Download buenas prácticas técnico forenses - Densi-UNC

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
page
69
page
70
page
71
page
72
page
73
page
74
page
75
page
76
page
77
page
78
page
79
page
80
page
81
Document related concepts
no text concepts found
Transcript 
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL PERITO DE PARTE
DEFINICIÓN DEL MARCO DE LA EXPOSICIÓN
•
•
•
•
•
LA INVESTIGACIÓN
LOS DESAFÍOS
LOS MÉTODOS
LAS HERRAMIENTAS Y TÉCNICAS
LA PRUEBA
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
1
BUENAS PRÁCTICAS TÉCNICO FORENSES
OBJETIVOS DE LA CAPACITACIÓN
•
•
•
•
•
CONSOLIDAR UNA BASE CONCEPTUAL
SUSTENTAR LAS INVESTIGACIONES CIENTÍFICAMENTE
ASEGURAR LAS EVIDENCIAS DE CONDUCTAS PUNIBLES
AYUDAR A UBICAR A LOS RESPONSABLES DE CONDUCTAS DELICTUALES
ALINEAR SUS METODOLOGÍAS CON ESTÁNDARES INTERNACIONALES
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
2
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL CIBERCRIMEN
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
3
BUENAS PRÁCTICAS TÉCNICO FORENSES
LA CRÍMINALIDAD ON LINE
•
•
•
•
•
•
•
•
•
•
•
•
•
Variación de la escena del delito (escenas virtuales).
Clandestinidad.
Efectividad.
Tiempos Cortos en la ejecución.
Ganancias tentadoras
Falta de testigos.
Pocos rastros.
La Seguridad del delincuente.
Lo complejo de los hallazgos digitales.
Ingenuidad de las personas.
Falta de seguridad de los equipos en la domicilio, trabajo, cafés Internet, etc.
Territorialidad.
Diferentes legislaciones.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
4
BUENAS PRÁCTICAS TÉCNICO FORENSES
HERRAMIENTAS DEL CIBERCRÍMEN:
•
La ingeniería técnica: Comprende la utilización de medios técnicos programas, hardware,
aplicaciones y variados medios informáticos.
•
La ingeniería Social: Comprende la utilización de medios no técnicos como la percepción
humana, la recepción de mensajes e informaciones, la metodología basada en palabras, textos,
noticias, voz, lenguaje y contenidos.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
5
BUENAS PRÁCTICAS TÉCNICO FORENSES
PERFILES:
•
•
•
•
•
•
•
El perfil como herramienta dentro de la investigación y la construcción de un caso criminal.
Se lo debe tomar como un punto de partida que puede ayudar al investigador al reunir evidencias
de uno o varios hechos.
Los perfiles son técnicas destinadas a desarrollar descripciones de las características de un
criminal sean estas físicas, intelectuales y emocionales, basándose en la información recogida en
la escena del hecho y sus variables de entorno.
Se basan en Observaciones de la escena del crimen, existencia de patrones y correlaciones
entre diferentes actos criminales o testimonios ofrecidos por las víctimas o testigos.
El perfil cibercriminal es un juicio psicológico realizado sin conocer la identidad del criminal.
Los perfiles pueden proporcionar a los investigadores valiosos datos sobre la persona que
comete un delito específico, o una serie de delitos.
Un perfil realizado por el mas profesional del área, no proporcionará mas que una idea general
del tipo de persona que puede haber cometido un delito y nunca señalará a una persona concreta
como la sospechosa.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
6
BUENAS PRÁCTICAS TÉCNICO FORENSES
MÉTODO SKRAM
Diseñado por Donn Parker
Es necesario comprender los componentes individuales del modelo de SKRAM.
Parker revela que el modelo de SKRAM es una suma de supuesta habilidad de
un sospechoso, conocimientos, recursos, la autoridad y la motivación.
SKRAM son las siglas de:
Skills (Habilidades)
Knowledge (Conocimiento)
Resources (Recursos)
Authority (autoridad)
Motive (Motivo)
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
7
BUENAS PRÁCTICAS TÉCNICO FORENSES
MÉTODO SKRAM
Donn Parker
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
8
BUENAS PRÁCTICAS TÉCNICO FORENSES
APRENDIENDO SOBRE SKRAM:
•
•
•
•
•
Habilidades: El primer componente del modelo SKRAM, las habilidades se refiere a aptitud de
un sospechoso con las computadoras y la tecnología.
