Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEDE CUENCA
DE INGENIERÍA DE SISTEMAS
1
DECLARACIÓN
Firma:
Certifico que el presente trabajo fue desarrollado por María Daniela Álvarez Galarza
y Verónica Alexandra Guamán Reibán, bajo mi supervisión.
Firma:
Director de Tesina
DEDICATORIA
A mi familia por el apoyo y amor permanente que me ofrecen cada instante, a mis
amigas, amigos y compañeros por el apoyo que de una u otra manera me han
brindado. Y de manera especial a una persona quien sin verlo más, ha cultivado en
mi vida y en la vida de mi familia el entender que cada día tenemos una nueva
oportunidad.
Daniela
DEDICATORIA
A lo largo de nuestra vida vamos haciendo cosas que quizás unas son más sencillas
que otras, pero cada una de ellas nos deja una enseñanza y fuera de ser una tarea que
cumplir son oportunidades para aprender y descubrir en los detalles lo que te ayuda
no sólo a la realización profesional sino a una realización personal.
Verónica
AGRADECIMIENTO
A los profesores por las enseñanzas compartidas, que nos han ayudado a
desenvolvernos en el desarrollo del trabajo de grado, que aunque a veces creíamos
que ciertas cosas no nos servirían, hoy podemos decir que todo cuanto se aprende en
una aula resulta muy acertado en el momento que nos toca actuar.
A la Policía Nacional del Ecuador y de manera especial al Teniente Pablo Inga por su
apertura, colaboración e interés prestado para que se desarrolle de la mejor manera el
trabajo.
Al Ing. Vladimir Robles, por ser un tutor con paciencia y por saber orientarnos.
Y sobre todo gracias a Dios por ser nuestra guía, a nuestros padres por su
preocupación y apoyo.
INDICE DE CONTENIDOS
CAPÍTULO 1
CAPÍTULO 2
4.4 Guía Informática Forense Aplicada para la Policía Nacional .…… Pág.71
CAPÍTULO 5
Glosario
Apéndices
FIGURAS:
TABLAS
1.1 Introducción
1.2.1 Definición
1
LÓPEZ DELGADO Miguel, Análisis Forense Digital, Junio del 2007, CRIPORED Op. Cit
1.3 Computación Anti Forense
Características
2
DELGADO BELTRÁN Carlos “Análisis Anti-Forense ”, Enero 2008 . Idem 3
15
Positivos
Negativos
Clasificación
Clasificación
Métodos anti-forenses
17
Estenografía: Luego de la encripción de datos, los mismos se almacenan bajo la
apariencia de otros archivos. Estos archivos contienen los datos ocultos y se los
denominan archivos portadores.
Esconder mensajes: el arte de esconder mensajes, es de tal forma que las personas
no pueden percibir que eso sucede, por ejemplo la técnica más usada es en imágenes
y archivos de audio, mediante la adición de bits insignificativos, esta técnica es
posible debido a la incapacidad que tienen los seres humanos de percibir variaciones
de sonido y calidad de imagen.
Los delitos informáticos, son aquellos actos delictivos que en su realización hacen
uso de las tecnologías electrónicas ya sea como método, medio o fin y los delitos en
que se daña estos equipos, redes informáticas, o la información contenida en ellos,
3
vulnerando bienes jurídicos protegidos.
3
HUILCAPI PEÑAFIEL Arturo Oswaldo, CETID Opc.Cit
18
Los tipos de Delitos son:
Manipulación de computadoras:
Falsificaciones informáticas:
Fraudes en Internet:
Seguridad Lógica:
Accesos no autorizados:
Otros delitos:
4
CASEY, E. Digital Evidence and Computer Crime. Academic Press, 2000. Op.Cit.
Regla 1: Minimizar el Manejo del Original
Durante el examen forense este punto puede parecer insignificante, pero se vuelve un
problema crítico cuando el examinador está presentando sus resultados en un juicio.
Aunque la evidencia puede ser legítima, las preguntas acerca de las habilidades del
examinador y conocimiento pueden afectar su credibilidad, así como la confiabilidad
del proceso empleado. Con una duda razonable, los resultados del proceso forense,
en el peor de los casos, se consideraran inaceptables. Aunque la necesidad de alterar
los datos ocurre pocas veces, hay casos dónde al examinador se le exige el cambio
para facilitar el proceso del examen forense.
22
Presentar la información de una manera que sea tan representativa del
original como sea posible. Es decir, el método de presentación no debe alterar
el significado de la evidencia.
5
Dr. ACURIO DEL PINO Santiago, Introducción a la Informática Forense
Dr. BERNAL Geovanny , Informática Jurídica, Enero 2008.
24
emitidos de conformidad con esta Ley, cualquiera sea su procedencia o generación,
serán considerados medios de prueba, con una valoración bajo los principios
determinados en la Ley y tomando en cuenta la seguridad y fiabilidad de los medios
con los cuales se la envió, recibió, verificó, almacenó o comprobó si fuese el caso,
sin perjuicio de que dicha valoración se efectúe con el empleo de otros métodos que
aconsejen la técnica y la tecnología. La valoración de la prueba se someterá al libre
criterio judicial, según las circunstancias en que hayan sido producidos. El juez o
árbitro competente que conozca el caso deberá designar los peritos que considere
necesarios para el análisis y estudio técnico y tecnológico de las pruebas presentadas.
Las Reformas al Código Penal de las Infracciones Informáticas incluyen los ataques
que se producen contra el derecho a la intimidad, a la obtención y utilización no
autorizada de información, sabotajes informáticos, falsificación electrónica, daños
informáticos, apropiación ilícita.
