Charla impartida por Juan Luis García Rambla de Informática 64, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.

1. Forense legal Juan Luis García Rambla Responsable equipo de seguridad Microsoft MVP Security jlrambla@informatica64.com

2. Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello.

3. Diferencias del Forense Digital Las evidencias son más volátiles. Las evidencias son más fácilmente manipulables y/o ocultables. Evoluciona constantemente tanto como evoluciona la informática. Nuevos escenario requieren nuevos métodos.

4. Verificación del incidente. Recogida de las evidencia. Análisis de las evidencias. Elaboración de informes y conclusiones. Almacenamiento de informes y evidencia

5. Como en cualquier otra indagación o caso, es necesario presentar evidencias. Para que una evidencia pueda ser válida hay que demostrar que no ha existido una manipulación de las mismas. Las conclusiones finales deben partir de las evidencias tomadas. La preservación de las evidencias es una máxima forense.

6. ¿El caso se va a denunciar o judicializar? ¿Cuál es el objetivo final de la toma de datos? ¿Dónde se encuentras la evidencias? ¿Cómo salvaguardamos la información? ¿Quién mantiene las evidencias?

7. Garantizar Preservar No manipular Firmar Almacenar

8. REQUEST FOR COMMENTS 3227 La IETF ha generado una guía de buenas prácticas para la recogida y almacenamiento de evidencias. Esta guía representa unos mecanismos que pueden no obstante ir contra la legislación vigente. La guía presenta además conductas para la recogida de evidencias.

9. Guía de principios Dibuja el escenario. Evalúa los tiempos para la generación de la línea temporal. Minimiza los cambios que alteren el escenario y elimina los agentes externos que pueden hacerlo. Si hay confrontación entre recoger y analizar, da prioridad a la recolección. Por cada tipo dispositivo puede existir diferentes métodos de recogida de datos. El orden de recogida de datos debe quedar establecido en función de la volatilidad. La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.

10. Por la volatilidad de los datos: Memoria RAM. Cache y registro. Tablas de enrutamiento, ARP, procesos, estadísticas de kernell . Ficheros temporales. Disco. Logs. Configuración física. Medios de almacenamiento externos.

11. Cosas a evitar Apagar la máquina sin haber recogido las evidencias (cuando sea factible*). Utilizar aplicaciones que puedan alterar los tiempos de los ficheros. Utilizar aplicaciones que no realicen copias binarias. Manipular las evidencias en un laboratorio invasivo

12. Aquellas que vulneren la intimidad o revelen información personal. Aquellas que vulneren las normativas de seguridad de la empresa. Aquellas que no puedan demostrarse como no manipuladas.

13. Quien, cuando, donde y como se han tomado las evidencias. Quien, cuando y como se han analizado las evidencias. Quien y durante cuanto tiempo se ha custodiado la evidencia. Cuando y entre quien han cambiado la custodia de las evidencias.

15. Personal de cuerpo de seguridad del estado.

18. Testimonios de incidencias y actos realizados. Información de la red. Información de los servicios. Información de los usuarios. Discos duros. Registros y Logs externos Discos y sistemas de almacenamientos externos. .

20. Debe garantizarse que no puedan manipularse las pruebas mediante la firma HASH.

22. Sistemas Software

23. Diferentes modelos Unión Europea Estados Unidos de América Quién investiga Protección de datos Uso judicial de la investigación

25. UK, Irlanda, Chipre, Malta.

26. Más basado en la jurisprudencia.

27. Derecho Civil.Resto de países de la UE. Más basado en la ley.

29. Civil/laboral: a veces es más importante el cómo frente al qué.

30. Penal: da prioridad al qué frente al cómo.

33. Convención de Schengen

35. Cooperación informal entre Policías

36. INTERPOL

38. Presenta entornos de colaboración con la red europea de institutos de ciencia forense (http://www.enfsi.org).

40. Han desarrollado unos aspectos legales de la lucha contra el Crimen en el marco de la U.E. (http://www.europol.europa.eu/legal/Europol_Convention_Consolidated_version.pdf)

43. Ley de Enjuiciamiento Civil. Objeto y finalidad del dictamen de peritos.

44. Ley de Servicios para la Sociedad de la Información y de comercio electrónico.

45. Ley Orgánica de Protección de Datos.

46. Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

47. Ley General de Telecomunicaciones.

48. Ley de Propiedad Intelectual.