INGENIERA EN INFORMTICA Y CIENCIAS DE LA COMPUTACIN
AUDITORA DE TECNOLOGAS DE LA INFORMACIN Y COMUNICACIN
TEMAS: Adquisicin de evidencias Mtodo hash Cadena de custodia Escena de delito Riesgo: definicin, clasificacin, medicin, tratamiento Matriz de calor
CURSO: 8VO
INTEGRANTES: CARLOS TOTOY WALTER VERGARA ESTEBAN RUIZ
Quito, 16 de abril del 2014
RESUMEN El campo de la seguridad informtica ha crecido enormemente en importancia e investigacin en el campo ha aumentado en los ltimos tiempos. Esto debido al rpido crecimiento y adaptacin de las empresas y sus clientes al uso de la tecnologa.
Es as, que la investigacin de delitos y fraudes a travs de medios electrnicos ha aumento tambin en cantidad. Donde el mundo se ve obligado a la proteccin de la informacin, y a un correcto manejo de los casos que involucren daos de cualquier tipo tanto a una organizacin como a una persona comn. 1. Evidencia Digital La evidencia digital es toda prueba, objeto u documento que implique informacin en el anlisis de un caso de investigacin forense. Se debe tratar a la evidencia digital de igual manera que cualquier tipo de evidencia comn, esto debido a la seriedad de los casos que se han producido por medios informticos. (Zuccardi, 2006)
La evidencia digital se puede dividir en dos formas: Evidencia fsica y metadatos. La evidencia fsica es todo medio de almacenamiento de informacin, sean discos duros, celulares, pen drive, etc. Mientras los metadatos son toda la informacin y datos alojados en los dispositivos fsicos, internet, etc.
2. Adquisicin de evidencias Se puede necesitar al personal forense para asistir a la escena o pueden tener que dar consejos a los dems asistentes a la escena y que se recuperan los datos. Deben ser conscientes de las directrices jurisdiccionales pertinentes.
2.1. Precauciones contra la Contaminacin Se deben tomar precauciones contra la contaminacin adecuadas para reducir al mnimo cualquier posibilidad de contaminacin accidental de los objetos, que posteriormente se requerira para otros exmenes de laboratorio, por ejemplo, huellas dactilares, ADN.
La consideracin de que precauciones contra la contaminacin se debe tomar debe basarse no slo en los medios de pruebas digitales y dispositivos, sino tambin en los otros tipos de evidencia que pueden estar potencialmente disponibles. Si estos incluyen materiales, que puedan ser necesarios para el anlisis de ADN, debe ser tomado mucho cuidado debido a la sensibilidad de las tcnicas de ADN actuales, incluyendo el uso de ropa de barrera como escenario disponible de los trajes del crimen, guantes y mascarillas.
2.2. Buscando en la Escena Todas las escenas, interiores, exteriores o las relativas a vehculos, deben ser protegidos lo antes posible para reducir el riesgo de prdida, el movimiento o el dao a la evidencia digital.
2.3. Recoleccin de evidencia Es de vital importancia que los temas para el examen forense se conservan de forma segura tan pronto como sea posible despus de las prcticas jurisdiccionales correspondientes.
Siempre que sea posible, los elementos deben ser examinados en el laboratorio o espacio de trabajo forense en lugar de en la escena.
2.4. Envasado , etiquetado y documentacin Se debe hacer un registro, en el momento de la recoleccin de los objetos de la escena o del sospechoso (s) o de la vctima (s), que describe la ubicacin exacta de donde se recuperaron los artculos.
3. Mtodo HASH Se refiere a una funcin o mtodo para generar llaves o claves que representen de manera casi univoca a un documento, registro, archivo, resumir o identificar un dato a travs de la probabilidad. (Konheim, 2010) Es posible utilizar o codificar en hash cualquier tipo de informacin electrnica. Documentos, imgenes, texto, etc.
