1 / 64

Inform tica forense

Agenda. Que es Inform

oshin
Download Presentation

Inform tica forense

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


    1. Informática forense La seguridad forense de la información

    2. Agenda Que es Informática Forense y para que sirve Porque informática forense? Definiciones y objetivos Incidentes de seguridad e ilícito informático El Manejo de incidentes en ISO27002 Peritaje informático Evidencia digital Principios metodológicos Cadena de custodia Procedimientos Software y hardware forense Conclusiones y desafíos

    3. Oleada de incidentes

    4. Porque la informática forense? Cuales son sus objetivos Por la aparición delos delitos informáticos a causa de la inseguridad de la información e Internet Objetivos de la Informática Forense: La compensación de los daños causados por los criminales o intrusos. La persecución y procesamiento judicial de los criminales. La creación y aplicación de medidas para prevenir casos similares. Objetivos de la Informática Forense La informática forense tiene 3 objetivos, a saber: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia. En España, la organización más prestigiosa a este respecto es el es-CERT. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En España, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Raúl Siles (HP), Javier Fernández-Sanguino (Germinus) y Antonio Javier García Martínez (Telefónica Móviles). Se tratan temas como : Recuperación de evidencias en discos Recuperación de contraseñas Detección y recuperación de Virus, Troyanos y Spyware Seguridad en el correo electrónico Análisis de Redes P2P Procesos en el puesto de usuario Anonimato Investigación de información Objetivos de la Informática Forense La informática forense tiene 3 objetivos, a saber: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia. En España, la organización más prestigiosa a este respecto es el es-CERT. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En España, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Raúl Siles (HP), Javier Fernández-Sanguino (Germinus) y Antonio Javier García Martínez (Telefónica Móviles). Se tratan temas como : Recuperación de evidencias en discos Recuperación de contraseñas Detección y recuperación de Virus, Troyanos y Spyware Seguridad en el correo electrónico Análisis de Redes P2P Procesos en el puesto de usuario Anonimato Investigación de información

    5. La ciencia forense Por definición es la aplicación de prácticas científicas dentro del proceso legal Objetivo: determinar el valor probatorio de una escena de crimen y su evidencia relacionada Otras derivadas: Antropología Forense Odontología forense: Dentadura SAID. Reseñas/Lofoscopia Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto común es el de la materialización de la prueba a efectos judiciales mediante una metodología científica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial.   La investigación criminalística nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Policía Científica y se vuelven a encontrar actualmente en las funciones policiales del Ejército, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo).   La complejidad de nuevos datos ha desbordado a la criminalística, la tendencia actual se dirige hacia una ampliación del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Policía, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicología del Ministerio de Justicia, las Universidades y también entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU país del que recaen significativas críticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigación científica, flexibilidad y libertad universitaria y profesional, quizá por ello en Europa ahora intentemos acercarnos a su sistema universitario Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto común es el de la materialización de la prueba a efectos judiciales mediante una metodología científica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial.   La investigación criminalística nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Policía Científica y se vuelven a encontrar actualmente en las funciones policiales del Ejército, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo).   La complejidad de nuevos datos ha desbordado a la criminalística, la tendencia actual se dirige hacia una ampliación del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Policía, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicología del Ministerio de Justicia, las Universidades y también entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU país del que recaen significativas críticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigación científica, flexibilidad y libertad universitaria y profesional, quizá por ello en Europa ahora intentemos acercarnos a su sistema universitario

    6. La informática forense Definición Serie de técnicas y procedimientos metodológicos para capturar evidencia de equipamientos computacionales y dispositivos digitales que pueden presentarse como evidencia en una prueba, de forma coherente y significante Para que? Procesamiento judicial Investigación en ámbito organizacional Importancia de la Informática Forense Gran cantidad de incidentes reportados Informática Forense ¿Qué es la Informática Forense? Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. Importancia de la Informática Forense "High-tech crime is one of the most important priorities of the Department of Justice" Con esta frase podemos ver cómo poco a poco los crímenes informáticos, su prevención, y procesamiento se vuelven cada vez más importantes. Esto es respaldado por estudios sobre el número de incidentes reportados por las empresas debido a crímenes relacionados con la informática. Sin embargo, la importancia real de la informática forense proviene de sus objetivos. Informática Forense ¿Qué es la Informática Forense? Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. Importancia de la Informática Forense "High-tech crime is one of the most important priorities of the Department of Justice" Con esta frase podemos ver cómo poco a poco los crímenes informáticos, su prevención, y procesamiento se vuelven cada vez más importantes. Esto es respaldado por estudios sobre el número de incidentes reportados por las empresas debido a crímenes relacionados con la informática. Sin embargo, la importancia real de la informática forense proviene de sus objetivos.

