percias informaticas d piccirilli - dts2012
DESCRIPTION
Presentación Dario Piccirilli Jornadas derecho, tecnologia y Sociedad - CALP2012TRANSCRIPT
PRESERVACION PRUEBA DIGITAL
CADENA DE CUSTODIA
ASOC. ABOGADOS LA PLATA
La Plata - 12 Diciembre 2012
Definiciones
Informática Forense.
Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243).
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.
Informática forense
Se ocupa de:
– Procesos automatizados
– Factores humanos
– Metodologías y estándares
Procura:
– Identificar a los autores
– Descubrir los procesos que llevaron al suceso analizado
– Entender los procesos sistémicos u operativos que crearon el
problema.
La “Informática forense”, y en particular, la “computación
forense” apuntan en dos direcciones:
– Hacia “adentro”:
Clarificar y documentar procesos erróneos
Determinar responsabilidades internas
– Hacia “afuera”
Constituir prueba de validez legal para perseguir a
los autores de los incidentes
Informática forense
Computación forense
Es “un proceso para responder interrogantes sobre estados y eventos digitales” (Carter)
Admite una definición un poco más compleja:
– “... es el uso de técnicas especializadas para el recupero, la autenticación y el análisis de datos electrónicos cuando un caso involucra cuestiones relativas a la reconstrucción del uso de una computadora, el examen de datos residuales, la autenticación de los datos mediante análisis técnico, o la explicación de características técnicas de los datos y del uso de computadoras.
Computación forense
Técnicas especializadas de recupero, autenticación y análisis de datos
Para reconstrucción del uso de un sistema informático
Examinando datos residuales
Autenticando los datos mediante análisis técnico
Explicando características técnicas de datos y uso.
“La práctica forense informática requiere capacidades especializadas que van más allá de las técnicas usuales de recolección y preservación de datos disponibles para los usuarios comunes o el personal de soporte de los sistemas”
Computación forense
La práctica forense informática debe realizarse de modo que
adhiera a las normas legales sobre prueba admisibles ante
un tribunal. En consecuencia, la práctica es por naturaleza
técnico-legal, en lugar de puramente técnica o puramente
legal.
Consideraciones fundamentales:
– Entender a los sospechosos
– Entender la prueba
– Asegurar el entorno
Informática forense
La interpretación de la evidencia lograda (*)
– Es necesario la aplicación de herramientas + un
experto que las domine y explique al Juez el
resultado obtenido
– Analizar bien la herramienta a aplicar
(confiabilidad)
– Interactuar con expertos entrenados en el uso
de las herramientas (con experiencia +
conocimiento + dominio = credibilidad)
(*) Fred Cohen – Intituto de Investigaciones Forenses de California
Informática forense
Objetivos
Evitar la contaminación de la prueba (invalidación)
Definir – Respetar un protocolo pericial asociado a
la pericia informática
Establecer claramente los límites del proceso de
forensia a realizar (precisión en los puntos de
pericia)
Obtener y adjuntar los reportes automáticos que
generan las herramientas seleccionadas.
Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA I
1. Preparación del incidente (análisis de la
estretegia de información a obtener)
2. Detección del incidente
3. Preservación de la “escena del crimen”
4. Identificación del responsable (huellas
dactilares?)
Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA I
5. Intervención adecuada de los elementos (bolsas
antiestáticas, papel de protección para golpes, identificación
clara de los elementos, franjado completo de los equipos, uso
de bandas antiestáticas)
6. Generación de la “cadena de custodia”
7. Almacenamiento de los elementos
Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA I (Cadena de Custodia - Concepto)
La cadena de custodia de la prueba se define
como el procedimiento controlado que se aplica a los
indicios materiales relacionados con el delito, desde su
localización hasta su valoración por los encargados de
administrar justicia y que tiene como fin no viciar el manejo
de que ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones.
Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA II
1. Copia de forensia
2. Análisis de la evidencia (búsqueda – investigación)
3. Recuperación de le evidencia
4. Reporte – Informe Pericial
Informática forense
Metodología – Protocolo – Pasos a considerar
COPIA DE FORENSIA
Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA III
1. Preservación final de la prueba
2. Decisión (Análisis del Juez en relación al crimen)
3. Devolución de la fuente de evidencia
Informática forense
Objetivos de la metodología:
Obtener información de los elementos a peritar sobre
la base de una estrategia definida en relación con
el delito que se investiga:
– Información “legible”
– Información que pueda obtenerse de archivos
borrados
– Datos en particiones ocultas
– Datos en áreas de disco liberadas (slack space)