• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense
 

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense

on

  • 708 views

 

Statistics

Views

Total Views
708
Views on SlideShare
708
Embed Views
0

Actions

Likes
2
Downloads
33
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense Presentation Transcript

    • CURSO DE ESPECIALIZACION:“INVESTIGACION DE LA ESCENA DELDELITO E INFOGRAFIA FORENSE”Computo Forense, Investigación de laescena del Crimen de ComputoInstituto de Pericias Criminalísticas& Capacitacion “HANS GROSS”Alonso E. Caballero QuezadaDiciembre 2005
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”¿Qué es Computo Forense?Es la Recolección, Preservación, Análisis, Documentación deevidencia relacionada con computadoras.Evidencia de Computo puede ser útil en casos criminales,disputas civiles, y procedimientos de empleo / recursoshumanos.Mientras más información es almacenada en computadoras,más dificil es remover completamente dicha información.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”¿Qué es Computo Forense?Mientras más información es almacenada en computadoras,más dificil es remover completamente dicha información.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”¿Qué es Computo Forense?Por esta razón y muchas más, computo forense puedeencontrar evidencia, recuperar completamente información“perdida” o borrada, si ha sido intencionalmente.Computo forense, emplea conocimientos y software derecuperación de datos. Es mucho más dificil de lo que suena.En la recuperación de datos, el objetivo es obtener datosperdidos. En computo forense el objetivo es obtener los datose interpretar tanta información como sea posible.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Beneficios de una MetodologíaLa protección de la evidencia es crítica, se debe asegurar queel sistema “objetivo” es manejado cuidadosamente paraasegurar que:1. Ninguna evidencia es dañada, destruida, o comprometida dealguna manera por los procedimientos utilizados en lainvestigación.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Beneficios de una Metodología2. No hay posibilidad de que algun virus haya sido introducidoen la computadora objetivo durante el proceso de análisis.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Beneficios de una Metodología3. Extraer y posibilitar que la evidencia relevante esadecuadamente manipulada y protegida de daño mecánico oelectromagnético .
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Beneficios de una Metodología4. Una cadena de custodia continua debe ser establecida ymantenida.5. Operaciones empresariales son afectadas por una cantidadde tiempo limitada.6. Alguna información del cliente / abogado que sea obtenidadurante la exploración forense es eticamente y legalmenterespetada y no divulgada.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Fases a realizar por un Especialista Forense1. Proteger la computadora “objetivo” durante la examinaciónforense de posible alteración, daño, corrupción de datos, ovirus.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Fases a realizar por un Especialista Forense2. Descubrir todos los archivos. Incluyendo archivos normales,borrados, ocultos, protegidos por contraseña, y encriptados.3. Recuperar todo (como sea posible) archivos borrados.4. Revelar el contenido de archivos ocultos, como tambientemporales o archivos “swap” utilizados por programas y elsistema operativo.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Fases a realizar por un Especialista Forense5. Acceder (si es legal y apropiado) al contenido de archivosprotegidos o encriptados.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Fases a realizar por un Especialista Forense6. Analizar todos los datos relevantes encontrados en todas lasareas del disco. (En tipicamente inaccesibles)