    7. Incidentes de seguridad: ISO27002-11- Controles Reporte sobre las debilidades de seguridad Responsabilidades y procedimiento Aprendizaje acerca de los incidentes de seguridad Recolección de evidencias Control: Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica acciones legales (civiles o penales) la evidencia se debe recolectar retener y presentar para cumplir con las reglas para la evidencia establecida en la jurisdicción pertinente

    8. Incidentes de seguridad informática: Acceso no autorizado Pérdida de Confidencialidad (planes de negocio, información personal) Integridad (cambios de bases de datos, fraude) Disponibilidad (denegación de servicio, daño a los sistemas) Uso indebido (de sistemas, de datos o en contra de las políticas establecidas)

    9. Delitos informáticos Actividades ilegales que involucran el uso de un computador Como objetivo del ilícito Como medio para llevar a cabo el ilícito Evidencia indirecta de otros ilícitos o litigios (juzgado de familia) Uno restringido que tiene como aquel hecho en el que independientemente del perjuicio que puede causarse a otros bienes jurídicamente tutelados y que eventualmente puedan concurrir en forma real o ideal, se atacan elementos puramente informáticos. Tales serán los casos del uso indebido del software, apropiación indebida de datos, interferencias en sistemas de datos ajenos y en el sentido amplio, es la acción típica, antijurídica y culpable para cuya consumación se utiliza o se afecta a una computadora o sus accesorios .

    10. Delitos informáticos, situación jurídica en Colombia En Colombia el delito informático esta configurado y definido en forma dispersa por la Ley 599 de 2000 El art. 183 del Código Penal reprime “el que destruyere, inutilizare, hiciere desaparecer o de cualquier modo dañare una cosa mueble total o parcialmente ajeno siempre que el hecho no constituya un delito más grave.” Borrado o destrucción de un programa de computación: Sin perjuicio que alguna jurisprudencia haya establecido que el borrado o destrucción de un programa de computación no es un delito en virtud que se trata de una conducta aprehendida por los tipos penales especiales de la ley 11.723 (10) considero que dicha acción se encuadra perfectamente en el art. 183 del Código Penal por los argumentos previamente expuestos.. De la misma manera se podría encuadrar el agravante del mismo ilícito cuando el daño se ejecuta en archivos y registros digitales, bibliotecas digitales tal como se provee en el inc. 5 del art. 184 del Código Penal

    11. Delitos informáticos, situación jurídica en Colombia ACTUALIDAD LEGAL Y JURISPRUDENCIA EN MATERIA DE DERECHO INFORMATICO EN COLOMBIA Decreto 1748 de 1995 Resolución 3316 del 3 de junio de 1997 Ley 222 de 1995 Circular externa 35 de 1997 Ley 383 de julio 10 de 1997 Decreto 1105 de 1992 Ley 98 de 1993 Ley 383 de 1997 Ley 365 de 1997 Decreto 2150 de 1995 Ley 422 de 1998 Circulares de la superintendencia de Notario y Registro La ley 446 de julio 7 de 1998 Ley 527 de 199 Ley 599 de 200 Actual Código Penal Colombiano Decreto 1747 de 2000 Corte Constitucional Sentencia 8 de junio de 2000

    12. Delitos informáticos en el mundo: Chile En Chile está vigente la Ley 19.223 del 28 de Mayo de 1993, en donde se introdujeron como conductas punibles: el Sabotaje Informático a los sistemas de tratamiento de información, comprendiendo los verbos rectores de impedir, modificar, destruir, inutilizar y obstaculizar el funcionamiento de un sistema de tratamiento de la información; el Espionaje Informático que comprende: la interferencia, la interceptación indebida, la alteración, destrucción, el apoderamiento, la revelación y difusión de datos y el acceso indebido a un sistema de tratamiento de la información electrónica

    13. Delitos informáticos en el mundo: Alemania Segunda Ley contra la Criminalidad Económica, vigente desde el primero de Agosto de (1986) mil novecientos ochenta y seis, se adoptó entre otros delitos informáticos el Espionaje de Datos, la Estafa Informática, la Falsificación de Datos Probatorios (implicando las modificaciones complementarias del resto de falsedades documentales como el engaño en el tráfico jurídico mediante la elaboración de datos, falsedad ideológica y uso de documentos falsos); también contempla la Alteración de Datos Sensibles (cancelar, inutilizar o alterar, inclusive la tentativa es punible en ese país), el Sabotaje Informático (destrucción, deterioro, inutilización, eliminación o alteración de un sistema de datos).

    14. Delitos informáticos en el mundo: Francia existe la Ley 88/19 del 5 de 1988, sobre el fraude informático, contemplando las siguientes conductas punibles: el Acceso Fraudulento (Se sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la sanción si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del sistema), Destrucción de Datos (Se sanciona a quien introduzca datos en un sistema de tratamiento automático de datos, suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisión) Falsificación de Documentos Informatizados (Se sanciona a quien de cualquier modo falsifique los documentos informatizados con intención de causar un perjuicio a otro).

    15. Delitos informáticos en el mundo: Austria Aparecen tipificadas como conductas punibles (Código Penal reformado el 22 de Diciembre de 1987), la Destrucción de Datos (datos sensibles y programas de computación) y la Estafa Informática (A través del desarrollo de programas, introducción, cancelación o alteración de datos o por actuación sobre procesamiento de datos, siendo agravante quien lo consuma en ejercicio de su profesión).

    16. Situación colombiana: Delitos Robo de contraseñas bancarias en cafés Internet mediante Keyloggers Violación de correos electrónicos Contraseñas, impostación y destrucción Robo de información electrónica de bases de datos estatales y privadas Suplantación de identidad mediante páginas falsas (Bancarias) Robo de contraseñas para acceder a ATM´s Falsificación de cheques Robos en transacciones bancarias Intercepción telefónica Falsificación electrónica de documentos

    17. Situación colombiana Bogotá D.C., 05 de diciembre de 2007 Doctor OSCAR ARBOLEDA PALACIO Presidente H. Cámara de Representantes Ciudad REF: ponencia para segundo debate de los Proyectos de Ley 042 de 2.007 Cámara y 123 de 2.007 Cámara, acumulados Respetado Señor Presidente, En cumplimiento de la Ley 5ª de 1.992, y por su amable designación, nos permitimos rendir ponencia para segundo debate en la Plenaria de la H. Cámara de Representantes de los Proyectos de Ley 042 de 2.007 Cámara y 123 de 2.007 Cámara acumulados, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado “De la Protección de la Información y de los Datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. OBJETIVO DEL PROYECTO La propuesta legislativa acumulada va dirigida no sólo a regular los diversos atentados que se cometen contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y de los datos, sino los que comportan el uso fraudulento de los mismos. Se trata, en otras palabras, de que el ordenamiento penal colombiano se sume a las políticas penales globalizadas en materia del combate frontal contra la llamada criminalidad del ciberespacio y le brinde herramientas a la comunidad internacional para la persecución de estos flagelos; al mismo tiempo, se busca brindar una adecuada tutela jurídica a un bien jurídico de tanta trascendencia en el mundo de hoy como lo es el atinente a la Protección de la Información y de los Datos………….

    18. Situación colombiana Fallo de la Corte Suprema de Colombia sobre descarga de música en internet  por Carlos A. Carnevale Corte Suprema de Colombia, sala de casación penal, sentencia del 30 de abril de 2008. Este fallo adquirió gran repercusión en muchos portales de Internet y varios medios periodísticos del mundo. El motivo de ello fue la postura que dejó sentada la Corte Suprema de Colombia respecto de la descarga de música por Internet, más allá del conflicto puntual que fuera planteado en el recurso. Así, el máximo tribunal sostuvo que “si en la Internet circulan millones de canciones, no puede concentrarse en el derecho penal la función de perseguir a los usuarios que, aprovechando tal circunstancia, descargan la música que se coloca a su alcance, pues en estos casos como en todos aquellos en los que la persona obra sin ánimo de lucro y sin el propósito de ocasionar perjuicio a la obra o a los intereses económicos del titular de los derechos, resulta imposible afirmar la existencia de una conducta punible, toda vez que no se lesiona o pone efectivamente en peligro el bien jurídico tutelado por la ley”. De este argumento se desprende que la Corte Suprema de Colombia entiende que deben acreditarse dos elementos fundamentales para que se configure el delito: el ánimo de lucro y la intención de ocasionar un perjuicio. En ese sentido, sostuvo que las conductas que le fueran imputadas al procesado y por las que fuera condenado en la instancia inferior -duplicación de discos compactos y uso de software sin las respectivas licencias- resultan atípicas cuando no existe intención de lucrar con ello ni propósito de ocasionar un perjuicio a los dueños de dichas obras.

