Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Autores:
Director:
DECLARACIN
Firma:
Daniela lvarez G.
Vernica Guamn R.
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Mara Daniela lvarez Galarza
y Vernica Alexandra Guamn Reibn, bajo mi supervisin.
Firma:
Ing. Vladimir Robles
Director de Tesina
DEDICATORIA
A mi familia por el apoyo y amor permanente que me ofrecen cada instante, a mis
amigas, amigos y compaeros por el apoyo que de una u otra manera me han
brindado. Y de manera especial a una persona quien sin verlo ms, ha cultivado en
mi vida y en la vida de mi familia el entender que cada da tenemos una nueva
oportunidad.
Daniela
DEDICATORIA
A lo largo de nuestra vida vamos haciendo cosas que quizs unas son ms sencillas
que otras, pero cada una de ellas nos deja una enseanza y fuera de ser una tarea que
cumplir son oportunidades para aprender y descubrir en los detalles lo que te ayuda
no slo a la realizacin profesional sino a una realizacin personal.
Vernica
AGRADECIMIENTO
A los profesores por las enseanzas compartidas, que nos han ayudado a
desenvolvernos en el desarrollo del trabajo de grado, que aunque a veces creamos
que ciertas cosas no nos serviran, hoy podemos decir que todo cuanto se aprende en
una aula resulta muy acertado en el momento que nos toca actuar.
A la Polica Nacional del Ecuador y de manera especial al Teniente Pablo Inga por su
apertura, colaboracin e inters prestado para que se desarrolle de la mejor manera el
trabajo.
Al Ing. Vladimir Robles, por ser un tutor con paciencia y por saber orientarnos.
Y sobre todo gracias a Dios por ser nuestra gua, a nuestros padres por su
preocupacin y apoyo.
INDICE DE CONTENIDOS
CAPTULO 1
CONCEPTOS GENERALES SOBRE LA INFORMTICA FORENSE
1.1
Introduccin.. Pg. 2
1.2
1.2
1.4
1.5
1.6
CAPTULO 2
ANLISIS Y DIAGNSTICO DE LA INSTITUCIN
2.1
Antecedentes.. Pg.16
2.2
2.3
CAPTULO 3
FASES DE LA INFORMTICA FORENSE
3.1 Identificacin de Evidencia Digital.. Pg.25
3.1.1 Descubrimiento de las seales del ataque Pg.30
3.1.2 Recoleccin de evidencias.. Pg.32
3.1.2.1 Cuidados en la Recoleccin de Evidencias. Pg.33
3.1.2.2 Inicio de la RecoleccinPg.34
3.2 Preservacin de la Evidencia Digital... Pg.35
3.3
CAPTULO 4
METODOLOGAS Y ESTRATEGIAS EN BASE A LA INFORMTICA
FORENSE
4.1
Pg.47
4.2
4.3
4.4
Secuestros de Equipos
Pg.53
Pg.55
4.3.3
Sistemas Operativos
Pg.57
Pg.58
Pg.58
Pg.59
4.3.4
4.3.5
4.3.6
CAPTULO 5
HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE
5.1
5.2
Pg.86
Pg.100
Pg.100
Pg.102
Conclusiones
Pg.107
Recomendaciones
Pg.108
Bibliografa
Pg.110
Glosario
Apndices
Apndice A
Pg.112
Apndice A1
Pg.113
Apndice A2
Pg.114
Apndice B.
Pg.125
Apndice
Pg.130
FIGURAS:
Figura 1.1
Figura 2.1
Figura 2.2
Pg.18
Figura 3.1
Figura 4.1
Figura 4.1
Pg.60
TABLAS
Tabla 1.1
Tabla 1.2
Tabla 3.1
Pg.29
Tabla 3.2
Pg.30
Tabla 4.1
Metodologas,
Estrategias y
Herramientas
de la
Informtica
Forense
aplicables para
la Direccin Nacional de Comunicacin y
Criminalstica de la Polica Nacional.
CAPITULO I
1.1
Introduccin
Debido a la globalizacin de la
como
pruebas.
La finalidad de este documento es analizar metodologas, tcnicas y proponer
herramientas a la Polica Nacional para que orienten y ayuden a manejar una escena
del delito en donde se vean involucrados sistemas de informacin o redes y la
posterior recuperacin de las evidencias digitales.
1.2
Informtica Forense
1.2.1 Definicin
LPEZ DELGADO Miguel, Anlisis Forense Digital, Junio del 2007, CRIPORED Op. Cit
1.3
Afectan
los
Datos
(destruccin,
ocultamiento,
manipulacin,
fabricacin),
Caractersticas
Positivos
Negativos
Clasificacin
Clasificacin
Destruir
Ocultar
Eliminar la Fuente
Falsificar
Nivel de Seguridad
Borrado rpido
Bajo
Medio
DoD Simple
Medio
DoD 5220-22 M
Medio
Gutman
Alto
PRNG Stream
Medio-Alto
Mtodos anti-forenses
Encriptacin, es uno de los mtodos ms usados para debilitar la computacin
forense.
Se puede dividir en tres tipos la encriptacin:
Simtrica: se realiza por medio de una contrasea que se introduce al momento de
encriptar el archivo negando de esta manera el acceso. Su desventaja es que si existe
alguna necesidad debemos enviar la informacin encriptada a otra persona, le
deberamos enviar la clave de la encriptacin.
17
Esconder mensajes: el arte de esconder mensajes, es de tal forma que las personas
no pueden percibir que eso sucede, por ejemplo la tcnica ms usada es en imgenes
y archivos de audio, mediante la adicin de bits insignificativos, esta tcnica es
posible debido a la incapacidad que tienen los seres humanos de percibir variaciones
de sonido y calidad de imagen.
1.4
Delitos Informticos
Los delitos informticos, son aquellos actos delictivos que en su realizacin hacen
uso de las tecnologas electrnicas ya sea como mtodo, medio o fin y los delitos en
que se daa estos equipos, redes informticas, o la informacin contenida en ellos,
vulnerando bienes jurdicos protegidos.
Manipulacin de programas
Falsificaciones informticas:
Cuando se alteran datos de los documentos almacenados en forma
computarizada.
Cuando se usan las computadoras para efectuar falsificaciones de
documentos de uso comercial.
