1 CÓMPUTO FORENSE Universidad Vasco de Quiroga, Noviembre de 2013
2 Cómputo ForenseCómputo Forense
3 Ciber-crimenCiber-crimen
4 Tipos de Incidentes o AtaquesTipos de Incidentes o Ataques
5 Análisis ForenseAnálisis Forense
6
7 Legislación InformáticaLegislación Informática
8 Artículos del Código Penal FederalArtículos del Código Penal Federal
9 Proceso ForenseProceso Forense
10
11 Reglas GeneralesReglas Generales
12 EvidenciaEvidencia
13 Tipos de evidenciaTipos de evidencia
14 Orden de JerarquíaOrden de Jerarquía Registros y contenidos de la caché. Contenidos de la memoria. Estado de las conexiones de red, tablas de rutas. Estado de los procesos en ejecución. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento. + + - -
15 Recolección y manejo de evidenciasRecolección y manejo de evidencias RFC3227 Procedimiento de recolección Transparencia Pasos de la recolección Cadena de custodia Como archivar una evidencia Herramientas necesarias y medios de almacenamiento de éstas
16 Manipulación de la Evidencia Manipulación de la Evidencia
17 Preservar la evidenciaPreservar la evidencia Sistema “vivo” Sistema “desconectado” PROS Fecha y hora del sistema Memoria RAM activa Procesos arrancados Actividad de red, conexiones abiertas Conexiones de Red Usuarios conectados en el momento CONS Cualquier activdad “altera” el entorno PROS Análisis del sistema “congelado” Multiples copias del entorno Posibilidad de realizar hash Mayor validez jurídica CONS Solamente disponemos del HDD
18 Preservar la evidenciaPreservar la evidencia 1
19 1 Bloqueo de conexión al sistema celular
20 Equipo para Análisis ForenseEquipo para Análisis Forense
21 Analizar la evidenciaAnalizar la evidencia
22 Análisis de encabezados SMTPAnálisis de encabezados SMTP EncabezadoValor Received: from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100 X-TM-IMSS-Message- ID: Received: from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100 Subject: TEST de Encabezados Date: Tue, 8 Feb 2011 16:02:40 +0100 Message-ID: X-MS-Has-Attach: MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81" X-MS-TNEF-Correlator: Thread-Topic: TEST de Encabezados Thread-Index: AcvHoTrEROEEE3f6TR+CRJDGNrHF4w== From: Content-Class: urn:content-classes:message X-MimeOLE: Produced By Microsoft Exchange V6.5 To: Return-Path: SMTP_Remitente
23 Tabla de ParticionesTabla de Particiones Byte 446
24 BitácorasBitácoras contiene los mensajes generales del sistema /var/log/messages guarda los sistemas de autenticación y seguridad /var/log/secure guarda un historial de inicio y cierres de sesión pasadas /var/log/wmtp guarda una lista dinámica de quien ha iniciado la sesión /var/run/utmp guarda cualquier inicio de sesión fallido o erróneo (sólo para Linux) /var/log/btmp
25 Archivos TemporalesArchivos Temporales
26 Presentar la evidenciaPresentar la evidencia
27 Documentación del análisis forenseDocumentación del análisis forense
28 Requerimientos de un Investigador Forense Digital
29 Laboratorio de análisis forenseLaboratorio de análisis forense
30 Técnicas Anti-forensesTécnicas Anti-forenses
31 Contramedidas de anti-forenseContramedidas de anti-forense
32 HerramientasHerramientas
33 HerramientasHerramientas
34 ¿Preguntas?¿Preguntas?