    19. La prueba forense Concepto de prueba Para el derecho la prueba es “el conjunto de reglas que preparan la admisibilidad, la producción, la carga y la fuerza probatoria de los diferentes medios de prueba que pueden utilizarse para da al Juez la convicción sobre los hechos concernientes al proceso” La actividad probatoria puede desarrollarse dentro del proceso o antes, refiriéndose entonces a la prueba pre constituida o adelantada. Medios probatorios Son los modos en que se materializa la actividad probatoria Entre los distintos medios probatorios está la prueba pericial

    20. La prueba pericial Prueba pericial Se realiza cuando haya necesidad o conveniencia de que determinados hechos o circunstancias sean estudiados desde la perspectiva de un conocimiento específico. Actividad desarrollada por terceros ajenos al proceso que tiene como fin emitir una declaración valorativa de ciertos hechos para ayudar a crear el convencimiento judicial La prueba pericial puede ser usada tanto en procesos civiles como en procesos penales

    21. Peritaje informático Investigación orientada a la obtención de una prueba de aplicación en un asunto judicial para que sirva a un Juez La disciplina combina técnicas científicas y elementos legales para Extraer Preservar Analizar Presentar

    22. La evidencia digital Metodología y procedimientos Recursos humanos Habilidad y capacitación de los técnicos Credibilidad y confianza (Códigos de ética profesional) Entrenamiento en la metodología Situación actual: distintos grados de madurez en la formalización del tratamiento de la evidencia digital

    23. La evidencia digital Es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. Categorías 1. Registros almacenados en el equipo de tecnología informática. 2. Registros generados por los equipos de tecnología informática 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática La evidencia digital, es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categorías: 1. Registros almacenados en el equipo de tecnología informática. 2. Registros generados por los equipos de tecnología informática 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad: Es volátil, es anónima, es duplicable, es alterable, es eliminable. Estas características nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas. La evidencia digital, es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categorías: 1. Registros almacenados en el equipo de tecnología informática. 2. Registros generados por los equipos de tecnología informática 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad: Es volátil, es anónima, es duplicable, es alterable, es eliminable. Estas características nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas.

    24. La evidencia digital Información almacenada o trasmitida en forma digital que puede ser utilizada como prueba Características críticas Frágil Volátil Ventajas Repetible Recuperable

    25. La evidencia digital y sus problemas y limitaciones Falta de cuidado en la conservación de los equipos Alteración de la evidencia por falta de protección Se llega tarde a levantar la evidencia (se pierden registros o se sobrescriben) Falta de recursos humanos y materiales adecuados

    26. Metodología y estándares El perito debe ser objetivo y observar los códigos de ética profesional Conservar la autenticidad e integridad de la evidencia Obtener la evidencia sin corrupción Minimizar el trabajo sobre la evidencia original Documentar cualquier cambio en la evidencia (cadena de custodia) Autenticar la evidencia

    27. Metodología y estándares Buenas prácticas en gestión de tecnología: ISO 17799:2005 – 13.2.3 “Recolección de evidencias” Reglas para las evidencias Validez, admisibilidad de la evidencia Calidad y completitud de la evidencia “ Cuando se detecte un incidente, al principio no es obvio que se convierta en una posible actuación (evidencia) ante el juzgado. Sin embargo, existe el peligro de que las pruebas se destruyan accidentalmente antes de que se confirme la seriedad del incidente”

    28. Metodología y estándares Dentro de las Auditorias Internas se está definiendo formalmente el proceso de Auditoria Forense: “Realizar auditoria forense, asegurando la adecuada identificación, recolección, preservación y manipulación de elementos informáticos que serán utilizados como evidencia digital en una investigación”

    29. Metodología y estándares HB171:2003 “Handbook guidelines for the management of IT evidence” Proveer una guía para la gestión de los registros electrónicos que pueden ser usados en procedimientos judiciales o administrativos o cuando se sospecha de actividad ilegal Provee un ciclo de vida para la administración de la evidencia digital

    30. La cadena de custodia Documenta el proceso completo de las evidencias durante la vida del caso Quien y donde se recogió la evidencia Como se almacenó Quien la procesó, etc. Asegura: Identificación Continuidad de la posesión Prueba de integridad

    31. Peritaje de la evidencia Aceptación de la pericia Entender y evaluar la solicitud Determinar las habilidades requeridas Preparación Diagnosticar y entender el entorno (entrevistas) Identificar sitios, respaldos Identificar la arquitectura tecnológica (selección de herramientas) Preparación de formularios Materiales para identificación y traslado

