Guido Rosales Evidencia Digital - Rogersen's Blog · Evidencia digital: “información de valor...
50
LOGO www.yanapti.com Guido Rosales Uriona
Transcript of Guido Rosales Evidencia Digital - Rogersen's Blog · Evidencia digital: “información de valor...
LOGOwww.yanapti.com
Guido Rosales Uriona
AUDITORIA DE SISTEMAS
Es Es el examen o revisión de carácter objetivo el examen o revisión de carácter objetivo Es Es el examen o revisión de carácter objetivo el examen o revisión de carácter objetivo (independiente), crítico ((independiente), crítico (evidenciaevidencia), ), sistemático (normas), selectivo (muestras) de sistemático (normas), selectivo (muestras) de las políticas normas prácticas funciones las políticas normas prácticas funciones las políticas, normas, prácticas, funciones, las políticas, normas, prácticas, funciones, procesos, procedimientos e informes procesos, procedimientos e informes relacionados con los sistemas de información relacionados con los sistemas de información computarizados con el fin de emitir una computarizados con el fin de emitir una computarizados, con el fin de emitir una computarizados, con el fin de emitir una opinión profesional (imparcial) respecto a:opinión profesional (imparcial) respecto a:
•• Eficiencia en el uso de los recursos informáticosEficiencia en el uso de los recursos informáticosV lid d l i f ióV lid d l i f ió•• Validez de la informaciónValidez de la información
•• Efectividad de los controles establecidosEfectividad de los controles establecidos
AUDITORIA 2009
PARA CONSIDERARwww yanapti com
Mas del 90% de toda la información es electrónica
www.yanapti.com
es electrónicaEl 70% de la información electrónica nunca se ha impresonunca se ha impresoCapacidad de almacenamiento (100% x 10 años o 10% x 1 año )x 10 años o 10% x 1 año )
1990 – 40MB2000 – 4000 MB (4Gb)2000 4000 MB (4Gb)2009 – 400.000 MB (400GB)
AUDITORIA 2009
EVIDENCIA DIGITALwww yanapti com
Bases de datosMillones de registros
www.yanapti.com
Millones de registrosLogs O Pistas de auditoria
Mill d liMillones de lineasArchivos de offimatica
Word, Excel, PPTsMultimedia
imágenes, videos, audio
AUDITORIA 2009
ETAPAS DE LA AUDITORIAwww yanapti com
Planificación: Análisis de Riesgos Objeti o alcance
www.yanapti.com
Análisis de Riesgos, Objetivo, alcance, tiempos, recursos y otros.
Ejecución: Ejecución: Trabajo de campo. Aplicación de pruebas de cumplimiento y sustantivas Obtención decumplimiento y sustantivas. Obtención de evidencias. Generación de Papeles de Traba
Elaboración de InformesElaboración de Informes• Responsabilidad administrativa, civil y/o penal
Seguimiento y control
AUDITORIA 2009
Seguimiento y control
LEGISLACION BOLIVIANA
CÓDIGO PENAL:Art. 363 bisArt. 363 bisMANIPULACIÓN INFORMÁTICA: El que con la intención de obtener un beneficio indebido para sí o un tercero manipule un para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de 3ro Sanción: Reclusión 1 5 en perjuicio de 3ro. Sanción: Reclusión 1- 5 años y Multa 60-200 días.
AUDITORIA 2009
EJEMPLO: Art. 363 bis
Artículo 363º. Bis. (MANIPULACIÓN ÁINFORMÁTICA).
El que con la intención de obtener un beneficio indebido para sí o un tercero beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que
d lt d i t conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco años y con multa
AUDITORIA 2009
reclusión de uno a cinco años y con multa de sesenta a doscientos días.
LEGISLACION BOLIVIANA
CÓDIGO PENAL:Art. 363 terALTERACIÓN, ACCESO Y USO INDEBIDO DE DATOS INFORMÁTICOS: El que sin estar DATOS INFORMÁTICOS: El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice, datos almacenados en una computadora o en almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información. Sanción: Prestación de Trabajo hasta 1 año o Multa Prestación de Trabajo hasta 1 año o Multa hasta 200 días.
