Proyecto Informatica Forense Pnp

March 28, 2018 | Author: Pedro Cruz | Category: Computer Forensics, Digital & Social Media, Digital Technology, Computer Crime, Technology


Comments



Description

PROYECTO – DISEÑO DEL LABORATORIO DEINFORMATICA FORENSE PNP I. INFORMATICA FORENSE La informática forense, también llamado computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking, recuperación de información. La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats. La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo. Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo. Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no se encarga de prevenir delitos, para ello que encarga la seguridad informática, es importante tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática. DISPOSITIVOS A ANALIZAR La infraestructura informática que puede ser analizada puede ser toda aquella que tenga una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos: Teléfono Móvil o Celular. Información de Firewalls IP. pasarelas Software de monitoreo y seguridad Credenciales de autentificación Trazo de paquetes de red.1 . lmhost. Iceweasel and Seamonkey) dcfldd (DD Imaging Tool command line tool and also works with AIR) foremost (Data Carver command line tool) Air (Forensics Imaging GUI) md5deep (MD5 Hashing Program) netcat (Command Line) cryptcat (Command Line) NTFS-Tools Hetman software (Recuperador de datos borrados por los criminales) qtparted (GUI Partitioning Tool) regviewer (Windows Registry) Viewer X-Ways WinTrace X-Ways WinHex X-Ways Forensics R-Studio Emergency (Bootable Recovery media Maker) R-Studio Network Edtion R-Studio RS Agent Net resident Faces Encase Snort Helix NetFlow Deep Freeze hiren´s boot Canaima 3. Crossover.                Disco duro de una Computadora o Servidor Documentación referida del caso. parte de la telefonía celular. Impresora Memoria USB Bios HERRAMIENTAS DE INFORMATICA FORENSE                               Sleuth Kit (Forensics Kit) Py-Flag (Forensics Browser) Autopsy (Forensics Browser for Sleuth Kit) Dumpzilla (Forensics Browser: Firefox. Agendas Electrónicas (PDA) Dispositivos de GPS. host. Tipo de Sistema de Telecomunicaciones Información Electronica MAC address Logs de seguridad. redes Proxy. USBDeview SilentRunner . registro de transacciones. De acuerdo con el HB: 171 2003 Guideline for the Management of IT Evidence. imágenes.AccessData HERRAMIENTAS PARA FILTRAR Y MONITOREAR EL TRÁFICO DE UNA RED TANTO INTERNA COMO A INTERNET   II. registros de eventos.) Registros generados por los equipos de tecnología informática (registros de auditoría.AccessData EVIDENCIA DIGITAL Es una denominación usada de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como prueba en un proceso legal. archivos de aplicación ofimática.) . correos electrónicos. El documento mencionado establece también que la evidencia digital puede dividirse en tres categorías:   Registros almacenados en el equipo de tecnología informática (por ejemplo. Mini XP HERRAMIENTAS PARA ANALISIS DE DISCOS DUROS    AccessData Forensic ToolKit (FTK) Guidance Software EnCase Kit Electronico de Transferencia de datos HERRAMIENTAS PARA ANALISIS DE CORREOS ELECTRONICOS   Paraben AccessData Forensic ToolKit (FTK) HERRAMIENTAS PARA ANALISIS DE DISPOSITIVOS MÓVILES  AccessData Mobile Phone Examiner Plus (MPE+) HERRAMIENTAS PARA EL ANÁLISIS DE REDES   E-Detective . sujeta a una intervención humana u otra semejante ha sido extraida de un medio informático.Decision Computer Group SilentRunner . etc. etc. la evidencia digital es cualquier información que. e.) La evidencia digital es única. análisis y posterior presentación en una corte.  Precisión: debe ser posible relacionarla positivamente con el incidente. la evidencia digital es frágil y una copia de un documento almacenado en un archivo es idéntica al original. análisis y presentación de la Evidencia Digital. sin dejar rastro alguno. si es posible definir una aproximación metodológica que permita el manejo adecuado de la evidencia digital. y no una perspectiva de un conjunto particular de circunstancias o eventos. los documentos deben cumplir con algunos requerimientos. la información proviene de la fuente identificada. las siguientes características:      Es volátil Es anónima Es duplicable Es alterable y modificable Es eliminable Con el fin de garantizar la validez probatoria de la evidencia digital. los procedimientos deben ser seguidos por alguien que pueda explicar. Dicha aproximación incluye cinco etapas: planeación. No debe haber ninguna duda sobre los procedimientos seguidos y las herramientas utilizadas para su recolección. consultas especializadas en base de datos. cuando se le compara con otras formas de evidencia. manejo. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática (hojas de cálculo financieras. no es posible definir un procedimiento único para adelantar un análisis en Informática forense. Pero. recolección. Adicionalmente. en términos “entendibles”. la fecha). La evidencia digital posee.  Autenticidad: satisfacer a una corte en que: los contenidos de la evidencia no han sido modificados. cómo fueron realizados y con qué tipo de herramientas se llevaron a cabo. la información externa es precisa (p.  Suficiencia (completa): debe por si misma y en sus propios términos mostrar el escenario completo. etc. . estos son: III. PROCEDIMIENTO INVESTIGACIONES FORENSE PARA EL MANEJO DE Dado que no existen investigaciones iguales. aseguramiento. entre otras. vistas parciales de datos. minimice la posibilidad de cometer errores en su manejo y que en alguna medida garantice la admisibilidad de la misma en situaciones jurídicas. A diferencia de la evidencia física. Otro aspecto único es su potencial de realizar copias no autorizadas de archivos. etc. El investigador debe describir con detalle la escena. etc. (máquinas y/o usuarios). la información de las áreas del disco que no están siendo utilizadas.de su contenido. y el contenido „invisible‟. puntos de red. los que no están siendo utilizados por ninguna partición y el espacio sobrante cuando la información que se escribe en un bloque es menor que el tamaño de este. el investigador se familiarice con dicho incidente y con el entorno en el que ocurrió y determine el proceso para la recolección de evidencia. ya que muchas veces en ellos se encontrarán detalles que posteriormente pueden ser de utilidad en de la investigación. incluyendo. Para ello se sugiere el desarrollo de entrevistas al personal de la organización que tenga algún tipo de relación con el entorno informático. qué tipo de registros generan. archivado o comunicado la información”. Planeación Se espera que en esta etapa se detecte el incidente. equipos. se debe registrar información gráfica del lugar (fotos y videos). el investigador se debe familiarizar con el entorno informático y con el incidente en cuestión. . ubicación física de usuarios. Como segundo paso. El primer paso consiste en determinar los presuntos actores involucrados. y que también pueden convertirse en evidencia digital: “Serán documentos todas aquellas formas de expresión producto del desarrollo de las técnicas de la comunicación y la informática” [15]. Como muchas veces no es posible presentar los sistemas involucrados en una audiencia o tenerlos durante la investigación. Este tipo de copia es realizada por medio de herramientas que permiten copiar el contenido „visible‟ del dispositivo de almacenamiento. [6]. identificar el problema aparente e indagar qué tanto contacto tuvieron los usuarios con el sistema involucrado en el incidente. por ejemplo: videos y fotografías. 2. esto incluye los sectores que se encuentran disponibles para escritura.1. Recolección Es la etapa más crítica pues se debe recoger la información relevante y conservarla garantizando los requisitos de admisibilidad fijados por la Ley: Para valorar la fuerza probatoria de la información digital “… habrá de tenerse en cuenta la confiabilidad en la forma en la que se haya generado. es decir. para darse una idea de la contaminación de la escena. se busca determinar: Qué tipo de sistemas informáticos se usan. Incluyendo nombres de usuarios y roles. Si es posible. se recomienda tomar una copia idéntica -Bit a Bit. si se cuenta con políticas de seguridad o no y quiénes son responsables del funcionamiento de los equipos y los servicios de la organización. Copia que representará al sistema en cuestión y que además será sobre la que se trabaje. este esquema permite utilizar otras herramientas. Independientemente del camino tomado para realizar el proceso de recolección. tales como sniffers y honeypots. a través de ella. Es importante