SlideShare uma empresa Scribd logo

ARSO (P1): Informatica forense - Informe

Aurora Lara Marin
Aurora Lara Marin
Tecnologia
1 de 12
Baixar para ler offline
UOC – Universitat Oberta de Catalunya Informàtica forense Informe d’aprofundiment Aurora Lara Marin AXSO – Aula 2 2012-13
Índex 1. Introducció ...................................................................................................................3 2. La informàtica forense...................................................................................................3 2.1. Què és la informàtica forense? ...............................................................................3 2.2. Objectius i finalitat .............................................................................................4 2.3. Principis de la informàtica forense ..........................................................................4 2.4. Les evidències digitals ............................................................................................5 3. Aspectes legals..............................................................................................................6 4. Metodologia i fases de l'anàlisi forense ..........................................................................7 4.1. Assegurament de l'escenari....................................................................................7 4.2. Identificació de les evidències digitals .....................................................................8 4.3. Preservació d'evidències ........................................................................................8 4.4. Anàlisi de les evidències .......................................................................................10 4.5. Presentació i informe ...........................................................................................10 5. Informàtica forense en les organitzacions.....................................................................11 6. Conclusió....................................................................................................................11 2
1. Introducció Unes de les eines que més poden ajudar a l'hora de la seguretat dels sistemes informàtics és la ciència forense, aleshores en aquest treball és tractarà de donar una visió el més fidedigna possible sobre quina es la finalitat de la ciència forense i quins són els pilars sobre el que es suporta per portar a terme la seva tasca. Fins fa poc, el coneixement que es tenia a nivell d'usuari sobre aquesta ciència era molt restringit, però l'evolució dels mitjans de comunicació, la proliferació en la televisió de sèries relacionades amb la investigació criminal i sobretot Internet, s'han apropat el coneixements que es tenen sobre la informàtica forense, encara que aquesta visió sigui parcial; però la tasca de la informàtica forense va més enllà de participar en investigació criminal o processament judicial, també permet l'estudi de la seguretat dels sistemes informàtics i la prevenció. 2. La informàtica forense En aquest primer apartat es tractarà de donar una definició correcta sobre la informàtica forense fent un incís sobre els aspectes tecnològics i els legals, però a més s'explicarà quins són els objectius i finalitats d'aquesta ciència. A més, a l'hora de l'anàlisi forense s'han de tindre en compte una sèrie de principis o bones practiques on algunes es detallaran en el subapartat dels principis de la informàtica forense. Per últim, es parlarà sobre les proves que s'obtindran gràcies a aquesta ciència. 2.1. Què és la informàtica forense? La informàtica forense és una ciència forense que tracta d'obtenir les proves o evidències digitals, que després podran ser utilitzades en un procés legal, per tant podríem dir que és tracta d'una disciplina científic-legal; però la informàtica forense va més enllà, ja que permetria analitzar sistemes d'informació amb la intenció de trobar vulnerabilitats en aquest sistema. El fet que la informàtica forense sigui en part una ciència amb una vessant científica, implica que per obtindre les proves digitals s'ha de recórrer a un conjunt de tècniques, procediments i eines formals i precises que permetran la identificació, preservació, extracció, anàlisi, interpretació, documentació i presentació de les evidències en el context que s'ha sotmès a estudi; però per altra banda, té una part legal en la s'ha de garantir que les proves digitals podran 3
ser utilitzades en cas d'ésser necessari en un procés legal, actuant com a disciplina auxiliar de la justícia moderna. 2.2. Objectius i finalitat Bàsicament la finalitat de la informàtica forense és respondre a les preguntes de què, quan, on, qui, com i per què i per respondre a aquestes preguntes s'utilitzen les evidències digitals obtingudes mitjançant els procediments i eines adequades. Els àmbits d'actuació de la informàtica forense, poden per tant ser molt diversos encara que el més conegut seria el judicial, però entre ells podem trobar la persecució criminal (prova incriminatòria), litigació civil, temes corporatius, data recovery, network forensics... A partir de les definicions anterior es pot deduir que l'obtenció d'evidències no té perquè finalitzar sempre en un procés legal, sinó que també poden ser utilitzades per la prevenció de possibles atacs al sistema, i també que l'anàlisi forense no té perquè realitzar-se després que es produeixi un esdeveniment, sinó que també es pot realitzar abans per evitar i prevenir. Així, els objectius de la informàtica forense es poden dividir en dos categories: correctius i preventius, segons si ja s'ha produït un incident o no, respectivament; en quant a la finalitat podem diferenciar la finalitat de monitoratge i auditoria, i la finalitat probatòria. Solament en el cas que la informàtica forense tingui una finalitat probatòria no podríem parlar d'objectius preventius, la resta de combinacions entre objectius i finalitat sí que serien possibles. 2.3. Principis de la informàtica forense Els informàtics forenses han de tenir molta cura a l'hora de treballar, per tal de no perdre proves o alterar-les, per això han d'extremar les mesures de seguretat i control en la manipulació. Per tant en el moment de l'extracció o manipulació ha de tindre present una sèrie de consideracions: Evitar la contaminació: els analistes forenses han de manipular les dades contingudes en ordinadors o dispositius d'emmagatzematge, però ha de fer-ho de manera que les actuacions que facin sobre ella no puguin afectar a les proves obtingudes i que les evidències siguin garants de la veritat i precises. Per això es poden emprar funcions de hash abans de manipular la informació i una vegada fetes les actuacions garantiran que no s'han modificat. 4
Actuació metòdica: els informàtics forenses han d'ésser responsables dels procediments utilitzats, llavors en aquest punt és importantíssima la documentació de tots els processos, eines i anàlisi que s'han portat a terme. Control sobre les proves : aquest punt fa referència a la garantia de la custòdia de les proves que s'ha de mantenir al llarg de tot el procés, que garantirà la fiabilitat de les proves; per aquest motiu, s'ha de documentar qualsevol esdeveniment que afecti a la seva manipulació, com pot ser qui ha tingut accés a aquestes proves, com s'ha manipulat o traslladat, dates en que es produeix qualsevol actuació... Tota aquesta informació permetrà que qualsevol altre analista pugui arribar al mateix resultat. Circumstàncies excepcionals : a vegades el analista ha de prendre la decisió de fer actuacions que no serien recomanables en altres circumstàncies, com pot ser l'actuació directament sobre la informació original en lloc d'utilitzar còpies; aleshores l'analista forense ha de tindre la suficient competència professional per prendre aquesta decisió i raonar el motiu. 2.4. Les evidències digitals Les proves obtingudes al llarg de l'anàlisi forense reben el nom de evidències digitals i correspondran a les empremtes que s'han deixat a un sistema informàtic que després permetran la reconstrucció d'un esdeveniment i donaran resposta a les preguntes de què, quan, on, qui, com i perquè. Normalment aquestes evidències es poden emprar per un procés judicial, però també poden ser utilitzades per altres necessitats com per trobar vulnerabilitats o per demostrar el nivell de seguretat del sistema. Els atacs o intrusions als sistemes informàtics poden ésser molt diversos, es llavors tasca de l'analista informàtic trobar les proves o evidències que demostrin els fets i responguin a les preguntes de què ha passat, qui, quan i com ho ha fet i quins motius ha tingut, ja no solament per presentar les proves davant l'autoritat policial o judicial, si no perquè les persones o organitzacions que s'hagin pogut veure afectades prenguin les mesures per evitar possibles incidents en el futur. Però trobar aquestes evidències digitals pot arribar a ser difícil degut a la gran diversitat dels atacs al sistema informàtic, sobretot per la diversitat motivacions i la experiència o perícia de la persona que l'ha portat a terme, fins i tot dels sistemes informàtics sotmesos a anàlisi, aquí aleshores intervé la professionalitat, experiència i àdhuc el que l'analista pugui adoptar la mentalitat de l'atacant per trobar on buscar les evidències, ja que per molt que un atacant tracti d'eliminar la seva intrusió sempre deixa un rastre en el sistema. 5
