informatica forense.pdf

13
Facultad de Ingeniería Escuela Ingeniería de Sistemas y Computación. III Programa de Profesionalización. Titulo: Informática Forense, Mención de herramientas. Autor: Córdova Oblitas, César Augusto. Chiclayo, Septiembre, 2010

Upload: cacordova70

Post on 25-Nov-2015

50 views

Category:

Documents


1 download

TRANSCRIPT

  • Facultad de Ingeniera

    Escuela Ingeniera de Sistemas y

    Computacin.

    III Programa de Profesionalizacin.

    Titulo: Informtica Forense, Mencin de

    herramientas.

    Autor: Crdova Oblitas, Csar Augusto.

    Chiclayo, Septiembre, 2010

  • Resumen

    En este ensayo se pretende presentar a la informtica forense, conocida tambin como

    computacin forense, haciendo mencin en su importancia, objetivos, estudio, pasos del

    computo forense y dificultades de esta especializacin, tambin se hace la mencin de

    algunas herramientas, dando a conocer esta especialidad.

  • Introduccin.

    La mencin de la ciencia forense; es probable que nos trae a la mente la televisin,

    centrndonos en los dramas de entorno a escenas de crmenes o a los procedimientos

    realizados por un mdico forense. Sin embargo, este tema nos lleva a una creciente

    especializacin que se est desarrollando y que consiste en recuperar informacin de un

    sistema informtico. Un especialista forense de hoy puede trabajar junto a instituciones

    de la Justicia, Policiales y compaas particulares, para recuperar, ocultos o suprime la

    informacin de un computador de uso domstico o de alguna institucin [1].

    Esta informacin pueden ir desde los archivos borrados (o piezas de los archivos

    eliminados) y documentos existentes almacenados en un disco duro o de

    almacenamiento en cualquier medio de comunicacin.

    [2] La informtica forense ha llegado a ser tan importante para las organizaciones de hoy

    en da, Tal es as que el mundo empresarial es el impulsador al desarrollo de las nuevas

    herramientas forenses, aun mas, que el mundo jurdico.

    El Internet ha demostrado que el uso de una computadora o un medio de comunicacin

    es una herramienta ideal para comunicarse. Lo que muchos usuarios desconocen, sin

    embargo, que los rastros de conversaciones, correos electrnicos y otros documentos se

    quedan almacenados. Estas huellas, son a menudo convertidos en una prueba esencial

    en los procesos judiciales, pueden ser descubiertos o recuperados a travs del uso de la

    tcnicas forenses.

    [3] Esta rama investigativa tuvo su origen desde el ao 1984 cuando los laboratorios del

    FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento de la ley

    empezaron a desarrollar programas para examinar evidencia computacional. Se

    reconoce a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit (software

    forense), como los pioneros de la informtica forense y actualmente, Brian Carrier, es

    probablemente uno de los mayores expertos mundiales en el tema.

  • La gente usa los ordenadores o medios de comunicacin para cometer delitos: enviar o

    comercializar pornografa, el lavado de dinero, extorsin, actividades terroristas, etc. El

    propsito que se persiguen en esta investigacin, es proporcionar avances del

    especialista forense as como su uso de herramientas, quien puede encontrar la

    evidencia, dado que no se borra la informacin por completo del computador o medio de

    almacenamiento de datos; cuando alguien quiere eliminar informacin para ocultar algn

    delito.

    Qu es la Informtica Forense?

    Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar,

    obtener y presentar datos que han sido procesados electrnicamente y guardados en un

    medio computacional. En nuestra Institucin Policial hemos complementado este

    concepto y la definimos como la ciencia que mediante la aplicacin de procedimientos

    tcnicos permite identificar, adquirir, preservar, analizar, presentar y sustentar la

    informacin que ha sido procesada electrnicamente y almacenada en un medio

    computacional [3].

    Importancia, Objetivos y Estudios de la Informtica Forense [4].

    Importancia:

    Segn estudios sobre delitos relacionados con la informtica, basados en el nmero de

    incidentes reportados por las entidades estatales y privadas y el sector bancario de

    nuestro pas, los crmenes informticos, su prevencin y procesamiento se vuelven cada

    vez ms importantes; sin embargo, la importancia real de la informtica forense proviene

    de sus objetivos.

    Objetivos:

    La informtica forense tiene 3 objetivos fundamentales que son:

    - La persecucin y procesamiento judicial de los delincuentes.

    - La compensacin de los daos causados por los criminales informticos.

    - La creacin y aplicacin de medidas para prevenir casos similares.

  • Estudios:

    Entre los estudios ms conocidos que permite la informtica forense y que est en

    capacidad de atender un Laboratorio de Informtica Forense son:

    - Recuperacin de evidencias en discos.

    - Reconstruccin de eventos (Web-Internet).

    - Acceso a archivos temporales y de cach.

    - Recuperacin de contraseas y archivos encriptados.

    - Deteccin y recuperacin de Virus, Troyanos y Spyware (es un tipo de software

    malicioso).

    - Deteccin de mensajes de gano grafa Anonimato (Dominio de escrituras Annimos).

    - Recuperacin del Registro de Windows.

    - Investigacin de informacin.

    Cabe resaltar que para la preservacin de estos datos es necesaria la copia del medio a

    analizar, algunos especialistas recomiendan hacer hasta tres copias de seguridad;

    siempre acompaados de otro especialista forense, de la misma capacidad de

    conocimiento, para futuros deslindes judiciales, as como tener una libreta de apuntes o

    bitcora, de todas las acciones seguidas, desde el momento en que se tuvo el medio

    sometido al anlisis.

    Pasos del cmputo forense [5].

    El proceso de anlisis forense a una computadora se describe a continuacin:

    Identificacin: Es muy importante conocer los antecedentes, situacin actual y el

    proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las

    bsquedas y la estrategia de investigacin. Incluye muchas veces la identificacin del

    bien informtico, su uso dentro de la red, el inicio de la cadena de custodia (proceso que

    verifica la integridad y manejo adecuado de la evidencia), la revisin del entorno legal

    que protege el bien y del apoyo para la toma de decisin con respecto al siguiente paso

    una vez revisados los resultados.

  • Preservacin: Este paso incluye la revisin y generacin de las imgenes forenses de

    la evidencia para poder realizar el anlisis. Dicha duplicacin se realiza utilizando

    tecnologa de punta para poder mantener la integridad de la evidencia y la cadena de

    custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que

    se requiere para generar una copia bit-a-bit de todo el disco, el cual permitir recuperar

    en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar

    la contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de

    hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una

    alteracin no deseada en los medios.

    Anlisis: Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por

    medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se

    pueden realizar bsquedas de cadenas de caracteres, acciones especficas del o de los

    usuarios de la mquina como son el uso de dispositivos de USB (marca, modelo),

    bsqueda de archivos especficos, recuperacin e identificacin de correos electrnicos,

    recuperacin de los ltimos sitios visitados, recuperacin del cach del navegador de

    Internet, etc.

    Presentacin: Es el recopilar toda la informacin que se obtuvo a partir del anlisis para

    realizar el reporte y la presentacin a los abogados, la generacin (si es el caso) de una

    pericial y de su correcta interpretacin sin hacer uso de tecnicismos.

    Dificultades del Investigador Forense [3]:

    El investigador forense requiere de varias habilidades que no son fciles de adquirir, es

    por esto que el usuario normal se encontrar con dificultades como las siguientes:

    1. Carencia de software especializado para buscar la informacin en varios

    computadores.

    2. Posible dao de los datos visibles o escondidos, an sin darse cuenta.

    3. Ser difcil encontrar toda la informacin valiosa.

    4. Es difcil adquirir la categora de 'experto' para que el testimonio personal sea vlido

    ante una corte.

  • 5. Los errores cometidos pueden costar caro para la persona o la organizacin que

    representa.

    6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar

    los datos como evidencia.

    7. Falta de experiencia para mostrar, reportar y documentar un incidente

    computacional.

    8. Dificultad para conducir la investigacin de manera objetiva.

    9. Dificultad para hacer correctamente una entrevista con las personas involucradas.

    10. Reglamentacin que puede causar problemas legales a la persona.

    Es por esto que, antes de lanzarse a ser un investigador forense, se necesita bastante

    estudio y experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de

    un accidente es aconsejable llamar a uno o varios expertos.

    Herramientas de Investigacin Forense [4]:

    En la actualidad existen cientos de herramientas; las cuales se pueden clasificar en

    cuatro grupos principales.