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Fases a realizar por un Especialista Forense7. Reportar un análisis completo del sistema objetivo, ytambien un listado de todos los archivos relevantes y archivosde datos descubiertos. Espacio sin Asignar, espacioremanente,8. Proporcionar una opinion del sistema; estructuras dearchivos descubiertos, datos descubiertos e información delautor; intento de ocultar, borrar, proteger y encriptarinformación, y cualquier cosa que se haya descubierto y quepueda ser relevante durante el examen del sistema.9. Proporcionar testimonio, si es requerido.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”¿Quién puede utilizar evidencia de computoforense?* Los perseguidores criminales utilizan evidencia de computoen una variedad de crímenes donde documentosincriminatorios pueden ser encontrados, incluyendo;homicidios, fraude financiero, drogas, y pornografía infantil.* Litigantes civiles pueden rapidamente hacer uso de registrospersonales y empresariales; encontrados en un sistema decomputo; fraude, discriminación, divorcio, u hostigamiento.* Compañias de seguros pueden mitigar costos, utilizandoevidencia de computo descubierta en posibles fraudes deaccidentes, incendios, y casos de compensaciones de untrabajador.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”¿Quién puede utilizar evidencia de computoforense?* Las corporaciones alguna veces emplean especialistas encomputo forense para comprobar evidencia relacionada a:hostigamiento sexual, malversación, robo de secretosempresariales u otra información externa o interna.* Fuerzas Legales frecuentemente requieren asistencia para lapreparación de una búsqueda con garantia, y dirección en elmanejo posterior de un equipo de computo.* También se emplean especialistas forenses en posiblesdemandas; conclusión ilícita, hostigamiento sexual,discrimación de edad, etc.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Problemas de la Evidencia del Computo ForenseEvidencia de computo como otra evidencia, debe ser:* Aunténtica.* Exacta* Completa* Convencer al Jurado* Conformidad con las leyes y reglas legislativas (admisible)
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Problemas de la Evidencia del Computo ForenseSin embargo, también existen problemas especiales:* Datos de computo, cambian de momento a momento.* Son invisibles al ojo humano, solo puede ser vistoindirectamente por procesos adecuados.* El proceso de recolección de datos de computo puedecambiar de manera significante.* Tecnologías de computo y telecomunicaciones son siemprecambiantes, de modo que los procesos forenses muyraramente son los mismo durante el tiempo.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Técnica ForenseSe puede producir evidencia confiable sin herramientasespeciales: Los principios básicos son:* La escena del Crimen debe ser congelada; ésto es; laevidencia tiene que ser recolectada tan rápido como seaposible y sin contaminación.* Debe haber continuidad de la evidencia, algunas vecesconocido como “cadena de custodia”. Debe de ser posiblehacer explicar todo lo ocurrido entra la recolección original y laexposición en la corte.* Todos los procedimientos utlizados en al examinación debenser auditables desde el punto de vista de un tercero.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Técnica ForenseLas características de la Técnica Forense son:* Metodología cuidadosa del acercamiento, registro incluido.* Un conocimiento especial de computo, especialmente enáreas requeridas.* Conocimiento de las leyes sobre evidencia.* Conocimiento de procedimientos Legales.* Acceso y Conocimiento en el uso de utilidades adecuadas.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Temas de Computo ForenseEn cualquier evento, las pruebas para la evidencia incluyen:* Autenticidad: ¿El material viene de donde se dice?.* Confiabilidad: ¿Existen razones para dudar del correctofuncionamiento de la computadora?.* Completo: ¿Existen otras informaciones relacionadas con elconflicto? ¿La información es completa?.* Libertad de Interferencia y Contaminación: Son los nivelesaceptados como resultado de una investigación Forense ymanejo post evento.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Temas de Computo ForenseUna Aproximación al computo forense incluye los siguienteselementos:* Procedimientos bien definidos para guiar las diversar tareas.* Una anticipación a la crítica de cada metodología.* Posibilidad de repetir las pruebas, para ser realizadas por lacontraparte.* Listas de comprobación para apoyar cada metodología.*Anticipación de cualquier problema en pruebas deadmisibilidad* Aceptación de algún método descrito sujeto a modificación.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Divergencias de la Investigación ForenseTradicional.La razón es el rápido cambio de la tecnología informática. Enlas computadoras, lo nuevo y lo obsoleto es la norma.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Divergencias de la Investigación ForenseTradicional.Durante los recientes años han tomado lugar ciertos cambios:* Crecimiento del correo electrónico de organización y mundial.