Propuesta de Tesis Orosco Pacora, César Proyecto deTesis en Ingeniería de Sistemas Diseño de un Marco Metodológico para el tratamiento y análisis de evidencia digital en Computación Forense en la División de Delitos de Alta Tecnología de la Policía Nacional del Perú 21 Julio 2007

2/31 Tesista Orosco Pacora, César Alonso Especialidad: Ingeniería de Sistemas Ciclo: 9º ciclo

3/31 PROPUESTA DE TESIS

4/31 Justificación del Problema El crecimiento de los medios digitales del procesamiento de la información, ha llevado al nacimiento de nuevas formas de delitos que involucra o se desarrolla mediante el uso de estos medios, y que tiene como objetivo central la información en si misma.

5/31 Justificación del Problema El resultado de estas actividades tiene importancia crucial en la vida de las personas y su implicación como parte de un delito, que resultará en una condena o sanción que pueda cambiar de forma dramática la vida de las personas. La investigación de esta evidencia requiere de una estructura y procedimientos denidos que permitan garantizar el análisis objetivo de la misma.

6/31 Ámbito de la investigación La presente investigación se hará en la División de Delitos de Alta Tecnología de la Policía Nacional del Perú. (DIVINDAT)

7/31 El Problema Los métodos actuales de recolección y procesamiento de evidencia digital en la DIVINDAT que se realizan de forma empírica producen la perdida, modicación y deterioro de la evidencia digital. Dificultad al recolectar y analizar evidencia debido a los grandes volúmenes de información que actualmente se manejan, la variedad de tecnologías y la dispersión de las mismas a lo largo de Internet.

8/31 Objetivo Determinar procedimientos para la recolección, tratamiento y análisis de la evidencia contenida en medios y/o formatos digitales. Establecer medidas y procedimientos que permitan un análisis efectivo de grandes volúmenes de información. Definir procedimientos para garantizar la autenticidad e integridad de la evidencia obtenida.

9/31 Antecedentes – Christian Johansson. Computer Forensic Text Analysis with Open Source Software. Tesis para optar el grado de maestría en Ciencias de la Computación. Blekinge Institute of Technology. Suecia –Esta tesis se concentra en el proceso de análisis del texto dentro de la computación forense, centrándose en el uso del software libre.

10/31 Brian Carrier. Open Source Digital Forensics Tools The Legal Argumen.Astake Research Report.2002 Análisis de las herramientas forenses digitales y de su uso como argumento legal en una corte de Estados Unidos. Colin Armstrong. Developing a Framework For Evaluating Computer Forensic Tools.Curtin University of Technology. Examina los criterios que ayudarán al desarrollo de un marco para evaluar la conveniencia de las herramientas de Computación Forense

11/31 METODOLOGIA DE LA INVESTIGACION

12/31 Tipo de Investigación Tipo de Investigación Exploratoria aplicada, Se realizará por medio de la exploración de diferentes procedimientos de tratamiento forense siendo uno de ellos el procedimiento actual de la DIVINDAT-PNP Tipo de Diseño Experimental, en la que se realizarán cambios a las variables independientes

13/31 DISEÑO DEL EXPERIMENTO

14/31 Objeto de la Investigación El objeto de investigación son las copias de los discos duros. Para ello se obtiene una muestra del número de casos presentados a la DIVINDAT. De cada uno de los casos se obtiene copias bit a bit de los datos contenidos en los discos duros.

15/31 Población La población esta constituida por cada uno de los casos presentados a la DIVINDAT durante el año El Tamaño de la población asciende a 288 casos presentados durante el 2006 según estadísticas de la DIVINDAT publicadas por el diario El Comercio (28 Abril 2007).

16/31 Muestra Muestreo El tamaño de la muestra es de 58 casos. El cálculo se realizó usando la sgte. Fórmula: Técnica de Muestreo aleatoria simple

17/31 Variables Instrumento de medición –uso de un computador que permitan identicar y cuanticar los resultados obtenidos Instrumento de medición –registros manuales de los datos, de cada caso presentado Variables dependientes: –Nro. de archivos recuperados conteniendo evidencia digital EXPERIMENTOEXPERIMENTO Variables independientes: –Método aplicado para recuperar la evidencia –Variables Adicionales: Volumen de Información Analizada, Número de Archivos Recuperados, Formato de tipo de archivo. el instrumento de medición son: dispositivo de copia de evidencia FastBlock, Software Encase, Autopsy, dd, grep

