Académique Documents
Professionnel Documents
Culture Documents
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Contenido
• Definición
• Fases del análisis
• Proceso de la evidencia digital
• Formatos de archivos de evidencia
• Hardware y software
• Herramientas forenses
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Contenido
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Qué es el Análisis forense digital?
conjunto de técnicas de recopilación y
exhaustivo peritaje de datos, la cual sin
modificación alguna podría ser utilizada
para responder en algún tipo de incidente
en un marco legal.
Síganos 4
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
En dónde se aplica?
1. Delito financiero
2. evasión de impuestos
3. investigación sobre seguros, acoso o
pedofilia, trata de blancas
4. robo de propiedad intelectual
5. Fuga de información
6. Ciberterrorismo o ciberdefensa
7. A manera preventiva
8. En muchos otros campos
Síganos 5
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Fases del análisis
Síganos 6
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Identificación de la evidencia digital
Síganos 7
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Hardware
Componentes tangibles de un computador
Peripherals Motherboard
Síganos 8
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Nuevas tecnologías
Redes Realidad
Sociales virtual
Redes WiFi
Internet de
las cosas
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Software
• Cualquier dato que se
puede almacenar
electrónicamente.
• Hardware y software de
trabajo en conjunto que
permite una computadora
funcionar como un
sistema.
Síganos 10
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
¿Dónde está la evidencia?
Evidencia Tradicional
Evidencia Digital
• Huellas dactilares
• Sangre
• Cabello
Síganos 11
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Documentación
Síganos 13
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Recolección de los Datos Volátiles
• Reside en dispositivos de almacenamiento temporal y
se pierden cuando se apagan o son removidos.
• Podría contener evidencia de acciones que ocurren
en el sistema en el momento exacto de la incautación.
• Debe ser recogidos rápidamente a la escena del
crimen utilizando instrumentos validados y
procedimientos adecuados.
Síganos 14
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Imagenes forenses
• Datos volátil
• imágenes forenses
Síganos 16
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Imágenes Forenses
Adquisición de la Evidencia Digital
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Proceso de la Evidencia Digital
• Fases
Síganos 18
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Imagen Forense
Síganos 20
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Dispositivos de Almacenamiento
Síganos 21
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Hardware- Herramienta
read
Write
write
Original read Blocker
Evidence Protección de la
integridad es prioridad
Síganos 22
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Campo
read read
write
Forensic
Workstation
Laboratorio Forense
read
Write write
Original read Blocker
Evidence
Síganos 23
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Software-Herramientas
• Bloqueadores: Aplicación Especializada
• Imagen Forense: Herramienta multifunción que
ayuda con la preparación de disco duro y la
duplicación, imágenes forenses, y verificación.
Write
Blocker
read
Original Evidence
Síganos 24
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Hard Disk Drive
750 Gb
Sector[A] Sector[X]
Sector[0]
C:\ E:\
Sector[Z]
Sector[B] Sector[Y]
Partition Boundary
Síganos 25
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Físico vs Lógico
Síganos 26
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Preparación del disco de
almacenamiento destino
• Verifique los requisitos de tamaño de la
evidencia original
• Seleccionar los medios de
almacenamiento que cumple o excede la
capacidad de la fuente
• Esterilizar los medios de destino
• Formato Medios de almacenamiento
000000000
OK
000000000
000000000
000000000
Sector[0]
…...
Sector[Z]
000000000
000000000
000000000
000000000
Síganos 28
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
File System Description
FAT32 es un sistema de archivos universal, que
todavía se utiliza en dispositivos externos y tarjetas
de archivo. El tamaño máximo de archivo permitido
FAT32 por FAT32 es de 4 GB, que podría no ser suficiente si
se tiene en cuenta la adquisición de la memoria RAM
de un ordenador con más de 4 GB instalado.
Tabla de asignación de archivos extendido (exFAT) es
un sistema de archivos multiplataforma recomienda su
uso con almacenamiento de memoria flash y otros
exFAT
dispositivos externos. Tiene un límite de tamaño de
archivo de 16 exabytes. Un exabyte equivale a
1024 petabytes.
NTFS admite diario. Tiene un límite de tamaño de
archivo de 16 TB, que esencialmente se asegura de
NTFS que sus medios de comunicación de destino pueden
manejar una adquisición de cualquier tamaño.
