LA IMPORTANCIA DEL MANEJO DE LA EVIDENCIA DIGITAL

Juan Carlos Velarde-Álvarez MansillaDiplomado Prevención de incidentes informáticos

INTRODUCCIONLa informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espacios donde es usada (por Ej. el Internet), y al extenso uso de computadores por parte de las compañías de negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la información queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la información de forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aquí que surge el estudio de la computación forense como una ciencia relativamente nueva. 1

INFORMATICA FORENSE“Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional”. 2

La informática forense, es el conjunto de técnicas científicas y analíticas especializadas en infraestructura tecnológica que permitan identificar, preservar, analizar y mostrar datos que sean válidos dentro de un proceso legal o cuando la situación lo requiera. A través del uso de tecnología de punta se busca mantener la integridad y procesamiento de los datos, para lo cual se requiere de una especialización y conocimientos avanzados en sistemas informáticos, que le permitan detectar dentro de cualquier dispositivo electrónico lo que esta sucediendo.

TERMINOLOGIA FORENSE

• Informática forense(3).- “También conocida como computación. la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional”.

• Forensia en redes(4) .- “Campo de la informática forense que se dedica a capturar, registrar, almacenar y analizar los eventos de la red”.

• Forensia digital(5).- “Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos…”

PARA QUE SIRVE LA INFORMATICA FORENSE

- La disciplina forense adaptada al ámbito de las nuevas tecnologías, surge como respuesta al auge delincuencial que utiliza como apoyo o medio cualquier soporte electrónico.En el momento actual son muchos los casos en los que se obtienen distintos medios de prueba, vitales para el éxito de una investigación, de discos duros, teléfonos móviles, PDAs ,sistemas GPS, etc.

- Permite garantizar la efectividad de las políticas de seguridad y la protección de la información como de las tecnologías que facilitan la administración de la misma.

OBJETIVOS DE LA INFORMATICA FORENSE

• Crear y aplicar políticas para prevenir posibles ataques y de existir antecedentes evitar casos similares.

• Perseguir y procesar judicialmente a los criminales.

• Compensar daños causados por los criminales o intrusos

USOS DE LA INFORMATICA FORENSE• Prosecución Criminal: Evidencia incriminatoria que puede ser usada

para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico de drogas, evasión de impuestos o pornografía infantil.

• Litigación Civil: En los procesos de investigación por fraude, discriminación, acoso, divorcio, etc.

• Investigación de Seguros: La evidencia encontrada en ordenadores puede ayudar a las compañías de seguros a disminuir los costos de reclamos por accidentes y compensaciones.

• Temas corporativos: En casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o de espionaje industrial.

• Mantenimiento de la ley: Para la consecución inicial de órdenes judiciales, y en la búsqueda de información una vez que se cuenta con una orden judicial para hacer la búsqueda exhaustiva.

EVIDENCIA DIGITAL

EVIDENCIA DIGITAL

Es toda información que se extrae de un medio electrónico, la cual debe cumplir con ciertas exigencias para su autentificación, debido a que este tipo de documentación digital no deja rastro alguno de ser copiado y en el intervalo puede modificarse. Por tal razón los investigadores deben generar varias copias y verificar durante el proceso de trabajo que no haya ninguna alteración.

DEFINICIONES DE EVIDENCIA DIGITAL(6)

• Evidencia Digital.- Es cualquier dato almacenado o

transmitido utilizando un computador que soporte o refute

una teoria de como una ofensa ocurrió. (Chisum 1999)

• Evidencia Digital.- Cualquier dato que puede establecer

que un crimen ha sido cometido o que suministre un

enlace entre el crimen y la víctima o entre el crimen y su

perpetrador. (Casey 2000)

CICLO DE LA EVIDENCIA DIGITAL

• Diseño de la evidencia • Producción de la evidencia • Recolección de la evidencia • Análisis de la evidencia • Reporte y presentación • Determinación de la relevancia de la evidencia