Les evidències digitals reuneixen una sèrie de característiques comuns com poden ésser, que és volàtil, anònima, duplicable, alterable, modificable o eliminable. Les evidències poden es poden modificar o eliminar fàcilment, fins i tot involuntàriament, fent que el forense informàtic hagi de tenir molta cura en la manipulació del sistema per tal de no alterar o corrompre les proves fent que després no puguin ésser utilitzades sobretot si han de presentar-se en un procés legal; també s'ha de tindre en compte que la manipulació del sistema pot no deixar empremtes com en el cas de la còpia exacta d'arxius. Per últim, l'analista forense a l'hora d'obtenir les proves es possible que alteri els suports digitals que les contenen, qüestió que s'ha de tenir en compte en la manipulació. 3. Aspectes legals En la definició de la ciència forense ja es va comentar que era una ciència amb una component legal, per això, en el moment de realitzar un anàlisi forense, l'analista ha de tindre molt present la legislació aplicable a les evidències digitals, ja que qualsevol errada en l'obtenció d'aquestes proves poden impedir que puguin ésser presentades en un procés judicial per molt vàlides que siguin, ja que la manera en que s'han obtingut aquestes evidències no és legal. Les lleis de la legislació espanyola que s'han de tindre en compte a l'hora de fer l'anàlisi d'un sistema informàtic serien la Llei d'Enjudiciament Civil, els drets fonamental que contempla la Constitució, la Llei de Protecció de Dades de Caràcter Personal (LOPD), la Llei de Serveis de la Societat de la Informació i del Comerç Electrònic, la Llei de conservació de dades relatives a les comunicacions i les xarxes públiques i el Codi Penal. Per una banda un punt principal serien els drets i llibertats fonamentals que contempla la Constitució, tots aquests drets són importants però s'ha de fer destacar el dret al secret de les comunicacions, dret a la vida privada i dret a la protecció de dades...; i per altra banda, el contingut de LOPD que determina el nivell de seguretat que han de tindre les dades contingudes en fitxers, en referència a les dades de caràcter personal i on les dades que han de tindre un nivell més alt de protecció serien les que donarien informació sobre creences, ideologia, religió, raça, sexualitat, salut, violència de gènere o dades policials. Aleshores l'analista forense en el moment de fer l'anàlisi ha de tindre molt presents els aspe ctes legals que el poden afectar, ja que la vulneració de cap dret o llibertat d'un individu implica que la prova quedi invalidada i no es pugui presentar en un procés judicial per molt que demostri la seva culpabilitat, degut a que en la seva extracció o manipulació no s'han tingut en compte; per això, davant de dubte s'hauria de consultar abans de fer cap actuació per comprovar que és 6
correcta, i si és necessari accedir a determinada informació per poder obtenir una evidència s'hauria d'obtindre la corresponent autorització judicial. 4. Metodologia i fases de l'anàlisi forense L'analista forense recorrerà a un conjunt de tècniques, procediments i eines per portar a terme la seva tasca tal i com es va comentar en la definició del terme informàtica forense, però ha de tindre un mètode a l'hora de fer l'anàlisi, per tal que les proves o evidències digitals mantinguin la seva integritat i després en cas d'ésser necessari puguin utilitzar-se en un procés policial i judicial. Aquest mètode consisteix en una sèrie de fases, com són: l'assegurament de l'escenari, la identificació de les evidències digitals, la preservació de les evidències, l'anàlisi de les evidències, i per últim la presentació de l'informe. 4.1. Assegurament de l'escenari Aquesta fase de l'anàlisi forense no és sempre obligada, però si en els casos que requereixen actuació policial, per possibilitar la presentació de les evidències davant l'autoritat judicial en qualsevol procés legal, ja que amb aquesta fase garantirà la integritat de les proves obtingudes. Per assegurar l'escenari s'han de seguir una sèrie de passos; en primer lloc s'ha d'establir quin és l'escenari que s'ha de sotmetre a estudi i una vegada s'ha identificat l'escenari s'establirà un perímetre de seguretat amb restricció d'accés on solament podran accedir les persones autoritzades, que com tots el passos donats en aquesta fase, garantirà que una vegada s'ha iniciat l'anàlisi forense s'ha controlat en tot moment l'accés i es manté l'estat del sistema informàtic. A més s'hauran de prendre un conjunt de mesures com la desconnexió de la xarxa i les connexions inalàmbriques per impedir els accessos remots, i abans de fer cap actuació s'ha d'anotar la data i hora del sistema documentant tot si és possible amb fotografies, apagar els dispositius i etiquetar tots els components. Aquestes mesures que s'han indicat pot donar-se el cas que es prescindeixin d'alguna d'elles per suposar un avantatge per l'anàlisi, com per exemple, decidir no desconnectar la xarxa ja que podria donar informació sobre connexions o origen del succés, o no apagar el sistema per la possible pèrdua d'informació i obtenir proves digitals on s'ha produït l'esdeveniment en lloc del laboratori. 7
4.2. Identificació de les evidències digitals El trobar les evidències digitals pot comportar l'anàlisi d'un elevat volum d'informació i dades, això també implica un temps considerable, fent que en molts casos sigui impossible per part de l'analista forense fer l'anàlisi de tota la informació, fins i tot pot ser infringir la legalitat l'accé s a determinada informació que contingui el sistema sense una autorització judicial que després podria invalidar les proves obtingudes. Aleshores és tasca de l'analista informàtic trobar un compromís entre la qualitat, la validesa i el temps a l'hora de l'identificació de les evidències. En aquesta fase es tractarà de localitzar i identificar les evidències, per això el primer que s'hauria de fer és identificar els sistemes objecte d'estudi, ja que poden ser molt diversos i amb aquesta identificació ja ens ajudaria molt a acotar on buscar les evidències degut que cada sistema emmagatzema la informació en llocs diferents; també amb la identificació del sistema pot aclarir on s'emmagatzema la informació volàtil i que es perdria en cas de treure el corrent elèctric als equips, aleshores amb aquesta informació l'analista pot després decidir si extreure evidències en el lloc de l'esdeveniment i sense apagar el sistema, encara que aquesta decisió pot suposar la pèrdua d'altres evidències. 4.3. Preservació d'evidències Les proves digitals són altament modificables, aleshores correspon a l'analista assegurar aquestes evidències perquè després puguin ésser presentades en un procés judicial en cas de ser necessari; això fa que aquesta fase sigui part principal del procés d'anàlisi forense, ja qualsevol error pot suposar la invalidació de les proves i que no puguin ésser presentades per no conservar la seva integritat. En aquest punt l'analista ha de decidir si fer una cerca de les proves “en calent” o apagar sistema, llavors ha de basar-se en la seva experiència i professionalitat per decidir quines proves es volen conservar, la localització de les mateixes. En aquest punt hi ha localitzacions on és més probable trobar les evidències, com pot ser el sistema de fitxers del sistema. Per tant, s'haurien de fer còpies o clons exactes dels dispositius que s'hagin d'analitzar i treballar amb aquestes còpies i no sobre la informació original, i altre decisió que s'ha de prendre en aquest moment és si fer les còpies en l'escenari o en el laboratori on es realitzarà l'anàlisi de les evidències. Al llarg de la fase es seguirà un conjunt de passos que tenen com a missió l'obtenció de les proves i assegurar-se que en cap moment es pot posar en dubte la integritat de les evidències obtingudes, entre aquests passos tenim: 8