Síganos 29
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Medidas
Síganos 30
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Verificación de Imagen Forense
• Hash:
– Algoritmo matemático.
– Produce una huella digital única.
– Comprueba que el contenido binario de
una imagen forense adquirido es
exactamente el mismo que el medio de
origen
Síganos 31
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Message Digest 5 es un solo sentido 128-bit
algoritmo hash que se aplica al contenido
binario de medios de almacenamiento digital
MD5
Cadena hexadecimal de 32 caracteres
Ejemplo:
6f5902ac237024bdd0c176cb93063dc4
Ejemplo:
22596363b3de40b06f981fb85d82312e8c0ed511
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Herramientas forense
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Software herramientas forenses
• Suites forenses:
Síganos 34
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
EnCase
Herramienta digital de adquisición de datos que
permite:
Síganos 35
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Introducción EnCase
Herramienta digital de adquisición de datos que
permite:
– búsquedas avanzadas
Síganos 36
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Análisis de Hash
Síganos 37
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Definicion Hash
Hashes:
Los cálculos o algoritmos que
resultan en un valor único para
cada archivo o flujo de datos al
que se aplica el cálculo
Síganos 38
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Algoritmo Hash
Síganos 39
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Análisis de Firmas
Síganos 40
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Tipos de archivos
Síganos 41
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Encabezado del archivo
• La firma digital que las aplicaciones utilizan
para identificar los archivos de un tipo
específico
Síganos 44
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Consideraciones de investigación
Síganos 45
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Software
Software de análisis forense digital:
Síganos 46
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Riesgos potenciales por el uso
inapropiado de la tecnología
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
El riesgo que no se ve es el que no se
identifica
Normalmente muchas son Fallas de Control Interno
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Algunos
ejemplos:
1. Uso de USB no autorizados.
2. Emails de phishing falso.
3. Uso de redes sociales sin
control.
4. Tomar fotos de documentos
importantes en el celular.
5. Mensajes fuera de oficina
alertan a los hackers de que
una PC no está siendo
vigilada.
6. Políticas de seguridad
inexistentes o no
monitoreadas.
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Las 3 ciberamenazas que encabezan las
organizaciones en 2016
Ingeniería Amenazas
APT
Social internas Amenazas Persistentes
Avanzadas
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Estado de la Ciberseguridad
2016
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Ingeniería Amenazas APT
Amenazas Persistentes
Social internas Avanzadas
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
CÓMO RESGUARDAMOS LOS ACTIVOS DE INFORMACIÓN?
• Realizar un inventario de lo que tenemos.
• Diseñando una estrategia para administrar los
riesgos.
• Ejecutar actividades y efectuar pruebas para
esos posibles riesgos.
• Planificar la recuperación ante un posible
incidente y su reparación oportuna.
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Estándares internacionales
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
ESTÁNDARES INTERNACIONALES
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
EL ANÁLISIS FORENSE COMO UN
PROCESO PREVENTIVO
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Marco legal
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
LEY 23 del 27 de abril de 2015 de
Panamá. Prevención del blanqueo de
POLÍTICA CONOZCA activos, financiamiento del
A SU EMPLEADO terrorismo y financiamiento de armas
de destrucción masiva.
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Ley 8204 de Costa Rica.
POLÍTICA CONOZCA
A SU EMPLEADO ARTÍCULO 42. POLÍTICA DE CONOCIMIENTO DEL
EMPLEADO. Los sujetos obligados financieros y sujetos
obligados no financieros deberán seleccionar
adecuadamente y supervisar la conducta de sus
empleados, en especial la de aquellos que desempeñan
cargos relacionados con el manejo y análisis de clientes,
recepción de dinero y control de información y controles
claves, además se deberá establecer un perfil del
empleado el cual será actualizado mientras dure la
relación laboral.
Los empleados deberán ser capacitados para entender los
riesgos a los que están expuestos, los controles que
mitigan tales riesgos y el impacto personal e institucional
por sus acciones.
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Ejemplo de una herramienta para
análisis de datos forenses
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos 61
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
62
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos 63
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
64
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
66
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
67
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
68
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
69
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
70
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Síganos Module 3: Imaging: Forensic Acquisition
71
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
MUCHÍSIMAS GRACIAS…
PREGUNTAS…
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica