Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
Inform tica forense PowerPoint Presentation
Download Presentation
Inform tica forense

Inform tica forense

642 Vues Download Presentation
Télécharger la présentation

Inform tica forense

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

    1. Informtica forense La seguridad forense de la informacin

    2. Agenda Que es Informtica Forense y para que sirve Porque informtica forense? Definiciones y objetivos Incidentes de seguridad e ilcito informtico El Manejo de incidentes en ISO27002 Peritaje informtico Evidencia digital Principios metodolgicos Cadena de custodia Procedimientos Software y hardware forense Conclusiones y desafos

    3. Oleada de incidentes

    4. Porque la informtica forense? Cuales son sus objetivos Por la aparicin delos delitos informticos a causa de la inseguridad de la informacin e Internet Objetivos de la Informtica Forense: La compensacin de los daos causados por los criminales o intrusos. La persecucin y procesamiento judicial de los criminales. La creacin y aplicacin de medidas para prevenir casos similares. Objetivos de la Informtica Forense La informtica forense tiene 3 objetivos, a saber: 1. La compensacin de los daos causados por los criminales o intrusos. 2. La persecucin y procesamiento judicial de los criminales. 3. La creacin y aplicacin de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia. En Espaa, la organizacin ms prestigiosa a este respecto es el es-CERT. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informtica forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En Espaa, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Ral Siles (HP), Javier Fernndez-Sanguino (Germinus) y Antonio Javier Garca Martnez (Telefnica Mviles). Se tratan temas como : Recuperacin de evidencias en discos Recuperacin de contraseas Deteccin y recuperacin de Virus, Troyanos y Spyware Seguridad en el correo electrnico Anlisis de Redes P2P Procesos en el puesto de usuario Anonimato Investigacin de informacin Objetivos de la Informtica Forense La informtica forense tiene 3 objetivos, a saber: 1. La compensacin de los daos causados por los criminales o intrusos. 2. La persecucin y procesamiento judicial de los criminales. 3. La creacin y aplicacin de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia. En Espaa, la organizacin ms prestigiosa a este respecto es el es-CERT. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informtica forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En Espaa, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Ral Siles (HP), Javier Fernndez-Sanguino (Germinus) y Antonio Javier Garca Martnez (Telefnica Mviles). Se tratan temas como : Recuperacin de evidencias en discos Recuperacin de contraseas Deteccin y recuperacin de Virus, Troyanos y Spyware Seguridad en el correo electrnico Anlisis de Redes P2P Procesos en el puesto de usuario Anonimato Investigacin de informacin

    5. La ciencia forense Por definicin es la aplicacin de prcticas cientficas dentro del proceso legal Objetivo: determinar el valor probatorio de una escena de crimen y su evidencia relacionada Otras derivadas: Antropologa Forense Odontologa forense: Dentadura SAID. Reseas/Lofoscopia Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto comn es el de la materializacin de la prueba a efectos judiciales mediante una metodologa cientfica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial. La investigacin criminalstica nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Polica Cientfica y se vuelven a encontrar actualmente en las funciones policiales del Ejrcito, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo). La complejidad de nuevos datos ha desbordado a la criminalstica, la tendencia actual se dirige hacia una ampliacin del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Polica, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicologa del Ministerio de Justicia, las Universidades y tambin entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU pas del que recaen significativas crticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigacin cientfica, flexibilidad y libertad universitaria y profesional, quiz por ello en Europa ahora intentemos acercarnos a su sistema universitario Las ciencias forenses las definimos como el conjunto de disciplinas cuyo objeto comn es el de la materializacin de la prueba a efectos judiciales mediante una metodologa cientfica. Cualquier ciencia se convierte en forense en el momento que sirve al procedimiento judicial. La investigacin criminalstica nace dentro de la Inteligencia, efectivamente, los descubrimientos surgidos dentro los servicios secretos sobre cada especialidad forense, se desarrollan posteriormente en los Gabinetes de Polica Cientfica y se vuelven a encontrar actualmente en las funciones policiales del Ejrcito, las MOOTW (otras operaciones militares) y especialmente en las SASO (operaciones de estabilidad y apoyo). La complejidad de nuevos datos ha desbordado a la criminalstica, la tendencia actual se dirige hacia una ampliacin del campo interdisciplinar por lo que continuamente se van integrando nuevas especialidades y tampoco es un campo judicialmente atribuido en exclusividad a la Polica, sino que precisamente por la complejidad creciente intervienen los Institutos de Medicina Legal, los de Toxicologa del Ministerio de Justicia, las Universidades y tambin entidades privadas, donde el Criminalista va ganando terreno precisamente por ser ya una figura consolidada en EEUU pas del que recaen significativas crticas en determinadas cuestiones, pero del que hay que reconocer que es vanguardista en investigacin cientfica, flexibilidad y libertad universitaria y profesional, quiz por ello en Europa ahora intentemos acercarnos a su sistema universitario

    6. La informtica forense Definicin Serie de tcnicas y procedimientos metodolgicos para capturar evidencia de equipamientos computacionales y dispositivos digitales que pueden presentarse como evidencia en una prueba, de forma coherente y significante Para que? Procesamiento judicial Investigacin en mbito organizacional Importancia de la Informtica Forense Gran cantidad de incidentes reportados Informtica Forense Qu es la Informtica Forense? Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matas Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. Importancia de la Informtica Forense "High-tech crime is one of the most important priorities of the Department of Justice" Con esta frase podemos ver cmo poco a poco los crmenes informticos, su prevencin, y procesamiento se vuelven cada vez ms importantes. Esto es respaldado por estudios sobre el nmero de incidentes reportados por las empresas debido a crmenes relacionados con la informtica. Sin embargo, la importancia real de la informtica forense proviene de sus objetivos. Informtica Forense Qu es la Informtica Forense? Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matas Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. Importancia de la Informtica Forense "High-tech crime is one of the most important priorities of the Department of Justice" Con esta frase podemos ver cmo poco a poco los crmenes informticos, su prevencin, y procesamiento se vuelven cada vez ms importantes. Esto es respaldado por estudios sobre el nmero de incidentes reportados por las empresas debido a crmenes relacionados con la informtica. Sin embargo, la importancia real de la informtica forense proviene de sus objetivos.

    7. Incidentes de seguridad: ISO27002-11- Controles Reporte sobre las debilidades de seguridad Responsabilidades y procedimiento Aprendizaje acerca de los incidentes de seguridad Recoleccin de evidencias Control: Cuando una accin de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin implica acciones legales (civiles o penales) la evidencia se debe recolectar retener y presentar para cumplir con las reglas para la evidencia establecida en la jurisdiccin pertinente

    8. Incidentes de seguridad informtica: Acceso no autorizado Prdida de Confidencialidad (planes de negocio, informacin personal) Integridad (cambios de bases de datos, fraude) Disponibilidad (denegacin de servicio, dao a los sistemas) Uso indebido (de sistemas, de datos o en contra de las polticas establecidas)

    9. Delitos informticos Actividades ilegales que involucran el uso de un computador Como objetivo del ilcito Como medio para llevar a cabo el ilcito Evidencia indirecta de otros ilcitos o litigios (juzgado de familia) Uno restringido que tiene como aquel hecho en el que independientemente del perjuicio que puede causarse a otros bienes jurdicamente tutelados y que eventualmente puedan concurrir en forma real o ideal, se atacan elementos puramente informticos. Tales sern los casos del uso indebido del software, apropiacin indebida de datos, interferencias en sistemas de datos ajenos y en el sentido amplio, es la accin tpica, antijurdica y culpable para cuya consumacin se utiliza o se afecta a una computadora o sus accesorios .

    10. Delitos informticos, situacin jurdica en Colombia En Colombia el delito informtico esta configurado y definido en forma dispersa por la Ley 599 de 2000 El art. 183 del Cdigo Penal reprime el que destruyere, inutilizare, hiciere desaparecer o de cualquier modo daare una cosa mueble total o parcialmente ajeno siempre que el hecho no constituya un delito ms grave. Borrado o destruccin de un programa de computacin: Sin perjuicio que alguna jurisprudencia haya establecido que el borrado o destruccin de un programa de computacin no es un delito en virtud que se trata de una conducta aprehendida por los tipos penales especiales de la ley 11.723 (10) considero que dicha accin se encuadra perfectamente en el art. 183 del Cdigo Penal por los argumentos previamente expuestos.. De la misma manera se podra encuadrar el agravante del mismo ilcito cuando el dao se ejecuta en archivos y registros digitales, bibliotecas digitales tal como se provee en el inc. 5 del art. 184 del Cdigo Penal

    11. Delitos informticos, situacin jurdica en Colombia ACTUALIDAD LEGAL Y JURISPRUDENCIA EN MATERIA DE DERECHO INFORMATICO EN COLOMBIA Decreto 1748 de 1995 Resolucin 3316 del 3 de junio de 1997 Ley 222 de 1995 Circular externa 35 de 1997 Ley 383 de julio 10 de 1997 Decreto 1105 de 1992 Ley 98 de 1993 Ley 383 de 1997 Ley 365 de 1997 Decreto 2150 de 1995 Ley 422 de 1998 Circulares de la superintendencia de Notario y Registro La ley 446 de julio 7 de 1998 Ley 527 de 199 Ley 599 de 200 Actual Cdigo Penal Colombiano Decreto 1747 de 2000 Corte Constitucional Sentencia 8 de junio de 2000

    12. Delitos informticos en el mundo: Chile En Chile est vigente la Ley 19.223 del 28 de Mayo de 1993, en donde se introdujeron como conductas punibles: el Sabotaje Informtico a los sistemas de tratamiento de informacin, comprendiendo los verbos rectores de impedir, modificar, destruir, inutilizar y obstaculizar el funcionamiento de un sistema de tratamiento de la informacin; el Espionaje Informtico que comprende: la interferencia, la interceptacin indebida, la alteracin, destruccin, el apoderamiento, la revelacin y difusin de datos y el acceso indebido a un sistema de tratamiento de la informacin electrnica

