INFORMATICA FORENSE

DERECHO INFORMATICO Docente: Ing. Fredy Ricse Caballero

POLICA INFORMTICA

FUNCIONES: Investigar y Denunciar la Comisin de los Delitos Contra el Patrimonio (hurto agravado) mediante la utilizacin de sistemas de transferencias electrnicas de fondos, de la telemtica en general, o la violacin del empleo de claves secretas, identificando, ubicando y capturando a los autores y cmplices, ponindolos a disposicin de la autoridad competente.

POLICA INFORMTICA

FUNCIONES: Investigar y Denunciar la Comisin de los Delitos Informticos en la modalidad de interferencia, acceso, copia ilcita, alteracin, dao o destruccin contenida en base de datos y otras que ponga en peligro la seguridad nacional, identificando, ubicando y capturando a los autores y cmplices, ponindolos a disposicin de la autoridad competente.

DELITO

DELITO

DELITO

INFORMATICA FORENSE
Segn

el FBI, la informtica forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.

IMPORTANCIA
1.

"High-tech crime, es una de las prioridades ms importantes del Department of Justice

2.

Los crmenes informticos, su prevencin, y procesamiento se vuelven cada vez ms importantes.

IMPORTANCIA Objetivos
1.

2. 3.

La compensacin de los daos causados por los criminales o intrusos. La persecucin y procesamiento judicial de los criminales. La creacin y aplicacin de medidas para prevenir casos similares.
Recoleccin de evidencia

USOS

1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil. 2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense. 3. Investigacin de Seguros: La evidencia encontrada en computadores, puede ayudar a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. 4. Temas corporativos: Puede ser recolectada informacin en casos que tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o an de espionaje industrial. 5. Mantenimiento de la ley: La informtica forense puede ser usada en la bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin una vez se tiene la orden judicial para hacer la bsqueda exhaustiva

La Investigacin Tecnolgica
Los

investigadores de la computacin forense usan gran cantidad de tcnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el anlisis computacional.

1.- Evidencia Digital

La evidencia computacional es nica, cuando se la compara con otras formas de evidencia documental. A diferencia de la documentacin en papel, la evidencia computacional es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realiz una copia. Esta situacin crea problemas concernientes a la investigacin del robo de secretos comerciales, como listas de clientes, material de investigacin, archivos de diseo asistidos por computador, frmulas y software propietario.

1.- Evidencia Digital

La IOCE (International Organization On Computer Evidence) define los siguientes cinco puntos como los principios para el manejo y recoleccin de evidencia computacional: 1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningn motivo esta evidencia. 2. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona debe ser un profesional forense. 3. Toda la actividad referente a la recoleccin, el acceso, almacenamiento o a la transferencia de la evidencia digital, debe ser documentada completamente, preservada y disponible para la revisin. 4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital mientras que sta est en su posesin. 5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir evidencia digital es responsable de cumplir con estos principios.

La Investigacin Tecnolgica

2.- Grabacin en Medios Magnticos : Principios Fsicos

Escribiendo Datos Magnticos Leyendo Datos Magnticos

3.- Anlisis de Discos

3.- Analisis de Discos

La clave de la computacin forense es el anlisis de discos duros, disco extrables, CDs, discos SCSI, y otros medios de almacenamiento. Este anlisis no slo busca archivos potencialmente incriminatorios, sino tambin otra informacin valiosa como passwords, logins y rastros de actividad en Internet.

Los investigadores forenses, utilizan herramientas especiales que buscan archivos "suprimidos" que no han sido borrados en realidad, estos archivos se convierten en evidencia.

3.- Analisis de Discos

File Slack El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del cluster El file slack, potencialmente contiene octetos de datos aleatoriamente seleccionados de la memoria del computador Archivo Swap de Windows Los archivos de intercambio son potencialmente enormes y la mayora de los usuarios de PC son inconscientes de su existencia. El tamao de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrnicos, la actividad en Internet (cookies, etc), logs de entradas a bases de datos y de asi cualquier otro trabajo que haya ocurrido durante las ltimas sesiones.

3.- Analisis de Discos

Unallocated File Space almacenamiento no-asignado (Unallocated File Space). Igual sucede con el file slack asociado al archivo antes de que ste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados. .

4.- Eliminacin de datos

Prcticas adecuadas para la eliminacin de informacin.

Eliminacin de Datos en un Medio Magntico DoD (Departamento de Defensa de los Estados Unidos) public un documento, el National Industrial Security Program Operating Manual (NISPOM), ms comnmente referenciado como DoD 5220.22-M [27], que detalla toda una serie de procedimientos de seguridad industrial, entre ellos, cmo eliminar datos contenidos en diferentes medios. Defense Scurity Service, public una Matriz de Sanitizacin y Borrado

4.- Eliminacin de datos

Eliminacin de Datos en CDs Los datos de un CD estn almacenados en la parte superior del CD por medio de una capa reflectiva que es leda por un lser. 1. Retiro de la lmina reflectiva : Se puede retirar la lmina con algn elemento cortante, sin embargo se debe destruir la lmina reflectiva, y an as pueden quedar algunos rastros de datos en el policarbonato. 2. Cortar en pedazos : Con una cortadora industrial de papel, el CD podra ser destruido, sin embargo, la lmina reflectiva podra separarse del CD y no ser cortada correctamente. 3. Destruir el CD por medios qumicos : Una posible alternativa es introducir el CD en Acetona, lo cual dejara la lmina superior inservible, sin embargo es posible que la lmina de policarbonato an contenga algunos rastros de informacin.

4.- Eliminacin de datos

Eliminacin de Datos en CDs 4. Destruccin por Incineracin : Probablemente es el mtodo ms rpido y eficiente, pero es realmente nocivo para el medio ambiente. El humo del policarbonato puede ser perjudicial para la salud de las personas.

5. Destruccin por medio de un horno microondas : Introduciendo el CD en un microondas por unos 3 segundos puede destruir gran parte del CD, sin embargo no todas las partes sern destruidas. Este mtodo no se recomienda, especialmente porque puede daar el horno debido a los campos magnticos que usa el horno y que pueden causar un cortocircuito debido a que el CD contiene metales.

4.- Eliminacin de datos

Eliminacin de Datos en CDs 6. Reescritura : Para los CDs re-escribibles, es posible volverlos a escribir de tal forma que el proceso dae los datos. Sin embargo, no se sabe si por mecanismos especiales sea posible recuperar la informacin.

7. Rayado Simple : A menos que uno quiera ser realmente precavido, la forma mas fcil de destruir un CD es rayando la parte superior. La razn por la que se debe rayar la parte superior es porque es esta la que mantiene los datos. Si es rayada la parte inferior es fcil recuperar la capa y corregir el problema, utilizando productos comerciales para recuperar CDs.

HERRAMIENTAS

Herramientas para la Recoleccin de Evidencia. Herramientas para el Monitoreo y/o Control de Computadores Herramientas de Marcado de documentos Herramientas de Hardware

HERRAMIENTAS Microsoft creo un 'set' de herramientas (coffe) que posteriormente entrego de forma gratuita a gobiernos, fuerzas de seguridad gubernamentales

HERRAMIENTAS
COFFE es un dispositivo USB que dispone de ms de 150 comandos que facilitan la obtencin de pruebas voltiles en una mquina sospechosa.

Permite, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello puede realizarse in situ.
Rompe contraseas?

HERRAMIENTAS free
RAPIER es un framework Open Source realizado en VBScript que se apoya en utilidades externas para la obtencin de informacin. Dispone de entorno grfico y de programas compilados para que sea portable.
http://code.google.com/p/rapier/downloads/list

RAPIER

RAPIER
Cargar y ejecutar mdulos ms all de la obtencin de pruebas.

ADS. Escanea en busca de NTFS Alternate Data Streams ddPhySMem. Realiza un DUMP de memoria DumpProcs. Realiza un DUMP de un proceso determinado HiddenFiles. Lista los ficheros ocultos y los ordena por fechas de acceso AVScan. Permite escanear en lnea de comandos ficheros con Malware FileCapture. Una funcionalidad que permite buscar ficheros basados en patrones L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal

MIR-ROR
Como la anterior es un conjunto de scripts basada en lnea de comandos que llama a herramientas especficas de Windows Sysinternals, as como alguna otra herramienta (exactamente del Kit de recursos de Windows 2003) .

Sysinternals Suite
http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

AccessChk AccessEnum AdExplorer AdRestore Autologon Autoruns BgInfo CacheSet ClockRes Contig Coreinfo Ctrl2Cap DebugView Desktops DiskExt DiskMon

FileMon Handle Hex2dec Junction

ProcessExplorer Process Monitor

RootkitRevealer SDelete ShareEnum ShellRunas SigCheck

ProcFeatures
PsExec PsFile PsGetSid PsInfo

LDMDump
ListDLLs LiveKd LoadOrder LogonSessions

Streams
Strings Sync TCPView VMMap

PsKill
PsList PsLoggedOn PsLogList PsPasswd

NewSid
NTFSInfo PageDefrag PendMoves PipeList PortMon ProcDump

VolumeID
WhoIs WinObj ZoomIt

PsService
PsShutdown PsSuspend RegDelNull RegJump

DiskView
Disk Usage (DU) EFSDump

RegMon

Dificultades del Investigador Forense

1. Carencia de software especializado para buscar la informacin en varios computadores. 2. Posible dao de los datos visibles o escondidos, an sin darse cuenta. 3. Ser difcil encontrar toda la informacin valiosa. 4. Es difcil adquirir la categora de 'experto' para que el testimonio personal seavlido ante una corte. 5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa.

Dificultades del Investigador Forense

6. Dificultad al conseguir el software y hardware para guardar, preservar y presentarlos datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional. 8. Dificultad para conducir la investigacin de manera objetiva. 9. Dificultad para hacer correctamente una entrevista con las personas involucradas. 10.Reglamentacin que puede causar problemas legales a la persona.