Autores: Darahuge, Mara Elena; Arellano Gonzlez, Luis E.

Material recibido

Ttulo: Manual de informtica forense : prueba indiciaria informtico forense Bases metodolgicas: cientfica, sistmica, criminalstica, tecnolgicapericial y marco legal

Topogrfico: J 786 Errepar, 2011

347.067 DAR

Contenido

CAPTULO 1. ESTRUCTURA GENERAL Orientacin para la lectura del manual

CAPTULO 2. LA PROBLEMTICA DE LA INFORMTICA FORENSE El surgimiento de la Informtica Forense, su insercin social, judicial y tecnolgica Concepto de Informtica Forense CAPTULO 3. IMPLANTACIN PERICIAL CRIMINALSTICA Caractersticas destacables en la disciplina Clasificacin por su relacin con el lugar del hecho Causas de alteracin del lugar del hecho

CAPTULO 4. IMPLANTACIN INFORMTICA

Material recibido

CAPTULO 5. IMPLANTACIN JUDICIAL El delito informtico propio e impropio La reconstruccin del hecho La reconstruccin metodolgica del hecho El lugar del hecho virtual propio e impropio Prueba documental clsica (bibliogrfica, foliogrfica y pictogrfica) e informtica Elemento probatorio pertinente y conducente Prueba pericial informtico forense Relaciones con otras disciplinas CAPTULO 6. INFORMTICA FORENSE - LA PRUEBA DOCUMENTAL INFORMTICA Principios y relaciones periciales informtico forenses La prueba documental informtica Definicin y relaciones Inteligencia estratgica La entrevista

CAPTULO 7. INSERCIN LEGAL DEL PERITO EN INFORMTICA FORENSE LA INSPECCIN JUDICIAL Generalidades Legalidad de la requisitoria pericial Entorno legal del perito Formalidades de la aceptacin del cargo Diligencias previas en el Juzgado Requisitos legales y formales de la inspeccin judicial Artculos pertinentes del Cdigo de Procedimientos Penal de la Nacin (CPPN) Responsabilidad legal del perito informtico forense: posesin, proteccin, anlisis, preservacin y devolucin de la prueba Legislacin de fondo, el perito como testigo y el falso testimonio Legislacin de forma Legislacin complementaria, leyes y proyectos Jurisprudencia CAPTULO 8. ACTIVIDADES PERICIALES COMPLEMENTARIAS La aceptacin del cargo El informe pericial informtico forense impreso y virtual El prrafo de presentacin El objeto de la pericia y los puntos de pericia (tarea transdisciplinaria) Los elementos ofrecidos (equipos, programas, indicios y rastros) Las operaciones realizadas Las conclusiones

CAPTULO 9. LA IMPUGNACIN Revisin legal La relacin del perito con las partes y con los abogados de las mismas Control, revisin y exigencia de legalidad en las herramientas utilizadas Revisin cientfica, tecnolgica y tcnica Revisin lgica Revisin formal

Material recibido

CAPTULO 10. VALOR PROBATORIO DE LA PRUEBA INDICIARIA INFORMTICO FORENSE Prueba documental informtica (recaudos procesales) Insercin de la prueba documental informtica Pertinencia de la prueba documental informtica El acceso y resguardo de la documental informtica La certificacin de la documental informtica Recoleccin estratgica de la documental informtica Prueba pericial En el delito informtica propio e impropio CAPTULO 11. UN EJEMPLO DE DELITO INFORMTICO PROPIO (EL PHISHING) Herramienta de anlisis del lugar del hecho real Herramienta de anlisis del lugar del hecho virtual CAPITULO 12. GUA PARA EJECUTAR LA RECOLECCIN DE LA DOCUMENTAL INFORMTICA

CAPTULO 13. MARCO TECNOLGICO PERICIAL (la pericia informtico forense en la prctica) Listas de Control del Equipo del perito informtico forense Herramientas de hardware y software del perito informtico forense Elementos de hardware del laboratorio del perito informtico forense Equipo fijo de Laboratorio - Estacin de trabajo Equipo mvil de Laboratorio Componentes de hardware de uso especfico Laboratorios que trabajan para la Justicia y recuperan datos Equipo para la autenticacin y duplicacin de evidencia del disco rgido Herramientas de software para Informtica Forense Conjunto de herramientas integradas en un solo paquete de software de arranque en modo en vivo (live) disponibles para CD, DVD, Pendrive - Programas de Software Libre Conjunto de herramientas integradas en un solo paquete de software - Productos Comerciales Herramientas individuales e integradas en paquetes de funcin especfica Herramientas de funciones especficas Borrado seguro, limpieza y desinfeccin

