UNIVERSIDAD NACIONAL DEL CALLAO FACULTAD INGENIERA INDUSTRIAL Y DE SISTEMAS ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

CI O NA A L N

U UNIVER NIVERS SID DA AD

CALLAO L CALLAO DE
1966

COMPUTACIN FORENSE
Alumna: Untiveros Morales, Miriam

Bellavista-Callao

2010
1

NDICE

1.- INTRODUCCIN3 2.- COMPUTACIN FORENSE4 DEFINICIN OBJETIVOS 3.- FORENSIA EN REDES (NETWORK FORENSICS) 5 FORENSIA DIGITAL (DIGITAL FORENSICS) IDENTIFICACIN DE LA EVIDENCIA DIGITAL 4.- PRESERVACIN DE LA EVIDENCIA DIGITAL..6 ANLISIS DE LA EVIDENCIA DIGITAL PRESENTACIN DE LA EVIDENCIA DIGITAL 5.- ORGANIZACIN INTERNA DE LABORATORIO.7 6.- INGRESO DEL SECUESTRO.8 7.- PRESERVACIN..9 8.- ANLISIS10 9.- SOFTWARE FORENSE..11 10.- HARDWARE FORENSE13 11.- GUAS MEJORES PRCTICAS14 12.- HERRAMIENTAS DE INFORMACIN FORENSE16 13.- HERRAMIENTAS PARA LA RECOLECCIN DE EVIDENCIA17 14.- WINHEX20 15.- HERRAMIENTAS PARA EL MONITOREO Y/O CONTROL DE COMPUTADORES.21 16.- HERRAMIENTAS DE MARCADO DE DOCUMENTOS 22

INTRODUCCION

La informtica forense est adquiriendo una gran importancia dentro del rea de la informacin electrnica, esto debido al aumento del valor de la informacin y/o al uso que se le da a sta, al desarrollo de nuevos espacios donde es usada (por Ej. El Internet), y al extenso uso de computadores por parte de las compaas de negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la informacin queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la informacin de informacin forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense como una ciencia relativamente nueva. Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica, de la electricidad y el magnetismo. Es gracias a fenmenos electromagnticos que la informacin se puede almacenar, leer e incluso recuperar cuando se crea eliminada. La informtica forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crmenes apoyndose en el mtodo cientfico, aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales. En este escrito se pretende mostrar una panormica muy general de la Informtica Forense, explicando en detalle algunos aspectos tcnicos muchas veces olvidados en el estudio de esta ciencia.

COMPUTACIN FORENSE

DEFINICIN DE COMPUTACIN FORENSE Es el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmente aceptable

Computacin forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la informacin en los medios informticos para establecer los hechos y formular las hiptesis relacionadas con el caso; o como la disciplina cientfica y especializada que entendiendo los elementos propios de las tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en dichos equipos. OBJETIVOS DE LA COMPUTACIN FORENSE La informtica forense tiene 3 objetivos, a saber: 1. La compensacin de los daos causados por los criminales o intrusos. 2. La persecucin y procesamiento judicial de los criminales. 3. La creacin y aplicacin de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia.

FORENSIA EN REDES (NETWORK FORENSICS) Es un escenario an ms complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento especfico en el tiempo y un comportamiento particular.

Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formacin criminalstica, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la definicin de computacin forense, este contexto exige capacidad de correlacin de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente.

FORENSIA DIGITAL (DIGITAL FORENSICS) Forma de aplicar los conceptos, estrategias y procedimientos de la criminalstica tradicional a los medios informticos especializados, con el fin de apoyar a la administracin de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (quin?, cmo?, dnde?, cundo?, porqu?) de eventos que podran catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administracin de la inseguridad informtica.

