Informatica-Forense-Coordinador-del-Trabajo-Forense-en-la-Escena-del-Crimen.ppsx

DIVISIN INFORMTICA JUDICIAL

DIVISIN INFORMTICA JUDICIALDIRECCION DE POLICIA CIENTIFICADEPARTAMENTO ESTUDIOS ESPECIALES

GENDARMERA NACIONAL ARGENTINADIRECCIN DE POLICA CIENTFICADELITOS INFORMTICOSLEONARDO RAFAEL IGLESIASINGENIERO ELECTRNICOJEFE DIVISIN INFORMTICA JUDICIAL

5/14/2014 10:44 AM 2007 Microsoft Corporation. Todos los derechos reservados. Microsoft, Windows, Windows Vista y otros nombres de productos son o podran ser marcas registradas o marcas comerciales en los EE.UU. u otros pases.La informacin incluida aqu solo tiene fines informativos y representa la vista actual de Microsoft Corporation a fecha de esta presentacin. Ya que Microsoft debe responder ante los cambios en el mercado, no debe considerarse responsabilidad suya el hecho de garantizar la precisin de la informacin facilitada despus de la fecha de esta presentacin. MICROSOFT NO FACILITA GARANTAS EXPRESAS, IMPLCITAS O ESTATUTORIAS EN RELACIN A LA INFORMACIN CONTENIDA EN ESTA PRESENTACIN.

2QUE SON LOS DELITOS INFORMTICOS?Hecho o conducta ilcita que se comete mediante la utilizacin de herramientas electrnicas o informticas.

Son todos aquellos delitos, tipificados en el cdigo penal, que hacen uso indebido de cualquier medio o sistema informtico.

Es toda aquellaaccin, tpica, antijurdica y culpable, que se da por vas informticas o que tiene como objetivo destruir y daar ordenadores, medios electrnicos y redes de Internet.5/14/2014 10:44 AM 2007 Microsoft Corporation. Todos los derechos reservados. Microsoft, Windows, Windows Vista y otros nombres de productos son o podran ser marcas registradas o marcas comerciales en los EE.UU. u otros pases.La informacin incluida aqu solo tiene fines informativos y representa la vista actual de Microsoft Corporation a fecha de esta presentacin. Ya que Microsoft debe responder ante los cambios en el mercado, no debe considerarse responsabilidad suya el hecho de garantizar la precisin de la informacin facilitada despus de la fecha de esta presentacin. MICROSOFT NO FACILITA GARANTAS EXPRESAS, IMPLCITAS O ESTATUTORIAS EN RELACIN A LA INFORMACIN CONTENIDA EN ESTA PRESENTACIN.

3TIPOS DE DELITOS INFORMTICOSFraudePornografa infantilEstafaRobo de propiedad intelectualDenegacin de serviciosAcceso no autorizadoExtorsinRobo de serviciosSabotaje informticoAbuso de privilegiosEtc

5/14/2014 10:44 AM 2007 Microsoft Corporation. Todos los derechos reservados. Microsoft, Windows, Windows Vista y otros nombres de productos son o podran ser marcas registradas o marcas comerciales en los EE.UU. u otros pases.La informacin incluida aqu solo tiene fines informativos y representa la vista actual de Microsoft Corporation a fecha de esta presentacin. Ya que Microsoft debe responder ante los cambios en el mercado, no debe considerarse responsabilidad suya el hecho de garantizar la precisin de la informacin facilitada despus de la fecha de esta presentacin. MICROSOFT NO FACILITA GARANTAS EXPRESAS, IMPLCITAS O ESTATUTORIAS EN RELACIN A LA INFORMACIN CONTENIDA EN ESTA PRESENTACIN.

4INFORMTICA FORENSE

Informtica ForenseEs una disciplina criminalstica que tiene como objeto la investigacin, en sistemas informticos, de hechos con relevancia jurdica o para la simple investigacin privada.

Para conseguir sus objetivos, la Informtica Forense desarrolla tcnicas idneas para ubicar, reproducir y analizar evidencias digitales con fines legales.DIVISIN INFORMTICA JUDICIAL

EVIDENCIA DIGITALDIVISIN INFORMTICA JUDICIAL

Es cualquier registro generado por o guardado en un medio de almacenamiento tecnolgico que es utilizado para demostrar la comisin de un delito, y sirve como elemento material probatorio en un juicio.

