¿cÓmo preservar evidencia digital?resguardo de informaciÓn: ¿cÓmo preservar evidencia digital?...
TRANSCRIPT
/ 1 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
_RESGUARDO DE INFORMACIÓN:¿CÓMO PRESERVAR EVIDENCIA DIGITAL?
/ 2 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
LA EVIDENCIA DIGITAL ES UN CONJUNTO DE DATOS O INFORMACIÓN UTILIZADO EN UN TRIBUNAL PARA ESCLARECER UN HECHO O INCIDENTE DE SEGURIDAD INFORMÁTICA.
La evidencia digital es el conjunto de datos o información que ayuda a esclarecer un caso.
Los delitos informáticos son actividades ilícitas que:
• Se comenten mediante el uso de computadoras, sistemas informáti-cos u otros dispositivos digitales de comunicación.
• Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas informáticos.
La evidencia digital es el conjunto de datos o información, como por ejemplo archivos, cuyo contenido puede ser utilizado en un tribunal para esclarecer un hecho o incidente de seguridad informática. En otras palabras, es todo elemento que pueda almacenar información de forma física o lógica que logre ayudar a esclarecer un caso.
La obtención de información de forma correcta, que pueda ser utilizada como evidencia, constituye una de las claves para el éxito de una inves-tigación criminal. Aspecto que demanda, por parte de los investigadores, la recolección, preservación, análisis, presentación de dicha información y una eficaz labor que garantice la autenticidad e integridad de tales evidencias, a fin de ser utilizadas posteriormente ante un tribunal.
El objetivo de la informática forense, es el de recobrar los registros y mensajes de datos existentes dentro de un dispositivo informático, de tal manera que toda esa informa-ción digital pueda ser usada como prueba.
_INTRODUCCIÓN
/ 2 /
/ 3 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
1.1 Combinación Tecla “Windows” + “Impr Pant”:
A. Para hacer una captura de pantalla y guardarla como un archivo deberá pulsar las teclas con el símbolo de Windows y “Impr Pant” simultáneamente.
Estas capturas de pantalla se almacenan en la carpeta “Imágenes” del equipo.
• Realizar copia de resguardo de la información en un dispositivo distinto (por ejemplo: pendrive, disco externo u otra Pc), dado que contar con una copia exacta de la información permite a los inves-tigadores acceder e inspeccionar los documentos asociados a un usuario, programas instalados y cuentas de usuarios existentes
• Si la amenaza se realiza a través de una red social, en primera instancia, no bloquear el perfil ni reportarlo como abusivo. Sino, denunciarlo a las entidades correspondientes y realizar copia de los chats y amenazas enviadas.
_RECOMENDACIONES PARA RESGUARDAR EVIDENCIAS
RECOMENDACIONES GENERALES
1. REALIZAR CAPTURA DE PANTALLA EN WINDOWS
/ 4 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
1.2 Combinación teclas “Alt” + “Impr Pant”:
1.3 Herramienta de recortes de Windows:
A. Otra forma es hacer una captura de pantalla de sólo la ventana activa, para lo cual debemos pulsar simultáneamente la tecla “Alt” y la tecla “Impr Pant.”. Se generará una captura de pantalla en el portapapeles.
B. Luego, abrir el programa Paint (viene preinstalado en Windows).
C. Ir al menú superior (tras abrirse el programa) y en la parte de la izquierda hacer clic sobre el icono “Pegar”:
D. Aparecerá lo que habíamos capturado previamente y sólo hay que guardar la imagen con nombre que se desee.
/ 5 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
2.1 Capturar toda la pantalla de forma completa:
A. Ejecutar la aplicación “Herramienta de recortes” buscándola en el menú de Windows.
B. Presionar el botón “Nuevo” y seleccionar el área de la pantalla a seleccionar arrastrando el cursor.
C. C. El recorte aparecerá en una nueva pestaña y para guardarlo se deberá presionar el botón en forma de disquete. Indicar la carpeta de guardado, por defeco el formato de la imagen es png.