IDENTIFICACIN DE LA EVIDENCIA DIGITAL En una investigacin que involucra informacin en formato digital, se debe: Identificar las fuentes potenciales de evidencia digital Determinar qu elementos se pueden secuestrar y cules no Si se trata de un escenario complejo: Tomar fotografas del entorno investigado Documentar las diferentes configuraciones de los equipos, topologas de red y conexiones a Internet

PRESERVACIN DE LA EVIDENCIA DIGITAL Al trabajar con evidencia digital deben extremarse los recaudos a fin de evitar la contaminacin de la prueba, considerando su fragilidad y volatilidad Mantenimiento de la Cadena de Custodia Registro de todas la operaciones que se realizan sobre la evidencia digital Resguardo de los elementos secuestrados utilizando etiquetas de seguridad

Preservacin de los elementos secuestrados de las altas temperaturas, campos magnticos y golpes Los elementos de prueba originales deben ser conservados hasta la finalizacin del proceso judicial

Obtencin de imgenes forenses de los elementos secuestrados Por cuestiones de tiempo y otros aspectos tcnicos, esta tarea se realiza una vez que ha sido secuestrado el elemento probatorio original En caso de que la creacin de una imagen forense no sea posible, el acceso a los dispositivos originales se realiza mediante mecanismos de proteccin contra escritura

Autenticacin de la evidencia original Generacin de valores hash MD5 o SHA-1- a partir de los datos contenidos en los diferentes dispositivos secuestrados

ANLISIS DE LA EVIDENCIA DIGITAL Involucra aquellas tareas orientadas a localizar y extraer evidencia digital relevante para la investigacin Mediante la aplicacin de diversas tcnicas y herramientas forenses se intenta dar respuesta a los puntos de pericia solicitados El anlisis de datos requiere un trabajo interdisciplinario entre el perito y el operador judicial juez, fiscalque lleve la causa Tareas que se llevan a cabo dependiendo del tipo de investigacin Bsqueda de palabras claves o documentos en todo el espacio de almacenamiento del dispositivo investigado Determinar si ciertas aplicaciones fueron utilizadas por un determinado usuario Determinar qu tipo de actividad tena el usuario en la Web, anlisis del historial de navegacin, anlisis de correo electrnico, etc. PRESENTACIN DE LA EVIDENCIA DIGITAL Consiste en la elaboracin del dictamen pericial con los resultados obtenidos en las etapas anteriores La eficacia probatoria de los dictmenes informticos radica fundamentalmente en la continuidad en el aseguramiento de la prueba desde el momento de su secuestro El dictamen debe ser objetivo y preciso, conteniendo suficientes elementos para repetir el proceso en caso de ser necesario (por ejemplo en un juicio oral)

ORGANIZACIN INTERNA DE LABORATORIO

WORKFLOW DE LABORATORIO PERICIAL INFORMTICO

INGRESO DEL SECUESTRO

Registro de fotografas digitales en el CMS

Verificacin de la cadena de custodia

PRESERVACIN

ANLISIS

PRESENTACIN Y ENVO

10

SOFTWARE FORENSE Generacin de una imagen forense para practicar la pericia informtica

11

12

HARDWARE FORENSE

13

GUAS MEJORES PRCTICAS A continuacin se enuncian siete guas existentes a nivel mundial de mejores prcticas en computacin forense. El RFC 3227: Gua Para Recolectar y Archivar Evidencia Es un documento que provee una gua de alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las mejores prcticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recoleccin y determinar cmo almacenar y documentar los datos. Tambin explica algunos conceptos relacionados a la parte legal. Su estructura es: a) Principios durante la recoleccin de evidencia: orden de volatilidad de los datos, cosas para evitar, consideraciones de privacidad y legales. b) El proceso de recoleccin: transparencia y pasos de recoleccin. c) El proceso de archivo: la cadena de custodia y donde y como archivar. Gua de la IOCE Gua para las mejores prcticas en el examen forense de tecnologa digital El documento provee una serie de estndares, principios de calidad y aproximaciones para la deteccin prevencin, recuperacin, examinacin y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentacin en la corte. Su estructura es: a) Garanta de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal, documentacin, herramientas y validacin de las mismas y espacio de trabajo). b) Determinacin de los requisitos de examen del caso. c) Principios generales que se aplican a la recuperacin de la evidencia digital (recomendaciones generales, documentacin y responsabilidad). d) Prcticas aplicables al examen de la evidencia de digital. e) Localizacin y recuperacin de la evidencia de digital en la escena: precauciones, bsqueda en la escena, recoleccin de la evidencia y empaquetado, etiquetando y documentacin. f) Priorizacin de la evidencia. g) Examinar la evidencia: protocolos de anlisis y expedientes de caso. h) Evaluacin e interpretacin de la evidencia i) Presentacin de resultados (informe escrito). j) Revisin del archivo del caso: Revisin tcnica y revisin administrativa. k) Presentacin oral de la evidencia. l) Procedimientos de seguridad y quejas.