    - Herramientas para la Recoleccin de Evidencia

    - Herramientas para el Monitoreo y/o Control de Computadores

    - Herramientas de Marcado de documentos.

    - Herramientas de Hardware.

    Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe

    modificar la informacin se han diseado varias herramientas como DIBS "Portable

    Evidence Recovery Unit" (Prueba Porttil Unidad de Recuperacin).

    Algunas Herramientas:

    Sleuth Kit, Autopsy: ambos son de cdigo abierto herramientas digitales de

    investigacin (tambin conocido como herramientas digitales forenses) que se ejecutan

    en sistemas Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, Y

  • Solaris). Pueden ser utilizados para analizar NTFS, FAT , HFS +, ext2, ext3, UFS1 , y los

    sistemas de archivo UFS2 y varios tipos de sistemas de volumen.

    Py-Flag: es una herramienta avanzada para el anlisis e investigacin forense de

    grandes volmenes de archivos de registro.

    dcfldd - DD AIR: es una aplicacin de cdigo abierto que proporciona una interfaz

    grfica para los dd / dcfldd (conjunto de datos Definicin (dd)) de comandos. AIR est

    diseado para crear fcilmente discos forenses, solo para Linux y distribuciones.

    Foremost: es un programa de consola para recuperar archivos basndose en sus

    cabeceras, pies de pgina, y las estructuras internas de datos.

    Md5deep: es un conjunto de programas para calcular MD5, SHA-1, SHA-256, Tiger, o

    Whirlpool (son tcnicas de algoritmos, que nos permiten tener una marca especial en

    cada archivo, como las firmas o huellas digitales, son nicos), es capaz de examinar un

    rbol de todo el directorio. Es decir, calcular el MD5 para cada archivo en un directorio y

    para cada archivo de cada subdirectorio.

    Netcat: es una utilidad libre, de red; lee y escribe datos a travs de conexiones de red,

    usando el protocolo TCP / IP.

    Cryptcat: es una sencilla utilidad de Unix que lee y escribe datos a travs de conexiones

    de red, utilizando los protocolos TCP o UDP, una herramienta de exploracin, ya que

    puede crear casi cualquier tipo de conexin que se necesita.

    NTFS-Tools: proporciona acceso de lectura a unidades NTFS desde el entorno MS

    DOS. Soporta nombres de archivo largos, as como comprimidos y archivos

    fragmentados.

  • Qtparted: es un programa para Linux que se utiliza para crear, destruir, cambiar el

    tamao y la gestin de particiones (Libre).

    Regviewer: Es independiente de plataforma que permita un examen de los archivos de

    registro de Windows desde cualquier plataforma.

    F.I.R.E.: Destaca dentro de las distribuciones Linux especficas para informtica forense

    Sitio web: http://biatchux.dmzs.com

    WinHex: recuperacin de archivos, Editor Hexadecimal de Archivos, Discos y RAM

    Sitio web: http://www.x-ways.net (shareware)

    Snort: sistema de deteccin de intrusiones basado en red, tiene la capacidad para

    realizar anlisis en tiempo real del trfico y el registro de paquetes de Protocolo Internet

    (IP) (Libre) . Sitio web: http://www.snort.org

    Ossim: Herramienta de monitorizacin.

    Sitio web: http://www.ossim.net

    Ettercap: Excelente sniffer de redes.

    Sitio web: http://ettercap.sourceforge.net/

    NMap: (Network Mapper) Potente localizador de vulnerabilidades, software libre de

    utilidad para la exploracin de red o de auditora de seguridad.

    Sitio web: http://www.insecure.org/nmap/

    Nessus: Otro proyecto para scanear vulnerabilidades. (Sitio web: http://www.nessus.org)

    Ethereal: Otro potente sniffer.

    Sitio web: http://www.ethereal.com

  • Fport: Identifica puertos abiertos y aplicaciones asociadas a ellos.

    Sitio web: http://foundstone.com/

    Putty: Excelente cliente SSH (Secure Shell o SSH es una protocolo de red que permite

    el intercambio de datos utilizando una canal seguro entre dos dispositivos de red).

    Sitio web: http://www.chiark.greenend.org.uk/~sgtatham/putty/

    Stunnel: Programa que cifra las conexiones TCP bajo SSL (Secure Sockets Layer, el

    predecesor de Seguridad en el transporte de capa, un protocolo de comunicaciones).