Para luchar contra la Delincuencia Informática no sólo es necesario contar con leyes
e instrumentos eficaces sino también con la infraestructura tanto técnica como con el
recurso humano calificado para hacerle frente a este tipo de delitos cada vez más
crecientes. En cumplimiento con el mandato constitucional el Ministerio Público
tiene la obligación Jurídica de poseer un cuerpo especializado para combatir esta tipo
de criminalidad a fin de precautelar los derechos de las víctimas y llevar a los
responsables a juicio. Es preciso desarrollarse en las investigaciones tanto policiales
como del Ministerio Público especializadas en abordar cuestiones de la delincuencia
informática e informática forense.
6
Ing. ARIAS MIÑO Gonzalo Mayor de Policía. Op.Cit
CAPÍTULO 2
2.1 Antecedentes
Los pasos que hoy en día se dan en el campo de la tecnología son vertiginosas,
computadoras, celulares, Internet, automatización de tareas mediante la
implementación de programas, telecomunicaciones, etc., han llegado a ser parte de la
vida del ser humano, no solo en el ámbito laboral sino también personal debido a la
información sobre la identidad de cada persona, almacenada en las diversas Bases de
Datos, de igual manera las transacciones de compra, venta, pagos, depósitos, etc., se
lo realiza a través de Internet. Todo este flujo de información es trasmitida a través la
red de redes (Internet).
Lo que engloba esta era tecnológica trae interrogantes como, ¿Qué tan protegida está
la información?, de ¿Cómo se puede reaccionar a ataques contra la integridad del
individuo o de las empresas?, ¿De que si las leyes y medios existentes en nuestro
país pueden descubrir cómo, quién cometió el delito y que sentencia recibirá?.
Policía Judicial
Tránsito
Migración
Criminalística
o Investigaciones
Antinarcóticos
Departamento Nacional de Comunicaciones.
Cada área posee determinadas funciones cumplen con el objetivo de proteger y velar
por el bienestar de la ciudadanía.
28
Las investigaciones que se realizan sobre los crímenes o delitos (dependiendo del
tipo) requieren de la presencia e interacción de todos los departamentos de la Policía
Nacional.
Recursos Humanos
Salud
Educación
Inspectoría
Inteligencia
Operaciones
Gerencial
Documental
El objetivo de este desarrollo es lograr que la Policía cuente con una base de datos
integral y única basada en la información del personal policial, vehículos, objetos,
casos e incidentes.
Sistema AFIS
Registro Civil: Convenio para validar y cotejar la información, para que los
documentos que emite la Policía Nacional, como licencias, matrículas, datos de
filiación, certificaciones de censos, requisitos de admisión a las filas policiales,
certificados de antecedentes personales, etc., sean verdaderas y confiables.
Servicio de Rentas Internas: Con las entidades bancarias no existe relación ya que
toda la información del pago de especies se realiza a través del sistema bancario, los
cuales directamente transfieren al Servicio de Rentas Internas y este a su vez
7
transfiere a la Policía Nacional.
7
Agencia de Noticias de la Policía del Ecuador - www.policiales.coberturadigital.com
CAPÍTULO 3
Presentación de
Analizar las evidencia
evidencias
Preservar las - Dar un informa
evidencias - Propósito: dar claro, conciso,
respuestas a las estructurada y sin
- Fase crítica preguntas. ambigüedad de las
- Preservar de forma ¿Quién, que cuando evidencias.
que no exista duda y como? - No se debe usar un
Identificar de la evidencia - Analizar lenguaje muy técnico
evidencia -Creación de requerimientos del - Deberá contener
imágenes a nivel de cliente. Búsqueda de las evidencias
bit las evidencias encontradas de
- Según prioridad - Generar checksum acorde al caso. acuerdo al caso
-Conservación inicial de original y copias
8
Figura 3.1 Metodología del Análisis Forense
Para llevar a cabo una investigación forense es adecuado conocer ciertos aspectos
tales como:
Conocer las condiciones bajo las cuales, la evidencia será considerada como :
o Admisible
o Autentica
8
Equipo de Investigación de Incidentes y Delitos Informáticos. WWW.EIIDI.COM
o Completa
o Confiable
o Creíble
– Análisis.
– Almacenamiento.
– Preservación.
– Transporte.
– Presentación en el juzgado.
– Retorno a su dueño.
En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias,
ya que muchas veces la información que directa o indirectamente se relaciona con
esta conducta criminal queda almacenada de forma digital dentro de estos Sistemas
Informáticos.
10
Clasificación de la Evidencia Digital
1) Evidencia
Física
- Soportes de Almacenamiento
CPU
Diskettes
CD-ROMs, DVD
Cintas magnéticas, etc.
- Dispositivos electrónicos
Teléfonos celulares
11
- Dispositivos de comunicaciones de red
Routers
Switch’s
Hub’s
11
Switch: dispositivo electrónico de interconexión de redes de ordenadores que opera en la capa 2
(nivel de enlace de datos) del modelo OSI.
Hub: o concentrador es un equipo de redes que permite conectar entre sí otros equipos y retransmite
los paquetes que recibe desde cualquiera de ellos a todos.
38
Registros de aplicación: son aquellos registros a los que cada aplicación
almacena sobre el acceso de los usuarios, errores ocurridos e información
sobre las actividades de cada usuario en la aplicación.
12
Identificación de la Evidencia
Con la finalidad de determinar donde debe ser ubicada y como debe ser usada la
evidencia, se definen categorías para distinguir entre un sistema informático
o
12
Dr. ACURIO DEL PINO, Introducción a la Informática Forense Santiago. Op. Cit.p 13
hardware (evidencia electrónica) y la información contenida en este (evidencia
digital).
(elementos físicos)
SISTEMA INFORMÁTICO
41
de todas las entradas que se encuentran en este (ficheros,
directorios, links, etc.).
a nivel de su contenido.
