BEST PRACTICES PARA EL MANEJO DE EVIDENCIA DIGITAL

Segun Sebastian Gomez, Perito Informatico, un punto crítico a considerar es el recurso humano que realiza los secuestros de material informático. En la mayoría de los casos, los allanamientos son realizados por personal policial que no cuenta con los conocimientos necesarios para la identificación de potencial evidencia digital

La omisión de algunos aspectos técnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta información digital.


Esta es la guía de procedimiento del Servicio Secreto de los Estados Unidos para el manejo de evidencia digital.

Introduccion

Alcance del problema.

Las computadoras , los medios de almacenamiento los dispositivos de comunicacion han profilerado en nuestra sociedad, y por lo tanto el uso de estos dispositivos en las actividades criminales.

La tecnologia es empleada por los delincuentes como medio de comunicacion, para robar y extorsionar y como almacenamiento para ocultar evidencia o para realizar contrabando de materiales.

Los oficiales de la ley deben poseer conocimientos actualizados y el equipamiento necesario para poder investigar y perseguir a los individuos y a las organizaciones que usan estas y otras tecnologias emergentes para soportar sus operaciones ilicitas.

Reconociendo Evidencia Potencial

Las computadoras y los medios digitales estan cada vez mas envueltos en actividades ilicitas. Investigacion de actividades criminales pueden producir evidencias electronicas.
Computadoras y evidencias relacionadas pueden ir desde mainframes a PDA , floppy disks, CD o medios de almacenamiento mas pequeños.
Es imperativo que los oficiales reconozcan, protejan,manejen y busquen estos dispositivos de acuerdo con las politicas, mejores practicas y guias de uso.


Respuestas a las siguientes preguntas determinaran mejor el rol de la computadora en el delito :

• Es la computadora fruto de un crimen ?

Por ejemplo, fue la computadora o el software robado ?

• Es la computadora una herramienta que participo en el crimen ?

Por ejemplo, fue el sistema usado activamente por el sospechoso para cometer el delito ?
Fue usada la computadora, el scanner o la impresora para preparar documentacion falsa ?

• Es la computadora usada solo en forma casual para cometer el delito, por ejemplo almacena evidencia. ?

Por ejemplo un vendedor de drogas que mantiene su informacion de ventas en la computadora.

• Fue la computadora usada para cometer el delito y almacenar evidencia ?

Por ejemplo si un hacker la utilizo para cometer el delito y para almacenar informacion tarjetas de credito robada ?


Una vez que el rol del sistema es definido, se deben responder las siguientes preguntas :

• Hay un hecho que amerite tomar el hardware como evidencia ?
• Hay un hecho que amerite tomar el software como evidencia ?
• Hay un hecho que amerite tomar los datos como evidencia ?
• Como seran realizadas las busquedas de pruebas ?

Preparandose para la busqueda o utilizacion

Usar evidencia obtenida de una computadora en un procedimiento legal requiere :

• Tiene que existir una causa para la emisión de una orden de cateo o una excepción al requisito de emision de la orden de cateo.
• Atencion: Si encuentra evidencia potencial que puede estar fuera de su alcance o de su autoridad legal, contacte al consejero legal de su agencia en caso de necesitar una orden adicional.
• Use las tecnicas apropiadas para no alterar o destruir la evidencia.
• Realizar un examen forensico del sistema por parte de personal autorizado para ser utilizado como testimonio en un juicio.

Realizando la busqueda y/o toma de la prueba.

Una vez que el rol fue determinado y los requerimientos legales cumplidos.

1) Asegure la escena

Un oficial de seguridad es imprescindible.
Preservar el area por potenciales huellas.
Restriccion inmediata de acceso a las computadora(s)
Desconectar las lineas de telefono ( para evitar el acceso remoto )

2) Asegurar la computadora como evidencia.

• Si la computadora esta apagada "OFF", no la encienda "ON"
• Si la computadora esta encendida "ON"

--Equipos sin red

• Consulte un especialista en computadoras
• Si el especialista no esta disponible.

Fotografie la pantalla, entonces desconecte todas las fuentes de energia, desconecte el equipo de la pared y de la fuente de la computadora.
Ponga una cinta de evidencia en cada slot de disco.
Fotografie/ y haga un diagrama de la parte de atras de la computadora con las conecciones existentes.
Marque todos los conectores/cables para permitir rearmarlo luego.
Si el transporte es requerido, empaquete los componentes y transporte/almacene los componentes como carga fragil.
Mantenga alejada de imanes, radios y otros ambientes hostiles.

--Computadoras en red o en oficinas

Consulte un especialista en computadoras
Desconectando el cable de red puede:

Causar un daño severo al sistema
Detener sistemas legitimos
Crear un problema en la investigacion.

