![Page 1: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/1.jpg)
Informática Forense
William Ivan Alejandro Llanos Torrico
www.llanos.org
![Page 2: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/2.jpg)
Dispositivos de almacenamiento
Los datos nos se borran completamente
![Page 3: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/3.jpg)
Etimología
Fuente: http://buscon.rae.es/draeI
El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado”
![Page 4: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/4.jpg)
La Informática Forense es una disciplina criminalística que
tiene como objeto la investigación en sistemas informáticos
de hechos con relevancia jurídica o para la simple
investigación privada.
Definición y objetivo
![Page 5: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/5.jpg)
Definición
La informática forense en una ciencia que involucra:
- la ubicación- recuperación- preservación,- identificación,- extracción,- documentación- interpretación y
- presentación de datos que han sido procesados electrónicamente y
guardos en un medio computacional con fines legales.
![Page 6: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/6.jpg)
Quiénes usan la Informática Forense?
• Jueces y fiscales (materia penal)
• Jueces (materia civil)
• Compañias de seguro
• Corporaciones privadas
• Policías
• Personas particulares
Requerimiento de forenses informáticos
![Page 7: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/7.jpg)
Escena del crimen
![Page 8: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/8.jpg)
Escena del crimen
![Page 9: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/9.jpg)
![Page 10: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/10.jpg)
RFC 3227
Las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa.
Las circunstancias varían en función de muchas características:
- Los sistemas operativos involucrados.- Donde se encuentra la información.- Las consecuencias legales.- Que herramientas utilizamos para la toma de información
Guía para la recolección y almacenamiento de evidencias
Esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe.
![Page 11: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/11.jpg)
Requerimientos• Hardware
– Familiaridad con dispositivos internos y externos de un computador
– Profundo conocimiento de discos duros y configuraciones
– Conocimiento de tarjetas madre y configuración de chips
– Conexiones de alimentación– Memorias
• BIOS– Entender cómo funcina el BIOS– Familiaridad con varios tipos de configuración y
limitaciones de BIOS
![Page 12: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/12.jpg)
Requerimietos (cont)
• Sistemas Operativos– Windows 3.1/95/98/ME/NT/2000/2003/XP– DOS– MAC– LINUX
• Software– Familiaridad con la mayoría de los
paquetes comerciales populares
• Herramientas forenses– Familiaridad con las técnicas forenses
![Page 13: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/13.jpg)
Pasos a seguir 1/28Inventario
![Page 14: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/14.jpg)
Pasos a seguir 2/28Fotografiar los equipos
![Page 15: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/15.jpg)
Pasos a seguir 3/28Fotografiar las conexiones
![Page 16: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/16.jpg)
Pasos a seguir 4/28Fotografiar pantallas
![Page 17: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/17.jpg)
Pasos a seguir 5/28Recolección de información volátil1. date and time
RFC 3227
![Page 18: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/18.jpg)
Pasos a seguir 6/28Recolección de información volátil2. netstat -na
Conexiones activas
![Page 19: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/19.jpg)
Pasos a seguir 7/28Recolección de información volátil3. ipconfig /all
Configuración de red
![Page 20: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/20.jpg)
Pasos a seguir 8/28Recolección de información volátil4. systeminfo
Información del sistema
![Page 21: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/21.jpg)
Pasos a seguir 9/28Recolección de información volátil5. doskey /history
Histórico de comandos
![Page 22: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/22.jpg)
Pasos a seguir 10/28Recolección de información volátil5. psloggedon.exe
Usuarios logueados al sistema
![Page 23: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/23.jpg)
Pasos a seguir 11/28Recolección de información volátil5. pslist.exe
Procesos corriendo
![Page 24: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/24.jpg)
![Page 25: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/25.jpg)
Pasos a seguir 12/28Desconectar la conectividad
![Page 26: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/26.jpg)
Pasos a seguir 13/28Guardar la evidencia
![Page 27: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/27.jpg)
Pasos a seguir 14/28Proteger la cadena de custodia
- ¿ Qués es la evidencia ?- ¿ Cómo se la obtuvo ?- ¿ Cuando fue obtenida ?- ¿ Quién la obtuvo ?- ¿ Donde viajo y donde fue guardada ?
![Page 28: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/28.jpg)
Pasos a seguir 15/28Adquisición/preservación de la evidencia por HW
www.tableau.com
![Page 29: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/29.jpg)
Pasos a seguir 16/28Adquisición/preservación de la evidencia por SW
![Page 30: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/30.jpg)
![Page 31: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/31.jpg)
Pasos a seguir 17/28Autenticación de la evidencia
¿ Qué es un Hash ?- Método para generar una firma que represente de manera unívoca a un archivo.- Algunos algoritmos criptográficos usados: MD5 o SHA-1.- Gran cantidad de programas, como md5sum o md5deep.- http://www.forensicswiki.org/index.php?title=Hashing¿ Para qué sirve ?- Verificar que la evidencia no se ha modificado.- Identificar unívocamente a un archivo.- Realizar búsquedas de Hashes.
![Page 32: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/32.jpg)
Datos que serán recuperados y herramientas que serán utilizadas
Pasos a seguir 18/28Identificación
NO SE EMPIEZA una análisis explorando archivos al azar
![Page 33: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/33.jpg)
¿ Cómo funciona la Papelera de Reciclaje ?• Directorio oculto “RECYCLER”.• Directorios con el SID de cada usuario.• Posee un archivo oculto llamado INFO2.
