Contenido

Introduccin Objetivos Objetivo Principal Objetivos especficos Desarrollo Generalidades Definicin Importancia Usos Aspectos tcnicos - Fases de un Anlisis Forense Digital Identificacin del incidente: bsqueda y recopilacin de evidencias Descubrir las seales del ataque Recopilacin de evidencias Preservacin de la evidencia Anlisis de la evidencia Preparacin para el anlisis: El entorno de trabajo Reconstruccin de la secuencia temporal del ataque Determinacin de cmo se realiz el ataque Identificacin del autor o autores del incidente Evaluacin del impacto causado al sistema Documentacin del incidente Utilizacin de formularios de registro del incidente El Informe Tcnico El Informe Ejecutivo Herramientas Tipos de herramientas forenses Recoleccin de evidencias Monitoreo y/o control de computadoras Marcado de documentos Hardware Herramientas para realizar anlisis forense Programas para informtica forense Medidas adoptadas por Ecuador, realidad procesal El enfoque preventivo Valoracin y gestin del riesgo Planificacin Ahorro de costes y rendimientos ptimos en la respuesta forense Futuro Conclusiones y recomendaciones Conclusiones Recomendaciones Diccionario de trminos Fuente de consulta Anexos Reforma Reglamento Ley de Comercio Electrnico Herramientas ms conocidas para el anlisis forense Esquema del proceso de respuesta a incidentes

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

INTRODUCCIN
El uso y evolucin de las Tecnologas de Informacin y la Comunicacin (TICs), brinda nuevas oportunidades para que una institucin est innovada y pueda prevalecer frente a la competencia, transformando sustancialmente los procesos de intercambio y produccin de informacin. Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques en contra de de la integridad de sistemas computacionales o redes ha causado ingentes prdidas econmicas especialmente en el sector comercial y bancario, debido a esto las empresas pierden credibilidad y se debilitan institucionalmente. Por esta razn se desarrollan herramientas que permite descubrir a los autores del delito y asegurar las pruebas del mismo.

En gran parte la tecnologa ha facilitado el mal hbito de provocar infracciones informticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informticos lo que permitir combatir esta clase de transgresiones. Una de las herramientas es la informtica forense, ciencia criminalstica que sumada al impulso y utilizacin masiva de nuevas tecnologas en todos los mbitos, est adquiriendo una gran importancia debido a la globalizacin de la sociedad de la informacin. La informtica forense no ha sido totalmente conocida, razn por la cual su admisibilidad dentro de un proceso judicial podra ser cuestionada, pero esto no debe ser un obstculo para dejar de lado esta importante clase de herramienta, debiendo ser manejada en base a rgidos principios cientficos, normas legales y procedimientos. La aplicacin de esto nos ayudar a resolver grandes crmenes apoyndose en el mtodo cientfico, aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales. El propsito de este documento es socializar sobre la informtica forense, dando pautas para que se pueda manejar delitos informticos con la debida recuperacin de evidencia digital. Adems la universidad debe aprovechar las bondades de la informtica forense para realizar estudios de seguridad, vigilar la evolucin de las amenazas e identificar las tendencias de los ataques informticos.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

OBJETIVOS

Objetivo Principal:
Recolectar evidencia digital presente en toda clase de infracciones en los Delitos Informticos.

Objetivos especficos:

Compensar de los daos causados por los criminales o intrusos. Perseguir y procesar judicialmente a los criminales informticos. Aplicar medidas como un enfoque preventivo.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

DESARROLLO

Generalidades

Definicin:

La informtica forense es la ciencia que nos permite identificar, preservar, analizar y presentar, evidencia digital, que pueda ser usada como evidencia dentro de un proceso legal. Segn el FBI, la informtica forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.

Importancia:

La informtica forense nace en vista de la necesidad del personal del derecho en poder afrontar nuevas tareas probatorias. Esta necesidad crea el nacimiento de los llamados detectives digitales o peritos informticos. Los Informticos forenses tienen la ardua labor de realizar investigaciones en busca de evidencia digital.

Usos:

Prosecucin Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil.

Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense.

Investigacin de Seguros: La evidencia encontrada en computadores, puede ayudar a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Informtica Forense Compilado por Quituisaca Samaniego Lilia
4

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

Temas corporativos: Puede ser recolectada informacin en casos que tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o an de espionaje industrial.

Mantenimiento de la ley: La informtica forense puede ser usada en la bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin una vez que se tiene la orden judicial para hacer la bsqueda exhaustiva.

Investigacin cientfica: Academias y universidades aprovechan las bondades de la informtica forense para realizar estudios de seguridad, vigilar la evolucin de las amenazas e identificar las tendencias de los ataques informticos, entre otros.

Usuario final: Cada vez es ms comn que las personas usen herramientas de software para recuperar archivos borrados, encriptar documentos y rastrear el origen de un correo electrnico.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

Aspectos tcnicos - Fases de un Anlisis Forense Digital

Identificacin del incidente: bsqueda y recopilacin de evidencias Una de las primeras fases del anlisis forense comprende el proceso de identificacin del incidente, que lleva aparejado la bsqueda y recopilacin de evidencias. Antes de comenzar una bsqueda desesperada de seales del incidente que lo nico que conlleve sea una eliminacin de huellas, acte de forma metdica y profesional. Descubrir las seales del ataque Para iniciar una primera inspeccin del equipo deber tener en mente la premisa de que debe conservar la evidencia, no haga nada que pueda modificarla. Deber utilizar herramientas que no cambien los sellos de tiempo de acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto que no borren nada.

Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad que incorpora el Sistema Operativo, o las que se hayan instalado se mantienen intactas deberemos utilizar otras alternativas. Piense que en muchos casos los atacantes dispondrn de herramientas capaces de modificar la informacin que el administrador ver tras la ejecucin de ciertos comandos. Por ejemplo podrn ocultarse procesos o puertos TCP/UDP en uso. Cuestione siempre la informacin que le proporcionen las aplicaciones instaladas en un sistema que crea comprometido. Recopilacin de evidencias Si est seguro de que sus sistemas informticos han sido atacados. En este punto deber decidir cul es su prioridad: A.- Tener nuevamente operativos sus sistemas rpidamente. B.- Realizar una investigacin forense detallada. Piense que la primera reaccin de la mayora de los administradores ser la de intentar devolver el sistema a su estado normal cuanto antes, pero esta actitud slo har que pierda casi todas las evidencias que los atacantes hayan podido dejar en la escena del crimen, eliminando la posibilidad de realizar un anlisis forense de lo sucedido que le permita contestar a las preguntas de qu?, cmo?, quin?, de dnde? y cundo? se comprometi el sistema, e impidiendo incluso llevar a cabo acciones legales posteriores. Esto tambin puede llevarle a trabajar con un sistema vulnerable, exponindolo nuevamente a otro ataque.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

Documentar detalladamente todas las operaciones que realice sobre los sistemas atacados. No escatime en la recopilacin de datos incluso haga fotografas de los equipos y del entorno, cualquier evidencia puede ser definitiva. Tambin sera recomendable que le acompaase otra persona durante el proceso de recopilacin de evidencias, sta actuara como testigo de sus acciones, as que si es alguien imparcial mejor, y si puede permitirse que le acompae un Notario mejor, recuerde los requisitos legales para que una evidencia pase a ser considerada como prueba en un juicio. Preservacin de la evidencia Aunque el primer motivo que le habr llevado a la recopilacin de evidencias sobre el incidente sea la resolucin del mismo, puede que las necesite posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso deber documentar de forma clara cmo ha sido preservada la evidencia tras la recopilacin. En este proceso, es imprescindible definir mtodos adecuados para el almacenamiento y etiquetado de las evidencias. Como primer paso deber realizar dos copias de las evidencias obtenidas, genere una suma de comprobacin de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya tambin en el etiquetado la fecha y hora de creacin de la copia, nombre cada copia, por ejemplo COPIA A, COPIA B para distinguirlas claramente del original. Otro aspecto a tener en cuenta, y que est relacionado con el comentario anterior, es el proceso que se conoce como la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Deber preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulacin de las copias, desde que se tomaron hasta su almacenamiento.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS Anlisis de la evidencia Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de forma adecuada, el Anlisis Forense reconstruir con todos los datos disponibles la lnea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento.