Fraudes en Internet:
Seguridad Lgica:
Sabotaje informtico mediante: virus, gusanos, ataques de denegacin de
servicio, sustraccin de datos, hacking, descubrimiento y revelacin de
secretos, suplantacin de personalidades, sustraccin de cuentas de correo
electrnico.
Delitos de injurias, calumnias y amenazas a travs del e-mail, news, foros,
chats o SMS.
Propiedad Intelectual:
Piratera de programas de ordenador, de msica y de productos
cinematogrficos
Robos de cdigo.
Accesos no autorizados:
Otros delitos:
A travs de Internet se pueden comprar drogas ilcitas, armas, productos
farmacuticos no regulados, documentos falsos.
1.5
CASEY, E. Digital Evidence and Computer Crime. Academic Press, 2000. Op.Cit.
Durante el examen forense este punto puede parecer insignificante, pero se vuelve un
problema crtico cuando el examinador est presentando sus resultados en un juicio.
Aunque la evidencia puede ser legtima, las preguntas acerca de las habilidades del
examinador y conocimiento pueden afectar su credibilidad, as como la confiabilidad
del proceso empleado. Con una duda razonable, los resultados del proceso forense,
en el peor de los casos, se consideraran inaceptables. Aunque la necesidad de alterar
los datos ocurre pocas veces, hay casos dnde al examinador se le exige el cambio
para facilitar el proceso del examen forense.
22
1.6.2
publicacin,
difusin,
reproduccin,
deformacin,
modificacin,
traduccin,
LEY
Ley de Comercio
Electrnico, Firmas
Electrnicas y
Mensajes de Datos
ECUADOR
Ley de Propiedad
Intelectual
Para luchar contra la Delincuencia Informtica no slo es necesario contar con leyes
e instrumentos eficaces sino tambin con la infraestructura tanto tcnica como con el
recurso humano calificado para hacerle frente a este tipo de delitos cada vez ms
crecientes. En cumplimiento con el mandato constitucional el Ministerio Pblico
tiene la obligacin Jurdica de poseer un cuerpo especializado para combatir esta tipo
de criminalidad a fin de precautelar los derechos de las vctimas y llevar a los
responsables a juicio. Es preciso desarrollarse en las investigaciones tanto policiales
como del Ministerio Pblico especializadas en abordar cuestiones de la delincuencia
informtica e informtica forense.
Actualmente en la Polica Nacional est en proceso de aprobacin la implementacin
de una Unidad Especializada en Investigacin de Delitos Informticos con secciones
de Investigaciones e Inteligencia y de Anlisis Forense.
CAPTULO 2
2.1 Antecedentes
celulares,
Internet,
automatizacin
de
tareas
mediante
la
Lo que engloba esta era tecnolgica trae interrogantes como, Qu tan protegida est
la informacin?, de Cmo se puede reaccionar a ataques contra la integridad del
individuo o de las empresas?, De que si las leyes y medios existentes en nuestro
pas pueden descubrir cmo, quin cometi el delito y que sentencia recibir?.
Polica Judicial
Trnsito
Migracin
Criminalstica
o Investigaciones
Antinarcticos
Departamento Nacional de Comunicaciones.
Cada rea posee determinadas funciones cumplen con el objetivo de proteger y velar
por el bienestar de la ciudadana.
28
Las investigaciones que se realizan sobre los crmenes o delitos (dependiendo del
tipo) requieren de la presencia e interaccin de todos los departamentos de la Polica
Nacional.
Asistir al Ministerio Pblico para una correcta ejecucin de las leyes contra el
cibercrimen.
Fraude electrnico
Trnsito
Migracin
Investigaciones
Antinarcticos
Recursos Humanos
Salud
Educacin
Inspectora
Inteligencia
Operaciones
Gerencial
Documental
El objetivo de este desarrollo es lograr que la Polica cuente con una base de datos
integral y nica basada en la informacin del personal policial, vehculos, objetos,
casos e incidentes.
Consolidar una base de datos nica a nivel nacional, a la que puedan acceder
los distintos funcionarios de la Polica Nacional, dependiendo de su rango y
los niveles de seguridad establecidos en el sistema.
Sistema AFIS
Registro Civil: Convenio para validar y cotejar la informacin, para que los
documentos que emite la Polica Nacional, como licencias, matrculas, datos de
filiacin, certificaciones de censos, requisitos de admisin a las filas policiales,
certificados de antecedentes personales, etc., sean verdaderas y confiables.
Servicio de Rentas Internas: Con las entidades bancarias no existe relacin ya que
toda la informacin del pago de especies se realiza a travs del sistema bancario, los
cuales directamente transfieren al Servicio de Rentas Internas y este a su vez
transfiere a la Polica Nacional.
CAPTULO 3
Presentacin de
evidencia
Analizar las
evidencias
Preservar las
evidencias
Identificar
evidencia
- Segn prioridad
-Conservacin inicial
- Fase crtica
- Preservar de forma
que no exista duda
de la evidencia
-Creacin de
imgenes a nivel de
bit
- Generar checksum
de original y copias
- Propsito: dar
respuestas a las
preguntas.
Quin, que cuando
y como?
- Analizar
requerimientos del
cliente. Bsqueda de
las evidencias
acorde al caso.
- Dar un informa
claro, conciso,
estructurada y sin
ambigedad de las
evidencias.
- No se debe usar un
lenguaje muy tcnico
- Deber contener
las evidencias
encontradas de
acuerdo al caso
Para llevar a cabo una investigacin forense es adecuado conocer ciertos aspectos
tales como:
Conocer las condiciones bajo las cuales, la evidencia ser considerada como :
o Admisible
o Autentica
o Completa
o Confiable
o Creble
3.1
En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias,
ya que muchas veces la informacin que directa o indirectamente se relaciona con
esta conducta criminal queda almacenada de forma digital dentro de estos Sistemas
Informticos.
se encuentren en los soportes fsicos o lgicos del sistema atacado, los mismos
pueden ser recolectados y analizados con herramientas y tcnicas especiales.
Tipo de Evidencia Digital
1)
Fsica
10
Evidencia
Soportes de Almacenamiento
CPU
Diskettes
CD-ROMs, DVD
Cintas magnticas, etc.
