Embed Size (px)
Citation preview
Deducir que ha pasado.
Qué ha motivado que esto haya pasado.
Qué ha permitido llegar a ello.
Qué acciones han sido consecuencia de ello.
Diferencias del Forense Digital
Las evidencias son más volátiles.
Las evidencias son más fácilmente manipulables y/o ocultables.
Evoluciona constantemente tanto como evoluciona la informática.
Nuevos escenario requieren nuevos métodos.
Verificación del incidente.
Recogida de las evidencia.
Análisis de las evidencias.
Elaboración de informes y conclusiones.
Almacenamiento de informes y evidencia
Como en cualquier otra indagación o caso, es necesario presentar evidencias.
Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas.
Las conclusiones finales deben partir de las evidencias tomadas.
La preservación de las evidencias es una máxima forense.
¿El caso se va a denunciar o judicializar?
¿Cuál es el objetivo final de la toma de datos?
¿Dónde se encuentras la evidencias?
¿Cómo salvaguardamos la información?
¿Quién mantiene las evidencias?
3227
La IETF ha generado una guía de buenas prácticas para la
recogida y almacenamiento de evidencias.
Esta guía representa unos mecanismos que pueden no
obstante ir contra la legislación vigente.
La guía presenta además conductas para la recogida de
evidencias.
Guía de principios
Dibuja el escenario.
Evalúa los tiempos para la generación de la línea temporal.
Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo.
Si hay confrontación entre recoger y analizar, da prioridad a la recolección.
Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos.
El orden de recogida de datos debe quedar establecido en función de la volatilidad.
La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.
Por la volatilidad de los datos: Memoria RAM.
Cache y registro.
Tablas de enrutamiento, ARP, procesos,
estadísticas de kernell .
Ficheros temporales.
Disco.
Logs.
Configuración física.
Medios de almacenamiento externos.
Cosas a evitar
Apagar la máquina sin haber recogido las evidencias
(cuando sea factible*).
Utilizar aplicaciones que puedan alterar los tiempos de los
ficheros.
Utilizar aplicaciones que no realicen copias binarias.
Manipular las evidencias en un laboratorio invasivo
Aquellas que vulneren la intimidad o revelen información personal.
Aquellas que vulneren las normativas de seguridad de la empresa.
Aquellas que no puedan demostrarse como no manipuladas.
Quien, cuando, donde y como se han
tomado las evidencias.
Quien, cuando y como se han
analizado las evidencias.
Quien y durante cuanto tiempo se ha
custodiado la evidencia.
Cuando y entre quien han cambiado la
custodia de las evidencias.
Casos judicializados.
• Perito informático.
• Personal de cuerpo de seguridad del estado.
• Agentes judiciales.
Casos no judicializados.
• Personal involucrado.
• Investigador.
Almacenamiento de las
evidenciasDebe realizarse varias copias de la información.
Deben almacenarse en un lugar seguro y a salvo de
accesos no autorizados.
Deben garantizarse los sistemas necesarios para la
preservación de las mismas.
Debe establecerse una cadena de custodia.
Testimonios de incidencias y actos realizados.
Información de la red.
Información de los servicios.
Información de los usuarios.
Discos duros.
Registros y Logs externos
Discos y sistemas de almacenamientos externos.
Como deben recogerse las
evidencias digitales
• Las evidencias digitales deben ser tomadas de forma
binaria.
• Debe garantizarse que no puedan manipularse las
pruebas mediante la firma HASH.
• Se recomienda por seguridad la firma SHA-1 frente a
MD5.
Sistemas Hardware.
Sistemas Software
Diferentes modelos
Unión Europea
Estados Unidos de América
Quién investiga
Protección de datos
Uso judicial de la investigación
Sistemas de legislación
Se presenta dos sistemas legales,
• Derecho Común (Common Law).o UK, Irlanda, Chipre, Malta.
o Más basado en la jurisprudencia.
• Derecho Civil.○ Resto de países de la UE.
○ Más basado en la ley.
• En el caso de España cada juicio es diferente.
• Civil/laboral: a veces es más importante el cómo
frente al qué.
• Penal: da prioridad al qué frente al cómo.
• La legislación española está basada en la
interpretación.
Empresa "víctima", con personal interno o externo
• En la UE no se requiere licencia de "investigador" para personal externo (en UK posiblemente en el futuro)
El Estado• Puede investigar o procesar a los
atacantes
• Puede investigar a la empresa por seguridad inadecuada
Otras personas, físicas o jurídicas, afectadas por el incidente de seguridad
• En el contexto de Protección de Datos
Crimen sin fronteras
Acuerdos y tratados internacionales MLATs (Tratados de Asistencia Mutua Legal) entre
paises
Convención de Schengen
MLAT entre UE y EEUU (2003)
Otros procedimientos Comisión rogatoria (letter rogatory)
Cooperación informal entre Policías
INTERPOL
Subgrupo de Crimen de Alta Tecnología del G8
La Comisión Europea de Investigación
(http://ec.europa.eu/research), es la encargada de la
Política de Investigación.
Presenta entornos de colaboración con la red europea
de institutos de ciencia forense (http://www.enfsi.org).
Agencia de seguridad de redes e información
http://www.enisa.europa.eu/
Europol. Desarrolla los marcos de acción conjunta de
los diferentes Cuerpos de Seguridad del Estado de los
Países de la U.E. (http://www.europol.europa.eu).
Han desarrollado unos aspectos legales de la lucha
contra el Crimen en el marco de la U.E.
(http://www.europol.europa.eu/legal/Europol_Conventio
n_Consolidated_version.pdf)
Mantienen acuerdos de cooperación con otros países.
(http://www.europol.europa.eu/index.asp?page=legal&la
nguage=).
No existe una Ley específica sobre el
Ciberterrorismo o la Ciencia Forense.
Se recogen a través de diferentes
apartados de leyes aspectos legales de
los Delitos Informáticos y las técnicas
forense.
Las bases de legislación son: Código Penal.
Ley de Enjuiciamiento Civil. Objeto y finalidad del
dictamen de peritos.
Ley de Servicios para la Sociedad de la Información y de
comercio electrónico.
Ley Orgánica de Protección de Datos.
Reglamento de medidas de seguridad de los ficheros
automatizados que contengan datos de carácter personal.
Ley General de Telecomunicaciones.
Ley de Propiedad Intelectual.
Ley de Firma Electrónica.