Este anlisis se dar por concluido cuando conozcamos cmo se produjo el ataque, quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el objetivo del ataque, qu daos causaron, etc. Preparacin para el anlisis: El entorno de trabajo Antes de comenzar el anlisis de las evidencias deber acondicionar un entorno de trabajo adecuado al estudio que desee realizar. Es recomendable no tocar los discos duros originales y trabajar con las imgenes que recopil como evidencias, o mejor an con una copia de stas, tenga en cuenta que necesitar montar esas imgenes tal cual estaban en el sistema comprometido. Prepare dos estaciones de trabajo, en una de ellas, que contendr al menos dos discos duros, instale un sistema operativo que actuar de anfitrin y que le servir para realizar el estudio de las evidencias. En ese mismo ordenador y sobre un segundo disco duro, vuelque las imgenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado. En el otro equipo instale un sistema operativo configurado exactamente igual que el del equipo atacado, adems mantenga nuevamente la misma estructura de particiones y ficheros en sus discos duros. Si no dispone de recursos, puede utilizar software como VMware, que le permitir crear una plataforma de trabajo con varias mquinas virtuales (varios equipos lgicos independientes funcionando sobre un nico equipo fsico).

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS Reconstruccin de la secuencia temporal del ataque El primer paso que deber dar es crear una lnea temporal de sucesos o timeline, para ello recopile la siguiente informacin sobre los ficheros: Inodos asociados. Marcas de tiempo MACD (fecha y hora de modificacin, acceso, creacin y borrado). Ruta completa. Tamao en bytes y tipo de fichero. Permisos de acceso. Usuarios y grupos a quien pertenece. Si fue borrado o no Sin duda esta ser la informacin que ms tiempo le llevar recopilar, pero ser el punto de partida para su anlisis, podra plantearse aqu dedicar un poco de tiempo a preparar un script que automatizase el proceso de creacin del timeline. Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobacin, aunque simple, es muy interesante pues la mayora de los archivos tendrn la fecha de instalacin del sistema operativo, por lo que un sistema que se instal hace meses y que fue comprometido recientemente presentar en los ficheros nuevos, inodos y fechas MAC muy distintas a las de los ficheros ms antiguos. La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que adems se encuentren en rutas poco comunes. Piense que la mayora de los atacantes y sus herramientas crearn directorios y descargarn sus aplicaciones en lugares donde no se suele mirar, como por ejemplo en los directorios temporales. Determinacin de cmo se realiz el ataque Una vez que disponga de la cadena de acontecimientos que se han producido, deber determinar cul fue la va de entrada a su sistema, averiguando qu vulnerabilidad o fallo de administracin caus el agujero de seguridad y que herramientas utiliz el atacante para aprovecharse de tal brecha. Estos datos, deber obtenerlos de forma metdica, empleando una combinacin de consultas a archivos de logs, registro, claves, cuentas de usuarios, etc.

Identificacin del autor o autores del incidente La identificacin de sus atacantes ser de especial importancia si tiene pensado llevar a cabo acciones legales posteriores o investigaciones internas a su organizacin. Deber realizar algunas pesquisas como parte del proceso de identificacin. Primero intente averiguar la direccin IP de su atacante, para ello revise con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. Informtica Forense Compilado por Quituisaca Samaniego Lilia
9

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS Tambin podra encontrar esta informacin en fragmentos de las evidencias voltiles, la memoria virtual o archivos temporales y borrados, como restos de e-mail, conexiones fallidas, etc. Otro aspecto que le interesara averiguar es el perfil de sus atacantes, aunque sin entrar en detalles podr encontrarse con los siguientes tipos de tipos: Hackers: Son los ms populares y tienen hasta su propia pelcula (HACKERS de Iain Softley, 1995). Se trata de personas con conocimientos en tcnicas de programacin, redes, Internet y sistemas operativos. Sus ataque suelen tener motivaciones de tipo ideolgico (pacifistas, ecologistas, anti-globalizacin, anti-Microsoft, etc.) o simplemente lo consideran como un desafo intelectual. SciptKiddies: Son una nueva especie que ha saltado a la escena de la delincuencia informtica recientemente. Se trata de jvenes que con unos conocimientos aceptables en Internet y programacin emplean herramientas ya fabricadas por otros para realizar ataques y ver que pasa. Profesionales: Son personas con muchsimos conocimientos en lenguajes de programacin, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques taques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparacin del mismo, realizando un estudio meticuloso de todo el proceso que llevar a cabo, recopilando toda la informacin posible sobre sus objetivos, se posicionar estratgicamente cerca de ellos, realizar un tanteo con ataques en los que no modificar nada ni dejar huellas.

Evaluacin del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el anlisis forense le ofrece la posibilidad de investigar qu es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Esto le permitir evaluar el compromiso de sus equipos y realizar una estimacin del impacto causado. Generalmente se pueden dar dos tipos de ataques: Ataques pasivos: en los que no se altera la informacin ni la operacin normal de los sistemas, limitndose el atacante a fisgonear por ellos. Ataques activos: en los que se altera, y en ocasiones seriamente, tanto la informacin como la capacidad de operacin del sistema. Adems existen otros aspectos del ataque como los efectos negativos de tipo tcnico que ha causado el incidente, tanto inmediato como potencial. Por ejemplo ataques al cortafuegos, el router de conexin a Internet o Intranet, el servidor Web corporativo, los servidores de bases de datos, tendrn diferente repercusin segn el tipo de servicio o negocio que preste su organizacin y las relaciones de dependencia entre sus usuarios.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

10

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS Documentacin del incidente Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de anlisis forense, esto le har ser ms eficiente y efectivo al tiempo que reducir las posibilidades de error a la hora de gestionar el incidente. Por otro lado, cuando se haya concluido el anlisis y durante ste, tendr que mantener informados a las personas adecuadas de la organizacin, por lo que ser interesante que disponga de diversos mtodos de comunicacin. Adems, necesitar tener preparados una serie de formularios y presentar tras la resolucin del incidente al menos dos tipos de informes uno Tcnico y otro Ejecutivo. Utilizacin de formularios de registro del incidente El empleo de formularios puede ayudarle bastante en este propsito. stos debern ser rellenados por los departamentos afectados por el compromiso o por el propio equipo que gestionar el incidente. Alguno de los formularios que debera preparar sern: Documento de custodia de la evidencia. Formulario de identificacin de equipos y componentes. Formulario de incidencias tipificadas. Formulario de publicacin del incidente. Formulario de recogida de evidencias. Formulario de discos duros.

El Informe Tcnico Este informe consiste en una exposicin detallada del anlisis efectuado. Deber describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense. A modo de orientacin, deber contener, los siguientes puntos: Antecedentes del incidente. Recoleccin de los datos. Descripcin de la evidencia. Entorno del anlisis. o Descripcin de las herramientas. Anlisis de la evidencia. o Informacin del sistema analizado. Caractersticas del SO. Aplicaciones. Servicios. Vulnerabilidades. Metodologa. Descripcin de los hallazgos. o Huellas de la intrusin.
11

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS o Herramientas usadas por el atacante. o Alcance de la intrusin. o El origen del ataque Cronologa de la intrusin. Conclusiones. Recomendaciones especficas. Referencias.

