Post on 02-Jun-2018
8/10/2019 Charla Informatica Forense
1/32
Charla: Informtica Forense
8/10/2019 Charla Informatica Forense
2/32
Seguridad Informtica
La seguridad informtica se define como lapreservacin de la confidencialidad, la integridad y ladisponibilidad de los sistemas de informacin.
La labor de todo IT es tomar
las previsiones del caso
8/10/2019 Charla Informatica Forense
3/32
Informtica orense
La informtica forense se define como la rama de lainformtica que apoya a la justicia en la bsqueda dela verdad. Para dichos fines recopila que puedan ser
empleados para fines judiciales.
8/10/2019 Charla Informatica Forense
4/32
Anlisis Forense:
Es la aplicacin de principios de las ciencias fsicas en derecho ybsqueda de la verdad en cuestiones civiles, criminales y decomportamiento social para que no se comentan injusticias contracualquier miembro de la Sociedad.(Manual de Patologa Forense del Colegio de Patologistas
Americanos, 1990).
Ciencia Forense:
Ciencia de encontrar, recoger, analizar y preservar evidencias quesean admisibles en un tribunal u otros ambientes legales.
Informatica Forense:
Es una rama de la Ciencia Forense en relacion a las evidenciaslegales halladas en computadoras y/o medios de almacenamientolegal. Se hadhiere a las normas de pruebas admisibles en un Tribunalde Justicia.
8/10/2019 Charla Informatica Forense
5/32
Procedimiento Forense Informtico
Que es un procedimiento forense ?
Es la metodologa detallada utilizada por el Investigador conla finalidad de obtener las evidencias para su posterioranlisis y entrega a la justicia
8/10/2019 Charla Informatica Forense
6/32
Procedimiento Forense InformticoEtapas del Procedimiento Forense
Identificacin
Recoleccin o adquisicin de evidencias
Preservacin de evidencias (fsica y lgica)
Anlisis de evidencias
Presentacin de resultados
El anlisis forense computacional produce
informaciones directas y no interpretativas
8/10/2019 Charla Informatica Forense
7/32
8/10/2019 Charla Informatica Forense
8/32
Procedimiento Forense Informtico
El Investigador Forense debe plantearse preguntascomo:
Quin realiz la intrusin?
Cual pudo ser su interes?
Cmo entr en el sistema el atacante?
8/10/2019 Charla Informatica Forense
9/32
El Investigador Forense debe plantearse preguntas como:
Qu daos ha producido en el sistema o que informacin
se llev?Dejo informacin que permita involucrarlo?
Tendr alguna forma de volver acceder (backdoor)?
Etc
8/10/2019 Charla Informatica Forense
10/32
Evidencia Digital
Qu es la Evidencia Digital ?
La Evidenc ia Digital, es todo aquel elemento que pueda almacenar
informacin de forma fsica o lgica que pueda ayudar a esclarecer
un caso. Pueden formar parte:
Disco s rgido s , HDArch ivos temporales , *.temp
Espacios no asignados en el disco
Diskettes, Cd-rom ,Dvd, Zip, etc.
Pen drives
Cmaras d ig it alesBackups
8/10/2019 Charla Informatica Forense
11/32
Debemos tener en cuenta que :
La Evidenc ia Digital es :
Volatil
Dup l icable
Borrable
Reemp lazable
Evidencia Digital
8/10/2019 Charla Informatica Forense
12/32
Principios para la Recoleccin de Evidencias RFC 3227
Orden de volatilidad
Cosas a evitar
Consideraciones relativas a la privacidad de los datos
Consideraciones legales
Procedimiento de recoleccin
Transparencia
Pasos de la recoleccin
Cadena de custodia
Como archivar una evidencia
Herramientas necesarias y medios de almacenamiento de stas
Evidencia Digital
8/10/2019 Charla Informatica Forense
13/32
Admisibilidad de la Evidencia
La evidenc ia debe ser/ estar:
Relevante: relacionada con el crimen bajo investigacin.
Permitida Legalmente: fue obtenida de manera legal.
Confiable: no ha sido alterada o modificada.
Identificada: ha sido claramente etiquetada.
Preservada: no ha sido daada o destruida.
Evidencia Digital
8/10/2019 Charla Informatica Forense
14/32
Tipos de Evidencia
Best evidenceevidencia primaria u original, no es copia.
Secondarycopia de evidencia primaria.
Direct evidence
prueba o invalda un acto especfico a travs del un testimonio oral.
Conclus ive evidenceindiscutible, sobrepasa todo otro tipo de evidencia.
Evidencia Digital
8/10/2019 Charla Informatica Forense
15/32
Evidencia Digital
Finalidad
Demostrar que la Evidencia presentada ante las Autoridades correspondientes, es la misma que
se obtuvo en el Lugar de los Hechos.
8/10/2019 Charla Informatica Forense
16/32
Ciclo de Vida de la Evidencia
Descubrimiento y Reconocimiento.
Proteccin.
Registracin.
Recoleccin.
Recoleccin de todos los medios de almacenamientos relevantes.
Generacin de una imgen del HD antes de desconectar la computadora.
Impresin de pantallas.
Evitar la destruccin de los equipos (degaussing).
Identificacin (etiquetado).
Preservacin.
Proteccin de los medios magnticos contra borrado.Almacenamiento en un ambiente adecuado.
Transportacin.
Presentacin ante la corte.
Devolucin de la evidencia a su dueo.