    13. Delitos informticos en el mundo: Alemania Segunda Ley contra la Criminalidad Econmica, vigente desde el primero de Agosto de (1986) mil novecientos ochenta y seis, se adopt entre otros delitos informticos el Espionaje de Datos, la Estafa Informtica, la Falsificacin de Datos Probatorios (implicando las modificaciones complementarias del resto de falsedades documentales como el engao en el trfico jurdico mediante la elaboracin de datos, falsedad ideolgica y uso de documentos falsos); tambin contempla la Alteracin de Datos Sensibles (cancelar, inutilizar o alterar, inclusive la tentativa es punible en ese pas), el Sabotaje Informtico (destruccin, deterioro, inutilizacin, eliminacin o alteracin de un sistema de datos).

    14. Delitos informticos en el mundo: Francia existe la Ley 88/19 del 5 de 1988, sobre el fraude informtico, contemplando las siguientes conductas punibles: el Acceso Fraudulento (Se sanciona tanto el acceso al sistema como al que se mantenga en l y aumenta la sancin si de ese acceso resulta la supresin o modificacin de los datos contenidos en el sistema o resulta la alteracin del funcionamiento del sistema), Destruccin de Datos (Se sanciona a quien introduzca datos en un sistema de tratamiento automtico de datos, suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisin) Falsificacin de Documentos Informatizados (Se sanciona a quien de cualquier modo falsifique los documentos informatizados con intencin de causar un perjuicio a otro).

    15. Delitos informticos en el mundo: Austria Aparecen tipificadas como conductas punibles (Cdigo Penal reformado el 22 de Diciembre de 1987), la Destruccin de Datos (datos sensibles y programas de computacin) y la Estafa Informtica (A travs del desarrollo de programas, introduccin, cancelacin o alteracin de datos o por actuacin sobre procesamiento de datos, siendo agravante quien lo consuma en ejercicio de su profesin).

    16. Situacin colombiana: Delitos Robo de contraseas bancarias en cafs Internet mediante Keyloggers Violacin de correos electrnicos Contraseas, impostacin y destruccin Robo de informacin electrnica de bases de datos estatales y privadas Suplantacin de identidad mediante pginas falsas (Bancarias) Robo de contraseas para acceder a ATMs Falsificacin de cheques Robos en transacciones bancarias Intercepcin telefnica Falsificacin electrnica de documentos

    17. Situacin colombiana Bogot D.C., 05 de diciembre de 2007 Doctor OSCAR ARBOLEDA PALACIO Presidente H. Cmara de Representantes Ciudad REF: ponencia para segundo debate de los Proyectos de Ley 042 de 2.007 Cmara y 123 de 2.007 Cmara, acumulados Respetado Seor Presidente, En cumplimiento de la Ley 5 de 1.992, y por su amable designacin, nos permitimos rendir ponencia para segundo debate en la Plenaria de la H. Cmara de Representantes de los Proyectos de Ley 042 de 2.007 Cmara y 123 de 2.007 Cmara acumulados, por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado denominado De la Proteccin de la Informacin y de los Datos y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. OBJETIVO DEL PROYECTO La propuesta legislativa acumulada va dirigida no slo a regular los diversos atentados que se cometen contra la confidencialidad, la integridad y la disponibilidad de los sistemas informticos, de las redes y de los datos, sino los que comportan el uso fraudulento de los mismos. Se trata, en otras palabras, de que el ordenamiento penal colombiano se sume a las polticas penales globalizadas en materia del combate frontal contra la llamada criminalidad del ciberespacio y le brinde herramientas a la comunidad internacional para la persecucin de estos flagelos; al mismo tiempo, se busca brindar una adecuada tutela jurdica a un bien jurdico de tanta trascendencia en el mundo de hoy como lo es el atinente a la Proteccin de la Informacin y de los Datos.

    18. Situacin colombiana Fallo de la Corte Suprema de Colombia sobre descarga de msica en internet por Carlos A. Carnevale Corte Suprema de Colombia, sala de casacin penal, sentencia del 30 de abril de 2008. Este fallo adquiri gran repercusin en muchos portales de Internet y varios medios periodsticos del mundo. El motivo de ello fue la postura que dej sentada la Corte Suprema de Colombia respecto de la descarga de msica por Internet, ms all del conflicto puntual que fuera planteado en el recurso. As, el mximo tribunal sostuvo que si en la Internet circulan millones de canciones, no puede concentrarse en el derecho penal la funcin de perseguir a los usuarios que, aprovechando tal circunstancia, descargan la msica que se coloca a su alcance, pues en estos casos como en todos aquellos en los que la persona obra sin nimo de lucro y sin el propsito de ocasionar perjuicio a la obra o a los intereses econmicos del titular de los derechos, resulta imposible afirmar la existencia de una conducta punible, toda vez que no se lesiona o pone efectivamente en peligro el bien jurdico tutelado por la ley. De este argumento se desprende que la Corte Suprema de Colombia entiende que deben acreditarse dos elementos fundamentales para que se configure el delito: el nimo de lucro y la intencin de ocasionar un perjuicio. En ese sentido, sostuvo que las conductas que le fueran imputadas al procesado y por las que fuera condenado en la instancia inferior -duplicacin de discos compactos y uso de software sin las respectivas licencias- resultan atpicas cuando no existe intencin de lucrar con ello ni propsito de ocasionar un perjuicio a los dueos de dichas obras.

