protocolo forense presentación · soporta discos ide y sata funciones avanzadas - cálculo hash...
TRANSCRIPT
Unidad Orgánica Policía Judicial Pontevedra
EQUIPO DE INVESTIGACIÓN TECNOLÓGICA
PROTOCOLO FORENSEEN
PRUEBAS ELECTRÓNICAS
VENTAJAS vs INCONVENIENTES Evidencia Digital
VENTAJA:
Posibilidad de reproducir las evidencias de forma íntegra y todas las veces que sea necesario.
INCONVENIENTES:
Personal correctamente formado.
Facilidad para invalidar evidencias:- Mala praxis en la manipulación de originales.- Manipulaciones o lugares de depósito en malas condiciones.
Unidad Orgánica Policía Judicial Pontevedra
EQUIPO DE INVESTIGACIÓN TECNOLÓGICA
OBTENCIÓN DE EVIDENCIAS
OBTENCIÓN EVIDENCIAS
¿Dónde puedo encontrar datos archivados?
Unidad Orgánica Policía Judicial Pontevedra
EQUIPO DE INVESTIGACIÓN TECNOLÓGICA
CADENA DE CUSTODIA
Y
VOLCADO FORENSE DE DATOS
CADENA DE CUSTODIA
LA CUSTODIA ELECTRÓNICA
Proceso que procura "guardar con cuidado y vigilancia" los documentos electrónicos, como define el diccionario de la lengua española el término "custodiar".
Está unida a la preservación digital y al uso de la firma electrónica avanzada (HASH) por la necesidad de dar validez a largo plazo a los documentos electrónicos.
CADENA DE CUSTODIA
LOS OBJETIVOS
- Garantizar su integridad, que impida cualquier cambio sobre el original.
- Garantizar su autenticidad, permitiendo contrastar su origen y ofrecer certeza sobre su autoría.
- Garantizar la posibilidad de localización, facilitando las búsquedas y sin depender de relaciones externas entre la referencia y el contenido.
- Garantizar el control de acceso.
- Garantizar la trazabilidad de los accesos y del ciclo de vida.
- Garantizar su preservación a largo plazo.
CADENA DE CUSTODIA
ETAPAS DE LA CADENA DE CUSTODIA
• Resoluciones y actos previos.• Hallazgo y custodia del escenario (Aislar la
escena)• Inspección preliminar y búsqueda de indicios de
interés.• Fijación de la evidencia (ubicación, fotografía /
video, actas, reseñas).• Recolección de los indicios (con garantías de NO
alteración)• Embalaje de la evidencia (precintos y bolsas).• Transporte y entrega al Juzgado competente.• Análisis pericial (Informe Técnico-Policial).• Final Procedimiento: Devolución o destrucción.
IDENTIDAD - INTEGRIDAD (HASH)
Un resumen digital o hash forense es un proceso que utiliza una función matemática de un único sentido y la aplica a todos los bits contenidos en un dispositivo o un archivo. El valor hash de resultado es un identificador único del dispositivo que se adquiere o del archivo (similar a una secuencia de ADN o una huella digital de los datos).
Un resumen digital está caracterizado por tres parámetros:
-El algoritmo criptográfico utilizado: MD5, SHA1, SHA256, etc.-La cantidad de bytes procesados: El tamaño total del dispositivo o archivo.-El resultado con una longitud constante: 128 bits (32 caracteres hexadecimales en MD5), 160 bits (40 caracteres en SHA1), 256 bits (64 caracteres en SHA256), etc.
Ejemplo: Un resumen digital SHA1 de un disco de 80 GB.
FEA23101BF947E67D37CA059A7039C900272E3A2 para 80.025.280.000 bytes.
UTILIDAD DE LOS “HASH”
Un resumen digital o hash forense permite identificar unívocamente el contenido de un archivo o de un dispositivo.
-Con independencia del nombre y su ubicación, se utiliza para comparar distintos archivos.
-Para esta comparación no se precisa interpretar el contenido del archivo (ver la imagen, el video o examinar un determinado documento).
-Permite detectar si un archivo o dispositivo ha sido o no modificado, aunque no nos dirá en cuanto. La modificación de un único bit daría distintos valores hash.
UN POCO DE REALIDAD
UN POCO DE REALIDAD
UN POCO DE REALIDAD
¿CÓMO REALIZAR UN CLONADO FORENSE?
•AUTORIZACIÓN JUDICIAL
•ACTA SECRETARIO JUDICIAL
REQUISITOS:
FINALIDAD:•OBTENCIÓN DE UNA COPIA EXACTA DEL ORIGINAL
•CONDICIONES:- Sin modificar, añadir o borrar archivos.- Sin arrancar el sistema operativo.
1. FIRMA DIGITAL: DEL DISCO DURO ORIGINAL
2. COPIA BIT A BIT ORIGEN: DISCO DURO
FICHERO IMAGEN OTRO DISCO DURO
3. FIRMA DIGITAL: DEL DISCO DESTINO ó DE LA IMAGEN DESTINO
4. CONTRASTE DE LAS FIRMAS DIGITALES (INTEGRIDAD COMPROBADA)
5. SE UTILIZA SIEMPRE UNA COPIA DEL ORIGINAL PARA MANIPULAR O REALIZAR ANALISIS Y POSTERIOR INFORME
— NUNCA EL ORIGINAL —
DESTINO:
¿CÓMO REALIZAR UN CLONADO FORENSE?
