La necesidad de adopción de un Proceso Unificado de Recuperación de Información: PURI - Una propuesta

Transcripción

1 La necesidad de adopción de un Proceso Unificado de Recuperación de Información: PURI - Una propuesta Ing. Ana Di Iorio Junio 2014 I Congreso Argentino de Informática Forense

2 AGENDA El contexto El proyecto PURI El proceso PURI Proyectos vinculados Reflexiones

3 El contexto

4 Introducción De la Era Industrial a la Era de la Información De la tierra como capital al conocimiento como capital. La información, el conocimiento y la creatividad son la materia prima de la nueva economía. De la producción en serie a los servicios personalizados. De los átomos a los bits De los delitos tradicionales a los delitos de cuello blanco.

5 Introducción - La investigación nace como consecuencia de un hecho. - El actuar técnico-científico realiza el aporte objetivo al hecho investigado. - El método científico es una forma de observar, pensar y resolver problemas de una objetiva y sistemática. - El método científico es un procedimiento de trabajo que permite descubrir las circunstancias en que se presentan hechos concretos y se caracteriza por ser: verificable, de observación objetiva y de razonamiento riguroso.

6 El contexto - El método es el camino por el que nos valemos para alcanzar un fin, y la técnica, es el medio por el cual recorreremos el camino. - Situación de la provincia de Buenos Aires - Múltiples Guías de Actuación y de Buenas Prácticas - Falta de un estándar

7 El contexto Algunas guias de procedimiento existentes: ACPO (Association of Chief Police Officers) England, Wales and North Ireland. Good Practice Guide for Computer- Based Electronic Evidence. Oficial release version. NIJ (National Institute of Justice) Report United States of America, Department of Justice. Forensic Examination of Digital Evidence: A guide for Law Enforcement. Law Enforcement Investigations - Active Army, Army National Guard, and US Army Reserve. FM Chapter 11: Computer Crimes. Metodologías, Estrategias y Herramientas de la Informática Forense aplicables para la dirección nacional de comunicación y criminalistica de la policia Nacional de Ecuador. RFC 3227: Guía Para Recolectar y Archivar Evidencia (Guidelines for Evidence Collection and Archiving) [14], escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea, ingenieros del Network Working Group. Guía de la IOCE (International Organization on Computer Evidence) Guía para las mejores practicas en el examen forense de tecnología digital (Guidelines for the best practices in the forensic examination of digital technology) Guía de Mejores prácticas de la ISFS (Sociedad de Seguridad Informatica y Forense) Hong Kong Guía Para El Manejo De Evidencia En IT - Estándares de Australia. APEC Telecommunications and Information Working Group.

8 Reflexiones y Puntos de Partida Se encuentran entrenados los funcionarios judiciales para hacer frente a estas nuevas modalidades delictivas? Y para guiar la pericia? Cómo asegurar que la actuación que efectuamos como peritos fue la adecuada? Como saber si el tratamiento de la evidencia digital fue el adecuado? El conocimiento y habilidades del perito son los esperados? Están adecuados los códigos de procedimiento para la evidencia digital?

9 El Proyecto PURI

10 Proyecto PURI Objetivo: Construcción de un proceso unificado que sirva de base en la tarea de recuperación de la información digital en equipos de computación. Ante la diversidad de soluciones existentes, surgió la necesidad de un proceso formal unificado que valide la labor del profesional informático forense, que contemple la multiplicidad de dificultades y que permita tener una guía orientadora y rectora frente a cada problemática. El Proceso propuesto consta de FASES, ETAPAS, TAREAS, TÉCNICAS y HERRAMIENTAS disponibles recomendadas.

11 Proyecto PURI El Proyecto tuvo una duración de 24 meses, divididos en cinco etapas: ( /2013) Etapa 1: Diseño de un PURI, relevamiento y estado del arte Estudio de las tareas a llevar a cabo para recuperar información Estudio de las guías de Buenas Prácticas internacionales Etapa 2: Validación del Proceso Unificado propuesto. Validación del Proceso con casos de uso (En Móviles: Android, en Pc: Linux, Mac OSX y Windows) Estudio de Herramientas y Técnicas disponibles para cumplimentar cada una de las tareas propuestas en la etapa 1. Ampliación del PURI con las técnicas y herramientas seleccionadas

12 Proyecto PURI Etapa 3: Propuesta de Nuevas Técnicas. Detección de las fases carentes de técnicas Diseño de nuevas técnicas Propuesta de uso de nuevas técnicas Etapa 4: Propuesta de Nuevas Herramientas Detección de las fases carentes de herramientas Propuesta de desarrollo de nuevas herramientas Desarrollo de Prototipos Etapa 5: Armado del Informe Final y propuesta de continuación

13 Proyectos en curso: PURI en Smartphones y entornos distribuidos - Necesidad de ampliar el proceso a Redes y entornos distribuidos. - Proyecto de Investigación en curso desde Mayo 2013, finalizando la etapa de entornos distribuidos. - Puri en Smartphones: Proyecto conjunto UFASTA UNIANDES para adaptar Puri a Smartphones.

