Delitos Informaticos. Primer nivel de analisis forense. Nuevas Tecnologias. Congreso Internacional de Igeniería Forense INGEFOR. Madrid. Octubre 2008

1. Delitos informáticos. Primer nivel de análisis informático. Nuevas tecnologías de análisis forense.por Pablo Llanos

3. OBJETIVOS:

4. Recrear qué ha ocurrido en un dispositivo digital.

5. Analizar y esquematizar incidencias de forma que se impida la repetición de incidencias similares en el futuro.

6. Puesta a disposición y procesado judicial de pruebas incriminatorias.Análisis Forense Informático

8. Actuar metódicamente

9. Controlar la cadena de evidenciasPrincipios Forenses

10. Dificultades del Investigador Forense Dificultad para conseguir las herramientas necesarias para guardar, preservar y presentar los datos como evidencia. Averías y sabotajes en los soportes de almacenamiento. Técnicas anti forenses, ocultación de datos, claves y encriptación. Avalancha de soportes para analizar en una redada. Burocracia: Dificultades para una realización ágil de informes. Dificultades para presentar y explicar los informes ante el órgano competente.

12. Adquisición de Datos

13. Recuperación de Soporte en caso de Avería o Sabotaje

14. Recuperación de Datos Ocultos o Borrados

15. Análisis de las evidencias

16. Generación de Informes

17. Presentación de las pruebas

18. Esterilización de los equipos del laboratorioMetodología: Proceso Forense Informático

20. Organización, topología de red, usuarios con acceso, sistemas afectados.

21. Estado físico del disco, causas del posible fallo, sistema operativo, sistema de archivos.

22. Necesidad de una posible investigación en caliente.Estudio Preliminar

23. Investigación en caliente

24. Investigación en caliente Debido a que las evidencias en un disco sospechoso no se pueden alterar, la investigación y el análisis de los datos se realiza habitualmente en un laboratorio especializado. Shadow es una herramienta de investigación diseñada para habilitar la investigación del disco duro en la máquina sospechosa. Permite utilizar el ordenador sospechoso para analizar el contenido del Disco Duro utilizando cualquier herramienta de software ya instalada en el ordenador o instalando software de análisis y recuperación de datos.

27. Investigación en caliente Los cambios son escritos en un HD que se encuentra en el interior de la unidad Shadow. No quedan restos en el Disco Duro sospechoso. Si se considera conveniente, después de ver la evidencia de primera mano, siempre se puede decidir embalar y etiquetar para mandarlo a un laboratorio, las pruebas no habrán sido contaminadas.

29. Los investigadores deben revisar que sus copias sean exactas a las del disco sospechoso.

30. Para esto sirve la comprobación de la integridad criptográfica mediante funciones hash. Adquisición de Datos: Clonado

32. Función Hash: Hace posible obtener un hash (resumen de mensaje) de un dato, creando una serie corta de caracteres que representan al dato al cual se le aplica esta función hash.

33. Algoritmos Hash más utilizados: MD5 (128bits), SHA1 (160bits) Clonado: Integridad Criptográfica

34. Clonado por Software Dependemos de la velocidad del PC y de sus características y estabilidad para la velocidad del clonado. La mayoría de las herramientas por software dejan marca en el disco al arrancarlo, con lo cual se produce una contaminación. Esto provoca que haya que utilizar herramientas write-blockers que ralentizan aun más el proceso e clonado. Cuelgues. Sobretodo en zonas de sectores defectuosos. Necesitamos llevar un ordenador para hacerlo in-situ.

36. Más velocidad. (Hasta 6 veces más rápido que el PC más veloz)

37. No es necesario el uso de write-blockers, no marca el disco sospechoso.

38. Comprobación al vuelo de las funciones hash.

39. No dependemos del hardware del PC y de su buen funcionamiento.Clonado: HardCopy II

41. Realiza imágenes de tipo raw que pueden ser analizadas con EnCase.

42. Verifica la integridad criptográfica de la imagen mediante un hash MD5 y lo escribe en un archivo de cabecera asociado con la imagen.. Notifica las disparidades si las hay.

