El documento describe la importancia de la forensia digital como una disciplina para enfrentar intrusos informáticos y garantizar la verdad de la evidencia digital. La forensia digital se encarga de adquirir, preservar, obtener y presentar datos electrónicos de forma que puedan usarse en procesos legales. Incluye objetivos como compensar daños, perseguir criminales y prevenir futuros delitos mediante el análisis de evidencia digital en computadoras.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Trabajo de investigación del tema de computo forense, realizado por alumnos de la Universidad Autónoma de Baja California de la Facultad de Derecho, Campus Tijuana.
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
La INFORMÁTICA FORENSE es la encargada de analizar sistemas informáticos para localizar evidencias que sirvan de pruebas. Y así poder realizar una causa judicial o una negociación extrajudicial sobre sucesos relacionados con delitos informáticos.
3. Introducción
• El constante reporte de vulnerabilidades en sistemas de
información, el aprovechamiento de fallas bien sea
humanas, procedimentales o tecnológicas sobre
infraestructuras de computación en el mundo, ofrecen un
escenario perfecto para que se cultiven tendencias
relacionadas con intrusos informáticos.
• La Forensia digital hace entonces su aparición como una
disciplina auxiliar de la justicia moderna, para enfrentar los
desafíos y técnicas de los intrusos informáticos, así como
garante de la verdad alrededor de la evidencia digital que
se pudiese aportar en un proceso.
4. Según el FBI, la forensia digital es la ciencia de adquirir, preservar, obtener y presentar
datos que han sido procesados electrónicamente y guardados en un medio
computacional.
Desde 1984, el Laboratorio del FBI y otras agencias que
persiguen el cumplimiento de la ley empezaron a desarrollar
programas para examinar evidencia computacional.
Forensia Digital
5. Objetivos de la Forensia Digital
1. La compensación de los daños causados por los
criminales o intrusos.
2. La persecución y procesamiento judicial de los
criminales.
3. La creación y aplicación de medidas para prevenir
casos similares.
6. • Persecución Criminal: Evidencia incriminatoria puede ser usada para
procesar una variedad de crímenes, incluyendo homicidios, fraude
financiero, tráfico y venta de drogas, evasión de impuestos o pornografía
infantil.
• Litigación Civil: Casos que tratan con fraude, discriminación, acoso,
divorcio, pueden ser ayudados por la informática forense.
• Investigación de Seguros: La evidencia encontrada en computadores,
puede ayudar a las compañías de seguros a disminuir los costos de los
reclamos por accidentes y compensaciones.
• Temas corporativos: Puede ser recolectada información en casos que
tratan sobre acoso sexual, robo, mal uso o apropiación de información
confidencial o propietaria, o aún de espionaje industrial.
• Mantenimiento de la ley: La informática forense puede ser usada en la
búsqueda inicial de órdenes judiciales, así como en la búsqueda de
información una vez se tiene la orden judicial para hacer la búsqueda
exhaustiva.
Importancia de la Forensia Digital
7. Esta conjunción de palabras establece un profesional que
entendiendo las operaciones de las redes de computadores, es
capaz, siguiendo los protocolos y formación criminalística, de
establecer los rastros, los movimientos y acciones que un
intruso ha desarrollado para concluir su acción.
Network Forensics
8. Evidencia Digital
• Se define la evidencia de digital como cualquier
dato que puede establecer que un crimen se ha
ejecutado o puede proporcionar una enlace (link)
entre un crimen y su víctima o un crimen y su autor.
• Cualquier información, que sujeta a una
intervención humana u otra semejante, ha sido
extraída de un medio informático.
9. Puntos Importantes de la Evidencias Digital
• A diferencia de la documentación en papel,
la evidencia computacional es frágil y una
copia de un documento almacenado en un
archivo es idéntica al Original.
• Otro aspecto único de la evidencia
computacional es el potencial de realizar
copias no autorizadas de archivos, sin
dejar rastro de que se realizó una copia.
10. Puntos Importantes de la Evidencias Digital
• Debe tenerse en cuenta que los datos
digitales adquiridos de copias no se
deben alterar de los originales del disco,
porque esto invalidaría la Evidencia.
• Las personas involucradas en el crimen
intentan manipular y alterar la evidencia
digital, tratando de borrar cualquier rastro
que pueda dar muestras del daño.
11. Configuración en los Sistemas Operativos
• Windows.
• El Visor de Sucesos.
• El Visor de Servicios
• Directiva de Seguridad local
12. • UNIX
Configuración en los Sistemas
Operativos
/var/log/messages Contiene los mensajes generales del sistema
/var/log/secure Guarda los sistemas de autenticación y seguridad
/var/log/wmtp Guarda un historial de inicio y cierres de sesión pasadas
/var/run/utmp Guarda una lista dinámica de quien ha inicia-do la sesión
/var/log/btmp Guarda cualquier inicio de sesión fallido o erróneo (sólo
para Linux)
13. Características que poseen las Evidencias
Digitales
• La evidencia de Digital puede ser duplicada de forma
exacta y se puede sacar una copia para ser examinada.
