Scribd Logo
Upload

Welcome to Scribd!

  • Análisis

    Uploaded by

    Darwin Huaman Veliz
    4 views20 pages

    Original Title

    Análisis+...pptx

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    4 views20 pages

    Análisis

    Uploaded by

    Darwin Huaman Veliz

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 20

    Coets Group

    Agenda
    PARTE TERICA.

    Anlisis Forense
    Respuesta a Incidentes
    Motivacin
    Evidencias
    El Proceso Forense

    PARTE PRACTICA.

    Anlisis forense en entorno windows.
    Windows al descubierto.






























    Anlisis Forense
    Definicin de Anlisis Forense.
    - Todo sea segn Wikipedia.
    Sinnimos: Cyberforensics, Forensic
    Analysis, Forensics, Computer Forensics,
    and Digital Forensics

    Respuesta a Incidentes
    Empecemos por el principio.
    Qu es un Incidente?
    Algunos tipos de incidentes:
    Compromisos de integridad.
    Uso no autorizado.
    Denegacin de servicio.
    Daos.
    Intrusiones.
    Contaminacion Atomica del
    ordenador .. Es Broma o no!

    Respuesta a Incidentes
    Proceso:
    Preparacin Identificacin
    Anlisis Forense
    Recuperacin
    Seguimiento
    Necesidad de Mtodos Forenses
    Los datos digitales son frgiles, voltiles, complejos de
    interpretar y
    deben ser preservados y autenticados adecuadamente.
    Deterioro de las evidencias.
    Cambio de perfil del ciberdelincuente.
    El iceberg de datos:

    Datos encontrados con herramientas
    convencionales
    Datos adicionales encontrados con herramientas
    forenses
    Objetivos de la investigacin
    forense

    Confirmar el incidente ocurrido.
    Llevar a cabo una investigacin estructura del
    incidente.
    Preservar y asegurar las evidencias digitales y
    validarlas para un
    posible proceso judicial.
    Asegurar la continuidad de negocio. Minimizar costes
    de interrupcin
    de servicio.
    Entender, corregir y proteger de futuros compromisos
    Tipos de Evidencias
    Testimonio Humano
    Evidencias Fsicas
    Evidencias de Red
    Evidencias de Host
    Memoria
    Conexiones de Red
    Procesos
    Usuarios conectados
    Configuraciones de red
    Discos
    Volatilidad
    El proceso Forense
    Recoleccin de Evidencias
    Primera Fase: Llegamos al lugar del incidente:

    Preservar la escena del crimen:
    - De personas: Evitar que acciones de terceros contaminen o
    destruyan pruebas

    Recoger evidencias fsicas
    - Descripcin del hardware
    - Descripcin de los dispositivos externos
    - Topologas de red
    - Fotografiar el sistema

    Recoger evidencias humanas
    - Testimonio del administrador: Qu ha tocado?
    Recoleccin de Evidencias
    Recoger evidencias del host.

    o La Meta. Tratar de obtener la mayor informacin posible con el mnimo
    impacto
    o El dilema: apagamos el sistema, o antes interactuamos con l?
    Anlisis en fro VS Anlisis en
    caliente
    Anlisis en Fro:

    o Evitamos un mayor impacto en la mquina.
    o Solo podemos acceder a la informacin no voltil.
    Cmo apago el sistema comprometido?

    Anlisis en Caliente:

    o Podemos recoger mucha ms informacin.
    o Tcnicas avanzadas solo detectables en memoria.
    Fcil contaminacin del sistema. Juicio?
    login, procesos, binarios contaminados, etc
    Respuesta del intruso. Sistema Peligroso!!
    Informacin no fiable.
    Recoleccin de evidencias

    Recoleccin de evidencias en caliente :
    Muy fcil contaminar las evidencias!!

    No utilizar las herramientas del sistema. Podran haber sido alteradas
    No ser intrusivo:
    o Ejecutar lo estrictamente necesario.
    o No alterar el contenido del disco
    o No instalar programas, ni volcar salida de programas a disco duro.
    o Utilizar medios externos para almacenar los datos o enviarlos va red.
    Recoger por orden de volatilidad
    Documentacin
    Modificacin y Sobreescritura en discos
    Recoleccin de evidencias
    Recoleccin de evidencias en fro
    Extraccin de discos
    Copiado de disco. bit-por-bit

    Recoleccin de evidencias de red
    IDS
    Firewall
    Herramientas de monitorizacin

    La entrega de los medios
    Documento firmado por el perito/notario y la empresa.
    Recoleccin de evidencias
    Reglas Bsicas:
    Sumas de comprobacin
    Documentacin de TODO
    Cadena de Custodia
    Consideraciones de transporte y almacenamiento
    Puede no ser suficiente Perito judicial o Notario
    Anlisis de Evidencias
    Segunda Fase: Empezamos el anlisis
    Consideraciones:
    NUNCA trabajar con datos, evidencias, dispositivos,
    etc.. ORIGINALES
    Respetar la legislacin y las polticas de la Organizacin
    Documentacin
    Resultados Verificables y Reproducibles
    No existe un procedimiento estndar.
    Anlisis de Evidencias
    Preparacin del entorno forense
    Laboratorio forense.
    El Sistema de anlisis
    Entorno limpio
    Aislado de la red
    Herramientas limpias y esterilizadas
    Sistema de Simulacin
    Sistema de Pruebas en caliente
    Anlisis de Evidencias
    Objetivo de Anlisis
    Quin? Como? Con que? Porqu? Cuando? Etc
    Reconstruccin temporal de los hechos: Timeline
    Correlacin de eventos. De donde ?

    Anlisis del sistema de ficheros
    Anlisis de los ficheros corrientes del sistema
    Comprobacin de integridad de los binarios del sistema.
    ROOTKITS y Virus???
    Archivos temporales.
    Archivos o directorios ocultos
    Nombres camuflados

    Archivos borrados
    Slack space
    Particin swap
    Esteganografa, cifrado, etc

    You might also like