Buenas prácticas para el secuestro de evidencia digital - Sebastian Gomez

5,759 views

Published on

Buenas prácticas para el secuestro de evidencia digital

Published in: Technology, Health & Medicine
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,759
On SlideShare
0
From Embeds
0
Number of Embeds
105
Actions
Shares
0
Downloads
252
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Buenas prácticas para el secuestro de evidencia digital - Sebastian Gomez

  1. 1. Buenas prácticas para el secuestro de evidencia digital Mg. Sebastián Gómez Poder Judicial - Neuquén 2008
  2. 2. Conceptos Evidencia digital: información y datos de valor investigativo que es almacenada o transmitida por un dispositivo electrónico Evidencia no digital (ejemplos): contraseñas escritas en papeles, impresiones, huellas dactilares en teclados, etc. 05/09/2008 2
  3. 3. Principios Forenses La evidencia digital es muy volátil y puede ser alterada si no se toman recaudos Una vez que la evidencia es contaminada no puede ser “descontaminada” 5 reglas para la evidencia digital Admisible: debe poder ser ofrecida como prueba Auténtica: en cuanto a la relevancia para el caso Completa: no se deben descartar elementos que puedan justificar el deber de investigar a otras personas sospechadas Confiable: incuestionable en cuanto a su veracidad Creíble: clara, fácil de entender por un juez o tribunal 05/09/2008 3
  4. 4. Principales impulsores IOCE SWGDE NIJ Electronic Crime Program ACPO NIST DoD Cibercrime Center DFRW NW3C CTOSE 05/09/2008 4
  5. 5. Buenas prácticas Planificación Casuística->fuentes de evidencia digital Tareas de inteligencia Chequeo del toolkit forense para respuesta a incidentes Búsqueda Aseguramiento de la escena Identificación de evidencia Documentación del proceso Priorización Orden de volatilidad Recolección de evidencia Preservación de la evidencia Cadena de custodia 05/09/2008 5
  6. 6. Planificación Casuística <=> Posibles fuentes de evidencia digital Controlar el contenido de la orden de allanamiento Verificar los pasos a seguir en el lugar en que se realice el procedimiento 05/09/2008 6
  7. 7. Planificación Tareas de inteligencia Estudiar perfiles de las personas sospechadas Investigar la posible localización de servidores, o dispositivos de almacenamiento principales Si se realizará alguna investigación on site: Conocer qué tipos de redes, sistemas operativos y aplicaciones se utilizan para determinar qué tipo de hardware y software forense se utilizará Analizar la necesidad de contar con cooperación de administradores de sistemas o especialistas 05/09/2008 7
  8. 8. Planificación Escenario simple o complejo? 05/09/2008 8
  9. 9. Aseguramiento de la escena Todas las personas deben ser alejadas de los lugares donde existan fuentes de evidencia digital y requisadas en caso de sospechas. Utilizar guantes de látex (en caso de requerirse tomar huellas dactilares sobre el equipamiento informático o localizar elementos para análisis de ADN) Rechazar toda asistencia que no sea indicada por el oficial a cargo del procedimiento o experto en informática forense 05/09/2008 9
  10. 10. Aseguramiento de la escena Si el equipo está apagado debe quedar apagado. Si está encendido... Adquisición de evidencia on site Procedimientos de apagado Desconectar cables de red, periféricos Determinar la existencia de conexiones Wi-Fi Etiquetar todos los dispositivos a secuestrar 05/09/2008 10
  11. 11. Identificación de evidencia Individualizar hardware que pueda albergar información relevante a la investigación Localizar el software específico o más utilizado Determinar la existencia de servicios de Internet 05/09/2008 11
  12. 12. Fuentes de evidencia digital 05/09/2008 12
  13. 13. Búsqueda Identificación de evidencia No excederse de lo indicado en la orden de allanamiento Solicitar información a usuarios -o administradores de sistemas- siempre que sea posible: cuentas de usuario y de e-mail contraseñas (BIOS, de aplicaciones, e-mail, sistemas operativos, bases de datos) sistemas operativos aplicaciones más utilizadas (software especial para borrado de datos) topología de red información para acceso a intranet e Internet localización de dispositivos de almacenamiento externos políticas de seguridad, dispositivos o software para borrado especial de información digital. 05/09/2008 13
  14. 14. Identificación de evidencia 05/09/2008 14
  15. 15. Identificación de evidencia 05/09/2008 15
  16. 16. Identificación de evidencia Posición del mouse (el usuario es zurdo o diestro?) Status de los leds del equipo (on, off, sleep) Está tibio el equipo (fue recientemente apagado?) 05/09/2008 16
  17. 17. Documentación del procedimiento Fotografiar (o filmar) los puestos de trabajo, las pantallas de los monitores encendidos, la ubicación de los equipos y conexiones o dispositivos especiales Secuestrar o documentar impresiones, anotaciones cercanas al equipamiento informático 05/09/2008 17
