observatorio@ogdi.org www.infogtm.com www.ogdi.org (502) 58666403 (502) 59360666 www.infogtm.com | www.ogdi.org Uno de los grandes retos de los Peritos Forense digitales y en especial de los primeros respondientes en la realización de un peritaje, donde se busca exponer que la organización solicitante del servicio ha destruido o alterado inadvertidamente la evidencia digital que esperaban localizar. Las acciones que realice el personal de estas instituciones u organizaciones sin experiencia en el manejo de evidencias digitales pueden dar como resultado una situación en la que quedan muy pocos datos relevantes del hecho para ser analizado o comprometer la validez de la misma por las malas prácticas en el proceso de recolección, llevando a todos el proceso a caer en la teoría del fruto del árbol envenenado. Tenemos que comprender como Peritos Digitales que cada caso es único y tiene su propia morfología. Es por ello, que hemos realizado una lista basada en 10 puntos importantes para las buenas prácticas en los procesos de peritajes digitales que de ser seguidas, nos ayudarán a realizar buenas prácticas en recolección de evidencias digitales en entornos judiciales y corporativos. José R. Leonett Perito Forense Digital / Redlif Latinoamérica CEO/Founder Observatorio Guatemalteco de Delitos Informáticos—OGDI Gerente Ciberseguridad INFO Y MAS Guatemala w w w. i n f o g t m . c o m | w w w. o g d i . o rg 01 www.infogtm.com | www.ogdi.org 10 COSAS QUE NO DEBE DE HACER 1) No trate de “echar un vistazo'“ y manipular los datos del dispositivo. 2) No involucre personal de la unidad de TI a menos que estén familiarizados con protocolos en el manejo de pruebas electrónicas y digitales. 3) No involucre personal de la unidad de TI a menos que estén familiarizados con los estándares de admisibilidad legal de evidencias digitales. 4) No te demores: cuanto antes hagas el peritaje, mayor será la posibilidad de conservar las evidencias. 5) No despiertes sospechas: no le digas a nadie sobre la investigación o peritaje que vas a realizar al menos que sea necesario. 6) No ignore a sus unidades de recursos humanos y Jurídica: ellos pueden asesorarle sobre cualquier tema o asuntos legales. 7) No adivine sobre las mejores acciones o que debería de hacer: en caso de duda es mejor llamar a una empresa o profesional en informática forense. 8) No dude en ponerse en contacto con la policía si cree que se ha cometido un delito. 9) No tengas la tentación de destruir ningún dato: generalmente se puede rastrear y tiene graves consecuencias legales. 10) No ejecute nada en la computadora ni haga nada que pueda modificarlo de ninguna manera (teoría del fruto del árbol envenenado). w w w. i n f o g t m . c o m | w w w. o g d i . o rg 02 www.infogtm.com | www.ogdi.org 10 COSAS QUE SI DEBE DE HACER 1) Asegure el dispositivo que se encuentra bajo peritación para que ninguna persona no autorizada tenga acceso a este. 2) Si el dispositivo está apagado (Muerto), déjelo apagado y si está encendido (Vivo), déjelo encendido. 3) Prevea la utilización del equipo adecuado para el manejo de evidencia. 4) Si el dispositivo está encendido, desenchufe cualquier cable de red y apague las conexiones Wi-Fi y / o Bluetooth u otro tipo de conexión a este. 5) Si el punto anterior no es posible, desconecte el dispositivo por medio del enchufe (apáguelo si es un servidor) o retire la batería. 6) No informe a nadie más de lo necesario, indicándole que una investigación o Peritaje está en curso. 7) Anote y grabe absolutamente Todo; desde personas involucradas, alegatos, pruebas, equipos, dispositivos, fechas y horarios, etc. 8) Reúna cualquier elemento al que tenga acceso legal que pueda contener evidencia. Ejemplo: unidades USB, DVD, CD, papeleo, computadoras portátiles, cámaras, etc. 9) Si es posible, no le diga al sujeto propietario del dispositivo en peritación, que está bajo una investigación. 10) Solicite el asesoramiento de una empresa o experto en informática forense certificado y con experiencia sobre otros pasos para recolección, almacenamiento o análisis de las evidencias recabadas durante la peritación. w w w. i n f o g t m . c o m | w w w. o g d i . o rg 03 www.infogtm.com | www.ogdi.org 10 CONSEJOS PARA PERITOS DIGITALES EN EL SECTOR IT 1) Asegúrese que cada usuario tenga un perfil personalizado. No utilice cuentas y contraseñas débiles o genéricas, por ejemplo, “admin” o password “123”. 2) Cada perfil de usuario, dentro de la red corporativa, debe estar protegido por una contraseña que no sea compartida (definir en el contrato de confidencialidad). 3) Todos los dispositivos de red deben tener suficientes registros y auditorías de eventos encendidas, estos servirán de evidencias y análisis en los sistemas postmortem. 4) Los registros de eventos se deben copiar en una ubicación segura que garanticen su uso al momento de un incidente. 5) ¿El procedimiento de backup se realiza correctamente ? Verificarlo ¿Se puede restaurar? ¿funcionan bien los rollback? ¿Periodicidad de los backup? 6) Asegúrese de que todos los usuarios se hayan registrado en su computadora y bajo las políticas de uso aceptable en el uso de recursos de Internet. 7) Mantenga a mano el número de teléfono de una empresa de informática forense o especialista de computadoras confiable. 8) Asegúrese de que el personal esté familiarizado con los procedimientos y protocolos correctos; Comience con las 10 cosas que no debe de hacer. 9) Asegúrese de que todos los dispositivos en su red estén usando la fecha y horas correctas (y las mismas) 10) Considere instalar un sistema de detección de intrusos o monitoreo que le genere suficiente información de los que sucede en la red corporativa. w w w. i n f o g t m . c o m | w w w. o g d i . o rg 04 www.infogtm.com | www.ogdi.org 10 CONSEJOS PARA ENTORNOS DEL SECTOR IT 1) Asegúrese de que cada usuario tenga un perfil personalizado. No utilice cuentas y contraseñas genéricas, por ejemplo, 'admin' 2) Cada perfil de usuario, dentro de la red corporativa, debe estar protegido por una contraseña que no sea compartida (definir en el contrato de confidencialidad). Recuerde no violar la privacidad e intimidad del usuario. 3) Todos los dispositivos de red deben tener suficientes registros / auditorías encendidas, estos servirán de evidencias en los sistemas postmortem. 4) Los registros de eventos se deben copiar en una ubicación segura que garanticen su uso al momento de un incidente. 5) ¿El procedimiento de respaldo se realiza correctamente ? ¿Se puede restaurar? ¿funcionan bien los rollback? Tenga un plan de contingencia testeado. 6) Asegúrese de que todos los usuarios se hayan registrado en su computadora/política de uso aceptable en el uso de recursos de Internet 7) Mantenga a mano el número de teléfono de una empresa de informática forense o especialista de computadoras confiable. 8) Asegúrese que el personal esté familiarizado con los procedimientos y protocolos correctos; Comience con las 10 cosas que no debe de hacer y respete las normas jurídicas establecidas en la empresa. 9) Asegúrese de que todos los dispositivos en su red estén usando la fecha y horas correctas. Verifique también los sistemas CCTV. 10) Considere instalar un sistema de detección de intrusos o monitoreo que le genere suficiente información de los que sucede en la red corporativa. w w w. i n f o g t m . c o m | w w w. o g d i . o rg 05 www.infogtm.com | www.ogdi.org 10 CONSEJOS PARA ENTORNO JUDICIAL 1) Se recibe el pedido de parte de un juzgado o cliente en particular. Recuerde siempre tener una reunión previa para conocer a profundidad el caso. 2) Elaborar un plan de trabajo (Inteligencia) de los procedimientos y normas que se aplicaran durante el proceso para evitar errores y contaminación de las evidencias recolectadas 3) Realizar el Secuestro de evidencias digitales y electrónicas apegadas a los protocolos y normas, tantos nacionales como internacionales. 4) Realizar el proceso de sustracción de imagen y clonaciones forenses respectivas in situ, según lo delicado del caso que se trabaja. 5) Inicializar las Cadenas de custodias físicas, electrónicas y de ser posible las digitales apegadas al protocolos establecidos y apegados a las Ley. 6) Cuidar cada detalle del proceso de embalaje y transporte, así como almacenamieto de las evidencias electrónicas cuidando NO ABRIRLAS antes de su presentación delante del juzgado o juez del caso (contaminación CoC). 7) Inicie el proceso de análisis de las evidencias obtenidas de la clonación de la imagen original. Duplique la copia recibida para su estudio y preservación. 8) Mantenga cuidado y revise las veces que sean necesarias los time line para descartar cualquier observación que complemente o amplíe el proceso de documentación 9) Realice los dictámenes correspondiente (técnico, mixto o ejecutivo) para ser presentado delante del Fiscal o Juez. 10) La oratoria y la psicología Forense es el punto culminante de este proceso. Como perito digital practíquelas y esto garantizara en conjunto con el trabajo legal un exito en la exhibición del mismo. w w w. i n f o g t m . c o m | w w w. o g d i . o rg 06 www.infogtm.com | www.ogdi.org Gracias por leer esta guía que no pretende ser una norma pero si una herramienta que apoye a los actuales y futuros Peritos Digitales en sus procesos cotidianos de peritaciones en distintos entornos para que sus procesos cumplan con la admisibilidad respectiva delante de la ley. Compártela y difúndela, así estará ayudando a que esta guía llegue a cada rincón de Hispanoamérica. ES DE DISTRIBUCION LIBRE. Con una cultura de prevención, avanzaremos en la lucha contra los Ciberdelitos observatorio@ogdi.org www.infogtm.com www.ogdi.org (502) 58666403 (502) 59360666 BIOGRAFIAS Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y Análisis. Agosto de 2003. http://www.alfa-redi.org/rdi-articulo.shtml?x=1304 http://www.sic.gov.co/Normatividad/Leyes/Ley%20446-98.php US DEPARTMENT OF JUSTICE, Electronic Crime Scene Investigation: A Guide for First Responders, 2001 BREZINSKI, D. y KILLALEA, T. (2002) RFC 3227: Guidelines for Evidence Collection and Archiving. Network Working Group. February. Disponible: http://www.rfceditor.org/rfc/ w w w. i n f o g t m . c o m | w w w. o g d i . o rg 07