DIRECCION DE POLICIA CIENTIFICA DEPARTAMENTO ESTUDIOS
ESPECIALES
Diapositiva 2
GENDARMERA NACIONAL ARGENTINA DIRECCIN DE POLICA CIENTFICA
GENDARMERA NACIONAL ARGENTINA DIRECCIN DE POLICA CIENTFICA LEONARDO
RAFAEL IGLESIAS INGENIERO ELECTRNICO JEFE DIVISIN INFORMTICA
JUDICIAL
Diapositiva 3
QUE SON LOS DELITOS INFORMTICOS? Hecho o conducta ilcita que se
comete mediante la utilizacin de herramientas electrnicas o
informticas. Son todos aquellos delitos, tipificados en el cdigo
penal, que hacen uso indebido de cualquier medio o sistema
informtico. Es toda aquella accin, tpica, antijurdica y culpable,
que se da por vas informticas o que tiene como objetivo destruir y
daar ordenadores, medios electrnicos y redes de Internet.
Diapositiva 4
TIPOS DE DELITOS INFORMTICOS Fraude Pornografa infantil Estafa
Robo de propiedad intelectual Denegacin de servicios Acceso no
autorizado Extorsin Robo de servicios Sabotaje informtico Abuso de
privilegios Etc
Diapositiva 5
Diapositiva 6
Informtica Forense Es una disciplina criminalstica que tiene
como objeto la investigacin, en sistemas informticos, de hechos con
relevancia jurdica o para la simple investigacin privada. Para
conseguir sus objetivos, la Informtica Forense desarrolla tcnicas
idneas para ubicar, reproducir y analizar evidencias digitales con
fines legales.
Diapositiva 7
EVIDENCIA DIGITAL Es cualquier registro generado por o guardado
en un medio de almacenamiento tecnolgico que es utilizado para
demostrar la comisin de un delito, y sirve como elemento material
probatorio en un juicio. Cuando se la compara con otras formas de
evidencia documental la evidencia computacional es frgil. Esto hace
que los datos digitales adquiridos, o sea la copia obtenida, no
debe alterar las originales del disco, o sea deben ser exactamente
iguales a los originales. De aqu toma importancia el CHECKSUM o
HASH.
Diapositiva 8
Diapositiva 9
Software Utilizado
Diapositiva 10
Diapositiva 11
Diapositiva 12
1. Acceso informtico forense 2. Identificacin de la evidencia
3. Autenticacin de la evidencia 4. Preservacin de la evidencia 1.
Acceso informtico forense 2. Identificacin de la evidencia 3.
Autenticacin de la evidencia 4. Preservacin de la evidencia
Diapositiva 13
CONSISTE EN: Se extrae el disco a analizar del Equipo
Informtico cuestionado Dispositivos especiales de conexionado para
ingresar al HD. Se usa la herramienta ENCASE para analizar el HD
Comienza con la realizacin de la Imagen o copia espejo forense.
CONSISTE EN: Se extrae el disco a analizar del Equipo Informtico
cuestionado Dispositivos especiales de conexionado para ingresar al
HD. Se usa la herramienta ENCASE para analizar el HD Comienza con
la realizacin de la Imagen o copia espejo forense.
Diapositiva 14
2 Identificacin de la Evidencia En que consiste: Se identifica
un conjunto de pruebas para ser tomadas como evidencia. Recuperar
los atributos del archivo Relevar la mayor cantidad de evidencia
digital (sin alterarla) En que consiste: Se identifica un conjunto
de pruebas para ser tomadas como evidencia. Recuperar los atributos
del archivo Relevar la mayor cantidad de evidencia digital (sin
alterarla)
Diapositiva 15
3 Autenticacin de la Evidencia En que consiste: Clculo de
firmas digitales. Se obtiene un HASH (MD5 y SHA1). Garantiza:
integridad de evidencias digitales recolectadas y permite
identificar UNIVOCAMENTE a tales archivos. En que consiste: Clculo
de firmas digitales. Se obtiene un HASH (MD5 y SHA1). Garantiza:
integridad de evidencias digitales recolectadas y permite
identificar UNIVOCAMENTE a tales archivos.
Diapositiva 16
Criptografa Autenticacin: implica hablar de corroboracin de la
identidad. En particular del origen de un archivo.
Confidencialidad: mantener en secreto una informacin determinada.
Integridad: la informacin no haya sido alterada por personas no
autorizadas u otro medio desconocido.
Diapositiva 17
Hash Tambin denominado valor Hash o sntesis del mensaje, es un
tipo de transformacin de datos. Un Hash es la conversin de
determinados datos de cualquier tamao, en un nmero de longitud fija
no reversible, mediante la aplicacin a los datos de una funcin
matemtica unidireccional denominada algoritmo Hash. Tambin
denominado valor Hash o sntesis del mensaje, es un tipo de
transformacin de datos. Un Hash es la conversin de determinados
datos de cualquier tamao, en un nmero de longitud fija no
reversible, mediante la aplicacin a los datos de una funcin
matemtica unidireccional denominada algoritmo Hash. Existen
funciones comunes de Hash en un sentido. Las ms comunes son MD5 y
SHA-1.
Diapositiva 18
4. Preservacin de la evidencia
Diapositiva 19
Diapositiva 20
QU SE PUEDE OBTENER DEL ANLISIS FORENSE?
