Upload
luis-angel-salcedo-sanabria
View
232
Download
0
Embed Size (px)
Citation preview
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 1/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
ComputaciónForense:
Herramientas para
combatir la
ciberdelincuencia
Ing. Daniel Torres Falkonert
Email: [email protected]
08/04/20111
Daniel Torres Falkonert (c) 2011
Ciencias Forenses
08/04/2011 Daniel Torres Falkonert (c) 20112
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 2/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
¿Qué estudian las
ciencias forenses?
¿Homicidios?
08/04/2011 Daniel Torres Falkonert (c) 20113
Criminalística y ciencias Forenses• De Wikipedia:
La Criminalística es una ciencia fáctica multidisciplinaria que sistematizaconocimientos científicos y que aplica fundamentalmente métodos y técnicas de investigación de otras ciencias y disciplinas , en el examende evidencia física, sensible y significativa relacionada con un hecho decaracterísticas controvertidas y/o ilícitas , con el fin de determinar suexistencia o reconstruirlo, señalar y precisar la intervención de uno o variossujetos en el mismo, buscando llegar a la verdad histórica de los hechossometidos a consideración.
Dicho de otra manera, es la aplicación de toda técnica y conocimientocientífico en la investigación de hechos relacionados con el crimen o quesean de interés indagatorio policial.
08/04/2011 Daniel Torres Falkonert (c) 20114
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 3/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
O aún más
simple …
es la aplicación de la
ciencia a la ley
08/04/2011 Daniel Torres Falkonert (c) 20115
Por lo tanto,prácticamentecualquier área delconocimiento sepuede aplicar a las
ciencias forenses
08/04/2011 Daniel Torres Falkonert (c) 20116
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 4/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Computación Forense
Rama del conocimiento que provee a partir de
principios y técnicas científicas, la posibilidad
de metodológicamente identificar, recuperar,
reconstruir , analizar y presentar información
digital, de tal manera que esta pueda ser
utilizada como evidencia en una disputa legal.
08/04/2011 Daniel Torres Falkonert (c) 20117
¿Para qué?
• Determinar lo ocurrido – reconstruir eventos y
generar (descubrir) pistas.
• Determinar el alcance deun incidente
• Prevención y Preparación
para el futuro• Si es necesario, capturar y
procesar
08/04/2011 Daniel Torres Falkonert (c) 20118
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 5/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
¿Cuándo?
• No solo sirve para investigar hechosrelacionados con los hacker – Extorsiones – Fraudes – Amenazas – Pornografía infantil – Suplantaciones de identidad – Piratería de software – Recolección información de inteligencia – Disputas civiles y comerciales – Recuperación de datos – O solo para saber qué pasó
08/04/2011 Daniel Torres Falkonert (c) 20119
¿Qué?
Hardware o informacióncomo:
1. Contrabando (Sw. pirata)
2. Instrumento (Keylogger)
3. Evidencia (Inf. Del
Computador de RaúlReyes)
08/04/2011 Daniel Torres Falkonert (c) 201110
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 6/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
¿Quién?
El Investigador Forense enInformática
• Formación Ideal: – Métodos Científicos
– Ciencias del comportamiento
– Ciencias de la computación eingeniería
– Ciencias jurídicas o legales
– Criminalística y ciencias forenses
08/04/2011 Daniel Torres Falkonert (c) 201111
La Evidencia
Digital
08/04/2011 Daniel Torres Falkonert (c) 201112
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 7/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
¿Qué es?
• Es un tipo especial de evidencia física
• Es intangible
“Cualquiera o toda información en formatodigital que pueda establecer que un delitoha sido cometido o que pueda proveer unarelación entre un delito y su víctima o undelito y su autor “
Eoghan Casey
08/04/2011 Daniel Torres Falkonert (c) 201113
La Evidencia
• Permite conocer el pasado (Qué, Quién,Cómo, Dónde y por qué)
• Confirmar o desechar hipótesis sobre unhecho en cuestión
• Reconstruir total o parcialmente el escenarioen el que sucedió el incidente
08/04/2011 Daniel Torres Falkonert (c) 201114
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 8/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Principio del Intercambio de Locard
• Fundamental en lasciencias forenses
• Útil al momento dereconstruir y relacionara un sospechoso con undelito
08/04/2011 Daniel Torres Falkonert (c) 201115
¿Quién produce la evidencia?