Alberto Oscar Uez

REGLAS DE LA EVIDENCIA DIGITAL• Admisible.- Debe ser capaz de ser utilizada en el proceso y aceptado

por el magistrado• Auténtica.- Debe ser capaz de demostrarse que la evidencia se

relaciona con el incidente de manera relevante.• Completa.- Las pruebas deben demostrar las acciones del acusado,

así como también puedan demostrar su inocencia. Si se pude demostrar que el acusado fue identificado en el momento del incidente, también es necesario demostrar quién más estaba conectado.• Segura y confiable.- La recolección de evidencia y procedimientos de

análisis no deben poner en duda la autenticidad de la evidencia y su veracidad. • Creíble.- Debe ser claramente comprensible y creíble a un juez. No

tiene sentido presentar un volcado binario de memoria si el juez no tiene idea. Del mismo modo, si se traduce a algo comprensible, debe ser capaz de mostrarse la relación con el binario original, de lo contrario no hay forma de que el juez sepa que no se fraguó.

CLASIFICACIÓN DE LA EVIDENCIA DIGITAL

• Registros generados por la computadora.- Son aquellos que resultan del uso de la PC, los cuales son inalterables por el usuario y pueden ser usados como prueba.

• Registros almacenados por o en computadores.- Son todos aquellos archivos creados por el usuario y almacenado en la PC. En este tipo de registro, es importante poder demostrar la identidad del creador, y probar lo afirmado en dicha evidencia misma es verídico.

• Registros híbridos.- Están formados por los registros generados y los almacenado por la PC.

DONDE ENCONTRAR EVIDENCIA DIGITAL

• Discos sólidos• Discos rígidos • Discos externos• Memorias USB• Palms• Celulares• Camaras digitales• Fax

TIPOS DE EVIDENCIA DIGITAL

• Documentos de Office: Word, excel. • Servicios de mensajería : E-mails, SMSs, etc• Imágenes digitales: fotos, videos, etc• Bases de datos• Ficheros de registro de actividad: LOGS• Evidencias de host: memoria, conexiones de

red, procesos, usuarios conectados, configuraciones de red, discos, etc.

DESAFIOS DE LA EVIDENCIA DIGITAL

• Volátil• Anónima• Duplicable• Contaminable • Modificable• Eliminable

MANIPULACIÓN DE LA EVIDENCIA DIGITAL

• La evidencia digital, al momento de ser recolectada no debe ser alterada por lo que se debe preservar la integridad del medio original que la contiene.

• Las personas que deben estar a cargo de este tipo de evidencias debe ser un profesionales especializado en el manejo de este tipo de información.

• Todas las actividades de recolección, almacenamiento o traslado de la evidencia digital, debe ser documentada, preservada y estar disponible para la revisión.

• Las personas a cargo de la evidencia digital, son las responsables de la misma.

CONSIDERACIONES EN EL MANEJO DE LA EVIDENCIA DIGITAL

• No se debe trabajar con datos originales, evidencias, dispositivos, etc.. • Se debe trabajar dentro del marco legal vigente y

las políticas de la Organización • Si los resultados pueden ser verificables y

reproducibles

DIFICULTADES EN LA RECOLECCION DE EVIDENCIA DIGITAL

• Ausencia de software especializado para buscar la información en varios computadores.

• Existe un alto índice de probabilidades de que estas pruebas puedan ser contaminadas aun sin darnos cuenta

• Dificultad para contar con software y hardware para almacenar, preservar y presentar los datos como evidencia.

• Falta de pericia para mostrar, reportar y documentar un incidente informático.

EVIDENCIA DIGITAL VISIBLE

• Documentos• Bases de datos y registros contables• Correos electrónicos• Fotos digitales• Archivos y carpetas eliminadas

EVIDENCIA DIGITAL INVISIBLE• Registro de usuarios del sistema y contraseñas• Logs • Actividad realizada en Internet • Ubicación geográfica de una computadora• Impresiones realizadas• Archivos eliminados• Remanentes de archivos• Medios removibles conectados•Trafico de red

ADMISIBILIDAD DE LA

EVIDENCIA DIGITAL (7)

La evidencia digital deben cumplir con algunos requerimientos para tener validez jurídica

• Autenticidad: La evidencia no ha sido modificada• Precisión: Tanto las herramientas, como los procedimientos

no deben presentar dudas, además debe estar relacionada con el incidente

• Suficiencia: Debe mostrar todo los eventos que relacionan a un incidente

HERRAMIENTAS FORENSES

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

pd Proccess Dumper - Convierte un proceso de la memoria a fichero.FTK Imager - Permite entre otras cosas adquirir la memoria.DumpIt - Realiza volcados de memoria a fichero.Responder CE - Captura la memoria y permite analizarla.Volatility - Analiza procesos y extrae información util para el analista.RedLine - Captura la memoria y permite analizarla. Dispone de entrono gráfico.Memorize - Captura la ram (Windows y OSX).

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA

MONTAJE DE DISCOSUtilidades para montar imágenes de disco o virtual izar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla.ImDisk - Controlador de disco virtual.OSFMount - Permite montar imágenes de discos locales en Windows asignando una letra de unidad.raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdkFTK Imager - Comentada anteriormente, permite realizar montaje de discos.vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos deWindows .LiveView - Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.MountImagePro - Permite montar imágenes de discos locales en Windows asignando una letra de unidad

HERRAMIENTAS DE DISCORecuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado comopor ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.PhotoRec - Muy útil, permite la recuperación de imágenes y vídeo.Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.NTFS Recovery - Permite recuperar datos y discos aún habiendo formateado el disco.Recuva - Utilidad para la recuperación de ficheros borrados.Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.Restoration - Utilidad para la recuperación de ficheros borrados.Freerecover - Utilidad para la recuperación de ficheros borrados.Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.analyzeMFT - David Kovar's utilidad en python que permite extraer la MFTMFT Extractor- Otra utilidad para la extracción de la MFTINDXParse - Herramienta para los indices y fichero $I30.MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFTMFT_Parser - Extrae y analiza la MFTPrefetch Parser - Extrae y analiza el directorio prefetchWinprefectchview - Extrae y analiza el directorio prefetchFileassassin - Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWAREPDF Tools de Didier Stevens.PDFStreamDumper - Esta es una herramienta gratuita para el análisis PDFs maliciosos.SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.Proccess explorer - Muestra información de los procesos.Captura BAT - Permite la monitorización de la actividad del sistema o de un ejecutable.Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellosBintext - Extrae el formato ASCII de un ejecutable o fichero.LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.Firebug - Analisis de aplicaciones web.IDA Pro - Depurador de aplicaciones.OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.

FRAMEWORKSConjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.Log2timeline - Es un marco para la creación automática de un super línea de tiempo.Plaso - Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.OSForensics - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.DFF - Framework con entorno gráfico para el análisis.SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy útil.

ANÁLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema,direcciones IP, información de aplicaciones.RegRipper - Es una aplicación para la extracción, la correlación, y mostrar la información del registro.WRR - Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.Registry Decoder - Extrae y realiza correlación aun estando encendida la máquina datos del registro

HERRAMIENTAS DE REDTodo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques.WireShark - Herramienta para la captura y análisis de paquetes de red.NetworkMiner - Herramienta forense para el descubrimiento de información de red.Netwitness Investigator - Herramienta forense. La versión 'free edition' está limitado a 1GB de tráfico.Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisición y análisis de la red.Xplico - Extrae todo el contenido de datos de red. Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.Snort - Detector de intrusos. Permite la captura de paquetes y su análisis.Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.AlientVault - Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.

