SlideShare una empresa de Scribd logo

Forense digital

Descargar como DOCX, PDF
L
lbosquez
1 de 6
Universidad Americana Panamá Kalimba.mp3 Forense digital: Las técnicas de forense son la aplicación de una técnica de investigación metódica para reconstruir una secuencia de eventos. Las técnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. Existen dos aspectos de estas técnicas: que ha hecho la gente en su computador, esto incluye: o La recuperación de archivos eliminados o Des encriptación elemental o Búsqueda de cierto tipo de archivos o Búsqueda de ciertas fases o Observación de áreas interesantes del computador que ha hecho un usuario remoto en la computadora de alguien más. Esto incluye: o Leer archivos de registro o Reconstruir acciones o Rastrear el origen Principios forenses: Existe un número de principios básicos que son necesarios al examinar un computador o un cadáver. Estos principios son: Evitar la contaminación Actuar metódicamente Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia Evitar la contaminación En televisión salen los examinadores forenses ataviados con batas blancas y Guantes, cogiendo todas las pruebas con pinzas y poniéndolas en bolsa de Plástico sellado. Todo ello es para prevenir la “contaminación”. Aquí es donde Luis Cristóbal Bósquez Ayala 8-799-693 4
Universidad Americana Panamá Las evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y deja sus huellas digitales en la hoja del cuchillo (¿te acuerdas de la película del Fugitivo?… Piensa en los problemas que llegó a tener). Actuar metódicamente En cualquier cosa que se haga, si tuvieras que ir a un juicio, necesitarías justificar todas las acciones que hayas tomado. Si actúas de una manera científica y metódica, tomando cuidadosas notas de todo lo que haces y cómo lo haces, esta justificación es mucho más fácil. También permite a cualquier otra persona poder seguir tus pasos y verificar que tú no has cometido ningún error que pueda poner en duda el valor de tu evidencia. Cadena de Evidencias Siempre se debe mantener lo que se denomina la “Cadena de Evidencias”. Esto Significa que, en cualquier momento del tiempo, desde la detección de la Evidencia hasta la presentación final en el juicio, puedes justificar quién ha Tenido acceso y dónde ha sido. Esto elimina la posibilidad de que alguien haya Podido sabotearlo o falsificarlo de alguna manera. Metodología Como en todo proceso de análisis existe una metodología a seguir que nos marca los pasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y con unos resultados altamente fiables. Estudio preliminar: En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red, etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir para llegar a buen puerto. Adquisición de datos: En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio. Para esta fase la forma más común de realizarlo es mediante el comando de Linux, que nos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entonces no tenemos más remedio que recurrir al uso de la cámara blanca. En esta fase ha de estar presente un notario para dar fe de los actos realizados. Análisis Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar una lectura a nivel físico y determinar la solución mediante los bits. Presentación Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos al Luis Cristóbal Bósquez Ayala 8-799-693 4
Universidad Americana Panamá cliente. Si éste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez. Evidencia Digital El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos. Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignación de archivos del soporte. Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyes referentes a ello, cada juez lo valora subjetivamente como prueba válida o no. Herramientas para la Recolección de Evidencia Existen una gran cantidad de herramientas para recuperar evidencia. El uso de Herramientas sofisticadas se hace necesario debido a: 1. La gran cantidad de datos que pueden estar almacenados en un computador. 2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo. 3. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta. 4. Limitaciones de tiempo para analizar toda la información. 5. Facilidad para borrar archivos de computadores. 6. Mecanismos de inscripción, o de contraseñas. Encase ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guídense Software Inc. Permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de encase se relacionan a Continuación: Copiado Comprimido de Discos Fuente. Encase emplea un estándar sin pérdida para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y Luis Cristóbal Bósquez Ayala 8-799-693 4
Universidad Americana Panamá verificados, de manera semejante a los normales (originales). Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo. Búsqueda y Análisis de Múltiples partes de archivos adquiridos. Encase permite al examinador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos “Zip” y otros tipos de dispositivos de almacenamiento de la información. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro Y ser examinada en paralelo por el especialista. Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas. Varios Campos de Ordenamiento,Incluyendo Estampillas de tiempo. Encase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones. Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated. Herramientas para el Monitoreo y/o Control de Computadores Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente . KeyLogger “KeyLogger” es un ejemplo de herramientas que caen en esta categoría. Es una herramienta que puede ser útil cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Luis Cristóbal Bósquez Ayala 8-799-693 4
Universidad Americana Panamá Existen dos versiones: la registrada y la de demostración. La principal diferencia es que en la versión registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la máquina no notará que sus acciones están siendo registradas. Herramientas de Marcado de documentos Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente. El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes. Técnicas forenses en una máquina individual Esta es probablemente la parte más común en las técnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicación con alguien más, e-mail o libretas de direcciones o evidencia de una naturaleza particular, como imágenes pornográficas. En los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo, que archivos ha accesado, y más. Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades que por ejemplo, observar que contenía un disco antes de una formateada. Muchos de los archivos que se detectan no pueden ser leídos inmediatamente, muchos programas tienen sus propios formatos de archivo; sin embargo, también existen utilidades que permiten saber cual tipo de archivo es. Técnicas forenses en una red Las técnicas forenses en una red se usan para saber donde se localiza un computador y para probar si un archivo particular fue enviado desde un computador particular. Estas técnicas son muy complicadas, pero se puede investigar utilizando dos herramientas básicas: Registros de firewalls Encabezados de correo Post-Mortem He aquí la palabra que encauza el título de nuestro artículo, el análisis post-mortem se realiza mayoritariamente para la recuperación de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a éste recurso se aconsejan la copias de seguridad periódicas. Se puede decir que un disco duro ha "muerto" cuando su parte mecánica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo. Luis Cristóbal Bósquez Ayala 8-799-693 4
Universidad Americana Panamá Cuando esto sucede no hay más que una solución posible, y esa es el análisis post- mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cámara blanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecánico para su correcta lectura de datos. Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños. Dificultades del Investigador Forense El investigador forense requiere de varias habilidades que no son fáciles de adquirir, es por esto que el usuario normal se encontrará con dificultades como las siguientes: 1. Carencia de software especializado para buscar la información en varios Computadores. 2. Posible daño de los datos visibles o escondidos, aún sin darse cuenta. 3. Será difícil encontrar toda la información valiosa. 4. Es difícil adquirir la categoría de 'experto' para que el testimonio personal sea válido ante una corte. 5. Los errores cometidos pueden costar caro para la persona o la organización que representa. 6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente Computacional. 8. Dificultad para conducir la investigación de manera objetiva. Luis Cristóbal Bósquez Ayala 8-799-693 4

