Este documento resume un taller sobre seguridad informática en Perú en diciembre de 2003. Incluye definiciones de términos como forense digital, el proceso de forense digital en 4 pasos de identificar, preservar, analizar y presentar evidencia, y los requisitos para ser un experto en forense digital incluyendo conocimientos técnicos, legales y de operaciones.

1. 1st Peruvian Workshop on IT Security
Digital Forensics
29.Dic.2003
Colaboración
http://escert.upc.es
Roger Carhuatocto
Miembro esCERT-UPC
Responsable de Servicios Educacionales
Instituto de Investigación UNI -FIIS esCERT-UPC
http://www.uni.edu.pe
C/ Jordi Girona, 1-3. Campus Nord, UPC
08034 Barcelona ~ España
Tel. (34)934015795 ~ Fax. (34)934017055
Atención : No se permite la reproducción total o parcial de este material sin el permiso del autor
Definiciones 1
§ RAE U 1992. (Pag:478,3)
http://www.rae.es
§ RAE U 1992. (Pag:655,1)
http://www.rae.es
Roger Carhuatocto / Digital Forensics 2

2. Definiciones 2
§ RAE U 1992. (Pag:1119,1)
http://www.rae.es
§ RAE U 1992. (Pag:660,2)
http://www.rae.es
Roger Carhuatocto / Digital Forensics 3
Definiciones 3
§ CERT: Computer Emergency Response Team
§ IRT: Incident Response Team
§ Forensic computing
§ Proceso de identificar, preservar, analizar y presentar evidencia
digital de manera que sea legalmente aceptable.
Sgt. Rodney McKemmish – Autralian Institute of Criminology
§ Informática forense
§ Forensic computing
§ Computer forensics
§ Digital forensics
§ Sólo difiere en el tema tecnológico
§ Medios o dispositivos electrónicos, comunicaciones
§ Se busca pistas diferentes
Roger Carhuatocto / Digital Forensics 4

3. Para qué?
§ Cómo entraron
§ Cuándo
§ Para qué
§ Quién
§ Costo de los daños
§ Soporte amplio al incidente
§ Requerimiento legal
§ Soporte al proceso judicial
§ “Modus operandi”, modos de operar de diferentes puntos
de vista
Roger Carhuatocto / Digital Forensics 5
Qué no cubre?
§ Seguimiento, captura o identificar a perpetradores
§ Negociar con cuerpos policiales, juzgados, TELCOs
Roger Carhuatocto / Digital Forensics 6

4. Escenarios
§ Entornos donde se podría realizar investigaciones:
§ Intrusión a sistemas informáticos
§ Web defacement
§ Uso no autorizado de equipo informático coorporativo
§ Wireless?
§ Contenidos ilícitos
§ Pornografía infantil: CDs, P2P, Internet
§ Amenzas
§ Cualquier crimen físico en el que se implique infraestructura,
dispositivos que trata contenido digital, no sólo PCs
§ Fraudes
§ Estafas
§ Propiedad intelectual
§ Etc.
Roger Carhuatocto / Digital Forensics 7
El proceso: elementos
Labs
I Peritos
n
c
i Legal
d CERT Cuerpo policial
e
Sw / Hw
n
t
e
Proceso judicial Seguros
Roger Carhuatocto / Digital Forensics 8

5. El proceso: actual
§ Técnico
§ Sistemas informáticos: dinámicos, grandes, distribuidos, etc.
§ Se puede ocultar información
§ Muy poco conocimiento técnico, la tecnología avanza
§ Herramientas existen pero no son globales: opensource, privadas
§ Obtener información es fácil, no el análisis
§ Almacenamiento
§ Legal
§ Tecnología avanza y se adapta, leyes cambian lentamente
§ Procesos judiciales son lentos en comparación con cambios en la Tecnología
§ Protocolo. La presentación de la evidencia debe reunir características especiales
§ Sustentar el informe sobre evidencia admitida
§ Organizacional
§ Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a
corto plazo: reactivo y recuperación
§ Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc.
Roger Carhuatocto / Digital Forensics 9
El proceso: cómo debe ser cuando sucede
§ Determinar origen y tamaño de intrusión
§ Protección de información sensitiva en sistemas
§ Protección de los sistemas, redes y su capacidad para seguir funcionado
§ Recuperación de sistemas
§ Colección de información de manera consistente con TERCERA parte legal
§ Proveer soporte a las investigaciones
Roger Carhuatocto / Digital Forensics 10

6. El proceso: ser proactivo
§ Políticas de seguridad
§ Plan de respuesta para incidentes de seguridad
§ Plan de informática forense
§ Plan para detección de incidentes
§ Determinar equipo con recursos y autoridad para actuar
§ Implementar procedimientos para diferentes situaciones y amenazas
§ Con regularidad revisar políticas y procedimientos
Proteger Preservar Notificar
§Sistemas §Sistemas y logs aceptablemente legal § A tu CERT
§Información § Administración
§Contener intrusión § CERT
§Cuerpo Policial
Roger Carhuatocto / Digital Forensics 11
El forense informático: requerimientos 1
§ 1/3 Técnico:
§ Conocimiento técnico
§ Implicaciones técnicas de acciones
§ Comprensión de cómo la información puede ser modificada
§ Perspicaz
§ Mente abierta y taimado
§ Ético
§ Continua formación
§ Conocimiento de historia: casos pasados, vulnerabilidades, etc.
§ Uso de fuentes de datos redundantes
Roger Carhuatocto / Digital Forensics 12

7. El forense informático: requerimientos 2
§ 1/3 Legal
§ Conocimiento de aspectos legales
§ España es diferente: LOPD, LSSI, ??
§ Protocolo de gestión de evidencia
Admisible Auténtico Completo Confiable Creíble
§ 1/3 Operacional, no todos los desafíos son de naturaleza tecnológica
§ Gestión de recursos
§ Políticas y procedimientos
§ Entrenamiento
§ Cambios organizacionales
Roger Carhuatocto / Digital Forensics 13
El forense informático: proceso investigación
§ Los cuatro principios, surge de la definición de computer forensics
1 2 3 4
Identificar Preservar Analizar Presentar
Roger Carhuatocto / Digital Forensics 14

8. El forense informático: lemas
§ Rapidez es la esencia, pero no llegar a extremos
§ Volatilidad de la evidencia
§ Cualquier cosa que se hace a un sistema lo altera
§ Principio de Incertidumbre de W. Heinsenberg - 1927
§ Nunca confiar en el sistema
§ Rootkits
§ Considerar siempre tus políticas
§ Admitir las fallas
§ Preparado para sorpresas
§ Documentar
Roger Carhuatocto / Digital Forensics 15
El proceso: (1) Identificar
1 2 3 4
§ Qué evidencia hay
§ Dónde está
§ Cómo está almacenada
§ El objetivo: determinar que proceso será empleado para facilitar la
recuperación
§ Ejm.:
§ Cualquier dispositivo de almacenar información como: móvil, PC, agendas
electrónicas, smart cards, etc.
Roger Carhuatocto / Digital Forensics 16

9. El proceso: (2) Preservar
1 2 3 4
§ Etapa crítica
§ Orden de volatilidad
§ Cadena de custodia
§ Evitar cambios posibles y si no se logra, registrarlo y justificarlo
Roger Carhuatocto / Digital Forensics 17
El proceso: (2) Preservar
Volatilidad de evidencia 1 2 3 4
§ Es evidencia que desaparecerá pronto: información de conexiones activas de
red o el contenido actual de memoria volátil
§ De Farmer & Venema – http://www.porcupine.org
§ Registers, peripheral memory, caches
§ Memory (virtual, physical)
§ Network state
§ Running processes
§ Disks, floppies, tapes
§ CD/ROM, printouts
Roger Carhuatocto / Digital Forensics 18

