La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Informática Forense William Ivan Alejandro Llanos Torrico

Publicada porElmira Coreas Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Informática Forense William Ivan Alejandro Llanos Torrico"— Transcripción de la presentación:

1 Informática Forense William Ivan Alejandro Llanos Torrico

2 Dispositivos de almacenamiento
Los datos nos se borran completamente

3 Fuente: http://buscon.rae.es/draeI
Etimología El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado” Fuente:

4 Definición y objetivo La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada.

5 Definición La informática forense en una ciencia que involucra:
- la ubicación - recuperación - preservación, - identificación, - extracción, - documentación - interpretación y - presentación de datos que han sido procesados electrónicamente y guardos en un medio computacional con fines legales.

6 Quiénes usan la Informática Forense?
Jueces y fiscales (materia penal) Jueces (materia civil) Compañias de seguro Corporaciones privadas Policías Personas particulares Requerimiento de forenses informáticos

7 Escena del crimen

8 Escena del crimen

9

10 RFC 3227 Guía para la recolección y almacenamiento de evidencias
Las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa. Las circunstancias varían en función de muchas características: - Los sistemas operativos involucrados. - Donde se encuentra la información. - Las consecuencias legales. - Que herramientas utilizamos para la toma de información Esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe.

11 Requerimientos Hardware BIOS
Familiaridad con dispositivos internos y externos de un computador Profundo conocimiento de discos duros y configuraciones Conocimiento de tarjetas madre y configuración de chips Conexiones de alimentación Memorias BIOS Entender cómo funcina el BIOS Familiaridad con varios tipos de configuración y limitaciones de BIOS

12 Requerimietos (cont) Sistemas Operativos Software
Windows 3.1/95/98/ME/NT/2000/2003/XP DOS MAC LINUX Software Familiaridad con la mayoría de los paquetes comerciales populares Herramientas forenses Familiaridad con las técnicas forenses

13 Pasos a seguir 1/28 Inventario

14 Pasos a seguir 2/28 Fotografiar los equipos

15 Pasos a seguir 3/28 Fotografiar las conexiones

16 Pasos a seguir 4/28 Fotografiar pantallas

17 Recolección de información volátil
Pasos a seguir 5/28 Recolección de información volátil 1. date and time RFC 3227

18 Recolección de información volátil
Pasos a seguir 6/28 Recolección de información volátil 2. netstat -na Conexiones activas

19 Recolección de información volátil
Pasos a seguir 7/28 Recolección de información volátil 3. ipconfig /all Configuración de red

20 Recolección de información volátil
Pasos a seguir 8/28 Recolección de información volátil 4. systeminfo Información del sistema

21 Recolección de información volátil
Pasos a seguir 9/28 Recolección de información volátil 5. doskey /history Histórico de comandos

22 Recolección de información volátil
Pasos a seguir 10/28 Recolección de información volátil 5. psloggedon.exe Usuarios logueados al sistema

23 Recolección de información volátil
Pasos a seguir 11/28 Recolección de información volátil 5. pslist.exe Procesos corriendo

24

25 Pasos a seguir 12/28 Desconectar la conectividad

26 Pasos a seguir 13/28 Guardar la evidencia

27 Proteger la cadena de custodia
Pasos a seguir 14/28 Proteger la cadena de custodia - ¿ Qués es la evidencia ? - ¿ Cómo se la obtuvo ? - ¿ Cuando fue obtenida ? - ¿ Quién la obtuvo ? - ¿ Donde viajo y donde fue guardada ?

28 Adquisición/preservación de la evidencia por HW
Pasos a seguir 15/28 Adquisición/preservación de la evidencia por HW

29 Pasos a seguir 16/28 Adquisición/preservación de la evidencia por SW

30

31 Autenticación de la evidencia
Pasos a seguir 17/28 Autenticación de la evidencia ¿ Qué es un Hash ? - Método para generar una firma que represente de manera unívoca a un archivo. - Algunos algoritmos criptográficos usados: MD5 o SHA-1. - Gran cantidad de programas, como md5sum o md5deep. - ¿ Para qué sirve ? - Verificar que la evidencia no se ha modificado. - Identificar unívocamente a un archivo. - Realizar búsquedas de Hashes.