    32. El primer contacto Separar a las personas de las máquinas Notificar (testigos) Anotar nombres Documentar fechas y horas (de arribo, o de captura de la máquina) Clasificar la evidencia según su grado de volatilidad Clasificar la evidencia en orden de relevancia Considerar la evidencia física colateral (papeles, notas, etc.) Obtener claves (entrevistas) Documentar hardware y software, fotografiar todo Certificar y autenticar HW,SW y datos de la evidencia Iniciar cadena de custodia

    33. La preservación de evidencias volátiles Evidencia volátil Se pierde al apagar la máquina (usuarios conectados, procesos en ejecución, estado de la memoria, etc.) Información del disco (fechas de acceso a archivos, archivos temporales) En lo posible no apagar la máquina y recoger inmediatamente la evidencia volátil sin alterar la escena Usar el mínimo de memoria posible para no sobrescribir e instalar sobre memorias auxiliares Aislar la máquina de la red para evitar alteraciones Guardar la información en otro dispositivo memoria USB, CD, DVD u otro equipo seguro, etc. Utilizar software para preservación de evidencias que autentique, certifique y proteja la evidencia

    34. La preservación de evidencias persistentes Apagar sin correr secuencia de bajada Documentar conexiones Identificar y precintar Utilizar material adecuado para el transporte (interferencia electromagnética, humedad) Guardar en lugar seguro y limpio Verificar secuencia de boot: Software protector, virus troyanos e invasores Utilizar software forense Hacer el Boot con un sistema propio Autentificar (hash) Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia

    35. Extracción e Inspección Objetivo: identificar y localizar evidencia potencial Documentación de datos básicos Sistema operativo, configuración de red, aplicaciones, trabajos agendados, usuarios del sistema, etc. Extraer datos protegidos, cifrados o comprimidos Extraer logs y trazas de auditoria Extraer datos a nivel del sistema de archivos Fechas, permisos, caminos, papelera de reciclaje, archivos temporales, información del autor (Office) Extraer datos a nivel físico Archivos borrados, búsqueda hexadecimal, tabla de particiones, espacio no asignado, espacio reservado Descartar archivos irrelevantes (bases de hash)

    36. Informe forense de la recepción y captura de evidencia Admisibilidad: relación dela evidencia con la pretensión de la prueba Autenticidad (la evidencia debe estar relacionada con el caso y no alterada) Confiabilidad (forma de registro comprobable), certificación de autenticidad Suficiencia (redundancia y correlación de eventos) Conformidad con la legislación vigente Criterio de razonabilidad Presentar la documentación en un leguaje entendible para los destinatarios

    37. Software forense Kits EnCase, FTK, Helix, Sleuth Kit, Knopix STD Herramientas Recuperación de contraseñas Herramientas de anti-esteganografía Imágenes y bloqueadores de discos Indexadores/buscadores de palabras en binario Recuperación de archivos borrados desde cualquier tipo de almacenamiento externo Recuperación de datos de navegación y correo

    38. PORTATILES FORENSES. Procesador Corel 2 DUO2.2 Ghz · 4GB de memoria RAM. · Disco Duro de 160 GB. · Puertos FireWire USB. · Pantalla 17” WSXGA · Unidad combo DVD –R/RW + R/+RW CD-RW · Incluir protectores contra escritura IDE, SATA y SCIS · Cables y adaptadores IDE, SATA, SCSI. · Maletín.

    39. Herramientas Herramientas para redes Captura de tráfico hasta capa de aplicación Aplicaciones asociadas a puertos abiertos Listados de puertos abiertos Vista de arquitectura Herramientas ANTIFORENSE Borradores de disco Herramientas de “boot” Ocultadores de archivos Eliminadores de evidencia (trazas de actividad en distintas aplicaciones, limpiadores de log, etc.) Herramientas de esteganografía

    40. Algún hardware forense Password crackers Bloqueadores de disco Copiadores de memoria RAM Copiadores de disco Laptops, laboratorio móvil, computadoras madres, discos auxiliares Bolsas y etiquetas especiales para sellado y transporte Contenedores para transporte

    41. La realidad La computación forense todavía está en desarrollo Falta de entrenamiento apropiado y designación profesional, no hay cursos no hay reglas de carrera No existe estandarización de las herramientas La informática forense todavía es mas un “arte” que una “ciencia” o una ingeniería

