Upload
adrian-anguisaca
View
22
Download
0
Embed Size (px)
DESCRIPTION
sin descripsion
Citation preview
Taller de Auditoria Forense
Adrin Anguisaca
Luego de revisar la lectura indicada, por favor, desarrolle las siguientes
consultas.
1. Qu es un siniestro informtico?
Segn Miguel Antonio Cano C: El siniestro informtico implica actividades criminales
como robos, hurtos, falsificaciones, estafa, sabotaje, etc. Sin embargo, el uso de las
tcnicas informticas ha creado nuevas posibilidades del uso indebido de
computadoras lo que ha propiciado la necesidad de regulacin por parte del derecho.
2. Qu aspectos de la informacin viola un siniestro informtico?
La informacin puede ser robada, falsificada, estafa, sabotaje, afectando los activos de
la organizacin.
3. Identifique al menos 3 tipos de siniestros informticos y describa
en breve cada uno de ellos.
Bomba ilcita o cronolgica: Exige conocimientos especializados ya que
requiere programar la destruccin o modificacin de datos en el futuro. Su
activacin puede programarse para que cause el mximo de dao y para que
tenga lugar mucho tiempo despus de que se haya marchado el delincuente.
Piratas informticos o hackers: El acceso se efecta a menudo desde un lugar
exterior, recurriendo a uno de los diversos medios como son: Aprovechar la
falta de rigor de las medidas de seguridad para obtener acceso o puede
descubrir deficiencias en las medidas vigentes de seguridad o en los
procedimientos del sistema.
Robo de informacin: En principio, todos los computadores contienen alguna
informacin de inters para alguien. Por consiguiente, uno de los ataques ms
comunes est dirigido a extraer informacin confidencial de un sistema.
Destruccin de informacin: Existen mtodos indirectos que permiten
explorar los contenidos del disco duro. El cual alberga informacin que puede
ser importante para nosotros o nuestras organizaciones. Por estas razones es
muy importante que ninguna persona sea capaz de modificar ni mucho menos
destruir esta informacin.
4. Qu es y cul es la importancia de la Auditora Forense?
El trmino forense no se refiere a necropsia o autopsia. Es un trmino de origen
Greco-latino, que en la antigedad se utilizaba para denominar a un foro o forum la
reunin de notables o el conjunto de personalidades que discutan un tema ante el
pueblo y en muchos de los casos en estos forums tambin se aplicaba la ley con
ejecuciones publicas ejemplarizantes de los reos que haban sido previamente
juzgados y condenados. En nuestro mundo moderno la palabra forense se aplica para
determinar todo lo concerniente al derecho y la ley. O dicho de una manera mas
formal: Es una ciencia que permite descubrir, divulgar informacin financiera,
contable, legal, administrativa e impositiva, sobre fraudes y delitos perpetrados en el
desarrollo de las funciones pblicas y privadas
La auditoria forense surge como alternativa para combatir la corrupcin y
particularmente para atacar uno de los elementos que ms la favorecen: La
impunidad.
5. Cul es la principal forma de cumplir los objetivos que tiene la
auditora forense?
Los objetivos que tiene la auditoria forense pueden ser logrados de varias formas,
entre ellas, la principal es la recoleccin de evidencia
6. Complete: La Auditoria Informtica Forense puede definirse, como
la ciencia que
Se encarga de analizar sistemas informticos en busca de evidencia que colabore a
llevar adelante una causa judicial o una negociacin extrajudicial.
7. Describa brevemente las etapas de la metodologa de la auditora
forense
1. Definicin y reconocimiento del problema
En esta fase se determina si hay suficientes motivos o indicios, para investigar los
sntomas de un posible fraude. Se debe observar que un indicio no es una prueba,
ni siquiera representa una evidencia de que un fraude existe.
Antes de comenzar una investigacin formal, se debe obtener la aprobacin del
directorio de la organizacin ya que una auditoria de fraude es sumamente
complicada, controvertida, extenuante y puede ser perjudicial para miembros de
dicha organizacin
Despus del reconocimiento del problema, comenzamos a buscar las evidencias
relacionadas al fraude, siniestro o ataque, estas evidencias deben ser suficientes
para que garanticen el xito de la investigacin. Esta bsqueda se realiza
mediante diferentes tcnicas como: Indagacin, Observacin, Inspeccin, entre
otras.
2. Recopilacin de evidencias de fraude Un concepto importante que debemos definir es la evidencia computacional. La
evidencia computacional es nica, cuando se la compara con otras formas de
evidencia documental. Por ejemplo a diferencia de la documentacin en papel,
la evidencia computacional es frgil y un documento almacenado en un archivo es
idntica al original. Otro aspecto, es el potencial de realizar copias no autorizadas
de archivos, sin dejar rastro de que se realiz una copia. Esta situacin crea
problemas concernientes a la investigacin del robo de informacin digital
Otro concepto importante es la evidencia digital la misma que se trata de un tipo
de evidencia fsica. Esta construida de campos magnticos y pulsos electrnicos
que pueden ser recolectados y analizados con herramientas y tcnicas especiales.
Algunos ejemplos de evidencia digital suelen ser: Email, Images, chats, etc.
Por otro lado, Las evidencias escritaslas podemos clasificar en: Evidencia
demostrativa: Reconstruye la escena o incidente en cuestin y Evidencia de
documentacin: Documentos escritos que constituyen una evidencia
3. Evaluacin de las evidencias recolectadas o anlisis
Esta fase sirve para determinar si son suficientes y validas las evidencias
recolectadas como para comenzar a reportar eficazmente el fraude. La evidencia
deber ser evaluada para determinar si es completa y precisa, si es necesario seguir
recolectando mas evidencias
4. Elaboracin del informe final con los hallazgos
La fase final de la investigacin del fraude es presentar los resultados. Esto supone
un reto, ya que el informe de fraude normalmente es la evidencia primaria
disponible y en algunos casos nica sustentatoria de la investigacin realizada
5. Presentacin en la corte de la evidencia relacionada
El informe junto con toda la documentacin pertinente debe ser presentado ante
la Corte en el juicio establecido para el suceso respectivo.
8. Investigue: el autor Jeimy Cano clasifica la evidencia digital que
contiene texto en 3 categoras. Describa cada una y mencione al
menos dos ejemplos de cada categora.
Registros generados por computador: Estos registros son aquellos, que como
dice su nombre, son generados como efecto de la programacin de un computador.
o Almacenamiento de claves de ingreso al computador
o Actualizaciones del computador
Registros no generados en computadores pero almacenados en stos: Estos registros
son aquellos generados por una persona, y que son almacenados en el computador.
o Un documento realizado con un procesador de palabras.
o Una imagen alterada en algn programa de edicin de imgenes
Registros hbridos: Incluyen los generados por computador y almacenados en los
mismos. Los registros hbridos son aquellos que combinan afirmaciones humanas y
logs.
o Un script generado por una persona para que ejecute algn comando al
ingresar al sistema
o Un trigger generado para comprobar actualizaciones en una base de datos
9. En la etapa Recopilacin de evidencias de Fraude, Cul es la
norma recomendada para recolectar y archivar evidencia? Y
describa brevemente de que se trata.
La Norma es: Guidelines for Evidence Collection and Archiving
Es una gua de alto nivel para recolectar y archivar datos relacionados con
instrucciones. Muestra las mejores prcticas para determinar la volatilidad de los
datos, decidir que recolectar, desarrollar la recoleccin y determinar como
almacenar y documentar los datos. Tambin explica algunos conceptos relacionados a
la parte legal.
10.En la etapa Presentacin en la corte de la evidencia relacionada.
A qu se refiere con que la evidencia original debe mantenerse
de forma precintada?
Se refiere a que un examen forense no borra ni altera ningn dato en la evidencia
original, preservando los mismos de forma precintada, e independientemente de
quin lleve a cabo el examen, con qu herramientas y metodologas, debe siempre
llevar a los mismos resultados.
