Análisis Forense Digital

IX CONGRESO ISACA
COSTA RICA 2016

Gobierno, gestión y aseguramiento de las
tecnologías de información.
Análisis forense digital: Un

proceso post-morten
Ing. Lilia Liu
CRISC, COBIT 5, CFE
Panamá
Síganos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Capítulo Costa Rica
Contenido
• Definición
• Fases del análisis
• Proceso de la evidencia digital
• Formatos de archivos de evidencia
• Hardware y software
• Herramientas forenses
Síganos
Contenido
• Análisis de hash y de firmas

• Consideraciones de la investigación
• Estado de la ciberseguridad: 2016
• Estándares internacionales
• Marco legal
• Ejemplo de herramienta de análisis
Síganos
Qué es el Análisis forense digital?
conjunto de técnicas de recopilación y
exhaustivo peritaje de datos, la cual sin
modificación alguna podría ser utilizada
para responder en algún tipo de incidente
en un marco legal.
Síganos 4
En dónde se aplica?
1. Delito financiero
2. evasión de impuestos
3. investigación sobre seguros, acoso o
pedofilia, trata de blancas
4. robo de propiedad intelectual
5. Fuga de información
6. Ciberterrorismo o ciberdefensa
7. A manera preventiva
8. En muchos otros campos
Síganos 5
Fases del análisis
Identificación Preservación Análisis Informe
Síganos 6
Identificación de la evidencia digital
• Evidencia digital evoluciona con los

avances en la tecnología y la
demanda del mercado.
• Formación y sensibilización por el
primer nivel de respuesta son
críticos para la identificación de
pruebas.
Síganos 7
Hardware
Componentes tangibles de un computador
Monitor Keyboard Mouse Caja
Hard drive Processor RAM Expansion Cards
Peripherals Motherboard
Síganos 8
Nuevas tecnologías
Redes Realidad
Sociales virtual
Redes WiFi
Internet de
las cosas
Síganos
Software
• Cualquier dato que se
puede almacenar
electrónicamente.
• Hardware y software de
trabajo en conjunto que
permite una computadora
funcionar como un
sistema.
Síganos 10
¿Dónde está la evidencia?
Evidencia Tradicional
Evidencia Digital
• Huellas dactilares
• Sangre
• Saliva – Los datos no volátiles.

• fibras – Datos volátil
• Cabello
Todas las pruebas deben ser

recogidas adecuadamente
Síganos 11
Documentación
• El primer respondiente debe documentar

todas las medidas tomadas en la escena.
• Documentación:
– Continuidad a través de la investigación
– No se detiene hasta que se complete el caso
Síganos Module 2: Overview of ISDE 12

• Cadena de Custodia:
– Inicia con cada evidencia recogida

– Continuidad y posesión de la
evidencia
Síganos 13
Recolección de los Datos Volátiles
• Reside en dispositivos de almacenamiento temporal y
se pierden cuando se apagan o son removidos.
• Podría contener evidencia de acciones que ocurren
en el sistema en el momento exacto de la incautación.
• Debe ser recogidos rápidamente a la escena del
crimen utilizando instrumentos validados y
procedimientos adecuados.
Síganos 14
Imagenes forenses
• Crear una copia forense de los datos volátiles

y no volátiles para su posterior análisis.
• Requiere conocimiento jurídico y técnico de:
– Manejo adecuado de la imagen

– Las diferencias entre imágenes físicos y lógicos.
– Software y herramientas disponibles.
Síganos Module 2: Overview of ISDE 15

Proceso de evidencia física
• Embalaje y etiquetado de la
evidencia para el transporte.
• Incautación de un computador -
hardware
– Recolección de software
• Datos volátil
• Evaluación de los datos
• imágenes forenses
Síganos 16
Imágenes Forenses
Adquisición de la Evidencia Digital
Síganos
Proceso de la Evidencia Digital
• Fases
Identificar Preservar Analizar Informe
• La preservación: es la segunda fase y

requiere procedimientos forenses y
herramientas validadas.
Síganos 18
Imagen Forense
– Una copia idéntica de la evidencia original.

