Professional Documents
Culture Documents
Digital Forensics
29.Dic.2003
http://escert.upc.es
esCERT-UPC C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ Espaa Tel. (34)934015795 ~ Fax. (34)934017055
Atencin : No se permite la reproduccin total o parcial de este material sin el permiso del autor
Definiciones 1
RAE U 1992. (Pag:478,3) http://www.rae.es
Definiciones 2
RAE U 1992. (Pag:1119,1) http://www.rae.es
Definiciones 3
CERT: Computer Emergency Response Team IRT: Incident Response Team Forensic computing Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable.
Sgt. Rodney McKemmish Autralian Institute of Criminology
Informtica forense Forensic computing Computer forensics Digital forensics Slo difiere en el tema tecnolgico Medios o dispositivos electrnicos, comunicaciones Se busca pistas diferentes
Roger Carhuatocto / Digital Forensics 4
Para qu?
Cmo entraron Cundo Para qu Quin Costo de los daos Soporte amplio al incidente Requerimiento legal
Soporte al proceso judicial Modus operandi, modos de operar de diferentes puntos de vista
Qu no cubre?
Seguimiento, captura o identificar a perpetradores Negociar con cuerpos policiales, juzgados, TELCOs
Escenarios
Entornos donde se podra realizar investigaciones: Intrusin a sistemas informticos Web defacement Uso no autorizado de equipo informtico coorporativo Wireless? Contenidos ilcitos Pornografa infantil: CDs, P2P, Internet Amenzas Cualquier crimen fsico en el que se implique infraestructura, dispositivos que trata contenido digital, no slo PCs Fraudes Estafas Propiedad intelectual Etc.
El proceso: elementos
Labs I n c i d e n t e Peritos
Proceso judicial
Seguros
El proceso: actual
Tcnico Sistemas informticos: dinmicos, grandes, distribuidos, etc. Se puede ocultar informacin Muy poco conocimiento tcnico, la tecnologa avanza Herramientas existen pero no son globales: opensource, privadas Obtener informacin es fcil, no el anlisis Almacenamiento Legal Tecnologa avanza y se adapta, leyes cambian lentamente Procesos judiciales son lentos en comparacin con cambios en la Tecnologa Protocolo. La presentacin de la evidencia debe reunir caractersticas especiales Sustentar el informe sobre evidencia admitida Organizacional Falta de preparacin de organizaciones contra intrusiones y su operativa policial, slo ve a corto plazo: reactivo y recuperacin Resultado ante incidente: descoordinacin, evidencia perdida, prdida de tiempo, etc.
Coleccin de informacin de manera consistente con TERCERA parte legal Proveer soporte a las investigaciones
10
Determinar equipo con recursos y autoridad para actuar Implementar procedimientos para diferentes situaciones y amenazas Con regularidad revisar polticas y procedimientos
Proteger
Sistemas Informacin Contener intrusin
Preservar
Sistemas y logs aceptablemente legal
Notificar
A tu CERT Administracin CERT Cuerpo Policial
11
12
1/3 Operacional, no todos los desafos son de naturaleza tecnolgica Gestin de recursos Polticas y procedimientos Entrenamiento Cambios organizacionales
13
1 Identificar
2 Preservar
3 Analizar
4 Presentar
14
15
Qu evidencia hay Dnde est Cmo est almacenada El objetivo: determinar que proceso ser empleado para facilitar la recuperacin
Ejm.: Cualquier dispositivo de almacenar informacin como: mvil, PC, agendas electrnicas, smart cards, etc.
16
Etapa crtica Orden de volatilidad Cadena de custodia Evitar cambios posibles y si no se logra, registrarlo y justificarlo
17
Es evidencia que desaparecer pronto: informacin de conexiones activas de red o el contenido actual de memoria voltil De Farmer & Venema http://www.porcupine.org
Registers, peripheral memory, caches Memory (virtual, physical) Network state Running processes Disks, floppies, tapes CD/ROM, printouts
18
Es imposible conocer simultneamente la posicin y velocidad del electrn, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posicin, mayor ser el error de velocidad, y viceversa En la informtica forense: Examinar o coleccionar una parte del sistema alterar otros componentes Es imposible capturar completamente un sistema completo en un punto en el tiempo
19
Registro de todas las operaciones sobre la evidencia Disponible El objetivo es determinar quin accedi a una pieza de evidencia, cundo y para qu El documento de la cadena de custodia es vlido desde el momento en que se considera la informacin como evidencia potencial y debera continuar en la corte/proceso judicial
1 Identificar 2 Preservar 3 Analizar 4 Presentar
Cadena de custodia
20
2
Record Volatiles
YES
Being Safe?
NO What Was The point? Mossos dEsquadra Unitat de Delictes en Tecnologie s de la Informaci NO Investigate online, run last, etc.
