computación forense

13 de abril de 2023

Computación Forense

José Ebert Bonilla O. MSc.

Computacion ForenseJosé Ebert Bonilla O MSc.

Principios de Computación Forense

Computación Forense

Computación Forense - José Ebert Bonilla, MS.c

Ataques

El RFC 2828 define ataque de la siguiente forma

Un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir un acto inteligente y derivado (especialmente en el sentido de método o técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema.

Mitos e ideas falsas

Los ciber criminales son expertos en computadores y con alta habilidad tecnica

Los ciber criminales tienen un IQs superior al normal

Todos los ciber criminales son introvertidos

Los ciber criminales nunca son violentos

Los ciber criminales no son reales criminales

Los ciber criminales se ajustan a un perfil predeterminado

Criminalistica

Termino de lujo para las ciencias forenses

Ciencia Forense La aplicación de la

ciencia en las leyes penales y civiles que son aplicadas por las agencias policiales en los sistemas de justicia.Pensar como Sherlock Holmes!!

Forense

Es el proceso mediante el cual se hace uso del conocimiento específico para la recolección, análisis y presentación de evidencias a una corte.

La palabra forense significa “traer a la corte”.

Lo forense esta relacionado en primera instancia con la recuperación y análisis de evidencias latentes.

Computación Forense - José Ebert Bonilla, MS.c

Ciencia Forense

La ciencia forense proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que

puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense

Computación Forense - José Ebert Bonilla, MS.c

Computación Forense - José Ebert Bonilla, MS.c

Un investigador forense aporta su entrenamiento para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas.

Aplicando un método científico (esto implica que hay una investigación rigurosa), analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis, lo que puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir; esto es debido a que un investigador forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada.

Por tanto, sólo puede presentar posibilidades basadas en la información limitada que posee.

Principio de Locard

Principio de Locard

Principio de Locard

Este principio fundamental dice que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y viceversa (se lleva consigo); en otras palabras: “cada contacto deja un rastro”

Evidencias Físicas

Evidencia transitoria

Evidencia curso o patrón

Evidencia condicional

Evidencia transferida

Evidencia transferida

Transferencia por rastro:

aquí entra la sangre, semen, pelo, etc.

Transferencia por huella:

huellas de zapato, dactilares, etc.

Componentes de una escena de crimen

la escena del crimen

la víctima

la evidencia física

el sospechoso

Para la correcta resolución del caso, el investigador forense debe establecer la relación que existe entre los componentes.

Computación Forense

Computación Forense - José Ebert Bonilla, MS.c

Definición de computación forense

“la colección y análisis de datos provenientes de un sistema de computo,

una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal

manera que es admisible en un tribunal de derecho. Es emergente de las disciplinas de

las ciencias de la computación y el derecho”.

Contexto de la computación forense

• Homeland Security

• Information Security

• Corporate Espionage

• White Collar Crime

• Child Pornography

• Traditional Crime

• Incident Response

• Employee Monitoring

• Privacy Issues

• ????

Digital ForensicsComputer Forensics

Sus inicios

Desde 1984, el laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional

En 1989, primera persona procesada

En 1991 se establece el primer equipo del FBI

En 1996, primera evidencia utilizada en un caso

1

Ciencias Forenses Vs. Ciencias de la Computación

Comprender la existencia de la evidencia en formato digital.

Asegurar la integridad de la evidencia recolectada

Comprensión de los computadores y su operación

Reconocimiento de la evidencia digital

Dónde se encuentra

Cómo se encuentra almacenada

Cómo se modifica, quién la modifica, quién es su dueño

Cantidad de evidencia recolectada

Habilidades técnicas y procedimientos forenses

El manejo y control de los documentos electrónicos.

Principio de Locard en el contexto de la Computación Forense

Por que la computación forense Hay una gran cantidad de documentos

almacenados en medios electrónicos La computación forense asegura la

preservación y autenticación de los datos, los cuales son frágiles por su naturaleza y fácilmente alterados y borrados

Adicionalmente la computación forense ofrece la facilidad de recuperar y analizar archivos borrados y muchas otras formas de encontrar información invisible al usuario

Por que investigar?

Determinar como se efectuó la ruptura del sistema

Determinar los daños ocasionados

Determinar quien lo hizo

Determinación de la línea del tiempo

Contribución en el procesamiento judicial

Comunidades

Hay al menos tres distintas

comunidades que usan computación

forense

Entidades que aplican la ley

Fuerzas militares

Industria y Bancos

Posiblemente una 4ta – La Academia

Contribución o influencia de otras áreas

Áreas del conocimiento, que desde su perspectiva, contribuyen e influencian directamente la computación forense: Ciencias de la Computación

▪ Sistemas operativos

▪ Aplicaciones de Software

▪ Plataformas de programación

▪ lenguajes de programación

▪ Seguridad en computadores

Leyes▪ Legislación informática

▪ Legislación criminal y civil

Sistemas de información▪ Gestión y políticas de los sistemas de información

▪ Educación de usuarios

Ciencias sociales

Actividades de la computación forense

Las actividades de computación forense comunes son:

La recolección segura de los datos de un computador

La identificación de datos sospechosos

El examen de datos sospechosos para determinar los detalles tales como origen y su contenido

Presentación de información basada en lo encontrado en el computador en una corte

La aplicación de las leyes correspondientes a la informáticas de los diferentes países

1

Evidencia Digital Vs Evidencia Física

Evidencia Digital Es un tipo de evidencia física, menos tangible que otras

formas de evidencia (DNA, huellas digitales, componentes de computadores)

Ventajas

▪ Puede ser duplicada de manera exacta y copiada tal como si fuese el original.

