Este documento resume un artículo sobre análisis forense. Explica que el análisis forense es la aplicación de ciencias para responder preguntas legales relacionadas con delitos o acciones civiles. También cubre temas como tipos de delitos informáticos, evidencia digital, cadena de custodia y herramientas de investigación forense.
1. Más allá de Nuestros Ojos…
Análisis Forense
Por Claudio B. Caracciolo
Director de Root-Secure
ccaracciolo@root-secure.com
-! elitos Informáticos. !
D
-!Qué es y Cuales son los tipos?!
-! nálisis Forense Informático. !
A
-!Definición y tipos de análisis.!
-! videncia Digital. !
E
-!Definiciones. !
-!Cadena de Custodia y Ciclo de Vida.!
- Investigative Tool Kit.!
- Conclusiones!
1
2. Delitos
Informáticos
Delitos Informáticos!
Los delitos informáticos, en general, son aquellos actos
delictivos realizados con el uso de computadoras o medios
electrónicos, cuando tales conductas constituyen el único medio
de comisión posible –o el considerablemente más efectivo-, y los
delitos en que se daña estos equipos, redes informáticas, o la
información contenida en ellos, vulnerando bienes jurídicos
protegidos.
Definición de Wikipedia
Existen dos Clasificaciones de Delitos Informáticos según Julio
Téllez Valdés:
!! Como instrumento o medio
!! Como fin u objetivo
2
3. Delitos Informáticos!
Como Instrumentos o Medios!
Todas aquellas conductas criminales que se valen de
las computadoras como método, medio o símbolo
para cometer un ilícito.
Como Instrumentos!
Se utilizan a las computadoras para realizar falsificaciones de
documentos de uso comercial. Tal es el caso de Recibos de
Sueldos, Comprobantes, Escrituras, etc
Como Medios!
Son conductas crimiales en donde para realizar un delito utilizan una
computadora como medio o símbolo
Delitos Informáticos!
Ejemplos de Delitos como Instrumentos o Medios!
!! Alteración de Documentación Legal.
!! Planeamiento y simulación de delitos
convencionales tales como robos,
homicidios, fraudes, etc
!! Lectura, sustracción o copiado de
información confidencial
3
4. Delitos Informáticos!
Ejemplos de Delitos como Instrumentos o Medios!
!! Modificación de datos tanto en la
entrada como en la salida.
!! A p r o v e c h a m i e n t o i n d e b i d o o
violación de un código para
penetrar a un sistema.
!! Variación en cuanto al destino de
pequeñas cantidades de dinero
hacia una cuenta bancaria apócrifa
Delitos Informáticos!
Ejemplos de Delitos como Instrumentos o Medios!
!! Uso no autorizado de programas.
!! Introducción de instrucciones que provocan
Denegaciones de Servicios totales o
parciales
!! Alteración en el funcionamiento de los
sistemas, a través de los virus informáticos.
!! Intervención en las líneas de comunicación
de datos o teleproceso
4
5. Delitos Informáticos!
Ejemplos de Delitos como Instrumentos o Medios!
!! Espionaje.
!! Terrorismo.
!! Narcotráfico.
!! Redes Pornografía Infantil.
Delitos Informáticos!
Como Fin u Objetivos!
Son conductas criminales que van dirigidas contra la
computadora, sus accesorios o sus programas como
entidad física. Es decir que son conductas criminales
dirigidas contra la entidad física del objeto o máquina
electrónica o su material con objeto de dañarla.
5
6. Delitos Informáticos!
Ejemplos de Delitos como Fin u Objetivos!
!! Generación o Implementación de
Software malicioso que producen el
bloqueo total de un sistema.
!! Destrucción del Software de los
equipos.
!! Destrucción Física de la máquina o de
sus accesorios.
!! Secuestro de soportes magnéticos,
ópticos o de cualquier tipo para
extorsionar a sus dueños.
Delitos Informáticos!
Ejemplos de Delitos como Fin u Objetivos!
!! Acceso No Autorizado a un sistema o la
misma Intercepción de los correos
electrónicos.
!! Estafas Electrónicas como el Phishing.
6
7. Informática
forense
Informática Forense!
La Ciencia Forense, es la aplicación de un amplio espectro de las
ciencias para responder a las preguntas de interés para el sistema
jurídico. Esto puede ser en relación con un delito o de una acción
civil. Debe encontrar, recoger, analizar y preservar evidencias que
sean admisibles en un tribunal u otros ambientes legales.
Informática Forense, es una rama de la Ciencia Forense en relación a
la evidencias legales halladas en computadoras y/o medios de
almacenamiento digital. Se adhiere a las normas de pruebas
admisibles en un tribunal de justicia.
Definición de Wikipedia
7
8. Informática Forense!
Análisis Forense, es la aplicación de principios de las ciencias físicas
en derecho y búsqueda de la verdad en cuestiones civiles,
criminales y de comportamiento social para que no se comentan
injusticias contra cualquier miembro de la Sociedad.
(Manual de Patología Forense del Colegio de Patologistas Americanos, 1990).
Procedimiento Forense, es la metodología detallada utilizada por el
investigador a fin de obtener las evidencias para su posterior
análisis y entrega a la Justicia
Informática Forense!
Etapas del Procedimiento Forense
!!Identificación
!!Recolección o adquisición de evidencias
!!Preservación de evidencias (física y lógica)
!!Análisis de evidencias
!!Presentación de resultados
“El análisis forense computacional produce
informaciones directas y no interpretativas”
8
9. DEMO
Informática Forense!
