1º FORO DE DERECHO I FORMATICO INFORMATICA FORENSE : Medios de Prueba Informática Concarán, 25 de Febrero de 2010 Ing. Gustavo Daniel Presman MCP, EnCE, CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE gustavo@presman.com.ar www.presman.com.ar 1
Los medios de prueba Informática se basan en la utilización de evidencia digital sobre la que aplicamos técnicas de Informática Forense 2
Que es La Informática Forense? : Presentación del tema La penetración de la tecnología informática en todos los espacios cotidianos y el extenso uso de las computadoras facilita que gran cantidad de información que manipulamos se encuentre almacenada en computadoras y medios magnéticos. Muchas conductas delictivas se realizan empleando una computadora, Sistema informático ó de Transmisión de la Información Más allá de la tipificación del delito como DELITO INFORMATICO (Ley 26388 )existen delitos tradicionales donde utiliza la TI como medio. 3
Evidencia informática = Evidencia Digital = Evidencia Electrónica La penetración de la tecnología informática en todos los espacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada medios electrónicos Discos rígidos en computadoras Palms / PDA Teléfonos celulares Cámaras digitales Faxes... 4
Que es la Informática Forense? Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático * Adaptada de : http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm 5
Para el resguardo y el análisis hay que tener presente la Informacion disponible bajo el iceberg de los datos (artefactos, metadatos...) Datos Obtenidos con herramientas comunes (p/ej Windows Explorer) Datos adicionales obtenidos con herramientas forenses (Borrados, Renombrados, Ocultos, Dificiles de obtener ) 6
Fuentes de Metadatos El proceso de almacenamiento y borrado El acceso a Internet La ejecucion de impresiones El sistema operativo de la computadora 7
Borrado de archivos / Información residual 8
La Navegacion en internet Historial Cache Cookies 9
Las impresiones 10
El Sistema Operativo : Ejemplo de Movimiento bancario hallado en el archivo de Intercambio de Windows 11
Que cosas podemos obtener del analisis forense de la evidencia? Con los datos visibles : Documentos Correos electronicos Fotos digitales Listados y logs 12
Que cosas podemos obtener del analisis forense de la evidencia? Con los Metadatos : Usuarios del sistema y sus claves Actividad en el sistema operativo Lineas de tiempo Actividad en Internet Ubicacion geografica de una computadora Webmail Impresiones realizadas Medios removibles conectados Fotos digitales y su relacion con camaras 13
Tipos de Investigación Forense Informática Tradicional (con resguardo) En vivo (sin resguardo) e-discovery 14
Para el resguardo hay que tener presente las características de la evidencia informatica que la diferencian de la evidencia tradicional La volatilidad La capacidad de duplicación La facilidad de alterarla La cantidad de Metadatos que posee 15
EL ARCHIVO DE EVIDENCIA Al resguardar un medio magnético se puede: 1) Aportar el disco original 2) Hacer una copia ó imágen Forense 3) Hacer un clonado Forense 16
ARCHIVO DE EVIDENCIA* Copia bit a bit del contenido total disco, esto incluye : Metadatos del sistema operativo Espacio utilizado y no utilizado * Fuente : NIST : National Institute of standards and technology -http://www.cftt.nist.gov/ 17
AUTENTICACION DE EVIDENCIA POR MEDIO DE U ALGORITMO DE HASH DEL CO TE IDO TOTAL DE LA EVIDE CIA 5b748e186f622c1bdd6ea9843d1609c1 ALGORITMOS DE HASH UTILIZADOS E I FORMATICA FORE SE MD5 (128 bits) SHA-1(160 bits) 18
Modalidades de Investigación Forense Informática Tradicional (con resguardo) En vivo o Tiempo Real (sin resguardo) e-discovery (collection) 19
Que es el e-discovery? 20
PROXIMOS DESAFIOS : Análisis Forense en la nube Cloud Computing Forensics 21
Muchas Gracias por su participacion Ing. Gustavo Daniel Presman MCP, EnCE, CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE gustavo@presman.com.ar www.presman.com.ar 22