Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informatica Forense PDF
Informatica Forense PDF
1 Introduccin
La informtica forense est adquiriendo una gran importancia dentro del rea de la
informacin electrnica, esto debido al aumento del valor de la informacin y/o al uso
que se le da a sta, al desarrollo de nuevos espacios donde es usada (por Ej. el
Internet), y al extenso uso de computadores por parte de las compaas de negocios
tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas
veces la informacin queda almacenada en forma digital. Sin embargo, existe un gran
problema, debido a que los computadores guardan la informacin de informacin
forma tal que no puede ser recolectada o usada como prueba utilizando medios
comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que
surge el estudio de la computacin forense como una ciencia relativamente nueva.
2 Informtica Forense
"High-tech crime is one of the most important priorities of the Department of Justice"
[11]. Con esta frase podemos ver cmo poco a poco los crmenes informticos, su
prevencin, y procesamiento se vuelven cada vez ms importantes. Esto es respaldado
por estudios sobre el nmero de incidentes reportados por las empresas debido a
crmenes relacionados con la informtica (ver [12]).
1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para procesar una
variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de
drogas, evasin de impuestos o pornografa infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio,
pueden ser ayudados por la informtica forense.
3. Investigacin de Seguros: La evidencia encontrada en computadores, puede ayudar
a las compaas de seguros a disminuir los costos de los reclamos por accidentes y
compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos que tratan sobre
acoso sexual, robo, mal uso o apropiacin de informacin confidencial o
propietaria, o an de espionaje industrial.
5. Mantenimiento de la ley: La informtica forense puede ser usada en la bsqueda
inicial de rdenes judiciales, as como en la bsqueda de informacin una vez se
tiene la orden judicial para hacer la bsqueda exhaustiva.
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben
alterar de los originales del disco, porque esto invalidara la evidencia; por esto los
investigadores deben revisar con frecuencia que sus copias sean exactas a las del
disco del sospechoso, para esto se utilizan varias tecnologas, como por ejemplo
checksums o hash MD5. [1]
Estos cuatro fenmenos son explotados por los fabricantes de cabezas grabadoras
magnticas, que leen y escriben datos, para almacenar y recuperar datos en unidades
de disco, de cinta y otros dispositivos de almacenamiento magntico.
Aplicaciones en almacenamiento de datos:
Un reloj de regulacin est sincronizado con la rotacin del disco y existen celdas
de bit para cada tick del reloj; algunas de estas celdas de bits representarn un uno
(una inversin en la direccin magntica, tal como N cambiando a S o S cambiando a
N) y otras representarn ceros (polaridad N constante o S constante). Una vez
escritos, los bits en la superficie del disco quedan magnetizados permanentemente en
una direccin o la otra, hasta que nuevos patrones sean escritos sobre los viejos.
Existe un campo magntico relativamente fuerte directamente sobre la localizacin de
los unos y su fuerza se desvanece rpidamente a medida que la cabeza de grabacin se
aleja. Un movimiento significativo en cualquier direccin que se aleje de un uno
causa una dramtica prdida en la fuerza del campo magntico, lo que implica que
para detectar bits de datos de manera confiable, es extremadamente importante que las
cabezas de lectura vuelen muy cerca de la superficie del disco magnetizado.
Los archivos son creados en varios tamaos dependiendo de lo que contengan. Los
sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan
los archivos en bloques de tamao fijo llamados clusters, en los cuales raramente el
tamao de los archivos coinciden perfectamente con el tamao de uno o muchos
clusters.
El espacio de almacenamiento de datos que existe desde el final del archivo hasta
el final del cluster se llama "file slack". Los tamaos de los clusters varan en
longitud dependiendo del sistema operativo involucrado y, en el caso de Windows
95/98/ME/XP, del tamao de la particin lgica implicada.
Borrar de manera definitiva los datos en un medio magntico tiene toda una
problemtica asociada. Como se vio en una seccin anterior, la informacin es escrita
y leda aprovechando las caractersticas de magnetizacin de un material determinado.
Sin embargo, y dependiendo del medio usado (unidades de disco, cintas, diskettes,
etc.) , el proceso de eliminacin total de los datos se ve afectado por diversos factores.
El Departamento de Defensa de los Estados Unidos (DoD) cuenta con toda una serie
de recomendaciones sobre cmo sanitizar un medio magntico, esto es, el proceso
por el cual la informacin clasificada es removida por completo, en donde ni siquiera
un procedimiento de laboratorio con las tcnicas conocidas a la fecha o un anlisis
pueda recuperar la informacin que antes estaba grabada.[28] Aunque en un
comienzo los procedimientos a seguir pueden parecer algo paranoicos, la (relativa)
facilidad con la que se puede recuperar informacin que se crea borrada hace
necesario tomar medidas extremas a la hora de eliminar datos confidenciales o
comprometedores. En enero de 1995, el DoD public un documento, el National
Industrial Security Program Operating Manual (NISPOM), ms comnmente
referenciado como DoD 5220.22-M [27], que detalla toda una serie de
procedimientos de seguridad industrial, entre ellos, cmo eliminar datos contenidos
en diferentes medios.
DSS, como todas las agencias del DoD, referencia el Information Systems
Security Products and Services Catalog como gua de sanitizacin de memoria
y medios. NSA publica el Information Systems Security Products and Services
Catalog entre sus productos y servicios de seguridad para sistemas de
informacin. La lista de productos degausser (DPL) est dedica a los degaussers
de discos y cintas magnticas. La DPL hace un excelente trabajo identificando los
fabricantes de degaussers y los diferentes tipos de stos.
Los datos de un CD estn almacenados en la parte superior del CD por medio de una
capa reflectiva que es leda por un lser. Los CDs ofrecen buenas alternativas para
almacenar informacin por largos periodos de tiempo, pero puede ser necesario
destruirlos. Se mencionan algunos medios para hacer esto:
2.5.1 Hardware
Se escogi mostrar esta herramienta por tratarse del software lder en el mercado,
el producto ms ampliamente difundido y de mayor uso en el campo del anlisis
forense.
Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto
existen herramientas que monitorean el uso de los computadores para poder recolectar
informacin. Existen algunos programas simples como key loggers o recolectores de
pulsaciones del teclado, que guardan informacin sobre las teclas que son
presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del
computador, o hasta casos donde la mquina es controlada remotamente [15].
4 Conclusiones
Referencias
1. http://www.forensics-intl.com/art12.html
2. http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
3. http://www.ioce.org/ioceprinc.shtml
4. http://www.forensics-intl.com/def6.html
5. http://www.forensics-intl.com/def7.html
6. http://www.forensics-intl.com/def8.html
7. http://www.forensics-intl.com/def3.html
8. http://www.encase.com/html/how_encase_works.html
9. http://www.keylogger.com/
10. http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
11. Janet Reno, U.S. Attorney General, Oct 28, 1996
12. http://www.cert.org/stats/cert_stats.html
13. http://www.softmart.com/connected/Spring2001/forensics.htm
14. http://www.itl.nist.gov/div897/docs/computer_forensics_tools_verification.html
15. http://www.softmart.com/connected/Spring2001/forensics2.htm
16. http://www.softmart.com/connected/Spring2001/forensics.htm
17. http://www.computer-forensics.com/products/welcome.html?peru.html
18. http://www.compukirk.com/kk00010.html
19. http://www.usdoj.gov/criminal/cybercrime/search_docs/sect3.htm
20. http://www.cdrfaq.org/faq07.html#S7-8
21. http://www.itworld.com/Career/1969/ITW0302weinstein/
22. http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm
23. http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-
system_compromise.html
24. http://www.terra.com.co/
25. http://www.khaleejtimes.com/uae.htm#story1
26. http://www.readrite.com/html/magbasic.html
27. http://www.dss.mil/isec/nispom.htm
28. http://www.dss.mil/infoas/magnetic_tape_degaussing.doc
29. http://www.dss.mil/infoas/clearing_and_sanitization_matrix.doc
Apndice A : Matriz de Limpieza y Sanitizacin
1) Todos los mtodos de destruccin deben ser autorizados por el DSS antes de ser usados. Los posibles tipos de destruccin son:
Desintegrar, Incinerar, Pulverizar, Picar o Fundir.
2) NSA ofrece destruir medios AIS (Automated Information Systems) clasificados no relacionados con COMSEC (Communications
Security), del gobierno o de contratantes. Contratantes que no sean del DoD deben obtener una carta de su cliente autorizando a NSA
para destruir su informacin clasificada o haber revisado los contratos de especificacin de clasificacin de seguridad (DD254).
Apndice B : Log de KeyLogger
RI'<RETROCESO><RETROCESO><RETROCES
O><RETROCESO><BLOQ
MAYUS>ri.leo<RETROCESO><RETROCESO><R
ETROCESO><RETROCESO>.<RETROCESO> }