Dispositivos electrnicos
Telfonos celulares
Agendas
Organizadores electrnicos
11
Routers
Switchs
Hubs
11
38
redes
de
Identificacin de la Evidencia
12
Con la finalidad de determinar donde debe ser ubicada y como debe ser usada la
evidencia, se definen categoras para distinguir entre un sistema informtico
o
12
Dr. ACURIO DEL PINO, Introduccin a la Informtica Forense Santiago. Op. Cit.p 13
Evidencia Electrnica
(elementos fsicos)
El hardware es mercanca
ilegal o fruto del delito.
El hardware es un instrumento
El hardware es evidencia
Informacin
Evidencia Electrnica
La informacin es
mercanca ilegal o
fruto del delito.
La informacin es un
instrumento
41
Opciones de Bsqueda
Listar todos los puertos TCP y UDP abierto, se deber tomar muy en
cuenta aquellos procesos que emplean puertos altos por encima del 1024.
Anotar la fecha, hora de inicio y fin de cada uno de los pasos que se realicen
Una vez que ya se realizaron las tareas anteriores se deber definir el estado del
sistema y del atacante:
Otro de los tantos problemas que posee un investigador forense, es buscar evidencia
voltil, es decir evidencia que se encuentre alojada temporalmente en la memoria
RAM o en el CACHE, son evidencias que se pierden cuando se apaga el
computador, por ello, este tipo de informacin debe ser recuperada de forma
inmediata.
3.2
Preservacin de la evidencia
15
15 Criptografa: es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que hagan
posible el intercambio de mensajes de manera segura que slo puedan ser ledos por las personas a
quienes van dirigidos.
Las tareas que se deben seguir para preservar la evidencia digital son:
-
Funcin hash: es una herramienta fundamental en la cripotografa, son usadas principalmente para
resolver el problema de la integridad de los mensajes, as como la autenticidad de mensajes y de su
origen, es tambin ampliamente usada para la firma digital, ya que los documentos a firmar son en
general demasiado grandes, la funcin hash les asocia una cadena de longitud 160 bits que los hace
ms manejables para el propsito de firma digital.
3.3
Este anlisis se dar por concluido cuando se conozca cmo se produjo el ataque,
quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el
objetivo del ataque, qu daos causaron, etc.
e) Si posee firewall
f) Si esta en el mbito del DMZ (Zona desmilitarizada)
g) Conexin a Internet.
h) Configuracin.
i) Parches y/o actualizaciones de software
j) Polticas de seguridad implementadas
k) Forma de almacenamiento de la informacin (cifrada o no)
l) Personas con permisos de acceso al equipo
m) El computador esta dentro del DMZ
n) Existe IDS
16
16
IDS: las funciones que cumple el IDS son: Monitorea las actividades a nivel de usuario o procesos y
actividades de un sistema (HIDS), o las actividades de una red (NIDS), Cifrado de datos, hace un
diagnostico completo del ataque y en algunos casos puede dar recomendaciones de cmo controlar el
ataque.
49
Realizar copias exactas del disco duro con la finalidad de realizar pruebas
y verificaciones conforme surjan las hiptesis del ataque.
17
Una vez establecida la estacin de trabajo, el primer paso es crear una lnea temporal
de sucesos o timeline, para ello se deber recopilar la siguiente informacin sobre los
ficheros:
-
Permisos de acceso.
Ordenar los archivos por sus fechas MAC, esto se debe realizar debido a
que los archivos tendrn la fecha de instalacin del sistema operativo, por
lo que un sistema que se instal hace meses y que fue comprometido
recientemente presentar en los ficheros nuevas fechas MAC muy
distintas a las de los ficheros ms antiguos.
Buscar
borrados recientemente.
-
18
vulnerabilidad.
-
Una vez que se determin como se infiltraron al sistema, ahora se tiene que saber
quin o quienes lo hicieron, para ello se deber consultar nuevamente algunas
evidencias voltiles que fueron recopiladas en la primera fase:
18 Exploit: es un programa informtico malicioso, o parte del programa, que trata de forzar alguna
deficiencia o vulnerabilidad de otro programa (llamadas bugs). Un "exploit" es usado normalmente
para explotar una vulnerabilidad en un sistema y acceder a l, lo que es llamado como "rootear" tener
privilegios de root (administrador). Se pueden encontrar exploits en www.paketstormsecurity.org
Para Identificar a los atacantes se debe realizar algunas averiguaciones como parte
del proceso de identificacin:
-
se deber revisar
19
. Los
53
o Hackers:
personas
con
conocimientos
en
tcnicas
de
Se deber tener en cuenta los efectos y el impacto que cause el ataque a sistemas,
servidores de Bases de Datos, servidores WEB, cortafuegos, router con la finalidad
de ser un aporte, presentando los daos encontrados,
al personal de seguridad
3.4
20
Este informe consiste en una exposicin detallada del anlisis efectuado. Deber
describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense.
Deber contener, al menos, los siguientes puntos:
Descripcin de la evidencia.
Anlisis de la evidencia.
Aplicaciones.
Servicios.
Vulnerabilidades.
Metodologa.
Huellas de la intrusin.
Conclusiones.
Recomendaciones especficas.
Referencias.
Motivos de la intrusin.
Desarrollo de la intrusin.
Recomendaciones.
57
CAPTULO 4
4.1
hardware
Por tanto por el amplio alcance de la informtica forense, estn involucradas varias
ciencias y disciplinas como ingeniera electrnica, criptografa, ingeniera de
software, comunicaciones, derecho, son reas que en conjunto hacen posible el
anlisis de los soportes de almacenamiento y dispositivos electrnicos.
4.2
4.3
Metodologas y Estrategias
Los componentes principales que debe cumplir una metodologa para un anlisis
forense es:
Marco Cientfico: Investigaciones y experiencias apoyadas estrictamente en el
mtodo cientfico. Ms all de la fluidez argumentativa propia de cada profesional
se debe aportar estructura lgicas necesarias para justificar las fundamentaciones de
manera estricta e irrebatible.
Marco Informtico especfico: en relacin con las herramientas propias del anlisis
forense informtico, deben ser abordadas desde las caractersticas ms adecuadas que
vayan con la realidad de nuestra sociedad, ya sean ambientes de software libre o
software propietario.
Marco Legal: Implica la insercin legal del accionar pericial al concurrir al lugar del
hecho, los cumplimientos de los plazos legales, la condicin de testigo experto, los
artculos de las leyes vigentes en nuestro pas.
libros,
notas,
manuales,
software,
discos,
sistemas
de
la
evidencia,
no
colocar
elementos
cerca
de
fuentes
matemticamente
la
informacin
de
los
Sistemas
de
Almacenamiento
Antes de acceder a las pruebas se deben registrar, es decir realizar el hash del
soporte accedido.