- La còpia bit a bit dels suports originals ja sigui mitjançant programari o maquinari, però sempre fent incís en que s'ha de mantindre la integritat, aleshores aquesta còpia s'ha d'emmagatzemar i depenent de la quantitat de la informació amb la que es treballa el suport que el contindrà serà d'un tipus o altre, però es recomana utilitzar si és possible suports que després no es puguin modificar o alterar, per exemple es recomanable l'ús de CD o DVD, però a vegades degut al gran volum d'informació no és possible. Els suports on s'emmagatzemaran les còpies es recomana que siguin aportats pel mateix analista i si és possible que siguin nous i no reutilitzats, per així donar més garanties a la integritat d'aquestes còpies. La clonació no té perquè ser sobre dispositius d'emmagatzematge, també es pot realitzar sobre dispositius mòbils, memòries flaix..., i per fer aquesta tasca es poden emprar duplicadors de maquinari o programari que clonen des de dispositius fins generar còpies d'arxius d'imatges, les eines de programari a més permeten manipular la informació, o també es poden utilitzar flashers. - A continuació s'ha de fer la verificació de la integritat de la còpia o imatge, això es pot fer mitjançant la verificació de CRC o del hash del fitxer i garantirà que la informació amb la que es treballa es exactament igual a l'original; en aquest apartat és interessant comentar que es recomanable un seguit de bones pràctiques com per exemple, crear una segona còpia que serà sobre la que es farà l'estudi o anàlisi, o en els casos més extrems on el dispositiu que emmagatzema la informació és extraïble i és imprescindible conservar la integritat de l'original llavors s'entrega l'original al fedatari. - Altres pas que s'haurà de fer és anotar el temps i les dades, sobretot en els casos en que pugui haver diferències horàries per implicar diferents ubicacions i horaris, per establir una línia temporal adequada es recomana treballar amb zones de temps GMT. Haurem d'anotar les hores, dates de creació, accés, modificació dels fitxers implicats, per tindre tota aquesta informació a l'abast; a més s'hauria de comprovar els fitxers o logs on s'emmagatzemen els possibles canvis de data i hora del sistema per tal de garantir que la línia de temps és correspon a la realitat. - S'haurà de documentar tota la informació rellevant que faci referència a qui ha manipulat les evidències, on i quan ho ha fet, així com ho ha fet; encara que pugui semblar que aquest punt no és rellevant, és molt important degut que aquí s'inicia la cadena de custòdia de les proves, i en cas que no es garanteixi aquesta cadena de custodia poden resultat invalidades les evidències obtingudes perquè es pot qüestionar la seva integritat. 9
- També s'ha de produir l'embalatge dels dispositius sobre els que es faran les proves, i aquest embalatge ha ser adequat per tal que els dispositius no puguin ser danyats en la seva manipulació o transport, i externament en l'embalatge s'ha d'etiquetar correctament. - Per últim s'haurà de fer el transport de tots els dispositius i informació que s'ha de traslladar a un lloc segur i que reuneixi les condicions pel seu emmagatzemament. 4.4. Anàlisi de les evidències En aquesta fase l'analista analitzarà les proves per tal de donar resposta a les preguntes que ha de respondre i que es van plantejar en els objectius i finalitats de la informàtica forense; també tal com es va dir en la fase d'identificació de les evidències normalment degut al volum de dades no podrà fer un anàlisi complert, sinó que haurà de decidir on buscar les proves i en quin lloc fer la recerca. Les fonts de recollida de informació poden ser molt diverses, però entre elles trobem els registres que proporcionen els sistemes en estudi, el programari com són els antivirus, detectors d'intrusions, tallafocs, i fins i tot en fitxers del sistema. A més s'han d'analitzar son dades lògicament accessibles i fitxers eliminats i no sobreescrits, encara que en alguns casos ens podem trobar algun tipus de fitxers que dificulten el seu anàlisi com poden ser fitxers amb un elevat volum d'informació, troianitzats, xifrats o protegits, fins i tot dades ocultes mitjançant l'esteganografia. En els fitxers en estudi aparta de les dades que contenen, també s'hauria d'examinar la informació del fitxer i que s'anomenen metadades. 4.5. Presentació i informe L'analista forense ha de presentar un informe on ha de fer constar les evidències aconseguides, les conclusions a les que s'ha arribat a partir d'aquestes proves i per últim quin ha sigut el procés que ha seguit per arribar a aquestes conclusions. L'informe s'ha de tindre en compte a qui s'ha de presentar, ja que els lectors de l'informe no tenen perquè ésser persones que coneguin la tecnologia, i en aquest cas no es necessari que puguin entendre un anàlisi forense en profunditat, aleshores es realitzarà un informe que expliqui l'anàlisi amb un idioma entendible i en el que s'usaran tecnicismes solament en els cassos que no quedi més remei. Per tant, és recomanable elaborar dos informes, un informe executiu que estarà destinat a l'alta direcció d'empreses, organismes... és a dir persones sense un perfil tècnic, i per altre un informe 10
tècnic on els lectors són persones amb un perfil tècnic. En el cas de l'informe executiu, es desenvoluparan tres punts: introducció on es descriu l'objecte de l'informe i el cost de l'incident, la descripció on es detallarà que ha passat en el sistema, i per últim les recomanacions en les que es descriuran les accions a portar a terme per tal d'evitar que es torni a produir l'incident i si el fet és denunciable. En els informes tècnics, al menys contindrà els punts de introducció, preparació de l'entorn i recollida de dades, l'estudi forense de les evidències i les conclusions. 5. Informàtica forense en les organitzacions Aquesta branca de la informàtica té molta importància dins de les organitzacions ja que es troba íntimament lligada amb la seguretat de la mateixa i concretament amb la seguretat dels seus sistemes informàtics i la informació que contenen; aleshores la informàtica forense no té perquè tindre com a finalitat el presentar proves en un judici, també pot ser utilitzada per comprovar la seguretat dels sistemes informàtics que es troben en organitzacions o empreses. Entre les mesures que s'han de prendre tindríem: de preparació i prevenció, de detecció, de contenció i de recuperació. Les mesures de preparació i prevenció tenen com a tasca principal evitar que es produeixin incidents en el sistema i es poden portar a terme utilitzant eines d'auditoria, tests de penetració, black box i white box. Les mesures de detecció tracten de detectar els possibles incidents o intrusions que s'hagin pogut portar a terme en el sistema utilitzant eines com poden ser els analitzadors de transit, esquers i honeynets, IDS. Les mesures de contenció tenen com a missió una vegada s'ha produït l'incident restringir els seus efectes, en aquest cas resulten molt útils les eines de network forensic que permetrien detectar l'origen de l'incident. I per últim, les mesures de recuperació que permetrien recuperar el sistema a l'estat inicial en que es trobava abans de l'atac i on aquest punt estaria molt relacionat amb el sistema de còpies de seguretat del sistema i en el que recorreríem al pla de contingència. 6. Conclusió Al llarg de l'informe s'ha tractar de donar una visió el més professional possible de la informàtica forense, i s'ha pres constància de la rellevància que poden tindre les evidències digitals en el procés policial i judicial, però també s'ha pogut comprovar que aquesta no és l'única tasca d'aquesta ciència, també la seva utilitat per les empreses i organitzacions per testejar el nivell de seguretat dels seus sistemes informàtics. 11
Degut a la gran varietat de tipus d'atacs i les diferents motivacions que poden tindre els individus que porten a terme els atacs o intrusions sobre els sistemes informàtics, el trobar evidències digitals és una tasca difícil, aleshores aquí intervindran tant la perícia i la professionalitat de l'analista forense, però també la seva habilitat i la intuïció. En el moment de buscar les proves o evidències digitals en l'anàlisi forense s'ha de tindre present en tot moment que no s'hi val qualsevol cosa per tal d'arribar a obtindre-les, l'analista ha de respectar en tot moment la legislació vigent per no vulnerar els drets i llibertats d'altres individus, fet que faria que les proves quedin invalidades perquè l'analista les ha obtingut ilegalment. 12

