E N D
1. Informática forense La seguridad forense de la información
2. Agenda Que es Informática Forense y para que sirve
Porque informática forense?
Definiciones y objetivos
Incidentes de seguridad e ilícito informático
El Manejo de incidentes en ISO27002
Peritaje informático
Evidencia digital
Principios metodológicos
Cadena de custodia
Procedimientos
Software y hardware forense
Conclusiones y desafíos
3. Oleada de incidentes
4. Porque la informática forense?Cuales son sus objetivos Por la aparición delos delitos informáticos a causa de la inseguridad de la información e Internet
Objetivos de la Informática Forense:
La compensación de los daños causados por los criminales o intrusos.
La persecución y procesamiento judicial de los criminales.
La creación y aplicación de medidas para prevenir casos similares.
Objetivos de la Informática Forense
La informática forense tiene 3 objetivos, a saber:
1. La compensación de los daños causados por los criminales o intrusos.
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.
En España, la organización más prestigiosa a este respecto es el es-CERT.
Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En España, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Raúl Siles (HP), Javier Fernández-Sanguino (Germinus) y Antonio Javier García Martínez (Telefónica Móviles).
Se tratan temas como :
Recuperación de evidencias en discos
Recuperación de contraseñas
Detección y recuperación de Virus, Troyanos y Spyware
Seguridad en el correo electrónico
Análisis de Redes P2P
Procesos en el puesto de usuario
Anonimato
Investigación de información
Objetivos de la Informática Forense
La informática forense tiene 3 objetivos, a saber:
1. La compensación de los daños causados por los criminales o intrusos.
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.
En España, la organización más prestigiosa a este respecto es el es-CERT.
Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En España, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Raúl Siles (HP), Javier Fernández-Sanguino (Germinus) y Antonio Javier García Martínez (Telefónica Móviles).
Se tratan temas como :
Recuperación de evidencias en discos
Recuperación de contraseñas
Detección y recuperación de Virus, Troyanos y Spyware
Seguridad en el correo electrónico
Análisis de Redes P2P
Procesos en el puesto de usuario
Anonimato
Investigación de información
5. La ciencia forense Por definición es la aplicación de prácticas
científicas dentro del proceso legal
Objetivo: determinar el valor probatorio de una escena de crimen y su evidencia relacionada
Otras derivadas:
Antropología Forense
Odontología forense: Dentadura
SAID.
Reseñas/Lofoscopia
Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto común es el de la materialización de la prueba a efectos judiciales mediante una metodología científica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial.
La investigación criminalística nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Policía Científica y se vuelven a encontrar actualmente en las funciones policiales del Ejército, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo).
La complejidad de nuevos datos ha desbordado a la criminalística, la tendencia actual se dirige hacia una ampliación del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Policía, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicología del Ministerio de Justicia, las Universidades y también entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU país del que recaen significativas críticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigación científica, flexibilidad y libertad universitaria y profesional, quizá por ello en Europa ahora intentemos acercarnos a su sistema universitario
Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto común es el de la materialización de la prueba a efectos judiciales mediante una metodología científica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial.
La investigación criminalística nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Policía Científica y se vuelven a encontrar actualmente en las funciones policiales del Ejército, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo).
La complejidad de nuevos datos ha desbordado a la criminalística, la tendencia actual se dirige hacia una ampliación del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Policía, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicología del Ministerio de Justicia, las Universidades y también entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU país del que recaen significativas críticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigación científica, flexibilidad y libertad universitaria y profesional, quizá por ello en Europa ahora intentemos acercarnos a su sistema universitario
6. La informática forense Definición
Serie de técnicas y procedimientos metodológicos para capturar evidencia de equipamientos computacionales y dispositivos digitales que pueden presentarse como evidencia en una prueba, de forma coherente y significante
Para que?
Procesamiento judicial
Investigación en ámbito organizacional
Importancia de la Informática Forense
Gran cantidad de incidentes reportados
Informática Forense
¿Qué es la Informática Forense?
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes.
Importancia de la Informática Forense
"High-tech crime is one of the most important priorities of the Department of Justice"
Con esta frase podemos ver cómo poco a poco los crímenes informáticos, su prevención, y procesamiento se vuelven cada vez más importantes. Esto es respaldado por estudios sobre el número de incidentes reportados por las empresas debido a crímenes relacionados con la informática.
Sin embargo, la importancia real de la informática forense proviene de sus objetivos.
Informática Forense
¿Qué es la Informática Forense?
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes.
