Presentación

Nombre

Luis sandro

Apellido

Perez eber

Matricula

20185843

Materia

Computacion Forense

Profesor

Elkin Valenzuela
Resumen Introducción a la informática forense

Computación Forense
Se sabe que cuando se realizan las aplicaciones fundamentales de la ciencia
forense a los sistemas informáticos pues a este método es que se le conoce como
Computación Forense.
Análisis Forense Digital
Entonces el Análisis Forense Digital, se conoce como aquella disciplina la cual se
hace de uso de un conjunto de varias técnicas, herramientas, las cuales son usadas
para identificar, recolectar y preservar, al igual que analizar los documentos,
archivos y programas que tenga los dispositivos electrónicos, como resultado de
evidencias digitales.

Antecedentes de la Computación Forense.

Programación: Este es el proceso de diseñar, depurar, codificar y mantener un
código fuente de programas computacionales. Entre el 1841 y 1843, Ada Lovelace
tradujo las memorias del matemático italiano Luigi Menabrea acerca de la nueva
máquina propuesta por Charles Babbage, la Máquina Analítica.

Base de datos
Se sabe que la primera vez que se usó este termino fue en un congreso el cual fue
celebrado en california en 1963. Bien las bases de datos no son más que un
conjunto de información almacenada o estructurada. Sus orígenes provienen de la
antigüedad, donde ya existían bibliotecas y toda clase de registros, también la
utilizaban para recoger información sobre las cosechas.

Se empezaron a desarrollar cuando empezó a ser necesario almacenar grandes

cantidades de información o datos. El concepto de bases de datos siempre ha
estado ligado a la informática.
Redes
Entonces según lo dado en clases se sabe que por la década de 1980 las pc
empezaron a usar dispositivos para lo que es poder compartir ya archivos hacia
otros dispositivos, en un rango de velocidades que comenzó en 1200 bps y llegó a
los 56 kbps, cuando empezaron a ser sustituidos por sistema de mayor velocidad,
especialmente ADSL.

Seguridad de informática

El 1ro. De junio del 1980, las organizaciones comenzaron a comprender que

múltiples equipos conectados eran muchos más vulnerables. Ya el 4 de junio del
1980, se define como el inicio de la seguridad de la información.
Virus y Ataques Informáticos.

El 1ro. De junio del 1983, aparecen el primer virus a dispositivos de comunicaciones.

1ro. De junio del 1985, el virus ELK CLONER, es el primero para computadores.
1 de febrero 2004, el código CABIR, primer virus de celulares que atacaba los
sistemas operativo Symbian.1ro. De noviembre del 2006, DIA DE LA SEGURIDAD
DE LA INFORMACION.

Importancia de la informática Forense.

Uno de los principales objetivos de la informática forense es el poder presentar
ciertos informes con realización técnica profesional y pericial donde se encuentre
documentado datos, también archivos de información relevante, esto con el fin de
poder ser utilizado como una evidencia digital, certificada y ser utilizada como
hipótesis realizada por el investigador y poder utilizarlo en un procesamiento judicial.
También que es la única rama de las forenses que es capaz de extraer información
de los dispositivos electrónicos analizar y de igual manera poder plasmar en un
informe, de forma que sea obtenido evidencias digitales.

Métodos Antiforense.
De acuerdo a la técnica anti-forense utilizada, se puede identificar la siguiente
clasificación:
1. Destrucción de la evidencia.
2. Ocultación de la evidencia.
3. Eliminación de las fuentes de la evidencia.
4. Falsificación de la evidencia.

Destrucción de la evidencia.
Este método busca tanto la eliminación de la evidencia como imposibilitar su
recuperación. Para ello, se pueden llevar a cabo dos estrategias:
Destrucción a nivel físico: por ejemplo, mediante la aplicación de campos
magnéticos u otros métodos menos sutiles o poco convencionales.
Destrucción a nivel lógico: mediante la sobre escritura de datos o la eliminación
de los mismos. Para intentar recuperar información sobrescrita, dañada o eliminada
se utilizan diferentes técnicas como el File Carving o Slack Space.
File Carving: en este proceso pues consiste en la identificación y recuperación de
archivo a partir de las características de formato de los mismos archivos.
En general, todos los tipos de archivos tienen características comunes. Tales como,
atendiendo a su estructura, todos los archivos JPG/JFIF empiezan por FF D8 FF E0
00 10 4A 46 49 46 00 y terminan por FF D9, como se puede observar en la siguiente
imagen.
Así mismo, existen una serie de herramientas que permiten la ocultación de
información de manera deliberada en el espacio sin asignar, si bien dicha
información puede ser recuperada mediante técnicas forenses y software
especializado.

