PDF de programación - Riesgos emergentes para los informáticos forenses.

Riesgos emergentes para los informáticos

forenses.

Retos y oportunidades

Jeimy J. Cano, Ph.D, CFE

Profesor Distinguido

GECTI - Facultad de Derecho

Universidad de los Andes

¡ NOTA DE ADVERTENCIA !

• La presentación que se desarrolla a continuación es producto del
análisis de fuentes y mejores prácticas en computación forense y
anti-forense, y su aplicación en diferentes contextos tecnológicos.

• Las reflexiones y propuestas que se presentan en este documento
son una excusa académica para continuar aprendiendo de este
novedoso y exigente mundo de la computación forense y anti-
forense.

JCM10-All rights reserved

2

Agenda

1

2

3

4

5

6

Introducción (Preocupaciones de los CEO y CIO)

Estado de la investigación en computación forense

Retos emergentes en seguridad de la información

Desafíos de la computación forense

Reflexiones finales

Referencias

JCM10-All rights reserved

3

Preocupaciones de los CEO

JCM10-All rights reserved

Tomado de: Mckinsey Quarterly Sept.2008 – How global executives view sociopolitical issues. Pag 5

4

Preocupaciones de los CIO

JCM10-All rights reserved

Tomado de: LUFTMAN, J., KEMPAIAH, R. y NASH,E. 2006. pag.83

5

Estado de la investigación en cómputo forense

JCM10-All rights reserved

Tomado de: Nance, Hay y Bishop 2009.

6

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

JCM10-All rights reserved

7

Riesgos

Entorno

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

Cooperación

JCM10-All rights reserved

Visión
holística

8

Riesgos

CUMPLIMIENTO

Entorno

ESTRATEGIA

APRENDIZAJE

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

Cooperación

INVESTIGACIONES

JCM10-All rights reserved

Visión
holística

9

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

Riesgos

CUMPLIMIENTO

Entorno

ESTRATEGIA

INFRAESTRUCTURAS

APRENDIZAJE

PERSONAS

DATOS

Cooperación

INVESTIGACIONES

Visión
holística

JCM10-All rights reserved

Riesgos

CUMPLIMIENTO

Entorno

Perímetro
Extendido

ESTRATEGIA

INFRAESTRUCTURAS

APRENDIZAJE

PERSONAS

DATOS

Cooperación

INVESTIGACIONES

Visión
holística

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

JCM10-All rights reserved

11

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

Riesgos

CUMPLIMIENTO

Entorno

Ambientes
virtuales

Perímetro
Extendido

ESTRATEGIA

INFRAESTRUCTURAS

APRENDIZAJE

PERSONAS

DATOS

Cooperación

INVESTIGACIONES

Visión
holística

JCM10-All rights reserved

12

Riesgos

CUMPLIMIENTO

Entorno

Computación en

la nube

Ambientes
virtuales

Perímetro
Extendido

ESTRATEGIA

INFRAESTRUCTURAS

APRENDIZAJE

PERSONAS

DATOS

Cooperación

INVESTIGACIONES

Visión
holística

n
ó
i
c
a
m
r
o
f
n

i


a

l



e
d
d
a
d
i
r
u
g
e
s

n
e

s
e
t
n
e
g
r
e
m
e

s
o
t
e
R

JCM10-All rights reserved

13

Desafíos de la computación forense

Inseguridad Informática

Stream
Video

Máquinas
Virtuales

Archivos
Cifrados

Computación Forense

Dispositivos

Móviles

Análisis
en vivo

JCM10-All rights reserved

14

Desafíos de la computación forense

DOS

1980

Windows

1990

NTFS

2000

EXT3

FAT

Encase, FTK,
Winhex, Smart,
Sleuth Kit, Paraben
Toolkit, ASR Data

Madurez de la

herramientas forenses

informáticas

2015

Windows

/Linux

JCM10-All rights reserved

Mac/

Móviles

HFS/ZFS

15

Desafíos de la computación forense

Destrucción de la evidencia

Eliminación de la fuente

Técnicas

Antiforenses

Falsificación de la evidencia

Ocultar la evidencia

JCM10-All rights reserved

16

Desafíos de la computación forense

- Técnicas antiforenses -

• Una definición base:

– “Cualquier intento exitoso efectuado por un individuo o proceso
que impacte de manera negativa la identificación,
la
disponibilidad, la confiabilidad y la relevancia de la evidencia
digital en un proceso forense”.

JCM10-All rights reserved

17

Desafíos de la computación forense

- ¿Qué buscan las técnicas antiforenses?

– Limitar la detección de un evento que haya ocurrido.
– Distorsionar la información residente en el sitio.
– Incrementar el tiempo requerido para la investigación del caso.
– Generar dudas en el informe forense o en el testimonio que se presente.
– Engañar y limitar la operación de las herramientas forenses informáticas.
– Diseñar y ejecutar un ataque contra el investigador forense que realiza la

pericia.

– Eliminar los rastros que pudiesen haber quedado luego de los hechos

investigados.