El Informe Ejecutivo Este informe consiste en un resumen del anlisis efectuado, pero empleando una explicacin no tcnica, con lenguaje comn, en el que se expondr los hechos ms destacables de lo ocurrido en el sistema analizado. Constar de pocas pginas, entre tres y cinco, y ser de especial inters para exponer lo sucedido a personal no especializado en sistemas informticos, como pueda ser el departamento de Recursos Humanos, Administracin, e incluso algunos directivos. En este informe deber constar lo siguiente: Motivos de la intrusin. Desarrollo de la intrusin Resultados del anlisis. Recomendaciones.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

12

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

Herramientas
Tipos de herramientas forenses. Recoleccin de evidencias Existen un gran nmero de herramientas que se pueden utilizar para la recuperacin de evidencia, la utilizacin de herramientas sofisticadas es necesaria. Esto se debe a la gran cantidad de datos que pueden estar guardados en la computadora, la gran cantidad de extensiones y formatos con los que nos podemos encontrar dentro de un mismo sistema operativo. Es necesario recopilar informacin que sea correcta y que sea comprobable, es decir verificar que no ha sufrido alteraciones o corrupcin. Cabe aclarar que las herramientas sofisticadas nos ayudan a disminuir los tiempos para poder analizar toda la informacin recopilada. Por otro lado nos encontramos tambin la simplicidad con la que se pueden borrar los archivos de la computadora como as tambin las distintas herramientas de encriptacin y contraseas. Monitoreo y/o control de computadoras Hay ocasiones en las que necesitamos saber cual ah sido la utilizacin que se le ah dado a la computadora antes de que se le realice la pericia por lo tanto tenemos herramientas que controlan que se le da ah la computadora para poder recopilar la informacin. Dentro de las herramientas nos encontramos con algunas de mucha simpleza como lo es un key logger, el cual almacena en un archivo de texto todo lo que ingresamos por el teclado. De esta misma forma tenemos los intermedios que guardan screenshots de la pantalla que ve el usuario observado y los de mayor complejidad que nos permiten tomar el control de la computadora en su totalidad adems de observar lo que hace el usuario. Marcado de documentos Una herramienta interesante es aquella que permite hacerle una marca a un documento importante, esto es de gran utilidad si nos encontramos con un caso en el que se esta sustrayendo informacin, ya que al marcar el documento se lo puede seguir y detectarlo con facilidad. La intencin principal de la seguridad est centrada en prevenir los ataques. Nos encontramos con algunos sitios los cuales tienen informacin confidencial o de mucho valor los cuales intentan protegerse a travs de mecanismos de validacin. Pero lo cierto es que nada es seguro en su totalidad siempre hay algo que se nos escapa por lo tanto debemos estar preparados para saber actuar ante algn posible ataque. Hardware Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la informacin se han diseado varias herramientas como DIBS las cuales son las que nos permiten poder recuperar la informacin sin alterar los datos. Pero seguimos teniendo el inconveniente de que cuando encendemos la computadora se modifican los registros de la misma. Informtica Forense Compilado por Quituisaca Samaniego Lilia
13

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS Herramientas para realizar anlisis forense Herramientas utilizadas en el mbito de la informtica forense para la recuperacin de datos borrados o recoleccin de evidencia digital. Outport: Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por con Outlook 2000 y Evolution 1.0.x y 1.2.x. AIRT (Advanced incident response tool): Conjunto de herramientas para el anlisis y respuesta ante incidentes, tiles para localizar puertas traseras. Foremost: Utilidad para Linux que permite realizar anlisis forenses. Lee de un fichero de imagen o una particin de disco y permite extraer ficheros. WebJob: Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operacin. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. HashDig: Automatiza el proceso de clculo de los hashes MD5 y comprobacin de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia. Md5deep: Conjunto de programas que permiten calcular resmenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Automated Foresic Anlisis: Herramienta para anlisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan informacin interesante para un anlisis forense. Gpart: Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este daado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo. TestDisk: Programa que permite chequear y recuperar una particin eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGIs Journaled File System. Dump Event Log: Herramienta de lnea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. Fccu-docprop: Utilidad de lnea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la librera libgsf para obtener los meta datos. Fccu.evtreader: Permite analizar ficheros de log de eventos de Windows. GrokEVT: Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Event Log Parser: Script PHP que, pasndole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

14

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS Programas para informtica forense Herramientas que permiten la recuperacin de datos como as tambin el anlisis de los navegadores. Los programas son lo siguientes. Srprint: Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauracin del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de creacin y borrado de ficheros que ya no estn presentes en el sistema. iDetect Toolkit: Utilidad que asiste a un investigador forense en el anlisis de la memoria de un sistema comprometido. Pasco: Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la informacin de un fichero index.dat obteniendo como resultado campos separados por tabuladores que pueden importarse fcilmente a una hoja de clculo. Web Historian: Asiste en la recuperacin de las URLs de los sitios almacenados en los ficheros histricos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla Firefox, Netscape, Opera y Safari. Rifuiti: Herramienta para el anlisis forense de la informacin almacenada en la Papelera de Reciclaje de un sistema Windows. Reg Viewer: GUI en GTK 2.2 para la navegacin de ficheros de registro de Windows. Es independiente de la plataforma en que se ejecute. RegParse: Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. Abre el fichero en modo binario y parsea la informacin registro a registro. Regutils: Herramientas para la manipulacin de ficheros ini y de registro de sistemas Windows 9x desde UNIX. Allimage: Esta herramienta para Windows nos permitir crear imgenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos. ProDiscover Basic Edition: Completo entorno grafico para el anlisis forense de sistemas bajo entornos Windows. Permite realizar imgenes, preservar, analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del anlisis. FTK Imagen: Herramienta que nos permitir realizar imgenes de un dispositivo comprometido. Entre sus caractersticas tambin esta la conversin entre diferentes formatos de imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita. Tambin existe una versin lite, cuya funcionalidad es ms reducida. PyFlag: Avanzada herramienta para el anlisis forense de grandes volmenes o imgenes de log. Desarrollada en python posee una interfaz accesible mediante el navegador web. Entre sus caractersticas posee la de integrar volatility, facilitando de esta forma el anlisis de ficheros de imagen de la memoria fsica de un sistema Windows. PlainSight: Completo entorno para el anlisis forense de sistemas. Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todava se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista. Informtica Forense Compilado por Quituisaca Samaniego Lilia
15

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

Medidas adoptadas por Ecuador, realidad procesal

Desde 1999 se puso en el tapete de la discusin el proyecto de Ley de Comercio Electrnico, Mensajes de Datos y Firmas Electrnicas. Se conformaron comisiones para la discusin de la Ley. Cuando la ley se present en un principio, tena una serie de falencias, que con el tiempo se fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la misma, es decir los llamados Delitos Informticos, como se les conoce, se sancionaran de conformidad a lo dispuesto en nuestro Cdigo Penal por lo que no se tomaba en cuenta los adelantos de la informtica y la telemtica presentando inseguridad en el comercio telemtico ante el posible asedio de la criminalidad informtica. Pero en el ao 2002 se aprob un texto definitivo de la Ley de Comercio Electrnico, Mensajes de Datos y Firmas Electrnicas, y en consecuencia las reformas al Cdigo Penal que emita frente a los Delitos Informticos. De acuerdo a la Constitucin Poltica del Ecuador y la reciente Reforma seala que El Ministerio Pblico prevendr en el conocimiento de las causas, dirigir y promover la investigacin pre - procesal y procesal penal. Ahora el problema que se advierte por parte de las instituciones llamadas a perseguir las llamadas infracciones informticas es la falta de preparacin en el orden tcnico tanto del Miniterio Pblico como de la Polica Judicial, esto en razn de la falta por un lado de la infraestructura necesaria, como centros de vigilancia computarizada, las modernas herramientas de software y todos los dems implementos tecnolgicos necesarios para la persecucin de los Delitos Informticos, de igual manera falta la suficiente formacin tanto de los Fiscales que dirigirn la investigacin como del cuerpo policial que lo auxiliara en dicha tarea, dado que no existe hasta ahora en nuestra polica una Unidad Especializada, como existe en otro pases. Por tanto es esencial que se formen unidades Investigativas tanto policiales como del Ministerio Pblico especializadas en abordar cuestiones de la delincuencia informtica e informtica forense. Estas unidades pueden servir tambin de base tanto para una cooperacin internacional formal o una cooperacin informal basada en redes transnacionales de confianza entre agentes de aplicacin de la ley. La masificacin de virus informticos globales, la difusin de pornografa infantil e incluso actividades terroristas son algunos ejemplos de los nuevos delitos informticos y sus fronteras que presentan una realidad difcil de controlar. Con el avance de la tecnologa digital, ha surgido una nueva generacin de delincuentes que expone a los gobiernos, las empresas y los individuos a estos peligros. Debemos exigir entonces contar no solo con leyes e instrumentos eficaces y compatibles que permitan una cooperacin idnea entre los estados para luchar contra la Delincuencia Informtica, sino tambin con la infraestructura tanto tcnica como con el recurso humano calificado para hacerle frente a este nuevo tipo de delitos transnacionales. Es por eso que el Ministerio Pblico tiene la obligacin jurdica en cumplimiento de su mandato constitucional de poseer un cuerpo especializado para combatir esta clase de criminalidad a fin de precautelar los derechos de las vctimas y llevar a los responsables a juicio, terminando as con una cantidad considerable de esta clase de infracciones.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

