V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE

DELITOS RELACIONADOS CON TECNOLOGÍA INFORMATICA

www.presman.com.arpres
man.com.ar

Introducción a la Informática Forense

ADQUISICIÓN DE EVIDENCIA DIGITAL

Ing. Gustavo Daniel Presman , MCP, EnCE , CCE

gustavo@presman.com.ar
IUPFA , 26 al 28 de Agosto de 2008
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Definición de Informatica Forense

“ Es la ciencia de adquirir , preservar

, obtener y presentar datos que
han sido procesados
electronicamente y almacenados
en un medio informático ”

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

2
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Evidencia informática = Evidencia Digital = Evidencia Electrónica

• La penetración de la tecnología informática en todos los

espacios cotidianos y el extenso uso de las computadoras y
otros dispositivos digitales facilita que gran cantidad de
información que manipulamos se encuentre almacenada
medios electrónicos

Discos rígidos en computadoras

Palms / PDA

Teléfonos celulares

Cámaras digitales

Faxes

....

3
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Que diferencia la evidencia

informatica de la evidencia
tradicional ?

• La volatilidad
• La capacidad de duplicacion
• La facilidad de alterarla
• La cantidad de Metadatos que
posee

4
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

El “iceberg” de los datos

Datos Obtenidos con
herramientas comunes
(p/ej Windows Explorer)

Datos adicionales obtenidos

con herramientas forenses
(Borrados, Renombrados, Ocultos,
Dificiles de obtener…)

5
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Que contiene un archivo de Imagen forense * ?

o Copia bit a bit Archivos

o Metadatos del sistema operativo
o Espacio utilizado y no utilizado
o Slack space

o Mecanismos de Validación
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

6
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Que debe hacer una utilidad de imagen forense * ?

o Imagen “cruda” sin alterar el original

o Acceso a discos IDE , SCSI , SATA...
o Verificar la integridad del archivo
o Debe crear un log de errores
o Debe estar documentada

* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/

7
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

COMO RESGUARDO EVIDENCIA DIGITAL ?

Al resguardar un medio magnético se puede:

1) Hacer una copia Forense
(Archivo de evidencia)

2) Hacer un clonado Forense

3) Aportar el disco original

8
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Formatos de Archivos de Imágen

• Formato Abierto : dd
Formato universal de Linux/Unix

• Formato Propietario : Encase ,

FTK , Safeback
Formatos aceptados en numerosas cortes del
mundo y validados por instituciones
independientes

9
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Formato de evidencia “dd”

 Simple de utilizar
 Split externo
 Hash MD5 externo
 Compresión externa
 Checksum externo
 Sin límite de tamaño

10
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Formato de evidencia “Encase”

 Simple de utilizar
 Split y compresión nativa
 Hash MD5
 CRC ajustable /granularidad
 límite de tamaño de cada split 2 GB
 Soporte password de adquisición

11
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

ARCHIVOS DE EVIDENCIA

FORMATO 1 FORMATO 3

FORMATO 5

FORMATO 2 FORMATO 4

12
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

INTEROPERABILIDAD DE ARCHIVOS DE
EVIDENCIA

* Compatibilidad de las aplicaciones forenses

* Conversion de Formatos

13
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

ARCHIVOS DE EVIDENCIA LOGICA

ARCHIVO DE EVIDENCIA FISICA ARCHIVO DE EVIDENCIA LOGICA

•COPIA FISICA •COPIA DE ARCHIVOS LOGICOS

•HASH MD5 •HASH MD5 DE CADA ARCHIVO

14
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

MODOS DE ADQUISICION

• Adquisición Según el lugar

Laboratorio
Campo
• Adquisición por método
Directa
Indirecta

15
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

MODOS DE ADQUISICION

Aspectos a tener en cuenta para

elegir el modo de adquisición

 Lugar
 Posibilidad de apertura del CPU
 Tiempo disponible
 Espacio de almacenamiento
16
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

PLATAFORMAS DE ADQUISICION

• Boot DOS/Windows 98 (modificados)

http://www.guidancesoftware.com/support/downloads.asp

• Linux : Helix Live CD

http://www.e-fense.com/helix/

• Windows XP : Encase Forensic /FTK

/WinHex ...
17
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

LIVE CD

Puede ser Windows o Linux

Live CD según plataforma

PC Helix , BartPE , EBCD

MAC PPC Ubuntu , BBCD
MAC Intel Helix , EBCD

18
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

CUESTIONES BASICAS PARA LA ADQUISICION EN

EL CAMPO

Acceso al BIOS para :

Verificar Secuencia de arranque

Registrar Fecha y hora RTC

• Usualmente no es posible conocer el escenario

de adquisición anticipadamente..
• El paradigma de la apertura

19
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Escenario simple de adquisición en campo

20
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Escenario complejo de adquisición en campo

21
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ADQUISICION POR METODO DIRECTO

Es el más rápido pero requiere de un bloqueador de

escritura (Write blocker) o un OS (DOS-Linux)
modificado

Pasos a seguir :
1. Extraer disco de PC sospechoso
2. Montar disco en CPU de adquisición
3. Adquirir imagen
4. Reinstalar disco en PC sospechoso

Sospechoso Investigador

22
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

BLOQUEADORES DE ESCRITURA /DUPLICADORES

FORENSES

23
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Directa
PC del Investigador

Write Blocker para Windows o

adquisición directa para DOS ó
Linux modificados
Adquisición DOS
/Windows/ Linux
Almacenamiento adicional

24
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

ADQUISICION POR METODO INDIRECTO

Permite adquirir sin apertura pero...Donde

guardo la imagen ?

Pasos a seguir :
 Lograr Conectividad equipo de adquisición
 Correr aplicación “Server” en PC
sospechoso
 Adquirir imagen

25
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Plataformas para Adquisición Indirecta

Adquisición DOS /
Windows/ Linux

Sospechoso Investigador

Almacenamiento adicional USB

26
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

Comparativa de Tiempos de Adquisición

• PC Sospechoso/Lab : P4 3 Ghz/512 MB/ HD 2.1 GB IDE
• Notebook Investigador: P4 2.8 Ghz /1536 MB/HD IDE
Los tiempos mejoran un 30 % en discos PATA 133 y un 50
% en SATA usando Fastbloc2 – Al usar compresión el
tiempo aumenta en un factor de 1.3 a 1.5

OS Adquisición Método Tiempo /GB

DOS Indirecto 19 m 35 s
Linux Indirecto 10 m 17 s
Windows Directo 1 m 57 s
Dos Directo 12 m 49 s
Linux Directo 5 m 58 s

27
 EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA

ADQUISICION DE EVIDENCIA EN RED

Respuesta a incidentes inmediata

Adquisición de servidores en
producción
Adquisición de imágenes de
cualquier nodo
Adquisición en modo invisible

28
V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE DELITOS
RELACIONADOS CON TECNOLOGÍA INFORMATICA

MUCHAS GRACIAS POR SU

PARTICIPACION

Ing. Gustavo Daniel Presman

www.presman.com.ar
gustavo@presman.com.ar