Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.

Slides:



Advertisements
Presentaciones similares
CADENA DE CUSTODIA QUÉ ES?
Advertisements

para Exchange Archivo del correo interno y externo
INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA.
TechNet: Introducción a Microsoft Operations Manager Ana Alfaro García Coordinadora de Eventos TechNet.
Analisis Forense de evidencias
Analisis Forense de evidencias Imagen windows 2003
INFRAESTRUCTURA DE CLAVE PÚBLICA
Código: HOL-SEG05. Definición de análisis forense Buenas prácticas a la hora de analizar datos Análisis logs en aplicaciones Análisis logs en Sistema.
Análisis Forenses en Sist. Inf.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
OBJETO REQUEST. El objeto Request Por qué el objeto request Funcionamiento Colecciones: – Transferencia de variables por URL –Transferencia de variables.
Juan Luis García Rambla MVP Windows Security
Auditoria Informática Unidad II
SEGURIDAD INFORMÁTICA
Firewall Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso.
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
SERVIDOR.
ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS
ConceptoDefiniciónCaracterísticas (palabra clave) Ejemplo/Aplicación Sistema operativo Un sistema operativo es un software, es decir, forma parte de la.
PROTECCIÓN DEL ORDENADOR
Programa Espía spyware.
La Informática forense: combatiendo el crimen
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
REGISTRO DE WINDOWS.
Yandros Domínguez González Ana Hernández Marichal.
1 5. La Búsqueda (I) Los ordenadores almacenan gran cantidad de información…  Hay que clasificarla y ordenarla para encontrarla con facilidad. ¿Y si no.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
Ing. Arsenio A. Cardone1 Seminario “Derecho, Economía e Internet” “Delitos informáticos contemplados en el Código Penal” Prueba Ing. Arsenio Antonio Cardone.
Respaldando la información
 En la actualidad es complicado permanecer en un anonimato absoluto cuando se navega por la Red, sin embargo, sí es posible dificultar la tarea de los.
Tema 13: privacidad en la red Andrea Sánchez Ferriol Arancha Valero García.
Tema 4: Los Virus informáticos

PROTECCIÓN DEL ORDENADOR Kevin Victoria & Alex Clemente.
TEMA 3 PROTECCIÓN DEL ORDENADOR. Virus informáticos Gusanos: Viajan en secreto a través de equipos, recogiendo información programada. Bombas lógicas.
Temas: Virus-antivirus. Protección contra problemas de corrientes. Proteccion por contraseñas. Proteccion con backups. Potreccion contra intrusos.
COMPONENTES DEL SISTEMA OPERATIVO.
Andrés Felipe Hurtado Álvarez. Historia  1949: Se da el primer indicio de definición de virus. Julio Verne de la informática  1970:Nace "Creeper" que.
Universidad Nacional Autónoma de Honduras- Valle de Sula Wikis y Foros Carrera de Pedagogía.
COMPARTIR DOCUMENTOS JOHANCAMILO LESMES IPIALES TECNOLOGO GESTION ADMINISTRATIVA FICHA:
Auditoria en la infraestructura y seguridad de la información
 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)
CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
Es un malware que tiene por objetivo dañar los programas de una computadora y hacerle daño a el usuario en sus trabajos y no permitirles que puedan navegar.
¿Qué es Google Docs? Google Docs es una sencilla pero potente suite ofimática, todo en línea. Nos permite crear nuevos documentos, editar los que ya teníamos.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
VIRUS COMPUTACIONALES.
Análisis forense en sistemas informáticos
Análisis forense en sistemas informáticos
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
Analisis Forense de evidencias Imagen windows 2003
Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.
La seguridad de la Información
ANTIMALWARE POR:RODRIGO MEJÍA.
Seguridad informática
 Protección contra problemas de corriente.  Protección por contraseñas.  Protección con Backup.  Protección contra intrusos (Internet).
MATERIA: HERRAMIENTAS INFORMATICAS PROFESOR: CARLOS CARDONA ALUMNO: EVELYN MARTINEZ CEPEDA.
VIRUS INFORMÁTICOS Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento.
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
LA SEGURIDAD INFORMÁTICA
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
TIPOS DE ATAQUES Y VULNERABILIDADES EN UNA RED
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
La computadora: mantenimiento y seguridad Unidad 2 Taller de herramientas para la traducción Traductorado Público en idioma inglés Facultad de Lenguas.
Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación.
Transcripción de la presentación:

Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.

Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder... !No¡

La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. AuditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.

Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Preservación. Recogida. Examinación. Análisis.

Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense. La cadena de custodia es una necesidad en casos judicializados

Existe una serie de principios para la toma de información. ¿El caso se va a denunciar o judicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias?

La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias.

Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger y analizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.

De cara a recopilar datos, este debería ser el orden en función de la volatilidad de los datos: Cache y registro. Tablas de enrutamiento, caché ARP, procesos, estadísticas de kernell y memoria. Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos.

