Curso de Introduccion a Informatica Forense - Platzi

La informatica forense es una disciplina que se encarga de la recopilación, preservación y análisis de evidencias digitales en sistemas informaticos, redes dispositivos moviles, correos electrónicos, discos duros, entre elementos informáticos.

En resumen, la informatica forense busca identificar, recuperar y analizar datos digitales que pueden ser utilizados como evidencia en proceso judicial o administrativo.

 Etapas de la informática forense

  1. Identificación: encontrar y documentar las posibles fuentes de evidencia digital
  2. Preservación: Asegurar que la evidencia digital no sea alterada o destruida.
  3. Análisis: Extraer información relevante de la evidencia digital y encontrar relaciones entre diferentes elementos.
  4. Presentación: Comunicar los resultados del análisis de forma clara, concisa y comprensible para una audiencia no técnica.

Identidicación de equipos

Procesos de investigación

El proceso de investigacion forence implica la recolección y análisis de diversos elementos para esclarecer casos, como el robo de información.
Algunos de los elementos a considerar incluyen:
  1. Fuentes de información: Repositorio de código, servidores, dispositivos móviles, PC/Laptops, routers y dispositivos de seguridad perimetral
  2. Importancia en la nube: La información en la nuve puede contener datos sensibles, y los dispositivos mencionados pueden revelar accions de un usuario en la red.
  3. Enfoque en casos de Robo de Informacion: Al llegar a la escena es crucial no apagar los dispositivos a analizar para preservar la información del usuario
  4. Volcado de memoria Ram: Permite visulizar procesos y bibliotecas utilizadas por el usuario
  5. Disco duro para copia forense: Preparar un disco duro para preservar e integridad de la información en la PC/laptop investigada
  6. Informacion relevante a recopilar: Incluye hostname, IP address, MAC address, y detalles del sistema operativo del usuario.
  7. Diagrama de red: Analizar el diagrama de red del usuario dentro de la empresa para entender la trazabilidad de acciones.
  8. Registros de seguridad: Examinar registros de acciones realizadas en la red mediante dispositivos de seguridad perimetral

Preservación del escenario inicial

  1. Cadena de custodia
    • Establecer al responsable: Designar a una persona responsable de la custodia de la evidencia desde su recolección hasta su presentación
    • Documentar la cadena de custodia: Registrar la información
    • Utilizar contenedores seguros: Almacenar la evidencia en contenedores sellados y etiquetados para evitar su alteracion o contaminación.
  2. Fotografiar equipos:
    • Tomar en fotografias generales del escenario: Mostrar el entorno donde se encuentra el equipo informático.
    • Fotografiar detalles especificos del equipo: Capturar imagenes de las conexiones, puertos, perifericos y cualquier caracteristica relevante
    • Utilizar una cámara con fecha y hora: Asegurar que las fotografías tenga la fecha y hora impresas para documentar el momento de la captura.
  3. Anotaciones
    • Anotar la fecha y hora de la intervención: Resgitrar la fecha y hora en que se inicia la investigación
    • Registrar datos de la persona que solicita la revisión: Documentar el nombre, contacto y motivo de la solicitud de la persona que solicita la revisión del equipo.
    • Anotar el número de serie del disco duro y del disco de destino: Registrar el número de series del disco duro del equipo a analizar y del disco donde se realizará la copia.
  4. Levantamiento de información
    • Realizar un análisis preliminar: Buscar información relevante en el equipo sin modificar su contenido.
    • Realizar una copia de seguridad: Crear una copia bit a bit del disco duro utilizando herramientas forenses
    • Utilizar herramientas foreneses: Utilizar herramientas especificas para la extracción de datos, como EnCase, FTK Imager, Autopsy, etc.
  5. Borrado seguro
    • Realizar un borrado seguro del disco duro original: Eliminar la información del disco duro original de forma segura utilizando herramientas especificas.
    • No utilizar métodos de borrados simples: Evitar la eliminación simple de archivos o el formateo del disco, ya que estos métodos no garantizan la eliminación completa de la informacón.
  6. Integridad hash
    • Calcular el hash del disco duro original y de la copia: Utilizar algoritmos hash como SHA256 o SHA512 para verificar la integridad de la copia y evitar su alteración.
    • Evityar MD5 y SHA1: no utilizar los algoritmos hash MD5 y SHA1 debido a su vulnerabilidad a colisiones.
Calculadora hash
https://codebeautify.org/sha256-hash-generator

Asignando Identificadores hash


Identificadores hash en la investigación forense.

