Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense

CURSO DE ESPECIALIZACION:
“INVESTIGACION DE LA ESCENA DEL
DELITO E INFOGRAFIA FORENSE”
Computo Forense, Investigación de la
escena del Crimen de Computo
Instituto de Pericias Criminalísticas
& Capacitacion “HANS GROSS”
Alonso E. Caballero Quezada
Diciembre 2005

CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”
Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”
¿Qué es Computo Forense?
Es la Recolección, Preservación, Análisis, Documentación de
evidencia relacionada con computadoras.
Evidencia de Computo puede ser útil en casos criminales,
disputas civiles, y procedimientos de empleo / recursos
humanos.
Mientras más información es almacenada en computadoras,
más dificil es remover completamente dicha información.

Mientras más información es almacenada en computadoras,
más dificil es remover completamente dicha información.

Por esta razón y muchas más, computo forense puede
encontrar evidencia, recuperar completamente información
“perdida” o borrada, si ha sido intencionalmente.
Computo forense, emplea conocimientos y software de
recuperación de datos. Es mucho más dificil de lo que suena.
En la recuperación de datos, el objetivo es obtener datos
perdidos. En computo forense el objetivo es obtener los datos
e interpretar tanta información como sea posible.

Beneficios de una Metodología
La protección de la evidencia es crítica, se debe asegurar que
el sistema “objetivo” es manejado cuidadosamente para
asegurar que:
1. Ninguna evidencia es dañada, destruida, o comprometida de
alguna manera por los procedimientos utilizados en la
investigación.

2. No hay posibilidad de que algun virus haya sido introducido
en la computadora objetivo durante el proceso de análisis.

3. Extraer y posibilitar que la evidencia relevante es
adecuadamente manipulada y protegida de daño mecánico o
electromagnético .

4. Una cadena de custodia continua debe ser establecida y
mantenida.
5. Operaciones empresariales son afectadas por una cantidad
de tiempo limitada.
6. Alguna información del cliente / abogado que sea obtenida
durante la exploración forense es eticamente y legalmente
respetada y no divulgada.

Fases a realizar por un Especialista Forense
1. Proteger la computadora “objetivo” durante la examinación
forense de posible alteración, daño, corrupción de datos, o
virus.

2. Descubrir todos los archivos. Incluyendo archivos normales,
borrados, ocultos, protegidos por contraseña, y encriptados.
3. Recuperar todo (como sea posible) archivos borrados.
4. Revelar el contenido de archivos ocultos, como tambien
temporales o archivos “swap” utilizados por programas y el
sistema operativo.

5. Acceder (si es legal y apropiado) al contenido de archivos
protegidos o encriptados.

6. Analizar todos los datos relevantes encontrados en todas las
areas del disco. (En tipicamente inaccesibles)

7. Reportar un análisis completo del sistema objetivo, y
tambien un listado de todos los archivos relevantes y archivos
de datos descubiertos. Espacio sin Asignar, espacio
remanente,
8. Proporcionar una opinion del sistema; estructuras de
archivos descubiertos, datos descubiertos e información del
autor; intento de ocultar, borrar, proteger y encriptar
información, y cualquier cosa que se haya descubierto y que
pueda ser relevante durante el examen del sistema.
9. Proporcionar testimonio, si es requerido.

¿Quién puede utilizar evidencia de computo
forense?
* Los perseguidores criminales utilizan evidencia de computo
en una variedad de crímenes donde documentos
incriminatorios pueden ser encontrados, incluyendo;
homicidios, fraude financiero, drogas, y pornografía infantil.
* Litigantes civiles pueden rapidamente hacer uso de registros
personales y empresariales; encontrados en un sistema de
computo; fraude, discriminación, divorcio, u hostigamiento.
* Compañias de seguros pueden mitigar costos, utilizando
evidencia de computo descubierta en posibles fraudes de
accidentes, incendios, y casos de compensaciones de un
trabajador.