Otros dispositivos electronicos

Otros dispostivos electronicos pueden contener evidencia asociada con actividad criminal. A menos que exista una emergencia, el dispositivo no debe ser accesado. En caso de ser necesario accesar, todas las acciones asociadas con el manejo del equipo deben ser anotadas para documentar la cadena de custodia u asegurar su admision en la corte.
Telefonos inalambricos

Evidencia potencial contenida en telefonos inalambricos.

• Numeros llamados
• Numeros almacenados en marcado rapido
• Caller ID para llamadas entrantes

Otras informaciones acontenidas en la memoria

• Telefonos y numeros de pagers
• Nombres y direcciones
• PIN
• Numeros de accesos a Voice Mail
• Passwords de Voice Mail
• Numeros de tarjetas de Debito
• Numeros de tarjetas de llamadas
• Email/ Informacion de acceso a internet
• La pantalla de encendido puede contener otras informacion valiosas.

Regla de Encendido/Apagado

Si el dispositivo esta Encendido "ON" no apagarlo "OFF"
Apagandolo puede activar el bloqueo
Escriba toda la informacion en el display ( fotografie si es posible)
Apaguelo antes de transportalo( Tome todos los cables de energia )
Si el dispositivo esta apagado "OFF", no lo encienda "ON"
El encendido puede alterar evidencia.
Una vez decomisado llevelo a un experto o contacte a un proveedor de servicios.
Si un experto no esta disponible, use otro telefono para contactar a 1-800-LAWBUST
( servicio 24x7 de la industria de telefonos celulares )
Ponga el mayor esfuerzo en encontrar los manuales.


Pagers

Evidencia potencial contenida en un Pager

Pagers Numericos ( reciven solo numeros, pueden ser usados para comunicar numeros y codigos )
Pagers Alfanumericos. ( Reciben numeros y letras, pueden ser usados para comunicar texto )
Pagers de Voz ( Pueden transmitir mensajes de voz )
TWO WAY Pagers ( contienen mensajes entrantes/salientes)


Mejores Practicas.

Una vez que el pager esta lejos del sospechoso, apaguelo. Continuar accesando al pager sin la autorizacion apropiada puede ser juzgado como una intercepcion ilegal de comunicaciones electronicas.

Busque por el contenido.


Maquinas de FAX

Los FAX pueden contener

Listas de numeros rapidos
Fax almacenados ( entrantes salientes)
Losgs de transmision (entrantes salientes)
Lineas de encabezado
Seteo de reloj

Mejores Practicas.

No apague la maquina, de otra manera perdera el ultimo numero marcado y los faxs alamacenados
Todos los manuales del equipo deben ser decomisados con el equipo

Caller ID

Pueden contener informacion de llamadas entrantes.
No los apague para evitar perder informacion
Documente toda la informacion almacenada antes del decomiso


Smart Cards

Las tarjetas con chips tienen un microprocesador que puede almacenar saldos y otras informaciones.

Son similares a tarjetas de credito o licencias de conducir.
Fotografie la tarjeta
Examine por posibles modificaciones

Preguntas a realizar cuando se encuentran estas tarjetas.

Quien es el propietario ?
Cuando fue emitida?
Cuales son los usos de la tarjeta ?
Porque tiene diferentes tarjetas ?
Puede la computadoras o el dispositivo alterar la tarjeta ?

Tracing un E-mail

Reading an E-mail Header:

		----- Message header follows -----
(1)		Return-path:
(2)		Received: from o167832.cc.army.mil by nps.navy.mil (4.1/SMI-4.1) id AAO868O; Thur, 7 Nov 96 17:51:49 PST
(3)		Received: from localhost byo167832.navy.mil (4.1/SMI-4.1) id AA16514; Thur 7 Nov 96 17:50:53 PST
(4)		Message-ID: <9611080150.aa16514@o167832.cc.army.mil>
(5)		Date: Thur, 7 Nov 1996 17:50:53 -0800 (PST)
(6)		From: "M. Bottoms"
(7)		To: Tom Whitt
(8)		Cc: Real 3D , Denis Adams , Joe Arion

• Line (1) tells other computers who really sent the message and where to send error messages (bounces and warning).
• Line (2) and (3) show the route the message took from sending to delivery. Each computer that receives this message adds a Received field with its complete address and time stamp; this helps in tracking delivery problems.
• Line (4) is the Message-ID, a unique identifier for this specific message. This ID is logged, and can be traced through computers on the message route if there is a need to track the mail.
• Line (5) shows the date, time, and time zone when the message was sent.
• Line (6) tells the name and e-mail address of the message originator (the "sender").
• Line (7) shows the name and e-mail address of the primary recipient; the address may be for a:
• mailing list,
• system-wide alias,
• a personal username.
• Line (8) lists the names and e-mail addresses of the "courtesy copy" recipients of the message. There may be "Bcc:" recipients as well; these "blind carbon copy" recipients get copies of the message, but their names and addresses are not visible in the headers.

La guia en ingles se encuentra en United States Secret Services