Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDO
1. GESTION DE INCIDENTES
4. HERRAMIENTAS FORENSES
5. HERRAMIENTAS ANTIFORENSES
5.1. Destrucción de la evidencia
5.2. Ocultamiento de evidencia
5.3. Eliminación de la fuente de la evidencia
5.4. Falsificación de la evidencia
5.5. TimeStomp
6. BIBLIOGRAFIA
Las competencias por desarrollar en el presente modulo son:
Estas reflexiones anteriores nos permiten hacer un énfasis en que con la Informática
Forense es posible investigar (aun cuando internet permite el anonimato y el uso de
nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados
artículos y otros documentos enviados a través de redes o publicados en la misma.
2
1. GESTION DE INCIDENTES
Cualquier evento que atente o altere alguno de los tres pilares de la seguridad de
la información: Integridad, confidencialidad o disponibilidad
Accesos no autorizados
Código malicioso
Denegación de Servicio
Escaneos, pruebas o intentos de obtener información de redes o servidores
Mal uso de los recursos tecnológicos
Las dos fases principales de la gestión del incidente, donde participarán los
investigadores forenses son:
La fase de Contención, en la que el examinador forense se centrará en la
preservación de evidencias, es la fase de colección en el análisis forense.
Identificación
Preservación
Análisis
Documentación
Presentación de las pruebas
3. MECANISMOS PARA ATENCION A INCIDENTES DE SEGURIDAD
Virus/gusanos en Windows
Intrusiones en los sistemas
Envío de correo spam
Sospechas de personas que accedieron a archivos personales sin
autorización
Abuso de recursos que afectan otras redes
Prevención
Identificación
Corrección
4. HERRAMIENTAS FORENSES.
Las herramientas informáticas, son la base esencial de los análisis de las evidencias
digitales en los medios informáticos. Sin embargo, es preciso comentar que éstas
requieren de una formalidad adicional que permita validar tanto la confiabilidad
de los resultados de la aplicación de las mismas, como la formación y
conocimiento del equipo de seguridad que las utiliza.
Estos dos elementos hacen del uso de las herramientas, una constante reflexión y
cuestionamiento por parte de la comunidad científica y práctica de la informática
forense en el mundo. Dentro de las herramientas frecuentemente utilizadas en
procedimientos forenses en informática detallamos algunas para conocimiento
general, que son aplicaciones que tratan de cubrir todo el proceso en la
investigación forense en informática:
CAINE
https://www.caine-live.net/
ENCASE
http://www.encase.com/products/ef_index.asp
FORENSIC TOOLKIT
http://www.accessdata.com/products/utk/
WINHEX
http://www.x-ways.net/forensics/index-m.html
SLEUTH KIT
http://www.sleuthkit.org/
CORONER TOOLKIT
http://www.porcupine.org/foren-sics/tct.html
ENCASE
http://www.guidancesoftware.com/products/EnCaseForensic/index.shtm
SMART
http://www.asrdata.com/SMART/
Es una utilidad que permite instalar en un disco las imágenes capturadas con
Encase.
FORENSIC TOOLKIT
http://www.accessdata.com/Product04_Overview.htm?ProductNum=04
http://www.lec.cz/en/produkty_datove_diskdoubler_II2.html
http://www.lec.cz/en/produkty_datove_diskdoublerplus2.html
Foremost
http://foremost.sourceforge.net/
CIA Unerase
http://www.ciaunerase.com/
File Recover
http://www.filerecover.com/download.html
R-Studio http://www.r-studio.com/
http://www.ontrack.com/easyrecovery/
GetDataBack
http://www.runtime.org/
Sleuth Kit
http://www.sleuthkit.org/informer/
NTFS Reader
http://www.ntfs.com/products.htm
Es un programa Windows que genera una imagen de floppy disk para arrancar en
FreeDos y permite leer y copiar ficheros dentro de particiones NTFS.
