INFORMATICA FORENSE : Medios de Prueba Informática
1
1º FORO DE DERECHO
I�FORMATICO
INFORMATICA FORENSE :Medios de Prueba Informática
Concarán , 25 de Febrero de 2010
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
www.presman.com.ar
INFORMATICA FORENSE : Medios de Prueba Informática
2
Los medios de prueba
Informática se basan en la
utilización de evidencia digital
sobre la que aplicamos técnicas
de Informática Forense
INFORMATICA FORENSE : Medios de Prueba Informática
3
Que es La Informática Forense ? : Presentación del tema
• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadorasfacilita que gran cantidad de información que manipulamos se encuentre almacenada en computadoras y medios magnéticos.
• Muchas conductas delictivas se realizan empleando unacomputadora , Sistema informático ó de Transmisión de laInformación
• Más allá de la tipificación del delito como DELITO INFORMATICO (Ley 26388 )existen delitos tradicionales donde utiliza la TI como medio.
INFORMATICA FORENSE : Medios de Prueba Informática
4
Evidencia informática = Evidencia Digital = Evidencia Electrónica
• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y
otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada
medios electrónicos
�Discos rígidos en computadoras
�Palms / PDA
�Teléfonos celulares
�Cámaras digitales
�Faxes
� ....
INFORMATICA FORENSE : Medios de Prueba Informática
5
Que es la Informática Forense ?
“ Es la ciencia de adquirir , preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático”
* Adaptada de :
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
INFORMATICA FORENSE : Medios de Prueba Informática
6
Para el resguardo y el análisis hay que tener presente la Informacion disponible bajo el “iceberg” de los datos (artefactos , metadatos...)
DatosDatos ObtenidosObtenidos con con
herramientasherramientas comunescomunes
((p/ejp/ej Windows Explorer)Windows Explorer)
DatosDatos adicionalesadicionales obtenidosobtenidos
con con herramientasherramientas forensesforenses((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, ,
DificilesDificiles de de obtenerobtener3)3)
INFORMATICA FORENSE : Medios de Prueba Informática
7
Fuentes de Metadatos
• El proceso de almacenamiento y borrado
• El acceso a Internet
• La ejecucion de impresiones
• El sistema operativo de la computadora
INFORMATICA FORENSE : Medios de Prueba Informática
8
Borrado de archivos / Información residual
INFORMATICA FORENSE : Medios de Prueba Informática
9
La Navegacion en internet
Cache
Historial
Cookies
INFORMATICA FORENSE : Medios de Prueba Informática
10
Las impresiones
INFORMATICA FORENSE : Medios de Prueba Informática
11
El Sistema Operativo : Ejemplo de Movimiento bancario
hallado en el archivo de Intercambio de Windows
INFORMATICA FORENSE : Medios de Prueba Informática
12
Que cosas podemos obtener del analisis forense de la
evidencia ?
Con los datos visibles :
�Documentos
�Correos electronicos
� Fotos digitales
� Listados y logs
INFORMATICA FORENSE : Medios de Prueba Informática
13
Que cosas podemos obtener del analisis forense de la
evidencia ?
Con los Metadatos :
� Usuarios del sistema y sus claves
� Actividad en el sistema operativo
� Lineas de tiempo
� Actividad en Internet
� Ubicacion geografica de una computadora
� Webmail
� Impresiones realizadas
� Medios removibles conectados
� Fotos digitales y su relacion con camaras
INFORMATICA FORENSE : Medios de Prueba Informática
14
Tipos de Investigación Forense Informática
�Tradicional (con resguardo)
�En vivo (sin resguardo)
�e-Discovery
INFORMATICA FORENSE : Medios de Prueba Informática
15
Para el resguardo hay que tener presente las características de la evidencia informatica que la diferencian de la evidencia tradicional
�La volatilidad
�La capacidad de duplicación
�La facilidad de alterarla
�La cantidad de Metadatos que posee
INFORMATICA FORENSE : Medios de Prueba Informática
16
EL ARCHIVO DE EVIDENCIA
Al resguardar un medio magnético se puede:
1) Aportar el disco original
2) Hacer una copia ó imágen
Forense
3) Hacer un clonado Forense
INFORMATICA FORENSE : Medios de Prueba Informática
17
ARCHIVO DE EVIDENCIA*
Copia bit a bit del contenido total
disco , esto incluye :
Metadatos del sistema operativo
Espacio utilizado y no utilizado
* Fuente : NIST : National Institute of standards and technology - http://www.cftt.nist.gov/
INFORMATICA FORENSE : Medios de Prueba Informática
18
AUTENTICACION DE EVIDENCIA
POR MEDIO DE U( ALGORITMO
DE HASH DEL CO(TE(IDO TOTAL DE
LA EVIDE(CIA
5b748e186f622c1bdd6ea9843d1609c1
ALGORITMOS DE HASH UTILIZADOS E( I(FORMATICA FORE(SE
MD5 (128 bits) SHA-1(160 bits)
INFORMATICA FORENSE : Medios de Prueba Informática
19
Modalidades de Investigación Forense Informática
�Tradicional (con resguardo)
�En vivo o Tiempo Real (sin resguardo)
�e-Discovery (collection)
INFORMATICA FORENSE : Medios de Prueba Informática
20
Que es el e-Discovery ?
INFORMATICA FORENSE : Medios de Prueba Informática
21
PROXIMOS DESAFIOS : Análisis Forense en la nube
Cloud Computing Forensics
INFORMATICA FORENSE : Medios de Prueba Informática
22
Muchas Gracias por su participacion
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI,
ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
www.presman.com.ar