Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tesis Informatica Forense

    Cargado por

    javier_khan
    115 vistas23 páginas
    La norma ISO/IEC 27037 establece lineamientos para el manejo de evidencia digital en investigaciones forenses. Describe los términos, marco de referencia, elementos clave y mejores prácticas para la identificación, recolección, adquisición y preservación de evidencia digital de dispositivos como computadoras, celulares y CCTV. El documento explica los conocimientos necesarios de un perito forense de evidencia digital y la importancia de documentar adecuadamente la cadena de custodia de la evidencia.

    Descripción original:

    Tesis Informatica Forense

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    La norma ISO/IEC 27037 establece lineamientos para el manejo de evidencia digital en investigaciones forenses. Describe los términos, marco de referencia, elementos clave y mejores prácticas para la identificación, recolección, adquisición y preservación de evidencia digital de dispositivos como computadoras, celulares y CCTV. El documento explica los conocimientos necesarios de un perito forense de evidencia digital y la importancia de documentar adecuadamente la cadena de custodia de la evidencia.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    115 vistas23 páginas

    Tesis Informatica Forense

    Cargado por

    javier_khan
    La norma ISO/IEC 27037 establece lineamientos para el manejo de evidencia digital en investigaciones forenses. Describe los términos, marco de referencia, elementos clave y mejores prácticas para la identificación, recolección, adquisición y preservación de evidencia digital de dispositivos como computadoras, celulares y CCTV. El documento explica los conocimientos necesarios de un perito forense de evidencia digital y la importancia de documentar adecuadamente la cadena de custodia de la evidencia.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 23

    ISO/IEC 27037

    NORMALIZANDO LA PRACTICA
    FORENSE INFORMATICA

    Ing. Gustavo Daniel Presman


    EnCE, CCE, ACE , EnCI ,NPFA, FCA
    gustavo@presman.com.ar
    @gpresman
    La norma ISO/IEC 27037:2012 - Capítulos

    1. Alcance
    2. Marco de referencia
    3. Términos y definiciones
    4. Abreviaturas
    5. Descripciones generales
    6. Elementos para la Identificación, recolección,
    adquisición y preservación de Evidencia Digital
    7. Instancias en la Identificación, recolección,
    adquisición y preservación de Evidencia Digital
    Anexos
    La Norma y los Códigos Procesales

    Encontraremos numerosos puntos de contacto


    entre la norma y los CPP , esencialmente en
    cuanto a los aspectos forenses de la Evidencia
    Digital que son comunes a otras evidencias como
    la documental.

    La norma es un elemento permite acercar a los


    peritos Informáticos con los operadores Judiciales
    1. Alcance

    Este estándar provee lineamientos para el manejo


    de Evidencia Digital y establece las siguientes
    actividades: identificación, recolección, adquisición
    y preservación de:

     Almacenamiento digital
     Dispositivos móviles
     GPS
     CCTV
     Dispositivos en red TCP/IP o similar
    La lista no es exhaustiva e incluye dispositivos en cualquier forma …
    2. Marco de referencia
    Tronco normativo de Seguridad Informatica ISO 27000

     ISO/IEC 27037:2012 Guía para la Identificación,


    recolección , adquisición y preservación de evidencia
    digital

     ISO/IEC 27042 Information technology -- Security


    techniques -- Guidelines for the analysis and
    interpretation of digital evidence

    Soporte normativo:
     ISO 15801 Document management – Information stores electronically
     ISO 17020 Conformity Assesment – Requirements
     ISO 17025 General Requeirements for the competence of testing and
    calibration laboratories
    3. Terminos y Definiciones
    Amplio glosario que incluye, entre otros: Adquisición ,
    recolección, dispositivo digital, evidencia digital,valor de
    HASH, imagen, repetibilidad, validación, espacio asignado y
    no asignado, espoliación…

    DEFR : Digital Evidence Forensic Responder


    Individuo autorizado, entrenado y calificado para
    actuar en la escena del hecho con capacidad de
    recolección y adquisición de evidencia digital

    DES: Digital Evidence Specialist


    DEFR + Capacidades de Análisis
    4. Abreviaturas
    Diccionario de abreviaturas:
    AVI
    CCTV
    CD/DVD
    ESN
    IMEI
    MD5
    SHA1
    PIN
    PUK
    RAID
    USB

    5. Descripciones Generales
    Requerimientos de Evidencia Digital

    Relevancia: Este es un concepto jurídico que indica que la


    evidencia digital debe estar relacionada con los hechos
    investigados.

    Confiabilidad: La evidencia debe ser confiable por lo que


    debe ser repetible y auditable por un tercero que usando el
    mismo principio de operación aplicado llegue a idénticos
    resultados.

    Suficiencia: La evidencia recolectada debe ser suficiente


    para sustentar los hallazgos obtenidos por el analista
    forense, es lo que denomino recolección efectiva .
    5. Descripciones Generales (cont…)
    DEFR y DES deberán documentar todas sus
    acciones, las que se regirán por los siguientes
    principios:

     Minimizar el manejo de la evidencia digital


    original
     Documentar cualquier acción que implique
    un cambio irreversible
     Adherirse a las regulaciones y leyes
    locales
     No extralimitarse en sus funciones
    5. Descripciones Generales (cont…)

    Identificación : Es el reconocimiento de donde se


    halla la evidencia digital, sea esta física o lógica.