Recomendados

A arte de_erté.pps_
A arte de_erté.pps_A arte de_erté.pps_
A arte de_erté.pps_jmpcard
 
Soluciontaller1
Soluciontaller1Soluciontaller1
Soluciontaller1Universidad Tecnológica de Pereira
 
Складні чергування 1-3
Складні чергування 1-3 Складні чергування 1-3
Складні чергування 1-3DIR Academy
 
Bioteknologi
BioteknologiBioteknologi
Bioteknologifauzywahyudi
 
Структурированные ноты от "Норд-Капитал" 18.03.2013
Структурированные ноты от "Норд-Капитал" 18.03.2013Структурированные ноты от "Норд-Капитал" 18.03.2013
Структурированные ноты от "Норд-Капитал" 18.03.2013Nord-Capital
 
4. energi og produktion
4. energi og produktion4. energi og produktion
4. energi og produktionthomasgeertz
 
Contraste
ContrasteContraste
Contrasteyarkyk
 
Entra Moro Aras de los Olmos
Entra Moro Aras de los OlmosEntra Moro Aras de los Olmos
Entra Moro Aras de los Olmosaraseventos
 

Recomendados

A arte de_erté.pps_
A arte de_erté.pps_A arte de_erté.pps_
A arte de_erté.pps_jmpcard
 
Soluciontaller1
Soluciontaller1Soluciontaller1
Soluciontaller1Universidad Tecnológica de Pereira
 
Складні чергування 1-3
Складні чергування 1-3 Складні чергування 1-3
Складні чергування 1-3DIR Academy
 
Bioteknologi
BioteknologiBioteknologi
Bioteknologifauzywahyudi
 
Структурированные ноты от "Норд-Капитал" 18.03.2013
Структурированные ноты от "Норд-Капитал" 18.03.2013Структурированные ноты от "Норд-Капитал" 18.03.2013
Структурированные ноты от "Норд-Капитал" 18.03.2013Nord-Capital
 
4. energi og produktion
4. energi og produktion4. energi og produktion
4. energi og produktionthomasgeertz
 
Contraste
ContrasteContraste
Contrasteyarkyk
 
Entra Moro Aras de los Olmos
Entra Moro Aras de los OlmosEntra Moro Aras de los Olmos
Entra Moro Aras de los Olmosaraseventos
 
Sistema de Educacion Virtual Continua
Sistema de Educacion Virtual ContinuaSistema de Educacion Virtual Continua
Sistema de Educacion Virtual Continuajorgeguayara
 
Crystal eu pedi
Crystal eu pediCrystal eu pedi
Crystal eu pedijmpcard
 
Confie na vida
Confie na vidaConfie na vida
Confie na vidajmpcard
 
Albatismo
AlbatismoAlbatismo
AlbatismoAloviaf Zarth
 
Crystal osho - verdade
Crystal osho - verdadeCrystal osho - verdade
Crystal osho - verdadejmpcard
 
Ahi viene la Araña
Ahi viene la ArañaAhi viene la Araña
Ahi viene la ArañaYoselin Guevara
 
06 cinema-diretores nacionais
06 cinema-diretores nacionais06 cinema-diretores nacionais
06 cinema-diretores nacionaisjmpcard
 
Learning management system (lms)
Learning management system (lms)Learning management system (lms)
Learning management system (lms)maryecruzl
 
Portal para-as-estrelas
Portal para-as-estrelasPortal para-as-estrelas
Portal para-as-estrelasjmpcard
 
Mi PresentacióN Ester
Mi PresentacióN EsterMi PresentacióN Ester
Mi PresentacióN EsterEster Contreras
 
Afep3 2009
Afep3 2009Afep3 2009
Afep3 2009pilarma15
 
Convite
ConviteConvite
ConviteKenia Schmitz
 
Taormina sicilia13
Taormina sicilia13Taormina sicilia13
Taormina sicilia13jmpcard
 
Web 2.0
Web 2.0Web 2.0
Web 2.0Lalychile
 
Projeto água Aula de campo 2
Projeto água Aula de campo 2Projeto água Aula de campo 2
Projeto água Aula de campo 2Ana Cristina Farias
 
Riada De Valencia 14 10 1957
Riada De Valencia 14 10 1957Riada De Valencia 14 10 1957
Riada De Valencia 14 10 1957araseventos
 
Oficina Telecentro Brasileia
Oficina Telecentro BrasileiaOficina Telecentro Brasileia
Oficina Telecentro BrasileiaAna Cristina Farias
 
ApresentaçãO Projeto Minha Terra
ApresentaçãO Projeto Minha TerraApresentaçãO Projeto Minha Terra
ApresentaçãO Projeto Minha TerraAna Cristina Farias
 
ARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioAurora Lara Marin
 
2011 12 18 presentacio scrim
2011 12 18 presentacio scrim2011 12 18 presentacio scrim
2011 12 18 presentacio scrimscrim01
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
Seguretat
SeguretatSeguretat
SeguretatCati Oliver
 

Mais conteúdo relacionado

Destaque

Sistema de Educacion Virtual Continua
Sistema de Educacion Virtual ContinuaSistema de Educacion Virtual Continua
Sistema de Educacion Virtual Continuajorgeguayara
 
Crystal eu pedi
Crystal eu pediCrystal eu pedi
Crystal eu pedijmpcard
 
Confie na vida
Confie na vidaConfie na vida
Confie na vidajmpcard
 
Crystal osho - verdade
Crystal osho - verdadeCrystal osho - verdade
Crystal osho - verdadejmpcard
 
06 cinema-diretores nacionais
06 cinema-diretores nacionais06 cinema-diretores nacionais
06 cinema-diretores nacionaisjmpcard
 
Learning management system (lms)
Learning management system (lms)Learning management system (lms)
Learning management system (lms)maryecruzl
 
Portal para-as-estrelas
Portal para-as-estrelasPortal para-as-estrelas
Portal para-as-estrelasjmpcard
 
Taormina sicilia13
Taormina sicilia13Taormina sicilia13
Taormina sicilia13jmpcard
 
Riada De Valencia 14 10 1957
Riada De Valencia 14 10 1957Riada De Valencia 14 10 1957
Riada De Valencia 14 10 1957araseventos
 
ApresentaçãO Projeto Minha Terra
ApresentaçãO Projeto Minha TerraApresentaçãO Projeto Minha Terra
ApresentaçãO Projeto Minha TerraAna Cristina Farias
 

Destaque (18)

Sistema de Educacion Virtual Continua
Sistema de Educacion Virtual ContinuaSistema de Educacion Virtual Continua
Sistema de Educacion Virtual Continua
 
Crystal eu pedi
Crystal eu pediCrystal eu pedi
Crystal eu pedi
 
Confie na vida
Confie na vidaConfie na vida
Confie na vida
 
Albatismo
AlbatismoAlbatismo
Albatismo
 
Crystal osho - verdade
Crystal osho - verdadeCrystal osho - verdade
Crystal osho - verdade
 
Ahi viene la Araña
Ahi viene la ArañaAhi viene la Araña
Ahi viene la Araña
 
06 cinema-diretores nacionais
06 cinema-diretores nacionais06 cinema-diretores nacionais
06 cinema-diretores nacionais
 
Learning management system (lms)
Learning management system (lms)Learning management system (lms)
Learning management system (lms)
 
Portal para-as-estrelas
Portal para-as-estrelasPortal para-as-estrelas
Portal para-as-estrelas
 
Mi PresentacióN Ester
Mi PresentacióN EsterMi PresentacióN Ester
Mi PresentacióN Ester
 
Afep3 2009
Afep3 2009Afep3 2009
Afep3 2009
 
Convite
ConviteConvite
Convite
 
Taormina sicilia13
Taormina sicilia13Taormina sicilia13
Taormina sicilia13
 
Web 2.0
Web 2.0Web 2.0
Web 2.0
 
Projeto água Aula de campo 2
Projeto água Aula de campo 2Projeto água Aula de campo 2
Projeto água Aula de campo 2
 
Riada De Valencia 14 10 1957
Riada De Valencia 14 10 1957Riada De Valencia 14 10 1957
Riada De Valencia 14 10 1957
 
