EVIDENCIA DIGITAL: Casos Reales
1
CURSO PARA LA PROCURACIÓN GENERAL DE LA NACIÓN
DELITOS INFORMÁTICOS CUESTIONES RELACIONADAS CON LA INVESTIGACIÓN Y EL VALOR DE LA PRUEBA
Evidencia digital. Adquisición y
preservación de la prueba informática.
Casos reales
24 / 25 de Junio de 2010
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
www.presman.com.ar
EVIDENCIA DIGITAL: Casos Reales
2
Evidencia informática = Evidencia Digital = Evidencia Electrónica• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada
medios electrónicos
�Discos rígidos en computadoras
�Palms / PDA
�Teléfonos celulares
�Cámaras digitales
�Faxes
� ....
EVIDENCIA DIGITAL: Casos Reales
3
Que diferencia la evidencia informatica de la evidencia
tradicional ?
• La volatilidad
• La capacidad de duplicacion
• La facilidad de alterarla
• La cantidad de Metadatos que posee
EVIDENCIA DIGITAL: Casos Reales
4
El “iceberg” de los datos
DatosDatos ObtenidosObtenidos con con
herramientasherramientas comunescomunes
((p/ejp/ej Windows Explorer)Windows Explorer)
DatosDatos adicionalesadicionales obtenidosobtenidos
con con herramientasherramientas forensesforenses((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, ,
DificilesDificiles de de obtenerobtener……))
EVIDENCIA DIGITAL: Casos Reales
5
Fuentes de Metadatos
• El proceso de almacenamiento y borrado
• El acceso a Internet
• La ejecucion de impresiones
• El sistema operativo de la computadora
EVIDENCIA DIGITAL: Casos Reales
6
Que cosas podemos obtener del analisis forense de la evidencia ?
Con los datos visibles …
• Documentos
• Bases de datos y registros contables
• Correos electronicos
• Fotos digitales
• Archivos y carpetas eliminadas
EVIDENCIA DIGITAL: Casos Reales
7
Que cosas podemos obtener del analisis forense de la evidencia ?
Con los datos invisibles … (metadatos …)
• Usuarios del sistema y sus claves (Quien ?)
• Actividad en el sistema operativo (Que ?)
• Lineas de tiempo (Cuando ?)
• Actividad en Internet (donde ?)
• Ubicacion geografica de una computadora
• Webmail
• Impresiones realizadas
• Medios removibles conectados
• Fotos digitales y su relacion con camaras
EVIDENCIA DIGITAL: Casos Reales
8
Caso I : XX c/YY s/Extorsión en Tentativa
Gerardo Parz , socio de una importanteempresa metalúrgica nacional comienza unaactividad paralela en el mismo rubro y con el objeto de forzar un acuerdo para retirarseconvenientemente de la empresa empieza unacampaña “anónima”de amenazas y desprestigio a sus socios , que incluye la creación de un blog ofensivo contra la empresa y los socios restantes
EVIDENCIA DIGITAL: Casos Reales
9
La empresa denuncia penalmente a Parz y se ordena el secuestrode las computadoras queeste utiliza habitualmente en la empresa y en su domicilio.
Se solicita una pericia Informática tendiente a
determinar si de esas computadoras se publicó
el blog en cuestión
EVIDENCIA DIGITAL: Casos Reales
10
ALTERNATIVAS DE INVESTIGACION
• Obtención de la IP del creador de contenidos
(Pros y contras)
• Busqueda local de contenidos y prueba de creación
EVIDENCIA DIGITAL: Casos Reales
11
HALLAZGOS
• Se encontro desinstalado el programa FTP utilizado para la creación del sitio
• Se recuperó el log borrado del programa FTP que mostró la subida del texto original en fechas compatibles con la investigación.
• Se encontraron fragmentos del texto con el contenido del blog.
• Se encontró que el usuario habia descargado de internet al menos dos defragmentadores adicionales al sistema operativo , que los y se probó que los mismos fueron utilizadosregularmente en fechas posteriores a la subida de contenido al blog
EVIDENCIA DIGITAL: Casos Reales
13
Caso II:PP s /Infracción a la ley 23.737
En el transcurso de una investigación por esta causa se secuestraron 30 PCs , puestas a la venta en un sitio de internet.
Se solicita una pericia informática para intentar establecer la Legitima Titularidad de los equipos
EVIDENCIA DIGITAL: Casos Reales
14
Relevamiento
� Inventario externo�Números de serie / COA
�Memoria RAM
�Características HD (Tamaño , Interfase , serial)
�Inspección Visual�Daño físico (laterales , piezas faltantes)
�Planilla impresa con especificaciones
�Muestreo del contenido de HD
EVIDENCIA DIGITAL: Casos Reales
15
Relevamiento
El muestreo de contenido arrojó indicios que luego se corroboraron en el análisis forense :
�Todas las computadoras fueron reformateadas y reinstaladas con distribuciones Windows Colossus o WinUE
Estas versiones no se encuentran reconocidas ni soportadaspor Microsoft, desarrollador y titular de los derechos sobre lossistemas operativos Windows, siendo las mismas violatoriasde las leyes de propiedad intelectual 11.723 y 25.036.
EVIDENCIA DIGITAL: Casos Reales
16
Donde Buscar ?
ESTRUCTURA DISCO ORIGINAL
ESTRUCTURA DISCO ALTERADO
EVIDENCIA DIGITAL: Casos Reales
17
Que Buscar ?
� Todas las Notebooks presumiblemente tenían antes del hecho ...�Sistema Operativo Original
�Aplicaciones registradas
� Los equipos habrían tenido uso por lo que se buscó :
�Actividad de Email con direcciones registrables
�Conversaciones de Chat
�Documentos generados con datos personales y de configuración (Word Normal.DOT)
EVIDENCIA DIGITAL: Casos Reales
18
RESULTADOS
� 3 Computadoras sin Datos suficientes o concluyentes
� 3 Computadoras de utilización por los imputados
�24 Computadoras con datos personales que permiten ubicar a los titulares :
�Nombres
�Empresas
�Direcciones postales
�Telefonos fijos y Celulares
�Direcciones de Correo electrónico con dominio propio
EVIDENCIA DIGITAL: Casos Reales
20
Muchas Gracias por su participacion
Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA
ESTUDIO DE INFORMATICA FORENSE
www.presman.com.ar