    42. Los problemas Falta de conocimiento o experiencia de los técnicos Uso de software poco conocido o antiguo Malas prácticas en el tratamiento de la evidencia Falta de recursos materiales Subestimar el alcance del incidente Existencia de software anti-forense Falta de objetividad Fallas en la documentación o alteración de la cadena de custodia Fallas en el informe

    43. Recomendaciones a las instalaciones informáticas Mantener trazas de uso de aplicaciones, sistemas, red, etc. Revisar las trazas Aplicar principios de seguridad (equipamiento y procedimientos) Mantener los relojes sincronizados Capacitación Campañas de sensibilización Conocer el entorno y el comportamiento normal Auditar

    44. Los retos Establecer un marco regulatorio y procedimientos para la pericia informática Estándares de ética y privacidad Profundizar en el conocimiento de los aspectos legales Formación en peritaje informático

    45. Gestión de la evidencia digital

    46. Metodología y estándares: Procedimiento para capturar una evidencia digital Diseño de la evidencia Con el fin de fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologías de información, se detallan a continuación cinco objetivos que se deben considerar para el diseño de la evidencia digital: a. Asegúrese de que se ha determinado la relevancia de los registros electrónicos, que éstos se han identificado, están disponibles y son utilizables. b. Los registros electrónicos tienen un autor claramente identificado. c. Los registros electrónicos cuentan con una fecha y hora de creación o alteración. d. Los registros electrónicos cuentan con elementos que permiten validar su autenticidad. e. Se debe verificar la confiabilidad de la producción o generación de los registros electrónicos por parte del sistema de información.

    47. Metodología y estándares: Procedimiento para capturar una evidencia digital Producción de la Evidencia Objetivos a. que el sistema o tecnología de información produzca los registros electrónicos b. identificar el autor de los registros electrónicos almacenados c. identificar la fecha y hora de creación d. verificar que la aplicación está operando correctamente en el momento de la generación de los registros, bien sea en su creación o modificación. e. Verificar la completitud de los registros generados

    48. Metodología y estándares: Procedimiento para capturar una evidencia digital Recolección de la Evidencia El objetivo de esta fase en el ciclo de vida de administración de la evidencia digital es localizar toda la evidencia digital y asegurar que todos los registros electrónicos originales (aquellos disponibles y asegurados en las máquinas o dispositivos) no han sido alterados. Para ello el estándar establece algunos elementos a considerar como: a. Establecer buenas prácticas y estándares para recolección de evidencia digital b. Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro c. Mantener y verificar la cadena de custodia d. Respetar y validar las regulaciones y normativas alrededor de la recolección de la evidencia digital e. Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.

    49. Metodología y estándares: Procedimiento para capturar una evidencia digital Análisis de la Evidencia Una vez se ha recolectado la evidencia, tomado las imágenes de los datos requeridos y su debida cadena de custodia, es tiempo para iniciar el ensamble, análisis y articulación de los registros electrónicos para establecer los hechos de los eventos ocurridos en el contexto de la situación bajo análisis o establecer si hacen falta evidencias para completar o aclarar los hechos. El análisis de la evidencia combina las tareas de investigador judicial y el perito en evidencias digitales

    50. Metodología y estándares: Procedimiento para capturar una evidencia digital Reporte y Presentación El profesional a cargo de la investigación es responsable de la precisión y completitud del reporte, sus hallazgos y resultados luego del análisis de la evidencia digital o registros electrónicos. En este sentido toda la documentación debe ser completa, precisa, comprensiva y auditable. En este sentido las prácticas internacionales aconsejan: a. Documentar los procedimientos efectuados por el profesional a cargo. b. Mantener una bitácora de uso y aplicación de los procedimientos técnicos utilizados. c. Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia

    51. Metodología y estándares: Procedimiento para capturar una evidencia digital Determinar la relevancia de la evidencia El estándar en esta fase establece valorar las evidencias de tal manera que se identifiquen las mejores evidencias que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo. El objetivo es que el ente que valore las pruebas aportadas observe en sus análisis y aportes los objetos de prueba más relevantes para el esclarecimiento de los hechos en discusión. En este sentido el estándar sugiere dos criterios para tener en cuenta a saber: [STANDARDS AUSTRALIA INTERNATIONAL 2003, pág.26] a. Valor probatorio: que establece aquel registro electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema. b. Reglas de la evidencia: que establece que se han seguido los procedimientos y reglas establecidas para la adecuada recolección y manejo de la evidencia.

