semana 1 - computacion forense

COMPUTO COMPUTO FORENSEFORENSE

POR: Edna de Lasso

SEMANA 1 – Introducción

CONTENIDOCONTENIDO

• Introducción al cómputo forense

• Delitos informáticos (cibercrímenes)

• Modos de operación, motivos y

tecnología

• Ciencias forenses y especialización

en el campo de TI

Introducción al Introducción al cómputo forensecómputo forense

• DEFINICIÓNSe refiere al proceso de aplicar tecnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal.

Actividades de CFActividades de CF

Características del Características del especialistaespecialista

• Conocimiento tecnico • Conocer las implicaciones de sus acciones • Entender como los datos pueden ser

modificados• Ingenioso y de mente abierta• Etica muy alta• Educación continua • Siempre usa fuentes altamente redundantes

de datos para obtener sus conclusiones.

Se debe garantizar Se debe garantizar que:que:

• No se han efectuado cambios en la información ni evidencia alguna.

• Se deben registrar y justificar todos los cambios. • Realizar un by-pass del sistema operativo y crear

un backup seguro de toda la evidencia. • Las copias duplicadas deben ser escritas en otro

disco rígido o CD-ROM. • Se produzca una documentación de todo el

proceso de la generación de imágenes. • Se autenticaran todos los archivos e imágenes

utilizadas con obtención de huellas digitales.

Importancia y Importancia y amenazasamenazas

• IMPORTANCIA – Tecnologia => Valor de la informacion – Conectividad => Riesgos – Evidencias => Registros, bitacoras - Nuevas tecnicas

• TIPOS DE AMENAZAS A LA SEGURIDAD DE LA INFORMACIÓN– Fallas humanas– Ataques malintencionados – Catastrofes naturales

¿En que consiste el ¿En que consiste el CF?CF?

• El análisis forense informático se aplica una vez que tenemos un incidente y queremos investigar que fue lo que pasó, quien fue y cómo fue

• Debe responder a las preguntas: – ¿Quien? – ¿Que?– ¿Cuándo? – ¿Dónde? – ¿Por que?

• Reconstrucción de eventos

Consecuencias del Consecuencias del Delito InformáticoDelito Informático

Información expuesta

Información robada

Información borrada

Danos a terceros

¿Quienes requieren ¿Quienes requieren del servicio de del servicio de

Computación Forense?Computación Forense?• En primer lugar … ¡La víctima!

– Personas físicas – Personas jurídicas – Gobierno

• Las divisiones de investigación policial• Las companías de seguros • El sistema legal

Tipos de Análisis Tipos de Análisis ForenseForense

• Análisis de intrusión

• Evaluación de danos

• Investigación de sospechosos

• Análisis de evidencias

• Análisis de bitácoras

• Busqueda de evidencia

IntrusiónIntrusiónResponde a los cuestionamientos:

¿Quien logró entrar?

¿Que fue lo que hicieron?

¿Cuándo ocurrió el evento?

¿A que más tuvieron acceso?

¿Por que escogieron el objetivo?

¿Cómo fue realizado el acto?

Evaluación de dañosEvaluación de daños

Responde a los cuestionamientos:

• ¿Que pudo ver el intruso?

• ¿Que se llevó?

• ¿Que fue lo que dejó detrás?

• ¿Dónde está?

EvidenciaEvidencia• Archivos de imágenes • Software• Archivos borrados• Archivos escondidos • Encriptados • Particiones escondidas• Palabras claves• Herramientas de acceso remoto

Análisis de evidenciasAnálisis de evidencias• Consiste en extraer, procesar e interpretar. • La extracción puede obtener solo imágenes

binarias, que no son comprendidas por los humanos.

• La evidencia se procesa para poder obtener información que entiendan los investigadores.

• Para interpretar la evidencia se requiere conocimiento profundo para entender como embonan las piezas.

• El análisis efectuado por el forense debe poder ser repetido.

Resultados esperados Resultados esperados (Evidencia)(Evidencia)

Para ser válida debe tener ciertas características como:•Obtenida legalmente•Suficiente, para convencer a una persona “razonable” de la validez de los hallazgos • Relevante - ¿tiene la evidencia una relación sensible y lógica con el hallazgo? • Competente - ¿es la evidencia consistente con los hechos? ¿es válida? ¿se genera en el curso normal del negocio?

AnálisisAnálisisSe deben organizar grupos de trabajo para analizar los siguientes cuestionamientos:

1.¿Cómo se evitaría todo esto…?2.¿Existe diferencia entre Computación forense y seguridad informática?3.¿Que relación puede darse entre las dos anteriores y la auditoría informática?

Cada grupo debe enviar al correo ednalasso@gmail.com las respuestas con los nombres de los participantes en un archivo de word de máximo 2 páginas.

INVESTIGACIÓNINVESTIGACIÓN• De 3 ejemplos de delitos informáticos (cibercrímenes)

o Explique: Modos de operación, motivos y tecnología asociada al crimen, tipo de organización y país donde se dio el evento

• ¿Cómo se han desarrollado las Ciencias forenses en el campo de TI en Panamá?

• ¿Que leyes se relacionan con la Computación Forense en Panamá?

Se debe enviar individualmente, por correo a ednalasso@gmail.com , máximo 5 páginas en word, espacio sencillo, a más tardar el 16 de octubre. Pie de página con su nombre y cedula.