Download buenas prácticas técnico forenses - Densi-UNC
Document related concepts
no text concepts found
Transcript
BUENAS PRÁCTICAS TÉCNICO FORENSES EL PERITO DE PARTE DEFINICIÓN DEL MARCO DE LA EXPOSICIÓN • • • • • LA INVESTIGACIÓN LOS DESAFÍOS LOS MÉTODOS LAS HERRAMIENTAS Y TÉCNICAS LA PRUEBA 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 1 BUENAS PRÁCTICAS TÉCNICO FORENSES OBJETIVOS DE LA CAPACITACIÓN • • • • • CONSOLIDAR UNA BASE CONCEPTUAL SUSTENTAR LAS INVESTIGACIONES CIENTÍFICAMENTE ASEGURAR LAS EVIDENCIAS DE CONDUCTAS PUNIBLES AYUDAR A UBICAR A LOS RESPONSABLES DE CONDUCTAS DELICTUALES ALINEAR SUS METODOLOGÍAS CON ESTÁNDARES INTERNACIONALES 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 2 BUENAS PRÁCTICAS TÉCNICO FORENSES EL CIBERCRIMEN 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 3 BUENAS PRÁCTICAS TÉCNICO FORENSES LA CRÍMINALIDAD ON LINE • • • • • • • • • • • • • Variación de la escena del delito (escenas virtuales). Clandestinidad. Efectividad. Tiempos Cortos en la ejecución. Ganancias tentadoras Falta de testigos. Pocos rastros. La Seguridad del delincuente. Lo complejo de los hallazgos digitales. Ingenuidad de las personas. Falta de seguridad de los equipos en la domicilio, trabajo, cafés Internet, etc. Territorialidad. Diferentes legislaciones. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 4 BUENAS PRÁCTICAS TÉCNICO FORENSES HERRAMIENTAS DEL CIBERCRÍMEN: • La ingeniería técnica: Comprende la utilización de medios técnicos programas, hardware, aplicaciones y variados medios informáticos. • La ingeniería Social: Comprende la utilización de medios no técnicos como la percepción humana, la recepción de mensajes e informaciones, la metodología basada en palabras, textos, noticias, voz, lenguaje y contenidos. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 5 BUENAS PRÁCTICAS TÉCNICO FORENSES PERFILES: • • • • • • • El perfil como herramienta dentro de la investigación y la construcción de un caso criminal. Se lo debe tomar como un punto de partida que puede ayudar al investigador al reunir evidencias de uno o varios hechos. Los perfiles son técnicas destinadas a desarrollar descripciones de las características de un criminal sean estas físicas, intelectuales y emocionales, basándose en la información recogida en la escena del hecho y sus variables de entorno. Se basan en Observaciones de la escena del crimen, existencia de patrones y correlaciones entre diferentes actos criminales o testimonios ofrecidos por las víctimas o testigos. El perfil cibercriminal es un juicio psicológico realizado sin conocer la identidad del criminal. Los perfiles pueden proporcionar a los investigadores valiosos datos sobre la persona que comete un delito específico, o una serie de delitos. Un perfil realizado por el mas profesional del área, no proporcionará mas que una idea general del tipo de persona que puede haber cometido un delito y nunca señalará a una persona concreta como la sospechosa. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 6 BUENAS PRÁCTICAS TÉCNICO FORENSES MÉTODO SKRAM Diseñado por Donn Parker Es necesario comprender los componentes individuales del modelo de SKRAM. Parker revela que el modelo de SKRAM es una suma de supuesta habilidad de un sospechoso, conocimientos, recursos, la autoridad y la motivación. SKRAM son las siglas de: Skills (Habilidades) Knowledge (Conocimiento) Resources (Recursos) Authority (autoridad) Motive (Motivo) 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 7 BUENAS PRÁCTICAS TÉCNICO FORENSES MÉTODO SKRAM Donn Parker 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 8 BUENAS PRÁCTICAS TÉCNICO FORENSES APRENDIENDO SOBRE SKRAM: • • • • • Habilidades: El primer componente del modelo SKRAM, las habilidades se refiere a aptitud de un sospechoso con las computadoras y la tecnología. Conocimiento: El conocimiento a primera vista se parece mucho a las habilidades. A diferencia de las habilidades, el conocimiento es una medida más general de las habilidades específicas adquiridas por un sospechoso y que le son fundamentales para perpetrar el ataque informático en cuestión. Recursos: Un sospechoso calificado y conocedor es incapaz de cometer un delito si no posee los recursos necesarios. Autoridad: La autoridad es una medida de acceso del sospechoso y le ayuda a ejercer control sobre la información necesaria para cometer un delito. Motivo: Todos los conocimientos técnicos en el mundo podrían no ser suficientes para determinar que un sospechoso ha cometido un delito informático. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 9 BUENAS PRÁCTICAS TÉCNICO FORENSES Recolección de datos y metodología SKRAM: • Hasta la fecha no se conoce ningún modelo de trabajo para la cuantificación de la amenaza potencial de una persona basándose en su conjunto de habilidades y la motivación para cometer el crimen. Sin embargo, el modelo de Parker establece una base de atributos y cualidades que potencialmente pueden ser examinados a través de técnicas de perfiles y que posteriormente se podrían comparar con los sospechosos. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 10 BUENAS PRÁCTICAS TÉCNICO FORENSES EJEMPLO SKRAM: Un empleado de depósito accedió a la base de históricos de logística y removió la misma. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 11 BUENAS PRÁCTICAS TÉCNICO FORENSES EJEMPLO SKRAM: Un empleado de depósito accedió a la base de históricos de logística y removió la misma. • • • • • Skills (Habilidades): Manejo de computadoras, manejo del sistema operativo Linux, manejo de redes UTP. Knowledge (Conocimiento): Conocimiento de la red de la empresa, conocimiento de nombres de usuario y password, conocimiento de los archivos de parámetros que iba a atacar. Resources (Recursos): Servidor y computador personal, red corporativa, sistema operativo. Authority (autoridad): La autoridad fue "root" , lo que le permitió acceder a la información y borrar el histórico de logística. Motive (Motivo) El motivo sin duda fue el de ocultar evidencias. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 12 BUENAS PRÁCTICAS TÉCNICO FORENSES ELEMENTOS DE LA ESCENA DEL DELITO: Modus operandi (método de funcionamiento). Elementos: Que asegure el crimen. Proteja la identidad. El efecto escape. El ritual (señales de fantasía o necesidad psicológica). Elemento: Esfuerzo por simular una situación diferente. La firma (combinaciones únicas de conducta). Elementos: Algo que debe hacer para cumplirse Es repetible en sus distintos hechos Le puede poner en riesgo por tardar en realizarla. Es como "su marca" y denota cierta compulsión. Es una forma de expresarse. Suele reflejar su personalidad. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 13 BUENAS PRÁCTICAS TÉCNICO FORENSES DESAFIOS PARA EL PERITO DE PARTE : • • • • • • • • • • • • • • • Intoxicación On Line: Lanzar rumor y multiplicarlo exponencialmente, (Ej: desprestigiar). Ocio y placer personal: El placer de la intrusión, la alteración y a veces la destrucción. Ataques criptovirales: Moderna forma de ciberextorsión. Black Hat: Uso de las destrezas digitales con fines maliciosos. Black market: Mercado negro de Internet. Bomba Fork: Se multiplica hasta llegar a completar la memoria o un disco. Bosques cibernéticos: En el argot del cibercrimen denotan áreas de difícil acceso. Ciberbulling: Nuevas tecnologías como herramientas de acoso e intimidación. Ciberespía: Encargado de obtener información que no está expuesta al público. Count Down Fraud: Fraudes de tiempo límite. Cibertalking: Foma de acoso en la Web (Blogs y otros). Denial of Service,Nonelectrónic attack: Ing. Social, Shoulder surfing, Dumper diving. Eavesdropping: Interferir comunicaciones (correos por ejemplo). Pharming: explotan vulnerabilidades de DNS. Web bugs: Bacon GIF`s Invisible GIF`S 1-by-1 GIF´S 1X1 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 14 BUENAS PRÁCTICAS TÉCNICO FORENSES CARDING Visión del Consultor técnico 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 15 BUENAS PRÁCTICAS TÉCNICO FORENSES EL ENEMIGO MAS TEMIDO 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 16 BUENAS PRÁCTICAS TÉCNICO FORENSES EL ENEMIGO MAS TEMIDO (distintas caras) 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 17 BUENAS PRÁCTICAS TÉCNICO FORENSES EL ENEMIGO MAS TEMIDO (distintas caras) 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 18 BUENAS PRÁCTICAS TÉCNICO FORENSES EL ENEMIGO MAS TEMIDO (distintas caras) 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 19 BUENAS PRÁCTICAS TÉCNICO FORENSES EL ENEMIGO MAS TEMIDO (distintas caras) 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 20 BUENAS PRÁCTICAS TÉCNICO FORENSES EL ANONIMIZADOR Cypherpunks: Obsesionados por el fenómeno de la privacidad y el anonimato. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 21 BUENAS PRÁCTICAS TÉCNICO FORENSES 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 22 BUENAS PRÁCTICAS TÉCNICO FORENSES ANONIMIZADOR ON LINE 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 23 BUENAS PRÁCTICAS TÉCNICO FORENSES OTRO DESAFÍO Cuentas temporales Desechables. . 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 24 BUENAS PRÁCTICAS TÉCNICO FORENSES OTRO RETO Bosques tecnológicos: SPAM y Amenazas distribuidas como rasomware. . 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 25 BUENAS PRÁCTICAS TÉCNICO FORENSES CAMINO DIRECTO ! … 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 26 BUENAS PRÁCTICAS TÉCNICO FORENSES AL RECIBIR EL LLAMADO POR UN INCIDENTE: • • • • • • • • • • • • • • • • Tiende su empresa IDS (sistema de detección de intrusos) y Firewall ? Cual es su proveedor? Quien notifico inicialmente el incidente? Tiene algún sospechoso? Maneja su empresa políticas de seguridad? Puede usted de manera rápida proveernos de una copia electrónica de su arquitectura de la red y los medios de seguridad? Que tan viejos son sus equipos? Que tipo de información es crucial para su empresa? Piensa que esta fue comprometida? Maneja copias de seguridad de su sistema? Que sistemas operativos esta usando? Que sistema de particiones utiliza en sus sistemas? Que plataformas de hardware esta utilizando (Intel, risc, spare, etc.) El quipo comprometido tiene unidades de Cd-rom o otros drive? Cuales son? Cual es el tamaño de los disco duros del sistema comprometido o donde se aloja la potencial evidencia ? Tendré al administrador del sistema disponible al momento que lleguemos al sitio con el compromiso de que nos facilite el accesos a todo el sistemas sin restricciones ? Otras … 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 27 BUENAS PRÁCTICAS TÉCNICO FORENSES UNA VEZ EN EL LUGAR: • • • • • • • • • • • Es normal que el personal tenga acceso al sistemas las 24 horas del día o manejen un horario específico? Cual de las personas utilizó en último término el sistema? En que horario trabaja normalmente esta persona? Cual es el modelo de horarios de trabajo que utiliza el personal? Hay algún empleado que hayan despedido en el ultimo mes? Hay empleados nuevos que hayan contratado durante el ultimo mes? Han actualizado recientemente el sistemas? Hay alguna aplicación recientemente instalada en el sistema. Tiene personal de vacaciones, o tenga una ausencia inexplicable, o este de visita por negocios otras ciudades. Podemos obtener el listado de los empleados que en los últimos 30 días han accedido al sistema? Otras … 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 28 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN NUESTROS PROCEDIMIENTOS: • • • • • Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de los registros de la aplicación. Diseñar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal forma que se pueda validar que es la aplicación la que genera los registros electrónicos. En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar la fecha y hora de creación de los archivos. Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de los registros y su completitud, frente al diseño previo de los registros electrónicos. Diseñar y mantener un control de integridad de los registros electrónicos, que permita identificar cambios que se hayan presentado en ellos. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 29 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN NUESTROS PROCEDIMIENTOS: • • • • • Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de los registros de la aplicación. Diseñar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal forma que se pueda validar que es la aplicación la que genera los registros electrónicos. En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar la fecha y hora de creación de los archivos. Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de los registros y su completitud, frente al diseño previo de los registros electrónicos. Diseñar y mantener un control de integridad de los registros electrónicos, que permita identificar cambios que se hayan presentado en ellos. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 30 BUENAS PRÁCTICAS TÉCNICO FORENSES RECOLECCIÓN DE LA EVIDENCIA: • • • • • • • • • Establecer buenas prácticas y estándares para recolección de evidencia digital. Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro. Mantener y verificar la cadena de custodia Respetar y validar las regulaciones y normativas alrededor de la recolección de la evidencia digital. Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada. Documentar todas las actividades que el profesional a cargo de la recolección ha efectuado durante el proceso de tal manera que se pueda auditar el proceso en sí mismo y se cuente con la evidencia de este proceso. Asegurar el área dónde ocurrió el siniestro, con el fin de custodiar el área o escena del delito y así fortalecer la cadena de custodia y recolección de la evidencia. Registrar en medio fotográfico o video la escena del posible ilícito, detallando los elementos informáticos allí involucrados. Levantar un mapa o diagrama de conexiones de los elementos informáticos involucrados, los cuales deberán ser parte del reporte del levantamiento de información en la escena del posible ilícito. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 31 BUENAS PRÁCTICAS TÉCNICO FORENSES SEGÚN LOS ESTÁNDARES DE AUSTRALIA: • • • • Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el análisis de los datos, son repetibles y verificables por un tercero especializado. Auditar periódicamente los procedimientos de recolección y análisis de registros electrónicos, de tal manera que se procure cada vez mayor formalidad y detalles en los análisis efectuados. Fortalecer las políticas, procesos y procedimientos de seguridad de la información asociados con el manejo de evidencia digital. Procurar certificaciones profesionales y corporativas en temas relacionados con computación forense, no como signos distintivos de la experiencia de la organización en el área, sino como una manera de validar la constante revisión y actualización del tema y sus mejores prácticas. Como profesional a cargo de una investigación se debe proveer un concepto de los hechos identificados en sus análisis. Se debe ser concreto y claro en sus afirmaciones. Los reportes que como profesional encargado de una investigación adelante deben ser concreto, libres de jerga propia de su disciplina, pedagógicos y sobre manera, consistentes con los hechos y resultados obtenidos. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 32 BUENAS PRÁCTICAS TÉCNICO FORENSES ESTANDARIZACIÓN DE LA RECOLECCIÓN: Cualquier investigador que sea responsable de recolectar, tener acceso, almacenar o transferir videncia digital es responsable de cumplir con estos principios. Además definen que los principios desarrollados para la recuperación estandarizada de evidencia computarizada se deben gobernar por los siguientes atributos: • • • • • • Consistencia con todos los sistemas legales. Permitir el uso de un leguaje común. Durabilidad. Capacidad de cruzar límites internacionales. Capacidad de ofrecer confianza en la integridad de la evidencia. Aplicabilidad a toda la evidencia forense. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 33 BUENAS PRÁCTICAS TÉCNICO FORENSES PERFECCIONAR PROCEDIMIENTOS Y ESTRATEGIAS PARA: • • • • • IDENTIFICACIÓN RECOLECCIÓN ANÁLISIS ASEGURAMIENTO PRESENTACIÓN EN MEDIOS DIGITALES 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 34 BUENAS PRÁCTICAS TÉCNICO FORENSES CONCEPTOS ... 