Cuando se la compara con otras formas de evidencia documental la evidencia computacional es frgil. Esto hace que los datos digitales adquiridos, o sea la copia obtenida, no debe alterar las originales del disco, o sea deben ser exactamente iguales a los originales. De aqu toma importancia el CHECKSUM o HASH.Bases y Marco legalBreve reseaGua Tcnica para Levantamiento de Evidencia DigitalLey 26388 Delitos Informticos Ley 25506 Firma DigitalLey 25326 de Habeas DataLey 24766 Confidencialidad Procedimiento de Anlisis y cuidados de la PruebaLey 22362 Registros MarcariosLey de Propiedad Intelectual


Software Utilizado

EL PROGRAMA ENCASE HA SIDO OPTIMIZADO PARA MANEJAR LA COMPLEJIDAD CADA VEZ MAYOR DE LAS CONFIGURACIONES Y CAPACIDADES INFORMTICAS.

EL PROGRAMA ENCASE AVALADO POR EL INSTITUTO NACIONAL PARA ESTNDARES Y TECNOLOGA (NIST).

ESTE CONCLUY QUE ENCASE IMAGING ENGINE (MOTOR DE CREACIN DE IMGENES DE DISCOS) OPERA CON MNIMOS DEFECTOS.


Hardware Utilizado

DIVISION INFORMTICA JUDICIAL

Procedimiento de anlisis y cuidado de la pruebaDIVISION INFORMTICA JUDICIAL

VER LAS CONDICIONES DEL ESTADO GENERAL DEL EQUIPO A ANALIZAR.NO CONTAMINAR LA PRUEBA.ACTUAR METDICAMENTE.OBTENER UNA IMGEN FORENSE DEL DISCO.PRIORIZAR EL CUIDADO DEL HASH ENTRE LA PRUEBA Y LA IMAGEN FORENSE.NO DAAR ELEMENTOS DE HARDWARE DE LA PRUEBA.MTODO FORENSE

DIVISION INFORMTICA JUDICIAL1. Acceso informtico forense2. Identificacin de la evidencia3. Autenticacin de la evidencia4. Preservacin de la evidencia

1 Acceso Informtico Forense

CONSISTE EN:Se extrae el disco a analizar del Equipo Informtico cuestionadoDispositivos especiales de conexionado para ingresar al HD. Se usa la herramienta ENCASE para analizar el HDComienza con la realizacin de la Imagen o copia espejo forense.5/14/2014 10:44 AM 2007 Microsoft Corporation. Todos los derechos reservados. Microsoft, Windows, Windows Vista y otros nombres de productos son o podran ser marcas registradas o marcas comerciales en los EE.UU. u otros pases.La informacin incluida aqu solo tiene fines informativos y representa la vista actual de Microsoft Corporation a fecha de esta presentacin. Ya que Microsoft debe responder ante los cambios en el mercado, no debe considerarse responsabilidad suya el hecho de garantizar la precisin de la informacin facilitada despus de la fecha de esta presentacin. MICROSOFT NO FACILITA GARANTAS EXPRESAS, IMPLCITAS O ESTATUTORIAS EN RELACIN A LA INFORMACIN CONTENIDA EN ESTA PRESENTACIN.

132 Identificacin de la Evidencia

En que consiste:Se identifica un conjunto de pruebas para ser tomadas como evidencia.Recuperar los atributos del archivoRelevar la mayor cantidad de evidencia digital (sin alterarla)143 Autenticacin de la Evidencia

En que consiste:Clculo de firmas digitales.Se obtiene un HASH (MD5 y SHA1).Garantiza: integridad de evidencias digitales recolectadas y permite identificar UNIVOCAMENTE a tales archivos.15CriptografaAutenticacin: implica hablar de corroboracin de la identidad. En particular del origen de un archivo.

Confidencialidad: mantener en secreto una informacin determinada.

Integridad: la informacin no haya sido alterada por personas no autorizadas u otro medio desconocido.

Usos 5/14/2014 10:44 AM 2007 Microsoft Corporation. Todos los derechos reservados. Microsoft, Windows, Windows Vista y otros nombres de productos son o podran ser marcas registradas o marcas comerciales en los EE.UU. u otros pases.La informacin incluida aqu solo tiene fines informativos y representa la vista actual de Microsoft Corporation a fecha de esta presentacin. Ya que Microsoft debe responder ante los cambios en el mercado, no debe considerarse responsabilidad suya el hecho de garantizar la precisin de la informacin facilitada despus de la fecha de esta presentacin. MICROSOFT NO FACILITA GARANTAS EXPRESAS, IMPLCITAS O ESTATUTORIAS EN RELACIN A LA INFORMACIN CONTENIDA EN ESTA PRESENTACIN.

