CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013.

Presentación del tema: "CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013."— Transcripción de la presentación:

1 CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013

2 Cómputo ForenseCómputo Forense

3 Ciber-crimenCiber-crimen

4 Tipos de Incidentes o AtaquesTipos de Incidentes o Ataques

5 Análisis ForenseAnálisis Forense

6

7 Legislación InformáticaLegislación Informática

8 Artículos del Código Penal FederalArtículos del Código Penal Federal

9 Proceso ForenseProceso Forense

10

11 Reglas GeneralesReglas Generales

12 EvidenciaEvidencia

13 Tipos de evidenciaTipos de evidencia

14 Orden de JerarquíaOrden de Jerarquía Registros y contenidos de la caché. Contenidos de la memoria. Estado de las conexiones de red, tablas de rutas. Estado de los procesos en ejecución. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento. + + - -

15 Recolección y manejo de evidenciasRecolección y manejo de evidencias RFC3227 Procedimiento de recolección Transparencia Pasos de la recolección Cadena de custodia Como archivar una evidencia Herramientas necesarias y medios de almacenamiento de éstas

16 Manipulación de la Evidencia Manipulación de la Evidencia

17 Preservar la evidenciaPreservar la evidencia Sistema “vivo” Sistema “desconectado” PROS Fecha y hora del sistema Memoria RAM activa Procesos arrancados Actividad de red, conexiones abiertas Conexiones de Red Usuarios conectados en el momento CONS Cualquier activdad “altera” el entorno PROS Análisis del sistema “congelado” Multiples copias del entorno Posibilidad de realizar hash Mayor validez jurídica CONS Solamente disponemos del HDD

18 Preservar la evidenciaPreservar la evidencia 1

19 1 Bloqueo de conexión al sistema celular

20 Equipo para Análisis ForenseEquipo para Análisis Forense

21 Analizar la evidenciaAnalizar la evidencia

22 Análisis de encabezados SMTPAnálisis de encabezados SMTP EncabezadoValor Received: from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100 X-TM-IMSS-Message- ID: Received: from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100 Subject: TEST de Encabezados Date: Tue, 8 Feb 2011 16:02:40 +0100 Message-ID: X-MS-Has-Attach: MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81" X-MS-TNEF-Correlator: Thread-Topic: TEST de Encabezados Thread-Index: AcvHoTrEROEEE3f6TR+CRJDGNrHF4w== From: Content-Class: urn:content-classes:message X-MimeOLE: Produced By Microsoft Exchange V6.5 To: Return-Path: SMTP_Remitente

23 Tabla de ParticionesTabla de Particiones Byte 446

24 BitácorasBitácoras contiene los mensajes generales del sistema /var/log/messages guarda los sistemas de autenticación y seguridad /var/log/secure guarda un historial de inicio y cierres de sesión pasadas /var/log/wmtp guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux) /var/log/btmp

25 Archivos TemporalesArchivos Temporales

26 Presentar la evidenciaPresentar la evidencia

27 Documentación del análisis forenseDocumentación del análisis forense

28 Requerimientos de un Investigador Forense Digital

29 Laboratorio de análisis forenseLaboratorio de análisis forense

30 Técnicas Anti-forensesTécnicas Anti-forenses

31 Contramedidas de anti-forenseContramedidas de anti-forense

32 HerramientasHerramientas

33 HerramientasHerramientas

34 ¿Preguntas?¿Preguntas?