INTEGRANTES: Eduardo Brito Vivanco. Eduardo Campoverde E.

Agenda
Introduccin
Anlisis Forense Tipos de anlisis forense

Metodologa y fases del anlisis

Entorno legal - Ecuador Problemas habituales Herramientas Equipo en un anlisis forense

INTRODUCCIN
Delito informtico son los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informticos, redes y datos informticos, as como el abuso de los mismos.

El anlisis forense es un rea perteneciente al mbito de la seguridad informtica surgida a raz del incremento de los diferentes incidentes de seguridad. En el anlisis forense se realiza un anlisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema.

Preguntas que se tratan de responder con un anlisis forense: Quin ha realizado el ataque? Cmo se realiz? Qu vulnerabilidades se han explotado? Qu hizo el intruso una vez que accedi al sistema?
Tiempo en el que se produce el incidente: 1 hora. Tiempo requerido para el anlisis del mismo: 20 horas.

QU ES UN ANLISIS FORENSE?
El anlisis forense en un sistema informtico es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

La metodologa o los pasos que se deben seguir ante un incidente de seguridad son los siguientes:

Preparacin y Prevencin Deteccin del incidente Respuesta inicial Formulacin de una estrategia de respuesta ante el incidente 5. Investigacin del incidente
1. 2. 3. 4.
1. 2. 1. 2.

Adquisicin de los datos Anlisis Forense Ejecutivo Tcnico

6. Redaccin del informe

TIPOS DE ANLISIS FORENSE

Dependiendo de lo que se va a analizar: De Sistemas: Incidentes de seguridad ocurridos en servidores y estaciones de trabajo con los sistemas operativos: MAC OS, de Microsoft, de Unix y sistemas GNU/Linux. De Redes: Anlisis de diferentes redes como cableadas, wireless, bluetooth. De sistemas embebidos: Incidentes ocurridos en mviles, PDA.

METODOLOGA Y FASES DE UN ANLISIS

En un anlisis forense existen en general 3 fases:

 Formulario para la adquisicin de datos:

Tomar fotografas tanto del sistema, como su ubicacin

y los dispositivos de almacenamiento.

 Realizar la clonacin bit a bit de los dispositivos de

almacenamiento del sistema mediante un LIVE CD. Un LIVE CD: sistema operativo almacenado en un medio extrable (CD, DVD) que puede ejecutarse desde ste sin necesidad de instalarlo en el disco duro de una computadora, usa la memoria RAM como disco duro virtual y el propio medio como sistema de archivos. Realizar una verificacin de que el dispositivo de almacenamiento de origen y destino son idnticos (integridad de los datos). Transportar dichos dispositivos al centro de anlisis. En caso de existir datos personales se debe cumplir con las medidas tcnicas que requiere la Ley.

2. Anlisis e Investigacin
Las fuentes de informacin recogida son: -Registros de los sistemas analizados -Registro de los detectores de intrusin -Registro de los cortafuegos -Ficheros del sistema analizado En el caso ltimo, tener cuidado con carpetas personales de usuarios, se recomienda asesorarse con un jurista ante la realizacin de un anlisis forense.

Dos tipos de anlisis: Fsico: informacin que no es interpretada por el sistema operativo ni por el de ficheros .
Lgico: informacin interpretada por el sistema operativo. Obtener: estructura de directorios, ficheros actuales como los que han sido eliminados, horas-fechas de creacin y modificacin de los ficheros (anlisis de la lnea de tiempo), tamaos, utilizacin de los HASH para reconocer los tipos de

archivos.

Las herramientas utilizadas por excelencia en esta fase son: EnCase y el Sleunth kit & Autopsy. EnCase es una aplicacin comercial mientras que Sleunth kit & Autopsy es un conjunto de herramientas de software libre. Estas aplicaciones funcionan sobre Windows y GNU/Linux respectivamente.

3. Redaccin del Informe

Recoge todas las evidencias, indicios y pruebas recabadas. Dos tipos de informes: a. Informe Ejecutivo.- A la directiva de la empresa. Introduccin: objeto del informe, coste del incidente. Descripcin: se detalla que ha pasado en el sistema sin entrar en cuestiones muy tcnicas. Recomendaciones: acciones que se deben realizar una vez comprobado que se ha sufrido una incidencia, as como si debe ser denunciado.

b. Informe Tcnico.- Describir qu ha ocurrido en el sistema de forma tcnica. Partes: Introduccin: objeto principal del informe. Preparacin del entorno y recogida de datos: pasos a seguir para la preparacin del entorno forense, la adquisicin y verificacin de las imgenes del equipo afectado. Estudio forense de las evidencias: se describe la obtencin de las evidencias as como de su significado. Conclusiones: A las que se han llegado despus de haber realizado el anlisis.

ENTORNO LEGAL - ECUADOR

1 2 3 Ley Especial de Telecomunicaciones 4 5
Cdigo de Procedimiento Penal (CPP) Cdigo de Procedimiento Civil (CPC)

Ley Orgnica de Transparencia y Acceso a la Informacin Pblica Ley de Comercio Electrnico Firmas Electrnicas y Mensajes de Datos Ley de Propiedad Intelectual

Ley de Control Constitucional (Habeas Data)

INFRACCIONES INFORMTICAS (CPP)

INFRACCIONES INFORMATICAS Delitos contra la informacin protegida (CPP Art. 202) 1. Violentando claves o sistemas 2. Seg. nacional o secretos comerciales o industriales 3. Divulgacin o utilizacin fraudulenta 4. Divulgacin o utilizacin fraudulenta por custodios 5. Obtencin y uso no autorizados Destruccin maliciosa de documentos (CCP Art. 262) Falsificacin electrnica (CPP Art. 353) Daos informticos (CPP Art. 415) 1. Dao dolosamente 2. Serv. pblico o vinculado con la defensa nacional 3. No delito mayor Apropiacin ilcita (CPP Art. 553) 1. Uso fraudulento 2. Uso de medios (claves, tarjetas magnticas, etc.) Estafa (CPP Art. 563) REPRESION MULTAS 6 m. - 1 ao 3 aos 3 a 6 aos 9 aos 2 m. - 2 aos 6 aos 6 aos 6 m. - 3 aos 5 aos 8 m. - 4 aos 6 m. - 5 aos 5 aos 5 aos $500 a $1000 $1.000 - $1500 $2.000 - $10.000 $2.000 - $10.000 $1.000 - $2.000 ----$60 $150 $200 - $600 $200 - $600

$500 - $1000 $1.000 - $2.000

$500 - 1.000

PROBLEMAS HABITUALES
En la duplicacin del dispositivo de almacenamiento puede

ocurrir, si el disco copia no ha sido formateado a bajo nivel previamente, que la informacin que contenga ese disco copia tenga impurezas o archivos de tipo personal, con lo que el estudio no tiene validez.
En la fase de anlisis e investigacin, uno de los problemas es

determinar el sujeto que ha originado la incidencia, as como obtener las pruebas o indicios para demostrarlo.
Poder determinar la conexin de causalidad, es decir, la

conexin entre la causa y el efecto. Si los relojes del sistema no estn sincronizados mediante el protocolo NTP (network time protocol) es muy complicado obtener la lnea de tiempo de los sucesos del incidente dado.

HERRAMIENTAS- ANLISIS FORENSE

TCT (Linux).

Forensic Toolkit (Windows).

The Sleuth Kit y Autopsy

(Unix/Linux, Windows). BackTrack ( Linux). E-ROL (Windows). Helix (Windows, Solaris, Linux). Recoleccin_de F.I.R.E (Windows, Solaris y Freeware). evidencia (Live CD)

Anlisis e Investigacin

EQUIPO EN UN ANLSIS FORENSE

Dentro del equipo de investigacin del Departamento de Delitos Informticos de la Polica Nacional existen: I. Tcnicos en escenas del crimen informticas o First Responde Primeros en llegar a la escena del crimen. Recolectan la evidencia. Formacin bsica en el manejo de evidencia y documentacin. Reconstruyen el delito.

II. Examinadores de evidencia digital o Informtica Procesan evidencia digital obtenida por los tcnicos en la escena del crimen informtico. Especializados en sistemas e informtica.

III. Investigadores de Delitos Informticos Realizan la Investigacin y la reconstruccin de los hechos de forma general. Entrenamiento en informtica forense. Profesionales en: seguridad informtica, abogado, policas.

BIBLIOGRAFA

RIFA Helena, SERRA Jordi y RIVAS Jos, Anlisis forense de sistemas informticos, [en lnea], <http://webs.uvigo.es/jlrivas/downloads/publicaciones/Analisis%20forense% 20de%20sistemas%20informaticos.pdf>. [Consulta de 04 de abril del 2013]. Retos a superar en la administracin de justicia ante los delitos informticos en Ecuador, [en lnea], <http://www.dspace.espol.edu.ec/bitstream/123456789/5792/2/PRESENTACI ON%20DE%20TESIS%20%20DELITOS%20INFORMATICOS%20EN%20ECUADOR%20Y%20ADMINI STRACION%20DE%20JUSTICIA.ppt>. [Consulta de 04 de abril del 2013]. LVAREZ Galarza, 2010, Herramientas y Equipos para El Anlisis Forense, [en lnea] <http://dspace.ups.edu.ec/bitstream/123456789/546/6/CAPITULO5.pdf>, [Consulta de 04 de abril del 2013]. ARDITA Julio, 2004, Anlisis Forense Informtico, [en lnea], http://www2.dc.uba.ar/materias/crip/docs/ardita01.pdf, [Consulta de 04 de abril del 2013].