PROTOCOLO FORENSE EN PRUEBAS ELECTRÓNICAS

Transcripción

1 Unidad Orgánica Policía Judicial Pontevedra EQUIPO DE INVESTIGACIÓN TECNOLÓGICA PROTOCOLO FORENSE EN PRUEBAS ELECTRÓNICAS

2 VENTAJAS vs INCONVENIENTES Evidencia Digital VENTAJA: Posibilidad de reproducir las evidencias de forma íntegra y todas las veces que sea necesario. INCONVENIENTES: Personal correctamente formado. Facilidad para invalidar evidencias: - Mala praxis en la manipulación de originales. - Manipulaciones o lugares de depósito en malas condiciones.

3 Unidad Orgánica Policía Judicial Pontevedra EQUIPO DE INVESTIGACIÓN TECNOLÓGICA OBTENCIÓN DE EVIDENCIAS

4 OBTENCIÓN EVIDENCIAS Dónde puedo encontrar datos archivados?

5 Unidad Orgánica Policía Judicial Pontevedra EQUIPO DE INVESTIGACIÓN TECNOLÓGICA CADENA DE CUSTODIA Y VOLCADO FORENSE DE DATOS

6 CADENA DE CUSTODIA LA CUSTODIA ELECTRÓNICA Proceso que procura "guardar con cuidado y vigilancia" los documentos electrónicos, como define el diccionario de la lengua española el término "custodiar". Está unida a la preservación digital y al uso de la firma electrónica avanzada (HASH) por la necesidad de dar validez a largo plazo a los documentos electrónicos.

7 CADENA DE CUSTODIA LOS OBJETIVOS - Garantizar su integridad, que impida cualquier cambio sobre el original. - Garantizar su autenticidad, permitiendo contrastar su origen y ofrecer certeza sobre su autoría. - Garantizar la posibilidad de localización, facilitando las búsquedas y sin depender de relaciones externas entre la referencia y el contenido. - Garantizar el control de acceso. - Garantizar la trazabilidad de los accesos y del ciclo de vida. - Garantizar su preservación a largo plazo.

8 CADENA DE CUSTODIA ETAPAS DE LA CADENA DE CUSTODIA Resoluciones y actos previos. Hallazgo y custodia del escenario (Aislar la escena) Inspección preliminar y búsqueda de indicios de interés. Fijación de la evidencia (ubicación, fotografía / video, actas, reseñas). Recolección de los indicios (con garantías de NO alteración) Embalaje de la evidencia (precintos y bolsas). Transporte y entrega al Juzgado competente. Análisis pericial (Informe Técnico-Policial). Final Procedimiento: Devolución o destrucción.

9 IDENTIDAD - INTEGRIDAD (HASH) Un resumen digital o hash forense es un proceso que utiliza una función matemática de un único sentido y la aplica a todos los bits contenidos en un dispositivo o un archivo. El valor hash de resultado es un identificador único del dispositivo que se adquiere o del archivo (similar a una secuencia de ADN o una huella digital de los datos). Un resumen digital está caracterizado por tres parámetros: -El algoritmo criptográfico utilizado: MD5, SHA1, SHA256, etc. -La cantidad de bytes procesados: El tamaño total del dispositivo o archivo. -El resultado con una longitud constante: 128 bits (32 caracteres hexadecimales en MD5), 160 bits (40 caracteres en SHA1), 256 bits (64 caracteres en SHA256), etc. Ejemplo: Un resumen digital SHA1 de un disco de 80 GB. FEA23101BF947E67D37CA059A7039C900272E3A2 para bytes.

10 UTILIDAD DE LOS HASH Un resumen digital o hash forense permite identificar unívocamente el contenido de un archivo o de un dispositivo. -Con independencia del nombre y su ubicación, se utiliza para comparar distintos archivos. -Para esta comparación no se precisa interpretar el contenido del archivo (ver la imagen, el video o examinar un determinado documento). -Permite detectar si un archivo o dispositivo ha sido o no modificado, aunque no nos dirá en cuanto. La modificación de un único bit daría distintos valores hash.

11 UN POCO DE REALIDAD

12 UN POCO DE REALIDAD

13 UN POCO DE REALIDAD

14 CÓMO REALIZAR UN CLONADO FORENSE? REQUISITOS: AUTORIZACIÓN JUDICIAL ACTA SECRETARIO JUDICIAL FINALIDAD: OBTENCIÓN DE UNA COPIA EXACTA DEL ORIGINAL CONDICIONES: - Sin modificar, añadir o borrar archivos. - Sin arrancar el sistema operativo.

