Publicado el 16 de Mayo del 2017
1.398 visualizaciones desde el 16 de Mayo del 2017
2,0 MB
41 paginas
Creado hace 13a (07/06/2010)
Riesgos emergentes para los informáticos
forenses.
Retos y oportunidades
Jeimy J. Cano, Ph.D, CFE
Profesor Distinguido
GECTI - Facultad de Derecho
Universidad de los Andes
¡ NOTA DE ADVERTENCIA !
• La presentación que se desarrolla a continuación es producto del
análisis de fuentes y mejores prácticas en computación forense y
anti-forense, y su aplicación en diferentes contextos tecnológicos.
• Las reflexiones y propuestas que se presentan en este documento
son una excusa académica para continuar aprendiendo de este
novedoso y exigente mundo de la computación forense y anti-
forense.
JCM10-All rights reserved
2
Agenda
1
2
3
4
5
6
Introducción (Preocupaciones de los CEO y CIO)
Estado de la investigación en computación forense
Retos emergentes en seguridad de la información
Desafíos de la computación forense
Reflexiones finales
Referencias
JCM10-All rights reserved
3
Preocupaciones de los CEO
JCM10-All rights reserved
Tomado de: Mckinsey Quarterly Sept.2008 – How global executives view sociopolitical issues. Pag 5
4
Preocupaciones de los CIO
JCM10-All rights reserved
Tomado de: LUFTMAN, J., KEMPAIAH, R. y NASH,E. 2006. pag.83
5
Estado de la investigación en cómputo forense
JCM10-All rights reserved
Tomado de: Nance, Hay y Bishop 2009.
6
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
JCM10-All rights reserved
7
Riesgos
Entorno
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
Cooperación
JCM10-All rights reserved
Visión
holística
8
Riesgos
CUMPLIMIENTO
Entorno
ESTRATEGIA
APRENDIZAJE
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
Cooperación
INVESTIGACIONES
JCM10-All rights reserved
Visión
holística
9
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
Riesgos
CUMPLIMIENTO
Entorno
ESTRATEGIA
INFRAESTRUCTURAS
APRENDIZAJE
PERSONAS
DATOS
Cooperación
INVESTIGACIONES
Visión
holística
JCM10-All rights reserved
Riesgos
CUMPLIMIENTO
Entorno
Perímetro
Extendido
ESTRATEGIA
INFRAESTRUCTURAS
APRENDIZAJE
PERSONAS
DATOS
Cooperación
INVESTIGACIONES
Visión
holística
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
JCM10-All rights reserved
11
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
Riesgos
CUMPLIMIENTO
Entorno
Ambientes
virtuales
Perímetro
Extendido
ESTRATEGIA
INFRAESTRUCTURAS
APRENDIZAJE
PERSONAS
DATOS
Cooperación
INVESTIGACIONES
Visión
holística
JCM10-All rights reserved
12
Riesgos
CUMPLIMIENTO
Entorno
Computación en
la nube
Ambientes
virtuales
Perímetro
Extendido
ESTRATEGIA
INFRAESTRUCTURAS
APRENDIZAJE
PERSONAS
DATOS
Cooperación
INVESTIGACIONES
Visión
holística
n
ó
i
c
a
m
r
o
f
n
i
a
l
e
d
d
a
d
i
r
u
g
e
s
n
e
s
e
t
n
e
g
r
e
m
e
s
o
t
e
R
JCM10-All rights reserved
13
Desafíos de la computación forense
Inseguridad Informática
Stream
Video
Máquinas
Virtuales
Archivos
Cifrados
Computación Forense
Dispositivos
Móviles
Análisis
en vivo
JCM10-All rights reserved
14
Desafíos de la computación forense
DOS
1980
Windows
1990
NTFS
2000
EXT3
FAT
Encase, FTK,
Winhex, Smart,
Sleuth Kit, Paraben
Toolkit, ASR Data
Madurez de la
herramientas forenses
informáticas
2015
Windows
/Linux
JCM10-All rights reserved
Mac/
Móviles
HFS/ZFS
15
Desafíos de la computación forense
Destrucción de la evidencia
Eliminación de la fuente
Técnicas
Antiforenses
Falsificación de la evidencia
Ocultar la evidencia
JCM10-All rights reserved
16
Desafíos de la computación forense
- Técnicas antiforenses -
• Una definición base:
– “Cualquier intento exitoso efectuado por un individuo o proceso
que impacte de manera negativa la identificación,
la
disponibilidad, la confiabilidad y la relevancia de la evidencia
digital en un proceso forense”.
JCM10-All rights reserved
17
Desafíos de la computación forense
- ¿Qué buscan las técnicas antiforenses?
– Limitar la detección de un evento que haya ocurrido.
– Distorsionar la información residente en el sitio.
– Incrementar el tiempo requerido para la investigación del caso.
– Generar dudas en el informe forense o en el testimonio que se presente.
– Engañar y limitar la operación de las herramientas forenses informáticas.
– Diseñar y ejecutar un ataque contra el investigador forense que realiza la
pericia.
– Eliminar los rastros que pudiesen haber quedado luego de los hechos
investigados.
JCM10-All rights reserved
Tomado de: CANO 2009, Cap.4
18
MoDeRaTA - Consideraciones
• Niveles
– Definen los elementos susceptibles donde se pueden materializar las
técnicas antiforenses
• Detección y Rastreo
– Establece los rangos y grados en los cuales es posible detectar y rastrear la
materialización de técnicas antiforenses
– Incluye el nivel de esfuerzo (sofisticación) requerido por el atacante para
materializar la técnica antiforense
•
Técnica utilizada
– Destruir / Mimetizar / Manipular / Deshabilitar,
las cuales se pueden
materializar en todos los nivel definidos en el modelo
JCM10-All rights reserved
19
Modelo Conceptual de detección y rastreo de
técnicas antiforenses – MoDeRaTA
Menor Visibilidad
/ Menor probabilidad
de rastros
Mayor nivel de
sofisticación
n
ó
i
c
c
e
t
e
d
e
d
s
e
l
e
v
i
N
o
e
r
t
s
a
r
y
Mayor Visibilidad
/ Mayor probabilidad
de rastros
JCM10-All rights reserved
Destruir
Mimetizar
Manipular
Deshabilitar
MEMORIA
PROCESOS
SISTEMAS DE ARCHIVO
APLICACIONES
GESTIÓN DE (IN)SEGURIDAD
Niveles de Análisis
Menor nivel de
sofisticación
20
Desafíos de la computación forense
l
a
t
i
g
D
a
i
i
c
n
e
d
v
E
a
i
l
i
e
d
n
ó
c
a
r
t
s
n
m
d
A
i
i
Criminalística digital
Formación Técnica
y jurídica
Cuerpo normativo
Perito Informático
Academia
Gobierno
Delitos Informáticos y Evidencia Digital
Administración de Justicia
JCM10-All rights reserved
21
El proceso forense y la administración de justicia
Tomado de: Digital Forensics and the legal System. James Tetteh Ami-Narh y Patricia A H Williams. Edith Cowan University. Australia. Proceedings
of The 6th Australian Digital Forensics Conference. 2008
JCM10-All rights reserved
22
Desafíos de la computación forense
l
a
t
i
g
D
a
i
i
c
n
e
d
v
E
a
i
l
i
e
d
n
ó
c
a
r
t
s
n
m
d
A
i
i
Criminalística digital
Formación Técnica
y jurídica
Cuerpo normativo
Perito Informático
Academia
Gobierno
Delitos Informáticos y Evidencia Digital
Administración de Justicia
JCM10-All rights reserved
23
Necesidades identificadas por los gobiernos
•
Estados Unidos – National Institute of Justice - 2001
–
Principales preocupaciones alrededor de la delincuencia informática
•
•
•
•
•
•
•
•
•
•
Concientización del público
Estadísticas y datos sobre delitos informáticos
Entrenamiento uniforme y cursos de certificación para investigadores
Asistencia en sitio para las unidades de lucha contra el delito informático
Actualización del marco normativo
Cooperación con los proveedores de alta tecnología
Investigaciones y publicaciones especializadas en crímenes de alta tecnología
Concientización y soporte de la gerencia
Herramientas forenses y de investigación criminal informática
Estructuración de Unidades de lucha contra el delito informático
Tomado de: Electronic crime needs assessment for state and local law enforcement. National Institute of Justice. Disponible en:
http://www.ojp.usdoj.gov/nij/pubs-sum/186276.htm . 2001
JCM10-All rights reserved
24
Desafíos de la computación forense
l
a
t
i
g
D
a
i
i
c
n
e
d
v
E
a
i
l
i
i
e
d
n
ó
c
a
r
t
s
n
m
d
A
i
Criminalística digital
Formación Técnica
y jurídica
Cuerpo normativo
Perito Informático
Academia
Gobierno
Delitos Informáticos y Evidencia Digital
Administración de Justicia
JCM10-All rights reserved
25
El informático forense – Formación
Justicia
Criminal y
Criminología
Principios de
contabilidad y
auditoria
Investigación
de crímenes
de alta
tecnología
Tecnologías de
Información y
Operaciones en
computadores
En Cano 2009, Cap.3, tomado de: MYERS JAY, Larry. High Technology Crime Investigation: A Curricular Needs Assesment Of
The Largest Criminal Justice And Criminology Programs In The United States, Tesis Doctoral Diciembre de 2000
JCM10-All rights reserved
26
Desafíos de la computación forense
l
a
t
i
g
D
a
i
i
c
n
e
d
v
E
a
i
l
i
e
d
n
ó
c
a
r
t
s
n
m
d
A
i
i
Criminalística digital
Formación Técnica
y jurídica
Cuerpo normativo
Perito Informático
Academia
Gobierno
Delitos Informáticos y Evidencia Digital
Administración de Justicia
JCM10-All rights reserved
27
Contraste de tres perfiles
Característica
Auditor TI
Examinador Fraude
Informático Forense
Temporalidad
Recurrente
No recurrente
Por demanda
Alcance
Objetivo
Relación
General Específico
Específico
Opinión
Acusación
Análisis técnico
No controversia
Controversia
No controversia
Metodología
Técnicas de auditoria Técnicas Ex. Fraude Técnicas de Inf. Forense
Presunción
Excepticismo Profesional
Pruebas
Pruebas
Buenas Prácticas
ISACA/IIA AICPA/ACFE HTCIA/IACIS
Adaptado de: WELLS, J. (2005) Principles of fraud examination. John Wiley & Sons. Pag.4
JCM10-All rights reserved
28
Desafíos de la computación forense
l
a
t
i
g
D
a
i
i
c
n
e
d
v
E
a
i
l
i
e
d
n
ó
c
a
r
t
s
n
m
d
A
i
i
Criminalística digital
Formación Técnica
y jurídica
Cuerpo normativo
Perito Informático
Academia
Gobierno
Delitos Informáticos y Evidencia Digital
Administración de Justicia
JCM10-All rights reserved
29
Ciclo de Vida
Administración de la Evidencia Digital
Ciclo de vida de la admin
Comentarios de: Riesgos emergentes para los informáticos forenses. (0)
No hay comentarios