¿Quién puede utilizar evidencia de computo
forense?
* Las corporaciones alguna veces emplean especialistas en
computo forense para comprobar evidencia relacionada a:
hostigamiento sexual, malversación, robo de secretos
empresariales u otra información externa o interna.
* Fuerzas Legales frecuentemente requieren asistencia para la
preparación de una búsqueda con garantia, y dirección en el
manejo posterior de un equipo de computo.
* También se emplean especialistas forenses en posibles
demandas; conclusión ilícita, hostigamiento sexual,
discrimación de edad, etc.

Problemas de la Evidencia del Computo Forense
Evidencia de computo como otra evidencia, debe ser:
* Aunténtica.
* Exacta
* Completa
* Convencer al Jurado
* Conformidad con las leyes y reglas legislativas (admisible)

Problemas de la Evidencia del Computo Forense
Sin embargo, también existen problemas especiales:
* Datos de computo, cambian de momento a momento.
* Son invisibles al ojo humano, solo puede ser visto
indirectamente por procesos adecuados.
* El proceso de recolección de datos de computo puede
cambiar de manera significante.
* Tecnologías de computo y telecomunicaciones son siempre
cambiantes, de modo que los procesos forenses muy
raramente son los mismo durante el tiempo.

Técnica Forense
Se puede producir evidencia confiable sin herramientas
especiales: Los principios básicos son:
* La escena del Crimen debe ser congelada; ésto es; la
evidencia tiene que ser recolectada tan rápido como sea
posible y sin contaminación.
* Debe haber continuidad de la evidencia, algunas veces
conocido como “cadena de custodia”. Debe de ser posible
hacer explicar todo lo ocurrido entra la recolección original y la
exposición en la corte.
* Todos los procedimientos utlizados en al examinación deben
ser auditables desde el punto de vista de un tercero.

Técnica Forense
Las características de la Técnica Forense son:
* Metodología cuidadosa del acercamiento, registro incluido.
* Un conocimiento especial de computo, especialmente en
áreas requeridas.
* Conocimiento de las leyes sobre evidencia.
* Conocimiento de procedimientos Legales.
* Acceso y Conocimiento en el uso de utilidades adecuadas.

Temas de Computo Forense
En cualquier evento, las pruebas para la evidencia incluyen:
* Autenticidad: ¿El material viene de donde se dice?.
* Confiabilidad: ¿Existen razones para dudar del correcto
funcionamiento de la computadora?.
* Completo: ¿Existen otras informaciones relacionadas con el
conflicto? ¿La información es completa?.
* Libertad de Interferencia y Contaminación: Son los niveles
aceptados como resultado de una investigación Forense y
manejo post evento.

Temas de Computo Forense
Una Aproximación al computo forense incluye los siguientes
elementos:
* Procedimientos bien definidos para guiar las diversar tareas.
* Una anticipación a la crítica de cada metodología.
* Posibilidad de repetir las pruebas, para ser realizadas por la
contraparte.
* Listas de comprobación para apoyar cada metodología.
*Anticipación de cualquier problema en pruebas de
admisibilidad
* Aceptación de algún método descrito sujeto a modificación.

Divergencias de la Investigación Forense
Tradicional.
La razón es el rápido cambio de la tecnología informática. En
las computadoras, lo nuevo y lo obsoleto es la norma.

Tradicional.
Durante los recientes años han tomado lugar ciertos cambios:
* Crecimiento del correo electrónico de organización y mundial.

Tradicional.
* Crecimiento de Aplicaciones Cliente / Servidor.

Tradicional.
* El software se vuelve
mas complejo de la mano
con la arquitectura
de las computadoras.

Tradicional.
* La situación Cliente / Servidor (Software)
* Una PC interactua con datos y software que se localizan en
otra maquina “servidor” o “mainframe”.
* La evidencia de la transacción solo puede demostrase con la
presentación de todos los registros de todos los implicados.

Tradicional.
* Graficos por Computadora: CAD (Diseño asistido por
computadora)
* Mas extendido, BD fáciles de utilizar
* Mayor uso de procedimientos controlados por computadoras;
ventas, servicios de emergencia, control de tráfico, etc.
* Métodos para desarrollo de software tambien han cambiado.
Uso de bibliotecas de procedimientos.

Obtención de Datos y Recolección de Evidencia
“Diferentes Regiones tienen diferentes legislación. Si se duda,
se debe de preguntar siempre al abogado”
¿Porqué Recolectar la Evidencia?
La evidencia electrónica puede ser muy dificil de obtener; los
procesos son estrictos y exhaustivos, el sistema afectado
puede no estar disponible por un largo periodo de tiempo, para
que el análisis de datos recolectados sean realizado.

¿Porqué recolectar la Evidencia en el primer lugar?
Prevencion Futura: Sin conocer lo que ha ocurrido, no se tiene
la seguridad de impedir que un atacante pueda hacerlo
nuevamente. El costo de recolección puede ser alto, pero el
costo de hacerlo repetidas veces, será mayor.
Responsabilidad: Hay dos partes responsables después de un
ataque; la victima y el atacante. El atacante es responsable del
daño. La victima, tiene un responsabilidad con la comunidad.
La información obtenida del ataque puede prevenir futuros
ataques.

OPCIONES DE RECOLECCIÓN:
Cuando el compromiso ha sido detectado se tienen dos
Opciones:
* Desconectar el sistema de la Red y empezar a recolectar la
evidencia.
* Dejar el sistema “on-line” e intentar monitorear al intruso.

OBSTACULOS:
* Crimenes electrónicos son difíciles de investigar y perseguir,
los investigadores tienen que constuir el caso en base a
registros dejados despues de las transacciones.
* Las transacciones son rápidas, desde cualquier lugar a
cualquier lugar, pueden ser anónimas o encriptadas.

OBSTACULOS:

OBSTACULOS:
* Si una transacción es restaurada a
través de un análisis, es muy dificil
ligar a la persona y la transacción.

TIPOS DE EVIDENCIA:
* Evidencia Real: Habla por si misma. Un “log” producido por
una función de auditoria. El “log” debe ser mostrado sín
modificación.
* Evidencia Testimonial: Proporcionada por un testigo.
Documentos escritos en un procesador de texto por un testigo
pueden ser consideradas testimonio, con autorización.
* Rumor: Presentada por una persona que no es testigo directo.
Es generalmente inadmisible en la corte y debe ser obviada.

REGLAS DE LA EVIDENCIA:
* Admisible: Debe Permitir ser utilizada en la corte u otro lugar.
* Aunténtica: La evidencia se debe relacionar con el incidente
de manera relevante.
* Completa: No solo debe probar un delito, tambien inocencia.
* Confiable: No debe de haber duda de la la veracidad y
auntenticidad de la evidencia.
* Creible: Se debe de presentar de una manera entendible y
creible al jurado.

Utilizando lo anterior se puede derivar en lo siguiente:
* Minimizar la manipulación / daño de los datos originales.
* Explicar cualquier cambio y registrar detalle de las acciones.
* Cumplir con las cinco reglas de evidencia.
* No exceder los conocimientos.
* Seguir las políticas de seguridad locales.
* Capturar una imagen tan exacta como sea posible del
sistema.

* Estar preparado para testificar.
* Asegurar que las acciones son repetibles.
* Trabajar rápido
* Proceder desde la evidencia volátil a la persistente.
* No apagar antes de la recoleccion de evidencia.
* No ejecutar ningún programa sobre el sistema afectado.