Admisible. Auténtica. Completa. Creíble. Entendible.

Apagar la máquina sin haber recogido las evidencias (cuando sea plausible). No ejecutar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias.

Aquellas que vulneren la intimidad o revelen información personal. Caso: evidencias.html Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedan demostrarse como no manipuladas.

Deben realizarse varias copias de la información. Deben almacenarse en un lugar seguro y a salvo de alteración o destrucción. Debe establecerse una cadena de custodia.

Determina como se ha procedido con las evidencias y su almacenamiento. Debe constatarse: Quien, cuando, donde y como se han tomado las evidencias. Quien, cuando y como se han analizado las evidencias. Quien y durante cuanto tiempo se ha custodiado la evidencia. Cuando y entre quien han cambiado la custodia de las evidencias.

Las evidencias digitales deben ser tomadas de forma binaria. Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH. Se recomienda por seguridad la firma SHA-1 frente a MD5.

La evidencias pueden tomarse mediante tecnología. Hardware. Es menos flexible pero admite menos manipulación y son más rápidas. Software. Permite copias de un mayor tipo de dispositivos, pero es más lenta y admite fallos que pueden alterar los datos.

Cada contacto deja un rastro

Búsqueda de ficheros y datos críticos para el caso. Aplicación de principios de línea temporal. Búsqueda de ficheros discordantes. Detección de ficheros basados en firmas. Búsqueda de palabras clave. Recuperación de datos eliminados.

Papelera de reciclaje Archivo de paginación Restauración del sistema Reconstrucción de la bitácora de navegación Archivos temporales Documentos recientes Etc..

Contiene información sobre la aplicación Información sobre qué hace la aplicación por debajo Registro de usuarios Passwords Fecha y hora de acceso a la información Direcciones IP Etc.…

IIS (Internet Information Server) Visor de eventos Windows Update TimeLine de ficheros Prefetch Tablas ARP Logs SQL Server Archivos de registro de Windows SAM, SYSTEM, SOFTWARE, etc.… UN BUEN EQUIPO RELAX Y PACIENCIA

No todo lo que se ve es lo que dice ser. Para buscar es necesario conocer primero. El análisis online prima sobre el análisis offline. A veces solo determinados elementos son descubiertos con el sistema activo.

Análisis de procesos. Análisis de servicios. Análisis de la memoria Ram. Búsqueda en el registro. Análisis de la información de red.

Hay elementos ocultos o utilizando mecanismos de esteganografía. ¿Son verdaderos procesos del sistema los que se están ejecutando? ¿Qué se ejecuta en cada puerto? ¿Qué información se envía por la red? Hay rastros de sistemas antiforenses.

Salvaguarda la información. Binario. Hash. Ficheros de cadena de custodia. Forma de recoger las evidencias. Imagen DD. Clonación binario. A tener en cuenta. Si el destino de la copia ha sido utilizado wipear disco.

Recuperación de información eliminada. Análisis de la información de disco. Búsqueda de información según datos aportados en las reuniones. Análisis y búsqueda de información ocultada por técnicas de ocultación. Uso de la línea temporal para el análisis de la información. Recuperación de correos y ficheros según técnicas KFF.

Análisis de la información de disco. Búsqueda de ficheros por comportamiento. Búsqueda de palabras clave internet. Análisis de la papelera de reciclaje. Búsqueda de marcas de aplicaciones antiforense.

Análisis de rootkits. Detectar la posible ocultación de procesos, aplicaciones, carpetas, fichero, etc. Eliminación de posibles rootkits. Volver a analizar posibles rootkits. Análisis de procesos. Búsqueda de rutas de carga de procesos en el sistema: registro, inicios, win.ini, etc. Búsqueda de rutas de procesos discordantes. Análisis de los procesos / puertos. Análisis por comportamiento.

Claves. Búsqueda de ficheros ocultos por técnicas de ocultación de ficheros: ADS. Antiforense. Slack. Etc. Búsqueda de posibles procesos de sistema con rutas diferentes de los originales. Búsqueda de procesos persistentes. Análisis de puertos / procesos.

Claves. Análisis de procesos por provocación. Carga de procesos unidos a otros procesos. Búsqueda de plugins / BHO. Análisis de librerias y ejecutables. Búsqueda de ficheros cargados o modificados por librerias y/o ejecutables.

Claves. Búsqueda de contraseñas. Búsqueda de información relativa a la navegación. Análisis de uso del equipo (tiempos).

Análisis del tráfico de red y procesos que intercambian información. Uso de analizadores de procesos y comunicaciones. Usos de analizadores de red.

Búsqueda en el fichero de paginación. Búsqueda en memoria. Volcado de memoria. Imágenes de memoria.

Búsqueda de logs. Uso de consolidadores de logs. Detección de la información. Cruce de eventos.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.