Informatica Forense

Zacarias Leone
| Director | ZL-SSC
Security Senior Consultant
C.E.H. | C.H.F.I.
Tel.: +54 11 4590 2320
Fax.: +54 11 4590 2201
Edificio Laminar Plaza
Ing Butty 240, 4 Piso
C1001AFB Capital Federal - Argentina
www.zacariasleone.com.ar
zl@zacariasleone.com.ar
Juan Milian Flores
| Partner | ZL-SSC
Computer Forensic Investigator
Centro Empresarial Real
Av. Victor A. Belaunde 147, via principal 140
Edificio Real Seis, Pisos 6 y 7
Lima Per
e-mail : jemf2@hotmail.com
Celular : 995882802
Introduccin
Procedimiento Forense Informtico
Evidencia Digital
Ciclo de vida de la Evidencia
Anlisis Forense Informtico
Conclusin
Sumrio

Introduccin
Anlisis Forense:
Es la aplicacin de principios de las ciencias fsicas en
derecho y bsqueda de la verdad en cuestiones civiles,
criminales y de comportamiento social para que no se
comentan injusticias contra cualquier miembro de la
Sociedad.
(Manual de Patologa Forense del Colegio de Patologistas Americanos, 1990).
Ciencia Forense:
Ciencia de encontrar, recoger, analizar y preservar
evidencias que sean admisibles en un tribunal u otros
ambientes legales.
Informatica Forense:
Es una rama de la Ciencia Forense en relacion a las evidencias
legales halladas en computadoras y/o medios de
almacenamiento legal. Se hadhiere a las normas de pruebas
admisibles en un Tribunal de Justicia.
Que es un procedimiento forense ?
Es la metodologa detallada utilizada por el
Investigador con la finalidad de obtener las
evidencias para su posterior anlisis y entrega
a la justicia
Etapas del Procedimiento Forense

Identificacin
Recoleccin o adquisicin de evidencias
Preservacin de evidencias (fsica y lgica)
Anlisis de evidencias
Presentacin de resultados

El anlisis forense computacional produce
informaciones directas y no interpretativas
A que se enfrenta un Investigador Forense?

La Alteracin de la evidencia por falta de proteccin
Falta de logs por no estar configurados (o mal configurados)
La NO conservacin de los equipos
Manipulacin de los Medios Originales
Falta de recursos adecuados.
Etc.

El Investigador debe asegurarse que sea posible repetir la pericia
tantas veces como el juzgado lo requiera obteniendo los mismos
resultados
El Investigador Forense debe plantearse preguntas como:

Quin realiz la intrusin?
Cual pudo ser su interes?
Cmo entr en el sistema el atacante?
Qu daos ha producido en el sistema o
que informacin se llev?
Dejo informacin que permita
involucrarlo?
Tendr alguna forma de volver acceder
(backdoor)?
Etc
Evidencia Digital
Qu es la Evidencia Digital ?

La Evidencia Digital, es todo aquel elemento que pueda
almacenar
informacin de forma fsica o lgica que pueda ayudar a
esclarecer
un caso. Pueden formar parte:

Discos rgidos , HD
Archivos temporales , *.temp
Espacios no asignados en el disco
Diskettes, Cd-rom,Dvd, Zip, etc.
Pen drives
Cmaras digitales
Backups

Debemos tener en cuenta que :

La Evidencia Digital es :

Volatil

Duplicable

Borrable

Reemplazable
Evidencia Digital
Principios para la Recoleccin de Evidencias RFC 3227

Orden de volatilidad
Cosas a evitar
Consideraciones relativas a la privacidad de los datos
Consideraciones legales
Procedimiento de recoleccin
Transparencia
Pasos de la recoleccin
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento de stas
Evidencia Digital
Admisibilidad de la Evidencia

La evidencia debe ser/ estar:

Relevante: relacionada con el crimen bajo
investigacin.

Permitida Legalmente: fue obtenida de manera
legal.

Confiable: no ha sido alterada o modificada.

Identificada: ha sido claramente etiquetada.

Preservada: no ha sido daada o destruida.
Evidencia Digital
Tipos de Evidencia

Best evidence evidencia primaria u original, no es
copia.

Secondary copia de evidencia primaria.

Direct evidence prueba o invalda un acto especfico
a travs del un testimonio oral.

Conclusive evidence indiscutible, sobrepasa todo
otro tipo de evidencia.
Evidencia Digital
Ciclo de Vida de la Evidencia

Garantiza la seguridad, preservacin e integridad de los elementos probatorios colectados en el Lugar de los Hechos.

Tambin hace referencia al mantenimiento y preservacin adecuada de los elementos de prueba, estos deben guardarse en un lugar seguro, con una especial atencin a las condiciones ambientales (temperatura, humedad, luz etc.)
protegindolo del deterioro biolgico o fsico.
Evidencia Digital
Finalidad

Demostrar que la Evidencia presentada
ante las Autoridades correspondientes, es
la misma que se obtuvo en el Lugar de los
Hechos.
Ciclo de Vida de la Evidencia

