View
215
Download
0
Category
Preview:
Citation preview
Octubre 2011
SEMINARIO INTERNACIONAL SEGURIDAD DE LA INFORMACIÓN: NUEVOS RETOS
“RECOLECCIÓN DE EVIDENCIAS”
Subintendente, YAIR VANEGAS RODRIGUEZ yair.vanegas@correo.policia.gov.co
1II. GRUPO INVESTIGACIONES
TECNOLÓGICAS
Contenido
1. EVIDENCIA DIGITAL 1I. ASPECTOS QUE SE DEBEN
FORTALECER
EVIDENCIA DIGITAL
I
Evidencia Digital
Cualquier información que,
sujeta a una intervención
humana u otra semejante, ha
sido extraída de un medio
informático.
Tomado de Computación forense. Jeimy J. Cano M (Colombia).
Procesamiento de la
evidencia digital
Identificación Preservación Análisis de la
información Recolección
Equipos de cómputo, discos duros
(externos-internos), memorias USB,
cámaras digitales, teléfonos celulares-
satelitales-inteligentes, GPS, dispositivos
reproductores Ipod-Mp3-Mp4, Tablet PC,
entre otros.
Dispositivos Electrónicos:
Elementos complementarios
Cuadernos, libros, apuntes, registros,
contenedores de basura.
Identificación
¡¡¡ No olvide la evidencia tradicional !!!
EMP Digital - Convencional
Todos los hallazgos
pueden ser importantes.
Preservación
Detalle Fotografía Portátiles
incautados 22092010
Fijación (fotografía, video,
documentación, etc. )
Verificación de los medios
electrónicos y equipos de
computo. Estado de funcionamiento
de los equipos.
Datos volátiles
Procesos, historial de
comandos
Direcciones IP, Conexiones
Puertos Abiertos
Contraseñas
Información del sistema,
usuarios
Escenario BitLocker
Determinar Versión del
sistema operativo
Determinar activación de BitLocker
C:\Windows\system32> cscript manage-bde.wsf –status
Generar claves de recuperación
Realizar Imagen Forense
ATA -Introduction to Digital Forensics and Investigations
Escenario Filevault
Identificar si existen usuarios configurados
con fileVault
Extraer archivo sparsebundle
Verificar contraseñas
Realizar Imagen Forense
ATA -Introduction to Digital Forensics and Investigations
Privilegios de administración Convierte el archivo .sparsebundle en dmg Permiso solamente de lectura. Hdiutil convert forense.sparbunble format UDRO –o sparbundle.dmg
Escenario Teléfonos Celulares
Debemos apagar el teléfono celular?
Aislar el teléfono de la red
Recolectar cables
de datos, cables de
corriente, contraseñas.
Realizar extracción
De información del
teléfono
Imágen Forense
Una imagen forense es una copia no modificada de
un dispositivo de almacenamiento electrónico.
La creación de una imagen forense garantiza:
La integridad de las pruebas.
Protección contra cambios o daños no
deliberados a los datos originales.
Software para adquisición
Utilizar CD Live Configurar SETUP ó
opción de Boot de PC
Búsqueda de información
Borrado Seguro
http://www.forwarddiscovery.com/Raptor
Realizar Imágenes forenses
Sumas de verificación MD5 y SHA1
Procedimiento matemático
que mediante el empleo de un
algoritmo permite identificar
un archivo con valor único,
este valor se calcula sobre el
contenido del archivo y no
sobre el nombre del mismo.
Fuentes de recolección de
evidencia digital
Internet (Redes sociales, blogs, sitios
Web).
Correos electrónicos (Encabezados,
mensajes, archivos adjuntos).
¡¡¡RECUERDE!!!
Fijación mediante planos, videos, fotografías
Registrar Sumas de verificación MD5 y SHA1
Actas de inspección Judicial.
Registro de cadena de custodia
Apagar equipo de computo
Registro características dispositivos
Modelos, número de serie, marca,
tamaño.
Recolección
Obtener información de contraseñas
Claves de teléfonos, contraseñas de
acceso a los equipos, apuntes.
Documentar todos los procedimientos
siempre.
Documentar:
Procesamiento de la evidencia digital
Diligenciamiento cadena de custodia, documentación de los
elementos registrar errores.
Verificación de los elementos materiales probatorios
Documentación de los elementos enviados para analísis
Verificación números de identificación, características
dispositivos .