mencionar. que no se espera que toda la información que se examine y/o recolecte deba ser admisible como evidencia. permiten analizar el estado del sistema. descubrir evidencia admisible. La cantidad de información que se debe recolectar deber ser decidida por el investigador durante la etapa de planeación. A continuación se presenta una posible clasificación según el orden de volatilidad: . Además.El segundo enfoque toma medidas pasivas que. Mucha de esta información será utilizada para. para recolectar nuevas pruebas que permitan o bien identificar al autor del delito o tener más evidencia. las evidencias registradas y los elementos recolectados en los testimonios de los involucrados. aunque no corrigen los problemas inmediatamente. teniendo en cuenta las hipótesis planteadas. la evidencia siempre debe ser recolectada de lo más a lo menos volátil. la herramienta debe interpretar la información y ofrecer acceso en diferentes niveles. . Todo byte debe ser copiado de la fuente.  Deben tener la capacidad de extraer una imagen bit a bit de la información. desde el comienzo hasta el final de ella sin importar si hay fragmentos en blanco.Características de las herramientas de recolección forenses Las características técnicas mínimas que deben cumplir las herramientas forenses para que la evidencia recolectada y/o analizada por ellas sea confiable son las siguientes:  Manejar diferentes niveles de abstracción: dado que el formato de la información en su nivel más bajo es difícil de leer.  Desarrollar scripts y aplicaciones para automatizar la recolección. es deber del investigador utilizar algún método para mantener y verificar su integridad. el investigador debe estar en capacidad de [3]:  Examinar el estado general del sistema: la memoria RAM de un computador. 3. los procesos que se están ejecutando. etc.). qué archivos están abiertos. ya que. por esta razón se recomienda. se debe marcar en el medio destino un sector del mismo tamaño y en la misma ubicación que identifique el sector que no pudo leerse. adicionalmente estas fallas deben ser documentadas. el estado de las conexiones de red. generar una imagen del estado del sistema previa a que este sea apagado.  La aplicación debe tener la habilidad de realizar pruebas y análisis de una manera científica. Queda a criterio del investigador determinar si es correcto apagar y/o reiniciar el sistema relacionado con el delito que se investiga. los usuarios que están dentro del sistema. la lista de procesos en ejecución y el estado de la red. Deben tener un manejo robusto de errores de lectura. Estos resultados deben poder ser reproducibles y verificables por una tercera persona. Durante el proceso de recolección y de análisis de la evidencia digital. al hacer esto se perderá información que puede ser valiosa en el momento de correlacionar la evidencia recolectada (el contenido de la memoria. . ya que un punto clave en la preservación de evidencia digital es que se recolecte sin alterarla y evitar su manipulación futura. mientras sea posible.  La aplicación no debe cambiar de ninguna manera el medio original.  Realizar duplicados forenses. Teniendo en cuenta estas consideraciones acerca de las herramientas. Preservación y aseguramiento de la evidencia digital En esta etapa se busca garantizar uno más de los requisitos de admisibilidad fijados por la Ley: Para valorar la fuerza probatoria de la información digital “… habrá de tenerse en cuenta la confiabilidad en la forma en la que se haya conservado la integridad de la información y la forma en la que se identifique a su iniciador”. En el Perú se cuenta con las entidades de certificación quienes expiden certificados de firma digital que pueden ser útiles para estos procesos. Si el proceso de copia falla al leer un sector del medio fuente.  Está bajo el control exclusivo de la persona que la usa. si aquélla incorpora los siguientes atributos:  Es única a la persona que la usa. Para adelantar las tareas de análisis se sugiere realizar dos copias de seguridad (Backups) de los medios originales y trabajar sobre tales copias. La tarea de recuperación y reconstrucción de la evidencia digital. (…) El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita. se pueda minimizar el impacto en la investigación realizando de nuevo un duplicado a partir de la otra copia y no se perderá la validez e integridad de la evidencia. es encontrarse con información cifrada. el investigador siempre debe suponer que puede existir información no visible dentro del medio.  