informatica forense.pdf
Post on 25-Nov-2015
50 Views
Preview:
TRANSCRIPT
-
Facultad de Ingeniera
Escuela Ingeniera de Sistemas y
Computacin.
III Programa de Profesionalizacin.
Titulo: Informtica Forense, Mencin de
herramientas.
Autor: Crdova Oblitas, Csar Augusto.
Chiclayo, Septiembre, 2010
-
Resumen
En este ensayo se pretende presentar a la informtica forense, conocida tambin como
computacin forense, haciendo mencin en su importancia, objetivos, estudio, pasos del
computo forense y dificultades de esta especializacin, tambin se hace la mencin de
algunas herramientas, dando a conocer esta especialidad.
-
Introduccin.
La mencin de la ciencia forense; es probable que nos trae a la mente la televisin,
centrndonos en los dramas de entorno a escenas de crmenes o a los procedimientos
realizados por un mdico forense. Sin embargo, este tema nos lleva a una creciente
especializacin que se est desarrollando y que consiste en recuperar informacin de un
sistema informtico. Un especialista forense de hoy puede trabajar junto a instituciones
de la Justicia, Policiales y compaas particulares, para recuperar, ocultos o suprime la
informacin de un computador de uso domstico o de alguna institucin [1].
Esta informacin pueden ir desde los archivos borrados (o piezas de los archivos
eliminados) y documentos existentes almacenados en un disco duro o de
almacenamiento en cualquier medio de comunicacin.
[2] La informtica forense ha llegado a ser tan importante para las organizaciones de hoy
en da, Tal es as que el mundo empresarial es el impulsador al desarrollo de las nuevas
herramientas forenses, aun mas, que el mundo jurdico.
El Internet ha demostrado que el uso de una computadora o un medio de comunicacin
es una herramienta ideal para comunicarse. Lo que muchos usuarios desconocen, sin
embargo, que los rastros de conversaciones, correos electrnicos y otros documentos se
quedan almacenados. Estas huellas, son a menudo convertidos en una prueba esencial
en los procesos judiciales, pueden ser descubiertos o recuperados a travs del uso de la
tcnicas forenses.
[3] Esta rama investigativa tuvo su origen desde el ao 1984 cuando los laboratorios del
FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento de la ley
empezaron a desarrollar programas para examinar evidencia computacional. Se
reconoce a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit (software
forense), como los pioneros de la informtica forense y actualmente, Brian Carrier, es
probablemente uno de los mayores expertos mundiales en el tema.
-
La gente usa los ordenadores o medios de comunicacin para cometer delitos: enviar o
comercializar pornografa, el lavado de dinero, extorsin, actividades terroristas, etc. El
propsito que se persiguen en esta investigacin, es proporcionar avances del
especialista forense as como su uso de herramientas, quien puede encontrar la
evidencia, dado que no se borra la informacin por completo del computador o medio de
almacenamiento de datos; cuando alguien quiere eliminar informacin para ocultar algn
delito.
Qu es la Informtica Forense?
Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar,
obtener y presentar datos que han sido procesados electrnicamente y guardados en un
medio computacional. En nuestra Institucin Policial hemos complementado este
concepto y la definimos como la ciencia que mediante la aplicacin de procedimientos
tcnicos permite identificar, adquirir, preservar, analizar, presentar y sustentar la
informacin que ha sido procesada electrnicamente y almacenada en un medio
computacional [3].
Importancia, Objetivos y Estudios de la Informtica Forense [4].
Importancia:
Segn estudios sobre delitos relacionados con la informtica, basados en el nmero de
incidentes reportados por las entidades estatales y privadas y el sector bancario de
nuestro pas, los crmenes informticos, su prevencin y procesamiento se vuelven cada
vez ms importantes; sin embargo, la importancia real de la informtica forense proviene
de sus objetivos.
Objetivos:
La informtica forense tiene 3 objetivos fundamentales que son:
- La persecucin y procesamiento judicial de los delincuentes.
- La compensacin de los daos causados por los criminales informticos.
- La creacin y aplicacin de medidas para prevenir casos similares.
