InetSecur S.L. Análisis Forense. Gestionamos su seguridad. NCN 2K4 9-12 septiembre, 2004. InetSecur 2004



Documentos relacionados
Luis Gómez Miralles escert-upc Salamanca, 28 de octubre de 2004

Análisis Forense? Técnicas de Seguridad en Sistemas de Información Master TIC Noviembre 2011 Iván Marsá Maestre. El título no está muy bien puesto

Informática Forense. Hernán Herrera - Sebastián Gómez

Informática Forense: Recuperación de la Evidencia Digital

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Informática Forense : Z-RED111 : Sexto

Seminarios Técnicos Avanzados Microsoft Technet Madrid, 11 de Julio del José Luis Rivas López TEAXUL.

Virtualización de Evidencia en una Investigación Forense Informática 18 Agosto 2011, Huancayo Perú

UD 1: Adopción de pautas de seguridad informática

Marco normativo para el establecimiento de las medidas de seguridad

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

INFORMATICA FORENSE ING. ESP. HAROLD EMILIO CABRERA MEZA

Análisis Forense. de un. Ataque Web

, RECUPERACIoN DE DATOS:

TEMA 1: SISTEMAS INFORMÁTICOS. Parte 3: sistemas operativos

ANÁLISIS FORENSE Y CRIMEN ELECTRÓNICO

PARTIDA CONCEPTO CANTIDAD P. UNITARIO PRECIO Querétaro, Querétaro Marzo Sistema de Facturación Electrónica CFDI

Instantáneas o Shadow Copy

Diplomado de Informática Forense

POLICIA FEDERAL ARGENTINA DIVISION SEGURIDAD INFORMATICA FEDERAL

Boot Camp Manual de instalación

Reto de RedIRIS de Análisis Forense

INFORMATICA FORENSE Fases de aplicación.

PROGRAMA DE ACTUALIZACIÓN PROFESIONAL

Actualización del Cliente IFI

Procedimiento para la Elaboración de Respaldos de Información

Manual Terabox. Manual del usuario. Versión Telefónica. Todos los derechos reservados.

Cómo hacer backups en ambientes virtualizados?

Lección 5: Bloc de notas Estudio de la aplicación Bloc de notas, utilizada para escribir sencillos documentos de texto de tamaño reducido.

Capítulo 2. Cuestiones previas

Obtención de Evidencia electrónica en el cómputo Forense

SISTEMAS OPERATIVOS. Fco. Javier Bueno

INFORMATICA FORENSE. Siler Amador Donado (Esp) Ingeniero de sistemas Popayán-Colombia

Estudio de caso: Archivos ocultos informática forense. Cuestionario de examen. 1. Esboce el significado de los siguientes términos.

PROCEDIMIENTO PARA LA GESTIÓN DE LOS REGISTROS DEL SISTEMA DE CALIDAD

PLIEGO DE CONDICIONES TÉCNICAS PARA LA CONTRATACIÓN DEL SISTEMA DE VENTA DE ENTRADAS DE LA RED MUNICIPAL DE TEATROS DE VITORIA-GASTEIZ

INFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN

Creación de llaveros USB en Guadalinex EDU para la SDI

Ingreso a Sugese en Línea. Guía General. Sugese en Línea

COMO PRESERVAR LA EVIDENCIA DIGITAL EN UN INCIDENTE INFORMATICO

Notas para la instalación de un lector de tarjetas inteligentes.

LOS VIRUS IMFORMÁTICOS

Análisis Forense con Autopsy 2 Webinar Gratuito

Sistema para el control y tramitación de documentos SITA MSc. María de la Caridad Robledo Gómez y Ernesto García Fernández.