Es susceptible de ser verificada. el valor del investigador se fundamenta en su conocimiento y percepción del entorno tecnológico actual. Además. si se comete un error que altere la información en una de las copias.  Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional. es necesario realizar un proceso de filtrado que permita extraer la información directamente relacionada con el incidente. con el fin de identificar evidencia relevante.“Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo. la firma digital es invalidada. Por el contrario. de tal manera que si éstos son cambiados. debe apoyarse en especialistas que lo asistan en las labores técnicas específicas. 4. sus límites y sus áreas vulnerables. El análisis de la evidencia digital Es utópico pretender que el investigador sea experto en todas las áreas necesarias para el análisis de la evidencia. Así. A partir de este conocimiento. Se debe realizar un procedimiento de limpieza que por . ya que en muchos casos sólo será posible tener acceso a ella si se dispone de la contraseña o llave que permite visualizarla.  Está ligada a la información o mensaje. Una vez se ha recuperado o se ha encontrado información que podría ser relevante. pero teniendo en cuenta que este no es siempre el caso y que es parte de su labor determinar la realidad en cuanto a este aspecto. requiere que se busque eficientemente sobre el contenido de diferentes medios de almacenamiento. Un gran obstáculo que se puede presentar durante la investigación. incluyendo su funcionamiento. Una vez se han descartado los datos que no tienen ninguna relevancia con la investigación. Por ejemplo. pueden estar localizados físicamente en jurisdicciones diferentes. un sistema de logs puede registrar miles de eventos.un lado conserve la integridad de la información recolectada y que por otro represente en su totalidad el escenario analizado. La evidencia digital puede ser clasificada. un programa que inesperadamente transfiere información valiosa desde un computador confiable a una locación remota podría ser clasificado como un caballo de Troya y puede ser individualizado por la localización remota a la que transfiere la información. “La clasificación de la evidencia digital. comparación e individualización de la evidencia. comparada e individualizada de diferentes maneras. Es importante tener en cuenta. y puede ser individualizado a partir del contenido de sus encabezados. es necesario reconstruir el escenario en el que ocurrieron los hechos a partir de la correlación de los diferentes elementos recolectados como evidencia. Como se mencionó anteriormente. Por ejemplo. cuando se combinan estos detalles pueden guiar al investigador hacia evidencia adicional. Para finalizar. por su dirección de origen. lo que en muchos casos dificulta y/o termina prematuramente una investigación ya que no es posible tener acceso a evidencia que . información diferente de la evidencia digital al reconstruir la escena. una de las características de los delitos informáticos es que la escena del crimen puede estar distribuida en diferentes sistemas con diferentes horarios (fechas y horas). e inclusive hacia el mismo sospechoso del hecho en cuestión. por ejemplo. Por ejemplo. puede ser clasificado por su contenido como SPAM. información que por lo general no es visible para el usuario. es decir. es necesario extraer solamente los relacionados con un equipo en particular.  Características: los nombres de archivo. las cuales deben ser utilizadas a criterio del investigador basado en la evidencia que se haya recolectado hasta el momento:  Contenido: Un e-mail. extensiones e inclusive los encabezados internos que identifican los diferentes formatos de archivo que existen pueden ser de utilidad en la clasificación de la evidencia digital. se debe iniciar el proceso de clasificación. La clasificación de la evidencia digital es útil al reconstruir un delito porque puede proveer detalles adicionales. es el proceso por el cual se buscan características que pueden ser utilizadas para describirla en términos generales y distinguirla de especimenes similares”. en lo posible. que por supuesto.  