Escena Del Hecho

INFORMATICA FORENSE

Ing. Guido Rosales Uriona

1

AMENAZAS TECNOLOGICAS

Robo deInformacion

CCTV AcosoViolacionDe privacidad

SPAM PIrateria Phising

PornografiaInfantil Espionaje

Virus

TRIÁNGULO DEL CRIMEN

Lawrence Cohen y Marcus Felson - 1979

INFOFOR - COMO ESTAMOS?

5012,512,5

50

25

6Rs Completo Escena del hecho6Rs Completo Escena del hecho

Previo Analisis

APLICACIÓN INFOFORC C Ó O O

INVESTIGACIONEEscena

delHecho

AnálisisPericial

(Forense)

CONSIDERACIONES IMPORTANTES

LM – Lugar y momento del hecho – CalienteVolatilidad de la evidencia RFC 3227: registrosVolatilidad de la evidencia RFC 3227: registros, cache, tabla de ruteo, memoria, temporales, disco, etc.

LP – Lugar del hecho pero Posterior al momento (x tiempo) – Tibio

Backups primariosBackups primariosLMP – Lugar del hecho pero Posterior al momento (y tiempo > x tiempo) – Friop p )

Backups removibles

Método del Octágono

ETAPA 1. PROTECCION

Evitar la contaminación de la escena del hechoFísica y virtual (alcance inalámbrico)Escaneo inalámbrico (sonido video datos)Escaneo inalámbrico (sonido, video, datos)

Apagar dispositivos previa acta del último estado o pantalla visible

Apagado Frio / Duro - Cortando la energíaApagado Frio / Duro Cortando la energía Mal Menor / Bien Mayor

Registro del tiempo exacto (GMT -4)

Registro del Tiempo: Hora Oficial

La brinda el Observatorio Astronómico Santa Ana de Tarija en cumplimiento de la Ley 1436Ana de Tarija, en cumplimiento de la Ley 1436 del 11/12/1993 . Se le da el rango de "Observatorio Nacional" y se le autoriza laObservatorio Nacional y se le autoriza la "Conservación y Emisión de la Hora Oficial Boliviana en todo el territorio nacional".El observatorio Naval de los E.E.U.U (GMT -4) en sincronización directa via internet con su reloj atómico. La diferencia con la hora oficial de Bolivia es de +3 segundos.



www.themegallery.com

CONTRAMEDIDAS

INVESTIGACION INTERNA

Los dispositivos son protegidos mas no apagadosRFC 3227Volcado de memoria e Imagen de Disco

HELIX, WinHexSU3 Extracción de datos: Memos U3 (system info external IPSU3 - Extracción de datos: Memos U3 (system info, external IP, VNC, HakSaw, Dump Wifi Hex, Dump SAM, PWDUMP, DumpSAM FGDUMP, Dump Network PW, Dump Mail PW, DumpFirefox PW Dump IE PW Dump messenger PW Dump CacheFirefox PW, Dump IE PW, Dump messenger PW, Dump Cache, Dump LSA secrets, Dump Product Keys, Dump URL History, Dump Updates-List, Network Services, Port Scan.

MS COFEE - Computer Online Forensic Evidence Extractor: Mas deMS COFEE Computer Online Forensic Evidence Extractor: Mas de 150 comandos para extraer evidencia forense

ETAPA 2: EVALUACION

Servidor

Santa Cruz

ServidorServidorServidor

Cochabamba

Servidor

ENTEL/ Comteco / COTAS, etc

Conocimiento previo SU3, escaneo de red y/o interrogatorioEscena: Cerrada, mixta y abiertaPrincipio de e-locardPrincipio de e locard


ETAPA 3: FIJACION

Facilitar la reconstrucción de la escena del hechoIdentificar fuentes de evidenciaSU3, Escaneo, filmación, fotografía,

i

III

croquisCaracterización por seriales impresos I Iseriales impresos I

II

IV

SEÑALECTICA


www.themegallery.com

ETAPA 4: RASTREO

RASTREO LOGICO

No recomendable en originalSobre Imagen (1Gb g (– 1Minuto)Fin: contención del delito mayor

Caso FARC Colombia (InformeColombia (Informe Interpol)

EL CALIBRE DE LAS HERRAMIENTAS

ETAPA 5: RECONOCIMIENTO DE OBJETIVO O MEDIOO MEDIO

Repositorios en red: PC, impresoras, servidoresR it i I t t C t d ilRepositorios en Internet: Cuentas de email, servidores hackeadosPC Z bi A till í tPC Zombis: Artillería remotaManiobras de distracción: Confundir al enemigoE f ió d l t l í d dEn función de la topología y esquema de red

Servidores de seguridad, de base de datos, de aplicaciones de correoaplicaciones, de correo

ETAPA 6: HIPOTESIS CRIMINAL

La estrategia del TERO

Importancia de la hipótesisLa informática forense es una ciencia

Demostrable y repetibleUso de métodos de investigación científicaLa hipótesis del hecho

Concepto: es el establecimiento de un vínculo entre los hechos que el investigador va aclarando en la medida en que pueda generar explicacionesinvestigador va aclarando en la medida en que pueda generar explicaciones lógicas del porqué se produce este vínculo.Formulación: Las hipótesis son el punto de enlace entre la teoría y la observación. Su importancia en que dan rumbo a la investigación l sugerir los pasos y procedimientos que deben darse en la búsqueda del conocimientopasos y procedimientos que deben darse en la búsqueda del conocimiento.

