Beruflich Dokumente
Kultur Dokumente
Agenda
Introduccin
Anlisis Forense Tipos de anlisis forense
INTRODUCCIN
Delito informtico son los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informticos, redes y datos informticos, as como el abuso de los mismos.
El anlisis forense es un rea perteneciente al mbito de la seguridad informtica surgida a raz del incremento de los diferentes incidentes de seguridad. En el anlisis forense se realiza un anlisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema.
Preguntas que se tratan de responder con un anlisis forense: Quin ha realizado el ataque? Cmo se realiz? Qu vulnerabilidades se han explotado? Qu hizo el intruso una vez que accedi al sistema?
Tiempo en el que se produce el incidente: 1 hora. Tiempo requerido para el anlisis del mismo: 20 horas.
QU ES UN ANLISIS FORENSE?
El anlisis forense en un sistema informtico es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.
La metodologa o los pasos que se deben seguir ante un incidente de seguridad son los siguientes:
Preparacin y Prevencin Deteccin del incidente Respuesta inicial Formulacin de una estrategia de respuesta ante el incidente 5. Investigacin del incidente
1. 2. 3. 4.
1. 2. 1. 2.
almacenamiento del sistema mediante un LIVE CD. Un LIVE CD: sistema operativo almacenado en un medio extrable (CD, DVD) que puede ejecutarse desde ste sin necesidad de instalarlo en el disco duro de una computadora, usa la memoria RAM como disco duro virtual y el propio medio como sistema de archivos. Realizar una verificacin de que el dispositivo de almacenamiento de origen y destino son idnticos (integridad de los datos). Transportar dichos dispositivos al centro de anlisis. En caso de existir datos personales se debe cumplir con las medidas tcnicas que requiere la Ley.
2. Anlisis e Investigacin
Las fuentes de informacin recogida son: -Registros de los sistemas analizados -Registro de los detectores de intrusin -Registro de los cortafuegos -Ficheros del sistema analizado En el caso ltimo, tener cuidado con carpetas personales de usuarios, se recomienda asesorarse con un jurista ante la realizacin de un anlisis forense.
Dos tipos de anlisis: Fsico: informacin que no es interpretada por el sistema operativo ni por el de ficheros .
Lgico: informacin interpretada por el sistema operativo. Obtener: estructura de directorios, ficheros actuales como los que han sido eliminados, horas-fechas de creacin y modificacin de los ficheros (anlisis de la lnea de tiempo), tamaos, utilizacin de los HASH para reconocer los tipos de
archivos.
Las herramientas utilizadas por excelencia en esta fase son: EnCase y el Sleunth kit & Autopsy. EnCase es una aplicacin comercial mientras que Sleunth kit & Autopsy es un conjunto de herramientas de software libre. Estas aplicaciones funcionan sobre Windows y GNU/Linux respectivamente.
b. Informe Tcnico.- Describir qu ha ocurrido en el sistema de forma tcnica. Partes: Introduccin: objeto principal del informe. Preparacin del entorno y recogida de datos: pasos a seguir para la preparacin del entorno forense, la adquisicin y verificacin de las imgenes del equipo afectado. Estudio forense de las evidencias: se describe la obtencin de las evidencias as como de su significado. Conclusiones: A las que se han llegado despus de haber realizado el anlisis.
Ley Orgnica de Transparencia y Acceso a la Informacin Pblica Ley de Comercio Electrnico Firmas Electrnicas y Mensajes de Datos Ley de Propiedad Intelectual
PROBLEMAS HABITUALES
En la duplicacin del dispositivo de almacenamiento puede
ocurrir, si el disco copia no ha sido formateado a bajo nivel previamente, que la informacin que contenga ese disco copia tenga impurezas o archivos de tipo personal, con lo que el estudio no tiene validez.
En la fase de anlisis e investigacin, uno de los problemas es
determinar el sujeto que ha originado la incidencia, as como obtener las pruebas o indicios para demostrarlo.
Poder determinar la conexin de causalidad, es decir, la
conexin entre la causa y el efecto. Si los relojes del sistema no estn sincronizados mediante el protocolo NTP (network time protocol) es muy complicado obtener la lnea de tiempo de los sucesos del incidente dado.
(Unix/Linux, Windows). BackTrack ( Linux). E-ROL (Windows). Helix (Windows, Solaris, Linux). Recoleccin_de F.I.R.E (Windows, Solaris y Freeware). evidencia (Live CD)
Anlisis e Investigacin
II. Examinadores de evidencia digital o Informtica Procesan evidencia digital obtenida por los tcnicos en la escena del crimen informtico. Especializados en sistemas e informtica.
III. Investigadores de Delitos Informticos Realizan la Investigacin y la reconstruccin de los hechos de forma general. Entrenamiento en informtica forense. Profesionales en: seguridad informtica, abogado, policas.
BIBLIOGRAFA
RIFA Helena, SERRA Jordi y RIVAS Jos, Anlisis forense de sistemas informticos, [en lnea], <http://webs.uvigo.es/jlrivas/downloads/publicaciones/Analisis%20forense% 20de%20sistemas%20informaticos.pdf>. [Consulta de 04 de abril del 2013]. Retos a superar en la administracin de justicia ante los delitos informticos en Ecuador, [en lnea], <http://www.dspace.espol.edu.ec/bitstream/123456789/5792/2/PRESENTACI ON%20DE%20TESIS%20%20DELITOS%20INFORMATICOS%20EN%20ECUADOR%20Y%20ADMINI STRACION%20DE%20JUSTICIA.ppt>. [Consulta de 04 de abril del 2013]. LVAREZ Galarza, 2010, Herramientas y Equipos para El Anlisis Forense, [en lnea] <http://dspace.ups.edu.ec/bitstream/123456789/546/6/CAPITULO5.pdf>, [Consulta de 04 de abril del 2013]. ARDITA Julio, 2004, Anlisis Forense Informtico, [en lnea], http://www2.dc.uba.ar/materias/crip/docs/ardita01.pdf, [Consulta de 04 de abril del 2013].