m.i.g.t. - diciembre de 20051 técnicas de computación forense

M.I.G.T. - Diciembre de 2005 1

Técnicas de Técnicas de Computación ForenseComputación Forense

2

IntroducciónIntroducción

• ObjetivoObjetivo• ImportanciaImportancia

– Tecnología => Valor de la informaciónTecnología => Valor de la información– Conectividad => RiesgosConectividad => Riesgos– Evidencias => Registros, bitácoras - Evidencias => Registros, bitácoras -

Nuevas técnicasNuevas técnicas– Pruebas => Menos tiempoPruebas => Menos tiempo

3

Norma 1210.A2Norma 1210.A2

• El auditor internoEl auditor interno debe tener suficientes debe tener suficientes conocimientos para identificar los conocimientos para identificar los indicadores de fraudeindicadores de fraude, pero no es de , pero no es de esperar que tenga conocimientos similares a esperar que tenga conocimientos similares a los de aquellas personas cuya los de aquellas personas cuya responsabilidad principal es la detección e responsabilidad principal es la detección e investigación del fraude.investigación del fraude.

4

Consejo para la práctica Consejo para la práctica 1210.A2-11210.A2-1

• Cuando el auditor interno sospeche de la Cuando el auditor interno sospeche de la existencia de irregularidades debe informar a existencia de irregularidades debe informar a las autoridades. El auditor interno las autoridades. El auditor interno puede puede recomendar cualquier investigaciónrecomendar cualquier investigación......

• Dentro de la investigación se incluye la Dentro de la investigación se incluye la obtención de evidencia.obtención de evidencia.

• Auditores internos, Auditores internos, abogados,... usualmente abogados,... usualmente dirigen o participandirigen o participan en las investigacionesen las investigaciones..

5

Consejo para la práctica Consejo para la práctica 1210.A2-1 (cont.)1210.A2-1 (cont.)

• Al dirigir la investigación del fraude los Al dirigir la investigación del fraude los auditores auditores internosinternos debendeben entre otros entre otros::– Determinar los conocimientosDeterminar los conocimientos, técnicas y competencias , técnicas y competencias

para llevar a cabo la investigación.para llevar a cabo la investigación.– Diseñar los procedimientosDiseñar los procedimientos a seguir. a seguir.– Coordinar las actividades con el personal.Coordinar las actividades con el personal.

• Concluida la investigación, los auditores internos Concluida la investigación, los auditores internos deben evaluar los hechos para:deben evaluar los hechos para:– Mantener un conocimiento suficienteMantener un conocimiento suficiente del fraude, e del fraude, e

identificar los indicadores en el futuro.identificar los indicadores en el futuro.

6

AgendaAgenda

• Ilícito InformáticoIlícito Informático• Incidentes de seguridad Incidentes de seguridad

informáticainformática• Computación ForenseComputación Forense• Evidencia DigitalEvidencia Digital• Cadena de CustodiaCadena de Custodia• Pasos del Cómputo ForensePasos del Cómputo Forense• Prueba Informática Prueba Informática • Herramientas del PeritoHerramientas del Perito

7

Ilícito InformáticoIlícito Informático

• Debería definirse como:Debería definirse como:– ““Todas aquellas conductas ilícitas, Todas aquellas conductas ilícitas,

susceptibles de ser sancionadas, que susceptibles de ser sancionadas, que hacen uso de cualquier medio informáticohacen uso de cualquier medio informático.”.”

8

Incidentes de seguridad Incidentes de seguridad informáticainformática

• Tipos:Tipos:– Uso no apropiadoUso no apropiado: : FraudeFraude, incumplir políticas de , incumplir políticas de

uso, estafa, hurto de información, software ilegal, uso, estafa, hurto de información, software ilegal, esteganografía, etc. esteganografía, etc.