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 35 BUENAS PRÁCTICAS TÉCNICO FORENSES EXPERTO – INVESTIGADOR – CONSULTOR – PERITO OFICIAL OBJETIVOS COMUNES 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 36 BUENAS PRÁCTICAS TÉCNICO FORENSES MOMENTO CLAVE: DEFINICIÓN DE LOS PUNTOS DE PERICIA Visión del Consultor Técnico 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 37 BUENAS PRÁCTICAS TÉCNICO FORENSES MOMENTO CLAVE: DEFINICIÓN DE LOS PUNTOS DE PERICIA Visión procesal – Ética pericial 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 38 BUENAS PRÁCTICAS TÉCNICO FORENSES TAREAS EN LAS QUE PONDRÁ ÉNFACIS EL FORENSE INFORMÁTICO • • • • • • • • • POTENCIAR MEDIOS PROBATORIOS RECOLECCION DE EVIDENCIA ELECTRÓNICA ESCENARIO TECNOLÓGICO PRESERVAR LA EVIDENCIA ANALIZAR CON MÉTODO CIENTÍFICO SUSTENTAR HIPÓTESIS PROCEDIMIENTOS TÉCNICOS FORENSES EN MEDIOS ELECTRÓNICOS EL INFORME FORENSE LAS IMPLICANCIAS DE LOS INFORMES 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 39 BUENAS PRÁCTICAS TÉCNICO FORENSES LA PRUEBA PERTINENCIA DE LA PRUEBA (SEGÚN EL TÉCNICO FORENSE) "El tema de la prueba está constituido por aquellos hechos que es necesario probar, por ser lo supuestos de las normas jurídicas cuya aplicación se discute en un determinado proceso" Parra Quijano 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 40 BUENAS PRÁCTICAS TÉCNICO FORENSES LA PRUEBA "El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso". PLANTEA UN RETO CONCEPTUAL Y PRÁCTICO 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 41 BUENAS PRÁCTICAS TÉCNICO FORENSES SE BUSCA OBTENER • • • • • Una prueba. Una prueba de la verdad de un echo. No buscamos comprobar la validez de una hipótesis abstracta. Tampoco comprobar una fórmula matemática. El objetivo es entonces: Hallar la certeza de la ocurrencia de un echo. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 42 BUENAS PRÁCTICAS TÉCNICO FORENSES LAS FUENTES Toda cosa o echo sensible anterior al proceso que, finalmente puede servirnos para demostrar la verdad de un enunciado. Un correo, una firma, un casette de video, grabaciones digitales en disco, etc. Instrumentos naturalmente aptos para informar por el sentido de la vista. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 43 BUENAS PRÁCTICAS TÉCNICO FORENSES ACLARACIÓN • Todo lenguaje es un producto convencional e histórico. Las palabras no tienen per se un significado, nosotros se lo damos. • Vocablos: Prueba, Documento y Fuente: Dependerán del abordaje jurídico y contexto social. • El documento por ejemplo, no solo es un medio de prueba, sino que a veces puede ser “objeto de prueba” cuando se trata de probar su existencia o preexistencia. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 44 BUENAS PRÁCTICAS TÉCNICO FORENSES POSIBLES DERIVACIONES • METAPERITAJE: "Es la declaración o pronunciamiento que realiza un profesional experto sobre las características o el contenido de un informe pericial relacionado con su ciencia o reglas de su arte u oficio, con el fin de informar si está correcto o presenta errores u omisiones cuando dicho informe ha sido evacuado por otro profesional experto que domina la misma ciencia o reglas de su arte u oficio". • CONTRAPERITAJE: “Oferta una alternativa creíble para equilibrar la balanza. Se basa en una contraprueba rigurosa y objetivada”. La requieren quienes desean proteger sus intereses. Apuestan por la crítica seria de la versión única o la que se viste como oficial. Desnaturaliza lo incierto, lo explica, ilustra y documenta. En otros casos, el contraperitaje establece dudas razonables para desvirtuar la tesis y argumentos de la contraparte, que ya no tendrá la última palabra. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 45 BUENAS PRÁCTICAS TÉCNICO FORENSES INTRODUCCIÓN A LA METAPERITACIÓN JUDICIAL • La metaperitación también puede definirse aristotélicamente por género y diferencia, como un tipo de prueba sobre prueba (pericial). • Procesalmente, para que pueda "metaperitarse" algo, o podamos metaperitar eficazmente, los juristas han de proponer ampliaciones y replanteamientos de prueba, y en ocasiones han de estar dispuestos a agotar las posibilidades y vías de recurso para poder ejercer el "derecho a la prueba", y más aún, el derecho a la "prueba sobre la prueba insuficiente, o controvertida" para ir más allá del último peritaje. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 46 BUENAS PRÁCTICAS TÉCNICO FORENSES VALORACIÓN PROCESAL DE LOS MEDIOS INFORMÁTICOS • Eficacia: Es un atributo del medio de prueba (sustantivo). • Valoración: Es una acción realizada por el juez (verbo). • Valorar es apreciar el material probatorio. Es una actividad intelectual donde el juez da su personal alcance a cada prueba, atendiendo a la eficacia natural y legal que cada prueba tiene per se dentro del proceso. • El juez valora la prueba en dos momentos procesales: Al tiempo de su ingreso al proceso, para proveer su admisión y al final de la instancia, para fallar. • Lo debe hacer libremente, con el uso de la razón y la experiencia. “Sana crítica”. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 47 BUENAS PRÁCTICAS TÉCNICO FORENSES "LA EVIDENCIA ELECTRÓNICA“ Rodrigues: Materialidad, procesalidad y subjetividad ? Antes: Corporalidad física y permanencia histórica. Ahora: Escasa corporalidad y alta volatilidad. Apuntar a la funcionalidad del documento. Sustanciales. Insustanciales. Autenticidad, integridad, originalidad, no repudio. Puede haber ofrecimientos pertinentes, eficaces pero contradictorios ?. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 48 BUENAS PRÁCTICAS TÉCNICO FORENSES PARTICULARIDADES EN SU TRATAMIENTO • ES IMPORTANTE TANTO SU FORMA COMO SU CONTENIDO • SE DEBE REVISAR SU CONTENIDO • SE DEBEN ANALIZAR LOS MEDIOS A TRAVÉS DE LOS CUALES: SE CREARON ENVIARON ENRUTARON TRANSFIRIERON RECIBIERON ALMACENARON 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 49 BUENAS PRÁCTICAS TÉCNICO FORENSES LA EVIDENCIA SI SE PRETENDE JUDICIALIZAR DEBE SER: • • • • • Admisible Autentica Completa Confiable Comprensible 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 50 BUENAS PRÁCTICAS TÉCNICO FORENSES GUÍAS DE MEJORES PRÁCTICAS RFC 3227 - "Guía Para Recolectar y Archivar Evidencia” Escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea. Una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las mejores prácticas para: • • • • Determinar la volatilidad de los datos Decidir que recolectar Desarrollar la recolección Determinar como almacenar y documentar los datos También explica algunos conceptos relacionados a la parte legal. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 51 BUENAS PRÁCTICAS TÉCNICO FORENSES TENDENCIA: AUTOMATIZAR LA RECOLECCIÓN Y ALMACENAMIENTO Procedimiento Forense: Un procedimiento forense puede verse como un conjunto de primitivas forenses (métodos probados) que inspeccionan cada uno de los componentes afectados. ANÁLISIS FORENSE INFORMÁTICO “Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”. Rodney McKennish 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 52 BUENAS PRÁCTICAS TÉCNICO FORENSES CONCEPTOS ... Tradicionalmente se habla de "el día después”. Nosotros debemos hablar de: • Post-mortem 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 53 BUENAS PRÁCTICAS TÉCNICO FORENSES CONCEPTOS ... Tradicionalmente se habla de "el día después”. Nosotros debemos hablar de: • • Post-mortem Ante-mortem 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 54 BUENAS PRÁCTICAS TÉCNICO FORENSES CONCEPTOS ... Tradicionalmente se habla de "el día después”. Nosotros debemos hablar de: • • • Post-mortem Ante-mortem Peri-mortem 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 55 BUENAS PRÁCTICAS TÉCNICO FORENSES CONCEPTOS ... Tradicionalmente se hablaba de la computadora "como medio" o "como fin". Ahora lo reemplazamos por ... • • • • Donde una computadora apoya en un hecho punible. Donde la computadora es el objetivo de un hecho punible. Donde la computadora almacena información incidental a un hecho punible. (Se trata del caso en que se puede hallar evidencia en un dispositivo). Donde la computadora se utiliza como soporte de la investigación forense ?. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 56 BUENAS PRÁCTICAS TÉCNICO FORENSES CONCEPTOS ... Un concepto actualizado de "Computer Forensic". Proceso mediante el cual se identifican, preservan, analizan y presentan las evidencias digitales de manera que sean aceptables legalmente en una vista judicial o administrativa. J. A. Bertolín ( Universidad de Austo) 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 57 BUENAS PRÁCTICAS TÉCNICO FORENSES 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 58 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT Evolución histórica 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 59 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT MUCHAS VÍAS HACIA LA MEJORA Y ESTANDARIZACIÓN 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 60 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT Incidentes 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 61 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT Incidentes 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 62 BUENAS PRÁCTICAS TÉCNICO FORENSES SIETE EVENTOS PARA TRATAMIENTO INCIDENTES Computer Forensic • • • • • • • • Identificación del Incidente: Se detecta un comportamiento anormal o no esperado. Se comprueba si es real o falsa alarma. Se determina el alcance y se valora el daño. Notificación del Incidente: Se cuestiona a quienes reportar según manual, documenta y dispara alarmas (preferentemente automáticas). Protección de la evidencia: Se toman en cuenta los registros de auditoría del modelo y los etiquetados temporales tomados durante la investigación. Detalle de conversaciones y recogida de evidencias según estándar de Computer Forensic. Contención: Se define si se apaga o no el sistema, el modo de apagado sin borrar evidencias si saltar alarmas por el apagado que afecten los registros de evidencias. Erradicación: Se elmina la amenaza. Recuperación: Luego de eliminar la amenaza, se recuperan y preservan todas las evidencias. Seguimiento: Se realiza una autopsia y seguimiento del Incidente. Judicialización: De considerarlo pertinente. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 63 BUENAS PRÁCTICAS TÉCNICO FORENSES TRATAMIENTO DE INCIDENTES – SEGUIMIENTO Computer Forensic Algunas de las tareas de seguimiento pueden ser: • • • • Trazado de pistas sobre un supuesto atacante, a través de las redes de computación del cliente. Seguimiento de pistas de correos electrónicos (aparentemente anónimos), donde se difama, intimida o amenaza a personas físicas o jurídicas. Recuperación de signos y de detalles de fraudes informáticos. Recogida de pruebas en ciberataques, utilizando sistemas de detección y respuesta ante intrusiones de red, capaces de rastrear la procedencia de los ataques maliciosos ocultos, tras un ataque. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 64 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 65 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT Roles que nos ayudan 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 66 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN IT Información relevante 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 67 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN TI Módulos fuentes 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 68 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN TI PARA SABER QUE LE OFRECE UNA GESTIÓN DE INCIDENTES AL PERITO - El RFC 2196 La "Internet" es una colección de miles de redes unidas por un Conjunto común de protocolos técnicos que hacen posible que los usuarios de cualquiera de las redes para comunicarse con, o utilizar los servicios ubicado en cualquiera de las otras redes. El término "administrador" se utiliza para referirse a todas aquellas personas que se responsable para el día a día de funcionamiento de los sistemas, redes y recursos. Esto puede ser un número de individuos o una organización. El término "administrador de seguridad" se utiliza para referirse a todas aquellas personas que son los responsables de la seguridad de la información y de la tecnología de la información En algunos sitios esta función puede combinarse con Administrador (arriba), en otros, esta será una posición independiente. El término "decisión maker" se refiere a aquellas personas que en un lugar establecido tienen la potestad de aprobar la política. Estos son a menudo (pero no siempre) las personas que poseen "los recursos". 