– Adquirida por técnicos capacitados que
utilizan herramientas de hardware y software
validadas.
Síganos Module 3: Imaging: Forensic Acquisition

19
Tel. (506) 2240-0100/Fax. (506) 2241-0039 of congresos-costarica@isacacr.org
Digital Evidence www.isaca.org/costa-rica Confianza y Valor en los sistemas de información
Formatos de archivos de evidencia
• Los técnicos pueden almacenar la imagen

forense en una variedad de formatos de
archivo.
• Las consideraciones incluyen la

disponibilidad de herramientas, las
limitaciones de tiempo, la fuente de la
evidencia, los procedimientos operativos
estándar, y las limitaciones legales.
Síganos 20
Dispositivos de Almacenamiento
• Reconocer posibles fuentes de evidencia

digital
• Seleccione las herramientas apropiadas
(verificadas y validadas) para recoger los
datos
Síganos 21
Hardware- Herramienta
• Bloqueadores (physical bridge).

• Stand-alone dispositivo de imagen
(herramienta multifunción con
capacidades forenses dedicados)
Forensic
Workstation
read
Write
write
Original read Blocker
Evidence Protección de la
integridad es prioridad
Síganos 22
Campo
read read
write
Original Evidence Destination Media
Forensic
Workstation
Laboratorio Forense
read
Write write
Original read Blocker
Evidence
Síganos 23
Software-Herramientas
• Bloqueadores: Aplicación Especializada
• Imagen Forense: Herramienta multifunción que
ayuda con la preparación de disco duro y la
duplicación, imágenes forenses, y verificación.
Write
Blocker
read
Original Evidence
Síganos 24
Hard Disk Drive
750 Gb
Sector[A] Sector[X]
Sector[0]
C:\ E:\
Sector[Z]
Sector[B] Sector[Y]
Partition Boundary
Síganos 25
Físico vs Lógico
Sector[0]  Sector[Z] Sector[A]  Sector[B]
• Imagen Física: • Imagen Lógica:
Una copia forense de todos Una copia forense de todos

los sectores direccionable los sectores direccionable
de medios de origen. entre dos límites de la
partición.
Síganos 26
Preparación del disco de
almacenamiento destino
• Verifique los requisitos de tamaño de la
evidencia original
• Seleccionar los medios de
almacenamiento que cumple o excede la
capacidad de la fuente
• Esterilizar los medios de destino
• Formato Medios de almacenamiento
Hard Drive Interfaces

Síganos 27
750 Gb
000000000
OK
000000000
000000000
000000000
Sector[0]
…...
Sector[Z]
000000000
000000000
000000000
000000000
Síganos 28
File System Description
FAT32 es un sistema de archivos universal, que
todavía se utiliza en dispositivos externos y tarjetas
de archivo. El tamaño máximo de archivo permitido
FAT32 por FAT32 es de 4 GB, que podría no ser suficiente si
se tiene en cuenta la adquisición de la memoria RAM
de un ordenador con más de 4 GB instalado.
Tabla de asignación de archivos extendido (exFAT) es
un sistema de archivos multiplataforma recomienda su
uso con almacenamiento de memoria flash y otros
exFAT
dispositivos externos. Tiene un límite de tamaño de
archivo de 16 exabytes. Un exabyte equivale a
1024 petabytes.
NTFS admite diario. Tiene un límite de tamaño de
archivo de 16 TB, que esencialmente se asegura de
NTFS que sus medios de comunicación de destino pueden
manejar una adquisición de cualquier tamaño.
Síganos 29
Medidas
Síganos 30
Verificación de Imagen Forense
• Hash:
– Algoritmo matemático.
– Produce una huella digital única.
– Comprueba que el contenido binario de
una imagen forense adquirido es
exactamente el mismo que el medio de
origen
MD5 = ABC123 MD5 = ABC123
Síganos 31
Message Digest 5 es un solo sentido 128-bit
algoritmo hash que se aplica al contenido
binario de medios de almacenamiento digital
MD5
Cadena hexadecimal de 32 caracteres
Ejemplo:
6f5902ac237024bdd0c176cb93063dc4
Secure Hash Algorithm (versión 1) es un

solo sentido 160-bit algoritmo hash que
también se aplica al contenido binario
SHA1 Cadena hexadecimal de 40 caracteres
Ejemplo:
22596363b3de40b06f981fb85d82312e8c0ed511
Síganos
Herramientas forense
Síganos
Software herramientas forenses
• Permite búsquedas dentro de archivos de

imagen
agiliza investigaciones
• Suites forenses:
– EnCase - Guidance Software

– Forensic Toolkit (FTK) – AccessData
– Autopsy
– Caine
Síganos 34
EnCase
Herramienta digital de adquisición de datos que
permite:
• Correo electrónico y sistema de archivos de

