El documento proporciona una introducción al área de la forensia digital. Explica que la forensia digital involucra el proceso de identificar, preservar, analizar y presentar evidencia digital de manera legalmente aceptable para propósitos legales como investigaciones de intrusión o fraude. También describe los cuatro pasos clave del proceso de forensia digital: 1) identificar la evidencia, 2) preservar la evidencia de manera adecuada, 3) analizar la evidencia extraída, y 4) presentar los resultados de manera que sean

1. Digital Forensics CIASFI Congreso Iberoamericano de Auditoría, Seguridad y Forensia Informática 22-24 Abril del 2004 Roger Carhuatocto Rcarhuatocto[at]escert.upc.es (v1.4)

2. Presentación Ingeniero de Sistemas(UNI, Perú), Master en Seguridad en las Tecnologías de la Información (Ramón Lllull, España), Consultor Independiente especializado en Seguridad Informática. Colaborador: Universidad Politécnica de Catalunya (UPC): Proyectos I+D esCERT-UPC: Gestión de Incidentes, Forensics y Formación Proyectos Independientes Opensource/FreeSoftware en www.intix.info INTIX-PKI: Distro Linux con PKI µ INTIX-PKI: Distro Linux con PKI Minimalístico CP4DF: Código de prácticas para Digital Forensics Revista Mozilla Links, en temas de seguridad

3. Definiciones 1 RAE U 1992. (Pag:478,3) http://www.rae.es RAE U 1992. (Pag:655,1) http://www.rae.es

4. Definiciones 2 RAE U 1992. (Pag:1119,1) http://www.rae.es RAE U 1992. (Pag:660,2) http://www.rae.es

5. Definiciones 3 CERT: Computer Emergency Response Team IRT: Incident Response Team Forensic computing Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology Informática forense Forensic computing Computer forensics Digital forensics Sólo difiere en el tema tecnológico Medios o dispositivos electrónicos, comunicaciones Se busca pistas diferentes

6. Para qué? Cómo entraron Cuándo Para qué Quién Costo de los daños Soporte amplio al incidente Requerimiento legal Soporte al proceso judicial “ Modus operandi”, modos de operar de diferentes puntos de vista

7. Qué no cubre? Seguimiento, captura o identificar a perpetradores Negociar con cuerpos policiales, juzgados, TELCOs

8. Escenarios Entornos donde se podría realizar investigaciones: Intrusión a sistemas informáticos Web defacement Uso no autorizado de equipo informático coorporativo Wireless? Contenidos ilícitos Pornografía infantil: CDs, P2P, Internet Amenzas Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs Fraudes Estafas Propiedad intelectual Etc.

9. El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros

10. El proceso: actual Técnico Sistemas informáticos: dinámicos, grandes, distribuidos, etc. Se puede ocultar información Muy poco conocimiento técnico, la tecnología avanza Herramientas existen pero no son globales: opensource, privadas Obtener información es fácil, no el análisis Almacenamiento Legal Tecnología avanza y se adapta, leyes cambian lentamente Procesos judiciales son lentos en comparación con cambios en la Tecnología Protocolo. La presentación de la evidencia debe reunir características especiales Sustentar el informe sobre evidencia admitida Organizacional Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc.

11. El proceso: cómo debe ser cuando sucede Determinar origen y tamaño de intrusión Protección de información sensitiva en sistemas Protección de los sistemas, redes y su capacidad para seguir funcionado Recuperación de sistemas Colección de información de manera consistente con TERCERA parte legal Proveer soporte a las investigaciones

12. El proceso: ser proactivo Políticas de seguridad Plan de respuesta para incidentes de seguridad Plan de informática forense Plan para detección de incidentes Determinar equipo con recursos y autoridad para actuar Implementar procedimientos para diferentes situaciones y amenazas Con regularidad revisar políticas y procedimientos Proteger Preservar Notificar Sistemas Información Contener intrusión Sistemas y logs aceptablemente legal A tu CERT Administración CERT Cuerpo Policial

