E N D
1. Informtica forense La seguridad forense de la informacin
2. Agenda Que es Informtica Forense y para que sirve
Porque informtica forense?
Definiciones y objetivos
Incidentes de seguridad e ilcito informtico
El Manejo de incidentes en ISO27002
Peritaje informtico
Evidencia digital
Principios metodolgicos
Cadena de custodia
Procedimientos
Software y hardware forense
Conclusiones y desafos
3. Oleada de incidentes
4. Porque la informtica forense?Cuales son sus objetivos Por la aparicin delos delitos informticos a causa de la inseguridad de la informacin e Internet
Objetivos de la Informtica Forense:
La compensacin de los daos causados por los criminales o intrusos.
La persecucin y procesamiento judicial de los criminales.
La creacin y aplicacin de medidas para prevenir casos similares.
Objetivos de la Informtica Forense
La informtica forense tiene 3 objetivos, a saber:
1. La compensacin de los daos causados por los criminales o intrusos.
2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia.
En Espaa, la organizacin ms prestigiosa a este respecto es el es-CERT.
Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informtica forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En Espaa, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Ral Siles (HP), Javier Fernndez-Sanguino (Germinus) y Antonio Javier Garca Martnez (Telefnica Mviles).
Se tratan temas como :
Recuperacin de evidencias en discos
Recuperacin de contraseas
Deteccin y recuperacin de Virus, Troyanos y Spyware
Seguridad en el correo electrnico
Anlisis de Redes P2P
Procesos en el puesto de usuario
Anonimato
Investigacin de informacin
Objetivos de la Informtica Forense
La informtica forense tiene 3 objetivos, a saber:
1. La compensacin de los daos causados por los criminales o intrusos.
2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia.
En Espaa, la organizacin ms prestigiosa a este respecto es el es-CERT.
Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informtica forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En Espaa, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Ral Siles (HP), Javier Fernndez-Sanguino (Germinus) y Antonio Javier Garca Martnez (Telefnica Mviles).
Se tratan temas como :
Recuperacin de evidencias en discos
Recuperacin de contraseas
Deteccin y recuperacin de Virus, Troyanos y Spyware
Seguridad en el correo electrnico
Anlisis de Redes P2P
Procesos en el puesto de usuario
Anonimato
Investigacin de informacin
5. La ciencia forense Por definicin es la aplicacin de prcticas
cientficas dentro del proceso legal
Objetivo: determinar el valor probatorio de una escena de crimen y su evidencia relacionada
Otras derivadas:
Antropologa Forense
Odontologa forense: Dentadura
SAID.
Reseas/Lofoscopia
Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto comn es el de la materializacin de la prueba a efectos judiciales mediante una metodologa cientfica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial.
La investigacin criminalstica nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Polica Cientfica y se vuelven a encontrar actualmente en las funciones policiales del Ejrcito, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo).
La complejidad de nuevos datos ha desbordado a la criminalstica, la tendencia actual se dirige hacia una ampliacin del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Polica, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicologa del Ministerio de Justicia, las Universidades y tambin entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU pas del que recaen significativas crticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigacin cientfica, flexibilidad y libertad universitaria y profesional, quiz por ello en Europa ahora intentemos acercarnos a su sistema universitario
Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto comn es el de la materializacin de la prueba a efectos judiciales mediante una metodologa cientfica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial.
La investigacin criminalstica nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Polica Cientfica y se vuelven a encontrar actualmente en las funciones policiales del Ejrcito, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo).
La complejidad de nuevos datos ha desbordado a la criminalstica, la tendencia actual se dirige hacia una ampliacin del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Polica, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicologa del Ministerio de Justicia, las Universidades y tambin entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU pas del que recaen significativas crticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigacin cientfica, flexibilidad y libertad universitaria y profesional, quiz por ello en Europa ahora intentemos acercarnos a su sistema universitario
6. La informtica forense Definicin
Serie de tcnicas y procedimientos metodolgicos para capturar evidencia de equipamientos computacionales y dispositivos digitales que pueden presentarse como evidencia en una prueba, de forma coherente y significante
Para que?
Procesamiento judicial
Investigacin en mbito organizacional
Importancia de la Informtica Forense
Gran cantidad de incidentes reportados
Informtica Forense
Qu es la Informtica Forense?
Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matas Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes.
Importancia de la Informtica Forense
"High-tech crime is one of the most important priorities of the Department of Justice"
Con esta frase podemos ver cmo poco a poco los crmenes informticos, su prevencin, y procesamiento se vuelven cada vez ms importantes. Esto es respaldado por estudios sobre el nmero de incidentes reportados por las empresas debido a crmenes relacionados con la informtica.
Sin embargo, la importancia real de la informtica forense proviene de sus objetivos.
Informtica Forense
Qu es la Informtica Forense?
Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matas Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes.
