1

PRESENTACION

Adriano Martínez, CISA

- Auditor de Sistemas Certificado – CISA

- Lic. en Contabilidad - UNA

- Analista de Sistemas (UNA -Ultimo año)

- Auditor de Proyectos – Banco Regional

- Contacto: adriano.martinez333@gmail.com

CONTENIDO

� Informática Forense

� Herramientas

Informática Forense

2

� Se considera que el 75% de los delitos relacionados con sistemas informáticos se producen desde dentro de una organización (hacker dentro del muro de fuego).

� Actualmente casi el 100% de la información se genera en forma electrónica.

Informática Forense – algunos hechos

� La computación forense tiene aplicación en situaciones tales como:

- Mal uso de la computadora que conlleve a pérdida de productividad de empleados (uso personal de correo electrónico, uso de Internet para actividades personales o entretenimiento).

- Robo de secretos comerciales e industriales, robo o destrucción de propiedad intelectual, destrucción de archivos judiciales, de auditoría, etc.

Informática Forense - Aplicación

� Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus empleados, a estudios jurídicos que necesitan recabar información ya sea para presentarla frente a un tribunal o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de crímenes.

Informática Forense - Aplicación

3

� La evidencia informática es frágil por definición y puede fácilmente ser alterada o modificada y así perder autenticidad frente a una corte. Se deben por lo tanto establecer rígidas normas de preservación y cadena de custodia de la misma.

Informática Forense - Evidencia

� La informática Forense trata de manera particular o general temas que son de interés para las ciencias forenses aplicadas en medios informáticos.

� Utiliza dentro de sus procedimientos las tareas propias asociadas con la evidencia en la escena del crimen como son:

- Identificación,

- Preservación,

- Análisis,

- Documentación y presentación de las pruebas

Informática Forense

� Identificación:

Es preciso identificar claramente (acompañándolo a ser posible con documentación gráfica) el objeto con el que vamos a trabajar. Información importante, como los números de serie, Part Number, código de fabricante, marca, modelo, características, etc., del dispositivo son esenciales en la identificación.

Informática Forense

4

� Preservación:

En muchos casos será posible hacer clonaciones (duplicados exactos) del contenido existente en un dispositivo de almacenamiento de información. Las copias deben ser hechas bit-por-bit, es decir será necesario hacer imágenes del disco.

La investigación debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro original. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica - un checksum.

Informática Forense

� Analisis:

Todo informe elaborado por un perito deberá estar basado en el análisis de la prueba (evidencias), nunca en conjeturas. El perito debe generar un informe preciso y veraz, apoyado por la obtención de una prueba contundente y demostrable, sea cual sea el objeto que se le ha encomendado analizar

Informática Forense

� Documentación y presentación de las pruebas

Casi tan importante como el resultado obtenido en el análisis es la presentación de éste, en el informe pericial. El documento elaborado basado en la prueba debe ser uniforme, bien estructurado y, además, debe ser conciso y claro en su desarrollo.

Informática Forense

5

� Alguno de los formularios que debería preparar serán:

- Documento de custodia de la evidencia.

- Formulario de identificación de equipos y componentes.

- Formulario de incidencias tipificadas.

- Formulario de publicación del incidente.

- Formulario de recogida de evidencias.

- Formulario de discos duros.

Informática Forense

� Es un término utilizado de manera amplia para describir "cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal.

Evidencia Digital

� La evidencia digital puede ser dividida en tres categorías:

1. Registros almacenados en el equipo de TI (P.e. correos electrónicos, archivos de aplicaciones, imágenes, etc.)

2. Registros generados por los equipos de TI (registros de auditoría, registros de transacciones, registros de eventos, etc.).

3. Registros que parcialmente han sido generados y almacenados en los equipos de TI. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.).

Evidencia Digital

6

� La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad:

1.Es volátil

2.Es anónima

3.Es duplicable

4.Es alterable y modificable

5.Es eliminable

Evidencia Digital

� Esterilidad de los medios informáticos de trabajo

Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones magnéticas, ópticas (láser) o similares, so pena de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas.

� Al igual que en la medicina forense, un instrumental contaminado puede ser causa de una interpretación o análisis erróneo de las causas de la muerte del paciente.

Procedimientos

� Verificación de las copias en medios informáticos

Las copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas.

Para esto, se sugiere utilizar algoritmos y técnicas de control basadas en firma digitales que puedan comprobar que la información inicialmente tomada corresponde a la que se ubica en el medio de copia.

Procedimientos

7

� Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados

El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos.

