unidad nacional de delitos...
Post on 15-Oct-2018
229 Views
Preview:
TRANSCRIPT
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
LLLLLLLLos avances Tecnológicos demuestra la
evolución del hombre, esto se evidencia a través delos medios que permiten el almacenamiento, latransmisión y la administración de lainformación; avances que han modificado el vivirdiario de las personas y organizaciones reflejadoesto, en el aumento de transacciones comerciales(cajeros automáticos, banca virtual), comercio(cajeros automáticos, banca virtual), comercioelectrónico, comunicaciones en línea, sistemas deinformación, etc., actividades que han permitidomejorar ostensiblemente procesos al interior de lasorganizaciones; pero así mismo, se han generadouna serie de comportamientos ilícitosaprovechando el conocimiento de ésta y esto sepuede ver reflejado en el aumento significativo defraudes financieros, injurias, calumnias,violación de datos personales, y muchos masmediante el uso de las Tics
1. Variación de la escena del delito (escenasvirtuales).
2. Clandestinidad.3. Efectividad4. Tiempos Cortos en la ejecución.5. Ganancias.6. Falta de testigos.7. No rastro.7. No rastro.8. La Seguridad del delincuente.9. Lo complejo de los hallazgos digitales.10. Ingenuidad de las personas.11. Falta de seguridad de los equipos y en las
plataformas tecnológicas.12. Falta de controles.13. Puertas traseras o errores en las
aplicaciones.14. Desconocimiento de los Investigadores.
1. Internet.2. Sistemas de Información.3. Medios de Almacenamiento.4. Dispositivos móviles.5. Bases de Datos.6. Programas o aplicaciones.7. Redes Sociales.7. Redes Sociales.8. Correos Electrónicos.9. E-commerce10. E-business11. E-goverment12. E-drugs13. TIC
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
SE BUSCANSE BUSCANSE BUSCANSE BUSCAN
KahlidKahlidKahlidKahlidMohammadMohammadMohammadMohammad
RamziRamziRamziRamziBinalshibhBinalshibhBinalshibhBinalshibh
Abu MusabAbu MusabAbu MusabAbu MusabAlAlAlAl----ZarqawiZarqawiZarqawiZarqawi
SE BUSCANSE BUSCANSE BUSCANSE BUSCAN
Raul ReyesRaul ReyesRaul ReyesRaul Reyes Ivan RiosIvan RiosIvan RiosIvan Rios Rodrigo TovarRodrigo TovarRodrigo TovarRodrigo Tovar Victor SuarezVictor SuarezVictor SuarezVictor Suarez
LAS EVIDENCIAS DIGITALES vs. EVIDENCIAS LAS EVIDENCIAS DIGITALES vs. EVIDENCIAS TRADICIONALESTRADICIONALES
¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
La evidencia digital es única, cuando se le compara con otras formas de“evidencia documental”. A comparación de la documentación en papel, laevidencia computacional es frágil y una copia de un documentoalmacenado en un archivo es idéntica al original. Otro aspecto único dela evidencia computacional es el potencial de realizar copias noautorizadas de archivos, sin dejar rastro de que se realizo una copia. Estaautorizadas de archivos, sin dejar rastro de que se realizo una copia. Estasituación genera problemas con respecto al robo de información comercial“secretos Industriales”.
Se debe tener en cuenta que los datos digitales adquiridos de copias no sedeben alterar de los originales del disco, porque automáticamente seinvalidaría la evidencia. Es por esta razón que los investigadores debenrevisar constantemente sus copias, y que sean exactamente igual a laoriginal. CHECKSUM ó HASH
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
1. Orden de Volatilidad.2. Cosas que se deben evitar.3. Consideraciones relativas a la privacidad de los datos.4. Consideraciones Legales.5. Procedimiento de recolección.5. Procedimiento de recolección.6. Transparencia.7. Pasos de Recolección.8. Cadena de Custodia.9. Como Almacenar las evidencias .10. Herramientas necesarias y medios de almacenamiento de
estas.
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Consideraciones LegalesConsideraciones LegalesConsideraciones LegalesConsideraciones Legales
• Cuando se está actuando, se deben seguir políticas y directivas.
• Esto asegura:• Esto asegura:– Identificación apropiada de un incidente– Incautación apropiada de evidencia– Documentación detallada– Conservación de evidencia.– Responsabilidad por la evidencia.