    19. La prueba forense Concepto de prueba Para el derecho la prueba es el conjunto de reglas que preparan la admisibilidad, la produccin, la carga y la fuerza probatoria de los diferentes medios de prueba que pueden utilizarse para da al Juez la conviccin sobre los hechos concernientes al proceso La actividad probatoria puede desarrollarse dentro del proceso o antes, refirindose entonces a la prueba pre constituida o adelantada. Medios probatorios Son los modos en que se materializa la actividad probatoria Entre los distintos medios probatorios est la prueba pericial

    20. La prueba pericial Prueba pericial Se realiza cuando haya necesidad o conveniencia de que determinados hechos o circunstancias sean estudiados desde la perspectiva de un conocimiento especfico. Actividad desarrollada por terceros ajenos al proceso que tiene como fin emitir una declaracin valorativa de ciertos hechos para ayudar a crear el convencimiento judicial La prueba pericial puede ser usada tanto en procesos civiles como en procesos penales

    21. Peritaje informtico Investigacin orientada a la obtencin de una prueba de aplicacin en un asunto judicial para que sirva a un Juez La disciplina combina tcnicas cientficas y elementos legales para Extraer Preservar Analizar Presentar

    22. La evidencia digital Metodologa y procedimientos Recursos humanos Habilidad y capacitacin de los tcnicos Credibilidad y confianza (Cdigos de tica profesional) Entrenamiento en la metodologa Situacin actual: distintos grados de madurez en la formalizacin del tratamiento de la evidencia digital

    23. La evidencia digital Es un trmino utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. Categoras 1. Registros almacenados en el equipo de tecnologa informtica. 2. Registros generados por los equipos de tecnologa informtica 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica La evidencia digital, es un trmino utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categoras: 1. Registros almacenados en el equipo de tecnologa informtica. 2. Registros generados por los equipos de tecnologa informtica 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica. La evidencia digital es la materia prima para los investigadores donde la tecnologa informtica es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafo para aquellos que la identifican y analizan en la bsqueda de la verdad: Es voltil, es annima, es duplicable, es alterable, es eliminable. Estas caractersticas nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informtica forense, tanto en procedimientos, como en tcnicas. La evidencia digital, es un trmino utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categoras: 1. Registros almacenados en el equipo de tecnologa informtica. 2. Registros generados por los equipos de tecnologa informtica 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica. La evidencia digital es la materia prima para los investigadores donde la tecnologa informtica es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafo para aquellos que la identifican y analizan en la bsqueda de la verdad: Es voltil, es annima, es duplicable, es alterable, es eliminable. Estas caractersticas nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informtica forense, tanto en procedimientos, como en tcnicas.

    24. La evidencia digital Informacin almacenada o trasmitida en forma digital que puede ser utilizada como prueba Caractersticas crticas Frgil Voltil Ventajas Repetible Recuperable

    25. La evidencia digital y sus problemas y limitaciones Falta de cuidado en la conservacin de los equipos Alteracin de la evidencia por falta de proteccin Se llega tarde a levantar la evidencia (se pierden registros o se sobrescriben) Falta de recursos humanos y materiales adecuados

    26. Metodologa y estndares El perito debe ser objetivo y observar los cdigos de tica profesional Conservar la autenticidad e integridad de la evidencia Obtener la evidencia sin corrupcin Minimizar el trabajo sobre la evidencia original Documentar cualquier cambio en la evidencia (cadena de custodia) Autenticar la evidencia

    27. Metodologa y estndares Buenas prcticas en gestin de tecnologa: ISO 17799:2005 13.2.3 Recoleccin de evidencias Reglas para las evidencias Validez, admisibilidad de la evidencia Calidad y completitud de la evidencia Cuando se detecte un incidente, al principio no es obvio que se convierta en una posible actuacin (evidencia) ante el juzgado. Sin embargo, existe el peligro de que las pruebas se destruyan accidentalmente antes de que se confirme la seriedad del incidente

    28. Metodologa y estndares Dentro de las Auditorias Internas se est definiendo formalmente el proceso de Auditoria Forense: Realizar auditoria forense, asegurando la adecuada identificacin, recoleccin, preservacin y manipulacin de elementos informticos que sern utilizados como evidencia digital en una investigacin

