Denisse Marlene Estrada de la Riva

Informtica forense Es tambin llamado computo forense, computacin forense, anlisis forense digital o exanimacin forense digital y consiste en la aplicacin de tcnicas especializadas a infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales, autenticar datos y explicar las caractersticas tcnicas del uso aplicado a los datos y bienes informticos esta disciplina hace uso no solo de tecnologa de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que tambin requiere de una especializacin y conocimientos avanzados en materia de informtica y sistemas para poder detectar dentro de cualquier dispositivo electrnico lo que ha sucedido. El conocimiento del informtico forense abarca el conocimiento no solamente del software si no tambin de hardware, redes, seguridad, hacking, cracking, recuperacin de informacin. La informtica forense ayuda a detectar pistas sobre ataques informticos, robo de informacin, conversaciones o pistas de emails, chats. Entre los casos mas comunes de estudio se encuentran: La recuperacin de archivos eliminados Desencriptacin elemental Bsqueda de cierto tipo de archivos Bsqueda de ciertas fases Observacin de reas interesantes del computador: Leer archivos de registro Reconstruir acciones Rastrear el origen

Dispositivos a analizar Todos los equipos que pueden ser analizados son los que tengan una Memoria, por lo que se pueden analizar los siguientes dispositivos: Disco duro de una Computadora o Servidor

Denisse Marlene Estrada de la Riva

Documentacin referida del caso. Logs de seguridad. Informacin de Firewalls IP, redes Software de monitoreo y seguridad Credenciales de autentificacin Trazo de paquetes de red. Telfono Mvil o Celular, parte de la telefona celular, Agendas Electrnicas (PDA) Dispositivos de GPS. Impresora Memoria USB

Dentro de la informtica forense Existen diferentes aspectos a estudiar: Cadena de Custodia: La identidad de personas que manejan la evidencia en el tiempo del suceso y la ltima revisin del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los artculos son registrados y contabilizados durante el tiempo en el cual estn en su poder, y que son protegidos, llevando un registro de los nombres de las personas que manejaron la evidencia o artculos con el lapso de tiempo y fechas de entrega y recepcin. Imagen Forense: Llamada tambin "Espejo" (en ingls "Mirror"), la cual es una copia bit a bit de un medio electrnico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las reas borradas incluyendo particiones escondidas. Anlisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de informacin relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo), autor, tamao, nombre y ruta, as como su creacin, ltimo acceso y fecha de modificacin.

Denisse Marlene Estrada de la Riva

Pasos del cmputo forense El proceso de anlisis forense a una computadora se describe a continuacin: Identificacin Es muy importante conocer los antecedentes, situacin actual y el proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las bsquedas y la estrategia de investigacin. Incluye muchas veces la identificacin del bien informtico, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisin del entorno legal que protege el bien y del apoyo para la toma de decisin con respecto al siguiente paso una vez revisados los resultados. Preservacin Este paso incluye la revisin y generacin de las imgenes forenses de la evidencia para poder realizar el anlisis. Dicha duplicacin se realiza utilizando tecnologa de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia bit-a-bit de todo el disco, el cual permitir recuperar en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar la contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una alteracin no deseada en los medios. Anlisis Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la mquina como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos especficos, recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos sitios visitados, recuperacin del cach del navegador de Internet, etc. Presentacin Es el recopilar toda la informacin que se obtuvo a partir del anlisis para realizar el reporte y la presentacin a los abogados, la generacin (si es el caso) de una pericial y de su correcta interpretacin sin hacer uso de tecnicismos.

Denisse Marlene Estrada de la Riva

Herramientas para la Recoleccin de Evidencia Existen una gran cantidad de herramientas para recuperar evidencia. El uso de Herramientas sofisticadas se hace necesario debido a: 1. La gran cantidad de datos que pueden estar almacenados en un computador. 2. La variedad de formatos de archivos, los cuales pueden variar enormemente, an dentro del contexto de un mismo sistema operativo. 3. La necesidad de recopilar la informacin de una manera exacta, y que permita verificar que la copia es exacta. 4. Limitaciones de tiempo para analizar toda la informacin. 5. Facilidad para borrar archivos de computadores. 6. Mecanismos de encripcin, o de contraseas. EnCase

ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el anlisis de un crimen digital. Algunas de las caractersticas ms importantes de encase se relacionan a Continuacin: Copiado Comprimido de Discos Fuente. Encase emplea un estndar sin prdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta caracterstica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo. Bsqueda y Anlisis de Mltiples partes de archivos adquiridos. EnCase permite al examinador buscar y analizar mltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extrables, discos zip y otros tipos de dispositivos de almacenamiento de la informacin. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. Diferente capacidad de Almacenamiento.

Denisse Marlene Estrada de la Riva

Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo. EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se cre, ltimo acceso, ltima escritura), nombres de los archivos, firma de los archivos y extensiones. Anlisis Compuesto del Documento. EnCase permite la recuperacin de archivos internos y meta-datos con la opcin de montar directorios como un sistema virtual para la visualizacin de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated. Herramientas para el Monitoreo y/o Control de Computadores

Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar informacin. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan informacin sobre las teclas que son presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del computador, o hasta casos donde la mquina es controlada remotamente . KeyLogger

KeyLogger es un ejemplo de herramientas que caen en esta categora. Es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen dos versiones: la registrada y la de demostracin. La principal diferencia es que en la versin registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la mquina no notar que sus acciones estn siendo registradas. Herramientas de Marcado de documentos

Denisse Marlene Estrada de la Riva

Un aspecto interesante es el de marcado de documentos; en los casos de robo de informacin, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fcilmente. El foco de la seguridad est centrado en la prevencin de ataques. Algunos sitios que manejan informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes. Tcnicas forenses en una mquina individual Esta es probablemente la parte ms comn en las tcnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicacin con alguien ms, e-mail o libretas de direcciones o evidencia de una naturaleza particular, como imgenes pornogrficas. En los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo, que archivos ha accesado, y ms. Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades que por ejemplo, observar que contena un disco antes de una formateada. Muchos de los archivos que se detectan no pueden ser ledos inmediatamente, muchos programas tienen sus propios formatos de archivo; sin embargo, tambin existen utilidades que permiten saber cual tipo de archivo es. Tcnicas forenses en una red Las tcnicas forenses en una red se usan para saber donde se localiza un computador y para probar si un archivo particular fue enviado desde un computador particular. Estas tcnicas son muy complicadas, pero se puede investigar utilizando dos herramientas bsicas: Registros de firewalls Encabezados de correo

Post-Mortem

He aqu la palabra que encauza el ttulo de nuestro artculo, el anlisis post-mortem se realiza mayoritariamente para la recuperacin de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a ste recurso se aconsejan la copias de seguridad peridicas.

Denisse Marlene Estrada de la Riva

Se puede decir que un disco duro ha "muerto" cuando su parte mecnica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo. Cuando esto sucede no hay ms que una solucin posible, y esa es el anlisis postmortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cmara blanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecnico para su correcta lectura de datos. Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idnticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dgitos; si ste es el mismo en los dos podemos asegurar que el proceso ha sido completado con xito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daos.

Bibliografa Informtica Forense - 44 casos reales. ISBN 978-84-615-8121-4. Autor: Ernesto Martnez de Carvajal Hedrich (2012)