Charla Informatica Forense

Charla: Informtica Forense
Seguridad Informtica
La seguridad informtica se define como la
preservacin de la confidencialidad, la integridad y la
disponibilidad de los sistemas de informacin.

La labor de todo IT es tomar
las previsiones del caso.
La informtica forense se define como la rama de la
informtica que apoya a la justicia en la bsqueda de
la verdad. Para dichos fines recopila que puedan ser
empleados para fines judiciales.
Anlisis Forense:
Es la aplicacin de principios de las ciencias fsicas en derecho y
bsqueda de la verdad en cuestiones civiles, criminales y de
comportamiento social para que no se comentan injusticias contra
cualquier miembro de la Sociedad.
(Manual de Patologa Forense del Colegio de Patologistas
Americanos, 1990).
Ciencia Forense:
Ciencia de encontrar, recoger, analizar y preservar evidencias que
sean admisibles en un tribunal u otros ambientes legales.
Informatica Forense:
Es una rama de la Ciencia Forense en relacion a las evidencias
legales halladas en computadoras y/o medios de almacenamiento
legal. Se hadhiere a las normas de pruebas admisibles en un Tribunal
de Justicia.
Procedimiento Forense Informtico
Que es un procedimiento forense ?
Es la metodologa detallada utilizada por el Investigador con
la finalidad de obtener las evidencias para su posterior
anlisis y entrega a la justicia
Etapas del Procedimiento Forense

Identificacin
Recoleccin o adquisicin de evidencias
Preservacin de evidencias (fsica y lgica)
Anlisis de evidencias
Presentacin de resultados

El anlisis forense computacional produce
informaciones directas y no interpretativas
A que se enfrenta un Investigador Forense?

La Alteracin de la evidencia por falta de proteccin
Falta de logs por no estar configurados (o mal configurados)
La NO conservacin de los equipos
Manipulacin de los Medios Originales
Falta de recursos adecuados.
Etc.

El Investigador debe asegurarse que sea posible repetir la pericia tantas veces como el
juzgado lo requiera obteniendo los mismos resultados
El Investigador Forense debe plantearse preguntas
como:

Quin realiz la intrusin?
Cual pudo ser su interes?
Cmo entr en el sistema el atacante?
El Investigador Forense debe plantearse preguntas como:

Qu daos ha producido en el sistema o que informacin
se llev?
Dejo informacin que permita involucrarlo?
Tendr alguna forma de volver acceder (backdoor)?
Etc
Evidencia Digital
Qu es la Evidencia Digital ?

La Evidencia Digital, es todo aquel elemento que pueda almacenar
informacin de forma fsica o lgica que pueda ayudar a esclarecer
un caso. Pueden formar parte:

Discos rgidos , HD
Archivos temporales , *.temp
Espacios no asignados en el disco
Diskettes, Cd-rom,Dvd, Zip, etc.
Pen drives
Cmaras digitales
Backups

Debemos tener en cuenta que :

La Evidencia Digital es :

Volatil

Duplicable

Borrable

Reemplazable

Evidencia Digital
Principios para la Recoleccin de Evidencias RFC 3227

Orden de volatilidad
Cosas a evitar
Consideraciones relativas a la privacidad de los datos
Consideraciones legales
Procedimiento de recoleccin
Transparencia
Pasos de la recoleccin
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento de stas
Evidencia Digital
Admisibilidad de la Evidencia

La evidencia debe ser/ estar:

Relevante: relacionada con el crimen bajo investigacin.

Permitida Legalmente: fue obtenida de manera legal.

Confiable: no ha sido alterada o modificada.

Identificada: ha sido claramente etiquetada.

Preservada: no ha sido daada o destruida.
Evidencia Digital
Tipos de Evidencia

Best evidence evidencia primaria u original, no es copia.

Secondary copia de evidencia primaria.

Direct evidence prueba o invalda un acto especfico a travs del un testimonio oral.

Conclusive evidence indiscutible, sobrepasa todo otro tipo de evidencia.
Evidencia Digital
Evidencia Digital
Finalidad

Demostrar que la Evidencia presentada ante las Autoridades correspondientes, es la misma que
se obtuvo en el Lugar de los Hechos.
Ciclo de Vida de la Evidencia

Descubrimiento y Reconocimiento.
Proteccin.
Registracin.
Recoleccin.
Recoleccin de todos los medios de almacenamientos relevantes.
Generacin de una imgen del HD antes de desconectar la computadora.
Impresin de pantallas.
Evitar la destruccin de los equipos (degaussing).
Identificacin (etiquetado).
Preservacin.
Proteccin de los medios magnticos contra borrado.
Almacenamiento en un ambiente adecuado.
Transportacin.
Presentacin ante la corte.
Devolucin de la evidencia a su dueo.
Evidencia Digital
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
1. Surge un pedido de un juzgado o cliente en particular
2. Se debe elaborar un plan de trabajo (Inteligencia)
3. Se realiza el procedimiento del Secuestro de evidencias
4. Se deben realizar las copias correspondientes
5. Se da comienzo a la CADENA DE CUSTODIA
6. Se realiza el anlisis de las evidencias obtenidas
7. Se escribe el Acta en presencia del Fiscal
8. Presentacin del Acta
2. Se debe elaborar un plan de trabajo
(Inteligencia)