Los indentificadores hash, como SHA256 y SHA512, son funciones matemáticas que se utilizan para generar una "huella digital" unica de una archivo o conjunto de datos. En la investigación forense, estos indentificadores tienen varias aplicaciones importantes.
  1. Verificación de la integridad de la evidencia:
    • Comparar hashes: Al calcular el hash de la evidencia original y compararlo con el hash de la copia, se puede verificar que la copia no haya sido alterada o modificada durante el proceso de investigación.
    • Detectar falsifiacaciones: si el hash de la copia no coincide con el hash de la evidencia original, es posible que la copia sea falsa o haya sido manipulada.
  2. Identificación de archivos
    • Búsqueda de coincidencias: Los hashes se pueden utilizar para buscar archivos con el mismo contenido, incluso si tienen nombres diferentes o se encuentran en diferentes positivos
  3. Agrupamiento de archivos:
    • Identificar relaciones: los archivos con el mismo hash pueden tener la misma fuente o estar relacionados de alguna manera.
    • Análisis de conjunto de datos: Los hashes se pueden utilizar para agrupar archivos similares y facilitar el ánalisis de grandes conjuntos de datos.
  4. Seguimiento de evidenciua:
    • Verificación de la cadena de custodia: Los hashes se pueden utilizar para verificar la cadena de custodia de la evidencia desde su recolección hasta su presentación en un juicio.
    • Detección de manipulación: si el hash de la evidencia cambia en algún momento, es posible que la evidencia haya sido manipulada o alterada.
  5. Presentacion de la evidencia:
    • Presentacion de pruebas: Los hashes se pueden utilizar para presentar pruebas en el juicio, ya que son una forma matemática precisa de verificar la integridad de la evidencia.
    • Comunicación de hallazgos: los hashes se pueden utilizar para comunicar los hallazgos de la investigación a otras personas de manera clara y concisa.

Comando: Get-FileHash -Algorithm SHA256 original.jpg

Hardaware para informática forense

En el vasto mundo de la informatica forense, dos tipos de hardware se destacan: duplicadores y bloqueadores de escritura. Aqui te presentamos una guia paso a paso para comprender su función y relevancia.
Duplicadores: copia Bit a Bit con preucaciones
  1. Función Principal: Realizan copias bit a bit del disco duro a analizar
  2. Preucaciones necesaria: Antes de usarlo, realiza un copiado de la memoria volátil para evitar la pérdida de información de la memoria RAM al extraer el disco duro.
  3. Marcas reconocidas: Tableau, VV teach y Falcon Logic cube.
Bloqueadores de escritura: Salvaguarda y Eficiencia en Dos propósitos
  1. Propósito 1: Facilitan el análisis en sitio del disco duro sin apagar el equipo, creando un puente seguro entre el equipo de adquisiion y el de copiua
  2. Propósito 2: Agilizan análisis rápidos, garantizando al 100 % la integridad de la copia
  3. Marca Destacadas: Tableu y VV teach.

Analizando la informacion obtenida

Diferencia Crucial: Copia forense vs Backup
  1. Copia forense: Reproduce la totalidad del medio de origen, incluyendo el espacio vacio, revelando información valiosoa como archivos eliminados.
  2. Backup tradicional: Copia solo los datos utilizados en una unidad digital, excluyendo el espacio vacio.
Tipos de copia forense: Explorando opciones
  1. Copia física: Reproduce la totalidad del disco duro
  2. Copia lógica: Copia exacta de una unidad lógica en especifico
  3. Copia especificada: Selecciona elementos criticos cuando la copia completa no es posible.
Formartos de copia Forense: Herramientas Universales y especializadas
  1. DD
  2. E01
  3. AFF
Herramientas clave para copia Forens: Accesibles y efectivas
  • FTK Imager, Ausforensic, Elixpro: Variedad de herramientas disponibles en el mercado, tanto gratuitas como de pago.
Acciones iniciales cruciales en la escena: volcado de memoria RAM
  1. No apagar el equipo: evita perdida de informacion en la memoria ram
  2. Volcado en la memoria ram: utiliza comandos como 'dd' en sistemas como Inuts para realizar una copia de los registros.
Herramientas Forenses en Windows: Desvelando Tesoros de Datos

