1 / 36

INFORMÁTICA FORENSE

Gendarmería Nacional Argentina. INFORMÁTICA FORENSE. División de Policía Científica Agrupación VII “Salta”. Subalférez Lautaro Martín GIMÉNEZ. TEMARIO. METODOLOGÍA DE LA INSPECCIÓN OCULAR Y SECUESTRO DE ELEMENTOS EN LA ESCENA DEL CRIMEN DIGITAL LA EVIDENCIA DIGITAL

shea
Download Presentation

INFORMÁTICA FORENSE

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Gendarmería Nacional Argentina INFORMÁTICA FORENSE División de Policía Científica Agrupación VII “Salta” Subalférez Lautaro Martín GIMÉNEZ

  2. TEMARIO • METODOLOGÍA DE LA INSPECCIÓN OCULARY SECUESTRO DE ELEMENTOSEN LA ESCENA DEL CRIMEN DIGITAL • LA EVIDENCIA DIGITAL • Verificación, Identificación y Documentación. • ADQUISICIÓN • Certificación de Evidencia Digital mediante Funciones de Hashing (MD5 y SHA1) • Preservación • Cadena de Custodia.

  3. LA ESCENA DEL CRIMEN DIGITAL

  4. PRESERVACIÓN Y DOCUMENTACIÓN DE LA ESCENA DEL CRIMEN DIGITAL • EQUIPO A LLEVAR • GUANTES • ZAPATILLAS SEGURAS PARA CONEXION • FUENTE (110V/220V) • MAQUINAS DE FOTOGRAFIAS • DVD • CD • SWITCH • ADAPTADOR DE SWITCH • CABLES UTP • BOLSAS ANTI-ESTÁTICA • GOMA ESPUMA

  5. PRESERVACIÓN Y DOCUMENTACIÓN DE LA ESCENA DEL CRIMEN DIGITAL • EQUIPO A LLEVAR: • PC O NOTEBOOK con suficientes puertos USB 2.0 y FW 800 • Bloqueador de Escritura (Write Blocker) • Cables de conexión/Adaptadores/Interfaces/ Cajas para removibles/LAN Crossover… • Software Forense (F-SW) • Discos de almacenamiento de destino • SANITIZADOS (WIPEADOS)

  6. PASOS A SEGUIR POR EL EXAMINADOR • VERIFICAR SU PROPIA SEGURIDAD • USAR GUANTES • INVENTARIAR TODO LO ENCONTRADO • LAPTOPS • CELULARES • DISKETTES • MEMORIAS FLASH • BLACKBERRYS • DISCOS RÍGIDOS • PEN DRIVES • PDAs • CAMARAS DIGITALES • REPRODUCTORES DE MP3

  7. PASOS A SEGUIR POR EL EXAMINADOR • INVENTARIAR TODO LO ENCONTRADO

  8. PASOS A SEGUIR POR EL EXAMINADOR • CONSULTAR CONEXIONES • PROVEEDOR DE INTERNET • FOTOGRAFIAR LOS EQUIPOS • FOTOGRAFIAR LAS CONEXIONES DE LOS EQUIPOS

  9. PASOS A SEGUIR POR EL EXAMINADOR • FOTOGRAFIAR LOS EQUIPOS DOCUMENTAR

  10. PASOS A SEGUIR POR EL EXAMINADOR • FOTOGRAFIAR LAS CONEXIONES EXTERNAS, ENTRE LOS EQUIPOS DOCUMENTAR

  11. PASOS A SEGUIR POR EL EXAMINADOR • FOTOGRAFIAR CONEXIONES INTERNAS DOCUMENTAR

  12. PASOS A SEGUIR POR EL EXAMINADOR • FOTOGRAFIAR LAS PANTALLAS DOCUMENTAR

  13. PASOS A SEGUIR POR EL EXAMINADOR • RECORDAR JERARQUÍA DE EVIDENCIA DIGITAL: • DATOS VOLÁTILES • Registros del Procesador • Contenido de Memoria Caché • Contenido de Memoria RAM • Conexiones de Red • Procesos activos • DATOS NO VOLÁTILES • Contenido del Sistema de Archivos y Medios de Almacenamiento Fijos • Contenido Medios de Almacenamiento Removibles VOLÁTIL MENOS VOLÁTIL

  14. INFORMACIÓN VOLÁTIL - OBTENER • HORA Y FECHA DEL SISTEMA • PROCESOS EN EJECUCIÓN • CONEXIONES DE RED • PUERTOS ABIERTOS • APLICACIONES ESCUCHANDO EN SOCKETS ABIERTOS • USUARIOS CONECTADOS (LOGGED ON) • INFORMACIÓN ALMACENADA EN MEMORIA

  15. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • SI ESTAN PRENDIDOS LOS EQUIPOS (Intérprete de comandos cmd): • date /t && time /t • netstat –na • ipconfig /all • systeminfo • doskey /history • psloggedon • pslist

  16. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • FECHA Y HORA CON: • date /t && time /t • Si están habilitadas las extensiones de comandos, el comando DATE admite el parámetro /T, que indica al comando mostrar tan sólo la fecha actual sin pedir una nueva fecha.

  17. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • CONEXIONES DE RED ACTIVAS CON: • netstat -na • Muestra estadísticas del protocolo y conexiones TCP/IP actuales. • -n muestra números de puertos y direcciones en formato numérico • -a muestra todas las conexiones y puertos de escucha.

  18. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • CONFIGURACIÓN DE RED: • ipconfig -all • -all muestra toda la información de la conexión

  19. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • CONFIGURACIÓN DEL SISTEMA: • systeminfo • Permite al administrador buscar información básica de configuración del sistema.

  20. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • HISTÓRICO DE COMANDOS CON: • doskey /history • Edita líneas de comandos, recupera comandos de Windows XP y crea macros.

  21. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • USUARIOS CONECTADOS AL SISTEMA CON: • psloggedon.exe http://technet.microsoft.com/en-us/sysinternals/default.aspx

  22. PASOS A SEGUIR POR EL EXAMINADOR • RECOLECTAR INFORMACIÓN VOLÁTIL • PROCESOS EN EJECUCIÓN CON: • pslist.exe http://technet.microsoft.com/en-us/sysinternals/default.aspx

  23. PASOS A SEGUIR POR EL EXAMINADOR • DESCONECTAR LA CONECTIVIDAD • CABLES DE RED • VERIFICAR CONEXIONES WI-FI DOCUMENTAR

  24. PASOS A SEGUIR POR EL EXAMINADOR • APAGAR LAS COMPUTADORAS DOCUMENTAR

  25. APAGAR vs. DESCONECTAR • APAGADO LIMPIO • Ventajas: • Mantiene la integridad del Sistema de Archivos • Desventajas: • Cambia el estado del sistema • Cambia información del Sistema de Archivos • Malware puede borrar evidencia al detectar el apagado del equipo

  26. APAGAR vs. DESCONECTAR • DESCONECTAR • Ventajas: • Mantiene el estado del sistema cuando estaba trabajando (excepto memoria RAM) • Deventajas: • Corrupción del Sistema de Archivos

  27. PASOS A SEGUIR POR EL EXAMINADOR • APAGAR LAS COMPUTADORAS - TIRAR DEL CABLE DE ELECTRICIDAD • D.O.S. • WINDOWS 3.1 • WINDOWS 95/98/ME • WINDOWS NT WORKSTATION • WINDOWS XP • WINDOWS VISTA • WINDOWS 7

  28. PASOS A SEGUIR POR EL EXAMINADOR • APAGAR LAS COMPUTADORAS - APAGAR NORMALMENTE • WINDOWS NT SERVER • WINDOWS 2000 • WINDOWS 2000 SERVER • WINDOWS 2003 SERVER • LINUX/UNIX • MAC OS X

  29. PASOS A SEGUIR POR EL EXAMINADOR • GUARDAR LA EVIDENCIA • UTILIZAR BOLSAS ANTI-ESTÁTICA DOCUMENTAR

  30. PASOS A SEGUIR POR EL EXAMINADOR • GUARDAR LA EVIDENCIA • UTILIZAR GOMA ESPUMA DOCUMENTAR

  31. CADENA DE CUSTODIA • DOCUMENTACIÓN (EN PAPEL) DE: • Confiscación o Secuestro • Custodia • Control • Transferencia • Análisis • Remisión de evidencia digital • MANIPULAR LA EVIDENCIA CUIDADOSAMENTE PARA EVITAR ALEGATOS DE ADULTERACIÓN Y/O FALSIFICACIÓN DE LA EVIDENCIA DIGITAL

  32. CADENA DE CUSTODIA • DEBE DOCUMENTARSE EL PROCESO DE CICLO DE VIDA DE LA EVIDENCIA DIGITAL: • Métodos • Horarios • Fechas • Identidad del Personal Involucrado • Etc. • DEBE DOCUMENTARSE: • DÓNDE ESTUVO LA EVIDENCIA? • QUIÉN TUVO ACCESO A LA MISMA? • DESDE LA OBTENCIÓN INICIAL HASTA QUE LLEGUE A LOS TRIBUNALES DE JUSTICIA

  33. CADENA DE CUSTODIA • Fecha de contacto con la evidencia • Nombre de la persona • Registro del pasaje de una persona a otra • Registro del pasaje de una ubicación física a otra • Tareas realizadas durante la posesión • Sellado de la evidencia al finalizar la posesión • Registro de testigos • Fotografías de la evidencia en las tareas realizadas • Log de actividades durante la posesión

  34. CADENA DE CUSTODIA • DOCUMENTAR: • Qué es la evidencia? • Cómo se la obtuvo? • Cuándo fue obtenida? • Quién la obtuvo? • Dónde viajó? • Dónde fue guardada?

  35. LA ESCENA DEL CRIMEN DIGITAL • PASOS: • VERIFICAR SU PROPIA SEGURIDAD • INVENTARIAR TODO LO ENCONTRADO • FOTOGRAFIAR LOS EQUIPOS • FOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOS • FOTOGRAFIAR LAS PANTALLAS • RECOLECTAR INFORMACIÓN VOLÁTIL • FECHA Y HORA • CONEXIONES DE RED ACTIVAS • INFORMACIÓN DEL SISTEMA • HISTÓRICO DE COMANDOS • USUARIOS LOGGEADOS AL SISTEMA • PROCESOS ACTIVOS • DESCONECTAR LA CONECTIVIDAD • APAGAR LAS COMPUTADORAS • GUARDAR LA EVIDENCIA • PROTEGER LA CADENA DE CUSTODIA • ACTA CONSTANCIA

  36. Gendarmería Nacional Argentina INFORMÁTICA FORENSE División de Policía Científica Agrupación VII “Salta” ? Subalférez Lautaro Martín GIMÉNEZ E-mail: polcieagrusal@yahoo.com.ar Tel: 0387-4390100 Int 28/36 Dirección: LOS ALAMOS S/N Bº CHACHAPOYAS – SALTA -

More Related