Diapositiva 21
PODEMOS OBTENER:
Diapositiva 22
PUNTOS PERICIALES
Diapositiva 23
Diapositiva 24
Diapositiva 25
LA ESCENA DEL CRIMEN DIGITAL
Diapositiva 26
Diapositiva 27
EQUIPO A LLEVAR: PC O NOTEBOOK con suficientes puertos USB y FW
800 Bloqueador de Escritura (Write Blocker) Cables de
conexin/Adaptadores/Interfaces/ Cajas para removibles/LAN Crossover
Software Forense (F-SW) Discos de almacenamiento de destino
SANITIZADOS (WIPEADOS) PRESERVACIN Y DOCUMENTACIN DE LA ESCENA DEL
CRIMEN DIGITAL
Diapositiva 28
VERIFICAR SU PROPIA SEGURIDAD USAR GUANTES INVENTARIAR TODO LO
ENCONTRADO LAPTOPS CELULARES DISKETTES MEMORIAS FLASH BLACKBERRYS
DISCOS RGIDOS DISCOS PTICOS PEN DRIVES PDAs CAMARAS DIGITALES
REPRODUCTORES DE MP3 PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 29
INVENTARIAR TODO LO ENCONTRADO PASOS A SEGUIR POR EL
EXAMINADOR
Diapositiva 30
CONSULTAR CONEXIONES PROVEEDOR DE INTERNET FOTOGRAFIAR LOS
EQUIPOS FOTOGRAFIAR LAS CONEXIONES DE LOS EQUIPOS PASOS A SEGUIR
POR EL EXAMINADOR
Diapositiva 31
FOTOGRAFIAR LOS EQUIPOS DOCUMENTAR PASOS A SEGUIR POR EL
EXAMINADOR
Diapositiva 32
FOTOGRAFIAR LAS CONEXIONES EXTERNAS, ENTRE LOS EQUIPOS
DOCUMENTAR PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 33
FOTOGRAFIAR CONEXIONES INTERNAS DOCUMENTAR PASOS A SEGUIR POR
EL EXAMINADOR
Diapositiva 34
FOTOGRAFIAR LAS PANTALLAS PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 35
VOLTIL MENOS VOLTIL PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 36
HORA Y FECHA DEL SISTEMA PROCESOS EN EJECUCIN CONEXIONES DE RED
PUERTOS ABIERTOS APLICACIONES ESCUCHANDO EN SOCKETS ABIERTOS
USUARIOS CONECTADOS (LOGGED ON) INFORMACIN ALMACENADA EN MEMORIA
INFORMACIN VOLTIL - OBTENER
Diapositiva 37
RECOLECTAR INFORMACIN VOLTIL SI ESTAN PRENDIDOS LOS EQUIPOS
(Intrprete de comandos cmd ): date /t && time /t netstat na
ipconfig /all systeminfo doskey /history psloggedon pslist PASOS A
SEGUIR POR EL EXAMINADOR
Diapositiva 38
RECOLECTAR INFORMACIN VOLTIL FECHA Y HORA CON: date /t
&& time /t Si estn habilitadas las extensiones de comandos,
el comando DATE admite el parmetro /T, que indica al comando
mostrar tan slo la fecha actual sin pedir una nueva fecha.
Diapositiva 39
PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 40
Diapositiva 41
Diapositiva 42
Diapositiva 43
Diapositiva 44
Diapositiva 45
DESCONECTAR LA CONECTIVIDAD CABLES DE RED VERIFICAR CONEXIONES
WI-FI PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 46
APAGAR LAS COMPUTADORAS PASOS A SEGUIR POR EL EXAMINADOR
Diapositiva 47
GUARDAR LA EVIDENCIA UTILIZAR GOMA ESPUMA PASOS A SEGUIR POR EL
EXAMINADOR
Diapositiva 48
DOCUMENTACIN (EN PAPEL) DE: Confiscacin o Secuestro Custodia
Control Transferencia Anlisis Remisin de evidencia digital
MANIPULAR LA EVIDENCIA CUIDADOSAMENTE PARA EVITAR ALEGATOS DE
ADULTERACIN Y/O FALSIFICACIN DE LA EVIDENCIA DIGITAL CADENA DE
CUSTODIA
Diapositiva 49
DEBE DOCUMENTARSE EL PROCESO DE CICLO DE VIDA DE LA EVIDENCIA
DIGITAL: Mtodos Horarios Fechas Identidad del Personal Involucrado
Etc. DEBE DOCUMENTARSE: DNDE ESTUVO LA EVIDENCIA? QUIN TUVO ACCESO
A LA MISMA? DESDE LA OBTENCIN INICIAL HASTA QUE LLEGUE A LOS
TRIBUNALES DE JUSTICIA CADENA DE CUSTODIA
Diapositiva 50
Fecha de contacto con la evidencia Nombre de la persona
Registro del pasaje de una persona a otra Registro del pasaje de
una ubicacin fsica a otra Tareas realizadas durante la posesin
Sellado de la evidencia al finalizar la posesin Registro de
testigos Fotografas de la evidencia en las tareas realizadas Log de
actividades durante la posesin
Diapositiva 51
CADENA DE CUSTODIA DOCUMENTAR: Qu es la evidencia? Cmo se la
obtuvo? Cundo fue obtenida? Quin la obtuvo? Dnde viaj? Dnde fue
guardada?
Diapositiva 52
LA ESCENA DEL CRIMEN DIGITAL PASOS: VERIFICAR SU PROPIA
SEGURIDAD INVENTARIAR TODO LO ENCONTRADO FOTOGRAFIAR LOS EQUIPOS
FOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOS FOTOGRAFIAR LAS PANTALLAS
RECOLECTAR INFORMACIN VOLTIL FECHA Y HORA CONEXIONES DE RED ACTIVAS
INFORMACIN DEL SISTEMA HISTRICO DE COMANDOS USUARIOS LOGGEADOS AL
SISTEMA PROCESOS ACTIVOS DESCONECTAR LA CONECTIVIDAD APAGAR LAS
COMPUTADORAS GUARDAR LA EVIDENCIA PROTEGER LA CADENA DE CUSTODIA
ACTA CONSTANCIA