![Page 1: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/1.jpg)
CÓMPUTO FORENSECÓMPUTO FORENSE
M.C. Juan Carlos Olivares Rojas
Universidad Vasco de Quiroga, Noviembre de 2013
![Page 2: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/2.jpg)
Cómputo ForenseCómputo Forense
• Aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
![Page 3: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/3.jpg)
Ciber-crimenCiber-crimen
• Una acción ilícita o tipificada como delito utilizando a propósito las TIC como medio o fin.
![Page 4: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/4.jpg)
Tipos de Incidentes o AtaquesTipos de Incidentes o Ataques
• Robo de propiedad intelectual• Extorsión
• Pornografía infantil• Fraude
• Distribución de virus.• Estafa.
• Acceso no autorizado.• Robo de servicios.
• Abuso de privilegios• Denegación de Servicios• …
![Page 5: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/5.jpg)
Análisis ForenseAnálisis Forense
• El análisis forense informático se aplica una vez que tenemos un incidente o ataque y queremos investigar qué fue lo que pasó, quién fue y cómo fue
![Page 6: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/6.jpg)
Análisis ForenseAnálisis Forense
• Responder a las preguntas W5: – ¿Quién?– ¿Qué?– ¿Cuándo?– ¿Dónde?– ¿Por qué?
![Page 7: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/7.jpg)
Legislación InformáticaLegislación Informática
• Legislación Internacional
• Legislación Federal– http://www.diputados.gob.mx/Leyes
Biblio
• Legislaciones Estatales– http://www.diputados.gob.mx/Leyes
Biblio/gobiernos.htm– http
://celem.michoacan.gob.mx/celem/main.jsp?p_height=900
![Page 8: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/8.jpg)
Artículos del Código Penal FederalArtículos del Código Penal Federal
![Page 9: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/9.jpg)
Proceso ForenseProceso Forense
![Page 10: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/10.jpg)
Proceso ForenseProceso Forense
![Page 11: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/11.jpg)
Reglas GeneralesReglas Generales
Documentar cambios
Cumplir Reglas de la Evidencia
Minimizar el manejo de los datos
originales.
No exceder el
conocimiento.
![Page 12: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/12.jpg)
EvidenciaEvidencia
• Para que la evidencia sea admisible, debe ser:
• Suficiente • Relevante • Competente • Legalmente obtenida
![Page 13: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/13.jpg)
Tipos de evidenciaTipos de evidencia
• Evidencia transitoria
• Evidencia curso o patrón
• Evidencia condicional
• Evidencia transferidas
![Page 14: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/14.jpg)
Orden de JerarquíaOrden de Jerarquía
Registros y contenidos de la caché.
Contenidos de la memoria.
Estado de las conexiones de red, tablas de rutas.
Estado de los procesos en ejecución.
Contenido del sistema de archivos y de los discos duros.
Contenido de otros dispositivos de almacenamiento.
+
-
![Page 15: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/15.jpg)
Recolección y manejo de evidenciasRecolección y manejo de evidencias
RFC3227
Procedimiento de recolección
Transparencia
Pasos de la recolección
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento
de éstas
![Page 16: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/16.jpg)
Manipulación de la Evidencia Manipulación de la Evidencia
• Si no se toman las medidas adecuadas para la manipulación de la evidencia esta puede perderse o resultar inaceptable como prueba.
![Page 17: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/17.jpg)
Preservar la evidenciaPreservar la evidenciaSistema “vivo” Sistema “desconectado”
PROS• Fecha y hora del sistema• Memoria RAM activa• Procesos arrancados• Actividad de red, conexiones abiertas• Conexiones de Red• Usuarios conectados en el momento
CONS• Cualquier activdad “altera” el entorno
PROS• Análisis del sistema “congelado”• Multiples copias del entorno• Posibilidad de realizar hash• Mayor validez jurídica
CONS• Solamente disponemos del HDD
![Page 18: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/18.jpg)
Preservar la evidenciaPreservar la evidencia
1
![Page 19: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/19.jpg)
Preservar la evidenciaPreservar la evidencia
1
Bloqueo de conexiónal sistema celular
![Page 20: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/20.jpg)
Equipo para Análisis ForenseEquipo para Análisis Forense
![Page 21: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/21.jpg)
Analizar la evidenciaAnalizar la evidencia
• Extraer, procesar e interpretar.
• Para interpretar la evidencia se requiere conocimiento profundo para entender como embonan las piezas.
• El análisis efectuado por el forense debe poder ser repetido.
![Page 22: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/22.jpg)
Análisis de encabezados SMTPAnálisis de encabezados SMTPEncabezado Valor
Received: from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100
X-TM-IMSS-Message-ID:
<41f1650600009a67@FQDN_SMTP_Remitente>
Received: from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100
Subject: TEST de Encabezados
Date: Tue, 8 Feb 2011 16:02:40 +0100
Message-ID: <CF21BECC94E6884EB134AD30F14C8D1F1A40@FQDN_mailbox_remitente>
X-MS-Has-Attach: MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81"
X-MS-TNEF-Correlator:
Thread-Topic: TEST de Encabezados
Thread-Index: AcvHoTrEROEEE3f6TR+CRJDGNrHF4w==
From: <SMTP_Remitente>
Content-Class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft Exchange V6.5
To: <SMTP_Destinatario>
Return-Path: SMTP_Remitente
![Page 23: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/23.jpg)
Tabla de ParticionesTabla de Particiones
Byte 446
![Page 24: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/24.jpg)
BitácorasBitácoras
• contiene los mensajes generales del sistema
/var/log/messages
• guarda los sistemas de autenticación y seguridad /var/log/secure
• guarda un historial de inicio y cierres de sesión pasadas
/var/log/wmtp
• guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp
• guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux)
/var/log/btmp
![Page 25: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/25.jpg)
Archivos TemporalesArchivos Temporales
![Page 26: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/26.jpg)
Presentar la evidenciaPresentar la evidencia
• Abogados, fiscales, jurado, etc.• La aceptación dependerá de
factores como:– La forma de presentarla (¿se
entiende?, ¿es convincente?)– El perfil y credibilidad de la persona
que presenta la evidencia.– La credibilidad de los procesos
usados para preservar y analizar la evidencia.
![Page 27: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/27.jpg)
Documentación del análisis forenseDocumentación del análisis forense
• Reporte Ejecutivo• Reporte Técnico• Catálogo de evidencias• Enumeración de evidencias– Iniciales del investigador– Fecha (ddmmyyyy)–Número de equipo (nnn)– Parte del equipo (aa)
![Page 28: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/28.jpg)
Requerimientos de un Investigador Forense Digital
Requerimientos de un Investigador Forense Digital
• Conocimiento técnico• Conocer las implicaciones de sus acciones
• Ingenioso, mente abierta
• Ética muy alta• Educación continua
• Siempre usa fuentes altamente redundantes de datos para obtener sus conclusiones
![Page 29: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/29.jpg)
Laboratorio de análisis forenseLaboratorio de análisis forense
![Page 30: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/30.jpg)
Técnicas Anti-forensesTécnicas Anti-forenses
Manipulación, eliminación y/o ocultamiento de pruebas para complicar o imposibilidad la efectivdad del análisis forense.• Ejemplos:– Eliminación de información– Borrado seguro de archivos– Cifrado u ocultamiento
(esteganografía)– Alteración de archivos (cambio de
nombre y/o extensión).
![Page 31: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/31.jpg)
Contramedidas de anti-forenseContramedidas de anti-forense
• Activación de logs de auditoría para S.O., apps y dispositivos.
• Instlación de IDS’s (Intrusion Detection Systems)
• Implementación de un equipo concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas.
• Sistemas de vigilancia• …
![Page 32: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/32.jpg)
HerramientasHerramientas
![Page 33: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/33.jpg)
HerramientasHerramientas
![Page 34: CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013](https://reader035.vdocuments.mx/reader035/viewer/2022070418/5665b4a01a28abb57c92c2ae/html5/thumbnails/34.jpg)
¿Preguntas?¿Preguntas?
[email protected]: [email protected]
/juancarlosolivaresrojas@jcolivares
http://antares.itmorelia.edu.mx/~jcolivares