica al
Análisis Forense de Sistemas
3
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Introducción
●
●
Ciencia aplicada para hallar/descubrir la
verdad
Principio de intercambio de Locard
Cada contacto deja un rastro
Escena del crimen
4
Evidencia
Sospechoso
Víctima
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Principio de Locard
(versióndigital)
El intruso sube herramientas al equipo asaltado
Alertas de
equipos de
monitorización
Escena del crimen
Traza de
conexiones
Evidencia
Sospechoso
5
Histórico
de últimas
conexiones
Víctima
Contienen ficheros
con el mismo hash
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Análisis Forense
(versión digital)
●
●
●
●
Duplicación exacta de evidencias
Comprobación demodificación/falsificación
de evidencias
Díficultad de borrado
Posiblidad de disponer de varias copias de
evidencias, para evitar destrucción.
6
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Gestión de incidentes
Preparación
Detección
Análisis forense
Selección de estrategia de respuesta
Recuperación
7
Seguimiento
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Ciclo devida de análisis
forense de las evidencias
Preparación
Forense
Funcionamiento
Funcionamiento
Conciencia
8
Aprendizaje
Investigación
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Objetivos
●
Saber que ha sucedido
●
Determinar la magnitud del incidente
●
Determinar otras entidades implicadas
●
●
9
●
Prevenir y mejorar la preparación para
incidentes futuros
Eliminar elriesgo y las posibles
responsabilidades
Si es necesario, denunciar
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
10
Fases del Análisis Forense
●
Identificación
●
Preservación de la evidencia
●
Análisis
●
Informe
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
11
Identificación
●
●
¿Quién puede recoger las evidencias?
–
Con evidencias físicas, sólo unexperto
autorizado
–
Con evidencias digitales...
En España,
–
Hacer la recogida de evidencias de forma
metódica
–
Hoja de identificación firmada por testigos, con
checksum md5 o sha1
–
Si es caso se preve grave, avisar a las fuerzas
del orden
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
12
Principio de indeterminación
de Heisenberg
●
No puedo obtener el estado de un sistemasin alterarlo
–
●
Tratar de obtener la mayor información posible
con el mínimo impacto
Normalmente el administrador detecta el
incidente
–
–
–
–
Cambia contraseñas
Reinicia, actualiza, instala, etc
La mayor parte de las veces sin éxito
Preguntar y anotar todo lo realizado por el
administrador
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
13
Cadena de confianza
●
Los datosserán tan fiables como las
herramientas utilizadas para obtenerlos
–
●
Tener preparado CD y disquete con
herramientas fiables
–
●
Rootkit no es el final del análisis
Permiten eludir rootkits de aplicación
Nunca descartar rootkits de sistema
–
Pueden aparecer al analizar las evidencias
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
14
Sólo tendremos una
oportunidad pararecoger
evidencias
●
●
●
●
El responsable del equipo afectado quiere
recuperar el sistema
El responsable del servicio quiere volver a
prestarlo
El responsable de seguridad/análista
necesita tiempo
Hay que recoger las evidencias
–
Bien
–
A la primera
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
15
Aislar la escena
●
TODOS son sospechosos
–
●
Especialmente si es un...
Sistemas
Rafael Calzada Pradas
Universidad Carlos III de Madrid
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Agenda
●
Introducción Teórica
●
Aspectos Legales
●
Preparación
●
●
Análisis de un sistema
Windows 2000
2
Análisis de un sistema
GNU/Linux
●
Conclusiones
●
Referencias
II Foro de Seguridad de RedIRIS
Análisis Forense de SistemasIntroducción Teórica al
Análisis Forense de Sistemas
3
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Introducción
●
●
Ciencia aplicada para hallar/descubrir la
verdad
Principio de intercambio de Locard
Cada contacto deja un rastro
Escena del crimen
4
Evidencia
Sospechoso
Víctima
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Principio de Locard
(versióndigital)
El intruso sube herramientas al equipo asaltado
Alertas de
equipos de
monitorización
Escena del crimen
Traza de
conexiones
Evidencia
Sospechoso
5
Histórico
de últimas
conexiones
Víctima
Contienen ficheros
con el mismo hash
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Análisis Forense
(versión digital)
●
●
●
●
Duplicación exacta de evidencias
Comprobación demodificación/falsificación
de evidencias
Díficultad de borrado
Posiblidad de disponer de varias copias de
evidencias, para evitar destrucción.
6
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Gestión de incidentes
Preparación
Detección
Análisis forense
Selección de estrategia de respuesta
Recuperación
7
Seguimiento
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Ciclo devida de análisis
forense de las evidencias
Preparación
Forense
Funcionamiento
Funcionamiento
Conciencia
8
Aprendizaje
Investigación
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
Objetivos
●
Saber que ha sucedido
●
Determinar la magnitud del incidente
●
Determinar otras entidades implicadas
●
●
9
●
Prevenir y mejorar la preparación para
incidentes futuros
Eliminar elriesgo y las posibles
responsabilidades
Si es necesario, denunciar
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
10
Fases del Análisis Forense
●
Identificación
●
Preservación de la evidencia
●
Análisis
●
Informe
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
11
Identificación
●
●
¿Quién puede recoger las evidencias?
–
Con evidencias físicas, sólo unexperto
autorizado
–
Con evidencias digitales...
En España,
–
Hacer la recogida de evidencias de forma
metódica
–
Hoja de identificación firmada por testigos, con
checksum md5 o sha1
–
Si es caso se preve grave, avisar a las fuerzas
del orden
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
12
Principio de indeterminación
de Heisenberg
●
No puedo obtener el estado de un sistemasin alterarlo
–
●
Tratar de obtener la mayor información posible
con el mínimo impacto
Normalmente el administrador detecta el
incidente
–
–
–
–
Cambia contraseñas
Reinicia, actualiza, instala, etc
La mayor parte de las veces sin éxito
Preguntar y anotar todo lo realizado por el
administrador
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
13
Cadena de confianza
●
Los datosserán tan fiables como las
herramientas utilizadas para obtenerlos
–
●
Tener preparado CD y disquete con
herramientas fiables
–
●
Rootkit no es el final del análisis
Permiten eludir rootkits de aplicación
Nunca descartar rootkits de sistema
–
Pueden aparecer al analizar las evidencias
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
14
Sólo tendremos una
oportunidad pararecoger
evidencias
●
●
●
●
El responsable del equipo afectado quiere
recuperar el sistema
El responsable del servicio quiere volver a
prestarlo
El responsable de seguridad/análista
necesita tiempo
Hay que recoger las evidencias
–
Bien
–
A la primera
II Foro de Seguridad de RedIRIS
Análisis Forense de Sistemas
15
Aislar la escena
●
TODOS son sospechosos
–
●
Especialmente si es un...
Leer documento completo
Regístrate para leer el documento completo.