Propuesta de Tesis

Orosco Pacora, César

Proyecto deTesis en Ingeniería de Sistemas

Diseño de un Marco Metodológico para el tratamiento y análisis de evidencia digital en Computación Forense en la División de

Delitos de Alta Tecnología de la Policía Nacional del Perú

21 Julio 2007

22 /31/31

Tesista

• Orosco Pacora, César Alonso• Especialidad: Ingeniería de Sistemas• Ciclo: 9º ciclo

33 /31/31

PROPUESTA DE TESIS

44 /31/31

Justificación del Problema

• El crecimiento de los medios digitales del procesamiento de la información, ha llevado al nacimiento de nuevas formas de delitos que involucra o se desarrolla mediante el uso de estos medios, y que tiene como objetivo central la información en si misma.

55 /31/31

Justificación del Problema• El resultado de estas actividades tiene importancia

crucial en la vida de las personas y su implicación como parte de un delito, que resultará en una condena o sanción que pueda cambiar de forma dramática la vida de las personas.

• La investigación de esta evidencia requiere de una estructura y procedimientos definidos que permitan garantizar el análisis objetivo de la misma.

66 /31/31

Ámbito de la investigación

• La presente investigación se hará en la División de Delitos de Alta Tecnología de la Policía Nacional del Perú. (DIVINDAT)

77 /31/31

El Problema

• Los métodos actuales de recolección y procesamiento de evidencia digital en la DIVINDAT que se realizan de forma empírica producen la perdida, modificación y deterioro de la evidencia digital.

• Dificultad al recolectar y analizar evidencia debido a los grandes volúmenes de información que actualmente se manejan, la variedad de tecnologías y la dispersión de las mismas a lo largo de Internet.

88 /31/31

Objetivo

• Determinar procedimientos para la recolección, tratamiento y análisis de la evidencia contenida en medios y/o formatos digitales.

• Establecer medidas y procedimientos que permitan un análisis efectivo de grandes volúmenes de información.

• Definir procedimientos para garantizar la autenticidad e integridad de la evidencia obtenida.

99 /31/31

Antecedentes

– Christian Johansson. Computer Forensic Text Analysis with Open Source Software. Tesis para optar el grado de maestría en Ciencias de la Computación. Blekinge Institute of Technology. Suecia. 2003.

– Esta tesis se concentra en el proceso de análisis del texto dentro de la computación forense, centrándose en el uso del software libre.

1010 /31/31

• Brian Carrier. Open Source Digital Forensics Tools The Legal Argumen.Astake Research Report.2002

• Análisis de las herramientas forenses digitales y de su uso como argumento legal en una corte de Estados Unidos.

• Colin Armstrong. Developing a Framework For Evaluating Computer Forensic Tools.Curtin University of Technology.Examina los criterios que ayudarán al desarrollo de un marco para evaluar la conveniencia de las herramientas de Computación Forense

1111 /31/31

METODOLOGIA DE LA INVESTIGACION

1212 /31/31

Tipo de Investigación

• Tipo de InvestigaciónExploratoria aplicada, Se realizará por medio de la exploración de diferentes procedimientos de tratamiento forense siendo uno de ellos el procedimiento actual de la DIVINDAT-PNP

• Tipo de DiseñoExperimental, en la que se realizarán cambios a las variables independientes

1313 /31/31

DISEÑO DEL EXPERIMENTO

1414 /31/31

Objeto de la Investigación

• El objeto de investigación son las copias de los discos duros. Para ello se obtiene una muestra del número de casos presentados a la DIVINDAT.

• De cada uno de los casos se obtiene copias bit a bit de los datos contenidos en los discos duros.

1515 /31/31

Población

• La población esta constituida por cada uno de los casos presentados a la DIVINDAT durante el año 2006.

• El Tamaño de la población asciende a 288 casos presentados durante el 2006 según estadísticas de la DIVINDAT publicadas por el diario El Comercio (28 Abril 2007).

1616 /31/31

Muestra

• Muestreo• El tamaño de la muestra es de 58 casos.• El cálculo se realizó usando la sgte. Fórmula:

• Técnica de Muestreo• aleatoria simple

1717 /31/31

Variables

Instrumento de medición

– uso de un computador que permitan identificar y cuantificar los resultados obtenidos

Instrumento de medición

– registros manuales de los datos, de cada caso presentado

Variables dependientes:

– Nro. de archivos recuperados conteniendo evidencia digital

EXPERI

MENTO

Variables independientes:

– Método aplicado para recuperar la evidencia

– Variables Adicionales: Volumen de Información Analizada, Número de Archivos Recuperados, Formato de tipo de archivo. el instrumento de medición son: dispositivo de copia de evidencia FastBlock, Software Encase, Autopsy, dd, grep

1818 /31/31

Diseño Experimental

• Se orienta a establecer procesos de recuperación de evidencia digital por medio del uso de procedimientos claramente definidos frente a la carencia actual de dichos procedimientos.

• El proceso se llevará a cabo teniendo en cuenta las etapas de análisis forense elaborando un conjunto estructurado de procedimientos con base en las necesidades de la DIVINDAT

1919 /31/31

2020 /31/31

2121 /31/31

2222 /31/31

Hipótesis

• Ho: La aplicación de una metodología de procesamiento de evidencia digital aumenta el número de archivos y documentos recuperados.

• Ho: La aplicación de una metodología de procesamiento de evidencia disminuye la perdida de evidencia digital.

2323 /31/31

MODELO DE SOLUCION

2424 /31/31

Modelo de Solución• Conjunto de metodologías y procedimientos

para el manejo y análisis de la evidencia digital, con esto se busca la estandarización en el proceso así como la mejora en la eficiencia del mismo en base a la cantidad de archivos de evidencia recuperada. Dicho procedimiento estará basado en la implementación de 4 fases:

• colección• revisión• análisis• elaboración de informes

2525 /31/31

Modelo de Solución

2626 /31/31

ANÁLISIS DE FACTIBILIDAD

2727 /31/31

Datos y Experimentos

• El análisis de los casos presentados será en base a muestras proporcionadas por la DIVINDAT.

• El experimento es repetible ya que debe servir como base para su presentación en un juicio, lo que requiere que la pruebas sean analizadas y verificadas por las partes involucradas.

2828 /31/31

Plan de Trabajo

2929 /31/31

3030 /31/31

Costos

1 Equipo Fast Block 1240Licencia de Encase 2400Licencia de Windows XP 370Costos Operativos 500Honorarios Profesionales 2000Total 6510

La principal fuente de financiamiento será la de autofinanciamiento.

3131 /31/31

MARCO TEORICO

3232 /31/31

Marco Teórico ConceptualLas Ciencias Forenses y las Ciencias de la Computación

• Es necesario primero comprender el funcionamiento de los computadores y su operación.

• Se debe ubicar y reconocer la evidencia digital determinando:– Dónde se encuentra– Cómo se encuentra almacenada– Cómo se modifica, quién la modifica, quién es su

dueño

3333 /31/31

La Información y el Delito

• Código Procesal Penal Peruano, la Ley Nº 27309, incorpora la figura de los Delitos Informáticos al Código Penal

• Se reconoce los siguientes tipos de delitos

3434 /31/31

Fraudes mediante manipulación de computadoras• Manipulación de los datos de entrada

• Manipulación de programas

• Manipulación de los datos de salida

• Fraude efectuado por manipulación informática

3535 /31/31

Manipulación de datos de entrada

• Como objeto, cuando se alteran datos de los documentos almacenados

• Como instrumento, las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial.

3636 /31/31

Daños o modificaciones de programas o datos computarizados

• Sabotaje informático

• Acceso no a autorizado a servicios y sistemas informáticos

• Reproducción no autorizada de programas informáticos de protección legal

3737 /31/31

Marco Teórico InstrumentalEtapas

• Coleccionar,

• Examinar

• Analizar

• Interpretación y reporte de Resultados

3838 /31/31

Coleccionar Datos• Buscar e identificar las fuentes de datos y

obtener estas evitando la alteración de la misma.

• Fuentes:• PC, servidores, PC portátiles• Dispositivos, Lectores CD, DVD, memorias USB,

memoria flash, etc.• Dispositivos Portátiles• Actividad de la Red

3939 /31/31

Adquisición de los datos

• Plan para adquirir los datos en base a Valor probable, Volatilidad, Cantidad de esfuerzo requerida.

• Adquirir los datos garantizando la preservación de la evidencia y la cadena de custodia.

• Verificar la integridad de los datos. (Hash, MD5, etc)

4040 /31/31

Dispositivo de Adquisición de Datos

4141 /31/31

Examinar los Datos

• Datos en dispositivos, comprimidos, cifrados, e-mail, etc.

• Filtro de los datos por tipo de fichero, origen, formato, etc.

• Herramientas: Encase, Autopsy, Sleuthkit, herramientas *NIX, dd, grep, etc.

4242 /31/31

Analizar los datos

• Obtener conclusiones

• Usar un enfoque metódico para alcanzar conclusiones apropiadas

• Correlacionan entre múltiples fuentes.

• Elaborar informes

• Explicaciones alternativas

4343 /31/31

CONCLUSIONES

4444 /31/31

Conclusiones

• El modelo es viable por cumplir con los requisitos de viabilidad.

• La justificación del modelo se basa en la necesidad que existe de investigar un campo poco difundido y cada vez más requerido.

• El Análisis Forense de medios digitales esta adquiriendo una mayor importancia debido al aumento en el número de delitos informáticos y la sofisticación de estos.