Subido por Jose R. Leonett

Manual de buenas prácticas y mejores consejos en Informática Forense

Anuncio
observatorio@ogdi.org
www.infogtm.com
www.ogdi.org
(502) 58666403
(502) 59360666
www.infogtm.com | www.ogdi.org
Uno de los grandes retos de los Peritos Forense digitales y en especial de los
primeros respondientes en la realización de un peritaje, donde se busca exponer que la organización solicitante del servicio ha destruido o alterado
inadvertidamente la evidencia digital que esperaban localizar.
Las acciones que realice el personal de estas instituciones u organizaciones
sin experiencia en el manejo de evidencias digitales pueden dar como resultado una situación en la que quedan muy pocos datos relevantes del hecho
para ser analizado o comprometer la validez de la misma por las malas prácticas en el proceso de recolección, llevando a todos el proceso a caer en la
teoría del fruto del árbol envenenado.
Tenemos que comprender como Peritos Digitales que cada caso es único y
tiene su propia morfología. Es por ello, que hemos realizado una lista basada en 10 puntos importantes para las buenas prácticas en los procesos de
peritajes digitales que de ser seguidas, nos ayudarán a realizar buenas prácticas en recolección de evidencias digitales en entornos judiciales y corporativos.
José R. Leonett
Perito Forense Digital / Redlif Latinoamérica
CEO/Founder Observatorio Guatemalteco de Delitos Informáticos—OGDI
Gerente Ciberseguridad INFO Y MAS Guatemala
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
01
www.infogtm.com | www.ogdi.org
10 COSAS QUE NO DEBE DE HACER
1) No trate de “echar un vistazo'“ y manipular los datos del dispositivo.
2) No involucre personal de la unidad de TI a menos que estén familiarizados
con protocolos en el manejo de pruebas electrónicas y digitales.
3) No involucre personal de la unidad de TI a menos que estén familiarizados
con los estándares de admisibilidad legal de evidencias digitales.
4) No te demores: cuanto antes hagas el peritaje, mayor será la posibilidad de
conservar las evidencias.
5) No despiertes sospechas: no le digas a nadie sobre la investigación o peritaje
que vas a realizar al menos que sea necesario.
6) No ignore a sus unidades de recursos humanos y Jurídica: ellos pueden asesorarle sobre cualquier tema o asuntos legales.
7) No adivine sobre las mejores acciones o que debería de hacer: en caso de
duda es mejor llamar a una empresa o profesional en informática forense.
8) No dude en ponerse en contacto con la policía si cree que se ha cometido un
delito.
9) No tengas la tentación de destruir ningún dato: generalmente se puede rastrear y tiene graves consecuencias legales.
10) No ejecute nada en la computadora ni haga nada que pueda modificarlo de
ninguna manera (teoría del fruto del árbol envenenado).
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
02
www.infogtm.com | www.ogdi.org
10 COSAS QUE SI DEBE DE HACER
1) Asegure el dispositivo que se encuentra bajo peritación para que ninguna
persona no autorizada tenga acceso a este.
2) Si el dispositivo está apagado (Muerto), déjelo apagado y si está encendido
(Vivo), déjelo encendido.
3) Prevea la utilización del equipo adecuado para el manejo de evidencia.
4) Si el dispositivo está encendido, desenchufe cualquier cable de red y apague
las conexiones Wi-Fi y / o Bluetooth u otro tipo de conexión a este.
5) Si el punto anterior no es posible, desconecte el dispositivo por medio del
enchufe (apáguelo si es un servidor) o retire la batería.
6) No informe a nadie más de lo necesario, indicándole que una investigación o
Peritaje está en curso.
7) Anote y grabe absolutamente Todo; desde personas involucradas, alegatos,
pruebas, equipos, dispositivos, fechas y horarios, etc.
8) Reúna cualquier elemento al que tenga acceso legal que pueda contener evidencia. Ejemplo: unidades USB, DVD, CD, papeleo, computadoras portátiles,
cámaras, etc.
9) Si es posible, no le diga al sujeto propietario del dispositivo en peritación,
que está bajo una investigación.
10) Solicite el asesoramiento de una empresa o experto en informática forense
certificado y con experiencia sobre otros pasos para recolección, almacenamiento o análisis de las evidencias recabadas durante la peritación.
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
03
www.infogtm.com | www.ogdi.org
10 CONSEJOS PARA PERITOS DIGITALES EN EL SECTOR IT
1) Asegúrese que cada usuario tenga un perfil personalizado. No utilice cuentas
y contraseñas débiles o genéricas, por ejemplo, “admin” o password “123”.
2) Cada perfil de usuario, dentro de la red corporativa, debe estar protegido por
una contraseña que no sea compartida (definir en el contrato de confidencialidad).
3) Todos los dispositivos de red deben tener suficientes registros y auditorías de
eventos encendidas, estos servirán de evidencias y análisis en los sistemas
postmortem.
4) Los registros de eventos se deben copiar en una ubicación segura que garanticen su uso al momento de un incidente.
5) ¿El procedimiento de backup se realiza correctamente ? Verificarlo ¿Se puede restaurar? ¿funcionan bien los rollback? ¿Periodicidad de los backup?
6) Asegúrese de que todos los usuarios se hayan registrado en su computadora