10. El proceso: (2) Preservar:
Principio de Heinsenberg 1 2 3 4
§ “Es imposible conocer simultáneamente la posición y velocidad del electrón, y
por tanto es imposible determinar su trayectoria. Cuanto mayor sea la
exactitud con la que se conozca la posición, mayor será el error de velocidad, y
viceversa…”
§ En la informática forense:
§ Examinar o coleccionar una parte del sistema alterará otros componentes
§ Es imposible capturar completamente un sistema completo en un punto en
el tiempo
§ Si no se puede evitar el cambio, entonces documentarlo y justificarlo
Roger Carhuatocto / Digital Forensics 19
El proceso: (2) Preservar:
Cadena de custodia 1 2 3 4
§ Registro de todas las operaciones sobre la evidencia
§ Disponible
§ El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y
para qué
§ El documento de la cadena de custodia es válido desde el momento en que se
considera la información como evidencia potencial y debería continuar en la
corte/proceso judicial
1 2 3 4
Identificar Preservar Analizar Presentar
Ciclo de vida de la Evidencia
Cadena de custodia
Roger Carhuatocto / Digital Forensics 20

11. El proceso: (2) Preservar:
diagrama 1 2 3 4
YES
Document Collect Record
The Scene Volatiles? Volatiles
NO
YES
Being Safe?
Power
Off
NO
What Was NO Investigate
The point? Image online, run
Drives? “last”, etc.
Mossos
J
d’Esquadra YES
Unitat de
Delictes en
Tecnologie Back @ lab, Analyze
s de la Make Copies, Reconstruct
Informació Images Computers, Analyze
“artifacts”
Roger Carhuatocto / Digital Forensics 21
El proceso: (2) Preservando
1 2 3 4
§ Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal
§ 1. Copiar
§ 2. Generar checksums de copias y originales
§ 3. Verificar checksums
§ 4. Time stamping
§ Estampar sello de tiempo a checksums
§ Fecha checksum = Fecha de copia = Fecha documento
§ 5. Documente: quién, dónde, cuándo, por qué
§ 6. Dar copia a custodio
§ Custodio da copias a otros investigadores
§ Documenta cadena de custodia
§ Pocos custodios, pocos testificantes
Roger Carhuatocto / Digital Forensics 22

12. El proceso: (3) Analizar
1 2 3 4
§ Extrae: Puede dar algo no humanamente legible
§ Procesa: Lo hace humanamente legible
§ Interpreta: Requiere un profundo entendimiento de cómo las cosas están
relacionadas
Roger Carhuatocto / Digital Forensics 23
El proceso: (3) Analizando
1 2 3 4
§ Estado de arte del análisis
§ Usar metodología: receta de cocina + experiencia
§ Recomendaciones:
§ Correlacionar logs: por IP, por tiempo
§ Sincronización:
§ Tiempo de sincronización
§ Tiempo de zona
§ Retraso de eventos
§ Orden cronológico de eventos
§ Los logs no son siempre fiables: son editables y depende de la integridad
del programa que crea los logs, y rootkit?
§ Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros
Roger Carhuatocto / Digital Forensics 24

13. El proceso: (3) Analizar:
resultados 1 2 3 4
§ Gestión de versiones de documentos/bitácoras
§ Reconstrucción cronológica de eventos
§ Diagramas: estático y dinámico
Roger Carhuatocto / Digital Forensics 25
El proceso: (4) Presentar
1 2 3 4
§ Implica la presentación a:
§ A la administración
§ Fuerza de la ley
§ Abogados
§ En procesos judiciales
§ Incluye la manera de la presentación, contenido y legibilidad
§ Se sustenta el proceso empleado para obtener la evidencia
§ La presentación de evidencia digital debe estar admitida bajo requerimientos
legales para que sea válida, la falla en ello puede causar que la evidencia sea
inadmisible
§ La experiencia y habilidades están en juego
Roger Carhuatocto / Digital Forensics 26