15 CÓMO REALIZAR UN CLONADO FORENSE? 1. FIRMA DIGITAL: DEL DISCO DURO ORIGINAL 2. COPIA BIT A BIT ORIGEN: DESTINO: DISCO DURO FICHERO IMAGEN OTRO DISCO DURO 3. FIRMA DIGITAL: DEL DISCO DESTINO ó DE LA IMAGEN DESTINO 4. CONTRASTE DE LAS FIRMAS DIGITALES (INTEGRIDAD COMPROBADA) 5. SE UTILIZA SIEMPRE UNA COPIA DEL ORIGINAL PARA MANIPULAR O REALIZAR ANALISIS Y POSTERIOR INFORME NUNCA EL ORIGINAL

16 CÓMO REALIZAR UN CLONADO FORENSE? C L O N A D O * Identidad (FIRMA DIGITAL) * Duplicado (BIT A BIT) * Integridad (FIRMA DIGITAL) - Verificación E S T U D I O * Recuperación de Archivos Borrados * Análisis del Software existente * Exploración y Búsqueda de archivos de interés * Localización y Recogida de Evidencias * Esteganografía y Criptografía

17 CÓMO REALIZAR UN CLONADO FORENSE? EJEMPLO: HD SATA O IDE -> HD SATA O IDE

18 CÓMO REALIZAR UN CLONADO FORENSE? EJEMPLO: HD SATA O IDE -> HD SATA O IDE

19 CÓMO REALIZAR UN CLONADO FORENSE? DISCO DURO DESTINO: La tecnología del disco receptor es indiferente (IDE-SATA). Tamaño del disco receptor > ó = al original Borrado mediante WIPE

20 CÓMO REALIZAR UN CLONADO FORENSE? DISCO DURO DESTINO: ORIGINAL WIPE DESTINO COPIA???????????? EXCESO

21 CÓMO REALIZAR UN CLONADO FORENSE? CARACTERISTICAS COPIA BIT A BIT / SECTOR A SECTOR (CUALQUIER SISTEMA DE FICHEROS Y SISTEMA OPERATIVO) NECESIDAD DE UN DISCO DURO DEL MISMO TAMAÑO O MAYOR (DESPERDICIO DEL ESPACIO SOBRANTE SI EL DISCO ES MAYOR) LOS DOS DISCOS SON IGUALES EN CONTENIDO Y PARTICIONES PERO NO EN TAMAÑO SOLO PODEMOS UTILIZAR EL DISCO DESTINO PARA VOLCAR UN DISCO

22 CÓMO REALIZAR UN CLONADO FORENSE? SOFTWARE: LINUX - SISTEMAS - dd Sintaxis dd if=/dev/hda of=/dev/hdb

23 CÓMO REALIZAR UN CLONADO FORENSE? - SISTEMAS -

24 CÓMO REALIZAR UN CLONADO FORENSE? - SISTEMAS - LINUX dd Sintaxis dd if=/dev/hda of=/dev/hdb hdparm man hdparm

25 CÓMO REALIZAR UN CLONADO FORENSE? - SISTEMAS - HARDWARE - CLONADORA VOOM HARDCOPY II/III UNA ENTRADA - LECTURA UNA SALIDA - ESCRITURA/LECTURA SOPORTA DISCOS IDE Y SATA FUNCIONES AVANZADAS - Cálculo HASH (MD5 o SHA256) disco original y destino - WIPE

26 CÓMO REALIZAR UN CLONADO FORENSE? - SISTEMAS - HARDWARE - CLONADORA VOOM HARDCOPY II/III UNA ENTRADA - LECTURA UNA SALIDA - ESCRITURA/LECTURA SOPORTA DISCOS IDE Y SATA FUNCIONES AVANZADAS - Cálculo HASH (MD5 o SHA256) disco original y destino - WIPE

27 Unidad Orgánica Policía Judicial Pontevedra EQUIPO DE INVESTIGACIÓN TECNOLÓGICA BÚSQUEDA DE EVIDENCIAS

28 BÚSQUEDA DE EVIDENCIAS Principios básicos Principio de Locard Alguien que entra en la escena de un crimen siempre se lleva algo de dicha escena y deja algún rastro tras él en su salida Escena Evidencia Sospechoso Víctima

29 BÚSQUEDA DE EVIDENCIAS Obtención de la evidencia (Características) La evidencia debe ser: Objetivo demostrar Admisible: Obtenida legalmente Relevante: Tener relación completa o parcialmente Valida: Autenticada / Fiable / Creíble Salvaguardar la Cadena de custodia MOM: Medios/Oportunidad/Motivos

30 BÚSQUEDA DE EVIDENCIAS Proceso de obtención ( Por qué?) Objetivo 1: Preservar el estado original à Validez de la prueba Objetivo 2: Documentar todo el proceso à Argumentación de las conclusiones Objetivo 3: Establecer un claro timeline à Averiguar que ha ocurrido

31 BÚSQUEDA DE EVIDENCIAS

32 BÚSQUEDA DE EVIDENCIAS FASES: ENTORNOS ESTÉRILES -Vmware ( -Sin salida a Internet. -Equipo con herramientas de análisis forense.

33 BÚSQUEDA DE EVIDENCIAS

34 BÚSQUEDA DE EVIDENCIAS FASES: SOBRE EL PROPIO EQUIPO -Trabajo sobre el propio S.O. -Salida a Internet controlada.

35 BÚSQUEDA DE EVIDENCIAS

36 BÚSQUEDA DE EVIDENCIAS ENCASE

37 WEB HISTORIAN BÚSQUEDA DE EVIDENCIAS

38 BÚSQUEDA DE EVIDENCIAS F.I.R.E. (FORENSIC and INCIDENT RESPONSE ENVIROMENT)

39 Seminario de informática xudicial, peritaxe técnica e proba electrónica GRACIAS POR SU ATENCIÓN Gonzalo Sotelo Seguín [email protected] Ext.- 258