OCULTAR LA EVIDENCIA
Este método no busca manipular o destruir la evidencia sino hacerla lo menos
accesible posible. Para ello, se pueden utilizar técnicas como «covert channels» o
esteganografía que permite la ocultación y el enmascaramiento de cierta
información dentro de otra.
La mejor forma para detectar este tipo de prácticas, se deben utilizar herramientas
de estegoanálisis ya que esta técnica es llamada esteganografía la cual como se
había mecionado se usa para ocualtar información dentro de otra, que mediante
complejos mecanismos estadísticos o mediante la búsqueda de anomalías con
respecto a los formatos estándar, buscan información oculta.
También según lo mencionado en la clase pasada hay un caso específico de «covert
channels» es el sistema de archivo NTFS, esto lo que hace es qque presenta una
característica, conocida como Alternate Data Streams, y por esta vía se puede
ocultar un archivo dentro de otro.
Esta característica puede ser utilizada para esconder imágenes en archivos de texto
sin que éstos varíen su tamaño original o incluso para camuflar archivos
comprimidos dentro de imágenes.
A partir de Windows Vista mediante el parámetro /R en el comando DIR se pueden
visualizar las alternate data streams, pero para versiones anteriores se debe utilizar
herramientas específicas como ADSCheck o Streams.

También sabemos que la utilización de la criptografía como un método para

protección de información ha empezado a tener un gran auge de una gran
importancia a lo largo de la historia; desde los tiempos del cifrado César, pasando
por la máquina Enigma, hasta la actualidad, se han utilizado diferentes métodos
para añadir una capa de seguridad a los datos.
El uso de herramientas de cifrado obstaculiza notablemente el trabajo de un
investigador, el cual debe remitirse a métodos de criptoanálisis como meet in the
middle, side-channel attacks o ataques por fuerza bruta para poder visualizar el
contenido cifrado.
También otra técnica muy utilizada, y principalmente por los cibercriminales, con el
fin de poder ocultar evidencias son los rootkits. Esta es la razón por la cual, a la hora
de recopilar evidencias en un análisis forense, se debe utilizar un kit de recopilación
y análisis de evidencias con utilidades totalmente independientes a las del sistema
con el fin de intentar asegurar la veracidad de los datos.
Algunas herramientas como Procl o RootkitRevealer permiten realizar un listado de
archivos utilizando en primer lugar la API del sistema y posteriormente realizar otro
listado mediante sus propios métodos implementados. Una vez finalizados ambos
listados, los comparan y permiten visualizar la existencia de archivos ocultos.

También otra manera de poder detectar los Rootkits se basa en arrancar el sistema
que se sospecha afectado por un Rootkit desde otro sistema (Cd-Rom o USB), de
modo que el Rootkit se mantendrá inactivo por lo que su detección será
relativamente sencilla.
ELIMINACIÓN DE LAS FUENTES DE LA EVIDENCIA

Esta técnica puede considerarse la más básica, ya que simplemente consiste en

evitar dejar huellas para ocultar el rastro y así no ser detectado. Una manera sencilla
puede ser si se pretende evitar cualquier tipo de escritura en disco, por ejemplo
desactivando los logs del sistema.
Pues como se pudo leer es una de las técnicas más básicas y que todos debemos
tener en cuenta ya que es la forma de poder cubrir el rastro, una vez entrado a un
sistema informático.

FALSIFICACIÓN DE LA EVIDENCIA
Este método consiste en la creación de evidencias falsas con el fin de dificultar el
trabajo de los investigadores. Algunos de los ejemplos de falsificación de evidencias
más habituales son:
• Lanzar ataques desde equipos comprometidos, como es el caso de las
Botnets.
• La utilización de redes comprometidas.
• La utilización de cuentas comprometidas de usuarios.
• La modificación de metadatos mediante utilidades como ExifTool.

La falsificación de mensajes de programas de mensajería instantánea, como es el

caso de Whatsapp o la suplantación mediante el clonado de la tarjeta SIM.
Opinión Personal.
El tema sobre introducción a informática forense fue muy interesante además de
que me pude percatar y aprender temas y términos que aún no manejaba, al igual
que pude comprender acerca de la misma como que la forense a nivel de
informática tiene un gran peso e importancia ya que es la única la cual puede utilizar
métodos y técnicas informáticas para poder extraer la información sobre lo que son
equipos electrónicos y poder ser utilizados como pruebas y presentados a un
juzgado.
También que la forense tiene varias ramas, y mencionar que dentro de los
antecedentes de esta están la programación que implica pues en ese entonces la
necesidad de programar los sistemas de información, de ahí no lleva a lo que es la
base de datos con la necesidad de poder almacenar la información y esto nos llevó
a la necesidad de poder compartir la información entonces surgen lo que son las
redes y este nos dejó otro inconveniente que era que compartir la información no
resultaba del todo seguro y de ahí surge la seguridad informática o seguridad en los
sistemas.