Este documento presenta una agenda para una capacitación sobre informática forense. La agenda incluye temas como tipos de ataques informáticos, el ciclo de vida de la informática forense, ataques a peritos informáticos, el marco legal de delitos informáticos, casos prácticos y conclusiones.
1. Agenda
• Seguridad Informática y tipos de ataques
• Ciclo de Vida de la Informática Forense
• Ataques a la tarea del forense
• Marco Legal Delitos Informáticos
• Casos y demos
• Conclusiones
05/10/09 Informática Forense 1
2. Seguridad Informática
Seguridad informática: Conjunto de medidas o
acciones preventivas, de detección, de
recuperación y correctivas destinadas a proteger
la integridad, confidencialidad y disponibilidad
de los recursos informáticos.
05/10/09 Informática Forense 2
3. Seguridad Informática
• Integridad: Un recurso sólo puede ser creado,
modificado o dado de baja por un usuario
autorizado.
• Disponibilidad: El recurso debe estar al alcance
de los usuarios para las funciones que lo
soliciten.
• Confidencialidad: Los recursos sólo pueden ser
conocidos por los usuarios autorizados.
05/10/09 Informática Forense 3
4. Seguridad Informática
Recursos Informáticos
Intangibles o Lógicos Tangibles o Físicos
05/10/09 Informática Forense 4
7. Seguridad Informática
La seguridad en la línea de tiempo…
• Prevención Políticas y controles.
• Detección Durante el ataque, IDS, auditoría.
• Recuperación ¿Qué hacer cuando la
amenaza se concreta?
• Informática Forense ¿Quién, cómo,
cuándo, por qué, QUÉ?
05/10/09 Informática Forense 7
8. Ciclo de Vida de la I.F.
1. Identificación del incidente.
2. Requisitoria Pericial
3. Entrevista Aclaratoria
4. Inspección ocular
5. Recopilación de evidencias.
6. Preservación de la evidencia.
7. Análisis de la evidencia.
8. Documentación y presentación de los resultados.
05/10/09 Informática Forense 8
9. Identificación del Incidente
Comprende el proceso de identificación del
incidente para determinar si el suceso
corresponde a un delito informático.
Analizando:
• Posibilidad de descoordinación dentro de la
organización.
• Revisar Planes de Actualización.
• Listas de Accesos
05/10/09 Informática Forense 9
10. Requisitoria Pericial
Puede provenir de:
• Una autoridad judicial (Perito de Oficio)
- Asignado a solicitud de una de las partes
- Asignado a efectos de asesorar.
• Convocado de forma particular sin intervención
de una autoridad judicial en una primera
instancia.
05/10/09 Informática Forense 10
11. Entrevista Aclaratoria
¿Qué puntos debo tener en cuenta?
• No realizar la entrevista en el lugar del incidente.
• Planificar los tiempos
• Preparar cuestionario
• Determinar personalidad de entrevistados
• Respetar el marco legal.
Resultado:
Análisis de alto nivel de los sistemas informáticos
involucrados
05/10/09 Informática Forense 11
12. Inspección Ocular
• Detectar
• Identificar
• Clasificar
• Documentar
• Proteger
• Transladar
Un conjunto probatorio de elementos…
05/10/09 Informática Forense 12
13. Recopilación de evidencias
• Es posible trabajar con el sistema vivo?
• Información Volatil
Registros/Cache/RAM/
Estado Conexiones/Rutas/Puertos
Procesos en ejecución/Sesiones
• Información Rígida
Data FileSystem/ MetaData, etc
05/10/09 Informática Forense 13
14. Preservación de la evidencia
• Realizar 2 copias en DVD
• Utilizar métodos de integridad
MD5
Sha1
• Etiquetar (hash, fecha y hora)
• Confeccionar cadena de Custodia
Responsabilidades y Controles
05/10/09 Informática Forense 14
15. Análisis de la evidencia
• Preparación para el Análisis
• Reconstrucción de la secuencia temporal
• Determinar como se realizó el ataque
• Identificación del Autor
• Evaluación del Impacto en el Sistema
05/10/09 Informática Forense 15
16. Documentación y presentación
de los resultados
• Documentar todo el proceso forense.
• Tipos de Documentos
Formulario de Registro del Inicidente
Informe Técnico
Informe Ejecutivo
05/10/09 Informática Forense 16
17. Ataques a la tarea del Perito
Informático
Software Forense
1. Definición y objetivo
2. Vulnerabilidades
3. Tipos de ataques
05/10/09 Informática Forense 17
18. Vulnerabilidades
- Denegación de servicio (Denial Of Service, DoS)
- Overflow
Consecuencias: frustrar un análisis comprometer la
integridad de las investigaciones realizadas.
