Introduccin a Tcnicas Forenses Digitales

Charles Pacheco MTA,MCP,NEITP,CFE

Qu es la investigacin forense digital?

Es la preservacin, identificacin, extraccin y documentacin de la evidencia y mantener la integridad de la misma, preparar reportes de la informacin encontrada y exponer dichos hallazgos en un tribunal de justicia u otras personas jurdicas y/o proceso administrativo.
Steve Hailey, CyberSecurity Institute www.csisite.net

Principios de la investigacin forense digital

1) Debe de realizarse segn los estndares legales Puerto Rico (Cdigo Penal PR (2012), Reglas de Evidencia (2009), Constitucin PR Estados Unidos (Rules of Evidence (2009), US Title Code 18), Constitucin US Adems, debe de considerar las resoluciones en casos que sentaron precedentes en este campo. LLRMI http://www.llrmi.com/articles/legal_update/index.shtml http://www.ramajudicial.pr/ http://www.law.cornell.edu/lii/get_the_law

2) Adiestramiento en tcnicas forenses digitales. Ejemplos: Security Tube http://www.securitytube.net/ Open Source Digital Forensics http://www2.opensourceforensics.org/home Forensic Focus http://forensicfocus.blogspot.com/ Entre otros..

3) La investigacin debe mantenerse integra y forensically sound National Institute of Justice (Digital Evidence and Forensics) http://www.nij.gov/nij/topics/forensics/evidenc e/digital/welcome.htm NIST (Computer Forensics Portal) http://www.nist.gov/computer-forensicsportal.cfm

Principios cientficos
Se utiliza el mtodo cientfico en relacin al manejo de evidencia, mantener la cadena de custodia y autenticar la integridad de la evidencia (antes y despus de ser examinada) . Algunos ejemplos son: 1) Recuperar archivos de un disco duro, no importa la condicin del objeto. 2) Crear una copia fiel y exacta de la evidencia digital. 3) Recoger y examinar evidencia adicional tales como huellas dactilares, residuos corporales, etc.

Principio de intercambio de Locard

En el momento en que un criminal cruza la escena del crimen, o entra en contacto con una vctima, la vctima se queda con algo del criminal, pero ste, a su vez, se lleva algo a cambio

Dr. Edmond Locard (http://www.swissforensic.org/presentations/assets/aafslocard.pdf)

En qu aplica el principio de intercambio en los sistemas de informacin?

Cada crimen electrnico, de cualquier tipo, SIEMPRE deja un rastro, la cual se puede usar como evidencia y ser usada en la investigacin: Ejemplos: 1) El estado en que se encontr el lugar de los hechos. 2) Los logs de la computadora u objeto electrnico afectado: se necesita una conexin de Internet para comunicarse en diversas formas (remoto, enviando un documento con un cdigo malicioso, etc.) 3) Detalles que el atacante olvido ocultar (sea registros, informacin personal de la computadora donde se realizo el ataque, etc.)

Electronic Discovery Reference Model (EDRM) http://www.edrm.net/

Algunas certificaciones
SANS (http://computer-forensics.sans.org) GIAC Forensic Examiner Certification (GCFE) GIAC Certification Forensic Analyst (GCFA) GIAC Malware Analysis Certification (GREM) The International Society of Forensic Computer Examiners (ISFCE) (http://www.isfce.com/) Certified Computer Examiner Digital Forensics Certification Board (http://www.dfcb.org/index.html)

Algunas herramientas para practicar tcnicas forenses digitales

1) Digital Forensics Framework (http://www.digital-forensic.org) Tiene dependencias para Backtrack, DEFT,SANS SIFT Toolkit, entre otros.

2) DEFT (http://www.deftlinux.net/) 3) Back Track (http://www.backtrack-linux.org/) 4) SANS SIFT Toolkit (http://computer-forensics.sans.org/community/downloads)

En caso de ser victimas de un ataque ciberntico:

1) FBI San Juan, PR (http://www.fbi.gov/sanjuan/)
1) Polica de PR (Divisin de Apoyo Tcnico y Crmenes Cibernticos) http://www2.pr.gov/agencias/policiapr/Superintendencias/Superintendenc iaAuxiliardeOperacionesEstrategicas/OficinaInformacionCriminal/Pages/ Divisi%C3%B3ndeApoyoT%C3%A9cnicoyCr%C3%ADmenes.aspx 3) Negociado de Investigaciones Especiales (NIE) http://www.justicia.pr.gov/rs_template/v2/Nie/index2.html 4) Internet Crime Complaint Center (IC3) http://www.ic3.gov/complaint/default.aspx

Preguntas? Muchas gracias!