Octubre 2011

SEMINARIO INTERNACIONAL SEGURIDAD DE LA INFORMACIÓN: NUEVOS RETOS

“RECOLECCIÓN DE EVIDENCIAS”

Subintendente, YAIR VANEGAS RODRIGUEZ yair.vanegas@correo.policia.gov.co

1II. GRUPO INVESTIGACIONES

TECNOLÓGICAS

Contenido

1. EVIDENCIA DIGITAL 1I. ASPECTOS QUE SE DEBEN

FORTALECER

EVIDENCIA DIGITAL

I

Evidencia Digital

Cualquier información que,

sujeta a una intervención

humana u otra semejante, ha

sido extraída de un medio

informático.

Tomado de Computación forense. Jeimy J. Cano M (Colombia).

Procesamiento de la

evidencia digital

Identificación Preservación Análisis de la

información Recolección

Equipos de cómputo, discos duros

(externos-internos), memorias USB,

cámaras digitales, teléfonos celulares-

satelitales-inteligentes, GPS, dispositivos

reproductores Ipod-Mp3-Mp4, Tablet PC,

entre otros.

Dispositivos Electrónicos:

Elementos complementarios

Cuadernos, libros, apuntes, registros,

contenedores de basura.

Identificación

¡¡¡ No olvide la evidencia tradicional !!!

EMP Digital - Convencional

Todos los hallazgos

pueden ser importantes.

Preservación

Detalle Fotografía Portátiles

incautados 22092010

Fijación (fotografía, video,

documentación, etc. )

Verificación de los medios

electrónicos y equipos de

computo. Estado de funcionamiento

de los equipos.

Datos volátiles

Procesos, historial de

comandos

Direcciones IP, Conexiones

Puertos Abiertos

Contraseñas

Información del sistema,

usuarios

Escenario BitLocker

Determinar Versión del

sistema operativo

Determinar activación de BitLocker

C:\Windows\system32> cscript manage-bde.wsf –status

Generar claves de recuperación

Realizar Imagen Forense

ATA -Introduction to Digital Forensics and Investigations

Escenario Filevault

Identificar si existen usuarios configurados

con fileVault

Extraer archivo sparsebundle

Verificar contraseñas

Realizar Imagen Forense

ATA -Introduction to Digital Forensics and Investigations

Privilegios de administración Convierte el archivo .sparsebundle en dmg Permiso solamente de lectura. Hdiutil convert forense.sparbunble format UDRO –o sparbundle.dmg

Escenario Teléfonos Celulares

Debemos apagar el teléfono celular?

Aislar el teléfono de la red

Recolectar cables

de datos, cables de

corriente, contraseñas.

Realizar extracción

De información del

teléfono

Imágen Forense

Una imagen forense es una copia no modificada de

un dispositivo de almacenamiento electrónico.

La creación de una imagen forense garantiza:

La integridad de las pruebas.

Protección contra cambios o daños no

deliberados a los datos originales.

Software para adquisición

Utilizar CD Live Configurar SETUP ó

opción de Boot de PC

Búsqueda de información

Borrado Seguro

http://www.forwarddiscovery.com/Raptor

Realizar Imágenes forenses

Sumas de verificación MD5 y SHA1

Procedimiento matemático

que mediante el empleo de un

algoritmo permite identificar

un archivo con valor único,

este valor se calcula sobre el

contenido del archivo y no

sobre el nombre del mismo.

Fuentes de recolección de

evidencia digital

Internet (Redes sociales, blogs, sitios

Web).

Correos electrónicos (Encabezados,

mensajes, archivos adjuntos).

¡¡¡RECUERDE!!!

Fijación mediante planos, videos, fotografías

Registrar Sumas de verificación MD5 y SHA1

Actas de inspección Judicial.

Registro de cadena de custodia

Apagar equipo de computo

Registro características dispositivos

Modelos, número de serie, marca,

tamaño.

Recolección

Obtener información de contraseñas

Claves de teléfonos, contraseñas de

acceso a los equipos, apuntes.

Documentar todos los procedimientos

siempre.

Documentar:

Procesamiento de la evidencia digital

Diligenciamiento cadena de custodia, documentación de los

elementos registrar errores.

Verificación de los elementos materiales probatorios

Documentación de los elementos enviados para analísis

Verificación números de identificación, características

dispositivos .

