Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

evolucin del hombre, esto se evidencia a travs de los medios que permiten el almacenamiento, la transmisin y la administracin de la informacin; avances que han modificado el vivir diario de las personas y organizaciones reflejado esto, en el aumento de transacciones comerciales (cajeros automticos, banca virtual), comercio electrnico, comunicaciones en lnea, sistemas de informacin, etc., actividades que han permitido mejorar ostensiblemente procesos al interior de las organizaciones; pero as mismo, se han generado una serie de comportamientos ilcitos aprovechando el conocimiento de sta y esto se puede ver reflejado en el aumento significativo de fraudes financieros, injurias, calumnias, violacin de datos personales, y muchos mas mediante el uso de las Tics

Los

avances

Tecnolgicos

demuestra

la

1. Variacin de la escena del delito (escenas virtuales). 2. Clandestinidad. 3. Efectividad 4. Tiempos Cortos en la ejecucin. 5. Ganancias. 6. Falta de testigos. 7. No rastro. 8. La Seguridad del delincuente. 9. Lo complejo de los hallazgos digitales. 10. Ingenuidad de las personas. 11. Falta de seguridad de los equipos y en las plataformas tecnolgicas. 12. Falta de controles. 13. Puertas traseras o errores en las aplicaciones. 14. Desconocimiento de los Investigadores.

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

Internet. Sistemas de Informacin. Medios de Almacenamiento. Dispositivos mviles. Bases de Datos. Programas o aplicaciones. Redes Sociales. Correos Electrnicos. E-commerce E-business E-goverment E-drugs TIC

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

SE BUSCAN

Kahlid Mohammad

Abu Musab AlAl -Zarqawi

Ramzi Binalshibh

SE BUSCAN

Raul Reyes

Ivan Rios

Rodrigo Tovar

Victor Suarez

LAS EVIDENCIAS DIGITALES vs. EVIDENCIAS TRADICIONALES

EVIDENCIAS DIGITALES!

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

La evidencia digital es nica, cuando se le compara con otras formas de evidencia documental. A comparacin de la documentacin en papel, la evidencia computacional es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizo una copia. Esta situacin genera problemas con respecto al robo de informacin comercial secretos Industriales. Se debe tener en cuenta que los datos digitales adquiridos de copias no se deben alterar de los originales del disco, porque automticamente se invalidara la evidencia. Es por esta razn que los investigadores deben revisar constantemente sus copias, y que sean exactamente igual a la original. CHECKSUM HASH

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Orden de Volatilidad. Cosas que se deben evitar. Consideraciones relativas a la privacidad de los datos. Consideraciones Legales. Procedimiento de recoleccin. Transparencia. Pasos de Recoleccin. Cadena de Custodia. Como Almacenar las evidencias . Herramientas necesarias y medios de almacenamiento de estas.

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Consideraciones Legales
Cuando se est actuando, se deben seguir polticas y directivas. Esto asegura: Identificacin apropiada de un incidente Incautacin apropiada de evidencia Documentacin detallada Conservacin de evidencia. Responsabilidad por la evidencia.

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Como Identificar un Incidente

En la mayora de los casos, un incidente ser detectado por un Sistema de Deteccin de Intrusin (IDS) o el administrador del sistema. Un IDS monitorea la informacin de la red y alerta que un incidente ha ocurrido El Administrador del Sistema nota actividad irregular en la red

Como Identificar un Incidente

El Administrador del Sistema puede asumir que un incidente ocurri dndose cuenta de:
Usuarios no autorizados agregados al sistema Archivos agregados o eliminados del sistema Programas no autorizados corriendo en el sistema Actividad inusual ocurriendo en el sistema

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Como Prepararse para Responder

Consideraciones para la Respuesta Para garantizar la respuesta apropiada, haga preguntas detalladas durante la entrevista telefnica con la vctima: quin qu dnde cuando cmo Magnitud del ataque (si est involucrada red) Consulte con su departamento legal:

Como Prepararse para Responder

Una vez se ha confirmado un incidente, usted debe estar preparado para tomar las siguientes acciones: Responder Documente eventos en la escena Recoja registros de red y video de dispositivos testigos Recoja datos voltiles del sistema de la vctima / sospechoso Obtener una imagen del sistema de la vctima / sospechoso

Juego de Herramientas del Investigador

Juego de Herramientas para Recoleccin de Evidencia en la Escena del Crimen Cmara (y video si est disponible) Formularios para Recoleccin de Evidencia en la Escena del Crimen Libretas de Apuntes, Etiquetas, bolgrafos, Marcadores Permanentes Contenedores para Almacenamiento de Evidencia Juego de Herramientas Digital para Recoleccin de Evidencia Juego de Herramientas Forense Software Forense Hardware Forense Medios para Almacenamiento

Juego de Herramientas para Recoleccin de Evidencia Digital

Capacidades Recoger datos voltiles Recoger imgenes de disco forense Requerimientos Computadora Dispositivos Bloqueadores de Escritura Medios Destino Software para Respuesta a Incidentes Herramientas para Respuesta a Incidentes Programa de Imagen Forense

Como Preparar el Software para Respuesta a Incidentes Paso #1

Borrado Seguro de Discos (wipe)
Borra y sobrescribe en todos los datos en el disco Asegura la integridad de la evidencia recogida

Como Preparar el Software para Respuesta a Incidentes Paso #2

CD de Herramientas Forenses
Programa Roxio CD Creator Quema (copia) las herramientas al CD

Como Preparar el Software para Respuesta a Incidentes Paso #3

Hashing
MD5 Summer Asegura la integridad de las herramientas forenses

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Qu es una Imagen Forense?

