HABILIDADES DE ANLISIS FORENSE INFORMTICO

Esquema para complementar la presentacin de diapositivas. El presente esquema no sigue exactamente el orden de las diapositivas. 1. Orden del da Qu es el anlisis forense informtico? Dnde encontrar evidencia informtica. Obtencin de imgenes forenses. Anlisis forense informtico. 2. Qu es el anlisis forense informtico? Es la conservacin, identificacin, extraccin, anlisis e interpretacin de informacin digital con la expectativa de que los hallazgos se utilicen en la corte. 3. Habilidades Revela evidencia directa en la mquina. Asocia a una mquina con la informacin. Proporciona pistas para la investigacin. Muestra evidencia que corrobora o refuta alegatos o coartadas. Deja al descubierto evidencia conductual. 4. Relacin entre el agente del caso y el analista forense. El agente del caso y el analista forense deben trabajar en equipo El agente del caso o Involucra al analista forense desde un inicio. o Explica el asoo Proporciona solicitudes especficas. El analista forense o Educa y aconseja al investigador. o Explica los resultados y sus limitaciones. 5. Dnde encontrar evidencia informtica. Confiscar artculos que se detallan en la orden de cateo. o Computadoras, laptops, equipo de red (conectores e interruptores). o Perifricos: CDR, DVD-R, cmara digitales, PDA. o Medios externos: CD, diskettes, memorias USB. o Notas en papel, documentos y manuales, notas autoadheribles. Antes de moverlo, documente el equipo y los perifricos. o Fotografas digitales, diagramas.

COMPUTER FORENSIC CAPABILITIES 6. Qu es la obtencin de imgenes forenses? Se obtiene mediante un mtodo que, bajo ninguna circunstancia, altere la informacin en la unidad de almacenamiento que se est duplicando. El duplicado debe contener una copia de cada bit, byte y sector de la unidad de almacenamiento original. El duplicado no contendr ninguna informacin distinta a la que se copi de la fuente original, exceptuando los caracteres de llenado (para reas daadas). Fiel, verificable, reproducible. 7. La importancia de las imgenes forenses

Las imgenes forenses y aquellas que se obtienen en el momento en que se responde al incidente son el paso ms importante de toda la investigacin electrnica. Si falla, sta puede invalidar o hacer inadmisible toda la informacin que se obtenga de evidencia digital. 8. El proceso de la imagen 9. Bloqueos fsicos contra escritura. Dispositivo fsico que evita que se escriba sobre la unidad de almacenamiento de evidencia. Es el mejor mtodo para obtener imgenes. 10. Conectar un bloqueo contra escritura. 11. Hardware para obtener imgenes 12. Software para obtener imgenes CD o diskettes de reinicio. Controla la computadora de tal manera que slo enve comandos para leer la unidad y nunca para escribir en ella. Ejemplos: FTK Imager EnCase DD Ghost Otros 13. Fsico vs. lgico

COMPUTER FORENSIC CAPABILITIES

La estructura fsica de los datos se refiere a la organizacin de los mismos en una unidad de almacenamiento. La obtencin fsica de imgenes consigue tantos ceros y unos como sea posible del dispositivo. La estructura lgica de los datos se refiere a cmo aparece la informacin en cierto programa o para un usuario, tal como se ve a travs del sistema operativo. La obtencin lgica de imgenes pasa por alto la informacin que se encuentra en reas que no ve el sistema operativo. 14. Qu puede encontrar el analista? Archivos borrados. Fragmentos de texto. Meta archivos mejorados (archivos que se imprimieron). Meta datos mejorados (informacin insertada). Informacin en el registro de hora y fecha Mensajes de correo electrnico e historiales de conversacin. Informacin sobre el uso del Internet (historial). Ficheros archivados y archivos comprimidos (zip). Archivos codificados adjuntos a mensajes de correo electrnico. Imgenes (activas y borradas) Y ms 15. Cmo puede solicitar un anlisis forense. Ejemplo: El secuestro de Heather Miller. o Evidencia que involucraba a la acusada con sustraccin de menores. o Bsqueda del nombre de la vctima. o Fotografas de la vctima. o Evidencia de una carta de amenaza que se le envi a la vctima. o Evidencia de referencias a drogas para violacin. o Evidencia de un conspirador. o Actividad en la computadora al momento del delito. o Relacionado con el usuario. 16. Cmo empezar Bsquedas de palabras clave Inconvenientes de las bsquedas de palabras clave. o Documentos Adobe PDF. o Faxes. o Excel o Registro. o Archivos compuestos / comprimidos. o Varios otros.

COMPUTER FORENSIC CAPABILITIES 17. Revisin de las grficas. 17. Revisin del correo electrnico. 18. Encabezados del correo electrnico 19. Tipos de metadatos del correo electrnico Cundo se cre Cmo se cre Cundo se envi Cundo se recibi Quin lo envi / recibi Ruta Correo electrnico de respuesta 20. Anlisis temporal 21. Anlisis grfico 22. Historial de las aplicaciones 23. Cach de Internet 24. Historiales de conversacin 25. Meta datos 26. Usando buscadores en lnea 27. Historial web Identificar la sesin de navegacin web Cundo / dnde se abri el navegador? Cmo llegaron al hallazgo relevante? Correo web Otras actividades? Todo tiene que ver con relacionar al usuario. 28. Resumen La evidencia electrnica est en todas partes. Los agentes del caso deben trabajar en conjunto con los analistas. Los analistas forenses deben de ver ms all del archivo. Los metadatos pueden ser cruciales para establecer una relacin con el usuario.

COMPUTER FORENSIC CAPABILITIES

Incluso si se ha destruido o borrado la propia evidencia se pueden encontrar varios artefactos. Fin