Conocimiento: El conocimiento a primera vista se parece mucho a las habilidades. A diferencia
de las habilidades, el conocimiento es una medida más general de las habilidades específicas
adquiridas por un sospechoso y que le son fundamentales para perpetrar el ataque informático en
cuestión.
Recursos: Un sospechoso calificado y conocedor es incapaz de cometer un delito si no posee
los recursos necesarios.
Autoridad: La autoridad es una medida de acceso del sospechoso y le ayuda a ejercer control
sobre la información necesaria para cometer un delito.
Motivo: Todos los conocimientos técnicos en el mundo podrían no ser suficientes para
determinar que un sospechoso ha cometido un delito informático.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
9
BUENAS PRÁCTICAS TÉCNICO FORENSES
Recolección de datos y metodología SKRAM:
•
Hasta la fecha no se conoce ningún modelo de trabajo para la cuantificación de la amenaza
potencial de una persona basándose en su conjunto de habilidades y la motivación para cometer
el crimen. Sin embargo, el modelo de Parker establece una base de atributos y cualidades que
potencialmente pueden ser examinados a través de técnicas de perfiles y que posteriormente se
podrían comparar con los sospechosos.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
10
BUENAS PRÁCTICAS TÉCNICO FORENSES
EJEMPLO SKRAM:
Un empleado de depósito accedió a la base de históricos de logística y removió la misma.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
11
BUENAS PRÁCTICAS TÉCNICO FORENSES
EJEMPLO SKRAM:
Un empleado de depósito accedió a la base de históricos de logística y removió la
misma.
•
•
•
•
•
Skills (Habilidades): Manejo de computadoras, manejo del sistema operativo Linux,
manejo de redes UTP.
Knowledge (Conocimiento): Conocimiento de la red de la empresa, conocimiento de
nombres de usuario y password, conocimiento de los archivos de parámetros que iba
a atacar.
Resources (Recursos): Servidor y computador personal, red corporativa, sistema
operativo.
Authority (autoridad): La autoridad fue "root" , lo que le permitió acceder a la
información y borrar el histórico de logística.
Motive (Motivo) El motivo sin duda fue el de ocultar evidencias.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
12
BUENAS PRÁCTICAS TÉCNICO FORENSES
ELEMENTOS DE LA ESCENA DEL DELITO:
Modus operandi (método de funcionamiento).
Elementos: Que asegure el crimen.
Proteja la identidad.
El efecto escape.
El ritual (señales de fantasía o necesidad psicológica).
Elemento: Esfuerzo por simular una situación diferente.
La firma (combinaciones únicas de conducta).
Elementos: Algo que debe hacer para cumplirse
Es repetible en sus distintos hechos
Le puede poner en riesgo por tardar en realizarla.
Es como "su marca" y denota cierta compulsión.
Es una forma de expresarse.
Suele reflejar su personalidad.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
13
BUENAS PRÁCTICAS TÉCNICO FORENSES
DESAFIOS PARA EL PERITO DE PARTE :
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Intoxicación On Line: Lanzar rumor y multiplicarlo exponencialmente, (Ej: desprestigiar).
Ocio y placer personal: El placer de la intrusión, la alteración y a veces la destrucción.
Ataques criptovirales: Moderna forma de ciberextorsión.
Black Hat: Uso de las destrezas digitales con fines maliciosos.
Black market: Mercado negro de Internet.
Bomba Fork: Se multiplica hasta llegar a completar la memoria o un disco.
Bosques cibernéticos: En el argot del cibercrimen denotan áreas de difícil acceso.
Ciberbulling: Nuevas tecnologías como herramientas de acoso e intimidación.
Ciberespía: Encargado de obtener información que no está expuesta al público.
Count Down Fraud: Fraudes de tiempo límite.
Cibertalking: Foma de acoso en la Web (Blogs y otros).
Denial of Service,Nonelectrónic attack: Ing. Social, Shoulder surfing, Dumper diving.
Eavesdropping: Interferir comunicaciones (correos por ejemplo).
Pharming: explotan vulnerabilidades de DNS.
