Evidencia digital. Adquisición y preservación de la prueba
Anuncio
EVIDENCIA DIGITAL: Casos Reales CURSO PARA LA PROCURACIÓN GENERAL DE LA NACIÓN DELITOS INFORMÁTICOS CUESTIONES RELACIONADAS CON LA INVESTIGACIÓN Y EL VALOR DE LA PRUEBA Evidencia digital. Adquisición y preservación de la prueba informática. Casos reales 24 / 25 de Junio de 2010 Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE [email protected] www.presman.com.ar 1 EVIDENCIA DIGITAL: Casos Reales Evidencia informática = Evidencia Digital = Evidencia Electrónica • La penetración de la tecnología informática en todos los espacios cotidianos y el extenso uso de las computadoras y otros dispositivos digitales facilita que gran cantidad de información que manipulamos se encuentre almacenada medios electrónicos Discos rígidos en computadoras Palms / PDA Teléfonos celulares Cámaras digitales Faxes .... 2 EVIDENCIA DIGITAL: Casos Reales Que diferencia la evidencia informatica de la evidencia tradicional ? • • • • La volatilidad La capacidad de duplicacion La facilidad de alterarla La cantidad de Metadatos que posee 3 EVIDENCIA DIGITAL: Casos Reales El “iceberg” de los datos Datos Obtenidos con herramientas comunes (p/ej Windows Explorer) Datos adicionales obtenidos con herramientas forenses (Borrados, Renombrados, Ocultos, Dificiles de obtener…) 4 EVIDENCIA DIGITAL: Casos Reales Fuentes de Metadatos • • • • El proceso de almacenamiento y borrado El acceso a Internet La ejecucion de impresiones El sistema operativo de la computadora 5 EVIDENCIA DIGITAL: Casos Reales Que cosas podemos obtener del analisis forense de la evidencia ? Con los datos visibles … • • • • • Documentos Bases de datos y registros contables Correos electronicos Fotos digitales Archivos y carpetas eliminadas 6 EVIDENCIA DIGITAL: Casos Reales Que cosas podemos obtener del analisis forense de la evidencia ? Con los datos invisibles … (metadatos …) • Usuarios del sistema y sus claves (Quien ?) • Actividad en el sistema operativo (Que ?) • Lineas de tiempo (Cuando ?) • Actividad en Internet (donde ?) • Ubicacion geografica de una computadora • Webmail • Impresiones realizadas • Medios removibles conectados • Fotos digitales y su relacion con camaras 7 EVIDENCIA DIGITAL: Casos Reales Caso I : XX c/YY s/Extorsión en Tentativa Gerardo Parz , socio de una importante empresa metalúrgica nacional comienza una actividad paralela en el mismo rubro y con el objeto de forzar un acuerdo para retirarse convenientemente de la empresa empieza una campaña “anónima”de amenazas y desprestigio a sus socios , que incluye la creación de un blog ofensivo contra la empresa y los socios restantes 8 EVIDENCIA DIGITAL: Casos Reales La empresa denuncia penalmente a Parz y se ordena el secuestrode las computadoras que este utiliza habitualmente en la empresa y en su domicilio. Se solicita una pericia Informática tendiente a determinar si de esas computadoras se publicó el blog en cuestión 9 EVIDENCIA DIGITAL: Casos Reales ALTERNATIVAS DE INVESTIGACION • Obtención de la IP del creador de contenidos (Pros y contras) • Busqueda local de contenidos y prueba de creación 10 EVIDENCIA DIGITAL: Casos Reales HALLAZGOS • Se encontro desinstalado el programa FTP utilizado para la creación del sitio • Se recuperó el log borrado del programa FTP que mostró la subida del texto original en fechas compatibles con la investigación. • Se encontraron fragmentos del texto con el contenido del blog. • Se encontró que el usuario habia descargado de internet al menos dos defragmentadores adicionales al sistema operativo , que los y se probó que los mismos fueron utilizados regularmente en fechas posteriores a la subida de contenido al blog 11 EVIDENCIA DIGITAL: Casos Reales 12 EVIDENCIA DIGITAL: Casos Reales Caso II:PP s /Infracción a la ley 23.737 En el transcurso de una investigación por esta causa se secuestraron 30 PCs , puestas a la venta en un sitio de internet. Se solicita una pericia informática para intentar establecer la Legitima Titularidad de los equipos 13 EVIDENCIA DIGITAL: Casos Reales Relevamiento Inventario externo Números de serie / COA Memoria RAM Características HD (Tamaño , Interfase , serial) Inspección Visual Daño físico (laterales , piezas faltantes) Planilla impresa con especificaciones Muestreo del contenido de HD 14 EVIDENCIA DIGITAL: Casos Reales Relevamiento El muestreo de contenido arrojó indicios que luego se corroboraron en el análisis forense : Todas las computadoras fueron reformateadas y reinstaladas con distribuciones Windows Colossus o WinUE Estas versiones no se encuentran reconocidas ni soportadas por Microsoft, desarrollador y titular de los derechos sobre los sistemas operativos Windows, siendo las mismas violatorias de las leyes de propiedad intelectual 11.723 y 25.036. 15 EVIDENCIA DIGITAL: Casos Reales Donde Buscar ? ESTRUCTURA DISCO ORIGINAL ESTRUCTURA DISCO ALTERADO 16 EVIDENCIA DIGITAL: Casos Reales Que Buscar ? Todas las Notebooks presumiblemente tenían antes del hecho ... Sistema Operativo Original Aplicaciones registradas Los equipos habrían tenido uso por lo que se buscó : Actividad de Email con direcciones registrables Conversaciones de Chat Documentos generados con datos personales y de configuración (Word Normal.DOT) 17 EVIDENCIA DIGITAL: Casos Reales RESULTADOS 3 Computadoras sin Datos suficientes o concluyentes 3 Computadoras de utilización por los imputados 24 Computadoras con datos personales que permiten ubicar a los titulares : Nombres Empresas Direcciones postales Telefonos fijos y Celulares Direcciones de Correo electrónico con dominio propio 18 EVIDENCIA DIGITAL: Casos Reales Caso III: NN s/ Infr. Art 128 1°parr. MD5 19 EVIDENCIA DIGITAL: Casos Reales Muchas Gracias por su participacion Ing. Gustavo Daniel Presman – MCP , EnCE , CCE, EnCI, ACE,NPFA, FCA ESTUDIO DE INFORMATICA FORENSE [email protected] www.presman.com.ar 20