▪ Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.

▪ Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.

▪ Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios

Evidencia Digital

… información y datos con valor investigativo que son almacenados en o trasmitidos a través de dispositivos electrónicos. Tal evidencia es adquirida cuando los datos o los elementos son recopilados y almacenados con propósito de ser examinados.

Evidencia

Algo que tiende a establecer o refutar un hecho

Qué podría ser potencialmente la evidencia más pequeña utilizable?

4bytes

Una dirección IP en Hexadecimal

Características de las evidencias digitales

En la escena del ilícito esta igualmente presente

como una huella digital o el ADN

Puede sobrepasa las fronteras con gran facilidad

y velocidad

Es frágil y fácilmente alterable, dañada o

destruida

Es altamente sensible al tiempo

Ventajas de la evidencia digital Puede ser duplicada de manera exacta y copiada

tal como si fuese el original.

Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original.

Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.

Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios

La evidencia digital y la legislación

La evidencia es una prueba

Corte Constitucional dice :

El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso.

La evidencia digital y la legislación

La evidencia digital debe cumplir las mimas condiciones de un documento probatorio, estas son:

Compuesto por un texto, tenor o contenido. El contenido debe ser relevante en el ámbito jurídico

Debe haber un autor, claramente identificado, y que se pueda esclarecer su origen y originalidad

Inteligible

Carácter de durabilidad o permanencia superior al objeto que representa Transportable

Integridad de la Evidencia

Asegurar que la evidencia no ha sido

alterada

Copias bit a bit

Usar “hashes” criptográficos para asegurar la integridad de la evidencia original y sus copias

Almacenar en un lugar seguro

Lista de palabras sucias

Palabras claves especificas para su

caso

Listado que se utiliza para buscar en

el disco duro

Modificado durante la investigación

Imagen

Copia bit a bit de la evidencia original recogida de un sistema

Puede incluir:

Disco duro

Memoria

Medios removibles

Respuesta a incidentes

Enfocado inicialmente a la verificación del incidente

Técnicas que enfatizan la recolección de la evidencia digital Minimiza la perdida de datos y evidencias Evitar adicionar datos al sistema Mayores preocupaciones son la recuperación y el

tiempo fuera de servicios

La preocupación inicial es el tratamiento del incidente para prevenir mayor daño a la evidencia

Análisis de medios

Se centra en el procesamiento de copias de la evidencia recopilada en la escena del incidente (pe. Una imagen)

No es considerado como recolección de evidencia sino como análisis de la misma

Principalmente se usa para encontrar datos específicos concerniente a la actividad criminal

Utiliza “máquinas forense” y herramientas automatizadas para examinar gigabytes de datos

Principios del análisis forense

Minimizar la perdida de datos

Documentar TODO

Analizar todos los datos recolectados

Reportar los hallazgos

Errores comunes a evitar

Adicionar sus propios datos al sistema

Afectar procesos del sistema

Accidentalmente tocar las líneas del tiempo

Utilizar herramientas o comandos no

confiables

Ajustar el sistema ANTES de la recolección

de la evidencia. (apagar, parchar, actualizar)

Problemas para la aceptación de las evidencias digitales

Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital.

Facilidad de la duplicación y dificultad en la verificación del original

Almacenamiento y durabilidad de la información en medios electrónicos. Reconocimiento legal del mismo

Identificación problemática del autor de los documentos

El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada.

La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido.

Desconocimiento de las técnicas de intrusión de sistemas.

Técnicas anti forenses

Son las técnicas de manipulación, eliminación y/o de ocultamiento de pruebas para complicar o imposibilitar la efectividad del análisis forense.

Ejemplos: Eliminación de información. Borrado seguro de archivos (en

forma manual o automática: bombas lógicas).

Cifrado u ocultamiento (esteganografía) de archivos.

Alteración de archivos (cambio del nombre y/o de la extensión).

Técnicas anti forenses

13 de abril de 2023

Son contramedidas para contrarrestar las técnicas antiforense. Por ejemplo: Activación de logs de auditoria para el

Sistema Operativo, las aplicaciones y los dispositivos.

Instalación de IDS´s (aún se los puede burlar cifrando el tráfico que va a analizar el IDS).

Implementación de un equipo concentrador de logs que sólo pueda recibir tráfico entrante desde fuentes autorizadas.

Recolección de evidencia digitalJosé Ebert Bonilla

Técnicas anti forenses

Retos que plantea

Retos Legales Comprender de manera cercana el fenómeno informático y sus implicaciones en

las conductas criminales. Buscar elementos probatorios, apoyados en mecanismos informáticos que,

permitan ofrecer validez y originalidad a un documento electrónico. Desarrollar habilidades técnico-forenses para integrar la investigación criminal

con las técnicas computacionales de protección. Establecer un conjunto de directrices generales que vinculen acciones sobre

objetos y principios de seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin de desarrollar un discurso penal sobre la delincuencia informática.

Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área informática.

Retos que plantea

Retos Técnicos Desarrollar prácticas y procedimientos de programación que busquen disminuir

los problemas de seguridad en los productos de software y hardware. Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los

productos entregados. Concienciar sobre las responsabilidades jurídicas de los ingenieros: Previsibilidad, debido cuidado y diligencia Definir prácticas y políticas de seguridad informática, como pruebas

preconstituidas para la organización. Establecer un programa interdisciplinario que incorpore en la formación técnica,

las consideraciones legales. La computación forense como un puente para comprender las pruebas judiciales

y su impacto en el mundo informático.