Informática Forense
Teoría y Práctica
Daniel Fernández Bleda
[email protected] Sevilla, Hackmeeting 2004 1/11/2004
1
Índice (Teoría)
• Introducción:
– – – – Hagamos un poco de Historia ¿Qué es la Informática Forense? ¿Qué es Evidencia Digital? Orígenes de la I.F.
?
Aplicación del A.F.:
– – –
Aplicación Real Modos de A.F. Información útil en el A.F. The Coroner’sToolkit The Sleuth Kit / Autopsy Mac-robber Foundstone Forensic Toolkit FLAG Foremost HELIX / FIRE
?
Herramientas Open Source:
– – – – – – –
•
Estado actual de la I.F.
– Situación actual. – El reto
•
Procedimientos en el Análisis Forense
– – – – – RFC3227 / CP4DF El Proyecto CTOSE La cadena de custodia Proceso pre-investigación Entornos de trabajo
? ?
Conociendo al enemigoEl Futuro de la I.F.
2
Índice (Práctica)
• Análisis post-mortem de un sistema comprometido • Análisis en caliente de un sistema comprometido • Recuperación de pruebas de un disquete
3
Hagamos un poco de historia
• La ciencia informática data de los años 40, es una de las más recientes. • Su evolución e integración en la sociedad a sido muy rápida.
– – – – 40s: Se investiga parasaber qué es computable. 60s: Se investiga para reducir coste y potencia. 80s: Se investiga para hacerla fiable y robusta. 00s: Se investiga cómo controlar qué hacen los usuarios con los ordenadores y qué sucede dentro de estos.
– 01s (12 de Septiembre): Control total. Se quiere poder investigar y monitorizar la actividad en los Sistemas de Información e Internet: Informática Forense.
4
¿Quées la Informática Forense?
?
La Informática Forense es la ciencia de:
– – – –
Adquirir Preservar Obtener Presentar
datos que hayan sido procesados electrónicamente y almacenados en soportes informáticos.
5
¿Qué es una Evidencia Digital?
• Información almacenada digitalmente que puede llegar a ser utilizada como prueba en un proceso judicial. • Para que esto sea viable seránecesario seguir unos procedimientos en su recuperación, almacenamiento y análisis. • Es muy importante seguir una cadena de custodia lo suficientemente robusta y permita asegurar la inmutabilidad de la evidencia digital.
6
El Principio de Locard
• Cada contacto deja un rastro. • En el mundo físico:
• Cristal roto con la mano: cristal en la mano, sangre en el cristal. • Cesped pisado: tierraen el zapato, huella en el cesped.
• En el mundo digital:
• Conexión SSH: claves públicas en cliente y servidor. • Exploits compilados: MD5 único de un “único” atacante.
7
Delitos Informáticos
• Según las Naciones Unidas tenemos estos:
— — — — — — — — — — — — Fraudes cometidos mediante manipulación de ordenadores. Manipulación de programas. Manipulación de datos de salida. Fraudeefectuado por manipulación informática o por medio de dispositivos informáticos. Falsificaciones informáticas. Sabotaje informático. Virus, gusanos y bombas lógicas. Acceso no autorizado a Sistemas o Servicios de Información. Reproducción no autorizada de programas informáticos de protección legal. Producción / Distribución de pornografía infantil usando medios telemáticos. Amenazas mediante correoelectrónico. Juego fraudulento on-line.
8
Orígenes (I)
?
?
?
En los últimos 20 años, la cantidad de información almacenada en sistemas informáticos ha tenido un crecimiento casi exponencial. El hecho que la información deje de estar en papel para estar en formato digital requiere un cambio de mentalidad en la obtención de pruebas en investigaciones. Es necesario saber cómo obtenerpruebas de forma eficiente y útil. Debe aparecer el forense del mundo digital a semejanza del mundo físico.
9
Orígenes (II)
• La I.F. no aparece a causa de Internet.
– “Al principio no había redes”. – Los virus fueron los primeros “investigados”: 90s. – La I.F. se inicia con la Ingeniería Inversa.
• Con la apertura de las redes a los usuarios cambia la casuística.
– A finales de los…