1 Computación Forense Proceso de identificar, preservar, analizar y presentar evidencia digital en una forma que es legalmente aceptable (Mc Kemmish, 1999) Crimen Informático Cualquier comportamiento ilegal cometido por medio o en relación con un sistema informático o red. El PC o la red puede ser la herramienta o la víctima o el medio de un crimen.
2 Computación Forense Propósitos del análisis forenseHabilitar a las organizaciones para emprender procesos legales contra los atacantes Proveer conocimiento técnico comprensivo de cómo el ataque llegó desde el origen al destino
3 Computación Forense Evidencia digitalConcluir quien ha lanzado un ataque Entregar información para prevenir ataques del mismo tipo Evidencia digital “la evidencia digital es información de valor probatorio almacenada o transmitida en forma digital” SWGDE (Scientific Working Group on Digital Evidence)
4 Computación Forense Evidencia digital Características críticasFrágil Volátil Ventajas Repetible Recuperable
5 Normativa forense Codes of practises for Digital Forensics (CP4DF)Cubre cuatro fases: Aseguramiento de la escena Identificación de las evidencias digitales Preservación Análisis Presentación y reportes
6 Normativa forense RFC 3227 Define una “Guidelines for Evidence Collection and Archiving”, Febrero de 2002. Define los pasos a seguir para obtener información a partir de su volatilidad (Order of Volatility) Proceso de recolección Proceso de archivo
7 Normativa forense Proyecto CTOSE (Cyber Tools On-Line Search for Evidence) Proyecto de la Comunidad Europea Crear una metodología para definir el proceso de recuperación de información
8 Normativa forense En colombia: Ley 906 de 2004Legislación referente a la investigación (Art. 200 al Art. 236) Legislación referente a la cadena de custodia (Art. 254 al Art. 266) Legislación referente a la evidencia (Art al Art. 278) Legislación referente a las pruebas en general (Art. 372 al Art. 382) Legislación referente a la prueba pericial (Art. 405 al Art. 423)
9 Computación Forense La evidencia digital debe ser: Admisible AuténticaCompleta Confiable. Creíble
10 Computación Forense Cadena de custodia Muestra:Pasos o procedimientos para preservar la prueba digital que permita convertirla y usarla como evidencia digital Muestra: Quién obtuvo la evidencia Dónde y cuando fue obtenida la evidencia Quién protegió la evidencia Como se almacenó Quién ha tenido acceso a la evidencia
11 Computación Forense Fiscalía General de la nación
12 Computación Forense Fiscalía General de la nación
13 Computación Forense Fiscalía General de la nación
14
15
16
17
18 Computación Forense Principio de transferencia de LocardCualquier objeto que entra en la escena del crimen deja un rastro en la escena y viceversa Escena del crimen Sospechoso Víctima Evidencia
19 Computación Forense Información útil Archivos eliminados MAC TimesModificación (Modification): Cambios en el fichero o directorio a nivel de su contenido. Acceso (Access): Acciones de lectura, escritura (puede no implicar cambio), etc. Cambio (Change): Cambio a nivel de características del fichero (permisos, usuario propietarios, etc.) Archivos de log
20 Preservación de evidencia volátilEn lo posible no apagar la máquina y recoger inmediatamente la evidencia volátil sin alterar la Escena Usar el mínimo de memoria posible para no sobrescribir Aislar la máquina de la red para evitar lteraciones Guardar la información en otro dispositivo (Pendrive, otro equipo seguro, etc.)
21 Preservación de evidencia persistenteApagar sin correr secuencia de bajada Documentar conexiones Identificar y precintar Utilizar material adecuado para el transporte (interferencia electromagnética, humedad) Guardar en lugar seguro y limpio Verificar secuencia de booteo Utilizar software forense Bootear con un sistema propio Autentificar (hash) Copia bit-a-bit (2 copias para trabajo)
22 Herramientas Sw The Coroner’s ToolkitRealiza el análisis de sistemas UNIX Sistemas UNIX/Windows, cuenta con interfaz gráfica (Autopsy) Foundstone Forensic Utilities Forensic and Log Analysis GUI (FLAG) Proyecto del DoD Australiano FTK
23 Equipo Herramientas de Hw Cámara fotográfica, PC con sw forenseRed (cable LAN, cable plano, cable cruzado y cable de consola) Almacenamiento (cables IDE, cables SATA, cables USB, cables Firewire y cables SCSI Hub, conmutadores (switches), lectores de dispositivos portátiles de almacenamiento (Memory Stick, Multimedia Card, entre otras) y cables de poder.
