INFORMATICA FORENSE (Seguridad)

INFORMATICA
FORENSE
Introducción
Por que la Informática Forense?
 La actividad informática se ha vuelto
fundamental en la vida de las
organizaciones
y de las personas
 Valorde la información
 Conectividad
Ciencia Forense
 Por definición es la aplicación de prácticas
científicas dentro del proceso legal
 Significado: determinar el valor probatorio de

una escena de crimen y su evidencia
relacionada
Informática Forense
 Definición
 Serie de técnicas y procedimientos metodológicos
para capturar evidencia de equipamientos
computacionales y dispositivos digitales que
pueden presentarse como evidencia en una prueba,
de forma coherente y significante
 Para que?
 Procesamiento judicial
 Investigación en ámbito organizacional
Incidentes de Seguridad
 Acceso no autorizado
 Pérdida de
 Confidencialidad (planes de negocio, información
 personal)
 Integridad (cambios de bases de datos, fraude)
 Disponibilidad (denegación de servicio, daño a los
 sistemas)
 Uso indebido (de sistemas, de datos o en

contra de las políticas establecidas)
Delito Informático
Delito Informático
 Actividades ilegales que involucran el uso
deun computador
 Como objetivo del ilícito
 Como medio para llevar a cabo el ilícito
Peritaje Informático
 Investigación orientada a la obtención de una
prueba de aplicación en un asunto judicial
para que sirva a un Juez
 La disciplina combina técnicas científicas y
elementos legales para
 Extraer
 Preservar
 Analizar
 Presentar
Rol
 Cual es el rol de la informática forense en la
actividad legal?
 Identificación de una actividad ilegal
 Obtención de la evidencia
 Construcción/mantenimiento de la cadena de
custodia
 Preservación de la evidencia
 Investigación de la evidencia
 Presentación de los resultados al juez
Requisitos
 Metodología y procedimientos
 Recursos humanos
 Habilidad y capacitación de los técnicos
 Credibilidad y confianza (Códigos de ética
profesional)
 Entrenamiento en la metodología
 Situación actual: distintos grados de madurez