Procedimientos

� Mantenimiento de la cadena de custodia de las evidencias digitales

La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de las pruebas a su cargo.

Procedimientos

� Informe y presentación de resultados de los análisis de los medios informáticos

Una inadecuada presentación de los resultados puede llevar a falsas expectativas o interpretación de los hechos que ponga en entredicho la idoneidad del investigador. Por tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redacción impecable sin juicios de valor y una ilustración pedagógica de los hechos y los resultados, son elementos críticos a la hora de defender un informe de las investigaciones.

Procedimientos

8

� Administración del caso realizado

Los investigadores forenses en informática deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después. Por tanto, el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso.

Procedimientos

� La prueba pasa por diferentes fases o procesos procedimentales que en la mayoría de los casos se reduce a cuatro estadios. A saber:

- Extracción de la prueba

- Preservación y embalaje de la prueba

- Transporte o traslado seguro de la prueba

- Traspaso seguro de la prueba, al laboratorio u organismo competente que la reclame.

La cadena de custodia aplicada a la

informática

� En informática, la cadena de custodia no debe aplicarse sólo a aquellos dispositivos que se incautan en un momento dado. También debe aplicarse a aquellos datos que se generan sobre el terreno, de tal forma que tengan plena validez legal, ya sea como sustitución de una prueba extinguida (la pérdida del contenido de una RAM), o como apoyo a una prueba física.

La cadena de custodia aplicada a la

informática

9

� En informática, hay que precisar que un conjunto de datos obtenidos en el primer análisis -el de campo, en el lugar de los hechos-, se destruye necesariamente. Como ser las memorias volátiles. La persona quien esté encargado de recoger esta primera y valiosísima información, deberá generar un informe basado en gran parte en la prueba documental textual y fotográfica tomada en el momento del primer estudio hecho sobre el terreno, de todos aquellos datos que pueda obtener y que sabe a ciencia cierta que van a perderse, nada más desenchufar el dispositivo.

La cadena de custodia aplicada a la

informática

� Por ejemplo, un router ADSL. Este dispositivo tendrá un LOG (un registro de conexiones) guardado, en el que se podrá constatar qué ordenadores (y sus MAC e IP’s) han estado, o estaban conectados -y cuándo lo han estado-, hasta el momento en que la persona autorizada por el Juez entra al lugar a investigar y toma el control del dispositivo. Si el investigador lo primero que hace es “desenchufar”, habrá eliminado un dato precioso.

La cadena de custodia aplicada a la

informática

� Somos conscientes de que “hay que desenchufar en algún momento”. Por tanto, la cadena de custodia del router, como dispositivo físico, de poco servirá, o no será completamente eficaz si simplemente se procede a la desconexión del enrutador, pues tan importantes, o más, son los datos que éste tenía en su memoria, antes de ser desenchufado.

La cadena de custodia aplicada a la

informática

10

� En base a lo anterior podemos decir que, en algunos casos, la cadena de custodia no se aplicará sólo “al indicio material relacionado con el delito”, sino que, habría que ampliar esta definición, de tal forma que cubra y ampare igualmente aquellos datos obtenidos de dispositivos con información volátil que hayan sido obtenidos sobre el terreno.

La cadena de custodia aplicada a la

informática

� Además, el hecho de que nunca acuda un solo agente al lugar de los hechos permite que los demás asistentes den fe de los datos que se han salvaguardado, cómo se han recuperado y el lugar en el que han sido obtenidos. Una muestra fotográfica del proceso de captación de datos y de las diferentes pantallas del router –en este caso-, así como de los datos característicos de éste (nº de serie, modelo, forma física del mismo) servirán para relacionar el continente con el contenido.

La cadena de custodia aplicada a la

informática

Herramientas

11

� Las herramientas informáticas, son la base esencial de los análisis de las evidencias digitales en los medios informáticos. Estas requieren de una formalidad adicional que permita validar tanto la confiabilidad de los resultados de la aplicación de las mismas, como la formación y conocimiento del investigador que las utiliza reflexión y cuestionamiento por parte de la comunidad científica y práctica de la informática forense en el mundo.

Herramientas

� Dentro de las herramientas frecuentemente utilizadas en procedimientos forenses que tratan de cubrir todo el proceso en la investigación forense en informática:

� ENCASE -https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

� FORENSIC TOOLKIT -http://www.accessdata.com/products/digital-forensics

� WINHEX - http://www.x-ways.net/winhex/forensics.html

Herramientas

� VMWare

� DumAcl

Herramientas

12

Ministerio Público

� http://www.ministeriopublico.gov.py/sitios/lafo/faq/

PreguntasPreguntas