16Hash Tambin denominado valor Hash o sntesis del mensaje, es un tipo de transformacin de datos.Un Hash es la conversin de determinados datos de cualquier tamao, en un nmero de longitud fija no reversible, mediante la aplicacin a los datos de una funcin matemtica unidireccional denominada algoritmo Hash.Existen funciones comunes de Hash en un sentido. Las ms comunes son MD5 y SHA-1.5/14/2014 10:44 AM 2007 Microsoft Corporation. Todos los derechos reservados. Microsoft, Windows, Windows Vista y otros nombres de productos son o podran ser marcas registradas o marcas comerciales en los EE.UU. u otros pases.La informacin incluida aqu solo tiene fines informativos y representa la vista actual de Microsoft Corporation a fecha de esta presentacin. Ya que Microsoft debe responder ante los cambios en el mercado, no debe considerarse responsabilidad suya el hecho de garantizar la precisin de la informacin facilitada despus de la fecha de esta presentacin. MICROSOFT NO FACILITA GARANTAS EXPRESAS, IMPLCITAS O ESTATUTORIAS EN RELACIN A LA INFORMACIN CONTENIDA EN ESTA PRESENTACIN.

174. Preservacin de la evidencia


Resguardo de la evidenciaDIVISION INFORMTICA JUDICIAL

QU SE PUEDE OBTENER DEL ANLISIS FORENSE?PODEMOS OBTENER:AGENDA DE CONTACTOSLOGS O HISTORIALESCALENDARIO / TAREASSMS ENVIADOS Y RECIBIDOSARCHIVOS MULTIMEDIA (IMGENES, VIDEO, ETC)E-MAIL O CORREOSARCHIVOS BORRADOSARCHIVOS DE SISTEMALLAMADAS ENTRANTES / SALIENTESDOCUMENTOS WORD / EXCEL / PDF Y OTROSBASES DE DATOSTRANSACCIONES BANCARIASCHATETC

PUNTOS PERICIALESPuntos Periciales

Anlisis de contenidos del Sistema Operativo.Recuperacin de archivos borrados (total o parcial).Bsqueda de palabras claves o por extension.Deteccin de maniobras de encubrimiento.Determinacin de fecha y hora de archivos borrados.Exportacin de archivos desde su origen a un soporte Toma del contenido de informacin en celulares.Recuperacin de datos borrados (mensajes y contactos)Anlisis de tarjeta SIM.Si los celulares presentan algn tipo de adulteracin.Todo otro dato de inters para la causa.Y muchos otros ms.SECUESTRO DE EVIDENCIA EN LA ESCENA DEL CRIMEN DIGITALDIVISION INFORMTICA JUDICIAL

LA ESCENA DEL CRIMEN DIGITAL


DIVISION INFORMTICA JUDICIALEQUIPO A LLEVARGUANTESZAPATILLAS SEGURAS PARA CONEXIONFUENTE (110V/220V)MAQUINAS DE FOTOGRAFIASDVDCDSWITCHADAPTADOR DE SWITCHCABLES UTPBOLSAS ANTI-ESTTICAGOMA ESPUMAPRESERVACIN Y DOCUMENTACIN DE LA ESCENA DEL CRIMEN DIGITAL

DIVISION INFORMTICA JUDICIALEQUIPO A LLEVAR:PC O NOTEBOOK con suficientes puertos USB y FW 800Bloqueador de Escritura (Write Blocker)Cables de conexin/Adaptadores/Interfaces/ Cajas para removibles/LAN CrossoverSoftware Forense (F-SW)Discos de almacenamiento de destinoSANITIZADOS (WIPEADOS)PRESERVACIN Y DOCUMENTACIN DE LA ESCENA DEL CRIMEN DIGITAL

DIVISION INFORMTICA JUDICIALVERIFICAR SU PROPIA SEGURIDADUSAR GUANTESINVENTARIAR TODO LO ENCONTRADOLAPTOPSCELULARESDISKETTESMEMORIAS FLASHBLACKBERRYSDISCOS RGIDOSDISCOS PTICOSPEN DRIVESPDAsCAMARAS DIGITALESREPRODUCTORES DE MP3PASOS A SEGUIR POR EL EXAMINADOR