    29. Metodologa y estndares HB171:2003 Handbook guidelines for the management of IT evidence Proveer una gua para la gestin de los registros electrnicos que pueden ser usados en procedimientos judiciales o administrativos o cuando se sospecha de actividad ilegal Provee un ciclo de vida para la administracin de la evidencia digital

    30. La cadena de custodia Documenta el proceso completo de las evidencias durante la vida del caso Quien y donde se recogi la evidencia Como se almacen Quien la proces, etc. Asegura: Identificacin Continuidad de la posesin Prueba de integridad

    31. Peritaje de la evidencia Aceptacin de la pericia Entender y evaluar la solicitud Determinar las habilidades requeridas Preparacin Diagnosticar y entender el entorno (entrevistas) Identificar sitios, respaldos Identificar la arquitectura tecnolgica (seleccin de herramientas) Preparacin de formularios Materiales para identificacin y traslado

    32. El primer contacto Separar a las personas de las mquinas Notificar (testigos) Anotar nombres Documentar fechas y horas (de arribo, o de captura de la mquina) Clasificar la evidencia segn su grado de volatilidad Clasificar la evidencia en orden de relevancia Considerar la evidencia fsica colateral (papeles, notas, etc.) Obtener claves (entrevistas) Documentar hardware y software, fotografiar todo Certificar y autenticar HW,SW y datos de la evidencia Iniciar cadena de custodia

    33. La preservacin de evidencias voltiles Evidencia voltil Se pierde al apagar la mquina (usuarios conectados, procesos en ejecucin, estado de la memoria, etc.) Informacin del disco (fechas de acceso a archivos, archivos temporales) En lo posible no apagar la mquina y recoger inmediatamente la evidencia voltil sin alterar la escena Usar el mnimo de memoria posible para no sobrescribir e instalar sobre memorias auxiliares Aislar la mquina de la red para evitar alteraciones Guardar la informacin en otro dispositivo memoria USB, CD, DVD u otro equipo seguro, etc. Utilizar software para preservacin de evidencias que autentique, certifique y proteja la evidencia

    34. La preservacin de evidencias persistentes Apagar sin correr secuencia de bajada Documentar conexiones Identificar y precintar Utilizar material adecuado para el transporte (interferencia electromagntica, humedad) Guardar en lugar seguro y limpio Verificar secuencia de boot: Software protector, virus troyanos e invasores Utilizar software forense Hacer el Boot con un sistema propio Autentificar (hash) Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia

    35. Extraccin e Inspeccin Objetivo: identificar y localizar evidencia potencial Documentacin de datos bsicos Sistema operativo, configuracin de red, aplicaciones, trabajos agendados, usuarios del sistema, etc. Extraer datos protegidos, cifrados o comprimidos Extraer logs y trazas de auditoria Extraer datos a nivel del sistema de archivos Fechas, permisos, caminos, papelera de reciclaje, archivos temporales, informacin del autor (Office) Extraer datos a nivel fsico Archivos borrados, bsqueda hexadecimal, tabla de particiones, espacio no asignado, espacio reservado Descartar archivos irrelevantes (bases de hash)

    36. Informe forense de la recepcin y captura de evidencia Admisibilidad: relacin dela evidencia con la pretensin de la prueba Autenticidad (la evidencia debe estar relacionada con el caso y no alterada) Confiabilidad (forma de registro comprobable), certificacin de autenticidad Suficiencia (redundancia y correlacin de eventos) Conformidad con la legislacin vigente Criterio de razonabilidad Presentar la documentacin en un leguaje entendible para los destinatarios

    37. Software forense Kits EnCase, FTK, Helix, Sleuth Kit, Knopix STD Herramientas Recuperacin de contraseas Herramientas de anti-esteganografa Imgenes y bloqueadores de discos Indexadores/buscadores de palabras en binario Recuperacin de archivos borrados desde cualquier tipo de almacenamiento externo Recuperacin de datos de navegacin y correo

    38. PORTATILES FORENSES. Procesador Corel 2 DUO2.2 Ghz 4GB de memoria RAM. Disco Duro de 160 GB. Puertos FireWire USB. Pantalla 17 WSXGA Unidad combo DVD R/RW + R/+RW CD-RW Incluir protectores contra escritura IDE, SATA y SCIS Cables y adaptadores IDE, SATA, SCSI. Maletn.