  18. 18. Priorización Orden de volatilidad Listado de procesos, listado de servicios, información de red (puertos abiertos, escuchando, cerrados), recursos compartidos, usuarios logueados, tablas ARP, dump de memoria, redes peer-to-peer, información de routers, firewalls Se recomienda volcar la información a un pen drive Detectar: Tecnología BitLocker Software de encriptación (ej. TrueCrypt) Software de borrado antiforense (ej. Eraser) 05/09/2008 18
  19. 19. Recolección de evidencia Siempre es conveniente secuestrar el equipo informático o dispositivo de almacenamiento original. Si no fuese posible: Realizar una copia a nivel de bit-stream (si procede) utilizando write-blockers y software o hardware forense. Verificar certificación digital (MD5, SHA) del original y la copia Registrar en el acta de allanamiento la certificación digital y tamaño de la imagen forense Apagar el equipamiento informático mediante el procedimiento forense recomendado 05/09/2008 19
  20. 20. Preservación de evidencia Inventariar los dispositivos de almacenamiento de evidencia digital removibles (DVDs, CDs, pen drives, memorias flash, discos rígidos, cintas) Utilizar bolsas antiestáticas para proteger dispositivos magnéticos Registrar detalladamente los elementos a secuestrar en el acta de allanamiento (ej. fabricante, modelo y número de serie), su ubicación y el posible propietario o usuario. 05/09/2008 20
  21. 21. Preservación de evidencia Método Ventajas Desventajas Secuestrar Requiere poca experticia técnica Riesgo de dañar el equipamiento en el traslado hardware Simple, sin críticas Riesgo ante evidencia encriptada El hardware puede ser examinado en un Riesgo de pérdida de evidencia digital (ej. RAM) entorno controlado Genera cuestionamientos por interrumpir la normal operatoria de El hardware está disponible para varios un negocio peritajes o aplicación de distintas técnicas Riesgo de no ser capaces de poder encender el equipo (ej. forenses password a nivel de BIOS) Adquirir toda la La evidencia digital puede ser examinada a Requiere entrenamiento y recursos tecnológicos forenses evidencia digital posteriori Riesgo de imposibilidad de acceso a la evidencia encriptada on-site El trabajo con una imagen forense evita daños Riesgo de pérdida de evidencia digital (ej. RAM) sobre la evidencia original Requiere tiempo (a veces es prohibitivo) Minimiza el impacto en la operatoria del Los métodos pueden ser cuestionados mucho más que al negocio y evita daños al hardware secuestrar el hardware, y pueden surgir impedimentos técnicos Adquirir Se puede aprovechar alguna asistencia local Requiere experticia, entrenamiento y recursos tecnológicos selectivamente la (ej. administrador de sistemas, si no está forenses evidencia digital sospechado) Riesgo de perder o destruir evidencia (ej. rootkit) on-site Rápida y sin consumir demasiados recursos Los métodos pueden ser cuestionados mucho más que al tecnológicos secuestrar hardware y pueden surgir impedimentos técnicos 05/09/2008 21
  22. 22. Cadena de custodia Protege la integridad de la evidencia Preguntas que deben poder ser respondidas: Quién realizó el secuestro? Cuándo y dónde se realizó el procedimiento judicial? Quién protegió y transportó la evidencia? Cómo fue almacenada la evidencia? Quién la sacó de su envoltorio de protección y para qué? 05/09/2008 22
  23. 23. Cadena de custodia Precintar el material a secuestrar con etiquetas de seguridad Rotular y registrar en el acta de allanamiento los números de serie de los elementos de protección utilizados Transportar el equipamiento secuestrado con extremo cuidado evitando altas temperaturas, campos magnéticos, golpes 05/09/2008 23
  24. 24. Material de consulta 2002: RFC 3227 - Guidelines for Evidence Collection and Archiving 2003: Seizing Computers and Other Electronic Evidence, Best Practice Guide, Australasian Centre for Policing Research 2005: First Responder Guide for Computer Forensics, Handbook, CMU/SEI- 2005-HB-001 2006 (Argentina): “Guía Operativa para Procedimientos Judiciales con Secuestro de Tecnología Informática”, Poder Judicial, Neuquén Revista de Derecho Informático, ISSN 1681-5726 http://www.alfa-redi.org/rdi-articulo.shtml?x=6216 2007: Good Practice Guide for Computer based Electronic Evidence, Association of Chief Police Officers & 7Safe 2008: Best Practices for Seizing Electronic Evidence, v.3, A Pocket Guide for First Responders, United States Secret Service Abril del 2008: Electronic Crime Scene Investigation - A Guide for First Responders, Second Edition, National Institute of Justice 05/09/2008 24
  25. 25. Gracias por su atención Preguntas...? 05/09/2008 25

×