Evidencia Digital
8/10/2019 Charla Informatica Forense
17/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
1. Surge un pedido de un juzgado o cliente en particular
2. Se debe elaborar un plan de trabajo (Inteligencia)
3. Se realiza el procedimiento del Secuestro de evidencias
4. Se deben realizar las copias correspondientes
5. Se da comienzo a la CADENA DE CUSTODIA
6. Se realiza el anlisis de las evidencias obtenidas
7. Se escribe el Acta en presencia del Fiscal
8. Presentacin del Acta
8/10/2019 Charla Informatica Forense
18/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO2. Se debe elaborar un plan de trabajo
(Inteligencia)
El plan de trabajo es realizar la recoleccin y anlisis de evidencias enel lugar donde se produjo el hecho, denominada (CAMPO) en vez dellevarla al LABORATORIO, pues en el lugar un Investigador ForenseInformtico puede no solo obtener el perfil psicolgico a travs deevidencias digitales sino que tambien se pueden obtener excelentesindicios con solo observar el lugar en donde convivan, sus gustos, sus
costumbres, etc.Se utiliza ingeniera social aplicada a la Ciencia Forense
8/10/2019 Charla Informatica Forense
19/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
3. Se realiza el procedimiento del Secuestro de evidencias
4. Se deben realizar las copias correspondientes.
Presencia de testigos
Escribano
Procedimiento documentado
Adquirir evidencias Bit a Bit del original.
Anotar fechas y horas
Precintar el original
Realizar 3 copias originales de la primer copia
Adquirir en orden de volatilidad
Voltiles y no voltiles
8/10/2019 Charla Informatica Forense
20/32
Ciclo de Vida de la Evidencia
Garantiza la seguridad, preservacin e integridad de los elementos probatorios colectados en el Lugar delos Hechos.
Tambin hace referencia al mantenimiento y preservacin adecuada de los elementos de prueba, estosdeben guardarse en un lugar seguro, con una especial atencin a las condiciones ambientales(temperatura, humedad, luz etc.)
protegindolo del deterioro biolgico o fsico.
8/10/2019 Charla Informatica Forense
21/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
5. Se da comienzo a la CADENA DE CUSTODIA
Quien a accedido a la evidencia ?
Que procedimientos se han seguido mientras se trabajaba con laevidencia ?
Como podemos demostrar que nuestro anlisis fue realizado sobrecopias idnticas del original ?
Acta Firma digital Hashes Time Stamps, etc
8/10/2019 Charla Informatica Forense
22/32
8/10/2019 Charla Informatica Forense
23/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
6. Se realiza el anlisis de las evidencias obtenidas
Anlisis fsico y lgico
Son investigados los datos brutos del equipo de almacenamiento.
El anlisis es realizado sobre la imagen pericial o en la copiarestaurada de las pruebas.
Datos comunmente investigados:
Todas las URL encontradas en el sistema
Todas las direcciones de E-mail encontradas
Todas las ocurrencias de bsquedas de secuencia conpalabras sensibles segn perfil psicolgico obtenido en elCAMPO del los hechos o bien luego de la ICIA del o lospresuntos criminales.
8/10/2019 Charla Informatica Forense
24/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
6. Se realiza el anlisis de las evidencias obtenidas
Anlisis de Logs Para rastrear los casos es importante que el profesional acte
como lo hara el posible cibercriminal y no vea los datos como unsimple usuario o administrador
Para ello, es necesario que el reconstruya los historicos de
Usuarios
Procesos
Situacin de la Red
Accesos a determinados servicios
Etc.
8/10/2019 Charla Informatica Forense
25/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO6. Se realiza el anlisis de las evidencias obtenidas
Herramientas de Investigacin y anlisis Forense
Autopsy Forensic Browser
8/10/2019 Charla Informatica Forense
26/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
6. Se realiza el anlisis de las evidencias obtenidas
Herramientas de Investigacin y anlisis ForenseEnCase Software
8/10/2019 Charla Informatica Forense
27/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
6. Se realiza el anlisis de las evidencias obtenidas
Herramientas de Investigacin y anlisis Forense
RoadMaSSter-II (Portable Forensic Evidence Laboratory)
Israel Technology
8/10/2019 Charla Informatica Forense
28/32
Anlisis Forense Informtico
PROCESO GENERAL FRENTE A UN CASO
7. Se escribe el Acta en presencia del Fiscal
8. Presentacin del Acta
Al Juzgado, a la Corte, el cliente, etc.
La aceptacin de la msma depender de:
Forma de presentacin.
Antecedentes y calificacin del profesional que realiz laadquisicin, preservacin y anlisis de las evidencias.
La credibilidad del procedimiento realizado.
Utilizacin de herramientas autorizadas para tal funcin.
8/10/2019 Charla Informatica Forense
29/32
Servicios de Informtica Forense
El anlisis e investigacin forense informtica
NO SOLO
se aplica una vez que tenemos un incidente o se pretende
investigar que fue lo que pas, quien fue y como.
8/10/2019 Charla Informatica Forense
30/32
Conclusin
Los incidentes de seguridad informtica suceden y cada vez se vuelvenms complejos tecnolgicamente.
Las metodologas de anlisis Forense Informtico estn siendo adoptadaspor las organizaciones privadas, organismos gubernamentales, etc, parasus investigaciones.
Hoy en da existen herramientas y metodologas que nos permiten poderllegar a prevenir y resolver casos de los ms complejos en tecnologa einteligencia.
C l i
8/10/2019 Charla Informatica Forense
31/32
Conclusin
FORENSE INFORMTICO50% (Factor Humano) 50% (Factor Informtico)
Solo uno falla y tendremos un 50% de
probabilidades a sufrir algn tipo deataque
Cuan seguro usted se encuentra ?
8/10/2019 Charla Informatica Forense
32/32
Preguntas