Recomendados

Computo forense
Computo forenseComputo forense
Computo forenseantonio123_123
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis ForenseChema Alonso
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceiilauramilagrosbuitronasmat
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosCésar Villamizar Núñez
 
Informática forense
Informática forenseInformática forense
Informática forensealexandrapanduroalva
 
Informatica laboratorio
Informatica laboratorioInformatica laboratorio
Informatica laboratoriolbosquez
 

Recomendados

Computo forense
Computo forenseComputo forense
Computo forenseantonio123_123
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis ForenseChema Alonso
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
Análisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfAnálisis Forenses en Sist. Inf
Análisis Forenses en Sist. InfJuan Flores
 
Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceiilauramilagrosbuitronasmat
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosCésar Villamizar Núñez
 
Informática forense
Informática forenseInformática forense
Informática forensealexandrapanduroalva
 
Informatica laboratorio
Informatica laboratorioInformatica laboratorio
Informatica laboratoriolbosquez
 
Derecho informatico
Derecho informaticoDerecho informatico
Derecho informaticolbosquez
 
Trabajo 4, derecho i excel
Trabajo 4, derecho i excelTrabajo 4, derecho i excel
Trabajo 4, derecho i excellbosquez
 
Certificado de analisis acero inoxidable
Certificado de analisis acero inoxidableCertificado de analisis acero inoxidable
Certificado de analisis acero inoxidableDaniel May
 
Protocolo para toma_de_muestras_de_aguas_residuales
Protocolo para toma_de_muestras_de_aguas_residualesProtocolo para toma_de_muestras_de_aguas_residuales
Protocolo para toma_de_muestras_de_aguas_residualesIng. Diego Saldaña
 