JCM10-All rights reserved

Tomado de: CANO 2009, Cap.4

18

MoDeRaTA - Consideraciones

• Niveles

– Definen los elementos susceptibles donde se pueden materializar las

técnicas antiforenses

• Detección y Rastreo

– Establece los rangos y grados en los cuales es posible detectar y rastrear la

materialización de técnicas antiforenses

– Incluye el nivel de esfuerzo (sofisticación) requerido por el atacante para

materializar la técnica antiforense

•

Técnica utilizada
– Destruir / Mimetizar / Manipular / Deshabilitar,

las cuales se pueden

materializar en todos los nivel definidos en el modelo

JCM10-All rights reserved

19

Modelo Conceptual de detección y rastreo de

técnicas antiforenses – MoDeRaTA

Menor Visibilidad

/ Menor probabilidad

de rastros

Mayor nivel de

sofisticación

n
ó
i
c
c
e
t
e
d

e
d

s
e
l
e
v
i
N

o
e
r
t
s
a
r

y

Mayor Visibilidad

/ Mayor probabilidad

de rastros

JCM10-All rights reserved

Destruir

Mimetizar

Manipular

Deshabilitar

MEMORIA

PROCESOS

SISTEMAS DE ARCHIVO

APLICACIONES

GESTIÓN DE (IN)SEGURIDAD

Niveles de Análisis

Menor nivel de

sofisticación

20

Desafíos de la computación forense

l

a
t
i
g
D
a

i



i

c
n
e
d
v
E
a



i

l


i



e
d
n
ó
c
a
r
t
s
n
m
d
A

i

i

Criminalística digital

Formación Técnica
y jurídica

Cuerpo normativo

Perito Informático

Academia

Gobierno

Delitos Informáticos y Evidencia Digital

Administración de Justicia

JCM10-All rights reserved

21

El proceso forense y la administración de justicia

Tomado de: Digital Forensics and the legal System. James Tetteh Ami-Narh y Patricia A H Williams. Edith Cowan University. Australia. Proceedings
of The 6th Australian Digital Forensics Conference. 2008

JCM10-All rights reserved

22

Desafíos de la computación forense

l

a
t
i
g
D
a

i



i

c
n
e
d
v
E
a

i



l



i

e
d
n
ó
c
a
r
t
s
n
m
d
A

i

i

Criminalística digital

Formación Técnica
y jurídica

Cuerpo normativo

Perito Informático

Academia

Gobierno

Delitos Informáticos y Evidencia Digital

Administración de Justicia

JCM10-All rights reserved

23

Necesidades identificadas por los gobiernos

•

Estados Unidos – National Institute of Justice - 2001
–

Principales preocupaciones alrededor de la delincuencia informática
•
•
•
•
•
•
•
•
•
•

Concientización del público
Estadísticas y datos sobre delitos informáticos
Entrenamiento uniforme y cursos de certificación para investigadores
Asistencia en sitio para las unidades de lucha contra el delito informático
Actualización del marco normativo
Cooperación con los proveedores de alta tecnología
Investigaciones y publicaciones especializadas en crímenes de alta tecnología
Concientización y soporte de la gerencia
Herramientas forenses y de investigación criminal informática
Estructuración de Unidades de lucha contra el delito informático

Tomado de: Electronic crime needs assessment for state and local law enforcement. National Institute of Justice. Disponible en:
http://www.ojp.usdoj.gov/nij/pubs-sum/186276.htm . 2001

JCM10-All rights reserved

24

Desafíos de la computación forense

l

a
t
i
g
D
a

i



i

c
n
e
d
v
E
a

i



l


i

i



e
d
n
ó
c
a
r
t
s
n
m
d
A

i

Criminalística digital

Formación Técnica
y jurídica

Cuerpo normativo

Perito Informático

Academia

Gobierno

Delitos Informáticos y Evidencia Digital

Administración de Justicia

JCM10-All rights reserved

25

El informático forense – Formación

Justicia

Criminal y
Criminología

Principios de
contabilidad y

auditoria

Investigación
de crímenes

de alta

tecnología

Tecnologías de
Información y
Operaciones en
computadores

En Cano 2009, Cap.3, tomado de: MYERS JAY, Larry. High Technology Crime Investigation: A Curricular Needs Assesment Of
The Largest Criminal Justice And Criminology Programs In The United States, Tesis Doctoral Diciembre de 2000

JCM10-All rights reserved

26

Desafíos de la computación forense

l

a
t
i
g
D
a

i



i

c
n
e
d
v
E
a



i

l


i



e
d
n
ó
c
a
r
t
s
n
m
d
A

i

i

Criminalística digital

Formación Técnica
y jurídica

Cuerpo normativo

Perito Informático

Academia

Gobierno

Delitos Informáticos y Evidencia Digital

Administración de Justicia

JCM10-All rights reserved

27

Contraste de tres perfiles

Característica

Auditor TI

Examinador Fraude

Informático Forense

Temporalidad

Recurrente

No recurrente

Por demanda

Alcance

Objetivo

Relación

General Específico

Específico

Opinión

Acusación

Análisis técnico

No controversia

Controversia

No controversia

Metodología

Técnicas de auditoria Técnicas Ex. Fraude Técnicas de Inf. Forense

Presunción

Excepticismo Profesional

Pruebas

Pruebas

Buenas Prácticas

ISACA/IIA AICPA/ACFE HTCIA/IACIS

Adaptado de: WELLS, J. (2005) Principles of fraud examination. John Wiley & Sons. Pag.4

JCM10-All rights reserved

28

Desafíos de la computación forense

l

a
t
i
g
D
a

i



i

c
n
e
d
v
E
a



i

l



i

e
d
n
ó
c
a
r
t
s
n
m
d
A

i

i

Criminalística digital

Formación Técnica
y jurídica

Cuerpo normativo

Perito Informático

Academia

Gobierno

Delitos Informáticos y Evidencia Digital

Administración de Justicia

JCM10-All rights reserved

29

Ciclo de Vida

Administración de la Evidencia Digital

Ciclo de vida de la admin