Tema 2. Evidencia digital

460 visualizaciones

Publicado el

Tema 2. Evidencia digital de la materia Informática Forense

Publicado en: Educación
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
460
En SlideShare
0
De insertados
0
Número de insertados
119
Acciones
Compartido
0
Descargas
19
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Tema 2. Evidencia digital

  1. 1. Inform´atica Forense Tema 2. Evidencia digital Francisco Medina L´opez — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2016-2
  2. 2. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  3. 3. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  4. 4. ¿Qu´e es la evidencia digital? Una de las primeras fases del an´alisis forense comprende el proceso de identificaci´on del incidente, que lleva de la mano la b´usqueda y recopilaci´on de evidencias. Definici´on La evidencia es cualquier informaci´on contrastable encontrada en un sistema. Son los hechos encontrados, por lo tanto la evidencia digital es toda aquella informaci´on electr´onica que pueda aportar alg´un dato para el an´alisis forense digital posterior. La Adquisici´on de la evidencia digital inicia cuando la informaci´on y/o dispositivos relacionados son colectados y almacenados para realizar un an´alisis forense.
  5. 5. Ejemplos de evidencia digital • Fecha de ´ultimo acceso de un archivo o aplicaci´on. • Un registro de acceso de un archivo. • Una cookie de navegaci´on web almacenada en un disco duro. • El uptime o tiempo que lleva sin apagarse un sistema. • Un archivo almacenado en un disco duro. • Un proceso en ejecuci´on. • Archivos temporales. • Restos de la instalaci´on de un programa. • Un disco duro, una unidad USB de almacenamiento u otro dispositivo de almacenamiento.
  6. 6. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  7. 7. RFC 3227 I Al momento de recolectar las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y ´util. El documento RFC 32271 recoge las recomendaciones sobre las pautas que un administrador debe seguir a la hora de obtener las evidencias en un sistema. En ´el se tratan los siguientes aspectos: • Principios para la recolecci´on de evidencias. Realizar un an´alisis forense debe ser tomado como un proyecto delicado y como tal deben ser cumplidos ciertos prerequisitos. • Orden de volatilidad. Al momento de recolectar las evidencias de un sistema no toda tienen el mismo orden de volatilidad. El concepto de volatilidad de evidencia est´a marcado por el marco temporal en el que es posible acceder a una evidencia. As´ı, el contenido de un DVD ser´a menos vol´atil que el contenido de la memoria RAM o los datos almacenado en la memoria de una impresora.
  8. 8. RFC 3227 II • Acciones que deben ser evitadas. Hay acciones que invalidan un proceso de an´alisis forense t´ecnicamente hablando o para su utilizaci´on como prueba en una causa legal. Hay que tomar ciertas precauciones para que las evidencias sigan siendo v´alidas. • Consideraciones relativas a la privacidad de los datos. En un proceso de an´alisis forense pueden estar implicados datos sujetos a otras leyes de privacidad que deben ser mantenidas con la seguridad y privacidad que exija el marco lega. • Consideraciones legales. Para que un proceso de an´alisis forense sea ´util en un proceso legal deben tomarse precauciones. Adem´as, la legislaci´on es diferente dependiendo del pa´ıs, as´ı que puede suceder que un proceso de an´alisis forense sea admitido como prueba en un juicio y no en otro.
  9. 9. RFC 3227 III • Procedimientos de recolecci´on. Recolectar la informaci´on lo m´as puramente posible, con la menor perdida de informaci´on. La ejecuci´on de un comando en el sistema puede hacer que se borren p´aginas de memoria que conten´ıan informaci´on de un proceso de inter´es. • Transparencia. Es recomendable utilizar t´ecnicas y herramientas transparentes que permitan conocer exactamente como se est´an tratando las evidencias. Hay que evitar el uso de herramientas y procedimientos de los que no se conozcan completamente qu´e est´an haciendo con la informaci´on. Podr´ıa llevar a conclusiones err´oneas. • Cadena de custodia de la informaci´on. En todo momento se debe poder constatar qui´en entrega la informaci´on y qui´en es el responsable de la custodia de la misma de manera que pueda ser posible conocer el flujo de la misma desde su recolecci´on hasta su utilizaci´on como prueba.
