6 Rs

INFORMATICA FORENSE
Ing. Guido Rosales Uriona
1
METODO DE ANALISIS FORENSE
Ing. Guido Rosales Uriona
LABORATORIO FORENSE
R1 - RECONOCIMIENTO
ƒ Reconocimiento Estratégico
ƒ Impacto FINOL (Financiero
(Financiero, Imagen,
Imagen Normativo
Normativo,
Operativo y Legal)
ƒ Análisis interno de:
ƒ Políticas de seguridad, Matriz de Cumplimiento,
Auditorias y Control Interno, BIA, etc.
ƒ Reacción hormonal Vs. Reacción Neuronal
ƒ La Pataleta gerencial
ƒ El Proyecto Forense
ƒ La formalidad del juramento
ƒ Los
L puntos
t de
d P
Pericia:
i i Fi
Fiabilidad
bilid d e iintegridad
t id d
ƒ La hipótesis del caso
R2 - REQUISITOS
ƒ
La Evidencia digital:
ƒ Ti
Tiene un autor claramente
l
id
identificado,
ifi d
ƒ Cuenta con una fecha y hora de
creación o alteración.
ƒ Cuenta con elementos q
que p
permiten
validar su autenticidad.
ƒ Puede ser verificados en su fiabilidad de
producción o generación
ƒ
PENTAVALORES
ƒ Buenos Backups y Criptografía
implementada (PKI)
ƒ
Antiforense
ƒ Metadatos
ƒ Edición Hexadecimal
R3 - RECOLECCION
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Levantar toda evidencia e indicios, siendo preferible pecar por exceso que
por defecto.
Manejarla sólo lo estrictamente necesario, a fin de no alterarla o
contaminarla.
Evitar contaminarla con los instrumentos que se utilizan para su
levantamiento los cuales deberán purificados meticulosamente antes y
levantamiento,
después de su uso.
Levantarla por separado, evitando mezclarla.
Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla
con funciones hash
Embalarla individualmente, procurando que se mantenga la integridad de su
naturaleza.
Anti forense
ƒ Criptografía
ƒ Fragmentación del disco
ENCRIPTACION EN MSWORD
Análisis
™Búsqueda de
i f
información
ió
™Análisis de datos,
t bl
tablas
d
de partición
ti ió
™Tipos de archivo,
directorios
™Fechas de creación
modificación
™Archivos borrados,
areas con errores en
el disco, etc.
www.yanapti.com
Análisis
™Búsqueda de información
™Análisis de fechas de creación y
modificación
™Recuperación
ó de archivos, etc.
™ForemostÆ Recuperación de archivos
b
basados
d
en sus cabeceras:
b
d
doc, mp3,
3
etc…
www.yanapti.com
Herramientas adicionales
™Información del sistema
www.yanapti.com
Herramientas adicionales
™File Recovery Æ Freeware
www.yanapti.com
Herramientas adicionales
™Extracción de datos
™Messenger Password
www.yanapti.com
Herramientas adicionales
™Extracción de datos
™Mail Password Viewer
www.yanapti.com
Herramientas adicionales
™Extracción de datos
™Visor de datos protegidos
www.yanapti.com
Herramientas adicionales
™Extracción de datos
™Visor de historial de navegación
www.yanapti.com
RECOLECCION DE URL VISITADAS
RECOLECCION AUTOMATIZADA
NORMAS RELACIONADAS
ƒ Administración de
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Usuarios
U
i
IPS
Vacaciones o ausencias
D&M
Cambios
Producción
Correo,
Internet
ƒ File de funcionarios y usuarios
R4 - RECUPERACION
ƒ De datos
ƒ E
En medios
di actuales
t l
ƒ En medios obsoletos
ƒ Valor probatorio
ƒ Basureros físicos y lógicos
ƒ Indicios
METODOS ANTIFORENSES
NIVELES DE BORRADO SEGURO
ƒ Grado 1. Super Fast Zero Write:
ƒ Grad 2. Fast Zero Write:
ƒ …
ƒ Grado 12. North Atlantic Treaty
O
Organization
i ti - NATO St
Standard
d d
ƒ Grado 13. Peter Gutmann Secure
Deletion:
ƒ Grado 14. US Department of Defense
(DoD 5220
5220.22-M)
22 M) + Gutmann Method:
BORRADO SEGURO HD 4G
Pasadas
Tiempo
(Minutos)
Quick Erase
1
7
DoD Short
3
16
DoD 5220.22-M
7
29
RCMP TSSIT OPS-II
8
30
4-8
4
8
11
Quick Erase
1
6
Gutman Wipe
35
109
Método
PRNG Streaw
R5: RECONSTRUCCION
PLANIFICACION
OBJETIVO
RECOLECCION
ATAQUE
PROCESAMIENTO
ANÁLISIS Y
PRODUCCIÓN
FASES DE UN ATAQUE
R5 - RECONSTRUCCION
ƒ En la mente del atacante
ƒ ITER CRIMINIS
ƒ a.- Interna (Ideación)
(
)
• Deliberación
• Resolución o determinación
ƒ b.b Intermedia Proposición a delinquir
• Resolución manifestada
ƒ c.- Externa ((Actos p
preparatorios)
p
)
• Actos de ejecución
ƒ MODUS OPERANDI
R 5: RECONSTRUCCION
La estrategia del TERO
R6 - RESULTADOS
ƒ DICTAMEN PERICIAL
ƒ En función de los p
puntos p
periciales
ƒ Introducción: comprende la designación oficial por parte del Fiscal o
Juez acompañando en anexo el acta de juramento.
ƒ Puntos de Pericia (Objetivos): Aquellos definidos por la instancia
legal correspondiente. Generalmente están expresados en el acta de
posesión o juramento de ley.
ƒ Dictamen (Conclusiones): Conclusiones en función de los puntos de
pericia definidos.
ƒ Detalle de la Pericia: Informe técnico en extenso y abundante detalle
donde se explique todos los pasos seguidos
R6 - RESULTADOS
ƒ JUICIO ORAL
ƒ Lectura en extenso
ƒ Medios apropiados: audiovisuales, reconstrucción tridimensional,
gráficos, etc.
ƒ Interrogatorio y Contrainterrogatorio
ƒ Abogados y Consultores Técnicos
ƒ Debido entrenamiento
CONCLUSION
FASE 1: INFOFOR
18 y 19 de Septiembre
Ilustre Colegio de Abogados
De 15:00 a 22:00
Calle Yanacocha #630
Edificio ICALP
Invitado Especial: Ing. Gustavo Presman
FASE 2: FCA
ƒ CERTIFICACION NACIONAL
ƒ 10 semanas – 60 horas
PROGRAMA DE CERTIFICACION
www.yanapti.com
CONTENIDO DEL PROGRAMA
1.-Derecho Informático
G1
2.- Criminalística
3.- Escena electrónica del Hecho
4.- Dispositivos
p
Electronicos
6.-Gestion de
Riesgos
5.-Sistemas
Operativos
7.Seguridad de la
Informacion
G2
8.Auditoria
Forense
9.- Informe Pericial
G3
10.- Practica Forense – Defensa de Peritaje
FASE 3: CERTIFICACION EnCE
• CERTIFICACION
INTERNACIONAL
• 10 semanas – 60
horas
FASE 4: LABO INFOFOR
SU EMPRESA O PERSONA ESTA INVITADA A
PARTICIPAR EN ESTE PROYECTO
Email: [email protected]
Dirección:
Di
ió A
Av. A
Arce N 2105
2105, Edifi
Edificio
i V
Venus 5
5a
Teléfonos: 2152273 / 2440985
www.yanapti.com