COMO PRESERVAR LA EVIDENCIA DIGITAL EN UN INCIDENTE INFORMATICO

Transcripción

1 COMO PRESERVAR LA EVIDENCIA DIGITAL EN UN INCIDENTE INFORMATICO Ing. Gustavo D.

2 Agenda Aspectos básicos de la evidencia digital Aspectos Legales Aspectos Técnicos y Procedimentales Conclusiones

3 Que hacer frente al incidente? Judicializar o no Judicializar?... Esa es la cuestiòn...

4 Que hacer frente al incidente? Mitigar : Restaurar la operatividad Identificar : Como? Cuando? Donde? Preservar Evidencia : Posible Judicialización En que orden? Equipo de Respuesta a Incidentes : Dirección, Sistemas, Auditores, Abogados (I/E)

5 Preservar Evidencia Con planificación previa y procedimientos claros en la recolección de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicialización. Resguardo de la Prueba

6 Que es la Evidencia Digital? EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA... Datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático... (FBI) MEMORIA DE ALMACENAMIENTO MEMORIA RAM TRAFICO DE RED

7 Que diferencia la evidencia informática de la evidencia tradicional? La volatilidad La capacidad de duplicación La facilidad de alterarla LosMetadatos que posee

8 Escenario La Investigación corporativa Investigación Interna Auditoría Externa La vía Judicial Participantes Informáticos (Sistemas, Peritos) Abogados (Internos Vs. Externos )

9 Mejor Escenario: Posible Judicialización Amplitud Probatoria Validez Judicial : Merituada por el Juez según el ámbito (Trabajo- CyC Penal) y existencia de códigos procesales Validez Técnica : Recolección que asegure la inalterabilidad (Fruto del Arbol Envenenado) RECOLECCION EFECTIVA

10 Aspectos básicos de la evidencia digital Antes de Recolectar Evidencia tener presente las siguientes consideraciones: Unicidad de Formato Alterabilidad Interpretación Medio Activo Medio de Destino 10

11 Aspectos básicos de la evidencia digital 1.Unicidad de Formato Algunos documentos electrónicos solo pueden preservarse en su estado digital Archivos Multimedia Bases de Datos Relacionales Documentos simples con sus metadatos

12 Aspectos básicos de la evidencia digital 2. Alterabilidad Todo Archivo digital posee metadatos asociados NO MANIPULE ARCHIVOS QUE PUEDA UTILIZAR COMO EVIDENCIA APERTURA 12

13 Aspectos básicos de la evidencia digital 3. Interpretación Puede ser necesario recolectar : Programas Configuraciones Llaves /Certificados SI PLANIFIQUE LA RECOLECCION DE LA EVIDENCIA

14 Aspectos básicos de la evidencia digital 4. Medio Activo El medio físico que almacena nuestra evidencia puede alterarla NO UTILIZE DE HERRAMIENTAS DEL SISTEMA OPERATIVO COPIA

15 Aspectos básicos de la evidencia digital 5. Medio de Destino Prestar atención a Universalidad: El medio utilizado estará disponible al momento de la prueba? Obsolesencia :El medio utilizado estará accesible al momento de la prueba? Confiabilidad:El medio utilizado es confiable? (HD- Tapes-CD/DVD) SI PREFIERA MEDIOS MAGNETICOS DE ACCESO ALEATORIO FRENTE A LOS OPTICOS O SECUENCIALES

16 Resguardo Digital Vs. Impresiones Documentos impresos Correos Electrónicos impresos Identidad del Material Impreso? Con la evidencia digital... Metadatos de Archivos (Usuarios, Fechas ) Procedencia de mails ( Datos de Tráfico ) Elementos borrados (Documentos, imágenes, mails)

17 Aspectos Legales Recolección de Evidencia mediante acta Notarial Requirente : Apoderado o Titular con derecho Elementos : Propiedad / Inventarios Profesional Informático : Audiencia Testimonial o de peritos Material Resguardado > AUTENTICACION

18 Aspectos Técnicos Clasificación de Evidencia DE ALMACENAMIENTO Evidencia Física Evidencia Lógica MEMORIA RAM TRAFICO DE RED

19 Aspectos Técnicos Adquisición de Evidencia de Almacenamiento EVIDENCIA FISICA ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A BIT DEL MEDIO MAGNETICO AUTENTICACION DE EVIDENCIA POR MEDIO DE UN ALGORITMO DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA HASHES USUALES MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits) 5b748e186f622c1bdd6ea9843d1609c1

20 Aspectos Técnicos Adquisición de Evidencia de Almacenamiento BLOQUEO DE ESCRITURA EVITAR LA ESCRITURA EN EL MEDIO BAJO INVESTIGACION HARDWARE WRITE BLOCKER SOFTWARE WRITE BLOCKER PLATAFORMA DE ADQUISICION CONTROLADA (OS) FREE IMAGING TOOLS dd/dcfldd/adepto FTK Imager Tableau Imager

21 Aspectos Técnicos Adquisición de Evidencia de Almacenamiento EVIDENCIA LOGICA CONTENEDOR DE ARCHIVOS MANTENIENDO LA METADATA INTACTA CON AUTENTICACION INDIVIDUAL

22 Aspectos Técnicos Adquisición de Memoria RAM DATOS VOLATILES EVIDENCIA SIN AUTENTICACION ADQUISICION BASADA EN HARDWARE Sin utilizar el OS, forzando DMA (ejemplos Firewire, BSOD) ADQUISICION BASADA EN SOFTWARE * Sobre el OS (ejemplos dd, Nigilant, F-Response, EnCase) *Tener presente al efectuar el análisis

23 Aspectos Técnicos Adquisición de Tráfico de Red ESCENARIO CAPTURA EVIDENCIA LOGICA ARCHIVO PCAP

24 CONCLUSIONES Trabajar sobre la hipótesis de judicialización Planificar la recolección para que sea EFECTIVA Hacer el Resguardo Notarial Elegir el procedimiento técnico que mejor se ajuste a los recursos disponibles, según el tipo de evidencia a recolectar

25 Muchas Gracias por su participación Ing. Gustavo Daniel Presman Twitter Conocenos en: Seguinos