INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de 2008 1 TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA.

Slides:



Advertisements
Presentaciones similares
INTRODUCCIÓN A WINDOWS
Advertisements

para Exchange Archivo del correo interno y externo
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
Control Interno Informático. Concepto
Aclaraciones de la Realización del Producto
Fernando Escribano Pro 1º de Bachillerato
1er Flash mob sobre Digital Forensics CP4DF Comentarios y sugerencias
Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Caracterización de la red existente
INFORMÁTICA BÁSICA.
Diseñar un sistema que permita al usuario desde un teléfono móvil acceder a su computador personal (o servidor) a través de WAP para administrar algunos.
Análisis Forenses en Sist. Inf.
Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.
INSTITUTO TECNICO DE CAPACITACION TECNICO Y PRODUCTIVIDAD
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Juan Luis García Rambla MVP Windows Security
Guía para la evaluación de seguridad en un sistema
PASOS PARA EL FORMATEO DE UN PC
12.4 Seguridad de los archivos del sistema
El propósito del almacenamiento es guardar datos que la computadora no esté usando. El almacenamiento tiene tres ventajas sobre la memoria: Hay más espacio.
Políticas de Seguridad por Julio César Moreno Duque
Introducción a los Conceptos de Bases de Datos Docente: Ing. Marleny Soria Medina.
1 Aula de Informática del Centro de Participación Activa para Personas Mayores de El Ejido (Almería). Consejería Territorial de Salud y Bienestar Social.
AUDITORIA FINANCIERA FREDIS JOSE ARRIETA BARROSO UNIVERDSIDAD DE CORDOBA UNIDAD DE APRENDIZAJE II 2008.
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
Gerardo Bolaños Pérez David Olguín Orozco José Carlos Magallon Salazar
PARTICIÓN DE DISCOS - HERRAMIENTAS
Bootable USB nos permite crear desde el propio programa una unidad USBbooteable para instalar Windows en cualquiera de las versiones mencionadas anteriormente.
Respaldando la información
INSTALACION DE SISTEMAS OPERATIVOS
NORMA INTERNACIONAL DE AUDITORÍA 540
Ing. Cristhian Quezada Asenjo

MANTENIMIENTO PREVENTIVO Y CORRECTIVO
Organización del Departamento de Auditoria Informática
 1.-Lo primero que hay que hacer, es comprobar si nuestra placa base soporta el arranque desde USB. Para ello se puede utilizar el propio manual de instrucciones.
COMPONENTES DEL SISTEMA OPERATIVO.
 - Realizar periódicas copias de seguridad de nuestros datos.  - No aceptar software no original o pre-instalado sin el soporte original.  - Proteger.
Jazivi Hoil Burgos Valeria Vázquez Salazar Cristina Sosa Hernández 4-A tsmec Mantenimiento a distancia.
Seguridad DNS. Javier Rodríguez Granados.
S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.
Unidades de almacenamiento
PARTES INTERNAS DEL COMPUTADOR
Supongamos que un usuario desea escribir un informe e imprimirlo en una impresora conectada. Para realizar esta tarea, se precisa una aplicación de procesamiento.
PASOS PARA BOOTEAR DESDE UN USB Cinthya Ibarra Figueroa.
Políticas de defensa en profundidad: - Defensa perimetral
AUDITORIA NIA 500 “EVIDENCIA DE AUDITORIA”
SGSI: Sistemas de Gestión de la Seguridad de la Información
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor.
Análisis forense en sistemas informáticos
Análisis forense en sistemas informáticos
MEDIOS DE ALMACENAMIENTO
Partes de la tarjeta madre
Unidad 7 Escritorio de Windows.
DISPOSITIVOS DE ALMACENAMIENTO
Paso 1 Introducimos el CD de instalación de Windows XP en la unidad de CD- ROM. Reiniciamos el PC y tenemos que configurar la BIOS para que el ordenador.
TIPOS DE PRUEBAS DEL SOFTWARE
LA MEJORA DE LOS PROCESOS
  LA BIOS ( Basic input/output system )  Fue inventado por Gary Kildall en Es un tipo de Software muy básico que localiza el Sistema Operativo.
DISCOS RAID (Redundant Array of Independent Disks)
Es el conjunto de ordenadores y dispositivos electrónicos conectados entre si cuya finalidad es compartir información.
VIRUS INFORMATICOS.
ESTACIONES DE TRABAJO..
Universidad Latina CONTROL INTERNO.
Hardware Los componentes y dispositivos del Hardware se dividen en Hardware Básico y Hardware Complementario El Hardware Básico: son las piezas fundamentales.
INVESTIGACION DE TEMARIO JOSE LUIS VEGA MERINO.  1.2. Requerimientos de instalación.  Microsoft Windows 7 Professional y Microsoft Windows 7 Ultimate.
 Software  Humanware  Hardware Conformado por.
Entregables del Proyecto
Todas las computadoras de escritorio y portátiles ( o laptop) tienen una tarjeta gráfica integrada (compartida) la memoria es compartida, ósea que usan.
Estudio técnico El objetivo de este estudio es verificar la posibilidad técnica de fabricación del producto o prestación del servicio que pretende realizar.
Transcripción de la presentación:

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA DE DILIGENCIAS DE ENTRADA Y REGISTRO Joaquín Anguas Balsera Perito Ingeniero en Informática

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Desarrollo Diligencias de entrada y registro Técnicas de reinicio en frío Aplicación

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Diligencias de Entrada y Registro ¿Cuántos de Uds. se han visto expuestos? También aplica a las diligencias previas (de comprobación de hechos y de aseguramiento de prueba). Acto de investigación ordenado por un juez consistente en el acceso a un local con el objeto de buscar y recoger fuentes de investigación y prueba. Comisión judicial constituida por secretario judicial, fuerzas del orden y/o peritos en el local objeto de la diligencia. Se lleva a cabo ante testigos y el imputado o demandado, o su legal representante.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Diligencias de Entrada y Registro El secretario judicial levanta acta de la diligencia, por tanto todo lo que se realice debe ser lo más atómico y fácil de documentar posible. Se debe minimizar el perjuicio para el que soporta la diligencia. Es una actuación en la que no cabe volveré mañana por razones obvias y cualquier error puede comprometer la prueba en su origen.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Operativa: en frío y en caliente En el caso de las diligencias en las que interviene la informática, durante tiempo se ha optado por desenchufar los equipos para evitar que cualquier evento interno o externo pueda comprometer la prueba. Una vez desenchufado, se copia bit a bit el contenido de los discos. La necesidad de comprobar circunstancias que requieren que el sistema esté funcionando han dirigido las diligencias hacia la captación en caliente. La captación en caliente abre la puerta a discutir herramientas y métodos, ya que es más intrusiva.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Técnicas de Reinicio en Frío Propuestas por Halderman et al **. Se basan en la persistencia de la memoria DRAM. Se plantean como vulnerabilidad de los sistemas de encriptación de disco. Halderman et al. demuestran que efectivamente se puede capturar la memoria volátil de forma similar al contenido de un disco duro. Consiguen además capturar claves de encriptación de la memoria y desencriptan discos encriptados en varios sistemas. **

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de ¿En qué consisten? La memoria DRAM no pierde sus valores instantáneamente. Se trata de apagar de forma abrupta el sistema objeto para encenderlo inmediatamente, de forma que la memoria mantiene su valor original. Dada la influencia de la temperatura en la pérdida de la información, se propone enfriar los módulos de memoria con una lata de gas comprimido invertida.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Escenarios Halderman et al. han desarrollado un pequeño sistema de arranque que incluye una aplicación de copia. Inicio desde USB, en el mismo soporte se arranca se deposita la copia. Es necesario un soporte por captura. El soporte debe tener la misma capacidad que la memoria a capturar. Inicio desde red, el arranque y la copia se realiza por red. Se conecta un ordenador al objeto de registro con un cable de red cruzado. El ordenador está configurado para servir una dirección IP y una imagen de arranque PXE. Dicha imagen arranca y copia la memoria. Inicio desde CD-ROM, se arrancaría desde CD-ROM y se copiaría a un dispositivo extraíble.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de ¿Cuándo utilizarlas? Cuando sea materialmente posible. Cuando se sospeche que se está utilizando alguna forma de encriptación de disco. Cuando se precise capturar el estado de ejecución del sistema a registrar. Ejemplos: intentos de intrusión, control de redes de BOTs, malware, etc.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de A tener en cuenta… Es preciso que el sistema se encuentre en funcionamiento. Debe ser posible acceder a los módulos de memoria. Debe ser posible verificar en el BIOS que no se realiza comprobación de memoria en el arranque. Si el tipo de memoria es ECC, debe disponerse de otro equipo que acepte el mismo tipo de memoria no ECC. Debe ser posible arrancar el sistema de arranque y copia (usb, cd-rom o red) Debe ser posible copiar la imagen de la memoria a un dispositivo externo.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de A tener en cuenta… El procedimiento se debe ensayar, tanto para el caso canónico como para las posibles diferentes variaciones, ya que puede tener efectos adversos si no se ejecuta correctamente. Debe identificarse adecuadamente cada elemento que se utilice. Todas las acciones deben documentarse, referenciarse y practicarse a la vista del denunciado / imputado o testigos y la comisión judicial. Deben identificarse claramente los medios en los que se deposite la copia. Es recomendable calcular un resumen (hash) y añadirlo como listado en el informe asociado a la diligencia.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de Conclusiones Debidamente ejecutadas, las técnicas de reinicio en frío pueden ofrecen una nueva forma de capturar el conjunto de evidencias residentes en memoria volátil en aquellos casos en los que esto sea necesario. Siendo una práctica de riesgo, se debe restringir su uso a aquellos casos en los que se sospeche que la eficacia de la medida está comprometida.

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de ¿Preguntas?

INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de ¡Gracias!

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.