Tema 2. Evidencia digital

1. Informática Forense Tema 2. Evidencia digital Francisco Medina López — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administración Universidad Nacional Autónoma de México 2016-2

2. 1 Evidencia Digital Introducción Principios de manejo y recolección de evidencia Metodolog´ıa para la adquisición y tratamiento de evidencia digital Captura de evidencia volátil en red Recolección de evidencia volátil (Live Response) Recolección de evidencia no volátil Fijación y embalaje de indicios Cadena de custodia

4. ¿Qué es la evidencia digital? Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva de la mano la búsqueda y recopilación de evidencias. Definición La evidencia es cualquier información contrastable encontrada en un sistema. Son los hechos encontrados, por lo tanto la evidencia digital es toda aquella información electrónica que pueda aportar algún dato para el análisis forense digital posterior. La Adquisición de la evidencia digital inicia cuando la información y/o dispositivos relacionados son colectados y almacenados para realizar un análisis forense.

5. Ejemplos de evidencia digital • Fecha de último acceso de un archivo o aplicación. • Un registro de acceso de un archivo. • Una cookie de navegación web almacenada en un disco duro. • El uptime o tiempo que lleva sin apagarse un sistema. • Un archivo almacenado en un disco duro. • Un proceso en ejecución. • Archivos temporales. • Restos de la instalación de un programa. • Un disco duro, una unidad USB de almacenamiento u otro dispositivo de almacenamiento.

7. RFC 3227 I Al momento de recolectar las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y útil. El documento RFC 32271 recoge las recomendaciones sobre las pautas que un administrador debe seguir a la hora de obtener las evidencias en un sistema. En él se tratan los siguientes aspectos: • Principios para la recolección de evidencias. Realizar un análisis forense debe ser tomado como un proyecto delicado y como tal deben ser cumplidos ciertos prerequisitos. • Orden de volatilidad. Al momento de recolectar las evidencias de un sistema no toda tienen el mismo orden de volatilidad. El concepto de volatilidad de evidencia está marcado por el marco temporal en el que es posible acceder a una evidencia. As´ı, el contenido de un DVD será menos volátil que el contenido de la memoria RAM o los datos almacenado en la memoria de una impresora.

8. RFC 3227 II • Acciones que deben ser evitadas. Hay acciones que invalidan un proceso de análisis forense técnicamente hablando o para su utilización como prueba en una causa legal. Hay que tomar ciertas precauciones para que las evidencias sigan siendo válidas. • Consideraciones relativas a la privacidad de los datos. En un proceso de análisis forense pueden estar implicados datos sujetos a otras leyes de privacidad que deben ser mantenidas con la seguridad y privacidad que exija el marco lega. • Consideraciones legales. Para que un proceso de análisis forense sea útil en un proceso legal deben tomarse precauciones. Además, la legislación es diferente dependiendo del pa´ıs, as´ı que puede suceder que un proceso de análisis forense sea admitido como prueba en un juicio y no en otro.

9. RFC 3227 III • Procedimientos de recolección. Recolectar la información lo más puramente posible, con la menor perdida de información. La ejecución de un comando en el sistema puede hacer que se borren páginas de memoria que conten´ıan información de un proceso de interés. • Transparencia. Es recomendable utilizar técnicas y herramientas transparentes que permitan conocer exactamente como se están tratando las evidencias. Hay que evitar el uso de herramientas y procedimientos de los que no se conozcan completamente qué están haciendo con la información. Podr´ıa llevar a conclusiones erróneas. • Cadena de custodia de la información. En todo momento se debe poder constatar quién entrega la información y quién es el responsable de la custodia de la misma de manera que pueda ser posible conocer el flujo de la misma desde su recolección hasta su utilización como prueba.