1. Un computador(Logs)
2. Almacenada en uncomputador (Undocumento)
3. Híbrida (una hoja
de Excel conMacros)
08/04/2011 Daniel Torres Falkonert (c) 201116
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 9/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Características
• Volatilidad!
• Escena del crimendistribuida
• Fácilmente Alterable
• Ilegible por humanos
• Duplicable
• Integridad Verificable
• Recuperable
08/04/2011 Daniel Torres Falkonert (c) 201117
¿Dónde encontrarla?
• En cualquier dispositivoque tenga memoria.
– Computadores
– Memorias USB
– Teléfonos celulares
– PDA
– Cámaras digitales
– …
08/04/2011 Daniel Torres Falkonert (c) 201118
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 10/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
¿y la ley sí valora ese
tipo de pruebas?
08/04/2011 Daniel Torres Falkonert (c) 201119
Ley 527. ART. 10. Admisibilidad y fuerzaprobatoria de los mensajes de datos.
“Los mensajes de datos serán admisibles como mediosde prueba y su fuerza probatoria es la otorgada en lasdisposiciones del capítulo VIII del título XIII, seccióntercera, libro segundo del Código de ProcedimientoCivil.
En toda actuación administrativa o judicial, no se negaráeficacia, validez o fuerza obligatoria y probatoria a todo
tipo de información en forma de un mensaje de datos,por el sólo hecho que se trate de un mensaje de datoso en razón de no haber sido presentado en su formaoriginal”.
08/04/2011 Daniel Torres Falkonert (c) 201120
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 11/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Ley 527. ART. 11. Criterio para valorar
probatoriamente un mensaje de datos.
“Para la valoración de la fuerza probatoria de losmensajes de datos a que se refiere esta ley, se tendránen cuenta las reglas de la sana crítica y demás criteriosreconocidos legalmente para la apreciación de laspruebas. Por consiguiente habrán de tenerse encuenta: la confiabilidad en la forma en la que se hayagenerado, archivado o comunicado el mensaje, laconfiabilidad en la forma en que se haya
conservado la integridad de la información, la
forma en la que se identifique a su iniciador ycualquier otro factor pertinente”.
08/04/2011 Daniel Torres Falkonert (c) 201121
La Corte Constitucional en la Sentencia
No. C-662 de Junio 8 de 2000 consideró:
“El proyecto de ley establece que los mensajes de datos sedeben considerar como medios de prueba, equiparandolos mensajes de datos a los otros medios deprueba originalmente escritos en papel.
Al hacer referencia a la definición de documentos del Códigode Procedimiento Civil, le otorga al mensaje de datos lacalidad de prueba, permitiendo coordinar el sistematelemático con el sistema manual o documentario,encontrándose en igualdad de condiciones en un litigio o
discusión jurídica, teniendo en cuenta para su valoraciónalgunos criterios como: confiabilidad, integridad de lainformación e identificación del autor”.
08/04/2011 Daniel Torres Falkonert (c) 201122
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 12/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Ley 1273 de 2009
08/04/2011 Daniel Torres Falkonert (c) 201123
De todos modos todavía falta
Pero la ley sí valora la ED
08/04/2011 Daniel Torres Falkonert (c) 201124
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 13/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Las 3 reglas de oro de la computación
Forense según Edwin Lugo
1. Proteja la evidencia Original
2. Proteja la evidencia Original
3. Proteja la evidencia Original
La validez de la evidencia depende de la
rigurosidad de los procedimientosutilizados
08/04/2011 Daniel Torres Falkonert (c) 201125
“Una vez reconocida, la evidencia digital debeser preservada en su estado original. Se debetener en mente, que la ley requiere que laevidencia sea auténtica y sin alteraciones”
E.Casey
08/04/2011 Daniel Torres Falkonert (c) 201126
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 14/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Manejo no adecuado de la evidencia
• Vulnerable a falsasacusaciones
• Violaciones de laprivacidad
• Filtrado de información
• Incidentes sin resolver
• Contrademandas!!
• Pérdida de tiempo y $$$• Impunidad
08/04/2011 Daniel Torres Falkonert (c) 201127
Ejemplo
• Se encuentra una Memoria USB en un cajón deun escritorio
• Se Recolecta por personal del departamento de TI – Sin Autorización
• No es claro si la búsqueda fue legal
– Proceso no documentado• No es claro quien encontró el dispositivo
– No se etiquetó – No se inicio la cadena de custodia
• Continuar el proceso sería una mala idea – Alto riesgo de contrademanda
08/04/2011 Daniel Torres Falkonert (c) 201128
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 15/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
En caso de duda…
Pida ayuda a algún experto, pero NO
improvise con los procedimientos
forenses.