  10. 10. RFC 3227 IV • Metodolog´ıa de almacenamiento de evidencias. Almacenar las evidencias es tambi´en una labor importante. Utilizar almacenamiento que puedan tener un tiempo de vida menor al necesario para que termine el proceso judicial podr´ıa llevar a un problema, pero tambi´en almacenar las evidencias en sistemas de los que no se ha podido probar su seguridad, lo que llevar´ıa a que fueran invalidadas las evidencias encontradas. 1 https://www.ietf.org/rfc/rfc3227.txt
  11. 11. Forensic Examination of Digital Evidence I Con fundamento el documento Forensic Examination of Digital Evidence: A Guide for Law Enforcement 2 se desprenden los principales puntos que hay que observar para la recolecci´on de la posible evidencia que ser´a presentada ante un juez: 1 En la recolecci´on de indicios no se debe alterar bajo ninguna circunstancia la posible evidencia, salvo previa autorizaci´on por parte del agente del Ministerio P´ublico de la Federaci´on, quien deber´a dar fe de todas y cada uno de los procedimientos realizados por el personal pericial. 2 S´olo un profesional forense acreditado tendr´a acceso a indicios digitales originales. 3 Toda la actividad relacionada con la recolecci´on, acceso, almacenamiento y transferencia de la posible evidencia digital deber´a ser documentada, preservada y permanecer disponible para su revisi´on.
  12. 12. Forensic Examination of Digital Evidence II 4 Un individuo es responsable de todas las acciones con respecto al tratamiento de la posible evidencia digital mientras ´esta se encuentra bajo su resguardo. 5 Toda agencia responsable de recolectar posible evidencia digital deber´a cumplir con los principios antes mencionados. 2 https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
  13. 13. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  14. 14. Tipos de investigaci´on forense digital Antes de proceder al an´alisis y tratamiento de manera directa con la posible evidencia, es necesario distinguir dos tipos de vertientes en relaci´on a la investigaci´on forense en TIC’s: 1 Trabajo de campo o investigaci´on en el lugar de los hechos. 2 Investigaci´on en ambiente controlado o trabajo de Laboratorio.
  15. 15. Trabajo de campo o investigaci´on en el lugar de los hechos El Perito Criminalista en Tecnolog´ıas de la Informaci´on y Comunicaciones debe tomar en cuenta los siguientes puntos al momento de realizar una investigaci´on en el lugar de los hechos: 1 Antes de llevar a cabo una instrucci´on ministerial en el lugar de los hechos 2 Fijaci´on del lugar de los hechos. 3 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 4 Embalaje de probables evidencias. 5 Aplicaci´on del formato de cadena de custodia.
  16. 16. Antes de llevar a cabo una instruccion ministerial • Una vez COMPRENDIDO el planteamiento del problema y ante la posibilidad impl´ıcita de la diversidad de elementos, dispositivos, computadoras y/o sistemas inform´aticos con los que el o los investigadores se pueden enfrentar y con la finalidad de evitar en la medida de lo posible situaciones imprevistas, se deben preparar de manera met´odica todos los elementos necesarios para llevar a cabo la diligencia en el lugar de los hechos.