    52. Procedimiento practico para la Recolección de la Evidencia Recuerde que como profesional a cargo de una investigación usted debe proveer un concepto de los hechos identificados en sus análisis. Usted es un científico y como tal debe ser concreto y claro en sus afirmaciones. Los reportes que como profesional encargado de una investigación adelante deben ser concreto, libres de jerga propia de su disciplina, pedagógicos y sobre manera, consistentes con los hechos y resultados obtenidos. Si al preparar un reporte de un análisis de datos, considera que puede estar incompleto o no cuenta con las calificaciones y condiciones requeridas para efectuarlo, debe documentarlo en el informe o manifestar esta condición a la parte que ha solicitado sus servicios.

    53. Procedimiento practico para la Recolección de la Evidencia Los profesionales que apoyan las labores en el ciclo de administración de la evidencia digital no deben contar con altos niveles de ética, sino con los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los cuales el juez toma sus decisiones. Documéntese muy bien sobre la normatividad y regulaciones vigentes alrededor del tema de evidencias digitales en su nación de tal forma que los procedimientos se ajusten a tales disposiciones y las buenas prácticas internacionales.

    54. Procedimiento practico para la Recolección de la Evidencia Manipulación de la evidencia digital Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital. Hacer uso de medios forenses estériles (para copias de información) Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia. Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense. Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles para su revisión. Siempre que la evidencia digital este en poder de algún individuo, éste será responsable de todas la acciones tomadas con respecto a ella, mientras esté en su poder. Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia digital, serán quienes deben garantizar el cumplimiento de los principios anteriores.

    55. Procedimiento practico para la Recolección de la Evidencia Formularios y testificación Empieza la captura Captura de la escena integral Colocación de las herramientas Lofoscopia Prender mother Ejecutar de acuerdo diseño previo imprevistos http://www.mobile-vision.com/products/digital_systems/index.html

    56. Procedimiento practico para la Recolección de la Evidencia HPA Área protegida del host Local En el objeto Longitud del copiado Sistema Operativo Datos parciales o totales Manejo de ejecución Comandos precisos, no se concibe repeticiones Archivos de salida, disco requerido Conexiones: USN, NIC, IEEE1384, SD Captura de pantallas Comandos DOS Estructura del programa de recolección

    57. La preservación de evidencias persistentes Documentar conexiones, estructuras de información, observaciones de comportamiento de las máquinas objeto y de la madre Identificar , grabar y precintar Utilizar material adecuado para el transporte (interferencia electromagnética, humedad) Guardar en lugar seguro y limpio Verificar secuencia de boot: Software protector, virus troyanos e invasores Autentificar y autenticar (hash) Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia Verificación de autenticación

    58. Procedimiento practico para la Recolección de la Evidencia

    59. Herramientas forenses: Encase Forensic es el estándar de la industria en el equipo de investigación forense de tecnología. Con un intuitivo GUI, superior capacidad de análisis, soporte de email/Internet y una potente maquina de scripting, EnCase provee al investigador una sencilla herramienta, capaz de ayudad en investigaciones grandes y complejas. Funcionarios encargados de hacer cumplir la ley, el gobierno y las empresas de investigadores y consultores de todo el mundo usan esta herramientas. Investiga y analiza múltiples plataformas - Windows, Linux, AIX, OS X, Solaris y otras - usando una sola herramienta. Ahorra días, si no semanas, de tiempo de análisis mediante la automatización de complejas tareas de rutina y con módulos pre compilados Enscript ® tales como la carga inicial del caso y el análisis de registro de sucesos. Encuentre información a pesar de los esfuerzos para ocultar, encubrir o borrar del delincuente. Fácil de gestionar en grandes volúmenes de la prueba, ve todos los archivos, incluido el "borrado”, archivo de holgura y espacio no asignado. Transferencia de archivos de prueba directamente a la aplicación de la ley o representantes legales, según sea necesario. Opciones de no fácil uso para los investigadores-, como abogados, a fin de examinar las pruebas con facilidad. Opciones de permitir la presentación de informes rápida preparación del informe.