* Identidad (FIRMA DIGITAL)
* Exploración y Búsqueda de archivos de interés
* Recuperación de Archivos Borrados
* Integridad (FIRMA DIGITAL) - Verificación
* Duplicado (BIT A BIT)
* Esteganografía y Criptografía
CLONADO
ESTUDIO
* Análisis del Software existente
* Localización y Recogida de Evidencias
¿CÓMO REALIZAR UN CLONADO FORENSE?
¿CÓMO REALIZAR UN CLONADO FORENSE?
EJEMPLO: HD SATA O IDE -> HD SATA O IDE
¿CÓMO REALIZAR UN CLONADO FORENSE?
EJEMPLO: HD SATA O IDE -> HD SATA O IDE
¿CÓMO REALIZAR UN CLONADO FORENSE?
DISCO DURO DESTINO:
• La tecnología del disco receptor es indiferente (IDE-SATA).
• Tamaño del disco receptor > ó = al original
• Borrado mediante WIPE
¿CÓMO REALIZAR UN CLONADO FORENSE?
DISCO DURO DESTINO:ORIGINAL
COPIA
0 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 00 0 0 0 0 0 0
WIPE
0 0 0 0 0 0 00 0 0 0 0 0 0
EXCESO
DESTINO
? ? ? ? ? ?? ? ? ? ? ?
• COPIA BIT A BIT / SECTOR A SECTOR (CUALQUIER SISTEMA DE FICHEROS Y SISTEMA OPERATIVO)
• NECESIDAD DE UN DISCO DURO DEL MISMO TAMAÑO O MAYOR (DESPERDICIO DEL ESPACIO SOBRANTE SI EL DISCO ES MAYOR)
• LOS DOS DISCOS SON IGUALES EN CONTENIDO Y PARTICIONES PERO NO EN TAMAÑO
• SOLO PODEMOS UTILIZAR EL DISCO DESTINO PARA VOLCAR UN DISCO
CARACTERISTICAS
¿CÓMO REALIZAR UN CLONADO FORENSE?
- SISTEMAS -
¿CÓMO REALIZAR UN CLONADO FORENSE?
SOFTWARE: LINUX
•“dd” Sintaxis dd if=/dev/hda of=/dev/hdb
- SISTEMAS -
¿CÓMO REALIZAR UN CLONADO FORENSE?
- SISTEMAS -
¿CÓMO REALIZAR UN CLONADO FORENSE?
LINUX•“dd”
Sintaxis dd if=/dev/hda of=/dev/hdb
•“hdparm” man hdparm
- SISTEMAS -
¿CÓMO REALIZAR UN CLONADO FORENSE?
HARDWARE - CLONADORA VOOM HARDCOPY II/III
UNA ENTRADA - LECTURAUNA SALIDA - ESCRITURA/LECTURASOPORTA DISCOS IDE Y SATA
FUNCIONES AVANZADAS
- Cálculo HASH (MD5 o SHA256) disco original y destino- WIPE
- SISTEMAS -
¿CÓMO REALIZAR UN CLONADO FORENSE?
HARDWARE - CLONADORA VOOM HARDCOPY II/III
UNA ENTRADA - LECTURAUNA SALIDA - ESCRITURA/LECTURASOPORTA DISCOS IDE Y SATA
FUNCIONES AVANZADAS
- Cálculo HASH (MD5 o SHA256) disco original y destino- WIPE
Unidad Orgánica Policía Judicial Pontevedra
EQUIPO DE INVESTIGACIÓN TECNOLÓGICA
BÚSQUEDA
DE
EVIDENCIAS
BÚSQUEDA DE EVIDENCIAS
Principios básicos
• Principio de Locard
Alguien que entra en la escena de un crimen siempre se lleva algo de dicha escena
y deja algún rastro tras él en su salida
Evidencia
Escena
VíctimaSospechoso
BÚSQUEDA DE EVIDENCIAS
Obtención de la evidencia (Características)
• La evidencia debe ser:
Admisible: Obtenida “legalmente”
Relevante: Tener relación completa o parcialmente
Valida: Autenticada / Fiable / Creíble “Salvaguardar la Cadena de custodia”
• Objetivo demostrar
MOM: Medios/Oportunidad/Motivos
BÚSQUEDA DE EVIDENCIAS
Proceso de obtención (¿Por qué?)
• Objetivo 1: Preservar el estado original à Validez de la prueba • Objetivo 2: Documentar todo el proceso à Argumentación de las conclusiones
• Objetivo 3: Establecer un claro ‘timeline’ à Averiguar que ha ocurrido
BÚSQUEDA DE EVIDENCIAS
BÚSQUEDA DE EVIDENCIAS
FASES:
•ENTORNOS ESTÉRILES-Vmware (www.vmware.com)-Sin salida a Internet.-Equipo con herramientas de análisis forense.
BÚSQUEDA DE EVIDENCIAS
BÚSQUEDA DE EVIDENCIAS
FASES:
•SOBRE EL PROPIO EQUIPO-Trabajo sobre el propio S.O.-Salida a Internet controlada.
BÚSQUEDA DE EVIDENCIAS
BÚSQUEDA DE EVIDENCIAS
ENCASEwww.guidancesoftware.com
BÚSQUEDA DE EVIDENCIAS
WEB HISTORIANhttp://www.red-cliff.com/
BÚSQUEDA DE EVIDENCIAS
F.I.R.E. (FORENSIC and INCIDENT RESPONSE ENVIROMENT)http://biatchux.dmzs.com/
Seminario de informática xudicial, peritaxe técnicae proba electrónica
Gonzalo Sotelo Seguín
986.807.900 Ext.- 258
GRACIAS POR SU ATENCIÓN