en la formalización del tratamiento de la
evidencia digital
Fuentes – Registros
 Pueden ser tan diversas como elementos
digitales existen
 Conexiones a la red y al PC
 Análisis de archivos (contenido, propiedad, etc.)
 Recuperación de archivos eliminados
 Cintas de respaldo, CDs, DVDs
 Agendas
 Registro de llamadas telefónicas
 Trazas de auditoria, registros de log
Evidencia Digital
 Información almacenada o trasmitida en forma digital
que puede ser utilizada como prueba
 Características críticas
 Frágil
 Volátil
 Ventajas
 Repetible
 Recuperable
Dificultades
 Falta de cuidado en la conservación de los
equipos
 Alteración de la evidencia por falta de
protección
 Se llega tarde a levantar la evidencia (se
pierden registros o se sobreescriben)
 Falta de recursos humanos y materiales
adecuados
Principios Metodológicos
 El perito debe ser objetivo y observar los
códigos de ética profesional
 Conservar la autenticidad e integridad de la
evidencia
 Obtener la evidencia sin corrupción
 Minimizar el trabajo sobre la evidencia original
 Documentar cualquier cambio en la evidencia
(cadena de custodia)
 Autenticar la evidencia
Cadena de Custodia
 Documenta el proceso completo de las
evidencias durante la vida del caso
 Quien y donde se recogió la evidencia
 Como se almacenó
 Quien la procesó, etc.
 Asegura:
 Identificación
 Continuidad de la posesión
 Prueba de integridad
Peritaje - Preparación
 Aceptación de la pericia
 Entender y evaluar la solicitud
 Determinar las habilidades requeridas
 Preparación
 Diagnosticar y entender el entorno (entrevistas)
 Identificar sitios, respaldos
 Identificar la arquitectura tecnológica (selección de
herramientas)
 Preparación de formularios
 Materiales para identificación y traslado
Primer Contacto
 Separar a las personas de las máquinas
 Notificar (testigos)
 Anotar nombres
 Documentar fechas y horas (de arribo, de la
 máquina)
 Clasificar la evidencia según su grado de volatilidad
 Clasificar la evidencia en orden de relevancia
 Considerar la evidencia física (papeles, notas, etc.)
 Obtener claves (entrevistas)
 Documentar hardware y software, fotografiar
 Iniciar cadena de custodia
Preservación de la evidencia volatil
 Evidencia volátil
 Se pierde al apagar la máquina (usuarios conectados, procesos
en ejecución, estado de la memoria, etc.)
 Información del disco (fechas de acceso a archivos, archivos
temporales)
 En lo posible no apagar la máquina y recoger
inmediatamente la evidencia volátil sin alterar la escena
 Usar el mínimo de memoria posible para no sobrescribir
 Aislar la máquina de la red para evitar alteraciones
 Guardar la información en otro dispositivo
 Pendrive, otro equipo seguro, etc.
Preservación de la evidencia persistente
 Apagar sin correr secuencia de apagado
 Documentar conexiones
 Identificar y precintar
 Utilizar material adecuado para el transporte
(interferencia electromagnética, humedad)
 Guardar en lugar seguro y limpio
 Verificar secuencia de booteo
 Utilizar software forense
 Bootear con un sistema propio
 Autentificar (hash)
 Copia bit-a-bit (2 copias para trabajo)
Extracción - Inspección
 Objetivo: identificar y localizar evidencia potencial
 Documentación de datos básicos
 Sistema operativo, configuración de red, aplicaciones, trabajos
agendados, usuarios del sistema, etc.
 Extraer datos protegidos, cifrados o comprimidos
 Extraer logs y trazas de auditoria
 Extraer datos a nivel del sistema de archivos
 Fechas, permisos, caminos, papelera de reciclaje, archivos temporales,
información del autor (Office)
 Extraer datos a nivel físico
 Archivos borrados, búsqueda hexadecimal, tabla de particiones,
espacio no asignado, espacio reservado
 Descartar archivos irrelevantes
Análisis - Interpretación
 Objetivo: determinar el significado de los
datos examinados y establecer la conclusión de
la pericia
 Generación de hipótesis y armado de la prueba
 Análisis temporal
 Identificación de momento y secuencia de los
eventos
 Análisis funcional
 Relacionar los eventos
Presentación de los Resultados
 Admisibilidad
 Autenticidad (la evidencia debe estar relacionada
con el caso y no alterada)
 Confiabilidad (forma de registro comprobable)
 Suficiencia (redundancia y correlación de eventos)
 Conformidad con la legislación vigente
 Criterio de razonabilidad
 Presentar la documentación en un leguaje
entendible para los destinatarios
Gestión de la evidencia digital
 Clasificar la información (establecer
relevancia de la evidencia)
 Determinar tiempos de retención
 Diseñar los registros de auditoría y sincronizar
 Seguridad de los registros (autenticidad,
integridad)
Software Forense
 Kits
 EnCase, FTK, Helix, Sleuth Kit, Knopix STD
 Herramientas
 Recuperación de passwords
 Herramientas de esteganografía
 Imágenes y bloqueadores de discos
 Indizadores/buscadores de palabras en binario
 Recuperación de archivos borrados desde cualquier tipo de
almacenamiento externo
 Recuperación de datos de navegación y correo
Herramientas de Software
 Herramientas para redes
 Captura de tráfico hasta capa de aplicación
 Aplicaciones asociadas a puertos abiertos
 Listados de puertos abiertos
 Vista de arquitectura
 Herramientas ANTIFORENSE
 Borradores de disco
 Herramientas de booteo
 Ocultadores de archivos
 Eliminadores de evidencia (trazas de actividad en distintas
 aplicaciones, limpiadores de log, etc.)
 Herramientas de esteganografía

INFORMATICA FORENSE (Seguridad)

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

INFORMATICA FORENSE (Seguridad)

Cargado por

Copyright:

Formatos disponibles

INFORMATICA

 Significado: determinar el valor probatorio de

 Uso indebido (de sistemas, de datos o en

 Situación actual: distintos grados de madurez

También podría gustarte