Procesamiento de la
evidencia digital
Obtención de imágenes forenses.
Envían equipos al laboratorio
para análisis.
Configuración de Zona horaria
Identificación de archivos cifrados
(Casos específicos )
Procesamiento de la
evidencia digital
Recuperación de archivos Borrados
Acceder archivos de navegación
Verificar registro del sistema operativo
(SAM, SECURITY, SOFTWARE, SYSTEM, NTUSER)
Se deben priorizar la búsqueda de información
sobre dispositivos.
Creación archivo del caso
Procesamiento de la evidencia digital
Visualización de log´s de conversaciones.
Informes de investigador de laboratorio
Búsqueda específica para cada caso,
registros de conexión, archivos ejecutables,
Documentos específicos.
ASPECTOS QUE
SE DEBEN
FORTALECER 2
Sensibilización
Autoridades Judiciales Jueces,
Fiscales, investigadores.
Sensibilización de la entidades
de gobierno para que adopten
procedimientos para la atención
de incidentes informáticos .
Proveedores de servicios de
internet.
Capacitación
Sensibilización a los
funcionarios que asumen el rol
de seguridad.
Capacitar a los funcionarios de
las entidades comprometidas en
el proceso de recolección de
evidencia digital.
Capacitar a los usuarios
independientemente el rol.
Fortalecimiento
Análisis de Malware
Análisis forense en Cloud
computing .
Análisis forense en nuevas
versiones de sistemas
operativos.
Capacidad de almacenamiento
digital.
GRUPO
INVESTIGACIONES
TECNOLÓGICAS 3
Desarrollo GITEC-DIJIN
2005 2007 2006 2008 2009 2010 2011
Inicio Programa
Seminario Ejecutivo Ciberterrorismo Respuesta Incidentes Recolección de Evidencia Digital
Programas Forenses
Visita Laboratorios FBI, DEA, USSS, ICE, IRS, Departament of State
Entrega de equipos forenses Herramientas forenses Software forense
Equipos forenses para análisis Dispositivos de comunicación móvil
Proyecto de Inversión DIJIN Renovación licencias FTK Encase
Mantenimiento equipos en donación Adquisición equipos DIJIN
Capacitación Instructores DIJIN Capacitación MAC Forensic
Implementación
Tecnológica
Análisis Digital Forense Recuperación de data eliminada Análisis de Teléfonos Inteligentes Informes Periciales de laboratorio Bodega Transitoria de Evidencia Digital
Seguimiento a objetivos en Internet Recuperación de información dejada al navegar por Internet Búsqueda de Objetivos en la Red Redes sociales y perfiles
Investigación de Fraudes Pornografía Infantil Ley 1273 de 2009 Propiedad Intelectual
CAI VIRTUAL
$ 1.500 Millones
Capacidad Tecnológica
Descubrimiento, recolección, procesamiento, análisis y
preservación de evidencia digital
Ajuste y aplicación de principios y estándares universales
Análisis forense computadores, discos externos, memoria USB,
celulares y otros
Extracción de archivos borrados, fragmentos
de archivos
Desciframiento de contraseñas de archivos
Reconstrucción de actividades WEB - historial
Archivos ocultos – códigos maliciosos
Cobertura Cali, Medellín, Bucaramanga ,
Barranquilla , Bogotá (02), proyección.
No. Casos Análisis Forenses
No. Gigabytes Analizados 11
3836
57
79
125
170
153
0
20
40
60
80
100
120
140
160
180
2004 2005 2006 2007 2008 2009 2010 2011
AÑO GB
2004 804
2005 1795
2006 2767
2007 4900
2008 11.039
2009 20.480
2010 32.844
2011 40.670
……Bibliografía
http://www.forwarddiscovery.com/Raptor
ATA -Introduction to Digital Forensics and Investigations
ATA- Forensic Acquisition of Digital Evidence – BitLocker Overview
http://technet.microsoft.com/es-es/library/cc732774(WS.10).aspx
Computación forense Descubriendo los RASTROS INFORMÁTICOS
CANO, Jeimy .
http://www.forensickb.com/ Lance Mueller
Enciclopedia de la Seguridad Informática , Gómez Álvaro
Windows Forensics Analysis, Harlan Carvey
¿PREGUNTAS?
GRACIAS
Recommended