A. Hacer clic en las teclas “Shift” + “Command” + “3”.
B. La captura de pantalla se guarda como un archivo png en el escritorio.
2. REALIZAR CAPTURA DE PANTALLA EN MAC
/ 6 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
2.2 Captura de una parte específica de la pantalla:
A. Hacer clic en las teclas “Shift” + “Command” + “4”. El puntero adoptará la forma de un punto de mira.
B. Mover el punto de mira hacia donde se desea comenzar la captura de pantalla.
C. Luego, arrastrarlo para seleccionar un área de la pantalla.
D. Al realizar el punto anterior, se pueden mantener presionadas las teclas “Shift”, “Option” o la barra espaciadora para cambiar la forma en que se desplaza la selección.
E. Cuando se haya finalizado con la selección deseada, soltar el botón del mouse o trackpad. Para cancelar, presionar la tecla “Esc” (escape) antes de soltar el botón.
F. La captura de pantalla se guarda como un archivo png en el escritorio.
/ 6 /
/ 7 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
2.3 Captura utilizando la aplicación “Instantánea”:
A. Ir a “Aplicaciones”, luego “Utilidades” y seleccionar “Grab (en inglés)” o “Instantánea (en castellano)”.
B. Luego ir al Menú “Captura”:
/ 8 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
Los archivos de la herramienta de captura de pantalla se guardan en el escritorio como archivos “.png” de manera predeterminada.
Este no es el mejor método; además, satura el escritorio si no se tiene cuidado. La manera más sencilla para resolver este problema es hacer una carpeta para las capturas de pantalla:
A. Presionar la tecla “Control” cuando realices la combinación que se indica arriba. Por ejemplo, presionar “Control” + “Shift” + “Command“+ 3 en lugar de “Shift” + “Command + 3”.
B. Se pueden abrir las capturas de pantalla con “Vista previa”, “Safari” y otras aplicaciones que permitan editar o ver imágenes.
C. En algunas aplicaciones, como Reproductor de DVD, tal vez no sea posible obtener capturas de las ventanas.
2.4 Para guardar la captura de pantalla en el Portapapeles en lugar del escritorio:
/ 8 /
C. Seleccionar entre las opciones:
• Para tomar una imagen de la pantalla entera, hacer clic en Pantalla (o simplemente usar el comando de teclado tecla “Apple” + “Z”). Una tecla se abrirá para decir dónde hacer clic y para hacerte saber que la ventana no aparecerá en la captura.
• Para tomar una foto de una porción de la pantalla, hacer clic en “Selección”. Una ventana aparecerá para indicar que se debe arrastrar el mouse sobre la porción de la pantalla a la que se desea tomar una captura.
• Para tomar una foto de una ventana específica, seleccionar “Ventana”. Luego, hacer clic en la ventana a la que se desea tomar una foto.
D. Cuando la nueva ventana se abra, seleccionar “Guardar”.
E. También se puede seleccionar “Guardar como” para darle un nombre distinto o moverla a una ubicación más apropiada.
Hay que tener en cuenta que únicamente se puede guardar como un archivo tiff y que el archivo no se guardará automáticamente.
/ 9 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
Las capturas de pantallas de un teléfono celular pueden resultar muy útiles para demostrar evidencia en un caso. Para ello, se aconseja buscar cómo realizarlo según la marca y modelo del móvil dado que varía en cada dispositivo.
Uno de los principales puntos de entrada de los cibercriminales a los sistemas y equipos de las organizaciones y también de los ciudadanos, es a través del correo electrónico. Es decir, un email que puede llegar desde una dirección que no resulte conocida para así lograr engañar a la persona y/o empresa.
Aquellos casos en los que existe sospecha de haber recibido un correo electrónico falso o de dudosa procedencia, se puede solicitar el análisis del mismo. Para ello, es necesario descargar las cabeceras correspon-dientes dado que las mismas contienen la información acerca del lugar desde el cual ha sido enviado el correo y el origen del mismo.
4.1 MICROSOFT OUTLOOK
3. REALIZAR CAPTURA DE PANTALLA EN UN DISPOSITIVO MÓVIL
4. EXTRACCIÓN DE CABECERAS DE CORREOS ELECTRÓNICOS PARA INVESTIGACIÓN
A. Acceda a su cuenta de Outlook e ingrese al correo en cuestión para abrirlo en una nueva ventana.
PODER REALIZAR COPIAS DE RESGUARDO DE LA INFOR-MACIÓN PERMITE, A LOS INVESTIGADORES, ACCEDER E INSPECCIONAR Y UTILIZARLA COMO PRUEBA.
