PDF de programación - Introducción a la Informática Forense

mayo de 2013

(C) www.informatica-forense.es

1

Del disco flexible a la nube:

pasado, presente y futuro de la

Informática Forense


Javier Pagès López
CEO de Informática Forense, S.L.
Colegiado Nº 198 del CPIICM
Colegio Profesional de Ingenieros en Informática
de la Comunidad de Madrid


Email: [email protected]
Web: http://www.informatica-forense.es



Sobre el autor...



Javier Pagès López

• CEO de Informática Forense, S.L.
•
• Experto Universitario en Desarrollo de Sistemas para el Comercio

Licenciado en Informática (Univ. de Valladolid, 1991)

Electrónico (Univ. Salamanca, 2010)

• Auditor jefe ISO/IEC 27001:2005 (BSI, 2010)
• Colegiado Nº 110 del CPIICYL
• Colegiado Nº 198 del CPIICM



•Informática Forense
•Dictámenes Periciales: Judiciales, Extrajudiciales y Arbitrales
•Seguridad Informática Gestionada
•Auditoría Informática: LOPD, LSSI, Seguridad, ISO-27001...
•Intervenciones contra piratería informática
•Actuaciones contra delitos informáticos
•Consultoría: B2B, e-commerce, Enterprise Integration, CRM, ERP...
•Análisis de Mercado, Estudios de Viabilidad
•SOC – Security Operation Center
•Laboratorio de Vulnerabilidades IC - SCADA



Áreas de Actuación

Profesional

mayo de 2013

(C) www.informatica-forense.es

3

Pertenezco a:



CPIICYL - Colegio Profesional de Ingenieros en Informática de
Castilla y León
•Miembro del Cuerpo de Peritos
•Colegiado nº 110

AI2- Federación de Asociaciones de Ingenieros en Informática
•Presidente Federal
www.ai2.es

AI2- Madrid - Asociación de Ingenieros en Informática de
Madrid
•Vocal de Relaciones Institucionales
•Socio nº 15
www.ai2madrid.org

INFOPERITOS (Gabinete Técnico y Facultativo de AI2)
•Perito de Guardia
www.infoperitos.com

mayo de 2013

(C) www.informatica-forense.es

4

Pertenezco a:

Lead Auditor ISO/IEC 27001:2005, por la British Standards
Institution
www.bsigroup.com

Information Systems Security Association (ISSA)
•ISSA Member ID: 26.563
www.issa.org

Asociación Española para la Seguridad de los
Sistemas de Información (ISSA-España)
•Presidente-Fundador del Capítulo Español de ISSA
•Actual Secretario del Capítulo
www.issa-spain.org

Internet Society (ISOC)
•ISOC Member ID: 1.350.480
www.isoc.org

Commercenet Español
www.commercenet.org


mayo de 2013

(C) www.informatica-forense.es

5

mayo de 2013

(C) www.informatica-forense.es

6

Definiciones:

Informática Forense

Fuente: http://buscon.rae.es/draeI/

mayo de 2013

(C) www.informatica-forense.es

7

Informática Forense:
Definición y Objetivo

•

•

La Informática Forense es una disciplina criminalística
que tiene como objeto la investigación en sistemas
informáticos de hechos con relevancia jurídica o para la
simple investigación privada.

Para conseguir sus objetivos, la Informática Forense
desarrolla técnicas idóneas para ubicar, reproducir y
analizar evidencias digitales con fines legales.


mayo de 2013

(C) www.informatica-forense.es

8

Informática Forense:
Ámbito de actuación



Todo hecho en el que un sistema informático esté
involucrado, tanto si es el fin o un medio, puede ser
objeto de estudio y análisis, y por ello, puede llevarse a
juicio como medio probatorio.

mayo de 2013

(C) www.informatica-forense.es

9

Informática Forense:

Principios

• Adherirse a estándares legales
• Formación específica en técnicas forenses
• Investigación debe ser “Forensically sound”
• Obtener Permisos:

– investigación/ recolección evidencias
– monitorizar uso de ordenadores
• Control de Evidencias Digitales

– Cadena de Custodia

mayo de 2013

(C) www.informatica-forense.es

10

Informática Forense:

Normas Fundamentales

1. Preservar la evidencia original
2. Establecer y mantener la Cadena de Custodia
3. Documentar todo hecho
4. NO EXTRALIMITARSE





Conocimientos personales
Leyes, Normas , Procedimientos


•

Riesgos:

Corromper evidencias  No admitirse en juicio

mayo de 2013

(C) www.informatica-forense.es

11

Informática Forense:
Objetivos del Proceso



• Identificar las posibles fuentes disponibles



• Recoger diferentes tipos de evidencias



• Analizar las evidencias encontradas



• Confirmar por pruebas cruzadas



– Así se establecen las bases para Probar que se han cometido actos

deshonestos o ilegales

mayo de 2013

(C) www.informatica-forense.es

12

Informática Forense:

Principio de Intercambio de Locard

Edmond Locard (Francia, 1877-1966). Pionero de la criminalística.


