Universidad Don Bosco Informtica forense

Generalidad y software Ing. Francisco Robles

Allain Alexander Garca Rivera GR051036 03/12/2011

INTRODUCCIN .............................................................................................................................. 3 COMPUTER FORENSICS................................................................................................................ 5 NETWORK FORENSICS .................................................................................................................. 5 DIGITAL FORENSICS ...................................................................................................................... 6 CATEGORAS ................................................................................................................................... 7 EVIDENCIA DIGITAL ...................................................................................................................... 7 DESAFO ............................................................................................................................................ 8 PROCEDIMIENTOS PARA TRATAR LA EVIDENCIA ............................................................... 8 ESTERILIDAD ................................................................................................................................... 9 VERIFICACIN................................................................................................................................. 9 DOCUMENTACIN ....................................................................................................................... 10 INFORME Y PRESENTACIN ..................................................................................................... 10 MANTENIMIENTO ......................................................................................................................... 10 ADMINISTRACIN DEL CASO REALIZADO ............................................................................ 11 AUDITORA DE LOS PROCEDIMIENTOS .................................................................................. 11 HERRAMIENTAS ........................................................................................................................... 11 ENCASE ........................................................................................................................................... 12 FORENSIC TOOLKIT ..................................................................................................................... 13 WINHEX........................................................................................................................................... 14 CONCLUSIN ................................................................................................................................. 15

Introduccin
El constante reporte de vulnerabilidades lgicas sobre infraestructuras de computacin en el mundo, ofrecen un escenario perfecto para que se cultiven tendencias relacionadas con intrusos informticos. Estos intrusos poseen diferentes motivaciones, alcances y estrategias que desconciertan a analistas, consultores y cuerpos de especiales de investigaciones, pues sus modalidades de ataque y penetracin de sistemas varan de un caso a otro. La informtica forense hace entonces su aparicin como una disciplina auxiliar de la justicia moderna, para enfrentar los desafos y tcnicas de los intrusos informticos, as como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso.

Existen mltiples definiciones a la fecha sobre el tema forense en informtica Una primera revisin nos sugiere diferentes aproximarnos trminos para

a este tema, dentro de los cuales se tienen: computacin

forense, digital forensics (forensia digital), network forensics (forensia en redes), entre otros. Este conjunto de trminos puede generar confusin en los diferentes ambientes o escenarios donde se utilice, pues cada uno de ellos trata de manera particular o general temas que son de inters para las ciencias forenses aplicadas en medios informticos. recurso

Es importante anotar, que al ser esta especialidad tcnica de un

importante para las ciencias forenses modernas, asumen dentro de sus procedimientos las tareas propias asociadas con la evidencia en la escena del crimen como son: identificacin, preservacin, extraccin, anlisis,

interpretacin, documentacin y presentacin de las pruebas en el con texto de la situacin bajo inspeccin. Computer forensics: cuya traduccin por lo general se hace como computacin forense. Esta expresin podra interpretarse de dos maneras: 1. Disciplina de las ciencias forenses, que considerando las tareas propias
4

asociadas con la evidencia, procura descubrir e interpretar la informacin en los medios informticos para establecer los hechos y formular las hiptesis relacionadas con el caso 2. Como la disciplina cientfica y especializada que entendiendo los elementos propios de la tecnologa de los equipos de computacin ofrece un anlisis de la informacin residente en dichos equipos.

Estas dos definiciones no son excluyentes, sino completara. Una de ellas hace nfasis en las consideraciones forenses y la otra en la especialidad tcnica, pero ambas procuran el esclarecimiento e interpretacin de la

informacin en los medios informticos como valor fundamental, uno para la justicia y otro para la informacin. Network forensics, forensia en las redes :cuando se refiere forensia en redes, se est en un escenario an ms complejo, es necesario comprender la manera como los protocolo de enrutamiento operan, como adems las configuraciones y topologas de red en la infraestructura y configuraciones. Un profesional que entiende las operaciones de las redes de computadoras siguiendo los protocolos y formacin criminalstica, es capaz de establecer los rastros y los movimientos y acciones que un intruso, con los mtodos que ha desarrollado para concluir su accin. A diferencia de la definicin de
5

computacin forense, este contexto exige capacidad.