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Como Identificar un IncidenteComo Identificar un IncidenteComo Identificar un IncidenteComo Identificar un Incidente
• En la mayoría de los casos, un incidente será detectado por un Sistema de Detección de Intrusión (IDS) o el Intrusión (IDS) o el administrador del sistema.– Un IDS monitorea la
información de la red y alerta que un incidente ha ocurrido
– El Administrador del Sistema nota actividad irregular en la red
Como Identificar un IncidenteComo Identificar un IncidenteComo Identificar un IncidenteComo Identificar un Incidente
• El Administrador delSistema puede asumir queun incidente ocurriódándose cuenta de:un incidente ocurriódándose cuenta de:– Usuarios no autorizados
agregados al sistema– Archivos agregados o
eliminados del sistema– Programas no autorizados
corriendo en el sistema– Actividad inusual
ocurriendo en el sistema
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Como Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para Responder
• Consideraciones para la Respuesta – Para garantizar la respuesta apropiada, haga preguntas detalladas
durante la entrevista telefónica con la víctima:•• quién• qué• dónde• cuando • cómo• Magnitud del ataque (si está involucrada red)
– Consulte con su departamento legal:
Como Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para Responder
• Una vez se ha confirmado un incidente, usted debe estar preparado para tomar las siguientes acciones:
– Responder
• Documente eventos en la escena• Documente eventos en la escena
• Recoja registros de red y video de dispositivos testigos
• Recoja datos volátiles del sistema de la víctima / sospechoso
• Obtener una imagen del
sistema de la víctima / sospechoso
Juego de Herramientas del InvestigadorJuego de Herramientas del InvestigadorJuego de Herramientas del InvestigadorJuego de Herramientas del Investigador• Juego de Herramientas para Recolección de Evidencia en la Escena del
Crimen– Cámara (y video si está disponible)– Formularios para Recolección de Evidencia en la Escena del Crimen– Libretas de Apuntes, Etiquetas, bolígrafos, Marcadores Permanentes– Libretas de Apuntes, Etiquetas, bolígrafos, Marcadores Permanentes– Contenedores para Almacenamiento de Evidencia
• Juego de Herramientas Digital para Recolección de Evidencia – Juego de Herramientas Forense– Software Forense– Hardware Forense – Medios para Almacenamiento
Juego de Herramientas para Recolección de Juego de Herramientas para Recolección de Juego de Herramientas para Recolección de Juego de Herramientas para Recolección de Evidencia DigitalEvidencia DigitalEvidencia DigitalEvidencia Digital
• Capacidades– Recoger datos volátiles– Recoger imágenes de disco forense
• Requerimientos• Requerimientos– Computadora– Dispositivos Bloqueadores de Escritura– Medios Destino– Software para Respuesta a Incidentes
• Herramientas para Respuesta a Incidentes• Programa de Imagen Forense
Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Incidentes Paso #1 Incidentes Paso #1 Incidentes Paso #1 Incidentes Paso #1
• Borrado Seguro de Discos • Borrado Seguro de Discos (wipe)– Borra y sobrescribe en todos
los datos en el disco
– Asegura la integridad de la evidencia recogida
Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Incidentes Paso #2Incidentes Paso #2Incidentes Paso #2Incidentes Paso #2
• CD de Herramientas Forenses Forenses – Programa Roxio CD
Creator
– Quema (copia) las herramientas al CD
Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Incidentes Paso #3Incidentes Paso #3Incidentes Paso #3Incidentes Paso #3
• Hashing – MD5 Summer – MD5 Summer
– Asegura la integridad de las herramientas forenses
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
¿¿¿¿¿¿¿¿Qué es una Imagen Forense?Qué es una Imagen Forense?Qué es una Imagen Forense?Qué es una Imagen Forense?
• Una imagen forense hace referencia a una copia sin alterar del disco duro de la víctima. Esto asegura:– Integridad de la evidencia– Integridad de la evidencia– Daños no intencionados a los datos originales
• Hay dos tipos de imágenes forenses– Lógica: una copia de todos los archivos y directorios de la
computadora– Físicos: una copia bit-por-bit del disco duro
¿¿¿¿¿¿¿¿Para qué Hacer una Imagen Forense?Para qué Hacer una Imagen Forense?Para qué Hacer una Imagen Forense?Para qué Hacer una Imagen Forense?
• Mantiene la integridad de la evidencia • Suministra acceso a datos adicionales (no volátiles)
– Archivos de Registro– Archivos Temporales– Aplicaciones Comprometidas– Archivos de Página y para Compartir
• Si usted no está incautando el dispositivo de almacenamiento original, haga imágenes múltiples
¿¿¿¿¿¿¿¿Para qué usar un Para qué usar un Para qué usar un Para qué usar un perito forense perito forense perito forense perito forense entrenado?entrenado?entrenado?entrenado?• Una persona sin entrenamiento
podría:
– Pasar por alto, no encontrar o no recuperar datos no recuperar datos eliminados
– No encontrar o no recuperar datos protegidos por contraseña
– No encontrar o no recuperar datos ocultos
– Causar la pérdida o la corrupción de datos
¿¿¿¿¿¿¿¿Para qué usar un investigador forense Para qué usar un investigador forense Para qué usar un investigador forense Para qué usar un investigador forense entrenadoentrenadoentrenadoentrenado????