Importancia de la Informtica Forense
"High-tech crime is one of the most important priorities of the Department of Justice"
Con esta frase podemos ver cmo poco a poco los crmenes informticos, su prevencin, y procesamiento se vuelven cada vez ms importantes. Esto es respaldado por estudios sobre el nmero de incidentes reportados por las empresas debido a crmenes relacionados con la informtica.
Sin embargo, la importancia real de la informtica forense proviene de sus objetivos.
7. Incidentes de seguridad: ISO27002-11- Controles Reporte sobre las debilidades de seguridad
Responsabilidades y procedimiento
Aprendizaje acerca de los incidentes de seguridad
Recoleccin de evidencias
Control: Cuando una accin de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin implica acciones legales (civiles o penales) la evidencia se debe recolectar retener y presentar para cumplir con las reglas para la evidencia establecida en la jurisdiccin pertinente
8. Incidentes de seguridad informtica: Acceso no autorizado
Prdida de Confidencialidad (planes de negocio, informacin personal)
Integridad (cambios de bases de datos, fraude)
Disponibilidad (denegacin de servicio, dao a los sistemas)
Uso indebido (de sistemas, de datos o en
contra de las polticas establecidas)
9. Delitos informticos Actividades ilegales que involucran el uso de un computador
Como objetivo del ilcito
Como medio para llevar a cabo el ilcito
Evidencia indirecta de otros ilcitos o litigios (juzgado de familia)
Uno restringido que tiene como aquel hecho en el que independientemente del perjuicio que puede causarse a otros bienes jurdicamente tutelados y que eventualmente puedan concurrir en forma real o ideal, se atacan elementos puramente informticos. Tales sern los casos del uso indebido del software, apropiacin indebida de datos, interferencias en sistemas de datos ajenos y en el sentido amplio, es la accin tpica, antijurdica y culpable para cuya consumacin se utiliza o se afecta a una computadora o sus accesorios .
10. Delitos informticos, situacin jurdica en Colombia En Colombia el delito informtico esta configurado y definido en forma dispersa por la Ley 599 de 2000
El art. 183 del Cdigo Penal reprime el que destruyere, inutilizare, hiciere desaparecer o de cualquier modo daare una cosa mueble total o parcialmente ajeno siempre que el hecho no constituya un delito ms grave.
Borrado o destruccin de un programa de computacin: Sin perjuicio que alguna jurisprudencia haya establecido que el borrado o destruccin de un programa de computacin no es un delito en virtud que se trata de una conducta aprehendida por los tipos penales especiales de la ley 11.723 (10) considero que dicha accin se encuadra perfectamente en el art. 183 del Cdigo Penal por los argumentos previamente expuestos.. De la misma manera se podra encuadrar el agravante del mismo ilcito cuando el dao se ejecuta en archivos y registros digitales, bibliotecas digitales tal como se provee en el inc. 5 del art. 184 del Cdigo Penal
11. Delitos informticos, situacin jurdica en Colombia ACTUALIDAD LEGAL Y JURISPRUDENCIA EN MATERIA DEDERECHO INFORMATICO EN COLOMBIA Decreto 1748 de 1995 Resolucin 3316 del 3 de junio de 1997 Ley 222 de 1995 Circular externa 35 de 1997 Ley 383 de julio 10 de 1997 Decreto 1105 de 1992 Ley 98 de 1993 Ley 383 de 1997 Ley 365 de 1997 Decreto 2150 de 1995 Ley 422 de 1998 Circulares de la superintendencia de Notario y Registro La ley 446 de julio 7 de 1998 Ley 527 de 199 Ley 599 de 200 Actual Cdigo Penal Colombiano Decreto 1747 de 2000 Corte Constitucional Sentencia 8 de junio de 2000
12. Delitos informticos en el mundo: Chile En Chile est vigente la Ley 19.223 del 28 de Mayo de 1993, en donde se introdujeron como conductas punibles: el Sabotaje Informtico a los sistemas de tratamiento de informacin, comprendiendo los verbos rectores de impedir, modificar, destruir, inutilizar y obstaculizar el funcionamiento de un sistema de tratamiento de la informacin; el Espionaje Informtico que comprende: la interferencia, la interceptacin indebida, la alteracin, destruccin, el apoderamiento, la revelacin y difusin de datos y el acceso indebido a un sistema de tratamiento de la informacin electrnica
13. Delitos informticos en el mundo: Alemania Segunda Ley contra la Criminalidad Econmica, vigente desde el primero de Agosto de (1986) mil novecientos ochenta y seis, se adopt entre otros delitos informticos el Espionaje de Datos, la Estafa Informtica, la Falsificacin de Datos Probatorios (implicando las modificaciones complementarias del resto de falsedades documentales como el engao en el trfico jurdico mediante la elaboracin de datos, falsedad ideolgica y uso de documentos falsos); tambin contempla la Alteracin de Datos Sensibles (cancelar, inutilizar o alterar, inclusive la tentativa es punible en ese pas), el Sabotaje Informtico (destruccin, deterioro, inutilizacin, eliminacin o alteracin de un sistema de datos).