Importancia de la Informática Forense
"High-tech crime is one of the most important priorities of the Department of Justice"
Con esta frase podemos ver cómo poco a poco los crímenes informáticos, su prevención, y procesamiento se vuelven cada vez más importantes. Esto es respaldado por estudios sobre el número de incidentes reportados por las empresas debido a crímenes relacionados con la informática.
Sin embargo, la importancia real de la informática forense proviene de sus objetivos.
7. Incidentes de seguridad: ISO27002-11- Controles Reporte sobre las debilidades de seguridad
Responsabilidades y procedimiento
Aprendizaje acerca de los incidentes de seguridad
Recolección de evidencias
Control: Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica acciones legales (civiles o penales) la evidencia se debe recolectar retener y presentar para cumplir con las reglas para la evidencia establecida en la jurisdicción pertinente
8. Incidentes de seguridad informática: Acceso no autorizado
Pérdida de Confidencialidad (planes de negocio, información personal)
Integridad (cambios de bases de datos, fraude)
Disponibilidad (denegación de servicio, daño a los sistemas)
Uso indebido (de sistemas, de datos o en
contra de las políticas establecidas)
9. Delitos informáticos Actividades ilegales que involucran el uso de un computador
Como objetivo del ilícito
Como medio para llevar a cabo el ilícito
Evidencia indirecta de otros ilícitos o litigios (juzgado de familia)
Uno restringido que tiene como aquel hecho en el que independientemente del perjuicio que puede causarse a otros bienes jurídicamente tutelados y que eventualmente puedan concurrir en forma real o ideal, se atacan elementos puramente informáticos. Tales serán los casos del uso indebido del software, apropiación indebida de datos, interferencias en sistemas de datos ajenos y en el sentido amplio, es la acción típica, antijurídica y culpable para cuya consumación se utiliza o se afecta a una computadora o sus accesorios .
10. Delitos informáticos, situación jurídica en Colombia En Colombia el delito informático esta configurado y definido en forma dispersa por la Ley 599 de 2000
El art. 183 del Código Penal reprime “el que destruyere, inutilizare, hiciere desaparecer o de cualquier modo dañare una cosa mueble total o parcialmente ajeno siempre que el hecho no constituya un delito más grave.”
Borrado o destrucción de un programa de computación: Sin perjuicio que alguna jurisprudencia haya establecido que el borrado o destrucción de un programa de computación no es un delito en virtud que se trata de una conducta aprehendida por los tipos penales especiales de la ley 11.723 (10) considero que dicha acción se encuadra perfectamente en el art. 183 del Código Penal por los argumentos previamente expuestos.. De la misma manera se podría encuadrar el agravante del mismo ilícito cuando el daño se ejecuta en archivos y registros digitales, bibliotecas digitales tal como se provee en el inc. 5 del art. 184 del Código Penal
11. Delitos informáticos, situación jurídica en Colombia ACTUALIDAD LEGAL Y JURISPRUDENCIA EN MATERIA DEDERECHO INFORMATICO EN COLOMBIA Decreto 1748 de 1995 Resolución 3316 del 3 de junio de 1997 Ley 222 de 1995 Circular externa 35 de 1997 Ley 383 de julio 10 de 1997 Decreto 1105 de 1992 Ley 98 de 1993 Ley 383 de 1997 Ley 365 de 1997 Decreto 2150 de 1995 Ley 422 de 1998 Circulares de la superintendencia de Notario y Registro La ley 446 de julio 7 de 1998 Ley 527 de 199 Ley 599 de 200 Actual Código Penal Colombiano Decreto 1747 de 2000 Corte Constitucional Sentencia 8 de junio de 2000
12. Delitos informáticos en el mundo: Chile En Chile está vigente la Ley 19.223 del 28 de Mayo de 1993, en donde se introdujeron como conductas punibles: el Sabotaje Informático a los sistemas de tratamiento de información, comprendiendo los verbos rectores de impedir, modificar, destruir, inutilizar y obstaculizar el funcionamiento de un sistema de tratamiento de la información; el Espionaje Informático que comprende: la interferencia, la interceptación indebida, la alteración, destrucción, el apoderamiento, la revelación y difusión de datos y el acceso indebido a un sistema de tratamiento de la información electrónica
13. Delitos informáticos en el mundo: Alemania Segunda Ley contra la Criminalidad Económica, vigente desde el primero de Agosto de (1986) mil novecientos ochenta y seis, se adoptó entre otros delitos informáticos el Espionaje de Datos, la Estafa Informática, la Falsificación de Datos Probatorios (implicando las modificaciones complementarias del resto de falsedades documentales como el engaño en el tráfico jurídico mediante la elaboración de datos, falsedad ideológica y uso de documentos falsos); también contempla la Alteración de Datos Sensibles (cancelar, inutilizar o alterar, inclusive la tentativa es punible en ese país), el Sabotaje Informático (destrucción, deterioro, inutilización, eliminación o alteración de un sistema de datos).
