Jos Ebert Bonilla O. MSc.

Computacin Forense

Computacin Forense

Principios de Computacin Forense

Ataques
El

RFC 2828 define ataque de la siguiente forma

Un asalto a la seguridad del sistema

derivado de una amenaza inteligente; es decir un acto inteligente y derivado (especialmente en el sentido de mtodo o tcnica) para eludir los servicios de seguridad y violar la poltica de seguridad de un sistema.

Mitos e ideas falsas

Los ciber criminales son expertos en computadores y con alta habilidad tecnica Los ciber criminales tienen un IQs superior al normal Todos los ciber criminales son introvertidos Los ciber criminales nunca son violentos Los ciber criminales no son reales criminales Los ciber criminales se ajustan a un perfil predeterminado

Criminalistica
Termino Ciencia

de lujo para las ciencias forenses Forense

La aplicacin de la

Pensar como Sherlock Holmes!!

ciencia en las leyes penales y civiles que son aplicadas por las agencias policiales en los sistemas de justicia.

Forense

Es el proceso mediante el cual se hace uso del conocimiento especfico para la recoleccin, anlisis y presentacin de evidencias a una corte.
La palabra forense significa traer a la corte. Lo forense esta relacionado en primera

instancia con la recuperacin y anlisis de evidencias latentes.

Ciencia Forense

La ciencia forense proporciona los principios y tcnicas que facilitan la investigacin del delito criminal, en otras palabras:
cualquier principio o tcnica que

puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigacin criminal forma parte de la ciencia forense

Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas. Aplicando un mtodo cientfico (esto implica que hay una investigacin rigurosa), analiza las evidencias disponibles, crea hiptesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hiptesis, lo que puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir; esto es debido a que un investigador forense no puede conocer el pasado, no puede saber qu ocurri ya que slo dispone de una informacin limitada. Por tanto, slo puede presentar posibilidades basadas en la informacin limitada que posee.

Principio de Locard

Principio de Locard

Principio de Locard
Este

principio fundamental dice que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la vctima y viceversa (se lleva consigo); en otras palabras: cada contacto deja un rastro

Evidencias Fsicas
Evidencia Evidencia Evidencia Evidencia

transitoria curso o patrn condicional transferida

Evidencia transferida
Transferencia

por rastro:

aqu entra la sangre, semen, pelo, etc.

Transferencia

por huella:

huellas de zapato, dactilares, etc.

Componentes de una escena de crimen

la la la el

escena del crimen vctima evidencia fsica sospechoso

Para la correcta resolucin del caso, el investigador forense debe establecer la relacin que existe entre los componentes.

Computacin Forense

Definicin de computacin forense

la coleccin y anlisis de datos provenientes de un sistema de computo, una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal manera que es admisible en un tribunal de derecho. Es emergente de las disciplinas de las ciencias de la computacin y el derecho.

Contexto de la computacin forense

Homeland Security Information Security Corporate Espionage White Collar Crime Child Pornography Digital Traditional Crime Incident Response Employee Monitoring Privacy Issues ????

Forensics

Computer Forensics

Sus inicios
Desde

1984, el laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional 1989, primera persona procesada 1991 se establece el primer equipo del FBI 1996, primera evidencia utilizada en un caso

En En En

Ciencias Forenses Vs. Ciencias de la Computacin

Comprender la existencia de la evidencia en formato digital. Asegurar la integridad de la evidencia recolectada Comprensin de los computadores y su operacin Reconocimiento de la evidencia digital
Dnde se encuentra Cmo se encuentra almacenada Cmo se modifica, quin la modifica, quin es su dueo

Cantidad de evidencia recolectada Habilidades tcnicas y procedimientos forenses El manejo y control de los documentos electrnicos.

Principio de Locard en el contexto de la Computacin Forense

Por que la computacin forense

Hay una gran cantidad de documentos almacenados en medios electrnicos La computacin forense asegura la preservacin y autenticacin de los datos, los cuales son frgiles por su naturaleza y fcilmente alterados y borrados Adicionalmente la computacin forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar informacin invisible al usuario

Por que investigar?

Determinar

como se efectu la ruptura del los daos ocasionados quien lo hizo de la lnea del tiempo en el procesamiento judicial

sistema
Determinar Determinar

Determinacin Contribucin

Comunidades
Hay

al menos tres distintas

comunidades que usan computacin forense

Entidades que aplican la ley Fuerzas militares Industria y Bancos Posiblemente una 4ta La Academia

Contribucin o influencia de otras reas

reas del conocimiento, que desde su perspectiva, contribuyen e influencian directamente la computacin forense:

Ciencias de la Computacin
Sistemas operativos Aplicaciones de Software Plataformas de programacin lenguajes de programacin Seguridad en computadores

Leyes
Legislacin informtica Legislacin criminal y civil

Sistemas de informacin
Gestin y polticas de los sistemas de informaci n Educacin de usuarios

Ciencias sociales

Actividades de la computacin forense

Las actividades de computacin forense comunes son:

La recoleccin segura de los datos de un computador La identificacin de datos sospechosos El examen de datos sospechosos para determinar los

detalles tales como origen y su contenido

Presentacin de informacin basada en lo encontrado en

el computador en una corte

La aplicacin de las leyes correspondientes a la

informticas de los diferentes pases

Evidencia Digital Vs Evidencia Fsica

Evidencia Digital
Es un tipo de evidencia fsica, menos tangible que otras

formas de evidencia (DNA, huellas digitales, componentes de computadores) Ventajas

Puede ser duplicada de manera exacta y copiada tal como si

fuese el original.
Con herramientas adecuadas es relativamente fcil identificar

si la evidencia ha sido alterada, comparada con la original.