EVIDENCIA VOLATIL:
1. Registros y Cache
2. Tabla de Rutas 9. Configuración del Router
3. Cache ARP 10. Topología de la Red.
4. Tabla de Procesos
5. Estadísticas del Kernel y módulos
6. Memoria Superior
7. Sistema de Archivos Temporal
8. Memoria Secundaria

EVIDENCIA VOLATIL:
1. Registros y Cache

EVIDENCIA VOLATIL:
2. Tabla de Rutas

EVIDENCIA VOLATIL:
3. Cache ARP

EVIDENCIA VOLATIL:
4. Tabla de Procesos

EVIDENCIA VOLATIL:
5. Estadísticas del Kernel
y módulos

EVIDENCIA VOLATIL:
6. Memoria Superior

EVIDENCIA VOLATIL:
7. Sistema de Archivos Temporal

EVIDENCIA VOLATIL:
8. Memoria Secundaria

EVIDENCIA VOLATIL:
9. Configuración del Router

EVIDENCIA VOLATIL:
10. Topología de la Red.

PROCEDIMIENTO GENERAL:
Identificación: Distinguir entre evidencia y datos irrelevantes.
Se debe de trabajar de la mejor manera para obtener y
almacenar los hallazgos.
Preservación: Tan fiel al estado original. Cualquier cambio debe
de ser documentado.
Análisis: Extraer la información relevante y recrear la cadena
de eventos. Conocimientos de lo que se quiere obtener y como.
Presentación: La comunicación es de vital importacia. La
manera es importante, debe ser entendible para ser efectivo.

RECOLECCION Y ARCHIVADO:
* Archivos de Logs y Registros: Si los logs son mantenidos
localmente en la máquina comprometida, son suceptibles de
ser modificados por un atacante. Tener un sistema remoto de
“logueo” puede se runa alternativa.
* Monitoreo: Se pueden obtener estadísticas de actividad
irregular. Asi tambien rastrear de donde proviene el ataque y
que es lo que está ocurriendo. Tambien se debe monitorear a
los usuarios.

METODOS DE RECOLECCION:
* Congelar la Escena: Implica tomar una “foto” del sistema en
estado comprometido. Notificar a las autoridades. Todos los
datos recolectados deben tener un mensaje resumen
criptográfico. Estos “resumenes” deben ser comprobados con
el original para su verificación.

* Congelar la Escena:

* Honeypotting: Es un proceso de crear una réplica del sistema
y dejar al atacante alli, para monitorearlo. Algo similar es el
“sandboxing” que implica limitar las acciones del atacante.

ARTEFACTOS:
* Cuando un sistema es comprometido, siempre se deja algo,
fragmento de códigos, programas troyanizados, procesos
ejecutándose, archivos log de sniffers. Se debe ser cuidadoso
durante la recolección.
* Artefactos pueden ser difíciles de encontrar. Los programas
troyanizados serán muy similares a los originales (tamaño,
MAC, tiempo, etc) Uso de “checksum” criptográficos puede ser
necesario. Se debde de conocer el “checksum” original.

PASOS DE LA RECOLECCION:
1. Encontrar la Evidencia.
2. Encontrar Datos relevantes.
3. Crear un Orden de Volatilidad.
4. Eliminar factores externos de Cambio.
5. Recolectar la Evidencia.
6. Documentar Todo.

CONTROLANDO LA CONTAMINACION:
Cadena de Custodia
* Los originales nunca debe ser utilizados en la examinación.
DD, EnCase, Safeback

CONTROLANDO LA CONTAMINACION:
Cadena de Custodia
* Las pruebas debe ser realizadas sobre una maquina limpia y
aislada.
* La Cadena de Custodia es una lista detallada de lo que se
debe hacer con las copias originales una vez que han sido
recolectadas, documentando todo.

CONTROLANDO LA CONTAMINACION: Cadena de Custodia
Análisis: Una vez recolectado los datos se deben de analizar
para extraer la evidencia que se desea presentar y reconstruir
lo ocurrido.
Tiempo: Se debe poder reconstruir una línea de tiempo. Nunca
modificar el reloj del sistema objetivo. Se debe de utilizar
“timestamps” no solo para reconstruir eventos, sino para
realizar una cadena de eventos.