16

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

El enfoque preventivo
Este enfoque nace, precisamente, como sistematizacin del proceso forense antes de que el incidente ocurra, es decir, a priori, cuando podemos planificar con calma y con recursos los pasos que vamos a dar en el tratamiento de cada tipo de incidente. Las probabilidades de conseguir evidencias de calidad cuando establecemos una relacin con el cliente anterior al incidente aumentan de forma exponencial; porque la estructura organizativa, las plataformas e infraestructuras de una organizacin se adapten para obtener las mejores evidencias forenses. Cabe mencionar las consecuencias en el ahorro de costos cuando la planificacin de la respuesta ha sido preventiva y no responde a necesidades de urgencia en el tratamiento de un incidente que ya ha ocurrido y, por supuesto, es extremadamente importante poder documentar y hacer seguimiento de todos los procesosde negocio y de sus infraestructuras asociadas. Valoracin y gestin del riesgo La prevencin forense parte de la gestin de riesgos de la organizacin. Contando con un correcto mapa de activos y riesgos valorados sobre estos, podemos determinar recursos que necesitan especial atencin desde la perspectiva de seguridad. De las matrices de valoracin de activos, amenazas y vulnerabilidades, controles de mitigacin y riesgos efectivos podemos deducir tecnologas aplicables y una aproximacin de costeinversin para una organizacin en particular; toda esta informacin puede obtenerse de la gestin de riesgos, ya sea cuantitativa (donde aproximas impactos por costes y prdidas econmicas) o cualitativa (con una aproximacin subjetiva y no cuantificable de forma econmica). Por ejemplo, identificar un activo con un gran peso, alto impacto en la organizacin y escasos controles de mitigacin podra llevarnos a valorar la implantacin de sistemas avanzados de vigilancia de ste con herramientas de deteccin de intrusos. Planificacin De acuerdo con el mapa de activos y riesgos podemos tomar una serie de decisiones que hagan ptima la distribucin de recursos dedicados a la prctica forense. As, podemos incidir en las ventajas de contar con un procedimiento detallado de respuesta a incidentes que nos ayude a coordinar cmo queremos gestionar y responder a las situaciones de crisis que puedan darse en el futuro. Por supuesto, planes de continuidad, contingencia y gabinetes de crisis son tambin imprescindibles en tanto que establecen los protocolos y las estrategias de recuperacin en caso de fallo. Todos estos proyectos que cubren las necesidades principales planteadas por la organizacin pueden ser limitados en lo que se refiere a la recuperacin de evidencias. Lo habitual es plantear procedimientos que garanticen la continuidad de la operacin y que ayuden a responder a un incidente desde la perspectiva de la disponibilidad. Qu ocurre con la preservacin de la evidencia? Y con la proteccin de los activos frente a futuras amenazas del mismo tipo? Debemos tener presente las consecuencias derivadas de cualquier tipo de incidente relacionado con nuestra organizacin. Dedicando un esfuerzo dentro de la planificacin de la respuesta a incidentes o dentro de la gestin de la continuidad de negocio, podemos mejorar en muchos niveles nuestra dinmica de Informtica Forense Compilado por Quituisaca Samaniego Lilia
17

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS documentacin y proteccin de la evidencia. Con una buena poltica de uso de estas evidencias podemos obtener resultados directos en la prevencin de acciones dainas para la organizacin (malas prcticas, tiempos de parada, etc.) e incluso podemos llegar a hablar de prevencin de ciertos tipos de fraude detectables mediante estas evidencias. Ahorro de costes y rendimientos ptimos en la respuesta forense Los presupuestos en materia seguridad cada vez son mayores en todas las organizaciones. En empresas consideradas de baja inversin como pueden ser las tradicionales PYMES, la orientacin ha cambiado y se estima que a lo largo de los aos prximos la inversin, en este tipo de empresas va a aumentar. En la mayor parte de los casos dedicar un leve esfuerzo en materia de prevencin forense puede reducir la potencialidad del incidente de seguridad de forma drstica. La mejor formacin de los equipos de respuesta trabajando antes de una situacin de emergencia ayuda, con un coste de inversin mnimo, a evitar situaciones de pnico, a asegurar el correcto tratamiento de un incidente, a garantizar la calidad de las evidencias recopiladas, a conseguir una respuesta ptima frente a todas las situaciones conocidas o previstas, y a mejorar la respuesta frente a situaciones nuevas. Con todo lo antes mencionado podemos hablar con cifras reales de reduccin de casos de fraude o de incidentes en funcin a prcticas de mejora de la respuesta forense. Si un proceso de negocio es gestionado correctamente desde la prevencin en materia forense estamos hablando de la posibilidad de realizar un seguimiento estricto que pueda llevar a la deteccin de patrones de malas prcticas, problemas que estn en marcha y a la utilizacin de evidencias de calidad que previamente hemos obtenido, protegido y puesto a disposicin de los responsables pertinentes. Futuro Los diversos fabricantes e integradores que trabajan en el mercado tecnolgico ya incluyen dentro de sus soluciones herramientas y soluciones diversas en materia de proteccin de evidencias. Incluso fabricantes especializados en herramientas forenses han desarrollado soluciones preventivas que permiten la vigilancia ante-mortem. Existen soluciones con altas capacidades de correlacin de eventos de diferentes fuentes, integracin con diferentes soluciones de SIEM, sistemas de alerta temprana (con notificaciones de incidentes que ocurren en otras zonas geogrficas), tcnicas de gestin de evidencias y todo tipo de mejoras en infraestructuras que, hasta ahora, se planteaban como valor aadido pero que, la evolucin natural de los mercados, ha llevado a considerar como necesidades particulares. El auge de las tecnologas de virtualizacin que permiten, entre otras cosas, obtener copias en caliente del sistema en funcionamiento o interceptar determinadas operaciones a nivel de ncleo abren otra puerta en materia de prevencin forense. Incluso con la emergencia de aplicaciones derivadas de la filosofa del Trusted Computing podemos hablar de interceptar problemas detectados por vulneraciones de la poltica especfica de un proceso de negocio determinado o del uso indebido de algn tipo de recurso. Podramos hablar de sistemas de control que mediante las trazas de auditoria y el conocimiento forense adquirido nos permitieran bloquear intentos de fraude antes o durante de su ejecucin. Informtica Forense Compilado por Quituisaca Samaniego Lilia
18

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES
La informtica forense es una herramienta indispensable que toda organizacin debe contemplar dentro de su poltica de seguridad y enmarcarla dentro del proceso de respuesta a incidentes en los sistemas informticos. Las herramientas que el mercado maneja ya estn muy consolidadas y los procedimientos en uso son aplicados por todas las empresas y expertos de estas. En el mbito preventivo existen acciones dispersas dentro de otros proyectos de mayor entidad como los planes de continuidad, contingencia y respuesta a incidentes, pero que adolecen de cierta seguridad en lo que a requisitos forenses se refiere. La proteccin de las evidencias, firma digital de estas, controles de acceso, vigilancia y las implicaciones legales asociadas; llevan a plantear nuevos modelos de gestin de la seguridad. Incidir en el enfoque preventivo de la prctica forense para: Garantizar la calidad de las evidencias. Dar mejor gestin y control de los procesos de negocios. Asegurar el menor costo en la gestin anterior a un incidente sin la presin de una situacin de emergencia.

RECOMENDACIONES
En la era de la informacin, en la que las tecnologas avanzan a paso agigantado, nos encontramos con profesionales capacitados y de gran utilidad en la resolucin de problemas informticos, pero no han sido reconocidos en muchos mbitos de nuestra sociedad y sin embargo son de gran utilidad, estos profesionales deben especializarse es este tipo de herramientas que permitirn generar confianza en los juicios por Delitos Informticos. La Informtica forense aporta soluciones, tanto a grandes empresas como a PYMES, por lo que stas deben gestionar para que se realicen estudios cientficos, especialmente en centros de investigacin como las Universidades. Se debe destacar la necesidad de aplicar metodologas y procedimientos especficos con el fin de asegurar la garanta de calidad de las evidencias durante todo el proceso forense, haciendo hincapi en la recopilacin y custodia de las evidencias digitales.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

19

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

DICCIONARIO DE TRMINOS
Trusted Computing.- Permitir solo la ejecucin de programas firmados o validados por la organizacin.

Inodo.- En informtica, un inodo o (i-node en ingls) es una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el caso de Linux. Un inodo contiene las caractersticas (permisos, fechas, ubicacin, pero NO el nombre) de un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros. El trmino "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que almacenan archivos regulares, directorios, y enlaces simblicos. El concepto es particular-mente importante para la recuperacin de los sistemas de archivos daados. Cada inodo queda identificado por un nmero entero, nico dentro del sistema de ficheros, y los directorios recogen una lista de parejas formadas por un nmero de inodo y nombre identiticativo que permite acceder al archivo en cuestin: cada archivo tiene un nico inodo, pero puede tener ms de un nombre en distintos o incluso en el mismo directorio para facilitar su localizacin.

Vigilancia ante-mortem.- Vigilancia realizada antes de que ocurra el incidente.

Vigilancia post-mortem.- Vigilancia realizada despus de que ocurra el incidente.

Exploit.- Es el nombre con el que se identifica un programa informtico malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa. El fin puede ser la destruccin o inhabilitacin del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Los exploits se pueden caracterizar segn las categoras de vulnerabilidades utilizadas para su ataque.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

20

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

FUENTE DE CONSULTA

Pablo Romn Ramrez G. (2008). Informtica forense: un enfoque preventivo. Revista ALI
Base informtica ALI ASOCIACION DE INGENIEROS E INGENIEROS TECNICOS EN INFORMATICA N 43 2008

Miguel Lpez Delgado. Anlisis Forense Digital. http://www.codemaster.es

Equipo de Investigacin de Incidentes y Delitos Informticos. Investigaciones Digitales. http://www.eiidi.com

Sitios web:

www.auditoresdesistemas.com www.criptored.upm.es www.ioce.org www.dfrws.org www.isaca.org www.e-fense.com www.opensourceforensics.org www.forensics-es.org www.securityfocus.com

Descarga de programas-herramientas: FTK http://www.foundstone.com HELIX CD http://www.e-fense.com/helix/ F.I.R.E. Linux http://biatchux.dmzs.com

Informtica Forense Compilado por Quituisaca Samaniego Lilia

21

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

ANEXOS

A.1 Reforma Reglamento ley de comercio electrnico

A.2 Descripcin de algunas herramientas reconocidas para el anlisis forense

A.3 Esquema del proceso de respuesta a incidentes.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

22

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS A.1 Reforma Reglamento ley de comercio electrnico
REGISTRO OFICIAL Ao II -- Quito, Lunes 6 de Octubre del 2008 -- Nro. 440

FUNCION EJECUTIVA DECRETO:

1356 Expdase las reformas al Reglamento General a la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos.

N" 1356

Rafael Correa Delgado PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA

Considerando:

Que, mediante Ley No. 67, publicada en el Suplement del Registro Oficial No. 577 de 17 de abril del 2002 se expidi la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos; Que, mediante Decreto No. 3496, publicado en el Registro Oficial 735 de 31 de julio del 2002 se expidi el Reglamento General a la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos; Que, de conformidad con lo dispuesto en el artculo 37 de la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos, el Consejo Nacional de Telecomunicaciones "CONATEL", es el organismo de autorizacin, registro y regulacin de las Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas; Que, de conformidad con lo dispuesto en el artculo innumerado 4 del artculo 10 de la Ley Especial de Telecomunicaciones reformada, la Secretara Nacional de Telecomunicaciones "SENATEL", es el organismo de ejecucin del CONATEL; Que, la Disposicin General Sptima de la Ley No. 67, seala que: "La prestacin de servicios de certificacin de informacin por parte de Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas, requerir de autorizacin previa y registro: Que, la Disposicin General Octava de la Ley No. 67 seala que "El ejercicio de actividades establecidas en esta ley, por parte de instituciones pblicas o privadas, no requerir de nuevos requisitos o requisitos adicionales a los va establecidos, para garantizar la eficiencia tcnica y seguridad jurdica de los procedimiento e instrumentos empleados. "; Que. es necesario armonizar el rgimen de acreditacin de Entidades de Certificacin de Informacin y Servicios Relacionados a fin de que guarden concordancia con lo dispuesto en la Ley No. 67; Que, es prioridad del Estado Ecuatoriano que empresas unipersonales o personas jurdicas de derecho pblico o privado, previa acreditacin del CONATEL, en calidad de Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas, emitan certificados de firma electrnica y puedan prestar otros servicios relacionados, permitiendo as el ejercicio de las actividades previstas en la Ley No. 67; y, Que. es necesario promover polticas que susciten y fortalezcan el desarrollo y aplicacin efectiva del comercio electrnico. En ejercicio de la facultad prevista en el artculo 171 numeral 5 de la Constitucin Poltica de la Repblica, Decreta: Expedir las siguientes REFORMAS AL REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRNICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

23

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS
Art. 1.- Reemplazar en el segundo inciso del apartado b) del artculo 15 las palabras "o la Entidad de registro" por "o el tercero vinculado". Art. 2.- Sustituir el artculo 16 por el siguiente: "Sin perjuicio de la reglamentacin que emita el CONATEL, para la aplicacin del artculo 28 de la Ley No. 67, los certificados de firma electrnica emitidos en el extranjero tendrn validez legal en el Ecuador una vez obtenida la . revalidacin respectiva por una Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada ante el CONATEL, la cual deber comprobar el grado de fiabilidad de dichos certificados y de quien los emite ". Art. 3.- Sustituir el inciso segundo del artculo 17 por el siguiente: "Los certificados de firma electrnica emitidos y revalidados por las Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas por el CONATEL, tienen carcter probatorio". Art. 4.- Agregar a continuacin del artculo 17, los siguientes artculos:

Art. ... Registro Pblico Nacional de Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas y terceros vinculados: "Se crea el Registro Pblico Nacional de Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas y terceros vinculados, a cargo de la Secretara Nacional de Telecomunicaciones. El CONATEL emitir la reglamentacin que permita su organizacin y funcionamiento." "Art.... Acreditacin: La acreditacin como Entidad de Certificacin de Informacin y Servicios Relacionados, consistir en un acto administrativo emitido por el CONATE!. a travs de una resolucin la que ser inscrita en el Registro Pblico Nacional de Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas y terceros vinculados. El plazo de duracin de la acreditacin ser de 10 aos renovables por igual perodo, previa solicitud escrita presentada a la Secretaria Nacional de Telecomunicaciones con tres meses de anticipacin al vencimiento del plazo, siempre y cuando la Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada haya cumplido con sus obligaciones legales y reglamentarias, as como las que consten en la resolucin de acreditacin. La acreditacin como Entidad de Certificacin de Informacin y Servicios Relacionados comprende el derecho para la instalacin, modificacin ampliacin y operacin de la infraestructura requerida para tal fin y estar sujeta al pago de valores, los que sern fijados por el CONATEL. "Art. ... Requisitos para la Acreditacin: El peticionario de una acreditacin como Entidad de Certificacin de Informacin y Servicios Relacionados, deber presentar los siguientes documentos:

"

a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones, detallando nombres y apellidos completos del representante legal, direccin domiciliaria de la empresa unipersonal o compaa; b) Copia de la cdula de ciudadana del representante legal o pasaporte segn corresponda; c) Copia del certificado de votacin del ltimo proceso eleccionario (correspondiente al representante legal, excepto cuando se trate de ciudadanos extranjeros); d) Copia certificada e inscrita en el Registro Mercantil (excepto las instituciones pblicas) del nombramiento del representante legal; e) Copia certificada debidamente registrada en el Registro Mercantil, de la escritura de constitucin de la empresa unipersonal o compaa y reformas en caso de haber/as (excepto las instituciones pblicas); f) Original del certificado de cumplimiento de , obligaciones emitido por la Superintendencia de Compaas o Bancos y Seguros segn corresponda, a excepcin de las instituciones del Estado; g) Diagrama esquemtico y descripcin tcnica detallada de la infraestructura a ser utilizada, indicando las caractersticas tcnicas de la misma;

Informtica Forense Compilado por Quituisaca Samaniego Lilia

24

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS
h) Descripcin detallada de cada servicio propuesto y de los recursos e infraestructura disponibles para su prestacin. La SENATEL podr ordenar inspecciones o verificaciones a las instalaciones del peticionario cuando lo considere necesario; i) Documentos de soporte que confirmen que se disponen de mecanismos de seguridad para evitar la falsificacin de certificados, precautelar la integridad, resguardo de documentos, proteccin contra siniestros, control de acceso y confidencialidad durante la generacin de claves, descripcin de sistemas de seguridad, estndares de seguridad, sistemas de respaldo; Ubicacin geogrfica inicial, especificando la direccin de cada nodo o sitio seguro;

j)

k) Diagrama tcnico detallado de cada "Nodo" o "Sitio Seguro" detallando especificaciones tcnicas de los equipos; l) Informacin que demuestre la capacidad econmica y financiera para la prestacin de servicios de certificacin de informacin y servicios relacionados;

m) En caso de solicitud de renovacin de la acreditacin y de acuerdo con los procedimientos que seale el CONATEL, debern incluirse los requisitos de carcter tcnico, la certificacin de cumplimiento de obligaciones por parte de la Superintendencia de Telecomunicaciones, en la que constar el detalle de imposicin de sanciones, en caso de haber/as y el informe de cumplimiento de obligaciones por parte de la Secretaria Nacional de Telecomunicaciones"

"Art. ... Procedimiento de Acreditacin: La solicitud acompaada de todos los requisitos establecidos ser presentada ante la Secretara Nacional de Telecomunicaciones, la que dentro del trmino de tres das proceder a publicar un extracto de la misma en su pgina WEB institucional. Dentro del trmino de 15 das contados desde la fecha de presentacin de la solicitud, la SENATEL remitir al CONATEL los informes tcnico, legal y econmico--financiero en base a la documentacin presentada. El CONATEL, dentro del trmino d 15 das resolver el otorgamiento de la acreditacin. Copia certificada de la resolucin de acreditacin ser remitida a la Secretara Nacional de Telecomunicaciones dentro del trmino de dos das, a fin de que sta dentro del trmino de cinco das, previo el pago por parte del solicitante, de los valores que el CONATEL haya establecido para el efecto, realice la inscripcin en el Registro Pblico Nacional de Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas y terceros vinculados y efecte la notificacin al peticionario. En el evento de que el peticionario no cancele los valores correspondientes por la acreditacin dentro del trmino de 15 das, el acto administrativo quedar sin efecto automticamente y la Secretara Nacional de Telecomunicaciones proceder al archivo del trmite". "Art. ... Contenido mnimo de la Acreditacin: La resolucin de acreditacin para la prestacin e servicios de certificacin de Informacin contendr al menos lo siguiente: a) Descripcin de los servicios autorizados; b) Caractersticas tcnicas y legales relativas a la operacin de los servicios de certificacin de informacin y servicios relacionados autorizados; c) Obligaciones y responsabilidades de las Entidades de Certificacin de Informacin y Servicios Relacionados de acuerdo a lo establecido en la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos; d) Procedimientos para garantizar la proteccin de los usuarios an en caso de extincin de la acreditacin; y, e) Causales de extincin de la acreditacin".
" Art. ... Operacin: Una vez otorgada y registrada la acreditacin, la Entidad de Certificacin de Informacin y Servicios relacionados dispondr del plazo de seis (6) meses para iniciar la operacin. Vencido dicho plazo la Superintendencia de Telecomunicaciones informar a la Secretara Nacional de Telecomunicaciones si el titular de la acreditacin ha incumplido con esta disposicin, en cuyo caso se extinguir la resolucin de acreditacin. La Entidad de Certificacin de Informacin y Servicios Relacionados podr pedir, por una sola vez, la ampliacin del plazo para iniciar operaciones mediante solicitud motivada. Dicha ampliacin, de concederse, no podr exceder de 90 das calendario."

Art. ... Extincin de la acreditacin: La acreditacin se extinguir por las siguientes causas:

Informtica Forense Compilado por Quituisaca Samaniego Lilia

25

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS
a) b) Terminacin del plazo para la cual fue emitida: Incumplimiento de las obligaciones por parte de la Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada;

c) Por resolucin motivada del CONATEL, por causas tcnicas o legales debidamente comprobadas, incluyendo la presentacin de informacin falsa o alteraciones para aparentar cumplir los requisitos exigidos, as como la prestacin de servicios o realizar actividades distintas a las sealadas en la acreditacin; d) Cese temporal o definitivo de operaciones de la Entidad Acreditada por cualquier causa; y,

e) Por las causas previstas en el Estatuto del Rgimen Jurdico Administrativo de la Funcin Ejecutiva. Una vez extinguida la acreditacin el CONATEL podr adoptar las medidas administrativas, judiciales y extrajudiciales que considere necesarias para garantizar la proteccin de la informacin de los usuarios y el ejercicio de los derechos adquiridos por estos." "Art ... Terceros Vinculados: Con sujecin al artculo 33 de la Ley. No. 67, la Prestacin de Servicios ele Certificacin de informacin podr ser proporcionada por un tercero vinculado contractualmente con una Entidad de Certificacin de informacin v Servicios Relacionados Acreditada ante el CONATEL: para lo cual el tercero vinculado deber presentar la documentacin que justifique la vinculacin. La Secretaria Nacional de Telecomunicaciones analizar que la documentacin que presente el peticionario corresponda a la que establece el presente Reglamento y si cumple con todos los requisitos proceder con el registro correspondiente. El plazo de duracin del registro ser igual al plazo de duracin de la relacin contractual del tercero vinculado con la Entidad de Certificacin de Informacin y Servicios Relacionados. En todos los casos, la responsabilidad en la prestacin de los servicios, ser de la Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada ante el CONATEL" "Art. Procedimiento de Registro de los terceros vinculados.- El registro de terceros vinculados consiste en una razn o marginacin realizada por la Secretara Nacional de Telecomunicaciones. Las solicitudes de registro de terceros vinculados con las Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas, debern estar acompaadas de los siguientes documentos y requisitos:

a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones, detallando nombres y apellidos completos del representante legal, direccin domiciliaria de la empresa unipersonal o compaa; b) Copia de la cdula de ciudadana del representante legal o pasaporte segn corresponda; c) Copia del certificado de votacin del ltimo proceso eleccionario (correspondiente al representante legal, excepto cuando se trate de ciudadanos extranjeros), d) Copia certificada e inscrita en el Registro Mercantil (excepto instituciones pblicas) del nombramiento del representante legal; e) Copia certificada debidamente inscrita en el Registro Mercantil, de la escritura de constitucin de la empresa unipersonal o compaa y reformas en caso de haberlas, excepto para instituciones pblicas; f) Original del certificado de cumplimiento de obligaciones emitido por la Superintendencia de Compaas o Bancos y Seguros segn corresponda, a excepcin de instituciones del Estado; g) h) Documentos que certifiquen la relacin contractual con la Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada; Descripcin de los servicios a prestar en calidad de tercero vinculado.