El plan de trabajo es realizar la recoleccin y anlisis de evidencias en
el lugar donde se produjo el hecho, denominada (CAMPO) en vez de
llevarla al LABORATORIO, pues en el lugar un Investigador Forense
Informtico puede no solo obtener el perfil psicolgico a travs de
evidencias digitales sino que tambien se pueden obtener excelentes
indicios con solo observar el lugar en donde convivan, sus gustos, sus
costumbres, etc.
Se utiliza ingeniera social aplicada a la Ciencia Forense

3. Se realiza el procedimiento del Secuestro de evidencias
4. Se deben realizar las copias correspondientes.

Presencia de testigos
Escribano
Procedimiento documentado
Adquirir evidencias Bit a Bit del original.
Anotar fechas y horas
Precintar el original
Realizar 3 copias originales de la primer copia
Adquirir en orden de volatilidad
Voltiles y no voltiles
Ciclo de Vida de la Evidencia

Garantiza la seguridad, preservacin e integridad de los elementos probatorios colectados en el Lugar de
los Hechos.

Tambin hace referencia al mantenimiento y preservacin adecuada de los elementos de prueba, estos
deben guardarse en un lugar seguro, con una especial atencin a las condiciones ambientales
(temperatura, humedad, luz etc.)
protegindolo del deterioro biolgico o fsico.

5. Se da comienzo a la CADENA DE CUSTODIA
Quien a accedido a la evidencia ?
Que procedimientos se han seguido mientras se trabajaba con la
evidencia ?
Como podemos demostrar que nuestro anlisis fue realizado sobre
copias idnticas del original ?
Acta Firma digital Hashes Time Stamps, etc
Tcnicas para pericias
Auditoria de Logs de las aplicaciones del sistema
Anlisis de archivos y directorios eliminados
Visualizacin del contenido de archivos sospechosos
Fechas de archivos accedidos, alterados y eliminados
Sequencia de eventos
Efectuar anlisis fsico y lgico en cima de los datos levantados en
las etapas antecesoras sin alterar el contenido original.

Anlisis fsico y lgico
Son investigados los datos brutos del equipo de almacenamiento.
El anlisis es realizado sobre la imagen pericial o en la copia
restaurada de las pruebas.
Datos comunmente investigados:
Todas las URL encontradas en el sistema
Todas las direcciones de E-mail encontradas
Todas las ocurrencias de bsquedas de secuencia con
palabras sensibles segn perfil psicolgico obtenido en el
CAMPO del los hechos o bien luego de la ICIA del o los
presuntos criminales.

Anlisis de Logs
Para rastrear los casos es importante que el profesional acte
como lo hara el posible cibercriminal y no vea los datos como un
simple usuario o administrador
Para ello, es necesario que el reconstruya los historicos de
Usuarios
Procesos
Situacin de la Red
Accesos a determinados servicios
Etc.


Herramientas de Investigacin y anlisis Forense
Autopsy Forensic Browser

EnCase Software

RoadMaSSter-II (Portable Forensic Evidence Laboratory)
Israel Technology

7. Se escribe el Acta en presencia del Fiscal
8. Presentacin del Acta
Al Juzgado, a la Corte, el cliente, etc.
La aceptacin de la msma depender de:
Forma de presentacin.
Antecedentes y calificacin del profesional que realiz la
adquisicin, preservacin y anlisis de las evidencias.
La credibilidad del procedimiento realizado.
Utilizacin de herramientas autorizadas para tal funcin.
Servicios de Informtica Forense
El anlisis e investigacin forense informtica
NO SOLO
se aplica una vez que tenemos un incidente o se pretende
investigar que fue lo que pas, quien fue y como.
Conclusin
Los incidentes de seguridad informtica suceden y cada vez se vuelven
ms complejos tecnolgicamente.
Las metodologas de anlisis Forense Informtico estn siendo adoptadas
por las organizaciones privadas, organismos gubernamentales, etc, para
sus investigaciones.
Hoy en da existen herramientas y metodologas que nos permiten poder
llegar a prevenir y resolver casos de los ms complejos en tecnologa e
inteligencia.
Conclusin
FORENSE INFORMTICO
50% (Factor Humano) 50% (Factor Informtico)
Solo uno falla y tendremos un 50% de
probabilidades a sufrir algn tipo de
ataque

Cuan seguro usted se encuentra ?
Preguntas

Charla Informatica Forense

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Charla Informatica Forense

Cargado por

Copyright:

Formatos disponibles

Charla: Informtica Forense

También podría gustarte