Duplicacin de discos Duplicacin en forma remota Manejo de Particiones RED Recuperacin de archivos eliminados En Windows Recuperacin de archivos con claves Recuperacin de archivos de la papelera de reciclaje Telefona, Celulares, PDA, GPS Herramientas para la elaboracin del informe pericial Clasificacin e identificacin de las pericias informtico forenses Nomenclatura Ejemplos Etapas del Marco Tecnolgico Pericial Tarea a realizar en el Laboratorio I Etapa: Acceso a los recursos dubitados II Etapa: Identificacin y registro III Etapa: Autenticacin, duplicacin y resguardo de la prueba Procedimiento Duplicacin y autenticacin de la prueba Procedimiento para el resguardo de la prueba y preparacin para su traslado IV Etapa: Deteccin, recoleccin y registro de indicios probatorios Alternativa I, para el acceso con el equipo encendido En sistemas operativos Microsoft Windows Certificacin matemtica de los archivos Envo de la evidencia a travs de una conexin remota Ejecucin de un intrprete de comando legtimo Registro de la fecha y hora Descarga de la memoria RAM Verificacin de los usuarios conectados al sistema y de los usuarios con acceso remoto Verificacin de las fechas y hora de acceso, creacin o modificacin de todos los archivos Verificacin de los puertos abiertos Verificacin de las aplicaciones asociadas con los puertos abiertos Verificacin de los procesos activos Verificacin de las conexiones actuales y recientes Revisin de los registros de eventos o sucesos del sistema operativo Verificacin de la base de datos del Registro del sistema operativo Examinar los archivos de configuracin del sistema operativo Verificacin y obtencin de las claves de los usuarios del sistema Verificacin de archivos relevantes Herramientas Descarga de los archivos temporales Verificacin de los enlaces a archivos rotos Verificacin de los archivos de navegacin por Internet

Material recibido

Verificacin y descarga de los archivos de correo electrnico Cliente de correo Outlook Express Cliente de correo Microsoft Outlook Cliente de correo Netscape Messenger Documentar los comandos utilizados durante la recoleccin de datos o en la respuesta al incidente Generacin de un script o secuencia de comandos Respuesta a incidentes Alternativa II, con el equipo apagado Procedimiento V - Anlisis e interpretacin de los indicios probatorios. Reconstruccin y/o simulacin del incidente Procedimiento para el anlisis e interpretacin de los indicios probatorios Elementos a examinar en el disco duro (Anexo - Lista de control de Anlisis de discos Discos rgidos de computadoras porttiles Aspectos a considerar de los sistemas de archivos de los sistemas operativos Estructura del inodo Niveles de almacenamiento en el sistema de archivos Nivel fsico Nivel de clasificacin de la informacin Esquema de particiones de BSD Nivel de unidades de asignacin Nivel de gestin del espacio de almacenamiento Unidades de asignacin (FAT Clusters) Gestin del espacio de almacenamiento (Table FAT) Entradas de directorios Nivel de clasificacin y almacenamiento del nivel de aplicacin Anlisis de particiones de los discos duros Herramientas En Windows XP En Windows Anlisis de los datos de las unidades de CD-R y CD-RW - DVD y dispositivos con memoria flash Visualizacin de diferentes tipos de archivos Bsqueda de texto y palabras claves Anlisis del espacio no utilizado o no asignado reas del sistema de archivo que contienen datos borrados o eliminados Espacio no asignado Eliminacin o borrado de informacin en el disco rgido Listar los directorios ocultos de la papelera Estructura de INFO2 Eliminacin segura de los datos Anlisis de datos ocultos Tipo: Enmascaramiento

Material recibido

Archivos protegidos con claves Tipo: ocultamiento de informacin Herramientas Espacio no asignado, desperdiciado y libre Tipo: alteracin del entorno Herramientas Cdigo malicioso o Malware Mtodos de invasin o ataque Modos de control de la invasin o ataque Modo de distribucin o impregnacin Objetivos del cdigo hostil Anlisis del correo electrnico Caractersticas del encabezado de los mensajes Descripcin del encabezado Aspectos importantes a considerar en el anlisis del encabezado del mensaje Herramientas para el anlisis del encabezado de correo electrnico Visualizacin de encabezados en diferentes clientes de correo electrnico Verificacin de los archivos de impresin Anlisis de cdigo malicioso Sitios de programas antivirus con la descripcin de los distintos tipos de virus Herramientas de Antivirus Herramientas de control remoto Herramientas exploradoras de red y de vulnerabilidades Herramientas rastreadoras de la red o sniffers Herramientas detector de DDoS (denegacin distribuida de servicio) Herramientas bombas lgicas y bombas de tiempo Herramientas para el Registro de las acciones efectuadas por teclado y/o mouse Herramientas para eliminacin de huellas Procedimiento Anlisis de celulares, PDA, GPS VI - Cotejo, correlacin de datos y conclusiones Tcnicas posibles a utilizar para el cotejo y correlacin de los datos Procedimiento para el cotejo y correlacin de los datos Procedimiento para la elaboracin de conclusiones Elementos a cotejar y correlacionar Fecha y hora Tablas de enrutamiento Tabla ARP Tabla de procesos activos Tipo de sistema operativo Sistemas de Archivos Resguardo de herramientas de hardware y software utilizados en la pericia APNDICE 1: ESTUDIO DE UN CASO REPRESENTATIVO