Si quiere me llama☺☺☺☺
08/04/2011 Daniel Torres Falkonert (c) 201129
Aclaración
Dependiendo de lafinalidad y laimportancia del caso,los procedimientospueden flexibilizarse
08/04/2011 Daniel Torres Falkonert (c) 201130
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 16/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Y cuando ocurra
un incidente …
¿Qué se debe hacer?
08/04/2011 Daniel Torres Falkonert (c) 201131
Primera respuesta a incidentes
1. Guardar la Calma
2. Recuerde las 3 reglasde oro
3. Llame a un experto
08/04/2011 Daniel Torres Falkonert (c) 201132
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 17/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Pero antes de llamar al experto
Tenga la siguiente información a lamano …
08/04/2011 Daniel Torres Falkonert (c) 201133
El Incidente
1. ¿Cómo fue detectado?
2. ¿Qué Información se requiere investigar?
3. ¿Se puede apagar el dispositivo?
4. Se requiere recuperar el disco dañadológicamente o físicamente?
5. Lista de palabras clave que permitan realizarbúsquedas
6. ¿En qué horario debe hacerse la investigación?
08/04/2011 Daniel Torres Falkonert (c) 201134
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 18/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
El Equipo de Cómputo o dispositivo:
1. ¿Laptop, Desktop, PDA, Celular o MemoriaUSB?
2. Marca
3. Modelo
4. Capacidad
5. Tipo de conector disco duro
08/04/2011 Daniel Torres Falkonert (c) 201135
Sistema Operativo
1. Nombre y Versión
2. Sistema de Archivos Utilizado
3. ¿Tiene Archivos Cifrados?
4. ¿Cuántos Usuarios tienen acceso a el?
5. ¿Tiene Arreglo de Discos (RAID)?
6. ¿Tiene Antivirus, Firewall, Anti-spyware, etc?
08/04/2011 Daniel Torres Falkonert (c) 201136
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 19/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Y si lo considera necesario
08/04/2011 Daniel Torres Falkonert (c) 201137
http://www.delitosinformaticos.gov.co
¿Cómo se
hace?
El proceso forense en informática
08/04/2011 Daniel Torres Falkonert (c) 201138
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 20/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
¿Qué se debe tener en cuenta?
08/04/2011 Daniel Torres Falkonert (c) 201139
Procedimientos estándar de
Operación
• Serie de pasos que deben ser seguidos cadavez que se requiera recolectar y/o examinarun computador o componente de este
• Aseguran que la evidencia fue recolectada,preservada y analizada de una maneraconsistente y minuciosa
• Afrontar crisis en todos los niveles.
• Proteger la continuidad del negocio
08/04/2011 Daniel Torres Falkonert (c) 201140
8/2/2019 Sesión 2 - Introducción a la informatica forense
http://slidepdf.com/reader/full/sesion-2-introduccion-a-la-informatica-forense 21/22
Introducción a la Computación Forense 4/8/20
Daniel Torres Falkonert (c) 2011
Principios del manejo de la evidencia
• Principio 1: Ninguna medida tomada por la policía osus agentes deberá alterar datos almacenados en uncomputador o cualquier otro medio que pueda sereventualmente confiado ante una corte.
• Principio 2: Bajo circunstancias excepcionales, endonde se considere necesario acceder a los datosoriginales en un computador, la persona encargada derealizar dicha acción, deberá ser competente parahacerlo, adicionalmente debe dar evidencia de sus
acciones, documentando y explicando la relevancia ylas implicaciones de éstas.
08/04/2011 Daniel Torres Falkonert (c) 201141
Principios del manejo de la evidencia
• Principio 3: Se deberá crear y preservar un registro desecuencia de eventos u otro tipo de registro de todos losprocesos aplicados a la evidencia digital. Una tercera parteindependiente deberá estar en condiciones de examinaresos procesos y lograr el mismo resultado.
• Principio 4: El oficial a cargo del caso es responsable deasegurarse que la ley y estos principios sean cumplidos.Esto con respecto a la posesión de la información contenida
en el computador, y el acceso a la misma. Se deberásatisfacer que cualquiera que acceda al computador, ocualquier uso que se haga sobre éste de un dispositivo decopiado, cumpla con estas leyes y principios.
08/04/2011 Daniel Torres Falkonert (c) 201142