Phones: (+571) 604 7536 - (+571) 325 6962 / E-mail: info@adalidabogados.com Address: Calle 93 A No. 9A-07 Bogot Colombia / www.adalidabogados.com

ADQUISICIN DE IMGENES FORENSES EN DISPOSITIVOS O MEDIOS DE ALMACENAMIENTO DE DATOS.

ADALID ABOGADOS

Nit. 900.095.522-5

Cll 93 A No. 9 a- 07

Bogot, Colombia

info@adalidabogados.com

Tel/Fax 571-6047536

www.adalidabogados.com

2

CONFIDENCIALIDAD DE LA INFORMACIN

Este documento contiene informacin de ADALID ABOGADOS que es considerada secreto industrial. La informacin aqu suministrada debe ser utilizada exclusivamente por ADALID ABOGADOS y terceros explcitamente definidos por ADALID ABOGADOS, en el marco de la ejecucin de las labores normales del negocio en ADALID ABOGADOS, as como en la ejecucin de contratos y exploracin de potenciales beneficios mutuos en negocios conjuntos con ADALID ABOGADOS. Al recibir este documento, usted est de acuerdo en mantener la confidencialidad de su contenido, permitiendo el acceso al mismo slo a personas de la organizacin que tengan responsabilidad en la ejecucin del negocio, los contratos y/o exploraciones citadas. Igualmente, usted se compromete a no copiar, reproducir ni distribuir copia alguna, en parte o en todo de dicha informacin, sin la previa autorizacin escrita de ADALID ABOGADOS.

3

INTRODUCCIN.

La imagen es uno o ms archivos que contienen la estructura y el contenido completo de un dispositivo o medio de almacenamiento de datos, como una memoria USB, discos pticos como CD o DVD o discos duros.

La imagen se crea, adquiriendo una copia bit a bit y sector por sector del medio de origen, de acuerdo a lo anterior al examinar la imagen, se recrea perfectamente la estructura y contenidos de un dispositivo de almacenamiento.

La adquisicin y manejo de la imagen de dispositivos de almacenamiento se realiza con software forense especializado y certificado a nivel mundial, con procedimientos tcnicos estandarizados en manejo de evidencias digitales, para que posteriormente sean usadas como evidencias forenses validas y as nace el concepto de imgenes forenses.

4

PROCEDIMIENTO PARA LA ADQUISICIN DE IMGENES FORENSES.

Cuando los medios o dispositivos de almacenamiento se encuentran en el laboratorio de Adalid Abogados se procede a la adquisicin de una imagen forense, as:

Se prepara el equipo de cmputo forense1, donde se encuentra instalado el software de anlisis.

Se utilizan bloqueadores de escritura a nivel de hardware y bloqueadores de escritura a nivel de software para conectar los medios o dispositivos de almacenamiento de origen al equipo de cmputo forense, esto con el fin de no alterar los datos contenidos en los medios de almacenamiento.

(No aplica para medios de almacenamiento como CD o DVD)

Se utiliza el software forense especializado para adquirir la imagen forense.

Las imgenes adquiridas se guardan, el original en un disco duro, previamente sanitizado, y luego se realiza una copia forense del original, con los mismos estndares antes mencionados. Esta ltima copia es sobre la cual se trabaja.

1 El equipo de cmputo forense es un conjunto de hardware y software de alto rendimiento, con caractersticas tcnicas que permiten obtener, analizar y asegurar evidencia digital.

5

INICIO DE CADENA DE CUSTODIA DIGITAL

Se utiliza el software Certievidencia herramienta propietaria de Adalid Abogados desarrollada en compaa con Certicmara.

Esta herramienta obtiene el respectivo algoritmo HASH de todo el contenido de los medios o dispositivos de almacenamiento, lo cual garantiza la integridad de la imagen obtenida, al mismo tiempo hace un estampado cronolgico.

El estampado cronolgico es un servicio mediante el cual se garantiza la existencia de un mensaje de datos o informacin digital, en un determinado instante de tiempo, este es efectuado en tiempo real por Certicmara, con el reloj atmico de la Superintendencia de Industria y Comercio, lo que le da toda la validez legal de conformidad con la Ley 527 de 1999, ms cuando es un tercero ajeno a la relacin el que lo hace.

Mediante la emisin de una estampa de tiempo es posible garantizar el instante de creacin, modificacin, recepcin, etc., de un determinado mensaje de datos o informacin digital, impidiendo su posterior alteracin.

Las Estampas Cronolgicas Certificadas emitidas por Certicmara cumplen con el estndar TSA (Time Stamp Authority) descrito en los documentos RFC 3628 y 3161. Igualmente, cumple los estndares establecidos por la Ley 527 de 1999.

La informacin contenida en la estampa cronolgica certificada proporciona 3 datos:

Tiempo del da: expresado en hora, minuto y segundo (hh: mm: ss) de acuerdo con el Sistema Internacional de Medidas.

(ii) Fecha: expresada en da, mes y ao (dd: mm: aaaa). (iii) Firma de los datos realizada con el certificado de Certicmara.

6

Como se explic, Certicmara proporciona los valores asignados al tiempo del da y la fecha con base en la Hora Legal de La Repblica de Colombia tomada directamente de los patrones de referencia del Laboratorio de Tiempo y Frecuencia de la Superintendencia de Industria y Comercio.

Los valores asignados al tiempo del da y la fecha de una estampa cronolgica certificada, no tienen en cuenta ni aplican en ningn caso los valores que el sistema informtico del solicitante seale y ningn tercero puede cambiar o solicitar la aplicacin de valores distintos de tiempo del da y fecha.