14

Gua DoJ 1: Investigacin en la Escena del Crimen Electrnico Esta gua se enfoca ms que todo en identificacin y recoleccin de evidencia. Su estructura es: a) Dispositivos electrnicos (tipos de dispositivos se pueden encontrar y cul puede ser la posible evidencia). b) Herramientas para investigar y equipo. c) Asegurar y evaluar la escena. d) Documentar la escena. e) Recoleccin de evidencia. f) Empaque, transporte y almacenamiento de la evidencia. g) Examen forense y clasificacin de delitos. h) Anexos (glosario, listas de recursos legales, listas de recursos tcnicos y listas de recursos de entrenamiento). Gua DoJ 2: Examen Forense de Evidencia Digital Otra gua del DoJ EEUU, es Examen Forense de Evidencia Digital Esta gua est pensada para ser usada en el momento de examinar la evidencia digital. Su estructura es: a) Desarrollar polticas y procedimientos con el fin de darle un buen trato a la evidencia. b) Determinar el curso de la evidencia a partir del alcance del caso. c) Adquirir la evidencia. d) Examinar la evidencia. e) Documentacin y reportes. f) Anexos (casos de estudio, glosario, formatos, listas de recursos tcnicos y listas de recursos de entrenamiento). Gua Hong Kong: Computacin Forense - Parte 2: Mejores Prcticas Esta gua cubre los procedimientos y otros requerimientos necesarios involucrados en el proceso forense de evidencia digital, desde el examen de la escena del crimen hasta la presentacin de los reportes en la corte. Su estructura es: a) Introduccin a la computacin forense. b) Calidad en la computacin forense. c) Evidencia digital. d) Recoleccin de Evidencia. e) Consideraciones legales (orientado a la legislacin de Hong Kong). f) Anexos. Gua Reino Unido: Gua De Buenas Prcticas Para Evidencia Basada En Computadores La polica cre este documento con el fin de ser usado por sus miembros como una gua de buenas prcticas para ocuparse de computadores y de otros dispositivos electrnicos que puedan ser evidencia. Su estructura es: a) Los principios de la evidencia basada en computadores. b) Oficiales atendiendo a la escena. c) Oficiales investigadores. d) Personal para la recuperacin de evidencia basada en computadores. e) Testigos de consulta externos. f) Anexos (legislacin relevante, glosario y formatos) Gua Australia: Gua Para El Manejo De Evidencia En IT Es una gua creada con el fin de asistir a las organizaciones para combatir el crimen electrnico. Establece puntos de referencia para la preservacin y recoleccin de la evidencia digital. Detalla el ciclo de administracin de evidencia de la siguiente forma: a) Diseo de la evidencia. b) Produccin de la evidencia. c) Recoleccin de la evidencia. d) Anlisis de la evidencia. e) Reporte y presentacin. f) Determinacin de la relevancia de la evidencia.

15

HERRAMIENTAS DE INFORMACIN FORENSE

En los ltimos dos aos se ha disparado el nmero de herramientas para computacin forense, es posible encontrar desde las ms sencillas y econmicas, como programas de menos de US$300, oo cuyas prestaciones habitualmente son muy limitadas, hasta herramientas muy sofisticadas que incluyen tanto software como dispositivos de hardware. Otra situacin que se ha venido presentando es el uso de herramientas tradicionales como los utilitarios. Con esa amplia gama de alternativas, si est pensando en adquirir una herramienta para computacin forense, es necesario tener claro primero que todo el objetivo que persigue, pues existen varios tipos bsicos de herramientas, no todos los productos sirven para todo, algunos estn diseados para tareas muy especificas y ms an, diseados para trabajar sobre ambientes muy especficos, como determinado sistema operativo. Siendo la recoleccin de evidencia una de las tareas ms crticas, donde asegurar la integridad de esta es fundamental, es necesario establecer ese nivel de integridad esperado, pues algunas herramientas no permiten asegurar que la evidencia recogida corresponda exactamente a la original. Igual de importante es que durante la recoleccin de la evidencia se mantenga inalterada la escena del crimen Son todas estas consideraciones que se deben tener en cuenta a la hora de seleccionar una herramienta para este tipo de actividad, claro, adems de las normales en cualquier caso de adquisicin de tecnologa, como presupuesto, soporte, capacitacin, idoneidad del proveedor, etc. De hecho una de las alternativas que siempre se deber evaluar es si incurrir en una inversin de este tipo a la que muy seguramente se tendr que adicionarle el valor de la capacitacin que en algunos casos puede superar el costo mismo del producto, o, contratar una firma especializada para esta tarea, que generalmente cuentan no con una sino con varias herramientas. En este parte se presenta una clasificacin que agrupa en cuatro los tipos de herramientas de computacin forense