24 Equipo Herramientas de Hw Cable IDE Cable ATA Cable USB Cable firewireCable SCSI Cable de poder Hub switch
25 Equipo Herramientas de Hw Lector de tarjetas Tarjetas de Discos durosalmacenamiento DFU Bolsa electrostática Caja de Faraday
26 Práctica forense (1) Herramienta Forensic Tool Kit (FTK)Realizar una copia de seguridad de una carpeta y firmar cada archivo. Comprobar con Md5
27 Práctica forense (1)
28 Práctica forense (1) Exportar los archivos a una carpetaExportar las firmas hash de cada archivo
29 Recuperación de información eliminadaEliminar la evidencia Hacer una imagen de la unidad Realizar copia de seguridad y analizar
30 Recuperación de información eliminada
31 Recuperación de información eliminada
32 Recuperación de información eliminada
33 Práctica forense (1) Cargar el archivo imagen disk1-04.IMAPista: Se sospecha de Jim. Múltiples delitos, especialmente contrabando y robo de propiedad intelectual (Acusado por John Mellon) y tráfico de animales exóticos. Descubrir: ¿Quiénes trabajan en la operación de contrabando? ¿En dónde está ubicada la bodega secreta? ¿Hay evidencia de alguna cuenta bancaria o de alguna transacción? ¿Qué fue robado a John Mellon? ¿Hay evidencia de tráfico de animales exóticos?
34 Práctica forense (2) Leer el informedelapolicia.docCargar el archivo imagen disk2-04.IMA
35 Práctica forense (2) Recuperar los archivos y analizar la evidenciaHallar cualquier tipo de evidencia que permita identificar o capturar a los implicados. Hallar el password
36 Biometría
37 Biometría Ciencia que se dedica al análisis y medición de individuos a partir de una característica anatómica o un rasgo de su comportamiento. Posesión Conocimiento Característica Sistema Biométrico Anatómicas Comportamiento Huella dactilar Ojos Manos Cara Venas Voz Firma
38 Características de un indicador biométricoUniversalidad. Cualquier persona posee esa característica. Unicidad. La existencia de dos personas con una característica idéntica tiene una probabilidad muy pequeña. Permanencia. La característica no cambia en el tiempo. Cuantificación. La característica puede ser medida en forma cuantitativa.
39 Características de un sistema biométricoDesempeño. Exactitud, rapidez y robustez alcanzada en la identificación, además de los recursos invertidos Aceptabilidad. Grado en que la gente está dispuesta a aceptar un sistema biométrico en su vida diaria (seguridad, confianza). Fiabilidad. Dificultad para burlar al sistema. El sistema biométrico debe reconocer características de una persona viva, pues es posible crear dedos de látex, grabaciones digitales de voz prótesis de ojos…
40 Sistemas Biométricos actualesLas técnicas biométricas más conocidas están basadas en los siguientes indicadores biométricos: Huellas dactilares Geometría de la mano Iris, Retina Rostro, Termograma del rostro Venas de las manos Voz Firma.
41 Arquitectura de un sistema biométrico
42 Huella Dactilar Una huella dactilar es la representación de la morfología superficial de la epidermis de un dedo, en cual se forman una serie de crestas y surcos.
43 Técnicas para verificación de las huellasBasada en Detalles: Esta técnica elabora un mapa con la ubicación relativa de "detalles" sobre la huella, los cuales permiten ubicar con certeza a un individuo. Isla Bifurcación Final Punto Lago
44 Técnicas para verificación de las huellasBasadas en correlación: La huella digital se clasificarla por medio de algoritmos en una de las siguientes cinco clases: Anillo de Crestas. Lazo Derecho. Lazo Izquierdo. Arco. Arco de Carpa.
45 Geometría de mano Se trata de la medición de las características físicas de manos y dedos desde una perspectiva tridimensional.
46 Identificación del IrisSe captura una imagen del iris en blanco y negro, en un entorno iluminado; la imagen se somete a deformaciones pupilares y de ella se extraen patrones, que a su vez son sometidos a transformaciones matemáticas.
47 Identificación de RetinaLa retina es barrida por una luz infrarroja de baja intensidad vía un acoplador óptico con el fin de medir 320 puntos predefinidos en el diagrama de las venas.
48 RECONOCIMIENTO FACIALEl reconocimiento facial compara las características faciales con una imagen previamente escaneada
49 TERMOGRAMA DEL ROSTRO Temperatura corporal: el flujo de sangre crea una emisión de calor que es única para cada persona y que puede ser captada por cámaras infrarrojas.
50 CONTROL DE VENAS Se basa en la comparación de la estructura de los vasos subcutáneos sanguíneos (venas) de la parte superior.
