evidencia digital. adquisición y preservación de la … · (pros y contras) • busquedalocal de...

EVIDENCIA DIGITAL: Casos Reales

1

CURSO PARA LA PROCURACIÓN GENERAL DE LA NACIÓN

DELITOS INFORMÁTICOS CUESTIONES RELACIONADAS CON LA INVESTIGACIÓN Y EL VALOR DE LA PRUEBA

Evidencia digital. Adquisición y

preservación de la prueba informática.

Casos reales

24 / 25 de Junio de 2010

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

[email protected]

www.presman.com.ar


2

Evidencia informática = Evidencia Digital = Evidencia Electrónica• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada

medios electrónicos

�Discos rígidos en computadoras

�Palms / PDA

�Teléfonos celulares

�Cámaras digitales

�Faxes

� ....


3

Que diferencia la evidencia informatica de la evidencia

tradicional ?

• La volatilidad

• La capacidad de duplicacion

• La facilidad de alterarla

• La cantidad de Metadatos que posee


4

El “iceberg” de los datos

DatosDatos ObtenidosObtenidos con con

herramientasherramientas comunescomunes

((p/ejp/ej Windows Explorer)Windows Explorer)

DatosDatos adicionalesadicionales obtenidosobtenidos

con con herramientasherramientas forensesforenses((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, ,

DificilesDificiles de de obtenerobtener……))


5

Fuentes de Metadatos

• El proceso de almacenamiento y borrado

• El acceso a Internet

• La ejecucion de impresiones

• El sistema operativo de la computadora


6

Que cosas podemos obtener del analisis forense de la evidencia ?

Con los datos visibles …

• Documentos

• Bases de datos y registros contables

• Correos electronicos

• Fotos digitales

• Archivos y carpetas eliminadas


7

Que cosas podemos obtener del analisis forense de la evidencia ?

Con los datos invisibles … (metadatos …)

• Usuarios del sistema y sus claves (Quien ?)

• Actividad en el sistema operativo (Que ?)

• Lineas de tiempo (Cuando ?)

• Actividad en Internet (donde ?)

• Ubicacion geografica de una computadora

• Webmail

• Impresiones realizadas

• Medios removibles conectados

• Fotos digitales y su relacion con camaras


8

Caso I : XX c/YY s/Extorsión en Tentativa

Gerardo Parz , socio de una importanteempresa metalúrgica nacional comienza unaactividad paralela en el mismo rubro y con el objeto de forzar un acuerdo para retirarseconvenientemente de la empresa empieza unacampaña “anónima”de amenazas y desprestigio a sus socios , que incluye la creación de un blog ofensivo contra la empresa y los socios restantes


9

La empresa denuncia penalmente a Parz y se ordena el secuestrode las computadoras queeste utiliza habitualmente en la empresa y en su domicilio.

Se solicita una pericia Informática tendiente a

determinar si de esas computadoras se publicó

el blog en cuestión


10

ALTERNATIVAS DE INVESTIGACION

• Obtención de la IP del creador de contenidos

(Pros y contras)

• Busqueda local de contenidos y prueba de creación


11

HALLAZGOS

• Se encontro desinstalado el programa FTP utilizado para la creación del sitio

• Se recuperó el log borrado del programa FTP que mostró la subida del texto original en fechas compatibles con la investigación.

• Se encontraron fragmentos del texto con el contenido del blog.

• Se encontró que el usuario habia descargado de internet al menos dos defragmentadores adicionales al sistema operativo , que los y se probó que los mismos fueron utilizadosregularmente en fechas posteriores a la subida de contenido al blog


12


13

Caso II:PP s /Infracción a la ley 23.737

En el transcurso de una investigación por esta causa se secuestraron 30 PCs , puestas a la venta en un sitio de internet.

Se solicita una pericia informática para intentar establecer la Legitima Titularidad de los equipos


14

Relevamiento

� Inventario externo�Números de serie / COA

�Memoria RAM

�Características HD (Tamaño , Interfase , serial)

�Inspección Visual�Daño físico (laterales , piezas faltantes)

�Planilla impresa con especificaciones

�Muestreo del contenido de HD


15

Relevamiento

El muestreo de contenido arrojó indicios que luego se corroboraron en el análisis forense :

�Todas las computadoras fueron reformateadas y reinstaladas con distribuciones Windows Colossus o WinUE

Estas versiones no se encuentran reconocidas ni soportadaspor Microsoft, desarrollador y titular de los derechos sobre lossistemas operativos Windows, siendo las mismas violatoriasde las leyes de propiedad intelectual 11.723 y 25.036.


16

Donde Buscar ?

ESTRUCTURA DISCO ORIGINAL

ESTRUCTURA DISCO ALTERADO


17

Que Buscar ?

� Todas las Notebooks presumiblemente tenían antes del hecho ...�Sistema Operativo Original

�Aplicaciones registradas

� Los equipos habrían tenido uso por lo que se buscó :

�Actividad de Email con direcciones registrables

�Conversaciones de Chat

�Documentos generados con datos personales y de configuración (Word Normal.DOT)


18

RESULTADOS

� 3 Computadoras sin Datos suficientes o concluyentes

� 3 Computadoras de utilización por los imputados

�24 Computadoras con datos personales que permiten ubicar a los titulares :

�Nombres

�Empresas

�Direcciones postales

�Telefonos fijos y Celulares

�Direcciones de Correo electrónico con dominio propio


19

MD5

Caso III: NN s/ Infr. Art 128 1°parr.


20

Muchas Gracias por su participacion

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

[email protected]

www.presman.com.ar

evidencia digital. adquisición y preservación de la … · (pros y contras) • busquedalocal de...

Documents