14. El proceso para el cuerpo policial
Guardia Civil
1 2 3 4 Grupo de Delitos
Identificar Preservar Analizar Presentar Telemáticos
Fase 1 Fase 2 Fase 3
?
IDENTIFICACIÓN §Denuncia – Conocimiento delito público
§Recogida de evidencias del delito (inspección ocular,
Qué ha pasado?
Cómo lo ha hecho asegurar el escenario, etc.)
§Búsqueda de información y referencias identificativas
§Resolución de “datos de tráfico” y referencias identificativas
INVESTIGACIÓN
§Identificación y localización
Quién lo ha hecho? §Vigilancia
§Interceptación
§Registro e incautación
INCRIMINACIÓN §Análisis forense de sistema y soportes intervenidos
§Informe policial incriminatorio
Roger Carhuatocto / Digital Forensics 27
Iniciativas 1
§ Buenas prácticas para Informática Forense, herramientas
§ Dar soporte a todos los involucrados en el proceso, no sólo técnicas, no
específicas. Debe ser estándar, es necesario apoyo de todos
§ Para que sea válido e irrefutable
§ Abierto, libre (auto certificable)
§ Multi/Inter-operable
§ Apoyo de todos: comunidad, institucional
§ Herramientas de soporte al proceso: auditables, confiables, íntegros
§ Educación a todos los niveles y a todos los actores en el proceso
Roger Carhuatocto / Digital Forensics 28

15. Iniciativas 2
§ Comunidad
§ Honeynet in Spanish
http://his.sourceforge.net (Todo sobre honeynets en castellano)
§ Análisis Forensics en Castellano (Técnicas de análisis forense)
§ http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics
§ Lista en esCERT (Operacional: técnico legal, policial)
http://escert.upc.es/foro/index.php
§ Códigos de prácticas en Digital Forensics
http://cp4df.sourceforge.net
Roger Carhuatocto / Digital Forensics 29
Referencias 1
§ Ley Especial contra Delitos Informáticos (Venezuela)
http://www.mct.gov.ve/leyes/lsdi.htm
§ Ley que Incorpora Los Delitos Informaticos Al Codigo Penal (Perú)
§ http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf
§ Senado - Comisión Especial sobre Redes Informáticas (España)
http://www.senado.es/comredinf
§ Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia
(Cataluña-España)
http://www.gencat.net/dji
§ Policia Nacional Española (Delito Informático)
http://www.mir.es/policia/bit/legisla.htm
§ Ex-Inspector BIT - PN : Antonio López Melgarejo (Ciberdelito: Investigación criminal y proceso
penal)
http://www.uoc.edu/in3/dt/20076
§ David Barroso (Links interesantes)
http://voodoo.somoslopeor.com/forensics.html
§ Diego Gonzalez (Links interesantes)
http://www.dgonzalez.net/secinf
Roger Carhuatocto / Digital Forensics 30

16. Referencias 2
§ Dan Farmer
http://www.fish.com/security
§ Wietse Venema
http://www.porcupine.org/forensics
§ Brian Carrier
http://www.sleuthkit.org
§ Trends & Issues in Crime and Criminal Justice
http://www.aic.gov.au/publications/tandi/index.html
§ FIRST Conference on Computer Security, Incident Handling & Response 2001
http://www.first.org/events/progconf/2001/progs.htm
§ Recovering and Examining - Computer Forensic Evidence
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
§ Federal Guidelines For Searching And Seizing Computers
http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm
§ Reserch reports en @Stake
http://www.atstake.com/research/reports/index.html
Roger Carhuatocto / Digital Forensics 31
Referencias 3
§ Asociaciones Internacionales sobre Computer Forensics
http://www.iacis.com, http://www.htcia.org
§ Importance of a Standard Methodology in Computer Forensics
http://www.sans.org/rr/incident/methodology.php
§ Intrusion Investigation And Post -Intrusion, Computer Forensic Analysis
ftp://ftp.net.ohio-state.edu/pub/users/romig/other-
papers/intrusion%20investigation.doc
§ National Software Reference Library (NSRL) Project
http://www.nsrl.nist.gov
§ Computer Forensics Tool Testing (CFTT) Project
http://www.cftt.nist.gov
§ Open Source Software As A Mechanism T o Assess Reliability For Digital Evidence
http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html
§ September 2000 Market Survey, Computer Forensics
http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html
Roger Carhuatocto / Digital Forensics 32

17. Agradecimientos
Mossos d’Esquadra
Unitat de Delictes en
Tecnologies de la
Informació
Guardia Civil
Grupo de Delitos
Telemáticos
Roger Carhuatocto / Digital Forensics 33