Professional Documents
Culture Documents
Corporación
Alfredo Reino
areino@gmail.com
Introducción
Limitaciones en el "mundo real"
Aspectos legales
Fases de una investigación
Obtención de la evidencia
• Windows
• Unix / Linux
• Cisco
Análisis forense como servicio corporativo
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones en el "mundo real"
Grandes corporaciones
Las grandes corporaciones no son un
mundo "ideal"
• Tamaño
Número de sistemas
Número de localizaciones
• Complejidad
Tecnológica
Política
Organizativa
Legal
• Sistemas y aplicaciones críticos
• Modelo "clientes internos"
• Madurez tecnológica, cultura tecnológica
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones
Limitaciones organizativas
Limitaciones legales
Limitaciones físicas
Limitaciones tecnológicas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones físicas
Distancias
• Acceso físico a sistemas y evidencia
• Limitaciones de desplazamiento
• Zonas horarias
Calendarios
• Diferentes fiestas
• Diferentes días críticos
Diferencias
• Culturales
• De idioma
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones tecnológicas
Ancho de banda
• Acceso remoto a sistemas
• Imágenes de disco o memoria
Sistemas de almacenamiento
• SAN / NAS
• Almacenamiento distribuido / replicado
• RAID
• Sistemas críticos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones organizativas
Modelo de gestión
• Centralizado
• Descentralizado
• "Silos" locales
Quién controla los sistemas?
• Insourcing
• Outsourcing
Jurisdicciones internas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Limitaciones legales
Cada localización tiene
• su legislación nacional referente a
cibercrimen y protección de datos
• sus políticas de RRHH
Cada localización puede tener
• sus políticas y estándares de seguridad
corporativos
Requisitos regulatorios de la
industria
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Aspectos Legales
Aspectos Legales
Diferentes modelos
• Unión Europea
• Estados Unidos de América
Quién investiga
Protección de datos
Uso judicial de la investigación
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Unión Europea
27 Estados miembros
Dos sistemas legales
• Derecho Común (Common Law)
UK, Irlanda, Chipre, Malta
Más basado en la jurisprudencia
• Derecho Civil
Resto de paises de la UE
Más basado en la ley
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Quién investiga
Empresa "víctima", con personal interno o
externo
• En la UE no se requiere licencia de
"investigador" para personal externo (en UK
posiblemente en el futuro)
El Estado
• Puede investigar o procesar a los atacantes
• Puede investigar a la empresa por seguridad
inadecuada
Otras personas, físicas o jurídicas,
afectadas por el incidente de seguridad
• En el contexto de Protección de Datos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Legislación Unión Europea
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Protección de Datos
Protección de Datos
• Data Protection Directive (1995)
• Privacy and Electronic Communications
Directive (2002)
Las directivas se trasponen a legislación
nacional por los estados miembros
• En España la LOPD (1999)
Cada estado miembro tiene una agencia
nacional de protección de datos
• En España la "Agencia Española de Protección
de Datos"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Crimen sin fronteras
Criterios de decisión
• Tipo de delito
• Política interna
• Obligaciones legales
En UE no es obligatorio, en EEUU sí (según
el caso)
• Existencia de víctimas externas
(empresas, clientes, usuarios, etc.)
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Honeypots
Legalmente es un "area gris"
• Intercepción de comunicaciones
• Protección de datos personales
¡sí, del atacante!
• Asistencia a un delito
El honeypot puede usarse para lanzar otros ataques
• Inducción al delito (entrapment)
Como estrategia de defensa en el juicio
• Contenido ilegal
Material con copyright
Pornografía infantil
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Fases de una investigación
Fases de una investigación
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Inicio de la investigación
Usuarios o personal de TI informan de un posible
incidente
• Cuentas bloqueadas, funcionamiento errático o
incorrecto de aplicaciones, etc.
Alerta generada por los sistemas de gestión de
sistemas
• Disponibilidad de sistemas, espacio en disco, utilización
CPU, intentos de logon, conexiones anómalas, etc.
