TALLER SOBRE
COMPUTO
FORENSE
Ing. Atzimba G. López M.S
CIEco-UNAM
2015
� TALLER SOBRE CÓMPUTO
FORENSE
Objetivo del taller: describir los pasos
necesarios para realizar un análisis forense,
contemplando las cuestiones legales existentes.
Realizar análisis forense a los diferentes equipos
(móviles, servidores, laptops, escritorio, etc) que
se encuentren comprometidos, o sean parte de
alguna investigación; todo esto apegado a los
lineamientos estándares y legales.
Manejar algunas técnicas para la extracción de
información de algún dispositivo que se
encuentre bajo investigación.
Dias: del lunes 23 al viernes 27, noviembre
2015
�CÓMPUTO FORENSE
Se refiere al proceso de aplicar técnicas
científicas y analíticas a infraestructura
de cómputo, para identificar, preservar,
analizar y presentar evidencia de
manera que sea aceptable en un
procedimiento legal.
El Análisis y Computación
Forense permiten recolectar, preservar
y analizar grandes volúmenes de datos
e información, para corroborar o refutar
los hechos y los alegatos de un caso.
�ANÁLISIS FORENSE
El análisis forense informático se aplica
una vez que tenemos un incidente o
ataque y queremos investigar qué fue lo
que pasó, quién fue y cómo fue
Responder a las preguntas W5:
¿Quién?
¿Qué?
¿Cuándo?
¿Dónde?
¿Por qué?
Reconstrucción de eventos
�CIBER-CRIMEN
Una acción ilícita o tipificada como
delito utilizando a propósito las TIC
como medio o fin.
Legislación federal
[Link]
Legislaciones estatales
http://
[Link]/LeyesBiblio/gobiern
[Link]
�TIPOS DE INCIDENTES O
ATAQUES
Robo de propiedad intelectual
Extorsión.
Pornografía infantil.
Fraude
Distribución de virus.
Estafa.
Acceso no autorizado.
Robo de servicios.
Abuso de privilegios
Denegación de Servicios
Entre otros
�ALGUNOS DE LOS
ARTÍCULOS DEL CÓDIGO
PENAL FEDERAL
�TIPOS DE ANÁLISIS
FORENSE
Análisis de intrusión
Evaluación de daños
Investigación de sospechosos
Análisis de herramientas
Análisis de bitácoras
Búsqueda de evidencia
�PROCESO FORENSE
�PRINCIPIO DE LOCARD
Identificar evidencia
Preservar evidencia
Analizar evidencia
Presentar evidencia
��IDENTIFICAR EVIDENCIA
Los equipos que pueden contener
evidencia, reconociendo la frágil
naturaleza de los datos digitales
Identificar la información que se
encuentra disponible.
Determinar la mejor forma de
recolectarla.
¿Qué tipo de información está disponible?
¿Cómo la podemos “llevar” de forma
segura?.
¿Qué puede formar parte de la evidencia?
�TIPOS DE EVIDENCIA
Evidencia transitoria
Temporal por naturaleza (RAM, registros,
etc)
Evidencia curso o patrón
Producidas por contacto (Archivos)
Evidencia condicional
Causadaspor una acción o un evento en la
escena del crimen (bitacoras, cookies)
Evidencia transferidas
Generalmente producidas por contacto
entre personas y/o objetos. (correos,
conversaciones)
�EVIDENCIA
Para que la evidencia sea admisible, debe
ser:
Suficiente
¿existe suficiente evidencia para convencer
a una persona “razonable” de la validez de
los hallazgos?
Relevante
¿tienela evidencia una relación sensible y
lógica con el hallazgo?
Competente
¿esla evidencia consistente con los hechos?
¿es válida? ¿se genera en el curso normal
del negocio?
Y por supuesto, legalmente obtenida
�PRESERVAR LA EVIDENCIA
Se debe tratar de no realizar ningún
cambio sobre la misma.
Se deben registrar y justificar todos los
cambios.
Realizar un by-pass del sistema
operativo y crear por “fuera” un backup
de toda la evidencia.
Las copias duplicadas deben ser escritas
en otro disco rígido o CD-ROM
Se debe realizar una documentación de
todo el proceso de la generación de
imágenes.
Se deben autenticar todos los archivos e
�ANALIZAR LA EVIDENCIA
Extraer, procesar e interpretar.
La extracción puede obtener solo
imágenes binarias, que no son
comprendidas por los humanos.
La evidencia se procesa para poder
obtener información que entiendan los
investigadores.
Para interpretar la evidencia se requiere
conocimiento profundo para entender
como embonan las piezas.
El análisis efectuado por el forense debe
poder ser repetido.
�PRESENTAR LA EVIDENCIA
Abogados, fiscales, jurado, etc.
La aceptación dependerá de factores
como:
La forma de presentarla (¿se entiende?, ¿es
convincente?)
El perfil y credibilidad de la persona que
presenta la evidencia.
La credibilidad de los procesos usados para
preservar y analizar la evidencia.
Aumenta si se pueden duplicar el
proceso y los resultados.
Especialmente importante cuando la
evidencia se presenta en una corte
�DOCUMENTACIÓN DEL
ANÁLISIS FORENSE
Reporte Ejecutivo
Reporte Técnico
Catalogo de evidencias
Enumeración de evidencias
Iniciales del investigador
Fecha (ddmmyyyy)
Número de equipo (nnn)
Parte del equipo (aa)
�SIETE PECADOS
CAPITALES
1. Falla en reportar o pedir ayuda NO
documentada.
2. Notas no completas o inexistentes
3. Mal manejo de la evidencia
4. Fallas en la creación de respaldos.
5. Fallas en la erradicación o en la
contención.
6. Fallas en la prevención de re-
infección.
7. Fallas en aplicar las lecciones
aprendidas.
� REQUERIMIENTOS DE UN
INVESTIGADOR FORENSE
DIGITAL
Conocimiento técnico
Conocer las implicaciones de sus acciones
Entender como los datos pueden ser
modificados
Ingenioso, mente abierta
Ética muy alta
Educación continua
Siempre usa fuentes altamente
redundantes de datos para obtener sus
conclusiones
Un investigador forense aporta su entrenamiento para
ayudar a otros investigadores a reconstruir un
incidente y encontrar evidencia, por tanto, sólo puede
presentar posibilidades basadas en la información
�LABORATORIO DE
CÓMPUTO FORENSE
El laboratorio debe ser seguro, de tal
forma que la evidencia no se pierda,
corrompa o destruya.
Proporcionar un ambiente físico seguro
Requerimientos mínimos.
Pequeño cuarto con paredes de piso a
techo.
Acceso a través de una puerta con
mecanismo de bloqueo.
Medios de almacenamiento seguros (físicos
y digitales).
Bitácora de visitantes
�LABORATORIO DE
ANÁLISIS FORENSE
(MEDIANO)
�TÉCNICAS ANTI-
FORENSES
Manipulación, eliminación y/o
ocultamiento de pruebas para complicar o
imposibilidad la efectivdad del análisis
forense.
Ejemplos:
Eliminación de información
Borrado seguro de archivos
Cifrado u ocultamiento (esteganografía)
Alteración de archivos (cambio de nombre
y/o extensión).
�CONTRAMEDIDAS DE
ANTI-FORENSE
Activación de logs de auditoría para
S.O., apps y dispositivos.
Instlación de IDS’s (Intrusion Detection
Systems)
Implementación de un equipo
concentrador de logs que sólo pueda
recibir tráfico entrante desde fuentes
autorizadas.
Sistemas de vigilancia
Entre otros
� HERRAMIENTAS
Directory Snoop (FAT, Forensic
NTFS) Acquisition Utilities
[Link] [Link]
ThumbsPlus .com/fau/
(Imagenes)
Encase
[Link] [Link]
[Link]
WinHex y X-Ways FTK
[Link]
[Link]
Mount Image [Link]/
[Link] ProDiscover
m
Forensics
LiveView
[Link]
[Link]
[Link]/prodiscoverd
