3. Ataques El RFC 2828 define ataque de la siguiente forma Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir un acto inteligente y derivado (especialmente en el sentido de método o técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema.
4. Mitos e ideas falsas Los ciber criminales son expertos en computadores y con alta habilidad tecnica Los ciber criminales tienen un IQs superior al normal Todos los ciber criminales son introvertidos Los ciber criminales nunca son violentos Los ciber criminales no son reales criminales Los ciber criminales se ajustan a un perfil predeterminado
5. Criminalistica Termino de lujo para las ciencias forenses Ciencia Forense La aplicación de la ciencia en las leyes penales y civiles que son aplicadas por las agencias policiales en los sistemas de justicia. Pensar como Sherlock Holmes!!
6. Forense Es el proceso mediante el cual se hace uso del conocimiento específico para la recolección, análisis y presentación de evidencias a una corte. La palabra forense significa “traer a la corte”. Lo forense esta relacionado en primera instancia con la recuperación y análisis de evidencias latentes. Computación Forense - José Ebert Bonilla, MS.c
7. Historia de lo forense y de la Computación Forense 08 de Noviembre de 2009 Recolección de evidencia digital José Ebert Bonilla
8. Ciencia Forense La ciencia forense proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense Computación Forense - José Ebert Bonilla, MS.c
9. Computación Forense - José Ebert Bonilla, MS.c Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas. Aplicando un método científico (esto implica que hay una investigación rigurosa), analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis, lo que puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir; esto es debido a que un investigador forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada. Por tanto, sólo puede presentar posibilidades basadas en la información limitada que posee.
12. Principio de Locard Este principio fundamental dice que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y viceversa (se lleva consigo); en otras palabras: “cada contacto deja un rastro”
14. Evidencia transferida Transferencia por rastro: aquí entra la sangre, semen, pelo, etc. Transferencia por huella: huellas de zapato, dactilares, etc.
15. Componentes de una escena de crimen la escena del crimen la víctima la evidencia física el sospechoso Para la correcta resolución del caso, el investigador forense debe establecer la relación que existe entre los componentes.
18. Definición de computación forense “la colección y análisis de datos provenientes de un sistema de computo, una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal manera que es admisible en un tribunal de derecho. Es emergente de las disciplinas de las ciencias de la computación y el derecho”.
29. Sus inicios Desde 1984, el laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional En 1989, primera persona procesada En 1991 se establece el primer equipo del FBI En 1996, primera evidencia utilizada en un caso
30. Ciencias Forenses Vs. Ciencias de la Computación Comprender la existencia de la evidencia en formato digital. Asegurar la integridad de la evidencia recolectada Comprensión de los computadores y su operación Reconocimiento de la evidencia digital Dónde se encuentra Cómo se encuentra almacenada Cómo se modifica, quién la modifica, quién es su dueño Cantidad de evidencia recolectada Habilidades técnicas y procedimientos forenses El manejo y control de los documentos electrónicos. 21
31. Computación Forense “La digitalización crea riesgos y desafíos en lo legal, técnico y en la estructura social. La capacidad técnica para almacenar, manipular y transmitir todo tipo de datos a alta velocidad a través de una red global digital es actualmente un lugar común en la academia, los negocios y el ambiente social. Al lado de las oportunidades que brinda la “era de la información” hay un crecimiento de conciencia de los serios riesgos y desafíos que propicia este desarrollo digital. BROUCEK, Vlasti; TUNER, Paul. Forensic Computing. Developing a conceptual approach for an emerging academic discipline. School of information Systems. University of Tasmania Recolección de evidencia digital José Ebert Bonilla
32. Definición de Computación Forense “…es simplemente la aplicación de la investigación en computación y técnicas de análisis con el interés de determinar una potencial evidencia legal. El tipo de evidencia obtenida desde la pesquisa forense puede ser usada en una amplia variedad de investigaciones: Litigios civiles tales como divorcios, hostigamiento, acoso y discriminación Corporaciones que buscan adquirir la evidencia en la malversación, fraude, o los problemas de robo de propiedad intelectual Individuos que buscan la evidencia en la discriminación de edad, terminación injusta de contratos laborales, o demandas de acoso sexual Investigaciones de la compañía de seguros donde se requiere evidencia que relaciona al fraude de seguro, muerte por negligencia de otro, la compensación de obrero, y otros casos que involucran las demandas de seguros. SCHWEITZER , Douglas. Incident Response. Computer Forensic Toolkit. Wiley Publishing Inc. 2003. 08 de Noviembre de 2009 Recolección de evidencia digital José Ebert Bonilla
34. Por que la computación forense Hay una gran cantidad de documentos almacenados en medios electrónicos La computación forense asegura la preservación y autenticación de los datos, los cuales son frágiles por su naturaleza y fácilmente alterados y borrados Adicionalmente la computación forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar información invisible al usuario
35. Por que investigar? Determinar como se efectuó la ruptura del sistema Determinar los daños ocasionados Determinar quien lo hizo Determinación de la línea del tiempo Contribución en el procesamiento judicial
36. Comunidades Hay al menos tres distintas comunidades que usan computación forense Entidades que aplican la ley Fuerzas militares Industria y Bancos Posiblemente una 4ta – La Academia
37.
