Sesión 2 - Introducción a la informatica forense

8/2/2019 Sesión 2 - Introducción a la informatica forense

http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 1/22

Introducción a la Computación Forense 4/8/20

Daniel Torres Falkonert (c) 2011

ComputaciónForense:

Herramientas para

combatir la

ciberdelincuencia

Ing. Daniel Torres Falkonert

Email: [email protected]

08/04/20111


Ciencias Forenses

08/04/2011 Daniel Torres Falkonert (c) 20112





¿Qué estudian las

ciencias forenses?

¿Homicidios?


Criminalística y ciencias Forenses• De Wikipedia:

La Criminalística es una ciencia fáctica multidisciplinaria que sistematizaconocimientos científicos y que aplica fundamentalmente métodos y técnicas de investigación de otras ciencias y disciplinas , en el examende evidencia física, sensible y significativa relacionada con un hecho decaracterísticas controvertidas y/o ilícitas , con el fin de determinar suexistencia o reconstruirlo, señalar y precisar la intervención de uno o variossujetos en el mismo, buscando llegar a la verdad histórica de los hechossometidos a consideración.

Dicho de otra manera, es la aplicación de toda técnica y conocimientocientífico en la investigación de hechos relacionados con el crimen o quesean de interés indagatorio policial.






O aún más

simple …

es la aplicación de la

ciencia a la ley


Por lo tanto,prácticamentecualquier área delconocimiento sepuede aplicar a las

ciencias forenses






Computación Forense

Rama del conocimiento que provee a partir de

principios y técnicas científicas, la posibilidad

de metodológicamente identificar, recuperar,

reconstruir , analizar y presentar información

digital, de tal manera que esta pueda ser

utilizada como evidencia en una disputa legal.


¿Para qué?

• Determinar lo ocurrido – reconstruir eventos y

generar (descubrir) pistas.

• Determinar el alcance deun incidente

• Prevención y Preparación

para el futuro• Si es necesario, capturar y

procesar






¿Cuándo?

• No solo sirve para investigar hechosrelacionados con los hacker – Extorsiones – Fraudes – Amenazas – Pornografía infantil – Suplantaciones de identidad – Piratería de software – Recolección información de inteligencia – Disputas civiles y comerciales – Recuperación de datos – O solo para saber qué pasó


¿Qué?

Hardware o informacióncomo:

1. Contrabando (Sw. pirata)

2. Instrumento (Keylogger)

3. Evidencia (Inf. Del

Computador de RaúlReyes)






¿Quién?

El Investigador Forense enInformática

• Formación Ideal: – Métodos Científicos

– Ciencias del comportamiento

– Ciencias de la computación eingeniería

– Ciencias jurídicas o legales

– Criminalística y ciencias forenses


La Evidencia

Digital






¿Qué es?

• Es un tipo especial de evidencia física

• Es intangible

“Cualquiera o toda información en formatodigital que pueda establecer que un delitoha sido cometido o que pueda proveer unarelación entre un delito y su víctima o undelito y su autor “

Eoghan Casey


La Evidencia

• Permite conocer el pasado (Qué, Quién,Cómo, Dónde y por qué)

• Confirmar o desechar hipótesis sobre unhecho en cuestión

• Reconstruir total o parcialmente el escenarioen el que sucedió el incidente






Principio del Intercambio de Locard

• Fundamental en lasciencias forenses

• Útil al momento dereconstruir y relacionara un sospechoso con undelito


¿Quién produce la evidencia?

1. Un computador(Logs)

2. Almacenada en uncomputador (Undocumento)

3. Híbrida (una hoja

de Excel conMacros)






Características

• Volatilidad!

• Escena del crimendistribuida

• Fácilmente Alterable

• Ilegible por humanos

• Duplicable

• Integridad Verificable

• Recuperable


¿Dónde encontrarla?

• En cualquier dispositivoque tenga memoria.

– Computadores

– Memorias USB

– Teléfonos celulares

– PDA

– Cámaras digitales

– …






¿y la ley sí valora ese

tipo de pruebas?


Ley 527. ART. 10. Admisibilidad y fuerzaprobatoria de los mensajes de datos.

“Los mensajes de datos serán admisibles como mediosde prueba y su fuerza probatoria es la otorgada en lasdisposiciones del capítulo VIII del título XIII, seccióntercera, libro segundo del Código de ProcedimientoCivil.

En toda actuación administrativa o judicial, no se negaráeficacia, validez o fuerza obligatoria y probatoria a todo

tipo de información en forma de un mensaje de datos,por el sólo hecho que se trate de un mensaje de datoso en razón de no haber sido presentado en su formaoriginal”.






Ley 527. ART. 11. Criterio para valorar

probatoriamente un mensaje de datos.

“Para la valoración de la fuerza probatoria de losmensajes de datos a que se refiere esta ley, se tendránen cuenta las reglas de la sana crítica y demás criteriosreconocidos legalmente para la apreciación de laspruebas. Por consiguiente habrán de tenerse encuenta: la confiabilidad en la forma en la que se hayagenerado, archivado o comunicado el mensaje, laconfiabilidad en la forma en que se haya

conservado la integridad de la información, la

forma en la que se identifique a su iniciador ycualquier otro factor pertinente”.