Cuando las diligencias son realizadas en momentos que no son visibles para
comprobar algunas circunstancias
Mtodo Espiral:
Una manera de hacer la inspeccin es mediante la forma que se denomina espiral,
desde afuera hacia adentro. Si el hecho est en el interior de un lugar entonces la
inspeccin se debe dar desde las paredes hasta llegar al sitio principal.
Mtodo Cuadrcula:
Cuando el sitio es muy grande se lo fracciona en cuadrculas, posteriormente se
revisa las cuadrculas con el mtodo espiral.
Las fracciones sern divididas en base a las distancias que se encuentran los
elementos, as como tambin las dimensiones del lugar; las cuales deben ser
calculadas con exactitud (no a simple vista o mediante pasos).
La Unidad de Anlisis Forense de la Polica Nacional, al emplear ste mtodo
debe dividir las inspecciones de los lugares anexos al personal de la Unidad, al
momento de encontrar algn indicio, no se debe tocar, comunicar del
descubrimiento y se sujetarn a la accin a tomar por decisin del Jefe de la
Unidad. No se debe subestimar una opinin y tampoco un dato por su aparente
obviedad.
En la investigacin de los hechos delictivos todo lo que se encuentra el lugar del
suceso sirve, nada debe descartarse como intil
4.3.1
Secuestros de Equipos
o Cantidad.
Cuando se necesite secuestrar perifricos especficos conectados a los equipos
informticos se debe identificar con etiquetas con nmeros los cables para mostrar
dnde se deben conectar y tambin deben ser fotografiados los equipos con sus
respectivos cables de conexin etiquetados.
Para que una investigacin sea efectiva es esencial saber concretamente que se va
a incautar para proceder a embalar y transportar correctamente los medios
computacionales, la informacin de los equipos debe ser levantada de la manera
ms cautelosa, posterior a esto se da paso a la cadena de custodia, la cual tiene
Se debe considerar la custodia, ya que muchas veces existen individuos que operan
equipos que han sido secuestrados, destruyendo as la evidencia y si no son
correctamente vigilados sern fcilmente comprometidos.
4 .3.2
Discos Duros
Generalmente la escena del crimen es el disco duro, por lo que hay que evitar
cualquier situacin que pueda alterarlo y se pierdan pistas importantes de la
intrusin, es necesario tomar notas de lo que se hace con el disco duro y a qu hora,
Este anlisis no slo busca archivos incriminatorios, sino tambin otra informacin
valiosa como passwords, logins y rastros de actividad en Internet, etc.
En el momento que se trabaja con el medio original se tendr que estar acompaado
del delegado a constatar los efectos legales.
Las copias deben ser realizadas bit a bit (imgenes del disco). La investigacin se
har sobre la copia y no sobre el original. Es recomendable hacer tres copias del
disco duro original y hacer una verificacin criptogrfica, un checksum. Tambin
realizar dumps de memoria y almacenarlos al igual que los discos.
Se puede basar en los cookies y en los archivos temporales de Internet para intentar
determinar sus hbitos de navegacin.
Para poder deducir las aplicaciones instaladas o utilizadas se debe analizar los
archivos temporales que se generaron.
4.3.3
Sistemas Operativos
Existen diversas metodologas y una gran cantidad de herramientas que pueden ser
ejecutadas bajo la los diferentes sistemas operativos para poder realizar una
investigacin correcta, contando que se debe analizar la variedad de formatos de
archivos, los cuales pueden variar significativamente an dentro del contexto de un
sistema operativo.
Para consultar los archivos de registro del sistema y logs en busca de entradas y
avisos sobre fallas de instalacin, accesos no autorizados, conexiones errneas o
fallidas, etc., depende de la plataforma para la ubicacin de estos archivos.
Visor de sucesos
El de servicios o
Archivos de Registro
Descripcin
/var/log/messages
/var/log/secure
/var/log/wmtp
/var/run/utmp
/var/log/btmp
70
En la entrada cuarta y quinta del archivo se puede notar una modificacin ya que se
ve un salto en la secuencia de fechas, tiene dos entradas con fecha del 22 de enero
tras dos entradas con fecha del 23 de enero.
Aunque estos detalles no son determinantes, si pueden ser indicios que indiquen que
los sistemas estaban siendo causa de un trasteo.
Los archivos de claves, usuarios y grupos tambin pueden ayudar para la bsqueda
de evidencias, se pueden encontrar en / etc/ passwd, / etc/ shadow.
Adems de estos archivos de registro, tambin pueden contener indicios los archivos
de claves, usuarios y grupos, los cuales se pueden encontrar en el directorio:
/etc/passwd, /etc/shadow,/etc/group.
4.3.4
Bases de Datos
Para iniciar el anlisis forense en una Bases de Datos, primero es necesarios conocer
el diccionario de datos de la misma, ya que este posee tablas con informacin
importante de la Base de Datos tal como:
Los primeros archivos que se deben verificar y estudiar su estado despus del ataque
en la capa fsica de la Base de Datos son:
Los primeros archivos que se deben revisar son los control files, ya que estos
archivos contienen informacin de la ubicacin de los datafiles y redo log
Las tablas existentes, si se borro o modifico alguna tabla y que usuraos tienen
acceso a ellas, de tal manera que si un usuario que solo tiene acceso al
departamento financiero y este puede ingresar a informacin del
departamento de auditora, entonces ya existe una anomala.
4.3.5
Apagar el dispositivo.
La primera opcin de mantenerlo encendido y con una bolsa aislante se consigue que
el dispositivo deje de estar conectado a la red. Pero estos dispositivos al no encontrar
portadora para comunicaciones, aumentan su potencia de emisin y la frecuencia
con la que intenta buscar red, por lo tanto la vida de la batera se acorta.
En cambio la segunda opcin tenemos un problema adicional ya que la mayora de
las veces estos dispositivos estn protegidos mediante contraseas o cdigos PIN. Y
nos tocara investigar contraseas o irrumpirlas.
Se puede optar por varias salidas, ya que existen casos que en que utilizar fuentes de
alimentacin porttil al ser almacenadas con el dispositivo en la bolsa aislante resulta
efectivo para reducir el consumo de la batera.
