Propuesta de Tesis
Orosco Pacora, César
Proyecto deTesis en Ingeniería de Sistemas
Diseño de un Marco Metodológico para el tratamiento y análisis de evidencia digital en Computación Forense en la División de
Delitos de Alta Tecnología de la Policía Nacional del Perú
21 Julio 2007
22 /31/31
Tesista
• Orosco Pacora, César Alonso• Especialidad: Ingeniería de Sistemas• Ciclo: 9º ciclo
33 /31/31
PROPUESTA DE TESIS
44 /31/31
Justificación del Problema
• El crecimiento de los medios digitales del procesamiento de la información, ha llevado al nacimiento de nuevas formas de delitos que involucra o se desarrolla mediante el uso de estos medios, y que tiene como objetivo central la información en si misma.
55 /31/31
Justificación del Problema• El resultado de estas actividades tiene importancia
crucial en la vida de las personas y su implicación como parte de un delito, que resultará en una condena o sanción que pueda cambiar de forma dramática la vida de las personas.
• La investigación de esta evidencia requiere de una estructura y procedimientos definidos que permitan garantizar el análisis objetivo de la misma.
66 /31/31
Ámbito de la investigación
• La presente investigación se hará en la División de Delitos de Alta Tecnología de la Policía Nacional del Perú. (DIVINDAT)
77 /31/31
El Problema
• Los métodos actuales de recolección y procesamiento de evidencia digital en la DIVINDAT que se realizan de forma empírica producen la perdida, modificación y deterioro de la evidencia digital.
• Dificultad al recolectar y analizar evidencia debido a los grandes volúmenes de información que actualmente se manejan, la variedad de tecnologías y la dispersión de las mismas a lo largo de Internet.
88 /31/31
Objetivo
• Determinar procedimientos para la recolección, tratamiento y análisis de la evidencia contenida en medios y/o formatos digitales.
• Establecer medidas y procedimientos que permitan un análisis efectivo de grandes volúmenes de información.
• Definir procedimientos para garantizar la autenticidad e integridad de la evidencia obtenida.
99 /31/31
Antecedentes
– Christian Johansson. Computer Forensic Text Analysis with Open Source Software. Tesis para optar el grado de maestría en Ciencias de la Computación. Blekinge Institute of Technology. Suecia. 2003.
– Esta tesis se concentra en el proceso de análisis del texto dentro de la computación forense, centrándose en el uso del software libre.
1010 /31/31
• Brian Carrier. Open Source Digital Forensics Tools The Legal Argumen.Astake Research Report.2002
• Análisis de las herramientas forenses digitales y de su uso como argumento legal en una corte de Estados Unidos.
• Colin Armstrong. Developing a Framework For Evaluating Computer Forensic Tools.Curtin University of Technology.Examina los criterios que ayudarán al desarrollo de un marco para evaluar la conveniencia de las herramientas de Computación Forense
1111 /31/31
METODOLOGIA DE LA INVESTIGACION
1212 /31/31
Tipo de Investigación
• Tipo de InvestigaciónExploratoria aplicada, Se realizará por medio de la exploración de diferentes procedimientos de tratamiento forense siendo uno de ellos el procedimiento actual de la DIVINDAT-PNP
• Tipo de DiseñoExperimental, en la que se realizarán cambios a las variables independientes
1313 /31/31
DISEÑO DEL EXPERIMENTO
1414 /31/31
Objeto de la Investigación
• El objeto de investigación son las copias de los discos duros. Para ello se obtiene una muestra del número de casos presentados a la DIVINDAT.
• De cada uno de los casos se obtiene copias bit a bit de los datos contenidos en los discos duros.
1515 /31/31
Población
• La población esta constituida por cada uno de los casos presentados a la DIVINDAT durante el año 2006.
• El Tamaño de la población asciende a 288 casos presentados durante el 2006 según estadísticas de la DIVINDAT publicadas por el diario El Comercio (28 Abril 2007).
1616 /31/31
Muestra
• Muestreo• El tamaño de la muestra es de 58 casos.• El cálculo se realizó usando la sgte. Fórmula:
• Técnica de Muestreo• aleatoria simple
1717 /31/31
Variables
Instrumento de medición
– uso de un computador que permitan identificar y cuantificar los resultados obtenidos
Instrumento de medición
– registros manuales de los datos, de cada caso presentado
Variables dependientes:
– Nro. de archivos recuperados conteniendo evidencia digital
EXPERI
MENTO
Variables independientes:
– Método aplicado para recuperar la evidencia
– Variables Adicionales: Volumen de Información Analizada, Número de Archivos Recuperados, Formato de tipo de archivo. el instrumento de medición son: dispositivo de copia de evidencia FastBlock, Software Encase, Autopsy, dd, grep
1818 /31/31
Diseño Experimental
• Se orienta a establecer procesos de recuperación de evidencia digital por medio del uso de procedimientos claramente definidos frente a la carencia actual de dichos procedimientos.