51 CONTROL DE VENAS Mofiria:Se basa en una luz infrarroja y una cámara con un sensor CMOS con lo que se puede fotografiar y reconocer las venas de nuestros dedos. Sony ha encontrado la forma de hacerlo comercial y de reconocer el mapeo de venas y capilares sin importar la posición de nuestro dedo. Las pruebas en productos comenzarían a finales de este año o comienzos del 2010.
52 CONTROL DE VENAS Mofiria tarda segundos en un PC y en medio segundo si se instala en un teléfono móvil La compañía ha dicho que el índice de falsos rechazos es menor al 0.1 por ciento Ratón biométrico de fujitsu
53 VERIFICACIÓN POR TECLADOPermite al ordenador identificar al usuario por medio del ritmo que utiliza al golpear el teclado, inutilizándolo así para quien no esté autorizado.
54 OLOR CORPORAL Los sensores de olor, aún en desarrollo, utilizan un proceso químico similar al que se produce entre la nariz y el cerebro, sin que los perfumes sean capaces de enmascarar el olor particular de cada uno.
55 VERIFICACIÓN POR VOZ Se emplea la biometría física y de conducta con el objetivo de analizar patrones de habla e identificar al interlocutor. El patrón creado previamente por el interlocutor, debe ser digitalizado y mantenido en una base de datos que generalmente es una Cinta Digital de Audio. Micrófonos ópticos Campo de recepción Unidireccionales del micrófono
56 Verificación de firma Mide el tiempo, la presión, la velocidad, el ángulo de colocación del lápiz y la velocidad de las curvas, todo a través de un lápiz óptico con el que la persona firma en un soporte específico o pad.
57 Otros El análisis de ADN, el reconocimiento mediante el lóbulo de la oreja, la detección por medio de la medición de la muñeca y la tecnología que identifica a las personas mediante su forma de caminar. Se encuentran en fase experimental, por ahora, sólo tienen uso militar.
58 Desventajas de los Métodos BiométricosProblemas sociales. Cualquiera de las técnicas biométricas que se vaya a utilizar, requiere ser socialmente aceptable Problemas técnicos. La tolerancia a errores (de índole organizativa) y el almacenamiento de la ficha biométrica. Problemas de normalización. Los temas han sido abordados por innumerables organismos de normalización que tienen poca o ninguna práctica en actividades colaboradoras, algo que tarda mucho en desarrollarse. Aspectos financieros y de costos. La ficha biométrica requiere equipos especiales para su obtención y verificación, que hace incurrir en costes adicionales. Además, su uso tiene otros costes, como los de verificación, administración, custodia y clasificación.
59 RFID Identificación por radiofrecuencia Estándar RFID.Sistemas activos y pasivos. Frecuencias de operación. Categoría Frecuencia Baja frecuencia Alta frecuencia Ultra Alta frecuencia Microondas 125 – 134 KHz 13.56 MHz 868 – 596 MHz 2.45 GHz
60 RFID No requiere una linea de visiónNo requiere de intervención humana (Ideal para automatizar) Distancias de lectura de 1 a 10m Lectura simultanea de multiples artículos (protocolo anticolisión) Hasta 500 lecturas por minuto (más de 5 veces más rápido que un código de barras) No le afectan los ambientes sucios Capacidad de lectura y escritura
61 RFID Aplicaciones. Identificación de animales.Monitorización de mercancias. Sistemas antirrobo. Tarjetas de crédito. Pasaportes. Identificación de productos. Telemetría. Medios de pago. IDENTIFICACION DE PERSONAS
62 Desventajas de RFID Costo: Las etiquetas de RFID son mas costosas que los código de barras No existe un estándar global: Las frecuencias usadas para RFIP en EEUU son actualmente incompatibles con las de Europa y Japón Seguridad y privacidad: El rastreo ilícito de las etiquetas RFID es un riesgo a la privacidad Riesgo de cáncer
63 RFID Organizaciones en contra:CASPIAN (consumers against supermarket privacy invasion and numbering) CNIL (Comission Nationale de l’Informatique et des Libertés) American Civil Liberties Union
64 “A todos, pequeños y grandes, ricos y pobres, libres y esclavos, se les ponga una marca en la mano derecha, o en la frente; y que ninguno pueda comprar ni vender, sino el que tenga la marca o el nombre de la bestia, o el número de su nombre" (Apocalipsis 13:16,17).
65 Referencias Computer Forensics Tool Testing Project HERNÁNDEZ SAMPIERI, Roberto & Otros; Metodología de la Investigación, Ed. McGraw Hill, 1991 ANÁLISIS FORENSE DE SISTEMAS LINUX, Juan Manuel Canelada Oset Grupo de Seguridad de las Tecnologías de la Información y las Comunicaciones. Universidad Carlos III de Madrid