Opciones de Búsqueda
Una vez que ya se realizaron las tareas anteriores se deberá definir el estado del
sistema y del atacante:
Otro de los tantos problemas que posee un investigador forense, es buscar evidencia
volátil, es decir evidencia que se encuentre alojada temporalmente en la memoria
RAM o en el CACHE, son evidencias que se pierden cuando se apaga el
computador, por ello, este tipo de información debe ser recuperada de forma
inmediata.
es importante que cualquier examen que se lleve a cabo no genere cambios, en caso
15 Criptografía: es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan
posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a
quienes van dirigidos.
La fase de preservación interviene a lo largo de todo el proceso de investigación
Las tareas que se deben seguir para preservar la evidencia digital son:
de la misma.
Función hash: es una herramienta fundamental en la cripotografía, son usadas principalmente para
resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su
origen, es también ampliamente usada para la firma digital, ya que los documentos a firmar son en
general demasiado grandes, la función hash les asocia una cadena de longitud 160 bits que los hace
más manejables para el propósito de firma digital.
Otro aspecto que se debe tomar en cuenta es la cadena de custodia, donde se
establecen las responsabilidades y controles de cada una de las personas que
manipulen la evidencia, se deberá registrar los datos personales de todos los
implicados en el proceso de manipulación de las copias:
Este análisis se dará por concluido cuando se conozca cómo se produjo el ataque,
quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el
objetivo del ataque, qué daños causaron, etc.
g) Conexión a Internet.
h) Configuración.
16
IDS: las funciones que cumple el IDS son: Monitorea las actividades a nivel de usuario o procesos y
actividades de un sistema (HIDS), o las actividades de una red (NIDS), Cifrado de datos, hace un
diagnostico completo del ataque y en algunos casos puede dar recomendaciones de cómo controlar el
ataque.
49
En las estaciones se deberá operar de la siguiente manera:
Una vez establecida la estación de trabajo, el primer paso es crear una línea temporal
de sucesos o timeline, para ello se deberá recopilar la siguiente información sobre los
ficheros:
Esta información es la que más tiempo lleva recopilar pero es el punto de partida
para el análisis. Es importante preparar un script con la finalidad de automatizar el
proceso de creación del timeline.
17 Máquinas virtuales: varios equipos lógicos independientes funcionando sobre un equipo físico. El
software que se puede emplear para la creación de plataforma es VMware.
- Ordenar los archivos por sus fechas MAC, esto se debe realizar debido a
que los archivos tendrán la fecha de instalación del sistema operativo, por
lo que un sistema que se instaló hace meses y que fue comprometido
recientemente presentará en los ficheros nuevas fechas MAC muy
distintas a las de los ficheros más antiguos.
- Buscar ficheros y directorios que han sido creados, modificados o
borrados recientemente.
- Buscar instalaciones de programas posteriores a la del sistema operativo y
que además se encuentren en rutas poco comunes.
- Buscar en lugares donde no se suele mirar, por ejemplo en los directorios
temporales.
- Buscar los archivos de sistema modificados tras la instalación del sistema
operativo, averiguar archivos ocultos donde se encuentran y que tipo son.
- Buscar archivos borrados, ya que pueden ser restos de logs y registros
borrados por sus atacantes.
- En las imágenes realizadas a los discos duros se puede acceder al espacio
residual que hay detrás de cada archivo ya que los mismos suelen
almacenarse por bloques, de tal manera que se pueda leer zonas que el
sistema operativo no ve.
- Recuperar archivos borrados, al momento de hacerlo, se deberá intentar
recuperar su contenido y fecha de borrado.
- Examinar y las horas de manera más detallada de los ficheros logs y
registros que ya se revisaron con la finalidad de encontrar una correlación
entre eventos.
- Revisar el archivo de contraseñas, buscar la creación de usuarios y
cuentas extrañas relacionar la hora de la creación de estas cuentas en caso
de que existan con la hora en la que se inició el ataque al sistema.
51
vulnerabilidad o fallo de administración causó el agujero de seguridad y que
herramientas utilizó el atacante para aprovecharse de tal brecha. Para ello se deberá:
Una vez que se determinó como se infiltraron al sistema, ahora se tiene que saber
quién o quienes lo hicieron, para ello se deberá consultar nuevamente algunas
evidencias volátiles que fueron recopiladas en la primera fase:
18 Exploit: es un programa informático malicioso, o parte del programa, que trata de forzar alguna
deficiencia o vulnerabilidad de otro programa (llamadas bugs). Un "exploit" es usado normalmente
para explotar una vulnerabilidad en un sistema y acceder a él, lo que es llamado como "rootear" tener
privilegios de root (administrador). Se pueden encontrar exploits en www.paketstormsecurity.org
- Revisar las conexiones que se encontraban abiertas, que puertos y que
direcciones IP las solicitaron, a más de ello se deberá buscar entre las
entradas a los logs de conexiones.
- Indagar entre los archivos borrados que se han recuperado.
Para Identificar a los atacantes se debe realizar algunas averiguaciones como parte
del proceso de identificación:
53
o Hackers: personas con conocimientos en técnicas de
programación, redes, Internet y sistemas operativos, sus
ataques son en sentido ideológico y pacifista.
El análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los
atacantes una vez que accedieron al sistema. Esto permitirá evaluar el ataque
cometido a los equipos y realizar una estimación del impacto causado. Generalmente
se pueden dar dos tipos de ataques:
Se deberá tener en cuenta los efectos y el impacto que cause el ataque a sistemas,
servidores de Bases de Datos, servidores WEB, cortafuegos, router con la finalidad
de ser un aporte, presentando los daños encontrados, al personal de seguridad
informática de la institución atacada o en último de los casos a la compañía de
seguros de la misma.
20
3.4 Presentación de Evidencia Digital
20
LÓPEZ DELGADO Miguel, Análisis Forense Digital. Op. Cit. p 2
AMAYA, Ricardo León, Informática Forense: Generalidades, aspectos técnicos y herramientas.