• El proceso se llevará a cabo teniendo en cuenta las etapas de análisis forense elaborando un conjunto estructurado de procedimientos con base en las necesidades de la DIVINDAT
1919 /31/31
2020 /31/31
2121 /31/31
2222 /31/31
Hipótesis
• Ho: La aplicación de una metodología de procesamiento de evidencia digital aumenta el número de archivos y documentos recuperados.
• Ho: La aplicación de una metodología de procesamiento de evidencia disminuye la perdida de evidencia digital.
2323 /31/31
MODELO DE SOLUCION
2424 /31/31
Modelo de Solución• Conjunto de metodologías y procedimientos
para el manejo y análisis de la evidencia digital, con esto se busca la estandarización en el proceso así como la mejora en la eficiencia del mismo en base a la cantidad de archivos de evidencia recuperada. Dicho procedimiento estará basado en la implementación de 4 fases:
• colección• revisión• análisis• elaboración de informes
2525 /31/31
Modelo de Solución
2626 /31/31
ANÁLISIS DE FACTIBILIDAD
2727 /31/31
Datos y Experimentos
• El análisis de los casos presentados será en base a muestras proporcionadas por la DIVINDAT.
• El experimento es repetible ya que debe servir como base para su presentación en un juicio, lo que requiere que la pruebas sean analizadas y verificadas por las partes involucradas.
2828 /31/31
Plan de Trabajo
2929 /31/31
3030 /31/31
Costos
1 Equipo Fast Block 1240Licencia de Encase 2400Licencia de Windows XP 370Costos Operativos 500Honorarios Profesionales 2000Total 6510
La principal fuente de financiamiento será la de autofinanciamiento.
3131 /31/31
MARCO TEORICO
3232 /31/31
Marco Teórico ConceptualLas Ciencias Forenses y las Ciencias de la Computación
• Es necesario primero comprender el funcionamiento de los computadores y su operación.
• Se debe ubicar y reconocer la evidencia digital determinando:– Dónde se encuentra– Cómo se encuentra almacenada– Cómo se modifica, quién la modifica, quién es su
dueño
3333 /31/31
La Información y el Delito
• Código Procesal Penal Peruano, la Ley Nº 27309, incorpora la figura de los Delitos Informáticos al Código Penal
• Se reconoce los siguientes tipos de delitos
3434 /31/31
Fraudes mediante manipulación de computadoras• Manipulación de los datos de entrada
• Manipulación de programas
• Manipulación de los datos de salida
• Fraude efectuado por manipulación informática
3535 /31/31
Manipulación de datos de entrada
• Como objeto, cuando se alteran datos de los documentos almacenados
• Como instrumento, las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial.
3636 /31/31
Daños o modificaciones de programas o datos computarizados
• Sabotaje informático
• Acceso no a autorizado a servicios y sistemas informáticos
• Reproducción no autorizada de programas informáticos de protección legal
3737 /31/31
Marco Teórico InstrumentalEtapas
• Coleccionar,
• Examinar
• Analizar
• Interpretación y reporte de Resultados
3838 /31/31
Coleccionar Datos• Buscar e identificar las fuentes de datos y
obtener estas evitando la alteración de la misma.
• Fuentes:• PC, servidores, PC portátiles• Dispositivos, Lectores CD, DVD, memorias USB,
memoria flash, etc.• Dispositivos Portátiles• Actividad de la Red
3939 /31/31
Adquisición de los datos
• Plan para adquirir los datos en base a Valor probable, Volatilidad, Cantidad de esfuerzo requerida.
• Adquirir los datos garantizando la preservación de la evidencia y la cadena de custodia.
• Verificar la integridad de los datos. (Hash, MD5, etc)
4040 /31/31
Dispositivo de Adquisición de Datos
4141 /31/31
Examinar los Datos
• Datos en dispositivos, comprimidos, cifrados, e-mail, etc.
• Filtro de los datos por tipo de fichero, origen, formato, etc.
• Herramientas: Encase, Autopsy, Sleuthkit, herramientas *NIX, dd, grep, etc.
4242 /31/31
Analizar los datos
• Obtener conclusiones
• Usar un enfoque metódico para alcanzar conclusiones apropiadas
• Correlacionan entre múltiples fuentes.
• Elaborar informes
• Explicaciones alternativas
4343 /31/31
CONCLUSIONES
4444 /31/31
Conclusiones
• El modelo es viable por cumplir con los requisitos de viabilidad.
• La justificación del modelo se basa en la necesidad que existe de investigar un campo poco difundido y cada vez más requerido.
• El Análisis Forense de medios digitales esta adquiriendo una mayor importancia debido al aumento en el número de delitos informáticos y la sofisticación de estos.
