INFORMATICA FORENSE

Ing. Guido Rosales Uriona

AMENAZAS TECNOLOGICAS

Robo de Informacion

Violacion CCTV De privacidad

Acoso

SPAM

PIrateria

Phising

Pornografia Infantil

Espionaje

Virus

TRINGULO DEL CRIMEN

Lawrence Cohen y Marcus Felson - 1979

INFOFOR - COMO ESTAMOS?

12,5 12,5 25 50

6Rs Completo Previo

Escena del hecho Analisis

APLICACIN C C INFOFOR O O

INVESTIGACION Escena del Hecho Anlisis Pericial (Forense)

CONSIDERACIONES IMPORTANTES LM Lugar y momento del hecho Caliente Volatilidad de la evidencia RFC 3227: registros registros, cache, tabla de ruteo, memoria, temporales, disco, etc. LP Lugar del hecho pero Posterior al momento (x tiempo) Tibio Backups primarios LMP Lugar del hecho pero Posterior al momento (y tiempo p > x tiempo) p ) Frio Backups removibles

Mtodo del Octgono

ETAPA 1. PROTECCION

Evitar la contaminacin de la escena del hecho

Fsica y virtual (alcance inalmbrico) Escaneo inalmbrico (sonido (sonido, video video, datos)

Apagar dispositivos previa acta del ltimo estado o pantalla visible

Apagado Frio / Duro - Cortando la energa Mal Menor / Bien Mayor

Registro del tiempo exacto (GMT -4)

Registro del Tiempo: Hora Oficial

La brinda el Observatorio Astronmico Santa Ana de Tarija, Tarija en cumplimiento de la Ley 1436 del 11/12/1993 . Se le da el rango de "Observatorio Observatorio Nacional" Nacional y se le autoriza la "Conservacin y Emisin de la Hora Oficial Boliviana en todo el territorio nacional". El observatorio Naval de los E.E.U.U (GMT 4) en sincronizacin directa via internet con su reloj atmico. La diferencia con la hora oficial de Bolivia es de +3 segundos.
Ing. Guido Rosales Uriona

Ing. Guido Rosales Uriona

www.themegallery.com

CONTRAMEDIDAS

INVESTIGACION INTERNA
Los dispositivos son protegidos mas no apagados RFC 3227 Volcado de memoria e Imagen de Disco HELIX, WinHex SU3 - Extraccin de datos: Memos U3 (system info, info external IP, IP VNC, HakSaw, Dump Wifi Hex, Dump SAM, PWDUMP, Dump SAM FGDUMP, Dump Network PW, Dump Mail PW, Dump Firefox PW, PW Dump IE PW PW, Dump messenger PW, PW Dump Cache, Cache Dump LSA secrets, Dump Product Keys, Dump URL History, Dump Updates-List, Network Services, Port Scan. MS COFEE - Computer Online Forensic Evidence Extractor: Mas de 150 comandos para extraer evidencia forense

ETAPA 2: EVALUACION
Santa Cruz
Servidor

Servidor

Servidor

Cochabamba
ENTEL/ Comteco / COTAS, etc

Servidor

Conocimiento previo SU3, escaneo de red y/o interrogatorio Escena: Cerrada, mixta y abierta Principio de e-locard e locard

Ing. Guido Rosales Uriona

ETAPA 3: FIJACION

Facilitar la reconstruccin de la escena del hecho Identificar fuentes de evidencia SU3, Escaneo, filmacin, fotografa, croquis i Caracterizacin por seriales impresos

I I I I I

I V

SEALECTICA

Ing. Guido Rosales Uriona

www.themegallery.com

ETAPA 4: RASTREO

RASTREO LOGICO
No recomendable en original g ( (1Gb Sobre Imagen 1Minuto) Fin: contencin del delito mayor
Caso FARC Colombia (Informe Interpol)

EL CALIBRE DE LAS HERRAMIENTAS

ETAPA 5: RECONOCIMIENTO DE OBJETIVO O MEDIO

Repositorios en red: PC, impresoras, servidores Repositorios R it i en I Internet: t t Cuentas C t de d email, il servidores hackeados PC Zombis: Z bi Artillera A till remota t Maniobras de distraccin: Confundir al enemigo En E funcin f i d de l la t topologa l y esquema d de red d
Servidores de seguridad, de base de datos, de aplicaciones de correo aplicaciones,