análisis
• Imágenes a distancia y las investigaciones
• Búsquedas avanzadas
• Vista previa remoto
• Descubrimiento código malicioso
Síganos 35
Introducción EnCase
Herramienta digital de adquisición de datos que
permite:
– Correo electrónico y sistema de archivos de análisis
– Imágenes a distancia y las investigaciones
– búsquedas avanzadas
– vista previa remoto
– Descubrimiento código malicioso
Síganos 36
Análisis de Hash
Síganos 37
Definicion Hash
Hashes:
Los cálculos o algoritmos que
resultan en un valor único para
cada archivo o flujo de datos al
que se aplica el cálculo
Síganos 38
Algoritmo Hash
• Los dos algoritmos de clave forense hash

son:
• Message Digest 5 (128-bit value)
– Secure Hash Algorithm 1 (160-bit value)
• Estadísticamente, dos archivos con el
mismo valor hash contienen los mismos
datos (colisiones hash son
extremadamente improbable).
Síganos 39
Análisis de Firmas
Síganos 40
Tipos de archivos
• Los archivos se accede por aplicaciones e

identificados por su tipo (cabecera y
extensión)
• El entorno de Windows se une un archivo

a una aplicación mediante su extensión
Síganos 41
Encabezado del archivo
• La firma digital que las aplicaciones utilizan
para identificar los archivos de un tipo
específico
• Por lo general se encuentra en el encabezado

(o primeros bytes del archivo)
Síganos Module 6: Signature Analysis 42

Síganos 43
File Extension
Parte del nombre de archivo que también se
utiliza normalmente para identificar el tipo de
archivo
El encabezado del archivo y la extensión

deben coincidir
Ejemplo: koala.jpg - archivo de imagen
JPEG
koala.jpg
Síganos 44
Consideraciones de investigación
Windows se basa en la extensión-NO la cabecera
Los datos pueden estar ocultos al cambiar el nombre

de archivo y extensión
Ejemplo: koala.jpg - win32sys.dll
Contenido binario de koala.jpg sigue siendo el mismo

Windows ahora tratará el archivo como una biblioteca
de enlace dinámico
Síganos 45
Software
Software de análisis forense digital:
Analiza las cabeceras de los archivos para

identificar correctamente los datos
win32sys.dll - JPG Header = NO COINCIDE !!
Se instala con un conjunto predeterminado de

firmas de archivos comunes
Permite a los examinadores para crear búsquedas

personalizadas de firma
Síganos 46
Riesgos potenciales por el uso
inapropiado de la tecnología
Síganos
El riesgo que no se ve es el que no se
identifica
Normalmente muchas son Fallas de Control Interno
1. Riesgos de compartir información en subcontrataciones.

2. Riesgos sobre aspectos legales no cubiertos.
3. Infraestructuras improvisadas.
4. Personal no preparado o con problemas de conducta.
5. Crisis externas que crean efectos en cadena.
Síganos
Algunos
ejemplos:
1. Uso de USB no autorizados.
2. Emails de phishing falso.
3. Uso de redes sociales sin
control.
4. Tomar fotos de documentos
importantes en el celular.
5. Mensajes fuera de oficina
alertan a los hackers de que
una PC no está siendo
vigilada.
6. Políticas de seguridad
inexistentes o no
monitoreadas.
Síganos
Las 3 ciberamenazas que encabezan las
organizaciones en 2016
Ingeniería Amenazas
APT
Social internas Amenazas Persistentes
Avanzadas
Síganos
Estado de la Ciberseguridad
2016
Síganos
Ingeniería Amenazas APT
Amenazas Persistentes
Social internas Avanzadas
Síganos
CÓMO RESGUARDAMOS LOS ACTIVOS DE INFORMACIÓN?
• Realizar un inventario de lo que tenemos.
• Diseñando una estrategia para administrar los
riesgos.
• Ejecutar actividades y efectuar pruebas para
esos posibles riesgos.
• Planificar la recuperación ante un posible
incidente y su reparación oportuna.
Síganos
Estándares internacionales
Síganos
ESTÁNDARES INTERNACIONALES
Síganos
EL ANÁLISIS FORENSE COMO UN
PROCESO PREVENTIVO
La computación forense revisa una actividad

pasada para recabar pruebas ante un posible
hecho delictivo.
Se requiere de herramientas estériles y forenses,

un laboratorio de análisis y de profesionales con
experiencia.
Síganos
Marco legal
Síganos
LEY 23 del 27 de abril de 2015 de
Panamá. Prevención del blanqueo de
POLÍTICA CONOZCA activos, financiamiento del
A SU EMPLEADO terrorismo y financiamiento de armas
de destrucción masiva.
ARTÍCULO 42. POLÍTICA DE CONOCIMIENTO DEL