Función: El investigador puede examinar cómo funciona un programa para clasificarlo y algunas veces individualizarlo. de los cuales. de acuerdo con la evidencia obtenida. a pesar de ser cometidos desde sistemas locales. es posible realizar una inspección cruzada en la que la copia de bajo nivel es la encargada de sustentar técnicamente los argumentos presentados en la parte editada y comentada. muchos de los delitos de alta tecnología. Presentación de la Evidencia Digital Hasta este punto se ha tratado a la evidencia digital en su forma electrónica. sin embargo. dónde y por qué del incidente. en los cuales. en la que se encuentre solo la información relevante y que explique que se hizo con ella y por qué. Sommers. identificando si los datos: Verifican los datos y teorías existentes (Evidencia que inculpa). el alto grado de anonimato y la alta actividad que presentan estos sistemas hacen que la evidencia digital que se encuentra en éstos tenga un tiempo de vida muy corto y por consiguiente la investigación solo pueda llegar hasta ese punto. no ofrece pautas generales en los códigos de procedimientos sobre cómo debe ser presentada la evidencia recolectada de un sistema de cómputo. Según algunos investigadores. Una “de bajo nivel” en la que se muestre la información tal como es sin ningún tipo de anotación y modificación. dificulta aún más la penalización de estos hechos. Muestran signos de manipulaciones para esconder otros datos. IV. en el documento “Downloads. Actualmente la legislación peruana. Además es recomendable clasificar la evidencia para su presentación ante una corte. RECURSOS HUMANOS . adicionalmente. el desconocimiento de los aspectos técnicos básicos y del lenguaje utilizado en este tipo de casos por parte de los funcionarios judiciales.podría ser clave para conocer el cuándo. Con este enfoque. es necesario convertirla en algo que pueda ser revisado e interpretado en una corte. éste es uno de los mayores obstáculos que se presentan al realizar una investigación. lo cual es una de las razones que dificultan condenar las conductas relacionadas con incidentes informáticos y/o relacionados con la informática. Logs and Captures: Evidence from Cyberspace”. Pero. adicionalmente. ¿cómo se puede garantizar la neutralidad de este tipo de presentación?. debido a las enormes diferencias que existen entre cada incidente. cómo. debido a la falta de regulación. 5. Contradicen los datos y teorías existentes (Evidencia que exculpa). se realizan desde “Cabinas de Internet”. Y otra “editada”. a pesar de que no existe una respuesta única a esta pregunta. especifica que en la mayoría de los casos puede ser apropiado ofrecer 2 posibilidades. almacenamiento. Investigadores digitales: Las personas responsables de la investigación en general deben recibir una formación general. identificar y registrar en un acta los equipos informáticos y las personas que trabajen en estos. Técnicos digital de la escena del crimen: Las personas responsables de la recopilación de datos en la escena del delito deben tener una formación básica en el manejo de pruebas y documentación. Registrar y fotografiar todos los elementos antes de moverlos o desconectarlos. así como en la reconstrucción básica del crimen para ayudar a localizar todas las fuentes de datos sobre una red. el personal técnico policial. con diferentes niveles de conocimiento y formación. obtenga o recolecta la evidencia física y solo finaliza cuando la autoridad competente lo ordene. CADENA DE CUSTODIA La cadena de custodia es “el procedimiento de control documentado que se aplica a la evidencia física. pero no necesitan una formación muy especializada o certificación. continuidad y registro de la misma”. Examinadores de la evidencia digital: Los individuos responsables de procesar determinados tipos de pruebas digitales requieren formación especializada y la certificación en su área. durante este proceso se siguen varias etapas que presentamos a continuación: 1. debe tener una formación y especialización determinada que permita garantizar el valor probatorio de la evidencia digital. 3. Los investigadores también tienen la responsabilidad de la reconstrucción de las acciones relativas a un delito utilizando la información de los primeros interventores y examinadores forenses para crear una imagen más completa de investigadores y abogados. 1. Identificar y clasificar la evidencia encontrada de acuerdo a su naturaleza. seguridad. integridad. es necesario seguir los siguientes pasos: Aislar. y llenar el acta respectiva. preservación. Es necesario que este personal se encuentre calificado y certificado por los fabricantes de las herramientas de informática forense que utilizará la PNP. Recolección. Documentar la hora y la fecha del sistema si se encontraran equipos encendidos antes de proceder a apagarlos.Para una efectiva labor forense. V. La cadena de custodia empieza en la escena del delito por lo cual es fundamental el aseguramiento de la misma con el fin de evitar la contaminación de la evidencia. . 2. clasificación y embalaje de la prueba. Y si se encontraran apagados se procede únicamente a desconectarlos desde la toma del equipo. El proceso de investigación sugiere tres grupos distintos. Esta comienza en el lugar donde se encuentra. para garantizar y demostrar la identidad. procediendo al llenado de las actas respectivas de entrega de evidencia que se encuentran en el almacén. El oficial que realizó el embalaje. y este permanecerá en el lugar hasta que la evidencia sea aceptada e ingresada por la persona encargada de la custodia de la misma.2. a la cual solo podrá acceder personal del laboratorio que cuente con la debida autorización. 5. Para realizar el o los análisis el perito encargado debe de solicitar al almacén del laboratorio la prueba a la cual le va a efectuar los análisis. Posterior a la finalización del análisis. La evidencia tendrá que ser recibida por el personal encargado del almacén del laboratorio. Así mismo el perito encargado del análisis de la evidencia digital tiene la obligación de obtener el número de copias idénticas de la muestra. con aislamiento y será almacenada en una habitación con seguridades físicas. así como la justificación del análisis. Custodia y traslado de la evidencia. 3. se procede a realizar el registro de entrada de la evidencia digital completando el formulario Ingreso de Evidencia. necesarias para realizar los análisis respectivos y de llevar una bitácora de análisis. Se debe de registrar el nombre del oficial encargado del embalaje. En caso contrario. clasificación y etiquetado de la evidencia será el encargado de trasladarla al almacén del laboratorio. 4. se documentará el cambio de custodia. Todo traslado de la evidencia dentro y fuera del laboratorio será registrado llenando el formulario de Entrada y Salida de Evidencia del laboratorio. las observaciones o inconvenientes que se presenten durante el análisis. el encargado del almacén debe de registrar el ingreso de la evidencia y debe de etiquetarlas con una codificación para que sea posible su ubicación para nuevos análisis o para su destrucción. Una vez ingresada al Laboratorio de Ciencias Forenses Digitales. Posteriormente se procederá a almacenar la evidencia en recipientes especiales. toda evidencia debe ser devuelta al almacén del laboratorio para su almacenaje. Previamente se debe de revisar el recipiente que contiene la evidencia y registrará las condiciones en que se encuentra en el formato que maneja el laboratorio. en la cual se registrará cada uno de los procedimientos que se realizan sobre la evidencia. En esta etapa se recomienda etiquetado y rotulación que permitan una fácil ubicación e identificación de la evidencia. Custodia y preservación final hasta que la Resolución Judicial quede firme y consentida. etiquetado y clasificación de la evidencia encontrada ya que él será el encargado de su traslado hasta los almacenes de custodia. el cual debe de registrar la fecha y hora de recepción del material así como el nombre del perito . Embalaje de la evidencia. Análisis de la evidencia. Para ser perito se requiere una serie de requisitos.que hace entrega de la misma y verificar el estado en que fue recibida y almacenarla siguiendo códigos que faciliten la localización para futuros análisis y/o destrucción según sea el caso. sin embargo. c. artístico o técnico. lo cual obviamente se consigue con una persona mayor de edad. el Código Procesal Penal no establece taxativamente cuáles son. Por la naturaleza misma de la pericia se requiere de una persona que se encuentre en óptimas condiciones intelectuales. PERITO INFORMATICO El análisis forense digital debe ser realizado por el perito informático que es un profesional con conocimiento de fenómenos técnicos en informática. Edad. preparado para aplicar procedimientos legales y técnicamente válidos para establecer evidencias en situaciones donde se vulneran o comprometen sistemas. como por ejemplo que haya sido condenado por una irregular actuación sea en el ejercicio profesional o en el desempeño de una labor pericial. Área de criminalística y ciencias forenses y Área de informática forense. Conducta. Instalaciones . 