Web bugs: Bacon GIF`s Invisible GIF`S 1-by-1 GIF´S 1X1
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
14
BUENAS PRÁCTICAS TÉCNICO FORENSES
CARDING
Visión del Consultor técnico
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
15
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL ENEMIGO MAS TEMIDO
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
16
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL ENEMIGO MAS TEMIDO (distintas caras)
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
17
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL ENEMIGO MAS TEMIDO (distintas caras)
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
18
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL ENEMIGO MAS TEMIDO (distintas caras)
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
19
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL ENEMIGO MAS TEMIDO (distintas caras)
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
20
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL ANONIMIZADOR
Cypherpunks: Obsesionados por el fenómeno de la privacidad y el anonimato.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
21
BUENAS PRÁCTICAS TÉCNICO FORENSES
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
22
BUENAS PRÁCTICAS TÉCNICO FORENSES
ANONIMIZADOR ON LINE
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
23
BUENAS PRÁCTICAS TÉCNICO FORENSES
OTRO DESAFÍO Cuentas temporales Desechables.
.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
24
BUENAS PRÁCTICAS TÉCNICO FORENSES
OTRO RETO Bosques tecnológicos: SPAM y Amenazas distribuidas como rasomware.
.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
25
BUENAS PRÁCTICAS TÉCNICO FORENSES
CAMINO DIRECTO ! …
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
26
BUENAS PRÁCTICAS TÉCNICO FORENSES
AL RECIBIR EL LLAMADO POR UN INCIDENTE:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Tiende su empresa IDS (sistema de detección de intrusos) y Firewall ?
Cual es su proveedor?
Quien notifico inicialmente el incidente?
Tiene algún sospechoso?
Maneja su empresa políticas de seguridad?
Puede usted de manera rápida proveernos de una copia electrónica de su arquitectura de la red y los medios de
seguridad?
Que tan viejos son sus equipos?
Que tipo de información es crucial para su empresa? Piensa que esta fue comprometida?
Maneja copias de seguridad de su sistema?
Que sistemas operativos esta usando?
Que sistema de particiones utiliza en sus sistemas?
Que plataformas de hardware esta utilizando (Intel, risc, spare, etc.)
El quipo comprometido tiene unidades de Cd-rom o otros drive? Cuales son?
Cual es el tamaño de los disco duros del sistema comprometido o donde se aloja la potencial evidencia ?
Tendré al administrador del sistema disponible al momento que lleguemos al sitio con el compromiso de que nos
facilite el accesos a todo el sistemas sin restricciones ?
Otras …
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
27
BUENAS PRÁCTICAS TÉCNICO FORENSES
UNA VEZ EN EL LUGAR:
•
•
•
•
•
•
•
•
•
•
•
Es normal que el personal tenga acceso al sistemas las 24 horas del día o manejen un horario
específico?
Cual de las personas utilizó en último término el sistema?
En que horario trabaja normalmente esta persona?
Cual es el modelo de horarios de trabajo que utiliza el personal?
Hay algún empleado que hayan despedido en el ultimo mes?
Hay empleados nuevos que hayan contratado durante el ultimo mes?
Han actualizado recientemente el sistemas?
Hay alguna aplicación recientemente instalada en el sistema.
Tiene personal de vacaciones, o tenga una ausencia inexplicable, o este de visita por negocios
otras ciudades.
Podemos obtener el listado de los empleados que en los últimos 30 días han accedido al
sistema?
Otras …
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
28
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN NUESTROS PROCEDIMIENTOS:
•
•
•
•
•
Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de los
registros de la aplicación.
Diseñar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal
forma que se pueda validar que es la aplicación la que genera los registros electrónicos.
En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar
la fecha y hora de creación de los archivos.
Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de los registros y su
completitud, frente al diseño previo de los registros electrónicos.
Diseñar y mantener un control de integridad de los registros electrónicos, que permita identificar
cambios que se hayan presentado en ellos.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
29
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN NUESTROS PROCEDIMIENTOS:
•
•
•
•
•
Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de los
registros de la aplicación.
Diseñar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal
forma que se pueda validar que es la aplicación la que genera los registros electrónicos.
En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar
la fecha y hora de creación de los archivos.
Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de los registros y su
completitud, frente al diseño previo de los registros electrónicos.