14. Delitos informticos en el mundo: Francia existe la Ley 88/19 del 5 de 1988, sobre el fraude informtico, contemplando las siguientes conductas punibles: el Acceso Fraudulento (Se sanciona tanto el acceso al sistema como al que se mantenga en l y aumenta la sancin si de ese acceso resulta la supresin o modificacin de los datos contenidos en el sistema o resulta la alteracin del funcionamiento del sistema), Destruccin de Datos (Se sanciona a quien introduzca datos en un sistema de tratamiento automtico de datos, suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisin) Falsificacin de Documentos Informatizados (Se sanciona a quien de cualquier modo falsifique los documentos informatizados con intencin de causar un perjuicio a otro).
15. Delitos informticos en el mundo: Austria Aparecen tipificadas como conductas punibles (Cdigo Penal reformado el 22 de Diciembre de 1987), la Destruccin de Datos (datos sensibles y programas de computacin) y la Estafa Informtica (A travs del desarrollo de programas, introduccin, cancelacin o alteracin de datos o por actuacin sobre procesamiento de datos, siendo agravante quien lo consuma en ejercicio de su profesin).
16. Situacin colombiana: Delitos Robo de contraseas bancarias en cafs Internet mediante Keyloggers
Violacin de correos electrnicos
Contraseas, impostacin y destruccin
Robo de informacin electrnica de bases de datos estatales y privadas
Suplantacin de identidad mediante pginas falsas (Bancarias)
Robo de contraseas para acceder a ATMs
Falsificacin de cheques
Robos en transacciones bancarias
Intercepcin telefnica
Falsificacin electrnica de documentos
17. Situacin colombiana Bogot D.C., 05 de diciembre de 2007
Doctor
OSCAR ARBOLEDA PALACIO
Presidente
H. Cmara de Representantes
Ciudad
REF: ponencia para segundo debate de los Proyectos de Ley 042 de 2.007 Cmara y 123 de 2.007 Cmara, acumulados
Respetado Seor Presidente,
En cumplimiento de la Ley 5 de 1.992, y por su amable designacin, nos permitimos rendir ponencia para segundo debate en la Plenaria de la H. Cmara de Representantes de los Proyectos de Ley 042 de 2.007 Cmara y 123 de 2.007 Cmara acumulados, por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado denominado De la Proteccin de la Informacin y de los Datos y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones.
OBJETIVO DEL PROYECTO
La propuesta legislativa acumulada va dirigida no slo a regular los diversos atentados que se cometen contra la confidencialidad, la integridad y la disponibilidad de los sistemas informticos, de las redes y de los datos, sino los que comportan el uso fraudulento de los mismos. Se trata, en otras palabras, de que el ordenamiento penal colombiano se sume a las polticas penales globalizadas en materia del combate frontal contra la llamada criminalidad del ciberespacio y le brinde herramientas a la comunidad internacional para la persecucin de estos flagelos; al mismo tiempo, se busca brindar una adecuada tutela jurdica a un bien jurdico de tanta trascendencia en el mundo de hoy como lo es el atinente a la Proteccin de la Informacin y de los Datos.
18. Situacin colombiana Fallo de la Corte Suprema de Colombia sobre descarga de msica en internet
por Carlos A. Carnevale
Corte Suprema de Colombia, sala de casacin penal, sentencia del 30 de abril de 2008.
Este fallo adquiri gran repercusin en muchos portales de Internet y varios medios periodsticos del mundo. El motivo de ello fue la postura que dej sentada la Corte Suprema de Colombia respecto de la descarga de msica por Internet, ms all del conflicto puntual que fuera planteado en el recurso.
As, el mximo tribunal sostuvo que si en la Internet circulan millones de canciones, no puede concentrarse en el derecho penal la funcin de perseguir a los usuarios que, aprovechando tal circunstancia, descargan la msica que se coloca a su alcance, pues en estos casos como en todos aquellos en los que la persona obra sin nimo de lucro y sin el propsito de ocasionar perjuicio a la obra o a los intereses econmicos del titular de los derechos, resulta imposible afirmar la existencia de una conducta punible, toda vez que no se lesiona o pone efectivamente en peligro el bien jurdico tutelado por la ley.
De este argumento se desprende que la Corte Suprema de Colombia entiende que deben acreditarse dos elementos fundamentales para que se configure el delito: el nimo de lucro y la intencin de ocasionar un perjuicio. En ese sentido, sostuvo que las conductas que le fueran imputadas al procesado y por las que fuera condenado en la instancia inferior -duplicacin de discos compactos y uso de software sin las respectivas licencias- resultan atpicas cuando no existe intencin de lucrar con ello ni propsito de ocasionar un perjuicio a los dueos de dichas obras.