The Near Future of CSS
The Near Future of CSSThe Near Future of CSS
The Near Future of CSSRachel Andrew
 
Classroom Management Tips for Kids and Adolescents
Classroom Management Tips for Kids and AdolescentsClassroom Management Tips for Kids and Adolescents
Classroom Management Tips for Kids and AdolescentsShelly Sanchez Terrell
 
The Buyer's Journey - by Chris Lema
The Buyer's Journey - by Chris LemaThe Buyer's Journey - by Chris Lema
The Buyer's Journey - by Chris LemaChris Lema
 
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfMaraBruzanovski
 
Informática forense
Informática forenseInformática forense
Informática forensealexandrapanduroalva
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenserosarodriguezrafael
 
Informática forense
Informática forenseInformática forense
Informática forensedocentecis
 
Informaticaforense
InformaticaforenseInformaticaforense
Informaticaforenselusanchezsebastian
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensekathinbacilio
 
Informática Forense
Informática ForenseInformática Forense
Informática ForenseRociodeJesus
 
Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceiilauramilagrosbuitronasmat
 
Informática forense
Informática forenseInformática forense
Informática forensearnoldgraoseustaquio
 
Informatica forence
Informatica forenceInformatica forence
Informatica forencesujeytorresgarcia
 
Informaticaforence
InformaticaforenceInformaticaforence
InformaticaforenceYUPANQUI2016
 
Informática forense
Informática forense Informática forense
Informática forense taniacamposalvarran
 
Computación forense
Computación forenseComputación forense
Computación forensemarcoacruz12
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensecarlanarro
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forensedavid475023
 

Más contenido relacionado

Destacado

Derecho informatico
Derecho informaticoDerecho informatico
Derecho informaticolbosquez
 
Trabajo 4, derecho i excel
Trabajo 4, derecho i excelTrabajo 4, derecho i excel
Trabajo 4, derecho i excellbosquez
 
Certificado de analisis acero inoxidable
Certificado de analisis acero inoxidableCertificado de analisis acero inoxidable
Certificado de analisis acero inoxidableDaniel May
 
Protocolo para toma_de_muestras_de_aguas_residuales
Protocolo para toma_de_muestras_de_aguas_residualesProtocolo para toma_de_muestras_de_aguas_residuales
Protocolo para toma_de_muestras_de_aguas_residualesIng. Diego Saldaña
 
The Near Future of CSS
The Near Future of CSSThe Near Future of CSS
The Near Future of CSSRachel Andrew
 
Classroom Management Tips for Kids and Adolescents
Classroom Management Tips for Kids and AdolescentsClassroom Management Tips for Kids and Adolescents
Classroom Management Tips for Kids and AdolescentsShelly Sanchez Terrell
 
The Buyer's Journey - by Chris Lema
The Buyer's Journey - by Chris LemaThe Buyer's Journey - by Chris Lema
The Buyer's Journey - by Chris LemaChris Lema
 

Destacado (7)

Derecho informatico
Derecho informaticoDerecho informatico
Derecho informatico
 
Trabajo 4, derecho i excel
Trabajo 4, derecho i excelTrabajo 4, derecho i excel
Trabajo 4, derecho i excel
 
Certificado de analisis acero inoxidable
Certificado de analisis acero inoxidableCertificado de analisis acero inoxidable
Certificado de analisis acero inoxidable
 
Protocolo para toma_de_muestras_de_aguas_residuales
Protocolo para toma_de_muestras_de_aguas_residualesProtocolo para toma_de_muestras_de_aguas_residuales
Protocolo para toma_de_muestras_de_aguas_residuales
 
The Near Future of CSS
The Near Future of CSSThe Near Future of CSS
The Near Future of CSS
 
Classroom Management Tips for Kids and Adolescents
Classroom Management Tips for Kids and AdolescentsClassroom Management Tips for Kids and Adolescents
Classroom Management Tips for Kids and Adolescents
 
The Buyer's Journey - by Chris Lema
The Buyer's Journey - by Chris LemaThe Buyer's Journey - by Chris Lema
The Buyer's Journey - by Chris Lema
 