Alerta generada por los sistemas de gestión de la
seguridad
• Firewall, IDS, Antivirus, etc.
Por aviso de terceros
• Policía, prensa, competidores, etc.
Por encargo directo
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Verificación del incidente
Cualquiera que sea la fuente de
información que alerta inicialmente,
hay que comprobar las otras
• Pueden aportar más información
• Pueden confirmar (o descartar) la
existencia de un incidente
Un "sistema" no es un "servidor"
• Es necesario verificar el alcance total de
una intrusión o incidente
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Verificación del incidente
Los fraudes internos pueden implicar
diferentes elementos de un sistema:
• Múltiples Aplicaciones
• Sistemas relacionados
Infraestructura de red (DNS, DHCP, routers,
switches, ...)
Sistemas de soporte (directorio, backup,
monitorización)
• Múltiples hosts
Clientes
Front-end
Middleware
Back-end, Bases de datos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
Primero la información más volátil
• Contenido de la memoria
• Conexiones de red
• Procesos corriendo
Luego información menos volátil
• Imágenes de almacenamiento (discos, etc.)
Otra información útil
• Fotos de hardware y sitios implicados
• Logs de sistemas de monitorización
• Entrevistas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
Información volátil útil
• Hora y fecha del sistema
• Procesos en ejecución
• Conexiones de red
• Puertos abiertos y aplicaciones
asociadas
• Usuarios logados en el sistema
• Contenidos de la memoria y ficheros
swap o pagefile
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
Las herramientas usadas para examinar
un sistema en marcha deben
• Ser copias "limpias" (en un CD)
Copias de comandos de sistema
• Diferentes versiones de OS
• En Unix/Linux, "statically linked"
Otras herramientas
• Usar el mínimo de recursos del propio sistema
• Alterar el sistema lo mínimo
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Análisis de la evidencia
El procedimiento de análisis dependerá del
caso y tipo de incidente
En general se trabaja con las imágenes de
los sistemas de ficheros
• Análisis de Secuencia Temporal ("timeline")
• Búsqueda de contenido
• Recuperación de binarios y documentos
(borrados o corruptos)
• Análisis de código (virus, troyanos, rootkits,
etc.)
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de la evidencia
Imágenes
Imágenes de un sistema en marcha
• Uso de "dd" y "netcat" para enviar una
copia bit-a-bit a un sistema remoto
Tanto Windows como Unix/Linux
• Para Windows puede ser más cómodo
usar HELIX
http://www.e-fense.com/helix/
Permite realizar imagen de la memoria física
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Procedimiento
Fraude interno / Espionaje industrial
• Periodo de verificación previo, sin alertar al culpable
• Información sobre conexiones se obtiene de firewalls,
IDS, sniffers, et
• Confiscación de hardware
• Obtención de imágenes de discos
Intrusión Externa
• Desconectar red
• Obtener información volátil (memoria, registro,
conexiones, etc.)
• Verificar incidente (logs, IDS, firewalls, etc.)
• Obtención de imágenes de discos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Problemas con Servidores
Se puede desconectar siempre la red o la
alimentación en sistemas críticos?
• Coste de downtime vs. coste del incidente
• Coste de reinstalación y puesta en marcha
• Coste de revalidación, recertificación
Es factible siempre el hacer imágenes de
todos los discos?
• Almacenamiento en SAN/NAS
• Configuraciones RAID
• Volúmenes de >200GB comunes (incluso TB)
• Distinción de disco físico y lógico cada vez
menos clara
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
RAID
Configuraciones comunes de RAID
• RAID 0 ("disk striping")
2 discos mín, no tiene resiliencia a fallos
Capacidad = Suma de los discos
• RAID 1 ("disk mirroring")
2 discos mín, soporta caida de 1 disco
Capacidad = La del disco de menor tamaño
• RAID 5 ("disk striping with parity")
3 discos mín, soporta caida de 1 disco
Capacidad = 2/3 de la suma de los 3 discos
Típicamente se usa
• RAID 1 (o similar) para sistema operativo
• RAID 5 (o similar) para datos
El problema de RAID
• Es necesario hacer imágenes de los discos físicos?