19. La prueba forense Concepto de prueba
Para el derecho la prueba es el conjunto de reglas que preparan la admisibilidad, la produccin, la carga y la fuerza probatoria de los diferentes medios de prueba que pueden utilizarse para da al Juez la conviccin sobre los hechos concernientes al proceso
La actividad probatoria puede desarrollarse dentro del proceso o antes, refirindose entonces a la prueba pre constituida o adelantada.
Medios probatorios
Son los modos en que se materializa la actividad probatoria
Entre los distintos medios probatorios est la prueba pericial
20. La prueba pericial Prueba pericial
Se realiza cuando haya necesidad o conveniencia de que determinados hechos o circunstancias sean estudiados desde la perspectiva de un conocimiento especfico.
Actividad desarrollada por terceros ajenos al proceso que tiene como fin emitir una declaracin valorativa de ciertos hechos para ayudar a crear el convencimiento judicial
La prueba pericial puede ser usada tanto en procesos civiles como en procesos penales
21. Peritaje informtico Investigacin orientada a la obtencin de una prueba de aplicacin en un asunto judicial para que sirva a un Juez
La disciplina combina tcnicas cientficas y
elementos legales para
Extraer
Preservar
Analizar
Presentar
22. La evidencia digital Metodologa y procedimientos
Recursos humanos
Habilidad y capacitacin de los tcnicos
Credibilidad y confianza (Cdigos de tica
profesional)
Entrenamiento en la metodologa
Situacin actual: distintos grados de madurez en la formalizacin del tratamiento de la evidencia digital
23. La evidencia digital Es un trmino utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal.
Categoras
1. Registros almacenados en el equipo de tecnologa informtica.
2. Registros generados por los equipos de tecnologa informtica
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica
La evidencia digital, es un trmino utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categoras:
1. Registros almacenados en el equipo de tecnologa informtica.
2. Registros generados por los equipos de tecnologa informtica
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica.
La evidencia digital es la materia prima para los investigadores donde la tecnologa informtica es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafo para aquellos que la identifican y analizan en la bsqueda de la verdad:
Es voltil, es annima, es duplicable, es alterable, es eliminable. Estas caractersticas nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informtica forense, tanto en procedimientos, como en tcnicas.
La evidencia digital, es un trmino utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categoras:
1. Registros almacenados en el equipo de tecnologa informtica.
2. Registros generados por los equipos de tecnologa informtica
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica.
La evidencia digital es la materia prima para los investigadores donde la tecnologa informtica es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafo para aquellos que la identifican y analizan en la bsqueda de la verdad:
Es voltil, es annima, es duplicable, es alterable, es eliminable. Estas caractersticas nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informtica forense, tanto en procedimientos, como en tcnicas.
24. La evidencia digital Informacin almacenada o trasmitida en forma digital que puede ser utilizada como prueba
Caractersticas crticas
Frgil
Voltil
Ventajas
Repetible
Recuperable
25. La evidencia digital y sus problemas y limitaciones Falta de cuidado en la conservacin de los
equipos
Alteracin de la evidencia por falta de
proteccin
Se llega tarde a levantar la evidencia (se
pierden registros o se sobrescriben)
Falta de recursos humanos y materiales
adecuados
26. Metodologa y estndares El perito debe ser objetivo y observar los
cdigos de tica profesional
Conservar la autenticidad e integridad de la evidencia
Obtener la evidencia sin corrupcin
Minimizar el trabajo sobre la evidencia original
Documentar cualquier cambio en la evidencia
(cadena de custodia)
Autenticar la evidencia
27. Metodologa y estndares Buenas prcticas en gestin de tecnologa:
ISO 17799:2005 13.2.3 Recoleccin de
evidencias
Reglas para las evidencias
Validez, admisibilidad de la evidencia
Calidad y completitud de la evidencia
Cuando se detecte un incidente, al principio no es obvio que se convierta en una posible actuacin (evidencia) ante el juzgado. Sin embargo, existe el peligro de que las pruebas se destruyan accidentalmente antes de que se confirme la seriedad del incidente
28. Metodologa y estndares Dentro de las Auditorias Internas se est
definiendo formalmente el proceso de
Auditoria Forense:
Realizar auditoria forense, asegurando la
adecuada identificacin, recoleccin, preservacin y manipulacin de elementos informticos que sern utilizados como evidencia digital en una investigacin
29. Metodologa y estndares HB171:2003 Handbook guidelines for the
management of IT evidence
Proveer una gua para la gestin de los registros electrnicos que pueden ser usados en procedimientos judiciales o administrativos o cuando se sospecha de actividad ilegal
Provee un ciclo de vida para la administracin de la evidencia digital
30. La cadena de custodia Documenta el proceso completo de las
evidencias durante la vida del caso
Quien y donde se recogi la evidencia
Como se almacen
Quien la proces, etc.