  17. 17. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on I Ante la dificultad de lograr una correcta recolecci´on y preservaci´on de indicios en este tipo de investigaciones, es necesario prever cualquier dificultad de control y manejo de incidencias en el ´area f´ısica del lugar de los hechos y en cuanto a los dispositivos inform´aticos y de comunicaci´on. La siguiente lista menciona los elementos m´ınimos necesarios para realizar una investigaci´on: • Computadora personal (Laptop) con la mayor capacidad posible en Disco Duro, procesador de 2 o 4 n´ucleos, memoria RAM de 8 GB, capacidad de comunicaci´on inal´ambrica (WiFi, bluetoot), por lo menos dos sistemas operativos instalados en la m´aquina (Linux, Windows) o en su caso tener instalado un emulador de m´aquinas virtuales (VMWare, Virtual Machine). Cabe mencionar que en caso de necesitar emular sistemas operativos, ser´a necesario conocer previo a la inspecci´on
  18. 18. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on II ministerial, el tipo y versiones de los sistemas operativos que ser´an utilizados en la diligencia con la finalidad de evitar errores y retrasos propios de la aplicaci´on correcta de ´este procedimiento. Se recomienda verificar el estado de la pila interna de la m´aquina y de preferencia contar con una pila adicional de larga duraci´on. • Disco Compacto y/o Memoria USB con capacidad de booteo. Hay que tomar en cuenta que no siempre el Perito se enfrentar´a a equipos de ´ultima generaci´on, por lo que siempre ser´a preferible prever cualquier eventualidad.
  19. 19. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on III
  20. 20. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IV • C´amara Digital, de la mayor resoluci´on posible con capacidad de realizar acercamientos y con capacidad de recarga sin necesidad de uso de bater´ıas. Se recomienda la utilizaci´on de una memoria de almacenamiento adicional de por lo menos 512 MB la cual tendr´a una capacidad de almacenamiento de im´agenes de buena calidad aproximado de 100. Se recomienda complementar con el tripi´e correspondiente en caso de necesitar precisi´on en alguna fijaci´on y no contar con el Perito en Fotograf´ıa. • Grabadora Digital o Anal´ogica. La tecnolog´ıa nos permite hacer uso de este tipo de dispositivos con la finalidad de grabar en el momento de llevar a cabo la diligencia, conjeturas, comentarios y entrevistas realizadas con el personal responsable del sistema a investigar.
  21. 21. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on V • Interfaces varias. Esta parte es delicada a consecuencia de los avances tecnol´ogicos y la variedad de dispositivos que pueden ser sujetos a an´alisis forense, sin embargo se sugiere incluir en el malet´ın cables de red con conectores RJ-45, interfaces para conectar Discos Duros (PC’s y Laptops), interfaces de lectura de memorias, interfaces de lectura de Discos Compactos y DVD’s, entre otros. • Estuche de pinzas, desarmadores y mult´ımetro digital. Disco Duro externo con conectores. Se recomienda la mayor capacidad tecnol´ogicamente posible. • Dispositivo bloqueador contra escritura para dispositivos de almacenamiento.
  22. 22. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VI
  23. 23. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VII • Software de an´alisis, copiado y recuperaci´on de datos. Elementos necesarios para cumplir de manera estandarizada con las mejores pr´acticas en el tratado de evidencia digital. • Guantes de l´atex. El contacto directo con la piel debe ser evitado con la finalidad de no contaminar las huellas presentes en el lugar de los hechos con las del propio Perito investigador. • Tapabocas. El interior del gabinete de los equipos de c´omputo suele en el mejor de los casos contener cantidades importantes de polvo el cual puede ser da˜nino para la salud del investigador por lo que se recomienda que siempre que se lleven a cabo acciones de desensamblado de equipo de c´omputo se recomienda el uso de tapabocas
  24. 24. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VIII • Lentes protectores. Con la finalidad de proteger los ojos del investigador contra cualquier eventualidad al momento de llevar a cabo la revisi´on de equipo electr´onico se recomienda el uso de lentes protectores • Pincel o brocha de cerdas finas y/o aire comprimido. El polvo acumulado a consecuencia de la est´atica natural que se forma en el interior de los equipos electr´onicos, puede generar problemas de visi´on y el´ectricos al momento de llevar a cabo la revisi´on y desmontaje de alg´un dispositivo, por lo que se recomienda remover el exceso del mismo con la ayuda de um pincel, brocha o aire comprimido. • Libreta de apuntes, L´apiz y Goma. Cuando no se cuenta con los dispositivos tecnol´ogicos mencionados con anterioridad, siempre ser´a importante tener donde apuntar y aplicar las t´ecnicas antes mencionadas al estilo cl´asico.