Soluciones de administración de clientes y soluciones de impresión universales

CAPITULO 8. Planeamiento, Arquitectura e Implementación

Informática forense Consejos Prácticos Infosecurity Security is a war Sheraton Libertado

Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento

Monitorización de sistemas y servicios

Symantec Desktop and Laptop Option

Módulo 7: Los activos de Seguridad de la Información

Qué ventajas tienen las cámaras ip frente a los sistemas de vigilancia CCTV tradicionales?

ALERTA ANTIVIRUS: RECOMENDACIONES

Master en Gestion de la Calidad

PROGRAMAS INTERNACIONALES Experto en Seguridad Informática. Más que un título

Ley Orgánica de Protección de Datos

CONCEPTOS BASICOS. Febrero 2003 Página - 1/10

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos.

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

ARANZADI INFOLEX COPIAS DE SEGURIDAD.

76%de las empresas españolas

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

Trabajo TICO Unidad 2: Sistemas Operativos. Guillermo Jarne Bueno.

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)

PLAN ESTRATEGICO DE MIGRACIÒN A SOFTWARE LIBRE

Módulos: Módulo 1. Hardware & Arquitectura de sistemas - 20 Horas

MICROSOFT PROJECT 2010

Guía de Instalación de Imagen GNU/Linux en VirtualBox (SEDM)

Monitorización y gestión de dispositivos, servicios y aplicaciones

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

Cuestiones 1. Que sistema operativo tienes instalado en el ordenador de tu casa?

Administración de la producción. Sesión 2: Sistema Operativo (Microsoft Windows XP)

Instalación de epass 3000 Token USB

MANUAL DE AYUDA. MODULO SAT (Anexo Integración AGIL SAT)

Manejo y Análisis de Incidentes de Seguridad Informática

Capítulo 1 Introducción a la Computación

Programa de Ayuda EMCS Instalación Versión SQL Server Versión Marzo 2010

Cómo puedo usar HP Easy Printer Care a través de USB o de una conexión paralela?

Seguridad Estructural SL

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES

Gestión completa del rendimiento

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

Ahorro de energía visualizando páginas Web en dispositivos móviles heterogéneos

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

a la distancia de unclic

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

Resumen de los protocolos de seguridad del Registro Telemático

Cómo crear tu servidor virtual en 3 clics

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado.

Beneficios estratégicos para su organización. Beneficios. Características V

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)

Contenido Derechos Reservados DIAN - Proyecto MUISCA

ANÁLISIS FORENSE DE SISTEMAS LINUX RESUMEN

Elementos Monitoreados

SISTEMAS OPERATIVOS. Instalación

LOPD EN LA EMPRESA. Las cámaras de vigilancia y el cumplimiento de la LOPD

Identificar los problemas y las soluciones Tipos de registros de eventos... 4 Cómo ver los detalles de un evento... 5

Guía Rápida de Inicio

Manual Terabox. Manual del usuario. Versión Telefónica. Todos los derechos reservados.

Transcripción:

InetSecur S.L. Gestionamos su seguridad Análisis Forense NCN 2K4 9-12 septiembre, 2004 InetSecur 2004

Índice! Respuesta a incidentes! Análisis forense! Adquisición de Datos! Herramientas! Caso práctico

Respuesta a Incidentes! Administración centralizada de los incidentes de seguridad (internos y externos)! Permite gestionar la seguridad informática de la organización desde una perspectiva global.! Cuando (no si) suframos un incidente, querremos:! Alerta temprana.! Máxima información.! Mínimo coste (en tiempo, dinero, recursos en general).! Sin perder tiempo de servicio.

Respuesta a Incidentes!IRT: Equipo de Respuesta a Incidentes

Análisis Forense! Motivación: Obtener información acerca del incidente! Procedencia! Punto de entrada! Herramientas! Alcance! Consecuencias! Ayuda a la toma de decisiones en el marco de la respuesta a incidentes.