Asegura:
Identificacin
Continuidad de la posesin
Prueba de integridad
31. Peritaje de la evidencia Aceptacin de la pericia
Entender y evaluar la solicitud
Determinar las habilidades requeridas
Preparacin
Diagnosticar y entender el entorno (entrevistas)
Identificar sitios, respaldos
Identificar la arquitectura tecnolgica (seleccin
de herramientas)
Preparacin de formularios
Materiales para identificacin y traslado
32. El primer contacto Separar a las personas de las mquinas
Notificar (testigos)
Anotar nombres
Documentar fechas y horas (de arribo, o de captura de la mquina)
Clasificar la evidencia segn su grado de volatilidad
Clasificar la evidencia en orden de relevancia
Considerar la evidencia fsica colateral (papeles, notas, etc.)
Obtener claves (entrevistas)
Documentar hardware y software, fotografiar todo
Certificar y autenticar HW,SW y datos de la evidencia
Iniciar cadena de custodia
33. La preservacin de evidencias voltiles Evidencia voltil
Se pierde al apagar la mquina (usuarios conectados, procesos en ejecucin, estado de la memoria, etc.)
Informacin del disco (fechas de acceso a archivos, archivos temporales)
En lo posible no apagar la mquina y recoger inmediatamente la evidencia voltil sin alterar la escena
Usar el mnimo de memoria posible para no sobrescribir e instalar sobre memorias auxiliares
Aislar la mquina de la red para evitar alteraciones
Guardar la informacin en otro dispositivo memoria USB, CD, DVD u otro equipo seguro, etc.
Utilizar software para preservacin de evidencias que autentique, certifique y proteja la evidencia
34. La preservacin de evidencias persistentes Apagar sin correr secuencia de bajada
Documentar conexiones
Identificar y precintar
Utilizar material adecuado para el transporte (interferencia electromagntica, humedad)
Guardar en lugar seguro y limpio
Verificar secuencia de boot:
Software protector, virus troyanos e invasores
Utilizar software forense
Hacer el Boot con un sistema propio
Autentificar (hash)
Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia
35. Extraccin e Inspeccin Objetivo: identificar y localizar evidencia potencial
Documentacin de datos bsicos
Sistema operativo, configuracin de red, aplicaciones, trabajos agendados, usuarios del sistema, etc.
Extraer datos protegidos, cifrados o comprimidos
Extraer logs y trazas de auditoria
Extraer datos a nivel del sistema de archivos
Fechas, permisos, caminos, papelera de reciclaje, archivos temporales, informacin del autor (Office)
Extraer datos a nivel fsico
Archivos borrados, bsqueda hexadecimal, tabla de particiones, espacio no asignado, espacio reservado
Descartar archivos irrelevantes (bases de hash)
36. Informe forense de la recepcin y captura de evidencia Admisibilidad: relacin dela evidencia con la pretensin de la prueba
Autenticidad (la evidencia debe estar relacionada con el caso y no alterada)
Confiabilidad (forma de registro comprobable), certificacin de autenticidad
Suficiencia (redundancia y correlacin de eventos)
Conformidad con la legislacin vigente
Criterio de razonabilidad
Presentar la documentacin en un leguaje
entendible para los destinatarios
37. Software forense Kits
EnCase, FTK, Helix, Sleuth Kit, Knopix STD
Herramientas
Recuperacin de contraseas
Herramientas de anti-esteganografa
Imgenes y bloqueadores de discos
Indexadores/buscadores de palabras en binario
Recuperacin de archivos borrados desde
cualquier tipo de almacenamiento externo
Recuperacin de datos de navegacin y correo
38. PORTATILES FORENSES. Procesador Corel 2 DUO2.2 Ghz
4GB de memoria RAM.
Disco Duro de 160 GB.
Puertos FireWire USB.
Pantalla 17 WSXGA
Unidad combo DVD R/RW + R/+RW CD-RW
Incluir protectores contra escritura IDE, SATA y SCIS
Cables y adaptadores IDE, SATA, SCSI.
Maletn.
39. Herramientas Herramientas para redes
Captura de trfico hasta capa de aplicacin
Aplicaciones asociadas a puertos abiertos
Listados de puertos abiertos
Vista de arquitectura
Herramientas ANTIFORENSE
Borradores de disco
Herramientas de boot
Ocultadores de archivos
Eliminadores de evidencia (trazas de actividad en distintas
aplicaciones, limpiadores de log, etc.)