10. RFC 3227 IV • Metodolog´ıa de almacenamiento de evidencias. Almacenar las evidencias es tambi´en una labor importante. Utilizar almacenamiento que puedan tener un tiempo de vida menor al necesario para que termine el proceso judicial podr´ıa llevar a un problema, pero tambi´en almacenar las evidencias en sistemas de los que no se ha podido probar su seguridad, lo que llevar´ıa a que fueran invalidadas las evidencias encontradas. 1 https://www.ietf.org/rfc/rfc3227.txt

11. Forensic Examination of Digital Evidence I Con fundamento el documento Forensic Examination of Digital Evidence: A Guide for Law Enforcement 2 se desprenden los principales puntos que hay que observar para la recolección de la posible evidencia que será presentada ante un juez: 1 En la recolección de indicios no se debe alterar bajo ninguna circunstancia la posible evidencia, salvo previa autorización por parte del agente del Ministerio Público de la Federación, quien deberá dar fe de todas y cada uno de los procedimientos realizados por el personal pericial. 2 Sólo un profesional forense acreditado tendrá acceso a indicios digitales originales. 3 Toda la actividad relacionada con la recolección, acceso, almacenamiento y transferencia de la posible evidencia digital deberá ser documentada, preservada y permanecer disponible para su revisión.

12. Forensic Examination of Digital Evidence II 4 Un individuo es responsable de todas las acciones con respecto al tratamiento de la posible evidencia digital mientras ´esta se encuentra bajo su resguardo. 5 Toda agencia responsable de recolectar posible evidencia digital deber´a cumplir con los principios antes mencionados. 2 https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

14. Tipos de investigación forense digital Antes de proceder al análisis y tratamiento de manera directa con la posible evidencia, es necesario distinguir dos tipos de vertientes en relación a la investigación forense en TIC’s: 1 Trabajo de campo o investigación en el lugar de los hechos. 2 Investigación en ambiente controlado o trabajo de Laboratorio.

15. Trabajo de campo o investigación en el lugar de los hechos El Perito Criminalista en Tecnolog´ıas de la Información y Comunicaciones debe tomar en cuenta los siguientes puntos al momento de realizar una investigación en el lugar de los hechos: 1 Antes de llevar a cabo una instrucción ministerial en el lugar de los hechos 2 Fijación del lugar de los hechos. 3 Durante la búsqueda de indicios as´ı como generación y registro de conjeturas 4 Embalaje de probables evidencias. 5 Aplicación del formato de cadena de custodia.

16. Antes de llevar a cabo una instruccion ministerial • Una vez COMPRENDIDO el planteamiento del problema y ante la posibilidad impl´ıcita de la diversidad de elementos, dispositivos, computadoras y/o sistemas informáticos con los que el o los investigadores se pueden enfrentar y con la finalidad de evitar en la medida de lo posible situaciones imprevistas, se deben preparar de manera metódica todos los elementos necesarios para llevar a cabo la diligencia en el lugar de los hechos.

17. Elementos, Herramienta y Dispositivos Necesarios en una Investigación I Ante la dificultad de lograr una correcta recolección y preservación de indicios en este tipo de investigaciones, es necesario prever cualquier dificultad de control y manejo de incidencias en el área f´ısica del lugar de los hechos y en cuanto a los dispositivos informáticos y de comunicación. La siguiente lista menciona los elementos m´ınimos necesarios para realizar una investigación: • Computadora personal (Laptop) con la mayor capacidad posible en Disco Duro, procesador de 2 o 4 núcleos, memoria RAM de 8 GB, capacidad de comunicación inalámbrica (WiFi, bluetoot), por lo menos dos sistemas operativos instalados en la máquina (Linux, Windows) o en su caso tener instalado un emulador de máquinas virtuales (VMWare, Virtual Machine). Cabe mencionar que en caso de necesitar emular sistemas operativos, será necesario conocer previo a la inspección

18. Elementos, Herramienta y Dispositivos Necesarios en una Investigación II ministerial, el tipo y versiones de los sistemas operativos que serán utilizados en la diligencia con la finalidad de evitar errores y retrasos propios de la aplicación correcta de éste procedimiento. Se recomienda verificar el estado de la pila interna de la máquina y de preferencia contar con una pila adicional de larga duración. • Disco Compacto y/o Memoria USB con capacidad de booteo. Hay que tomar en cuenta que no siempre el Perito se enfrentará a equipos de última generación, por lo que siempre será preferible prever cualquier eventualidad.

19. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on III

20. Elementos, Herramienta y Dispositivos Necesarios en una Investigación IV • Cámara Digital, de la mayor resolución posible con capacidad de realizar acercamientos y con capacidad de recarga sin necesidad de uso de bater´ıas. Se recomienda la utilización de una memoria de almacenamiento adicional de por lo menos 512 MB la cual tendrá una capacidad de almacenamiento de imágenes de buena calidad aproximado de 100. Se recomienda complementar con el tripié correspondiente en caso de necesitar precisión en alguna fijación y no contar con el Perito en Fotograf´ıa. • Grabadora Digital o Analógica. La tecnolog´ıa nos permite hacer uso de este tipo de dispositivos con la finalidad de grabar en el momento de llevar a cabo la diligencia, conjeturas, comentarios y entrevistas realizadas con el personal responsable del sistema a investigar.

21. Elementos, Herramienta y Dispositivos Necesarios en una Investigación V • Interfaces varias. Esta parte es delicada a consecuencia de los avances tecnológicos y la variedad de dispositivos que pueden ser sujetos a análisis forense, sin embargo se sugiere incluir en el malet´ın cables de red con conectores RJ-45, interfaces para conectar Discos Duros (PC’s y Laptops), interfaces de lectura de memorias, interfaces de lectura de Discos Compactos y DVD’s, entre otros. • Estuche de pinzas, desarmadores y mult´ımetro digital. Disco Duro externo con conectores. Se recomienda la mayor capacidad tecnológicamente posible. • Dispositivo bloqueador contra escritura para dispositivos de almacenamiento.

22. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VI

23. Elementos, Herramienta y Dispositivos Necesarios en una Investigación VII • Software de análisis, copiado y recuperación de datos. Elementos necesarios para cumplir de manera estandarizada con las mejores prácticas en el tratado de evidencia digital. • Guantes de látex. El contacto directo con la piel debe ser evitado con la finalidad de no contaminar las huellas presentes en el lugar de los hechos con las del propio Perito investigador. • Tapabocas. El interior del gabinete de los equipos de cómputo suele en el mejor de los casos contener cantidades importantes de polvo el cual puede ser dañino para la salud del investigador por lo que se recomienda que siempre que se lleven a cabo acciones de desensamblado de equipo de cómputo se recomienda el uso de tapabocas

24. Elementos, Herramienta y Dispositivos Necesarios en una Investigación VIII • Lentes protectores. Con la finalidad de proteger los ojos del investigador contra cualquier eventualidad al momento de llevar a cabo la revisión de equipo electrónico se recomienda el uso de lentes protectores • Pincel o brocha de cerdas finas y/o aire comprimido. El polvo acumulado a consecuencia de la estática natural que se forma en el interior de los equipos electrónicos, puede generar problemas de visión y eléctricos al momento de llevar a cabo la revisión y desmontaje de algún dispositivo, por lo que se recomienda remover el exceso del mismo con la ayuda de um pincel, brocha o aire comprimido. • Libreta de apuntes, Lápiz y Goma. Cuando no se cuenta con los dispositivos tecnológicos mencionados con anterioridad, siempre será importante tener donde apuntar y aplicar las técnicas antes mencionadas al estilo clásico.

25. Elementos, Herramienta y Dispositivos Necesarios en una Investigación IX • Lupa. Herramienta indispensable al momento de obtener datos relacionados con dispositivos electrónicos como números de serie, identificador de dispositivo, entre otros. • Lámpara. Herramienta necesaria al momento de buscar indicios en cites y dentro de gabinetes de computadoras, conmutadores, entre otros. • Cinta adhesiva. Aditamento útil para embalaje e identificación de indicios. • Etiquetas. Aditamento útil para identificación de indicios al momento de su embalaje. • Plástico polietileno con burbujas para embalar. Material necesario para embalaje de indicios. En caso de tratarse de recuperación y traslado de teléfonos celulares, añadir:

26. Elementos, Herramienta y Dispositivos Necesarios en una Investigación X • Bolsas o contenedores aislantes. Necesarias para embalar teléfonos celulares y dispositivos electrónicos varios. • Software de análisis forense de PDA’s y Celulares. • Fuente de voltaje ajustable. Necesaria en caso de realizar pruebas a dispositivos electrónicos y recarga de pilas de celulares. • Interfaces de conexión. • Mult´ımetro digital. Herramienta indispensable para pruebas a dispositivos electrónicos. En caso de tratarse de la identificación de dispositivos electrónicos y/o sistemas de telecomunicaciones: • Equipos de medición propios del caso. • Herramientas necesarias dependiendo el planteamiento del problema.

27. Fijación del lugar de los hechos I Permite a las personas (que necesitan saberlo): • Entender lo que sucedió, • reconstruir el lugar de los hechos, • reconstruir la cadena de sucesos y • saber quién procesó los indicios. La fijación empieza con: • una evaluación visual general, • un recorrido de inspección cuidadoso, • una conversación del investigador con sus colegas. Las preguntas básicas que se deben de responder al investigador de manera general antes de proceder a realizar la investigación: 1 Fecha y hora en la que se realiza la intervención o investigación 2 Domicilio del lugar de los hechos.

28. Fijación del lugar de los hechos II 3 Persona responsable de la administración de los recursos informáticos. (nombre y cargo) 4 Recursos en tecnolog´ıas de la información y comunicaciones con los que cuenta el lugar de los hechos. (numero de computadoras, aplicaciones y configuraciones de seguridad, bases de datos) 5 Accesos f´ısicos a los recursos informáticos. 6 Accesos Lógicos 7 Infraestructura de comunicaciones (telecomunicaciones, redes informáticas y su tecnolog´ıa) 8 Verificar si existe control de acceso a los recursos en TIC’s a través del uso de usuario y contraseña s´ı como e perfil de los usuarios (Administrador o limitados). 9 Rango de direcciones IP e inventario de las mismas. 10 Bitácoras activas.

29. Fijación del lugar de los hechos III 11 Proveedores de Servicios de Comunicaciones. Fijar fotográficamente el estado f´ısico del equipo as´ı como cables y dispositivos conectados a él.

30. Búsqueda de indicios as´ı como generación y registro de conjeturas I Durante la búsqueda de indicios as´ı como generación y registro de conjeturas: 1 En caso de encontrarse personal laborando y manipulando los equipo que serán sujeto a estudio, evitar que dicho personal se levante de su asiento y asegurarse de que éste retire las manos de los teclados y escritorio, colocándolas sobre sus muslos. 2 Localización e identificación del equipo o equipos sujetos a estudio. 3 Estado del equipo al momento de realizar la diligencia (apagado, encendido). 4 En caso de encontrarse en estado de apagado el o los equipos y/o dispositivos sujetos a estudio, se debe proceder a embalar y etiquetar de forma individual cada elemento con la finalidad de ser trasladado para su análisis en el Laboratorio.

