Post on 07-Jun-2015
description
De Uso Público
Informática Forense
De Uso Público
Agenda● Evidencia Digital● Principios en la Informática Forense
● Inform tica Forenseá
● Laboratorio Forense● Proyecto CENIF● Herramientas
De Uso Público
Principio de Intercambio de Locard
"Siempre que dos objetos entran en contacto estos
transfieren parte del material que incorporan al
otro objeto"
De Uso Público
Evidencia Digital
Toda información digitalizada susceptible de ser analizada por un método técnico y de generar
conclusiones irrefutables en lo legal
De Uso Público
Característica de la Evidencia Digital
● No podemos “verla”● No se puede interpretar
sin conocimientos técnicos● Es sumamente volátil● Puede copiarse sin límites
De Uso Público
Característica de la Evidencia Digital
● Las copias son indistinguibles del original● Bueno para los peritos: ¡Se analiza la copia!● Malo para los juristas: el concepto de “original”
carece de sentido
De Uso Público
Delito Informático
Son crímenes que se enfocan en hacer uso de redes de computadoras con el objetivo de
destruir y dañar ordenadores o medios electrónicos, ocultamiento de información,
esquivar la detección de algún evento.
De Uso Público
Ejemplos de un Delito Informático
● Fraudes● Robo● Falsificación● Acceso Indebido● Sabotaje a Sistemas● Delitos Contra la Propiedad● Espionaje● Pornografía Infantil● Oferta Engañosa
De Uso Público
Principios Informática Forense
● Adherirse a estándares legales● Formación específica en técnicas forenses● Control de la evidencia digital● Reducir al mínimo la posibilidad de examinar la
evidencia original● Nunca exceder la base de conocimientos● Documentar cualquier cambio en la evidencia
De Uso Público
Principio Rectores de la IETFRFC 3227
Principios:● Respetar las leyes y aplicar las política de
seguridad.● Capturar la imágen de un sistema lo más
exacto posible.● Detallar fechas y horas, anotando la diferencia
entre la hora del sistema y la del UTC.● Estar preparado para testificar
(quizás años más tarde).
De Uso Público
Principio Rectores de la IETFRFC 3227
● Minimizar los cambios a los datos que se van a colectar
● Entre la colección y el análisis, prevalece primero la colección
● Por cada dispositivo se debe adoptar un criterio que debe ser aprobado
● Proceder de lo más volátil a lo menos volátil
De Uso Público
Base Legal y Sub-Legal
● Ley Especial Contra Los Delítos Informáticos● Ley Sobre Mensajes de Datos y Firmas
Electrónicas● Reforma de la Ley Sobre Mensajes de Datos y
Firmas Electrónicas● Código Orgánico Procesal Penal (COPP)● Estándares Internacionales: ISO, IETF, IEEE,
entre otros
Informática Forense
AnálisisAnálisisPresentaciónPresentación
Cadena de custodiaPreservación de
evidenciaDocumentación
Cadena de custodiaPreservación de
evidenciaDocumentación
ReconstrucciónAnálisisHerramientas
ReconstrucciónAnálisisHerramientas
Presentación oral y escrita
Lenguajes correctosSoportes adecuados
Presentación oral y escrita
Lenguajes correctosSoportes adecuados
ColecciónColección
De Uso Público
De Uso Público
Etapas de laInformática Forense
Cadena de Custodia
PreservaciónPreservaciónPreservaciónPreservación ColecciónColecciónColecciónColección AnálisisAnálisisAnálisisAnálisis PresentaciónPresentaciónPresentaciónPresentación
De Uso Público
Etapas de laInformática Forense
La Evidencia debe ser cuidadosamente colectada y Documentada● Debe existir una fuentes de poder
alternas● Evitar eliminar procesos extraños● Evitar alterar marcas de tiempo en los
archivos● Evitar aplicar parches antes de
colectar la información
PreservaciónPreservación
De Uso Público
Etapas de la Informática Forense
Autentique la Evidencia Preservada● Cree un Hash Electrónico de la Evidencia● Utilice MD5SUM, SHA1SUM o similar
Identifique y Etiquete la Evidencia● Número de Caso● Detalle la Evidencia● Firma del responsable de la Cadena de Custodia
De Uso Público
De Logs y registros: ● Routers, Firewalls, IDS, Impresión
De hipótesis y testimoniosCopias Forenses (Discos)Almacenamiento● Evidencia, equipo forense● Sitio aislado con condiciones de
operación estables● Accesos registrados
Etapas de laInformática Forense
ColecciónColección
De Uso Público
Lista de control de la evidencia evidencia en cualquier punto, desde la colección colección hasta la presentaciónhasta la presentación o destrucción que sirve para verificar que nunca fue alterada o borrada.Métodos Lógicos (firmas criptográficas MD5, SHA)Métodos Físicos (etiquetas, candados, bóvedas)
Etapas de laInformática Forense
Cadena de Custodia
De Uso Público
Proceso que utiliza el investigador para descubrir informaci n valiosaódescubrir informaci n valiosaó para la investigaci n. óLa b squeda y extracci n de ú ódatos relevantes.
Etapas de laInformática Forense
AnálisisAnálisis
AnálisisFísico
AnálisisLógico
De Uso Público
Etapas de laInformática Forense
PresentaciónPresentación
Debe contener: Contexto del incidente Listado de evidencias Hallazgos Acciones realizadas por el
investigador Documentación de la cadena de
custodia, conclusión.
¿Qué se necesita para montar un laboratorio forense?
● Asignación presupuestaria● Las estadísticas de años anteriores● Tener en cuenta el espacio requerido, el equipamiento
necesario, el personal, la formación, el software y el hardware.
● La naturalezanaturaleza de laboratorio forense es un factor determinante.
Laboratorio Forense
De Uso Público
Laboratorio Forense
De Uso Público
Laboratorio Investigación
Portafolio deProcedimientos
Peticiones
ResultadosFavorables
Laboratorio Forense
De Uso Público
Responsable
Portafolio Portafolio
Analista ForenseNivel I
Analista ForenseNivel II
Analista ForenseExperto
Crypto
Aplicaciones
Base de datos
Consultores(Investigadores)
Consultores(Investigadores)
De Uso Público
Es un laboratorio de informática forense para la colección, análisis, preservación y presentación de las evidencias relacionadas con las tecnologías de información, con el objeto de prestar apoyo a los cuerpos de investigación judicial órganos y entes del Estado que así lo requieran.
Objetivo
Hardware Forense
De Uso Público
Software Forense
De Uso Público
Software Forense
De Uso Público
De Uso Público
http://www.suscerte.gob.ve/
https://www.vencert.gob.ve/
@suscerte y @vencert
0212 – 578.5674 / 572.29210800 VENCERT
atencionalciudadano@suscerte.gob.vecenif@suscerte.gob.ve
info@vencert.gob.ve
GRACIAS POR SU ATENCIÓN...GRACIAS POR SU ATENCIÓN...