32 Pasos a seguir 18/28 Identificación
Datos que serán recuperados y herramientas que serán utilizadas NO SE EMPIEZA una análisis explorando archivos al azar

33 Análisis de la papelera de reciclaje
Pasos a seguir 19/28 Análisis de la papelera de reciclaje ¿ Cómo funciona la Papelera de Reciclaje ? • Directorio oculto “RECYCLER”. • Directorios con el SID de cada usuario. • Posee un archivo oculto llamado INFO2. ¿ Dónde se guarda el archivo INFO2 ? • Windows 95/98/ME c:\Recycled\INFO2 • Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2>

34 Análisis de la papelera de reciclaje
Pasos a seguir 19/28 Análisis de la papelera de reciclaje - “cd RECYCLER” - “dir /ah”

35 Pasos a seguir 20/28 Análisis de metadatos
Documentos, tales como, Word, Excel, Powerpoint, etc. Contienes información sensible a la hora de realizas análisis. Metavier, de PINPOINT es una aplicación gratuita que muestra los metatags que estan incrustrados dentro de estos archivos

36 Análisis de archivos de intercambio
Pasos a seguir 21/28 Análisis de archivos de intercambio Internet explorer guarda una copia de las páginas visitadas en el disco duro. Se puede borrar el cache de disco desde el propio Internet Explorer. El problema es que esta opción borra todo el contenido del historial de internet (los archivos html, los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat. Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema Desde el DOS C:\Documents and Settings\user_name\ onfiguración local\Historial\History.IE5> find /i " index.dat | sort > C:\historial.txt

37 Análisis de periféricos
Pasos a seguir 22/28 Análisis de periféricos Cada que se ponde un dispositivo USB queda registrado

38 Pasos a seguir 23/28 FD, CD, DVD

39 Pasos a seguir 24/28 Passwords

40 Métodos de ocultamiento 25/28
Cambiar los nombres y extensiones de archivos por ejemplo renombrar un archivo .doc a .dll Firmas de archivo

41 Métodos de ocultamiento 25/28 (cont)
Encriptación: La información no está oculta, no se puede entender h o l a I p m b

42 Pasos a seguir 25/28 Esteganografía

43 Métodos de detección y recuperación
Stegoanálisis Criptología Software

44 Análisis Forense de otros dispositivos 26/28

45 Análisis Forense de otros dispositivos 26/28

46 Evaluación 27/28 Datos que serán utilizados ?

47 Razones para la evidencia
Rastreo de hábitos de Internet Fraude Extorsión Espionaje Industrial Posesión de pornografía Investigaciones de SPAM Distribución de virus Investigación de homicidios Propiedad intelectual Hábitos sexuales Piratería de software

48 La prueba informática Registros (de sesión) y otra evidencia de intrusión de una red Software pirata Pornografía y otras imágenes. Documentos normales, cartas,notas Correo electrónico, fax y otra correspondencia electrónicamente transmitida Información financiera y transacciones

49 La prueba informática Lista de clientes, víctimas, socios
Archivos cache (memoria intermedia) Cookies de Internet y sitios visitados. Datos personales o de la compañía protegidos con contraseña Datos borrados o escondidos

50 La prueba informática Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es más difícil el desafío de obtenerla que el testimonio de testigos u otros tipos de evidencia .