Herramientas de esteganografa
40. Algn hardware forense Password crackers
Bloqueadores de disco
Copiadores de memoria RAM
Copiadores de disco
Laptops, laboratorio mvil, computadoras madres, discos auxiliares
Bolsas y etiquetas especiales para sellado y transporte
Contenedores para transporte
41. La realidad La computacin forense todava est en
desarrollo
Falta de entrenamiento apropiado y
designacin profesional, no hay cursos no hay reglas de carrera
No existe estandarizacin de las
herramientas
La informtica forense todava es
mas un arte que una ciencia o una ingeniera
42. Los problemas Falta de conocimiento o experiencia de los tcnicos
Uso de software poco conocido o antiguo
Malas prcticas en el tratamiento de la evidencia
Falta de recursos materiales
Subestimar el alcance del incidente
Existencia de software anti-forense
Falta de objetividad
Fallas en la documentacin o alteracin de la cadena de custodia
Fallas en el informe
43. Recomendaciones a las instalaciones informticas Mantener trazas de uso de aplicaciones, sistemas, red, etc.
Revisar las trazas
Aplicar principios de seguridad (equipamiento y procedimientos)
Mantener los relojes sincronizados
Capacitacin
Campaas de sensibilizacin
Conocer el entorno y el comportamiento normal
Auditar
44. Los retos Establecer un marco regulatorio y
procedimientos para la pericia informtica
Estndares de tica y privacidad
Profundizar en el conocimiento de los
aspectos legales
Formacin en peritaje informtico
45. Gestin de la evidencia digital
46. Metodologa y estndares:Procedimiento para capturar una evidencia digital Diseo de la evidencia
Con el fin de fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologas de informacin, se detallan a continuacin cinco objetivos que se deben considerar para el diseo de la evidencia digital:
a. Asegrese de que se ha determinado la relevancia de los registros electrnicos, que stos se han identificado, estn disponibles y son utilizables.
b. Los registros electrnicos tienen un autor claramente identificado.
c. Los registros electrnicos cuentan con una fecha y hora de creacin o alteracin.
d. Los registros electrnicos cuentan con elementos que permiten validar su autenticidad.
e. Se debe verificar la confiabilidad de la produccin o generacin de los registros electrnicos por parte del sistema de informacin.
47. Metodologa y estndares:Procedimiento para capturar una evidencia digital Produccin de la Evidencia
Objetivos
a. que el sistema o tecnologa de informacin produzca los registros electrnicos
b. identificar el autor de los registros electrnicos almacenados
c. identificar la fecha y hora de creacin
d. verificar que la aplicacin est operando correctamente en el momento de la
generacin de los registros, bien sea en su creacin o modificacin.
e. Verificar la completitud de los registros generados
48. Metodologa y estndares:Procedimiento para capturar una evidencia digital Recoleccin de la Evidencia
El objetivo de esta fase en el ciclo de vida de administracin de la evidencia digital es localizar toda la evidencia digital y asegurar que todos los registros electrnicos originales (aquellos disponibles y asegurados en las mquinas o dispositivos) no han sido alterados. Para ello el estndar establece algunos elementos a considerar como:
a. Establecer buenas prcticas y estndares para recoleccin de evidencia digital
b. Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro
c. Mantener y verificar la cadena de custodia
d. Respetar y validar las regulaciones y normativas alrededor de la recoleccin de la evidencia digital
e. Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.
49. Metodologa y estndares:Procedimiento para capturar una evidencia digital Anlisis de la Evidencia
Una vez se ha recolectado la evidencia, tomado las imgenes de los datos requeridos y su debida cadena de custodia, es tiempo para iniciar el ensamble, anlisis y articulacin de los registros electrnicos para establecer los hechos de los eventos ocurridos en el contexto de la situacin bajo anlisis o establecer si hacen falta evidencias para completar o aclarar los hechos.
El anlisis de la evidencia combina las tareas de investigador judicial y el perito en evidencias digitales
50. Metodologa y estndares:Procedimiento para capturar una evidencia digital Reporte y Presentacin
El profesional a cargo de la investigacin es responsable de la precisin y completitud del reporte, sus hallazgos y resultados luego del anlisis de la evidencia digital o registros electrnicos. En este sentido toda la documentacin debe ser completa, precisa, comprensiva y auditable.
En este sentido las prcticas internacionales aconsejan:
a. Documentar los procedimientos efectuados por el profesional a cargo.
b. Mantener una bitcora de uso y aplicacin de los procedimientos tcnicos
utilizados.
c. Cumplir con exhaustivo cuidado con los procedimientos previstos para el
mantenimiento de la cadena de custodia
51. Metodologa y estndares:Procedimiento para capturar una evidencia digital Determinar la relevancia de la evidencia
El estndar en esta fase establece valorar las evidencias de tal manera que se identifiquen las mejores evidencias que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo. El objetivo es que el ente que valore las pruebas aportadas observe en sus anlisis y aportes los objetos de prueba ms relevantes para el esclarecimiento de los hechos en discusin.
En este sentido el estndar sugiere dos criterios para tener en cuenta a saber: [STANDARDS AUSTRALIA INTERNATIONAL 2003, pg.26]
a. Valor probatorio: que establece aquel registro electrnico que tenga signo distintivo de autora, autenticidad y que sea fruto de la correcta operacin y confiabilidad del sistema.
b. Reglas de la evidencia: que establece que se han seguido los procedimientos y reglas establecidas para la adecuada recoleccin y manejo de la evidencia.