y bajo las políticas de uso aceptable en el uso de recursos de Internet.
7) Mantenga a mano el número de teléfono de una empresa de informática forense o especialista de computadoras confiable.
8) Asegúrese de que el personal esté familiarizado con los procedimientos y
protocolos correctos; Comience con las 10 cosas que no debe de hacer.
9) Asegúrese de que todos los dispositivos en su red estén usando la fecha y horas correctas (y las mismas)
10) Considere instalar un sistema de detección de intrusos o monitoreo que le
genere suficiente información de los que sucede en la red corporativa.
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
04
www.infogtm.com | www.ogdi.org
10 CONSEJOS PARA ENTORNOS DEL SECTOR IT
1) Asegúrese de que cada usuario tenga un perfil personalizado. No utilice cuentas y contraseñas genéricas, por ejemplo, 'admin'
2) Cada perfil de usuario, dentro de la red corporativa, debe estar protegido
por una contraseña que no sea compartida (definir en el contrato de confidencialidad). Recuerde no violar la privacidad e intimidad del usuario.
3) Todos los dispositivos de red deben tener suficientes registros / auditorías
encendidas, estos servirán de evidencias en los sistemas postmortem.
4) Los registros de eventos se deben copiar en una ubicación segura que garanticen su uso al momento de un incidente.
5) ¿El procedimiento de respaldo se realiza correctamente ? ¿Se puede restaurar? ¿funcionan bien los rollback? Tenga un plan de contingencia testeado.
6) Asegúrese de que todos los usuarios se hayan registrado en su computadora/política de uso aceptable en el uso de recursos de Internet
7) Mantenga a mano el número de teléfono de una empresa de informática forense o especialista de computadoras confiable.
8) Asegúrese que el personal esté familiarizado con los procedimientos y protocolos correctos; Comience con las 10 cosas que no debe de hacer y respete
las normas jurídicas establecidas en la empresa.
9) Asegúrese de que todos los dispositivos en su red estén usando la fecha y
horas correctas. Verifique también los sistemas CCTV.
10) Considere instalar un sistema de detección de intrusos o monitoreo que le
genere suficiente información de los que sucede en la red corporativa.
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
05
www.infogtm.com | www.ogdi.org
10 CONSEJOS PARA ENTORNO JUDICIAL
1)
Se recibe el pedido de parte de un juzgado o cliente en particular. Recuerde siempre tener una reunión previa para conocer a profundidad el caso.
2)
Elaborar un plan de trabajo (Inteligencia) de los procedimientos y normas que se
aplicaran durante el proceso para evitar errores y contaminación de las evidencias
recolectadas
3)
Realizar el Secuestro de evidencias digitales y electrónicas apegadas a los protocolos y normas, tantos nacionales como internacionales.
4)
Realizar el proceso de sustracción de imagen y clonaciones forenses respectivas in
situ, según lo delicado del caso que se trabaja.
5)
Inicializar las Cadenas de custodias físicas, electrónicas y de ser posible las digitales
apegadas al protocolos establecidos y apegados a las Ley.
6)
Cuidar cada detalle del proceso de embalaje y transporte, así como almacenamieto de las evidencias electrónicas cuidando NO ABRIRLAS antes de su presentación
delante del juzgado o juez del caso (contaminación CoC).
7)
Inicie el proceso de análisis de las evidencias obtenidas de la clonación de la imagen original. Duplique la copia recibida para su estudio y preservación.
8)
Mantenga cuidado y revise las veces que sean necesarias los time line para descartar cualquier observación que complemente o amplíe el proceso de documentación
9)
Realice los dictámenes correspondiente (técnico, mixto o ejecutivo) para ser presentado delante del Fiscal o Juez.
10) La oratoria y la psicología Forense es el punto culminante de este proceso. Como
perito digital practíquelas y esto garantizara en conjunto con el trabajo legal un exito en la exhibición del mismo.
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
06
www.infogtm.com | www.ogdi.org
Gracias por leer esta guía que no pretende ser una norma pero si una herramienta que apoye a los actuales y futuros Peritos Digitales en sus procesos cotidianos de peritaciones en distintos entornos para que sus procesos cumplan
con la admisibilidad respectiva delante de la ley.
Compártela y difúndela, así estará ayudando a que esta guía llegue a cada rincón de Hispanoamérica. ES DE DISTRIBUCION LIBRE.
Con una cultura de prevención, avanzaremos en la lucha contra los Ciberdelitos
observatorio@ogdi.org
www.infogtm.com
www.ogdi.org
(502) 58666403
(502) 59360666
BIOGRAFIAS

Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y
Análisis. Agosto de 2003. http://www.alfa-redi.org/rdi-articulo.shtml?x=1304

http://www.sic.gov.co/Normatividad/Leyes/Ley%20446-98.php

US DEPARTMENT OF JUSTICE, Electronic Crime Scene Investigation: A Guide for First Responders,
2001

BREZINSKI, D. y KILLALEA, T. (2002) RFC 3227: Guidelines for Evidence Collection and Archiving. Network Working Group. February. Disponible: http://www.rfceditor.org/rfc/
w w w. i n f o g t m . c o m | w w w. o g d i . o rg
07
Descargar