Ing. Gustavo D. Presman

@gpresman

COMO PRESERVAR LA EVIDENCIA DIGITAL EN UN INCIDENTE INFORMATICO

Agenda

• Aspectos básicos de la evidencia digital

• Aspectos Legales

• Aspectos Técnicos y Procedimentales

• Conclusiones

¿ Judicializar o no Judicializar ? ...

Esa es la

cuestiòn ...

Que hacer frente al incidente ?

Que hacer frente al incidente ?

• Mitigar : Restaurar la operatividad

• Identificar : Como ? Cuando ? Donde ?

• Preservar Evidencia : Posible Judicialización

• En que orden ? • Equipo de Respuesta a Incidentes : Dirección ,

Sistemas , Auditores , Abogados (I/E)

Preservar Evidencia

Con planificación previa y procedimientos claros en la recolección de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicialización.

Resguardo de la Prueba

• EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA

• ... “ Datos que han sido procesados electronicamente y almacenados o transmitidos a

través de un medio informático”... • (FBI)

MEMORIA DE ALMACENAMIENTO MEMORIA RAM TRAFICO DE RED

Que es la Evidencia Digital ?

• Que diferencia la evidencia

informática de la evidencia tradicional ?

• La volatilidad

• La capacidad de duplicación

• La facilidad de alterarla

• LosMetadatos que posee

Escenario

La Investigación corporativa Investigación Interna

Auditoría Externa

La vía Judicial

Participantes Informáticos (Sistemas , Peritos)

Abogados (Internos Vs. Externos )

Mejor Escenario: Posible Judicialización

• Amplitud Probatoria

• Validez Judicial : Merituada por el Juez según el ámbito (Trabajo- CyC Penal) y existencia de códigos procesales

• Validez Técnica : Recolección que asegure la inalterabilidad (Fruto del Arbol Envenenado)

• RECOLECCION EFECTIVA

Aspectos básicos de la evidencia digital

Antes de Recolectar Evidencia tener presente las siguientes consideraciones:

Unicidad de Formato

Alterabilidad

Interpretación

Medio Activo

Medio de Destino

10

Aspectos básicos de la evidencia digital 1.Unicidad de Formato

Algunos documentos electrónicos solo pueden preservarse en su estado digital

Archivos Multimedia

Bases de Datos Relacionales

Documentos simples con sus metadatos

Aspectos básicos de la evidencia digital

2. Alterabilidad

Todo Archivo digital posee metadatos

asociados

12

APERTURA

NO MANIPULE

ARCHIVOS QUE

PUEDA UTILIZAR

COMO EVIDENCIA

Aspectos básicos de la evidencia digital

3. Interpretación

Puede ser necesario recolectar :

Programas

Configuraciones

Llaves /Certificados

SI PLANIFIQUE LA

RECOLECCION DE

LA EVIDENCIA

Aspectos básicos de la evidencia digital 4. Medio Activo

El medio físico que almacena nuestra evidencia puede alterarla

COPIA NO UTILIZE DE

HERRAMIENTAS

DEL SISTEMA

OPERATIVO

Aspectos básicos de la evidencia digital

5. Medio de Destino

Prestar atención a

Universalidad: El medio utilizado estará disponible al momento de la prueba ?

Obsolesencia :El medio utilizado estará accesible al momento de la prueba ?

Confiabilidad:El medio utilizado es confiable ? (HD-Tapes-CD/DVD)

SI PREFIERA MEDIOS

MAGNETICOS DE ACCESO

ALEATORIO FRENTE A LOS

OPTICOS O SECUENCIALES

Resguardo Digital Vs. Impresiones

• Documentos impresos

• Correos Electrónicos impresos

• Identidad del Material Impreso ?

• Con la evidencia digital ...

Metadatos de Archivos (Usuarios , Fechas )

Procedencia de mails ( Datos de Tráfico )

Elementos borrados (Documentos , imágenes , mails)

Aspectos Legales

Recolección de Evidencia mediante acta Notarial

Requirente : Apoderado o Titular con derecho

Elementos : Propiedad / Inventarios

Profesional Informático : Audiencia Testimonial o de peritos

Material Resguardado > AUTENTICACION

Aspectos Técnicos

Clasificación de Evidencia

DE ALMACENAMIENTO – Evidencia Física

– Evidencia Lógica

MEMORIA RAM

TRAFICO DE RED

EVIDENCIA FISICA

• ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A

BIT DEL MEDIO MAGNETICO

AUTENTICACION DE EVIDENCIA

POR MEDIO DE UN ALGORITMO DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA

5b748e186f622c1bdd6ea9843d1609c1

HASHES USUALES

MD5 (128 bits)

SHA-1(160 bits)

SHA-256 (256 bits)

Aspectos Técnicos

Adquisición de Evidencia de Almacenamiento

BLOQUEO DE ESCRITURA

• EVITAR LA ESCRITURA EN EL MEDIO BAJO INVESTIGACION

HARDWARE WRITE BLOCKER

SOFTWARE WRITE BLOCKER

PLATAFORMA DE ADQUISICION CONTROLADA (OS)

Aspectos Técnicos

Adquisición de Evidencia de Almacenamiento

FREE IMAGING TOOLS

dd/dcfldd/Adepto

FTK Imager

Tableau Imager

Aspectos Técnicos

Adquisición de Evidencia de Almacenamiento

EVIDENCIA LOGICA

CONTENEDOR DE ARCHIVOS MANTENIENDO LA METADATA INTACTA CON

AUTENTICACION INDIVIDUAL

Aspectos Técnicos

Adquisición de Memoria RAM

EVIDENCIA SIN AUTENTICACION

ADQUISICION BASADA EN HARDWARE

Sin utilizar el OS , forzando DMA (ejemplos Firewire , BSOD)

DATOS VOLATILES

ADQUISICION BASADA EN SOFTWARE *

Sobre el OS (ejemplos dd , Nigilant , F-Response , EnCase)

*Tener presente al efectuar el análisis

Aspectos Técnicos

Adquisición de Tráfico de Red

ESCENARIO CAPTURA

ARCHIVO PCAP EVIDENCIA LOGICA

CONCLUSIONES

Trabajar sobre la hipótesis de judicialización

Planificar la recolección para que sea EFECTIVA

Hacer el Resguardo Notarial

Elegir el procedimiento técnico que mejor se

ajuste a los recursos disponibles, según el tipo

de evidencia a recolectar

Conocenos en:

http://www.issaarba.org

Seguinos en:

@ISSAarba

Muchas Gracias por su participación

Ing. Gustavo Daniel Presman gustavo@presman.com.ar

Twitter : @gpresman