Una ayuda para sta rea seran los mapas de localizacin del mvil durante su uso
en relacin al posible hecho delictivo.
Se puede tener el caso de mviles en mal estado, los cuales deben someterse a un
proceso de reparacin y ensamblaje de componentes para ponerlo en funcionamiento
y mediante software especializado obtener los datos almacenados en la memoria
interna.
Para la investigacin forense es muy importante el anlisis del telfono mvil ya que
se ha convertido en un aparato tan usado como
Los telfonos mviles, las agendas electrnicas, etc., guardan y procesan cantidades
significativas de datos.
4.3.6
Contenidos de la memoria
Las metodologas usadas por parte de los Peritos Informticos Forenses dependen de
la estrategia del Profesional, de lo que est permitido hacer hasta los lmites que
impone la Ley de cada Pas y de los medios que tiene para realizar la investigacin
forense. Para seguir una correcta metodologa se recomienda seguir los lineamientos
de la IOCE y del RFC 3227.
El objetivo es seguir un orden adecuado para intervenir ante un delito y anlisis del
mismo en base al tipo de evidencia digital encontrada.
1. Requisitoria Pericial
La requisitoria pericial proviene del Fiscal del Ministerio Pblico, la Polica Judicial
designa un agente para el caso quien informa al Jefe de la Polica Judicial y
posteriormente se presenta al Agente Fiscal las pruebas reunidas para que el Juez
dictamine la detencin al individuo involucrado en el caso.
2. Entrevista aclaratoria
3. Inspeccin Ocular
Paso 1.
-
[Todo sirve, nada debe descartarse, aun cuando se crea que no tiene relacin con el
hecho ocurrido].
[Todo es importante: rastros, huellas, manchas, pisadas, colillas de cigarrillos,
impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados,
por ejemplo equipos abiertos o cerrados, fajas de seguridad rotas, cables sueltos,
equipos de conexin o distribucin abiertos o cerrados, elementos prximos al rea
de trabajo, al parecer desconectados o sin relacin con los equipos, equipos de
captura de video, de comunicaciones, de impresin, de almacenamiento, de
alimentacin elctrica, etc.].
[No pasar, no tocar, no mover, no encender, no abrir, no pisar y no importunar a los
dems peritos, observar crticamente y documentar].
Paso 2.
-
V. Tomar
previsiones,
innecesarias.
evita
prdidas
y destrucciones
de
informacin
VIII. Todas las medidas deben ser informadas y autorizadas por el juez o fiscal
interventor.
IX. Al acudir al lugar se debe hacer con los elementos necesarios para
realizar todas las tareas que conlleva la investigacin forense.
X. Utilizar el kit de herramientas forense [Cap. 5. puntos 5.2.1]
XI. Se debe equipar con los siguientes elementos:
o Linternas o proyectores y pilas o bateras suficientes (iluminacin
accesoria)
o Cmara digital con zoom, para poder realizar ampliaciones
macrofotogrficas de los elementos que se necesite documentar.
o Un grabador de bolsillo con micrfono disimulable (corbatero)
o Una brjula (permite orientar los croquis)
o Una cinta mtrica (entre 5 y 10 metros)
o Una plomada (permite medir distancias de un objeto elevado hasta el
piso por una sola persona)
o Un cuaderno cuadriculado, (para los croquis)
o Sobres de papel de diversos tamaos
Los objetos debern ser tomados con guantes ya que se podra alterar la evidencia
digital o las huellas dactilares que se encuentren en los mismos.
85
1) Evidencia Fsica
Soportes de Almacenamiento
-
CPU,
Diskettes,
CD, DVD,
Cintas magnticas.
Ubicado en Apndice A ]
Dispositivos Electrnicos
Telfonos celulares,
Agendas,
Organizadores electrnicos.
Routers,
Switchs,
Hubs.
2) Evidencia Lgica:
Ordenar los archivos por sus fechas, esto se debe realizar debido a que los
archivos tendrn la fecha de instalacin del sistema operativo.
Buscar ficheros y directorios (temporales) que han sido creados, modificados
o borrados recientemente.
Determinar la ruta completa del o los ficheros, tamao en bytes.
Visualizar registros y logs del sistema (reg, dumpel).
Visualizar la configuracin de seguridad del sistema (auditpol).
Editar los archivos de registro del sistema y logs en busca de entradas y
avisos sobre fallos de instalacin, accesos no autorizados, conexiones
errneas o fallidas.
Utilizar herramientas que no modifiquen el tiempo de ejecucin de los
archivos.
ser recopilado con todos los puntos antes mencionados y se concluir con la
evidencia.
de
Resultados
de
Evidencia,
se
deber
adjuntar
los
Para que una gua pueda ser llevada de la mejor manera se requiere de soporte a
todos los involucrados en el proceso.
CAPTULO 5
5.1
Anlisis sobre las herramientas y equipos para la aplicacin de la
Informtica Forense para la Polica Nacional
21
21
4) Herramientas de Hardware
5.2
Costos de equipos y software para la aplicacin de la Informtica
Forense
Las herramientas que se presentan sern evaluadas segn los siguientes factores:
Software libre.
Costos.
As, segn la realidad del Departamento y las leyes vigentes en el pas en base a la
gua que se ha planteado para la Polica Nacional, se presenta mediante un cuadro
comparativo y evaluado, las herramientas que poseen ms cualidades que otras y son
ms recomendables.
97
Informtica Forense
Herramienta
Costo
Caractersticas
Evaluacin
.- Esta coleccin de programas sirve para realizar una 'autopsia' sobre sistemas UNIX despus
de que han 'muerto' completamente.
.- El funcionamiento de este software se basa principalmente en la recogida de grandes
cantidades de datos para proceder a su anlisis posterior. Algunos de sus componentes son la
herramienta 'ladrn de tumbas' (que captura informacin), los programas para detectar
archivos 'muertos' o 'vivos', as como 'lzaro', que restaura archivos borrados, y otra
herramienta que restaura claves criptogrficas desde un proceso activo o desde algn
archivo.
.- Contiene varias herramientas importantes para el anlisis forense.
The Coroners
Toolkit
Libre
Aplicaciones importantes:
- grave-robber - Una utilidad para capturar informacin sobre i-nodes, para ser procesada por
el programa mactime del mismo toolkit.
