“Toda accion criminal de un individuo no ocurre sin dejar una marca” Informatica forense Edmond Locard ¿Que es la informática forense?
● Analisis forense digital / Computacion forense / Pericia digital / Forense
computacional ● Usa conocimientos científicos para recolectar, analizar, documentar y presentar evidencia digital ● Investiga dispositivos de almacenamiento. ● Investiga ciberataques (ransomware, phishing, DDoS, etc). ● Responde a las preguntas: ¿Que se hizo?, ¿Cuando se hizo? y ¿Quien lo hizo?. Objetivos del analisis forense
● Buscar evidencia legal en dispositivos de cómputo y preservar su
integridad. ● Preservar y recuperar evidencia siguiendo procedimientos técnicos. ● Atribuir una acción a su iniciador. ● Identificar fuga de datos dentro de organizaciones. ● Acceder a posibles daños causados por una posible fuga de datos. ● Entregar resultados en forma adecuada para presentarlos en una corte. ● Proporcionar una guía para testimonio experto Cibercrimen
● Cualquier actividad ilegal cometida usando un tipo de dispositivo o red de
computadoras. ● Generalmente tiene fines de lucro. ● Como ataque tienen origen interno o externo. ● Un dispositivo puede ser usado como: ○ Arma/Herramienta ○ Objetivo ○ Facilitador Ejemplos de cibercrímenes
● Distribución de malware(virus, troyanos, gusanos, spyware, etc.)
● Distribución de ransomware ● CryptoJacking ● Hacking ● Inyecciones SQL ● Pharming ● Phishing ● Robo de identidad ● CyberStalking ● Etc. Categorías
Se pueden clasificar según el origen de la evidencia digital:
● Analisis forense computacional
● Analisis forense de dispositivos móviles ● Analisis forense de redes ● Analisis forense de bases de datos ● Analisis forense de datos Usos del analisis forense
● Tareas de cumplimiento de la ley
● Juicios civiles ● Inteligencia y contrainteligencia Tipos de investigacion
● Habilidad de recolectar, preservar, proteger y analizar evidencia digital de
una organización ● Permite: ○ Alta respuesta a incidentes ○ Cumplimiento de la normativa gubernamental ○ Fortalecimiento de la defensas sobre seguridad organizacional ○ Minimizar ataques internos ○ Incremento en la postura sobre seguridad de una organización Prevision forense Evidencia digital
● Creados por el usuario: ● Creados por la maquina/red:
○ Archivos de texto ○ Configuraciones ○ Audio y video ○ Logs ○ Imágenes ○ Datos del navegador ○ Grabaciones ○ Historial de aplicaciones ○ Calendario y libretas ○ Archivos de paginado e hibernacion ○ Archivos ocultos generados por la ○ Archivos temporales interacción de un usuario. ○ Archivos de registro ○ Archivos del sistema Evidencia digital - ubicaciones
● Computadoras de escritorio ● Computadoras portatiles ● Tablets ● Servidores y RAIDS ● Dispositivos de red (Switch, hub, modems, routers, etc) ● Dispositivos IoT ● Smartphones ● Consolas de videojuegos ● Impresoras ● Escaners ● ... Retos al adquirir evidencias
● Equipos bloqueados con contraseña
● Técnicas de esteganografía para ocultar datos incriminatorios. ● Técnicas de encriptación de archivos ● Contraseñas fuertes para la protección de volúmenes y sistemas ● Renombrar archivos, cambiando extensiones ● Intentos de destrucción de evidencias ● Alteración de evidencias ● Leyes ● Daños físicos ¿Quien debe recolectar evidencias?
● Pensamiento analitico ● Formacion solida en IT ● Habilidades de hacking ● Habilidades de organizacionales y de comunicacion ● Conocimiento de leyes referentes a cibercrimenes ● Habilidades en el analisis forense digital ● Habilidades en la búsqueda y recoleccion de informacion de fuentes de dominio publico Cadena de custodia
Se debe declarar como la evidencia fue descubierta, adquirida, transportada
analizada, preservada y manejada
● ¿Que es la evidencia digital?
● ¿Donde fue encontrada? ● ¿Como fue adquirida la evidencia digital? ● ¿Como fue la evidencia transportada, preservada y manipulada? ● ¿Como fue la evidencia examinada? (herramientas y tecnicas usadas) ● ¿Cuando se tuvo acceso a la evidencia? (Por quien y por que motivos) ● ¿Como se uso la evidencia durante la investigacion? Cadena de custodia Fases de un analisis forense
- Se confisca y transporta evidencias de forma segura al lab.
- Siempre enmarcados en leyes y procedimientos vigentes - Personal capacitado debe verificar que el equipo no haya sido manipulado (forensically sound) Adquisición
- Se adquieren todas las copias posibles de evidencia digital
- Se toma en cosideracion diferentes escenarios - Se usa hardware/software duplicador de unidades de almcenamiento, ej. dd linux, MagnetRAM Analisis
- Se hace una investigacion de evidencias adquiridas
- Se usan herramientas como EnCase, SleuthKit, Volatility, etc - Se aplica el analisis de firmas (hash) para diferentes tareas de la fase Presentación
Se produce un informe final, preferentemente con las siguientes
características:
- Compendio de palabras clave
- Descripcion de herramientas utilizadas - Metodo de adquisicion de evidencias - Descripcion de evidencias - Explicacion de terminos tecnicos (HPA, archivos de volcado, etc) - Conclusiones de la investigacion Guías en proceso de analisis forense digital
● Guia para integrar tecnicas forenses en respuesta a incidentes - NIST
(https://csrc.nist.gov/publications/detail/sp/800-86/final) ● Examen forense de evidencia digital: una guía para el cumplimiento de la ley - US DOJ (https://www.ncjrs.gov/pdffiles1/nij/199408.pdf) ● Investigacion electronica sobre la escena del crimen: una guia para los primeros respondedores (https://www.ncjrs.gov/pdffiles1/nij/187736.pdf) ● RFC 3227 - Directrices para la recopilacion de evidencias y su almacenamiento (https://www.incibe-cert.es/blog/rfc3227) Certificaciones
● Computer Hacking Forensic Investigator (CHFI)
(https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/) ● Certified Forensic Computer Examiner (CFCE) (https://www.iacis.com/certifications/cfce) ● GIAC Certified Forensic Examiner (GCFE) (https://www.giac.org/) ● AccessData Certified Examiner (ACE) (https://accessdata.com/training/computer-forensics-certification/) Relación con otras áreas