An si es borrada, es posible, en la mayora de los casos,

recuperar la informacin.
Cuando los criminales o sospechosos tratan de destruir la

evidencia, existen copias que permanecen en otros sitios

Evidencia Digital

informacin y datos con valor investigativo que son almacenados en o trasmitidos a travs de dispositivos electrnicos. Tal evidencia es adquirida cuando los datos o los elementos son recopilados y almacenados con propsito de ser examinados.

Evidencia
Algo

que tiende a establecer o refutar un hecho podra ser potencialmente la evidencia ms pequea utilizable?
4bytes Una direccin IP en Hexadecimal

Qu

Caractersticas de las evidencias digitales

En la escena del ilcito esta igualmente presente como una huella digital o el ADN

Puede sobrepasa las fronteras con gran facilidad y velocidad

Es frgil y fcilmente alterable, daada o destruida

Es altamente sensible al tiempo

Ventajas de la evidencia digital

Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fcil identificar si la evidencia ha sido alterada, comparada con la original. An si es borrada, es posible, en la mayora de los casos, recuperar la informacin. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios

La evidencia digital y la legislacin

La

evidencia es una prueba Corte Constitucional dice :

El fin de la prueba es, entonces, llevar a

la inteligencia del juzgador la conviccin suficiente para que pueda decidir con certeza sobre el asunto del proceso.

La evidencia digital y la legislacin

La evidencia digital debe cumplir las mimas condiciones de un documento probatorio, estas son:
Compuesto por un texto, tenor o contenido. El contenido

debe ser relevante en el mbito jurdico

Debe haber un autor, claramente identificado, y que se

pueda esclarecer su origen y originalidad

Inteligible Carcter de durabilidad o permanencia superior al objeto

que representa Transportable

Integridad de la Evidencia
Asegurar

que la evidencia no ha sido

alterada
Copias Usar

bit a bit

hashes criptogrficos para asegurar la integridad de la evidencia original y sus copias en un lugar seguro

Almacenar

Lista de palabras sucias

Palabras

claves especificas para su

caso
Listado

que se utiliza para buscar en

el disco duro
Modificado

durante la investigacin

Imagen

Copia bit a bit de la evidencia original recogida de un sistema Puede incluir:

Disco duro Memoria Medios removibles

Respuesta a incidentes
Enfocado

inicialmente a la verificacin del

incidente Tcnicas que enfatizan la recoleccin de la evidencia digital

Minimiza la perdida de datos y evidencias Evitar adicionar datos al sistema Mayores preocupaciones son la recuperacin y el

tiempo fuera de servicios

La

preocupacin inicial es el tratamiento del incidente para prevenir mayor dao a la evidencia

Anlisis de medios

Se centra en el procesamiento de copias de la evidencia recopilada en la escena del incidente (pe. Una imagen) No es considerado como recoleccin de evidencia sino como anlisis de la misma Principalmente se usa para encontrar datos especficos concerniente a la actividad criminal Utiliza mquinas forense y herramientas automatizadas para examinar gigabytes de datos

Principios del anlisis forense

Minimizar

la perdida TODO

de datos
Documentar Analizar

todos los datos recolectados los hallazgos

Reportar

Errores comunes a evitar

Adicionar Afectar

sus propios datos al sistema

procesos del sistema tocar las lneas del tiempo

Accidentalmente Utilizar Ajustar

herramientas o comandos no confiables el sistema ANTES de la recoleccin de la evidencia.

(apagar, parchar, actualizar)

Problemas para la aceptacin de las evidencias digitales

Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital. Facilidad de la duplicacin y dificultad en la verificacin del original Almacenamiento y durabilidad de la informacin en medios electrnicos. Reconocimiento legal del mismo Identificacin problemtica del autor de los documentos El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada. La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido. Desconocimiento de las tcnicas de intrusin de sistemas.

Tcnicas anti forenses

Son

las tcnicas de manipulacin, eliminacin y/o de ocultamiento de pruebas para complicar o imposibilitar la efectividad del anlisis forense.

Tcnicas anti forenses

Ejemplos:
Eliminacin de informacin. Borrado seguro de archivos (en

forma manual o automtica: bombas lgicas).

Cifrado u ocultamiento

(esteganografa) de archivos.
Alteracin de archivos (cambio del

nombre y/o de la extensin).

Tcnicas anti forenses

Son

contramedidas para contrarrestar las tcnicas antiforense. Por ejemplo:

Activacin de logs de auditoria para el Sistema

Operativo, las aplicaciones y los dispositivos.

Instalacin de IDSs (an se los puede burlar

cifrando el trfico que va a analizar el IDS).

Implementacin de un equipo concentrador de logs

que slo pueda recibir trfico entrante desde fuentes autorizadas.

Retos que plantea

Retos Legales

Comprender de manera cercana el fenmeno informtico y sus implicaciones en las conductas criminales. Buscar elementos probatorios, apoyados en mecanismos informticos que, permitan ofrecer validez y originalidad a un documento electrnico . Desarrollar habilidades tcnico-forenses para integrar la investigacin criminal con las tcnicas computacionales de proteccin. Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informtica, a los bienes jurdicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informtica. Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislacin en el rea informtica.

Retos que plantea

Retos Tcnicos

Desarrollar prcticas y procedimientos de programacin que busquen disminuir los problemas de seguridad en los productos de software y hardware. Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados. Concienciar sobre las responsabilidades jurdicas de los ingenieros : Previsibilidad, debido cuidado y diligencia Definir prcticas y polticas de seguridad informtica , como pruebas preconstituidas para la organizacin. Establecer un programa interdisciplinario que incorpore en la formacin tcnica, las consideraciones legales. La computacin forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informtico.