173° (nombramiento) y en el 175° (impedimentos y subrogación del perito). Salud mental. Implica la necesidad de que los peritos cuenten con el título que acredite su ejercicio profesional. 1. Este requisito asegura un juicio adecuado sobre el objeto de la pericia. VI. d. ello puede inferirse de lo establecido en el Art. Sobre el particular. Área jurídica. ambientales e infraestructura para la adecuación del Laboratorio. DISEÑO DEL LABORATORIO DE CIENCIAS FORENSES DIGITALES Analizaremos las condiciones físicas. Condición habilitante. Las condiciones que fundamentalmente debe contemplarse son los siguientes: a. de la misma manera el hardware y software necesarios para el análisis forense digital. Fundamento de bases de datos. área de seguridad de la información. Obviamente en estos casos le corresponde a las partes un rol protagónico VII. En este aspecto debe considerarse la trayectoria del perito que lo desvincule de toda sospecha sobre su idoneidad profesional. b. el mismo debe cubrir las siguientes áreas de conocimiento: Área de tecnologías de información y electrónica. También. 1. Las instalaciones deberán contar con elementos esenciales. contará con un sistema de video de circuito cerrado en todas las áreas. 1. para tratar de causar el menor impacto en caso de su uso. El laboratorio debe poseer las condiciones ambientales ideales para no invalidar el resultado de los análisis ni la calidad requerida. espuma. El ruido y la vibración son contaminantes que pueden evitarse utilizando materiales aislantes en la construcción del laboratorio.1. tales .3. INERGEN. y se instalará un sistema de alarma con sensor de movimientos que se encontrará intercomunicado con el servicio de guardia de la Unidad policial donde se instalará este laboratorio. Despliegue de infraestructura en el interior del laboratorio. Seguridades físicas. Todo el personal que labore dentro de las instalaciones deberá de portar la credencial otorgada por el laboratorio en todo momento y en un lugar visible. y para evitar saltos de voltaje se recomienda el uso de UPS y un generador eléctrico. tales como polvo químico seco o bióxido de carbono . esta deberá presentar una identificación y será anunciado con la persona con quien desea comunicarse para luego ser atendido en el área anexa de Control de Acceso y Entrada. para lo cual se recomienda el uso de jaulas de Faraday. es recomendable manejar un correcto sistema de refrigeración con una temperatura estable de 22°C y mantener un límite de humedad máximo del 65% dentro de las instalaciones. que grabará los acontecimientos dentro del laboratorio durante las 24 horas. entre otras. 1. la humedad. es por esto que contará con medidas de seguridad que permitan el acceso solo a personal autorizado. Los dispositivos electrónicos deben estar protegidos de la interferencia electromagnética. el sobrecalentamiento y deterioro de los equipos de cómputo. pero en el caso de existir. Sistema de extinción de incendios que este adecuado al material eléctrico y magnético. Por lo general no se aceptan visitas al laboratorio.2. que se va a manejar dentro de las instalaciones. El sistema de climatización e instalación de filtros evita el paso de polvo. Acceso mediante sistema biométrico. Con respecto a la esterilidad biológica se recomienda desinfectar la superficie de trabajo con lejía al 2%.Las instalaciones deben de garantizar la integridad y la seguridad de la evidencia. y cerradura. previo a la identificación de la persona que desea ingresar. así mismo el estado de las evidencias digitales originales. Condiciones ambientales. En el diseño que planteamos las instalaciones estarán divididas en tres áreas: almacenamiento. UPS o generador eléctrico en caso de falta de energía eléctrica. a la ubicación de los armarios de evidencia. solo se contará con una puerta de entrada principal a las instalaciones