Similar a Forense digital

SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfMaraBruzanovski
 
Informática forense
Informática forenseInformática forense
Informática forensedocentecis
 
Informática Forense
Informática ForenseInformática Forense
Informática ForenseRociodeJesus
 
Informaticaforence
InformaticaforenceInformaticaforence
InformaticaforenceYUPANQUI2016
 
Computación forense
Computación forenseComputación forense
Computación forensemarcoacruz12
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensecarlanarro
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forensedavid475023
 
analisis de los modelos de investigacion
analisis de los modelos de investigacionanalisis de los modelos de investigacion
analisis de los modelos de investigacionWYLLIAMRAYMUNDOMARTN
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Alonso Caballero
 

Similar a Forense digital (20)

SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdfSIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
SIF_2022_U3_MARCO_CRIMINALISTICO_Y_PROCEDIMIENTOS (1).pdf
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informaticaforense
InformaticaforenseInformaticaforense
Informaticaforense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informática Forense
Informática ForenseInformática Forense
Informática Forense
 
Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceii
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forence
Informatica forenceInformatica forence
Informatica forence
 
Informaticaforence
InformaticaforenceInformaticaforence
Informaticaforence
 
Informática forense
Informática forense Informática forense
Informática forense
 
Computación forense
Computación forenseComputación forense
Computación forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
analisis de los modelos de investigacion
analisis de los modelos de investigacionanalisis de los modelos de investigacion
analisis de los modelos de investigacion
 
Pl montoyafernandez
Pl montoyafernandezPl montoyafernandez
Pl montoyafernandez
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 