…es por ello que un Investigador deberá enfrentarse a:
!!La Alteración de la evidencia por falta de protección
!!Falta de logs por no estar configurados (o mal configurados)
!!La NO conservación de los equipos
!!Manipulación de los Medios Originales
!!Falta de recursos adecuados.
!!Etc.
“El Investigador debe asegurarse que sea posible
repetir la pericia tantas veces como el juzgado lo
requiera obteniendo los mismos resultados”
9
10. Informática Forense!
El investigador debe plantearse preguntas como por ejemplo:
¿Quién realizó la intrusión?
¿Cual pudo ser su interes?
¿Cómo entró en el sistema el atacante?
¿Qué daños ha producido en el sistema o que información se llevó?
¿Dejo información que permita involucrarlo?
¿Tendrá alguna forma de volver acceder (backdoor)?
Etc…
Evidencia
Digital
10
11. Evidencia Digital!
La Evidencia Digital, es todo aquel elemento que pueda almacenar
información de forma física o lógica que pueda ayudar a esclarecer
un caso. Pueden formar parte:
!!Discos rígidos
!!Archivos temporales
!!Espacios no asignados en el disco
!!Diskettes, Cd-rom,Dvd, Zip, etc.
!!Pen drives
!!Cámaras digitales
!!Backups
Toda información que podamos procesar en un análisis.
Evidencia Digital!
Entendemos entonces por Evidencia Digital a:
!!Un simple archivo en disco
!!El último acceso a un archivo o aplicación
!!Un archivo de Log
!!Una cookie de un navegador
!!El uptime de un sistema
!!Un proceso en ejecución o memoria.
!!Archivos temporales
!! n disco duro, pen-drive, etc..
U
11
13. Evidencia Digital!
Principios para la Recolección de Evidencias RFC 3227:
!!Orden de volatilidad
!!Cosas a evitar
!!Consideraciones relativas a la privacidad de los datos
!!Consideraciones legales
!!Procedimiento de recolección
!!Transparencia
!!Pasos de la recolección
!!Cadena de custodia
!!Como archivar una evidencia
!!Herramientas necesarias y medios de almacenamiento de éstas
Evidencia Digital!
Adminisibilidad de la Evidencia:
La evidencia debe ser/ estar:
!! Relevante: relacionada con el crimen bajo investigación.
!! Permitida Legalmente: fue obtenida de manera legal.
!! Confiable: no ha sido alterada o modificada.
!! Identificada: ha sido claramente etiquetada.
!! Preservada: no ha sido dañada o destruida.
13
14. Evidencia Digital!
Tipos de Evidencia:
!! Best evidence – evidencia primaria u original, no es copia.
!! Secondary – copia de evidencia primaria.
!! Direct evidence – prueba o invalida un acto específico a
través del un testimonio oral.
!! Conclusive evidence – indiscutible, sobrepasa todo otro
tipo de evidencia.
Evidencia Digital!
Tipos de Evidencia:
!! Opiniones:
•! Experta – opinión basada en hechos y experiencia
personal.
•! No experta – solo se da una opinión basada en hechos.
!! Circumstantial evidence – inferencia de información
realizada en base a otros datos/ hechos.
!! Hearsay (3rd party) – evidencia basada en conocimiento
personal o directo del testigo, normalmente no es
admisible en la corte (existen excepciones a esta regla)
14
15. Evidencia Digital!
Liability:
!! Due Care o Reasonable Care.
!! Prudent Man Rule: “requiere que los oficiales de una
organización realicen aquellas acciones con diligencia y
cuidado como lo haría cualquier hombre prudente”.
!quot;#$%&'(&)quot;'*&'(&$*&
+,quot;'(-#quot;*&
30
15
16. Evidencia Digital!
Ciclo de Vida de la Evidencia:
!! Descubrimiento y Reconocimiento.
!! Protección.
!! Registración.
!! Recolección.
•! Recolección de todos los medios de almacenamientos
relevantes.
•! Generación de una imágen del HD antes de desconectar la
computadora.
•! Impresión de pantallas.
•! Evitar la destrucción de los equipos (degaussing).
Evidencia Digital!
Ciclo de Vida de la Evidencia:
!! Identificación (etiquetado).
!! Preservación.
•! Protección de los medios magnéticos contra borrado.
•! Almacenamiento en un ambiente adecuado.
!! Transportación.
!! Presentación ante la corte.
!! Devolución de la evidencia a su dueño.
16
17. Evidencia Digital!
Ciclo de Vida de la Evidencia, ACTA DE ENTREGA y DEVOLUCION
Todo indicio colectado debe ser entregado a un Perito, ambos
deben firmar el Acta de Entrega y Recepción, conteniendo
los datos relacionados con el caso que se investiga como:
!! El numero de caso
!! Naturaleza del hecho
!! Lugar del hecho,
!! Fecha y hora del hecho,
!! Victima
!! Sospechoso
!! Investigador asignado
!! Fiscal asignado
!! Objeto de la pericia
!! Fecha y Hora de entrega y recepción
Evidencia Digital!
Ciclo de Vida de la Evidencia:
Garantiza la seguridad, preservación e integridad de los
elementos probatorios colectados en el Lugar de los Hechos.
También hace referencia al mantenimiento y preservación
adecuada de los elementos de prueba, estos deben guardarse
en un lugar seguro, con una especial atención a las
condiciones ambientales (temperatura, humedad, luz etc.)
protegiéndolo del deterioro biológico o físico.
17
18. Evidencia Digital!
Ciclo de Vida de la Evidencia: FINALIDAD
Demostrar que la Evidencia presentada ante las Autoridades
correspondientes, es la misma que se obtuvo en el Lugar de
los Hechos.
Investigative
Toolkit
18