CMPUTO FORENSE

RELOADED Porque todo deja rastro

Andrs Velzquez, CISSP, GCFA, ACE, IEM

Especialista en Delitos Informticos Presidente & Fundador de MaTTica
@cibercrimen

Proceso del Cmputo Forense

Proceso del Cmputo Forense
Identificacin: conocer los antecedentes, situacin actual y el proceso que se quiere seguir para poder tomar la mejor decisin con respecto al levantamiento del bien, bsquedas y las estrategias de investigacin. Preservacin: revisin y generacin de las imgenes forenses de la evidencia para poder realizar el anlisis Anlisis: aplican tcnicas cientficas y analticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas, Presentacin: La informacin resultante del anlisis quedar registrada en un dictamen tcnico que puede ser presentado internamente o en un procedimiento legal.

Identificacin

Preservacin

Presentacin

Anlisis

La informacin contenida en

Imagen Forense
Copia bit a bit del contenido de un medio a analizar desde el primer sector hasta el ltimo sector del mismo.

LO ENCONTRASTE?

NOP

Qu se considera como un Incidente?

Recuerdas aquellos das donde el SPAM slo llegaba por computadora?

7

Necesitamos menos de esto

Y mucho ms de sto

Sniper Forensics
Crear un plan de investigacin Aplicar la lgica Principio de Intercambio de Lockards Principio de Alexiou Navaja de Ockham Extraer nicamente lo necesario Permitir que los datos den las respuestas Generar los reportes necesarios
Christopher E. Pogue Trustwave

Si usted mira lo suficiente esta foto, Podr encontrar el caparazn del Caracol

A qu le voy a disparar?
Registros de Windows SAM System Security NTUSER.DAT por cada usuario Timelines $MFT Datos voltiles Memoria RAM

Previsualizando

Software / Proteccin
Lo siguiente funciona en un Windows XP Profesional SP2, donde hay que modificar del registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000001

Una vez realizado, se coloca el disco evidencia en un Enclosure (dispositivo que permite conectar discos duros por USB o Firewire) donde por razones antes mencionadas uno de Firewire NO nos funcionara, tiene que ser de USB.

Qu necesitamos?

Recursos Humanos

Hardware

Software

Procedimientos

Podcast Crimen Digital

El podcast de cmputo forense, seguridad en Internet y lo relacionado con el cibercrimen.
iTunes http://www.crimendigital.com

Muchas Gracias!

Preguntas?

Andrs Velzquez, CISSP, GCFA, ACE, IEM

Especialista en Delitos Informticos Presidente & Fundador de MaTTica
@cibercrimen

Derechos Reservados (2011) por Crculo InforMaTTica S.A. de C.V.

-

Todos los Derechos reservados. Ninguna parte de este documento puede ser reproducida en forma o mecanismo alguno, incluido fotocopiado, grabacin o almacenamiento en algn sistema de informacin, sin la autorizacin por escrito del dueo del Derecho Reservado.
Copias de este documento pueden ser distribuidas, en papel y en formato electrnico, siempre y cuando no se altere el documento original y se incluya esta pgina.

Este documento NO pertenece al dominio pblico.

Computo Forense Reloaded
por Andrs Velzquez
contacto@mattica.com