Beruflich Dokumente
Kultur Dokumente
4/8/2011
Ciencias Forenses
4/8/2011
4/8/2011
O an ms simple
es la aplicacin de la ciencia a la ley
Por lo tanto, prcticamente cualquier rea del conocimiento se puede aplicar a las ciencias forenses
4/8/2011
Computacin Forense
Rama del conocimiento que provee a partir de principios y tcnicas cientficas, la posibilidad de metodolgicamente identificar, recuperar, reconstruir , analizar y presentar informacin digital, de tal manera que esta pueda ser utilizada como evidencia en una disputa legal.
Para qu?
Determinar lo ocurrido
reconstruir eventos y generar (descubrir) pistas.
Determinar el alcance de un incidente Prevencin y Preparacin para el futuro Si es necesario, capturar y procesar
8 08/04/2011 Daniel Torres Falkonert (c) 2011
4/8/2011
Cundo?
No solo sirve para investigar hechos relacionados con los hacker
08/04/2011
Extorsiones Fraudes Amenazas Pornografa infantil Suplantaciones de identidad Piratera de software Recoleccin informacin de inteligencia Disputas civiles y comerciales Recuperacin de datos O solo para saber qu pas
9 Daniel Torres Falkonert (c) 2011
Qu?
Hardware o informacin como: 1. Contrabando (Sw. pirata) 2. Instrumento (Keylogger) 3. Evidencia (Inf. Del Computador de Ral Reyes)
4/8/2011
Quin?
El Investigador Forense en Informtica Formacin Ideal:
Mtodos Cientficos Ciencias del comportamiento Ciencias de la computacin e ingeniera Ciencias jurdicas o legales Criminalstica y ciencias forenses
11 08/04/2011 Daniel Torres Falkonert (c) 2011
La Evidencia Digital
4/8/2011
Qu es?
Es un tipo especial de evidencia fsica Es intangible
Cualquiera o toda informacin en formato digital que pueda establecer que un delito ha sido cometido o que pueda proveer una relacin entre un delito y su vctima o un delito y su autor Eoghan Casey
13 08/04/2011 Daniel Torres Falkonert (c) 2011
La Evidencia
Permite conocer el pasado (Qu, Quin, Cmo, Dnde y por qu) Confirmar o desechar hiptesis sobre un hecho en cuestin Reconstruir total o parcialmente el escenario en el que sucedi el incidente
14 08/04/2011 Daniel Torres Falkonert (c) 2011
4/8/2011
4/8/2011
Caractersticas
Volatilidad! Escena del crimen distribuida Fcilmente Alterable Ilegible por humanos Duplicable Integridad Verificable Recuperable
17 08/04/2011 Daniel Torres Falkonert (c) 2011
Dnde encontrarla?
En cualquier dispositivo que tenga memoria.
Computadores Memorias USB Telfonos celulares PDA Cmaras digitales
4/8/2011
Ley 527. ART. 10. Admisibilidad y fuerza probatoria de los mensajes de datos.
Los mensajes de datos sern admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del captulo VIII del ttulo XIII, seccin tercera, libro segundo del Cdigo de Procedimiento Civil. En toda actuacin administrativa o judicial, no se negar eficacia, validez o fuerza obligatoria y probatoria a todo tipo de informacin en forma de un mensaje de datos, por el slo hecho que se trate de un mensaje de datos o en razn de no haber sido presentado en su forma original.
20 08/04/2011 Daniel Torres Falkonert (c) 2011
10
4/8/2011
Ley 527. ART. 11. Criterio para valorar probatoriamente un mensaje de datos.
Para la valoracin de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems criterios reconocidos legalmente para la apreciacin de las pruebas. Por consiguiente habrn de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la informacin, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.
21 08/04/2011 Daniel Torres Falkonert (c) 2011
los mensajes de datos a los otros medios de prueba originalmente escritos en papel.
Al hacer referencia a la definicin de documentos del Cdigo de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemtico con el sistema manual o documentario, encontrndose en igualdad de condiciones en un litigio o discusin jurdica, teniendo en cuenta para su valoracin algunos criterios como: confiabilidad, integridad de la informacin e identificacin del autor.
22 08/04/2011 Daniel Torres Falkonert (c) 2011
11
4/8/2011
12
4/8/2011
Una vez reconocida, la evidencia digital debe ser preservada en su estado original. Se debe tener en mente, que la ley requiere que la evidencia sea autntica y sin alteraciones E.Casey
13
4/8/2011
Ejemplo
Se encuentra una Memoria USB en un cajn de un escritorio Se Recolecta por personal del departamento de TI
Sin Autorizacin
No es claro si la bsqueda fue legal
Proceso no documentado
No es claro quien encontr el dispositivo
14
4/8/2011
En caso de duda
Pida ayuda a algn experto, pero NO improvise con los procedimientos forenses. Si quiere me llama
Aclaracin
Dependiendo de la finalidad y la importancia del caso, los procedimientos pueden flexibilizarse
15
4/8/2011
16
4/8/2011
El Incidente
1. 2. 3. 4. Cmo fue detectado? Qu Informacin se requiere investigar? Se puede apagar el dispositivo? Se requiere recuperar el disco daado lgicamente o fsicamente? 5. Lista de palabras clave que permitan realizar bsquedas 6. En qu horario debe hacerse la investigacin?
34 08/04/2011 Daniel Torres Falkonert (c) 2011
17
4/8/2011
Sistema Operativo
1. 2. 3. 4. 5. 6. Nombre y Versin Sistema de Archivos Utilizado Tiene Archivos Cifrados? Cuntos Usuarios tienen acceso a el? Tiene Arreglo de Discos (RAID)? Tiene Antivirus, Firewall, Anti-spyware, etc?
18
4/8/2011
Y si lo considera necesario
http://www.delitosinformaticos.gov.co
Cmo se hace?
El proceso forense en informtica
19
4/8/2011
20
4/8/2011
21
4/8/2011
Preguntas
43
22