escena del hecho
Post on 25-Oct-2015
25 Views
Preview:
TRANSCRIPT
INFORMATICA FORENSE
Ing. Guido Rosales Uriona
1
AMENAZAS TECNOLOGICAS
Robo deInformacion
CCTV AcosoViolacionDe privacidad
SPAM PIrateria Phising
PornografiaInfantil Espionaje
Virus
TRIÁNGULO DEL CRIMEN
Lawrence Cohen y Marcus Felson - 1979
INFOFOR - COMO ESTAMOS?
5012,512,5
50
25
6Rs Completo Escena del hecho6Rs Completo Escena del hecho
Previo Analisis
APLICACIÓN INFOFORC C Ó O O
INVESTIGACIONEEscena
delHecho
AnálisisPericial
(Forense)
CONSIDERACIONES IMPORTANTES
LM – Lugar y momento del hecho – CalienteVolatilidad de la evidencia RFC 3227: registrosVolatilidad de la evidencia RFC 3227: registros, cache, tabla de ruteo, memoria, temporales, disco, etc.
LP – Lugar del hecho pero Posterior al momento (x tiempo) – Tibio
Backups primariosBackups primariosLMP – Lugar del hecho pero Posterior al momento (y tiempo > x tiempo) – Friop p )
Backups removibles
Método del Octágono
ETAPA 1. PROTECCION
Evitar la contaminación de la escena del hechoFísica y virtual (alcance inalámbrico)Escaneo inalámbrico (sonido video datos)Escaneo inalámbrico (sonido, video, datos)
Apagar dispositivos previa acta del último estado o pantalla visible
Apagado Frio / Duro - Cortando la energíaApagado Frio / Duro Cortando la energía Mal Menor / Bien Mayor
Registro del tiempo exacto (GMT -4)
Registro del Tiempo: Hora Oficial
La brinda el Observatorio Astronómico Santa Ana de Tarija en cumplimiento de la Ley 1436Ana de Tarija, en cumplimiento de la Ley 1436 del 11/12/1993 . Se le da el rango de "Observatorio Nacional" y se le autoriza laObservatorio Nacional y se le autoriza la "Conservación y Emisión de la Hora Oficial Boliviana en todo el territorio nacional".El observatorio Naval de los E.E.U.U (GMT -4) en sincronización directa via internet con su reloj atómico. La diferencia con la hora oficial de Bolivia es de +3 segundos.
Ing. Guido Rosales Uriona
Ing. Guido Rosales Uriona
www.themegallery.com
CONTRAMEDIDAS
INVESTIGACION INTERNA
Los dispositivos son protegidos mas no apagadosRFC 3227Volcado de memoria e Imagen de Disco
HELIX, WinHexSU3 Extracción de datos: Memos U3 (system info external IPSU3 - Extracción de datos: Memos U3 (system info, external IP, VNC, HakSaw, Dump Wifi Hex, Dump SAM, PWDUMP, DumpSAM FGDUMP, Dump Network PW, Dump Mail PW, DumpFirefox PW Dump IE PW Dump messenger PW Dump CacheFirefox PW, Dump IE PW, Dump messenger PW, Dump Cache, Dump LSA secrets, Dump Product Keys, Dump URL History, Dump Updates-List, Network Services, Port Scan.
MS COFEE - Computer Online Forensic Evidence Extractor: Mas deMS COFEE Computer Online Forensic Evidence Extractor: Mas de 150 comandos para extraer evidencia forense
ETAPA 2: EVALUACION
Servidor
Santa Cruz
ServidorServidorServidor
Cochabamba
Servidor
ENTEL/ Comteco / COTAS, etc
Conocimiento previo SU3, escaneo de red y/o interrogatorioEscena: Cerrada, mixta y abiertaPrincipio de e-locardPrincipio de e locard
Ing. Guido Rosales Uriona
ETAPA 3: FIJACION
Facilitar la reconstrucción de la escena del hechoIdentificar fuentes de evidenciaSU3, Escaneo, filmación, fotografía,
i
III
croquisCaracterización por seriales impresos I Iseriales impresos I
II
IV
SEÑALECTICA
Ing. Guido Rosales Uriona
www.themegallery.com
ETAPA 4: RASTREO
RASTREO LOGICO
No recomendable en originalSobre Imagen (1Gb g (– 1Minuto)Fin: contención del delito mayor
Caso FARC Colombia (InformeColombia (Informe Interpol)
EL CALIBRE DE LAS HERRAMIENTAS
ETAPA 5: RECONOCIMIENTO DE OBJETIVO O MEDIOO MEDIO
Repositorios en red: PC, impresoras, servidoresR it i I t t C t d ilRepositorios en Internet: Cuentas de email, servidores hackeadosPC Z bi A till í tPC Zombis: Artillería remotaManiobras de distracción: Confundir al enemigoE f ió d l t l í d dEn función de la topología y esquema de red
Servidores de seguridad, de base de datos, de aplicaciones de correoaplicaciones, de correo
ETAPA 6: HIPOTESIS CRIMINAL
La estrategia del TERO
Importancia de la hipótesisLa informática forense es una ciencia
Demostrable y repetibleUso de métodos de investigación científicaLa hipótesis del hecho
Concepto: es el establecimiento de un vínculo entre los hechos que el investigador va aclarando en la medida en que pueda generar explicacionesinvestigador va aclarando en la medida en que pueda generar explicaciones lógicas del porqué se produce este vínculo.Formulación: Las hipótesis son el punto de enlace entre la teoría y la observación. Su importancia en que dan rumbo a la investigación l sugerir los pasos y procedimientos que deben darse en la búsqueda del conocimientopasos y procedimientos que deben darse en la búsqueda del conocimiento.
Su importanciaElaborar el objetivo, o conjunto de objetivos que desea alcanzar en el desarrollode la investigaciónSeleccionar el tipo de diseño de investigación factible con el problema planteado.Seleccionar el método, los instrumentos y las técnicas de investigación acordes con el problema que se desea resolver, ySeleccionar los recursos tanto humanos como materiales que se emplearánSeleccionar los recursos, tanto humanos como materiales, que se emplearán para llevar a feliz término la investigación planteada.
Ing. Guido Rosales Uriona
Formular la hipótesis
Identificar el ProblemaFormular la hipotesisFormular la hipotesis
Positiva / Negativa
Sugerir medios probatoriosg pResponder: que, como, cuando, donde, quien, por que y como?Ej lEjemplo
P: Falta dinero en la CA del Sr. Pepe CortizonaH:
• Le robaron, sin su conocimiento• fue auto robo o dejo que el hecho se de
Evidencias en las posibles escenas del hechoEvidencias en las posibles escenas del hecho
Ing. Guido Rosales Uriona
Tipos de investigación científica: ClasificaciónClasificación
TIPOS DE INVESTIGACIÓNTIPOS DE INVESTIGACIÓNHistóricaHistórica Analiza eventos del pasado y busca relacionarlos con otros del Analiza eventos del pasado y busca relacionarlos con otros del p yp y
presentepresenteDocumentalDocumental Analiza información escrita sobre el Tema Objeto de EstudioAnaliza información escrita sobre el Tema Objeto de Estudio
DescriptivaDescriptiva Reseña rasgos, cualidades o atributos de la Población Objeto Reseña rasgos, cualidades o atributos de la Población Objeto pp g jg jde Estudiode Estudio
CorrelacionalCorrelacional Mide el grado de relación entre las variables de la Población Mide el grado de relación entre las variables de la Población estudiadaestudiada
E li tiE li ti D d l é d l f óD d l é d l f óExplicativaExplicativa Da razones del porqué de los fenómenosDa razones del porqué de los fenómenos
Estudio de CasosEstudio de Casos Analiza una unidad específica de un Universo PoblacionalAnaliza una unidad específica de un Universo Poblacional
SeccionalSeccional Recoge información del Objeto de Estudio en oportunidad únicaRecoge información del Objeto de Estudio en oportunidad única
LongitudinalLongitudinal Compara datos obtenidos en diferentes oportunidades o Compara datos obtenidos en diferentes oportunidades o momentos de una misma población con el propósito de evaluar momentos de una misma población con el propósito de evaluar los cambioslos cambios
f ó óf ó óExperimentalExperimental Analiza el efecto producido por la acción o manipulación de una Analiza el efecto producido por la acción o manipulación de una o más variables independientes sobre una o varias o más variables independientes sobre una o varias dependientesdependientes
ETAPA 7: COLECTA O EMBALAGE
Anti –tODO
AntiestaticaA ti tiAntimagneticaAnti humedadAnti fuego – IgnifugaAnti robo
Ing. Guido Rosales Uriona
EMBALAGE LOGICO
Uso de medios no regrabables: DVD, CDsg ,Etiquetados y hasheados (MD5, SHA1)
Función HashFunción Hash
Preservaciónwww.yanapti.com
dd herramienta *nix, por línea de comandoC i bi biCopia bit a bit, un medio a otro
dd if i f d tidd if=origen of=destino dd if=/dev/hda of=/mnt/hdd1/Imagen imgof=/mnt/hdd1/Imagen.img
Interfaz Gráfica
ETAPA 8: CADENA DE CUSTODIO
Garantizar la invariabilidad de la evidencia.Bóvedas o jaulas FARADAY – Anticipo de Prueba
CONCLUSION
ESCENA DEL HECHOESCENA DEL HECHO
ETAPA 1
TRATAMIENTO
ETAPA 1PROTECCION
ETAPA 2ETAPA 8C d dETAPA 2
Evaluacion ETAPA n…
Cadena deCustodio
Ing. Guido Rosales Uriona
BÚSQUEDA EN CEMENTERIOS TECNOLÓGICOS
MORGUE DIGITAL
MORGUE DIGITAL
CLONACION DE CADAVER
EDICION HEXADECIMAL
FRAGMENTACION DEL DISCO
top related