3.4.2 Informe Técnico
Este informe consiste en una exposición detallada del análisis efectuado. Deberá
describir en profundidad la metodología, técnicas y hallazgos del equipo forense.
Deberá contener, al menos, los siguientes puntos:
Huellas de la intrusión.
Herramientas usadas por el atacante.
Alcance que ha tenido el delito.
El origen del ataque
- Motivos de la intrusión.
- Desarrollo de la intrusión.
- Resultados del análisis.
- Recomendaciones.
57
CAPÍTULO 4
estériles
Mantener la integridad del medio original
Por tanto por el amplio alcance de la informática forense, están involucradas varias
ciencias y disciplinas como ingeniería electrónica, criptografía, ingeniería de
software, comunicaciones, derecho, son áreas que en conjunto hacen posible el
análisis de los soportes de almacenamiento y dispositivos electrónicos.
Los componentes principales que debe cumplir una metodología para un análisis
forense es:
Marco Informático específico: en relación con las herramientas propias del análisis
forense informático, deben ser abordadas desde las características más adecuadas que
vayan con la realidad de nuestra sociedad, ya sean ambientes de software libre o
software propietario.
Marco Legal: Implica la inserción legal del accionar pericial al concurrir al lugar del
hecho, los cumplimientos de los plazos legales, la condición de testigo experto, los
artículos de las leyes vigentes en nuestro país.
Científicamente fundamentado
Criminalísticamente interrelacionado
Modelado mediante técnicas propias del Análisis de Sistemas.
Investigado con las mejores herramientas disponibles.
Inserto en el marco legal correspondiente.
Metodología Sistémica
Método Cuadrícula:
Las fracciones serán divididas en base a las distancias que se encuentran los
elementos, así como también las dimensiones del lugar; las cuales deben ser
calculadas con exactitud (no a simple vista o mediante pasos).
El secuestro de equipos tiene carácter procesal y sirve para que el Juez asegure
las pruebas y se de veracidad en los resultados del juicio.
Para el secuestro de equipos se debe identificar cada uno de los dispositivos
computacionales, siempre es preferible secuestrar dispositivos informáticos que
almacenan grandes volúmenes (computadoras, notebooks, discos rígidos
externos) también puede secuestrarse DVD, CDs, discos Zip,etc. y entornos de
red.
Para que una investigación sea efectiva es esencial saber concretamente que se va
a incautar para proceder a embalar y transportar correctamente los medios
computacionales, la información de los equipos debe ser levantada de la manera
más cautelosa, posterior a esto se da paso a la cadena de custodia, la cual tiene
como objetivo garantizar la integridad de los datos en los medios de
almacenamiento originales durante toda la investigación y de esta manera asegurar
la admisibilidad de las pruebas. Durante el proceso de captura, se realizará la
copia exacta bit a bit, desde ese momento se trabajará únicamente sobre la imagen
forense.
Se debe considerar la custodia, ya que muchas veces existen individuos que operan
equipos que han sido secuestrados, destruyendo así la evidencia y si no son
correctamente vigilados serán fácilmente comprometidos.
Generalmente la escena del crimen es el disco duro, por lo que hay que evitar
cualquier situación que pueda alterarlo y se pierdan pistas importantes de la
intrusión, es necesario tomar notas de lo que se hace con el disco duro y a qué hora,
Este análisis no sólo busca archivos incriminatorios, sino también otra información
valiosa como passwords, logins y rastros de actividad en Internet, etc.
En el momento que se trabaja con el medio original se tendrá que estar acompañado
del delegado a constatar los efectos legales.
Las copias deben ser realizadas bit a bit (imágenes del disco). La investigación se
hará sobre la copia y no sobre el original. Es recomendable hacer tres copias del
disco duro original y hacer una verificación criptográfica, un checksum. También
realizar dumps de memoria y almacenarlos al igual que los discos.
Figura 4.1 Copia de Disco Duro
Se puede basar en los cookies y en los archivos temporales de Internet para intentar
determinar sus hábitos de navegación.
Para poder deducir las aplicaciones instaladas o utilizadas se debe analizar los
archivos temporales que se generaron.
Existen diversas metodologías y una gran cantidad de herramientas que pueden ser
ejecutadas bajo la los diferentes sistemas operativos para poder realizar una
investigación correcta, contando que se debe analizar la variedad de formatos de
archivos, los cuales pueden variar significativamente aún dentro del contexto de un
sistema operativo.
Para consultar los archivos de registro del sistema y logs en busca de entradas y
avisos sobre fallas de instalación, accesos no autorizados, conexiones erróneas o
fallidas, etc., depende de la plataforma para la ubicación de estos archivos.
68
estas claves se encuentran los programas, servicios y aplicaciones que se cargan al
inicio del sistema, y es donde se puede ver algo sospechoso.
Los archivos son creados en varios tamaños dependiendo de lo que contengan. Los
clústers son bloques de tamaño fijo donde los sistemas DOS, Windows
95/98/ME/XP/VISTA y Windows NT almacenan los archivos, no es común que el
tamaño de los archivos coincida totalmente con el tamaño de uno o varios clusters.
El tamaño de los clústers varía por su longitud, esto depende del sistema operativo.
En Windows 95/98/ME/XP depende del tamaño de la partición lógica involucrada.
70
Bajo el directorio /var se encuentran los propios archivos de registro de los
programas y aplicaciones. Se encuentran en modo texto y se podrá buscar indicios
del ataque mediante un editor o visor de texto.
En la entrada cuarta y quinta del archivo se puede notar una modificación ya que se
ve un salto en la secuencia de fechas, tiene dos entradas con fecha del 22 de enero
tras dos entradas con fecha del 23 de enero.
