Pericias Informáticas
Pericias Informáticas
Pericias Informáticas
PERICIAS INFORMATICAS
Ingeniero en Sistemas
Informticos
Eduardo J. Piro
Temas a desarrollar
Proceso de investigacin
Identificacin (detectar los eventos o delitos)
Recoleccin (recuperar datos, recolectar evidencia)
Preservacin (almacenar/conservar, cadena de
custodia, documentacin)
Pericias Informticas
Para que una pericia informtica cumpla con la finalidad por la cual fue solicitada en un
juicio, los que la solicitaron, deben tener en cuenta que tienen que cumplir con
algunas caractersticas especficas:
Aseguramiento de pruebas
El hecho de que se solicite una medida cautelar, se justifica por el denominado peligro
en la demora, ya que el futuro demandado con solo apretar una tecla del equipo
de sus computadoras hara desaparecer todos los archivos o mails que se
encuentren almacenados en sus computadoras.
En caso de no efectuarse la constatacin judicial -mediante una medida cautelarpodran darse supuestos de imposibilidad y/o frustracin de pruebas.
Aseguramiento de pruebas
Aseguramiento de pruebas
Puntos periciales
Terminologa tcnica a utilizar
Ser muy precisos / concretos / puntuales con lo que
solicita (ejemplo)
Saber que tipo de hardware (computadoras, servidores,
etc) y software (sistemas operativos, aplicaciones, etc)
se utilizan
Asesorarse por un profesional informtico
Costos de los elementos necesarios (discos rgidos,
software,etc)
Error muy comn de solicitar pericial contable
Clases: A, B o C
(10.0.0.0 / 172.16.0.0 / 192.168.0.0 )
Pblicas o Privadas
Estticas (Fijas) o Dinmicas
La IP identifica a ese dispositivo unvocamente y
puede permanecer invariable en el tiempo o cambiar
cada vez que se reconecte a la red. Una direccin IP
es esttica cuando no vara, y es direccin IP
dinmica cuando cambia en cada reconexin.
Hashing
Qu es hashing? El hashing es una tcnica que consta de
datos de entrada, una funcin hash y un cdigo de salida.
Esta funcin calcula un cdigo especfico para los datos de entrada
(ejemplo toda la informacin contenida en el disco rgido). El valor
calculado puede parecer aleatorio, pero no lo es, ya que las
operaciones para obtener el cdigo de salida son siempre las
mismas.
La funcin hash asocia siempre la misma salida para una
entrada determinada. Por consiguiente cualquier variacin
realizada en los datos del disco sera detectada porque el
cdigo hash resultara diferente.
Hashing
hash(Mara) = 1082358727484
prueba
Realizar una copia bit-stream del o los discos rgidos que contienen los equipos.
De esta manera se preserva la informacin contenida por una posible prdida o
dao provocado por el traslado de los mismos.
Se debera obtener de cada disco el hash. De esta manera se preserva la
integridad de la informacin contenida para saber si el contenido fue
modificado.
Se deben separar las personas que trabajen sobre los equipos informticos lo
antes posible y no permitirles volver a utilizarlos. Desconectar equipos de la red.
Hacer una imagen de los discos del equipo para preservar la integridad de los
originales y comprobar la integridad de la imagen para asegurarse de que la
misma sea exacta.
Tomar las medidas necesarias para resguardar la informacin voltil (la contenida en
almacenamientos temporales, tales como memoria RAM, memoria cach,etc.) Una vez
que el equipo o dispositivo se apaga la informacin contenida en este tipo de
almacenamiento se destruye.
Precintar cada equipo informtico en todas sus entradas elctricas y todas las partes
que puedan ser abiertas o removidas.
LOG
Que es un log? Es un archivo que registra
movimientos y actividades de un
determinado programa y es utilizado como
mecanismo de control y estadstica. Es un
registro de eventos durante un periodo de
tiempo en particular. Es usado para registrar
datos o informacin sobre quien, que,
cuando, donde y por que un evento ocurre
para un dispositivo en particular o aplicacin.
Indexdat
Con las cuentas POP3, el usuario tiene control fsico de sus archivos de correo y
puede bajar ese correo a travs de un cliente del tipo Outlook. Tambin suelen
tener asociado un servicio de webmail, que permite chequear la casilla de correo
desde cualquier computadora. Hay incluso sitios que permiten hacer esto desde el
browser, ingresando la direccin de e-mail y la contrasea para acceder a ella.
Esto es diferente de las cuentas IMAP (Interactive Mail Access Protocol), en donde
su correo siempre permanece en el servidor. Un ejemplo de IMAP. sera algo como
el Hotmail, donde el usuario se conecta a travs de un buscador. La diferencia con
las POP3 es que los mensajes se almacenan en las unidades del servidor y no en las
del usuario.
Clientes de correo
Outlook (.pst)
Outlook Express (.dbx)
Windows Live Mail
Autenticidad de un mail
Debemos analizar cada caso en particular
Cmo podemos saber si un mail es autntico o
desde que PC fue enviado?
Por medio de los llamados
encabezados de Internet
Durabilidad. Se refiere al soporte. Que sea estable en el tiempo, y que no pueda ser
alterada por una intervencin externa sin dejar huella.
Ley de firma digital, firma electrnica y documento digital. Se sancion la ley 25506 de
Firma Digital, necesaria para validar la autenticidad, integridad y el no repudio del llamado
documento electrnico, reglamentada en decreto 2628/2002.
Uno de los aspectos ms trascendentes es la equiparacin entre "firma manuscrita" y
"firma digital". El art. 3 reza textualmente: "Cuando la ley requiera una firma manuscrita,
esa exigencia tambin queda satisfecha por una firma digital. Este principio es aplicable a
los casos en que la ley establece la obligacin de firmar o prescribe consecuencias para su
ausencia".
Ser reprimido con prisin de quince (15) das a seis (6) meses el que abriere
o accediere indebidamente a una comunicacin electrnica, una carta, un
pliego cerrado, un despacho telegrfico, telefnico o de otra naturaleza, que no
le est dirigido; o se apoderare indebidamente de una comunicacin
electrnica, una carta, un pliego, un despacho u otro papel privado, aunque
no est cerrado; o indebidamente suprimiere o desviare de su destino una
correspondencia o una comunicacin electrnica que no le est dirigida.
En la misma pena incurrir el que indebidamente interceptare o captare
comunicaciones electrnicas o telecomunicaciones provenientes de cualquier
sistema de carcter privado o de acceso restringido. La pena ser de prisin
de un (1) mes a un (1) ao, si el autor adems comunicare a otro o publicare el
contenido de la carta, escrito, despacho o comunicacin electrnica. Si el
hecho lo cometiere un funcionario pblico que abusare de sus funciones,
sufrir adems, inhabilitacin especial por el doble del tiempo de la condena.
Acuerdos de confidencialidad
Constataciones de Software
Software legal
Intimaciones:
Mail
Telefnicas
Correo
Auditoras
Microsoft
Licenciamiento de software
INFORMATICA FORENSE
PERICIAS INFORMATICAS
Ing en Sistemas Informticos
Eduardo J. Piro
www.ejpinformatica.com.ar
[email protected]
Cel: 156911550
Preguntas