Oficina Telecentro Brasileia
Oficina Telecentro BrasileiaOficina Telecentro Brasileia
Oficina Telecentro Brasileia
 
ApresentaçãO Projeto Minha Terra
ApresentaçãO Projeto Minha TerraApresentaçãO Projeto Minha Terra
ApresentaçãO Projeto Minha Terra
 

Semelhante a ARSO (P1): Informatica forense - Informe

ARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioAurora Lara Marin
 
2011 12 18 presentacio scrim
2011 12 18 presentacio scrim2011 12 18 presentacio scrim
2011 12 18 presentacio scrimscrim01
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
Gestió de la documentació
Gestió de la documentacióGestió de la documentació
Gestió de la documentacióDGS
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretatjoanbajb
 
Grup Tictac Recursos Internet En Materia D.Penal
Grup Tictac Recursos Internet En Materia D.PenalGrup Tictac Recursos Internet En Materia D.Penal
Grup Tictac Recursos Internet En Materia D.PenalGrupTicTac
 
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)Aurora Lara Marin
 
Online Dret Pac4
Online Dret Pac4Online Dret Pac4
Online Dret Pac4ONLINEDRET
 
Online Dret Pac4
Online Dret Pac4Online Dret Pac4
Online Dret Pac4ONLINEDRET
 
Seguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaSeguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaXarxa Punt TIC
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Biskategat
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Joan Soler Jiménez
 

Semelhante a ARSO (P1): Informatica forense - Informe (20)

ARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - Presentacio
 
2011 12 18 presentacio scrim
2011 12 18 presentacio scrim2011 12 18 presentacio scrim
2011 12 18 presentacio scrim
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
 
Seguretat
SeguretatSeguretat
Seguretat
 
Gestió de la documentació
Gestió de la documentacióGestió de la documentació
Gestió de la documentació
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretat
 
Grup Tictac Recursos Internet En Materia D.Penal
Grup Tictac Recursos Internet En Materia D.PenalGrup Tictac Recursos Internet En Materia D.Penal
Grup Tictac Recursos Internet En Materia D.Penal
 
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
ARSO-M2: Treball de recerca sobre copies de seguretat (Article LeonNoticias.com)
 
Online Dret Pac4
Online Dret Pac4Online Dret Pac4
Online Dret Pac4
 
Online Dret Pac4
Online Dret Pac4Online Dret Pac4
Online Dret Pac4
 
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
 
Tdr
TdrTdr
Tdr
 
Seguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadaniaSeguretat i Tecnologia: mobilitzant la ciutadania
Seguretat i Tecnologia: mobilitzant la ciutadania
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Bis
 
Seguretat
SeguretatSeguretat
Seguretat
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
 
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
 
Protecció de dades personals en l'execució penal. Ismael Carmona
Protecció de dades personals en l'execució penal. Ismael CarmonaProtecció de dades personals en l'execució penal. Ismael Carmona
Protecció de dades personals en l'execució penal. Ismael Carmona
 
Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?
 
Como se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoComo se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y acceso
 

Mais de Aurora Lara Marin

ARSO (P2): Clusters d'alta disponibilitat - Presentacio
ARSO (P2): Clusters d'alta disponibilitat - PresentacioARSO (P2): Clusters d'alta disponibilitat - Presentacio
ARSO (P2): Clusters d'alta disponibilitat - PresentacioAurora Lara Marin
 
ARSO (P2): Clusters d’alta disponibilitat - Informe
ARSO (P2): Clusters d’alta disponibilitat - InformeARSO (P2): Clusters d’alta disponibilitat - Informe
ARSO (P2): Clusters d’alta disponibilitat - InformeAurora Lara Marin
 
ARSO-M7: Administracio de la seguretat - Article Snort
ARSO-M7: Administracio de la seguretat - Article SnortARSO-M7: Administracio de la seguretat - Article Snort
ARSO-M7: Administracio de la seguretat - Article SnortAurora Lara Marin
 
ARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumAurora Lara Marin
 
ARSO-M6: Administracio del web - Guio
ARSO-M6: Administracio del web - GuioARSO-M6: Administracio del web - Guio
ARSO-M6: Administracio del web - GuioAurora Lara Marin
 
ARSO-M3: Administracio d’usuaris - Resum
ARSO-M3: Administracio d’usuaris - ResumARSO-M3: Administracio d’usuaris - Resum
ARSO-M3: Administracio d’usuaris - ResumAurora Lara Marin
 
ARSO-M6: Administracio del web - Presentacio
ARSO-M6: Administracio del web - PresentacioARSO-M6: Administracio del web - Presentacio
ARSO-M6: Administracio del web - PresentacioAurora Lara Marin
 
ARSO-M4: Administracio de la xarxa - Guio
ARSO-M4: Administracio de la xarxa - GuioARSO-M4: Administracio de la xarxa - Guio
ARSO-M4: Administracio de la xarxa - GuioAurora Lara Marin
 
ARSO-M4: Administracio de la xarxa - Presentacio
ARSO-M4: Administracio de la xarxa - PresentacioARSO-M4: Administracio de la xarxa - Presentacio
ARSO-M4: Administracio de la xarxa - PresentacioAurora Lara Marin
 
ARSO-M2: Administracio de Servidors - Resum
ARSO-M2: Administracio de Servidors - ResumARSO-M2: Administracio de Servidors - Resum
ARSO-M2: Administracio de Servidors - ResumAurora Lara Marin
 
ARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioAurora Lara Marin
 

Mais de Aurora Lara Marin (13)

ARSO (P2): Clusters d'alta disponibilitat - Presentacio
ARSO (P2): Clusters d'alta disponibilitat - PresentacioARSO (P2): Clusters d'alta disponibilitat - Presentacio
ARSO (P2): Clusters d'alta disponibilitat - Presentacio
 
ARSO (P2): Clusters d’alta disponibilitat - Informe
ARSO (P2): Clusters d’alta disponibilitat - InformeARSO (P2): Clusters d’alta disponibilitat - Informe
ARSO (P2): Clusters d’alta disponibilitat - Informe
 
ARSO-M7: Administracio de la seguretat - Article Snort
ARSO-M7: Administracio de la seguretat - Article SnortARSO-M7: Administracio de la seguretat - Article Snort
ARSO-M7: Administracio de la seguretat - Article Snort
 
ARSO-M7: Article Snort
ARSO-M7: Article SnortARSO-M7: Article Snort
ARSO-M7: Article Snort
 
ARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - ResumARSO-M7: Administracio de la seguretat - Resum
ARSO-M7: Administracio de la seguretat - Resum
 
ARSO-M6: Administracio del web - Guio
ARSO-M6: Administracio del web - GuioARSO-M6: Administracio del web - Guio
ARSO-M6: Administracio del web - Guio
 
ARSO-M3: Administracio d’usuaris - Resum
ARSO-M3: Administracio d’usuaris - ResumARSO-M3: Administracio d’usuaris - Resum
ARSO-M3: Administracio d’usuaris - Resum
 
ARSO-M6: Administracio del web - Presentacio
ARSO-M6: Administracio del web - PresentacioARSO-M6: Administracio del web - Presentacio
ARSO-M6: Administracio del web - Presentacio
 
ARSO-M4: Administracio de la xarxa - Guio
ARSO-M4: Administracio de la xarxa - GuioARSO-M4: Administracio de la xarxa - Guio
ARSO-M4: Administracio de la xarxa - Guio
 
ARSO-M4: Administracio de la xarxa - Presentacio
ARSO-M4: Administracio de la xarxa - PresentacioARSO-M4: Administracio de la xarxa - Presentacio
ARSO-M4: Administracio de la xarxa - Presentacio
 
ARSO-M2: Administracio de Servidors - Resum
ARSO-M2: Administracio de Servidors - ResumARSO-M2: Administracio de Servidors - Resum
ARSO-M2: Administracio de Servidors - Resum
 
ARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - PresentacioARSO-M2: Administracio de servidors - Presentacio
ARSO-M2: Administracio de servidors - Presentacio
 
Estrategia
EstrategiaEstrategia
Estrategia
 

ARSO (P1): Informatica forense - Informe

  • 1. UOC – Universitat Oberta de Catalunya Informàtica forense Informe d’aprofundiment Aurora Lara Marin AXSO – Aula 2 2012-13
  • 2. Índex 1. Introducció ...................................................................................................................3 2. La informàtica forense...................................................................................................3 2.1. Què és la informàtica forense? ...............................................................................3 2.2. Objectius i finalitat .............................................................................................4 2.3. Principis de la informàtica forense ..........................................................................4 2.4. Les evidències digitals ............................................................................................5 3. Aspectes legals..............................................................................................................6 4. Metodologia i fases de l'anàlisi forense ..........................................................................7 4.1. Assegurament de l'escenari....................................................................................7 4.2. Identificació de les evidències digitals .....................................................................8 4.3. Preservació d'evidències ........................................................................................8 4.4. Anàlisi de les evidències .......................................................................................10 4.5. Presentació i informe ...........................................................................................10 5. Informàtica forense en les organitzacions.....................................................................11 6. Conclusió....................................................................................................................11 2
  • 3. 1. Introducció Unes de les eines que més poden ajudar a l'hora de la seguretat dels sistemes informàtics és la ciència forense, aleshores en aquest treball és tractarà de donar una visió el més fidedigna possible sobre quina es la finalitat de la ciència forense i quins són els pilars sobre el que es suporta per portar a terme la seva tasca. Fins fa poc, el coneixement que es tenia a nivell d'usuari sobre aquesta ciència era molt restringit, però l'evolució dels mitjans de comunicació, la proliferació en la televisió de sèries relacionades amb la investigació criminal i sobretot Internet, s'han apropat el coneixements que es tenen sobre la informàtica forense, encara que aquesta visió sigui parcial; però la tasca de la informàtica forense va més enllà de participar en investigació criminal o processament judicial, també permet l'estudi de la seguretat dels sistemes informàtics i la prevenció. 2. La informàtica forense En aquest primer apartat es tractarà de donar una definició correcta sobre la informàtica forense fent un incís sobre els aspectes tecnològics i els legals, però a més s'explicarà quins són els objectius i finalitats d'aquesta ciència. A més, a l'hora de l'anàlisi forense s'han de tindre en compte una sèrie de principis o bones practiques on algunes es detallaran en el subapartat dels principis de la informàtica forense. Per últim, es parlarà sobre les proves que s'obtindran gràcies a aquesta ciència. 2.1. Què és la informàtica forense? La informàtica forense és una ciència forense que tracta d'obtenir les proves o evidències digitals, que després podran ser utilitzades en un procés legal, per tant podríem dir que és tracta d'una disciplina científic-legal; però la informàtica forense va més enllà, ja que permetria analitzar sistemes d'informació amb la intenció de trobar vulnerabilitats en aquest sistema. El fet que la informàtica forense sigui en part una ciència amb una vessant científica, implica que per obtindre les proves digitals s'ha de recórrer a un conjunt de tècniques, procediments i eines formals i precises que permetran la identificació, preservació, extracció, anàlisi, interpretació, documentació i presentació de les evidències en el context que s'ha sotmès a estudi; però per altra banda, té una part legal en la s'ha de garantir que les proves digitals podran 3
  • 4. ser utilitzades en cas d'ésser necessari en un procés legal, actuant com a disciplina auxiliar de la justícia moderna. 2.2. Objectius i finalitat Bàsicament la finalitat de la informàtica forense és respondre a les preguntes de què, quan, on, qui, com i per què i per respondre a aquestes preguntes s'utilitzen les evidències digitals obtingudes mitjançant els procediments i eines adequades. Els àmbits d'actuació de la informàtica forense, poden per tant ser molt diversos encara que el més conegut seria el judicial, però entre ells podem trobar la persecució criminal (prova incriminatòria), litigació civil, temes corporatius, data recovery, network forensics... A partir de les definicions anterior es pot deduir que l'obtenció d'evidències no té perquè finalitzar sempre en un procés legal, sinó que també poden ser utilitzades per la prevenció de possibles atacs al sistema, i també que l'anàlisi forense no té perquè realitzar-se després que es produeixi un esdeveniment, sinó que també es pot realitzar abans per evitar i prevenir. Així, els objectius de la informàtica forense es poden dividir en dos categories: correctius i preventius, segons si ja s'ha produït un incident o no, respectivament; en quant a la finalitat podem diferenciar la finalitat de monitoratge i auditoria, i la finalitat probatòria. Solament en el cas que la informàtica forense tingui una finalitat probatòria no podríem parlar d'objectius preventius, la resta de combinacions entre objectius i finalitat sí que serien possibles. 2.3. Principis de la informàtica forense Els informàtics forenses han de tenir molta cura a l'hora de treballar, per tal de no perdre proves o alterar-les, per això han d'extremar les mesures de seguretat i control en la manipulació. Per tant en el moment de l'extracció o manipulació ha de tindre present una sèrie de consideracions: Evitar la contaminació: els analistes forenses han de manipular les dades contingudes en ordinadors o dispositius d'emmagatzematge, però ha de fer-ho de manera que les actuacions que facin sobre ella no puguin afectar a les proves obtingudes i que les evidències siguin garants de la veritat i precises. Per això es poden emprar funcions de hash abans de manipular la informació i una vegada fetes les actuacions garantiran que no s'han modificat. 4
  • 5. Actuació metòdica: els informàtics forenses han d'ésser responsables dels procediments utilitzats, llavors en aquest punt és importantíssima la documentació de tots els processos, eines i anàlisi que s'han portat a terme. Control sobre les proves : aquest punt fa referència a la garantia de la custòdia de les proves que s'ha de mantenir al llarg de tot el procés, que garantirà la fiabilitat de les proves; per aquest motiu, s'ha de documentar qualsevol esdeveniment que afecti a la seva manipulació, com pot ser qui ha tingut accés a aquestes proves, com s'ha manipulat o traslladat, dates en que es produeix qualsevol actuació... Tota aquesta informació permetrà que qualsevol altre analista pugui arribar al mateix resultat. Circumstàncies excepcionals : a vegades el analista ha de prendre la decisió de fer actuacions que no serien recomanables en altres circumstàncies, com pot ser l'actuació directament sobre la informació original en lloc d'utilitzar còpies; aleshores l'analista forense ha de tindre la suficient competència professional per prendre aquesta decisió i raonar el motiu. 2.4. Les evidències digitals Les proves obtingudes al llarg de l'anàlisi forense reben el nom de evidències digitals i correspondran a les empremtes que s'han deixat a un sistema informàtic que després permetran la reconstrucció d'un esdeveniment i donaran resposta a les preguntes de què, quan, on, qui, com i perquè. Normalment aquestes evidències es poden emprar per un procés judicial, però també poden ser utilitzades per altres necessitats com per trobar vulnerabilitats o per demostrar el nivell de seguretat del sistema. Els atacs o intrusions als sistemes informàtics poden ésser molt diversos, es llavors tasca de l'analista informàtic trobar les proves o evidències que demostrin els fets i responguin a les preguntes de què ha passat, qui, quan i com ho ha fet i quins motius ha tingut, ja no solament per presentar les proves davant l'autoritat policial o judicial, si no perquè les persones o organitzacions que s'hagin pogut veure afectades prenguin les mesures per evitar possibles incidents en el futur. Però trobar aquestes evidències digitals pot arribar a ser difícil degut a la gran diversitat dels atacs al sistema informàtic, sobretot per la diversitat motivacions i la experiència o perícia de la persona que l'ha portat a terme, fins i tot dels sistemes informàtics sotmesos a anàlisi, aquí aleshores intervé la professionalitat, experiència i àdhuc el que l'analista pugui adoptar la mentalitat de l'atacant per trobar on buscar les evidències, ja que per molt que un atacant tracti d'eliminar la seva intrusió sempre deixa un rastre en el sistema. 5
