computación forense
DESCRIPTION
Aquí se encuentran los principios de la computación forenseTRANSCRIPT
13 de abril de 2023
Computación Forense
José Ebert Bonilla O. MSc.
Computacion ForenseJosé Ebert Bonilla O MSc.
Principios de Computación Forense
Computación Forense
Computación Forense - José Ebert Bonilla, MS.c
Ataques
El RFC 2828 define ataque de la siguiente forma
Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir un acto inteligente y derivado (especialmente en el sentido de método o técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema.
Mitos e ideas falsas
Los ciber criminales son expertos en computadores y con alta habilidad tecnica
Los ciber criminales tienen un IQs superior al normal
Todos los ciber criminales son introvertidos
Los ciber criminales nunca son violentos
Los ciber criminales no son reales criminales
Los ciber criminales se ajustan a un perfil predeterminado
Criminalistica
Termino de lujo para las ciencias forenses
Ciencia Forense La aplicación de la
ciencia en las leyes penales y civiles que son aplicadas por las agencias policiales en los sistemas de justicia.Pensar como Sherlock Holmes!!
Forense
Es el proceso mediante el cual se hace uso del conocimiento específico para la recolección, análisis y presentación de evidencias a una corte.
La palabra forense significa “traer a la corte”.
Lo forense esta relacionado en primera instancia con la recuperación y análisis de evidencias latentes.
Computación Forense - José Ebert Bonilla, MS.c
Ciencia Forense
La ciencia forense proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que
puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense
Computación Forense - José Ebert Bonilla, MS.c
Computación Forense - José Ebert Bonilla, MS.c
Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas.
Aplicando un método científico (esto implica que hay una investigación rigurosa), analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis, lo que puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir; esto es debido a que un investigador forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada.
Por tanto, sólo puede presentar posibilidades basadas en la información limitada que posee.
Principio de Locard
Principio de Locard
Principio de Locard
Este principio fundamental dice que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y viceversa (se lleva consigo); en otras palabras: “cada contacto deja un rastro”
Evidencias Físicas
Evidencia transitoria
Evidencia curso o patrón
Evidencia condicional
Evidencia transferida
Evidencia transferida
Transferencia por rastro:
aquí entra la sangre, semen, pelo, etc.
Transferencia por huella:
huellas de zapato, dactilares, etc.
Componentes de una escena de crimen
la escena del crimen
la víctima
la evidencia física
el sospechoso
Para la correcta resolución del caso, el investigador forense debe establecer la relación que existe entre los componentes.
Computación Forense
Computación Forense - José Ebert Bonilla, MS.c
Definición de computación forense
“la colección y análisis de datos provenientes de un sistema de computo,
una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal
manera que es admisible en un tribunal de derecho. Es emergente de las disciplinas de
las ciencias de la computación y el derecho”.
Contexto de la computación forense
• Homeland Security
• Information Security
• Corporate Espionage
• White Collar Crime
• Child Pornography
• Traditional Crime
• Incident Response
• Employee Monitoring
• Privacy Issues
• ????
Digital ForensicsComputer Forensics
Sus inicios
Desde 1984, el laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional
En 1989, primera persona procesada
En 1991 se establece el primer equipo del FBI
En 1996, primera evidencia utilizada en un caso
1
Ciencias Forenses Vs. Ciencias de la Computación
Comprender la existencia de la evidencia en formato digital.
Asegurar la integridad de la evidencia recolectada
Comprensión de los computadores y su operación
Reconocimiento de la evidencia digital
Dónde se encuentra
Cómo se encuentra almacenada
Cómo se modifica, quién la modifica, quién es su dueño
Cantidad de evidencia recolectada
Habilidades técnicas y procedimientos forenses
El manejo y control de los documentos electrónicos.
Principio de Locard en el contexto de la Computación Forense
Por que la computación forense Hay una gran cantidad de documentos
almacenados en medios electrónicos La computación forense asegura la
preservación y autenticación de los datos, los cuales son frágiles por su naturaleza y fácilmente alterados y borrados
Adicionalmente la computación forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar información invisible al usuario
Por que investigar?
Determinar como se efectuó la ruptura del sistema
Determinar los daños ocasionados
Determinar quien lo hizo
Determinación de la línea del tiempo
Contribución en el procesamiento judicial
Comunidades
Hay al menos tres distintas
comunidades que usan computación
forense
Entidades que aplican la ley
Fuerzas militares
Industria y Bancos
Posiblemente una 4ta – La Academia
Contribución o influencia de otras áreas
Áreas del conocimiento, que desde su perspectiva, contribuyen e influencian directamente la computación forense: Ciencias de la Computación
▪ Sistemas operativos
▪ Aplicaciones de Software
▪ Plataformas de programación
▪ lenguajes de programación
▪ Seguridad en computadores
Leyes▪ Legislación informática
▪ Legislación criminal y civil
Sistemas de información▪ Gestión y políticas de los sistemas de información
▪ Educación de usuarios
Ciencias sociales
Actividades de la computación forense
Las actividades de computación forense comunes son:
La recolección segura de los datos de un computador
La identificación de datos sospechosos
El examen de datos sospechosos para determinar los detalles tales como origen y su contenido
Presentación de información basada en lo encontrado en el computador en una corte
La aplicación de las leyes correspondientes a la informáticas de los diferentes países
1
Evidencia Digital Vs Evidencia Física
Evidencia Digital Es un tipo de evidencia física, menos tangible que otras
formas de evidencia (DNA, huellas digitales, componentes de computadores)
Ventajas
▪ Puede ser duplicada de manera exacta y copiada tal como si fuese el original.