43. Se recupera de errores de lectura en sectores defectuosos del disco sospechoso.

44. Con sectores defectuosos recálcula o aborta el hashing.

45. Rellena el sector que falla con un valor especificado y sigue al hash con estos valores de reemplazo insertados.

46. Permite realizar un borrado seguro de los discos cuando sea necesario “esterilizar” el material del laboratorioClonado: HardCopy II

48. Pero no debemos desestimar ningún dispositivo que pueda contener información relevante por estar defectuoso.

49. Tenemos disponibles recursos de recuperación de datos para la mayoría de averías que se presentan.

50. ¡Incluidas las intencionadas!Discos Duros defectuosos

54. Paradas de motor.

55. Fallos en bloque mecánico.

56. Platos magnéticos contaminados.Todas esta averías necesitan de la apertura del soporte en cámara limpia en un laboratorio especializado Averías Mecánicas

58. CortocircuitosEstas averías se reparan sustituyendo los componentes dañados. Pueden llevar asociados problemas en el Firmware Averías Electrónicas

59. En los platos hay una zona llamada System Area que el microprocesador de la placa del disco utiliza para operar en la unidad. En ella se almacena el Firmware, la información SMART, las tablas de sectores defectuosos, las tablas de configuración del disco, el password, etc. Si un disco tiene daños en la System Area queda inutilizado. Estas averías se solucionan reprogramando el firmware del disco con herramientas que se comunican con el HD a bajo nivel. Averías en el Firmware

61. Cilindros: Serie de pistas alineadas verticalmente.

62. Sectores: Unidad más pequeña de almacenamiento del disco.

63. Clusters: Mínimo espacio en disco que es posible asignar a un archivo.

65. Sectores Defectuosos

66. Archivos borrados

67. Soportes FormateadosEstas averías se solucionan mediante herramientas software de recuperación de datos Averías Lógicas

68. Actualmente conviven en el mercado un sinfín de herramientas de recuperación de datos, tanto de carácter general como especifico. Estas herramientas aprovechan la geometría del disco para recuperar la información. Averías Lógicas

70. Emails Web: Hotmail, Gmail, Yahoo. Etc.

71. Exploradores: Internet Explorer, Firefox, Google Chrome, Safari.Recuperación de Correo Electrónico

73. Access Data

74. WinHex

75. HelixAnalisis de las Evidencias

78. Búsqueda y Análisis de Múltiples partes de archivos adquiridos

79. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo

80. Análisis Compuesto del Documento

81. Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.

82. Firmas de archivos, Identificación y Análisis.

83. Análisis Electrónico Del Rastro De Intervención

84. Soporte de Múltiples Sistemas de Archivo

85. Vista de archivos y otros datos en el espacio Unallocated

86. Integración de Reportes

87. Visualizador Integrado de imágenes con GaleríaEnCase: El estándar de Analisis Forense

88. Presentación de Resultados

89. ¿Y si presentamos las pruebas “en caliente”? Shadow puede ser un medio eficaz para presentar las pruebas de forma visual al tiempo que el investigador las explica. Todos estamos familiarizados con el entorno gráfico de un sistema operativo. Jueces, jurados o defensa ven qué ha ocurrido directamente sobre el ordenador sospechoso sin alterar ninguna evidencia. Presentación de Resultados

90. Esterilización del Material Una vez terminada la investigación es necesario esterilizar el material utilizado para no dejar restos en los discos que utilizaremos en siguientes investigaciones. Hardcopy II Permite realizar un borrado seguro y rápido de los discos cuando sea necesario “esterilizar” el material del laboratorio

91. Hasta aquí ha llegado nuestro proceso de análisis forense. Muchas gracias por su atención y buena suerte en el futuro