Análisis Forenses en Sist. Inf.

Slides:



Advertisements
Presentaciones similares
Internet y tecnologías web
Advertisements

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA.
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Cuentas de Usuarios Como Mac OS X es un verdadero sistema operativo multiusuario, por tanto una computadora puede usar mas de un usuario, integrando.
Analisis Forense de evidencias
Analisis Forense de evidencias Imagen windows 2003
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Tesista: Jesús Rubén Hernández Carrillo
Informática accesible para todo mundo.
Protección del ordenador
Javier Rodriguez Granados
¿Qué es el análisis forense? Proceso científico (elaboración y verificación/refutación de hipótesis) mediante el que: se identifican posibles fuentes de.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Presentado por: Lenin Isaías Escobar Mendoza
Juan Luis García Rambla MVP Windows Security
INSTALACIÓN Y MANTENIMIENTO DE SISTEMAS OPERATIVOS
SISTEMAS OPERATIVOS DE UNA RED.
SEGURIDAD INFORMÁTICA
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.
PROTECCIÓN DEL ORDENADOR
Programa Espía spyware.
caja de herramientas del técnico del pc
La Informática forense: combatiendo el crimen
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Sistema Operativo. ¿Qué es el Sistema Operativo? Un sistema operativo (SO) es el conjunto de programas y utilidades software que permiten al usuario interactuar.
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
C.F. P revención de R iesgos P rofesionales Módulo: T ecnologías de la I nformación y la C omunicación en la E mpresa PRP_TICE_fpm.
PROTECCIÓN DEL ORDENADOR
© 2012 Adobe Systems Incorporated. All Rights Reserved. Adobe Confidential. Adobe Acrobat XI.
(C) Universidad de Las Palmas de Gran Canaria
Introducción a los Sistemas Operativos
Tema 4: Los Virus informáticos
PROTECCIÓN DEL ORDENADOR Kevin Victoria & Alex Clemente.
 En internet existen millones de archivos con toda clase de contenidos. Si contamos solo los archivos que puede haber en un ordenador personal existen.
FUNDAMENTOS DE PROGRAMACION
Tema 1 INFORMÁTICA 4ºESO 14/15
PROTECCIÓN DEL ORDENADOR
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Supongamos que un usuario desea escribir un informe e imprimirlo en una impresora conectada. Para realizar esta tarea, se precisa una aplicación de procesamiento.
ANTIVIRUS Bárbara Jambrina Gómez. 4ªA. ¿Que son? Debido al enorme peligro que supone la presencia de virus para la información almacenada en los ordenadores,
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
1 Clase 3 Registro de resultados Tecnología de la Comunicación I.
Análisis forense en sistemas informáticos
Análisis forense en sistemas informáticos
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
Uso del internet en forma segura y legal. Viviendo en Línea «Impacto de la Informática en la sociedad.
Sistemas Operativos Tema 1 INFORMÁTICA 4ºESO 13/14.
Comandos internos y externos
MARIANA PRECIADO VILLA TELECOMUNICACIONES 11º3
S EGURIDAD INFORMÁTICA Alejandro García yus. Entendemos por seguridad informática el conjunto de acciones, herramientas y dispositivos cuyo objetivo es.
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
ANTIMALWARE POR:RODRIGO MEJÍA.
Naime Cecilia del Toro Alvarez
BASE DE DATOS DISTRIBUIDAS
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
MATERIA: HERRAMIENTAS INFORMATICAS PROFESOR: CARLOS CARDONA ALUMNO: EVELYN MARTINEZ CEPEDA.
VIRUS INFORMÁTICOS Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento.
VIRUS INFORMATICOS.
ESTACIONES DE TRABAJO..
AA – B – C – D – E – F – G – H – I – J – K – M – N – O – P – R – S – T – V – W – X – Y – ZBCDEFGHIJKMN OPRST VWXYZ María Alejandra Ruz Toyo.
 PROBLEMA DE INVESTIGACIÓN PROBLEMA DE INVESTIGACIÓN  MARCO TEÓRICO MARCO TEÓRICO  ESTUDIO ACTUAL DE LA RED DE LA INSTITUCIÓN, HONEYPOTS A INSTALAR.
El Sistema Operativo es el software básico necesario para el funcionamiento de cualquier ordenador Los Sistemas Operativos están en continua evolución.
Realizado por Lucia y Florencia.  Es el conjunto de programas encargado de la gestión interna de la computadora, controla el funcionamiento del hardware.
Análisis Forenses en Sist. Inf.
Transcripción de la presentación:

Análisis Forenses en Sist. Inf. Javier Rodríguez Granados

Definición El análisis forense es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia. La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.