16

Herramientas para la recoleccin de evidencia. Las herramientas para la recoleccin de evidencia representan el tipo de herramienta ms importante en la computacin forense, porque su centro de accin est en el que para muchos es el punto central. Su uso es necesario por varias razones: Gran volumen de datos que almacenan los computadores actuales. Variedad de formatos de archivos, los cuales pueden variar enormemente, an dentro del contexto de un mismo sistema operativo. Necesidad de recopilar la informacin de una manera exacta, que permita verificar que la copia es fiel y adems mantener inalterada la escena del delito. Limitaciones de tiempo para analizar toda la informacin. Volatilidad de la informacin almacenada en los computadores, alta vulnerabilidad al borrado, con una sola informacin se pueden eliminar hasta varios gigabytes. Empleo de mecanismos de encriptacin, o de contraseas. Diferentes medios de almacenamiento, como discos duros, CDs y cintas. Por esto mismo, las herramientas de recoleccin de evidencia deben reunir caractersticas que permitan manejar estos aspectos, pero adems incluir facilidades para el anlisis como las que ofrecen EnCase de Guidance Software y la familia de productos Image Mster de LawEnforcement & Comp. Forensic:

ENCASE
www.encase.com/

El Estndar en Computacin Forense El estndar a nivel mundial en computacin forense: Utilizado por ms de 12.000 investigadores y profesionales de la seguridad. La polica, el gobierno, los militares y los investigadores corporativos confan en EnCase Edicin Forense para ejecutar exmenes informticos delicados y conclusivos. Guiados por nuestras relaciones con investigadores en el mundo entero, El programa EnCase ha sido optimizado para manejar la complejidad cada vez mayor de las configuraciones y capacidades informticas. El programa EnCase soporta un amplio rango de sistemas operativos, archivos y perifricos que son el desafo de los investigadores forenses diariamente. Como una herramienta seleccionada por la polica, el programa EnCase ha soportado numerosos desafos en las cortes de justicia, demostrando su confiabilidad y exactitud. Recientemente, el Instituto Nacional para Estndares y Tecnologa (NIST) concluy que EnCase Imaging Engine (motor de creacin de imgenes de discos) opera con mnimos defectos. Ninguna otra solucin de computacin forense tiene este record de credibilidad, otorgado por sus usuarios, agencias independientes y cortes de justicia. EnCase software fue premiado con el prestigioso premio eWEEK por la excelencia y un grado de 5 estrellas en SC Magazine. Alto rendimiento de procesamiento y confiabilidad La clave para computacin forense es la capacidad de adquirir y analizar datos rpidamente. EnCase Edicin Forense V4 le permite a los investigadores manejar fcilmente largos volmenes de evidencia computacional, la visualizacin de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no utilizado. La incomparable funcionalidad del programa de EnCase permite a los investigadores llevar satisfactoriamente el proceso completo de investigacin computacional, incluyendo reportes personalizados de bsquedas y sus ubicaciones. 17