– Acceso no autorizado (físico o lógico) Acceso no autorizado (físico o lógico) : : Hackeo de servidores, crackeo passwords, Hackeo de servidores, crackeo passwords, phishing, keyloggers, hackers, crackers, phishing, keyloggers, hackers, crackers, phreakers, ingeniería social, etc.phreakers, ingeniería social, etc.

– Código maliciosoCódigo malicioso: Virus, gusanos, troyanos, : Virus, gusanos, troyanos, espías, etc..espías, etc..

– Denegación de servicioDenegación de servicio

9

Señales de alertaSeñales de alerta

• Detección automáticaDetección automática:: Software de Software de detección de intrusos (IDS), antivirus, detección de intrusos (IDS), antivirus, analizadores de logs, monitoreo analizadores de logs, monitoreo automático de controles e integridad.automático de controles e integridad.

• ManualManual:: Denuncias de usuarios o Denuncias de usuarios o

administradores, caídas de servidores y administradores, caídas de servidores y servicios, bajo rendimiento.servicios, bajo rendimiento.

10

Computación ForenseComputación Forense

• Según el FBI:Según el FBI: “Es la ciencia de adquirir, “Es la ciencia de adquirir, preservar, analizar y presentar datos preservar, analizar y presentar datos que han sido procesados que han sido procesados electrónicamente y guardados en un electrónicamente y guardados en un medio computacional, aplicando medio computacional, aplicando técnicas científicas y analíticas”técnicas científicas y analíticas”

11

Computación ForenseComputación Forense

• Objetos Objetos

• Objetivos Objetivos – Procesamiento judicialProcesamiento judicial– Investigación en ámbito organizacionalInvestigación en ámbito organizacional– Errores, fallas, pérdidas de datosErrores, fallas, pérdidas de datos– Medidas preventivasMedidas preventivas

• Usos Usos

12

Registros de un casoRegistros de un caso

• Se utilizaron los siguientes:Se utilizaron los siguientes:– Conexiones a la red y al PCConexiones a la red y al PC– Análisis de archivos la red y del PCAnálisis de archivos la red y del PC– Recuperación de archivos eliminadosRecuperación de archivos eliminados– Recuperación de cintas de respaldosRecuperación de cintas de respaldos– Archivos temporales de OfficeArchivos temporales de Office– Propiedades de los documentos de OfficePropiedades de los documentos de Office– Agendas electrónicasAgendas electrónicas– Marcas de tarjeta de ingresoMarcas de tarjeta de ingreso– Llamadas telefónicasLlamadas telefónicas

13

Evidencia DigitalEvidencia Digital

• Según Casey:Según Casey: Es un tipo de evidencia física. Es un tipo de evidencia física. Está construida de campos magnéticos y Está construida de campos magnéticos y pulsos electrónicos que pueden ser pulsos electrónicos que pueden ser recolectados y analizados con herramientas y recolectados y analizados con herramientas y técnicas especiales.técnicas especiales.

• “ “Cualquier tipo de dato digital que pueda Cualquier tipo de dato digital que pueda ayudar a demostrar que se ha cometido un ayudar a demostrar que se ha cometido un ilícito, o bien que permita establecer un ilícito, o bien que permita establecer un vínculo entre el ilícito, la víctima, y el criminal”.vínculo entre el ilícito, la víctima, y el criminal”.

14

Evidencia DigitalEvidencia Digital

• Características: Frágil y volátilCaracterísticas: Frágil y volátil

• Diferencias con evidencia física tradicionalDiferencias con evidencia física tradicional

• VentajasVentajas– RepetibleRepetible– RecuperableRecuperable– RedundanteRedundante– Íntegra (Función de hash)Íntegra (Función de hash)

15

Evidencia DigitalEvidencia Digital

• Propiedades de la evidencia digital según Propiedades de la evidencia digital según IOCE (International Organization on Computer IOCE (International Organization on Computer Evidence):Evidence):

– Consistencia con todos los sistemas legalesConsistencia con todos los sistemas legales– Permitir usar un lenguaje comúnPermitir usar un lenguaje común– DurabilidadDurabilidad– Capacidad de cruzar límites internacionalesCapacidad de cruzar límites internacionales– Capaz de ofrecer confianza en su integridadCapaz de ofrecer confianza en su integridad– Aplicables a toda la evidencia forenseAplicables a toda la evidencia forense

16

DificultadesDificultades

• Alteración de la evidencia por falta de Alteración de la evidencia por falta de protecciónprotección

• Se llega tarde a levantar la evidencia, se Se llega tarde a levantar la evidencia, se pierden logs o se sobrescriben.pierden logs o se sobrescriben.

• Falta de cuidados en la conservación de Falta de cuidados en la conservación de los equiposlos equipos

• Trabajar con medios originalesTrabajar con medios originales• Falta de Falta de recursos humanosrecursos humanos y materiales y materiales

adecuadosadecuados

17

Recursos HumanosRecursos Humanos

• Destrezas de los técnicosDestrezas de los técnicos

• Credibilidad y Confianza Credibilidad y Confianza

• MetodologíaMetodología

18

Cadena de CustodiaCadena de Custodia

• ““La cadena de custodia documenta el proceso La cadena de custodia documenta el proceso completo de las evidencias durante la vida del completo de las evidencias durante la vida del caso, quién la recogió y donde, como la caso, quién la recogió y donde, como la almacenó, quien la procesó, etc..”almacenó, quien la procesó, etc..”

• CaracterísticasCaracterísticas::– Identificación Identificación – Continuidad de la posesiónContinuidad de la posesión– Prueba la integridadPrueba la integridad

• Documentación estándar (Formulario)Documentación estándar (Formulario)

19

Pasos a seguirPasos a seguir

1.1. Identificación y DescripciónIdentificación y Descripción2.2. Recolección de evidenciaRecolección de evidencia3.3. Línea del tiempoLínea del tiempo4.4. Análisis del sistemaAnálisis del sistema5.5. Recuperación de datos eliminadosRecuperación de datos eliminados6.6. Búsqueda de cadenasBúsqueda de cadenas7.7. Reconstrucción de los hechosReconstrucción de los hechos8.8. Prueba informáticaPrueba informática9.9. InformeInforme

20

2) Recolección de evidencia2) Recolección de evidencia

• Notificar. Presencia de testigosNotificar. Presencia de testigos• Proceso documentado y repetibleProceso documentado y repetible• Copia: Imagen bit a bit.Copia: Imagen bit a bit.• Obtener 2 copias. Nunca trabajar en Obtener 2 copias. Nunca trabajar en

medios originalesmedios originales• Anotar fechas y horas. Documentar. Anotar fechas y horas. Documentar.

Precintar.Precintar.• Utilizar software forense Utilizar software forense • Recoger en orden de volatilidadRecoger en orden de volatilidad

– Volátiles y no VolátilesVolátiles y no Volátiles

21

Evidencia volátilEvidencia volátil

• Depende del momento y las condicionesDepende del momento y las condiciones

• Tipos:Tipos:– Transitoria o pasajera: Se perderá al Transitoria o pasajera: Se perderá al

apagar la máquina.apagar la máquina.– Frágil: Inf. En disco fácilmente alterable.Frágil: Inf. En disco fácilmente alterable.– Temporal: En disco, pero accesible durante Temporal: En disco, pero accesible durante

un cierto período.un cierto período.

22

Métodos de preservaciónMétodos de preservación

• En lo posible: No apagar la máquina y En lo posible: No apagar la máquina y recoger inmediatamente la evidencia volátil recoger inmediatamente la evidencia volátil sin alterar la escena.sin alterar la escena.

• Guardar la información en otro dispositivo.Guardar la información en otro dispositivo.– Poca inf.: Diskettes (baratos, rápidos, accesibles y Poca inf.: Diskettes (baratos, rápidos, accesibles y

transportables)transportables)– Lo ideal: A través de la red en un equipo seguro.Lo ideal: A través de la red en un equipo seguro.

• Usar poca memoria para no sobrescribir Usar poca memoria para no sobrescribir • Aislar la máquina para evitar alteracionesAislar la máquina para evitar alteraciones

23

3) Línea del tiempo3) Línea del tiempo

• Graficar cronológicamente:Graficar cronológicamente:– Conexiones al sistema o a la redConexiones al sistema o a la red– Fechas y horas de archivosFechas y horas de archivos– Eventos relevantes de los logsEventos relevantes de los logs– Etc..Etc..

24

4) Análisis del Sistema4) Análisis del Sistema

• Análisis general del sistema buscando Análisis general del sistema buscando características especiales, fechas, características especiales, fechas, permisos, etc.permisos, etc.

• Printer Spooler FilePrinter Spooler File• Papelera de ReciclajePapelera de Reciclaje• Links: Windows/Recent, Links: Windows/Recent,

Windows/Desktop, Windows/StartWindows/Desktop, Windows/Start• Archivos temporalesArchivos temporales

25

5) Recuperación de datos 5) Recuperación de datos eliminados u ocultoseliminados u ocultos

• Temporales de MicrosoftTemporales de Microsoft

• Archivos y carpetas eliminadosArchivos y carpetas eliminados

• Espacio reservado en archivosEspacio reservado en archivos

• Información del autor en archivos OfficeInformación del autor en archivos Office

26

Correo electrónicoCorreo electrónico

Return-Path: bounces@tuparada.comReturn-Path: bounces@tuparada.com RemitenteRemitente

Received: from smtp-s4.antel.net.uy (192.168.2.4)Received: from smtp-s4.antel.net.uy (192.168.2.4) by by be04.in.adinet.com.uy (7.2.068.1)be04.in.adinet.com.uy (7.2.068.1) Una Una línea por cada servidor en la ruta del mensajelínea por cada servidor en la ruta del mensaje

id 4373658A000CF9E5 for migarcia@adinet.com.uy; Sat, 19 Nov 2005 id 4373658A000CF9E5 for migarcia@adinet.com.uy; Sat, 19 Nov 2005 16:41:52 –020016:41:52 –0200Received: from news2.tuparada.com (200.32.4.113)Received: from news2.tuparada.com (200.32.4.113) by smtp- by smtp-s4.antel.net.uy (7.2.068.1) s4.antel.net.uy (7.2.068.1) id 436059EE0040B83B for migarcia@adinet.com.uy; Sat, 19 Nov 2005 id 436059EE0040B83B for migarcia@adinet.com.uy; Sat, 19 Nov 2005 16:41:52 –020016:41:52 –0200Message-ID: <436059EE0040B83B@smtp-s4.antel.net.uy> (added by Message-ID: <436059EE0040B83B@smtp-s4.antel.net.uy> (added by postmaster@adinet.com.uy)postmaster@adinet.com.uy) Identificador único del mensajeIdentificador único del mensajeTo: migarcia@adinet.com.uyTo: migarcia@adinet.com.uy

27

8) Prueba informática8) Prueba informática

• Objetivo de la pruebaObjetivo de la prueba• AdmisibilidadAdmisibilidad

– Autenticidad: Evidencia relacionada con el caso y Autenticidad: Evidencia relacionada con el caso y no alteradano alterada

– Confiabilidad: Forma de registro comprobableConfiabilidad: Forma de registro comprobable– Suficiencia: Redundancia. Correlación de eventosSuficiencia: Redundancia. Correlación de eventos– Conformidad con legislación vigente: Estándares Conformidad con legislación vigente: Estándares

internacionales (Unión Europea, etc..)internacionales (Unión Europea, etc..)

• Criterio de razonabilidad Criterio de razonabilidad

28

HerramientasHerramientas

• Kit de Cómputo ForenseKit de Cómputo Forense– Computadoras, Discos externosComputadoras, Discos externos– Grabadora de Cds y Cds libresGrabadora de Cds y Cds libres– Cámara digital y celularCámara digital y celular– Herramientas y cablesHerramientas y cables– Impresora portátil y Papel Impresora portátil y Papel – Precintos, formularios de cadena de custodiaPrecintos, formularios de cadena de custodia

• Herramientas de software de análisis forense Herramientas de software de análisis forense (Encase, FIRE, Helix, Winhex, etc.)(Encase, FIRE, Helix, Winhex, etc.)

• Lugar seguro para guardar la evidenciaLugar seguro para guardar la evidencia

29

ProblemasProblemas

• Falta de conocimiento o experiencia. Software Falta de conocimiento o experiencia. Software poco conocido, o antiguo.poco conocido, o antiguo.

• Malas prácticas en el tratamiento de la Malas prácticas en el tratamiento de la evidencia digitalevidencia digital

• Falta de recursos materialesFalta de recursos materiales• Subestimar el alcance del incidente. ¿A que Subestimar el alcance del incidente. ¿A que

nos enfrentamos?nos enfrentamos?• No entender que pasóNo entender que pasó

30

Más problemasMás problemas

• Software antiforenseSoftware antiforense• No tener en quien confiarNo tener en quien confiar• No aceptar sus limitaciones. No pedir ayudaNo aceptar sus limitaciones. No pedir ayuda• Falta de objetividadFalta de objetividad• Fallas en la documentación, o alteración de Fallas en la documentación, o alteración de

la cadena de custodiala cadena de custodia• Fallas en el informeFallas en el informe

31

Caso de FraudeCaso de Fraude

• Empresa utiliza planilla con inf. de Empresa utiliza planilla con inf. de deudas como sistema informático.deudas como sistema informático.

• Fraude: Alteración de la información de Fraude: Alteración de la información de la planilla en beneficio de otro.la planilla en beneficio de otro.

• Denuncia e investigación.Denuncia e investigación.

32

Caso de Fraude (cont.)Caso de Fraude (cont.)

Metodología:Metodología:• Diagnóstico inicialDiagnóstico inicial• Copias del disco duro del PCCopias del disco duro del PC• Guarda del disco originalGuarda del disco original• Análisis de directorios de la red donde estaba la Análisis de directorios de la red donde estaba la

planilla alterada.planilla alterada.• Se obtuvo copia del archivo con la planillaSe obtuvo copia del archivo con la planilla

33

Caso de Fraude (cont.)Caso de Fraude (cont.)

Metodología (cont.):Metodología (cont.):• Comando Salvage de red NovellComando Salvage de red Novell• Recuperación de archivos eliminados en disco local y Recuperación de archivos eliminados en disco local y

redred• Se obtuvieron archivos temporales de excel con Se obtuvieron archivos temporales de excel con

versiones anteriores a cada edición del archivo.versiones anteriores a cada edición del archivo.• Recuperación desde las cintas de respaldos de las Recuperación desde las cintas de respaldos de las

versiones de los archivos relacionadosversiones de los archivos relacionados• Se armó serie cronológica de versiones del archivo.Se armó serie cronológica de versiones del archivo.

34

Caso de Fraude (cont.)Caso de Fraude (cont.)

Metodología (cont.):Metodología (cont.):• Análisis de características de propiedad, Análisis de características de propiedad,

autor, fechas, horas de archivos originales y autor, fechas, horas de archivos originales y temporales de edición de Excel.temporales de edición de Excel.

• Análisis de registros de conexión a red y PC.Análisis de registros de conexión a red y PC.• Armado de la línea del tiempo y Armado de la línea del tiempo y

reconstrucción de los hechos para la prueba.reconstrucción de los hechos para la prueba.

35

Caso de Fraude (cont.)Caso de Fraude (cont.)

Conclusiones:Conclusiones:• Redundancia: Se obtuvo la historia de los Redundancia: Se obtuvo la historia de los

archivos por más de una vía.archivos por más de una vía.• Se demostró la identidad del perpetrador del Se demostró la identidad del perpetrador del

fraude, liberando de responsabilidad al fraude, liberando de responsabilidad al inocente.inocente.

• Condiciones: En organizaciones grandes hay Condiciones: En organizaciones grandes hay más recursos y ambientes más controlados.más recursos y ambientes más controlados.

36

RecomendacionesRecomendaciones

• Seguridad Informática:Seguridad Informática:– Politicas de seguridadPoliticas de seguridad– Firma Digital, encripciónFirma Digital, encripción– Software actualizadoSoftware actualizado– Servidores de aplicaciones y redes segurosServidores de aplicaciones y redes seguros– Firewalls y routers bien configuradosFirewalls y routers bien configurados

• Controles, prácticas y procedimientos: Es más Controles, prácticas y procedimientos: Es más barato prevenir que detectarbarato prevenir que detectar

• Auditar regularmente, evaluar riesgosAuditar regularmente, evaluar riesgos

37

Más recomendaciones..Más recomendaciones..

• Software antivirus e IDSSoftware antivirus e IDS• Conocer bien el ambiente y comportamiento Conocer bien el ambiente y comportamiento

normalnormal• Loggear actividadLoggear actividad• Mantener relojes y logs sincronizadosMantener relojes y logs sincronizados• Recolectar información de análisisRecolectar información de análisis• CapacitaciónCapacitación• Aprender de lo ocurridoAprender de lo ocurrido• Campaña de sensibilización en seguridadCampaña de sensibilización en seguridad

38

Sitios de interésSitios de interés

• Computer Forensics Inc.Computer Forensics Inc. wwwwww..forensicsforensics..comcom• Computer Forensics ServicesComputer Forensics Services wwwwww..computercomputer--

forensicsforensics..comcom• Armor ForensicsArmor Forensics www.forensics-intl.com www.forensics-intl.com• Computer Forensic News and CommunityComputer Forensic News and Community

www.foresicfocus.com www.foresicfocus.com

• www.informaticaforense.comwww.informaticaforense.com

39

Más sitios de interés..Más sitios de interés..

• International Organization on Computer Evidence International Organization on Computer Evidence

www.ioce.orgwww.ioce.org• European Network of forensic Science InstitutesEuropean Network of forensic Science Institutes

www.enfsi.orgwww.enfsi.org• International Journal on Digital EvidenceInternational Journal on Digital Evidence www.ijde.org www.ijde.org• Information Security and forensic societyInformation Security and forensic society www.isfs.org.hk www.isfs.org.hk• Scientific working group on digital evidenceScientific working group on digital evidence

www.ncfs.org/swgdewww.ncfs.org/swgde• CERT: www.cert.org/kb/CERT: www.cert.org/kb/

40

Software forenseSoftware forense

• Helix: www.e-fense.com/helixHelix: www.e-fense.com/helix

• Sleuth Kit & autopsy: www.sleuthkit.orgSleuth Kit & autopsy: www.sleuthkit.org

• Snort: www.snort.orgSnort: www.snort.org

• F.I.R.E.: biatchux.dmzs.comF.I.R.E.: biatchux.dmzs.com

• Encase: www.encase.comEncase: www.encase.com

• Winhex: www.winhex.comWinhex: www.winhex.com

41

ReferenciasReferencias

Para la elaboración del siguiente material se utilizaron las siguientes referencias bibliográficas:

– Preservation of fragile digital evidence by first responders – Special Agent Jesse Kornblum

– Forensic examination of digital evidence (U.S. DOJ-2004)– Chain of custody form for forensic images (e-fense-2005)– Material del curso de “Computación Forense” dictado por

Chavez y Andrés - Isaca Latin Cacs - Mérida 2004– Digital Evidence: Standards and Principles by SWGDE and

IOCE.– The Institute of Internal Auditors.

42

Muchas graciasMuchas gracias