En todos los casos, el documento de relacin contractual deber establecer claramente las responsabilidades legales de cada una de las partes ante los usuarios y autoridades competentes. La Secretara Nacional de Telecomunicaciones, entregar al peticionarlo el certificado de registro dentro del trmino de 15 das contados desde la fecha de presentacin de la solicitud, previo el pago de los valores establecidos por el CONA TEL."

Informtica Forense Compilado por Quituisaca Samaniego Lilia

26

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS
"Art. ... Modificaciones: Las modificaciones de las caractersticas tcnicas de operacin o prestacin de los servicios, as como de la variedad o modalidad de los mismos, que no alteren el objeto de la acreditacin, requerirn de notificacin escrita a la Secretara Nacional de Telecomunicaciones y de la aprobacin de esta. Cuando la modificacin incluya la prestacin de servicios adicionales a los autorizados, la Entidad de Certificacin de Informacin y Servicios Relacionados deber cancelar el valor establecido para tal efecto." "Art. ... Recursos Administrativos: Los actos administrativos que emitan el CONATEL y la SE.NATEL, estn sometidos a las normas, recursos y reclamaciones del Estatuto del Rgimen Jurdico Administrativo de la Funcin Ejecutiva. " ".Art. ... Acreditacin para Entidades del Estado: Las instituciones del Estado sealadas en el artculo 118 de la Constitucin Poltica de la Repblica, de acuerdo a lo sealado en la disposicin general Octava de la Ley 67, podrn prestar servicios como Entidades de Certificacin de Informacin y Servicios Relacionados, previa Resolucin emitida por el CONATEL. Las instituciones pblicas obtendrn certificados de firma electrnica, nicamente de las Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas, de derecho pblico." "Art.... Garanta de Responsabilidad: De conformidad con lo dispuesto en el apartado h) del artculo 30 de la Ley No. 67, las Entidades de Certificacin de informacin y, Servicios Relacionados Acreditadas debern contar con una garanta de responsabilidad para asegurar a los usuarios el pago de los daos y perjuicios ocasionados por el incumplimiento de las obligaciones. Esta garanta ser incondicional, irrevocable y de cobro inmediato y podr consistir en plizas de seguro de responsabilidad previstas en el artculo 43 de la Codificacin de la Ley General de Seguros u otro tipo de garantas que estn autorizadas conforme lo dispuesto en el artculo 51, letra c) de la Ley General de Instituciones del Sistema Financiero. Como parmetros iniciales se establecen: a) Para el primer ao de operaciones, la Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada, deber contratar y mantener, a favor de la Secretara Nacional de Telecomunicaciones, una garanta de responsabilidad para asegurar a los usuarios el pago de los daos y perjuicios ocasionados por el posible incumplimiento de las obligaciones, cuyo monto ser igual o mayor a cuatrocientos mil dlares de los Estados Unidos de Amrica (U.SD $ 400.000,00). En el contrato de prestacin de servicios que suscriba la Entidad de Certificacin de informacin con los usuarios, se deber incluir una clusula relacionada con los aspectos de esta garanta, tales como: monto asignado a cada usuario, mecanismos de reclamacin y restitucin de valores". b) Para el segundo ao de operaciones y hasta la finalizacin del plazo de la acreditacin, la Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada deber contratar a favor de la Secretara Nacional de Telecomunicaciones, una garanta, cuyo monto estar en funcin de un valor base de garanta por certificado y que ser determinado por el CONATEL. En la regulacin que emita el CONATEL para establecer el valor base de garanta de responsabilidad por certificado, se considerar la evolucin del mercado y la proteccin de los derechos de los usuarios, observando lo dispuesto en el artculo 31 de la Ley. No. 67. La Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada quedar exenta de responsabilidad por daos y perjuicios cuando el usuario exceda los lmites de uso indicados en el certificado. La Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada, previo al inicio de las operaciones, remitirn a la Secretara Nacional de Telecomunicaciones, a satisfaccin de sta, el original de la garanta. Asimismo, durante el plazo de vigencia de la acreditacin dichas Entidades remitirn a la Secretara Nacional de Telecomunicaciones, hasta el 31 de enero de cada ao, el original de la garanta mencionada en el apartado b) del presente artculo. "Art.... Procedimiento de ejecucin de la Garanta de Responsabilidad: Cuando el usuario de una Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada considere que ha existido incumplimiento en la prestacin del servicio que le haya ocasionado daos y perjuicios, este podr presentar a la Secretara Nacional de Telecomunicaciones, hasta en el trmino de 15 das contados desde que se produjo el incumplimiento, una solicitud motivada a fin de que esta: a) A l amparo de lo dispuesto en el artculo 31 de la Ley No. 67, ponga en conocimiento de la Entidad de Certificacin de Informacin y Servicios Relacionados el reclamo formulado y solicite que

Informtica Forense Compilado por Quituisaca Samaniego Lilia

27

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS
dentro del trmino perentorio de 5 das, presente sus descargos o en su defecto reconozca el incumplimiento. b) Vencido el trmino sealado en el numeral anterior, la Secretara Nacional de Telecomunicaciones con o sin la presentacin de los descargos respectivos por parte de la Entidad de Certificacin y Servicios Relacionados Acreditada, dentro del trmino de cinco das, resolver sobre la procedencia del reclamo formulado por el usuario, el que de ser estimado total o parcialmente dar lugar a que disponga a la compaa aseguradora o institucin financiera la ejecucin parcial de la garanta de responsabilidad por el monto de los daos y perjuicios causados, los que no podrn reconocerse por un valor superior al pactado en el contrato del usuario. Sin perjuicio de lo anterior, el usuario podr considerar el inicio de las acciones que estime pertinentes en contra de la Entidad de Certificacin de Informacin y Servicios Relacionados, por los daos y perjuicios no cubiertos por la garanta de responsabilidad.

"Art. ... Control: La Superintendencia de Telecomunicaciones realizar los controles necesarios a las Entidades de Certificacin de Informacin y Servicios Relacionados as como a los Terceros Vinculados, con el objeto de garantizar el cumplimiento de la normativa vigente y de los trminos y condiciones de autorizacin y registro. Supervisar e inspeccionar en cualquier momento las instalaciones de los prestadores de dichos servicios, para lo cual debern brindar todas las facilidades y proporcionar la informacin necesaria para cumplir con tal fin; de no hacerlo estarn sujetos a las sanciones de ley. Art. 5.- Sustituir en el primer y segundo inciso del artculo 18, las palabras "o de la Entidad de registro" por "o del tercero vinculado" y "de la Entidad de registro" por "del tercero vinculado" y agregar a continuacin del mismo lo siguiente: "La Entidad de Certificacin de Informacin y Servicios Relacionados Acreditada no podr ceder o transferir total ni parcialmente los derechos o deberes derivados de la acreditacin. Es responsabilidad de las Entidades de Certificacin de Informacin y Servicios Relacionados Acreditadas emitir certificados nicos. Cada certificado deber contener un identificador exclusivo que lo distinga de forma unvoca ante el resto y solo podrn emitir certificados vinculados a personas naturales mayores de edad, con plena capacidad de obrar. Est prohibida la emisin de certificados de prueba o demostracin. El formato de los contratos que las Entidades .de Certificacin de Informacin y Servicios Relacionados suscriban con los usuarios, debern ser remitidos a la Secretara Nacional de Telecomunicaciones, previo al inicio de operaciones o cuando dicho formato sea modificado". Disposicin Transitoria: Los trmites pendientes relacionados con la acreditacin como Entidades de Certificacin de Informacin y Servicios Relacionados debern adecuarse a lo dispuesto en este decreto. Artculo Final.- Las reformas al presente reglamento entrarn en vigencia a partir de su publicacin en el Registro Oficial. Dado en el Palacio Nacional, en San Francisco de Quito, el da de hoy 29 de septiembre del 2008.

f.) Rafael Correa Delgado, Presidente Constitucional de la Repblica.