ETAPA 6: HIPOTESIS CRIMINAL

La estrategia del TERO

Importancia de la hiptesis
La informtica forense es una ciencia Demostrable y repetible Uso de mtodos de investigacin cientfica La hiptesis del hecho Concepto: es el establecimiento de un vnculo entre los hechos que el investigador va aclarando en la medida en que pueda generar explicaciones lgicas del porqu se produce este vnculo. Formulacin: Las hiptesis son el punto de enlace entre la teora y la observacin. Su importancia en que dan rumbo a la investigacin l sugerir los pasos y procedimientos que deben darse en la bsqueda del conocimiento. conocimiento Su importancia Elaborar el objetivo, o conjunto de objetivos que desea alcanzar en el desarrollo de la investigacin Seleccionar el tipo de diseo de investigacin factible con el problema planteado. Seleccionar el mtodo, los instrumentos y las tcnicas de investigacin acordes con el problema que se desea resolver, y Seleccionar los recursos, recursos tanto humanos como materiales, materiales que se emplearn para llevar a feliz trmino la investigacin planteada.
Ing. Guido Rosales Uriona

Formular la hiptesis
Identificar el Problema Formular la hipotesis
Positiva / Negativa

Sugerir g medios p probatorios Responder: que, como, cuando, donde, quien, por que y como? Ejemplo Ej l
P: Falta dinero en la CA del Sr. Pepe Cortizona H:
Le robaron, sin su conocimiento fue auto robo o dejo que el hecho se de

Evidencias en las posibles escenas del hecho

Ing. Guido Rosales Uriona

Tipos de investigacin cientfica: Clasificacin

TIPOS DE INVESTIGACIN Histrica Documental Descriptiva p Correlacional Explicativa E li ti Estudio de Casos Seccional Longitudinal Analiza eventos del p pasado y busca relacionarlos con otros del presente Analiza informacin escrita sobre el Tema Objeto de Estudio Resea rasgos, g cualidades o atributos de la Poblacin Objeto j de Estudio Mide el grado de relacin entre las variables de la Poblacin estudiada D razones d Da del l porqu d de l los f fenmenos Analiza una unidad especfica de un Universo Poblacional Recoge informacin del Objeto de Estudio en oportunidad nica Compara datos obtenidos en diferentes oportunidades o momentos de una misma poblacin con el propsito de evaluar los cambios Analiza el efecto f producido por la accin o manipulacin de una o ms variables independientes sobre una o varias dependientes

Experimental

ETAPA 7: COLECTA O EMBALAGE

Anti tODO
Antiestatica A ti Antimagnetica ti Anti humedad Anti fuego Ignifuga Anti robo

Ing. Guido Rosales Uriona

EMBALAGE LOGICO Uso de medios no regrabables: g DVD, , CDs

Etiquetados y hasheados (MD5, SHA1)

Funcin Hash

www.yanapti.com

Preservacin dd herramienta *nix, por lnea de comando Copia C i bit bi a bit, bi un medio a otro dd if if=origen i of=destino f d ti dd if=/dev/hda of=/mnt/hdd1/Imagen img of=/mnt/hdd1/Imagen.img Interfaz Grfica

ETAPA 8: CADENA DE CUSTODIO

Garantizar la invariabilidad de la evidencia. Bvedas o jaulas FARADAY Anticipo de Prueba

CONCLUSION

ESCENA DEL HECHO

TRATAMIENTO
PROTECCION

ETAPA 1

ETAPA 2

ETAPA 8 ETAPA n
Cadena C d d de Custodio

Evaluacion

Ing. Guido Rosales Uriona

BSQUEDA EN CEMENTERIOS TECNOLGICOS

MORGUE DIGITAL

MORGUE DIGITAL

CLONACION DE CADAVER

EDICION HEXADECIMAL

FRAGMENTACION DEL DISCO