AUDITORIA 2009
MEDIOS DE PRUEBA
Testifical (Art. 193 – 203, 350, 351 cpp)Pericial (Art. 204 – 215, 349 cpp)Documental (Art. 216 – 217 cpp)Informes (Art. 218 cpp)Careo (Art. 220 cpp)I ió l (A t 179 )Inspección ocular (Art. 179 cpp)Reconstrucción de los hechos (Art. 179 cpp)Requisa (Art. 175 y 176 cpp)Secuestro (Art 184 186 cpp)Secuestro (Art. 184, 186 cpp)Registro del lugar del hecho (Art. 174 cpp)Allanamiento (Art. 180, 182 y 183 cpp)
AUDITORIA 2009
CONDICION DE LA EVIDENCIA
La Evidencia debe ser acumulada mediante un La Evidencia debe ser acumulada, mediante un proceso supervisado de aplicación de metodologías y técnicas de auditoria.La evidencia es relevante, cuando tiene directa La evidencia es relevante, cuando tiene directa relación con el objeto de la auditoria y contribuye a sustentar el logro de los objetivos.Las CAATTs pueden producir parte de la evidencia de la Auditoria, como consecuencia el Auditor debe ser competente en el uso de las mismas.La evidencia debe conservarse en papeles de trabajo físicos y/ o digitalesfísicos y/ o digitales.
AUDITORIA 2009
ALGUNAS HERRAMIENTAS
AUDITORIA 2009
AMENAZAS TECNOLOGICAS
Robo deInformacion
CCTV AcosoViolacionDe privacidad
SPAM PIrateria Phising
PornografiaInfantil Espionaje
AUDITORIA 2009
Virus
MSc. Ing. Guido Rosales Uriona
FLUJO DE LA HERRAMIENTA
Archivos
de TrabajoODBCODBC
Base de
datos
de Trabajo
(DIGITAL)CAATT
datos
Empresa FUNCIONES y ACCIONES
1.
Importación de Datos txt / hash
impresosimpresos
Reportes
Datos – txt / hash2.
Análisis y realización de
3.
Obtención de Resultados
AUDITORIA 2009
ImpresosPruebas
ESTRUCTURA DE TABLAS
Cajas de ahorroCajas de ahorro
GRU Guido Rosales Uriona
AUDITORIA 2009 “PISTAS DE AUDITORIA”
TRIÁNGULO DEL CRIMEN
REAL /VIRTUALREAL /VIRTUAL
REAL /REAL /VIRTUAL
AUDITORIA 2009
REAL /VIRTUAL/
Mundo de Átomos Mundo de Bits
AUDITORIA 2009
Mundo de Bits
ITER CRIMINIS
Fases del Iter Criminis:Fases del Iter Criminis:a.- Interna Ideación
DeliberaciónDeliberaciónResolución o
determinaciónb.- Intermedia Proposición a delinquir
óResolución manifestadaDelito putativo
E t A t t i
AUDITORIA 2009
c.- Externa Actos preparatoriosActos de ejecución
Las evidencias son Las evidencias son Las evidencias son Las evidencias son testigos mudos que testigos mudos que g qg q
no mienten no mienten LOCARDLOCARD
AUDITORIA 2009
LA EVIDENCIA DIGITAL
Evidencia: del latin Evidentia. Cualidad de evidente (Cierto, claro, sin duda)
RAE: Certeza clara y manifiesta de la que no se puede dudarEvidencia digital: “información de valor probatorio almacenada o transmitida en forma digital”
• IOCE (Internacional Organization Of Computer Evidence). 1999.
Requisitos Ejemplo: (Ley 527 de 1999 – Colombia)la confiabilidad en la forma en la que se generó; la confiabilidad en la forma en la que se conservó; y, la confiabilidad en la forma en la que se identifica al autor.
Proyecto de ley de documentos, firmas y comercio l t ielectronico
Valor probatorio
AUDITORIA 2009 Ing. Guido Rosales Uriona
LA EVIDENCIA DIGITAL
En general las legislaciones y las instituciones judiciales han fundado jsus reflexiones sobre la admisibilidad de la evidencia en cuatro (4) conceptos (SOMMER, P. 1995, IOCE p ( , ,2000, CASEY 2001, cap.6):1. Autenticidad: 2 Confiabilidad2. Confiabilidad:3. Completitud o suficiencia(Integridad)( g )4. Conformidad con las leyes y reglas del Poder Judicial
AUDITORIA 2009
DISEÑO DE LA EVIDENCIA
Los registros electrónicos:tienen n a tor claramente identificadotienen un autor claramente identificado, cuentan con una fecha y hora de creación o alteraciónalteración.cuentan con elementos que permiten validar su autenticidadsu autenticidad.Pueden ser verificados en su fiabilidad de producción o generaciónproducción o generación