18/31 Diseño Experimental Se orienta a establecer procesos de recuperación de evidencia digital por medio del uso de procedimientos claramente denidos frente a la carencia actual de dichos procedimientos. El proceso se llevará a cabo teniendo en cuenta las etapas de análisis forense elaborando un conjunto estructurado de procedimientos con base en las necesidades de la DIVINDAT

19/31

20/31

21/31

22/31 Hipótesis Ho: La aplicación de una metodología de procesamiento de evidencia digital aumenta el número de archivos y documentos recuperados. Ho: La aplicación de una metodología de procesamiento de evidencia disminuye la perdida de evidencia digital.

23/31 MODELO DE SOLUCION

24/31 Modelo de Solución Conjunto de metodologías y procedimientos para el manejo y análisis de la evidencia digital, con esto se busca la estandarización en el proceso así como la mejora en la eciencia del mismo en base a la cantidad de archivos de evidencia recuperada. Dicho procedimiento estará basado en la implementación de 4 fases: colección revisión análisis elaboración de informes

25/31 Modelo de Solución

26/31 ANÁLISIS DE FACTIBILIDAD

27/31 Datos y Experimentos El análisis de los casos presentados será en base a muestras proporcionadas por la DIVINDAT. El experimento es repetible ya que debe servir como base para su presentación en un juicio, lo que requiere que la pruebas sean analizadas y verificadas por las partes involucradas.

28/31 Plan de Trabajo

29/31

30/31 Costos La principal fuente de nanciamiento será la de autonanciamiento.

31/31 MARCO TEORICO

32/31 Marco Teórico Conceptual Las Ciencias Forenses y las Ciencias de la Computación Es necesario primero comprender el funcionamiento de los computadores y su operación. Se debe ubicar y reconocer la evidencia digital determinando: –Dónde se encuentra –Cómo se encuentra almacenada –Cómo se modifica, quién la modifica, quién es su dueño

33/31 La Información y el Delito Código Procesal Penal Peruano, la Ley Nº 27309, incorpora la figura de los Delitos Informáticos al Código Penal Se reconoce los siguientes tipos de delitos

34/31 Fraudes mediante manipulación de computadoras Manipulación de los datos de entrada Manipulación de programas Manipulación de los datos de salida Fraude efectuado por manipulación informática

35/31 Manipulación de datos de entrada Como objeto, cuando se alteran datos de los documentos almacenados Como instrumento, las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial.

36/31 Daños o modificaciones de programas o datos computarizados Sabotaje informático Acceso no a autorizado a servicios y sistemas informáticos Reproducción no autorizada de programas informáticos de protección legal

37/31 Marco Teórico Instrumental Etapas Coleccionar, Examinar Analizar Interpretación y reporte de Resultados

38/31 Coleccionar Datos Buscar e identificar las fuentes de datos y obtener estas evitando la alteración de la misma. Fuentes: PC, servidores, PC portátiles Dispositivos, Lectores CD, DVD, memorias USB, memoria flash, etc. Dispositivos Portátiles Actividad de la Red

39/31 Adquisición de los datos Plan para adquirir los datos en base a Valor probable, Volatilidad, Cantidad de esfuerzo requerida. Adquirir los datos garantizando la preservación de la evidencia y la cadena de custodia. Verificar la integridad de los datos. (Hash, MD5, etc)

40/31 Dispositivo de Adquisición de Datos

41/31 Examinar los Datos Datos en dispositivos, comprimidos, cifrados, e- mail, etc. Filtro de los datos por tipo de fichero, origen, formato, etc. Herramientas: Encase, Autopsy, Sleuthkit, herramientas *NIX, dd, grep, etc.

42/31 Analizar los datos Obtener conclusiones Usar un enfoque metódico para alcanzar conclusiones apropiadas Correlacionan entre múltiples fuentes. Elaborar informes Explicaciones alternativas

43/31 CONCLUSIONES

44/31 Conclusiones El modelo es viable por cumplir con los requisitos de viabilidad. La justicación del modelo se basa en la necesidad que existe de investigar un campo poco difundido y cada vez más requerido. El Análisis Forense de medios digitales esta adquiriendo una mayor importancia debido al aumento en el número de delitos informáticos y la sosticación de estos.