Objetivos Mostrar los aspectos mas importantes en la recolección de evidencia en ambientes de red. Cuestionar los conocimientos de los ambientes de red existentes hoy en día, para el proceso de recolección de evidencia en redes.
Plan de Temas Introducción Definiciones Proceso de recolección de evidencia Herramientas del proceso Conclusiones
Existe un aumento creciente en las vulnerabilidades de los sistemas. (1220 1Q-2005) según CERT A su vez existe mayor interés y creciente sobre las implicaciones de la seguridad en los ambientes organizacionales. Según E-Crime Survey 2005
Introducción
Virus o código malicioso, spyware, pishing, y spam de mayor proyección. Siendo el pishing uno de los de mayor crecimiento contra el 2003. Según E-Crime Survey 2005 Sin embargo existe más de un 30% no poseen sistemas para registrar los incidentes y un 39% no tienen procedimientos para responder ante una intrusión. Dejando espacio para la improvisación. Según E-Crime Survey 2005 Un 19% no sabe de donde provino el ataque. Introducción
Un 80% reportan que realizan un procedimiento continuo de monitoreo a sus infraestructuras de red. Aunque el manejo de los incidentes en su mayoría (78%) siguen siendo manejados por la empresa. En muchos casos estas situaciones se dan por el desconocimiento de la normatividad vigente. La educación se ha vuelto un factor importante a la hora de generar cultura de seguridad y tratar de disminuir las amenazas existentes. Introducción
La evidencia puede ser definida como “cualquier información de valor probatorio” . El término “evidencia” implica que tanto quien recoge la evidencia como el proceso para recoger dicha evidencia son reconocidos por estamentos legales. Corte, juzgado, legislación. Para el FBI (Federal Bureau of Investigation) existen algunos conceptos críticos en la computación forense. Objetos de Datos. Objetos o información de valor probatorio, que está asociado con elementos físicos. Pueden estar en diferentes formatos ( NTFS,EXT3), sin la alteración de la información original Definiciones Básicas
Elementos Físicos. Elementos sobre los cuales los objetos de datos o información son almacenados y/o transferidos. (Diskettes, Discos, etc) Evidencia Digital Original. Elementos físicos y objetos de datos o información asociados a ellos en el momento de la adquisición Duplicado de la Evidencia Digital. Replicación exacta de todos los objetos de datos contenidos en los elementos físicos originales Definiciones Básicas
Definiciones Básicas Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurrió (Chisum 1999) Evidencia Digital. Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador. (Casey 2000) Evidencia Digital. Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE. Standar Working Group on Digital Evidence) Evidencia Digital. Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE. International Organization of Computer Evidence )
Definiciones Básicas Computación Forense. “Ciencia que se encarga de adquirir, recuperar, preservar y presentar datos que han sido procesados electrónicamente y están almacenados en medios electrónicos”. Computación forense. Aplicación de investigación sobre medios electrónicos y aplicación de técnicas de análisis, con el interés de determinar evidencia potencial. Judd Robins
Definiciones Básicas Incidente de Seguridad. Son eventos que interrumpen los procedimientos normales de operación y precipitan a algún nivel de crisis. Específicamente Incidentes pueden ser considerados intrusiones en computadores, denegaciones de servicios, actividad de red no permitida o no autorizada que requieran de personal de seguridad , administradores o investigadores para responder. Investigación. Un proceso que desarrolla y evalua hipotesis para responder preguntas acerca de un incidente que ha ocurrido. Investigación Forense Digital. Un proceso que usa la ciencia y la tecnología para examinar objectos digitales que desarrollen y prueben teorias, las cuales puedan ser entregadas en una corte, para responder preguntas de los incidentes ocurridos.
Conducir una investigación estructurada Preservar y asegurar los datos electrónicos usando métodos que sean aceptados legalmente Obtener la mayor cantidad de datos relevantes frente a una intrusión Documentar Saber que fue lo que sucedió Conducir un proceso legal Objetivos de la Investigación Forense
Por que existe un propósito Dentro de los mas comunes están Uso inapropiado de Internet, email, y/o recursos de la corporación Robo o perdida de la información Violación de políticas o normas de seguridad Infracción de la propiedad intelectual Invasión de la red Por que Investigar
Derivación de Computación Forense “Captura, almacenamiento y análisis de los eventos presentados en una red, para identificar la fuente de un posible ataque o presencia de un incidente”. Según searchSecurity.com “Principio de reconstruir las actividades que conducen a un evento y poder determinar las respuestas de ¿ Que hicieron ? y ¿ Como lo hicieron ?” La recolección y centralización de los eventos, así como su análisis son de gran importancia. Network Foresinc
Trabajar con evidencias digitales en red presentan ciertos desafíos para el investigador. Los datos en los sistemas de red son volátiles y dinámicos, haciendo difícil tomar una fotografía en un instante de tiempo. A diferencia de un PC es difícil tener abajo un ambiente de red. Uno de los retos de los investigadores forenses es asegurar la evidencia con la mínima interrupción de la operacional del negocio que confía en la red. Proceso Forense
Debido a la diversidad de ambientes de red se debe seleccionar los procedimientos adecuados para recoger de ellas la mejor información Aislar una escena del crimen es mas difícil debido a que tenemos un contexto multidimensional, se pueden presentar en varios escenarios de red y a su vez en cualquier momento. Al tener la evidencia digital en varios contextos y ambientes genera ventajas con relación a la eliminación de la evidencia digital. Proceso Forense
Proceso Forense Autorización y Preparación Identificación Documentación, Recolección y Preservación Examinación y Análisis Reconstrucción Reportes y Resultados
Página siguiente |