Forense digital

  • 1. Universidad Americana Panamá Kalimba.mp3 Forense digital: Las técnicas de forense son la aplicación de una técnica de investigación metódica para reconstruir una secuencia de eventos. Las técnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. Existen dos aspectos de estas técnicas: que ha hecho la gente en su computador, esto incluye: o La recuperación de archivos eliminados o Des encriptación elemental o Búsqueda de cierto tipo de archivos o Búsqueda de ciertas fases o Observación de áreas interesantes del computador que ha hecho un usuario remoto en la computadora de alguien más. Esto incluye: o Leer archivos de registro o Reconstruir acciones o Rastrear el origen Principios forenses: Existe un número de principios básicos que son necesarios al examinar un computador o un cadáver. Estos principios son: Evitar la contaminación Actuar metódicamente Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia Evitar la contaminación En televisión salen los examinadores forenses ataviados con batas blancas y Guantes, cogiendo todas las pruebas con pinzas y poniéndolas en bolsa de Plástico sellado. Todo ello es para prevenir la “contaminación”. Aquí es donde Luis Cristóbal Bósquez Ayala 8-799-693 4
  • 2. Universidad Americana Panamá Las evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y deja sus huellas digitales en la hoja del cuchillo (¿te acuerdas de la película del Fugitivo?… Piensa en los problemas que llegó a tener). Actuar metódicamente En cualquier cosa que se haga, si tuvieras que ir a un juicio, necesitarías justificar todas las acciones que hayas tomado. Si actúas de una manera científica y metódica, tomando cuidadosas notas de todo lo que haces y cómo lo haces, esta justificación es mucho más fácil. También permite a cualquier otra persona poder seguir tus pasos y verificar que tú no has cometido ningún error que pueda poner en duda el valor de tu evidencia. Cadena de Evidencias Siempre se debe mantener lo que se denomina la “Cadena de Evidencias”. Esto Significa que, en cualquier momento del tiempo, desde la detección de la Evidencia hasta la presentación final en el juicio, puedes justificar quién ha Tenido acceso y dónde ha sido. Esto elimina la posibilidad de que alguien haya Podido sabotearlo o falsificarlo de alguna manera. Metodología Como en todo proceso de análisis existe una metodología a seguir que nos marca los pasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y con unos resultados altamente fiables. Estudio preliminar: En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red, etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir para llegar a buen puerto. Adquisición de datos: En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio. Para esta fase la forma más común de realizarlo es mediante el comando de Linux, que nos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entonces no tenemos más remedio que recurrir al uso de la cámara blanca. En esta fase ha de estar presente un notario para dar fe de los actos realizados. Análisis Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar una lectura a nivel físico y determinar la solución mediante los bits. Presentación Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos al Luis Cristóbal Bósquez Ayala 8-799-693 4
  • 3. Universidad Americana Panamá cliente. Si éste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez. Evidencia Digital El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos. Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignación de archivos del soporte. Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyes referentes a ello, cada juez lo valora subjetivamente como prueba válida o no. Herramientas para la Recolección de Evidencia Existen una gran cantidad de herramientas para recuperar evidencia. El uso de Herramientas sofisticadas se hace necesario debido a: 1. La gran cantidad de datos que pueden estar almacenados en un computador. 2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo. 3. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta. 4. Limitaciones de tiempo para analizar toda la información. 5. Facilidad para borrar archivos de computadores. 6. Mecanismos de inscripción, o de contraseñas. Encase ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guídense Software Inc. Permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de encase se relacionan a Continuación: Copiado Comprimido de Discos Fuente. Encase emplea un estándar sin pérdida para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y Luis Cristóbal Bósquez Ayala 8-799-693 4
  • 4. Universidad Americana Panamá verificados, de manera semejante a los normales (originales). Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo. Búsqueda y Análisis de Múltiples partes de archivos adquiridos. Encase permite al examinador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos “Zip” y otros tipos de dispositivos de almacenamiento de la información. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro Y ser examinada en paralelo por el especialista. Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas. Varios Campos de Ordenamiento,Incluyendo Estampillas de tiempo. Encase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones. Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated. Herramientas para el Monitoreo y/o Control de Computadores Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente . KeyLogger “KeyLogger” es un ejemplo de herramientas que caen en esta categoría. Es una herramienta que puede ser útil cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Luis Cristóbal Bósquez Ayala 8-799-693 4
  • 5. Universidad Americana Panamá Existen dos versiones: la registrada y la de demostración. La principal diferencia es que en la versión registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la máquina no notará que sus acciones están siendo registradas. Herramientas de Marcado de documentos Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente. El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes. Técnicas forenses en una máquina individual Esta es probablemente la parte más común en las técnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicación con alguien más, e-mail o libretas de direcciones o evidencia de una naturaleza particular, como imágenes pornográficas. En los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo, que archivos ha accesado, y más. Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades que por ejemplo, observar que contenía un disco antes de una formateada. Muchos de los archivos que se detectan no pueden ser leídos inmediatamente, muchos programas tienen sus propios formatos de archivo; sin embargo, también existen utilidades que permiten saber cual tipo de archivo es. Técnicas forenses en una red Las técnicas forenses en una red se usan para saber donde se localiza un computador y para probar si un archivo particular fue enviado desde un computador particular. Estas técnicas son muy complicadas, pero se puede investigar utilizando dos herramientas básicas: Registros de firewalls Encabezados de correo Post-Mortem He aquí la palabra que encauza el título de nuestro artículo, el análisis post-mortem se realiza mayoritariamente para la recuperación de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a éste recurso se aconsejan la copias de seguridad periódicas. Se puede decir que un disco duro ha "muerto" cuando su parte mecánica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo. Luis Cristóbal Bósquez Ayala 8-799-693 4
  • 6. Universidad Americana Panamá Cuando esto sucede no hay más que una solución posible, y esa es el análisis post- mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cámara blanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecánico para su correcta lectura de datos. Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños. Dificultades del Investigador Forense El investigador forense requiere de varias habilidades que no son fáciles de adquirir, es por esto que el usuario normal se encontrará con dificultades como las siguientes: 1. Carencia de software especializado para buscar la información en varios Computadores. 2. Posible daño de los datos visibles o escondidos, aún sin darse cuenta. 3. Será difícil encontrar toda la información valiosa. 4. Es difícil adquirir la categoría de 'experto' para que el testimonio personal sea válido ante una corte. 5. Los errores cometidos pueden costar caro para la persona o la organización que representa. 6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente Computacional. 8. Dificultad para conducir la investigación de manera objetiva. Luis Cristóbal Bósquez Ayala 8-799-693 4