Diseñar y mantener un control de integridad de los registros electrónicos, que permita identificar
cambios que se hayan presentado en ellos.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
30
BUENAS PRÁCTICAS TÉCNICO FORENSES
RECOLECCIÓN DE LA EVIDENCIA:
•
•
•
•
•
•
•
•
•
Establecer buenas prácticas y estándares para recolección de evidencia digital.
Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro.
Mantener y verificar la cadena de custodia
Respetar y validar las regulaciones y normativas alrededor de la recolección de la evidencia digital.
Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.
Documentar todas las actividades que el profesional a cargo de la recolección ha efectuado durante el proceso
de tal manera que se pueda auditar el proceso en sí mismo y se cuente con la evidencia de este proceso.
Asegurar el área dónde ocurrió el siniestro, con el fin de custodiar el área o escena del delito y así fortalecer la
cadena de custodia y recolección de la evidencia.
Registrar en medio fotográfico o video la escena del posible ilícito, detallando los elementos informáticos allí
involucrados.
Levantar un mapa o diagrama de conexiones de los elementos informáticos involucrados, los cuales deberán ser
parte del reporte del levantamiento de información en la escena del posible ilícito.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
31
BUENAS PRÁCTICAS TÉCNICO FORENSES
SEGÚN LOS ESTÁNDARES DE AUSTRALIA:
•
•
•
•
Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el análisis de los datos, son
repetibles y verificables por un tercero especializado.
Auditar periódicamente los procedimientos de recolección y análisis de registros electrónicos, de tal manera que
se procure cada vez mayor formalidad y detalles en los análisis efectuados.
Fortalecer las políticas, procesos y procedimientos de seguridad de la información asociados con el manejo de
evidencia digital.
Procurar certificaciones profesionales y corporativas en temas relacionados con computación forense, no como
signos distintivos de la experiencia de la organización en el área, sino como una manera de validar la constante
revisión y actualización del tema y sus mejores prácticas.
Como profesional a cargo de una investigación se debe proveer un concepto de los hechos
identificados en sus análisis. Se debe ser concreto y claro en sus afirmaciones.
Los reportes que como profesional encargado de una investigación adelante deben ser concreto,
libres de jerga propia de su disciplina, pedagógicos y sobre manera, consistentes con los hechos
y resultados obtenidos.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
32
BUENAS PRÁCTICAS TÉCNICO FORENSES
ESTANDARIZACIÓN DE LA RECOLECCIÓN:
Cualquier investigador que sea responsable de recolectar, tener acceso, almacenar o transferir
videncia digital es responsable de cumplir con estos principios.
Además definen que los principios desarrollados para la recuperación estandarizada de evidencia
computarizada se deben gobernar por los siguientes atributos:
•
•
•
•
•
•
Consistencia con todos los sistemas legales.
Permitir el uso de un leguaje común.
Durabilidad.
Capacidad de cruzar límites internacionales.
Capacidad de ofrecer confianza en la integridad de la evidencia.
Aplicabilidad a toda la evidencia forense.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
33
BUENAS PRÁCTICAS TÉCNICO FORENSES
PERFECCIONAR PROCEDIMIENTOS Y ESTRATEGIAS PARA:
•
•
•
•
•
IDENTIFICACIÓN
RECOLECCIÓN
ANÁLISIS
ASEGURAMIENTO
PRESENTACIÓN EN MEDIOS DIGITALES
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
34
BUENAS PRÁCTICAS TÉCNICO FORENSES
CONCEPTOS ...