  25. 25. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IX • Lupa. Herramienta indispensable al momento de obtener datos relacionados con dispositivos electr´onicos como n´umeros de serie, identificador de dispositivo, entre otros. • L´ampara. Herramienta necesaria al momento de buscar indicios en cites y dentro de gabinetes de computadoras, conmutadores, entre otros. • Cinta adhesiva. Aditamento ´util para embalaje e identificaci´on de indicios. • Etiquetas. Aditamento ´util para identificaci´on de indicios al momento de su embalaje. • Pl´astico polietileno con burbujas para embalar. Material necesario para embalaje de indicios. En caso de tratarse de recuperaci´on y traslado de tel´efonos celulares, a˜nadir:
  26. 26. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on X • Bolsas o contenedores aislantes. Necesarias para embalar tel´efonos celulares y dispositivos electr´onicos varios. • Software de an´alisis forense de PDA’s y Celulares. • Fuente de voltaje ajustable. Necesaria en caso de realizar pruebas a dispositivos electr´onicos y recarga de pilas de celulares. • Interfaces de conexi´on. • Mult´ımetro digital. Herramienta indispensable para pruebas a dispositivos electr´onicos. En caso de tratarse de la identificaci´on de dispositivos electr´onicos y/o sistemas de telecomunicaciones: • Equipos de medici´on propios del caso. • Herramientas necesarias dependiendo el planteamiento del problema.
  27. 27. Fijaci´on del lugar de los hechos I Permite a las personas (que necesitan saberlo): • Entender lo que sucedi´o, • reconstruir el lugar de los hechos, • reconstruir la cadena de sucesos y • saber qui´en proces´o los indicios. La fijaci´on empieza con: • una evaluaci´on visual general, • un recorrido de inspecci´on cuidadoso, • una conversaci´on del investigador con sus colegas. Las preguntas b´asicas que se deben de responder al investigador de manera general antes de proceder a realizar la investigaci´on: 1 Fecha y hora en la que se realiza la intervenci´on o investigaci´on 2 Domicilio del lugar de los hechos.
  28. 28. Fijaci´on del lugar de los hechos II 3 Persona responsable de la administraci´on de los recursos inform´aticos. (nombre y cargo) 4 Recursos en tecnolog´ıas de la informaci´on y comunicaciones con los que cuenta el lugar de los hechos. (numero de computadoras, aplicaciones y configuraciones de seguridad, bases de datos) 5 Accesos f´ısicos a los recursos inform´aticos. 6 Accesos L´ogicos 7 Infraestructura de comunicaciones (telecomunicaciones, redes inform´aticas y su tecnolog´ıa) 8 Verificar si existe control de acceso a los recursos en TIC’s a trav´es del uso de usuario y contrase˜na s´ı como e perfil de los usuarios (Administrador o limitados). 9 Rango de direcciones IP e inventario de las mismas. 10 Bit´acoras activas.
  29. 29. Fijaci´on del lugar de los hechos III 11 Proveedores de Servicios de Comunicaciones. Fijar fotogr´aficamente el estado f´ısico del equipo as´ı como cables y dispositivos conectados a ´el.
  30. 30. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas I Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas: 1 En caso de encontrarse personal laborando y manipulando los equipo que ser´an sujeto a estudio, evitar que dicho personal se levante de su asiento y asegurarse de que ´este retire las manos de los teclados y escritorio, coloc´andolas sobre sus muslos. 2 Localizaci´on e identificaci´on del equipo o equipos sujetos a estudio. 3 Estado del equipo al momento de realizar la diligencia (apagado, encendido). 4 En caso de encontrarse en estado de apagado el o los equipos y/o dispositivos sujetos a estudio, se debe proceder a embalar y etiquetar de forma individual cada elemento con la finalidad de ser trasladado para su an´alisis en el Laboratorio.