Material recibido

APNDICE 2: PROCEDIMIENTO ANTE LA REQUISITORIA PERICIAL APNDICE 3: EL MTODO SISTMICO (RESUMEN) Visin sistmica de la investigacin Entrevista previa o licitacin Relevamiento de la informacin Seleccin de la metodologa de anlisis Generacin del modelo conceptual Generacin de los modelos complementarios Programacin y codificacin Prueba y ejecucin en paralelo Capacitacin, supervisin y soporte de la aplicacin Retroalimentacin Sntesis APNDICE 4: INFORMACIN COMPLEMENTARIA Requisitoria pericial Ttulo VII - Participacin criminal Dibujo pericial complementario Croquis ilustrativo Condiciones esenciales Elementos Dibujos auxiliares Fotografas durante la inspeccin judicial

Material recibido

APNDICE 5: MANUAL DE AUTOPSY Introduccin Emulador Cygwin Instalacin - Configuracin y Acceso Instalacin de Cygwin Ejecucin de Cygwin y acceso al intrprete de comandos (shell) Instalacin de Sleuth Kit Instalacin de Autopsy Descripcin General de Autopsy Ejecucin de Autopsy en Cygwin Creacin de un caso en Autopsy Opcin Analize- Analizar Opcin Keyword Search Bsqueda de palabras claves Comando grep (filtrar) Opcin File Type Tipo de Archivo Image Details Detalles de la Imagen Opcin Meta Data - Metadatos Aclaraciones acerca de NTFS y FAT Opcin Data Unit Unidad de Datos Aclaraciones sobre el sistema de archive FAT

Timeline Mode Modo Lnea de Tiempo Image Integrity Integridad de la Imagen Event Sequencer - Secuencia de sucesos Hash Database Base de datos de Hash Usos de las bases de datos - Database Uses Configuracin en Autopsy Referencias Anexo I - Herramientas de Sleuth Kit Anexo II - Comando: sorter

Material recibido

APNDICE 6: RELACIONES CON LA PRUEBA INDICIARIA NO INFORMTICA Expertos en Balstica Armas Proyectiles Ropas Huellas plantares (Retrato del paso) y de vehculos Huellas dactilares Manchas de sangre Manchas varias (material fecal, meconio, calostro, semen, orina), pelos, fibras naturales o artificiales Documentos Suposiciones a priori APNDICE 8: LA REDACCIN FINAL Generacin del informe pericial Preparacin de la defensa escrita/oral Reglas para las citas La pos-redaccin Respecto de la presentacin Respecto de la forma de presentacin Entrega formal del informe pericial

APNDICE 7: LA ESTRUCTURA LGICA DEMOSTRATIVA EN LA LABOR PERICIAL Demostracin lgica y tecnolgica de las conclusiones alcanzadas

APNDICE 9: LA DEFENSA ORAL La defensa ante el tribunal Reglas de argumentacin generales Reglas para evaluar argumentaciones de los interlocutores Reglas para construir nuestras propias argumentaciones La defensa ortodoxa Las lagunas pasajeras Las metforas Las respuestas estrictas Consideraciones prcticas para la argumentacin oral

APNDICE 10: GLOSARIO COMPLEMENTARIO BSICO APNDICE 11: RESUMEN DE LGICA PROPOSICIONAL APNDICE 12: LA INSPECCIN JUDICIAL Generalidades Situaciones posibles en la inspeccin judicial Metodologa de trabajo Acta de inspeccin o secuestro APNDICE 13: MISCELNEAS Listado de Claves BIOS - CMOS Award Ami Phoenix Otras Varios fabricantes Toshiba IBM Aptiva BIOS Listado de Puertos utilizados por Troyanos APNDICE 14: LA YAPA ANEXO 1: DIAGRAMAS CONCEPTUALES Marco cientfico investigativo Esquema de investigacin ANEXO 3: MODELOS DE NOTAS ANEXO 4: FORMULARIOS Lista de control de hardware en la inspeccin y reconocimiento judicial Formulario de registro de evidencia Rtulos para las evidencias Formulario Recibo de efectos Formulario para la Cadena de Custodia Lista de control de respuesta a incidentes Lista de control de anlisis de discos

Material recibido

ANEXO 2: MODELO DE INFORME PERICIAL