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Divergencias de la Investigación ForenseTradicional.* Crecimiento de Aplicaciones Cliente / Servidor.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Divergencias de la Investigación ForenseTradicional.* El software se vuelvemas complejo de la manocon la arquitecturade las computadoras.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Divergencias de la Investigación ForenseTradicional.* La situación Cliente / Servidor (Software)* Una PC interactua con datos y software que se localizan enotra maquina “servidor” o “mainframe”.* La evidencia de la transacción solo puede demostrase con lapresentación de todos los registros de todos los implicados.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Divergencias de la Investigación ForenseTradicional.* Graficos por Computadora: CAD (Diseño asistido porcomputadora)* Mas extendido, BD fáciles de utilizar* Mayor uso de procedimientos controlados por computadoras;ventas, servicios de emergencia, control de tráfico, etc.* Métodos para desarrollo de software tambien han cambiado.Uso de bibliotecas de procedimientos.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de Evidencia“Diferentes Regiones tienen diferentes legislación. Si se duda,se debe de preguntar siempre al abogado”¿Porqué Recolectar la Evidencia?La evidencia electrónica puede ser muy dificil de obtener; losprocesos son estrictos y exhaustivos, el sistema afectadopuede no estar disponible por un largo periodo de tiempo, paraque el análisis de datos recolectados sean realizado.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de Evidencia¿Porqué recolectar la Evidencia en el primer lugar?Prevencion Futura: Sin conocer lo que ha ocurrido, no se tienela seguridad de impedir que un atacante pueda hacerlonuevamente. El costo de recolección puede ser alto, pero elcosto de hacerlo repetidas veces, será mayor.Responsabilidad: Hay dos partes responsables después de unataque; la victima y el atacante. El atacante es responsable deldaño. La victima, tiene un responsabilidad con la comunidad.La información obtenida del ataque puede prevenir futurosataques.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaOPCIONES DE RECOLECCIÓN:Cuando el compromiso ha sido detectado se tienen dosOpciones:* Desconectar el sistema de la Red y empezar a recolectar laevidencia.* Dejar el sistema “on-line” e intentar monitorear al intruso.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaOBSTACULOS:* Crimenes electrónicos son difíciles de investigar y perseguir,los investigadores tienen que constuir el caso en base aregistros dejados despues de las transacciones.* Las transacciones son rápidas, desde cualquier lugar acualquier lugar, pueden ser anónimas o encriptadas.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaOBSTACULOS:
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaOBSTACULOS:* Si una transacción es restaurada através de un análisis, es muy dificilligar a la persona y la transacción.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaTIPOS DE EVIDENCIA:* Evidencia Real: Habla por si misma. Un “log” producido poruna función de auditoria. El “log” debe ser mostrado sínmodificación.* Evidencia Testimonial: Proporcionada por un testigo.Documentos escritos en un procesador de texto por un testigopueden ser consideradas testimonio, con autorización.* Rumor: Presentada por una persona que no es testigo directo.Es generalmente inadmisible en la corte y debe ser obviada.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaREGLAS DE LA EVIDENCIA:* Admisible: Debe Permitir ser utilizada en la corte u otro lugar.* Aunténtica: La evidencia se debe relacionar con el incidentede manera relevante.* Completa: No solo debe probar un delito, tambien inocencia.* Confiable: No debe de haber duda de la la veracidad yauntenticidad de la evidencia.* Creible: Se debe de presentar de una manera entendible ycreible al jurado.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaREGLAS DE LA EVIDENCIA:Utilizando lo anterior se puede derivar en lo siguiente:* Minimizar la manipulación / daño de los datos originales.* Explicar cualquier cambio y registrar detalle de las acciones.* Cumplir con las cinco reglas de evidencia.* No exceder los conocimientos.* Seguir las políticas de seguridad locales.* Capturar una imagen tan exacta como sea posible delsistema.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaREGLAS DE LA EVIDENCIA:* Estar preparado para testificar.* Asegurar que las acciones son repetibles.* Trabajar rápido* Proceder desde la evidencia volátil a la persistente.* No apagar antes de la recoleccion de evidencia.* No ejecutar ningún programa sobre el sistema afectado.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:1. Registros y Cache2. Tabla de Rutas 9. Configuración del Router3. Cache ARP 10. Topología de la Red.4. Tabla de Procesos5. Estadísticas del Kernel y módulos6. Memoria Superior7. Sistema de Archivos Temporal8. Memoria Secundaria