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 69 BUENAS PRÁCTICAS TÉCNICO FORENSES BUENAS PRÁCTICAS EN LA GESTIÓN TI 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 70 BUENAS PRÁCTICAS TÉCNICO FORENSES PERFIL DEL TÉCNICO Es un mal hábito, conformarse con los conocimientos empíricos !. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 71 BUENAS PRÁCTICAS TÉCNICO FORENSES PERFIL DEL FORENSE Mejora continúa ! … 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 72 BUENAS PRÁCTICAS TÉCNICO FORENSES EL TÉCNICO FORENSE EN SENTIDO AMPLIO • • • Debe ser un apasionado de la tecnología y respetuoso de ella. Ser una persona paciente. Gusto por la investigación. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 73 BUENAS PRÁCTICAS TÉCNICO FORENSES APTITUDES DEL TÉCNICO FORENSE - CONTRIBUYEN A LA ACEPTABILIDAD DEL INFORME • • • • • • • • • • • • Aptitud física del forense. Aptitud Psíquica del forense. Capacidad técnica del forense. Amplia práctica del forense en el arte o ciencia. Amplio tiempo de ejercicio de esa experiencia. Adelantos de la ciencia o arte. Frecuencia de la renovación de los conocimientos. Habilidad en le empleo de su arte o ciencia. Honestidad en el empleo de su arte o ciencia. Claridad en le planteamiento de problema. Estricta aplicación de la lógica en el razonamiento. Precisión en las conclusiones. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 74 BUENAS PRÁCTICAS TÉCNICO FORENSES DEONTOLOGÍA La deontología es el estudio de la conducta y la moral profesional. Para que el FORENSE desempeñe su cargo, deberá reunir una serie de cualidades además de las que le solicita la ley: • • • • • • Pericia Honestidad Prudencia Imparcialidad Veracidad Eficacia procesal 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 75 BUENAS PRÁCTICAS TÉCNICO FORENSES INVESTIGACIÓN EN EL ÁMBITO PRIVADO: Estas actividades se las puede llevar siempre que se enmarquen dentro de los márgenes jurídicos evitando así pasar de investigador a infractor. • • • • • • • • • Autorización del directorio o la gerencia de la empresa contratante. Contar con el respaldo del contratante. Garantizar confidencialidad y evitar fugas de información. Relevar información existente del caso. Planificar la investigación. (Seleccionar el método a aplicar). Apego a las buenas prácticas en la recolección de la evidencia. Aplicar modelo, por ejemplo SCRAM. Actuar conforme los RFC para el relevamiento y la preservación de la evidencia. Garantizar la preservación de la evidencia. 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 76 BUENAS PRÁCTICAS TÉCNICO FORENSES Conclusiones … • Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad". 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 77 BUENAS PRÁCTICAS TÉCNICO FORENSES Conclusiones … • Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad". • "El análisis forense es el epicentro de quienes buscan la verdad y que esta perdure en el informe escrito" 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 78 BUENAS PRÁCTICAS TÉCNICO FORENSES Conclusiones … • Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad". • "El análisis forense es el epicentro de quienes buscan la verdad y que esta perdure en el informe escrito" • El alquimista y el descodificador buscan lo mismo en diferentes mundos: Convertir el alma (indicios) en oro (la verdad). 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 79 BUENAS PRÁCTICAS TÉCNICO FORENSES Sus preguntas … 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 80 BUENAS PRÁCTICAS TÉCNICO FORENSES Muchas Gracias por su atención … 09/08/2017 Héctor Hernández - CPCIPC Perito Informático M.P. 051 81