Análisis Forense! Evidencia Digital! Qué es Evidencia Digital?! Una línea de texto en un log.! La hora de último acceso de un fichero.! Una cookie en un disco duro.! Una MAC en una tabla ARP.! El uptime de un sistema.! Un fichero en disco.! Un proceso en ejecución.!...! Dónde la encontramos?! PCs (HD, RAM).! PDAs, teléfonos, cámaras digitales...! Routers, switches...! Cualquier dato en la memoria volátil o fija de un dispositivo puede ser Evidencia Digital.

Análisis Forense! Metodología 1. Estudio preliminar! Descripción del caso: qué ha ocurrido, a dónde se desea llegar.! Recogida de información sobre las organizaciones, redes, etc. implicadas.! Identificación de los elementos relevantes: escenario, sistemas, agentes. 2. Adquisición de datos! Copia de las fuentes de información relevantes.! Aplicación de mecanismos necesarios para preservación de la evidencia: hashes, timestamping. 3. Análisis! Se plantean teorías sobre lo sucedido. Según la evidencia encontrada, estas teorías se refuerzan o descartan. 4. Presentación! Exposición y defensa, ante un cliente o en un tribunal, de la validez de los resultados obtenidos.

Análisis Forense! Consideraciones! Todo el proceso debe estar documentado.! Cualquier investigador, partiendo de los datos originales, y aplicando las herramientas y procedimientos que describamos, será capaz de llegar a los mismos resultados.! Debe, por supuesto, respetarse la legislación aplicable, así como las políticas de la Organización.

Análisis Forense! Aproximación tradicional! Fuentes de información:!logs (del sistema comprometido y de otros).!capturas de tráfico de red (completas, IDSs...).!Ficheros del sistema comprometido:! Ingeniería inversa!mac-times! Temporalización " Correlación

Adquisición de Datos! Copia de la información contenida en un sistema.!toda la contenida en soportes no volátiles.!en algunos casos, también la contenida en soportes volátiles.! El dilema: apagamos el sistema, o antes interactuamos con él?! Si no lo apagamos, podremos ver las conexiones de red activas, los procesos en ejecución, los usuarios conectados...! Sin embargo, el sistema puede estar troyanizado y ocultar esa información. Además, se contamina la escena del crimen.

Adquisición de Datos! El proceso debe realizarse arrancando el sistema en un entorno limpio y controlado. Por ejemplo:! Se arranca el sistema comprometido utilizando un Live CD de Linux.! Se envían por red imágenes de cada dispositivo implicado a un equipo de recogida. dd id=/dev/hda nc 192.168.1.2 12345! En el equipo de recogida, se recibe esta información y se almacena en disco. nc l p 12345 > hda.dd! Verificación (por ejemplo, comparar hash de original y copia).! Posteriormente, desglose de la imagen del dispositivo en imágenes de las particiones.

Herramientas! Herramientas! Frameworks completos:! Comerciales: Encase.! Libres: Autopsy, FLAG.! Aproximación minimalista: muchas herramientas pequeñas:!rifiuti, Pasco, Galleta (libres): papelera de reciclaje, historial de IE5, cookies.! Microsoft Windows Event Viewer (comercial): visor de sucesos ;-)! Repertorio UNIX: dd, sha1sum, strings, grep, gdb...! SMART (comercial), AIR (libre): adquisición de datos.

Caso práctico!iris-cert (RedIRIS): Reto Análisis Forense!Invierno 2004.!Compromiso real de un sistema RH Linux 6.2.!Informe ejecutivo + informe técnico.!14 participantes (individual o grupos).

Referencias! Reto IRIS-CERT: http://www.rediris.es/cert/ped/reto/! The Honeynet Project: http://www.honeynet.org! Herramientas! Sleuthkit, Autopsy: http://www.sleuthkit.org! PyFLAG: http://pyflag.sourceforge.net! Encase: http://www.encase.com! Rifiuti, Pasco, Galleta: http://www.foundstone.com! http://www.sysinternals.com

Dudas y preguntas Gracias por su asistencia lgomez@inetsecur.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback