Académique Documents
Professionnel Documents
Culture Documents
www.llanos.org
Dispositivos de almacenamiento
Etimologa
El trmino "forense" se tiene que entender como un sinnimo de legal o relativo al juzgado
Fuente: http://buscon.rae.es/draeI
Definicin y objetivo
La Informtica Forense es una disciplina criminalstica que tiene como objeto la investigacin en sistemas informticos de hechos con relevancia jurdica o para la simple investigacin privada.
Definicin
La informtica forense en una ciencia que involucra: - la ubicacin - recuperacin - preservacin, - identificacin, - extraccin, - documentacin - interpretacin y - presentacin de datos que han sido procesados electrnicamente y guardos en un medio computacional con fines legales.
RFC 3227
Las evidencias de cara a un juicio o a la resolucin de un caso, son una parte fundamental (si no la mxima) desde el punto de vista informtico para la resolucin de la causa. Las circunstancias varan en funcin de muchas caractersticas:
- Los sistemas operativos involucrados. - Donde se encuentra la informacin. - Las consecuencias legales. - Que herramientas utilizamos para la toma de informacin
Esta RFC por lo tanto tiene que ser tomado como lo que es: un gua, no un dogma de Fe.
Requerimientos
Hardware
Familiaridad con dispositivos internos y externos de un computador Profundo conocimiento de discos duros y configuraciones Conocimiento de tarjetas madre y configuracin de chips Conexiones de alimentacin Memorias
BIOS
Entender cmo funcina el BIOS Familiaridad con varios tipos de configuracin y limitaciones de BIOS
Requerimietos
Sistemas Operativos
(cont)
Software
Familiaridad con la mayora de los paquetes comerciales populares
Herramientas forenses
Familiaridad con las tcnicas forenses
RFC 3227
Conexiones activas
Configuracin de red
Histrico de comandos
Procesos corriendo
www.tableau.com
Dnde se guarda el archivo INFO2 ? Windows 95/98/ME c:\Recycled\INFO2 Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2> http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip
http://www.nirsoft.net/utils/usb_devices_view.html
Firmas de archivo
Evaluacin 27/28
La prueba informtica
Registros (de sesin) y otra evidencia de intrusin de una red Software pirata Pornografa y otras imgenes. Documentos normales, cartas,notas Correo electrnico, fax y otra correspondencia electrnicamente transmitida Informacin financiera y transacciones
La prueba informtica
Lista de clientes, vctimas, socios Archivos cache (memoria intermedia) Cookies de Internet y sitios visitados. Datos personales o de la compaa protegidos con contrasea Datos borrados o escondidos
La prueba informtica
Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es ms difcil el desafo de obtenerla que el testimonio de testigos u otros tipos de evidencia .
La prueba informtica
Frecuentemente el descubrimiento y presentacin de la evidencia computacional puede traer investigaciones o preguntas adems de las sugerencias y conclusiones exitosas
Presentacin 28/28
Abogados, no tcnicos, relacin con la
legislacin
Manejo de la evidencia
Admisibilidad de la evidencia
La Ley determina qu evidencia potencial puede ser considerada en la Corte Debe ser obtenida de una forma que asegure la autenticidad y validez
No se puede utilizar evidencia daada, destruida o modificada, o comprometida por procesos de bsquedas Se debe prevenir la introduccin de virus en el proceso de anlisis La evidencia extrada debe ser apropiadamente manejada y protegida de daos fscos o electromagnticos
Anti-Forense
Software que limita o corrompe la evidencia Distorcin u ocultamiento de informacin
Peritos y no peritos
No se encuentran o recuperan los datos borrados No se recuperan las contraseas de proteccin de datos No se encuentran o recuperan los datos ocultos Prdida o corrupcin de datos Colapso total de la computadora Asegurar la admisibilidad de los datos en juicio
Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informticos es una prctica casi obligatoria en el mbito internacional
Existe una gran diferencia entre el forense informtico de un experto en informtica, como lo es un mdico de un mdico forense
Atacando la evidencia El primer mtodo de ataque por la otra parte es intentar prevenir la introduccin de esa evidencia atacando al examinador
Atacando la evidencia Dnde se form? Qu experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez comparti el software con alguien que no fue autorizado para usar ese software?
Para finalizar Existen herramientas de HW y SW para el anlisis forense informtico, sin embargo es necesaria y obligatoria la formacin complementaria de los profesionales informticos.
GRACIAS
www.llanos.org