• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Computación Forense
 

Computación Forense

on

  • 10,812 views

Aquí se encuentran los principios de la computación forense

Aquí se encuentran los principios de la computación forense

Statistics

Views

Total Views
10,812
Views on SlideShare
10,554
Embed Views
258

Actions

Likes
2
Downloads
529
Comments
1

9 Embeds 258

http://compuforensic.blogspot.com 141
http://moodle.udes.edu.co 77
http://compuforensic.blogspot.mx 21
http://localhost 8
http://www.linkedin.com 5
http://www.slideshare.net 3
https://compuforensic.blogspot.com 1
http://compuforensic.blogspot.com.ar 1
http://compuforensic.blogspot.com.es 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Computación Forense Computación Forense Presentation Transcript

    • Computación Forense
      José Ebert Bonilla O. MSc.
      08 de Noviembre de 2009
      Computacion Forense
      José Ebert Bonilla O MSc.
    • Principios de Computación Forense
      Computación Forense
      Computación Forense - José Ebert Bonilla, MS.c
    • Ataques
      El RFC 2828 define ataque de la siguiente forma
      Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir un acto inteligente y derivado (especialmente en el sentido de método o técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema.
    • Mitos e ideas falsas
      Los ciber criminales son expertos en computadores y con alta habilidad tecnica
      Los ciber criminales tienen un IQs superior al normal
      Todos los ciber criminales son introvertidos
      Los ciber criminales nunca son violentos
      Los ciber criminales no son reales criminales
      Los ciber criminales se ajustan a un perfil predeterminado
    • Criminalistica
      Termino de lujo para las ciencias forenses
      Ciencia Forense
      La aplicación de la ciencia en las leyes penales y civiles que son aplicadas por las agencias policiales en los sistemas de justicia.
      Pensar como Sherlock Holmes!!
    • Forense
      Es el proceso mediante el cual se hace uso del conocimiento específico para la recolección, análisis y presentación de evidencias a una corte.
      La palabra forense significa “traer a la corte”.
      Lo forense esta relacionado en primera instancia con la recuperación y análisis de evidencias latentes.
      Computación Forense - José Ebert Bonilla, MS.c
    • Historia de lo forense y de la Computación Forense
      08 de Noviembre de 2009
      Recolección de evidencia digital
      José Ebert Bonilla
    • Ciencia Forense
      La ciencia forense proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras:
      cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense
      Computación Forense - José Ebert Bonilla, MS.c
    • Computación Forense - José Ebert Bonilla, MS.c
      Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas.
      Aplicando un método científico (esto implica que hay una investigación rigurosa), analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis, lo que puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir; esto es debido a que un investigador forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada.
      Por tanto, sólo puede presentar posibilidades basadas en la información limitada que posee.
    • Principio de Locard
    • Principio de Locard
    • Principio de Locard
      Este principio fundamental dice que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y viceversa (se lleva consigo); en otras palabras: “cada contacto deja un rastro”
    • Evidencias Físicas
      Evidencia transitoria
      Evidencia curso o patrón
      Evidencia condicional
      Evidencia transferida
    • Evidencia transferida
      Transferencia por rastro:
      aquí entra la sangre, semen, pelo, etc.
      Transferencia por huella:
      huellas de zapato, dactilares, etc.
    • Componentes de una escena de crimen
      la escena del crimen
      la víctima
      la evidencia física
      el sospechoso
      Para la correcta resolución del caso, el investigador forense debe establecer la relación que existe entre los componentes.
    • Computación Forense
    • Computación Forense - José Ebert Bonilla, MS.c
    • Definición de computación forense
      “la colección y análisis de datos provenientes de un sistema de computo, una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal manera que es admisible en un tribunal de derecho. Es emergente de las disciplinas de las ciencias de la computación y el derecho”.
    • Contexto de la computación forense
      • Homeland Security
      • Information Security
      • Corporate Espionage
      • White Collar Crime
      • Child Pornography
      • Traditional Crime
      • Incident Response
      • Employee Monitoring
      • Privacy Issues
      • ????
      Digital Forensics
      Computer Forensics
    • Sus inicios
      Desde 1984, el laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional
      En 1989, primera persona procesada
      En 1991 se establece el primer equipo del FBI
      En 1996, primera evidencia utilizada en un caso
    • Ciencias Forenses Vs. Ciencias de la Computación
      Comprender la existencia de la evidencia en formato digital.
      Asegurar la integridad de la evidencia recolectada
      Comprensión de los computadores y su operación
      Reconocimiento de la evidencia digital
      Dónde se encuentra