Make Images
21
Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal 1. Copiar 2. Generar checksums de copias y originales 3. Verificar checksums
4. Time stamping Estampar sello de tiempo a checksums Fecha checksum = Fecha de copia = Fecha documento 5. Documente: quin, dnde, cundo, por qu 6. Dar copia a custodio Custodio da copias a otros investigadores Documenta cadena de custodia Pocos custodios, pocos testificantes
22
Extrae: Puede dar algo no humanamente legible Procesa: Lo hace humanamente legible Interpreta: Requiere un profundo entendimiento de cmo las cosas estn relacionadas
23
Estado de arte del anlisis Usar metodologa: receta de cocina + experiencia Recomendaciones: Correlacionar logs: por IP, por tiempo Sincronizacin: Tiempo de sincronizacin Tiempo de zona Retraso de eventos Orden cronolgico de eventos Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros
24
25
Implica la presentacin a: A la administracin Fuerza de la ley Abogados En procesos judiciales Incluye la manera de la presentacin, contenido y legibilidad Se sustenta el proceso empleado para obtener la evidencia La presentacin de evidencia digital debe estar admitida bajo requerimientos legales para que sea vlida, la falla en ello puede causar que la evidencia sea inadmisible La experiencia y habilidades estn en juego
26
Fase 1
Fase 2
Fase 3
Denuncia Conocimiento delito pblico Recogida de evidencias del delito (inspeccin ocular, asegurar el escenario, etc.) Bsqueda de informacin y referencias identificativas Resolucin de datos de trfico y referencias identificativas Identificacin y localizacin Vigilancia Interceptacin Registro e incautacin Anlisis forense de sistema y soportes intervenidos Informe policial incriminatorio
INCRIMINACIN
27
Iniciativas 1
Buenas prcticas para Informtica Forense, herramientas Dar soporte a todos los involucrados en el proceso, no slo tcnicas, no especficas. Debe ser estndar, es necesario apoyo de todos Para que sea vlido e irrefutable Abierto, libre (auto certificable) Multi/Inter-operable Apoyo de todos: comunidad, institucional Herramientas de soporte al proceso: auditables, confiables, ntegros Educacin a todos los niveles y a todos los actores en el proceso
28
Iniciativas 2
Comunidad
Honeynet in Spanish http://his.sourceforge.net (Todo sobre honeynets en castellano) Anlisis Forensics en Castellano (Tcnicas de anlisis forense) http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics Lista en esCERT (Operacional: tcnico legal, policial) http://escert.upc.es/foro/index.php Cdigos de prcticas en Digital Forensics http://cp4df.sourceforge.net
29
Referencias 1
Ley Especial contra Delitos Informticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm Ley que Incorpora Los Delitos Informaticos Al Codigo Penal (Per) http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf Senado - Comisin Especial sobre Redes Informticas (Espaa) http://www.senado.es/comredinf Departament de Justcia i Interior - Direcci General de Relacions amb lAdministraci de Justcia (Catalua-Espaa) http://www.gencat.net/dji Policia Nacional Espaola (Delito Informtico) http://www.mir.es/policia/bit/legisla.htm Ex-Inspector BIT - PN : Antonio Lpez Melgarejo (Ciberdelito: Investigacin criminal y proceso penal) http://www.uoc.edu/in3/dt/20076 David Barroso (Links interesantes) http://voodoo.somoslopeor.com/forensics.html Diego Gonzalez (Links interesantes) http://www.dgonzalez.net/secinf
30
Referencias 2
Dan Farmer http://www.fish.com/security Wietse Venema http://www.porcupine.org/forensics Brian Carrier http://www.sleuthkit.org Trends & Issues in Crime and Criminal Justice http://www.aic.gov.au/publications/tandi/index.html FIRST Conference on Computer Security, Incident Handling & Response 2001 http://www.first.org/events/progconf/2001/progs.htm Recovering and Examining - Computer Forensic Evidence http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm Federal Guidelines For Searching And Seizing Computers http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm Reserch reports en @Stake http://www.atstake.com/research/reports/index.html
31
Referencias 3
Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com, http://www.htcia.org Importance of a Standard Methodology in Computer Forensics http://www.sans.org/rr/incident/methodology.php Intrusion Investigation And Post -Intrusion, Computer Forensic Analysis ftp://ftp.net.ohio-state.edu/pub/users/romig/otherpapers/intrusion%20investigation.doc National Software Reference Library (NSRL) Project http://www.nsrl.nist.gov Computer Forensics Tool Testing (CFTT) Project http://www.cftt.nist.gov Open Source Software As A Mechanism T o Assess Reliability For Digital Evidence http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html September 2000 Market Survey, Computer Forensics http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html
32
Agradecimientos
Mossos dEsquadra
Unitat de Delictes en Tecnologies de la Informaci
Guardia Civil
Grupo de Delitos Telemticos
33