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:1. Registros y Cache
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:2. Tabla de Rutas
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:3. Cache ARP
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:4. Tabla de Procesos
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:5. Estadísticas del Kernely módulos
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:6. Memoria Superior
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:7. Sistema de Archivos Temporal
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:8. Memoria Secundaria
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:9. Configuración del Router
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaEVIDENCIA VOLATIL:10. Topología de la Red.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaPROCEDIMIENTO GENERAL:Identificación: Distinguir entre evidencia y datos irrelevantes.Se debe de trabajar de la mejor manera para obtener yalmacenar los hallazgos.Preservación: Tan fiel al estado original. Cualquier cambio debede ser documentado.Análisis: Extraer la información relevante y recrear la cadenade eventos. Conocimientos de lo que se quiere obtener y como.Presentación: La comunicación es de vital importacia. Lamanera es importante, debe ser entendible para ser efectivo.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaRECOLECCION Y ARCHIVADO:* Archivos de Logs y Registros: Si los logs son mantenidoslocalmente en la máquina comprometida, son suceptibles deser modificados por un atacante. Tener un sistema remoto de“logueo” puede se runa alternativa.* Monitoreo: Se pueden obtener estadísticas de actividadirregular. Asi tambien rastrear de donde proviene el ataque yque es lo que está ocurriendo. Tambien se debe monitorear alos usuarios.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaMETODOS DE RECOLECCION:* Congelar la Escena: Implica tomar una “foto” del sistema enestado comprometido. Notificar a las autoridades. Todos losdatos recolectados deben tener un mensaje resumencriptográfico. Estos “resumenes” deben ser comprobados conel original para su verificación.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaMETODOS DE RECOLECCION:* Congelar la Escena:
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaMETODOS DE RECOLECCION:* Honeypotting: Es un proceso de crear una réplica del sistemay dejar al atacante alli, para monitorearlo. Algo similar es el“sandboxing” que implica limitar las acciones del atacante.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaARTEFACTOS:* Cuando un sistema es comprometido, siempre se deja algo,fragmento de códigos, programas troyanizados, procesosejecutándose, archivos log de sniffers. Se debe ser cuidadosodurante la recolección.* Artefactos pueden ser difíciles de encontrar. Los programastroyanizados serán muy similares a los originales (tamaño,MAC, tiempo, etc) Uso de “checksum” criptográficos puede sernecesario. Se debde de conocer el “checksum” original.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaPASOS DE LA RECOLECCION:1. Encontrar la Evidencia.2. Encontrar Datos relevantes.3. Crear un Orden de Volatilidad.4. Eliminar factores externos de Cambio.5. Recolectar la Evidencia.6. Documentar Todo.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION:Cadena de Custodia* Los originales nunca debe ser utilizados en la examinación.DD, EnCase, Safeback