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
35
BUENAS PRÁCTICAS TÉCNICO FORENSES
EXPERTO – INVESTIGADOR – CONSULTOR – PERITO OFICIAL
OBJETIVOS COMUNES
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
36
BUENAS PRÁCTICAS TÉCNICO FORENSES
MOMENTO CLAVE: DEFINICIÓN DE LOS PUNTOS DE PERICIA
Visión del Consultor Técnico
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
37
BUENAS PRÁCTICAS TÉCNICO FORENSES
MOMENTO CLAVE: DEFINICIÓN DE LOS PUNTOS DE PERICIA
Visión procesal – Ética pericial
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
38
BUENAS PRÁCTICAS TÉCNICO FORENSES
TAREAS EN LAS QUE PONDRÁ ÉNFACIS EL FORENSE INFORMÁTICO
•
•
•
•
•
•
•
•
•
POTENCIAR MEDIOS PROBATORIOS
RECOLECCION DE EVIDENCIA ELECTRÓNICA
ESCENARIO TECNOLÓGICO
PRESERVAR LA EVIDENCIA
ANALIZAR CON MÉTODO CIENTÍFICO
SUSTENTAR HIPÓTESIS
PROCEDIMIENTOS TÉCNICOS FORENSES EN MEDIOS ELECTRÓNICOS
EL INFORME FORENSE
LAS IMPLICANCIAS DE LOS INFORMES
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
39
BUENAS PRÁCTICAS TÉCNICO FORENSES
LA PRUEBA
PERTINENCIA DE LA PRUEBA (SEGÚN EL TÉCNICO FORENSE)
"El tema de la prueba está constituido por aquellos hechos que es necesario probar, por ser lo
supuestos de las normas jurídicas cuya aplicación se discute en un determinado proceso"
Parra Quijano
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
40
BUENAS PRÁCTICAS TÉCNICO FORENSES
LA PRUEBA
"El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para
que pueda decidir con certeza sobre el asunto del proceso".
PLANTEA UN RETO CONCEPTUAL Y PRÁCTICO
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
41
BUENAS PRÁCTICAS TÉCNICO FORENSES
SE BUSCA OBTENER
•
•
•
•
•
Una prueba.
Una prueba de la verdad de un echo.
No buscamos comprobar la validez de una hipótesis abstracta.
Tampoco comprobar una fórmula matemática.
El objetivo es entonces: Hallar la certeza de la ocurrencia de un echo.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
42
BUENAS PRÁCTICAS TÉCNICO FORENSES
LAS FUENTES
Toda cosa o echo sensible anterior al proceso que, finalmente puede servirnos para demostrar la
verdad de un enunciado.
Un correo, una firma, un casette de video, grabaciones digitales en disco, etc.
Instrumentos naturalmente aptos para informar por el sentido de la vista.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
43
BUENAS PRÁCTICAS TÉCNICO FORENSES
ACLARACIÓN
•
Todo lenguaje es un producto convencional e histórico. Las palabras no tienen per se un
significado, nosotros se lo damos.
•
Vocablos: Prueba, Documento y Fuente: Dependerán del abordaje jurídico y contexto social.
•
El documento por ejemplo, no solo es un medio de prueba, sino que a veces puede ser “objeto de
prueba” cuando se trata de probar su existencia o preexistencia.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
44
BUENAS PRÁCTICAS TÉCNICO FORENSES
POSIBLES DERIVACIONES
•
METAPERITAJE: "Es la declaración o pronunciamiento que realiza un profesional experto sobre
las características o el contenido de un informe pericial relacionado con su ciencia o reglas de su
arte u oficio, con el fin de informar si está correcto o presenta errores u omisiones cuando dicho
informe ha sido evacuado por otro profesional experto que domina la misma ciencia o reglas de
su arte u oficio".
•
CONTRAPERITAJE: “Oferta una alternativa creíble para equilibrar la balanza. Se basa en una
contraprueba rigurosa y objetivada”. La requieren quienes desean proteger sus intereses.
Apuestan por la crítica seria de la versión única o la que se viste como oficial. Desnaturaliza lo
incierto, lo explica, ilustra y documenta. En otros casos, el contraperitaje establece dudas
razonables para desvirtuar la tesis y argumentos de la contraparte, que ya no tendrá la última
palabra.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
45
BUENAS PRÁCTICAS TÉCNICO FORENSES
INTRODUCCIÓN A LA METAPERITACIÓN JUDICIAL
•
La metaperitación también puede definirse aristotélicamente por género y
diferencia, como un tipo de prueba sobre prueba (pericial).
•
Procesalmente, para que pueda "metaperitarse" algo, o podamos
metaperitar eficazmente, los juristas han de proponer ampliaciones y
replanteamientos de prueba, y en ocasiones han de estar dispuestos a
agotar las posibilidades y vías de recurso para poder ejercer el "derecho a
la prueba", y más aún, el derecho a la "prueba sobre la prueba insuficiente,
o controvertida" para ir más allá del último peritaje.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
46
BUENAS PRÁCTICAS TÉCNICO FORENSES
VALORACIÓN PROCESAL DE LOS MEDIOS INFORMÁTICOS
•
Eficacia: Es un atributo del medio de prueba (sustantivo).