14. Delitos informáticos en el mundo: Francia existe la Ley 88/19 del 5 de 1988, sobre el fraude informático, contemplando las siguientes conductas punibles: el Acceso Fraudulento (Se sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la sanción si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del sistema), Destrucción de Datos (Se sanciona a quien introduzca datos en un sistema de tratamiento automático de datos, suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisión) Falsificación de Documentos Informatizados (Se sanciona a quien de cualquier modo falsifique los documentos informatizados con intención de causar un perjuicio a otro).
15. Delitos informáticos en el mundo: Austria Aparecen tipificadas como conductas punibles (Código Penal reformado el 22 de Diciembre de 1987), la Destrucción de Datos (datos sensibles y programas de computación) y la Estafa Informática (A través del desarrollo de programas, introducción, cancelación o alteración de datos o por actuación sobre procesamiento de datos, siendo agravante quien lo consuma en ejercicio de su profesión).
16. Situación colombiana: Delitos Robo de contraseñas bancarias en cafés Internet mediante Keyloggers
Violación de correos electrónicos
Contraseñas, impostación y destrucción
Robo de información electrónica de bases de datos estatales y privadas
Suplantación de identidad mediante páginas falsas (Bancarias)
Robo de contraseñas para acceder a ATM´s
Falsificación de cheques
Robos en transacciones bancarias
Intercepción telefónica
Falsificación electrónica de documentos
17. Situación colombiana Bogotá D.C., 05 de diciembre de 2007
Doctor
OSCAR ARBOLEDA PALACIO
Presidente
H. Cámara de Representantes
Ciudad
REF: ponencia para segundo debate de los Proyectos de Ley 042 de 2.007 Cámara y 123 de 2.007 Cámara, acumulados
Respetado Señor Presidente,
En cumplimiento de la Ley 5ª de 1.992, y por su amable designación, nos permitimos rendir ponencia para segundo debate en la Plenaria de la H. Cámara de Representantes de los Proyectos de Ley 042 de 2.007 Cámara y 123 de 2.007 Cámara acumulados, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado “De la Protección de la Información y de los Datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.
OBJETIVO DEL PROYECTO
La propuesta legislativa acumulada va dirigida no sólo a regular los diversos atentados que se cometen contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y de los datos, sino los que comportan el uso fraudulento de los mismos. Se trata, en otras palabras, de que el ordenamiento penal colombiano se sume a las políticas penales globalizadas en materia del combate frontal contra la llamada criminalidad del ciberespacio y le brinde herramientas a la comunidad internacional para la persecución de estos flagelos; al mismo tiempo, se busca brindar una adecuada tutela jurídica a un bien jurídico de tanta trascendencia en el mundo de hoy como lo es el atinente a la Protección de la Información y de los Datos………….
18. Situación colombiana Fallo de la Corte Suprema de Colombia sobre descarga de música en internet
por Carlos A. Carnevale
Corte Suprema de Colombia, sala de casación penal, sentencia del 30 de abril de 2008.
Este fallo adquirió gran repercusión en muchos portales de Internet y varios medios periodísticos del mundo. El motivo de ello fue la postura que dejó sentada la Corte Suprema de Colombia respecto de la descarga de música por Internet, más allá del conflicto puntual que fuera planteado en el recurso.
Así, el máximo tribunal sostuvo que “si en la Internet circulan millones de canciones, no puede concentrarse en el derecho penal la función de perseguir a los usuarios que, aprovechando tal circunstancia, descargan la música que se coloca a su alcance, pues en estos casos como en todos aquellos en los que la persona obra sin ánimo de lucro y sin el propósito de ocasionar perjuicio a la obra o a los intereses económicos del titular de los derechos, resulta imposible afirmar la existencia de una conducta punible, toda vez que no se lesiona o pone efectivamente en peligro el bien jurídico tutelado por la ley”.
De este argumento se desprende que la Corte Suprema de Colombia entiende que deben acreditarse dos elementos fundamentales para que se configure el delito: el ánimo de lucro y la intención de ocasionar un perjuicio. En ese sentido, sostuvo que las conductas que le fueran imputadas al procesado y por las que fuera condenado en la instancia inferior -duplicación de discos compactos y uso de software sin las respectivas licencias- resultan atípicas cuando no existe intención de lucrar con ello ni propósito de ocasionar un perjuicio a los dueños de dichas obras.
