Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Computacionforense
Computacionforense
CALLAO
L CALLAO
DE
U
UNIVER
NIVERS
SID
DAA
D
CI O NA
A
L
N
1966
COMPUTACIN FORENSE
Alumna: Untiveros Morales, Miriam
Bellavista-Callao
2010
1
NDICE
1.- INTRODUCCIN3
2.- COMPUTACIN FORENSE4
DEFINICIN
OBJETIVOS
3.- FORENSIA EN REDES (NETWORK FORENSICS) 5
FORENSIA DIGITAL (DIGITAL FORENSICS)
IDENTIFICACIN DE LA EVIDENCIA DIGITAL
4.- PRESERVACIN DE LA EVIDENCIA DIGITAL..6
ANLISIS DE LA EVIDENCIA DIGITAL
PRESENTACIN DE LA EVIDENCIA DIGITAL
5.- ORGANIZACIN INTERNA DE LABORATORIO.7
6.- INGRESO DEL SECUESTRO.8
7.- PRESERVACIN..9
8.- ANLISIS10
9.- SOFTWARE FORENSE..11
10.- HARDWARE FORENSE13
11.- GUAS MEJORES PRCTICAS14
12.- HERRAMIENTAS DE INFORMACIN FORENSE16
13.- HERRAMIENTAS PARA LA RECOLECCIN DE EVIDENCIA17
14.- WINHEX20
15.- HERRAMIENTAS PARA EL MONITOREO Y/O CONTROL DE COMPUTADORES.21
16.- HERRAMIENTAS DE MARCADO DE DOCUMENTOS 22
INTRODUCCION
La informtica forense est adquiriendo una gran importancia dentro del rea de la informacin electrnica, esto
debido al aumento del valor de la informacin y/o al uso que se le da a sta, al desarrollo de nuevos espacios
donde es usada (por Ej. El Internet), y al extenso uso de computadores por parte de las compaas de negocios
tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la informacin queda
almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la
informacin de informacin forma tal que no puede ser recolectada o usada como prueba utilizando medios
comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que surge el estudio de la
computacin forense como una ciencia relativamente nueva.
Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica, de la electricidad y el
magnetismo. Es gracias a fenmenos electromagnticos que la informacin se puede almacenar, leer e incluso
recuperar cuando se crea eliminada.
La informtica forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crmenes
apoyndose en el mtodo cientfico, aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas
digitales.
En este escrito se pretende mostrar una panormica muy general de la Informtica Forense, explicando en detalle
algunos aspectos tcnicos muchas veces olvidados en el estudio de esta ciencia.
COMPUTACIN FORENSE
Computacin forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que
considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la informacin en los
medios informticos para establecer los hechos y formular las hiptesis relacionadas con el caso; o como la
disciplina cientfica y especializada que entendiendo los elementos propios de las tecnologas de los equipos de
computacin ofrece un anlisis de la informacin residente en dichos equipos.
OBJETIVOS DE LA COMPUTACIN FORENSE
La informtica forense tiene 3 objetivos, a saber:
1. La compensacin de los daos causados por los criminales o intrusos.
2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia.
Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de
computadores, es capaz, siguiendo los protocolos y formacin criminalstica, de establecer los rastros, los
movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la definicin de
computacin forense, este contexto exige capacidad de correlacin de evento, muchas veces disyuntos y
aleatorios, que en equipos particulares, es poco frecuente.
Preservacin de los elementos secuestrados de las altas temperaturas, campos magnticos y golpes
Los elementos de prueba originales deben ser conservados hasta la finalizacin del proceso judicial
Por cuestiones de tiempo y otros aspectos tcnicos, esta tarea se realiza una vez que ha sido
secuestrado el elemento probatorio original
En caso de que la creacin de una imagen forense no sea posible, el acceso a los dispositivos
originales se realiza mediante mecanismos de proteccin contra escritura
Generacin de valores hash MD5 o SHA-1- a partir de los datos contenidos en los diferentes
dispositivos secuestrados
PRESERVACIN
ANLISIS
PRESENTACIN Y
ENVO
10
SOFTWARE FORENSE
Generacin de una imagen forense para practicar la pericia informtica
11
12
HARDWARE FORENSE
13
14
15
En los ltimos dos aos se ha disparado el nmero de herramientas para computacin forense, es posible
encontrar desde las ms sencillas y econmicas, como programas de menos de US$300, oo cuyas prestaciones
habitualmente son muy limitadas, hasta herramientas muy sofisticadas que incluyen tanto software como
dispositivos de hardware. Otra situacin que se ha venido presentando es el uso de herramientas tradicionales
como los utilitarios.
Con esa amplia gama de alternativas, si est pensando en adquirir una herramienta para computacin forense, es
necesario tener claro primero que todo el objetivo que persigue, pues existen varios tipos bsicos de herramientas,
no todos los productos sirven para todo, algunos estn diseados para tareas muy especificas y ms an,
diseados para trabajar sobre ambientes muy especficos, como determinado sistema operativo.
Siendo la recoleccin de evidencia una de las tareas ms crticas, donde asegurar la integridad de esta es
fundamental, es necesario establecer ese nivel de integridad esperado, pues algunas herramientas no permiten
asegurar que la evidencia recogida corresponda exactamente a la original. Igual de importante es que durante la
recoleccin de la evidencia se mantenga inalterada la escena del crimen
Son todas estas consideraciones que se deben tener en cuenta a la hora de seleccionar una herramienta para
este tipo de actividad, claro, adems de las normales en cualquier caso de adquisicin de tecnologa, como
presupuesto, soporte, capacitacin, idoneidad del proveedor, etc.
De hecho una de las alternativas que siempre se deber evaluar es si incurrir en una inversin de este tipo a la
que muy seguramente se tendr que adicionarle el valor de la capacitacin que en algunos casos puede superar
el costo mismo del producto, o, contratar una firma especializada para esta tarea, que generalmente cuentan no
con una sino con varias herramientas.
En este parte se presenta una clasificacin que agrupa en cuatro los tipos de herramientas de computacin
forense
16
ENCASE
www.encase.com/
18
Visor de galera
El visor de galera provee un mtodo simple para visualizar rpidamente todas las imgenes en el archivo de
evidencia. La galera despliega imgenes BMP, JPGs, GIFs y TIFFs.
Visor de escala de tiempo
El visor de escala de tiempo le permite a los investigadores visualizar grficamente toda la actividad de en un
estilo de calendario, ilustrando los atributos del archivo, por ejemplo: cundo el archivo fue creado, ltima vez
accesado o escrito. El visor de escala de tiempo puede mostrar escalas desde das hasta aos, sirviendo como
una herramienta invaluable para mirar todos los patrones de actividad de archivos.
Visor de reportes
Los reportes pueden ser generados sobre cualquier archivo, carpeta, volumen, disco fsico o el caso completo. Los
reportes incluyen informacin referente a la adquisicin de datos, geometra del disco, estructuras de carpetas,
marcadores de archivos e imgenes. Los investigadores pueden exportar los reportes a formato RTF o HTML.
EnCase mdulo del sistema de archivos de cifrado (Encrypting File System . EFS)
El mdulo de EFS de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de archivos
cifrados (EFS), para usuarios locales autenticados.
EnCase mdulo del sistema de archivos virtuales (Virtual File System . VFS)
El mdulo de VFS de EnCase permite a los examinadores montar la evidencia de un computador en modo de
lectura nicamente y fuera de la red, permitiendo la examinacin adicional de la evidencia usando el explorador de
Windows y herramientas de terceros.
Mdulo del servidor de autenticacin en red (Network Authentication Server . NAS)
El servidor de autenticacin en red provee una completa flexibilidad en el licenciamiento del programa EnCase.
NAS permite licenciar el programa EnCase de tres formas: Local en el computador del examinador, remotamente
con servicios de terminal y a travs de red usando el administrador de licencias (License Manager).
FORENSIC TOOLKIT
www.accessdata.com/products/utk/
Cualquier investigacin informtica forense produce una gigantesca cantidad de
papeleo, ya que el objetivo de la investigacin es documentar absolutamente todo lo
que se encuentra. Estos conjuntos de herramientas estn diseadas para
proporcionar al investigador con la forma probada y verdadera y plantillas que
permitirn al investigador para documentar todo lo que se encuentra. Sirven tambin
como una lista de control eficaz de la ayuda del equipo de investigacin para
garantizar que no se pierda el paso y que todo se hace en el orden correcto.
19
WINHEX
www.x-ways.net/forensics/index-m.html
Software para informtica forense y recuperacin de archivos, Editor Hexadecimal de Archivos, Discos y
RAM
WinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la ms potente utilidad de sistema
jams creada. Apropiado para informtica forense, recuperacin de archivos, peritaje informtico,
procesamiento de datos de bajo nivel y seguridad informtica. Sus caractersticas incluyen:
Existen otros productos tradicionales cuyo objetivo primordial no es la computacin forense, pero por incluir
herramientas para la recuperacin de archivos, en ocasiones pueden ser tiles, aunque la integridad de la
evidencia recabada a travs de estas herramientas podra estar ms expuesta y su valor probatorio podra ser
menor que el de evidencias obtenidas a travs de herramientas altamente especializadas que garantizan la
veracidad de la evidencia. Ejemplo tpico de herramientas no propiamente forenses es Norton Systemworks y
Norton Utilities.
20
KEYLOGGER
21
22