    39. Herramientas Herramientas para redes Captura de trfico hasta capa de aplicacin Aplicaciones asociadas a puertos abiertos Listados de puertos abiertos Vista de arquitectura Herramientas ANTIFORENSE Borradores de disco Herramientas de boot Ocultadores de archivos Eliminadores de evidencia (trazas de actividad en distintas aplicaciones, limpiadores de log, etc.) Herramientas de esteganografa

    40. Algn hardware forense Password crackers Bloqueadores de disco Copiadores de memoria RAM Copiadores de disco Laptops, laboratorio mvil, computadoras madres, discos auxiliares Bolsas y etiquetas especiales para sellado y transporte Contenedores para transporte

    41. La realidad La computacin forense todava est en desarrollo Falta de entrenamiento apropiado y designacin profesional, no hay cursos no hay reglas de carrera No existe estandarizacin de las herramientas La informtica forense todava es mas un arte que una ciencia o una ingeniera

    42. Los problemas Falta de conocimiento o experiencia de los tcnicos Uso de software poco conocido o antiguo Malas prcticas en el tratamiento de la evidencia Falta de recursos materiales Subestimar el alcance del incidente Existencia de software anti-forense Falta de objetividad Fallas en la documentacin o alteracin de la cadena de custodia Fallas en el informe

    43. Recomendaciones a las instalaciones informticas Mantener trazas de uso de aplicaciones, sistemas, red, etc. Revisar las trazas Aplicar principios de seguridad (equipamiento y procedimientos) Mantener los relojes sincronizados Capacitacin Campaas de sensibilizacin Conocer el entorno y el comportamiento normal Auditar

    44. Los retos Establecer un marco regulatorio y procedimientos para la pericia informtica Estndares de tica y privacidad Profundizar en el conocimiento de los aspectos legales Formacin en peritaje informtico

    45. Gestin de la evidencia digital

    46. Metodologa y estndares: Procedimiento para capturar una evidencia digital Diseo de la evidencia Con el fin de fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologas de informacin, se detallan a continuacin cinco objetivos que se deben considerar para el diseo de la evidencia digital: a. Asegrese de que se ha determinado la relevancia de los registros electrnicos, que stos se han identificado, estn disponibles y son utilizables. b. Los registros electrnicos tienen un autor claramente identificado. c. Los registros electrnicos cuentan con una fecha y hora de creacin o alteracin. d. Los registros electrnicos cuentan con elementos que permiten validar su autenticidad. e. Se debe verificar la confiabilidad de la produccin o generacin de los registros electrnicos por parte del sistema de informacin.

    47. Metodologa y estndares: Procedimiento para capturar una evidencia digital Produccin de la Evidencia Objetivos a. que el sistema o tecnologa de informacin produzca los registros electrnicos b. identificar el autor de los registros electrnicos almacenados c. identificar la fecha y hora de creacin d. verificar que la aplicacin est operando correctamente en el momento de la generacin de los registros, bien sea en su creacin o modificacin. e. Verificar la completitud de los registros generados

    48. Metodologa y estndares: Procedimiento para capturar una evidencia digital Recoleccin de la Evidencia El objetivo de esta fase en el ciclo de vida de administracin de la evidencia digital es localizar toda la evidencia digital y asegurar que todos los registros electrnicos originales (aquellos disponibles y asegurados en las mquinas o dispositivos) no han sido alterados. Para ello el estndar establece algunos elementos a considerar como: a. Establecer buenas prcticas y estndares para recoleccin de evidencia digital b. Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro c. Mantener y verificar la cadena de custodia d. Respetar y validar las regulaciones y normativas alrededor de la recoleccin de la evidencia digital e. Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.

    49. Metodologa y estndares: Procedimiento para capturar una evidencia digital Anlisis de la Evidencia Una vez se ha recolectado la evidencia, tomado las imgenes de los datos requeridos y su debida cadena de custodia, es tiempo para iniciar el ensamble, anlisis y articulacin de los registros electrnicos para establecer los hechos de los eventos ocurridos en el contexto de la situacin bajo anlisis o establecer si hacen falta evidencias para completar o aclarar los hechos. El anlisis de la evidencia combina las tareas de investigador judicial y el perito en evidencias digitales

    50. Metodologa y estndares: Procedimiento para capturar una evidencia digital Reporte y Presentacin El profesional a cargo de la investigacin es responsable de la precisin y completitud del reporte, sus hallazgos y resultados luego del anlisis de la evidencia digital o registros electrnicos. En este sentido toda la documentacin debe ser completa, precisa, comprensiva y auditable. En este sentido las prcticas internacionales aconsejan: a. Documentar los procedimientos efectuados por el profesional a cargo. b. Mantener una bitcora de uso y aplicacin de los procedimientos tcnicos utilizados. c. Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia

    51. Metodologa y estndares: Procedimiento para capturar una evidencia digital Determinar la relevancia de la evidencia El estndar en esta fase establece valorar las evidencias de tal manera que se identifiquen las mejores evidencias que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve a cabo. El objetivo es que el ente que valore las pruebas aportadas observe en sus anlisis y aportes los objetos de prueba ms relevantes para el esclarecimiento de los hechos en discusin. En este sentido el estndar sugiere dos criterios para tener en cuenta a saber: [STANDARDS AUSTRALIA INTERNATIONAL 2003, pg.26] a. Valor probatorio: que establece aquel registro electrnico que tenga signo distintivo de autora, autenticidad y que sea fruto de la correcta operacin y confiabilidad del sistema. b. Reglas de la evidencia: que establece que se han seguido los procedimientos y reglas establecidas para la adecuada recoleccin y manejo de la evidencia.

    52. Procedimiento practico para la Recoleccin de la Evidencia Recuerde que como profesional a cargo de una investigacin usted debe proveer un concepto de los hechos identificados en sus anlisis. Usted es un cientfico y como tal debe ser concreto y claro en sus afirmaciones. Los reportes que como profesional encargado de una investigacin adelante deben ser concreto, libres de jerga propia de su disciplina, pedaggicos y sobre manera, consistentes con los hechos y resultados obtenidos. Si al preparar un reporte de un anlisis de datos, considera que puede estar incompleto o no cuenta con las calificaciones y condiciones requeridas para efectuarlo, debe documentarlo en el informe o manifestar esta condicin a la parte que ha solicitado sus servicios.

    53. Procedimiento practico para la Recoleccin de la Evidencia Los profesionales que apoyan las labores en el ciclo de administracin de la evidencia digital no deben contar con altos niveles de tica, sino con los ms altos estndares y niveles de tica, pues en ellos recaen los conceptos sobre los cuales el juez toma sus decisiones. Documntese muy bien sobre la normatividad y regulaciones vigentes alrededor del tema de evidencias digitales en su nacin de tal forma que los procedimientos se ajusten a tales disposiciones y las buenas prcticas internacionales.

    54. Procedimiento practico para la Recoleccin de la Evidencia Manipulacin de la evidencia digital Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulacin de la evidencia digital. Hacer uso de medios forenses estriles (para copias de informacin) Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia. Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense. Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigacin, deben estar disponibles para su revisin. Siempre que la evidencia digital este en poder de algn individuo, ste ser responsable de todas la acciones tomadas con respecto a ella, mientras est en su poder. Las agencias responsables de llevar el proceso de recoleccin y anlisis de la evidencia digital, sern quienes deben garantizar el cumplimiento de los principios anteriores.

    55. Procedimiento practico para la Recoleccin de la Evidencia Formularios y testificacin Empieza la captura Captura de la escena integral Colocacin de las herramientas Lofoscopia Prender mother Ejecutar de acuerdo diseo previo imprevistos http://www.mobile-vision.com/products/digital_systems/index.html

    56. Procedimiento practico para la Recoleccin de la Evidencia HPA rea protegida del host Local En el objeto Longitud del copiado Sistema Operativo Datos parciales o totales Manejo de ejecucin Comandos precisos, no se concibe repeticiones Archivos de salida, disco requerido Conexiones: USN, NIC, IEEE1384, SD Captura de pantallas Comandos DOS Estructura del programa de recoleccin

    57. La preservacin de evidencias persistentes Documentar conexiones, estructuras de informacin, observaciones de comportamiento de las mquinas objeto y de la madre Identificar , grabar y precintar Utilizar material adecuado para el transporte (interferencia electromagntica, humedad) Guardar en lugar seguro y limpio Verificar secuencia de boot: Software protector, virus troyanos e invasores Autentificar y autenticar (hash) Copia bit-a-bit (2 copias para trabajo) desde la evidencia a la computadora propia Verificacin de autenticacin

    58. Procedimiento practico para la Recoleccin de la Evidencia

    59. Herramientas forenses: Encase Forensic es el estndar de la industria en el equipo de investigacin forense de tecnologa. Con un intuitivo GUI, superior capacidad de anlisis, soporte de email/Internet y una potente maquina de scripting, EnCase provee al investigador una sencilla herramienta, capaz de ayudad en investigaciones grandes y complejas. Funcionarios encargados de hacer cumplir la ley, el gobierno y las empresas de investigadores y consultores de todo el mundo usan esta herramientas. Investiga y analiza mltiples plataformas - Windows, Linux, AIX, OS X, Solaris y otras - usando una sola herramienta. Ahorra das, si no semanas, de tiempo de anlisis mediante la automatizacin de complejas tareas de rutina y con mdulos pre compilados Enscript tales como la carga inicial del caso y el anlisis de registro de sucesos. Encuentre informacin a pesar de los esfuerzos para ocultar, encubrir o borrar del delincuente. Fcil de gestionar en grandes volmenes de la prueba, ve todos los archivos, incluido el "borrado, archivo de holgura y espacio no asignado. Transferencia de archivos de prueba directamente a la aplicacin de la ley o representantes legales, segn sea necesario. Opciones de no fcil uso para los investigadores-, como abogados, a fin de examinar las pruebas con facilidad. Opciones de permitir la presentacin de informes rpida preparacin del informe.