Varios registros y comandos del sistema proporcionan datos valiosos para la investigación

  • Historial de comandos
  • Tablas ARP
  • ip config
  • Netstat
  • Systeminfo
  • Hostname
Realizando una copia forense y un volvado de memoria RAM.


Realizando una copia forense y un volcado de memoria RAM


SAM (security accounts Manager)
  • Almacena información sobre los usuarios locales del sistema operativo.
  • Contiene hashes de las contraseñas de los usuarios
  • Es una de las claves más importantes del registro de windows para la investigacion forense
System:
  • Contiene información sobre la configuración de arraque del sistema operativo
  • Almacena información sobre los dispositivos externos que se han conectado al equipo.
  • Puedo proporcionar información útil sobre la actividad del usuario y la configuración del sistema
Syslogs del sistema:
  • Se registran eventos importantes del sistemas operativo.
  • Se pueden utilizar para identificar actividades sospechosoas o instrusiones en el sistema
  • Los dos tipos principales son:
    • Security: Resgitra eventos relacionados con la seguridad del sistema, como inicios de sesión, fallos de inicio de sesión, cambios de los permisos de archivos
    • System: Registra eventos relacionados con el funcionamiento del sistema, como errores del sistema, inicios y paradas del sistema, etc.
Herramientas de analisis:
  • Rigripper: Herramienta de código abierto para analizar claves de registro especificas en busca de información relevante para la investigación forense
  • Volatilly: Herramienta forense avanzada para analizar la memoria volátil de un equipó, incluyendo información sobre los procesos activos, conexiones de red, DLLs/bibliotecas cargadas de memoria. etc.
syslogs de sistema windows
C:\Windows\System32\winevt\Logs 

Comandos Volatillity

  • Get-FileHash -Algorithm SHA256 original.jpg

  • volatility -f [ruta-del-archivo] [comando]

  • volatility -f [ruta-del-archivo] [perfil] [comando]

  • pslist

  • pstree

Presentacion de informe forense

En el cierre de nuestra investigación forense, la presentación de la información es clave. Estos son los tres tipos de informes para garantizar una comunicación clara y precisa.
  1. Reporte Ejecutivo: Resumen para altos Directivos
    • Objetivo: Informar a los altos ejecutivo sobre los hallazgos y conclusiones de la investigación de forma clara y concisa.
    • Lenguaje: Alto nivel, evitando detalles técnicos
    • Contenido: Resultados y conclusiones, presentados de manera amigable y comprensible para no expertos.
  2. Reporte técnico: Detalles Especificos para Expertos
    • Objetivo: Documentar en detalle los métodos y resultados de la investigación.
    • Complemento del Ejecutivo: Detalles técnicos de la investigación.
    • Puntos Incluidos: Herramientas utilizadas, algoritmos, comandos, registros, resultados y conclusiones
    • Audiencia: Personas con conocimiento técnico en la materia
  3. Dictamen Pericial: Detalles Legales y Técnicos
    • Objetivo: Presentar informes con valor legal que pueda ser usado en un tribunal
    • Contexto: Para procesos judiciales o legales
    • Contenico: Reporte ejecutivo detallado, con herramientas y etapas del análisis
    • Inclusion: Glosario de términos para claridad ante posibles desconocimientos técnicos del juez.
Con esta estructura una presentacion completa y efectiva de los resultados de nuestra investigación forense, abordando tanto las necesidades de altos directivis como las demandas de expertos y contextos legales.


Guia de buenas practicas forenses al llegar al sitio


1. Documentación inicial


 Fecha y hora de llegada.

