Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo Final OscarNeciosup
Trabajo Final OscarNeciosup
Abstract— La informática forense es una ciencia, que se encarga de asegurar, identificar, preservar y analizar conjunto de datos
llamada prueba digital. Tal necesita un desarrollo de una metodología para el análisis forense. La creación de una línea temporal
corresponde un paso fundamental en el análisis de evidencias, como parte de las fases de un análisis forense.
Palabras Clave—FTK, timeline, Creation Time, OLECF
I. INTRODUCCIÓN
La creación de una línea temporal es indispensable sea cual sea el tipo de análisis a realizar, ya que permite ubicar los
acontecimientos ocurridos mediante el análisis forense. Permite controlar la visualización de la cadena de acciones realizada
por la amenaza a lo largo del tiempo. Constituye el marco que permite a un investigador indagar en base a un criterio de
tiempo determinando que ficheros pueden o no ser importantes para el caso [1]
II. DESCRIPCIÓN DEL PROBLEMA
A. Descripción del Problema
En los contratos del personal de entidades gubernamentales o empresas se producen acuerdos de confidencialidad y no
divulgación esto se da para proteger cualquier información, de ser restringido para el uso público. Las características que se
toman en cuenta para esto suelen ser: definición de información confidencial, excepciones a que debe ser confidencial y
tiempo durante el cual se establece el acuerdo. Sin embargo, se producen delitos relacionados al acceso no autorizado a
información digital (Data Leakage) por parte del personal, durante el tiempo establecido del contrato, que hacen uso de
elementos de almacenamiento para sustraer tal información para fines propios. [2] [1]
B. Escenario
El señor Pedro Eduardo Antonio es un ex servidor de la Dirección de Desarrollo, perteneciente al Programa de Línea de
Tiempo, adscrito al Ministerio de Ingeniería Forense, estuvo a cargo del desarrollo y almacenamiento de información
confidencial desde el 13 de septiembre hasta el 16 de noviembre, se le encargó exclusivamente la recopilación de
información necesaria para desarrollar la base de datos de cierre de brechas de servicio de telecomunicaciones en la Región
Loreto para poder elegir la posible demanda en la generación de nuevos proyectos que tiene a cargo el Programa. Se le dio
un plazo máximo de entrega, indicando que el archivo contenga un nombre relacionado.
Al paso de dos meses, el Director de tal dirección comunica a su personal que se ha filtrado información de servicios telecom
para el cierre de brechas a la Dirección de Ingenio, asimismo, se tiene conocimiento que tal información fue proporcionada
a través de un USB, propiedad de tal Dirección. Se prosigue a realizar el análisis forense a tal evidencia digital y determinar
responsables.
1. Se utilizará el programa FTK Imager, Se obtendrá la captura de evidencia digital de un Driver lógico, a partir de
la unidad de USB (F: ) [3]
2. Se agregará el formato al cual se desea hacer la copia bit a bit. En este caso se elige el formato Raw (dd).
Ilustración 3. Formato de imagen a convertirse
4. Finalizado, se corrobora que tanto el archivo original como la copia tengan el mismo Hash (Match).
3. Se determina, según el enunciado, el periodo de análisis, para esto se generará un archivo .csv para su muestra
Ilustración 10. Comando para la creación del archivo CSV, mostrando la cronología de informacion
Campo Descripcion
Date Determina el día
Source Tipo de origen de archivo
Type Tipo de archivo
Description Una pequeña descripción del archivo
Filename Ubicación del archivo
Extra (SHA 256) Determina el hash del archivo
6. Con el archivo Final.csv, se pueden realizar búsquedas especificas sobre lo que se quiere analizar, con respecto al
caso, se trata de buscar “desarrollar la base de datos de cierre de brechas de servicio de telecomunicaciones en la
Región Loreto para poder elegir la posible demanda en la generación de nuevos proyectos”. Se utilizará la palabra
clave: “CierreBrechas”. [5]
7. Se procede a crear la línea de tiempo en forma gráfica, para esto, se creará un índice de elasticsearch para su
posterior uso en kibana. Se activa el servicio ElasticSearch y Kibana, se verifica que los servicios se encuentren
operativos, luego se crea un índice con respecto al archivo Final.plaso. [6]
Se activan los servicios
8. Se realiza la generación gráfica de cronología. Para esto se ejecuta kibana, se implementa el índice creado en el
paso anterior. [7]
Se inicia con la siguiente ruta Managment > Index Patterns > + Create Index Patterns
Según el enunciado, se analiza según las fechas “desde el 13 de septiembre hasta el 16 de noviembre”. Se ejecuta
en Go.
Ilustración 21. Según enunciado, se determinan los tiempos de análisis
Para poder realizar una visualización más personalizada, se realizan filtros con el fin de un mejor entendimiento.
Ilustración 23. La cronología de la evidencia digital aplicando filtros para mejor entendimiento
Asimismo, para efectos del caso, se buscará el archivo en específico. Con ayuda del paso 6, se tiene que el nombre
del archivo es
De esta manera, se ha determinado el análisis del caso utilizando una línea de tiempo en el que demuestra el
comportamiento del archivo en el paso del tiempo.
C. Herramientas empleadas en ambos procesos
1) FTK IMAGER
Es una herramienta para realizar réplicas y visualización previa de datos, la cual permite una evaluación rápida de
evidencia electrónica para determinar si se garantiza un análisis posterior con una herramienta forense como AccessData
Forensic Toolkit. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de computadora sin
realizar cambios en la evidencia original. [8]
Para prevenir la manipulación accidental o intencional de la evidencia original, FTK Imager realizar una imagen
duplicado bit a bit del medio. La imagen forense es idéntica en cualquier forma al original, incluyendo espacio de holgura
o residual y espacio sin asignar o espacio libre de la unidad. Esto permite almacenar el medio original en un lugar seguro
de daño mientras se procede con la investigación utilizando la imagen forense.