AUDITORIA 2009
EL PENTAGONO FORENSE
DISPONIBILIDAD
TRIADA DE LA SEGURIDAD
TETRA METATETRA METADE LA CRIPTOGRAFIA
AUDITORIA 2009NO REPUDIO AUTENTICIDAD
Método del Octágono
AUDITORIA 2009 MSc. Ing. Guido Rosales Uriona
METODOS ANTIFORENSES
AUDITORIA 2009
NIVELES DE BORRADO SEGURO
Grado 1. Super Fast Zero Write: Grad 2. Fast Zero Write: …
Grado 12. North Atlantic Treaty O i ti NATO St d d Organization - NATO Standard Grado 13. Peter Gutmann Secure Deletion: Deletion: Grado 14. US Department of Defense (DoD 5220 22-M) +
AUDITORIA 2009
Defense (DoD 5220.22-M) + Gutmann Method:
Recursos de Hardware
AUDITORIA 2009 Ing. Guido Rosales Uriona
Infraestructura y Facilidades
AUDITORIA 2009 Ing. Guido Rosales Uriona
Laboratorio ForenseIng Guido Rosales UrionaIng. Guido Rosales Uriona
AUDITORIA 2009
Software
AUDITORIA 2009 Ing. Guido Rosales Uriona
AUDITORIA 2009
RECURSOS HUMANOSwww yanapti comwww.yanapti.com
AUDITORIA 2009
Ediscovery
IdentificarPreservarRecolectar y filtrarProcesarBuscar filtrar y revisarBuscar, filtrar y revisarProducir
AUDITORIA 2009
Esquema Tradicional
Tratamiento de las fuentes de informacionTI
Adquisición Manual – Gigas de datos
Extracción de datos Potencialmente Relevantesni
caci
ón
caci
ón
Potencialmente Relevantes
Procesamiento de datos
Com
un
Com
uni
Revisión y análisis Legal Abogados
Y Auditores
AUDITORIA 2009
Esquema RECOMENDADO
TI y
Tratamiento de las Fuentes de Informacion
TI y Auditores
Adquisición, Extracción y Procesamiento Equipo
Deción
DePeritos:IngenierosAuditoresAbogados
omun
icac
Revisión y análisis Legal
AbogadosY C lt
Co
AUDITORIA 2009
Y Consultores Tecnicos
COLECTA Y FILTRADO
Modos de colectarColecta lógica general
• Copia por SOColecta Forense total
• Imagen o clonacion con Hash• Evidencia relacionada, pertinente y oportuna• Precautelar el derecho a la privacidad p• Aplicar principios de cadena de custodia
FiltradoArchivos conocidos (de sistema) ( )
• mediante su hashArchivos duplicadosPor fecha o ubicación
AUDITORIA 2009
CALCULAR EL HASHwww yanapti com
04 - Todo Cambia.MP3: Md5: 4fda0a35ce78b2cf1e539f59ae4f36f2
www.yanapti.com
SHA1: b1cca9ed64f5267b5e99ebfb6b1ac4c62472050eGestion de Riesgos v97 [Modo de compatibilidad].PDF
D663915ada18e986232f5cc9d80551a3cd6b01e2b48d253ffdffc5d3b6b11550d9a44c53
Foto 0ac9c4693b9e2b516737449a02f07345B4be3675d1e25627574e141f3d65f74dd46fecfc
Documento 1:E756501b9a8b3f764270171482ef845cF8a6284d436126969838c102917afe436499e540
Documento 2Ec02b8f61f8f52d72bbaa5dca249e2aa
AUDITORIA 2009
ca228a3ee1fdfb52c86ba5631ef3cb0fc78e8c13
AUDITORIA 2009
AUDITORIA 2009
www yanapti comwww.yanapti.com
AUDITORIA 2009
Fundamentos
•Tamaño Físico•Tamaño Lógico•File Slack?•Metadata?•CRC?•Hash
AUDITORIA 2009
Adquisición Forense
AUDITORIA 2009
www yanapti comwww.yanapti.com
AUDITORIA 2009
Anti –TODO
Anti estáticaAnti magnéticaAnti magnéticaAnti humedadA ti f I ifAnti fuego – IgnifugaAnti robo
AUDITORIA 2009 MSc. Ing. Guido Rosales Uriona
EMBALAGE LOGICO
Uso de medios no regrabables: DVD, CDsCDs
Etiquetados y hasheados (MD5, SHA1)
Función HashFunción Hash
AUDITORIA 2009 MSc. Ing. Guido Rosales Uriona
ETAPA 8: CADENA DE CUSTODIO
Garantizar la invariabilidad de la evidencia.Bó d j l FARADAY A ti i d P b
AUDITORIA 2009
Bóvedas o jaulas FARADAY – Anticipo de Prueba
MSc. Ing. Guido Rosales Uriona
Trabajo en Equipowww yanapti comwww.yanapti.com
AUDITORIA 2009
INFOFOR 2009 - octubre
AUDITORIA 2009
PROGRAMA FCA
CERTIFICACION NACIONAL50 PROFESIONALES: Certificados 27
AUDITORIA 2009
PREGUNTAS??www yanapti comwww.yanapti.com
AUDITORIA 2009