Aunque estos detalles no son determinantes, si pueden ser indicios que indiquen que
los sistemas estaban siendo causa de un trasteo.
Los archivos de claves, usuarios y grupos también pueden ayudar para la búsqueda
de evidencias, se pueden encontrar en / etc/ passwd, / etc/ shadow.
Además de estos archivos de registro, también pueden contener indicios los archivos
de claves, usuarios y grupos, los cuales se pueden encontrar en el directorio:
/etc/passwd, /etc/shadow,/etc/group.
Al editar el archivo /root/ .bash_history se puede obtener los comandos ejecutados
por el usuario root.
Para iniciar el análisis forense en una Bases de Datos, primero es necesarios conocer
el diccionario de datos de la misma, ya que este posee tablas con información
importante de la Base de Datos tal como:
Los primeros archivos que se deben verificar y estudiar su estado después del ataque
en la capa física de la Base de Datos son:
Los primeros archivos que se deben revisar son los control files, ya que estos
archivos contienen información de la ubicación de los datafiles y redo log
En la Capa física se encuentran los datafiles, estos almacenan toda la
información almacenada en la BD, por ello después de comprobar el estado
de los control files se deberá analizar en la BD el estado de los datafiles, ya
que muchos objetos (tablas, índices) pueden compartir varios datafiles, y la
evidencia puede encontrases entre esas tablas.
Las tablas existentes, si se borro o modifico alguna tabla y que usuraos tienen
acceso a ellas, de tal manera que si un usuario que solo tiene acceso al
departamento financiero y este puede ingresar a información del
departamento de auditoría, entonces ya existe una anomalía.
La primera opción de mantenerlo encendido y con una bolsa aislante se consigue que
el dispositivo deje de estar conectado a la red. Pero estos dispositivos al no encontrar
portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia
con la que intenta buscar red, por lo tanto la vida de la batería se acorta.
Se puede optar por varias salidas, ya que existen casos que en que utilizar fuentes de
alimentación portátil al ser almacenadas con el dispositivo en la bolsa aislante resulta
efectivo para reducir el consumo de la batería.
Una ayuda para ésta área serían los mapas de localización del móvil durante su uso
en relación al posible hecho delictivo.
Se puede tener el caso de móviles en mal estado, los cuales deben someterse a un
proceso de reparación y ensamblaje de componentes para ponerlo en funcionamiento
y mediante software especializado obtener los datos almacenados en la memoria
interna.
Para la investigación forense es muy importante el análisis del teléfono móvil ya que
se ha convertido en un aparato tan usado como las computadoras, ya que
actualmente muchos de estos celulares ya tienen las funciones principales de un
computador.
Los teléfonos móviles, las agendas electrónicas, etc., guardan y procesan cantidades
significativas de datos. El examinar estos dispositivos muchas veces conduce a
investigaciones relacionadas con la droga ya que generalmente los narcotraficantes
sospechosos se han acostumbrado a usar estos dispositivos para guardar los nombres
del contacto y números de clientes. Las agendas electrónicas permiten el
almacenamiento de cantidades grandes de datos que pueden protegerse por medio de
una contraseña.
-Fecha y hora
-Procesos activos.
-Conexiones de red.
Las metodologías usadas por parte de los Peritos Informáticos Forenses dependen de
la estrategia del Profesional, de lo que está permitido hacer hasta los límites que
impone la Ley de cada País y de los medios que tiene para realizar la investigación
forense. Para seguir una correcta metodología se recomienda seguir los lineamientos
de la IOCE y del RFC 3227.
El objetivo es seguir un orden adecuado para intervenir ante un delito y análisis del
mismo en base al tipo de evidencia digital encontrada.
1. Requisitoria Pericial
La requisitoria pericial proviene del Fiscal del Ministerio Público, la Policía Judicial
designa un agente para el caso quien informa al Jefe de la Policía Judicial y
posteriormente se presenta al Agente Fiscal las pruebas reunidas para que el Juez
dictamine la detención al individuo involucrado en el caso.
2. Entrevista aclaratoria
Para la obtención de una prueba digital, el principal punto de acción es en el
momento de la inspección ocular en el incidente, sin embargo para alcanzar los
resultados pretendidos es necesario realizar una planificación previa adecuada.
3. Inspección Ocular
Paso 1.
[Todo sirve, nada debe descartarse, aun cuando se crea que no tiene relación con el
hecho ocurrido].
SITUACIONES POSIBLES
IV. Al acudir al lugar se debe hacer con los elementos necesarios para realizar las
tareas
V. El perito debe actuar en el lugar realizando copias de la información, no
puede retirar los elementos porque tienen que estar en cadena de custodia
y con autorización se pueden retirar.
Incautación de equipos
entrar sin previo aviso, utilizando seguridad y evitando destruir o alterar los
equipos.
Materiales (cadena de custodia)
o Embalajes de papel
o Sobres de papel
o Sobres de Manila
o Cajas de cartón
o Bolsas especiales antiestáticas para almacenar dispositivos de
almacenamiento informático que sean electromagnéticos
o Etiquetas
o Discos y diskettes vacíos
o Cámara fotográfica
Los objetos deberán ser tomados con guantes ya que se podría alterar la evidencia
digital o las huellas dactilares que se encuentren en los mismos.
simultánea, ya que los datos pueden estar en más de una lugar en caso de
sistemas de red o conexiones remotas.
85
Asignar un profesional forense o perito informático [Características Perito
Llenar los formularios asignados en cada paso del desarrollo del proceso
forense.
dependiendo del caso, el o los mismos deberán poseer los roles mencionados
[Cap.5 - 5.3.1 First Responde], a mas de llenar el [Formulario Registro del
Equipo Designado en la Cadena de Custodia – Apéndice A].
electromagnéticas.
Cuando las diligencias son realizadas en momentos que no son visibles, para
presente.