CADENA DE CUSTODIA

Se deben tener en cuenta ciertos parmetros que garantizan la fecha y hora en que se tomo, que no ha sido alterada, quin la tomo, que esta integra, en resumn la transparencia y no contaminacin de la evidencia digital en el momento de hallarla, recolectarla y documentarla, embalarla y transportarla.

A la hora de manipular la evidencia digital y/o los equipos de cmputo que la contienen debemos contar con herramientas de mano como destornilladores, pinzas, etc., para la extraccin de la evidencia, accesorios de proteccin personal y de proteccin de la evidencia digital, como guantes de ltex o caucho, gafas de proteccin, manillas antiestticas para evitar que descargas elctricas alteren o daen los equipos de computo en los que se est trabajando y hasta la misma evidencia digital y tapabocas si es necesario.

Contar con una cmara fotogrfica anloga o que efectu hash de las fotografas, de no ser posible se debe obtener el algoritmo hash en el lugar, de las fotografas tomadas con una cmara digital, para la fijacin de la evidencia digital, de los equipos de cmputo y del sitio o lugar del hallazgo.

Hallando:

7

Se debe documentar y fotografiar el lugar del hallazgo. (Ver fotografas de ejemplo.)

Identificar el computador o servidor donde se encuentren los medios o dispositivos de almacenamiento con su marca y modelo. (Ver fotografas de ejemplo.)

8

Utilizar los accesorios de proteccin y la herramienta de mano, para destapar los equipos de cmputo e identificar los medios de almacenamiento o evidencia digital. (Ver fotografas de ejemplo.)

Realice fijacin fotogrfica del interior del equipo de cmputo y de la ubicacin de los medios de almacenamiento o evidencia digital, identifique las conexiones desconecte el cable de datos y alimentacin. (Ver fotografas de ejemplo.)

9

Recolectando:

Al ubicar los medios o dispositivos de almacenamiento, se deben extraer utilizando la herramienta de mano, retire los tornillos o sistemas de fijacin del dispositivo. (Ver fotografas de ejemplo.)

Identificar detalladamente con marca, capacidad, serial y su tecnologa si es IDE-SATA-SAS-RAID, etc. (Ver fotografas de ejemplo.)

10

Embalando:

El embalaje de la evidencia digital, comienza con la imposicin de

CERTIEVIDENCIA, que asegura la ineralterabilidad de la imagen forense, despus de la extraccin, el perito no podr certificar antes de esto ineralterabilidad alguna.

Se debe embalar la evidencia de forma que se pueda transportar, mover y manipular sin causarle algn dao fsico, protegerla de alguna descarga elctrica y magntica, es muy importante contar con los empaques necesarios como bolsas plsticas, de papel, de burbuja, bolsas antiestticas, contar con cajas o maletas adecuadas para el transporte y evitar que choques o golpes afecten fsicamente la evidencia, contar con materiales blandos como espuma o corcho para la proteccin de la evidencia y cinta aislante para sellar los puertos de conexin de la evidencia digital.

Con la cinta aislante se debe sellar los puertos de conexin de los medios de almacenamiento. (Ver fotografas de ejemplo.)

11

Introduzca la evidencia digital en una bolsa antiesttica, bolsas metalizadas o con tiras conductivas empleadas para evitar descargas electrostticas a la parte electrnica de la evidencia digital. (Ver fotografas de ejemplo.)

12

Rodee la evidencia digital de plstico de burbujas, espuma o algn otro material sinttico, que no le d al conjunto una rigidez excesiva. Si no tiene bolsa antiesttica, utilice directamente el plstico de burbujas. Si an conserva el embalaje original del dispositivo, utilcelo. (Ver fotografas de ejemplo.)

Coloque el dispositivo en una caja, rellnela aproximadamente

hasta la mitad de algn material blando. Introduzca el dispositivo y cbralo de ms material hasta dejarlo totalmente protegido. No se debe utilizar ningn tipo de papel, ya que puede acumular humedad.

Despus del embalaje, se debe realizar el procedimiento de cadena de custodia2 diligenciando el rotulo y el formato de cadena de custodia con su respectivo registro de continuidad, se debe ser muy preciso con la informacin escrita, como quien halla, recoge y embala, lugar de hallazgo y descripcin. (Ver fotografas de ejemplo.)

2 Cadena de custodia: Es el conjunto de acciones, medidas logsticas y los actores partcipes que, fehacientemente registrados en un informe, garantizan la salvaguarda de la identidad e integridad de los medios digitales que van a ser analizados.

13

Terminada la identificacin de los medios de almacenamiento, su descripcin y su embalaje se deben llevar al laboratorio de evidencias digitales de Adalid Abogados, donde sern guardados en una caja fuerte donde solo el gerente tiene acceso.

14

BIBLIOGRAFA

1. Seminario de delitos informticos. (Instructivo para el hallazgo, identificacin y embalaje de la evidencia digital)

John Jairo Echeverry Aristizabal

2. Informtica forense: metodologa y aplicacin a sistemas Windows.

Rosala Ramos Fnez

3. Conceptos de computacin.

June Jamrichoja Parsons, Carl McDaniel

4. Temas de derecho penal, seguridad pblica y criminalstica.

Garca Ramrez, Olga islas de Gonzlez Mariscal, Leticia a. Vargas Casillas

5. Cadena de custodia e-evidence

Dr. Andrs GUZMAN CABALLERO.

Enlaces de internet:

1. http://es.wikipedia.org/wiki/Imagen_de_disco 2. http://es.wikipedia.org/wiki/C%C3%B3mputo_forense