- unrm y lazarus - Herramientas para la recuperacin de archivos borrados (logs, RAM,
swap, etc.). Estas aplicaciones identifican y recuperan la informacin oculta en los sectores
del
disco duro.
- mactime - El programa para visualizar los ficheros/directorios su timestamp
MAC (Modification, Access, y Change).
.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Linux)
Descargas: http://www.fish.com/tct/, o desde http://www.porcupine.org/forensics.
98
FreeBSD 2-4.*,
OpenBSD 2.*, BSD/OS
2-3.*, SunOS 4-5.* y
Linux 2.*.
SUN Solaris
RedHat Linux
Media
.- Es una interfaz grafica que trabaja en conjunto con la herramienta the sleuth kit utilizada
para el anlisis forense.
.- Analiza discos y sistema de archivos (NTFS, FAT, UFS1/2, Ext2/3).
.- Muestra el detalle de informacin sobre datos eliminados y estructuras del sistema
de ficheros.
.- Permite el acceso a estructuras de archivos y directorios de bajo nivel y eliminados
The Sleuth Kit y
Autopsy
Libre
Unix/Linux, Windows
Alto
Linux
Bajo
Mac-robber
Libre
.- Los datos obtenidos pueden ser utilizados por la herramienta mactime, contenida en
el
Sleuth Kit, para elaborar una lnea temporal de actividad de los ficheros.
.- Est basado
anteriormente.
en
grave-robber
(contenido
en
TCT)
explicado
.- Requiere que el sistema de ficheros est montado por el sistema operativo, a diferencia de
otras herramientas como el Sleuth Kit que procesan el sistema de ficheros ellos mismos.
.- Modificar los tiempos de acceso a directorios que estn montados con permisos de
escritura.
Herramientas que forman parte:
-Pasco: Herramienta para analizar la actividad realizada con el navegador web Internet
Explorer de MS .
-Galleta: Examina el contenido del fichero de cookies de IE.
-Rifiuti: Examina el contenido del fichero INFO2 de la papelera de reciclaje de Windows.
Foundstone
Forensic Toolkit
Comercial
-Vision: Lista todas los puertos TCP y UDP en escucha (abiertos) y los mapea a las
aplicaciones o procesos que se encuentran detrs.
Windows
Alto
Linux
Bajo
-Forensic Toolkit: Es una suite de herramientas para el anlisis de las propiedades de ficheros
Examina los ficheros de un disco en busca de actividad no autorizada y los lista por su ltima
fecha de acceso, permitiendo realizar bsquedas en franjas horarias, bsqueda de archivos
eliminados, etc. (open source)
Descarga: www.foundstone.com
Foremost
GPL
(proyecto
abierto al
pblico)
Libre
.- Es muy bueno para el anlisis de equipos muertos, sin que se modifiquen las
evidencias pues montar los discos que encuentre en el sistema en modo slo lectura.
.- Contiene ms y nuevas versiones de SleuthKit y Autopsy.
.- Su documentacin no es amplia.
.- Permite elegir entre usar los kernels (2.4.26 o 2.6.5).
.- Tiene una excelente deteccin de hardware.
.- HELIX est pensado especficamente para no realizar ningn tipo de alteracin sobre
los sistemas en los que se usa.
.- Tiene una configuracin autorun para Windows con herramientas para este
SO. Descarga: http://www.e-fense.com/helix/
Alto y
recomendable
.- Es una distribucin de un nico cdrom, portable y bootable Live CD. Provee herramientas
adecuadas para una actuacin rpida en casos de anlisis forense.
.- Respuesta ante incidentes, recuperacin de datos, ataque de virus.
.- Contiene gran cantidad de herramientas de anlisis forense.
.- Es usable para anlisis en caliente de sistemas, con lo que nicamente montando el CD se
puede usar.
.- Herramientas compiladas estticamente sin necesidad de realizar un reboot de la mquina.
.- Posee una interfaz grafica que hace fcil su uso.
F.I.R.E (Forensic
and Incident
Response
Environment)
Libre
.- No realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede
ser utilizado con seguridad
.- Recupera datos de particiones daadas.
.- F.I.R.E posee las siguientes herramientas:
Nessus, nmap, whisker, hping2, hunt, fragrouter.
Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort.
Chkrootkit, F-Port
TCT, Autopsy.
Testdisk, fdisk, gpart.
SSH (cliente y servidor), VNC (cliente y servidor)
Mozilla, ircII, mc, Perl, biew, fenris, pgp.
Todos estos programas sern comentados brevemente, en el glosario.
Descarga: http://fire.dmzs.com/?section=main o
http://biatchux.dmzs.com.
Windows, Solaris y
Freeware
Alto y
recomendable
Libre
.- Posee 300 herramientas de todo tipo (sniffers, exploits, auditora wireless, anlisis
forense, etc) perfectamente organizadas.
GNU/Linux
Alto y
recomendable
Linux
Bajo
Windows
Bajo
.- La versin 2 (recin publicada) utiliza un kernel 2.6.20 con varios parches e incluye
soporte para tarjetas inalmbricas.
.- Los programas que trae este software ya vienen todos configurados y listos para
ser usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.
.- Simplificar el proceso de anlisis de ficheros de log en investigaciones forenses.
FLAG (Forensic
and Log Analysis
GUI)
Libre
proyecto
abierto al
publico
.- Est basado en web, por lo que puede instalarse en un servidor donde se centralice toda la
informacin de los anlisis, de forma que puede ser consultada por todo el equipo forense.
.- pyFlag es la implementacin (empleada actualmente) en Python. Es una
revisin/reescritura completa de FLAG, ms potente, verstil y robusta.
.- Es una aplicacin on-line segura y de fcil manejo.
.- Permite a los usuarios recuperar los archivos que hayan sido borrados de unidades de disco
E-ROL
Libre
duro, unidades ZIP y disquetes, en todos los sistemas operativos de la familia Microsoft
Windows.
.- Registra una media de ms de 350 entradas diarias a su pgina web.
.- Software de Recuperacin de Datos se encuentra disponible para ser utilizado en una vasta
gama de sistemas operativos y archivos de sistema.
.- Recuperar Archivos Programa de recuperacin de archivos anulados: es capaz de recuperar
del cesto de Windows datos anulados o perdidos a causa del formateo del disco duro, de una
infeccin de virus, de una repentina cada del sistema o por un desperfecto de software.