Iniciar con el proceso forense:
Fotografiar los equipos y su entorno.
hayan llegado en primer término, debido a que las mismas podrán dar
testimonio de cómo se encontraron los cambios sufridos. [Formulario de
Control ante respuestas al Incidente – Apéndice A].
1) Evidencia Física
Soportes de Almacenamiento
- CPU,
- Diskettes,
- CD, DVD,
- Cintas magnéticas.
- Discos Duros. [Formulario de Control de Análisis de Disco Duros
Ubicado en – Apéndice A ]
Dispositivos Electrónicos
Teléfonos celulares,
Agendas,
Organizadores electrónicos.
- Router’s,
- Switch’s,
- Hub’s.
2) Evidencia Lógica:
de evidencia digital).
en que se guarda.
o borrados recientemente.
archivos.
91
Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas, se debe
tomar en cuenta los puertos por encima del 1024 (fport, lsoft).
no habituales.
funcionalidad del equipo atacado, ya que este puede ser un servidor y dentro
del mismo puede encontrarse una Base de Datos, para la cual se deberán
seguir las metodologías planteadas en [Cap. 4 - 4.3.4] y de esta manera
obtener mayor evidencia y claridad durante el proceso forense.
o Estructura física.
o Estructura lógica.
Para que una guía pueda ser llevada de la mejor manera se requiere de soporte a
todos los involucrados en el proceso.
CAPÍTULO 5
4) Herramientas de Hardware.
21
LÓPEZ Óscar, INFORMÁTICA FORENSE: GENERALIDADES, ASPECTOS TÉCNICOS Y
HERRAMIENTAS.
95
La gran cantidad de datos que pueden estar almacenados en un computador.
La variedad de formatos de archivos, los cuales pueden variar enormemente,
aún
dentro del contexto de un mismo sistema operativo.
La necesidad de recopilar la información de una manera exacta, y que permita
verificar que la copia es exacta.
Limitaciones de tiempo para analizar toda la información.
Facilidad para borrar archivos de computadores.
Mecanismos de encripción, o de contraseñas.
Algunas veces se necesita información sobre el uso de los computadores, por lo tanto
existen herramientas que monitorean el uso de las mismas, para poder recolectar
información. Existen algunos programas simples como key loggers o recolectores de
pulsaciones del teclado, que guardan información sobre las teclas que son
presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del
computador, o hasta casos donde la máquina es controlada remotamente.
4) Herramientas de Hardware
Debido a que el proceso de recolección de evidencia debe ser preciso y no debe
modificar la información se han diseñado varias herramientas para ello.
Las herramientas que se presentan serán evaluadas según los siguientes factores:
Software libre.
Rendimiento y desempeño. Por medio de una evaluación = alta, media, baja.
Costos.
Confiabilidad ante la recuperación de evidencias.
Así, según la realidad del Departamento y las leyes vigentes en el país en base a la
guía que se ha planteado para la Policía Nacional, se presenta mediante un cuadro
comparativo y evaluado, las herramientas que poseen más cualidades que otras y son
más recomendables.
97
Informática Forense
.- Esta colección de programas sirve para realizar una 'autopsia' sobre sistemas UNIX después
de que han 'muerto' completamente.
98
.- Es una interfaz grafica que trabaja en conjunto con la herramienta the sleuth kit utilizada
para el análisis forense.
.- Permite el acceso a estructuras de archivos y directorios de bajo nivel y eliminados Unix/Linux, Windows Alto
The Sleuth Kit y Libre .- Genera la línea temporal de actividad de los archivos (timestamp).
Autopsy .-Permite buscar datos dentro de las imágenes por palabras clave,
.-Permite crear notas del investigador e incluso genera informes y muchas tareas.
.-Es una colección de herramientas.
.- Utiliza interfaz grafica que facilita notablemente el trabajo.
.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo
(Windows/Linux) Descargas: http://www.sleuthkit.org/autopsy/download.php
Mac-robber Libre .- Los datos obtenidos pueden ser utilizados por la herramienta mactime, contenida en Linux Bajo
el
Sleuth Kit, para elaborar una línea temporal de actividad de los ficheros.
.- Requiere que el sistema de ficheros esté montado por el sistema operativo, a diferencia de
otras herramientas como el Sleuth Kit que procesan el sistema de ficheros ellos mismos.
.- Modificará los tiempos de acceso a directorios que están montados con permisos de
escritura.
-Pasco: Herramienta para analizar la actividad realizada con el navegador web Internet
Explorer de MS .
-Vision: Lista todas los puertos TCP y UDP en escucha (abiertos) y los mapea a las
Foundstone Comercial aplicaciones o procesos que se encuentran detrás. Windows Alto
Forensic Toolkit
-Forensic Toolkit: Es una suite de herramientas para el análisis de las propiedades de ficheros
Examina los ficheros de un disco en busca de actividad no autorizada y los lista por su última
fecha de acceso, permitiendo realizar búsquedas en franjas horarias, búsqueda de archivos
eliminados, etc. (open source)
Descarga: www.foundstone.com
.- Live CD.
.- Posee una variedad de herramientas para realizar un análisis forense tanto a equipos como
imágenes de discos.
.-No realiza el montaje de particiones swap, ninguna otra operación sobre el disco duro
del equipo sobre el que se arranque.
Helix/FIRE Libre Windows, Solaris, Linux Alto y
.- Es muy bueno para el análisis de equipos muertos, sin que se modifiquen las
recomendable
evidencias pues montará los discos que encuentre en el sistema en modo sólo lectura.
.- Su documentación no es amplia.
.- HELIX está pensado específicamente para no realizar ningún tipo de alteración sobre
los sistemas en los que se usa.