• En la mayoría de los casos es suficiente realizar la imagen de un disco
"lógico", a través de la controladora RAID
• Si es RAID 1 existe la posibilidad de extraer uno de los discos del
mirror y usarlo como "original"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
RAID
Fuente: http://www.cyanline.com/pres/auscert05-run-a-case.pdf
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Problemas con evidencia original
¿Cómo se preserva la evidencia original?
• Si se puede parar el sistema y tenemos acceso
físico
Se hacen dos copias de todos los discos (usando
discos de idéntico modelo)
Se guardan los originales
Se arranca el sistema desde una de las copias
Se investiga sobre otra copia
• Si no tenemos acceso físico
Procedimiento de obtención de la imagen sencillo
para que un técnico remoto pueda hacerlo
• Si no se puede parar el sistema
Se realiza imagen online, que pasa a ser considerada
"original"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Problema de la distancia
Muchos servidores tienen tarjetas de
acceso remoto (Lights-out Operations)
• Desde el punto de vista del servidor, es como
acceder desde la consola localmente
• Permiten montar CDs o diskettes virtuales
Operador remoto
• Usando toolkit automatizado, con posible
asistencia telefónica
Problemas: Zonas horarias, lenguaje, etc.
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Resumen
La información y evidencia recogida tiene
que ser la mejor posible dadas las
circunstancias
En un delito, la evidencia informática suele
corroborar o apoyar una investigación,
pero no tiene por qué ser la "pistola
humeante"
No es siempre necesario obtener "toda" la
información disponible
• No merece la pena
• Puede llevar mucho tiempo
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
Sistemas Windows
Obteniendo información
date /t & time /t
• fecha y hora
ipconfig /all
• información tcp/ip
netstat -aon
• conexiones abiertas y puertos en espera, con PID asociado
psinfo -shd
• informacion del sistema (hardware, software, hotfixes,
versiones, etc.)
pslist -t
• lista de procesos
at
• lista de tareas programadas (también mirar en
%windir%\tasks\ folder)
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
psloggedon
• usuarios logados y hora de logon
psloglist
• volcado de log de eventos
psservice
• información de servicios de sistema
net use, net accounts, net session, net share, net
user
• conexiones netbios/smb
listdlls
• lista de DLLs cargadas en sistema
sigcheck -u -e c:\windows
• lista de ficheros (.exe, .dll) no firmados
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
streams -s c:\
• lista ficheros con alternate data streams (ads)
logonsessions -p
• sesiones actuales y procesos por sesión
arp -a
• muestra tabla de caché ARP
ntlast
• muestra eventos de logon correctos y fallidos
route print
• muestra tabla de rutado IP
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
autorunsc
• muestra elementos de autoejecución
hfind c:
• ficheros ocultos
promiscdetect
• detecta interfaces de red en modo "PROMISC"
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
volume_dump
• muestra información sobre volumenes, mount points,
filesystem, etc.
pwdump2
• muestra hashes (nthash/lmhash) de cuentas locales
lsadump2
• muestra LSA secrets (necesita SeDebugPrivilege)
strings
• busca cadenas ASCII/Unicode en ficheros
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información - GUI
rootkit revealer
• detecta rootkits (usermode o kernelmode)
process explorer
• información útil sobre procesos, librerías que usan, recursos
accedidos, conexiones de red, etc.