del laboratorio. El área de análisis tendrá tres puestos de trabajo cada uno con un armario respectivo. en caso de que se necesite analizar un computador completo. Con respecto al lugar las habitaciones deben ser en lo posible sin ventanas a la parte externa del laboratorio y con divisiones con paneles móviles para las distintas áreas. que puedan corromper la información contenida en los dispositivos digitales durante su almacenamiento y transporte. mecánica y análisis. Para llevar a cabo la tarea de desmontaje. con seguridad multilock. una de la cuales tendrá acceso a internet en la cual se podrán realizar investigaciones. cableado telefónico. Existirán dos zonas. Todas las áreas serán de libre acceso. que será el lugar donde se atenderá a las personas que soliciten alguna prueba para su análisis.como: Cableado de red con puntos de red en todas las áreas del laboratorio. . y la otra zona no tendrá acceso a internet para evitar cualquier intervención externa en el análisis de la evidencia. lo que ayudará a aislar de fuentes eléctricas y de campos magnéticos. esta área contará con las herramientas de análisis forenses que se dispongan tanto hardware como software. contará con un Área de Control de Acceso y Entrada. se dispondrán de herramientas necesarias. En el área mecánica. Se tomarán precauciones para el correcto almacenamiento de la evidencia dependiendo de la naturaleza de la misma. El área de almacenamiento contará con un cubículo previo con una puerta de acceso. esto es para que sus partes puedan ser analizadas por separado si las circunstancias lo ameritan. así como de equipos especializados. que se necesiten dentro del proceso de análisis. Los armarios de almacenamiento de evidencia que llega al laboratorio para el proceso de investigación y para su almacenaje posterior tendrán acceso restringido y se registrará la hora y el nombre de quien acceda a ella. ensamblaje y manipulación física de un computador. se realizará el desmontaje. ningún personal sin autorización podrá acceder más allá del Área de Control de Acceso y Entrada. Para llevar a cabo todas las tareas que están incluidas en el análisis de la evidencia. usando contenedores antiestáticos y/o esponja antiestática. DISEÑO DEL LABORATORIO DE INFORMATICA FORENSE PNP AREA DE ALMACENAMIENTO v ARMARIOS DE EVIDENCIAS AREA DE CONTROL DE ACCESO Y ENTRADA PC FORENSE AREA DE ANALISIS AREA MECANICA SALA INTERNET INTRANET . 3. desde cero. Se puede hacer uso de software complementario si fuese necesario para las tareas que no puedan desempeñar estas dos herramientas. esto permitirá realizar copias de discos duros los cuales se usarán para los análisis de las pruebas de una manera fácil y rápida. Software utilizado Existen varios tipos de herramientas entre las cuales hemos escogido dos. adaptadores. computadores de escritorio y portátiles para llevar a cabo el proceso de análisis forense. en la que se encontrará considerado el laboratorio de informática forense PNP. Equipos informáticos El conjunto de equipos de trabajo en el laboratorio de Ciencia Forense Digital. Por lo antes indicado se debe destinar un área recomendada de 260 m 2. conectividad con las diferentes interfaces de discos duros. Además se contará con dos tipos de equipo en las instalaciones el equipo base que será una desktop y un equipo portátil que será una laptop con similares características que el equipo base. para la construcción del laboratorio de Informática forense. adquisición en vivo. análisis forense en navegadores. en archivo Excel adjunto . portabilidad. que son Deft-Exra (software libre) y Encase (software privado) las cuales cumplen con características importantes como: Clonación de discos. utilitarios extras. para ser utilizado en la implementación del Nuevo Laboratorio Central de Criminalística de la PNP. Herramientas de duplicación de discos con alta velocidad de copiado. ubicado en XXXXXXXX. Detalle de costos de este proyecto. búsqueda de archivos. integra herramientas especializadas. Posible ubicación del Laboratorio Informático Forense La PNP ha destinado el local policial. dar información del sistema. con todas las características que debe tener un centro de cómputo estándar. recuperación de contraseñas. entre otros. 4. análisis forense en redes.2. comprobar integridad criptográfica.
Copyright © 2024 DOKUMEN.SITE Inc.