-
Estudios:
Entre los estudios ms conocidos que permite la informtica forense y que est en
capacidad de atender un Laboratorio de Informtica Forense son:
- Recuperacin de evidencias en discos.
- Reconstruccin de eventos (Web-Internet).
- Acceso a archivos temporales y de cach.
- Recuperacin de contraseas y archivos encriptados.
- Deteccin y recuperacin de Virus, Troyanos y Spyware (es un tipo de software
malicioso).
- Deteccin de mensajes de gano grafa Anonimato (Dominio de escrituras Annimos).
- Recuperacin del Registro de Windows.
- Investigacin de informacin.
Cabe resaltar que para la preservacin de estos datos es necesaria la copia del medio a
analizar, algunos especialistas recomiendan hacer hasta tres copias de seguridad;
siempre acompaados de otro especialista forense, de la misma capacidad de
conocimiento, para futuros deslindes judiciales, as como tener una libreta de apuntes o
bitcora, de todas las acciones seguidas, desde el momento en que se tuvo el medio
sometido al anlisis.
Pasos del cmputo forense [5].
El proceso de anlisis forense a una computadora se describe a continuacin:
Identificacin: Es muy importante conocer los antecedentes, situacin actual y el
proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las
bsquedas y la estrategia de investigacin. Incluye muchas veces la identificacin del
bien informtico, su uso dentro de la red, el inicio de la cadena de custodia (proceso que
verifica la integridad y manejo adecuado de la evidencia), la revisin del entorno legal
que protege el bien y del apoyo para la toma de decisin con respecto al siguiente paso
una vez revisados los resultados.
-
Preservacin: Este paso incluye la revisin y generacin de las imgenes forenses de
la evidencia para poder realizar el anlisis. Dicha duplicacin se realiza utilizando
tecnologa de punta para poder mantener la integridad de la evidencia y la cadena de
custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que
se requiere para generar una copia bit-a-bit de todo el disco, el cual permitir recuperar
en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar
la contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de
hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una
alteracin no deseada en los medios.
Anlisis: Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por
medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se
pueden realizar bsquedas de cadenas de caracteres, acciones especficas del o de los
usuarios de la mquina como son el uso de dispositivos de USB (marca, modelo),
bsqueda de archivos especficos, recuperacin e identificacin de correos electrnicos,
recuperacin de los ltimos sitios visitados, recuperacin del cach del navegador de
Internet, etc.
Presentacin: Es el recopilar toda la informacin que se obtuvo a partir del anlisis para
realizar el reporte y la presentacin a los abogados, la generacin (si es el caso) de una
pericial y de su correcta interpretacin sin hacer uso de tecnicismos.
Dificultades del Investigador Forense [3]:
El investigador forense requiere de varias habilidades que no son fciles de adquirir, es
por esto que el usuario normal se encontrar con dificultades como las siguientes:
1. Carencia de software especializado para buscar la informacin en varios
computadores.
2. Posible dao de los datos visibles o escondidos, an sin darse cuenta.
3. Ser difcil encontrar toda la informacin valiosa.
4. Es difcil adquirir la categora de 'experto' para que el testimonio personal sea vlido
ante una corte.
-
5. Los errores cometidos pueden costar caro para la persona o la organizacin que
representa.
6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar
los datos como evidencia.
7. Falta de experiencia para mostrar, reportar y documentar un incidente
computacional.
8. Dificultad para conducir la investigacin de manera objetiva.
9. Dificultad para hacer correctamente una entrevista con las personas involucradas.
10. Reglamentacin que puede causar problemas legales a la persona.
Es por esto que, antes de lanzarse a ser un investigador forense, se necesita bastante
estudio y experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de
un accidente es aconsejable llamar a uno o varios expertos.
Herramientas de Investigacin Forense [4]:
En la actualidad existen cientos de herramientas; las cuales se pueden clasificar en
cuatro grupos principales.
- Herramientas para la Recoleccin de Evidencia
- Herramientas para el Monitoreo y/o Control de Computadores
- Herramientas de Marcado de documentos.
