Ing. Gustavo Daniel Presman , MCP, EnCE , CCE [email protected]IUPFA , 26 al 28 de Agosto de 2008 V JORNADAS SOBRE TECNICAS DE INVESTIGACION DE DELITOS RELACIONADOS CON TECNOLOGÍA INFORMATICA Introducción a la Informática Forense ADQUISICIÓN DE EVIDENCIA DIGITAL www.presman.com.arpres man.com.ar
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Evidencia informática = Evidencia Digital = Evidencia Electrónica
• La penetración de la tecnología informática en todos losespacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada
medios electrónicos
�Discos rígidos en computadoras
�Palms / PDA
�Teléfonos celulares
�Cámaras digitales
�Faxes
� ....
4
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Que diferencia la evidencia informatica de la evidencia
tradicional ?
• La volatilidad
• La capacidad de duplicacion
• La facilidad de alterarla
• La cantidad de Metadatos que posee
5
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
El “iceberg” de los datos
DatosDatos ObtenidosObtenidos con con herramientasherramientas comunes comunes (p/(p/ej ej Windows Explorer)Windows Explorer)
DatosDatos adicionalesadicionales obtenidosobtenidoscon con herramientasherramientas forensesforenses
((BorradosBorrados, , RenombradosRenombrados, , OcultosOcultos, , DificilesDificiles de de obtenerobtener…)…)
6
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Que contiene un archivo de Imagen forense * ?
oCopia bit a bit Archivos
o Metadatos del sistema operativo
o Espacio utilizado y no utilizado
o Slack space
oMecanismos de Validación
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
7
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Que debe hacer una utilidad de imagen forense * ?
o Imagen “cruda” sin alterar el original
o Acceso a discos IDE , SCSI , SATA...
o Verificar la integridad del archivo
o Debe crear un log de errores
o Debe estar documentada
* Fuente : NIST : National Institute of standards and technology http://www.cftt.nist.gov/
8
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
COMO RESGUARDO EVIDENCIA DIGITAL ?
Al resguardar un medio magnético se puede:
1) Hacer una copia Forense(Archivo de evidencia)
2) Hacer un clonado Forense
3) Aportar el disco original
9
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Formatos de Archivos de Imágen
• Formato Abierto : dd�Formato universal de Linux/Unix
• Formato Propietario : Encase ,
FTK , Safeback�Formatos aceptados en numerosas cortes del
mundo y validados por instituciones
independientes
10
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Formato de evidencia “dd”
� Simple de utilizar
� Split externo
� Hash MD5 externo
� Compresión externa
� Checksum externo
� Sin límite de tamaño
11
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
Formato de evidencia “Encase”
� Simple de utilizar
� Split y compresión nativa
� Hash MD5
� CRC ajustable /granularidad
� límite de tamaño de cada split 2 GB
� Soporte password de adquisición
12
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ARCHIVOS DE EVIDENCIA
FORMATO 2
FORMATO 1
FORMATO 4
FORMATO 3
FORMATO 5
13
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
INTEROPERABILIDAD DE ARCHIVOS DE
EVIDENCIA
* Compatibilidad de las aplicaciones forenses
* Conversion de Formatos
14
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
ARCHIVOS DE EVIDENCIA LOGICA
ARCHIVO DE EVIDENCIA FISICA
•COPIA FISICA
•HASH MD5
•COPIA DE ARCHIVOS LOGICOS
•HASH MD5 DE CADA ARCHIVO
ARCHIVO DE EVIDENCIA LOGICA
15
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
•Adquisición Según el lugar
�Laboratorio
�Campo
•Adquisición por método
�Directa
�Indirecta
16
EVIDENCIA DIGITAL PARA NO INFORMATICOS
ADQUISICION DE EVIDENCIA
MODOS DE ADQUISICION
Aspectos a tener en cuenta para elegir el modo de adquisición