• Actualmente, con las herramientas existentes, se muy fácil
comparar la evidencia digital con su original.
14. • La evidencia de Digital es muy difícil de
eliminar. Aún cuando un registro es borrado
del disco duro del computador.
• Cuando los individuos involucrados en un
crimen tratan de destruir la evidencia.
Características que poseen las
Evidencias Digitales
15. Clasificación de la Evidencia
Digital
• Registros Generados por computador: Estos
registros son aquellos, que como dice su
nombre, son generados como efecto de la
programación de un computador.
16. • Registros no generados sino simplemente
almacenados Estos registros son aquellos
generados por una persona, y que son almacenados
en el computador.
Clasificación de la Evidencia Digital
17. • Registros híbridos: son aquellos que combinan
afirmaciones humanas y logs.
Clasificación de la Evidencia Digital
18. Protección de la Evidencia
• El plástico / bolsas de papel .
• Caja de la computadora sellada con cinta adhesiva .
• Los dispositivos con memoria no volátil debe estar correctamente
embalado para que por el poder que se mantenga el dispositivo.
Cuidados Específicos: Se debe tomar con el
transporte de material de evidencia
digital, para evitar daños físicos, las vibraciones, y los efectos de
los campos magnéticos, eléctricos estáticos, y grandes
variaciones de temperatura y humedad.
19. Equipo de Preparación
Esta sección se refiere al software y Hardware utiliza para llevar a
cabo la proyección de imagen forense o el análisis de las pruebas.
• El equipo debe ser controlado y documentado para asegurar su
correcto funcionamiento .
• Sólo adecuada y que el equipo de operación se ser empleado.
• El manual del fabricante de operación y otros documentos
pertinentes para cada pieza del equipo debe ser accesible.
20. Imágenes Forense
• Documentar el Estado Actual de las pruebas.
• Evitar la exposición a las pruebas, para que se han
contaminadas con sustancias peligrosas o
materiales peligrosos.
• Se debe utilizar hardware o Software de
Bloqueadores de escritura con el fin de evitar que
la evidencia pueda ser modificada.
• Evidencia Digital presentada para un examen debe
mantenerse de tal manera que la integridad de los
datos se conserve.
21. Documentación Forense
Documentación de evidencia de manipulación debe incluir:
• Copia de la Autoridad Legal.
• Cadena de custodia.
• El recuento inicial de prueba para ser examinados .
• Información relativa a los envases y el estado de la
evidencia sobre la recepción por parte del examinador .
• Descripción de las pruebas
• Comunicación sobre el caso.
22. Laboratorios Forense
RCFLs examinar las pruebas digitales en todo tipo de casos penales y de
seguridad nacional. Y los casos provienen de una variedad de agencias del
orden público en el nivel local, estatal y federal.
23. Espacios adicionales para Investigación
Dependiendo de los procedimientos y las políticas de investigación en la sección del
análisis forense digital, las siguientes funciones podrían ser incorporadas en el diseño de
laboratorio:
Equipo de recuperación de datos
Reparación de disco duro
Laboratorio Electrónico
Taller Electrónico
Seguridad de Biotecnología
Todas estas funciones, con excepción de la materia de Seguridad Biotecnológica puede
llevarse a cabo en el laboratorio General. Sin embargo, en los laboratorios con una mayor
carga de trabajo, puede ser práctico diseñar espacios dedicados a una o más de estas
funciones.
24. Conclusión
• La forensia digital es la respuesta natural del
entorno digital y de la sociedad de la información
para responder a la creciente ola de incidentes,
fraudes y ofensas (en medios informáticos y a
través de medios informáticos) con el fin de
enviar un mensaje claro a los intrusos: estamos
preparados para responder a sus acciones y
continuamos aprendiendo para dar con la
verdad de sus acciones.
25. Bibliografía
• To Build a Digital Forensic Lab or Not To Build -
http://www.forensicmag.com/print/99
• Computer Forensics Lab Certification Requirements, by Eileen Rivera -
http://www.ehow.com/about_5502660_computer-forensics-lab-certification-
requirements.html
• Digital Forensics: Architectural and Engineering Facility Design Requirements -
http://www.forensicmag.com/print/4883
• Digital forensic labs need accreditation - http://www.itweb.co.za/index.php?
option=com_content&view=article&id=41964:digital-forensic-labs-need-
accreditation&tmpl=component
• American Society of Crime Laboratory Directors (ASCLD) and its Laboratory
Accreditation Board (ASCLD/LAB) -
http://www.forensicmag.com/webinar/what-you-need-know-about-lab-
accreditation-and-mra-process