Es fiel copia del original.- Lo certifico.

f.) Abg. Oscar Pico Solrzano, Subsecretario General de la Administracin Pblica.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

28

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS A. 2 Herramientas ms conocidas para el anlisis forense

Autopsy Forensic Browser Es una herramienta que esta basada en lnea de comandos del Sleuth Kit. La unin de estas herramientas las cuales estn instaladas en un servidor utilizando un sistema basado en una plataforma Unix los cuales conformar una completa herramienta forense la solamente necesita de un sistema operativo y un browser para poder hacer uso de la misma. Otro punto destacable es que puede analizarse tanto una computadora con Windows como con Unix ya que soporta sistemas de archivos como NTFS, FAT, UFS1/2 y Ext2/3. El funcionamiento esta basado principalmente en una buena prctica forense basndose en un anlisis muerto y uno vivo. En el caso del muerto se hace la investigacin desde otro sistema operativo y con el sistema en cuestin a investigar sin cargar. Por lo tanto los datos que obtendremos sern referidos a la integridad de los archivos, logs del sistema, la estructura que tienen los ficheros y los elementos que han sido borrados. En el caso del vivo se analiza el sistema en cuestin cuando ste esta en funcionamiento por lo que se analizan ficheros, procesos, memoria, etc luego de que se confirma que hay evidencia se puede adquirir el sistema a travs de una imagen por lo que se puede realizar a posteriori un anlisis de sistema muerto.

Esta herramienta forense puede brindarnos evidencia a travs de: Listado del archivo: Nos ofrece un anlisis de los archivos, los directorios e incluye los nombres de archivos que se han eliminado. El contenido de archivos: Nos permite observar el formato raw, hex y/o ASCII. Una vez que se descifran los datos, se procede a desinfectar la autopsia para evitar que los datos se corrompan. Bases de datos de Hash: Los archivos son catalogados como benignos o malignos para el sistema apoyndose en la biblioteca de referencia del software NIST y las bases de datos que fueron creadas por el usuario. Clasificacin de tipos de archivo por extensiones: Agrupa los archivos basndose en sus firmas internas para reconocer extensiones conocidas. La autopsia tambin puede extraer solamente imgenes grficas y comparar el tipo de archivo para poder identificar si en los archivos se han modificado las extensiones para ocultarlos. Lnea de tiempo de la actividad del archivo: Esto es bastante til para poder tener en cuenta que es lo que se ah hecho con el archivo es decir cuando ah sido movido, modificado o incluso borrado. Esto resulta de gran ayuda cuando se tienen muchos archivos y no se sabe bien que es lo que se esta buscando debido a que si notamos un gran inters por el usuario sobre un archivo es por que algo tiene que tener de importancia y que puede servir de evidencia. Bsqueda de palabra clave: a travs de la secuencia de ASCII y expresiones regulares se pueden realizar la bsqueda de palabras que sirvan para encontrar evidencia en la computadora. Esta bsqueda se puede efectuar sobre una imagen completa del sistema de archivos. Anlisis de los meta datos: Los meta datos tienen la informacin sobre los archivos y directorios. Esta herramienta nos permite tener una visin de los detalles de cualquier estructura Informtica Forense Compilado por Quituisaca Samaniego Lilia
29

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS de los meta datos de los ficheros. Lo cual es de suma importancia a la hora de recuperar los datos que fueron eliminados. Detalles de la imagen: Con esta opcin podemos observar con detenimiento los ficheros llegando al punto de poder conocer cual era la ubicacin en el disco y las fechas de actividad. Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o ms anfitriones. Cada anfitrin se configura para tener su propia posicin, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada anfitrin puede contener unas o ms imgenes del sistema de ficheros para analizar. Secuenciador de acontecimientos: Los ataques se pueden obtener desde el log de un IDS. Esta herramienta califica los ataques para poder identificar de manera ms simple como ocurri la secuencia de los ataques. Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrin y investigador. Esto permite hacer notas rpidas sobre archivos y estructuras. Integridad de imagen: Es vital corroborar que los datos que estamos analizando no estn corruptos ni han sido modificados para que tengan veracidad las evidencias encontradas. Informes: La herramienta puede crear los informes para los archivos y otras estructuras del sistema de ficheros. Registros: Los registros de la intervencin se crean en un caso, un anfitrin, y un nivel del investigador para poder recordar fcilmente las acciones y los comandos ejecutados.

The Forensic ToolKit Se trata de una coleccin de herramientas forenses para plataformas Windows, creado por el equipo de Foundstone. Este ToolKit le permitir recopilar informacin sobre el ataque, y se compone de una serie aplicaciones en lnea de comandos que permiten generar diversos informes y estadsticas del sistema de archivos a estudiar. Para poder utilizarlos deber disponer de un intrprete de comandos como cmd.exe. Comando afind hfind Busca archivos ocultos en el Sistema Operativo. Busca flujos de datos ocultos en el disco duro, stos son distintos de los archivos ocultos y no aparecern con herramientas normales del sistema operativo. Su importancia radica en que pueden usarse para ocultar datos o software daino. Ofrece una lista completa de los atributos del archivo que se le pase como argumento (uno cada vez). Permite obtener informacin sobre un sistema que utiliza las opciones de sesin NULL, tal como usuarios, recursos compartidos y servicios.
30

Funcin Realiza bsqueda de archivos por su tiempo de acceso, sin modificar la informacin de acceso al mismo.

sfind filestat

hunt

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribucin Linux denominada Knoppix (que a su vez est basada en Debian). Posee la mayora de las herramientas necesarias para realizar un anlisis forense tanto de equipos como de imgenes de discos. Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitir elegir entre arrancar un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos de un entorno con un conjunto de herramientas, casi 90 Mb, que nos permitir principalmente interactuar con sistemas vivos, pudiendo recuperar la informacin voltil del sistema. En el arranque Linux, disponemos de un Sistema Operativo completo, con un ncleo modificado para conseguir una excelente deteccin de hardware, no realiza el montaje de particiones swap, ni ninguna otra operacin sobre el disco duro del equipo sobre el que se arranque. Es ideal para el anlisis de equipos muertos, sin que se modifiquen las evidencias pues montar los discos que encuentre en el sistema en modo slo lectura. Adems de los comandos de anlisis propios de los entornos UNIX/Linux, se han incorporado una lista realmente interesante de herramientas y ToolKits, alguno de ellos comentados anteriormente como el Sleuth Kit y Autopsy.

F.I.R.E. Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y anlisis forense, compuesto por una distribucin Linux a la que se le han aadido una serie de utilidades de seguridad, junto con un interfaz grfico que hace realmente fcil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad. Este live CD est creado y mantenido por William Salusky y puede descargarse gratuitamente desde la direccin http://biatchux.dmzs.com. En esta distribucin podr disponer de una serie de funcionalidades que le aportar muchas ventajas en su anlisis, entre las que cabe destacar: Recoleccin de datos de un sistema informtico comprometido y hacer un anlisis forense. Chequear la existencia de virus o malware en general desde un entorno fiable. Posibilidad de realizacin de test de penetracin y vulnerabilidad. Recuperacin datos de particiones daadas. Las herramientas que posee F.I.R.E son conocidas y muy recomendables, aunque sin entrar en detalles sobre cada una de ellas, podr encontrar las siguientes: Nessus, nmap, whisker, hping2, hunt, fragrouter. Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort. Chkrootkit, F-Prot. TCT, Autopsy. Testdisk, fdisk, gpart. SSH (cliente y servidor), VNC (cliente y servido) Mozilla, ircII, mc, Perl, biew, fenris, pgp.
31

Informtica Forense Compilado por Quituisaca Samaniego Lilia

Universidad Central del Ecuador Facultad de Ingeniera Ciencias Fsicas y Matemtica - Escuela de Ciencias Seguridad en las TICS

A.3 Esquema del proceso de respuesta a incidentes.

Fuente:UnaPropuestaMetodolgicaysuAplicacinenTheSleuthKityEnCaseDescargaren disco.Octubrede2005.

Informtica Forense Compilado por Quituisaca Samaniego Lilia

32