      Cómo se encuentra almacenada
      Cómo se modifica, quién la modifica, quién es su dueño
      Cantidad de evidencia recolectada
      Habilidades técnicas y procedimientos forenses
      El manejo y control de los documentos electrónicos.
      21
    • Computación Forense
      “La digitalización crea riesgos y desafíos en lo legal, técnico y en la estructura social. La capacidad técnica para almacenar, manipular y transmitir todo tipo de datos a alta velocidad a través de una red global digital es actualmente un lugar común en la academia, los negocios y el ambiente social. Al lado de las oportunidades que brinda la “era de la información” hay un crecimiento de conciencia de los serios riesgos y desafíos que propicia este desarrollo digital.
      BROUCEK, Vlasti; TUNER, Paul. Forensic Computing. Developing a conceptual approach for an emerging academic discipline. School of information Systems. University of Tasmania
      Recolección de evidencia digital
      José Ebert Bonilla
    • Definición de Computación Forense
      “…es simplemente la aplicación de la investigación en computación y técnicas de análisis con el interés de determinar una potencial evidencia legal. El tipo de evidencia obtenida desde la pesquisa forense puede ser usada en una amplia variedad de investigaciones:
      Litigios civiles tales como divorcios, hostigamiento, acoso y discriminación
      Corporaciones que buscan adquirir la evidencia en la malversación, fraude, o los problemas de robo de propiedad intelectual
      Individuos que buscan la evidencia en la discriminación de edad, terminación injusta de contratos laborales, o demandas de acoso sexual
      Investigaciones de la compañía de seguros donde se requiere evidencia que relaciona al fraude de seguro, muerte por negligencia de otro, la compensación de obrero, y otros casos que involucran las demandas de seguros.
      SCHWEITZER , Douglas. Incident Response. Computer Forensic Toolkit. Wiley Publishing Inc. 2003.
      08 de Noviembre de 2009
      Recolección de evidencia digital
      José Ebert Bonilla
    • Principio de Locard en el contexto de la Computación Forense
    • Por que la computación forense
      Hay una gran cantidad de documentos almacenados en medios electrónicos
      La computación forense asegura la preservación y autenticación de los datos, los cuales son frágiles por su naturaleza y fácilmente alterados y borrados
      Adicionalmente la computación forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar información invisible al usuario
    • Por que investigar?
      Determinar como se efectuó la ruptura del sistema
      Determinar los daños ocasionados
      Determinar quien lo hizo
      Determinación de la línea del tiempo
      Contribución en el procesamiento judicial
    • Comunidades
      Hay al menos tres distintas comunidades que usan computación forense
      Entidades que aplican la ley
      Fuerzas militares
      Industria y Bancos
      Posiblemente una 4ta – La Academia
    • Contribución o influencia de otras áreas
      Áreas del conocimiento, que desde su perspectiva, contribuyen e influencian directamente la computación forense:
      Ciencias de la Computación
      Sistemas operativos
      Aplicaciones de Software
      Plataformas de programación
      lenguajes de programación
      Seguridad en computadores
      Leyes
      Legislación informática
      Legislación criminal y civil
      Sistemas de información
      Gestión y políticas de los sistemas de información
      Educación de usuarios
      Ciencias sociales
    • Actividades de la computación forense
      Las actividades de computación forense comunes son:
      La recolección segura de los datos de un computador
      La identificación de datos sospechosos
      El examen de datos sospechosos para determinar los detalles tales como origen y su contenido
      Presentación de información basada en lo encontrado en el computador en una corte
      La aplicación de las leyes correspondientes a la informáticas de los diferentes países
    • 31
      Evidencia Digital Vs Evidencia Física
      Evidencia Digital
      Es un tipo de evidencia física, menos tangible que otras formas de evidencia (DNA, huellas digitales, componentes de computadores)
      Ventajas
      Puede ser duplicada de manera exacta y copiada tal como si fuese el original.
      Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.
      Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.
      Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
    • Evidencia Digital
      … información y datos con valor investigativo que son almacenados en o trasmitidos a través de dispositivos electrónicos. Tal evidencia es adquirida cuando los datos o los elementos son recopilados y almacenados con propósito de ser examinados.
    • Evidencia
      Algo que tiende a establecer o refutar un hecho
      Qué podría ser potencialmente la evidencia más pequeña utilizable?
      4bytes
      Una dirección IP en Hexadecimal
    • Características de las evidencias digitales
      En la escena del ilícito esta igualmente presente como una huella digital o el ADN
      Puede sobrepasa las fronteras con gran facilidad y velocidad
      Es frágil y fácilmente alterable, dañada o destruida
      Es altamente sensible al tiempo
    • Ventajas de la evidencia digital
