Ing. Atzimba G. López M.
 Objetivo
del taller: describir los pasos necesarios
para realizar un análisis forense, contemplando las
cuestiones legales existentes.
Realizar análisis forense a los diferentes equipos
(móviles, servidores, laptops, escritorio, etc) que se
encuentren comprometidos, o sean parte de alguna
investigación; todo esto apegado a los lineamientos
estándares y legales.
Manejar algunas técnicas para la extracción de
información de algún dispositivo que se encuentre
bajo investigación.
 Dias: del lunes 12 al viernes 16, agosto 2013
Hora: 09:00 - 15:00
 Se
refiere al proceso de aplicar técnicas
científicas y analíticas a infraestructura de
cómputo, para identificar, preservar, analizar
y presentar evidencia de manera que sea
aceptable en un procedimiento legal.
 El Análisis y Computación Forense permiten
recolectar, preservar y analizar grandes
volúmenes de datos e información, para
corroborar o refutar los hechos y los alegatos
de un caso.
 El
análisis forense informático se aplica una
vez que tenemos un incidente o ataque y
queremos investigar qué fue lo que pasó,
quién fue y cómo fue
 Responder a las preguntas W5:





¿Quién?
¿Qué?
¿Cuándo?
¿Dónde?
¿Por qué?
 Reconstrucción
de eventos
 Una
acción ilícita o tipificada como delito
utilizando a propósito las TIC como medio o
fin.
 Legislación federal

http://www.diputados.gob.mx/LeyesBiblio
 Legislaciones

http://www.diputados.gob.mx/LeyesBiblio/gobie
rnos.htm
 Legislación

estatales
de Michoacán
http://celem.michoacan.gob.mx/celem/main.js
p?p_height=900
Robo de propiedad intelectual
 Extorsión.
 Pornografía infantil.
 Fraude
 Distribución de virus.
 Estafa.
 Acceso no autorizado.
 Robo de servicios.
 Abuso de privilegios
 Denegación de Servicios
 Entre otros

 Análisis
de intrusión
 Evaluación de daños
 Investigación de sospechosos
 Análisis de herramientas
 Análisis de bitácoras
 Búsqueda de evidencia
 Identificar
evidencia
 Preservar evidencia
 Analizar evidencia
 Presentar evidencia
 Los
equipos que pueden contener evidencia,
reconociendo la frágil naturaleza de los datos
digitales
 Identificar la información que se encuentra
disponible.
 Determinar la mejor forma de recolectarla.



¿Qué tipo de información está disponible?
¿Cómo la podemos “llevar” de forma segura?.
¿Qué puede formar parte de la evidencia?
 Evidencia

Temporal por naturaleza (RAM, registros, etc)
 Evidencia

condicional
Causadas por una acción o un evento en la
escena del crimen (bitacoras, cookies)
 Evidencia

curso o patrón
Producidas por contacto (Archivos)
 Evidencia

transitoria
transferidas
Generalmente producidas por contacto entre
personas y/o objetos. (correos, conversaciones)
Para que la evidencia sea admisible, debe ser:
 Suficiente


Relevante


¿tiene la evidencia una relación sensible y lógica con
el hallazgo?
Competente


¿existe suficiente evidencia para convencer a una
persona “razonable” de la validez de los hallazgos?
¿es la evidencia consistente con los hechos? ¿es
válida? ¿se genera en el curso normal del negocio?
Y por supuesto, legalmente obtenida
Se debe tratar de no realizar ningún cambio
sobre la misma.
 Se deben registrar y justificar todos los cambios.
 Realizar un by-pass del sistema operativo y crear
por “fuera” un backup de toda la evidencia.
 Las copias duplicadas deben ser escritas en otro
disco rígido o CD-ROM
 Se debe realizar una documentación de todo el
proceso de la generación de imágenes.
 Se deben autenticar todos los archivos e
imágenes utilizadas con obtención de huellas
digitales

 Extraer,
procesar e interpretar.
 La extracción puede obtener solo imágenes
binarias, que no son comprendidas por los
humanos.
 La evidencia se procesa para poder obtener
información que entiendan los
investigadores.
 Para interpretar la evidencia se requiere
conocimiento profundo para entender como
embonan las piezas.
 El análisis efectuado por el forense debe
poder ser repetido.
 Abogados,
fiscales, jurado, etc.
 La aceptación dependerá de factores como:



La forma de presentarla (¿se entiende?, ¿es
convincente?)
El perfil y credibilidad de la persona que
presenta la evidencia.
La credibilidad de los procesos usados para
preservar y analizar la evidencia.
 Aumenta
si se pueden duplicar el proceso y
los resultados.
 Especialmente importante cuando la
evidencia se presenta en una corte
 Reporte
Ejecutivo
 Reporte Técnico
 Catalogo de evidencias
 Enumeración de evidencias




Iniciales del investigador
Fecha (ddmmyyyy)
Número de equipo (nnn)
Parte del equipo (aa)
1.
2.
3.
4.
5.
6.
7.
Falla en reportar o pedir ayuda NO
documentada.
Notas no completas o inexistentes
Mal manejo de la evidencia
Fallas en la creación de respaldos.
Fallas en la erradicación o en la
contención.
Fallas en la prevención de re-infección.
Fallas en aplicar las lecciones aprendidas.
Conocimiento técnico
 Conocer las implicaciones de sus acciones
 Entender como los datos pueden ser modificados
 Ingenioso, mente abierta
 Ética muy alta
 Educación continua
 Siempre usa fuentes altamente redundantes de
datos para obtener sus conclusiones

Un investigador forense aporta su entrenamiento para ayudar
a otros investigadores a reconstruir un incidente y encontrar
evidencia, por tanto, sólo puede presentar posibilidades
basadas en la información limitada que posee
 El
laboratorio debe ser seguro, de tal forma
que la evidencia no se pierda, corrompa o
destruya.
 Proporcionar un ambiente físico seguro
 Requerimientos mínimos.




Pequeño cuarto con paredes de piso a techo.
Acceso a través de una puerta con mecanismo de
bloqueo.
Medios de almacenamiento seguros (físicos y
digitales).
Bitácora de visitantes
Manipulación, eliminación y/o ocultamiento de
pruebas para complicar o imposibilidad la
efectivdad del análisis forense.
 Ejemplos:




Eliminación de información
Borrado seguro de archivos
Cifrado u ocultamiento (esteganografía)
Alteración de archivos (cambio de nombre y/o
extensión).
 Activación
de logs de auditoría para S.O.,
apps y dispositivos.
 Instlación de IDS’s (Intrusion Detection
Systems)
 Implementación de un equipo concentrador
de logs que sólo pueda recibir tráfico
entrante desde fuentes autorizadas.
 Sistemas de vigilancia
 Entre otros

Directory Snoop (FAT, NTFS)
• Forensic Acquisition Utilities
http://gmgsystemsinc.com/fau
/
http://www.briggsoft.com

ThumbsPlus (Imagenes)
http://www.cerious.com

Mount Image
http://www.mountimage.com

• FTK
http://www.accessdata.com/
• ProDiscover Forensics
– http://www.techpathways.c
om/prodiscoverdft.htm
LiveView
http://liveview.sourceforge.net/

http://www.guidancesoftware.
com
WinHex y X-Ways
http://www.winhex.com

• Encase
Autopsy Forensic Browser
• Net Witness
http://www.sleuthkit.org/autops
•
y
www.netwitness.com/
Xplico
http://www.xplico.org/
Descargar

Investigación Forense