Adquisiciones forenses confiables El programa EnCase ejecuta adquisiciones de medios produciendo un duplicado binario exacto de los datos del medio original. EnCase verifica este duplicado generando valores de hash MD5 en ambos medios (el original y el archivo imagen o "archivo de evidencia"). Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valor CRC. Estos valores CRC son verificados cada vez que la evidencia es accesada. Flexibilidad extrema: EnScript EnScript es un macro lenguaje de programacin incluido en el programa EnCase. Emulando caractersticas de Java y C++, EnScript le permite al investigador construir scripts personalizados para necesidades especficas de la investigacin y/o automatizacin de tareas rutinarias complejas. Mediante la automatizacin de cualquier tarea investigativa, EnScript no solamente puede salvar das de investigacin, si no semanas del tiempo de anlisis. Caractersticas de encase Mltiple administracin de casos La caracterstica de mltiple administracin de casos del programa EnCase, permite a los investigadores ejecutar simultneamente mltiples casos hacia diferentes objetivos con diversos medios. Soporte unicode Cuando un usuario visualiza un documento creado en un lenguaje diferente, el programa EnCase puede desplegar los caracteres correctamente. Esta es una caracterstica que le permite al programa EnCase buscar palabras claves y desplegar los resultados en cualquier lenguaje. Configuracin dinmica de discos El programa EnCase soporta las siguientes configuraciones dinmicas de discos: Spanned, Mirrored, Striped, RAID 5 y bsico. Con el ingreso de un mnimo de informacin, por parte del investigador, el programa EnCase puede detectar automticamente la configuracin de los discos y conectar todas las particiones, mientras que se conservan intactas las reas libres y de arranque para futuras bsquedas. Bsqueda y anlisis: palabras claves, bsqueda de hash y firmas, y filtros EnCase Edicin Forense V4 le permite a los investigadores analizar y pre visualizar simultneamente mltiples bloques de datos adquiridos. Los investigadores pueden utilizar bsquedas globales de palabras claves, anlisis de hash, anlisis de firmas de archivos y filtros especficos de archivos para analizar rpidamente la evidencia. Opciones de adquisicin mltiple Al igual que existen muchas formas de medios digitales, existen muchas otras formas de adquisicin de medios. EnCase incluye cables para puertos paralelos y cable de red cruzado para Windows y DOS. Ambos mtodos permiten al programa "escribir bloques" para ser colocados en el medio sospechoso, asegurando que el medio original no sea alterado. Sistemas de archivos (file systems) interpretados por EnCase Los siguientes sistemas de archivos son actualmente soportados por EnCase Edicin Forense Versin 4: FAT12 (disco flexible), FAT16, FAT32, NTFS, HFS, HFS+, Sun Solaris UFS, EXT2/3, Reiser, BSD FFS, Palm, CDFS, Joliet, UDF e ISO 9660. Soporte para correo electrnico PST El programa EnCase soporta archivos PST que tengan cifrado compresible y cifrado completo, obviando el archivo de contraseas PST.

18

Visor de galera El visor de galera provee un mtodo simple para visualizar rpidamente todas las imgenes en el archivo de evidencia. La galera despliega imgenes BMP, JPGs, GIFs y TIFFs. Visor de escala de tiempo El visor de escala de tiempo le permite a los investigadores visualizar grficamente toda la actividad de en un estilo de calendario, ilustrando los atributos del archivo, por ejemplo: cundo el archivo fue creado, ltima vez accesado o escrito. El visor de escala de tiempo puede mostrar escalas desde das hasta aos, sirviendo como una herramienta invaluable para mirar todos los patrones de actividad de archivos.

Visor de reportes Los reportes pueden ser generados sobre cualquier archivo, carpeta, volumen, disco fsico o el caso completo. Los reportes incluyen informacin referente a la adquisicin de datos, geometra del disco, estructuras de carpetas, marcadores de archivos e imgenes. Los investigadores pueden exportar los reportes a formato RTF o HTML. EnCase mdulo del sistema de archivos de cifrado (Encrypting File System . EFS) El mdulo de EFS de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de archivos cifrados (EFS), para usuarios locales autenticados. EnCase mdulo del sistema de archivos virtuales (Virtual File System . VFS) El mdulo de VFS de EnCase permite a los examinadores montar la evidencia de un computador en modo de lectura nicamente y fuera de la red, permitiendo la examinacin adicional de la evidencia usando el explorador de Windows y herramientas de terceros. Mdulo del servidor de autenticacin en red (Network Authentication Server . NAS) El servidor de autenticacin en red provee una completa flexibilidad en el licenciamiento del programa EnCase. NAS permite licenciar el programa EnCase de tres formas: Local en el computador del examinador, remotamente con servicios de terminal y a travs de red usando el administrador de licencias (License Manager).

FORENSIC TOOLKIT
www.accessdata.com/products/utk/ Cualquier investigacin informtica forense produce una gigantesca cantidad de papeleo, ya que el objetivo de la investigacin es documentar absolutamente todo lo que se encuentra. Estos conjuntos de herramientas estn diseadas para proporcionar al investigador con la forma probada y verdadera y plantillas que permitirn al investigador para documentar todo lo que se encuentra. Sirven tambin como una lista de control eficaz de la ayuda del equipo de investigacin para garantizar que no se pierda el paso y que todo se hace en el orden correcto.