    Recolección: Frecuentemente el DEFR deberá


    tomar la decisión de recolectar la evidencia y
    trasladarla al laboratorio para su adquisición , en
    función del tiempo y los recursos informáticos
    disponibles en la escena del hecho, sustentado
    por el mandato judicial. En cualquier caso ,
    deberá documentar su decisión fundamentándola
    y estará preparado para defenderla en una corte.
    5. Descripciones Generales (cont…)
     Adquisición: Es el proceso de copia forense que el DEFR
    o DES realizará obteniendo una copia binaria exacta del
    contenido lógico o físico de los objetos involucrados en la
    investigación. La norma establece que la copia debe ser
    verificada con un "método de verificación probado"
    evitando expresarse sobre la utilización de algún HASH en
    particular.
     Preservación: La evidencia digital deberá ser preservada
    para asegurar su integridad durante todo el proceso. Esto
    incluye el embalaje , que en algunos casos tiene
    requerimientos especiales.

    NADA SE DICE DEL NUMERO DE COPIAS QUE SE


    DEBEN MANTENER
    6. Elementos para la Identificación,
    recolección, adquisición y preservación de
    Evidencia Digital
    Cadena de custodia: Registro de Identificación cronológica
    del movimiento y manejo de evidencia potencial.
    Puede ser un formulario o un conjunto de documentos
    conteniendo como mínimo:

    1. Un Identificador único de evidencia


    2. Quien accedió a la evidencia , en que lugar/fecha/hora
    3. Quien retiró o almacenó la evidencia del lugar de resguardo
    4. Motivo sustentable de autoridad relevante
    5. En caso de producir cambios en la evidencia. Quien los
    hizo y su justificación
    6. Elementos … (cont)
    Precauciones en la escena del hecho (DEFR):

     Asegurar la Seguridad personal


     Securizar y aislar el área física conteniendo ED
     Individualizar a la persona a cargo
     Retirar a las personas de los equipos con ED potencial
     Aislar el perímetro de red
     Si el dispositivo está apagado mantenerlo apagado
     Si el dispositivo esta encendido mantenerlo encendido
     Documentar , si esta permitido mediante foto y video
     Identificar notas y post-it con información potencialmente util
    6. Elementos … (cont)
    Consideraciones en la escena del hecho (DEFR):
     Hay autorización legal para recolectar ED ?
     Se autoriza la interrupción del servicio informático?
     Es necesario recolectar evidencia en flagrancia ?
     Si la recolección es encubierta…hay soporte legal ?
     La ED está en un dispositivo de misión crítica ?
     El tamaño a Adquirir es excesivo ? (RAID/NAS), considere
    Adquirir LEF
     Detener el dispositivo puede afectar a la vida ?
     El dispositivo brinda servicios a terceros no involucrados ?

    Documentar, Documentar, Documentar, Documentar,


    Documentar, Documentar, Documentar, Documentar,
    6. Elementos … (cont)
    Otros aspectos relevantes a la preservación:

     Adquirir por orden de volatilidad (RFC3227)


     Poseo autoridad legal sobre el domicilio Informático ?
     Etiquetar, almacenar, precintar…
     Bloquear electricidad estática (Embalaje Antiestático)
     Bloquear EMI (Bolsas de Faraday)
     Aislamiento magnético (Digital Tapes)
     Protección térmica en zonas críticas.
    7. Instancias en la Identificación,
    recolección, adquisición y preservación de
    Evidencia Digital
    Recolección de Computadoras y dispositivos de
    almacenamiento digital

     Documentar marca, modelo y números de serie de


    dispositivos de almacenamiento masivo (magnético.
    Electrónico y óptico)

     Durante la documentación mantener el estado de


    encendido/apagado hasta decidir si recolecta memoria RAM
     Fotografiar pantalla y documentar

     Si posee autorización, registrar procesos en ejecución y


    aplicaciones activas
    7. Instancias … (cont)

    Recolección o Adquisición ? : Factores que afectan la


    decisión

     Disponibilidad de DEFR / DES


     Volatilidad de la evidencia
     Existencia FDE o contenedores cifrados
     Sistemas críticos (ver capitulo 6)
     Autorización legal
     Recurso físico para almacenamiento y transporte
     Ventana de tiempo
    7. Instancias … (cont)
    Recolección de memoria RAM

    SI Esta el equipo
    NO Adquisición
    encendido tradicional de
    ? forma directa o
    indirecta

    Tiene el equipo
    Alto Impacto NO
    FDE o cifrado de
    legal contenedores ?

    SI
    Adquirimos
    RAM
    7. Instancias … (cont)

    Adquisición de dispositivos con autenticación dinámica:

     Servidores de red o recursos compartidos


     Unidades mapeadas
     Dispositivos críticos encendidos
     Terminales Thin client
     Celulares
     Tablets
    7. Instancias … (cont)

    Adquisición de CCTV

     Adquirir HD interno
     Adquirir los videos mediante exportación
    (Reproductor propietario ?)
     Adquirir los videos mediante una conexión
    de red
     Exportar los videos (MPEG/AVI/MP4)
    incluyendo códecs propietarios
    Anexos

    A) Conocimientos mínimos y competencia que debe


    poseer un DEFR
     Identificación
     Recolección
     Adquisición
     Preservación

    B) requerimientos mínimos de documentación para la


    transferencia de Información
    Reflexiones y Conclusiones

    A) Que tan alejados estamos de la norma ? (peritos e


    instituciones)

    A) Como podemos ajustarnos a ella ?

    A) Es útil un glosario de términos y abreviaturas ?


     Identificación
     Recolección
     Adquisición
     Preservación
    Reflexión Final:

    La adopción de normas para establecer con anticipación


    procedimientos sólidos fortalecerá nuestro trabajo . Poco
    será el valor de un dictamen impecable desde la óptica
    técnica, si el mismo presenta debilidades en su forma

    Preguntas ???
    Muchas Gracias por su participación

    Ing. Gustavo Daniel Presman


    EnCE, CCE, ACE , EnCI ,NPFA, FCA
    gustavo@presman.com.ar
    @gpresman

    También podría gustarte