31. Búsqueda de indicios as´ı como generación y registro de conjeturas II 5 En caso de encontrarse encendido el o los equipos y/o dispositivos sujetos a estudio se debe: 1 Identificar la hora del sistema y en su caso, el desfasamiento con el horario oficial. 2 Identificar las caracter´ısticas del sistema (RAM, discos duros, versión, etc.) 3 Obtener información volátil (primera muestra). 4 Identificar y fijar escritorio, documentos recientes y aplicaciones. 5 Identificar y fijar procesos. 6 Identificar y fijar información de conexiones a Internet. 7 Previsualización de las unidades de almacenamiento. 8 Obtener información volátil (segunda muestra). 6 Si se trata de evidencia digital contenida en teléfonos celulares:

32. Búsqueda de indicios as´ı como generación y registro de conjeturas III 7 Durante la búsqueda de indicios as´ı como generación y registro de conjeturas 1 Aislamiento: En caso de no contar con dispositivos de aislamiento y manejo de teléfonos celulares los cuales cumplen con la función de evitar que el dispositivo sujeto a estudio reciba o env´ıe llamadas o información, se deberá de buscar en la medida de lo posible un lugar aislado entre muros o sótanos que eviten la recepción o env´ıo de señales las cuales pueden provocar la alteración de manera remota de la información contenida en el o los dispositivos sujetos a estudio. 2 Fijación: En este punto se reconoce el dispositivo en cuanto a marca, modelo, número de serie y caracter´ısticas particulares, as´ı como el estado f´ısico y los dispositivos de almacenamiento que lo componen (memorias). Cabe aclarar en este punto que el investigador deberá de tomar las mayores precauciones para evitar toda manipulación del dispositivo sometido a estudio sin el uso de guantes de látex.

33. Búsqueda de indicios as´ı como generación y registro de conjeturas IV 8 En caso de ser necesario y con la autorización del Agente del Ministerio Público o responsable del área, recolectar: • Dispositivos de comunicación (teléfonos celulares, agendas electrónicas) • Dispositivos de almacenamiento (memorias USB, CD’s, Disquetes, memorias SIMS, entre otros). Dada la complejidad y diversidad de escenarios y variantes relacionadas a conductas delictivas relacionadas con TIC’s en el lugar de los hechos, entre los cuestionamientos básicos que el investigador debe de plantearse para la generación de conjeturas sugerimos las siguientes: • Acceso no autorizado. • Fallos a consecuencia de virus maliciosos. • Correos electrónicos.

34. Búsqueda de indicios as´ı como generación y registro de conjeturas V • Intervención de sistemas de comunicación. • Negación de servicios. • Fallos a consecuencia de errores humanos. • Sabotaje (interna o externa). • Identificación de dispositivos electrónicos.

35. Embalaje de probables evidencias I Cuando el equipo de c´omputo se encuentra apagado y no es posible incautarlo se procede a realizar una imagen forense del disco duro: 1 Preparar medio destino. 2 Identiﬁcar tecla de acceso al BIOS.

36. Embalaje de probables evidencias II 3 Accesar al BIOS. 4 Identificar fecha del sistema. 5 Identificar desfasamiento entre el horario del sistema y el horario oficial. 6 Identificar orden de arranque del sistema. 7 Asegurase que el sistema arranque desde el medio forense (CAINE). 8 En caso de ser necesario previsualizar las unidades de almacenamiento conectadas al equipo de cómputo (discos duros, memorias) 9 Realizar imagen o imágenes forenses.

37. Cadena de custodia Definición Procedimiento controlado que se aplica a los indicios relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y as´ı evitar alteraciones, sustituciones, contaminaciones o destrucciones.

38. Investigación en ambiente controlado o trabajo de Laboratorio. • Seguir los procedimientos de recepción de indicios. • Ejecutar los procedimientos de investigación. • Elaborar el dictamen pericial.

44. Referencias bibliográficas I Óscar. Lira Arteaga. Cibercriminalidad. Fundamentos de investigación en México..

Tema 2. Evidencia digital

Tema 2. Evidencia digital

Recomendados

Más contenido relacionado

Was ist angesagt?

Was ist angesagt?(20)

Destacado

Destacado(20)

Similar a Tema 2. Evidencia digital

Similar a Tema 2. Evidencia digital(20)

Más de Francisco Medina

Más de Francisco Medina(20)

Último

Último(20)

Tema 2. Evidencia digital