      Puede ser duplicada de manera exacta y copiada tal como si fuese el original.
      Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.
      Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.
      Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
    • La evidencia digital y la legislación
      La evidencia es una prueba
      Corte Constitucional dice :
      El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso.
    • La evidencia digital y la legislación
      La evidencia digital debe cumplir las mimas condiciones de un documento probatorio, estas son:
      Compuesto por un texto, tenor o contenido. El contenido debe ser relevante en el ámbito jurídico
      Debe haber un autor, claramente identificado, y que se pueda esclarecer su origen y originalidad
      Inteligible
      Carácter de durabilidad o permanencia superior al objeto que representa Transportable
    • Integridad de la Evidencia
      Asegurar que la evidencia no ha sido alterada
      Copias bit a bit
      Usar “hashes” criptográficos para asegurar la integridad de la evidencia original y sus copias
      Almacenar en un lugar seguro
    • Lista de palabras sucias
      Palabras claves especificas para su caso
      Listado que se utiliza para buscar en el disco duro
      Modificado durante la investigación
    • Imagen
      Copia bit a bit de la evidencia original recogida de un sistema
      Puede incluir:
      Disco duro
      Memoria
      Medios removibles
    • Respuesta a incidentes
      Enfocado inicialmente a la verificación del incidente
      Técnicas que enfatizan la recolección de la evidencia digital
      Minimiza la perdida de datos y evidencias
      Evitar adicionar datos al sistema
      Mayores preocupaciones son la recuperación y el tiempo fuera de servicios
      La preocupación inicial es el tratamiento del incidente para prevenir mayor daño a la evidencia
    • Análisis de medios
      Se centra en el procesamiento de copias de la evidencia recopilada en la escena del incidente (pe. Una imagen)
      No es considerado como recolección de evidencia sino como análisis de la misma
      Principalmente se usa para encontrar datos específicos concerniente a la actividad criminal
      Utiliza “máquinas forense” y herramientas automatizadas para examinar gigabytes de datos
    • Principios del análisis forense
      Minimizar la perdida de datos
      Documentar TODO
      Analizar todos los datos recolectados
      Reportar los hallazgos
    • Errores comunes a evitar
      Adicionar sus propios datos al sistema
      Afectar procesos del sistema
      Accidentalmente tocar las líneas del tiempo
      Utilizar herramientas o comandos no confiables
      Ajustar el sistema ANTES de la recolección de la evidencia. (apagar, parchar, actualizar)
    • Problemas para la aceptación de las evidencias digitales
      Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital.
      Facilidad de la duplicación y dificultad en la verificación del original
      Almacenamiento y durabilidad de la información en medios electrónicos. Reconocimiento legal del mismo
      Identificación problemática del autor de los documentos
      El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada.
      La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido.
      Desconocimiento de las técnicas de intrusión de sistemas.
    • Técnicas anti forenses
      Son las técnicas de manipulación, eliminación y/o de ocultamiento de pruebas para complicar o imposibilitar la efectividad del análisis forense.
    • Ejemplos:
      Eliminación de información.
      Borrado seguro de archivos (en forma manual o automática: bombas lógicas).
      Cifrado u ocultamiento (esteganografía) de archivos.
      Alteración de archivos (cambio del nombre y/o de la extensión).
      Técnicas anti forenses
    • Son contramedidas para contrarrestar las técnicas antiforense. Por ejemplo:
      Activación de logs de auditoria para el Sistema Operativo, las aplicaciones y los dispositivos.
      Instalación de IDS´s (aún se los puede burlar cifrando el tráfico que va a analizar el IDS).
      Implementación de un equipo concentrador de logsque sólo pueda recibir tráfico entrante desde fuentes autorizadas.
      08 de Noviembre de 2009
      Recolección de evidencia digital
      José Ebert Bonilla
      Técnicas anti forenses
    • Retos que plantea
      Retos Legales
      Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas criminales.
      Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y originalidad a un documento electrónico.
      Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas computacionales de protección.
      Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.
      Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.
    • Retos que plantea
      Retos Técnicos
      Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de seguridad en los productos de software y hardware.
      Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados.
      Concienciar sobre las responsabilidades jurídicas de los ingenieros:
      Previsibilidad, debido cuidado y diligencia
      Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la organización.
      Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones legales.
      La computación forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informático.