Documentos de Académico
Documentos de Profesional
Documentos de Cultura
POLICA INFORMTICA
FUNCIONES: Investigar y Denunciar la Comisin de los Delitos Contra el Patrimonio (hurto agravado) mediante la utilizacin de sistemas de transferencias electrnicas de fondos, de la telemtica en general, o la violacin del empleo de claves secretas, identificando, ubicando y capturando a los autores y cmplices, ponindolos a disposicin de la autoridad competente.
POLICA INFORMTICA
FUNCIONES: Investigar y Denunciar la Comisin de los Delitos Informticos en la modalidad de interferencia, acceso, copia ilcita, alteracin, dao o destruccin contenida en base de datos y otras que ponga en peligro la seguridad nacional, identificando, ubicando y capturando a los autores y cmplices, ponindolos a disposicin de la autoridad competente.
DELITO
DELITO
DELITO
INFORMATICA FORENSE
Segn
el FBI, la informtica forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
IMPORTANCIA
1.
2.
IMPORTANCIA Objetivos
1.
2. 3.
La compensacin de los daos causados por los criminales o intrusos. La persecucin y procesamiento judicial de los criminales. La creacin y aplicacin de medidas para prevenir casos similares.
Recoleccin de evidencia
USOS
1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil. 2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense. 3. Investigacin de Seguros: La evidencia encontrada en computadores, puede ayudar a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. 4. Temas corporativos: Puede ser recolectada informacin en casos que tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o an de espionaje industrial. 5. Mantenimiento de la ley: La informtica forense puede ser usada en la bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin una vez se tiene la orden judicial para hacer la bsqueda exhaustiva
La Investigacin Tecnolgica
Los
investigadores de la computacin forense usan gran cantidad de tcnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el anlisis computacional.
La evidencia computacional es nica, cuando se la compara con otras formas de evidencia documental. A diferencia de la documentacin en papel, la evidencia computacional es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realiz una copia. Esta situacin crea problemas concernientes a la investigacin del robo de secretos comerciales, como listas de clientes, material de investigacin, archivos de diseo asistidos por computador, frmulas y software propietario.
La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos como los principios para el manejo y recoleccin de evidencia computacional: 1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningn motivo esta evidencia. 2. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona debe ser un profesional forense. 3. Toda la actividad referente a la recoleccin, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisin. 4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que sta est en su posesin. 5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios.
La Investigacin Tecnolgica
La clave de la computacin forense es el anlisis de discos duros, disco extrables, CDs, discos SCSI, y otros medios de almacenamiento. Este anlisis no slo busca archivos potencialmente incriminatorios, sino tambin otra informacin valiosa como passwords, logins y rastros de actividad en Internet.
Los investigadores forenses, utilizan herramientas especiales que buscan archivos "suprimidos" que no han sido borrados en realidad, estos archivos se convierten en evidencia.
Unallocated File Space almacenamiento no-asignado (Unallocated File Space). Igual sucede con el file slack asociado al archivo antes de que ste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados. .
Eliminacin de Datos en un Medio Magntico DoD (Departamento de Defensa de los Estados Unidos) public un documento, el National Industrial Security Program Operating Manual (NISPOM), ms comnmente referenciado como DoD 5220.22-M [27], que detalla toda una serie de procedimientos de seguridad industrial, entre ellos, cmo eliminar datos contenidos en diferentes medios. Defense Scurity Service, public una Matriz de Sanitizacin y Borrado
5. Destruccin por medio de un horno microondas : Introduciendo el CD en un microondas por unos 3 segundos puede destruir gran parte del CD, sin embargo no todas las partes sern destruidas. Este mtodo no se recomienda, especialmente porque puede daar el horno debido a los campos magnticos que usa el horno y que pueden causar un cortocircuito debido a que el CD contiene metales.
7. Rayado Simple : A menos que uno quiera ser realmente precavido, la forma mas fcil de destruir un CD es rayando la parte superior. La razn por la que se debe rayar la parte superior es porque es esta la que mantiene los datos. Si es rayada la parte inferior es fcil recuperar la capa y corregir el problema, utilizando productos comerciales para recuperar CDs.
HERRAMIENTAS
Herramientas para la Recoleccin de Evidencia. Herramientas para el Monitoreo y/o Control de Computadores Herramientas de Marcado de documentos Herramientas de Hardware
HERRAMIENTAS Microsoft creo un 'set' de herramientas (coffe) que posteriormente entrego de forma gratuita a gobiernos, fuerzas de seguridad gubernamentales
HERRAMIENTAS
COFFE es un dispositivo USB que dispone de ms de 150 comandos que facilitan la obtencin de pruebas voltiles en una mquina sospechosa.
Permite, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello puede realizarse in situ.
Rompe contraseas?
HERRAMIENTAS free
RAPIER es un framework Open Source realizado en VBScript que se apoya en utilidades externas para la obtencin de informacin. Dispone de entorno grfico y de programas compilados para que sea portable.
http://code.google.com/p/rapier/downloads/list
RAPIER
RAPIER
Cargar y ejecutar mdulos ms all de la obtencin de pruebas.
ADS. Escanea en busca de NTFS Alternate Data Streams ddPhySMem. Realiza un DUMP de memoria DumpProcs. Realiza un DUMP de un proceso determinado HiddenFiles. Lista los ficheros ocultos y los ordena por fechas de acceso AVScan. Permite escanear en lnea de comandos ficheros con Malware FileCapture. Una funcionalidad que permite buscar ficheros basados en patrones L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal
MIR-ROR
Como la anterior es un conjunto de scripts basada en lnea de comandos que llama a herramientas especficas de Windows Sysinternals, as como alguna otra herramienta (exactamente del Kit de recursos de Windows 2003) .
Sysinternals Suite
http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
AccessChk AccessEnum AdExplorer AdRestore Autologon Autoruns BgInfo CacheSet ClockRes Contig Coreinfo Ctrl2Cap DebugView Desktops DiskExt DiskMon
ProcFeatures
PsExec PsFile PsGetSid PsInfo
LDMDump
ListDLLs LiveKd LoadOrder LogonSessions
Streams
Strings Sync TCPView VMMap
PsKill
PsList PsLoggedOn PsLogList PsPasswd
NewSid
NTFSInfo PageDefrag PendMoves PipeList PortMon ProcDump
VolumeID
WhoIs WinObj ZoomIt
PsService
PsShutdown PsSuspend RegDelNull RegJump
DiskView
Disk Usage (DU) EFSDump
RegMon
1. Carencia de software especializado para buscar la informacin en varios computadores. 2. Posible dao de los datos visibles o escondidos, an sin darse cuenta. 3. Ser difcil encontrar toda la informacin valiosa. 4. Es difcil adquirir la categora de 'experto' para que el testimonio personal seavlido ante una corte. 5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa.
6. Dificultad al conseguir el software y hardware para guardar, preservar y presentarlos datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional. 8. Dificultad para conducir la investigacin de manera objetiva. 9. Dificultad para hacer correctamente una entrevista con las personas involucradas. 10.Reglamentacin que puede causar problemas legales a la persona.