Digital forensics, forensia digital: trata de conjugar de manera amplia la nueva especialidad. Podramos hacer semejanza con informtica forense, al ser una forma de aplicar los conceptos, estrategias y procedimientos de la criminalstica tradicional a los medios informticos especializados, con el fin de apoyar a la administracin de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el

esclarecimiento de los hechos (quin?, cmo?, dnde?, cundo?, por qu?) de eventos que podran catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administracin de la inseguridad informtica. Evidencia digital La evidencia digital es cualquier informacin, que sujeta a una intervencin humana ha sido extrada de un medio informtico. En este sentido la

evidencia digital es un trmino utilizado de manera amplia para describir cualquier registro generado por almacenamiento en un sistema computacional que pueda ser utilizado como evidencia.
6

La evidencia digital puede ser dividida en tres categoras: 1. Registros almacenados en el equipo de tecnologa informtica

(correos electrnicos, archivos de aplicaciones, imgenes, etc.) 2. Registros generados por los equipos de tecnologa informtica (registros de auditora, registros de transacciones, registros de eventos, etc.) 3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica. (Hojas de clculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.). La evidencia digital es la materia prima para los investigadores donde la tecnologa informtica es parte fundamental del proceso. Sin embargo y considerando, el ambiente tan cambiante y dinmico de las infraestructuras de computacin y comunicaciones, es preciso detallar las caractersticas posee,

propias de dicha evidencia en este entorno. La evidencia digital entre

otros, los siguientes elementos que la hacen un constante desafo para

aquellos que la identifican y analizan en la bsqueda de la verdad:

1. Es voltil 2. A veces Annima

7

3. Es duplicable 4. Es alterable y modificable 5. Es eliminable

Estas caractersticas nos advierten sobre la exigente labor que se requiere por parte de los especialistas de informtica forense, tanto en procedimientos, como en tcnicas y herramientas tecnolgicas para obtener, revisar, analizar y presentar la evidencia presente en una escena del delito. Por tanto, es necesario mantener un conocimiento detallado de las normas y regulaciones legales asociadas con las pruebas y el derecho procesal, as como de las tcnicas y procesos que permitan mantener la confiabilidad de los datos recogidos, la integridad de los medios, el anlisis detallado de los datos y la presentacin idnea de los resultados.

Procedimientos para tratar la evidencia: Las medidas de seguridad y control que estos deben tener a la hora de manipular, cualquier imprecisin en la misma evidencia puede llevar a

comprometer el proceso ya sea legal o de una empresa, organizacin. Los elementos que pueden ser considerados para el procedimiento forense son. Esterilidad de los medios de informticos de trabajo Los medios informticos utilizados por los profesionales en esta rea, deben estar certificados de tal manera, que stos no hayan sido expuestos a modificaciones o pechas de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas. La esterilidad de los medios es una

condicin fundamental para el inicio de cualquier procedimiento forense en informtica.

Verificacin de las copias en medios informticos Las copias efectuadas en los medios previamente esterilizados, deben ser idnticas al original del cual fueron tomadas. La verificacin de stas debe estar asistida por mtodos y procedimientos matemticos que establezcan la completitud de la informacin traspasada a la copia. Para esto, se sugiere utilizar algoritmos y tcnicas de control basadas en firma digitales que puedan comprobar que la informacin inicialmente tomada corresponde a la que se ubica en el medio de copia. Adicionalmente, el software de soporte destinado a esta operacin haya sido previamente probado y analizado por la comunidad cientfica, para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal.

Documentacin de los procedimientos, herramientas y resultados sobre los medios informticos analizados. El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del anlisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontacin sobre el proceso, el tener
9

documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, es posible que un tercero reproduzca sus resultados utilizando la misma evidencia.

Mantenimiento de la cadena de custodia de las evidencias digitales. La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quin la entreg, cundo, en qu estado, cmo se ha transportado, quin ha tenido acceso a ella, cmo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administracin de las pruebas a su cargo. Informe y presentacin de resultados de los anlisis de los medios informticos. Este elemento es tan importante como los anteriores pues una inadecuada presentacin de los resultados puede llevar a falsas expectativas o interpretacin de los hechos que ponga en entredicho la idoneidad del investigador. Por tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redaccin impecable sin juicios de valor y una ilustracin pedaggica de los hechos y los resultados, son elementos crticos a la hora de defender un informe de las investigaciones. Generalmente existen dos tipos de informes, los tcnicos con los detalles de la inspeccin realizada y el ejecutivo para la gerencia y sus dependencias.

