Buenas prácticas para el secuestro de evidencia digital

Mg. Sebastián GómezPoder Judicial - Neuquén2008

05/09/2008 2

ConceptosEvidencia digital: información y datos de valor investigativo que es almacenada o transmitida por un dispositivo electrónico

Evidencia no digital (ejemplos): contraseñas escritas en papeles, impresiones, huellas dactilares en teclados, etc.

05/09/2008 3

Principios ForensesLa evidencia digital es muy volátil y puede ser alterada si no se toman recaudosUna vez que la evidencia es contaminada no puede ser “descontaminada”5 reglas para la evidencia digital

Admisible: debe poder ser ofrecida como pruebaAuténtica: en cuanto a la relevancia para el casoCompleta: no se deben descartar elementos que puedan justificar el deber de investigar a otras personas sospechadasConfiable: incuestionable en cuanto a su veracidadCreíble: clara, fácil de entender por un juez o tribunal

05/09/2008 4

Principales impulsoresIOCESWGDENIJ Electronic Crime ProgramACPONISTDoD Cibercrime CenterDFRWNW3CCTOSE

05/09/2008 5

Buenas prácticasPlanificación

Casuística->fuentes de evidencia digitalTareas de inteligenciaChequeo del toolkit forense para respuesta a incidentes

BúsquedaAseguramiento de la escenaIdentificación de evidenciaDocumentación del proceso

PriorizaciónOrden de volatilidad

Recolección de evidenciaPreservación de la evidenciaCadena de custodia

05/09/2008 6

PlanificaciónCasuística <=> Posibles fuentes de evidencia digital

Controlar el contenido de la orden de allanamiento

Verificar los pasos a seguir en el lugar en que se realice el procedimiento

05/09/2008 7

PlanificaciónTareas de inteligencia

Estudiar perfiles de las personas sospechadasInvestigar la posible localización de servidores, o dispositivos de almacenamiento principalesSi se realizará alguna investigación on site:

Conocer qué tipos de redes, sistemas operativos y aplicaciones se utilizan para determinar qué tipo de hardware y software forense se utilizaráAnalizar la necesidad de contar con cooperación de administradores de sistemas o especialistas

05/09/2008 8

Planificación

Escenario simple o complejo?

05/09/2008 9

Aseguramiento de la escenaTodas las personas deben ser alejadas de los lugares donde existan fuentes de evidencia digital y requisadas en caso de sospechas.Utilizar guantes de látex (en caso de requerirse tomar huellas dactilares sobre el equipamiento informático o localizar elementos para análisis de ADN)Rechazar toda asistencia que no sea indicada por el oficial a cargo del procedimiento o experto en informática forense

05/09/2008 10

Aseguramiento de la escenaSi el equipo está apagado debe quedar apagado. Si está encendido...

Adquisición de evidencia on siteProcedimientos de apagado

Desconectar cables de red, periféricosDeterminar la existencia de conexiones Wi-FiEtiquetar todos los dispositivos a secuestrar

05/09/2008 11

Identificación de evidenciaIndividualizar hardware que pueda albergar información relevante a la investigaciónLocalizar el software específico o más utilizadoDeterminar la existencia de servicios de Internet

05/09/2008 12

Fuentes de evidencia digital

05/09/2008 13

BúsquedaIdentificación de evidencia

No excederse de lo indicado en la orden de allanamientoSolicitar información a usuarios -o administradores de sistemas- siempre que sea posible:

cuentas de usuario y de e-mailcontraseñas (BIOS, de aplicaciones, e-mail, sistemas operativos, bases de datos)sistemas operativosaplicaciones más utilizadas (software especial para borrado de datos)topología de redinformación para acceso a intranet e Internetlocalización de dispositivos de almacenamiento externospolíticas de seguridad, dispositivos o software para borrado especial de información digital.

05/09/2008 14

Identificación de evidencia

05/09/2008 15

Identificación de evidencia

05/09/2008 16

Identificación de evidenciaPosición del mouse (el usuario es zurdo o diestro?)Status de los leds del equipo (on, off, sleep)Está tibio el equipo (fue recientemente apagado?)

