You are on page 1of 29

Zacarias Leone

| Director | ZL-SSC Security Senior Consultant C.E.H. | C.H.F.I. Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar zl@zacariasleone.com.ar

| Partner | ZL-SSC Computer Forensic Investigator Centro Empresarial Real Av. Victor A. Belaunde 147, via principal 140 Edificio Real Seis, Pisos 6 y 7 Lima – Perú www.zacariasleone.com.ar e-mail : jemf2@hotmail.com Celular : 995882802

Juan Milian Flores

Sumário

• Introducción • Procedimiento Forense Informático

• Evidencia Digital
• Ciclo de vida de la Evidencia • Análisis Forense Informático Conclusión

criminales y de comportamiento social para que no se comentan injusticias contra cualquier miembro de la Sociedad. recoger. Ciencia Forense: Ciencia de encontrar. 1990). Informatica Forense: Es una rama de la Ciencia Forense en relacion a las evidencias legales halladas en computadoras y/o medios de almacenamiento legal. analizar y preservar evidencias que sean admisibles en un tribunal u otros ambientes legales. Se hadhiere a las normas de pruebas admisibles en un Tribunal de Justicia.Introducción Análisis Forense: Es la aplicación de principios de las ciencias físicas en derecho y búsqueda de la verdad en cuestiones civiles. (Manual de Patología Forense del Colegio de Patologistas Americanos. .

Procedimiento Forense Informático Que es un procedimiento forense ? Es la metodología detallada utilizada por el Investigador con la finalidad de obtener las evidencias para su posterior análisis y entrega a la justicia .

Procedimiento Forense Informático Etapas del Procedimiento Forense • Identificación • Recolección o adquisición de evidencias • Preservación de evidencias (física y lógica)‫‏‬ • Análisis de evidencias • Presentación de resultados “El análisis forense computacional produce informaciones directas y no interpretativas” .

• Etc.Procedimiento Forense Informático A que se enfrenta un Investigador Forense? • La Alteración de la evidencia por falta de protección • Falta de logs por no estar configurados (o mal configurados)‫‏‬ • La NO conservación de los equipos • Manipulación de los Medios Originales • Falta de recursos adecuados. “El Investigador debe asegurarse que sea posible repetir la pericia tantas veces como el juzgado lo requiera obteniendo los mismos resultados” .

Procedimiento Forense Informático El Investigador Forense debe plantearse preguntas como: ¿Quién realizó la intrusión? ¿Cual pudo ser su interes? ¿Cómo entró en el sistema el atacante? ¿Qué daños ha producido en el sistema o que información se llevó? .

Dvd. es todo aquel elemento que pueda almacenar información de forma física o lógica que pueda ayudar a esclarecer un caso. Cd-rom. Pueden formar parte: • Discos rígidos . • Pen drives • Cámaras digitales • Backups . HD • Archivos temporales .temp • Espacios no asignados en el disco • Diskettes. Zip.Evidencia Digital Qué es la Evidencia Digital ? La Evidencia Digital. etc. *.

Evidencia Digital Debemos tener en cuenta que : La Evidencia Digital es : • Volatil • Duplicable • Borrable • Reemplazable .

Evidencia Digital Principios para la Recolección de Evidencias RFC 3227 • Orden de volatilidad • Cosas a evitar • Consideraciones relativas a la privacidad de los datos • Consideraciones legales • Procedimiento de recolección • Transparencia • Pasos de la recolección • Cadena de custodia • Como archivar una evidencia • Herramientas necesarias y medios de almacenamiento de éstas .

• Permitida Legalmente: fue obtenida de manera legal. • Preservada: no ha sido dañada o destruida. • Confiable: no ha sido alterada o modificada. • Identificada: ha sido claramente etiquetada.Evidencia Digital Admisibilidad de la Evidencia La evidencia debe ser/ estar: • Relevante: relacionada con el crimen bajo investigación. .

• Direct evidence – prueba o invalída un acto específico a través del un testimonio oral. . sobrepasa todo otro tipo de evidencia. no es copia.Evidencia Digital Tipos de Evidencia • Best evidence – evidencia primaria u original. • Conclusive evidence – indiscutible. • Secondary – copia de evidencia primaria.

Evidencia Digital Ciclo de Vida de la Evidencia Garantiza la seguridad. preservación e integridad de los elementos probatorios colectados en el Lugar de los Hechos. . con una especial atención a las condiciones ambientales (temperatura.)‫‏‬ protegiéndolo del deterioro biológico o físico. humedad. Finalidad Demostrar que la Evidencia presentada ante las Autoridades correspondientes. es la misma que se obtuvo en el Lugar de los Hechos. También hace referencia al mantenimiento y preservación adecuada de los elementos de prueba. estos deben guardarse en un lugar seguro. luz etc.

• Preservación. • Devolución de la evidencia a su dueño. . • Identificación (etiquetado). • Evitar la destrucción de los equipos (degaussing). • Protección. • Almacenamiento en un ambiente adecuado. • Recolección de todos los medios de almacenamientos relevantes. • Generación de una imágen del HD antes de desconectar la computadora. • Protección de los medios magnéticos contra borrado. • Registración. • Recolección. • Transportación. • Presentación ante la corte. • Impresión de pantallas.Evidencia Digital Ciclo de Vida de la Evidencia • Descubrimiento y Reconocimiento.

Se debe elaborar un plan de trabajo (Inteligencia)‫‏‬ 3. Se realiza el análisis de las evidencias obtenidas 7. Se da comienzo a la CADENA DE CUSTODIA 6. Se deben realizar las copias correspondientes 5.Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 1. Presentación del Acta . Surge un pedido de un juzgado o cliente en particular 2. Se realiza el procedimiento del “Secuestro de evidencias” 4. Se escribe el Acta en presencia del Fiscal 8.

sus costumbres. pues en el lugar un Investigador Forense Informático puede no solo obtener el perfil psicológico a través de evidencias digitales sino que tambien se pueden obtener excelentes indicios con solo observar el lugar en donde convivían.Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 2. denominada (CAMPO) en vez de llevarla al LABORATORIO. etc. Se debe elaborar un plan de trabajo (Inteligencia)‫‏‬ El plan de trabajo (icia previa) es realizar la recolección y análisis de evidencias en el lugar donde se produjo el hecho. sus gustos. “Se utiliza ingeniería social aplicada a la Ciencia Forense” .

• Anotar fechas y horas • Precintar el original • Realizar 3 copias originales de la primer copia • Adquirir en orden de volatilidad • Volátiles y no volátiles . • Presencia de testigos • Escribano • Procedimiento documentado • Adquirir evidencias Bit a Bit del original.Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 3. Se realiza el procedimiento del “Secuestro de evidencias” 4. Se deben realizar las copias correspondientes.

etc . Se da comienzo a la CADENA DE CUSTODIA • Quien a accedido a la evidencia ? • Que procedimientos se han seguido mientras se trabajaba con la evidencia ? • Como podemos demostrar que nuestro análisis fue realizado sobre copias idénticas del original ? • Acta – Firma digital – Hashes – Time Stamps.Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 5.

Se realiza el análisis de las evidencias obtenidas Técnicas para pericias • Auditoria de Logs de las aplicaciones del sistema • Análisis de archivos y directorios eliminados • Visualización del contenido de archivos sospechosos • Fechas de archivos accedidos. alterados y eliminados • Sequencia de eventos • Efectuar análisis físico y lógico en cima de los datos levantados en las etapas antecesoras sin alterar el contenido original.Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6. .

Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6. • El análisis es realizado sobre la imagen pericial o en la copia restaurada de las pruebas. . Se realiza el análisis de las evidencias obtenidas Análisis físico y lógico • Son investigados los datos brutos del equipo de almacenamiento. • Datos comunmente investigados: • Todas las URL encontradas en el sistema • Todas las direcciones de E-mail encontradas • Todas las ocurrencias de búsquedas de secuencia con palabras sensibles según perfil psicológico obtenido en el CAMPO del los hechos o bien luego de la ICIA del o los presuntos criminales.

Se realiza el análisis de las evidencias obtenidas Análisis de Logs • Para rastrear los casos es importante que el profesional actúe como lo haría el posible cibercriminal y no vea los datos como un simple usuario o administrador • Para ello. es necesario que el reconstruya los historicos de • Usuarios • Procesos • Situación de la Red • Accesos a determinados servicios • Etc. .Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6.

Se realiza el análisis de las evidencias obtenidas Herramientas de Investigación y análisis Forense Autopsy Forensic Browser .Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6.

Se realiza el análisis de las evidencias obtenidas Herramientas de Investigación y análisis Forense EnCase Software .Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6.

Se realiza el análisis de las evidencias obtenidas Herramientas de Investigación y análisis Forense RoadMaSSter-II (Portable Forensic Evidence Laboratory)‫‏‬ Israel Technology .Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 6.

preservación y análisis de las evidencias. • Antecedentes y calificación del profesional que realizó la adquisición. Presentación del Acta • Al Juzgado. • Utilización de herramientas autorizadas para tal función. • La credibilidad del procedimiento realizado.Análisis Forense Informático PROCESO GENERAL FRENTE A UN CASO 7. el cliente. a la Corte. etc. . Se escribe el Acta en presencia del Fiscal 8. • La aceptación de la mísma dependerá de: • Forma de presentación.

.Servicios de Informática Forense El análisis e investigación forense informática “NO SOLO” se aplica una vez que tenemos un incidente o se pretende investigar que fue lo que pasó. quien fue y como.

• Las metodologías de análisis Forense Informático están siendo adoptadas por las organizaciones privadas. etc. para sus investigaciones.Conclusión • Los incidentes de seguridad informática suceden y cada vez se vuelven más complejos tecnológicamente. . • Hoy en día existen herramientas y metodologías que nos permiten poder llegar a prevenir y resolver casos de los más complejos en tecnología e inteligencia. organismos gubernamentales.

Conclusión FORENSE INFORMÁTICO 50% (Factor Humano) 50% (Factor Informático) … Solo uno falla y tendremos un 50% de probabilidades a sufrir algún tipo de ataque … ¿ Cuan seguro usted se encuentra ? .

GRACIAS Zacarias Leone | Director | ZL-SSC Security Senior Consultant C.ar e-mail : jemf2@hotmail.E. 4° Piso C1001AFB Capital Federal .ar zl@zacariasleone.: +54 11 4590 2320 Fax.zacariasleone. via principal 140 Edificio Real Seis.com.com.ar | Partner | ZL-SSC Computer Forensic Investigator Centro Empresarial Real Av. | C.H. Victor A.Argentina www.zacariasleone. Tel.: +54 11 4590 2201 Edificio Laminar Plaza Ing° Butty 240.com. Belaunde 147.com Celular : 995882802 Juan Milian Flores . Pisos 6 y 7 Lima – Perú www.F.H.I.