  • 6. Les evidències digitals reuneixen una sèrie de característiques comuns com poden ésser, que és volàtil, anònima, duplicable, alterable, modificable o eliminable. Les evidències poden es poden modificar o eliminar fàcilment, fins i tot involuntàriament, fent que el forense informàtic hagi de tenir molta cura en la manipulació del sistema per tal de no alterar o corrompre les proves fent que després no puguin ésser utilitzades sobretot si han de presentar-se en un procés legal; també s'ha de tindre en compte que la manipulació del sistema pot no deixar empremtes com en el cas de la còpia exacta d'arxius. Per últim, l'analista forense a l'hora d'obtenir les proves es possible que alteri els suports digitals que les contenen, qüestió que s'ha de tenir en compte en la manipulació. 3. Aspectes legals En la definició de la ciència forense ja es va comentar que era una ciència amb una component legal, per això, en el moment de realitzar un anàlisi forense, l'analista ha de tindre molt present la legislació aplicable a les evidències digitals, ja que qualsevol errada en l'obtenció d'aquestes proves poden impedir que puguin ésser presentades en un procés judicial per molt vàlides que siguin, ja que la manera en que s'han obtingut aquestes evidències no és legal. Les lleis de la legislació espanyola que s'han de tindre en compte a l'hora de fer l'anàlisi d'un sistema informàtic serien la Llei d'Enjudiciament Civil, els drets fonamental que contempla la Constitució, la Llei de Protecció de Dades de Caràcter Personal (LOPD), la Llei de Serveis de la Societat de la Informació i del Comerç Electrònic, la Llei de conservació de dades relatives a les comunicacions i les xarxes públiques i el Codi Penal. Per una banda un punt principal serien els drets i llibertats fonamentals que contempla la Constitució, tots aquests drets són importants però s'ha de fer destacar el dret al secret de les comunicacions, dret a la vida privada i dret a la protecció de dades...; i per altra banda, el contingut de LOPD que determina el nivell de seguretat que han de tindre les dades contingudes en fitxers, en referència a les dades de caràcter personal i on les dades que han de tindre un nivell més alt de protecció serien les que donarien informació sobre creences, ideologia, religió, raça, sexualitat, salut, violència de gènere o dades policials. Aleshores l'analista forense en el moment de fer l'anàlisi ha de tindre molt presents els aspe ctes legals que el poden afectar, ja que la vulneració de cap dret o llibertat d'un individu implica que la prova quedi invalidada i no es pugui presentar en un procés judicial per molt que demostri la seva culpabilitat, degut a que en la seva extracció o manipulació no s'han tingut en compte; per això, davant de dubte s'hauria de consultar abans de fer cap actuació per comprovar que és 6
  • 7. correcta, i si és necessari accedir a determinada informació per poder obtenir una evidència s'hauria d'obtindre la corresponent autorització judicial. 4. Metodologia i fases de l'anàlisi forense L'analista forense recorrerà a un conjunt de tècniques, procediments i eines per portar a terme la seva tasca tal i com es va comentar en la definició del terme informàtica forense, però ha de tindre un mètode a l'hora de fer l'anàlisi, per tal que les proves o evidències digitals mantinguin la seva integritat i després en cas d'ésser necessari puguin utilitzar-se en un procés policial i judicial. Aquest mètode consisteix en una sèrie de fases, com són: l'assegurament de l'escenari, la identificació de les evidències digitals, la preservació de les evidències, l'anàlisi de les evidències, i per últim la presentació de l'informe. 4.1. Assegurament de l'escenari Aquesta fase de l'anàlisi forense no és sempre obligada, però si en els casos que requereixen actuació policial, per possibilitar la presentació de les evidències davant l'autoritat judicial en qualsevol procés legal, ja que amb aquesta fase garantirà la integritat de les proves obtingudes. Per assegurar l'escenari s'han de seguir una sèrie de passos; en primer lloc s'ha d'establir quin és l'escenari que s'ha de sotmetre a estudi i una vegada s'ha identificat l'escenari s'establirà un perímetre de seguretat amb restricció d'accés on solament podran accedir les persones autoritzades, que com tots el passos donats en aquesta fase, garantirà que una vegada s'ha iniciat l'anàlisi forense s'ha controlat en tot moment l'accés i es manté l'estat del sistema informàtic. A més s'hauran de prendre un conjunt de mesures com la desconnexió de la xarxa i les connexions inalàmbriques per impedir els accessos remots, i abans de fer cap actuació s'ha d'anotar la data i hora del sistema documentant tot si és possible amb fotografies, apagar els dispositius i etiquetar tots els components. Aquestes mesures que s'han indicat pot donar-se el cas que es prescindeixin d'alguna d'elles per suposar un avantatge per l'anàlisi, com per exemple, decidir no desconnectar la xarxa ja que podria donar informació sobre connexions o origen del succés, o no apagar el sistema per la possible pèrdua d'informació i obtenir proves digitals on s'ha produït l'esdeveniment en lloc del laboratori. 7
  • 8. 4.2. Identificació de les evidències digitals El trobar les evidències digitals pot comportar l'anàlisi d'un elevat volum d'informació i dades, això també implica un temps considerable, fent que en molts casos sigui impossible per part de l'analista forense fer l'anàlisi de tota la informació, fins i tot pot ser infringir la legalitat l'accé s a determinada informació que contingui el sistema sense una autorització judicial que després podria invalidar les proves obtingudes. Aleshores és tasca de l'analista informàtic trobar un compromís entre la qualitat, la validesa i el temps a l'hora de l'identificació de les evidències. En aquesta fase es tractarà de localitzar i identificar les evidències, per això el primer que s'hauria de fer és identificar els sistemes objecte d'estudi, ja que poden ser molt diversos i amb aquesta identificació ja ens ajudaria molt a acotar on buscar les evidències degut que cada sistema emmagatzema la informació en llocs diferents; també amb la identificació del sistema pot aclarir on s'emmagatzema la informació volàtil i que es perdria en cas de treure el corrent elèctric als equips, aleshores amb aquesta informació l'analista pot després decidir si extreure evidències en el lloc de l'esdeveniment i sense apagar el sistema, encara que aquesta decisió pot suposar la pèrdua d'altres evidències. 4.3. Preservació d'evidències Les proves digitals són altament modificables, aleshores correspon a l'analista assegurar aquestes evidències perquè després puguin ésser presentades en un procés judicial en cas de ser necessari; això fa que aquesta fase sigui part principal del procés d'anàlisi forense, ja qualsevol error pot suposar la invalidació de les proves i que no puguin ésser presentades per no conservar la seva integritat. En aquest punt l'analista ha de decidir si fer una cerca de les proves “en calent” o apagar sistema, llavors ha de basar-se en la seva experiència i professionalitat per decidir quines proves es volen conservar, la localització de les mateixes. En aquest punt hi ha localitzacions on és més probable trobar les evidències, com pot ser el sistema de fitxers del sistema. Per tant, s'haurien de fer còpies o clons exactes dels dispositius que s'hagin d'analitzar i treballar amb aquestes còpies i no sobre la informació original, i altre decisió que s'ha de prendre en aquest moment és si fer les còpies en l'escenari o en el laboratori on es realitzarà l'anàlisi de les evidències. Al llarg de la fase es seguirà un conjunt de passos que tenen com a missió l'obtenció de les proves i assegurar-se que en cap moment es pot posar en dubte la integritat de les evidències obtingudes, entre aquests passos tenim: 8