•
Valoración: Es una acción realizada por el juez (verbo).
•
Valorar es apreciar el material probatorio. Es una actividad intelectual donde el juez da su
personal alcance a cada prueba, atendiendo a la eficacia natural y legal que cada prueba tiene
per se dentro del proceso.
•
El juez valora la prueba en dos momentos procesales: Al tiempo de su ingreso al proceso, para
proveer su admisión y al final de la instancia, para fallar.
•
Lo debe hacer libremente, con el uso de la razón y la experiencia. “Sana crítica”.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
47
BUENAS PRÁCTICAS TÉCNICO FORENSES
"LA EVIDENCIA ELECTRÓNICA“
Rodrigues: Materialidad, procesalidad y subjetividad ?
Antes: Corporalidad física y permanencia histórica.
Ahora: Escasa corporalidad y alta volatilidad.
Apuntar a la funcionalidad del documento.
Sustanciales.
Insustanciales.
Autenticidad, integridad, originalidad, no repudio.
Puede haber ofrecimientos pertinentes, eficaces pero contradictorios ?.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
48
BUENAS PRÁCTICAS TÉCNICO FORENSES
PARTICULARIDADES EN SU TRATAMIENTO
•
ES IMPORTANTE TANTO SU FORMA COMO SU CONTENIDO
•
SE DEBE REVISAR SU CONTENIDO
•
SE DEBEN ANALIZAR LOS MEDIOS A TRAVÉS DE LOS CUALES:
SE CREARON
ENVIARON
ENRUTARON
TRANSFIRIERON
RECIBIERON
ALMACENARON
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
49
BUENAS PRÁCTICAS TÉCNICO FORENSES
LA EVIDENCIA SI SE PRETENDE JUDICIALIZAR DEBE SER:
•
•
•
•
•
Admisible
Autentica
Completa
Confiable
Comprensible
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
50
BUENAS PRÁCTICAS TÉCNICO FORENSES
GUÍAS DE MEJORES PRÁCTICAS
RFC 3227 - "Guía Para Recolectar y Archivar Evidencia”
Escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea.
Una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones.
Muestra las mejores prácticas para:
•
•
•
•
Determinar la volatilidad de los datos
Decidir que recolectar
Desarrollar la recolección
Determinar como almacenar y documentar los datos
También explica algunos conceptos relacionados a la parte legal.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
51
BUENAS PRÁCTICAS TÉCNICO FORENSES
TENDENCIA: AUTOMATIZAR LA RECOLECCIÓN Y ALMACENAMIENTO
Procedimiento Forense: Un procedimiento forense puede verse como un conjunto de primitivas
forenses (métodos probados) que inspeccionan cada uno de los
componentes afectados.
ANÁLISIS FORENSE INFORMÁTICO
“Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos
utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.
Rodney McKennish
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
52
BUENAS PRÁCTICAS TÉCNICO FORENSES
CONCEPTOS ...
Tradicionalmente se habla de "el día después”.
Nosotros debemos hablar de:
•
Post-mortem
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
53
BUENAS PRÁCTICAS TÉCNICO FORENSES
CONCEPTOS ...
Tradicionalmente se habla de "el día después”.
Nosotros debemos hablar de:
•
•
Post-mortem
Ante-mortem
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
54
BUENAS PRÁCTICAS TÉCNICO FORENSES
CONCEPTOS ...
Tradicionalmente se habla de "el día después”.
Nosotros debemos hablar de:
•
•
•
Post-mortem
Ante-mortem
Peri-mortem
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
55
BUENAS PRÁCTICAS TÉCNICO FORENSES
CONCEPTOS ...
Tradicionalmente se hablaba de la computadora "como medio" o "como fin".
Ahora lo reemplazamos por ...
•
•
•
•
Donde una computadora apoya en un hecho punible.
Donde la computadora es el objetivo de un hecho punible.
Donde la computadora almacena información incidental a un hecho punible.
(Se trata del caso en que se puede hallar evidencia en un dispositivo).
Donde la computadora se utiliza como soporte de la investigación forense ?.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
56
BUENAS PRÁCTICAS TÉCNICO FORENSES
CONCEPTOS ...