- Herramientas de Hardware.
Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe
modificar la informacin se han diseado varias herramientas como DIBS "Portable
Evidence Recovery Unit" (Prueba Porttil Unidad de Recuperacin).
Algunas Herramientas:
Sleuth Kit, Autopsy: ambos son de cdigo abierto herramientas digitales de
investigacin (tambin conocido como herramientas digitales forenses) que se ejecutan
en sistemas Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, Y
-
Solaris). Pueden ser utilizados para analizar NTFS, FAT , HFS +, ext2, ext3, UFS1 , y los
sistemas de archivo UFS2 y varios tipos de sistemas de volumen.
Py-Flag: es una herramienta avanzada para el anlisis e investigacin forense de
grandes volmenes de archivos de registro.
dcfldd - DD AIR: es una aplicacin de cdigo abierto que proporciona una interfaz
grfica para los dd / dcfldd (conjunto de datos Definicin (dd)) de comandos. AIR est
diseado para crear fcilmente discos forenses, solo para Linux y distribuciones.
Foremost: es un programa de consola para recuperar archivos basndose en sus
cabeceras, pies de pgina, y las estructuras internas de datos.
Md5deep: es un conjunto de programas para calcular MD5, SHA-1, SHA-256, Tiger, o
Whirlpool (son tcnicas de algoritmos, que nos permiten tener una marca especial en
cada archivo, como las firmas o huellas digitales, son nicos), es capaz de examinar un
rbol de todo el directorio. Es decir, calcular el MD5 para cada archivo en un directorio y
para cada archivo de cada subdirectorio.
Netcat: es una utilidad libre, de red; lee y escribe datos a travs de conexiones de red,
usando el protocolo TCP / IP.
Cryptcat: es una sencilla utilidad de Unix que lee y escribe datos a travs de conexiones
de red, utilizando los protocolos TCP o UDP, una herramienta de exploracin, ya que
puede crear casi cualquier tipo de conexin que se necesita.
NTFS-Tools: proporciona acceso de lectura a unidades NTFS desde el entorno MS
DOS. Soporta nombres de archivo largos, as como comprimidos y archivos
fragmentados.
-
Qtparted: es un programa para Linux que se utiliza para crear, destruir, cambiar el
tamao y la gestin de particiones (Libre).
Regviewer: Es independiente de plataforma que permita un examen de los archivos de
registro de Windows desde cualquier plataforma.
F.I.R.E.: Destaca dentro de las distribuciones Linux especficas para informtica forense
Sitio web: http://biatchux.dmzs.com
WinHex: recuperacin de archivos, Editor Hexadecimal de Archivos, Discos y RAM
Sitio web: http://www.x-ways.net (shareware)
Snort: sistema de deteccin de intrusiones basado en red, tiene la capacidad para
realizar anlisis en tiempo real del trfico y el registro de paquetes de Protocolo Internet
(IP) (Libre) . Sitio web: http://www.snort.org
Ossim: Herramienta de monitorizacin.
Sitio web: http://www.ossim.net
Ettercap: Excelente sniffer de redes.
Sitio web: http://ettercap.sourceforge.net/
NMap: (Network Mapper) Potente localizador de vulnerabilidades, software libre de
utilidad para la exploracin de red o de auditora de seguridad.
Sitio web: http://www.insecure.org/nmap/
Nessus: Otro proyecto para scanear vulnerabilidades. (Sitio web: http://www.nessus.org)
Ethereal: Otro potente sniffer.
Sitio web: http://www.ethereal.com
-
Fport: Identifica puertos abiertos y aplicaciones asociadas a ellos.
Sitio web: http://foundstone.com/
Putty: Excelente cliente SSH (Secure Shell o SSH es una protocolo de red que permite
el intercambio de datos utilizando una canal seguro entre dos dispositivos de red).
Sitio web: http://www.chiark.greenend.org.uk/~sgtatham/putty/
Stunnel: Programa que cifra las conexiones TCP bajo SSL (Secure Sockets Layer, el
predecesor de Seguridad en el transporte de capa, un protocolo de comunicaciones).
Sitio web: http://www.stunnel.org/
AirSnort: Herramienta wireless para recuperar claves cifradas
Sitio web: http://airsnort.shmoo.com/
Aircrack: sniffer y WEP craqueador de wirless.
Stio web: http://www.cr0.net:8040/code/network/
Achilles: Herramienta para testear la seguridad de las aplicaciones web.
sitio web: http://www.mavensecurity.com/achilles
NetStumbler: Localizador de los puntos de acceso wirless (debes poseer tarjeta wirless
para q funcione). Sitio web: http://www.stumbler.net/
Dsniff: sniffer. Sitio Web: http://www.datanerds.net/~mike/dsniff.html
VNC: Administrador remoto.
Sitio web: http://www.realvnc.com/
Autopsy: Browser para la informtica forense.
Sitio web: http://www.sleuthkit.org
PyFlag: Herramienta para recuperar discos en RAID.
-
Sitio web: http://pyflag.sourceforge.net/
Promqry 1.0, PromqryUI 1.0 (interfaz grfico): Herramientas que le permiten detectar
un sniffer de red que se ejecuta en un equipo que ejecuta Windows Server 2003 ,
Windows XP o Windows 2000.
Encase 4.20: Se escogi mostrar esta herramienta por tratarse del software lder en el
mercado, el producto ms ampliamente difundido y de mayor uso en el campo del
anlisis forense. Desarrollada por Guidance Software Inc.
(http://www.guidancesoftware.com)
EnCase es un software costoso, y en Estados Unidos los costos se dividen as:
Gobierno y Educacin US$1,995
Sector Privado US$2,495
Al existir muchos programas para el servicio y uso del Analista Forense, tambin existen
algunos programas que son mencionados, para este caso, pero los que no tiene una
buena utilidad, tal es as como USBDeview 1.77, que solo muestra detalles de los USB
conectados.
-
Conclusiones.
El foco de la seguridad est centrado en la prevencin de ataques.
Todo en el mundo tiene su lado opuesto, y la seguridad no es la excepcin, tiene la
inseguridad, y esto muchas veces nos lleva a la destruccin de la informacin; que
puede ser casual o intencionada, como se ha podido apreciar en este tema ya contamos
con herramientas que pueden ser bajadas libremente, eso s teniendo el especial
cuidado al manipularlas.
Puede servir como apoyo a la Justicia y empresas particulares; a la investigacin sobre
el efecto de algo sobre la comisin del delito para saber si ha sido accidental o
intencionadamente, estas tcnicas y herramientas de la Informtica Forense, quien trata
de obtener una radiografa del estudio del equipo (medios de comunicacin, discos
duros, CD, DVD, USB, Diskettes, celulares, etc.) a quien se quiere hacer el estudio.
Actualmente en que los medios de comunicacin, almacenamiento de datos, utilizan
medios; en los cuales puede filtrarse algn delincuente informtico, este profesional en
Informtica Forense, puede ayudar al deslinde o descubrir a intrusos en nuestros medios
de comunicacin, as como de almacenamiento de datos.
-
BIBLIOGRAFIA:
[1] Duffy, K., M. Davis, and V. Sethi. 2010. Demonstrating Operating System Principles via Computer
Forensics Exercises. Journal of Information Systems Education 21, no. 2, (July 1): 195-202.
http://www.proquest.com (accessed September 3, 2010).
[2] Hosmer, C. 2006. Digital evidence bag, Communications, of the ACM, Vol. 49, No. 2, pages 69-70.
[3] EE.UU. Departamento de Justicia. 2000. Recovering and Examining Computer Forensic Evidence
(http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm (consultado: 11-09-2010).
[4] scar Lpez , Haver Amaya, Ricardo Len (2001). Informtica Forense: Generalidades, Aspectos
Tcnicos Y Herramientas. http://www.criminalistaenred.com.ar/Informatica_F.html (consultado: 13-09-
2010).
[5] Wikipedia (2010). Cmputo forense, http://es.wikipedia.org/wiki/Inform%C3%A1tica_forense,
(consultado: 13-09-2010).
top related