-
Computacin ForensePhD. Ing. Enrique Santiago
Master Seguridad InformticaMaster ingeniera telemtica.
Especialista en Sistemas de TelecomunicacionesEspecialista en
Redes de Computadoras
Certified Ethical Hacker ECCOUNCILCertified Hacker Forensic
Investigator
-
Agenda
Introduccin a la Computacin Forense. Proceso de Investigacin
Forense. Evidencia Digital. Procedimiento de Primera Respuesta.
Algoritmos de Hash. Adquisicin y Duplicacin de Datos. Laboratorio
Forense. Anlisis Forense.
-
COMPUTACIN FORENSEINTRODUCCIN
-
Computacin Forense Combinacin de la Ley y las Ciencias
Computacionales. Es definido como la practica de:
Obtener Y Examinar datos
Extrados de: Sistemas Computacionales Redes de nodos
Dispositivos Wireless Telfonos Mviles, etc.
Incluye unas tcnicas de extraccin que permiten que la evidencia
pueda ser aceptada en los estrados judiciales.
Con el fin de identificar la verdad sobre un suceso.
-
Computacin Forense
La computacin Forense, incluye los procesos de: Capturar
Procesar Investigar
los datos obtenidos de un sistema computacional .
Rama de la informtica que sirve de apoyo a otrasdisciplinas o
actividades, como las labores decriminalstica.
-
Historia Computacin Forense 1932: 1er Laboratorio Forense de
FBI.
1984: C.A.R.T (Computer Analysis Response Team) para proveer
soporte en la bsqueda de evidencia computacional.
1993: 1era Conferencia Internacional de Evidencia
Computacional.
1995: Formacin del IOCE.(International Organization
ComputerEvidence).
2000: 1er Laboratorio Computo Forense del FBI.
-
Computacin Forense Esta rama investigativa tomo importancia real
a partir de
1984 cuando el FBI y otras agencias de Estados Unidoscomenzaron
a desarrollar programas para examinar evidenciacomputacional.
11 de septiembre, da decisivo para la seguridad informtica yla
computacin forense en USA.
-
Computacin Forenselos investigadores forenses de la informtica:
Descubren. Analizan. Recopilan evidencias digitales.
-
Informtica ForenseComponentes del Anlisis Forense:
Identificacin de la evidencia Preservacin de la evidencia.
Anlisis de la evidencia Presentacin de la Evidencia ante
tribunales
Existen otros como:
La esterilidad de los medios informticos de trabajo La
verificacin de las copias en medios informticos, las
cuales deben ser idnticas al original.
-
Metodologa de Anlisis Forense
-
Computacin ForenseLa computacin forense se divide en:
Informtica Forense
Network Forensics
-
Computacin Forense Informtica Forense
-
Computacin Forense Network Forensics
-
PROCESO DE INVESTIGACIN FORENSE
-
Personal que interviene en una investigacin forense
Abogados Fotgrafos Unidad de respuesta a incidentes Analizadores
de Incidentes Examinador de evidencias/Analista Forense
Administrador de evidencias Testigos Expertos / peritos
-
EVIDENCIA DIGITAL
-
Evidencia Digital
Se considera como cualquier dato informacincon valor probatorio
que este almacenada,transportada o transmitida de forma
digital.
La evidencia digital puede ser encontrada en: Historial de
navegacin en internet, cookies. Archivos de texto, Documentos
electrnicos Grabaciones de audio y video Archivos de fotografas e
imgenes. Emails, logs, etc.
-
Evidencia Digital Caractersticas de Evidencia digital:
Intangible. Puede ser alterada no intencionalmente. Es voltil.
Se encuentra en estado entrpico. Es circunstancial Expira con el
tiempo.
Desafos de la Evidencia digital: Inalterabilidad Control e
identificacin de cambios Trazabilidad Su manejo requiere mucho
cuidado y expertise.
-
Evidencia Digital
Fragilidad de la evidencia digital: Si un proceso escribe sobre
esta, puede
eliminarla. Durante el proceso de recoleccin de evidencias
podra sobre escribirse la misma. Si la computadora se apaga se
pierde la
informacin voltil. Puede ser modificada de forma remota. Puede
ser eliminada por una tarea programada.
-
Evidencia Digital
Rol de la Evidencia Digital: Establecer un enlace creble entre
el atacante, la
victima y la escena del crimen. Por Ejemplo:
Asociar la fecha, hora y direccin IP con un evento registrado en
un log.
Principio de intercambio de locards.
-
Evidencia Digital
Admisibilidad en la corte: La admisibilidad de esta depende de
la legislacin
y de que la evidencia sea: Clara y entendible por los jueces y
el jurado. Que este relacionada con los hechos que se investigan.
Que sea creble y verificable por cualquier perito. Que no genere
duda. Que sea autentica y pueda demostrarse.
