direccion de policia cientifica departamento estudios especiales

64
DIVISIÓN INFORMÁTICA JUDICIAL DIRECCION DE POLICIA CIENTIFICA DEPARTAMENTO ESTUDIOS ESPECIALES

Upload: reyes-espiritu

Post on 02-Apr-2015

111 views

Category:

Documents


0 download

TRANSCRIPT

  • Diapositiva 1
  • DIRECCION DE POLICIA CIENTIFICA DEPARTAMENTO ESTUDIOS ESPECIALES
  • Diapositiva 2
  • GENDARMERA NACIONAL ARGENTINA DIRECCIN DE POLICA CIENTFICA GENDARMERA NACIONAL ARGENTINA DIRECCIN DE POLICA CIENTFICA LEONARDO RAFAEL IGLESIAS INGENIERO ELECTRNICO JEFE DIVISIN INFORMTICA JUDICIAL
  • Diapositiva 3
  • QUE SON LOS DELITOS INFORMTICOS? Hecho o conducta ilcita que se comete mediante la utilizacin de herramientas electrnicas o informticas. Son todos aquellos delitos, tipificados en el cdigo penal, que hacen uso indebido de cualquier medio o sistema informtico. Es toda aquella accin, tpica, antijurdica y culpable, que se da por vas informticas o que tiene como objetivo destruir y daar ordenadores, medios electrnicos y redes de Internet.
  • Diapositiva 4
  • TIPOS DE DELITOS INFORMTICOS Fraude Pornografa infantil Estafa Robo de propiedad intelectual Denegacin de servicios Acceso no autorizado Extorsin Robo de servicios Sabotaje informtico Abuso de privilegios Etc
  • Diapositiva 5
  • Diapositiva 6
  • Informtica Forense Es una disciplina criminalstica que tiene como objeto la investigacin, en sistemas informticos, de hechos con relevancia jurdica o para la simple investigacin privada. Para conseguir sus objetivos, la Informtica Forense desarrolla tcnicas idneas para ubicar, reproducir y analizar evidencias digitales con fines legales.
  • Diapositiva 7
  • EVIDENCIA DIGITAL Es cualquier registro generado por o guardado en un medio de almacenamiento tecnolgico que es utilizado para demostrar la comisin de un delito, y sirve como elemento material probatorio en un juicio. Cuando se la compara con otras formas de evidencia documental la evidencia computacional es frgil. Esto hace que los datos digitales adquiridos, o sea la copia obtenida, no debe alterar las originales del disco, o sea deben ser exactamente iguales a los originales. De aqu toma importancia el CHECKSUM o HASH.
  • Diapositiva 8
  • Diapositiva 9
  • Software Utilizado
  • Diapositiva 10
  • Diapositiva 11
  • Diapositiva 12
  • 1. Acceso informtico forense 2. Identificacin de la evidencia 3. Autenticacin de la evidencia 4. Preservacin de la evidencia 1. Acceso informtico forense 2. Identificacin de la evidencia 3. Autenticacin de la evidencia 4. Preservacin de la evidencia
  • Diapositiva 13
  • CONSISTE EN: Se extrae el disco a analizar del Equipo Informtico cuestionado Dispositivos especiales de conexionado para ingresar al HD. Se usa la herramienta ENCASE para analizar el HD Comienza con la realizacin de la Imagen o copia espejo forense. CONSISTE EN: Se extrae el disco a analizar del Equipo Informtico cuestionado Dispositivos especiales de conexionado para ingresar al HD. Se usa la herramienta ENCASE para analizar el HD Comienza con la realizacin de la Imagen o copia espejo forense.
  • Diapositiva 14