Su importanciaElaborar el objetivo, o conjunto de objetivos que desea alcanzar en el desarrollode la investigaciónSeleccionar el tipo de diseño de investigación factible con el problema planteado.Seleccionar el método, los instrumentos y las técnicas de investigación acordes con el problema que se desea resolver, ySeleccionar los recursos tanto humanos como materiales que se emplearánSeleccionar los recursos, tanto humanos como materiales, que se emplearán para llevar a feliz término la investigación planteada.


Formular la hipótesis

Identificar el ProblemaFormular la hipotesisFormular la hipotesis

Positiva / Negativa

Sugerir medios probatoriosg pResponder: que, como, cuando, donde, quien, por que y como?Ej lEjemplo

P: Falta dinero en la CA del Sr. Pepe CortizonaH:

• Le robaron, sin su conocimiento• fue auto robo o dejo que el hecho se de

Evidencias en las posibles escenas del hechoEvidencias en las posibles escenas del hecho


Tipos de investigación científica: ClasificaciónClasificación

TIPOS DE INVESTIGACIÓNTIPOS DE INVESTIGACIÓNHistóricaHistórica Analiza eventos del pasado y busca relacionarlos con otros del Analiza eventos del pasado y busca relacionarlos con otros del p yp y

presentepresenteDocumentalDocumental Analiza información escrita sobre el Tema Objeto de EstudioAnaliza información escrita sobre el Tema Objeto de Estudio

DescriptivaDescriptiva Reseña rasgos, cualidades o atributos de la Población Objeto Reseña rasgos, cualidades o atributos de la Población Objeto pp g jg jde Estudiode Estudio

CorrelacionalCorrelacional Mide el grado de relación entre las variables de la Población Mide el grado de relación entre las variables de la Población estudiadaestudiada

E li tiE li ti D d l é d l f óD d l é d l f óExplicativaExplicativa Da razones del porqué de los fenómenosDa razones del porqué de los fenómenos

Estudio de CasosEstudio de Casos Analiza una unidad específica de un Universo PoblacionalAnaliza una unidad específica de un Universo Poblacional

SeccionalSeccional Recoge información del Objeto de Estudio en oportunidad únicaRecoge información del Objeto de Estudio en oportunidad única

LongitudinalLongitudinal Compara datos obtenidos en diferentes oportunidades o Compara datos obtenidos en diferentes oportunidades o momentos de una misma población con el propósito de evaluar momentos de una misma población con el propósito de evaluar los cambioslos cambios

f ó óf ó óExperimentalExperimental Analiza el efecto producido por la acción o manipulación de una Analiza el efecto producido por la acción o manipulación de una o más variables independientes sobre una o varias o más variables independientes sobre una o varias dependientesdependientes

ETAPA 7: COLECTA O EMBALAGE

Anti –tODO

AntiestaticaA ti tiAntimagneticaAnti humedadAnti fuego – IgnifugaAnti robo


EMBALAGE LOGICO

Uso de medios no regrabables: DVD, CDsg ,Etiquetados y hasheados (MD5, SHA1)

Función HashFunción Hash

Preservaciónwww.yanapti.com

dd herramienta *nix, por línea de comandoC i bi biCopia bit a bit, un medio a otro

dd if i f d tidd if=origen of=destino dd if=/dev/hda of=/mnt/hdd1/Imagen imgof=/mnt/hdd1/Imagen.img

Interfaz Gráfica

ETAPA 8: CADENA DE CUSTODIO

Garantizar la invariabilidad de la evidencia.Bóvedas o jaulas FARADAY – Anticipo de Prueba

CONCLUSION

ESCENA DEL HECHOESCENA DEL HECHO

ETAPA 1

TRATAMIENTO

ETAPA 1PROTECCION

ETAPA 2ETAPA 8C d dETAPA 2

Evaluacion ETAPA n…

Cadena deCustodio


BÚSQUEDA EN CEMENTERIOS TECNOLÓGICOS

MORGUE DIGITAL

MORGUE DIGITAL

CLONACION DE CADAVER

EDICION HEXADECIMAL

FRAGMENTACION DEL DISCO

Documents

Escena Del Hecho