"Cada contacto deja un rastro“



•

•

Siempre que dos objetos entran en contacto transfieren parte del
material que incorporan al otro objeto

En el momento en que un criminal cruza una escena del crimen, o
entra en contacto con una víctima, la víctima se queda con algo del
criminal, pero este a su vez se lleva algo a cambio.

mayo de 2013

(C) www.informatica-forense.es

13

Informática Forense:

Principio de Intercambio de Locard

•

El Principio de Locard tiene plena validez en el
ámbito informático y las evidencias electrónicas

• Hay que determinar el ¿Cómo? el ¿Dónde?

podemos encontrar las evidencias



– Determinar que quien escribió un “.doc”, o quién envió

un email, es quien está acusado de ello.

mayo de 2013

(C) www.informatica-forense.es

14

Informática Forense:

Breve Historia

Agosto 1986.- Caso Iran-Contras
• Tte. Coronel Oliver North escribió unos correos

electrónicos que le involucraban en el caso

• Borro los correos de su ordenador
• No se percató que se hacían copias de respaldo de sus

mensajes

• Los mensajes se recuperaron de los servidores de

respaldo

 CULPABLE

mayo de 2013

(C) www.informatica-forense.es

15

Informática Forense:

Breve Historia

1991.- Caso Guttman
• La esposa de Guttman apareció muerta con una nota de

suicidio sin firmar, escrita por ordenador con una
impresora matricial

• El ordenador de Guttman NO contenía rastros del

documento

• Guttman tenía una amante.
• Se registró la casa de la amante.
• Encontraron un disco flexible de 5 ¼ cortado en pedazos
• Se reconstruyó físicamente el disco y se recuperaron los

datos con un programa llamado Anadisk

 CULPABLE

mayo de 2013

(C) www.informatica-forense.es

16

Informática Forense:

Breve Historia

1995.- Caso MITNICK
• Kevin Mitnick fue detenido en 1995 después de tres años de

persecuciones por parte del FBI

• Ya se le había procesado en 1981, 1983 y 1987 por diversos

delitos electrónicos

• Se le acusó de haber entrado en algunos de los ordenadores más

seguros de EE.UU.

• Se le pudo atrapar gracias a la participación de un experto

académico en seguridad

• Se le condenó a no hacer llamadas telefónicas durante su

encarcelamiento  CULPABLE
• Fue puesto en libertad en 2002
• La comunidad hacker le considera un ¿HÉROE?

mayo de 2013

(C) www.informatica-forense.es

17

Informática Forense:
El criterio de Daubert

Daubert Criteria o Daubert Standard (1993) es el método que se
sigue en los EEUU para admitir que una evidencia científica es no sólo
pertinente (relevant) para el caso, sino que también es fiable (reliable)

•

–


Se usa conjuntamente con la Regla 702 de Evidencias Federales,
Testimony by Experts:


“If scientific, technical, or other specialized knowledge will assist the trier
of fact to understand the evidence or to determine a fact in issue, a
witness qualified as an expert by knowledge, skill, experience, training, or
education, may testify thereto in the form of an opinion or otherwise, if (1)
the testimony is based upon sufficient facts or data, (2) the testimony is
the product of reliable principles and methods, and (3) the witness has
applied the principles and methods reliably to the facts of the case.”

mayo de 2013

(C) www.informatica-forense.es

18

Informática Forense:
El criterio de Daubert

Se basa en cuatro factores utilizados para evaluar las
evidencias científicas:
1. Pruebas realizadas
2. Revisiones cruzadas (peer review)
3. Tasa de error (error rate) de las pruebas
4. Aceptación por la comunidad científica


mayo de 2013

(C) www.informatica-forense.es

19

Informática Forense:
El criterio de Daubert

•

Ejemplo: HASH MD5 / SHA1
–

Pruebas realizadas  FUNCIONA
Revisiones cruzadas (peer review)  COLISIONES
Tasa de error (error rate) de las pruebas  AD-HOC
Aceptación por la comunidad científica  OBSOLETOS

 Reemplazar por SHA2, AES



 cryptographic hash project

–

–

–



mayo de 2013

(C) www.informatica-forense.es

20

Evidencias Digitales:

¿Qué son?

• Cualquier documento, fichero, registro, dato, etc.

contenido en un soporte informático

• Susceptible de tratamiento digital
• Ejemplos:

– Documentos de Ofimática (Word, Excell, ...)
– Comunicaciones digitales: E-mails, SMSs, Fax, ...
– Imágenes digitales (fotos, videos...)
– Bases de Datos
– Ficheros de Registro de Actividad  LOGS

mayo de 2013

(C) www.informatica-forense.es

21

Evidencias Digitales:
Su Validez Jurídica

• Uno de los pilares más importantes de la informática forense

– Valor que se le puede dar a las evidencias informáticas (e-evidences)
– Para aportar en los procesos judiciales.



• Actualmente existen grandes debates entre juristas y expertos técnicos

– a nivel nacional -> Foro de la Evidencias Electrónicas

(www.evidenciaselectronicas.org)

– a nivel internacional



Objetivo:
• Alcanzar un compromiso a nivel internacional
• Definir que hay que exigir a una evidencia informática para que se pueda

aceptar como una prueba

mayo de 2013

(C) www.informatica-forense.es

22

Evidencias Digitales:
Su Validez Jurídica

•

Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas
que regulan las actividades relacionadas con