▪ Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.
▪ Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.
▪ Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
Evidencia Digital
… información y datos con valor investigativo que son almacenados en o trasmitidos a través de dispositivos electrónicos. Tal evidencia es adquirida cuando los datos o los elementos son recopilados y almacenados con propósito de ser examinados.
Evidencia
Algo que tiende a establecer o refutar un hecho
Qué podría ser potencialmente la evidencia más pequeña utilizable?
4bytes
Una dirección IP en Hexadecimal
Características de las evidencias digitales
En la escena del ilícito esta igualmente presente
como una huella digital o el ADN
Puede sobrepasa las fronteras con gran facilidad
y velocidad
Es frágil y fácilmente alterable, dañada o
destruida
Es altamente sensible al tiempo
Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada
tal como si fuese el original.
Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.
Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.
Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios
La evidencia digital y la legislación
La evidencia es una prueba
Corte Constitucional dice :
El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso.
La evidencia digital y la legislación
La evidencia digital debe cumplir las mimas condiciones de un documento probatorio, estas son:
Compuesto por un texto, tenor o contenido. El contenido debe ser relevante en el ámbito jurídico
Debe haber un autor, claramente identificado, y que se pueda esclarecer su origen y originalidad
Inteligible
Carácter de durabilidad o permanencia superior al objeto que representa Transportable
Integridad de la Evidencia
Asegurar que la evidencia no ha sido
alterada
Copias bit a bit
Usar “hashes” criptográficos para asegurar la integridad de la evidencia original y sus copias
Almacenar en un lugar seguro
Lista de palabras sucias
Palabras claves especificas para su
caso
Listado que se utiliza para buscar en
el disco duro
Modificado durante la investigación
Imagen
Copia bit a bit de la evidencia original recogida de un sistema
Puede incluir:
Disco duro
Memoria
Medios removibles
Respuesta a incidentes
Enfocado inicialmente a la verificación del incidente
Técnicas que enfatizan la recolección de la evidencia digital Minimiza la perdida de datos y evidencias Evitar adicionar datos al sistema Mayores preocupaciones son la recuperación y el
tiempo fuera de servicios
La preocupación inicial es el tratamiento del incidente para prevenir mayor daño a la evidencia
Análisis de medios
Se centra en el procesamiento de copias de la evidencia recopilada en la escena del incidente (pe. Una imagen)
No es considerado como recolección de evidencia sino como análisis de la misma
Principalmente se usa para encontrar datos específicos concerniente a la actividad criminal
Utiliza “máquinas forense” y herramientas automatizadas para examinar gigabytes de datos
Principios del análisis forense
Minimizar la perdida de datos
Documentar TODO
Analizar todos los datos recolectados
Reportar los hallazgos
Errores comunes a evitar
Adicionar sus propios datos al sistema
Afectar procesos del sistema
Accidentalmente tocar las líneas del tiempo
Utilizar herramientas o comandos no
confiables
Ajustar el sistema ANTES de la recolección
de la evidencia. (apagar, parchar, actualizar)
Problemas para la aceptación de las evidencias digitales
Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital.
Facilidad de la duplicación y dificultad en la verificación del original
Almacenamiento y durabilidad de la información en medios electrónicos. Reconocimiento legal del mismo
Identificación problemática del autor de los documentos
El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada.
La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido.
Desconocimiento de las técnicas de intrusión de sistemas.
Técnicas anti forenses
Son las técnicas de manipulación, eliminación y/o de ocultamiento de pruebas para complicar o imposibilitar la efectividad del análisis forense.
Ejemplos: Eliminación de información. Borrado seguro de archivos (en
forma manual o automática: bombas lógicas).
Cifrado u ocultamiento (esteganografía) de archivos.
Alteración de archivos (cambio del nombre y/o de la extensión).
Técnicas anti forenses
13 de abril de 2023
Son contramedidas para contrarrestar las técnicas antiforense. Por ejemplo: Activación de logs de auditoria para el
Sistema Operativo, las aplicaciones y los dispositivos.
Instalación de IDS´s (aún se los puede burlar cifrando el tráfico que va a analizar el IDS).
Implementación de un equipo concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas.
Recolección de evidencia digitalJosé Ebert Bonilla
Técnicas anti forenses
Retos que plantea
Retos Legales Comprender de manera cercana el fenómeno informático y sus implicaciones en
las conductas criminales. Buscar elementos probatorios, apoyados en mecanismos informáticos que,
permitan ofrecer validez y originalidad a un documento electrónico. Desarrollar habilidades técnico-forenses para integrar la investigación criminal
con las técnicas computacionales de protección. Establecer un conjunto de directrices generales que vinculen acciones sobre
objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.
Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.
Retos que plantea
Retos Técnicos Desarrollar prácticas y procedimientos de programación que busquen disminuir
los problemas de seguridad en los productos de software y hardware. Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los
productos entregados. Concienciar sobre las responsabilidades jurídicas de los ingenieros: Previsibilidad, debido cuidado y diligencia Definir prácticas y políticas de seguridad informática, como pruebas
preconstituidas para la organización. Establecer un programa interdisciplinario que incorpore en la formación técnica,
las consideraciones legales. La computación forense como un puente para comprender las pruebas judiciales
y su impacto en el mundo informático.