EMPLEADO. Los sujetos obligados financieros y sujetos
obligados no financieros deberán seleccionar
adecuadamente y supervisar la conducta de sus
empleados, en especial la de aquellos que desempeñan
cargos relacionados con el manejo y análisis de clientes,
recepción de dinero y control de información y controles
claves, además se deberá establecer un perfil del
empleado el cual será actualizado mientras dure la
relación laboral.
Los empleados deberán ser capacitados para entender los
riesgos a los que están expuestos, los controles que
mitigan tales riesgos y el impacto personal e institucional
por sus acciones.
Síganos
Ley 8204 de Costa Rica.
POLÍTICA CONOZCA
A SU EMPLEADO ARTÍCULO 42. POLÍTICA DE CONOCIMIENTO DEL
EMPLEADO. Los sujetos obligados financieros y sujetos
obligados no financieros deberán seleccionar
adecuadamente y supervisar la conducta de sus
empleados, en especial la de aquellos que desempeñan
cargos relacionados con el manejo y análisis de clientes,
recepción de dinero y control de información y controles
claves, además se deberá establecer un perfil del
empleado el cual será actualizado mientras dure la
relación laboral.
Los empleados deberán ser capacitados para entender los
riesgos a los que están expuestos, los controles que
mitigan tales riesgos y el impacto personal e institucional
por sus acciones.
Síganos
Ejemplo de una herramienta para
análisis de datos forenses
Síganos
Síganos 61
62
Síganos 63
64
Síganos
66
67
68
69
70
71
MUCHÍSIMAS GRACIAS…
PREGUNTAS…
Ing. Lilia Liu

LLASO.
email: lilia.liu@llaso.com
Teléfono: (507) 396-7306 / (507) 6677-7306
Síganos

Análisis Forense Digital

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Análisis Forense Digital

Transféré par

Droits d'auteur :

Formats disponibles

IX CONGRESO ISACA

COSTA RICA 2016

Análisis forense digital: Un

• Análisis de hash y de firmas

Identificación Preservación Análisis Informe

• Evidencia digital evoluciona con los

Monitor Keyboard Mouse Caja

Hard drive Processor RAM Expansion Cards

• Saliva – Los datos no volátiles.

Todas las pruebas deben ser

• El primer respondiente debe documentar

– Continuidad a través de la investigación

– No se detiene hasta que se complete el caso

Síganos Module 2: Overview of ISDE 12

– Inicia con cada evidencia recogida

• Crear una copia forense de los datos volátiles

– Manejo adecuado de la imagen

Síganos Module 2: Overview of ISDE 15

• Evaluación de los datos

Identificar Preservar Analizar Informe

• La preservación: es la segunda fase y

– Una copia idéntica de la evidencia original.

Síganos Module 3: Imaging: Forensic Acquisition

• Los técnicos pueden almacenar la imagen

• Las consideraciones incluyen la

• Reconocer posibles fuentes de evidencia

• Bloqueadores (physical bridge).

Original Evidence Destination Media

Sector[0]  Sector[Z] Sector[A]  Sector[B]

• Imagen Física: • Imagen Lógica:

Una copia forense de todos Una copia forense de todos

Hard Drive Interfaces

MD5 = ABC123 MD5 = ABC123

Secure Hash Algorithm (versión 1) es un

SHA1 Cadena hexadecimal de 40 caracteres

• Permite búsquedas dentro de archivos de

– EnCase - Guidance Software

• Correo electrónico y sistema de archivos de

– Correo electrónico y sistema de archivos de análisis

– Imágenes a distancia y las investigaciones

– vista previa remoto

– Descubrimiento código malicioso

• Los dos algoritmos de clave forense hash

• Los archivos se accede por aplicaciones e

• El entorno de Windows se une un archivo

• Por lo general se encuentra en el encabezado

Síganos Module 6: Signature Analysis 42

El encabezado del archivo y la extensión

Windows se basa en la extensión-NO la cabecera

Los datos pueden estar ocultos al cambiar el nombre

Ejemplo: koala.jpg - win32sys.dll

Contenido binario de koala.jpg sigue siendo el mismo

Analiza las cabeceras de los archivos para

win32sys.dll - JPG Header = NO COINCIDE !!

Se instala con un conjunto predeterminado de

Permite a los examinadores para crear búsquedas

1. Riesgos de compartir información en subcontrataciones.

La computación forense revisa una actividad

Se requiere de herramientas estériles y forenses,

ARTÍCULO 42. POLÍTICA DE CONOCIMIENTO DEL

Ing. Lilia Liu

Vous aimerez peut-être aussi