38. Contribución o influencia de otras áreas Áreas del conocimiento, que desde su perspectiva, contribuyen e influencian directamente la computación forense: Ciencias de la Computación Sistemas operativos Aplicaciones de Software Plataformas de programación lenguajes de programación Seguridad en computadores Leyes Legislación informática Legislación criminal y civil Sistemas de información Gestión y políticas de los sistemas de información Educación de usuarios Ciencias sociales
39. Actividades de la computación forense Las actividades de computación forense comunes son: La recolección segura de los datos de un computador La identificación de datos sospechosos El examen de datos sospechosos para determinar los detalles tales como origen y su contenido Presentación de información basada en lo encontrado en el computador en una corte La aplicación de las leyes correspondientes a la informáticas de los diferentes países
40. 31 Evidencia Digital Vs Evidencia Física Evidencia Digital Es un tipo de evidencia física, menos tangible que otras formas de evidencia (DNA, huellas digitales, componentes de computadores) Ventajas Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
41. Evidencia Digital … información y datos con valor investigativo que son almacenados en o trasmitidos a través de dispositivos electrónicos. Tal evidencia es adquirida cuando los datos o los elementos son recopilados y almacenados con propósito de ser examinados.
42. Evidencia Algo que tiende a establecer o refutar un hecho Qué podría ser potencialmente la evidencia más pequeña utilizable? 4bytes Una dirección IP en Hexadecimal
43. Características de las evidencias digitales En la escena del ilícito esta igualmente presente como una huella digital o el ADN Puede sobrepasa las fronteras con gran facilidad y velocidad Es frágil y fácilmente alterable, dañada o destruida Es altamente sensible al tiempo
44. Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
45. La evidencia digital y la legislación La evidencia es una prueba Corte Constitucional dice : El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso.
46. La evidencia digital y la legislación La evidencia digital debe cumplir las mimas condiciones de un documento probatorio, estas son: Compuesto por un texto, tenor o contenido. El contenido debe ser relevante en el ámbito jurídico Debe haber un autor, claramente identificado, y que se pueda esclarecer su origen y originalidad Inteligible Carácter de durabilidad o permanencia superior al objeto que representa Transportable
47. Integridad de la Evidencia Asegurar que la evidencia no ha sido alterada Copias bit a bit Usar “hashes” criptográficos para asegurar la integridad de la evidencia original y sus copias Almacenar en un lugar seguro
48. Lista de palabras sucias Palabras claves especificas para su caso Listado que se utiliza para buscar en el disco duro Modificado durante la investigación
49. Imagen Copia bit a bit de la evidencia original recogida de un sistema Puede incluir: Disco duro Memoria Medios removibles
50. Respuesta a incidentes Enfocado inicialmente a la verificación del incidente Técnicas que enfatizan la recolección de la evidencia digital Minimiza la perdida de datos y evidencias Evitar adicionar datos al sistema Mayores preocupaciones son la recuperación y el tiempo fuera de servicios La preocupación inicial es el tratamiento del incidente para prevenir mayor daño a la evidencia
51. Análisis de medios Se centra en el procesamiento de copias de la evidencia recopilada en la escena del incidente (pe. Una imagen) No es considerado como recolección de evidencia sino como análisis de la misma Principalmente se usa para encontrar datos específicos concerniente a la actividad criminal Utiliza “máquinas forense” y herramientas automatizadas para examinar gigabytes de datos
52. Principios del análisis forense Minimizar la perdida de datos Documentar TODO Analizar todos los datos recolectados Reportar los hallazgos
53. Errores comunes a evitar Adicionar sus propios datos al sistema Afectar procesos del sistema Accidentalmente tocar las líneas del tiempo Utilizar herramientas o comandos no confiables Ajustar el sistema ANTES de la recolección de la evidencia. (apagar, parchar, actualizar)
54. Problemas para la aceptación de las evidencias digitales Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital. Facilidad de la duplicación y dificultad en la verificación del original Almacenamiento y durabilidad de la información en medios electrónicos. Reconocimiento legal del mismo Identificación problemática del autor de los documentos El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada. La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido. Desconocimiento de las técnicas de intrusión de sistemas.
55. Técnicas anti forenses Son las técnicas de manipulación, eliminación y/o de ocultamiento de pruebas para complicar o imposibilitar la efectividad del análisis forense.
56. Ejemplos: Eliminación de información. Borrado seguro de archivos (en forma manual o automática: bombas lógicas). Cifrado u ocultamiento (esteganografía) de archivos. Alteración de archivos (cambio del nombre y/o de la extensión). Técnicas anti forenses
57. Son contramedidas para contrarrestar las técnicas antiforense. Por ejemplo: Activación de logs de auditoria para el Sistema Operativo, las aplicaciones y los dispositivos. Instalación de IDS´s (aún se los puede burlar cifrando el tráfico que va a analizar el IDS). Implementación de un equipo concentrador de logsque sólo pueda recibir tráfico entrante desde fuentes autorizadas. 08 de Noviembre de 2009 Recolección de evidencia digital José Ebert Bonilla Técnicas anti forenses
58. Retos que plantea Retos Legales Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas criminales. Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y originalidad a un documento electrónico. Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas computacionales de protección. Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática. Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.
59. Retos que plantea Retos Técnicos Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de seguridad en los productos de software y hardware. Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos entregados. Concienciar sobre las responsabilidades jurídicas de los ingenieros: Previsibilidad, debido cuidado y diligencia Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la organización. Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones legales. La computación forense como un puente para comprender las pruebas judiciales y su impacto en el mundo informático.