– Hacer que la computadora fallefalle
– Hacer que los datos sean inadmisibles en una corte o CREAR MALOS PRECEDENTES LEGALES!
– Dar pie para una demanda válida
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
37
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Manteniendo la Integridad de la Evidencia Manteniendo la Integridad de la Evidencia Manteniendo la Integridad de la Evidencia Manteniendo la Integridad de la Evidencia ElectrónicaElectrónicaElectrónicaElectrónica
• La evidencia informática es frágil. Los investigadores deben mantener la integridad de la evidencia con:integridad de la evidencia con:– Documentación apropiada – Identificación apropiada – Empaquetamiento apropiado– Cadena de custodia
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Como Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónico
• Para garantizar una detallada documentación, use formularios cuando sea apropiado: sea apropiado:
– Objetos incautados
• Descripción
• Quien lo incautó y dónde lo encontró
– Cadena de custodia
– Reporte después de la acción.
Como Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónico
• Una vez usted haya entrado y asegurado la escena de un crimen electrónico, debe documentar los electrónico, debe documentar los alrededores como los encontró originalmente:
– Tome Fotografías
– Dibuje
Como Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónico
• Tome fotografías de la escena del • Tome fotografías de la escena del crimen:
– Total
– Detallada (evidencia)
Como Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónico
• Tome fotografías a cada uno de los 0bjetos antes de incautarlo0bjetos antes de incautarlo
• Evite usar flash fotográfico en tomas cercanas
• Tome una fotografía de lo que está en la pantalla
Como Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónico
• Dibuje – Distribución
• Ubicación del sospechoso• Ubicación del sospechoso• Identificación de la
habitación– Localización de la evidencia– Distancia entre un objeto y
otro– Presentación para la corte
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Como Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia Electrónica
• Si el computador está prendido:• Si el computador está prendido:
– Retire al sospechoso inmediatamente!!
– Documente el estado actual y recolecte la información volátil.
• Si el computador está apagado no lo prenda.
Como Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia Electrónica
• Si el monitor está prendido y:
– La pantalla está en blanco, o
– En modo de reposo o – En modo de reposo o
– Es visible un protector de pantalla:
• Mueva el ratón sin oprimir botones
• Tome una fotografía de la información desplegada.
Como Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia Electrónica
• Apagado:
Tire de la toma del Tire de la toma del computador - no del enchufe de la pared
Como Documentar la Escena del Como Documentar la Escena del Como Documentar la Escena del Como Documentar la Escena del Crimen ElectrónicoCrimen ElectrónicoCrimen ElectrónicoCrimen Electrónico
• Retire la carcasa y documente:
– Componentes (memoria, tarjetas, etc.)
– Discos Duros:– Discos Duros:
• Modelo del dispositivo y números seriales (si están disponibles)
• Tamaño
• Equipo Master o Esclavo
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
50
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Como Empacar y transportar evidencia electrónicaComo Empacar y transportar evidencia electrónicaComo Empacar y transportar evidencia electrónicaComo Empacar y transportar evidencia electrónica
• Los sistemas de computo son sensibles a la temperatura, humedad, golpes físicos, electricidad estática y fuentes magnéticas.humedad, golpes físicos, electricidad estática y fuentes magnéticas.– Asegúrese que toda la evidencia
ha sido debidamente documentada y etiquetada
– Empaque todo los medios magnéticos en bolsas antiestática.
Como Transportar el Computador IncautadoComo Transportar el Computador IncautadoComo Transportar el Computador IncautadoComo Transportar el Computador Incautado
• Utilice papel de burbujas (bubble wrap)Utilice papel de burbujas (bubble wrap)
• No utilice Icopor
• Ponga el computador en el carro en el lugar en donde el viaje es más suave. Si es posible, ponga el computador en el piso del asiento de atrás.
Como Transportar evidencia electrónicaComo Transportar evidencia electrónicaComo Transportar evidencia electrónicaComo Transportar evidencia electrónica
• ¡No ponga el computador en el baúl! La señal del transmisor de radio de la policía puede
53
de radio de la policía puede dañar el disco duro y destruir la evidencia. Si es posible, evite transmisiones por radio mientras transporta el computador.
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Almacenando Evidencia ElectrónicaAlmacenando Evidencia ElectrónicaAlmacenando Evidencia ElectrónicaAlmacenando Evidencia Electrónica
• Almacene la computadora en un área seguro, como lo haría con cualquier tipo de evidencia
• Debe ser:
55
Debe ser:– Fresco– Seco– Lejos de:
• Generadores• Imanes
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos
John Jairo Echeverry Aristizabal - Colombia
Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal
top related