3.1. Funcin Resumir o identificar probabilsticamente un gran conjunto de informacin, dando como resultado un conjunto imagen finito generalmente menor. Lo que implica una representacin de la informacin a manera de identificador nico.
Concretamente, la funcin hash recibe un parmetro, lo procesa y devuelve un valor, representado en forma hexadecimal.
http://cse.csusb.edu/tongyu/courses/cs330/notes/hash.php 3.2. Propiedades Toda funcin hash debe cumplir con las siguientes propiedades para asegurar la credibilidad de su proceso y la confiabilidad de la informacin: Bajo Costo Implica tanto costos en procesamiento de la informacin como en recursos utilizados, tanto fsicos como lgicos. Compresin Asegurar que la longitud de los valores hash de salida sea menores al tamao original de la entrada. Uniforme Una funcin has va a devolver siempre un valor para cualquier tipo de entrada a la funcin. Rango Variable Es posible ajustar el rango de valores que devolver la funcin, como su longitud, en cualquier instante del tiempo. Inyectividad A cada entrada le pertenece un valor hash diferente siempre. Es decir, para cada entrada hay una salida. Determinista Cualquier tipo de documento sea del tipo que sea va a devolver el mismo valor hash siempre. Resistencia a Colisiones Cualquier que sea el caso, la funcin hash siempre deber devolver un valor correcto. Como para toda salida hay una y solo una entrada. Normalizacin de Datos Se puede despreciar diferencias sin relevantes, como el uso de maysculas y minsculas tildes. Continuidad Un pequeo cambio en la entrada a la funcin, origina un pequeo cambio en el valor de salida.
3.3. Utilidad Encriptacin de contraseas Longitud ajustable (bits) Firma Digital Integridad de la Informacin
4. Cadena de custodia La cadena de custodia es todo el proceso que se cumple desde la recoleccin de evidencias hasta la fase previa a la entrega de informe forense resultados de la investigacin. Es decir todas las fases de manejo de la evidencia digital. Y se resume en el siguiente grfico:
Asociacin Nacional de Tasadores y Peritos Judiciales Informticos (Espaa) 5. Escena del delito En una escena del delito los pasos a seguir son:
Observe y establezca los parmetros de la escena del delito: El primero en llegar a la escena, debe establecer si el delito est todava en progreso, luego tiene que tomar nota de las caractersticas fsicas del rea circundante. Inicie las medidas de seguridad: El objetivo principal en toda investigacin es la seguridad de los investigadores y de la escena. Si uno observa y establece en una condicin insegura dentro de una escena del delito, debe tomar las medidas necesarias para mitigar dicha situacin. Facilite los primeros auxilios: Siempre se deben tomar las medidas adecuadas para precautelar la vida de las posibles vctimas del delito, el objetivo es brindar el cuidado mdico adecuado por el personal de emergencias y el preservar las evidencias Asegure fsicamente la escena: Esta etapa es crucial durante una investigacin, se debe retirar de la escena del delito a todas las personas extraas a la misma, el objetivo principal es el prevenir el acceso no autorizado de personal a la escena, evitando as la contaminacin de la evidencia o su posible alteracin. Asegure fsicamente las evidencias: Este paso es muy importante a fin de mantener la cadena de custodia de las evidencias, se debe guardar y etiquetar cada una de ellas. En este caso se aplican los principios y la metodologa correspondiente a la recoleccin de evidencias de una forma prctica. Esta recoleccin debe ser realizada por personal entrenado en manejar, guardar y etiquetar evidencias.
Entregar la escena del delito: Despus de que se han cumplido todas las etapas anteriores, la escena puede ser entregada a las autoridades que se harn cargo de la misma. Esta situacin ser diferente en cada caso, ya que por ejemplo en un caso penal ser a la Polica Judicial o al Ministerio Pblico; en un caso corporativo a los Administradores del Sistema. Lo esencial de esta etapa es verificar que todas las evidencias del caso se hayan recogido y almacenado de forma correcta, y que los sistemas y redes comprometidos pueden volver a su normal operacin. Elaborar la documentacin de la explotacin de la escena: Es Indispensable para los investigadores documentar cada una de las etapas de este proceso, a fin de tener una completa bitcora de los hechos sucedidos durante la explotacin de la escena del delito, las evidencias encontradas y su posible relacin.
Riesgos Riesgo: La posibilidad de que ocurra un acontecimiento que tenga impacto en el alcance de los objetivos. El riesgo se mide en trminos de impacto y probabilidad. Por otro lado peligro es la potencialidad de ocurrencia de un dao, prdida o lesin Identificar Riesgos de TI. Accesos ilegales a las Bases de Datos Accesos no autorizados al programa aplicativo de ventas Falta de Integridad de los Paquetes Comerciales Alteracin, Destruccin y/o Prdida de informacin relevante para la empresa Inundaciones e Incendios Mal uso o destruccin de los reportes de trabajo Falta de Inventario de las partes y/o piezas de los computadores del Dpto. Ausencia de medidas de seguridad de los equipos del Dpto. Ausencia de control en la destruccin de los activos del Dpto. Clasificacin de los riesgos Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:
Interface del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregacin de obligaciones. Otros riesgos en esta rea se relacionan a controles que aseguren la validez y completitud de la informacin introducida dentro de un sistema. Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la informacin ha sido completado. Esta rea de riesgos tambin abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.
Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con los mtodos que aseguren que cualquier entrada/proceso de informacin de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
Interface: Los riesgos en esta rea generalmente se relacionan con controles preventivos y detectivos que aseguran que la informacin ha sido procesada y transmitida adecuadamente por las aplicaciones. Administracin de cambios: Los riesgos en esta rea pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos estn asociados con la administracin inadecuadas de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. Informacin: Los riesgos en esta rea pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones. Estos riesgos estn asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de bases de datos y de estructuras de datos. La integridad puede perderse por: Errores de programacin (buena informacin es procesada por programas mal construidos), procesamiento de errores (transacciones incorrectamente procesadas) administracin y procesamiento de errores (Administracin pobre del mantenimiento de sistemas). Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin: Procesos de negocio: Las decisiones organizacionales deben separar trabajo incompatible de la organizacin y proveer el nivel correcto de ejecucin de funciones.
Aplicacin: La aplicacin interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo. Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere . al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos. Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas. Backups y planes de contingencia controlan desastres en el procesamiento de la informacin. Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.). Estos riesgos son generalmente se consideran en el contexto de los siguientes procesos informticos: Medicin de Riesgos
Proceso de gestin del riesgo en ISO/IEC 27005
Tratando Riesgos de Seguridad
6. Matriz de Calor
El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Activo: Es un objeto o recurso de valor empleado en una empresa u organizacin. Amenaza: Es un evento que puede causar un incidente de seguridad en una empresa u organizacin produciendo prdidas o daos potenciales en sus activos. Vulnerabilidad: Es una debilidad que puede ser explotada con la materializacin de una o varias amenazas a un activo. Riesgo: Es la probabilidad de ocurrencia de un evento que puede ocasionar un dao potencial a servicios, recursos o sistemas de una empresa. Anlisis: Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relacin entre sus principios y elementos. Control: Es un mecanismo de seguridad de prevencin y correccin empleado para disminuir las vulnerabilidades
BIBLIOGRAFIA KONHEIM, Allan. Hashing in Computer Science: Fifty Years of Slicing and Dicing. John Wiley & Sons, 2010. ZUCCARDI, Giovanni. GUTIERREZ, Juan David. Informtica Forense. Recuperado el 4 de abril de 2014. Disponible en: http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20 Forense%20v0.6.pdf. 2006. IOCE. Guidelines for Best Practice in the Forensic Examination of Digital Technology. Recuperado el 4 de abril de 2014. Disponible en: http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html ANTPJI. Sitio Organizacional: http://www.antpji.com/antpji2013/