    Sitio web: http://www.stunnel.org/

    AirSnort: Herramienta wireless para recuperar claves cifradas

    Sitio web: http://airsnort.shmoo.com/

    Aircrack: sniffer y WEP craqueador de wirless.

    Stio web: http://www.cr0.net:8040/code/network/

    Achilles: Herramienta para testear la seguridad de las aplicaciones web.

    sitio web: http://www.mavensecurity.com/achilles

    NetStumbler: Localizador de los puntos de acceso wirless (debes poseer tarjeta wirless

    para q funcione). Sitio web: http://www.stumbler.net/

    Dsniff: sniffer. Sitio Web: http://www.datanerds.net/~mike/dsniff.html

    VNC: Administrador remoto.

    Sitio web: http://www.realvnc.com/

    Autopsy: Browser para la informtica forense.

    Sitio web: http://www.sleuthkit.org

    PyFlag: Herramienta para recuperar discos en RAID.

  • Sitio web: http://pyflag.sourceforge.net/

    Promqry 1.0, PromqryUI 1.0 (interfaz grfico): Herramientas que le permiten detectar

    un sniffer de red que se ejecuta en un equipo que ejecuta Windows Server 2003 ,

    Windows XP o Windows 2000.

    Encase 4.20: Se escogi mostrar esta herramienta por tratarse del software lder en el

    mercado, el producto ms ampliamente difundido y de mayor uso en el campo del

    anlisis forense. Desarrollada por Guidance Software Inc.

    (http://www.guidancesoftware.com)

    EnCase es un software costoso, y en Estados Unidos los costos se dividen as:

    Gobierno y Educacin US$1,995

    Sector Privado US$2,495

    Al existir muchos programas para el servicio y uso del Analista Forense, tambin existen

    algunos programas que son mencionados, para este caso, pero los que no tiene una

    buena utilidad, tal es as como USBDeview 1.77, que solo muestra detalles de los USB

    conectados.

  • Conclusiones.

    El foco de la seguridad est centrado en la prevencin de ataques.

    Todo en el mundo tiene su lado opuesto, y la seguridad no es la excepcin, tiene la

    inseguridad, y esto muchas veces nos lleva a la destruccin de la informacin; que

    puede ser casual o intencionada, como se ha podido apreciar en este tema ya contamos

    con herramientas que pueden ser bajadas libremente, eso s teniendo el especial

    cuidado al manipularlas.

    Puede servir como apoyo a la Justicia y empresas particulares; a la investigacin sobre

    el efecto de algo sobre la comisin del delito para saber si ha sido accidental o

    intencionadamente, estas tcnicas y herramientas de la Informtica Forense, quien trata

    de obtener una radiografa del estudio del equipo (medios de comunicacin, discos

    duros, CD, DVD, USB, Diskettes, celulares, etc.) a quien se quiere hacer el estudio.

    Actualmente en que los medios de comunicacin, almacenamiento de datos, utilizan

    medios; en los cuales puede filtrarse algn delincuente informtico, este profesional en

    Informtica Forense, puede ayudar al deslinde o descubrir a intrusos en nuestros medios

    de comunicacin, as como de almacenamiento de datos.

  • BIBLIOGRAFIA:

    [1] Duffy, K., M. Davis, and V. Sethi. 2010. Demonstrating Operating System Principles via Computer

    Forensics Exercises. Journal of Information Systems Education 21, no. 2, (July 1): 195-202.

    http://www.proquest.com (accessed September 3, 2010).

    [2] Hosmer, C. 2006. Digital evidence bag, Communications, of the ACM, Vol. 49, No. 2, pages 69-70.

    [3] EE.UU. Departamento de Justicia. 2000. Recovering and Examining Computer Forensic Evidence

    (http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm (consultado: 11-09-2010).

    [4] scar Lpez , Haver Amaya, Ricardo Len (2001). Informtica Forense: Generalidades, Aspectos

    Tcnicos Y Herramientas. http://www.criminalistaenred.com.ar/Informatica_F.html (consultado: 13-09-

    2010).

    [5] Wikipedia (2010). Cmputo forense, http://es.wikipedia.org/wiki/Inform%C3%A1tica_forense,

    (consultado: 13-09-2010).