DIVISION INFORMTICA JUDICIALINVENTARIAR TODO LO ENCONTRADO

PASOS A SEGUIR POR EL EXAMINADOR

DIVISION INFORMTICA JUDICIALCONSULTAR CONEXIONESPROVEEDOR DE INTERNET FOTOGRAFIAR LOS EQUIPOSFOTOGRAFIAR LAS CONEXIONES DE LOS EQUIPOS


DIVISION INFORMTICA JUDICIALFOTOGRAFIAR LOS EQUIPOS

DOCUMENTARPASOS A SEGUIR POR EL EXAMINADOR

DIVISION INFORMTICA JUDICIALFOTOGRAFIAR LAS CONEXIONES EXTERNAS, ENTRE LOS EQUIPOS


DIVISION INFORMTICA JUDICIALFOTOGRAFIAR CONEXIONES INTERNAS


DIVISION INFORMTICA JUDICIALFOTOGRAFIAR LAS PANTALLASPASOS A SEGUIR POR EL EXAMINADOR

DIVISION INFORMTICA JUDICIALRECORDAR JERARQUA DE EVIDENCIA DIGITAL:DATOS VOLTILESRegistros del ProcesadorContenido de Memoria CachContenido de Memoria RAMConexiones de RedProcesos activosDATOS NO VOLTILESContenido del Sistema de Archivos y Medios de Almacenamiento FijosContenido Medios de Almacenamiento RemoviblesVOLTILMENOS VOLTILPASOS A SEGUIR POR EL EXAMINADOR

DIVISION INFORMTICA JUDICIALHORA Y FECHA DEL SISTEMAPROCESOS EN EJECUCINCONEXIONES DE REDPUERTOS ABIERTOSAPLICACIONES ESCUCHANDO EN SOCKETS ABIERTOSUSUARIOS CONECTADOS (LOGGED ON)INFORMACIN ALMACENADA EN MEMORIAINFORMACIN VOLTIL - OBTENER

DIVISION INFORMTICA JUDICIALRECOLECTAR INFORMACIN VOLTILSI ESTAN PRENDIDOS LOS EQUIPOS (Intrprete de comandos cmd):date /t && time /tnetstat naipconfig /allsysteminfodoskey /historypsloggedonpslistPASOS A SEGUIR POR EL EXAMINADORPASOS A SEGUIR POR EL EXAMINADORRECOLECTAR INFORMACIN VOLTILFECHA Y HORA CON:date /t && time /tSi estn habilitadas las extensiones de comandos, el comando DATE admite el parmetro /T, que indica al comando mostrar tan slo la fecha actual sin pedir una nueva fecha.


PASOS A SEGUIR POR EL EXAMINADORRECOLECTAR INFORMACIN VOLTILCONEXIONES DE RED ACTIVAS (TCP/IP) CON:netstat -naMuestra estadsticas del protocolo y conexiones TCP/IP actuales.-n muestra nmeros de puertos y direcciones en formato numrico-a muestra todas las conexiones y puertos de escucha.


DIVISION INFORMTICA JUDICIALRECOLECTAR INFORMACIN VOLTILCONFIGURACIN DE RED:ipconfig -all-all muestra toda la informacin de la conexin


PASOS A SEGUIR POR EL EXAMINADORRECOLECTAR INFORMACIN VOLTILCONFIGURACIN DEL SISTEMA:systeminfoPermite al administrador buscar informacin bsica de configuracin del sistema.


PASOS A SEGUIR POR EL EXAMINADORRECOLECTAR INFORMACIN VOLTILHISTRICO DE COMANDOS CON:doskey /historyEdita lneas de comandos, recupera los ltimos comandos ejecutados y crea macros.