52. Procedimiento practico para la Recoleccin de la Evidencia Recuerde que como profesional a cargo de una investigacin usted debe proveer un concepto de los hechos identificados en sus anlisis. Usted es un cientfico y como tal debe ser concreto y claro en sus afirmaciones.
Los reportes que como profesional encargado de una investigacin adelante deben ser concreto, libres de jerga propia de su disciplina, pedaggicos y sobre manera, consistentes con los hechos y resultados obtenidos.
Si al preparar un reporte de un anlisis de datos, considera que puede estar incompleto o no cuenta con las calificaciones y condiciones requeridas para efectuarlo, debe documentarlo en el informe o manifestar esta condicin a la parte que ha solicitado sus servicios.
53. Procedimiento practico para la Recoleccin de la Evidencia Los profesionales que apoyan las labores en el ciclo de administracin de la evidencia digital no deben contar con altos niveles de tica, sino con los ms altos estndares y niveles de tica, pues en ellos recaen los conceptos sobre los cuales el juez toma sus decisiones.
Documntese muy bien sobre la normatividad y regulaciones vigentes alrededor del tema de evidencias digitales en su nacin de tal forma que los procedimientos se ajusten a tales disposiciones y las buenas prcticas internacionales.
54. Procedimiento practico para la Recoleccin de la Evidencia Manipulacin de la evidencia digital
Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulacin de la evidencia digital.
Hacer uso de medios forenses estriles (para copias de informacin)
Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia.
Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.
Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigacin, deben estar disponibles para su revisin.
Siempre que la evidencia digital este en poder de algn individuo, ste ser responsable de todas la acciones tomadas con respecto a ella, mientras est en su poder.
Las agencias responsables de llevar el proceso de recoleccin y anlisis de la evidencia digital, sern quienes deben garantizar el cumplimiento de los principios anteriores.
55. Procedimiento practico para la Recoleccin de la Evidencia Formularios y testificacin
Empieza la captura
Captura de la escena integral
Colocacin de
las herramientas
Lofoscopia
Prender mother
Ejecutar de acuerdo
diseo previo
imprevistos
http://www.mobile-vision.com/products/digital_systems/index.html
56. Procedimiento practico para la Recoleccin de la Evidencia HPA
rea protegida del host
Local
En el objeto
Longitud del copiado
Sistema Operativo
Datos parciales o totales
Manejo de ejecucin
Comandos precisos, no se concibe repeticiones
Archivos de salida, disco requerido
Conexiones: USN, NIC, IEEE1384, SD
Captura de pantallas
Comandos DOS
Estructura del programa de recoleccin
57. La preservacin de evidencias persistentes Documentar conexiones, estructuras de informacin, observaciones de comportamiento de las mquinas objeto y de la madre
Identificar , grabar y precintar
Utilizar material adecuado para el transporte (interferencia electromagntica, humedad)
Guardar en lugar seguro y limpio
Verificar secuencia de boot:
Software protector, virus troyanos e invasores
Autentificar y autenticar (hash)
Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia
Verificacin de autenticacin
58. Procedimiento practico para la Recoleccin de la Evidencia
59. Herramientas forenses: Encase Forensic es el estndar de la industria en el equipo de investigacin forense de tecnologa. Con un intuitivo GUI, superior capacidad de anlisis, soporte de email/Internet y una potente maquina de scripting, EnCase provee al investigador una sencilla herramienta, capaz de ayudad en investigaciones grandes y complejas. Funcionarios encargados de hacer cumplir la ley, el gobierno y las empresas de investigadores y consultores de todo el mundo usan esta herramientas.
Investiga y analiza mltiples plataformas - Windows, Linux, AIX, OS X, Solaris y otras - usando una sola herramienta.
Ahorra das, si no semanas, de tiempo de anlisis mediante la automatizacin de complejas tareas de rutina y con mdulos pre compilados Enscript tales como la carga inicial del caso y el anlisis de registro de sucesos.
Encuentre informacin a pesar de los esfuerzos para ocultar, encubrir o borrar del delincuente.
Fcil de gestionar en grandes volmenes de la prueba, ve todos los archivos, incluido el "borrado, archivo de holgura y espacio no asignado.
Transferencia de archivos de prueba directamente a la aplicacin de la ley o representantes legales, segn sea necesario.
Opciones de no fcil uso para los investigadores-, como abogados, a fin de examinar las pruebas con facilidad.
Opciones de permitir la presentacin de informes rpida preparacin del informe.