Una imagen forense hace referencia a una copia sin alterar del disco duro de la vctima. Esto asegura: Integridad de la evidencia Daos no intencionados a los datos originales Hay dos tipos de imgenes forenses Lgica: una copia de todos los archivos y directorios de la computadora Fsicos: una copia bit-por-bit del disco duro

Para qu Hacer una Imagen Forense?

Mantiene la integridad de la evidencia Suministra acceso a datos adicionales (no voltiles) Archivos de Registro Archivos Temporales Aplicaciones Comprometidas Archivos de Pgina y para Compartir Si usted no est incautando el dispositivo de almacenamiento original, haga imgenes mltiples

Para qu usar un perito forense entrenado?

Una persona sin entrenamiento podra: Pasar por alto, no encontrar o no recuperar datos eliminados No encontrar o no recuperar datos protegidos por contrasea No encontrar o no recuperar datos ocultos Causar la prdida o la corrupcin de datos

Para qu usar un investigador forense entrenado? entrenado?

Hacer que la computadora falle Hacer que los datos sean inadmisibles en una corte o CREAR MALOS PRECEDENTES LEGALES! Dar pie para una demanda vlida

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

37
John Jairo Echeverry Aristizabal - Colombia

Manteniendo la Integridad de la Evidencia Electrnica

La evidencia informtica es frgil. Los investigadores deben mantener la integridad de la evidencia con: Documentacin apropiada Identificacin apropiada Empaquetamiento apropiado Cadena de custodia

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Como Documentar la escena del crimen electrnico

Para garantizar una detallada documentacin, use formularios cuando sea apropiado: Objetos incautados Descripcin Quien lo incaut y dnde lo encontr Cadena de custodia Reporte despus de la accin.

Como Documentar la escena del crimen electrnico

Una vez usted haya entrado y asegurado la escena de un crimen electrnico, debe documentar los alrededores como los encontr originalmente: Tome Fotografas Dibuje

Como Documentar la escena del crimen electrnico

Tome fotografas de la escena del crimen: Total Detallada (evidencia)

Como Documentar la escena del crimen electrnico

Tome fotografas a cada uno de los 0bjetos antes de incautarlo Evite usar flash fotogrfico en tomas cercanas Tome una fotografa de lo que est en la pantalla

Como Documentar la escena del crimen electrnico

Dibuje Distribucin Ubicacin del sospechoso Identificacin de la habitacin Localizacin de la evidencia Distancia entre un objeto y otro Presentacin para la corte

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Como Incautar Evidencia Electrnica

Si el computador est prendido: Retire al sospechoso inmediatamente!! Documente el estado actual y recolecte la informacin voltil. Si el computador est apagado no lo prenda.

Como Incautar Evidencia Electrnica

Si el monitor est prendido y: La pantalla est en blanco, o En modo de reposo o Es visible un protector de pantalla: Mueva el ratn sin oprimir botones Tome una fotografa de la informacin desplegada.

Como Incautar Evidencia Electrnica

Apagado: Tire de la toma del computador - no del enchufe de la pared

Como Documentar la Escena del Crimen Electrnico

Retire la carcasa y documente: Componentes (memoria, tarjetas, etc.) Discos Duros: Modelo del dispositivo y nmeros seriales (si estn disponibles) Tamao Equipo Master o Esclavo

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

50
John Jairo Echeverry Aristizabal - Colombia

Como Empacar y transportar evidencia electrnica

Los sistemas de computo son sensibles a la temperatura, humedad, golpes fsicos, electricidad esttica y fuentes magnticas. Asegrese que toda la evidencia ha sido debidamente documentada y etiquetada Empaque todo los medios magnticos en bolsas antiesttica.

Como Transportar el Computador Incautado

Utilice papel de burbujas (bubble wrap) No utilice Icopor Ponga el computador en el carro en el lugar en donde el viaje es ms suave. Si es posible, ponga el computador en el piso del asiento de atrs.

Como Transportar evidencia electrnica

No ponga el computador en el bal! La seal del transmisor de radio de la polica puede daar el disco duro y destruir la evidencia. Si es posible, evite transmisiones por radio mientras transporta el computador.

53

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Almacenando Evidencia Electrnica

Almacene la computadora en un rea seguro, como lo hara con cualquier tipo de evidencia Debe ser: Fresco Seco Lejos de: Generadores Imanes

55

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia

Unidad Nacional de Delitos Informticos

Ing. John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal - Colombia