El día de ayer (05/10/2011), en los espacios de la UCLA se celebró el foro "Certificación Electrónica, Seguridad de la Información, Redes Sociales e Informática Forense" evento promovido por SUSCERTE y organizado por Fundacite Lara. Los ponentes fueron el Ing. José Zerpa y el Ing. Alejandro González adscritos a SUSCERTE y CENIF respectivamente.
2. Agenda
●
Evidencia Digital
●
Principios en la Informática Forense
●
Informática Forense
●
Laboratorio Forense
●
Proyecto CENIF
●
Herramientas
De Uso Público
3. Principio de Intercambio
de Locard
"Siempre que dos objetos
entran en contacto estos
transfieren parte del
material que incorporan al
otro objeto"
De Uso Público
4. Evidencia Digital
Toda información digitalizada susceptible de ser
analizada por un método técnico y de generar
conclusiones irrefutables en lo legal
De Uso Público
5. Característica de la
Evidencia Digital
●
No podemos “verla”
●
No se puede interpretar
sin conocimientos técnicos
●
Es sumamente volátil
●
Puede copiarse sin límites
De Uso Público
6. Característica de la
Evidencia Digital
●
Las copias son indistinguibles del original
●
Bueno para los peritos: ¡Se analiza la copia!
●
Malo para los juristas: el concepto de “original”
carece de sentido
De Uso Público
7. Delito Informático
Son crímenes que se enfocan en hacer uso de
redes de computadoras con el objetivo de
destruir y dañar ordenadores o medios
electrónicos, ocultamiento de información,
esquivar la detección de algún evento.
De Uso Público
8. Ejemplos de un
Delito Informático
●
Fraudes
●
Robo
●
Falsificación
●
Acceso Indebido
●
Sabotaje a Sistemas
●
Delitos Contra la Propiedad
●
Espionaje
●
Pornografía Infantil
●
Oferta Engañosa
De Uso Público
9. Principios Informática Forense
●
Adherirse a estándares legales
●
Formación específica en técnicas forenses
●
Control de la evidencia digital
●
Reducir al mínimo la posibilidad de examinar la
evidencia original
●
Nunca exceder la base de conocimientos
●
Documentar cualquier cambio en la evidencia
De Uso Público
10. Principio Rectores de la IETF
RFC 3227
Principios:
●
Respetar las leyes y aplicar las política de
seguridad.
●
Capturar la imágen de un sistema lo más
exacto posible.
●
Detallar fechas y horas, anotando la diferencia
entre la hora del sistema y la del UTC.
●
Estar preparado para testificar
(quizás años más tarde).
De Uso Público
11. Principio Rectores de la IETF
RFC 3227
●
Minimizar los cambios a los datos que se van a
colectar
●
Entre la colección y el análisis, prevalece
primero la colección
●
Por cada dispositivo se debe adoptar un criterio
que debe ser aprobado
●
Proceder de lo más volátil
a lo menos volátil
De Uso Público
12. Base Legal y Sub-Legal
●
Ley Especial Contra Los Delítos Informáticos
●
Ley Sobre Mensajes de Datos y Firmas
Electrónicas
●
Reforma de la Ley Sobre Mensajes de Datos y
Firmas Electrónicas
●
Código Orgánico Procesal Penal (COPP)
●
Estándares Internacionales: ISO, IETF, IEEE,
entre otros
De Uso Público
13. Informática Forense
Cadena de custodia
Cadena de custodia
Preservación
Preservación de
de
evidencia
evidencia
Documentación
Documentación Presentación
Presentación oral y
oral y
escrita
escrita
Lenguajes correctos
Lenguajes correctos
Colección Soportes adecuados
Soportes adecuados
Reconstrucción
Reconstrucción
Análisis
Análisis Presentación
Herramientas
Análisis
Herramientas
De Uso Público
14. Etapas de la
Informática Forense
Preservación
Preservación Colección
Colección Análisis
Análisis Presentación
Presentación
Cadena de Custodia
De Uso Público
15. Etapas de la
Informática Forense
La Evidencia debe ser cuidadosamente
Preservación
colectada y Documentada
● Debe existir una fuentes de poder
alternas
● Evitar eliminar procesos extraños
● Evitar alterar marcas de tiempo en los
archivos
● Evitar aplicar parches antes de
colectar la información
De Uso Público
16. Etapas de la Informática
Forense
Autentique la Evidencia Preservada
●
Cree un Hash Electrónico de la Evidencia
●
Utilice MD5SUM, SHA1SUM o similar
Identifique y Etiquete la Evidencia
●
Número de Caso
●
Detalle la Evidencia
●
Firma del responsable de la Cadena de Custodia
De Uso Público
17. Etapas de la
Informática Forense
De Logs y registros:
Colección ●
Routers, Firewalls, IDS, Impresión
De hipótesis y testimonios
Copias Forenses (Discos)
Almacenamiento
●
Evidencia, equipo forense
●
Sitio aislado con condiciones de
operación estables
●
Accesos registrados
De Uso Público
18. Etapas de la
Informática Forense
Lista de control de la evidencia en
cualquier punto, desde la colección
hasta la presentación o destrucción
que sirve para verificar que nunca fue
alterada o borrada.
Métodos Lógicos (firmas criptográficas
MD5, SHA)
Métodos Físicos (etiquetas, candados,
bóvedas)
Cadena de Custodia
De Uso Público
19. Etapas de la
Informática Forense
Proceso que utiliza el investigador
para descubrir información valiosa
Análisis para la investigación.
La búsqueda y extracción de
datos relevantes.
Análisis
Físico
Análisis
Lógico
De Uso Público
20. Etapas de la
Informática Forense
Debe contener:
Presentación
Contexto del incidente
Listado de evidencias
Hallazgos
Acciones realizadas por el
investigador
Documentación de la cadena de
custodia, conclusión.
De Uso Público
21. Laboratorio Forense
¿Qué se necesita para montar un laboratorio forense?
●
Asignación presupuestaria
●
Las estadísticas de años anteriores
●
Tener en cuenta el espacio requerido, el equipamiento
necesario, el personal, la formación, el software y el
hardware.
●
La naturaleza de laboratorio forense es un factor
determinante.
De Uso Público
22. Laboratorio Forense
Resultados
Investigación Favorables
Laboratorio
Peticiones
Portafolio de
Procedimientos
De Uso Público
23. Laboratorio Forense
Responsable
Portafolio Portafolio
Crypto
Analista Forense Analista Forense Analista Forense Aplicaciones
Nivel I Nivel II Experto
Base de datos
Consultores Consultores
(Investigadores) (Investigadores)
De Uso Público
24. Objetivo
Es un laboratorio de informática forense para
la colección, análisis, preservación y
presentación de las evidencias relacionadas
con las tecnologías de información, con el
objeto de prestar apoyo a los cuerpos de
investigación judicial órganos y entes del
Estado que así lo requieran.
De Uso Público
28. GRACIAS POR SU ATENCIÓN...
0212 – 578.5674 / 572.2921
0800 VENCERT
@suscerte y @vencert
http://www.suscerte.gob.ve/
https://www.vencert.gob.ve/
atencionalciudadano@suscerte.gob.ve
cenif@suscerte.gob.ve
info@vencert.gob.ve
De Uso Público