60. Herramientas forenses: http://www.acquisitiondata.com/forensic_toolkit.html http://www.acquisitiondata.com/index.html Buscar, organizar y Analizar el equipo de prueba AccessData's Forensic Toolkit (FTK Tmofrece a profesionales de la seguridad de las empresas la capacidad para llevar a cabo completa y minuciosa revisin y exmenes de equipos. FTK posee entre sus caractersticas un poderoso filtro de archivos con funcionalidad de bsqueda.. FTK con sus filtros personalizables le permiten ordenar a travs de miles de archivos para encontrar rpidamente las pruebas que usted necesita.
Easy-To-Use FTK es reconocida como la principal herramienta forense para realizar anlisis de e-mail.
FTK Imager TM le permite navegar rpidamente a travs de imgenes
y Generar registros de auditora y los informes de casos
Compatible con the Password recovery Toolkit TM and Distributed Network Attack
61. Herramientas forenses: http://www.e-fense.com/helix/ Distribucin personalizada de Ubuntu para informtica forense, corre en MS W2000, Ubuntu o MacOs
Helix se enfoca en Incident Response & Forensics tools.
Helix ha sido modificado muy cuidadosamente para NOT tocar la computadora objeto. No requiere computadora mother
Helix no establece espacios temporales ni hace swap space, o auto mount a cualquier dispositivo conectado.
Es muy polmico y se usa bsicamente en
entrenamiento
No es jurdicamente aceptado en ningn pas
62. Herramientas forenses, http://www.sleuthkit.org The Sleuth Kit (previously known as TASK) is a collection of UNIX-based command line file and volume system forensic analysis tools. The file system tools allow you to examine file systems of a suspect computer in a non-intrusive fashion. Because the tools do not rely on the operating system to process the file systems, deleted and hidden content is shown.
The volume system (media management) tools allow you to examine the layout of disks and other media. The Sleuth Kit supports DOS partitions, BSD partitions (disk labels), Mac partitions, Sun slices (Volume Table of Contents), and GPT disks. With these tools, you can identify where partitions are located and extract them so that they can be analyzed with file system analysis tools.
When performing a complete analysis of a system, we all know that command line tools can become tedious. The Autopsy Forensic Browser is a graphical interface to the tools in The Sleuth Kit, which allows you to more easily conduct an investigation. Autopsy provides case management, image integrity, keyword searching, and other automated operations.
Input Data
Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images. (Sleuth Kit Informer #11)
Supports the NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, and ISO 9660 file systems (even when the host operating system does not or has a different endian ordering).
Tools can be run on a live UNIX system during Incident Response. These tools will show files that have been "hidden" by rootkits and will not modify the A-Time of files that are viewed.
63. Herramientas forenses, http://www.sleuthkit.org/autopsy/desc.php The Autopsy Forensic Browser is a graphical interface to the command line digital investigation analysis tools in The Sleuth Kit. Together, they can analyze Windows and UNIX disks and file systems (NTFS, FAT, UFS1/2, Ext2/3).
The Sleuth Kit and Autopsy are both Open Source and run on UNIX platforms. As Autopsy is HTML-based, you can connect to the Autopsy server from any platform using an HTML browser. Autopsy provides a "File Manager"-like interface and shows details about deleted data and file system structures.
Analysis Modes
A dead analysis occurs when a dedicated analysis system is used to examine the data from a suspect system. In this case, Autopsy and The Sleuth Kit are run in a trusted environment, typically in a lab. Autopsy and TSK support raw, Expert Witness, and AFF file formats.
A live analysis occurs when the suspect system is being analyzed while it is running. In this case, Autopsy and The Sleuth Kit are run from a CD in an untrusted environment. This is frequently used during incident response while the incident is being confirmed. After it is confirmed, the system can be acquired and a dead analysis performed.
64. Herramientas forenses:http://www.knoppix-std.org/ STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Its sole purpose in life is to put as many security tools at your disposal with as slick an interface as it can.
Who
STD is meant to be used by both novice and professional security personnel but is not ideal for the Linux uninitiated. STD assumes you know the basics of Linux as most of your work will be done from the command line. If you are completely new to Linux, it's best you start with another live Distro like Knoppix to practice the basics (see faq).
STD is designed to assist network administrators and professionals alike secure their networks.
65. Herramientas forenses: 1 COMPUTADOR FORENSE PORTATIL
Forensic Air-Lite VI MK III
Soporte Garanta por 1 ao
2 CURSO ENCASE COMPUTER FORENSICS I y II 4-DAY MOBILE
3 ACCESS DATA BOOT CAMP (FTK)
4 TORRE FORENSE FORENSIC TOWER III
DUAL Intel Xeon QUAD Core Soporte y garanta por 1 ao.
5 Encase Forensic Edition+PLSP (Todos los mdulos: PDE, VFS, PDE, CD-DVD,
FastBloc SE, VERSION 6 Actualizacin y soporte por 1 ao.
6 Ultmate Forensic Write proteccin Kit. (Lab Version)
7 DISCO DURO 500 GB SIMPLETECH EXT USB 2.0
8 Forensic Toolkit Soporte y garanta por 1 ao.