.- Tiene una configuración autorun para Windows con herramientas para este
SO. Descarga: http://www.e-fense.com/helix/
.- Es una distribución de un único cdrom, portable y bootable Live CD. Provee herramientas
adecuadas para una actuación rápida en casos de análisis forense.
F.I.R.E (Forensic .- No realiza ninguna modificación sobre los equipos en los que se ejecute, por lo que puede Windows, Solaris y Alto y
and Incident ser utilizado con seguridad Freeware recomendable
Response Libre
Environment) .- Recupera datos de particiones dañadas.
.- F.I.R.E posee las siguientes herramientas:
Nessus, nmap, whisker, hping2, hunt, fragrouter.
Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort.
Chkrootkit, F-Port
TCT, Autopsy.
Testdisk, fdisk, gpart.
SSH (cliente y servidor), VNC (cliente y servidor)
Mozilla, ircII, mc, Perl, biew, fenris, pgp.
Todos estos programas serán comentados brevemente, en el glosario.
Descarga: http://fire.dmzs.com/?section=main o
http://biatchux.dmzs.com.
.- Es una de las más conocidas y apreciadas distribuciones GNU/Linux
BackTrack Libre .- Posee 300 herramientas de todo tipo (sniffers, exploits, auditoría wireless, análisis GNU/Linux Alto y
forense, etc) perfectamente organizadas. recomendable
.- La versión 2 (recién publicada) utiliza un kernel 2.6.20 con varios parches e incluye
soporte para tarjetas inalámbricas.
.- Los programas que trae este software ya vienen todos configurados y listos para
ser usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.
FLAG (Forensic Libre .- Está basado en web, por lo que puede instalarse en un servidor donde se centralice toda la
and Log Analysis proyecto información de los análisis, de forma que puede ser consultada por todo el equipo forense.
GUI) abierto al Linux Bajo
publico .- pyFlag es la implementación (empleada actualmente) en Python. Es una
revisión/reescritura completa de FLAG, más potente, versátil y robusta.
.- Permite a los usuarios recuperar los archivos que hayan sido borrados de unidades de disco
E-ROL Libre duro, unidades ZIP y disquetes, en todos los sistemas operativos de la familia Microsoft Windows Bajo
Windows.
.- Repara Archivos extrae las informaciones contenidas en el y crea un nuevo archivo sin
errores.
.- Basado en Linux.
.- Recupera datos corruptos en disquetes, CD, dispositivos usb o el propio disco local.
.-Recuperar todo tipo de archivos, como por ejemplo documentos, imágenes, aplicaciones,
etc.
Bad copy Comercial Win95/98/NT/ME/2000/ Medio
XP
.-Utiliza un sistema inteligente de recuperación de datos y disco, para el contenido de ficheros
$50
originales; puede leer el contenido de archivos corruptos y en la mayoría de los casos
recuperarlos, en todo o en parte, en el directorio que se especifique.
Comercial .- Los formatos de archivos con extensión .cda contenidos en CD para equipos de música no
son bien reconocidos por EnCase.
Encase Sector Windows Medio
privado .- Muy usada en EEUU por el FBI.
$ 2495 .- No es multiplataforma.
.- Encase posee una variedad de funciones que se requiere de otro documento para explicar
cada una de ellas.
http://guidancesoftware.com
Mediante el cuadro anterior las herramientas que son claramente más recomendables
y utilizadas; en el toolkit para el Departamento de Delitos Informáticos en la Policía
Nacional son:
106
La siguiente herramienta es E-ROL se le considera con una evaluación baja
debido a que carece de las funciones que poseen las herramientas antes
mencionadas, pero puede ser de utilidad, al enfrentarse con entornos
Windows para tomar indicios del ataque.
Uno de los elementos más importantes que un informático forense debe emplear al
momento de recaudar evidencia digital, son los conocidos Live CD’s o DVD’s, que
son una colección de herramientas, que permiten realizar un examen forense de
imágenes sin tener que dedicar un equipo específico para ello y sin necesidad de
cargar otro sistema operativo. Entre los más recomendables ellos tenemos:
Clasificación
TCT (Linux).
Forensic Toolkit (Windows).
The Sleuth Kit y Autopsy (Unix/Linux, Windows).
BackTrack ( Linux).
E-ROL (Windows).
Helix (Windows, Solaris, Linux).
F.I.R.E (Windows, Solaris y Freeware).
Herramientas para el Monitoreo y/o Control de Computadores.
Honeypot
KeyLogger
Es una herramienta que puede ser útil cuando se quiere comprobar actividad
sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario
teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.
Existen dos versiones: la registrada y la de demostración. La principal diferencia es
que en la versión registrada se permite correr el programa en modo escondido. Esto
significa que el usuario de la máquina no notará que sus acciones están siendo
registradas.
5.2.2 Entornos de Trabajo Forense sobre computación virtual para la Policía Nacional
Los beneficios de la virtualización pueden ser apreciados sobre tres aspectos de alto
impacto para la administración de sistemas:
Peritos son las personas que por disposición legal y encargo Judicial o del Ministerio
Público aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o
la Policía Judicial adquieran conocimiento para determinar las circunstancias en que
se cometió una infracción.
Las condiciones que debe reunir una persona para ser perito son:
IACIS
HTCN
La Policía Nacional debe tomar muy en cuenta que la labor que posee la
investigación forense en informática requiere de mucho entrenamiento y formación,
no solamente en las especificaciones técnicas sino también en procedimientos y
habilidades que permitan al profesional que se certifique, enfrentar la difícil tarea de
reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar
datos para formular hipótesis que orienten la investigación de un delito informático ,
con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el
planteamiento de estas certificaciones importantes a nivel de Informática Forense.
CONCLUSIONES
RECOMENDACIONES
http://www.porcupine.org/forensics/forensic-discovery/
http://www.virusprot.com/computaci%F3n-anti-forense.htm
www.alfa-redi.org
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
http://publicaciones.derecho.org/redi
http://derecho.org/comunidad/carlospaladella
IACIS - http://www.cops.org.