13. El forense informático: requerimientos 1 1/3 Técnico: Conocimiento técnico Implicaciones técnicas de acciones Comprensión de cómo la información puede ser modificada Perspicaz Mente abierta y taimado Ético Continua formación Conocimiento de historia: casos pasados, vulnerabilidades, etc. Uso de fuentes de datos redundantes

14. 1/3 Legal Conocimiento de aspectos legales España es diferente: LOPD, LSSI, ?? Protocolo de gestión de evidencia El forense informático: requerimientos 2 Admisible Auténtico Completo Confiable Creíble 1/3 Operacional, no todos los desafíos son de naturaleza tecnológica Gestión de recursos Políticas y procedimientos Entrenamiento Cambios organizacionales

15. Los cuatro principios, surge de la definición de computer forensics El forense informático: proceso investigación 4 Presentar 3 Analizar 2 Preservar 1 Identificar

16. El forense informático: lemas Rapidez es la esencia, pero no llegar a extremos Volatilidad de la evidencia Cualquier cosa que se hace a un sistema lo altera Principio de Incertidumbre de W. Heinsenberg - 1927 Nunca confiar en el sistema Rootkits Considerar siempre tus políticas Admitir las fallas Preparado para sorpresas Documentar

17. El proceso: (1) Identificar Qué evidencia hay Dónde está Cómo está almacenada El objetivo: determinar que proceso será empleado para facilitar la recuperación Ejm.: Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. 4 3 2 1

18. El proceso: (2) Preservar Etapa crítica Orden de volatilidad Cadena de custodia Evitar cambios posibles y si no se logra, registrarlo y justificarlo 4 3 2 1

19. El proceso: (2) Preservar Volatilidad de evidencia Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil De Farmer & Venema – http://www.porcupine.org Registers, peripheral memory, caches Memory (virtual, physical) Network state Running processes Disks, floppies, tapes CD/ROM, printouts 4 3 2 1

20. “ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” En la informática forense: Examinar o coleccionar una parte del sistema alterará otros componentes Es imposible capturar completamente un sistema completo en un punto en el tiempo Si no se puede evitar el cambio, entonces documentarlo y justificarlo El proceso: (2) Preservar: Principio de Heinsenberg 4 3 2 1

21. El proceso: (2) Preservar: Cadena de custodia Registro de todas las operaciones sobre la evidencia Disponible El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial Ciclo de vida de la Evidencia Cadena de custodia 4 3 2 1 4 Presentar 3 Analizar 2 Preservar 1 Identificar

22. El proceso: (2) Preservar: diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Power Off What Was The point?  Make Images Back @ lab, Analyze Copies, Reconstruct Computers, Analyze “ artifacts” Investigate online, run “ last”, etc. NO NO NO YES YES YES 4 3 2 1 Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació

23. El proceso: (2) Preservando Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal 1. Copiar 2. Generar checksums de copias y originales 3. Verificar checksums 4. Time stamping Estampar sello de tiempo a checksums Fecha checksum = Fecha de copia = Fecha documento 5. Documente: quién, dónde, cuándo, por qué 6. Dar copia a custodio Custodio da copias a otros investigadores Documenta cadena de custodia Pocos custodios, pocos testificantes 4 3 2 1

24. El proceso: (3) Analizar Extrae: Puede dar algo no humanamente legible Procesa: Lo hace humanamente legible Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas 4 3 2 1

25. El proceso: (3) Analizando Estado de arte del análisis Usar metodología: receta de cocina + experiencia Recomendaciones: Correlacionar logs: por IP, por tiempo Sincronización: Tiempo de sincronización Tiempo de zona Retraso de eventos Orden cronológico de eventos Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros 4 3 2 1

26. El proceso: (3) Analizar: resultados Gestión de versiones de documentos/bitácoras Reconstrucción cronológica de eventos Diagramas: estático y dinámico 4 3 2 1

27. El proceso: (4) Presentar Implica la presentación a: A la administración Fuerza de la ley Abogados En procesos judiciales Incluye la manera de la presentación, contenido y legibilidad Se sustenta el proceso empleado para obtener la evidencia La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida , la falla en ello puede causar que la evidencia sea inadmisible La experiencia y habilidades están en juego 4 3 2 1

28. El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 Denuncia – Conocimiento delito público Recogida de evidencias del delito (inspección ocular, asegurar el escenario, etc.) Búsqueda de información y referencias identificativas Resolución de “datos de tráfico” y referencias identificativas Identificación y localización Vigilancia Interceptación Registro e incautación Análisis forense de sistema y soportes intervenidos Informe policial incriminatorio IDENTIFICACIÓN Qué ha pasado? Cómo lo ha hecho INVESTIGACIÓN Quién lo ha hecho? INCRIMINACIÓN ? 4 Presentar 3 Analizar 2 Preservar 1 Identificar Guardia Civil Grupo de Delitos Telemáticos

29. Iniciativas 1 Buenas prácticas para Informática Forense, herramientas Dar soporte a todos los involucrados en el proceso, no sólo técnicas, no específicas. Debe ser estándar, es necesario apoyo de todos Para que sea válido e irrefutable Abierto, libre (auto certificable) Multi/Inter-operable Apoyo de todos: comunidad, institucional Herramientas de soporte al proceso: auditables, confiables, íntegros Educación a todos los niveles y a todos los actores en el proceso

30. Iniciativas 2 Comunidad Honeynet in Spanish http://his.sourceforge.net (Todo sobre honeynets en castellano) Análisis Forensics en Castellano (Técnicas de análisis forense) http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics Códigos de prácticas en Digital Forensics http://cp4df.sourceforge.net Foros CriptoRed (España) Pericia Forense (Brasil) HackMate (Argentina) PenTest (Yahoo Groups) CFTT (Yahoo Groups) Linux Forensics (Yahoo Groups)

31. Referencias 1 Ley Especial contra Delitos Informáticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm Ley que Incorpora Los Delitos Informáticos al Código Penal (Perú) http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf Senado - Comisión Especial sobre Redes Informáticas (España) http://www.senado.es/comredinf Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia (Cataluña-España) http://www.gencat.net/dji Policia Nacional Española (Delito Informático) http://www.mir.es/policia/bit/legisla.htm Ex-Inspector BIT - PN : Antonio López Melgarejo (Ciberdelito: Investigación criminal y proceso penal) http://www.uoc.edu/in3/dt/20076 David Barroso (Links interesantes) http://voodoo.somoslopeor.com/forensics.html Diego González (Links interesantes) http://www.dgonzalez.net/secinf

32. Referencias 2 Dan Farmer http://www.fish.com/security Wietse Venema http://www.porcupine.org/forensics Brian Carrier http://www.sleuthkit.org Trends & Issues in Crime and Criminal Justice http://www.aic.gov.au/publications/tandi/index.html FIRST Conference on Computer Security, Incident Handling & Response 2001 http://www.first.org/events/progconf/2001/progs.htm Recovering and Examining - Computer Forensic Evidence http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm Federal Guidelines For Searching And Seizing Computers http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm Reserch reports en @Stake http://www.atstake.com/research/reports/index.html

33. Referencias 3 Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com , http://www.htcia.org Importance of a Standard Methodology in Computer Forensics http://www.sans.org/rr/incident/methodology.php Intrusion Investigation And Post-Intrusion, Computer Forensic Analysis ftp://ftp.net.ohio-state.edu/pub/users/romig/other-papers/intrusion%20investigation.doc National Software Reference Library (NSRL) Project http://www.nsrl.nist.gov Computer Forensics Tool Testing (CFTT) Project http://www.cftt.nist.gov Open Source Software As A Mechanism To Assess Reliability For Digital Evidence http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html September 2000 Market Survey, Computer Forensics http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html

34. Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació