Informtica Forense

CAPTULO 5

HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE

5.1 Anlisis sobre las herramientas y equipos para la aplicacin de la Informtica Forense para la Polica Nacional

La Polica Nacional, actualmente se encuentra manejando en proceso de aceptacin el Departamento de Delitos Informticos en la ciudad de Quito, hasta el momento las herramientas y la gua o pasos que se beben tomar en el acontecimiento de un delito informtico, no se encuentran adecuadamente definidos, nuestra labor es proponer herramientas (software libre) y equipos ptimos que ayuden a la Polica a realizar actividades vlidas y certeras con la finalidad de obtener evidencias contundentes y ser presentadas en la corte.

La investigacin de cada una de las herramientas que se presentaran estn basadas en la siguiente clasificacin 21 orientada a la informtica forense:

1) Herramientas para recoleccin de evidencias. 2) Herramientas para el Monitoreo y/o Control de Computadores. 3) Herramientas de Marcado de documentos. 4) Herramientas de Hardware.

1) Herramientas para recoleccin de evidencias: Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace necesario debido a:

21

LPEZ scar, INFORMTICA FORENSE: GENERALIDADES, ASPECTOS TCNICOS Y HERRAMIENTAS.

95

Informtica Forense

x x x x x x x

La gran cantidad de datos que pueden estar almacenados en un computador. La variedad de formatos de archivos, los cuales pueden variar enormemente, an dentro del contexto de un mismo sistema operativo. La necesidad de recopilar la informacin de una manera exacta, y que permita verificar que la copia es exacta. Limitaciones de tiempo para analizar toda la informacin. Facilidad para borrar archivos de computadores. Mecanismos de encripcin, o de contraseas.

2) Herramientas para el Monitoreo y/o Control de Computadores Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de las mismas, para poder recolectar informacin. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan informacin sobre las teclas que son presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del computador, o hasta casos donde la mquina es controlada remotamente.

3) Herramientas de Marcado de documentos Un aspecto interesante es el de marcado de documentos; en los casos de robo de informacin, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fcilmente. La seguridad est centrada en la prevencin de ataques. Algunos sitios que manejan informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para cualquier tipo de incidentes.

4) Herramientas de Hardware

96

Informtica Forense

Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la informacin se han diseado varias herramientas para ello.

5.2 Costos de equipos y software para la aplicacin de la Informtica Forense

Las herramientas que se presentan sern evaluadas segn los siguientes factores: x x x x Software libre. Rendimiento y desempeo. Por medio de una evaluacin = alta, media, baja. Costos. Confiabilidad ante la recuperacin de evidencias.

Para la puesta en marcha en el manejo de evidencias digitales del Departamento de Delitos Informticos de la Polica Nacional, el forense o los forenses informticos asignados a esta rea, pueden apoyarse en determinadas herramientas que adems de automatizar tareas, tambin le ayudaran a secuenciar sus pasos y a documentar cada uno de ellos.

As, segn la realidad del Departamento y las leyes vigentes en el pas en base a la gua que se ha planteado para la Polica Nacional, se presenta mediante un cuadro comparativo y evaluado, las herramientas que poseen ms cualidades que otras y son ms recomendables.

97

Informtica Forense

Herramienta

Costo

Caractersticas

Plataforma en las que trabajan

Evaluacin

.- Esta coleccin de programas sirve para realizar una 'autopsia' sobre sistemas UNIX despus de que han 'muerto' completamente.

.- El funcionamiento de este software se basa principalmente en la recogida de grandes cantidades de datos para proceder a su anlisis posterior. Algunos de sus componentes son la herramienta 'ladrn de tumbas' (que captura informacin), los programas para detectar archivos 'muertos' o 'vivos', as como 'lzaro', que restaura archivos borrados, y otra herramienta que restaura claves criptogrficas desde un proceso activo o desde algn archivo.

.- Contiene varias herramientas importantes para el anlisis forense. FreeBSD 2-4.*, OpenBSD 2.*, BSD/OS 2-3.*, SunOS 4-5.* y Linux 2.*. SUN Solaris RedHat Linux Media

The Coroners Toolkit

Libre

Aplicaciones importantes:

- grave-robber - Una utilidad para capturar informacin sobre i-nodes, para ser procesada por el programa mactime del mismo toolkit.

- unrm y lazarus - Herramientas para la recuperacin de archivos borrados (logs, RAM, swap, etc.). Estas aplicaciones identifican y recuperan la informacin oculta en los sectores del disco duro.

- mactime - El programa para visualizar los ficheros/directorios su timestamp MAC (Modification, Access, y Change).

.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Linux)

Descargas: http://www.fish.com/tct/, o desde http://www.porcupine.org/forensics.

98

Informtica Forense

.- Es una interfaz grafica que trabaja en conjunto con la herramienta the sleuth kit utilizada para el anlisis forense.

.- Analiza discos y sistema de archivos (NTFS, FAT, UFS1/2, Ext2/3).

.- Muestra el detalle de informacin sobre datos eliminados y estructuras del sistema de ficheros. Unix/Linux, Windows Alto

.- Permite el acceso a estructuras de archivos y directorios de bajo nivel y eliminados

The Sleuth Kit y Autopsy

Libre

.- Genera la lnea temporal de actividad de los archivos (timestamp).

.-Permite buscar datos dentro de las imgenes por palabras clave,

.-Permite crear notas del investigador e incluso genera informes y muchas tareas.

.-Es una coleccin de herramientas.

.- Utiliza interfaz grafica que facilita notablemente el trabajo.

.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Windows/Linux)

Descargas: http://www.sleuthkit.org/autopsy/download.php

.- Recopila informacin de ficheros localizados en un sistema de ficheros montado (mounted). Linux Bajo

Mac-robber

Libre

.- Los datos obtenidos pueden ser utilizados por la herramienta mactime, contenida en el Sleuth Kit, para elaborar una lnea temporal de actividad de los ficheros.

.- Est basado en grave-robber (contenido en TCT) explicado anteriormente.

.- Requiere que el sistema de ficheros est montado por el sistema operativo, a diferencia de otras herramientas como el Sleuth Kit que procesan el sistema de ficheros ellos mismos. Por lo tanto, mac-robber no recopila datos de ficheros eliminados o ficheros que estn ocultos.

99

Informtica Forense

.- Modificar los tiempos de acceso a directorios que estn montados con permisos de escritura.

Herramientas que forman parte:

-Pasco: Herramienta para analizar la actividad realizada con el navegador web Internet Explorer de MS .

-Galleta: Examina el contenido del fichero de cookies de IE.

-Rifiuti: Examina el contenido del fichero INFO2 de la papelera de reciclaje de Windows. Windows Alto

Foundstone Forensic Toolkit

Comercial

-Vision: Lista todas los puertos TCP y UDP en escucha (abiertos) y los mapea a las aplicaciones o procesos que se encuentran detrs.

-Forensic Toolkit: Es una suite de herramientas para el anlisis de las propiedades de ficheros Examina los ficheros de un disco en busca de actividad no autorizada y los lista por su ltima fecha de acceso, permitiendo realizar bsquedas en franjas horarias, bsqueda de archivos eliminados, etc. (open source)

Descarga: www.foundstone.com

.- Recupera ficheros basndose en sus cabeceras.

Foremost

GPL (proyecto abierto al pblico)

.- Puede trabajar sobre archivos de imgenes, como los generados con dd, Safeback, Encase, etc. o directamente sobre un disco o particin. Linux Bajo

.- Las cabeceras pueden especificarse a travs de su archivo de configuracin, por lo que se puede especificar bsquedas para formatos especficos.

100

Informtica Forense

.-HELIX est basada en KNOPPIX.

.- Live CD.

.- Posee una variedad de herramientas para realizar un anlisis forense tanto a equipos como imgenes de discos.

.- Para MS Windows posee un conjunto de herramientas de 90 Mb, permitiendo trabajar con sistemas vivos, y recuperar informacin voltil.

.- En el entorno Linux, dispone de un Sistema Operativo completo, con un ncleo modificado para conseguir una excelente deteccin de hardware.

.-No realiza el montaje de particiones swap, ninguna otra operacin sobre el disco duro del equipo sobre el que se arranque. Windows, Solaris, Linux Alto y recomendable

Helix/FIRE

Libre

.- Es muy bueno para el anlisis de equipos muertos, sin que se modifiquen las evidencias pues montar los discos que encuentre en el sistema en modo slo lectura.

.- Contiene ms y nuevas versiones de SleuthKit y Autopsy.

.- Su documentacin no es amplia.

.- Permite elegir entre usar los kernels (2.4.26 o 2.6.5).

.- Tiene una excelente deteccin de hardware.

.- HELIX est pensado especficamente para no realizar ningn tipo de alteracin sobre los sistemas en los que se usa.

.- Tiene una configuracin autorun para Windows con herramientas para este SO. Descarga: http://www.e-fense.com/helix/

101

Informtica Forense

.- Es una distribucin de un nico cdrom, portable y bootable Live CD. Provee herramientas adecuadas para una actuacin rpida en casos de anlisis forense.

.- Respuesta ante incidentes, recuperacin de datos, ataque de virus.

.- Contiene gran cantidad de herramientas de anlisis forense.

.- Es usable para anlisis en caliente de sistemas, con lo que nicamente montando el CD se puede usar.

.- Herramientas compiladas estticamente sin necesidad de realizar un reboot de la mquina.

.- Posee una interfaz grafica que hace fcil su uso. Windows, Solaris y Freeware Alto y recomendable

F.I.R.E (Forensic and Incident Response Environment)

Libre

.- No realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad

.- Recupera datos de particiones daadas.

.- F.I.R.E posee las siguientes herramientas:

x Nessus, nmap, whisker, hping2, hunt, fragrouter. x Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort. x Chkrootkit, F-Port x TCT, Autopsy. x Testdisk, fdisk, gpart. x SSH (cliente y servidor), VNC (cliente y servidor) x Mozilla, ircII, mc, Perl, biew, fenris, pgp. Todos estos programas sern comentados brevemente, en el glosario.

Descarga: http://fire.dmzs.com/?section=main o http://biatchux.dmzs.com.

102

Informtica Forense

.- Es una de las ms conocidas y apreciadas distribuciones GNU/Linux

.- Ocupa el puesto 32 en el famoso rnking de Insecure.org.

.- Se presenta como un LiveCD (no requiere de instalacin) GNU/Linux Alto y recomendable

BackTrack

Libre

.- Posee 300 herramientas de todo tipo (sniffers, exploits, auditora wireless, anlisis forense, etc) perfectamente organizadas.

.- La versin 2 (recin publicada) utiliza un kernel 2.6.20 con varios parches e incluye soporte para tarjetas inalmbricas.

.- Los programas que trae este software ya vienen todos configurados y listos para ser usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.

.- Simplificar el proceso de anlisis de ficheros de log en investigaciones forenses.

.- Est basado en web, por lo que puede instalarse en un servidor donde se centralice toda la informacin de los anlisis, de forma que puede ser consultada por todo el equipo forense. Linux Bajo

FLAG (Forensic and Log Analysis GUI)

Libre proyecto abierto al publico

.- pyFlag es la implementacin (empleada actualmente) en Python. Es una revisin/reescritura completa de FLAG, ms potente, verstil y robusta.

.- Es una aplicacin on-line segura y de fcil manejo.

.- Permite a los usuarios recuperar los archivos que hayan sido borrados de unidades de disco Windows Bajo

E-ROL

Libre

duro, unidades ZIP y disquetes, en todos los sistemas operativos de la familia Microsoft

Windows.

.- Registra una media de ms de 350 entradas diarias a su pgina web.

103

Informtica Forense

.- Software de Recuperacin de Datos se encuentra disponible para ser utilizado en una vasta

gama de sistemas operativos y archivos de sistema.

.- Recuperar Archivos Programa de recuperacin de archivos anulados: es capaz de recuperar Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows 2003 Server e Windows XP. Media

del cesto de Windows datos anulados o perdidos a causa del formateo del disco duro, de una

infeccin de virus, de una repentina cada del sistema o por un desperfecto de software.

Stellar Phoenix

.- El software soporta los archivos de sistema FAT, NTFS

.- Rreparar y restablece archivos Zip y archivo en formato Microsoft Office (archivos de

Access, Excel, PowerPoint y Word) corrompidos o no accesibles.

.- Repara Archivos extrae las informaciones contenidas en el y crea un nuevo archivo sin

errores.

.- Recupera datos incluso los borrados. Linux, Wink2k WinXP / Server 2003 Media

.- Identifica y soporta varios sistemas archivos.

Ilook

Libre

.- Analiza funciones has.

.- Basado en Linux.

.- Recupera todos los datos incluido los de archivos borrados.

.- Asiste al investigador a buscar detalles especficos.

.- Recupera datos corruptos en disquetes, CD, dispositivos usb o el propio disco local.

104

Informtica Forense

.-Recuperar todo tipo de archivos, como por ejemplo documentos, imgenes, aplicaciones, Win95/98/NT/ME/2000/ XP Medio

etc.

Bad copy

Comercial

.-Utiliza un sistema inteligente de recuperacin de datos y disco, para el contenido de ficheros

$50

originales; puede leer el contenido de archivos corruptos y en la mayora de los casos

recuperarlos, en todo o en parte, en el directorio que se especifique.

.- Software lder en el mercado y de mayor uso en el campo de anlisis forense.

Comercial

.- Los formatos de archivos con extensin .cda contenidos en CD para equipos de msica no son bien reconocidos por EnCase. Windows Medio

Encase

Sector privado

.- Muy usada en EEUU por el FBI.

$ 2495

.- No es multiplataforma.

.- Encase posee una variedad de funciones que se requiere de otro documento para explicar cada una de ellas.

http://guidancesoftware.com

Tabla comparativa 5.2 Herramientas para la Informtica Forense

105

Informtica Forense

5.2.1 Toolkit para el Departamento de Delitos Informticos de la Polica Nacional

Dejando aparte el software comercial, en el que se puede encontrar herramientas especficas como EnCase de la empresa Guidance Software, considerado un estndar en el anlisis forense de sistemas pero no indispensable, nos centramos en herramientas de cdigo abierto (Open Source) muchos de estos poseen una

coleccin de herramientas en un solo software (toolkit) que pueden ser descargadas libremente desde las pginas de sus correspondientes autores o miembros del proyecto y que cumplen similar funcionalidad a las herramientas que son comerciales. A ms de ello Linux es un entorno ideal en el cual realizar tareas de anlisis forense permite proveer de una gran variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la realizacin de un anlisis exhaustivo de un sistema comprometido.

Mediante el cuadro anterior las herramientas que son claramente ms recomendables y utilizadas; en el toolkit para el Departamento de Delitos Informticos en la Polica Nacional son: x TCT es una herramienta de cdigo abierto, es decir no requiere la obtencin de licencia tiene una evaluacin media. x Forensic Toolkit forma parte de la organizacion Foundstone, la misma esta orientada a plataformas Windows. x The Sleuth Kit y Autopsy es una herramienta altamente recomendable debido las funciones que posee, es gratuita y multiplataforma. Las metodologas que se debe seguir al usar esta herramienta se adjunta en [Anexo E]. x Otra de las herramientas recomendables pero posee una limitante es BackTrack, ya que solo funciona en Sistema Operativo Linux, pero tiene un alto rendimiento.

106

Informtica Forense

x La siguiente herramienta es E-ROL se le considera con una evaluacin baja debido a que carece de las funciones que poseen las herramientas antes mencionadas, pero puede ser de utilidad, al enfrentarse con entornos

Windows para tomar indicios del ataque.

Uno de los elementos ms importantes que un informtico forense debe emplear al momento de recaudar evidencia digital, son los conocidos Live CDs o DVDs, que son una coleccin de herramientas, que permiten realizar un examen forense de imgenes sin tener que dedicar un equipo especfico para ello y sin necesidad de cargar otro sistema operativo. Entre los ms recomendables ellos tenemos: x Helix posee una evaluacin alta, contiene un sin nmero de herramientas, entre una de ellas el Autopsy, es multiplataforma, y open source. x F.I.R.E (Forensic and Incident Response Environment), este Live CD, es altamente recomendable. Si Helix contiene ha Autopsy, F.I.R.E. contiene a las herramientas TCT y Autopsy a ms de un sin nmero de herramientas, tiles para la recoleccin de evidencias, es multiplataforma y gratuito.

Clasificacin

Herramientas para recoleccin de evidencias x TCT (Linux). x Forensic Toolkit (Windows). x The Sleuth Kit y Autopsy (Unix/Linux, Windows). x BackTrack ( Linux). x E-ROL (Windows). x Helix (Windows, Solaris, Linux). x F.I.R.E (Windows, Solaris y Freeware).

107

Informtica Forense

Herramientas para el Monitoreo y/o Control de Computadores.

Honeypot

Es un software o conjunto de computadores cuya intencin es atraer a crackers o spammers, simulando ser sistemas vulnerables o dbiles a los ataques, permite recoger informacin sobre los atacantes y sus tcnicas, los mismos pueden distraer a los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al administrador del sistema de un ataque, adems de permitir un examen en profundidad del atacante, durante y despus del ataque al honeypot. Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interaccin y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin. Tambin se llama honeypot a un website o sala de chat, que se ha creado para descubrir a otro tipo de usuarios con intenciones criminales.

KeyLogger

Es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail. Existen dos versiones: la registrada y la de demostracin. La principal diferencia es que en la versin registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la mquina no notar que sus acciones estn siendo registradas.

108

Informtica Forense

5.2.2 Entornos de Trabajo Forense sobre computacin virtual para la Polica Nacional

Una de las propuestas, que es sumamente interesante y factible para la Polica Nacional es implementar una arquitectura conformada por servidores virtuales que proveen servicios informticos al personal designado al laboratorio el Departamento de Delitos Informticos de la Polica Nacional.

La labor pericial demanda el uso de distintos Sistemas Operativos (Windows, Linux, Solaris, etc.) como plataforma de ejecucin de aplicaciones forenses. Para ello se puede implementar puestos de trabajo con mquinas virtuales, facilitando a los investigadores la utilizacin de un mayor nmero de recursos de software en forma simultnea.

La virtualizacin se refiere a una capa de abstraccin que separa el hardware del sistema operativo, optimizando y flexibilizando de esta manera la utilizacin de los recursos computacionales. Permite que mltiples mquinas virtuales con sistemas operativos heterogneos puedan funcionar simultneamente en la misma computadora. Cada mquina virtual tiene asignado un conjunto propio de recursos de hardware sobre el que pueden funcionar diferentes aplicaciones. La virtualizacin brinda la posibilidad de mejorar la infraestructura informtica en cuanto a escalabilidad, seguridad y una variedad de modalidades en la administracin de servidores.

Los beneficios de la virtualizacin pueden ser apreciados sobre tres aspectos de alto impacto para la administracin de sistemas: x Particionamiento (permite que mltiples aplicaciones y sistemas operativos puedan compartir el mismo hardware).

109

Informtica Forense

x Aislamiento de componentes (si una mquina virtual falla esta situacin no afecta al funcionamiento de las restantes). x Encapsulacin(permite que una mquina virtual pueda almacenarse en un simple archivo facilitando el backup de la misma, la copia, o el traslado).\

Virtualizacion en el Departamento de Delitos Informticos

En los puestos de trabajo del laboratorio pericial informtico se analiza la evidencia digital utilizando aplicaciones forenses tales como EnCase, Autopsy, etc. Las herramientas mencionadas no son multiplataforma. EnCase operan bajo Windows y Autopsy bajo Linux, impidiendo utilizarlas al mismo tiempo en un mismo equipo. Mediante la aplicacin de virtualizacin se pueden crear mquinas virtuales con diferentes sistemas operativos y de esta manera lograr que aplicaciones que no son multiplataforma operen en paralelo.

Por ello se propone, como tema de aplicacin en el laboratorio pericial informtico, que cada puesto de trabajo utilice el software de virtualizacin VMware Server como plataforma de operaciones, funcionando sobre el sistema operativo anfitrin Windows XP. Se cuenta con una mquina virtual con sistema operativo Linux, sobre la que es posible ejecutar las aplicaciones Autopsy entre otras.

Las ventajas de la virtualizacin son evidentes, ya que con esta plataforma de operaciones es posible efectuar una adquisicin remota de un disco rgido mediante una herramienta destinada para ello y luego abrir la imagen forense para efectuar alguna operacin en particular con el software respectivo, ejecutando sobre el sistema operativo anfitrin, sin necesidad de cambiar el entorno habitual de trabajo.

110

Informtica Forense

No se cree conveniente poseer clonar el dispositivo de almacenamiento original y luego instalar esta copia en un hardware de laboratorio o incluso sobre la computadora original Este procedimiento no es muy recomendado, ya que usualmente se presentan problemas de incompatibilidad con el hardware cuando se utiliza una computadora de laboratorio.

Con la aparicin de herramientas de virtualizacin como VMware se puede recrear el entorno de trabajo del sospechoso. Debido a que actualmente ha surgido en el mercado de informtica forense la herramienta comercial VFC , mediante la cual es posible crear una maquina virtual ejecutable y luego inicializarla con VMware, de esta manera se podr combinar con el software destinado a la recoleccin de la evidencia digital. En el mbito institucional del Ecuador es habitual contar con recursos financieros mnimos para la adquisicin de tecnologa. Es por ello que se presenta la opcin de trabajar con servidores virtuales aplicados a la informtica forense del Departamento de Delitos Informticos de la Polica Nacional, de tal manera que se aproveche eficientemente el equipamiento informtico y se deje atrs al Sistema Operativo como un punto de inflexin para el aprovechamiento de recursos informticos en las actividades periciales.

5.3

Perfil y capacitacin para los miembros de la Polica Nacional en Informtica Forense

5.3.1 Perfil de un Informtico Forense

EL investigador forense para actuar correctamente ante la escena de un crimen debe realizar un proceso formal, donde su conocimiento cientfico y tcnico debe ser

111

Informtica Forense

suficiente para generar indicios hacia el descubrimiento de evidencias y resolver un caso.

Para actuar adecuadamente y de la mejor manera ante un proceso de anlisis forense, cada miembro que forme parte del equipo de investigacin en el Departamento de Delitos Informticos de la Polica Nacional se le debe asignar un rol determinado, con funciones especficas, a continuacin se presentan los roles para cada tipo de investigador que forma parte de este equipo:

Tcnicos en escenas del crimen informticas o First Responde Las caractersticas del mismo: x x x x Son los primeros en llegar a la escena del crimen. Recolectan la evidencia. Formacin bsica en el en el manejo de evidencia y documentacin. Reconstruyen el delito.

Examinadores de evidencia digital o Informtica x x x x x Procesan la toda la evidencia digital obtenidas por los Tcnicos en Escenas del Crimen Informticos. Debern ser especializados en sistemas e informtica.

Investigadores de Delitos Informticos Realizan la Investigacin y la reconstruccin de los hechos de los Delitos Informticos de forma general. Debern poseer un entrenamiento general en cuestiones de informtica forense. Debern ser profesionales en: x x Seguridad Informtica. Abogado.

112

Informtica Forense

x x Perito Informtico

Policas. Examinadores Forenses.

Peritos son las personas que por disposicin legal y encargo Judicial o del Ministerio Pblico aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o la Polica Judicial adquieran conocimiento para determinar las circunstancias en que se cometi una infraccin.

Las condiciones que debe reunir una persona para ser perito son: a) Profesional, especializado y calificado por el Ministerio Pblico en un respectivo campo y determinada materia. b) Mayores de edad (18 aos). c) Honradez, calidad moral de proceder ntegro y honrado en el obrar. d) Deber ser totalmente imparcial. e) Conocimientos especficos en la materia para cumplir su cometido. La pericia intenta obtener un dictamen fundado en especiales conocimientos cientficos, tcnicos, til para el descubrimiento o valoracin de un elemento de prueba.

5.3.2 Capacitacin, Cursos y Certificaciones Los investigadores forenses en informtica cuentan con conocimiento tcnicos informticos, los mismos deben prepararse para desenvolverse en procedimientos legales y tcnicamente vlidos con la finalidad de establecer evidencia en situaciones donde se vulneran o comprometen sistemas, utilizando mtodos y procedimiento

113

Informtica Forense

cientficamente probados y claros, permitiendo establecer posibles hiptesis sobre el hecho y contar con la evidencia requerida que fundamente dichas hiptesis.

Para ello la Polica Nacional deber constantemente capacitar al personal de esta rea, ya que inevitablemente la tendencia de crecimiento, avances y alcance que tiene la tecnologa es continua y con ello el aumento de nuevas tcnicas para cometer ataques y perjudicar sistemas informticos tambin se desarrollan a la par. A mas de ello para un adecuado manejo de evidencias cada personal que forme parte del Departamento de Delitos Informticos, deber cumplir funciones especficas dependiendo de su rea, de tal manera que el proceso de anlisis forense que se aplique a la evidencia digital sea llevada de la mejor manera y la evidencia sea contundente y clara en el proceso judicial.

A continuacin presentamos los tipos de cursos y entrenamiento que debern aplicarse para el equipo del Departamento de Delitos Informticos. Estas son dos de las asociaciones que han desarrollado programas de certificacin forenses en informtica, que permiten detallar las habilidades requeridas y las capacidades deseables en los investigadores informticos: x x IACIS Ofrece la certificacin internacional denominada CFEC (Computer Forensic External Certification), diseada para personas que no pertenezcan a instituciones judiciales o de polica. Costo de esta certificacin es de US $1250 con una duracin de cinco meses, y se requiere de una forma de aplicacin con mltiples datos del aspirante, la misma es evaluada por el comit de IACIS. IACIS - International Association of Computer Investigative Specialist (http://www.cops.org). HTCN - High Technology Crime Netwok (http://www.htcn.org).

114

Informtica Forense

Si el aspirante es aceptado, se inicia el proceso de evaluacin el cual consiste en el anlisis de seis diskettes especialmente preparados y un disco duro con una disposicin especial. Cada uno de los diskettes establece un problema tcnico y forense para el aplicante el cual debe resolver correctamente, documentar sus hallazgos y presentar un reporte donde detalle sus anlisis. Al final del proceso, se efecta un examen sobre el proceso y las conclusiones del investigador en cada uno de los ejercicios, donde el mismo deber demostrar su competencia y claridad para el desarrollo de las actividades forenses.

La certificacin CFEC, exige que los nuevos investigadores forenses en informtica certificados posean experiencia y destreza en: x x x x x x x x x x x Identificacin y recoleccin de evidencia en medios magnticos. Comprensin y prctica en procedimientos de revisin y anlisis forenses. Comprensin y prctica de los estndares de tica que rigen las ciencias forenses en informtica. Comprensin de los aspectos legales y de privacidad asociados con la adquisicin y revisin de medios magnticos. Comprensin y prctica de mantenimiento de la cadena de custodia de la evidencia cuando se realiza una investigacin. Comprensin de los diferentes sistemas de archivos asociados con sistemas operacionales, particularmente FAT de Microsoft. Conducir de manera detallada recuperacin de datos de todas las porciones de un disco. Comprensin de como tener acceso a los archivos temporales, de cach, de correo electrnico, de web, etc. Comprensin de los aspectos bsicos de Internet. Comprensin de tcnicas de rompimiento de contraseas. Comprensin general de los temas relacionados con investigaciones forenses.

115

Informtica Forense

Mencionada certificacin es avalada y reconocida en diferentes tribunales y cortes del mundo, debido a la seriedad y rigurosidad de proceso de certificacin, las personas que obtienen esta certificacin requieren actualizarse permanente en las nuevos procedimientos y formas para mejorar las tcnicas de seguimiento y anlisis, permitiendo a los profesionales certificados que se encuentren actualizados y capacitados para afrontar nuevas formas de anlisis forense en informtica.

HTCN Ofrece diversas certificaciones en informtica forense, de manera particular

comentamos sobre el certificado CCCI (Certified Computer Crime Investigador), que tiende la enseanza de un nivel de educacin bsico y avanzado. El propsito de esta certificacin es el desarrollar un alto nivel de profesionalismo y entrenamiento continuo en investigaciones de crmenes de alta tecnologa en la industria y las organizaciones. Costo de la certificacin es de US $250. Existen dos tipos de niveles de certificaciones CCCI: nivel bsico y avanzado

CCCI Nivel bsico: para este nivel se requiere lo siguiente: x x x Dos aos de experiencia en investigaciones en cualquier disciplina o poseer un grado de estudio superior. Seis meses de experiencia investigativa directamente relacionada con la disciplina en que busca certificarse. Haber completado satisfactoriamente un curso de 40 horas sobre delitos informticos o computacin forense provista por una agencia, organizacin o empresa. x Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la certificacin que se desee obtener, a travs de un examen escrito.

116

Informtica Forense

CCCI Nivel avanzado: para este nivel se requiere lo siguiente: x x x Dos aos de experiencia en investigaciones en cualquier disciplina o poseer un grado de estudio superior. Dos aos de experiencia investigativa directamente relacionada con investigaciones de delitos informticos. Haber completado satisfactoriamente un curso de 80 horas sobre delitos informticos o computacin forense provista por una agencia, organizacin o empresa.
x

Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la certificacin que se desee obtener, a travs de un examen escrito.

La Polica Nacional debe tomar muy en cuenta que la labor que posee la investigacin forense en informtica requiere de mucho entrenamiento y formacin, no solamente en las especificaciones tcnicas sino tambin en procedimientos y habilidades que permitan al profesional que se certifique, enfrentar la difcil tarea de reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar datos para formular hiptesis que orienten la investigacin de un delito informtico , con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el planteamiento de estas certificaciones importantes a nivel de Informtica Forense.

117