¿ Dónde se guarda el archivo INFO2 ?• Windows 95/98/ME c:\Recycled\INFO2• Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2>
Pasos a seguir 19/28Análisis de la papelera de reciclaje
http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip
![Page 34: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/34.jpg)
Pasos a seguir 19/28Análisis de la papelera de reciclaje
- “cd RECYCLER”- “dir /ah”
![Page 35: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/35.jpg)
Pasos a seguir 20/28Análisis de metadatosDocumentos, tales como, Word, Excel, Powerpoint, etc.Contienes información sensible a la hora de realizas análisis.Metavier, de PINPOINT es una aplicación gratuita que muestra los metatags queestan incrustrados dentro de estos archivos
![Page 36: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/36.jpg)
Pasos a seguir 21/28Análisis de archivos de intercambio
Internet explorer guarda una copia de las páginas visitadas en el disco duro.Se puede borrar el cache de disco desde el propio Internet Explorer.El problema es que esta opción borra todo el contenido del historial de internet (los archivos html, los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat.Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema Desde el DOSC:\Documents and Settings\user_name\onfiguración local\Historial\History.IE5>find /i "http://" index.dat | sort > C:\historial.txt
![Page 37: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/37.jpg)
Pasos a seguir 22/28Análisis de periféricosCada que se ponde un dispositivo USB queda registrado
http://www.nirsoft.net/utils/usb_devices_view.html
![Page 38: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/38.jpg)
Pasos a seguir 23/28FD, CD, DVD
![Page 39: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/39.jpg)
Pasos a seguir 24/28Passwords
![Page 40: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/40.jpg)
Métodos de ocultamiento 25/28
– Cambiar los nombres y extensiones de archivos por ejemplo renombrar un archivo .doc a .dll
Firmas de archivo
![Page 41: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/41.jpg)
Métodos de ocultamiento 25/28 (cont)
– Encriptación: La información no está oculta, no se puede entender
h o l a
I p m b
![Page 42: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/42.jpg)
Pasos a seguir 25/28Esteganografía
![Page 43: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/43.jpg)
Métodos de detección y recuperación
• Stegoanálisis
• Criptología
• Software
![Page 44: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/44.jpg)
Análisis Forense de otros dispositivos 26/28
![Page 45: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/45.jpg)
Análisis Forense de otros dispositivos 26/28
![Page 46: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/46.jpg)
Evaluación 27/28
Datos que serán utilizados ?
![Page 47: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/47.jpg)
Razones para la evidencia• Rastreo de hábitos de Internet• Fraude• Extorsión• Espionaje Industrial• Posesión de pornografía• Investigaciones de SPAM• Distribución de virus• Investigación de homicidios• Propiedad intelectual• Hábitos sexuales• Piratería de software
![Page 48: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/48.jpg)
La prueba informática
• Registros (de sesión) y otra evidencia de intrusión de una red
• Software pirata
• Pornografía y otras imágenes.
• Documentos normales, cartas,notas
• Correo electrónico, fax y otra correspondencia electrónicamente transmitida
• Información financiera y transacciones
![Page 49: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/49.jpg)
La prueba informática
• Lista de clientes, víctimas, socios
• Archivos cache (memoria intermedia)
• Cookies de Internet y sitios visitados.
• Datos personales o de la compañía protegidos con contraseña
• Datos borrados o escondidos
![Page 50: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/50.jpg)
La prueba informática
Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es más difícil el desafío de obtenerla que el testimonio de testigos u otros tipos de evidencia .
![Page 51: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/51.jpg)
La prueba informática
Frecuentemente el descubrimiento y presentación de la evidencia computacional puede traer investigaciones o preguntas además de las sugerencias y conclusiones exitosas
![Page 52: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/52.jpg)
Presentación 28/28
Abogados, no técnicos, relación con la legislación
![Page 53: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/53.jpg)
Manejo de la evidencia• Admisibilidad de la evidencia
– La Ley determina qué evidencia potencial puede ser considerada en la Corte
– Debe ser obtenida de una forma que asegure la autenticidad y validez
• No se puede utilizar evidencia dañada, destruida o modificada, o comprometida por procesos de búsquedas
• Se debe prevenir la introducción de virus en el proceso de análisis
• La evidencia extraída debe ser apropiadamente manejada y protegida de daños físcos o electromagnéticos
![Page 54: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/54.jpg)
Anti-Forense
• Software que limita o corrompe la evidencia
• Distorción u ocultamiento de información
![Page 55: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/55.jpg)
Peritos y no peritos
• No se encuentran o recuperan los datos borrados
• No se recuperan las contraseñas de protección de datos
• No se encuentran o recuperan los datos ocultos
• Pérdida o corrupción de datos
• Colapso total de la computadora
• Asegurar la admisibilidad de los datos en juicio
![Page 56: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/56.jpg)
Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informáticos es una práctica casi obligatoria en el ámbito internacional
![Page 57: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/57.jpg)
Existe una gran diferencia entre el forense informático de un experto en informática, como lo es un médico de un médico forense
Experto vs. Forense
![Page 58: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/58.jpg)
Ingeniería de SoftwareIngeniería inversa
No resolver problema operativoExplicar la causa y el por qué
Experto vs. Forense
![Page 59: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/59.jpg)
El primer método de ataque por la otra parte es intentar prevenir la introducción de esa evidencia atacando al examinador
Atacando la evidencia
![Page 60: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/60.jpg)
Dónde se formó? Qué experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez compartió el software con alguien que no fue autorizado para usar ese software?
Atacando la evidencia
![Page 61: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/61.jpg)
Existen herramientas de HW y SW para el análisis forense informático, sin embargo es necesaria y obligatoria la formación complementaria de los profesionales informáticos.
Para finalizar
![Page 62: Informática Forense William Ivan Alejandro Llanos Torrico](https://reader036.vdocuments.net/reader036/viewer/2022081418/5665b4631a28abb57c911814/html5/thumbnails/62.jpg)
G R A C I A S
www.llanos.org