tcpview
• muestra conexiones de red y aplicaciones asociadas
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Dispositivos Windows
\\. Local machine
\\.\C: C: volume
\\.\D: D: volume
\\.\PhysicalDrive0 First physical disk
\\.\PhysicalDrive1 Second physical disk
\\.\CdRom0 First CD-Rom
\\.\Floppy0 First floppy disk
\\.\PhysicalMemory Physical memory
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Imagen de memoria
Imagen de la memoria usando "dd"
dd if=\\.\PhysicalMemory | nc -w 3 10.0.0.1 9000
• Acceso a PhysicalMemory desde usermode ya no se permite en
Windows Server 2003 SP1 (es necesario usar un driver en
modo kernel)
Se puede volcar el espacio de memoria de un proceso con
"pmdump"
Se puede obtener el fichero de paginación
• No se puede copiar 'pagefile.sys' en un sistema en marcha
• Si se apaga el ordenador, se modifica el fichero de paginación
(o opcionalmente se borra)
• Si es necesario este fichero, quitar cable de alimentación y
obtener imágenes del disco
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Ejemplo PMDump
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Ficheros log
Log de eventos (Application, System, Security, DNS)
IIS/webserver/FTP logs/URLScan
Windows Firewall log (%windir%\pfirewall.log)
Dr. Watson logs
• contiene información sobre procesos que corrían cuando una
aplicación falló
setupapi.log
• información sobre instalacíón de aplicaciones y dispositivos
schedlgu.txt
• información sobre tareas programadas
Antivirus / IDS / IAS / ISA Server / ... logs
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Carpeta Prefetch
Usada por Windows para almacenar información sobre
ejecutables, para optimizar el rendimiento
• En WinXP se realiza prefetches al arrancar y al lanzar
aplicaciones. Win2003 realiza el prefetch sólo al arrancar (por
defecto)
• Los ficheros .pf en %systemroot%/prefetch contienen
información sobre el path de los ficheros
• La fecha y hora (MAC) del fichero .pf nos da información sobre
cuándo una aplicación ha sido ejecutada
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Otras fuentes
LastWrite en claves de registro
• Se puede usar 'lsreg.pl' para extraer esta
información
Key -> CurrentControlSet\Control\Windows\ShutdownTime
LastWrite : Tue Aug 2 12:06:56 2005
Value : ShutdownTime;REG_BINARY;c4 96 a0 ad 5a 97 c5 01
Ficheros INFO2
• Información sobre ficheros borrados
• Se puede usar 'rifiuti' para extraer información
• C:\Recycler\%USERSID%\INFO2
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Otras fuentes
Documentos recientes
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Directorios temporales
Caché navegador web
• Se puede usar 'pasco' para analizar
• Cache y cookies
• Browser history
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
Sistemas UNIX
Obteniendo información
uptime
• tiempo que lleva el sistema corriendo
uname -a
• tipo de OS y versión de kernel
date
• fecha y hora del sistema
fdisk -l
• mapa de particiones
lsof -itn
• muestra ficheros abiertos
netstat -nap
• muestra puertos abiertos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
pcat
• copia espacio de memoria de un proceso
ls -lit | sort
• muestra inodos por secuencia, permite buscar troyanos
memdump
• volcado de memoria física
mac-robber y mac-time
• obtiene información sobre MAC de ficheros
file
• identifica un fichero
ldd
• muestra librerías dinámicas utilizadas por un binario
strings
• muestra cadenas ASCII en ficheros
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obteniendo información
gdb
• debugger
objdump
• muestra información sobre ficheros objeto
readelf
• muestra información sobre ficheros ELF
strace
• traza de llamadas al sistema
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
/proc
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Otras fuentes
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Obtención de evidencia
Routers CISCO
Cisco Routers
Existen cientos de vulnerabilidades que afectan a
routers Cisco
• Buscando "cisco router" en CVE aparecen unas 50
¿Por qué atacar un router?
• Deshabilitar la red, DoS
• Atacar otros routers
• Evitar firewalls, IDS, ...
• Interceptar tráfico
• Redireccionar tráfico
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Cisco Routers
Dos tipos de memoria
• Flash (persistente)
Configuración de arranque
Ficheros sistema operativo IOS
• RAM (volátil)
Configuración actual
Tablas dinámicas (rutado, ARP, NAT, violaciones de
ACLs, estadísticas, etc.)