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION:Cadena de Custodia* Las pruebas debe ser realizadas sobre una maquina limpia yaislada.* La Cadena de Custodia es una lista detallada de lo que sedebe hacer con las copias originales una vez que han sidorecolectadas, documentando todo.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaAnálisis: Una vez recolectado los datos se deben de analizarpara extraer la evidencia que se desea presentar y reconstruirlo ocurrido.Tiempo: Se debe poder reconstruir una línea de tiempo. Nuncamodificar el reloj del sistema objetivo. Se debe de utilizar“timestamps” no solo para reconstruir eventos, sino pararealizar una cadena de eventos.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaAnálisis Forense de “Backups”: El examen debe ser seguro,limpio, y aislado de cualquier conección de red.Reconstruyendo el ataque: Se debe de reconstruir una cadenade eventos. Se debe de relacionar toda la evidencia obtenidapara reconstruir el ataque.La recolección de evidencia no es algo trivial, de debe deconsiderar la complejidad, y justificar las acciones tomadas.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBusqueda y Obtención:* Un examinador Forense es imparcial.* El medio utilizado en una examinación de Computo Forensedebe ser esterilizado antes de cada uso.* Una imagen “real” (flujo de bit) debe ser hecha y utilizadapara el análisis.* La integridad del medio original debe ser conservada a travésla investigación.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaAntes de la Investigación:* Se cuenta con técnicos expertos, con la disposición pararealizar un análisis de la evidencia. Se confía en la habilidad delpersonal y en el equipo adecuado para realizar dicha labor.* Toda el equipo y el talento no ayudará mucho sino se tienecoordinación constante con un abogado.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaDesarollo de una Metodología:Existen dos temas que conducirán a un análisis sólido yconstrucción del caso:* Definir una Metodología.(Metodología implica un método, un conjunto de reglas.)* Trabajar de Acuerdo a la Metodología.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaDocumentar Todo:¿Quién vigila cada paso a lo largo de la investigación?Se debe tener dos personas asignadas a cada caso. Unapersona documenta todo lo que la otra esta haciendo, y comolo esta haciendo para un muy detallado y preciso registro delmanejo de la evidencia. Son importantes las fechas, lostiempos de los pasos datos, los nombres involucrados y bajoque autoridad se realizan estos pasos.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 1: Preparación* Se debe esterilizar todos los medios que se utilizarán en elproceso de examinación.* Si se reutiliza un medio sedebe de asegurar que estacorrectamente“wipeado” “limpiado”.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 1: Preparación* Cuando se tenga que explicar algotécnico puede utilizarse una analogíaentre una biblioteca y unacomputadora.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 2: Foto* Fotografiar la escena de la evidencia.* Anotar cuadros, cosas personales,y similares.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 2: Foto* En el caso de una PC. Foto del monitor, la pantalla. De la PCcompleta, remover el case y foto del interior.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 2: Foto* Documentar, el hardware, drivers internos,periféricos, numero de serie.Configuraciónde cablesIDE, SCSI. etc.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 2: Foto* Etiquetar la evidencia en base a la metodología* Documentar todo (Quién, Cómo, porqué, y en que momento.)
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 2: Foto* Grabar (Filmar) la entrada de personal en la escena, ésto evitaque pueda “plantarse” evidencia.* La defensa puede apuntar la duda en el transporte de laevidencia. Grabar la escenay el transporteal laboratorio apoya ésteproceso.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 3: Transporte* Asumiendo que se tiene la autoridad legal para transportar laevidencia, se debe empacar la evidencia de manera segura.* Proteger la evidencia contra descargas.* Tomar fotos / Grabar y documentar todo el proceso de manejode evidencia. Cuando la evidencia deja la escena rumbo allaboratorio, tambien hacerlo desde el vehiculo de transportehasta su llegada al laboratorio.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Obtención de Datos y Recolección de EvidenciaCONTROLANDO LA CONTAMINACION: Cadena de CustodiaBúsqueda y toma de la Evidencia:PASO 4: Examinación* Una vez se tiene la evidencia, se debe de documentar elproceso de desempaque de acuerdo a la metodología usada.* Examinar visualmente la evidencia, en busca deconfiguraciones inusuales, marcas, y similares.* Realizar una imagen exacta del disco duro, con softwareapropiado, EnCase, SafeBack, DD. Evitando modificación.* Sellar, empacar y guardar de manera segura la evidencia.
    • CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”Muchas Gracias &Continuará . . .Correo Electrónico:reydes@gmail.com