Un concepto actualizado de "Computer Forensic".
Proceso mediante el cual se identifican, preservan, analizan y presentan las evidencias digitales de
manera que sean aceptables legalmente en una vista judicial o administrativa.
J. A. Bertolín ( Universidad de Austo)
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
57
BUENAS PRÁCTICAS TÉCNICO FORENSES
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
58
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
Evolución histórica
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
59
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
MUCHAS VÍAS HACIA LA MEJORA Y ESTANDARIZACIÓN
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
60
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
Incidentes
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
61
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
Incidentes
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
62
BUENAS PRÁCTICAS TÉCNICO FORENSES
SIETE EVENTOS PARA TRATAMIENTO INCIDENTES
Computer Forensic
•
•
•
•
•
•
•
•
Identificación del Incidente: Se detecta un comportamiento anormal o no esperado. Se
comprueba si es real o falsa alarma. Se determina el alcance y se valora el daño.
Notificación del Incidente: Se cuestiona a quienes reportar según manual, documenta y dispara
alarmas (preferentemente automáticas).
Protección de la evidencia: Se toman en cuenta los registros de auditoría del modelo y los
etiquetados temporales tomados durante la investigación. Detalle de conversaciones y recogida
de evidencias según estándar de Computer Forensic.
Contención: Se define si se apaga o no el sistema, el modo de apagado sin borrar evidencias si
saltar alarmas por el apagado que afecten los registros de evidencias.
Erradicación: Se elmina la amenaza.
Recuperación: Luego de eliminar la amenaza, se recuperan y preservan todas las evidencias.
Seguimiento: Se realiza una autopsia y seguimiento del Incidente.
Judicialización: De considerarlo pertinente.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
63
BUENAS PRÁCTICAS TÉCNICO FORENSES
TRATAMIENTO DE INCIDENTES – SEGUIMIENTO
Computer Forensic
Algunas de las tareas de seguimiento pueden ser:
•
•
•
•
Trazado de pistas sobre un supuesto atacante, a través de las redes de computación del cliente.
Seguimiento de pistas de correos electrónicos (aparentemente anónimos), donde se difama,
intimida o amenaza a personas físicas o jurídicas.
Recuperación de signos y de detalles de fraudes informáticos.
Recogida de pruebas en ciberataques, utilizando sistemas de detección y respuesta ante
intrusiones de red, capaces de rastrear la procedencia de los ataques maliciosos ocultos, tras un
ataque.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
64
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
65
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
Roles que nos ayudan
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
66
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN IT
Información relevante
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
67
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN TI
Módulos fuentes
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
68
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN TI
PARA SABER QUE LE OFRECE UNA GESTIÓN DE INCIDENTES AL PERITO -
El RFC 2196
La "Internet" es una colección de miles de redes unidas por un Conjunto común de protocolos técnicos que hacen
posible que los usuarios de cualquiera de las redes para comunicarse con, o utilizar los servicios ubicado en
cualquiera de las otras redes.
El término "administrador" se utiliza para referirse a todas aquellas personas que se responsable para el día a día
de funcionamiento de los sistemas, redes y recursos. Esto puede ser un número de individuos o una
organización.
El término "administrador de seguridad" se utiliza para referirse a todas aquellas personas que son los
responsables de la seguridad de la información y de la tecnología de la información En algunos sitios esta
función puede combinarse con Administrador (arriba), en otros, esta será una posición independiente.
El término "decisión maker" se refiere a aquellas personas que en un lugar establecido tienen la potestad de
aprobar la política. Estos son a menudo (pero no siempre) las personas que poseen "los recursos".
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
69
BUENAS PRÁCTICAS TÉCNICO FORENSES
BUENAS PRÁCTICAS EN LA GESTIÓN TI
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
70
BUENAS PRÁCTICAS TÉCNICO FORENSES
PERFIL DEL TÉCNICO
Es un mal hábito, conformarse con los conocimientos empíricos !.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
71
BUENAS PRÁCTICAS TÉCNICO FORENSES
PERFIL DEL FORENSE
Mejora continúa ! …
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
72
BUENAS PRÁCTICAS TÉCNICO FORENSES
EL TÉCNICO FORENSE EN SENTIDO AMPLIO
•
•
•
Debe ser un apasionado de la tecnología y respetuoso de ella.