Análisis Forense de “Backups”: El examen debe ser seguro,
limpio, y aislado de cualquier conección de red.
Reconstruyendo el ataque: Se debe de reconstruir una cadena
de eventos. Se debe de relacionar toda la evidencia obtenida
para reconstruir el ataque.
La recolección de evidencia no es algo trivial, de debe de
considerar la complejidad, y justificar las acciones tomadas.

Busqueda y Obtención:
* Un examinador Forense es imparcial.
* El medio utilizado en una examinación de Computo Forense
debe ser esterilizado antes de cada uso.
* Una imagen “real” (flujo de bit) debe ser hecha y utilizada
para el análisis.
* La integridad del medio original debe ser conservada a través
la investigación.

Antes de la Investigación:
* Se cuenta con técnicos expertos, con la disposición para
realizar un análisis de la evidencia. Se confía en la habilidad del
personal y en el equipo adecuado para realizar dicha labor.
* Toda el equipo y el talento no ayudará mucho sino se tiene
coordinación constante con un abogado.

Desarollo de una Metodología:
Existen dos temas que conducirán a un análisis sólido y
construcción del caso:
* Definir una Metodología.
(Metodología implica un método, un conjunto de reglas.)
* Trabajar de Acuerdo a la Metodología.

Documentar Todo:
¿Quién vigila cada paso a lo largo de la investigación?
Se debe tener dos personas asignadas a cada caso. Una
persona documenta todo lo que la otra esta haciendo, y como
lo esta haciendo para un muy detallado y preciso registro del
manejo de la evidencia. Son importantes las fechas, los
tiempos de los pasos datos, los nombres involucrados y bajo
que autoridad se realizan estos pasos.

Búsqueda y toma de la Evidencia:
PASO 1: Preparación
* Se debe esterilizar todos los medios que se utilizarán en el
proceso de examinación.
* Si se reutiliza un medio se
debe de asegurar que esta
correctamente
“wipeado” “limpiado”.

PASO 1: Preparación
* Cuando se tenga que explicar algo
técnico puede utilizarse una analogía
entre una biblioteca y una
computadora.

PASO 2: Foto
* Fotografiar la escena de la evidencia.
* Anotar cuadros, cosas personales,
y similares.

PASO 2: Foto
* En el caso de una PC. Foto del monitor, la pantalla. De la PC
completa, remover el case y foto del interior.

PASO 2: Foto
* Documentar, el hardware, drivers internos,
periféricos, numero de serie.
Configuración
de cables
IDE, SCSI. etc.

PASO 2: Foto
* Etiquetar la evidencia en base a la metodología
* Documentar todo (Quién, Cómo, porqué, y en que momento.)

PASO 2: Foto
* Grabar (Filmar) la entrada de personal en la escena, ésto evita
que pueda “plantarse” evidencia.
* La defensa puede apuntar la duda en el transporte de la
evidencia. Grabar la escena
y el transporte
al laboratorio apoya éste
proceso.

PASO 3: Transporte
* Asumiendo que se tiene la autoridad legal para transportar la
evidencia, se debe empacar la evidencia de manera segura.
* Proteger la evidencia contra descargas.
* Tomar fotos / Grabar y documentar todo el proceso de manejo
de evidencia. Cuando la evidencia deja la escena rumbo al
laboratorio, tambien hacerlo desde el vehiculo de transporte
hasta su llegada al laboratorio.

PASO 4: Examinación
* Una vez se tiene la evidencia, se debe de documentar el
proceso de desempaque de acuerdo a la metodología usada.
* Examinar visualmente la evidencia, en busca de
configuraciones inusuales, marcas, y similares.
* Realizar una imagen exacta del disco duro, con software
apropiado, EnCase, SafeBack, DD. Evitando modificación.
* Sellar, empacar y guardar de manera segura la evidencia.

Muchas Gracias &
Continuará . . .
Correo Electrónico:
reydes@gmail.com

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense

Recomendados

Recomendados

Más contenido relacionado

Similar a Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense

Similar a Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense (20)

Más de Alonso Caballero

Más de Alonso Caballero (20)

Último

Último (20)

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense