Volumen #01
Universidad De Lambayeque
“El informe pericial recuperar información que ha sido eliminado del disco duro”
Auditoría Informática
Profesor: Ing. Ernesto Karlo Celi Arévalo Estudiante: Wilson Delgado Ramos Ronald Rodas Rufasto Lambayeque – Perú Perú
Volumen #01
Preparado por la auditoria 31 de agosto del 2017 AUDITORIA N° A: De: Asunto: Referencia: Fecha de informe:
- IS-UDL -001 Docente De la Universidad. Equipo Auditor RECUPERAR INFORMACIÓN DE DISCO: 31 de agosto del 2017
INDICICIO: 1. MARCO DE REFERENCIA: ISO 2700 ISO 27001: seguridad informática ISO 27002: riesgos operativos relacionados con ti. Artículo 340. Condiciones de los peritos. 2. ASPECTOS DE SEGURIDAD INTERNO: Coso Cobit 5: Gobierno de TI. 3. PRUEBA: Generar pruebas sustantivas a partir de evidencias de dispositivos de almacenamiento de datos (discos duros).
Volumen #01
Para recuperar un archivo borrado de un disco duro el tiempo que pasa desde que lo eliminamos es clave para tener éxito en la recuperación. Si utilizaron métodos más agresivos como el formateo a bajo nivel que les proporcionan herramientas como HDD LLF o Lowvel. En estos casos la información ya no será recuperable.
Ilustración 1: formateo a bajo nivel
Cuando un archivo se borra de un disco duro, en realidad lo que ocurre es que el sistema operativo recibe la información de que ese espacio que antes ocupaba una imagen o documento está de nuevo libre para ser utilizado. Por lo tanto la información se mantiene físicamente y hay bastantes probabilidades de que podamos recuperarla de forma sencilla.
Ilustración 2: utilización de Herramienta.
Volumen #01
Deja de ser fiable para almacenar información que no queramos perder lo más probable es que podamos recuperar la información pero no seguir usando esa unidad con seguridad. pero debemos afinar mucho más el diagnóstico para conocer de qué manera podemos actuar para tratar de recuperar la información. Uno de los programas más sencillos e intuitivos para recuperar archivos borrados es Recuva, Filerecovery o Pandora Recovery. En todos ellos se realiza una búsqueda de archivos borrados, de los que podemos conocer el estado y si son recuperables o no. Si queremos ir más allá podemos usar TestDisk, que además de ayudarnos a recuperar archivos, puede analizar unidades, reparar particiones, realizar copias de seguridad o trabajar con errores de arranque de nuestro PC. Si lo que buscamos es algo más específico para fotos de tarjetas de memoria, Undelete Plus nos puede servir perfectamente. Validez de la prueba: Garantizar la cadena de custodia sobre el objeto de la pericia y el volcado de datos en una recuperación de información se pierde fiabilidad en el valor probatorio de la pericia si no hay garantías de ausencia de manipulación.
Volumen #01 4. EVIDENCIA Y HALLAZGO: Tomaremos un caso particular de recuperación de Disco Duro; Estos Pasos para utilizar la herramienta EaseUS Data Recovery Wizard Free son:
Paso 1. Seleccione la ubicación donde ha perdido datos y pulse en el botón "Escanear ".
5.
Primero EaseUS Data Recovery Wizard va a hacer un escaneo rápido. Tras terminarlo, se iniciará un escaneo profundo de forma automática para encontrar más archivos perdidos. Si ha encontrado los archivos que desea en el resultado del escaneo rápido, puede detener el escaneo profundo para ahorrar tiempo. Paso 2.
Volumen #01
Elija los archivos que desea recuperar por los tipos de archivos arriba desde el resultado de escaneo. Haga clic en "Recuperar" para recuperar los seleccionados. Tenga en cuenta que debe elegir un lugar diferente al original para evitar la sobre escritura de datos. Paso 3.
6. EaseUS Data Recovery Wizard Free hace que sea una realidad para usted a recuperar gratis unidad de disco duro formateado de Windows 10. Pero sólo se puede restaurar archivos de 2 GB de forma gratuita. Si desea restaurar más datos, EaseUS Data Recovery Wizard Pro está disponible para ayudar. Este software puede ayudarle a restaurar el mayor número de datos que desea sin limitaciones y resolver problemas complejos
7. CONCLUSIONES: El indicio si se puede auditar, pero no se garantiza el hallazgo de la información en buen estado, depende de la información fue borrada pocas horas antes.
8. RECOMENDACIONES: Recomiendo realizar una bitácora de trazabilidad, si lo quiere con restauración.
---------------------------------------------- HASTA AQUÍ -------------------------------------------
Volumen #01
HOJAS DE BORRADOR (NO SIRVE)----------------------------------------------------
Alineamiento con Normas y Mejores Prácticas para Gestión de Riesgos y Cumplimiento Para las empresas que aún no han comenzado a preparar estrategias de defensa, un buen punto de partida es la adopción de los procedimientos recomendados, como el de Security Requirements for Data Management (Requerimientos de seguridad para la gestión de datos), descrito en la sección de Entrega y soporte (DS, Deliver and Support) 11.6 de COBIT (Objetivos de control para la TI y tecnologías afines), junto con los procedimientos indicados en la correspondiente sección de la guía de aseguramiento IT Assurance Guide: Using COBIT.9 Estas publicaciones resumen el objetivo de control y los factores determinantes de valor y de riesgo, e incluyen una lista de pruebas recomendadas para el diseño del control. ISACA también publicó una serie de documentos que establecen correspondencias entre las normas sobre seguridad de la información y COBIT 4.1, y que resultan sumamente valiosos para profesionales y auditores. Además, se ha publicado recientemente en COBIT Focusun excelente artículo que establece una correspondencia entre la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, Payment Card Industry Data Security Standard) v2.0 y COBIT 4.1.10 La Asociación Internacional de Gestión de Datos (Data Management Association International, DAMA) ofrece un recurso adicional: The DAMA Guide to the Data Management Body of Knowledge (DMBOK); se recomiendan especialmente los capítulos tres (“Data Governance”), siete (“Data Security Management”) y doce (“Data Quality Management”).11
Desde la perspectiva del cumplimiento normativo, existe un marco legislativo cada vez más amplio que asigna a las organizaciones la responsabilidad de garantizar la integridad de los datos y del aseguramiento de la información (information assurance o IA). En los EE. UU. se han aprobado las siguientes leyes, que imponen severas sanciones en caso de incumplimiento: Data Quality Act (Ley de Calidad de los Datos), Sarbanes-Oxley Act (Ley Sarbanes- Oxley), Gramm-Leach-Bliley Act (Ley Gramm-Leach-Bliley), Health Insurance Portability and Accountability Act (Ley de Transferibilidad y Responsabilidad de los Seguros de Salud) y Fair
Volumen #01 Credit Reporting Act (Ley de Garantía de Equidad Crediticia). También existe la Federal Information Security Management Act (Ley Federal de Gestión de Seguridad de la Información), que establece sanciones económicas en caso de incumplimiento de las disposiciones vigentes. (El análisis de las leyes vigentes fuera de los EE. UU. excede el alcance del presente artículo; sin embargo, cabe destacar dos excelentes ejemplos de legislación comparada, como la directiva de la Unión Europea [UE] para la protección de los datos [“Directive on Data Protection”] y la 8.ª directiva de la UE sobre derechos de sociedades [“8th Com pany Law Directive”] en relación con las auditorías legales12, 13).
(ISACA) 1.
ORIGEN DE LA AUDITORIA: Evidencia de la auditoria: NAGU 3.40 EL AUDITOR DEBE TENER EVIDENCIA SUFICIENTE, COMPETENTE Y RELEVANTE MEDINTE LA APLICAICON DE PRUEVAS DE CONTROLY PROCEDIMIENTOS SUSTANTIVOS QUE LE PERMITAN FUNDAMENTAR RAZONABLEMENTE LOS JUICIOS Y CONCLUCIONES QUE LE FORMULE AL ORGANISMO, PROGRAMA, ACTIVIDAD O FUNCIÓN QUE SEA OBJETO DE AUDITORIA. LA auditoría de control interno, ejecutados a los diversos procesos legales: Ley 26.612 de10 de mayo de 1996, que modifica el D. Leg nº 681, mediante elcual se regula el uso de tecnologías avanzadas en materia de archivo dedocumentos e información. Adapta los microarchivos a la tecnologíaelectrónica. (Promulgada el 17 de mayo de 1996 y Publicada en el DiarioOficial "El Peruano" el 21 de mayo de 1996). NTP-392.030/2-1997 Reglamentación exclusiva de medios de archivoelectrónico (microformas).Norma Técnica aprobadas por el INDECOPI referido al uso de la tecnología.(INDECOPI. Instituto Naional de Defensa de la Competencia y de la Proteccióna la Propiedad Intelectual) Resolución nº 0121/98/INDECOPI-ODA , de 9 de julio de 1998, que Apruebalos Lineamientos de la Oficina de Derechos de Autor sobre el Uso Legal de losProgramas de Ordenador. Resolución Administrativo del Titular del Pliedo del Ministerio Público nº 112-99SE-TP-CEMP ("El Peruano" 25 junio 1999).La Comisión Ejecutiva del Ministerio Público aprobó la conformación de unComité de trabajo encargado de la elaboración de las propuestas para eltratamiento de imágenes y documentos de los archivos principales delMinisterio Público utilizando tecnologías de microfilmación, digitalización yotras
Volumen #01 Proyecto de reforma penal sobre criminalidad informática en 1999. 1210.A3 Los auditores internos deben tener conocimiento de los riesgos y controles clave en tecnología informática y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología informática. Se origina por el hallazgo de indicios, la cual se realizará mediante la prueba sustantivas, encontrando evidencias Físicas como objeto de auditoria es un Disco Duro. La cual se realizará mediante la inspección y la observación para determinar si es posible recuperar la información contenida en el Disco Duro. 2. Tipo de auditoria: Auditoria forence, INTERNA, SIN trazabilidad. de Análisis del disco duro
Alguien que se apodere del disco duro usado en un cajero (hurto, reutilización del disco sin una correcta eliminación de los datos) podría llegar a analizar el contenido del disco, especialmente si no se utilizan mecanismos criptográficos para protegerlo.
Se evalúa la información que se puede obtener a partir del disco duro de un cajero, no sólo en ficheros existentes, sino también en ficheros borrados.
Búsqueda de PAN, PINBLOCK, pista, etc. en el disco duro para verificar la escritura y/o borrado seguro de datos en el HD según requerimientos de PCI DSS.
3.
Resultados.
4.
Auditoria Alcance:
Volumen #01
Título: Todo informe pericial debe de tener un título que ha de expresar de forma clara e inequívoca el objeto del mismo.
Documentos: El informe constará, al menos, de los siguientes documentos básicos: Índice General, Memoria y Anexos. Dichos documentos básicos podrán estar agrupados en distintos volúmenes o en uno sólo, dependiendo del volumen de los mismos.
Redacción: En la portada de cada uno de los volúmenes y en la primera página de cada uno de los documentos básicos debe figurar:
Número del volumen Título del informe
Tipo de documento unitario ( “índice general”, “Memoria”, “Anexos”)
Organismo o cliente para el que se redacta el informe Identificación y los datos profesionales de cada uno de los autores del informe pericial En su caso, datos de la persona jurídica que ha recibido el encargo de su elaboración.
Todos los documentos han de tener una presentación cuidadosa, limpia y ordenada. Estarán estructurados en forma de capítulos y apartados, que se numerarán de acuerdo con lo indicado en la Norma UNE 50132. El informe pericial informático deberá estar redactado de forma que pueda ser interpretado correctamente por personas distintas de sus autores. Se requerirá un lenguaje claro, preciso, libre de vaguedades y términos ambiguos, coherente con la terminología empleada en los diferentes capítulos y apartados de los diferentes documentos del informe y con una mínima calidad literaria.
El índice general del informe pericial Tiene como misión la localización fácil de los distintos contenidos del informe pericial. El índice general contendrá todos y cada uno de los Índices de los diferentes documentos básicos del informe.
Memoria del informe pericial
Volumen #01 Tiene cómo misión justificar las soluciones adoptadas y describir de forma univoca el objeto del informe pericial. La Memoria deberá ser claramente comprensible, no sólo por peritos informáticos sino por terceros, en particular por el cliente, especialmente en lo que se refiere a los objetivos del informe, las alternativas estudiadas, sus ventajas e inconvenientes, y las razones que han conducido a las conclusiones expresadas. El contenido de la memoria es el siguiente:
Hoja de identificación: Una primera hoja donde figurará:
El título del informe y, en su caso, su código identificador. Razón social de la persona física o jurídica que ha encargado el informe pericial y su C.I.F., nombre y apellidos de su representante legal y su DNL, dirección profesional, teléfono, fax, correo electrónico… Nombre y apellidos,, colegio profesional al que pertenece, número de Colegiado, DNI., dirección profesional, teléfono, fax, correo electrónico de cada uno de los autores del informe pericial. Fecha y firma de los anteriormente mencionados.
Índice de la memoria: Dicho índice hará referencia a cada uno de los documentos, a sus capítulos y apartados, que componen la Memoria, con el fin de facilitar su utilización.
Objeto: En este Capítulo de la Memoria se indicará el objetivo del informe pericial informático y su justificación.
Alcance: En este capítulo de la Memoria se indicará el ámbito de aplicación del informe pericial.
Antecedentes: En este capítulo de la Memoria se enumerarán todos aquellos aspectos necesarios para la comprensión de las alternativas estudiadas, y las conclusiones finales del informe pericial.
Normas y referencias:
Volumen #01 En este capítulo de la Memoria se relacionarán sólo los documentos y normas legales y reglamentarias citadas en los distintos apartados de la misma.
Definiciones y abreviaturas: En este capítulo de la Memoria se relacionarán todas las definiciones, abreviaturas y expresiones técnicas que se han utilizado a lo largo del informe pericial, así como su significado.
Requisitos: En este capitulo de la Memoria se describirán las bases y datos de partida establecidos por el cliente y la legislación, reglamentación y normativa aplicables.
Análisis de soluciones: En este capítulo de la Memoria se indicarán las distintas alternativas estudiadas, qué caminos se han seguido para llegar a ellas, ventajas e inconvenientes de cada una y cuál es la solución finalmente elegida y su justificación.
Resultados finales: En este capítulo de la Memoria se describirá sucintamente la operativa realizada según la solución elegida junto a las conclusiones del informe pericial informático.
Anexos del informe pericial informático El documento básico Anexos se iniciará con un índice que hará referencia a cada uno de los documentos, a sus capítulos y apartados que los componen, con el fin de facilitar su utilización. Está formado por los documentos que desarrollan, justifican o aclaran apartados específicos de la memoria, y sustentan todo lo que en ella se afirma. En el caso del informe pericial informático hay dos apartados fundamentales en todo Anexo:
Intervención de evidencias digitales: En este apartado se debe documentar con todo lujo de detalle la intervención de las evidencias digitales, el proceso de su adquisición y la fundamentación de su cadena de custodia.
Estudios periciales:
Volumen #01 En este apartado se debe describir con todo lujo de detalle las técnicas utilizadas y los resultados obtenidos tras aplicarlas sobre las evidencias digitales intervenidas. Todas las acciones realizadas deben de poder ser reproducidas por un tercero, obteniéndose idéntico resultado.
El visado colegial del informe pericial informático Si se cumplen estos preceptos, y el autor o autores de los trabajos son peritos informáticos colegiados, puede adicionalmente obtenerse el visado colegial del informe pericial. El visado colegial, una vez otorgado, garantiza:
El reconocimiento de que el autor es un profesional colegiado y habilitado para el ejercicio de la profesión, sujeto a deontología profesional. Certifica la autoría y propiedad del informe. Autentificación y registro de la documentación del informe visado. Que el trabajo es formalmente completo, en el sentido que incluye el contenido mínimo necesario para su finalidad. Que el autor ha tenido en cuenta para su redacción las disposiciones legales y administrativas aplicables al trabajo a realizar. La existencia de una corporación de derecho público que vela por los derechos del receptor de los trabajos.
En conclusión A lo largo de mi carrera como perito informático colegiado he visto todo tipo de informes periciales, algunos incluso de tan sólo dos folios, sin índices y en un lenguaje poco menos que pintoresco. El principal objeto del informe es que sea entendido por profanos en la materia, por lo que la no observancia de estas normas puede conllevar la total ineficacia del informe y el nulo valor del perito informático actuante. Seguir un método estandarizado ayuda a la comprensión por terceros de los informes de peritaje informático, por su naturaleza, complejos y difíciles de entender para muchos abogados y jueces. Además, su observancia demuestra, de entrada, la seriedad y corrección del autor del mismo.
INFORME COMO PUEDEN RECUPERAR INFORMACIÓN QUE HA SIDO ELIMINADO DEL DISCO DURO CON O SIN FORMATEO. DECIR SI SE PUEDE RECUPERAR REALIZAR CON LA SECUENCIA DE PASOS
Volumen #01 http://www.antud.org/El%20informe%20pericial.pdf http://peritoinformaticocolegiado.es/metodologia/ http://190.104.117.163/2014/septiembre/prueba/contenido/ponencias/Anexos/Jurisprudencia/Prueba%20pericial%20informatica.pdf