PASOS A SEGUIR POR EL EXAMINADORRECOLECTAR INFORMACIN VOLTILUSUARIOS CONECTADOS AL SISTEMA CON:psloggedon.exe


PASOS A SEGUIR POR EL EXAMINADORRECOLECTAR INFORMACIN VOLTILPROCESOS EN EJECUCIN CON:pslist.exe


DIVISION INFORMTICA JUDICIALDESCONECTAR LA CONECTIVIDADCABLES DE REDVERIFICAR CONEXIONES WI-FIPASOS A SEGUIR POR EL EXAMINADOR

DIVISION INFORMTICA JUDICIALAPAGAR LAS COMPUTADORASPASOS A SEGUIR POR EL EXAMINADOR

GUARDAR LA EVIDENCIAUTILIZAR GOMA ESPUMA


DIVISION INFORMTICA JUDICIALDOCUMENTACIN (EN PAPEL) DE:Confiscacin o SecuestroCustodiaControlTransferenciaAnlisisRemisin de evidencia digitalMANIPULAR LA EVIDENCIA CUIDADOSAMENTE PARA EVITAR ALEGATOS DE ADULTERACIN Y/O FALSIFICACIN DE LA EVIDENCIA DIGITALCADENA DE CUSTODIA


DIVISION INFORMTICA JUDICIALDEBE DOCUMENTARSE EL PROCESO DE CICLO DE VIDA DE LA EVIDENCIA DIGITAL:MtodosHorariosFechasIdentidad del Personal InvolucradoEtc.DEBE DOCUMENTARSE:DNDE ESTUVO LA EVIDENCIA?QUIN TUVO ACCESO A LA MISMA?DESDE LA OBTENCIN INICIAL HASTA QUE LLEGUE A LOS TRIBUNALES DE JUSTICIACADENA DE CUSTODIA

DIVISION INFORMTICA JUDICIALCADENA DE CUSTODIAFecha de contacto con la evidenciaNombre de la personaRegistro del pasaje de una persona a otraRegistro del pasaje de una ubicacin fsica a otraTareas realizadas durante la posesinSellado de la evidencia al finalizar la posesinRegistro de testigosFotografas de la evidencia en las tareas realizadasLog de actividades durante la posesin

DIVISION INFORMTICA JUDICIALCADENA DE CUSTODIADOCUMENTAR:Qu es la evidencia?Cmo se la obtuvo?Cundo fue obtenida?Quin la obtuvo?Dnde viaj?Dnde fue guardada?

LA ESCENA DEL CRIMEN DIGITALPASOS:VERIFICAR SU PROPIA SEGURIDADINVENTARIAR TODO LO ENCONTRADOFOTOGRAFIAR LOS EQUIPOSFOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOSFOTOGRAFIAR LAS PANTALLASRECOLECTAR INFORMACIN VOLTILFECHA Y HORACONEXIONES DE RED ACTIVASINFORMACIN DEL SISTEMAHISTRICO DE COMANDOSUSUARIOS LOGGEADOS AL SISTEMAPROCESOS ACTIVOSDESCONECTAR LA CONECTIVIDADAPAGAR LAS COMPUTADORASGUARDAR LA EVIDENCIAPROTEGER LA CADENA DE CUSTODIAACTA CONSTANCIA

DIVISION INFORMTICA JUDICIALTELEFONIA CELULARHardware UtilizadoProcedimiento de Anlisis y cuidado de la PruebaMetodologa de acceso a la informacinPRESENTACIN DEL ELEMENTO DE PRUEBAObjetivo logradoDIVISION INFORMTICA JUDICIAL

Hardware UtilizadoDIVISION INFORMTICA JUDICIAL

UFED

DIVISION INFORMTICA JUDICIAL REPORTE UFED: PDF

Hardware UtilizadoDIVISION INFORMTICA JUDICIAL XRY


XRYDIVISION INFORMTICA JUDICIAL

XRY


REPORTE XRY: HTML


XRYProcedimiento de anlisis y cuidadoS de la pruebaDIVISION INFORMTICA JUDICIALVer las condiciones del estado general del equipo de telefona celular a analizar.No contaminar la prueba.Actuar metodicamente.No daar elementos de hardware en la prueba.Controlar la cadena de custodia.

1. RELEVAMIENTO AUTOMTICO DE DATOS

2. RELEVAMIENTO MANUAL DE DATOS

3. PRESENTACIN Y RESGUARDO DE DATOS

METODOLOGA DE ACCESO A LA INFORMACINDIVISION INFORMTICA JUDICIAL

PRESENTACIN DEL ELEMENTO DE PRUEBADIVISION INFORMTICA JUDICIAL

FIN

Informatica-Forense-Coordinador-del-Trabajo-Forense-en-la-Escena-del-Crimen.ppsx

Documents

Transcript of Informatica-Forense-Coordinador-del-Trabajo-Forense-en-la-Escena-del-Crimen.ppsx