Informtica Forense

William Ivan Alejandro Llanos Torrico

www.llanos.org

Dispositivos de almacenamiento

Los datos nos se borran completamente

Etimologa

El trmino "forense" se tiene que entender como un sinnimo de legal o relativo al juzgado

Fuente: http://buscon.rae.es/draeI

Definicin y objetivo
La Informtica Forense es una disciplina criminalstica que tiene como objeto la investigacin en sistemas informticos de hechos con relevancia jurdica o para la simple investigacin privada.

Definicin
La informtica forense en una ciencia que involucra: - la ubicacin - recuperacin - preservacin, - identificacin, - extraccin, - documentacin - interpretacin y - presentacin de datos que han sido procesados electrnicamente y guardos en un medio computacional con fines legales.

Quines usan la Informtica Forense?

Jueces y fiscales (materia penal) Jueces (materia civil) Compaias de seguro Corporaciones privadas Policas Personas particulares

Requerimiento de forenses informticos

Escena del crimen

Escena del crimen

RFC 3227

Gua para la recoleccin y almacenamiento de evidencias

Las evidencias de cara a un juicio o a la resolucin de un caso, son una parte fundamental (si no la mxima) desde el punto de vista informtico para la resolucin de la causa. Las circunstancias varan en funcin de muchas caractersticas:

- Los sistemas operativos involucrados. - Donde se encuentra la informacin. - Las consecuencias legales. - Que herramientas utilizamos para la toma de informacin

Esta RFC por lo tanto tiene que ser tomado como lo que es: un gua, no un dogma de Fe.

Requerimientos
Hardware
Familiaridad con dispositivos internos y externos de un computador Profundo conocimiento de discos duros y configuraciones Conocimiento de tarjetas madre y configuracin de chips Conexiones de alimentacin Memorias

BIOS
Entender cmo funcina el BIOS Familiaridad con varios tipos de configuracin y limitaciones de BIOS

Requerimietos
Sistemas Operativos

(cont)

Windows 3.1/95/98/ME/NT/2000/2003/XP DOS MAC LINUX

Software
Familiaridad con la mayora de los paquetes comerciales populares

Herramientas forenses
Familiaridad con las tcnicas forenses

Pasos a seguir 1/28 Inventario

Pasos a seguir 2/28 Fotografiar los equipos

Pasos a seguir 3/28 Fotografiar las conexiones

Pasos a seguir 4/28 Fotografiar pantallas

Pasos a seguir 5/28 Recoleccin de informacin voltil

1. date and time

RFC 3227

Pasos a seguir 6/28 Recoleccin de informacin voltil

2. netstat -na

Conexiones activas

Pasos a seguir 7/28 Recoleccin de informacin voltil

3. ipconfig /all

Configuracin de red

Pasos a seguir 8/28 Recoleccin de informacin voltil

4. systeminfo

Informacin del sistema

Pasos a seguir 9/28 Recoleccin de informacin voltil

5. doskey /history

Histrico de comandos

Pasos a seguir 10/28 Recoleccin de informacin voltil

5. psloggedon.exe

Usuarios logueados al sistema

Pasos a seguir 11/28 Recoleccin de informacin voltil

5. pslist.exe

Procesos corriendo

Pasos a seguir 12/28 Desconectar la conectividad

Pasos a seguir 13/28 Guardar la evidencia

Pasos a seguir 14/28 Proteger la cadena de custodia

- Qus es la evidencia ? - Cmo se la obtuvo ? - Cuando fue obtenida ? - Quin la obtuvo ? - Donde viajo y donde fue guardada ?

Pasos a seguir 15/28 Adquisicin/preservacin de la evidencia por HW

www.tableau.com

Pasos a seguir 16/28 Adquisicin/preservacin de la evidencia por SW

Pasos a seguir 17/28 Autenticacin de la evidencia

Qu es un Hash ? - Mtodo para generar una firma que represente de manera unvoca a un archivo. - Algunos algoritmos criptogrficos usados: MD5 o SHA-1. - Gran cantidad de programas, como md5sum o md5deep. - http://www.forensicswiki.org/index.php?title=Hashing Para qu sirve ? - Verificar que la evidencia no se ha modificado. - Identificar unvocamente a un archivo. - Realizar bsquedas de Hashes.

Pasos a seguir 18/28 Identificacin

Datos que sern recuperados y herramientas que sern utilizadas

NO SE EMPIEZA una anlisis explorando archivos al azar

Pasos a seguir 19/28 Anlisis de la papelera de reciclaje

Cmo funciona la Papelera de Reciclaje ? Directorio oculto RECYCLER. Directorios con el SID de cada usuario. Posee un archivo oculto llamado INFO2.

