• Author / Uploaded
• PERUHACKING

• Categories
• Informática forense
• Hardware de la computadora
• Informática
• Tecnología
• Informática y tecnología de la información

Citation preview

Sesión 0: Introducción a la Informática Forense

En esta sesión se abordara: • Introducción a la Informática Forense • Normas internacionales de manejo de evidencia digital. • Pasos de la Informática Forense. • Principales certificaciones en informática forense. • Organismos que colaboran con la justicia.

En países de América Latina, lo más importante que debemos abordar es el adecuado manejo de la evidencia digital, en este sentido lo principal es poder elaborar una bitácora de procedimientos, en el caso de Perú se cuenta con un Manual de Manejo de Evidencia Digital que data del año 2017 y fue elaborado por el Ministerio de Justicia, el mismo lo cuentan como material de esta sesión a fin pueden descargarlo. En referencia a normas internacionales, todo Laboratorio de Informática Forense requiere cumplir con estándares de normas internacionales, para este caso emplearemos el GLOBAL GUIDELINES FOR DIGITAL FORENSICS LABORATORIES de Interpol de data 2019. Es de suma importancia que lean ambos manuales, de forma adicional en la sesión bibliografía, podrán revisar manuales de evidencia digital de otros países de la región.

A carencia de un manual de procedimientos en su país, deberán basarse en el Manual: La escena del delito y las pruebas materiales, elaborado por Naciones Unidas. El cual podrán descargar de igual forma en el contenido de esta sesión. Adicionalmente y si su labor es de carácter policial, es requerido de lectura a la Resolución Ministerial N°848-2019-IN que aprueba el Manual de Recojo de Evidencia Digital emitido el 12 de Junio del 2019, el mismo se encuentra descargable en esta sesión. Sin más que acotar por ahora, damos inicio al Curso de Informática Forense – edición 2020, desde ya todas las consultas pueden ser elaboradas al correo electrónico del instructor o a los canales establecidos en el aula virtual de la entidad organizadora del presente curso. Atentamente César Chávez.

Introducción a la Informática Forense Informática Forense, es el procedimiento que ayuda a la justicia en el rescate y búsqueda de indicios informáticos con el fin de llevar un proceso legal en el cual se demuestre en un juicio los hallazgos vertidos en evidencias, con el fin que los investigados puedan recibir todo el peso de la ley, debemos entender que este procedimiento debe llevarse como una escena del crimen, siendo cada una de sus partes básicas para recabar y procesar indicios, apoyándose en las herramientas creadas por entidades que cumplen estándares internacionales de calidad, no se puede dar uso de todo lo que se encuentren a la mano, dado que los resultados que se obtengan deben ser los mismos si en una pericia y una contra-pericia se encuentran resultados diferentes todo procedimiento será invalido. También se le conoce como Computo Forense.

Fases de la Informática Forense Identificación

Validación y preservación

Análisis

Generación de Reporte

Fase 1: Identificación Levantamiento de información: Descripción del delito informático, a partir de la denuncia presentada contra el investigado, así como la información de sus generales de ley, información sobre el equipo intervenido, sus características técnicas. Para cuestiones didácticas asumiremos que se refiere a intrusión no autorizada a un sistema informático que consta de una base de datos de usuarios de una empresa realizando el atacante la posterior encriptación en carpetas por las cuales solicito una recompensa para desencriptación. Asegurar la escena: Identificar los indicios para evitar la manipulación indebida que conlleve a la perdida de confiabilidad en el procesamiento.

Fase 2: Identificación Copias de los indicios: Específicamente de los dispositivos intervenidos, detallando el procedimiento seguido. Cadena de custodia: Informando los pasos actuados que garantizan la información recogida a fin que sirva como prueba ante la denuncia realizada.

Fase 3: Análisis • Preparación para el análisis: Se requiere garantizar las condiciones para un procesamiento adecuado y que permita la adecuada manipulación de los elementos involucrados en el ilicito. • Reconstrucción del ataque: Determinar no sólo el medio por el cual fue extraída la información, sino el procedimiento que emplearon para la alteración del sistema. • Determinación del ataque: Identificando si el ataque fue a través de la red interna (intranet), por acceso remoto o por medios físicos (empleo de periféricos). • Identificación del atacante: Medio y la forma como accedió al sistema y realizó el ataque, indicar si es posible una identificación plena de quien atacó el sistema. • Perfil del atacante: Descubrir al atacante, conocer los motivos, así como el propósito que tuvo al atacar el sistema informático del denunciante. • Evaluación del impacto: Determinar los daños y las compensaciones que hubiesen a llegar por parte del atacante.

Fase 4: Generación de reporte Documentación y presentación de pruebas Registro del incidente. • Informe técnico. (Softwares y Hardwares empleados para la adquisición de pruebas, indicando un breve resumen de porque estas fueron empleadas en este caso)

• Informe ejecutivo: (Incluye el Informe de investigación, análisis conforme a la solicitud realizada por el denunciante, acorde al procedimiento, asimismo un resumen de la investigación, citando los puntos más importantes) • Observaciones: (Información adicional obtenida, no contenida en la denuncia en la que se basa la investigación, indicando hallazgos para solicitar ampliación de la investigación).

• Bitacora y plan estratégico efectuado en el proceso de peritaje informático forense.