19. La prueba forense Concepto de prueba
Para el derecho la prueba es “el conjunto de reglas que preparan la admisibilidad, la producción, la carga y la fuerza probatoria de los diferentes medios de prueba que pueden utilizarse para da al Juez la convicción sobre los hechos concernientes al proceso”
La actividad probatoria puede desarrollarse dentro del proceso o antes, refiriéndose entonces a la prueba pre constituida o adelantada.
Medios probatorios
Son los modos en que se materializa la actividad probatoria
Entre los distintos medios probatorios está la prueba pericial
20. La prueba pericial Prueba pericial
Se realiza cuando haya necesidad o conveniencia de que determinados hechos o circunstancias sean estudiados desde la perspectiva de un conocimiento específico.
Actividad desarrollada por terceros ajenos al proceso que tiene como fin emitir una declaración valorativa de ciertos hechos para ayudar a crear el convencimiento judicial
La prueba pericial puede ser usada tanto en procesos civiles como en procesos penales
21. Peritaje informático Investigación orientada a la obtención de una prueba de aplicación en un asunto judicial para que sirva a un Juez
La disciplina combina técnicas científicas y
elementos legales para
Extraer
Preservar
Analizar
Presentar
22. La evidencia digital Metodología y procedimientos
Recursos humanos
Habilidad y capacitación de los técnicos
Credibilidad y confianza (Códigos de ética
profesional)
Entrenamiento en la metodología
Situación actual: distintos grados de madurez en la formalización del tratamiento de la evidencia digital
23. La evidencia digital Es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal.
Categorías
1. Registros almacenados en el equipo de tecnología informática.
2. Registros generados por los equipos de tecnología informática
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática
La evidencia digital, es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categorías:
1. Registros almacenados en el equipo de tecnología informática.
2. Registros generados por los equipos de tecnología informática
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática.
La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad:
Es volátil, es anónima, es duplicable, es alterable, es eliminable. Estas características nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas.
La evidencia digital, es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categorías:
1. Registros almacenados en el equipo de tecnología informática.
2. Registros generados por los equipos de tecnología informática
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática.
La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad:
Es volátil, es anónima, es duplicable, es alterable, es eliminable. Estas características nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas.
24. La evidencia digital Información almacenada o trasmitida en forma digital que puede ser utilizada como prueba
Características críticas
Frágil
Volátil
Ventajas
Repetible
Recuperable
25. La evidencia digital y sus problemas y limitaciones Falta de cuidado en la conservación de los
equipos
Alteración de la evidencia por falta de
protección
Se llega tarde a levantar la evidencia (se
pierden registros o se sobrescriben)
Falta de recursos humanos y materiales
adecuados
26. Metodología y estándares El perito debe ser objetivo y observar los
códigos de ética profesional
Conservar la autenticidad e integridad de la evidencia
Obtener la evidencia sin corrupción
Minimizar el trabajo sobre la evidencia original
Documentar cualquier cambio en la evidencia
(cadena de custodia)
Autenticar la evidencia
27. Metodología y estándares Buenas prácticas en gestión de tecnología:
ISO 17799:2005 – 13.2.3 “Recolección de
evidencias”
Reglas para las evidencias
Validez, admisibilidad de la evidencia
Calidad y completitud de la evidencia
“ Cuando se detecte un incidente, al principio no es obvio que se convierta en una posible actuación (evidencia) ante el juzgado. Sin embargo, existe el peligro de que las pruebas se destruyan accidentalmente antes de que se confirme la seriedad del incidente”
28. Metodología y estándares Dentro de las Auditorias Internas se está
definiendo formalmente el proceso de
Auditoria Forense:
“Realizar auditoria forense, asegurando la
adecuada identificación, recolección, preservación y manipulación de elementos informáticos que serán utilizados como evidencia digital en una investigación”
29. Metodología y estándares HB171:2003 “Handbook guidelines for the
management of IT evidence”
Proveer una guía para la gestión de los registros electrónicos que pueden ser usados en procedimientos judiciales o administrativos o cuando se sospecha de actividad ilegal
Provee un ciclo de vida para la administración de la evidencia digital
30. La cadena de custodia Documenta el proceso completo de las
evidencias durante la vida del caso
Quien y donde se recogió la evidencia
Como se almacenó
Quien la procesó, etc.
Asegura:
Identificación
Continuidad de la posesión
Prueba de integridad
31. Peritaje de la evidencia Aceptación de la pericia
Entender y evaluar la solicitud
Determinar las habilidades requeridas
Preparación
Diagnosticar y entender el entorno (entrevistas)
Identificar sitios, respaldos
Identificar la arquitectura tecnológica (selección
de herramientas)
Preparación de formularios
Materiales para identificación y traslado
32. El primer contacto Separar a las personas de las máquinas
Notificar (testigos)
Anotar nombres
Documentar fechas y horas (de arribo, o de captura de la máquina)
Clasificar la evidencia según su grado de volatilidad
Clasificar la evidencia en orden de relevancia
Considerar la evidencia física colateral (papeles, notas, etc.)