Bootdisk
http://www.bootdisk.com/
Winimage
http://www.winimage.com/winimage.htm
PEBuilder
http://www.nu2.nu/pebuilder/
Wotsit Format
http://www.wotsit.org/
Drive Image
http://www.powerquest.com/driveimage/
Norton Ghost –
http://www.symantec.com/ghost/
Por otro lado, el análisis forense también se refiere a determinar las causas del
compromiso de seguridad de un sistema, es decir, la alteración de sus datos o la
caída o malfuncionamiento del sistema.
Tripwire
http://www.tripwire.com/downloads/index.cfm
Osiris
http://osiris.shmoo.com/
http://www.openwall.com/john/
OpenWall
http://www.openwall.com/PR/
http://www.password-crackers.com/
Incluye crackeadores para compresores, para utilidades de cifrado, BIOS, formatos
de ficheros (Office, PDF, etc.), bases de datos, Sistemas Operativos, Aplicaciones,
etc.
MDcrack
http://membres.lycos.fr/mdcrack/
http://home.eunet.no/~pnordahl/ntpasswd/
http://www.cgsecurity.org/index.html?ntfs.html
Pwdump3
http://archives.neohapsis.com/archives/ntbugtraq/2001-q1/0007.html
Dumpsec
http://www.somarsoft.com/
LC5
http://www.atstake.com/research/lc/download.html
http://www.oxid.it/cain.html
Rainbowcrack
http://www.antsight.com/zsl/rainbowcrack/
hashes. Winrtgen
http://www.oxid.it/projects.html
Revelation
http://www.snadboy.com/
Son dispositivos que se usan para garantizar la ejecución del Análisis Forense a
dispositivos digitales, evitando opciones de lectura o escritura en las evidencias
digitales.
4.2. Maletines Forenses
El Ultra Kit V 4.1 portable es un maletín forense que contiene la familia de ultra
bloqueadores junto con sus adaptadores y respectivos conectores para su uso en la
obtención de imágenes forenses de cualquier disco duro o dispositivo de
almacenamiento, el Ultra Kit V 4 .1, debe tener algunas maneras de manejo correcto, para
preservar integridad y obtener imágenes forenses de manera correcta sin afectar la
evidencia.
Hipervisores tipo 2:
Microsoft Virtual PC: archivos Virtual Machine Configuration File (VMC) y Saved State File
(.VSV)
VMware Server
Archivos: vmx, vmsd, vmtm, vmxf, vmdk, log, nvram, vswp, vmss, vmsn, vmsd, vmem.
Las máquinas virtuales permiten montar diferentes imágenes forenses (Encase, Smart, y
DD).
Herramienta VIX :
Las siguientes herramientas son utilizadas en máquinas vituales instaladas bajo Vmware:
Son utilizadas para cargar, leer o montar los archivos del disco duro virtual que contiene el
Sistema Operativo de la máquina virtual.
Live View:
Analiza información de disco duro. Permite crear imagen Vmware con el disco y ejecutarla
desde cualquier escritorio.
Permite generar una imagen Vmware desde una imagen o desde un disco físico.
5. HERRAMIENTAS ANTIFORENSES
El objetivo de esta técnica es evitar que la evidencia sea encontrada por investigadores y
en caso de que la encuentren, disminuir el uso que se le pueda dar a dicha evidencia. No
busca que la evidencia sea inaccesible sino irrecuperable.
Wipe Disk: Se utiliza para borrar discos duros. Permite escoger lo que se quiere borrar.
Shred: Sobre escribe un archivo para ocultar sus contenidos o eliminar el archivo.
SDelete (Secure Delete): Elimina archivos o cualquier porción de archivos en los sectores
no asignados del disco
5.2. Ocultamiento de evidencia
No busca manipular, destruir o modificar la evidencia sino hacerla menos visible para el
investigador.
Logs de auditoría
Registro que describe operaciones que se realizan sobre las bases de datos.
5.5. Timestomp
Escribe los registros de tiempo de los archivos en NTFS evitando que el analista forense
obtenga una línea de tiempo de sucesos, dificultando la correlación de eventos y
desacreditando la evidencia digital.
6. BIBLIOGRAFIA
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnolo
gias6.pdf
• CASEY, Eoghan. “Digital Evidence and Computer Crime: Forensic Science, Computers,
and the Internet”. 2004
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnolo
gias6.pdf