INFORMATICA FORENSE : Medios de Prueba Informática

1

1º FORO DE DERECHO

I�FORMATICO

INFORMATICA FORENSE :Medios de Prueba Informática

Concarán , 25 de Febrero de 2010

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

gustavo@presman.com.ar

www.presman.com.ar

INFORMATICA FORENSE : Medios de Prueba Informática

2

Los medios de prueba

Informática se basan en la

utilización de evidencia digital

sobre la que aplicamos técnicas

de Informática Forense

INFORMATICA FORENSE : Medios de Prueba Informática

3

Que es La Informática Forense ? : Presentación del tema

• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadorasfacilita que gran cantidad de información que manipulamos se encuentre almacenada en computadoras y medios magnéticos.

• Muchas conductas delictivas se realizan empleando unacomputadora , Sistema informático ó de Transmisión de laInformación

• Más allá de la tipificación del delito como DELITO INFORMATICO (Ley 26388 )existen delitos tradicionales donde utiliza la TI como medio.

INFORMATICA FORENSE : Medios de Prueba Informática

4

Evidencia informática = Evidencia Digital = Evidencia Electrónica

• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y

otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada

medios electrónicos

�Discos rígidos en computadoras

�Palms / PDA

�Teléfonos celulares

�Cámaras digitales

�Faxes

� ....

INFORMATICA FORENSE : Medios de Prueba Informática

5

Que es la Informática Forense ?

“ Es la ciencia de adquirir , preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático”

* Adaptada de :

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

INFORMATICA FORENSE : Medios de Prueba Informática

6

Para el resguardo y el análisis hay que tener presente la Informacion disponible bajo el “iceberg” de los datos (artefactos , metadatos...)

DatosDatos ObtenidosObtenidos con con

herramientasherramientas comunescomunes

((p/ejp/ej Windows Explorer)Windows Explorer)

DatosDatos adicionalesadicionales obtenidosobtenidos

con con herramientasherramientas forensesforenses((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, ,

DificilesDificiles de de obtenerobtener3)3)

INFORMATICA FORENSE : Medios de Prueba Informática

7

Fuentes de Metadatos

• El proceso de almacenamiento y borrado

• El acceso a Internet

• La ejecucion de impresiones

• El sistema operativo de la computadora

INFORMATICA FORENSE : Medios de Prueba Informática

8

Borrado de archivos / Información residual

INFORMATICA FORENSE : Medios de Prueba Informática

9

La Navegacion en internet

Cache

Historial

Cookies

INFORMATICA FORENSE : Medios de Prueba Informática

10

Las impresiones

INFORMATICA FORENSE : Medios de Prueba Informática

11

El Sistema Operativo : Ejemplo de Movimiento bancario

hallado en el archivo de Intercambio de Windows

INFORMATICA FORENSE : Medios de Prueba Informática

12

Que cosas podemos obtener del analisis forense de la

evidencia ?

Con los datos visibles :

�Documentos

�Correos electronicos

� Fotos digitales

� Listados y logs

INFORMATICA FORENSE : Medios de Prueba Informática

13

Que cosas podemos obtener del analisis forense de la

evidencia ?

Con los Metadatos :

� Usuarios del sistema y sus claves

� Actividad en el sistema operativo

� Lineas de tiempo

� Actividad en Internet

� Ubicacion geografica de una computadora

� Webmail

� Impresiones realizadas

� Medios removibles conectados

� Fotos digitales y su relacion con camaras

INFORMATICA FORENSE : Medios de Prueba Informática

14

Tipos de Investigación Forense Informática

�Tradicional (con resguardo)

�En vivo (sin resguardo)

�e-Discovery

INFORMATICA FORENSE : Medios de Prueba Informática

15

Para el resguardo hay que tener presente las características de la evidencia informatica que la diferencian de la evidencia tradicional

�La volatilidad

�La capacidad de duplicación

�La facilidad de alterarla

�La cantidad de Metadatos que posee

INFORMATICA FORENSE : Medios de Prueba Informática

16

EL ARCHIVO DE EVIDENCIA

Al resguardar un medio magnético se puede:

1) Aportar el disco original

2) Hacer una copia ó imágen

Forense

3) Hacer un clonado Forense

INFORMATICA FORENSE : Medios de Prueba Informática

17

ARCHIVO DE EVIDENCIA*

Copia bit a bit del contenido total

disco , esto incluye :

Metadatos del sistema operativo

Espacio utilizado y no utilizado

* Fuente : NIST : National Institute of standards and technology - http://www.cftt.nist.gov/

INFORMATICA FORENSE : Medios de Prueba Informática

18

AUTENTICACION DE EVIDENCIA

POR MEDIO DE U( ALGORITMO

DE HASH DEL CO(TE(IDO TOTAL DE

LA EVIDE(CIA

5b748e186f622c1bdd6ea9843d1609c1

ALGORITMOS DE HASH UTILIZADOS E( I(FORMATICA FORE(SE

MD5 (128 bits) SHA-1(160 bits)

INFORMATICA FORENSE : Medios de Prueba Informática

19

Modalidades de Investigación Forense Informática

�Tradicional (con resguardo)

�En vivo o Tiempo Real (sin resguardo)

�e-Discovery (collection)

INFORMATICA FORENSE : Medios de Prueba Informática

20

Que es el e-Discovery ?

INFORMATICA FORENSE : Medios de Prueba Informática

21

PROXIMOS DESAFIOS : Análisis Forense en la nube

Cloud Computing Forensics

INFORMATICA FORENSE : Medios de Prueba Informática

22

Muchas Gracias por su participacion

Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI,

ACE,NPFA, FCA

ESTUDIO DE INFORMATICA FORENSE

gustavo@presman.com.ar

www.presman.com.ar