mayo de 2013
(C) www.informatica-forense.es
1
Del disco flexible a la nube:
pasado, presente y futuro de la
Informática Forense
Javier Pagès López
CEO de Informática Forense, S.L.
Colegiado Nº 198 del CPIICM
Colegio Profesional de Ingenieros en Informática
de la Comunidad de Madrid
Email:
[email protected]
Web: http://www.informatica-forense.es
Sobre el autor...
Javier Pagès López
• CEO de Informática Forense, S.L.
•
• Experto Universitario en Desarrollo de Sistemas para el Comercio
Licenciado en Informática (Univ. de Valladolid, 1991)
Electrónico (Univ. Salamanca, 2010)
• Auditor jefe ISO/IEC 27001:2005 (BSI, 2010)
• Colegiado Nº 110 del CPIICYL
• Colegiado Nº 198 del CPIICM
•Informática Forense
•Dictámenes Periciales: Judiciales, Extrajudiciales y Arbitrales
•Seguridad Informática Gestionada
•Auditoría Informática: LOPD, LSSI, Seguridad, ISO-27001...
•Intervenciones contra piratería informática
•Actuaciones contra delitos informáticos
•Consultoría: B2B, e-commerce, Enterprise Integration, CRM, ERP...
•Análisis de Mercado, Estudios de Viabilidad
•SOC – Security Operation Center
•Laboratorio de Vulnerabilidades IC - SCADA
Áreas de Actuación
Profesional
mayo de 2013
(C) www.informatica-forense.es
3
Pertenezco a:
CPIICYL - Colegio Profesional de Ingenieros en Informática de
Castilla y León
•Miembro del Cuerpo de Peritos
•Colegiado nº 110
AI2- Federación de Asociaciones de Ingenieros en Informática
•Presidente Federal
www.ai2.es
AI2- Madrid - Asociación de Ingenieros en Informática de
Madrid
•Vocal de Relaciones Institucionales
•Socio nº 15
www.ai2madrid.org
INFOPERITOS (Gabinete Técnico y Facultativo de AI2)
•Perito de Guardia
www.infoperitos.com
mayo de 2013
(C) www.informatica-forense.es
4
Pertenezco a:
Lead Auditor ISO/IEC 27001:2005, por la British Standards
Institution
www.bsigroup.com
Information Systems Security Association (ISSA)
•ISSA Member ID: 26.563
www.issa.org
Asociación Española para la Seguridad de los
Sistemas de Información (ISSA-España)
•Presidente-Fundador del Capítulo Español de ISSA
•Actual Secretario del Capítulo
www.issa-spain.org
Internet Society (ISOC)
•ISOC Member ID: 1.350.480
www.isoc.org
Commercenet Español
www.commercenet.org
mayo de 2013
(C) www.informatica-forense.es
5
mayo de 2013
(C) www.informatica-forense.es
6
Definiciones:
Informática Forense
Fuente: http://buscon.rae.es/draeI/
mayo de 2013
(C) www.informatica-forense.es
7
Informática Forense:
Definición y Objetivo
•
•
La Informática Forense es una disciplina criminalística
que tiene como objeto la investigación en sistemas
informáticos de hechos con relevancia jurídica o para la
simple investigación privada.
Para conseguir sus objetivos, la Informática Forense
desarrolla técnicas idóneas para ubicar, reproducir y
analizar evidencias digitales con fines legales.
mayo de 2013
(C) www.informatica-forense.es
8
Informática Forense:
Ámbito de actuación
Todo hecho en el que un sistema informático esté
involucrado, tanto si es el fin o un medio, puede ser
objeto de estudio y análisis, y por ello, puede llevarse a
juicio como medio probatorio.
mayo de 2013
(C) www.informatica-forense.es
9
Informática Forense:
Principios
• Adherirse a estándares legales
• Formación específica en técnicas forenses
• Investigación debe ser “Forensically sound”
• Obtener Permisos:
– investigación/ recolección evidencias
– monitorizar uso de ordenadores
• Control de Evidencias Digitales
– Cadena de Custodia
mayo de 2013
(C) www.informatica-forense.es
10
Informática Forense:
Normas Fundamentales
1. Preservar la evidencia original
2. Establecer y mantener la Cadena de Custodia
3. Documentar todo hecho
4. NO EXTRALIMITARSE
Conocimientos personales
Leyes, Normas , Procedimientos
•
Riesgos:
Corromper evidencias No admitirse en juicio
mayo de 2013
(C) www.informatica-forense.es
11
Informática Forense:
Objetivos del Proceso
• Identificar las posibles fuentes disponibles
• Recoger diferentes tipos de evidencias
• Analizar las evidencias encontradas
• Confirmar por pruebas cruzadas
– Así se establecen las bases para Probar que se han cometido actos
deshonestos o ilegales
mayo de 2013
(C) www.informatica-forense.es
12
Informática Forense:
Principio de Intercambio de Locard
Edmond Locard (Francia, 1877-1966). Pionero de la criminalística.
"Cada contacto deja un rastro“
•
•
Siempre que dos objetos entran en contacto transfieren parte del
material que incorporan al otro objeto
En el momento en que un criminal cruza una escena del crimen, o
entra en contacto con una víctima, la víctima se queda con algo del
criminal, pero este a su vez se lleva algo a cambio.
mayo de 2013
(C) www.informatica-forense.es
13
Informática Forense:
Principio de Intercambio de Locard
•
El Principio de Locard tiene plena validez en el
ámbito informático y las evidencias electrónicas
• Hay que determinar el ¿Cómo? el ¿Dónde?
podemos encontrar las evidencias
– Determinar que quien escribió un “.doc”, o quién envió
un email, es quien está acusado de ello.
mayo de 2013
(C) www.informatica-forense.es
14
Informática Forense:
Breve Historia
Agosto 1986.- Caso Iran-Contras
• Tte. Coronel Oliver North escribió unos correos
electrónicos que le involucraban en el caso
• Borro los correos de su ordenador
• No se percató que se hacían copias de respaldo de sus
mensajes
• Los mensajes se recuperaron de los servidores de
respaldo
CULPABLE
mayo de 2013
(C) www.informatica-forense.es
15
Informática Forense:
Breve Historia
1991.- Caso Guttman
• La esposa de Guttman apareció muerta con una nota de
suicidio sin firmar, escrita por ordenador con una
impresora matricial
• El ordenador de Guttman NO contenía rastros del
documento
• Guttman tenía una amante.
• Se registró la casa de la amante.
• Encontraron un disco flexible de 5 ¼ cortado en pedazos
• Se reconstruyó físicamente el disco y se recuperaron los
datos con un programa llamado Anadisk
CULPABLE
mayo de 2013
(C) www.informatica-forense.es
16
Informática Forense:
Breve Historia
1995.- Caso MITNICK
• Kevin Mitnick fue detenido en 1995 después de tres años de
persecuciones por parte del FBI
• Ya se le había procesado en 1981, 1983 y 1987 por diversos
delitos electrónicos
• Se le acusó de haber entrado en algunos de los ordenadores más
seguros de EE.UU.
• Se le pudo atrapar gracias a la participación de un experto
académico en seguridad
• Se le condenó a no hacer llamadas telefónicas durante su
encarcelamiento CULPABLE
• Fue puesto en libertad en 2002
• La comunidad hacker le considera un ¿HÉROE?
mayo de 2013
(C) www.informatica-forense.es
17
Informática Forense:
El criterio de Daubert
Daubert Criteria o Daubert Standard (1993) es el método que se
sigue en los EEUU para admitir que una evidencia científica es no sólo
pertinente (relevant) para el caso, sino que también es fiable (reliable)
•
–
Se usa conjuntamente con la Regla 702 de Evidencias Federales,
Testimony by Experts:
“If scientific, technical, or other specialized knowledge will assist the trier
of fact to understand the evidence or to determine a fact in issue, a
witness qualified as an expert by knowledge, skill, experience, training, or
education, may testify thereto in the form of an opinion or otherwise, if (1)
the testimony is based upon sufficient facts or data, (2) the testimony is
the product of reliable principles and methods, and (3) the witness has
applied the principles and methods reliably to the facts of the case.”
mayo de 2013
(C) www.informatica-forense.es
18
Informática Forense:
El criterio de Daubert
Se basa en cuatro factores utilizados para evaluar las
evidencias científicas:
1. Pruebas realizadas
2. Revisiones cruzadas (peer review)
3. Tasa de error (error rate) de las pruebas
4. Aceptación por la comunidad científica
mayo de 2013
(C) www.informatica-forense.es
19
Informática Forense:
El criterio de Daubert
•
Ejemplo: HASH MD5 / SHA1
–
Pruebas realizadas FUNCIONA
Revisiones cruzadas (peer review) COLISIONES
Tasa de error (error rate) de las pruebas AD-HOC
Aceptación por la comunidad científica OBSOLETOS
Reemplazar por SHA2, AES
cryptographic hash project
–
–
–
mayo de 2013
(C) www.informatica-forense.es
20
Evidencias Digitales:
¿Qué son?
• Cualquier documento, fichero, registro, dato, etc.
contenido en un soporte informático
• Susceptible de tratamiento digital
• Ejemplos:
– Documentos de Ofimática (Word, Excell, ...)
– Comunicaciones digitales: E-mails, SMSs, Fax, ...
– Imágenes digitales (fotos, videos...)
– Bases de Datos
– Ficheros de Registro de Actividad LOGS
mayo de 2013
(C) www.informatica-forense.es
21
Evidencias Digitales:
Su Validez Jurídica
• Uno de los pilares más importantes de la informática forense
– Valor que se le puede dar a las evidencias informáticas (e-evidences)
– Para aportar en los procesos judiciales.
• Actualmente existen grandes debates entre juristas y expertos técnicos
– a nivel nacional -> Foro de la Evidencias Electrónicas
(www.evidenciaselectronicas.org)
– a nivel internacional
Objetivo:
• Alcanzar un compromiso a nivel internacional
• Definir que hay que exigir a una evidencia informática para que se pueda
aceptar como una prueba
mayo de 2013
(C) www.informatica-forense.es
22
Evidencias Digitales:
Su Validez Jurídica
•
Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas
que regulan las actividades relacionadas con
Comentarios de: Introducción a la Informática Forense (0)
No hay comentarios