Descubrimiento y Reconocimiento.
Proteccin.
Registracin.
Recoleccin.
Recoleccin de todos los medios de almacenamientos relevantes.
Generacin de una imgen del HD antes de desconectar la computadora.
Impresin de pantallas.
Evitar la destruccin de los equipos (degaussing).
Identificacin (etiquetado).
Preservacin.
Proteccin de los medios magnticos contra borrado.
Almacenamiento en un ambiente adecuado.
Transportacin.
Presentacin ante la corte.
Devolucin de la evidencia a su dueo.
Evidencia Digital
PROCESO GENERAL FRENTE A UN CASO
1. Surge un pedido de un juzgado o cliente en
particular
2. Se debe elaborar un plan de trabajo
(Inteligencia)
3. Se realiza el procedimiento del Secuestro de
evidencias
4. Se deben realizar las copias correspondientes
5. Se da comienzo a la CADENA DE CUSTODIA
6. Se realiza el anlisis de las evidencias
obtenidas
7. Se escribe el Acta en presencia del Fiscal
8. Presentacin del Acta
2. Se debe elaborar un plan de trabajo (Inteligencia)

El plan de trabajo (icia previa) es realizar la recoleccin y
anlisis de evidencias en el lugar donde se produjo el hecho,
denominada (CAMPO) en vez de llevarla al LABORATORIO, pues
en el lugar un Investigador Forense Informtico puede no solo
obtener el perfil psicolgico a travs de evidencias digitales sino
que tambien se pueden obtener excelentes indicios con solo
observar el lugar en donde convivan, sus gustos, sus
costumbres, etc.
Se utiliza ingeniera social aplicada a la Ciencia Forense

3. Se realiza el procedimiento del Secuestro de evidencias
4. Se deben realizar las copias correspondientes.

Presencia de testigos
Escribano
Procedimiento documentado
Adquirir evidencias Bit a Bit del original.
Anotar fechas y horas
Precintar el original
Realizar 3 copias originales de la primer copia
Adquirir en orden de volatilidad
Voltiles y no voltiles
5. Se da comienzo a la CADENA DE CUSTODIA
Quien a accedido a la evidencia ?
Que procedimientos se han seguido mientras se trabajaba con
la evidencia ?
Como podemos demostrar que nuestro anlisis fue realizado
sobre copias idnticas del original ?
Acta Firma digital Hashes Time Stamps, etc
6. Se realiza el anlisis de las evidencias obtenidas
Tcnicas para pericias
Auditoria de Logs de las aplicaciones del sistema
Anlisis de archivos y directorios eliminados
Visualizacin del contenido de archivos sospechosos
Fechas de archivos accedidos, alterados y eliminados
Sequencia de eventos
Efectuar anlisis fsico y lgico en cima de los datos
levantados en las etapas antecesoras sin alterar el contenido
original.

Anlisis fsico y lgico
Son investigados los datos brutos del equipo de
almacenamiento.
El anlisis es realizado sobre la imagen pericial o en la copia
restaurada de las pruebas.
Datos comunmente investigados:
Todas las URL encontradas en el sistema
Todas las direcciones de E-mail encontradas
Todas las ocurrencias de bsquedas de secuencia con
palabras sensibles segn perfil psicolgico obtenido en el
CAMPO del los hechos o bien luego de la ICIA del o los
presuntos criminales.

Anlisis de Logs
Para rastrear los casos es importante que el profesional
acte como lo hara el posible cibercriminal y no vea los
datos como un simple usuario o administrador
Para ello, es necesario que el reconstruya los historicos de
Usuarios
Procesos
Situacin de la Red
Accesos a determinados servicios
Etc.


Herramientas de Investigacin y anlisis Forense
Autopsy Forensic Browser

EnCase Software

RoadMaSSter-II (Portable Forensic Evidence Laboratory)
Israel Technology

7. Se escribe el Acta en presencia del Fiscal
8. Presentacin del Acta
Al Juzgado, a la Corte, el cliente, etc.
La aceptacin de la msma depender de:
Forma de presentacin.
Antecedentes y calificacin del profesional que realiz la
adquisicin, preservacin y anlisis de las evidencias.
La credibilidad del procedimiento realizado.
Utilizacin de herramientas autorizadas para tal funcin.
Servicios de Informtica Forense
El anlisis e investigacin forense
informtica
NO SOLO
se aplica una vez que tenemos un
incidente o se pretende
investigar que fue lo que pas, quien
fue y como.
Conclusin
Los incidentes de seguridad informtica suceden y cada
vez se vuelven ms complejos tecnolgicamente.
Las metodologas de anlisis Forense Informtico estn
siendo adoptadas por las organizaciones privadas,
organismos gubernamentales, etc, para sus
investigaciones.
Hoy en da existen herramientas y metodologas que nos
permiten poder llegar a prevenir y resolver casos de los
ms complejos en tecnologa e inteligencia.
Conclusin
FORENSE INFORMTICO
50% (Factor Humano) 50% (Factor Informtico)
Solo uno falla y tendremos un 50% de probabilidades a
sufrir algn tipo de ataque

Cuan seguro usted se encuentra ?
Zacarias Leone
| Director | ZL-SSC
Security Senior Consultant
C.E.H. | C.H.F.I.
Tel.: +54 11 4590 2320
Fax.: +54 11 4590 2201
Edificio Laminar Plaza
Ing Butty 240, 4 Piso
C1001AFB Capital Federal - Argentina
zl@zacariasleone.com.ar
Juan Milian Flores
| Partner | ZL-SSC
Computer Forensic Investigator
Centro Empresarial Real
Av. Victor A. Belaunde 147, via principal 140
Edificio Real Seis, Pisos 6 y 7
Lima Per
e-mail : jemf2@hotmail.com
Celular : 995882802
GRACIAS

Informatica Forense

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Informatica Forense

Загружено:

Авторское право:

Доступные форматы

Zacarias Leone

Вам также может понравиться