05/09/2008 17

Documentación del procedimientoFotografiar (o filmar) los puestos de trabajo, las pantallas de los monitores encendidos, la ubicación de los equipos y conexiones o dispositivos especialesSecuestrar o documentar impresiones, anotaciones cercanas al equipamiento informático

05/09/2008 18

PriorizaciónOrden de volatilidad

Listado de procesos, listado de servicios, información de red (puertos abiertos, escuchando, cerrados), recursos compartidos, usuarios logueados, tablas ARP, dump de memoria, redes peer-to-peer, información de routers, firewalls

Se recomienda volcar la información a un pen drive

Detectar:Tecnología BitLockerSoftware de encriptación (ej. TrueCrypt)Software de borrado antiforense (ej. Eraser)

05/09/2008 19

Recolección de evidenciaSiempre es conveniente secuestrar el equipo informático o dispositivo de almacenamiento original. Si no fuese posible:

Realizar una copia a nivel de bit-stream (si procede) utilizando write-blockers y software o hardware forense. Verificar certificación digital (MD5, SHA) del original y la copiaRegistrar en el acta de allanamiento la certificación digital y tamaño de la imagen forense

Apagar el equipamiento informático mediante el procedimiento forense recomendado

05/09/2008 20

Preservación de evidenciaInventariar los dispositivos de almacenamiento de evidencia digital removibles (DVDs, CDs, pendrives, memorias flash, discos rígidos, cintas)Utilizar bolsas antiestáticas para proteger dispositivos magnéticosRegistrar detalladamente los elementos a secuestrar en el acta de allanamiento (ej. fabricante, modelo y número de serie), su ubicación y el posible propietario o usuario.

05/09/2008 21

Preservación de evidencia

Requiere experticia, entrenamiento y recursos tecnológicos forensesRiesgo de perder o destruir evidencia (ej. rootkit)Los métodos pueden ser cuestionados mucho más que al secuestrar hardware y pueden surgir impedimentos técnicos

Se puede aprovechar alguna asistencia local (ej. administrador de sistemas, si no estásospechado)Rápida y sin consumir demasiados recursos tecnológicos

Adquirir selectivamente la evidencia digital on-site

Requiere entrenamiento y recursos tecnológicos forensesRiesgo de imposibilidad de acceso a la evidencia encriptadaRiesgo de pérdida de evidencia digital (ej. RAM)Requiere tiempo (a veces es prohibitivo)Los métodos pueden ser cuestionados mucho más que al secuestrar el hardware, y pueden surgir impedimentos técnicos

La evidencia digital puede ser examinada a posterioriEl trabajo con una imagen forense evita daños sobre la evidencia originalMinimiza el impacto en la operatoria del negocio y evita daños al hardware

Adquirir toda la evidencia digital on-site

Riesgo de dañar el equipamiento en el trasladoRiesgo ante evidencia encriptadaRiesgo de pérdida de evidencia digital (ej. RAM)Genera cuestionamientos por interrumpir la normal operatoria de un negocioRiesgo de no ser capaces de poder encender el equipo (ej. password a nivel de BIOS)

Requiere poca experticia técnicaSimple, sin críticasEl hardware puede ser examinado en un entorno controladoEl hardware está disponible para varios peritajes o aplicación de distintas técnicas forenses

Secuestrar hardware

DesventajasVentajasMétodo

05/09/2008 22

Cadena de custodiaProtege la integridad de la evidenciaPreguntas que deben poder ser respondidas:

Quién realizó el secuestro?Cuándo y dónde se realizó el procedimiento judicial?Quién protegió y transportó la evidencia?Cómo fue almacenada la evidencia?Quién la sacó de su envoltorio de protección y para qué?

05/09/2008 23

Cadena de custodiaPrecintar el material a secuestrar con etiquetas de seguridadRotular y registrar en el acta de allanamiento los números de serie de los elementos de protección utilizadosTransportar el equipamiento secuestrado con extremo cuidado evitando altas temperaturas, campos magnéticos, golpes

05/09/2008 24

Material de consulta2002: RFC 3227 - Guidelines for Evidence Collection and Archiving2003: Seizing Computers and Other Electronic Evidence, Best Practice Guide, Australasian Centre for Policing Research2005: First Responder Guide for Computer Forensics, Handbook, CMU/SEI-2005-HB-0012006 (Argentina): “Guía Operativa para Procedimientos Judiciales con Secuestro de Tecnología Informática”, Poder Judicial, NeuquénRevista de Derecho Informático, ISSN 1681-5726 http://www.alfa-redi.org/rdi-articulo.shtml?x=62162007: Good Practice Guide for Computer based Electronic Evidence, Association of Chief Police Officers & 7Safe2008: Best Practices for Seizing Electronic Evidence, v.3, A Pocket Guide forFirst Responders, United States Secret ServiceAbril del 2008: Electronic Crime Scene Investigation - A Guide for FirstResponders, Second Edition, National Institute of Justice

05/09/2008 25

Gracias por su atención

Preguntas...?