  • 9. - La còpia bit a bit dels suports originals ja sigui mitjançant programari o maquinari, però sempre fent incís en que s'ha de mantindre la integritat, aleshores aquesta còpia s'ha d'emmagatzemar i depenent de la quantitat de la informació amb la que es treballa el suport que el contindrà serà d'un tipus o altre, però es recomana utilitzar si és possible suports que després no es puguin modificar o alterar, per exemple es recomanable l'ús de CD o DVD, però a vegades degut al gran volum d'informació no és possible. Els suports on s'emmagatzemaran les còpies es recomana que siguin aportats pel mateix analista i si és possible que siguin nous i no reutilitzats, per així donar més garanties a la integritat d'aquestes còpies. La clonació no té perquè ser sobre dispositius d'emmagatzematge, també es pot realitzar sobre dispositius mòbils, memòries flaix..., i per fer aquesta tasca es poden emprar duplicadors de maquinari o programari que clonen des de dispositius fins generar còpies d'arxius d'imatges, les eines de programari a més permeten manipular la informació, o també es poden utilitzar flashers. - A continuació s'ha de fer la verificació de la integritat de la còpia o imatge, això es pot fer mitjançant la verificació de CRC o del hash del fitxer i garantirà que la informació amb la que es treballa es exactament igual a l'original; en aquest apartat és interessant comentar que es recomanable un seguit de bones pràctiques com per exemple, crear una segona còpia que serà sobre la que es farà l'estudi o anàlisi, o en els casos més extrems on el dispositiu que emmagatzema la informació és extraïble i és imprescindible conservar la integritat de l'original llavors s'entrega l'original al fedatari. - Altres pas que s'haurà de fer és anotar el temps i les dades, sobretot en els casos en que pugui haver diferències horàries per implicar diferents ubicacions i horaris, per establir una línia temporal adequada es recomana treballar amb zones de temps GMT. Haurem d'anotar les hores, dates de creació, accés, modificació dels fitxers implicats, per tindre tota aquesta informació a l'abast; a més s'hauria de comprovar els fitxers o logs on s'emmagatzemen els possibles canvis de data i hora del sistema per tal de garantir que la línia de temps és correspon a la realitat. - S'haurà de documentar tota la informació rellevant que faci referència a qui ha manipulat les evidències, on i quan ho ha fet, així com ho ha fet; encara que pugui semblar que aquest punt no és rellevant, és molt important degut que aquí s'inicia la cadena de custòdia de les proves, i en cas que no es garanteixi aquesta cadena de custodia poden resultat invalidades les evidències obtingudes perquè es pot qüestionar la seva integritat. 9
  • 10. - També s'ha de produir l'embalatge dels dispositius sobre els que es faran les proves, i aquest embalatge ha ser adequat per tal que els dispositius no puguin ser danyats en la seva manipulació o transport, i externament en l'embalatge s'ha d'etiquetar correctament. - Per últim s'haurà de fer el transport de tots els dispositius i informació que s'ha de traslladar a un lloc segur i que reuneixi les condicions pel seu emmagatzemament. 4.4. Anàlisi de les evidències En aquesta fase l'analista analitzarà les proves per tal de donar resposta a les preguntes que ha de respondre i que es van plantejar en els objectius i finalitats de la informàtica forense; també tal com es va dir en la fase d'identificació de les evidències normalment degut al volum de dades no podrà fer un anàlisi complert, sinó que haurà de decidir on buscar les proves i en quin lloc fer la recerca. Les fonts de recollida de informació poden ser molt diverses, però entre elles trobem els registres que proporcionen els sistemes en estudi, el programari com són els antivirus, detectors d'intrusions, tallafocs, i fins i tot en fitxers del sistema. A més s'han d'analitzar son dades lògicament accessibles i fitxers eliminats i no sobreescrits, encara que en alguns casos ens podem trobar algun tipus de fitxers que dificulten el seu anàlisi com poden ser fitxers amb un elevat volum d'informació, troianitzats, xifrats o protegits, fins i tot dades ocultes mitjançant l'esteganografia. En els fitxers en estudi aparta de les dades que contenen, també s'hauria d'examinar la informació del fitxer i que s'anomenen metadades. 4.5. Presentació i informe L'analista forense ha de presentar un informe on ha de fer constar les evidències aconseguides, les conclusions a les que s'ha arribat a partir d'aquestes proves i per últim quin ha sigut el procés que ha seguit per arribar a aquestes conclusions. L'informe s'ha de tindre en compte a qui s'ha de presentar, ja que els lectors de l'informe no tenen perquè ésser persones que coneguin la tecnologia, i en aquest cas no es necessari que puguin entendre un anàlisi forense en profunditat, aleshores es realitzarà un informe que expliqui l'anàlisi amb un idioma entendible i en el que s'usaran tecnicismes solament en els cassos que no quedi més remei. Per tant, és recomanable elaborar dos informes, un informe executiu que estarà destinat a l'alta direcció d'empreses, organismes... és a dir persones sense un perfil tècnic, i per altre un informe 10
  • 11. tècnic on els lectors són persones amb un perfil tècnic. En el cas de l'informe executiu, es desenvoluparan tres punts: introducció on es descriu l'objecte de l'informe i el cost de l'incident, la descripció on es detallarà que ha passat en el sistema, i per últim les recomanacions en les que es descriuran les accions a portar a terme per tal d'evitar que es torni a produir l'incident i si el fet és denunciable. En els informes tècnics, al menys contindrà els punts de introducció, preparació de l'entorn i recollida de dades, l'estudi forense de les evidències i les conclusions. 5. Informàtica forense en les organitzacions Aquesta branca de la informàtica té molta importància dins de les organitzacions ja que es troba íntimament lligada amb la seguretat de la mateixa i concretament amb la seguretat dels seus sistemes informàtics i la informació que contenen; aleshores la informàtica forense no té perquè tindre com a finalitat el presentar proves en un judici, també pot ser utilitzada per comprovar la seguretat dels sistemes informàtics que es troben en organitzacions o empreses. Entre les mesures que s'han de prendre tindríem: de preparació i prevenció, de detecció, de contenció i de recuperació. Les mesures de preparació i prevenció tenen com a tasca principal evitar que es produeixin incidents en el sistema i es poden portar a terme utilitzant eines d'auditoria, tests de penetració, black box i white box. Les mesures de detecció tracten de detectar els possibles incidents o intrusions que s'hagin pogut portar a terme en el sistema utilitzant eines com poden ser els analitzadors de transit, esquers i honeynets, IDS. Les mesures de contenció tenen com a missió una vegada s'ha produït l'incident restringir els seus efectes, en aquest cas resulten molt útils les eines de network forensic que permetrien detectar l'origen de l'incident. I per últim, les mesures de recuperació que permetrien recuperar el sistema a l'estat inicial en que es trobava abans de l'atac i on aquest punt estaria molt relacionat amb el sistema de còpies de seguretat del sistema i en el que recorreríem al pla de contingència. 6. Conclusió Al llarg de l'informe s'ha tractar de donar una visió el més professional possible de la informàtica forense, i s'ha pres constància de la rellevància que poden tindre les evidències digitals en el procés policial i judicial, però també s'ha pogut comprovar que aquesta no és l'única tasca d'aquesta ciència, també la seva utilitat per les empreses i organitzacions per testejar el nivell de seguretat dels seus sistemes informàtics. 11
  • 12. Degut a la gran varietat de tipus d'atacs i les diferents motivacions que poden tindre els individus que porten a terme els atacs o intrusions sobre els sistemes informàtics, el trobar evidències digitals és una tasca difícil, aleshores aquí intervindran tant la perícia i la professionalitat de l'analista forense, però també la seva habilitat i la intuïció. En el moment de buscar les proves o evidències digitals en l'anàlisi forense s'ha de tindre present en tot moment que no s'hi val qualsevol cosa per tal d'arribar a obtindre-les, l'analista ha de respectar en tot moment la legislació vigent per no vulnerar els drets i llibertats d'altres individus, fet que faria que les proves quedin invalidades perquè l'analista les ha obtingut ilegalment. 12