Computación Forense

13,599 views
13,194 views

Published on

Aquí se encuentran los principios de la computación forense

Published in: Technology
1 Comment
4 Likes
Statistics
Notes
No Downloads
Views
Total views
13,599
On SlideShare
0
From Embeds
0
Number of Embeds
427
Actions
Shares
0
Downloads
656
Comments
1
Likes
4
Embeds 0
No embeds

No notes for slide

Computación Forense

  1. 1. Computación Forense<br />José Ebert Bonilla O. MSc.<br />08 de Noviembre de 2009<br />Computacion Forense<br />José Ebert Bonilla O MSc.<br />
  2. 2. Principios de Computación Forense<br />Computación Forense<br />Computación Forense - José Ebert Bonilla, MS.c<br />
  3. 3. Ataques<br />El RFC 2828 define ataque de la siguiente forma<br />Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir un acto inteligente y derivado (especialmente en el sentido de método o técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema.<br />
  4. 4. Mitos e ideas falsas<br />Los ciber criminales son expertos en computadores y con alta habilidad tecnica<br />Los ciber criminales tienen un IQs superior al normal<br />Todos los ciber criminales son introvertidos<br />Los ciber criminales nunca son violentos<br />Los ciber criminales no son reales criminales<br />Los ciber criminales se ajustan a un perfil predeterminado<br />
  5. 5. Criminalistica<br />Termino de lujo para las ciencias forenses<br />Ciencia Forense<br />La aplicación de la ciencia en las leyes penales y civiles que son aplicadas por las agencias policiales en los sistemas de justicia.<br />Pensar como Sherlock Holmes!! <br />
  6. 6. Forense<br />Es el proceso mediante el cual se hace uso del conocimiento específico para la recolección, análisis y presentación de evidencias a una corte. <br />La palabra forense significa “traer a la corte”. <br />Lo forense esta relacionado en primera instancia con la recuperación y análisis de evidencias latentes. <br />Computación Forense - José Ebert Bonilla, MS.c<br />
  7. 7. Historia de lo forense y de la Computación Forense<br />08 de Noviembre de 2009<br />Recolección de evidencia digital<br />José Ebert Bonilla<br />
  8. 8. Ciencia Forense<br />La ciencia forense proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: <br />cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense <br />Computación Forense - José Ebert Bonilla, MS.c<br />
  9. 9. Computación Forense - José Ebert Bonilla, MS.c<br />Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas. <br />Aplicando un método científico (esto implica que hay una investigación rigurosa), analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis, lo que puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir; esto es debido a que un investigador forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada. <br />Por tanto, sólo puede presentar posibilidades basadas en la información limitada que posee.<br />
  10. 10. Principio de Locard<br />
  11. 11. Principio de Locard<br />
  12. 12. Principio de Locard<br />Este principio fundamental dice que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y viceversa (se lleva consigo); en otras palabras: “cada contacto deja un rastro”<br />
  13. 13. Evidencias Físicas<br />Evidencia transitoria<br />Evidencia curso o patrón <br />Evidencia condicional <br />Evidencia transferida<br />
  14. 14. Evidencia transferida<br />Transferencia por rastro: <br />aquí entra la sangre, semen, pelo, etc.<br />Transferencia por huella: <br />huellas de zapato, dactilares, etc.<br />
  15. 15. Componentes de una escena de crimen<br />la escena del crimen<br />la víctima<br />la evidencia física<br />el sospechoso<br />Para la correcta resolución del caso, el investigador forense debe establecer la relación que existe entre los componentes. <br />
  16. 16. Computación Forense<br />
  17. 17. Computación Forense - José Ebert Bonilla, MS.c<br />
  18. 18. Definición de computación forense<br />“la colección y análisis de datos provenientes de un sistema de computo, una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal manera que es admisible en un tribunal de derecho. Es emergente de las disciplinas de las ciencias de la computación y el derecho”. <br />
  19. 19. Contexto de la computación forense<br /><ul><li>Homeland Security
  20. 20. Information Security
  21. 21. Corporate Espionage
  22. 22. White Collar Crime
  23. 23. Child Pornography
  24. 24. Traditional Crime
  25. 25. Incident Response
  26. 26. Employee Monitoring
  27. 27. Privacy Issues
  28. 28. ????</li></ul>Digital Forensics<br />Computer Forensics<br />
  29. 29. Sus inicios<br />Desde 1984, el laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional<br />En 1989, primera persona procesada<br />En 1991 se establece el primer equipo del FBI<br />En 1996, primera evidencia utilizada en un caso<br />
  30. 30. Ciencias Forenses Vs. Ciencias de la Computación<br />Comprender la existencia de la evidencia en formato digital.<br />Asegurar la integridad de la evidencia recolectada<br />Comprensión de los computadores y su operación<br />Reconocimiento de la evidencia digital<br />Dónde se encuentra<br />Cómo se encuentra almacenada<br />Cómo se modifica, quién la modifica, quién es su dueño<br />Cantidad de evidencia recolectada<br />Habilidades técnicas y procedimientos forenses<br />El manejo y control de los documentos electrónicos.<br />21<br />