La Corte Constitucional en la Sentencia

No. C-662 de Junio 8 de 2000 consideró:

“El proyecto de ley establece que los mensajes de datos sedeben considerar como medios de prueba, equiparandolos mensajes de datos a los otros medios deprueba originalmente escritos en papel.

Al hacer referencia a la definición de documentos del Códigode Procedimiento Civil, le otorga al mensaje de datos lacalidad de prueba, permitiendo coordinar el sistematelemático con el sistema manual o documentario,encontrándose en igualdad de condiciones en un litigio o

discusión jurídica, teniendo en cuenta para su valoraciónalgunos criterios como: confiabilidad, integridad de lainformación e identificación del autor”.






Ley 1273 de 2009


De todos modos todavía falta

Pero la ley sí valora la ED






Las 3 reglas de oro de la computación

Forense según Edwin Lugo

1. Proteja la evidencia Original



La validez de la evidencia depende de la

rigurosidad de los procedimientosutilizados


“Una vez reconocida, la evidencia digital debeser preservada en su estado original. Se debetener en mente, que la ley requiere que laevidencia sea auténtica y sin alteraciones”

E.Casey






Manejo no adecuado de la evidencia

• Vulnerable a falsasacusaciones

• Violaciones de laprivacidad

• Filtrado de información

• Incidentes sin resolver

• Contrademandas!!

• Pérdida de tiempo y $$$• Impunidad


Ejemplo

• Se encuentra una Memoria USB en un cajón deun escritorio

• Se Recolecta por personal del departamento de TI – Sin Autorización

• No es claro si la búsqueda fue legal

– Proceso no documentado• No es claro quien encontró el dispositivo

– No se etiquetó – No se inicio la cadena de custodia

• Continuar el proceso sería una mala idea – Alto riesgo de contrademanda






En caso de duda…

Pida ayuda a algún experto, pero NO

improvise con los procedimientos

forenses.

Si quiere me llama☺☺☺☺


Aclaración

Dependiendo de lafinalidad y laimportancia del caso,los procedimientospueden flexibilizarse






Y cuando ocurra

un incidente …

¿Qué se debe hacer?


Primera respuesta a incidentes

1. Guardar la Calma

2. Recuerde las 3 reglasde oro

3. Llame a un experto






Pero antes de llamar al experto

Tenga la siguiente información a lamano …


El Incidente

1. ¿Cómo fue detectado?

2. ¿Qué Información se requiere investigar?

3. ¿Se puede apagar el dispositivo?

4. Se requiere recuperar el disco dañadológicamente o físicamente?

5. Lista de palabras clave que permitan realizarbúsquedas

6. ¿En qué horario debe hacerse la investigación?






El Equipo de Cómputo o dispositivo:

1. ¿Laptop, Desktop, PDA, Celular o MemoriaUSB?

2. Marca

3. Modelo

4. Capacidad

5. Tipo de conector disco duro


Sistema Operativo

1. Nombre y Versión

2. Sistema de Archivos Utilizado

3. ¿Tiene Archivos Cifrados?

4. ¿Cuántos Usuarios tienen acceso a el?

5. ¿Tiene Arreglo de Discos (RAID)?

6. ¿Tiene Antivirus, Firewall, Anti-spyware, etc?






Y si lo considera necesario


http://www.delitosinformaticos.gov.co

¿Cómo se

hace?

El proceso forense en informática






¿Qué se debe tener en cuenta?


Procedimientos estándar de

Operación

• Serie de pasos que deben ser seguidos cadavez que se requiera recolectar y/o examinarun computador o componente de este

• Aseguran que la evidencia fue recolectada,preservada y analizada de una maneraconsistente y minuciosa

• Afrontar crisis en todos los niveles.

• Proteger la continuidad del negocio






Principios del manejo de la evidencia

• Principio 1: Ninguna medida tomada por la policía osus agentes deberá alterar datos almacenados en uncomputador o cualquier otro medio que pueda sereventualmente confiado ante una corte.

• Principio 2: Bajo circunstancias excepcionales, endonde se considere necesario acceder a los datosoriginales en un computador, la persona encargada derealizar dicha acción, deberá ser competente parahacerlo, adicionalmente debe dar evidencia de sus

acciones, documentando y explicando la relevancia ylas implicaciones de éstas.


Principios del manejo de la evidencia

• Principio 3: Se deberá crear y preservar un registro desecuencia de eventos u otro tipo de registro de todos losprocesos aplicados a la evidencia digital. Una tercera parteindependiente deberá estar en condiciones de examinaresos procesos y lograr el mismo resultado.

• Principio 4: El oficial a cargo del caso es responsable deasegurarse que la ley y estos principios sean cumplidos.Esto con respecto a la posesión de la información contenida

en el computador, y el acceso a la misma. Se deberásatisfacer que cualquiera que acceda al computador, ocualquier uso que se haga sobre éste de un dispositivo decopiado, cumpla con estas leyes y principios.






Preguntas

08/04/2011

Documents

Sesión 2 - Introducción a la informatica forense