Obtener claves (entrevistas)
Documentar hardware y software, fotografiar todo
Certificar y autenticar HW,SW y datos de la evidencia
Iniciar cadena de custodia
33. La preservación de evidencias volátiles Evidencia volátil
Se pierde al apagar la máquina (usuarios conectados, procesos en ejecución, estado de la memoria, etc.)
Información del disco (fechas de acceso a archivos, archivos temporales)
En lo posible no apagar la máquina y recoger inmediatamente la evidencia volátil sin alterar la escena
Usar el mínimo de memoria posible para no sobrescribir e instalar sobre memorias auxiliares
Aislar la máquina de la red para evitar alteraciones
Guardar la información en otro dispositivo memoria USB, CD, DVD u otro equipo seguro, etc.
Utilizar software para preservación de evidencias que autentique, certifique y proteja la evidencia
34. La preservación de evidencias persistentes Apagar sin correr secuencia de bajada
Documentar conexiones
Identificar y precintar
Utilizar material adecuado para el transporte (interferencia electromagnética, humedad)
Guardar en lugar seguro y limpio
Verificar secuencia de boot:
Software protector, virus troyanos e invasores
Utilizar software forense
Hacer el Boot con un sistema propio
Autentificar (hash)
Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia
35. Extracción e Inspección Objetivo: identificar y localizar evidencia potencial
Documentación de datos básicos
Sistema operativo, configuración de red, aplicaciones, trabajos agendados, usuarios del sistema, etc.
Extraer datos protegidos, cifrados o comprimidos
Extraer logs y trazas de auditoria
Extraer datos a nivel del sistema de archivos
Fechas, permisos, caminos, papelera de reciclaje, archivos temporales, información del autor (Office)
Extraer datos a nivel físico
Archivos borrados, búsqueda hexadecimal, tabla de particiones, espacio no asignado, espacio reservado
Descartar archivos irrelevantes (bases de hash)
36. Informe forense de la recepción y captura de evidencia Admisibilidad: relación dela evidencia con la pretensión de la prueba
Autenticidad (la evidencia debe estar relacionada con el caso y no alterada)
Confiabilidad (forma de registro comprobable), certificación de autenticidad
Suficiencia (redundancia y correlación de eventos)
Conformidad con la legislación vigente
Criterio de razonabilidad
Presentar la documentación en un leguaje
entendible para los destinatarios
37. Software forense Kits
EnCase, FTK, Helix, Sleuth Kit, Knopix STD
Herramientas
Recuperación de contraseñas
Herramientas de anti-esteganografía
Imágenes y bloqueadores de discos
Indexadores/buscadores de palabras en binario
Recuperación de archivos borrados desde
cualquier tipo de almacenamiento externo
Recuperación de datos de navegación y correo
38. PORTATILES FORENSES. Procesador Corel 2 DUO2.2 Ghz
· 4GB de memoria RAM.
· Disco Duro de 160 GB.
· Puertos FireWire USB.
· Pantalla 17” WSXGA
· Unidad combo DVD –R/RW + R/+RW CD-RW
· Incluir protectores contra escritura IDE, SATA y SCIS
· Cables y adaptadores IDE, SATA, SCSI.
· Maletín.
39. Herramientas Herramientas para redes
Captura de tráfico hasta capa de aplicación
Aplicaciones asociadas a puertos abiertos
Listados de puertos abiertos
Vista de arquitectura
Herramientas ANTIFORENSE
Borradores de disco
Herramientas de “boot”
Ocultadores de archivos
Eliminadores de evidencia (trazas de actividad en distintas
aplicaciones, limpiadores de log, etc.)