19

WINHEX
www.x-ways.net/forensics/index-m.html Software para informtica forense y recuperacin de archivos, Editor Hexadecimal de Archivos, Discos y RAM

WinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la ms potente utilidad de sistema jams creada. Apropiado para informtica forense, recuperacin de archivos, peritaje informtico, procesamiento de datos de bajo nivel y seguridad informtica. Sus caractersticas incluyen: Built-in interpretation of RAID systems and dynamic disks Various data recovery techniques Editor de RAM, una manera de editar RAM y la memoria virtual de otros procesos Intrprete de Datos que reconoce hasta 20 tipos distintos de datos Edicin de estructuras de datos mediante plantillas Concatenar, partir, unir, analizar y comparar archivos Funciones de bsqueda y reemplazo especialmente flexibles Clonado de discos, con licencia especialista tambin sobre DOS Imgenes y Backus de discos (comprimibles o divisibles en archivos de 650 MB) Programming interface (API) y scripts Encriptacin AES de 256 bits, checksums, CRC32, digests (MD5, SHA-1...) Borrado irreversible de datos confidenciales/privados Importacin de todos los formatos de portapapeles Formatos de conversin: Binario, Hex ASCII, Intel Hex y Motorola S Juego de caracteres: ANSI ASCII, IBM ASCII, EBCDIC Salto instantneo entre ventanas

Existen otros productos tradicionales cuyo objetivo primordial no es la computacin forense, pero por incluir herramientas para la recuperacin de archivos, en ocasiones pueden ser tiles, aunque la integridad de la evidencia recabada a travs de estas herramientas podra estar ms expuesta y su valor probatorio podra ser menor que el de evidencias obtenidas a travs de herramientas altamente especializadas que garantizan la veracidad de la evidencia. Ejemplo tpico de herramientas no propiamente forenses es Norton Systemworks y Norton Utilities.

20

Herramientas para el monitoreo y/o control de computadores Si se requiere conocer el uso de los computadores es necesario contar con herramientas que los monitoreen para recolectar informacin. Existen herramientas que permiten recolectar desde las pulsaciones de teclado hasta imgenes de las pantallas que son visualizadas por los usuarios y otras donde las mquinas son controladas remotamente. Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar informacin Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado que guardan informacin sobre las teclas que son presionadas. Estas herramientas pueden ser tiles cuando se quiere comprobar actividad sospechosa ya que guardan los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen otras que guardan imgenes de la pantalla que ve el usuario del computador, o hasta casos donde la mquina es controlada remotamente. Es importante tener en cuenta que herramientas de este tipo han llegado a ser usadas con fines fraudulentos (captura de claves de los clientes en cafs Internet u otros sitios pblicos). Se han detectado instalaciones remotas de sencillos programas que registran toda la actividad del usuario en el teclado, esta es almacenada en un archivo que es obtenido de forma remota por el perpetrador. El uso de estas herramientas debe estar plenamente autorizada y un investigador no debera tomar el solo la decisin de su uso.

KEYLOGGER

KeyLogger es un ejemplo de herramientas que caen en esta categora. Es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen dos versiones: la registrada y la de demostracin. La principal diferencia es que en la versin registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la mquina no notar que sus acciones estn siendo registradas.

21

HERRAMIENTAS DE MARCADO DE DOCUMENTOS Un aspecto interesante es el de marcado de documentos; en los casos de robo de informacin, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fcilmente. El foco de la seguridad est centrado en la prevencin de ataques. Algunos sitios que manejan informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes. HERRAMIENTAS DE HARDWARE El proceso de recoleccin de evidencia debe ser lo menos invasivo posible con el objeto de no modificar la informacin. Esto ha dado origen al desarrollo de herramientas que incluyen dispositivos como conectores, unidades de grabacin, etc. Es el caso de herramientas como DIBS Portable Evidence Recovery Unit y una serie de herramientas de Intelligent Computer Solutions; LinkMASSter Forensic Soft Case, LinkMASSter Forensic Hard Case, Image MASSter Solo 2 Forensic Kit With Hard Case. Asimismo, debido a la vulnerabilidad de la copia y modificacin de los documentos almacenados en archivos magnticos, los investigadores deben revisar con frecuencia que sus copias son exactas a las del disco del sospechoso y para esto utilizan varias tecnologas como checksums o Hash MD5.

22