  31. 31. Computación Forense<br />“La digitalización crea riesgos y desafíos en lo legal, técnico y en la estructura social. La capacidad técnica para almacenar, manipular y transmitir todo tipo de datos a alta velocidad a través de una red global digital es actualmente un lugar común en la academia, los negocios y el ambiente social. Al lado de las oportunidades que brinda la “era de la información” hay un crecimiento de conciencia de los serios riesgos y desafíos que propicia este desarrollo digital.<br />BROUCEK, Vlasti; TUNER, Paul. Forensic Computing. Developing a conceptual approach for an emerging academic discipline. School of information Systems. University of Tasmania<br />Recolección de evidencia digital<br />José Ebert Bonilla<br />
  32. 32. Definición de Computación Forense<br />“…es simplemente la aplicación de la investigación en computación y técnicas de análisis con el interés de determinar una potencial evidencia legal. El tipo de evidencia obtenida desde la pesquisa forense puede ser usada en una amplia variedad de investigaciones:<br />Litigios civiles tales como divorcios, hostigamiento, acoso y discriminación<br />Corporaciones que buscan adquirir la evidencia en la malversación, fraude, o los problemas de robo de propiedad intelectual<br />Individuos que buscan la evidencia en la discriminación de edad, terminación injusta de contratos laborales, o demandas de acoso sexual <br />Investigaciones de la compañía de seguros donde se requiere evidencia que relaciona al fraude de seguro, muerte por negligencia de otro, la compensación de obrero, y otros casos que involucran las demandas de seguros.<br />SCHWEITZER , Douglas. Incident Response. Computer Forensic Toolkit. Wiley Publishing Inc. 2003.<br />08 de Noviembre de 2009<br />Recolección de evidencia digital<br />José Ebert Bonilla<br />
  33. 33. Principio de Locard en el contexto de la Computación Forense<br />
  34. 34. Por que la computación forense<br />Hay una gran cantidad de documentos almacenados en medios electrónicos<br />La computación forense asegura la preservación y autenticación de los datos, los cuales son frágiles por su naturaleza y fácilmente alterados y borrados<br />Adicionalmente la computación forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar información invisible al usuario<br />
  35. 35. Por que investigar?<br />Determinar como se efectuó la ruptura del sistema<br />Determinar los daños ocasionados<br />Determinar quien lo hizo<br />Determinación de la línea del tiempo<br />Contribución en el procesamiento judicial<br />
  36. 36. Comunidades<br />Hay al menos tres distintas comunidades que usan computación forense <br />Entidades que aplican la ley<br />Fuerzas militares<br />Industria y Bancos<br />Posiblemente una 4ta – La Academia<br />
  37. 37.
  38. 38. Contribución o influencia de otras áreas<br />Áreas del conocimiento, que desde su perspectiva, contribuyen e influencian directamente la computación forense:<br />Ciencias de la Computación<br />Sistemas operativos<br />Aplicaciones de Software<br />Plataformas de programación<br />lenguajes de programación<br />Seguridad en computadores<br />Leyes<br />Legislación informática<br />Legislación criminal y civil<br />Sistemas de información<br />Gestión y políticas de los sistemas de información<br />Educación de usuarios<br />Ciencias sociales <br />
  39. 39. Actividades de la computación forense<br />Las actividades de computación forense comunes son:<br />La recolección segura de los datos de un computador <br />La identificación de datos sospechosos<br />El examen de datos sospechosos para determinar los detalles tales como origen y su contenido<br />Presentación de información basada en lo encontrado en el computador en una corte<br />La aplicación de las leyes correspondientes a la informáticas de los diferentes países<br />
  40. 40. 31<br />Evidencia Digital Vs Evidencia Física<br />Evidencia Digital<br />Es un tipo de evidencia física, menos tangible que otras formas de evidencia (DNA, huellas digitales, componentes de computadores)<br />Ventajas<br />Puede ser duplicada de manera exacta y copiada tal como si fuese el original.<br />Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.<br />Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.<br />Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios <br />
  41. 41. Evidencia Digital<br />… información y datos con valor investigativo que son almacenados en o trasmitidos a través de dispositivos electrónicos. Tal evidencia es adquirida cuando los datos o los elementos son recopilados y almacenados con propósito de ser examinados. <br />
  42. 42. Evidencia<br />Algo que tiende a establecer o refutar un hecho<br />Qué podría ser potencialmente la evidencia más pequeña utilizable?<br />4bytes<br />Una dirección IP en Hexadecimal<br />
  43. 43. Características de las evidencias digitales<br />En la escena del ilícito esta igualmente presente como una huella digital o el ADN<br />Puede sobrepasa las fronteras con gran facilidad y velocidad<br />Es frágil y fácilmente alterable, dañada o destruida<br />Es altamente sensible al tiempo<br />
  44. 44. Ventajas de la evidencia digital<br />Puede ser duplicada de manera exacta y copiada tal como si fuese el original.<br />Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.<br />Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.<br />Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios <br />
