Charla Informatica Forense

8/10/2019 Charla Informatica Forense

1/32

Charla: Informtica Forense


2/32

Seguridad Informtica

La seguridad informtica se define como lapreservacin de la confidencialidad, la integridad y ladisponibilidad de los sistemas de informacin.

La labor de todo IT es tomar

las previsiones del caso


3/32

Informtica orense

La informtica forense se define como la rama de lainformtica que apoya a la justicia en la bsqueda dela verdad. Para dichos fines recopila que puedan ser

empleados para fines judiciales.


4/32

Anlisis Forense:

Es la aplicacin de principios de las ciencias fsicas en derecho ybsqueda de la verdad en cuestiones civiles, criminales y decomportamiento social para que no se comentan injusticias contracualquier miembro de la Sociedad.(Manual de Patologa Forense del Colegio de Patologistas

Americanos, 1990).

Ciencia Forense:

Ciencia de encontrar, recoger, analizar y preservar evidencias quesean admisibles en un tribunal u otros ambientes legales.

Informatica Forense:

Es una rama de la Ciencia Forense en relacion a las evidenciaslegales halladas en computadoras y/o medios de almacenamientolegal. Se hadhiere a las normas de pruebas admisibles en un Tribunalde Justicia.


5/32

Procedimiento Forense Informtico

Que es un procedimiento forense ?

Es la metodologa detallada utilizada por el Investigador conla finalidad de obtener las evidencias para su posterioranlisis y entrega a la justicia


6/32

Procedimiento Forense InformticoEtapas del Procedimiento Forense

Identificacin

Recoleccin o adquisicin de evidencias

Preservacin de evidencias (fsica y lgica)

Anlisis de evidencias

Presentacin de resultados

El anlisis forense computacional produce

informaciones directas y no interpretativas


7/32


8/32

Procedimiento Forense Informtico

El Investigador Forense debe plantearse preguntascomo:

Quin realiz la intrusin?

Cual pudo ser su interes?

Cmo entr en el sistema el atacante?


9/32

El Investigador Forense debe plantearse preguntas como:

Qu daos ha producido en el sistema o que informacin

se llev?Dejo informacin que permita involucrarlo?

Tendr alguna forma de volver acceder (backdoor)?

Etc


10/32

Evidencia Digital

Qu es la Evidencia Digital ?

La Evidenc ia Digital, es todo aquel elemento que pueda almacenar

informacin de forma fsica o lgica que pueda ayudar a esclarecer

un caso. Pueden formar parte:

Disco s rgido s , HDArch ivos temporales , *.temp

Espacios no asignados en el disco

Diskettes, Cd-rom ,Dvd, Zip, etc.

Pen drives

Cmaras d ig it alesBackups


11/32

Debemos tener en cuenta que :

La Evidenc ia Digital es :

Volatil

Dup l icable

Borrable

Reemp lazable

Evidencia Digital


12/32

Principios para la Recoleccin de Evidencias RFC 3227

Orden de volatilidad

Cosas a evitar

Consideraciones relativas a la privacidad de los datos

Consideraciones legales

Procedimiento de recoleccin

Transparencia

Pasos de la recoleccin

Cadena de custodia

Como archivar una evidencia

Herramientas necesarias y medios de almacenamiento de stas

Evidencia Digital


13/32

Admisibilidad de la Evidencia

La evidenc ia debe ser/ estar:

Relevante: relacionada con el crimen bajo investigacin.

Permitida Legalmente: fue obtenida de manera legal.

Confiable: no ha sido alterada o modificada.

Identificada: ha sido claramente etiquetada.

Preservada: no ha sido daada o destruida.

Evidencia Digital


14/32

Tipos de Evidencia

Best evidenceevidencia primaria u original, no es copia.

Secondarycopia de evidencia primaria.

Direct evidence

prueba o invalda un acto especfico a travs del un testimonio oral.

Conclus ive evidenceindiscutible, sobrepasa todo otro tipo de evidencia.

Evidencia Digital


15/32

Evidencia Digital

Finalidad

Demostrar que la Evidencia presentada ante las Autoridades correspondientes, es la misma que

se obtuvo en el Lugar de los Hechos.


16/32

Ciclo de Vida de la Evidencia

Descubrimiento y Reconocimiento.

Proteccin.

Registracin.

Recoleccin.

Recoleccin de todos los medios de almacenamientos relevantes.

Generacin de una imgen del HD antes de desconectar la computadora.

Impresin de pantallas.

Evitar la destruccin de los equipos (degaussing).

Identificacin (etiquetado).

Preservacin.

Proteccin de los medios magnticos contra borrado.Almacenamiento en un ambiente adecuado.

Transportacin.

Presentacin ante la corte.

Devolucin de la evidencia a su dueo.

Evidencia Digital


17/32

Anlisis Forense Informtico

PROCESO GENERAL FRENTE A UN CASO

1. Surge un pedido de un juzgado o cliente en particular

2. Se debe elaborar un plan de trabajo (Inteligencia)

3. Se realiza el procedimiento del Secuestro de evidencias

4. Se deben realizar las copias correspondientes

5. Se da comienzo a la CADENA DE CUSTODIA

6. Se realiza el anlisis de las evidencias obtenidas

7. Se escribe el Acta en presencia del Fiscal

8. Presentacin del Acta


18/32


PROCESO GENERAL FRENTE A UN CASO2. Se debe elaborar un plan de trabajo

(Inteligencia)

El plan de trabajo es realizar la recoleccin y anlisis de evidencias enel lugar donde se produjo el hecho, denominada (CAMPO) en vez dellevarla al LABORATORIO, pues en el lugar un Investigador ForenseInformtico puede no solo obtener el perfil psicolgico a travs deevidencias digitales sino que tambien se pueden obtener excelentesindicios con solo observar el lugar en donde convivan, sus gustos, sus

costumbres, etc.Se utiliza ingeniera social aplicada a la Ciencia Forense


19/32



3. Se realiza el procedimiento del Secuestro de evidencias

4. Se deben realizar las copias correspondientes.

Presencia de testigos

Escribano

Procedimiento documentado

Adquirir evidencias Bit a Bit del original.

Anotar fechas y horas

Precintar el original

Realizar 3 copias originales de la primer copia

Adquirir en orden de volatilidad

Voltiles y no voltiles


20/32

Ciclo de Vida de la Evidencia

Garantiza la seguridad, preservacin e integridad de los elementos probatorios colectados en el Lugar delos Hechos.

Tambin hace referencia al mantenimiento y preservacin adecuada de los elementos de prueba, estosdeben guardarse en un lugar seguro, con una especial atencin a las condiciones ambientales(temperatura, humedad, luz etc.)

protegindolo del deterioro biolgico o fsico.


21/32



5. Se da comienzo a la CADENA DE CUSTODIA

Quien a accedido a la evidencia ?

Que procedimientos se han seguido mientras se trabajaba con laevidencia ?

Como podemos demostrar que nuestro anlisis fue realizado sobrecopias idnticas del original ?

Acta Firma digital Hashes Time Stamps, etc


22/32


23/32




Anlisis fsico y lgico

Son investigados los datos brutos del equipo de almacenamiento.

El anlisis es realizado sobre la imagen pericial o en la copiarestaurada de las pruebas.

Datos comunmente investigados:

Todas las URL encontradas en el sistema

Todas las direcciones de E-mail encontradas

Todas las ocurrencias de bsquedas de secuencia conpalabras sensibles segn perfil psicolgico obtenido en elCAMPO del los hechos o bien luego de la ICIA del o lospresuntos criminales.


24/32




Anlisis de Logs Para rastrear los casos es importante que el profesional acte

como lo hara el posible cibercriminal y no vea los datos como unsimple usuario o administrador

Para ello, es necesario que el reconstruya los historicos de

Usuarios

Procesos

Situacin de la Red

Accesos a determinados servicios

Etc.


25/32


PROCESO GENERAL FRENTE A UN CASO6. Se realiza el anlisis de las evidencias obtenidas

Herramientas de Investigacin y anlisis Forense

Autopsy Forensic Browser


26/32




Herramientas de Investigacin y anlisis ForenseEnCase Software


27/32




Herramientas de Investigacin y anlisis Forense

RoadMaSSter-II (Portable Forensic Evidence Laboratory)

Israel Technology


28/32



7. Se escribe el Acta en presencia del Fiscal

8. Presentacin del Acta

Al Juzgado, a la Corte, el cliente, etc.

La aceptacin de la msma depender de:

Forma de presentacin.

Antecedentes y calificacin del profesional que realiz laadquisicin, preservacin y anlisis de las evidencias.

La credibilidad del procedimiento realizado.

Utilizacin de herramientas autorizadas para tal funcin.


29/32

Servicios de Informtica Forense

El anlisis e investigacin forense informtica

NO SOLO

se aplica una vez que tenemos un incidente o se pretende

investigar que fue lo que pas, quien fue y como.


30/32

Conclusin

Los incidentes de seguridad informtica suceden y cada vez se vuelvenms complejos tecnolgicamente.

Las metodologas de anlisis Forense Informtico estn siendo adoptadaspor las organizaciones privadas, organismos gubernamentales, etc, parasus investigaciones.

Hoy en da existen herramientas y metodologas que nos permiten poderllegar a prevenir y resolver casos de los ms complejos en tecnologa einteligencia.

C l i


31/32

Conclusin

FORENSE INFORMTICO50% (Factor Humano) 50% (Factor Informtico)

Solo uno falla y tendremos un 50% de

probabilidades a sufrir algn tipo deataque

Cuan seguro usted se encuentra ?


32/32

Preguntas

Documents

Charla Informatica Forense