En informática forense se requiere el empleo de hardware y software que garantice el adecuado procesamiento de las evidencias, de dicha forma, para el inicio del proceso de investigación adecuado, se necesita tener un ambiente adecuado para poder laborar, caso contrario toda evidencia adquirida no cumpliría el estándar de norma internacional de manejo de evidencia, en este sentido en la siguientes hojas, podrán ver algunas partes de exposición desarrollada en Paraguay, por el instructor en a inicios de Septiembre del 2019 en el 6to. Congreso Internacional de Criminalistica y Ciencias Forenses

¿Cómo crear un laboratorio para Investigación Informática Forense?

Área para la Etapa 3 Análisis. El ambiente esta aislado herméticamente y previamente a acceder el personal deberá pasar por el ambiente de contención conforme dictamina la OMS: Manual de Bioseguridad para Laboratorios. 1. El lugar de trabajo se encuentra separado de toda actividad que se desarrolle en el mismo edificio, cumpliendo con los estándares de una jaula faraday 2. El aire introducido y extraído del lugar de trabajo se filtra mediante la utilización de filtros de alta eficacia para partículas en el aire (HEPA) o de forma similar.

Personal que debe laborar en el Laboratorio por turnos en equipos de dos..

1. Perito Inspecciones Criminalísticas

Se encargara de levantamiento de huellas y toma de impresiones en los equipamientos analizados en el laboratorio. Asimismo realiza el levantamiento de los indicios biológicos obtenidos en los dispositivos electrónicos analizados. En el interior de cada computador se pueden obtener buenas impresiones dactilares, al igual que en los sims, memorias internas, procesadores y otros elementos lo cual ayuda a poder integrar a otros implicados en el procesamiento de indicios. Estos serán lacrados y remitidos cumpliendo a la cadena de custodia de material biológico que puede ser obtenido, como es el caso de: Cabellos en teclados, caspa, en el caso de dispositivos móviles (estas pueden tener residuos biológicos).

2. Perito Informático Forense

El perito informático forense no solo utiliza “protocolos, procedimientos y herramientas” que permitan garantizar la validez de las “evidencias y de los resultados” sino también la posibilidad de repetir todas las pruebas encontradas si se aplican los mismos procedimientos y herramientas “sobre las evidencias”. Para ejercer como perito informático forense se requiere: Ser profesionales y especialistas altamente calificados. Contar con experiencia de 5 años tras culminar los estudios superiores.

1. El lugar de trabajo se encuentra separado de toda actividad que se desarrolle en el mismo edificio, cumpliendo con los estándares de una jaula faraday 2. El aire introducido y extraído del lugar de trabajo se filtra mediante la utilización de filtros de alta eficacia para partículas en el aire (HEPA) o de forma similar. 3. El ambiente es totalmente estéril por lo cual el personal debe laborar únicamente con traje de bioseguridad desechable y otros elementos aislantes (ver diapositiva de bioseguridad). 4. El personal deberá ingresar sin dispositivos electrónicos ajenos al área. 5. Solamente se permite el acceso al personal designado .

En este punto recomendamos ver el video recomendado de la sesión

Ambientes mínimos necesarios para un Laboratorio de Informática Forense

1. Área de atención de denuncias Debe establecerse oficinas zonales en cada para recepción de denuncias y solicitudes en cada estación policial.

2. Área de recursos humanos

Encargados de generar ordenar turnos laborales, los cuales no pueden exceder de 6 hrs. Coordina capacitaciones al personal activo y del reclutamiento de personal. Deben estar compuestos por mínimo 4 personas en turnos rotativos de 24 hrs.

3. Área para ciberpatrullaje Personal encargado de hacer seguimiento a las denuncias recibidas por las unidades policiales. Se sugiere cubículos de trabajo para seguimiento de objetivos

4. Sala de coordinación de operativos (inter-áreas) Área en la cual se realizan coordinaciones con unidades dentro del mismo centro de labores, efectuándose de forma interdiaria en coordinación con el equipo de crímenes complejos y equipo de investigación del cibercrimen.

5. Área de análisis de incidencias informáticas Área en la cual el personal realiza seguimientos a forados de seguridad en entidades estatales, realizando ethical hacking preventivo, de igual forma estará área estará con coordinación directa con el Centro de Respuesta a Incidentes Informáticos del estado, con el fin de monitorear los fallos vigentes en sistemas informáticos sensibles.

6. Laboratorio para fotografiado electrónico de circuitos y otros dispositivos a analizar.

En el caso que se encuentre fisuras, daños u otros en los circuitos, los cuales fueron detectados por el Laboratorio para fotografiado electrónico, en esta área se pasara a desarmar y reparar los mismos

7. Laboratorio de reparación de hardware

8. Laboratorio de reparación de hardware Se requiere personal con alto conocimiento en electrónica y micro-electronica

Laboratorio Modelo Básico para manejo de muestras

El Área de Análisis deberá contar con: 1. Laboratorios para análisis de evidencia que cumplan la ISO 14644-1 2. Equipamiento para adquisición de evidencias. (Discos Duros y Moviles) 3. Cámaras fotográficas y filmadoras para procesamiento acorde al inventario. 4. Cables para conexión de todos los modelos de HDD. 5. SIMS en blanco para duplicación 6. 7.

Se deberán emplear instrumentos adecuados para desarme de discos duros y otros perifericos

Se deberán emplear instrumentos adecuados para desarme de discos duros y otros perifericos

Adaptadores de placa de circuito

Cableado para conexión de diversos dispositivos

Duplicadores de discos duros

Adecuado almacenaje de discos duros

9. Almacén de Evidencias El Almacen deberá contar con la Certificación Iso 9001:2008 Es importante el trabajo profesional en todos los procedimientos, como personal que laboran en el área, su ambiente laboral debe contar con las áreas mínimas requeridas. Fin de sesión Nos vemos en la tutoria en línea.