/ 10 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
B. Dentro del correo que le ha llegado, debe seleccionar la opción “Archivo” en la barra superior de la aplicación, tal como muestra la imagen.
C. Por último, seleccionar la opción “Propiedades” dentro del menú desplegable.
D. Los encabezados del email serán visibles en el recuadro que se encuentra en la parte inferior de la ventana de “Propiedades”.
/ 11 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
E. Copie TODO el contenido de dicha ventana arrastrando el cursor del mouse sobre el mismo.
F. Abra un nuevo correo.
G. En el campo “Para:” escriba la dirección [email protected], en el título del mensaje escriba “Información de mensaje N° (y el nú-mero que corresponda), y en el cuerpo del mensaje pegue el contenido de la ventana que había copiado en el paso anterior.
A. Acceda a su cuenta de Outlook WEB/ LIVE e ingrese al correo en cuestión para abrirlo en una ventana independiente.
B. Desplegar el menú junto al botón “Responder” y seleccione la opción “Ver detalles el mensaje”.
4.2 OUTLOOK WEB/LIVE
LAS CABECERAS DE LOS CORREOS ELECTRÓNICOS CONTIE-NEN INFORMACIÓN ACERCA DEL LUGAR DESDE EL CUAL SE HA ENVIADO UN POSIBLE CORREO FALSO Y ENGAÑOSO O DE DUDOSA PROCEDENCIA.
/ 12 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
C. Se abrirá una nueva ventana con contenido similar al de la siguiente imagen.
D. Copie TODO el contenido de dicha ventana arrastrando el cursor del mouse sobre el mismo.
E. Abra un nuevo correo.
F. En el campo “Para:” escriba la dirección [email protected], en el título del mensaje escriba “Información de mensaje N° (y el nú-mero que corresponda), y en el cuerpo del mensaje pegue el contenido de la ventana que había copiado en el paso anterior.
A. Acceda a su cuenta e ingrese al correo en cuestión.
B . Haga clic en la flecha que aparece a la derecha del botón “Responder”.
4.3 HOTMAIL
/ 13 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
C. Elija la opción “Ver origen del mensaje” del menú desplegable.
D. Se abrirá una nueva ventana con contenido similar al de la siguiente imagen.
E. Copie TODO el contenido de dicha ventana arrastrando el cursor del mouse sobre el mismo.
F. Envíe el mensaje.
G. En el campo “Para:” escriba la dirección [email protected], en el título del mensaje escriba “Información de mensaje N° (y el nú-mero que corresponda), y en el cuerpo del mensaje pegue el contenido de la ventana que había copiado en el paso anterior.
H. Envíe el mensaje.
/ 14 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
4.4 GMAIL
A. Ingresar al correo electrónico en cuestión y desplegar el menú junto al botón “Responder”. Luego, seleccionar la opción “Mostrar Original”.
B. Se abrirá una nueva ventana. Realizar clic en la opción “Descargar original”
C. Guarde el archivo y abra un nuevo correo.
D. En el campo “Para:” escriba la dirección [email protected], en el título del mensaje escriba “Información de mensaje N° (y el nú-mero que corresponda), y en el cuerpo del mensaje adjunte el archivo descargado en el paso anterior.
/ 15 /
+54 (011) 4323-9362www.ba-csirt.gob.ar
4.5 YAHOO
A. Ingresar al correo electrónico en cuestión.
B. Desplegar el menú “…” en la barra de tareas de Yahoo. Luego, seleccionar la opción “Ver mensaje sin formato”.
C. A continuación, se mostrará una ventana nueva con los encabezados del mensaje original.
D. Copie TODO el contenido de dicha ventana arras-trando el cursor del mouse sobre el mismo.
E. Abra un nuevo correo.
F. En el campo “Para:” escriba la dirección [email protected], en el título del mensaje escriba “Información de mensaje N° (y el número que corresponda), y en el cuerpo del mensaje pegue el contenido de la ventana que había copiado en el paso anterior.
CONTAR CON COPIAS DE RESGUARDO Y EXTRAER LA INFORMACIÓN DE LOS CORREOS ELECTRÓNICOS CONSTITUYEN EVIDENCIAS PARA INVESTIGAR Y ANALI-ZAR, ANTE UN POSIBLE CASO EN UN TRIBUNAL COMO PRUEBA DE UN CIBERATAQUE.
/ 15 /