    60. Herramientas forenses: http://www.acquisitiondata.com/forensic_toolkit.html http://www.acquisitiondata.com/index.html Buscar, organizar y Analizar el equipo de prueba AccessData's Forensic Toolkit (FTK Tmofrece a profesionales de la seguridad de las empresas la capacidad para llevar a cabo completa y minuciosa revisin y exmenes de equipos. FTK posee entre sus caractersticas un poderoso filtro de archivos con funcionalidad de bsqueda.. FTK con sus filtros personalizables le permiten ordenar a travs de miles de archivos para encontrar rpidamente las pruebas que usted necesita. Easy-To-Use FTK es reconocida como la principal herramienta forense para realizar anlisis de e-mail. FTK Imager TM le permite navegar rpidamente a travs de imgenes y Generar registros de auditora y los informes de casos Compatible con the Password recovery Toolkit TM and Distributed Network Attack

    61. Herramientas forenses: http://www.e-fense.com/helix/ Distribucin personalizada de Ubuntu para informtica forense, corre en MS W2000, Ubuntu o MacOs Helix se enfoca en Incident Response & Forensics tools. Helix ha sido modificado muy cuidadosamente para NOT tocar la computadora objeto. No requiere computadora mother Helix no establece espacios temporales ni hace swap space, o auto mount a cualquier dispositivo conectado. Es muy polmico y se usa bsicamente en entrenamiento No es jurdicamente aceptado en ningn pas

    62. Herramientas forenses, http://www.sleuthkit.org The Sleuth Kit (previously known as TASK) is a collection of UNIX-based command line file and volume system forensic analysis tools. The file system tools allow you to examine file systems of a suspect computer in a non-intrusive fashion. Because the tools do not rely on the operating system to process the file systems, deleted and hidden content is shown. The volume system (media management) tools allow you to examine the layout of disks and other media. The Sleuth Kit supports DOS partitions, BSD partitions (disk labels), Mac partitions, Sun slices (Volume Table of Contents), and GPT disks. With these tools, you can identify where partitions are located and extract them so that they can be analyzed with file system analysis tools. When performing a complete analysis of a system, we all know that command line tools can become tedious. The Autopsy Forensic Browser is a graphical interface to the tools in The Sleuth Kit, which allows you to more easily conduct an investigation. Autopsy provides case management, image integrity, keyword searching, and other automated operations. Input Data Analyzes raw (i.e. dd), Expert Witness (i.e. EnCase) and AFF file system and disk images. (Sleuth Kit Informer #11) Supports the NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, and ISO 9660 file systems (even when the host operating system does not or has a different endian ordering). Tools can be run on a live UNIX system during Incident Response. These tools will show files that have been "hidden" by rootkits and will not modify the A-Time of files that are viewed.

    63. Herramientas forenses, http://www.sleuthkit.org/autopsy/desc.php The Autopsy Forensic Browser is a graphical interface to the command line digital investigation analysis tools in The Sleuth Kit. Together, they can analyze Windows and UNIX disks and file systems (NTFS, FAT, UFS1/2, Ext2/3). The Sleuth Kit and Autopsy are both Open Source and run on UNIX platforms. As Autopsy is HTML-based, you can connect to the Autopsy server from any platform using an HTML browser. Autopsy provides a "File Manager"-like interface and shows details about deleted data and file system structures. Analysis Modes A dead analysis occurs when a dedicated analysis system is used to examine the data from a suspect system. In this case, Autopsy and The Sleuth Kit are run in a trusted environment, typically in a lab. Autopsy and TSK support raw, Expert Witness, and AFF file formats. A live analysis occurs when the suspect system is being analyzed while it is running. In this case, Autopsy and The Sleuth Kit are run from a CD in an untrusted environment. This is frequently used during incident response while the incident is being confirmed. After it is confirmed, the system can be acquired and a dead analysis performed.

    64. Herramientas forenses:http://www.knoppix-std.org/ STD is a Linux-based Security Tool. Actually, it is a collection of hundreds if not thousands of open source security tools. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. Its sole purpose in life is to put as many security tools at your disposal with as slick an interface as it can. Who STD is meant to be used by both novice and professional security personnel but is not ideal for the Linux uninitiated. STD assumes you know the basics of Linux as most of your work will be done from the command line. If you are completely new to Linux, it's best you start with another live Distro like Knoppix to practice the basics (see faq). STD is designed to assist network administrators and professionals alike secure their networks.

    65. Herramientas forenses: 1 COMPUTADOR FORENSE PORTATIL Forensic Air-Lite VI MK III Soporte Garanta por 1 ao 2 CURSO ENCASE COMPUTER FORENSICS I y II 4-DAY MOBILE 3 ACCESS DATA BOOT CAMP (FTK) 4 TORRE FORENSE FORENSIC TOWER III DUAL Intel Xeon QUAD Core Soporte y garanta por 1 ao. 5 Encase Forensic Edition+PLSP (Todos los mdulos: PDE, VFS, PDE, CD-DVD, FastBloc SE, VERSION 6 Actualizacin y soporte por 1 ao. 6 Ultmate Forensic Write proteccin Kit. (Lab Version) 7 DISCO DURO 500 GB SIMPLETECH EXT USB 2.0 8 Forensic Toolkit Soporte y garanta por 1 ao.