Herramientas de esteganografía
40. Algún hardware forense Password crackers
Bloqueadores de disco
Copiadores de memoria RAM
Copiadores de disco
Laptops, laboratorio móvil, computadoras madres, discos auxiliares
Bolsas y etiquetas especiales para sellado y transporte
Contenedores para transporte
41. La realidad La computación forense todavía está en
desarrollo
Falta de entrenamiento apropiado y
designación profesional, no hay cursos no hay reglas de carrera
No existe estandarización de las
herramientas
La informática forense todavía es
mas un “arte” que una “ciencia” o una ingeniería
42. Los problemas Falta de conocimiento o experiencia de los técnicos
Uso de software poco conocido o antiguo
Malas prácticas en el tratamiento de la evidencia
Falta de recursos materiales
Subestimar el alcance del incidente
Existencia de software anti-forense
Falta de objetividad
Fallas en la documentación o alteración de la cadena de custodia
Fallas en el informe
43. Recomendaciones a las instalaciones informáticas Mantener trazas de uso de aplicaciones, sistemas, red, etc.
Revisar las trazas
Aplicar principios de seguridad (equipamiento y procedimientos)
Mantener los relojes sincronizados
Capacitación
Campañas de sensibilización
Conocer el entorno y el comportamiento normal
Auditar
44. Los retos Establecer un marco regulatorio y
procedimientos para la pericia informática
Estándares de ética y privacidad
Profundizar en el conocimiento de los
aspectos legales
Formación en peritaje informático
45. Gestión de la evidencia digital
46. Metodología y estándares:Procedimiento para capturar una evidencia digital Diseño de la evidencia
Con el fin de fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologías de información, se detallan a continuación cinco objetivos que se deben considerar para el diseño de la evidencia digital:
a. Asegúrese de que se ha determinado la relevancia de los registros electrónicos, que éstos se han identificado, están disponibles y son utilizables.
b. Los registros electrónicos tienen un autor claramente identificado.
c. Los registros electrónicos cuentan con una fecha y hora de creación o alteración.
d. Los registros electrónicos cuentan con elementos que permiten validar su autenticidad.
e. Se debe verificar la confiabilidad de la producción o generación de los registros electrónicos por parte del sistema de información.
47. Metodología y estándares:Procedimiento para capturar una evidencia digital Producción de la Evidencia
Objetivos
a. que el sistema o tecnología de información produzca los registros electrónicos
b. identificar el autor de los registros electrónicos almacenados
c. identificar la fecha y hora de creación
d. verificar que la aplicación está operando correctamente en el momento de la
generación de los registros, bien sea en su creación o modificación.
e. Verificar la completitud de los registros generados
48. Metodología y estándares:Procedimiento para capturar una evidencia digital Recolección de la Evidencia
El objetivo de esta fase en el ciclo de vida de administración de la evidencia digital es localizar toda la evidencia digital y asegurar que todos los registros electrónicos originales (aquellos disponibles y asegurados en las máquinas o dispositivos) no han sido alterados. Para ello el estándar establece algunos elementos a considerar como:
a. Establecer buenas prácticas y estándares para recolección de evidencia digital
b. Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro
c. Mantener y verificar la cadena de custodia
d. Respetar y validar las regulaciones y normativas alrededor de la recolección de la evidencia digital
e. Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.
49. Metodología y estándares:Procedimiento para capturar una evidencia digital Análisis de la Evidencia
Una vez se ha recolectado la evidencia, tomado las imágenes de los datos requeridos y su debida cadena de custodia, es tiempo para iniciar el ensamble, análisis y articulación de los registros electrónicos para establecer los hechos de los eventos ocurridos en el contexto de la situación bajo análisis o establecer si hacen falta evidencias para completar o aclarar los hechos.
El análisis de la evidencia combina las tareas de investigador judicial y el perito en evidencias digitales
50. Metodología y estándares:Procedimiento para capturar una evidencia digital Reporte y Presentación
El profesional a cargo de la investigación es responsable de la precisión y completitud del reporte, sus hallazgos y resultados luego del análisis de la evidencia digital o registros electrónicos. En este sentido toda la documentación debe ser completa, precisa, comprensiva y auditable.
En este sentido las prácticas internacionales aconsejan:
a. Documentar los procedimientos efectuados por el profesional a cargo.
b. Mantener una bitácora de uso y aplicación de los procedimientos técnicos
utilizados.
c. Cumplir con exhaustivo cuidado con los procedimientos previstos para el
mantenimiento de la cadena de custodia
51. Metodología y estándares:Procedimiento para capturar una evidencia digital Determinar la relevancia de la evidencia
El estándar en esta fase establece valorar las evidencias de tal manera que se identifiquen las mejores evidencias que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo. El objetivo es que el ente que valore las pruebas aportadas observe en sus análisis y aportes los objetos de prueba más relevantes para el esclarecimiento de los hechos en discusión.
En este sentido el estándar sugiere dos criterios para tener en cuenta a saber: [STANDARDS AUSTRALIA INTERNATIONAL 2003, pág.26]
a. Valor probatorio: que establece aquel registro electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.
b. Reglas de la evidencia: que establece que se han seguido los procedimientos y reglas establecidas para la adecuada recolección y manejo de la evidencia.