11.Referente al principio Locard, explique la analoga que presenta
en su versin segn Wikipedia y segn este docume nto.
Versin documento: Principio de Intercambio o transferencia de Locard, se usa
continuamente para relacionar un criminal con el crimen que ha cometido. Este
principio fundamentalmente viene a decir que cualquiera o cualquier objeto que entra
en la escena del crimen deja un rastro en la escena o en la vctima y viceversa.
Versin WikiPedia: Principio de Intercambio o transferencia de Locard, se suele
expresar as: "siempre que dos objetos entran en contacto transfieren parte del
material que incorporan al otro objeto"
Analoga: Los dos objetos (en este caso crimen y criminal) siempre estn relacionados,
donde el criminal, en la escena del crimen, siempre deja un rastro sobre la escena o en
la victima y viceversa
12.Por qu son importantes las herramientas en la Auditora
forense?
Las herramientas que se utilizan en la Auditoria Forense son de vital importancia en la
reestructuracin de la informacin recopilada de acuerdo al siniestro y/o fraude
suscitado.
13.Identifique las herramientas de auditora forense y describa al
menos 3 de cada una.( si no las encuentra en la lectura, por favor
investigue en internet. A excepcin de las Herramientas de
Marcado de documentos)
Herramientas de HW
o Un equipo portable F.R.E.D.D.I.E computador portable diseado para
la recuperacin de datos.
o Conjunto portable de duplicacin de discos, para duplicar discos duros.
o Soporte inalmbrico para todos los dispositivos del kit: es un requisito
importante, ya que estudia minuciosamente cada componente para
comprobar que dispona de soporte inalmbrico, (bluetooth, infrarrojos o
WiFi).
Herramientas de SW
o Software comercial, como Safeback, Norton Utilities y Forensic Toolkit
o Software Open Source, como:
TCT (The Coroners Toolkit): Suite de herramientas de Auditoria
Forense
TSK / Autopsy (The Sleuth Kit): Herramientas basadas en TCT
Foremost: Recuperacin de archivos segn sus cabeceras y pies.
o Software creado por la propia empresa
Herramientas para el monitoreo y control de computadores: Para tener informacin
sobre el usos de los computadores.
o Keylogger: para control de pulsaciones del teclado
o PRTG: para el monitoreo de redes
o Sybase: Para control de accesos a computadores
14.Investigue normas y estndares que existen para la auditora
informtica forense. Cita al menos 2 de ellos.
Declaracin Estndar de Auditoria No. 53 (SAS 53/1988) Responsabilidad
del auditor por detectar y reportar errores e irregularidades, es el primer
estndar profesional de auditora que identifica factores especficos de riesgo
que deben ser consideradospor el auditor cuando valora el potencial del
fraude administrativo.
SAS No. 82 de 1.997 -Consideracin del Fraude en una Auditoria -que
considera veinticinco factores de riesgo divididos en tres categoras:
caracterstica de la administracin e influencia sobre el ambiente de
control, condiciones de la industria y caractersticas de operacin y
estabilidad financiera
15.Describa uno de los delitos informticos que ms le interes, y
explique qu impacto gener en la sociedad y que siniestro
informtico aplic.
Tim Lloyd programador jefe de Omega (empresa proveedora de la NASA y de la
armada estadounidense) es despedido tras 11 aos en la compaa pero 10 das
despus de su despido, exploto una bomba lgica que destruye los programas y la
informacin de los empleados en el departamento de produccin, provocando ms de
10 millones de dlares en prdidas.
Como si de una pelcula se tratara, el agente especial Hoffman, de los Servicios
Secretos americanos, comienza una investigacin forense que durara 4 aos y que
acabara con Tim en la crcel, gracias sobre todo a la colaboracin de la empresa
Ontrack Data International Inc.
Lo ms interesante de este delito informtico es la simplicidad del ataque el cual fue
realizado mediante un programa que contaba tan solo con seis lneas de cdigo, un
programa muy simple pero que causo un gran impacto en la sociedad con perdidas
millonarias.