Charla: Informática Forense
se define como la preservación de la confidencialidad, confidencialidad, la integridad integridad y la disponibilidad de los sistemas de información.
se define como la rama de la informática que apoya a la justicia en la búsqueda de la verdad. Para dichos fines recopila que puedan ser empleados para fines judiciales.
Análisis Forense: Es la aplicación de principios de las ciencias físicas en derecho y búsqueda de la verdad en cuestiones civiles, criminales y de comportamiento social para que no se comentan injusticias contra cualquier miembro de la Sociedad. (Manual de Patología Forense del Colegio de Patologistas Americanos, 1990).
Ciencia Forense: Ciencia de encontrar, recoger, analizar y preservar evidencias que sean admisibles en un tribunal u otros ambientes legales.
Informatica Forense: Es una rama de la Ciencia Forense en relacion a las evidencias legales halladas halladas en computadoras y/o medios de almacenamiento legal. Se hadhiere a las normas de pruebas admisibles en un Tribunal de Justicia.
Procedimiento Procedimie nto Forense Informático Que es un procedimiento forense ? Es la metodología detallada utilizada por el Investigador con la finalidad de obtener las evidencias e videncias para su posterior análisis y entrega a la justicia
Procedimiento Forense Informático Etapas del Procedimiento Forense •
Identificación
Recolección o adquisición de evidencias
•
Preservación de evidencias (física y lógica)
•
Análisis de evidencias
•
•
Presentación de resultados
“El análisis forense computacional produce informaciones directas y no interpretativas”
Procedimiento Procedimie nto Forense Informático A que se enfrenta un Investigador Forense? •
La Alteración de la evidencia por falta de protección
Falta de logs por no estar configurados (o mal configurados)
•
•
La N O conservación conservación de los equipos
•
Manipulación de los Medios Originales
•
Falta de recursos adecuados.
•
Etc.
“El Investigador debe asegurarse que sea posible repetir la pericia tantas veces como el juzgado lo requiera obteniendo obteniendo los los mismos resultados”
Procedimiento Forense Informático
El Investigador Forense debe plantearse preguntas como:
¿Quién realizó la intrusión? ¿Cual pudo ser su interes? ¿Cómo entró en el sistema el atacante?
El Investigador Forense debe plantearse preguntas como:
¿Qué daños ha producido en el sistema o que información se llevó? ¿Dejo información que permita involucrarlo? ¿Tendrá alguna al guna forma de volver volv er acceder (backdoor)? Etc…
Evidencia Digital Qué es la Evidencia Digital ? La Evidenc ia Digital, es todo aquel elemento que pueda almacenar información de forma física o lógica que pueda ayudar a esclarecer un caso. Pueden formar parte: •
Dis co s rígi do s , HD
•
Arch ivos temporales , *. *.temp
•
Espacios no asignados en el disco
•
Diskettes, Cd-rom ,Dvd, Zip, etc.
•
Pen drives
•
Cám aras d ig it ales
•
Backups
Evidencia Digital
Debemos tener en cuenta que : La Evidenc ia Digital es : •
Volatil
Dup licable
•
Borrable
•
Reemp lazable lazable
•
Evidencia Digital Principios para la Recolección de Evidencias RFC 3227 •
Orden de volatilidad
•
Cosas a evitar
•
Consideraciones relativas a la privacidad de los datos
•
Consideraciones legales
•
Procedimiento de recolección
•
Transparencia
•
Pasos de la recolección
•
Cadena de custodia
•
Como archivar una evidencia
•
Herramientas necesarias y medios de almacenamiento de éstas
Evidencia Digital
Admisibilidad de la Evidencia La evidenc ia debe ser/ estar: •
Relevante: relacionada con el crimen bajo investigación.
•
Permitida Legalmente: Legalmente: fue obtenida de manera legal.
•
Confiable: no ha sido alterada o modificada.
•
Identificada: ha sido claramente etiquetada.
•
Preservada: no ha sido dañada o destruida.
Evidencia Digital Tipos de Evidencia •
– – evidencia primaria u original, no es copia. Best evidence
•
Secondary – – copia de evidencia primaria.
•
Direct evidence testimonio oral. – – prueba o invalída un acto específico a través del un testimonio
•
– – indiscutible, sobrepasa todo otro tipo de evidencia. Conclus ive evidence
Evidencia Digital Finalidad Demostrar que la Evidencia presentada presentada ante las Autoridades Autoridades correspondientes, correspondientes, es la misma misma que se obtuvo en el Lugar de los Hechos.
Evidencia Digital Ciclo de Vida de la Evidencia Descubrimiento y
•
Reconocimiento.
•
Protección.
•
Registración.
•
Recolección.
•
Recolección de todos los medios de almacenamientos almacenamientos relevantes.
•
Generación de una imágen del HD antes de desconectar la computadora.
•
Impresión de pantallas.
•
Evitar la destrucción de los equipos (degaussing).
•
Identificación (etiquetado).
•
Preservación.
•
Protección de los medios magnéticos contra borrado.
Almacenamiento Almacenamiento en un ambiente ambiente adecuado.
•
•
Transportación.
•
Presentación ante la corte.
•
Devolución de la evidencia a su dueño.
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 1.
Surg Su rge e un pe pedi dido do de un un juz juzga gado do o clie client nte e en part partic icul ular ar
2.
Se debe debe elab elabor orar ar un un plan plan de tra traba bajo jo (Int (Intel elig igen enci cia) a)
3.
Se realiza el procedimiento del “Secuestro de evidencias”
4.
Se de debe ben n rea reali liza zarr las las copi copias as cor corre resp spon ondi dien ente tes s
5.
Se da comi comien enzo zo a la CADE CADENA NA DE CUST CUSTOD ODIA IA
6.
Se rea reali liza za el el anál anális isis is de de las las evid eviden enci cias as obten obtenid idas as
7.
Se esc escri ribe be el el Acta Acta en pres presen enci cia a del del Fis Fisca call
8.
Pres resen enttación del Acta
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 2. Se debe elaborar un plan de trabajo (Inteligencia)
El plan de trabajo es realizar la recolección recolección y análisis de evidencias en el lugar donde se produjo el hecho, denominada (CAMPO) en vez de llevarla al LABORATORIO, pues en el lugar un Investigador Forense Informático puede no solo obtener el perfil psicológico a través de evidencias digitales sino que tambien se pueden obtener excelentes indicios con solo observar el lugar en donde convivían, sus gustos, sus costumbres, etc. “Se utiliza ingeniería social aplicada a la Ciencia Forense”
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 3. Se realiza el procedimiento del “Secuestro de evidencias” 4. Se deben realizar las copias correspondientes.
•
Presencia de testigos
•
Escribano •
•
Procedimiento documentado
Adquirir evidencias Bit a Bit del original. •
Anotar fechas y horas
•
Precintar el original
•
Realizar 3 copias originales de la primer copia
•
Adquirir en orden de volatilidad •
Volátiles y no volátiles
•
•
•
•
Ciclo de Vida de la Evidencia
Garantiza la seguridad, preservación e integridad de los elementos elementos probatorios proba torios colectados colectados en el Lugar de los Hechos. También hace referencia al mantenimiento y preservación adecuada de los elementos elementos de prueba, estos deben guardarse en un lugar lu gar seguro, con una especial atención a las condiciones ambientales ambientales (temperatura, (temperatura, humedad, luz etc.) protegiéndolo del deterioro biológico biológico o físico.
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 5. Se da comienzo a la CADENA DE CUSTODIA •
Quien a accedido a la evidencia ?
•
Que procedimientos se han seguido mientras se trabajaba con la evidencia ?
•
Como podemos demostrar que nuestro análisis fue realizado sobre copias idénticas del original ?
•
Acta – Firma digital – Hashes – Time Stamps, etc
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 6. Se realiza el análisis de las evidencias obtenidas
Técnicas para pericias •
Auditoria de Logs de las aplicaciones aplicaciones del sistema
•
Análisis de archivos y directorios eliminados
•
Visualización del contenido de archivos sospechosos
•
Fechas de archivos accedidos, alterados y eliminados
•
Sequencia de eventos
•
Efectuar análisis físico y lógico en cima de los datos levantados en las etapas antecesoras sin alterar el contenido original.
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 6. Se realiza el análisis de las evidencias obtenidas
Análisis físico y lógico •
Son investigados los datos brutos del equipo de almacenamiento.
•
El análisis es realizado sobre la imagen pericial o en la copia restaurada de las pruebas.
•
Datos comunmente investigados: •
Todas las URL encontradas en el sistema
•
Todas las direcciones de E-mail encontradas
•
Todas las ocurrencias de búsquedas de secuencia con palabras sensibles según perfil psicológico obtenido en el CAMPO del los hechos o bien luego de la ICIA del o los presuntos criminales.
Análisis Forense Informático
PROCESO GENERAL FRENTE A UN CASO 6. Se realiza el análisis de las evidencias obtenidas
Análisis de Logs •
Para rastrear los casos es importante que el profesional actúe como lo haría el posible cibercriminal y no vea los datos como un simple usuario o administrador
•
Para ello, es necesario que el reconstruya los historicos de •
Usuarios
•
Procesos
•
Situación de la Red
• •
Accesos a determinados servicios servicios Etc.
Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6. Se realiza el análisis de las evidencias obtenidas
Herramientas de Investigación y análisis Forense Autopsy Forensic Browser
Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6. Se realiza el análisis de las evidencias obtenidas
Herramientas de Investigación y análisis Forense EnCase Software
Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6. Se realiza el análisis de las evidencias obtenidas
Herramientas de Investigación y análisis Forense RoadMaSSter-II (Portable Forensic Evidence Laboratory ) Israel Technology
Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO
7. Se escribe el Acta en presencia del Fiscal 8. Presentación del Acta •
Al Juzgado, a la Corte, el cliente, etc.
•
La aceptación de la mísma dependerá de: • •
Forma de presentación. Antecedentes y calificación calificación del profesional que realizó la adquisición, preservación y análisis de las evidencias.
•
La credibilidad del procedimiento realizado.
•
Utilización de herramientas autorizadas para tal función.
Servicios de Informática Forense
El análisis e investigación forense informática NO SOLO
“
”
se aplica una vez que tenemos un incidente o se pretende investigar que fue lo que pasó, quien fue y como.
Conclusión
•
Los incidentes de seguridad informática suceden y cada vez se vuelven más complejos tecnológicamente.
•
Las metodologías de análisis Forense Informático están siendo adoptadas por las organizaciones privadas, organismos gubernamentales, etc, para sus investigaciones.
•
Hoy en día existen herramientas y metodologías que nos permiten poder llegar a prevenir y resolver casos de los más complejos en tecnología e inteligencia.
Conclusión
FORENSE INFORMÁTICO 50% (Factor Humano) 50% (Factor Informático)
… Solo uno falla y tendremos un 50% de probabilidades a sufrir algún tipo de ataque …
¿ Cuan seguro usted se encuentra ?
Preguntas