52. Procedimiento practico para la Recolección de la Evidencia Recuerde que como profesional a cargo de una investigación usted debe proveer un concepto de los hechos identificados en sus análisis. Usted es un científico y como tal debe ser concreto y claro en sus afirmaciones.
Los reportes que como profesional encargado de una investigación adelante deben ser concreto, libres de jerga propia de su disciplina, pedagógicos y sobre manera, consistentes con los hechos y resultados obtenidos.
Si al preparar un reporte de un análisis de datos, considera que puede estar incompleto o no cuenta con las calificaciones y condiciones requeridas para efectuarlo, debe documentarlo en el informe o manifestar esta condición a la parte que ha solicitado sus servicios.
53. Procedimiento practico para la Recolección de la Evidencia Los profesionales que apoyan las labores en el ciclo de administración de la evidencia digital no deben contar con altos niveles de ética, sino con los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los cuales el juez toma sus decisiones.
Documéntese muy bien sobre la normatividad y regulaciones vigentes alrededor del tema de evidencias digitales en su nación de tal forma que los procedimientos se ajusten a tales disposiciones y las buenas prácticas internacionales.
54. Procedimiento practico para la Recolección de la Evidencia Manipulación de la evidencia digital
Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital.
Hacer uso de medios forenses estériles (para copias de información)
Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia.
Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.
Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles para su revisión.
Siempre que la evidencia digital este en poder de algún individuo, éste será responsable de todas la acciones tomadas con respecto a ella, mientras esté en su poder.
Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia digital, serán quienes deben garantizar el cumplimiento de los principios anteriores.
55. Procedimiento practico para la Recolección de la Evidencia Formularios y testificación
Empieza la captura
Captura de la escena integral
Colocación de
las herramientas
Lofoscopia
Prender mother
Ejecutar de acuerdo
diseño previo
imprevistos
http://www.mobile-vision.com/products/digital_systems/index.html
56. Procedimiento practico para la Recolección de la Evidencia HPA
Área protegida del host
Local
En el objeto
Longitud del copiado
Sistema Operativo
Datos parciales o totales
Manejo de ejecución
Comandos precisos, no se concibe repeticiones
Archivos de salida, disco requerido
Conexiones: USN, NIC, IEEE1384, SD
Captura de pantallas
Comandos DOS
Estructura del programa de recolección
57. La preservación de evidencias persistentes Documentar conexiones, estructuras de información, observaciones de comportamiento de las máquinas objeto y de la madre
Identificar , grabar y precintar
Utilizar material adecuado para el transporte (interferencia electromagnética, humedad)
Guardar en lugar seguro y limpio
Verificar secuencia de boot:
Software protector, virus troyanos e invasores
Autentificar y autenticar (hash)
Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia
Verificación de autenticación
58. Procedimiento practico para la Recolección de la Evidencia
59. Herramientas forenses: Encase Forensic es el estándar de la industria en el equipo de investigación forense de tecnología. Con un intuitivo GUI, superior capacidad de análisis, soporte de email/Internet y una potente maquina de scripting, EnCase provee al investigador una sencilla herramienta, capaz de ayudad en investigaciones grandes y complejas. Funcionarios encargados de hacer cumplir la ley, el gobierno y las empresas de investigadores y consultores de todo el mundo usan esta herramientas.
Investiga y analiza múltiples plataformas - Windows, Linux, AIX, OS X, Solaris y otras - usando una sola herramienta.
Ahorra días, si no semanas, de tiempo de análisis mediante la automatización de complejas tareas de rutina y con módulos pre compilados Enscript ® tales como la carga inicial del caso y el análisis de registro de sucesos.
Encuentre información a pesar de los esfuerzos para ocultar, encubrir o borrar del delincuente.
Fácil de gestionar en grandes volúmenes de la prueba, ve todos los archivos, incluido el "borrado”, archivo de holgura y espacio no asignado.
Transferencia de archivos de prueba directamente a la aplicación de la ley o representantes legales, según sea necesario.
Opciones de no fácil uso para los investigadores-, como abogados, a fin de examinar las pruebas con facilidad.
Opciones de permitir la presentación de informes rápida preparación del informe.
60. Herramientas forenses: http://www.acquisitiondata.com/forensic_toolkit.html http://www.acquisitiondata.com/index.html Buscar, organizar y Analizar el equipo de prueba AccessData's Forensic Toolkit ® (FTK Tmofrece a profesionales de la seguridad de las empresas la capacidad para llevar a cabo completa y minuciosa revisión y exámenes de equipos. FTK posee entre sus características un poderoso filtro de archivos con funcionalidad de búsqueda.. FTK con sus filtros personalizables le permiten ordenar a través de miles de archivos para encontrar rápidamente las pruebas que usted necesita.