RECUPERACIÓN DE CONTRASEÑASTodo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, ennavegadores.Ntpwedit - Es un editor de contraseña para los sistemas basados en Windows NT (como Windows 2000, XP,Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para ActiveDirectory.Ntpasswd - Es un editor de contraseña para los sistemas basados en Windows, permite iniciar la utilidad desdeun CD-LIVEpwdump7 - Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques porfuerza bruta.

DISPOSITIVOS MÓVILES

Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense dedispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero queson muy interesantes e importantes.

iPhoneiPhoneBrowser - Accede al sistema de ficheros del iphone desde entorno gráfico.iPhone Analyzer - Explora la estructura de archivos interna del iphone.iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad realizada anteriormente.iPhone Backup Browser - Extrae ficheros de una copia de seguridad realizada anteriormente.iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta concontraseñas simples (4 dígitos) y descifrar copias de seguridad.iPBA2 - Accede al sistema de ficheros del iphone desde entorno gráfico.sPyphone - Explora la estructura de archivos interna.

BlackBerry

Blackberry Desktop Manager - Software de gestión de datos y backups.Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.Blackberry Backup Extractor - Permite extraer, visualizar y exportar los datos de los archivos.

Android

android-locdump. - Permite obtener la geolocalización.androguard - Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSCviaforensics - Framework de utilidades para el análisis forense.Osaf - Framework de utilidades para el análisis forense.

PRODUCTOS COMERCIALESNo podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.UFED Standard (http://www.cellebrite.com)XRY (http://www.msab.com)Mobilyze (http://www.blackbagtech.com)SecureView2 (http://mobileforensics.susteen.com)MobilEdit! (http://www.mobiledit.com)Oxygen Forensic (http://www.oxygen-forensic.com)CellDEK (http://www.logicube.com)Mobile Phone Examiner (http://www.accessdata.com)Lantern (http://katanaforensics.com)Device Seizure (http://www.paraben.com)Neutrino (www.guidancesoftware.com)

REFERENCIAS

1.- Óscar López, Haver Amaya, Ricardo León, INFORMÁTICA FORENSE en: http://www.urru.org/papers/RRfraude/InformaticaForense_OL_HA_RL.pdf

2.- Juan David Gutierrez Giovanni,Informática Forense en: Zuccardihttp://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf

3.- Jeimy J. Cano, Ph.D, CFE , Introduccion a la Informatica Forense, en: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf

4.- Roberto Gomez Cardenas, Computo Forense en redes, en:http://www.cryptomex.org/SlidesForensia/ForensiaRedes.pdf

5.-Jose Galiel Solano Torres, Informática Forense, en : http://josemiguelapalucero.files.wordpress.com/2010/10/informatica-forense.pdf.

6 y 7 .- Andrés Almanza, Recolección de Evidencia en Ambientes de Red en: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Seguridad/AndresAlmanza-VJNSI.ppt.

WEBGRAFIA• http://laconsigna.files.wordpress.com/2008/05/informatica-

forense.pdf.• http://webcache.googleusercontent.com/search?

q=cache:ZTt_9TMDXUsJ:densi-unc.wikispaces.com/file/view/Evidencia%2Bdigital%2B-%2BAlberto%2BUez.ppt+&cd=1&hl=es-419&ct=clnk&gl=pe.

• http://www.slideshare.net/vaceitunofist/j-16621012• http://www.masterrecoverylab.co/recoforense.asp• http://www.ecured.cu/index.php/Inform

%C3%A1tica_Forense#Criterios_de_admisibilidad• http://forense-infor.blogspot.com/2009_06_01_archive.html• http://www.presman.com.ar/admin/archivospublicaciones/

archivos/Curso%20PGN_20100706100513.pdf• http://issaarba.org/sites/default/files/EventoIssaUTN/GP.pdf

MUCHAS GRACIAS

Correo electronico: juancvam@hotmail.comTweeter: @juancvamSkipe: juancvam