Dnde se guarda el archivo INFO2 ? Windows 95/98/ME c:\Recycled\INFO2 Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2> http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip

Pasos a seguir 19/28 Anlisis de la papelera de reciclaje

- cd RECYCLER - dir /ah

Pasos a seguir 20/28 Anlisis de metadatos

Documentos, tales como, Word, Excel, Powerpoint, etc. Contienes informacin sensible a la hora de realizas anlisis. Metavier, de PINPOINT es una aplicacin gratuita que muestra los metatags que estan incrustrados dentro de estos archivos

Pasos a seguir 21/28 Anlisis de archivos de intercambio

Internet explorer guarda una copia de las pginas visitadas en el disco duro. Se puede borrar el cache de disco desde el propio Internet Explorer. El problema es que esta opcin borra todo el contenido del historial de internet (los archivos html, los grficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat. Estos archivos (hay varios index.dat) estn definidos como ocultos y de sistema Desde el DOS C:\Documents and Settings\user_name\ onfiguracin local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\historial.txt

Pasos a seguir 22/28 Anlisis de perifricos

Cada que se ponde un dispositivo USB queda registrado

http://www.nirsoft.net/utils/usb_devices_view.html

Pasos a seguir 23/28 FD, CD, DVD

Pasos a seguir 24/28 Passwords

Mtodos de ocultamiento 25/28

Cambiar los nombres y extensiones de archivos por ejemplo renombrar un archivo .doc a .dll

Firmas de archivo

Mtodos de ocultamiento 25/28 (cont)

Encriptacin: La informacin no est oculta, no se puede entender hola Ipmb

Pasos a seguir 25/28 Esteganografa

Mtodos de deteccin y recuperacin

Stegoanlisis Criptologa Software

Anlisis Forense de otros dispositivos 26/28

Anlisis Forense de otros dispositivos 26/28

Evaluacin 27/28

Datos que sern utilizados ?

Razones para la evidencia

Rastreo de hbitos de Internet Fraude Extorsin Espionaje Industrial Posesin de pornografa Investigaciones de SPAM Distribucin de virus Investigacin de homicidios Propiedad intelectual Hbitos sexuales Piratera de software

La prueba informtica
Registros (de sesin) y otra evidencia de intrusin de una red Software pirata Pornografa y otras imgenes. Documentos normales, cartas,notas Correo electrnico, fax y otra correspondencia electrnicamente transmitida Informacin financiera y transacciones

La prueba informtica
Lista de clientes, vctimas, socios Archivos cache (memoria intermedia) Cookies de Internet y sitios visitados. Datos personales o de la compaa protegidos con contrasea Datos borrados o escondidos

La prueba informtica
Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es ms difcil el desafo de obtenerla que el testimonio de testigos u otros tipos de evidencia .

La prueba informtica
Frecuentemente el descubrimiento y presentacin de la evidencia computacional puede traer investigaciones o preguntas adems de las sugerencias y conclusiones exitosas

Presentacin 28/28
Abogados, no tcnicos, relacin con la
legislacin

Manejo de la evidencia
Admisibilidad de la evidencia
La Ley determina qu evidencia potencial puede ser considerada en la Corte Debe ser obtenida de una forma que asegure la autenticidad y validez

No se puede utilizar evidencia daada, destruida o modificada, o comprometida por procesos de bsquedas Se debe prevenir la introduccin de virus en el proceso de anlisis La evidencia extrada debe ser apropiadamente manejada y protegida de daos fscos o electromagnticos

Anti-Forense
Software que limita o corrompe la evidencia Distorcin u ocultamiento de informacin

Peritos y no peritos
No se encuentran o recuperan los datos borrados No se recuperan las contraseas de proteccin de datos No se encuentran o recuperan los datos ocultos Prdida o corrupcin de datos Colapso total de la computadora Asegurar la admisibilidad de los datos en juicio

Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informticos es una prctica casi obligatoria en el mbito internacional

Experto vs. Forense

Existe una gran diferencia entre el forense informtico de un experto en informtica, como lo es un mdico de un mdico forense

Experto vs. Forense

Ingeniera de Software Ingeniera inversa

No resolver problema operativo Explicar la causa y el por qu

Atacando la evidencia El primer mtodo de ataque por la otra parte es intentar prevenir la introduccin de esa evidencia atacando al examinador

Atacando la evidencia Dnde se form? Qu experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez comparti el software con alguien que no fue autorizado para usar ese software?

Para finalizar Existen herramientas de HW y SW para el anlisis forense informtico, sin embargo es necesaria y obligatoria la formacin complementaria de los profesionales informticos.

GRACIAS
www.llanos.org