Procesamiento de la

evidencia digital

Obtención de imágenes forenses.

Envían equipos al laboratorio

para análisis.

Configuración de Zona horaria

Identificación de archivos cifrados

(Casos específicos )

Procesamiento de la

evidencia digital

Recuperación de archivos Borrados

Acceder archivos de navegación

Verificar registro del sistema operativo

(SAM, SECURITY, SOFTWARE, SYSTEM, NTUSER)

Se deben priorizar la búsqueda de información

sobre dispositivos.

Creación archivo del caso

Procesamiento de la evidencia digital

Visualización de log´s de conversaciones.

Informes de investigador de laboratorio

Búsqueda específica para cada caso,

registros de conexión, archivos ejecutables,

Documentos específicos.

ASPECTOS QUE

SE DEBEN

FORTALECER 2

Sensibilización

Autoridades Judiciales Jueces,

Fiscales, investigadores.

Sensibilización de la entidades

de gobierno para que adopten

procedimientos para la atención

de incidentes informáticos .

Proveedores de servicios de

internet.

Capacitación

Sensibilización a los

funcionarios que asumen el rol

de seguridad.

Capacitar a los funcionarios de

las entidades comprometidas en

el proceso de recolección de

evidencia digital.

Capacitar a los usuarios

independientemente el rol.

Fortalecimiento

Análisis de Malware

Análisis forense en Cloud

computing .

Análisis forense en nuevas

versiones de sistemas

operativos.

Capacidad de almacenamiento

digital.

GRUPO

INVESTIGACIONES

TECNOLÓGICAS 3

Desarrollo GITEC-DIJIN

2005 2007 2006 2008 2009 2010 2011

Inicio Programa

Seminario Ejecutivo Ciberterrorismo Respuesta Incidentes Recolección de Evidencia Digital

Programas Forenses

Visita Laboratorios FBI, DEA, USSS, ICE, IRS, Departament of State

Entrega de equipos forenses Herramientas forenses Software forense

Equipos forenses para análisis Dispositivos de comunicación móvil

Proyecto de Inversión DIJIN Renovación licencias FTK Encase

Mantenimiento equipos en donación Adquisición equipos DIJIN

Capacitación Instructores DIJIN Capacitación MAC Forensic

Implementación

Tecnológica

Análisis Digital Forense Recuperación de data eliminada Análisis de Teléfonos Inteligentes Informes Periciales de laboratorio Bodega Transitoria de Evidencia Digital

Seguimiento a objetivos en Internet Recuperación de información dejada al navegar por Internet Búsqueda de Objetivos en la Red Redes sociales y perfiles

Investigación de Fraudes Pornografía Infantil Ley 1273 de 2009 Propiedad Intelectual

CAI VIRTUAL

$ 1.500 Millones

Capacidad Tecnológica

Descubrimiento, recolección, procesamiento, análisis y

preservación de evidencia digital

Ajuste y aplicación de principios y estándares universales

Análisis forense computadores, discos externos, memoria USB,

celulares y otros

Extracción de archivos borrados, fragmentos

de archivos

Desciframiento de contraseñas de archivos

Reconstrucción de actividades WEB - historial

Archivos ocultos – códigos maliciosos

Cobertura Cali, Medellín, Bucaramanga ,

Barranquilla , Bogotá (02), proyección.

No. Casos Análisis Forenses

No. Gigabytes Analizados 11

3836

57

79

125

170

153

0

20

40

60

80

100

120

140

160

180

2004 2005 2006 2007 2008 2009 2010 2011

AÑO GB

2004 804

2005 1795

2006 2767

2007 4900

2008 11.039

2009 20.480

2010 32.844

2011 40.670

……Bibliografía

http://www.forwarddiscovery.com/Raptor

ATA -Introduction to Digital Forensics and Investigations

ATA- Forensic Acquisition of Digital Evidence – BitLocker Overview

http://technet.microsoft.com/es-es/library/cc732774(WS.10).aspx

Computación forense Descubriendo los RASTROS INFORMÁTICOS

CANO, Jeimy .

http://www.forensickb.com/ Lance Mueller

Enciclopedia de la Seguridad Informática , Gómez Álvaro

Windows Forensics Analysis, Harlan Carvey

¿PREGUNTAS?

GRACIAS