    60. Herramientas forenses: http://www.acquisitiondata.com/forensic_toolkit.html http://www.acquisitiondata.com/index.html Buscar, organizar y Analizar el equipo de prueba AccessData's Forensic Toolkit ® (FTK Tmofrece a profesionales de la seguridad de las empresas la capacidad para llevar a cabo completa y minuciosa revisión y exámenes de equipos. FTK posee entre sus características un poderoso filtro de archivos con funcionalidad de búsqueda.. FTK con sus filtros personalizables le permiten ordenar a través de miles de archivos para encontrar rápidamente las pruebas que usted necesita. Easy-To-Use FTK es reconocida como la principal herramienta forense para realizar análisis de e-mail. FTK Imager TM le permite navegar rápidamente a través de imágenes y Generar registros de auditoría y los informes de casos Compatible con the Password recovery Toolkit TM and Distributed Network Attack ®

    61. Herramientas forenses: http://www.e-fense.com/helix/ Distribución personalizada de Ubuntu para informática forense, corre en MS W2000, Ubuntu o MacOs Helix se enfoca en Incident Response & Forensics tools. Helix ha sido modificado muy cuidadosamente para NOT tocar la computadora objeto. No requiere computadora mother Helix no establece espacios temporales ni hace “swap space”, o “auto mount” a cualquier dispositivo conectado. Es muy polémico y se usa básicamente en entrenamiento No es jurídicamente aceptado en ningún país

    62. Herramientas forenses, http://www.sleuthkit.org The Sleuth Kit (previously known as TASK) is a collection of UNIX-based command line file and volume system forensic analysis tools. The file system tools allow you to examine file systems of a suspect computer in a non-intrusive fashion. Because the tools do not rely on the operating system to process the file systems, deleted and hidden content is shown. The volume system (media management) tools allow you to examine the layout of disks and other media. The Sleuth Kit supports DOS partitions, BSD partitions (disk labels), Mac partitions, Sun slices (Volume Table of Contents), and GPT disks. With these tools, you can identify where partitions are located and extract them so that they can be analyzed with file system analysis tools. When performing a complete analysis of a system, we all know that command line tools can become tedious. The Autopsy Forensic Browser is a graphical interface to the tools in The Sleuth Kit, which allows you to more easily conduct an investigation. Autopsy provides case management, image integrity, keyword searching, and other automated operations. Input Data Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images. (Sleuth Kit Informer #11) Supports the NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, and ISO 9660 file systems (even when the host operating system does not or has a different endian ordering). Tools can be run on a live UNIX system during Incident Response. These tools will show files that have been "hidden" by rootkits and will not modify the A-Time of files that are viewed.

    63. Herramientas forenses, http://www.sleuthkit.org/autopsy/desc.php The Autopsy Forensic Browser is a graphical interface to the command line digital investigation analysis tools in The Sleuth Kit. Together, they can analyze Windows and UNIX disks and file systems (NTFS, FAT, UFS1/2, Ext2/3). The Sleuth Kit and Autopsy are both Open Source and run on UNIX platforms. As Autopsy is HTML-based, you can connect to the Autopsy server from any platform using an HTML browser. Autopsy provides a "File Manager"-like interface and shows details about deleted data and file system structures. Analysis Modes A dead analysis occurs when a dedicated analysis system is used to examine the data from a suspect system. In this case, Autopsy and The Sleuth Kit are run in a trusted environment, typically in a lab. Autopsy and TSK support raw, Expert Witness, and AFF file formats. A live analysis occurs when the suspect system is being analyzed while it is running. In this case, Autopsy and The Sleuth Kit are run from a CD in an untrusted environment. This is frequently used during incident response while the incident is being confirmed. After it is confirmed, the system can be acquired and a dead analysis performed.

    64. Herramientas forenses:http://www.knoppix-std.org/ STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Its sole purpose in life is to put as many security tools at your disposal with as slick an interface as it can. Who STD is meant to be used by both novice and professional security personnel but is not ideal for the Linux uninitiated. STD assumes you know the basics of Linux as most of your work will be done from the command line. If you are completely new to Linux, it's best you start with another live Distro like Knoppix to practice the basics (see faq). STD is designed to assist network administrators and professionals alike secure their networks.

    65. Herramientas forenses: 1 COMPUTADOR FORENSE PORTATIL Forensic Air-Lite VI MK III Soporte Garantía por 1 año 2 CURSO ENCASE® COMPUTER FORENSICS I y II 4-DAY MOBILE 3 ACCESS DATA BOOT CAMP (FTK) 4 TORRE FORENSE FORENSIC TOWER III DUAL Intel® Xeon QUAD Core Soporte y garantía por 1 año. 5 Encase Forensic Edition+PLSP (Todos los módulos: PDE, VFS, PDE, CD-DVD, FastBloc SE, VERSION 6 Actualización y soporte por 1 año. 6 Ultímate Forensic Write protección Kit. (Lab Version) 7 DISCO DURO 500 GB SIMPLETECH EXT USB 2.0 8 Forensic Toolkit® Soporte y garantía por 1 año.

More Related