Stellar Phoenix
Media
Libre
Linux, Wink2k
WinXP / Server 2003
Media
.-Recuperar todo tipo de archivos, como por ejemplo documentos, imgenes, aplicaciones,
Bad copy
Comercial
$50
etc.
.-Utiliza un sistema inteligente de recuperacin de datos y disco, para el contenido de ficheros
Win95/98/NT/ME/2000/
XP
Medio
Windows
Medio
Comercial
Encase
Sector
privado
$ 2495
.- Los formatos de archivos con extensin .cda contenidos en CD para equipos de msica no
son bien reconocidos por EnCase.
.- Muy usada en EEUU por el FBI.
.- No es multiplataforma.
.- Encase posee una variedad de funciones que se requiere de otro documento para explicar
cada una de ellas.
http://guidancesoftware.com
Informtica Forense
poseen una
106
pero puede
Clasificacin
Herramientas para recoleccin de evidencias
TCT (Linux).
Forensic Toolkit (Windows).
The Sleuth Kit y Autopsy (Unix/Linux, Windows).
BackTrack ( Linux).
E-ROL (Windows).
Helix (Windows, Solaris, Linux).
F.I.R.E (Windows, Solaris y Freeware).
Honeypot
Es un software o conjunto de computadores cuya intencin es atraer a crackers o
spammers, simulando ser sistemas vulnerables o dbiles a los ataques, permite
recoger informacin sobre los atacantes y sus tcnicas, los mismos pueden distraer a
los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al
administrador del sistema de un ataque, adems de permitir un examen en
profundidad del atacante, durante y despus del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no
existentes en la realidad y se les conoce como honeypots de baja interaccin y son
usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan
sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus
fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin.
Tambin se llama honeypot a un website o sala de chat, que se ha creado para
descubrir a otro tipo de usuarios con intenciones criminales.
KeyLogger
Es una herramienta que puede ser til cuando se quiere comprobar actividad
sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario
teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.
Existen dos versiones: la registrada y la de demostracin. La principal diferencia es
que en la versin registrada se permite correr el programa en modo escondido. Esto
significa que el usuario de la mquina no notar que sus acciones estn siendo
registradas.
5.2.2 Entornos de Trabajo Forense sobre computacin virtual para la Polica Nacional
heterogneos
puedan
funcionar
simultneamente en
la
misma
Los beneficios de la virtualizacin pueden ser apreciados sobre tres aspectos de alto
impacto para la administracin de sistemas:
Particionamiento (permite que mltiples aplicaciones y sistemas operativos
puedan compartir el mismo hardware).
evidencia digital.
En el mbito institucional del Ecuador es habitual contar con recursos financieros
mnimos para la adquisicin de tecnologa. Es por ello que se presenta la opcin de
trabajar con servidores virtuales aplicados a la informtica forense del Departamento
de Delitos Informticos de la Polica Nacional,
5.3
Recolectan la evidencia.
Reconstruyen el delito.
Seguridad Informtica.
Abogado.
Policas.
Examinadores Forenses.
Perito Informtico
Peritos son las personas que por disposicin legal y encargo Judicial o del Ministerio
Pblico aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o
la Polica Judicial adquieran conocimiento para determinar las circunstancias en que
se cometi una infraccin.
Las condiciones que debe reunir una persona para ser perito son:
a) Profesional, especializado y calificado por el Ministerio Pblico en un
respectivo campo y determinada materia.
b) Mayores de edad (18 aos).
c) Honradez, calidad moral de proceder ntegro y honrado en el obrar.
d) Deber ser totalmente imparcial.
e) Conocimientos especficos en la materia para cumplir su cometido.
La pericia intenta obtener un dictamen fundado en especiales conocimientos
cientficos, tcnicos, til para el descubrimiento o valoracin de un elemento de
prueba.
IACIS
Ofrece la certificacin internacional denominada CFEC (Computer Forensic External
Certification), diseada para personas que no pertenezcan a instituciones judiciales o
de polica. Costo de esta certificacin es de US $1250 con una duracin de cinco
meses, y se requiere de una forma de aplicacin con mltiples datos del aspirante, la
misma es evaluada por el comit de IACIS.
HTCN
Ofrece diversas certificaciones en informtica
La Polica Nacional debe tomar muy en cuenta que la labor que posee la
investigacin forense en informtica requiere de mucho entrenamiento y formacin,
no solamente en las especificaciones tcnicas sino tambin en procedimientos y
habilidades que permitan al profesional que se certifique, enfrentar la difcil tarea de
reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar
datos para formular hiptesis que orienten la investigacin de un delito informtico ,
con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el
planteamiento de estas certificaciones importantes a nivel de Informtica Forense.
CONCLUSIONES
especficamente
informtico,
poseen un
la
investigacin
de
un
delito
directamente
para
resolver
de
crmenes tradicionales,
los delitos
quedar a
en el
RECOMENDACIONES
puedan
ser
desarrolladas
sin
inconvenientes
BIBLIOGRAFA
http://www.porcupine.org/forensics/forensic-discovery/
http://www.virusprot.com/computaci%F3n-anti-forense.htm
www.alfa-redi.org
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
http://publicaciones.derecho.org/redi
http://derecho.org/comunidad/carlospaladella
http://www.forensics-intl.com/evidguid.html
Equipo
de
Investigacin
de
Incidentes
Delitos
WWW.EIIDI.COM
Informticos.
IACIS - http://www.cops.org.
HTCN - http://www.htcn.org.
Glosario de Trminos
DMZ: zona desmilitarizada o red perimetral es una red local (subred) que se ubica
entre la red interna de una organizacin y una red externa, generalmente Internet. El
objetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a
la red externa.
Guardian Dog: mtodo para borrar discos duros a travs de un potente imn en su
interior, no necesita electricidad y tiene suficiente potencia para superar la proteccin
de las cubiertas de acero contra campos magnticos. Destruye todos los datos del
disco, incluso los que se encuentran en reas que los ordenadores no pueden leer, y
puede borrar cualquier tipo de unidad magntica: cintas VHS, cintas DAT, discos
ZIP y similares, etc.
El software es el
Sniffers: es un programa que captura datos dentro de una red de cmputo, los
hackers la utilizan para obtener nombres de usuarios y contraseas, sta herramienta
permite auditar e identificar paquetes de datos en una red. A los administradores de
red ayuda a identificar los problemas de la red.