HTCN - http://www.htcn.org.
http://www.acfe.org - Assoc. Certified Fraud Examiners.
http://www.icsa.com - International Information Systems Security Assoc.
http://www.htcia.org - High Technology Crime Investigation Association.
Glosario de Términos
DMZ: zona desmilitarizada o red perimetral es una red local (subred) que se ubica
entre la red interna de una organización y una red externa, generalmente Internet. El
objetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a
la red externa.
Guardian Dog: método para borrar discos duros a través de un potente imán en su
interior, no necesita electricidad y tiene suficiente potencia para superar la protección
de las cubiertas de acero contra campos magnéticos. Destruye todos los datos del
disco, incluso los que se encuentran en áreas que los ordenadores no pueden leer, y
puede borrar cualquier tipo de unidad magnética: cintas VHS, cintas DAT, discos
ZIP y similares, etc.
Sniffers: es un programa que captura datos dentro de una red de cómputo, los
hackers la utilizan para obtener nombres de usuarios y contraseñas, ésta herramienta
permite auditar e identificar paquetes de datos en una red. A los administradores de
red ayuda a identificar los problemas de la red.
A.2 Formularios
Informática Forense
127
Formulario de Control ante respuestas de Incidentes
Inicio Lugar:
Fecha y Hora:
Caso:
Perito Informatico:
Provincia:
Direccion:
Telefono:
Fax:
Celular:
Correo Electronico:
Lado A
128
Formulario de Registros General
Inicio
Fecha y Hora: Lugar:
Caso:
Delito:
Perito:
Acompañante:
Tipo de Escenario:
Escenario 1
Numero de componentes
Escenario 2
Escenario 3
Observaciones
1 de 2
Lado B
Formulario de Registros General
2 de 2
Registro del Equipo Designados en la Cadena de Custodia
Inicio
Fecha:
Caso:
Perito Responsable:
Número de Identificación Responsable – quien maneja Seccion a la que pertenece Cargo Firma
evidencia dentro del departamento
Rutina SI NO Observaciones
Actividades Preliminares
1 de 2
Lado B
Rutina Observaciones
SI NO
2 de 2
Formulario Inventario de Software Instalado y estado de componentes
Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Numero de componentes
Inicio
Inf-Nro:
Fecha:
Lugar:
Caso:
Juzgado:
Perito:
Especificaciones de la computadora
1 de 2
Lado B
Accesorios y Perifericos
Cantidad Tipo Placa de red, modem, cámara, tarjeta (Marca/Moldeo) Velocidad/Capacidad Nro. Serie
de acceso, impresora, etc
Observaciones
Inicio
Fecha: Hora:
Caso:
Perito:
Numero de evidencias
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Numero de componentes
1. Esquicio: se refiere a:
Representación gráfica de una zona pequeña del terreno, sin escala, o a escala
aproximada, aclarara un texto y reemplaza una descripción larga y
complicada.
Realizada ha mano alzada, las medidas se apreciarán a simple vista.
Todos los datos se anotan en el mismo gráfico por ello no lleva referencias.
Registrar de manera simple y rápida la situación de un lugar
3. Croquis:
Si un formulario no fue firmado por la persona en cuyo poder fueron hallados los
elementos informáticos en la escena del crimen la diligencia es nula, ya que su
concordancia con otras pruebas no acredite su realidad y veracidad.
Apéndice C
Caso Práctico
Caso
Práctico
Inicio
Fecha: Jueves 14 de Febrero del 2008
Perito Responsable:
Número de Identificación Responsable – quien maneja Seccion a la que pertenece Cargo Firma
evidencia dentro del departamento
Tecnico en escena
0104564892 Damian Lopez Analisis Forense
de crimen
Examinador de
0104564422 Antonio Guzman Analisis Forense evidenia informatica
Inicio Lugar:
Jueves 14 de Febrero 2008 Cuenca
Fecha y Hora:
Falsificacion de documentos
Caso:
Provincia:
Calle el Comercio 3-22
Direccion: 2862959
Telefono: -----------------
Fax: 098897695
Celular:
mariagalarza@hotmail.com
Correo Electronico:
14-Febreo-2008 (9:20 AM)
Fecha y hora aproximada del incidente:
Inicio
Fecha: Jueves 14 de Febrero del 2008
Tipo de Escenario:
Tipo de Escenario:
Escenario 1 x
Escenario 2
Escenario 3
Numero de componentes 2
.- La primera evidencia a ser analizada será el USB, el estado de este dispositivo es:
vacío no posee ningún tipo de información, este estado de vació del dispositivo es
intrigante, por ello para descartarlo se lo analizara primero. Para posteriormente
analizar la evidencia más compleja, el disco duro conjuntamente con el Sistema
Operativo.
Inicio
Jueves 14 de Febrero 2008 12 PM
Fecha: Hora:
Falsificacion de documentos
Caso:
Alexandra Reiban
Perito:
Numero de evidencias 2
Los archivos que serán recuperados por esta herramienta, se listaran con nombres
tales como: File 1, File 2, aquí parte el trabajo del Analizador forense, el cual deberá
buscar minuciosamente archivos o documentos sospechosos, según las fechas en que
se realizaron modificaciones a los mismos.
Figura. 2 Caso Práctico (nombre de los archivos recuperados)
Los archivos pueden ser recuperados según los formatos que se requieran, así como
documentos de Word, Excel, etc.
Mediante una búsqueda minuciosa por parte del Analizador forense se detecto un
documento File 2, dentro del mismo se detecto información que ponía a en evidencia
el delito cometido por parte del individuo propietario del USB:
Los pasos que se tomaron para descubrir la evidencia fue mediante la guia propuesta
para la Policía Nacional.