  • 2 Identificacin de la Evidencia En que consiste: Se identifica un conjunto de pruebas para ser tomadas como evidencia. Recuperar los atributos del archivo Relevar la mayor cantidad de evidencia digital (sin alterarla) En que consiste: Se identifica un conjunto de pruebas para ser tomadas como evidencia. Recuperar los atributos del archivo Relevar la mayor cantidad de evidencia digital (sin alterarla)
  • Diapositiva 15
  • 3 Autenticacin de la Evidencia En que consiste: Clculo de firmas digitales. Se obtiene un HASH (MD5 y SHA1). Garantiza: integridad de evidencias digitales recolectadas y permite identificar UNIVOCAMENTE a tales archivos. En que consiste: Clculo de firmas digitales. Se obtiene un HASH (MD5 y SHA1). Garantiza: integridad de evidencias digitales recolectadas y permite identificar UNIVOCAMENTE a tales archivos.
  • Diapositiva 16
  • Criptografa Autenticacin: implica hablar de corroboracin de la identidad. En particular del origen de un archivo. Confidencialidad: mantener en secreto una informacin determinada. Integridad: la informacin no haya sido alterada por personas no autorizadas u otro medio desconocido.
  • Diapositiva 17
  • Hash Tambin denominado valor Hash o sntesis del mensaje, es un tipo de transformacin de datos. Un Hash es la conversin de determinados datos de cualquier tamao, en un nmero de longitud fija no reversible, mediante la aplicacin a los datos de una funcin matemtica unidireccional denominada algoritmo Hash. Tambin denominado valor Hash o sntesis del mensaje, es un tipo de transformacin de datos. Un Hash es la conversin de determinados datos de cualquier tamao, en un nmero de longitud fija no reversible, mediante la aplicacin a los datos de una funcin matemtica unidireccional denominada algoritmo Hash. Existen funciones comunes de Hash en un sentido. Las ms comunes son MD5 y SHA-1.
  • Diapositiva 18
  • 4. Preservacin de la evidencia
  • Diapositiva 19
  • Diapositiva 20
  • QU SE PUEDE OBTENER DEL ANLISIS FORENSE?
  • Diapositiva 21
  • PODEMOS OBTENER:
  • Diapositiva 22
  • PUNTOS PERICIALES
  • Diapositiva 23
  • Diapositiva 24
  • Diapositiva 25
  • LA ESCENA DEL CRIMEN DIGITAL
  • Diapositiva 26
  • Diapositiva 27
  • EQUIPO A LLEVAR: PC O NOTEBOOK con suficientes puertos USB y FW 800 Bloqueador de Escritura (Write Blocker) Cables de conexin/Adaptadores/Interfaces/ Cajas para removibles/LAN Crossover Software Forense (F-SW) Discos de almacenamiento de destino SANITIZADOS (WIPEADOS) PRESERVACIN Y DOCUMENTACIN DE LA ESCENA DEL CRIMEN DIGITAL
  • Diapositiva 28
  • VERIFICAR SU PROPIA SEGURIDAD USAR GUANTES INVENTARIAR TODO LO ENCONTRADO LAPTOPS CELULARES DISKETTES MEMORIAS FLASH BLACKBERRYS DISCOS RGIDOS DISCOS PTICOS PEN DRIVES PDAs CAMARAS DIGITALES REPRODUCTORES DE MP3 PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 29
  • INVENTARIAR TODO LO ENCONTRADO PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 30
  • CONSULTAR CONEXIONES PROVEEDOR DE INTERNET FOTOGRAFIAR LOS EQUIPOS FOTOGRAFIAR LAS CONEXIONES DE LOS EQUIPOS PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 31
  • FOTOGRAFIAR LOS EQUIPOS DOCUMENTAR PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 32
  • FOTOGRAFIAR LAS CONEXIONES EXTERNAS, ENTRE LOS EQUIPOS DOCUMENTAR PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 33
  • FOTOGRAFIAR CONEXIONES INTERNAS DOCUMENTAR PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 34
  • FOTOGRAFIAR LAS PANTALLAS PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 35
  • VOLTIL MENOS VOLTIL PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 36
  • HORA Y FECHA DEL SISTEMA PROCESOS EN EJECUCIN CONEXIONES DE RED PUERTOS ABIERTOS APLICACIONES ESCUCHANDO EN SOCKETS ABIERTOS USUARIOS CONECTADOS (LOGGED ON) INFORMACIN ALMACENADA EN MEMORIA INFORMACIN VOLTIL - OBTENER
  • Diapositiva 37
  • RECOLECTAR INFORMACIN VOLTIL SI ESTAN PRENDIDOS LOS EQUIPOS (Intrprete de comandos cmd ): date /t && time /t netstat na ipconfig /all systeminfo doskey /history psloggedon pslist PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 38
  • RECOLECTAR INFORMACIN VOLTIL FECHA Y HORA CON: date /t && time /t Si estn habilitadas las extensiones de comandos, el comando DATE admite el parmetro /T, que indica al comando mostrar tan slo la fecha actual sin pedir una nueva fecha.
  • Diapositiva 39
  • PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 40
  • Diapositiva 41
  • Diapositiva 42
  • Diapositiva 43
  • Diapositiva 44
  • Diapositiva 45
  • DESCONECTAR LA CONECTIVIDAD CABLES DE RED VERIFICAR CONEXIONES WI-FI PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 46
  • APAGAR LAS COMPUTADORAS PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 47
  • GUARDAR LA EVIDENCIA UTILIZAR GOMA ESPUMA PASOS A SEGUIR POR EL EXAMINADOR
  • Diapositiva 48
  • DOCUMENTACIN (EN PAPEL) DE: Confiscacin o Secuestro Custodia Control Transferencia Anlisis Remisin de evidencia digital MANIPULAR LA EVIDENCIA CUIDADOSAMENTE PARA EVITAR ALEGATOS DE ADULTERACIN Y/O FALSIFICACIN DE LA EVIDENCIA DIGITAL CADENA DE CUSTODIA
  • Diapositiva 49
  • DEBE DOCUMENTARSE EL PROCESO DE CICLO DE VIDA DE LA EVIDENCIA DIGITAL: Mtodos Horarios Fechas Identidad del Personal Involucrado Etc. DEBE DOCUMENTARSE: DNDE ESTUVO LA EVIDENCIA? QUIN TUVO ACCESO A LA MISMA? DESDE LA OBTENCIN INICIAL HASTA QUE LLEGUE A LOS TRIBUNALES DE JUSTICIA CADENA DE CUSTODIA
  • Diapositiva 50
  • Fecha de contacto con la evidencia Nombre de la persona Registro del pasaje de una persona a otra Registro del pasaje de una ubicacin fsica a otra Tareas realizadas durante la posesin Sellado de la evidencia al finalizar la posesin Registro de testigos Fotografas de la evidencia en las tareas realizadas Log de actividades durante la posesin
  • Diapositiva 51
  • CADENA DE CUSTODIA DOCUMENTAR: Qu es la evidencia? Cmo se la obtuvo? Cundo fue obtenida? Quin la obtuvo? Dnde viaj? Dnde fue guardada?
  • Diapositiva 52
  • LA ESCENA DEL CRIMEN DIGITAL PASOS: VERIFICAR SU PROPIA SEGURIDAD INVENTARIAR TODO LO ENCONTRADO FOTOGRAFIAR LOS EQUIPOS FOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOS FOTOGRAFIAR LAS PANTALLAS RECOLECTAR INFORMACIN VOLTIL FECHA Y HORA CONEXIONES DE RED ACTIVAS INFORMACIN DEL SISTEMA HISTRICO DE COMANDOS USUARIOS LOGGEADOS AL SISTEMA PROCESOS ACTIVOS DESCONECTAR LA CONECTIVIDAD APAGAR LAS COMPUTADORAS GUARDAR LA EVIDENCIA PROTEGER LA CADENA DE CUSTODIA ACTA CONSTANCIA
  • Diapositiva 53
  • Diapositiva 54
  • Hardware Utilizado UFED
  • Diapositiva 55
  • REPORTE UFED: PDF
  • Diapositiva 56
  • Hardware Utilizado
  • Diapositiva 57
  • Diapositiva 58
  • Diapositiva 59
  • Diapositiva 60
  • Diapositiva 61
  • Diapositiva 62
  • Diapositiva 63
  • Diapositiva 64