Easy-To-Use FTK es reconocida como la principal herramienta forense para realizar análisis de e-mail.
FTK Imager TM le permite navegar rápidamente a través de imágenes
y Generar registros de auditoría y los informes de casos
Compatible con the Password recovery Toolkit TM and Distributed Network Attack ®
61. Herramientas forenses: http://www.e-fense.com/helix/ Distribución personalizada de Ubuntu para informática forense, corre en MS W2000, Ubuntu o MacOs
Helix se enfoca en Incident Response & Forensics tools.
Helix ha sido modificado muy cuidadosamente para NOT tocar la computadora objeto. No requiere computadora mother
Helix no establece espacios temporales ni hace “swap space”, o “auto mount” a cualquier dispositivo conectado.
Es muy polémico y se usa básicamente en
entrenamiento
No es jurídicamente aceptado en ningún país
62. Herramientas forenses, http://www.sleuthkit.org The Sleuth Kit (previously known as TASK) is a collection of UNIX-based command line file and volume system forensic analysis tools. The file system tools allow you to examine file systems of a suspect computer in a non-intrusive fashion. Because the tools do not rely on the operating system to process the file systems, deleted and hidden content is shown.
The volume system (media management) tools allow you to examine the layout of disks and other media. The Sleuth Kit supports DOS partitions, BSD partitions (disk labels), Mac partitions, Sun slices (Volume Table of Contents), and GPT disks. With these tools, you can identify where partitions are located and extract them so that they can be analyzed with file system analysis tools.
When performing a complete analysis of a system, we all know that command line tools can become tedious. The Autopsy Forensic Browser is a graphical interface to the tools in The Sleuth Kit, which allows you to more easily conduct an investigation. Autopsy provides case management, image integrity, keyword searching, and other automated operations.
Input Data
Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images. (Sleuth Kit Informer #11)
Supports the NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, and ISO 9660 file systems (even when the host operating system does not or has a different endian ordering).
Tools can be run on a live UNIX system during Incident Response. These tools will show files that have been "hidden" by rootkits and will not modify the A-Time of files that are viewed.
63. Herramientas forenses, http://www.sleuthkit.org/autopsy/desc.php The Autopsy Forensic Browser is a graphical interface to the command line digital investigation analysis tools in The Sleuth Kit. Together, they can analyze Windows and UNIX disks and file systems (NTFS, FAT, UFS1/2, Ext2/3).
The Sleuth Kit and Autopsy are both Open Source and run on UNIX platforms. As Autopsy is HTML-based, you can connect to the Autopsy server from any platform using an HTML browser. Autopsy provides a "File Manager"-like interface and shows details about deleted data and file system structures.
Analysis Modes
A dead analysis occurs when a dedicated analysis system is used to examine the data from a suspect system. In this case, Autopsy and The Sleuth Kit are run in a trusted environment, typically in a lab. Autopsy and TSK support raw, Expert Witness, and AFF file formats.
A live analysis occurs when the suspect system is being analyzed while it is running. In this case, Autopsy and The Sleuth Kit are run from a CD in an untrusted environment. This is frequently used during incident response while the incident is being confirmed. After it is confirmed, the system can be acquired and a dead analysis performed.
64. Herramientas forenses:http://www.knoppix-std.org/ STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Its sole purpose in life is to put as many security tools at your disposal with as slick an interface as it can.
Who
STD is meant to be used by both novice and professional security personnel but is not ideal for the Linux uninitiated. STD assumes you know the basics of Linux as most of your work will be done from the command line. If you are completely new to Linux, it's best you start with another live Distro like Knoppix to practice the basics (see faq).
STD is designed to assist network administrators and professionals alike secure their networks.
65. Herramientas forenses: 1 COMPUTADOR FORENSE PORTATIL
Forensic Air-Lite VI MK III
Soporte Garantía por 1 año
2 CURSO ENCASE® COMPUTER FORENSICS I y II 4-DAY MOBILE
3 ACCESS DATA BOOT CAMP (FTK)
4 TORRE FORENSE FORENSIC TOWER III
DUAL Intel® Xeon QUAD Core Soporte y garantía por 1 año.
5 Encase Forensic Edition+PLSP (Todos los módulos: PDE, VFS, PDE, CD-DVD,
FastBloc SE, VERSION 6 Actualización y soporte por 1 año.
6 Ultímate Forensic Write protección Kit. (Lab Version)
7 DISCO DURO 500 GB SIMPLETECH EXT USB 2.0
8 Forensic Toolkit® Soporte y garantía por 1 año.