10

 Administracin del caso realizado. Los investigadores forenses en informtica deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigacin o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo despus. Por tanto, el mantener un sistema automatizado de documentacin de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso.

Auditora de los procedimientos realizados en la investigacin. Es recomendable que el profesional investigador mantenga un ejercicio de autoevaluacin de sus procedimientos, para contar con la evidencia de una buena prctica de investigaciones forenses. Herramientas: Las herramientas informticas, son la base esencial de los anlisis de las evidencias digitales en los medios informticos. Sin embargo, es preciso comentar que stas requieren de una formalidad adicional que permita validar tanto la confiabilidad de los resultados de la aplicacin de las mismas, como la formacin y conocimiento del investigador que las utiliza. Dentro de las herramientas frecuentemente utilizadas en procedimientos forenses en informtica se tienen las siguientes:

ENCASE:
11

EnCase Forensic es una herramienta de tecnolgica de investigacin forense informtica. Con una interfaz grfica del usuario (GUI) intuitiva con anlisis de correo electrnico/Internet y motor de scripting, EnCase proporciona a los investigadores una herramienta nica, capaz de realizar investigaciones complejas y a gran escala.

CARACTERISTICAS: Con una interfaz grfica del usuario (GUI) plataformas mltiples (Windows, Linux, AIX, OS X, Solaris Encuentra informacin a pesar de los esfuerzos de ocultarla, encubrirla o eliminarla Las opciones de revisin permiten que las personas que no son investigadores, como los abogados, revisen la evidencia con facilidad visualizar todos los archivos relevantes, incluidos los archivos "eliminados", los espacios muertos de los archivos y los espacios no designados. opciones de generacin de informes permiten la preparacin rpida de informes

Forensic Toolkit (FTK): Es una herramienta reconocida al rededor del mundo como el estndar en software forense de computadoras. Esta plataforma digital de investigaciones, validada por la corte internacional como tecnologa de anlisis forense de computadoras, que incluye descifrado de contrasea y de informacin, todo ello en una interfaz intuitiva y personalizable. CARACTERISTICAS: 1. Fcil de usar:

12

- La tecnologa Outside In Viewer de Stellent le permite ver cientos de formatos de archivos. - FTK Imager le permite navegar rpidamente por las imgenes adquiridas Genere registros de auditora e informes del caso. - Es compatible con Password Recovery Toolkit y Distributed Network Attack Registry Viewer: - Analiza la informacin de cuenta, como nombres de usuarios y contraseas, de Internet Explorer, Outlook y Outlook Express. - Abre todas las versiones de archivos de registro de Windows. - Se integra fcilmente con los informes del caso de Forensic Toolkit.

2. Anlisis de correo electrnico y de archivos ZIP: - Permite: correo electrnico de Outlook, Outlook Express, AOL, Netscape, Yahoo, Earthlink, Eudora, Hotmail y MSN. - Recupera mensajes de correo electrnico borrados parcial o totalmente. - Extrae datos automticamente desde archivos comprimidos PKZIP, WinZip, WinRAR, GZIP y TAR.

3. Archivos y formatos de adquisicin admitidos: - Los formatos de archivos incluyen: NTFS, CDFS, UDF, HFS, FAT 12/16/32 y Linux EXT2 & EXT3. - FTK y FTK Imager pueden leer formatos de imgenes de EnCase, SMART, Symantec, Linux DD entre otros.

WINHEX: Editor hexadecimal que permite ver datos que otros programas ocultan
13

Posee un editor de disco y navegador del directorio por FAT12, FAT16, FAT32, NTFS, editor de RAM, una manera de editar la memoria virtual de otros procesos, intrprete de datos que reconoce hasta 20 tipos distintos de datos, edicin de estructuras de datos mediante plantillas.

Permite partir, unir, analizar y comparar archivos, funciones de bsqueda y reemplazo especialmente flexibles, programacin, encriptacin de 128 bits, checksums, CRC32, digests (MD5, SHA-1), borrado irreversible de datos confidenciales/privados, formatos de conversin (Binario, Hex ASCII, Intel Hex y Motorola S), soporta juego de caracteres ANSI ASCII, IBM ASCII, EBCDIC.

14

Conclusin

La informtica forense es un desafo interdisciplinario que requiere un estudio detallado de la tecnologa, los procesos y los individuos que permitan la conformacin de un cuerpo de conocimiento formal, cientfico y legal para el ejercicio de una disciplina que apoye directamente la administracin de la justicia y el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las organizaciones.

15