Lo interesante está en la RAM
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Cisco Routers
No reiniciar el router
Acceder siempre por consola
• no por red
Recoger información usando comandos
"show"
Capturar sesión de terminal
• Casi todos los programas de terminal tienen
esta función
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Cisco Routers
show clock detail
Información útil show version
Si la contraseña ha cambiado y no show running-config
show startup-config
podemos entrar, hay información show reload
que se puede conseguir por SNMP show ip route
show ip arp
• snmpwalk –v1 Router.domain.com public
show users
• snmpwalk –v1 Router.domain.com private show logging
Otra información show ip interface
• Logs de syslog show interfaces
show tcp brief all
• Traps SNMP enviadas a sistema de
show ip sockets
monitorización
show ip nat translations verbose
Es buena política tener logs activados! show ip cache flow
show ip cef
show snmp user
show snmp group
show clock detail
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Análisis forense como servicio
corporativo
Marco de trabajo
Soportado por Política de Seguridad
corporativa
Servicio forense como parte de
procedimiento de Respuesta a Incidentes
Roles, responsabilidades, y autoridad,
tienen que estar muy definidos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Equipo
Investigadores forenses
• Con experiencia, cualificaciones, y acceso a
todas las herramientas y bases de datos
• Número pequeño, dependiendo del tamaño de
la organización y el número de casos
procesados
Personal de respuesta a incidentes
• Pueden llevar a cabo las fases de verificación y
obtención de evidencia
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Equipo - Otros
Administradores de sistema
• Aportan conocimiento de la infraestructura y
podrían ser los únicos en tener acceso a
sistemas (por política)
Departamentos legales y de RRHH
• Dependiendo del caso, puede ser útil o
necesario involucrarlos en la investigación
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Herramientas
Kit de recolección de evidencia
• Automatizado, que pueda ser usado por cualquiera
• Multiplataforma
• HELIX o similar
Análisis de imágenes de discos
• The Sleuth Kit + Autopsy Browser
• EnCase
Recuperación de contraseñas
• Advanced Password Recovery Software Toolkit
Dispositivos móviles
• PDA Seizure
• MOBILedit Forensics Edition
Esteganográfía
• Stego Suite
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Bases de datos
Base de datos de "hashes"
• Permite descartar ficheros conocidos
• Cada sistema estándar y aplicación
utilizado en la corporación debería estar
registrado en la base de datos de
hashes
Base de datos de casos y evidencia
• Que permita búsqueda fácil
• ¿Cómo se resolvió aquél caso similar?
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Bases de datos
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Infrastructura necesaria
Workstations de análisis forense
• Conectividad hardware de todo tipo (IDE, SCSI, Firewire, USB,
SATA)
Almacenamiento para imágenes
• Dado que son ficheros grandes, la velocidad de
lectura/escritura es fundamental (SAN por fibra, etc.)
• Opcionalmente, sistemas de archivado digital
EMC Centera, NetApp NearStore, etc.
Almacenamiento físico para evidencia e informes
• Caja fuerte, archivador con llave, sala de archivos
CDs de herramientas de obtención de evidencias
• con instrucciones detalladas para que la obtención de
evidencias la pueda hacer alguien no-cualificado de forma
remota
Sistemas que alberguen las bases de datos comentadas
anteriormente
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Areas de investigación futura
Análisis de imágenes de memoria
Dispositivos móviles
• Teléfonos móviles
• PDAs y Blackberries
• Navegadores GPS
• Reproductores MP3
• Cámaras digitales
Telefonía IP, VoIP
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com
Areas de investigación futura
Infrastructura forense distribuida
• Agentes instalados en todos los sistemas
• Gestionados centralmente
• Permite obtener datos de diferentes fuentes y
correlacionarlos
Idea
• Uso de PXE Boot para reiniciar una máquina y
que arranque con un entorno de obtención de
evidencia
Alfredo Reino
Análisis Forense en la Corporación
http://www.areino.com/
areino@gmail.com