Ilustración 25. FTK imager interface
2) LOG2TIMELINE
Se encarga de analizar los datos recibidos como parámetro de entrada generando un fichero de salida con formato
«plaso». es una herramienta desarrollada en Python que permite extraer la línea temporal de todos los eventos ocurridos
en un sistema. Admite como como datos de entrada ficheros, discos virtuales, dispositivo de almacenamiento, algún
punto de montaje o un volcado de imagen de disco. [5]
El conjunto de herramientas que proporciona Plaso son:
- log2timeline: extraer el time line de todos los eventos.
- psort: procesamiento de los datos extraídos.
- pinfo: muestra los datos del fichero de almacenamiento plaso.
- image_export: exporta ficheros de una imagen.
La documentación, la información y descarga se encuentra en la dirección https://github.com/log2timeline/plaso
3) ELASTICSEARCH
Conocido por ser uno de los buscadores de texto más completos e importantes de internet. La principal acción en el
análisis forense es que tiene como uno de sus fines el de almacenar, procesar y recuperar datos temporales. Los datos
temporales se caracterizan por cada punto de datos que se asocia con una marca de tiempo precisa. Muy a menudo, un
punto de datos representa algún tipo de medición tomada en un momento específico. Puede ser un precio de acciones,
una observación científica o la carga de un servidor.
Una entrada de base de datos de series temporales, en forma abstracta, consiste en lo siguiente:
- El nombre de la serie
- Una marca de tiempo
- Un valor
- Un conjunto de pares de valores clave, o etiquetas, con más información sobre la serie. [6]
4) KIBANA
La herramienta anterior si bien da solución al desarrollo de datos temporales estructurado en grandes bases de datos es
un poco difícil presentarlo de manera clara y comprensible. De esta manera, Kibana se caracteriza por ser una interfaz
web escalable para la representación visual de datos. Ofrece además un análisis automático en tiempo real, algoritmos
de búsqueda muy flexibles y diferentes tipos de vistas. Al ser una aplicación web escrita en JavaScript, Kibana puede
utilizarse en todas las plataformas. Solo se incurrirá en gastos si se utiliza el servicio de hosting Elastic Cloud, ofrecido
por el desarrollador. Este servicio de pago permite implementar y organizar un clúster seguro Kibana-Elasticsearch en
Amazon o Google sin tener que proporcionar recursos propios. [7]
Ilustración 26. Interfaz con página de inicio de Kibana
D. Respuestas
Según el análisis se da respuesta a las preguntas planteadas:
1. ¿Cómo se llama el archivo filtrado?
La indicación fue que el archivo sea guardado con un nombre relacionado a lo realizado. En el paso 6 del análisis
de evidencia digital, se utilizó la palabra clave CierreBrecha para realizar la búsqueda del archivo.
Nombre: Demanda_CierreBrechas_Loreto_30set.xlsx.
1 09/30/2020,10:35:30 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f
2 09/30/2020,16:29:42 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f
3 09/30/2020,16:35:28 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f
4 10/27/2020,09:16:25 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f
5 01/04/2021,00:00:00 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f
9. ¿Cuál es la relación que tiene la fecha de modificación con respecto al plazo máximo de entrega?
Ambas fechas son las mismas, por lo que se infiere que el archivo original no ha sido modificado en su contenido.
10. ¿Qué tipo de datos corresponde a los registros que están en evaluación?
Según se pudo identificar en el paso 6 del análisis de evidencia digital, los tipos de archivos encontrados son FILE
y META.
Ilustración 27. Gráfico de barras en Kibana mostrando el estudio del archivo del caso
IV. CONCLUSIONES
El uso de herramientas de creación de líneas de tiempo forense es eficiente en el sentido de ubicar el contexto del caso, el
comportamiento de la información en evaluación a lo largo del tiempo.
La herramienta KIBANA constituye un punto importante en el desarrollo del análisis ya que al tener una interfaz muy bien
manejable permite tomar decisiones con mayor rapidez tomando un buen análisis.
Las diferentes opciones que tiene el comando Log2timeline ayuda mucho a encontrar el objetivo específico, y a través la
creación de un CSV donde se indique la cronología total de la evidencia, poder disponer de fechas y horas cruciales para
tomar decisiones.
Los archivos con formato tipo RAW son muy complejos al momento de generar una línea de tiempo, por lo que es necesario
su conversión a un archivo con formato PLASO.
Las empresas o instituciones siempre corren el riesgo de fuga de información, por lo que es necesario contar de ser posible
con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes
como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hacen que los códigos
maliciosos también sean potenciales puntos de fuga de información.
Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto
para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que
deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.
V. RECOMENDACIONES
Para la elaboración de la captura digital, se recomienda realizar de forma fragmentada si es que la evidencia es de una
capacidad muy elevada, esto para aligerar el proceso de análisis de evidencia digital.
Es importante verificar el Hash de los archivos en el paso del tiempo, esto para poder identificar las modificaciones que ha
sufrido un archivo especifico. Esto como parte del cumplimiento de la propiedad de Integridad de la Información.
La verdadera autoría de la información debe estar reflejada en las propiedades del archivo protegido con contraseña, de esta
manera se trata de procurar que las personas sean responsables de la propia información que manejan.
VI. REFERENCIAS