Funcionalidad y Fases del análisis 1.Identificación y captura de las evidencias 2.Preservación de las evidencias 3.Análisis de la información obtenida 4.Elaboración de un informe con las conclusiones del análisis forense

Captura de evidencias RFC3227:Guidelines for Evidence Collection and Archiving Ejemplos de evidencias: Registro de acceso a un fichero Cookie de navegación web Tiempo que lleva el sistema sin apagarse Contenido de un fichero Proceso en ejecución Archivo temporal Resto de instalación de un software

Captura de evidencias Principios RFC3227: Legalidad: Se debe tener autorización Reproducible: Utilización de metodología para cada tipo de evidencia Volatilidad: Orden de recogida de evidencias: registros, memoria principal, procesos, discos duros, topología de la red, medio de almacenamiento extraíbles, copias de seguridad Cadena de custodia: Registro de operaciones y personas que han tenido acceso a las evidencias

Preservación de las evidencias Creación de copias digitales de las evidencias para su análisis. Creación de firmas digitales para comprobación de la integridad de las evidencias.

Análisis forense de las evidencias Búsqueda de ficheros sospechosos como virus, troyanos o gusanos Comprobación de la integridad de los ficheros y librerías del sistema Revisión de la configuración del sistema Revisión de los registros de actividad del sistema Búsqueda de información oculta en ficheros, volúmenes o discos Recuperación de información eliminada Ejecución del sistema en un entorno controlado

Elaboración del informe Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el incidente. Es recomendable además realizar los siguientes documentos: Utilización de formularios de registro del incidente. El Informe Técnico. El Informe Ejecutivo.

Respuesta a incidentes Un incidente en seguridad informática esta definido como un evento que atente contra la confidencialidad, integridad y disponibilidad de la información. Algunos tipos de incidentes son: Compromisos de integridad Uso no autorizado Denegación de servicio Daños Intrusiones El proceso para una respuesta a un incidente es el siguiente:

Respuesta a incidentes La respuesta a incidentes persigue los siguientes objetivos: Identificar, designar o custodiar evidencias. Revisar cualquier diario existente de lo que ya se ha hecho en el sistema y/o como se detectó la intrusión Empezar un nuevo diario o mantener el ya existente, instalar herramientas de monitorización (sniffers, detectores de puertos) Sin re-arrancar el sistema o afectar los procesos en ejecución realizar una copia del disco físico Capturar información de red Capturar procesos y ficheros en uso (dll, exe, etc.) Capturar información de configuración Recoger y firmar datos

Análisis de evidencias digitales Tipos de evidencias: Testimonio humano. Evidencias físicas. Evidencias de red. Evidencias de host (memoria, conexiones de red, procesos, usuarios conectados, configuraciones de red, discos).

Análisis de evidencias digitales Consideraciones a tener en cuenta antes de realizar el análisis: NUNCA trabajar con datos ORIGINALES, evidencias, dispositivos, etc.. Respetar la legislación y las políticas de la Organización Documentación Resultados Verificables y Reproducibles No existe un procedimiento estándar.

Análisis de evidencias digitales Preparación del entorno forense: Laboratorio forense. El Sistema de análisis Entorno limpio Aislado de la red Herramientas limpias y esterilizadas Sistema de Simulación Sistema de Pruebas en caliente

Análisis de evidencias digitales Análisis del sistema de ficheros: Análisis de los ficheros corrientes del sistema (Comprobación de integridad de los binarios del sistema, ROOTKITS y Virus) Archivos temporales. Archivos o directorios “ocultos”: Nombres camuflados Archivos borrados Slack space Partición swap Esteganografía, cifrado, etc…

Herramientas de Análisis Forense Las dificultades que se encuentra el investigador a la hora de analizar determinadas evidencias digitales es que los atacantes emplean cada vez herramientas más sigilosas y perfeccionadas para realizar sus asaltos. Por lo tanto no estará de más disponer de un conjunto de herramientas específicas para el análisis de evidencias. Dejando aparte el software comercial, en el que podrá encontrar herramientas específicas como EnCase de la empresa Guidance Software, considerado un estándar en el análisis forense de sistemas, nos centraremos en herramientas de código abierto (Open Source) que se pueden descargar libremente de las páginas de los autores.

The Forensic ToolKit Se trata de una colección de herramientas forenses para plataforma Windows, creada por el equipo de Foundstone. Puede descargarse desde www.foundstone.com. Este ToolKit le permite recopilar información sobre el ataque, y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd.exe.

The Forensic ToolKit

The Sleuth Kit y Autopsy Consiste en una colección de herramientas forenses para entornos UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit (TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd. Se puede descargar desde www.sleuthkit.org Incluye funciones como registro de casos separados e investigaciones múltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, genera la línea temporal de actividad de los archivos (timestamp), permite buscar datos dentro de las imágenes por palabras clave, permite crear notas del investigador e incluso genera informes, etc.

The Sleuth Kit y Autopsy Algunas de las funciones básicas son:

HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. Se puede descargar gratuitamente de: http://www.e-fense.com/helix/.

F.I.R.E. Linux Se trata de otro live CD que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificación sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad. Este live CD está creado y mantenido por William Salusky y puede descargarse gratuitamente desde la dirección http://biatchux.dmzs.com.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.