14 El Proceso Unificado de Recuperación de Información

15 Proceso PURI Proceso Unificado Propuesto: Fases: Identificación, Adquisición, Preparación, Análisis y Presentación. Fase de Identificación: Esta fase comprende el descubrimiento del entorno y de la ubicuidad del contexto. Etapas: Reconocimiento y Detección Tareas:.Identificación de Documentos Legales.Identificación de objetos del entorno (Usuarios, Proveedores, Equipos, Artefactos)

16 Proyecto PURI Proceso Unificado Propuesto: Fase de Adquisición: Esta fase comprende toda actividad vinculada con la generación de una réplica exacta de todo el contenido digital alojado en el dispositivo original. Etapas: Adquisición de medio de almacenamiento persistente Adquisición de medio de almacenamiento volátil Adquisición de tarjetas SIM. Adquisición de Tarjetas de Memoria Extraíble Persistente del Dispositivo Adquisición de Memoria ROM interna del Dispositivo Adquisición de Memoria Volatil (RAM) del Dispositivo móvil

17 Proceso PURI Proceso Unificado Propuesto: Fase de Adquisición - Tareas: 1. Bloquear el dispositivo para evitar escrituras indeseadas. Este proceso puede ser por hardware o software. 2. Capturar y resguardar una copia fiel del contenido del dispositivo. Esta copia debe ser a nivel bit con el fin de que sea una réplica exacta de lo original. 3. Comprimir y/o dividir la imágen obtenida. 4. Validar la copia con los datos originales. Usualmente mediante algún algoritmo de hash.

18 Proceso PURI Fase de Preparación: Involucra todos los procedimientos necesarios para generar el entorno de pruebas preciso para llevar a cabo la recuperación de la información. Etapas: - Restauración de la imagen. - Validación de la restauración - Generación de una máquina virtual que tome dicha imágen como su disco principal - Identificación de tipos de sistemas de archivos y sistemas operativos contenidos en los medios de almacenamiento originales.

19 Proceso PURI Fase de Análisis Esta fase comprende el fuerte del trabajo en donde se analiza el contenido adquirido en busca de vestigios de lo que se quiere hallar. La fase de análisis comprende las siguientes etapas: Extracción lógica Extracción física Análisis de relaciones

20 Proceso PURI La extracción lógica contempla las siguientes tareas: Recuperación de archivos eliminados Extracción de información a examinar por tipo de archivo - Clasificar Extracción de metadatos del archivo presentes en el sistema de archivos Extracción de metadatos propios del archivo Extracción de archivos protegidos Extracción de archivos comprimidos Búsqueda de determinado tipo de archivo oculto Búsqueda de información en el área de paginado Búsqueda de Información de Configuración Búsqueda de Información en Procesos en Memoria

21 Proceso PURI La extracción física comprende la búsqueda de la información directamente en el espacio de datos omitiendo todo tipo de estructura de sistema de archivos. Con lo cual se da caso omiso a los metadatos y se aplican diferentes técnicas sobre el contenido puro del dispositivo de almacenamiento. En esta etapa podrían estar incluidas las siguientes tareas: Búsqueda de palabras en disco Extracción de archivos en espacio desalojado no fragmentado Extracción de archivos en espacios desalojados, que puedan estar fragmentados

22 Proceso PURI La etapa de análisis de relaciones trata justamente de identificar relaciones entre conjuntos de archivos. Fase de Presentación: En esta fase el informático forense debe documentar en una secuencia ordenada, y utilizando un método científico la lista de tareas realizadas, a fin de que el trabajo sea trazable, y pueda ser reconstruído llegando a los mismos resultados.

23

24 Proyectos Vinculados

25 Proyectos Vinculados - CIRA: Carving Inteligente para recuperación de archivos - PRIP: Proyecto de Recuperación de Información de Perfil - BIP-M: Proyecto de Recuperación de Información de Procesos en memoria. - PAIF: Protocolo de Actuación en Informática Forense. - FOMO: Software de Forensia en Móviles. - INVESTIGA: Software de análisis de información.

26 Reflexiones

27 Reflexiones Las Nuevas Tecnologías llegaron para quedarse, y el derecho debe repensarse en función a esto. Las tareas de ayuda a la investigación no necesariamente tienen que ver con los denominados delitos informáticos, sino con la recolección de evidencia digital. Los operadores de justicia necesitan un marco que les permita conocer si la metodología utilizada para la obtención de la evidencia digital fue la adecuada. Las tareas forenses en general, y las pericias informáticas en particular, requieren de profesionales con conocimientos certificados, y actualizados permanentemente en nuevas técnicas y herramientas.

28 Reflexiones Es necesario un gran esfuerzo de investigación para abordar estas problemáticas con fuerte compromiso institucional. Es necesario incrementar el dialogo y trabajo conjunto entre profesionales de la informática y del derecho, entendiendo esto como una interdisciplina. La Universidad no puede mantenerse ajena a esta realidad. Tiene una responsabilidad social en torno a estas cuestiones. La Sociedad somos nosotros. Tenemos aquí una invitación a construir una Sociedad mejor, desde la Universidad.

29 Muchas Gracias! Ing. Ana Di Iorio Directora del Grupo de Investigación en Informática Forense Facultad de Ingeniería UFASTA