informÁtica forense
DESCRIPTION
Gendarmería Nacional Argentina. INFORMÁTICA FORENSE. División de Policía Científica Agrupación VII “Salta”. Subalférez Lautaro Martín GIMÉNEZ. TEMARIO. METODOLOGÍA DE LA INSPECCIÓN OCULAR Y SECUESTRO DE ELEMENTOS EN LA ESCENA DEL CRIMEN DIGITAL LA EVIDENCIA DIGITAL - PowerPoint PPT PresentationTRANSCRIPT
División de Policía CientíficaAgrupación VII “Salta”
Gendarmería Nacional Argentina
Subalférez Lautaro Martín GIMÉNEZSubalférez Lautaro Martín GIMÉNEZ
GNA - Agrupación VII “Salta”
METODOLOGÍA DE LA INSPECCIÓN OCULAR Y SECUESTRO DE ELEMENTOS EN LA ESCENA DEL CRIMEN DIGITAL
LA EVIDENCIA DIGITAL◦ Verificación, Identificación y Documentación.
ADQUISICIÓN◦ Certificación de Evidencia Digital mediante
Funciones de Hashing (MD5 y SHA1)◦ Preservación◦ Cadena de Custodia.
TEMARIO
GNA - Agrupación VII “Salta”
GNA - Agrupación VII “Salta”
EQUIPO A LLEVAR◦ GUANTES◦ ZAPATILLAS SEGURAS PARA CONEXION◦ FUENTE (110V/220V)◦ MAQUINAS DE FOTOGRAFIAS◦ DVD◦ CD◦ SWITCH
ADAPTADOR DE SWITCH◦ CABLES UTP◦ BOLSAS ANTI-ESTÁTICA◦ GOMA ESPUMA
GNA - Agrupación VII “Salta”
EQUIPO A LLEVAR:◦ PC O NOTEBOOK con suficientes puertos USB 2.0
y FW 800◦ Bloqueador de Escritura (Write Blocker)◦ Cables de conexión/Adaptadores/Interfaces/ Cajas
para removibles/LAN Crossover…◦ Software Forense (F-SW)◦ Discos de almacenamiento de destino SANITIZADOS (WIPEADOS)
GNA - Agrupación VII “Salta”
◦ VERIFICAR SU PROPIA SEGURIDAD USAR GUANTES
◦ INVENTARIAR TODO LO ENCONTRADO LAPTOPS CELULARES DISKETTES MEMORIAS FLASH BLACKBERRYS DISCOS RÍGIDOS PEN DRIVES PDAs CAMARAS DIGITALES REPRODUCTORES DE MP3
GNA - Agrupación VII “Salta”
INVENTARIAR TODO LO ENCONTRADO
GNA - Agrupación VII “Salta”
CONSULTAR CONEXIONES◦ PROVEEDOR DE INTERNET
FOTOGRAFIAR LOS EQUIPOS FOTOGRAFIAR LAS CONEXIONES DE LOS
EQUIPOS
GNA - Agrupación VII “Salta”
FOTOGRAFIAR LOS EQUIPOS
DOCUMENTAR
GNA - Agrupación VII “Salta”
FOTOGRAFIAR LAS CONEXIONES EXTERNAS, ENTRE LOS EQUIPOS
DOCUMENTAR
GNA - Agrupación VII “Salta”
FOTOGRAFIAR CONEXIONES INTERNAS
DOCUMENTAR
GNA - Agrupación VII “Salta”
FOTOGRAFIAR LAS PANTALLAS
DOCUMENTAR
GNA - Agrupación VII “Salta”
RECORDAR JERARQUÍA DE EVIDENCIA DIGITAL:◦ DATOS VOLÁTILES
Registros del Procesador Contenido de Memoria Caché Contenido de Memoria RAM Conexiones de Red Procesos activos
◦ DATOS NO VOLÁTILES Contenido del Sistema de Archivos y Medios de
Almacenamiento Fijos Contenido Medios de Almacenamiento
Removibles
VOLÁTIL
MENOS VOLÁTIL
GNA - Agrupación VII “Salta”
HORA Y FECHA DEL SISTEMA PROCESOS EN EJECUCIÓN CONEXIONES DE RED PUERTOS ABIERTOS APLICACIONES ESCUCHANDO EN SOCKETS
ABIERTOS USUARIOS CONECTADOS (LOGGED ON) INFORMACIÓN ALMACENADA EN MEMORIA
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL◦ SI ESTAN PRENDIDOS LOS EQUIPOS (Intérprete de
comandos cmd): date /t && time /t netstat –na ipconfig /all systeminfo doskey /history psloggedon pslist
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL FECHA Y HORA CON:
date /t && time /t Si están habilitadas las extensiones de comandos, el
comando DATE admite el parámetro /T, que indica al comando mostrar tan sólo la fecha actual sin pedir una nueva fecha.
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL CONEXIONES DE RED ACTIVAS CON:
netstat -na Muestra estadísticas del protocolo y conexiones
TCP/IP actuales. -n muestra números de puertos y direcciones en
formato numérico -a muestra todas las conexiones y puertos de
escucha.
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL CONFIGURACIÓN DE RED:
ipconfig -all -all muestra toda la información de la conexión
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL CONFIGURACIÓN DEL SISTEMA:
systeminfo Permite al administrador buscar información básica
de configuración del sistema.
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL HISTÓRICO DE COMANDOS CON:
doskey /history Edita líneas de comandos, recupera comandos de
Windows XP y crea macros.
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL USUARIOS CONECTADOS AL SISTEMA CON:
psloggedon.exe
http://technet.microsoft.com/en-us/sysinternals/default.aspx
GNA - Agrupación VII “Salta”
RECOLECTAR INFORMACIÓN VOLÁTIL PROCESOS EN EJECUCIÓN CON:
pslist.exe
http://technet.microsoft.com/en-us/sysinternals/default.aspx
GNA - Agrupación VII “Salta”
◦ DESCONECTAR LA CONECTIVIDAD CABLES DE RED VERIFICAR CONEXIONES WI-FI
DOCUMENTAR
GNA - Agrupación VII “Salta”
◦ APAGAR LAS COMPUTADORAS
DOCUMENTAR
GNA - Agrupación VII “Salta”
APAGADO LIMPIO◦ Ventajas:
Mantiene la integridad del Sistema de Archivos
◦ Desventajas: Cambia el estado del sistema Cambia información del Sistema de Archivos Malware puede borrar evidencia al detectar
el apagado del equipo
GNA - Agrupación VII “Salta”
DESCONECTAR◦ Ventajas:
Mantiene el estado del sistema cuando estaba trabajando (excepto memoria RAM)
◦ Deventajas: Corrupción del Sistema de Archivos
GNA - Agrupación VII “Salta”
APAGAR LAS COMPUTADORAS - TIRAR DEL CABLE DE ELECTRICIDAD◦ D.O.S.◦ WINDOWS 3.1◦ WINDOWS 95/98/ME◦ WINDOWS NT WORKSTATION ◦ WINDOWS XP◦ WINDOWS VISTA◦ WINDOWS 7
GNA - Agrupación VII “Salta”
APAGAR LAS COMPUTADORAS - APAGAR NORMALMENTE◦ WINDOWS NT SERVER◦ WINDOWS 2000◦ WINDOWS 2000 SERVER◦ WINDOWS 2003 SERVER◦ LINUX/UNIX◦ MAC OS X
GNA - Agrupación VII “Salta”
GUARDAR LA EVIDENCIA◦ UTILIZAR BOLSAS ANTI-ESTÁTICA
DOCUMENTAR
GNA - Agrupación VII “Salta”
GUARDAR LA EVIDENCIA◦ UTILIZAR GOMA ESPUMA
DOCUMENTAR
GNA - Agrupación VII “Salta”
DOCUMENTACIÓN (EN PAPEL) DE:◦ Confiscación o Secuestro◦ Custodia◦ Control◦ Transferencia◦ Análisis◦ Remisión de evidencia digital
MANIPULAR LA EVIDENCIA CUIDADOSAMENTE PARA EVITAR ALEGATOS DE ADULTERACIÓN Y/O FALSIFICACIÓN DE LA EVIDENCIA DIGITAL
GNA - Agrupación VII “Salta”
DEBE DOCUMENTARSE EL PROCESO DE CICLO DE VIDA DE LA EVIDENCIA DIGITAL:◦ Métodos◦ Horarios◦ Fechas◦ Identidad del Personal Involucrado◦ Etc.
DEBE DOCUMENTARSE:◦ DÓNDE ESTUVO LA EVIDENCIA?◦ QUIÉN TUVO ACCESO A LA MISMA?◦ DESDE LA OBTENCIÓN INICIAL HASTA QUE LLEGUE A
LOS TRIBUNALES DE JUSTICIA
GNA - Agrupación VII “Salta”
Fecha de contacto con la evidencia Nombre de la persona Registro del pasaje de una persona a otra Registro del pasaje de una ubicación física a
otra Tareas realizadas durante la posesión Sellado de la evidencia al finalizar la posesión Registro de testigos Fotografías de la evidencia en las tareas
realizadas Log de actividades durante la posesión
GNA - Agrupación VII “Salta”
DOCUMENTAR:◦ Qué es la evidencia?◦ Cómo se la obtuvo?◦ Cuándo fue obtenida?◦ Quién la obtuvo?◦ Dónde viajó?◦ Dónde fue guardada?
GNA - Agrupación VII “Salta”
PASOS:◦ VERIFICAR SU PROPIA SEGURIDAD◦ INVENTARIAR TODO LO ENCONTRADO◦ FOTOGRAFIAR LOS EQUIPOS◦ FOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOS◦ FOTOGRAFIAR LAS PANTALLAS◦ RECOLECTAR INFORMACIÓN VOLÁTIL
FECHA Y HORA CONEXIONES DE RED ACTIVAS INFORMACIÓN DEL SISTEMA HISTÓRICO DE COMANDOS USUARIOS LOGGEADOS AL SISTEMA PROCESOS ACTIVOS
◦ DESCONECTAR LA CONECTIVIDAD◦ APAGAR LAS COMPUTADORAS◦ GUARDAR LA EVIDENCIA◦ PROTEGER LA CADENA DE CUSTODIA◦ ACTA CONSTANCIA
División de Policía CientíficaAgrupación VII “Salta”
Gendarmería Nacional Argentina
Subalférez Lautaro Martín GIMÉNEZSubalférez Lautaro Martín GIMÉNEZ
E-mail: [email protected]: [email protected]
Tel: 0387-4390100 Int 28/36Tel: 0387-4390100 Int 28/36
Dirección: LOS ALAMOS S/N Bº CHACHAPOYAS – SALTA -Dirección: LOS ALAMOS S/N Bº CHACHAPOYAS – SALTA -