51 La prueba informática Frecuentemente el descubrimiento y presentación de la evidencia computacional puede traer investigaciones o preguntas además de las sugerencias y conclusiones exitosas

52 Presentación 28/28 Abogados, no técnicos, relación con la legislación

53 Manejo de la evidencia Admisibilidad de la evidencia
La Ley determina qué evidencia potencial puede ser considerada en la Corte Debe ser obtenida de una forma que asegure la autenticidad y validez No se puede utilizar evidencia dañada, destruida o modificada, o comprometida por procesos de búsquedas Se debe prevenir la introducción de virus en el proceso de análisis La evidencia extraída debe ser apropiadamente manejada y protegida de daños físcos o electromagnéticos

54 Anti-Forense Software que limita o corrompe la evidencia
Distorción u ocultamiento de información

55 Peritos y no peritos No se encuentran o recuperan los datos borrados
No se recuperan las contraseñas de protección de datos No se encuentran o recuperan los datos ocultos Pérdida o corrupción de datos Colapso total de la computadora Asegurar la admisibilidad de los datos en juicio

56 Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informáticos es una práctica casi obligatoria en el ámbito internacional

57 Experto vs. Forense Existe una gran diferencia entre el forense informático de un experto en informática, como lo es un médico de un médico forense

58 Experto vs. Forense Ingeniería de Software Ingeniería inversa No resolver problema operativo Explicar la causa y el por qué

59 Atacando la evidencia El primer método de ataque por la otra parte es intentar prevenir la introducción de esa evidencia atacando al examinador

60 Atacando la evidencia Dónde se formó? Qué experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez compartió el software con alguien que no fue autorizado para usar ese software?

61 Para finalizar Existen herramientas de HW y SW para el análisis forense informático, sin embargo es necesaria y obligatoria la formación complementaria de los profesionales informáticos.

62 G R A C I A S

Descargar ppt "Informática Forense William Ivan Alejandro Llanos Torrico"

Presentaciones similares

INTRODUCCIÓN A LA INFORMÁTICA EDUCATIVA Software de Aplicaciones

INTRODUCCIÓN A LA INFORMÁTICA EDUCATIVA Software de Aplicaciones
VI Unidad. Sistema Operativo

VI Unidad. Sistema Operativo
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Hardware y Software de servidor

Hardware y Software de servidor
Cuentas de Usuarios Como Mac OS X es un verdadero sistema operativo multiusuario, por tanto una computadora puede usar mas de un usuario, integrando.

Cuentas de Usuarios Como Mac OS X es un verdadero sistema operativo multiusuario, por tanto una computadora puede usar mas de un usuario, integrando.
Analisis Forense de evidencias

Analisis Forense de evidencias
Analisis Forense de evidencias Imagen windows 2003

Analisis Forense de evidencias Imagen windows 2003
Tesista: Jesús Rubén Hernández Carrillo

Tesista: Jesús Rubén Hernández Carrillo
Sistemas operativos Arquitectura Cómo funcionan algunas cosas Knowledge Base applications Prefetching Internet Explorer Papelera de reciclaje.

Sistemas operativos Arquitectura Cómo funcionan algunas cosas Knowledge Base applications Prefetching Internet Explorer Papelera de reciclaje.
Instalación, Manipulación y uso.

Instalación, Manipulación y uso.
Que es el protocolo “SSL”

Que es el protocolo “SSL”
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto

Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Informática Básica Conceptos Generales.

Informática Básica Conceptos Generales.
Cruz Roja Mexicana Delegación León Curso de Introducción a Microsoft Windows II Francisco Jorge Valdovinos Barragán Junio 2007 www.notariodigital.com.mx.

Cruz Roja Mexicana Delegación León Curso de Introducción a Microsoft Windows II Francisco Jorge Valdovinos Barragán Junio
Definición y Características

Definición y Características
Introducción al software

Introducción al software
Lcda. Laura A. Ureta Arreaga Junio 2009

Lcda. Laura A. Ureta Arreaga Junio 2009
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
Auditoria Informática Unidad II

Auditoria Informática Unidad II
SERVIDOR.

SERVIDOR.

Presentaciones similares

Anuncios Google