05/10/09 Informática Forense 18
19. Tipos de ataques
1. Ocultamiento de datos
2. Ejecución de código y corrupción de la
evidencia
3. Denegación de servicio y bloqueo de análisis
05/10/09 Informática Forense 19
20. Sitios de interés
- CAPEC http://capec.mitre.org
- ISEC Partners
https://www.isecpartners.com/publications.html
- Digital Intelligence
http://www.digitalintelligence.com/
05/10/09 Informática Forense 20
21. Tipos de Delitos Informáticos
• Fraudes cometidos mediante manipulación de
computadoras.
• Manipulación de los datos de entrada.
• Daños o modificaciones de programas o datos
computarizados.
05/10/09 Informática Forense 21
22. Tipos de Delitos Informáticos
Conductas Lesivas de la Información:
• Falsificación en materia informática.
• Sabotaje informático y daños a datos computarizados o
programas informáticos.
• Acceso no autorizado.
• Intercepción sin autorización.
• Reproducción no autorizada de un programa informático
protegido.
• Espionaje informático.
• Uso no autorizado de una computadora.
• Tráfico de claves informáticas obtenidas por medio ilícito.
• Distribución de virus o programas delictivos.
05/10/09 Informática Forense 22
23. Paises con legislación
Chile (1993)
Alemania (1986) Bolivia (1997)
Estados Unidos (1986) Paraguay (1997)
Austria (1986) Brasil (1997)
Francia (1988) Perú (2000)
Inglaterra (1990) Colombia (2001)
Italia (1993) Costa Rica (2001)
Holanda (1993) Venezuela (2001)
México (2001)
05/10/09 Informática Forense 23
24. Legislación en la Argentina
HITOS DEL DERECHO INFORMÁTICO ARGENTINO
14/10/1998
Sanción de la Ley 25036 – 14/11/2001 04/12/2003 18/05/2005
Inclusión del software dentro del régimen de protección Sanción de la Ley 25506 - Sanción de la Ley 28856 – Sanción de la Ley 26032 -
de la Propiedad Intelectual Firma Digital Producción de Software Difusión de la Información
01/01/1996 31/12/2009
18/12/1996 04/10/2000 18/08/2004 04/06/2008
Sanción de la Ley 24766 - Sanción de la Ley 25326 - Sanción de la Ley 25922 – Sanción de la Ley 26388 -
Confidencialidad de la Información y Productos Habeas Data Promoción de la Industria del Software Delitos Informáticos
05/10/09 Informática Forense 24
25. Ley Nº 26388
• Ley de Delitos Informáticos
• Sancionada 04 de Junio de 2008
• Objetivo: Tipificación de nuevas figuras
penales.
05/10/09 Informática Forense 25
26. Delitos penados
• Violación, apoderamiento y desvío de comunicación
• Intercepción o captación de comunicaciones
• Acceso a un sistema o dato informático
• Publicación de una comunicación electrónica
• Acceso a un banco de datos personales
• Revelación de información registrada en banco de datos
• Inserción de datos falsos en un archivo de datos personales
• Fraude informático
• Daño o sabotaje informático
• Pornografía infantil por Internet u otros medios electrónicos
05/10/09 Informática Forense 26
27. Casos Reales (1)
¿El Dalai Lama tiene Twitter?
05/10/09 Informática Forense 27
28. Casos Reales (1)
Este fue uno de los primeros casos de este tipo de falsificación de identidad,
que viola las políticas de la empresa Twitter, donde el usuario se beneficio
diciendo que era una persona que no era.
Existen muchas formas de verificar la identidad de una persona, como por
ejemplo:
* Enviando de una carta con código de verificación a la
dirección donde vive dicha persona. (Google Maps)
* Rastreando y verificando el origen de la dirección IP
* Mail de verificación
O en este caso, fue mediante la denuncia pública de falsa identidad por
parte de “The Office of His Holiness the Dalai Lama” (OHHDL).
05/10/09 Informática Forense 28
29. Casos Reales (2)
¿Cómo recuperar los datos de un disco dañado o defectuoso?
05/10/09 Informática Forense 29
30. Casos Reales (2)
Software utilizado para la recuperación de los datos:
CD Recovery Toolbox (www.oemailrecovery.com/cd_recovery.html)
Roadkil (http://www.roadkil.net/listing.php?Category=1)
Copy Cat (www.vcsoftwares.com/cc.html)
05/10/09 Informática Forense 30
31. Otras Herramientas Útiles
SuperScan 3.0 (www.foundstone.com): Análisis de Puertos
Restoration 3.2.13 o Recovery My Files: Recuperación de archivos borrados
DD: permite crear imágenes de discos bit-a-bit, además de ofrecer otras
opciones como obtención del hash MD5 de la copia
05/10/09 Informática Forense 31