 Nombre completo y cargo del técnico que realiza la intervención.

 Nombre completo, cargo y contacto de la persona que entregó el equipo.

 Identificación del equipo (marca, modelo, número de serie, etiquetas internas).

 Ubicación física exacta (oficina, rack, escritorio, etc.).

 Estado del equipo al llegar (encendido/apagado, conectado a red, etc.).

 Fotografías del entorno (si es posible), sin alterar el estado inicial.
 

 2. Preservación de la evidencia


 No manipular el equipo si está encendido sin antes consultar con el equipo de respuesta a incidentes.

 Si se debe apagar, documentar exactamente cómo se hizo.

 Desconectar físicamente de la red para evitar modificaciones remotas.

 Conectar dispositivos de adquisición forense si es necesario (ej. bloqueadores de escritura para discos).
 

 3. Registro de cadena de custodia


 Asignar un número de caso o ID único.

 Registrar cada persona que manipula el equipo: nombre, hora, acción realizada.

 Guardar en contenedores seguros (bolsas antielectrostáticas, cajas selladas).

 Etiquetar claramente el equipo y cualquier medio extraíble asociado (USB, discos, etc.).

4. Recolección de datos


 Si se puede, hacer una imagen forense (bit a bit) del disco antes de análisis.

 Exportar logs relevantes (sistemas, red, aplicaciones).

 Captura de memoria RAM (si está encendido y aplica).

 Captura de tráfico de red si es parte de la investigación.

 5. Análisis posterior


 Realizar el análisis sobre copias, nunca sobre los dispositivos originales.

 Utilizar herramientas validadas como Autopsy, FTK Imager, Volatility, Wireshark, etc.

 Generar informe técnico completo con hallazgos, tiempos, análisis y conclusiones.


Comentarios

Publicar un comentario

Entradas más populares de este blog

Curso de Redes de Pentesting - Platzi

Imagen
 Curso de Redes de Pentesting - Ataques a Protocolos de Red ¿Que es el Pentesting? El Pentesting o prueba de penetracion es un proceso de evaluacion de seguridad donde se simulan ataques reales contra sistemas, redes o aplicaciones para identificar vulnerabilidades explotadas antes que los ciberdelicuentes la descubran. ¿Porque se hace el Pentesting? Identificar las vulnerabilidades antes que sean explotadas. Evaluar la efectividad de los controles de seguridad cumplir con normas y regulaciones Mejorar la seguridad de los sistemasde informacion. Recursos recomendados para el curso Virtulizador de maquinas virtuales : VMWARE Distribuciones de Linux: Kali, Lubuntu, Tiny Core Routers: Mikrotik, Cisco. "En mi caso tengo la disponibilidad de usar router virtuales para realizar las pruebas y asi evito el consumo de recursos en mi laptop Topologia La topologia ira creciendo conforme vaya avanzando con el curso, sin embargo veo importante aclarar como estara diseñada mi topologia para ava...
Read more »

CURSO DE SEGURIDAD INFORMATICA PARA EQUIPOS TECNICOS - CONTROLES EN CIBERSEGURIDAD - PLATZI -PARTE 3

 GESTION DE ACCESOS La gestión de accesos es un pilar esencial en la ciberseguridad moderna. Consiste en la administración meticulosa de credenciuales como usuario, contraseñas y tokens que permiten a un usuario autenticarse en un sistema. La correcta gestión de estos elementos no solo protege la informacion sensible, sino que tambien mitiga riesgos potenciales de seguridad. Tipos de gestión de accesos. Gestión de acceso local u offline: Incluye la administración de credenciales almacenadas localmente en un archivo en tu equipo. un ejemplo común de esta categoria es el uso de Keepass, que además permite cierta sincronia con dispositovos Android. ejemplo bitware Servicios web u online: Estos permitel la sincroía de credenciales entre múltiples dispositivos. Gestion orientada a tokens: Implica utilizar un componente de hardware, como dispositivo UIKey. Beneficios de la gestión de accesos Uso de contraseñas maestras y archivos de token, facilitando un múltiple factor de autenticación....
Read more »