SSH: Secure Shell, es el nombre de un protocolo y del programa que lo implementa,
sirve para acceder a mquinas remotas a travs de una red. Mediante un intrprete de
comandos permite manejar por completo la computadora. Tambin permite copiar
datos en forma segura, gestionar claves RSA para no escribir calves al conectar a las
mquinas y pasar los datos de cualquier otra
tunelizado.
VNC: Virtual Network Computing, es un programa de software libre
basado en una estructura cliente-servidor, el cual permite el control del
ordenador servidor remotamente a travs de un ordenador cliente.
Permite que el sistema operativo en cada computadora sea distinto, es
posible compartir la pantalla de una mquina de cualquier sistema
operativo conectado desde cualquier otro ordenador o dispositivo que
disponga de un cliente VNC portado.
Apndice A
A1. Esquema de Respuesta del proceso de Incidentes
A.2 Formularios
Informtica Forense
Esquema de Respuesta del proceso de Incidentes
127
Inicio
Lugar:
Fecha y Hora:
Caso:
Perito Informatico:
Ciudad:
Provincia:
Direccion:
Telefono:
Fax:
Celular:
Correo Electronico:
Fecha y hora aproximada del incidente:
Lado A
128
Lugar:
Caso:
Delito:
Perito:
Acompaante:
Tipo de Escenario:
Escenario 1
Numero de componentes
Escenario 2
Escenario 3
Observaciones
1 de 2
Lado B
Nmero de Identificacin
Cargo
2 de 2
Inicio
Fecha:
Caso:
Perito Responsable:
Cargo
Firma
Lado A
Formulario de Control de Anlisis de Discos
Almacenamiento secundario fijo y removible
Rutina
SI
NO
Observaciones
Actividades Preliminares
1
5
6
1 de 2
Lado B
Formulario de Control de Anlisis de Discos
Almacenamiento secundario fijo y removible
Rutina
SI
NO
Observaciones
2 de 2
Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Numero de componentes
Componente
Software instalado
Observaciones
Lado A
Formulario de Registros de evidencia de la computadora
Inicio
Inf-Nro:
Fecha:
Lugar:
Caso:
Juzgado:
Perito:
Especificaciones de la computadora
Marca/Modelo
Modelo
Nro. De Serie
Placa Madre
(Marca/Moldeo)
Microprocesador
(Marca/Moldeo)
Memoria
RAM
1 de 2
Memoria
Cache
Lado B
(Marca/Moldeo)
Velocidad/Capacidad
Nro. Serie
Accesorios y Perifericos
Cantidad Tipo Placa de red, modem, cmara, tarjeta
de acceso, impresora, etc
(Marca/Moldeo)
Velocidad/Capacidad
Nro. Serie
Observaciones
Inicio
Fecha:
Hora:
Caso:
Perito:
Numero de evidencias
Nmero de
Identificacin
Responsable
maneja evidencia
Cdigo
Evidencia
Nombre
Evidencia
Copia de la
Evidencia (S/N)
Donde se mantiene
La original
Numero de componentes
Nmero de
Identificacin
Responsable
maneja evidencia
Cargo
Tipo
del delito
Nombre
Evidencia
Software
empleado
Resultado
(A/N)
Tiempo en
descubrirla
Apndice B
Dibujos Auxiliares para la Investigacin de Informtica Forense
directamente
aplicables al dibujo pericial, pero son de mucha utilidad en el momento de hacer una
representacin grfica y referirse a la misma.
1. Esquicio: se refiere a:
Representacin grfica de una zona pequea del terreno, sin escala, o a escala
aproximada, aclarara un texto y reemplaza una descripcin larga y
complicada.
Todos los datos se anotan en el mismo grfico por ello no lleva referencias.
Registrar la flecha que indica el norte o el punto cardinal hacia el que realiza
el esbozo, permitiendo orientar rpidamente el dibujo.
Se dibuja sin escala, se dibujar una regla horizontal y una vertical indicando
las distancias y alturas relativas (aproximadas).
3. Croquis:
No basta, para que un acta sea invlida, de quien la redacte incurra en faltas de
ortografa o demuestre fallas culturales, ya que ello afecta a la comprensin de lo
sentado en dicho instrumento
Si un formulario no fue firmado por la persona en cuyo poder fueron hallados los
elementos informticos en la escena del crimen la diligencia
es nula, ya que su
Apndice C
Caso Prctico
Caso
Prctico
Inicio
Fecha:
Caso:
Falsificacion de documentos
Alexandra Reiban
Perito Responsable:
0104564892
Damian Lopez
Analisis Forense
0104564422
Antonio Guzman
Analisis Forense
Cargo
Tecnico en escena
de crimen
Examinador de
evidenia informatica
Firma
Nmero de Identificacin
0104564892
Damian Lopez
Cargo
Tecnico en escena
de crimen
Inicio
Lugar:
Fecha y Hora:
Cuenca
Falsificacion de documentos
Caso:
Perito Informatico:
Alexandra Reiban
Cedula de Identidad:
Maria Galarza
Nombre y Apellido:
Ecuador
Ciudad:
Cuenca
Pais:
Azuay
Provincia:
Calle el Comercio 3-22
Direccion:
2862959
Telefono:
-----------------
Fax:
098897695
Celular:
Correo Electronico:
mariagalarza@hotmail.com
14-Febreo-2008 (9:20 AM)
Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Numero de componentes
Componente
computadora
Apagado
USB
Desconectado
Software instalado
Windows XP
-----------
Observaciones
Computadora personal HP
Dispositivo sin Kingstone
Inicio
Jueves 14 de Febrero 2008
Fecha:
12 PM
Hora:
Falsificacion de documentos
Caso:
Alexandra Reiban
Perito:
Numero de evidencias
Nmero de
Identificacin
0104564422
0104564422
Responsable
maneja evidencia
Cdigo
Evidencia
Damian Lopez
CE01
Antonio Guzman
CE02
Nombre
Evidencia
Computadora de mesa
USB
Copia de la
Evidencia (S/N)
Donde se mantiene
La original
NO
Departamento de Delitos
NO
Departamento de Delitos
Plataforma Windows XP
Los archivos pueden ser recuperados segn los formatos que se requieran, as como
documentos de Word, Excel, etc.