  31. 31. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas II 5 En caso de encontrarse encendido el o los equipos y/o dispositivos sujetos a estudio se debe: 1 Identificar la hora del sistema y en su caso, el desfasamiento con el horario oficial. 2 Identificar las caracter´ısticas del sistema (RAM, discos duros, versi´on, etc.) 3 Obtener informaci´on vol´atil (primera muestra). 4 Identificar y fijar escritorio, documentos recientes y aplicaciones. 5 Identificar y fijar procesos. 6 Identificar y fijar informaci´on de conexiones a Internet. 7 Previsualizaci´on de las unidades de almacenamiento. 8 Obtener informaci´on vol´atil (segunda muestra). 6 Si se trata de evidencia digital contenida en tel´efonos celulares:
  32. 32. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas III 7 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 1 Aislamiento: En caso de no contar con dispositivos de aislamiento y manejo de tel´efonos celulares los cuales cumplen con la funci´on de evitar que el dispositivo sujeto a estudio reciba o env´ıe llamadas o informaci´on, se deber´a de buscar en la medida de lo posible un lugar aislado entre muros o s´otanos que eviten la recepci´on o env´ıo de se˜nales las cuales pueden provocar la alteraci´on de manera remota de la informaci´on contenida en el o los dispositivos sujetos a estudio. 2 Fijaci´on: En este punto se reconoce el dispositivo en cuanto a marca, modelo, n´umero de serie y caracter´ısticas particulares, as´ı como el estado f´ısico y los dispositivos de almacenamiento que lo componen (memorias). Cabe aclarar en este punto que el investigador deber´a de tomar las mayores precauciones para evitar toda manipulaci´on del dispositivo sometido a estudio sin el uso de guantes de l´atex.
  33. 33. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas IV 8 En caso de ser necesario y con la autorizaci´on del Agente del Ministerio P´ublico o responsable del ´area, recolectar: • Dispositivos de comunicaci´on (tel´efonos celulares, agendas electr´onicas) • Dispositivos de almacenamiento (memorias USB, CD’s, Disquetes, memorias SIMS, entre otros). Dada la complejidad y diversidad de escenarios y variantes relacionadas a conductas delictivas relacionadas con TIC’s en el lugar de los hechos, entre los cuestionamientos b´asicos que el investigador debe de plantearse para la generaci´on de conjeturas sugerimos las siguientes: • Acceso no autorizado. • Fallos a consecuencia de virus maliciosos. • Correos electr´onicos.
  34. 34. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas V • Intervenci´on de sistemas de comunicaci´on. • Negaci´on de servicios. • Fallos a consecuencia de errores humanos. • Sabotaje (interna o externa). • Identificaci´on de dispositivos electr´onicos.
  35. 35. Embalaje de probables evidencias I Cuando el equipo de c´omputo se encuentra apagado y no es posible incautarlo se procede a realizar una imagen forense del disco duro: 1 Preparar medio destino. 2 Identificar tecla de acceso al BIOS.
  36. 36. Embalaje de probables evidencias II 3 Accesar al BIOS. 4 Identificar fecha del sistema. 5 Identificar desfasamiento entre el horario del sistema y el horario oficial. 6 Identificar orden de arranque del sistema. 7 Asegurase que el sistema arranque desde el medio forense (CAINE). 8 En caso de ser necesario previsualizar las unidades de almacenamiento conectadas al equipo de c´omputo (discos duros, memorias) 9 Realizar imagen o im´agenes forenses.
  37. 37. Cadena de custodia Definici´on Procedimiento controlado que se aplica a los indicios relacionados con el delito, desde su localizaci´on hasta su valoraci´on por los encargados de su an´alisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y as´ı evitar alteraciones, sustituciones, contaminaciones o destrucciones.
  38. 38. Investigaci´on en ambiente controlado o trabajo de Laboratorio. • Seguir los procedimientos de recepci´on de indicios. • Ejecutar los procedimientos de investigaci´on. • Elaborar el dictamen pericial.
  39. 39. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  40. 40. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  41. 41. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  42. 42. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  43. 43. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  44. 44. Referencias bibliogr´aficas I ´Oscar. Lira Arteaga. Cibercriminalidad. Fundamentos de investigaci´on en M´exico..

×