  45. 45. La evidencia digital y la legislación<br />La evidencia es una prueba<br />Corte Constitucional dice :<br />El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso. <br />
  46. 46. La evidencia digital y la legislación<br />La evidencia digital debe cumplir las mimas condiciones de un documento probatorio, estas son:<br />Compuesto por un texto, tenor o contenido. El contenido debe ser relevante en el ámbito jurídico<br />Debe haber un autor, claramente identificado, y que se pueda esclarecer su origen y originalidad<br />Inteligible<br />Carácter de durabilidad o permanencia superior al objeto que representa Transportable<br />
  47. 47. Integridad de la Evidencia<br />Asegurar que la evidencia no ha sido alterada<br />Copias bit a bit<br />Usar “hashes” criptográficos para asegurar la integridad de la evidencia original y sus copias<br />Almacenar en un lugar seguro<br />
  48. 48. Lista de palabras sucias<br />Palabras claves especificas para su caso<br />Listado que se utiliza para buscar en el disco duro<br />Modificado durante la investigación<br />
  49. 49. Imagen<br />Copia bit a bit de la evidencia original recogida de un sistema<br />Puede incluir:<br />Disco duro<br />Memoria<br />Medios removibles<br />
  50. 50. Respuesta a incidentes<br />Enfocado inicialmente a la verificación del incidente<br />Técnicas que enfatizan la recolección de la evidencia digital<br />Minimiza la perdida de datos y evidencias<br />Evitar adicionar datos al sistema<br />Mayores preocupaciones son la recuperación y el tiempo fuera de servicios<br />La preocupación inicial es el tratamiento del incidente para prevenir mayor daño a la evidencia<br />
  51. 51. Análisis de medios<br />Se centra en el procesamiento de copias de la evidencia recopilada en la escena del incidente (pe. Una imagen)<br />No es considerado como recolección de evidencia sino como análisis de la misma<br />Principalmente se usa para encontrar datos específicos concerniente a la actividad criminal<br />Utiliza “máquinas forense” y herramientas automatizadas para examinar gigabytes de datos<br />
  52. 52. Principios del análisis forense<br />Minimizar la perdida de datos<br />Documentar TODO<br />Analizar todos los datos recolectados<br />Reportar los hallazgos<br />
  53. 53. Errores comunes a evitar<br />Adicionar sus propios datos al sistema<br />Afectar procesos del sistema<br />Accidentalmente tocar las líneas del tiempo<br />Utilizar herramientas o comandos no confiables<br />Ajustar el sistema ANTES de la recolección de la evidencia. (apagar, parchar, actualizar)<br />
  54. 54. Problemas para la aceptación de las evidencias digitales<br />Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital.<br />Facilidad de la duplicación y dificultad en la verificación del original<br />Almacenamiento y durabilidad de la información en medios electrónicos. Reconocimiento legal del mismo<br />Identificación problemática del autor de los documentos<br />El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada.<br />La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido.<br />Desconocimiento de las técnicas de intrusión de sistemas.<br />
  55. 55. Técnicas anti forenses <br />Son las técnicas de manipulación, eliminación y/o de ocultamiento de pruebas para complicar o imposibilitar la efectividad del análisis forense.<br />
  56. 56. Ejemplos:<br />Eliminación de información.<br />Borrado seguro de archivos (en forma manual o automática: bombas lógicas).<br />Cifrado u ocultamiento (esteganografía) de archivos.<br />Alteración de archivos (cambio del nombre y/o de la extensión).<br />Técnicas anti forenses <br />
  57. 57. Son contramedidas para contrarrestar las técnicas antiforense. Por ejemplo:<br />Activación de logs de auditoria para el Sistema Operativo, las aplicaciones y los dispositivos.<br />Instalación de IDS´s (aún se los puede burlar cifrando el tráfico que va a analizar el IDS).<br />Implementación de un equipo concentrador de logsque sólo pueda recibir tráfico entrante desde fuentes autorizadas.<br />08 de Noviembre de 2009<br />Recolección de evidencia digital<br />José Ebert Bonilla<br />Técnicas anti forenses <br />
  58. 58. Retos que plantea<br />Retos Legales<br />Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas criminales.<br />Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y originalidad a un documento electrónico.<br />Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas computacionales de protección.<br />Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.<br />Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática. <br />
  59. 59. Retos que plantea<br />Retos Técnicos<br />Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de seguridad en los productos de software y hardware.<br />Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados.<br />Concienciar sobre las responsabilidades jurídicas de los ingenieros:<br />Previsibilidad, debido cuidado y diligencia<br />Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la organización.<br />Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones legales.<br />La computación forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informático.<br />

×