Análisis Forense? Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre. El título no está muy bien puesto

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Análisis Forense? Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre. El título no está muy bien puesto"

Óscar Rivero Rey
hace 8 años
Vistas:

1 Análisis Forense Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre Introducción Análisis Forense? El título no está muy bien puesto Informática forense? Veremos tres temas relacionados Forensic Informatics Information Forensics Security Audit and Risk Analysis Cada uno con sus técnicas y desafíos 1

El título no está muy bien puesto Informática forense?

2 Introducción Forensic Informatics Informática aplicada a la investigación forense El dispositivo informático es una evidencia de un delito No necesariamente electrónico Empleo de técnicas informáticas para extraer y recopilar evidencias lógicas de la evidencia física Desafíos Validez jurídica Introducción Information Forensics Investigación forense aplicada a sistemas de información El dispositivo informático es el objeto de una intrusión No necesariamente un delito Empleo de técnicas informáticas para recopilar evidencias acerca de la intrusión Desafíos La fuente de información es el objeto atacado 2

Introducción Information Forensics Investigación forense aplicada a sistemas de información El dispositivo informático es el objeto de una intrusión No

3 Introducción Security Audit and Risk Analysis Análisis de Riesgos asociados a Sistemas de Información El sistema no ha sido atacado, pero comporta riesgos No necesariamente frente a ataques Recopilación de evidencias que permitan valorar los riesgos del sistema Desafíos No es qué ha pasado?, sino qué puede pasar Qué tienen en común? El procedimiento Recuperación de información Análisis de evidencias Elaboración de un informe Las habilidades que se requieren Análisis crítico y objetivo Valoración fundada Rigor Fuentes de Información 3

Desafíos No es qué ha pasado?, sino qué puede pasar Qué tienen en común?

4 Forensic Informatics (Informática Forense) Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Introducción Informática Forense Recopilar evidencia de equipos informáticos y dispositivos de almacenamiento digitales que pueda ser presentada ante un tribunal Requisitos específicos Preservación de la evidencia Cadena de custodia Reproducibilidad 4

informáticos y dispositivos de almacenamiento digitales que pueda ser presentada ante un

5 Introducción Metodología Forense Recolección de evidencia Manteniendo la integridad y la cadena de custodia! Análisis de la evidencia Metódico y reproducible Informe pericial Riguroso, claro y preciso Evidencia: elemento físico o lógico que permite confirmar o refutar una hipótesis En este caso, la hipótesis del hecho delictivo o de su autoría Evidencia electrónica o informática: alude al soporte específico Qué puede ser una evidencia? 5

elemento físico o lógico que permite confirmar o refutar una hipótesis En este caso, la hipótesis del hecho

6 Volatilidad de la evidencia Alude a la facilidad de alteración de la evidencia Evidencias volátiles Memoria RAM Procesos activos Conexiones de red Debe ser recolectada en primer lugar Volatilidad de la evidencia Apagar o no apagar la máquina? Si se apaga, se pierde la evidencia volátil Si no se apaga, se puede alterar toda la evidencia Ataque en curso Mecanismos de protección En general, hay que llegar a una solución de compromiso 6

7 Integridad de la evidencia Asegurar que la evidencia no ha sido alterada Minimizar pérdida de datos Evitar agregar datos Garantizar que la evidencia no ha sido alterada Imprescindible en todo proceso judicial Integridad de la evidencia Cómo asegurar la no alteración de la evidencia? Copiados bit a bit Bloqueadores de escritura Hashes criptográficos Jaulas de faraday Garantizar que la evidencia no ha sido alterada Protocolos de cadena de custodia Protección física de la evidencia 7

asegurar la no alteración de la evidencia?

8 Proceso de Análisis Forense Asegurar la escena Proteger la escena para evitar la modificación o destrucción de las evidencias digitales existentes Definición de los protocolos de actuación a seguir ante un determinado tipo investigación digital E S C E N A Identificar evidencias Identificar de entre los equipos y dispositivos existentes, los que puedan contener una información relevante Experiencia en investigación y conocimiento de sistemas informáticos para identificar las fuentes de información Capturar evidencias Realizar copia exacta de las evidencias identificadas sin alterar el original, o con el mínimo impacto sobre ésta Empleo de herramientas fiables, contrastadas y eficientes que garanticen que NO se altera la evidencia original Documentar detalladamente todos los procedimientos realizados sobre las evidencias Adecuado tratamiento y documentación de las evidencias garantizando la «cadena de custodia» Preservar evidencias Analizar las evidencias siguiendo métodos forenses especializados y empleando las herramientas forenses adecuadas al caso Equipo formado por personal capacitado con experiencia en el uso de herramientas de análisis forense Analizar evidencias Presentación de los resultados de forma clara y en un formato adecuado al tipo de informe requerido Redacción de informes claros, concretos y concisos ilustrativos de los hechos. Presentar resultados L A B O R A T O R I O F O R E N S E La imagen forense Copia bit a bit de la evidencia contenida en un sitema Discos duros, unidades extraíbles, memoria Cómo se obtiene? Duplicadoras hardware Software específico Propietario: Encase De libre distribución: dd 8

Experiencia en investigación y conocimiento de sistemas informáticos para identificar las fuentes de información Capturar evidencias Realizar copia exacta de las evidencias identificadas sin alterar

9 Análisis de la información Localizar información relevante para el caso Qué es relevante? Cómo localizo esa información en un tiempo razonable? Métodos de análisis Establecimiento de la línea temporal Análisis de palabras clave Técnicas de inteligencia artificial Análisis de la Información Análisis de la información Desafíos Dispositivos cada vez más heterogéneos Cifrado de datos Almacenamiento en la nube Revisión no supervisada de contenidos Análisis de la Información 9

Métodos de análisis Establecimiento de la línea temporal Análisis de palabras clave Técnicas de inteligencia

Documentos relacionados

INFORMÁTICA FORENSE. Delincuencia en los Medios Electrónicos. Universidad Mundial

INFORMÁTICA FORENSE. Delincuencia en los Medios Electrónicos. Universidad Mundial INFORMÁTICA FORENSE Delincuencia en los Medios Electrónicos Universidad Mundial DEFINICIÓN Disciplina forense que se aplica en la búsqueda, tratamiento, análisis y preservación de indicios relacionados