Ser una persona paciente.
Gusto por la investigación.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
73
BUENAS PRÁCTICAS TÉCNICO FORENSES
APTITUDES DEL TÉCNICO FORENSE - CONTRIBUYEN A LA ACEPTABILIDAD DEL INFORME
•
•
•
•
•
•
•
•
•
•
•
•
Aptitud física del forense.
Aptitud Psíquica del forense.
Capacidad técnica del forense.
Amplia práctica del forense en el arte o ciencia.
Amplio tiempo de ejercicio de esa experiencia.
Adelantos de la ciencia o arte.
Frecuencia de la renovación de los conocimientos.
Habilidad en le empleo de su arte o ciencia.
Honestidad en el empleo de su arte o ciencia.
Claridad en le planteamiento de problema.
Estricta aplicación de la lógica en el razonamiento.
Precisión en las conclusiones.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
74
BUENAS PRÁCTICAS TÉCNICO FORENSES
DEONTOLOGÍA
La deontología es el estudio de la conducta y la moral profesional. Para que el FORENSE desempeñe
su cargo, deberá reunir una serie de cualidades además de las que le solicita la ley:
•
•
•
•
•
•
Pericia
Honestidad
Prudencia
Imparcialidad
Veracidad
Eficacia procesal
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
75
BUENAS PRÁCTICAS TÉCNICO FORENSES
INVESTIGACIÓN EN EL ÁMBITO PRIVADO:
Estas actividades se las puede llevar siempre que se enmarquen dentro de los márgenes jurídicos
evitando así pasar de investigador a infractor.
•
•
•
•
•
•
•
•
•
Autorización del directorio o la gerencia de la empresa contratante.
Contar con el respaldo del contratante.
Garantizar confidencialidad y evitar fugas de información.
Relevar información existente del caso.
Planificar la investigación. (Seleccionar el método a aplicar).
Apego a las buenas prácticas en la recolección de la evidencia.
Aplicar modelo, por ejemplo SCRAM.
Actuar conforme los RFC para el relevamiento y la preservación de la evidencia.
Garantizar la preservación de la evidencia.
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
76
BUENAS PRÁCTICAS TÉCNICO FORENSES
Conclusiones …
•
Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad".
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
77
BUENAS PRÁCTICAS TÉCNICO FORENSES
Conclusiones …
•
Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad".
•
"El análisis forense es el epicentro de quienes buscan la verdad y que esta
perdure en el informe escrito"
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
78
BUENAS PRÁCTICAS TÉCNICO FORENSES
Conclusiones …
•
Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad".
•
"El análisis forense es el epicentro de quienes buscan la verdad y que esta
perdure en el informe escrito"
•
El alquimista y el descodificador buscan lo mismo en diferentes mundos:
Convertir el alma (indicios) en oro (la verdad).
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
79
BUENAS PRÁCTICAS TÉCNICO FORENSES
Sus preguntas …
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
80
BUENAS PRÁCTICAS TÉCNICO FORENSES
Muchas Gracias por su atención …
09/08/2017
Héctor Hernández - CPCIPC
Perito Informático M.P. 051
81
Related documents
Aproximación a la informática forense y el derecho
Aproximación a la informática forense y el derecho
Hacking ético. Vulnerabilidad de Sistemas Operativos en el acceso
Hacking ético. Vulnerabilidad de Sistemas Operativos en el acceso
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Olavarría, Luis Alberto
Olavarría, Luis Alberto
La evaluación psicológica forense frente a la evaluación clínica
La evaluación psicológica forense frente a la evaluación clínica
Guía Integral de Empleo de la Informática Forense en el - InFo-Lab
Guía Integral de Empleo de la Informática Forense en el - InFo-Lab
Certified Computer Forensic Investigator (CCFI)
Certified Computer Forensic Investigator (CCFI)
Certified Computer Forensic Investigator
Certified Computer Forensic Investigator
Recolección de Evidencia en Ambientes de Red
Recolección de Evidencia en Ambientes de Red
para descargar el programa completo del seminario
para descargar el programa completo del seminario
Material capacitación Informática Forense
Material capacitación Informática Forense
Portafolio Estudiantil - Facultad de Humanidades, UPRRP
Portafolio Estudiantil - Facultad de Humanidades, UPRRP