Universidad Americana Panamá     Kalimba.mp3                                                 Forense digital:    Las técni...
Universidad Americana PanamáLas evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y dejasus hu...
Universidad Americana Panamácliente. Si éste requiere presentar una denuncia judicial aportando como pruebas lasconclusion...
Universidad Americana Panamáverificados, de manera semejante a los normales (originales). Esta característica ahorracantid...
Universidad Americana PanamáExisten dos versiones: la registrada y la de demostración. La principal diferencia es queen la...
Universidad Americana PanamáCuando esto sucede no hay más que una solución posible, y esa es el análisis post-mortem. Para...
Upcoming SlideShare
Loading in...5
×

Forense digital

949

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
949
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Forense digital"

  1. 1. Universidad Americana Panamá Kalimba.mp3 Forense digital: Las técnicas de forense son la aplicación de una técnica de investigación metódica para reconstruir una secuencia de eventos. Las técnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. Existen dos aspectos de estas técnicas: que ha hecho la gente en su computador, esto incluye:o La recuperación de archivos eliminadoso Des encriptación elementalo Búsqueda de cierto tipo de archivoso Búsqueda de ciertas faseso Observación de áreas interesantes del computador que ha hecho un usuario remoto en la computadora de alguien más. Esto incluye:o Leer archivos de registroo Reconstruir accioneso Rastrear el origen Principios forenses: Existe un número de principios básicos que son necesarios al examinar un computador o un cadáver. Estos principios son: Evitar la contaminación Actuar metódicamente Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia Evitar la contaminación En televisión salen los examinadores forenses ataviados con batas blancas y Guantes, cogiendo todas las pruebas con pinzas y poniéndolas en bolsa de Plástico sellado. Todo ello es para prevenir la “contaminación”. Aquí es donde Luis Cristóbal Bósquez Ayala 8-799-693 4
  2. 2. Universidad Americana PanamáLas evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y dejasus huellas digitales en la hoja del cuchillo (¿te acuerdas de la película del Fugitivo?…Piensa en los problemas que llegó a tener). Actuar metódicamenteEn cualquier cosa que se haga, si tuvieras que ir a un juicio, necesitarías justificar todaslas acciones que hayas tomado. Si actúas de una manera científica y metódica, tomandocuidadosas notas de todo lo que haces y cómo lo haces, esta justificación es mucho másfácil. También permite a cualquier otra persona poder seguir tus pasos y verificar que túno has cometido ningún error que pueda poner en duda el valor de tu evidencia. Cadena de EvidenciasSiempre se debe mantener lo que se denomina la “Cadena de Evidencias”. Esto Significaque, en cualquier momento del tiempo, desde la detección de laEvidencia hasta la presentación final en el juicio, puedes justificar quién haTenido acceso y dónde ha sido. Esto elimina la posibilidad de que alguien hayaPodido sabotearlo o falsificarlo de alguna manera. MetodologíaComo en todo proceso de análisis existe una metodología a seguir que nos marca lospasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y conunos resultados altamente fiables.Estudio preliminar:En el primer paso nos hemos de plantear a la situación en la que nos encontramos:estado físico del disco, causas del posible fallo, sistema operativo, topología de la red,etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir parallegar a buen puerto.Adquisición de datos:En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar conellos en el laboratorio.Para esta fase la forma más común de realizarlo es mediante el comando de Linux, quenos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entoncesno tenemos más remedio que recurrir al uso de la cámara blanca.En esta fase ha de estar presente un notario para dar fe de los actos realizados.AnálisisProcedemos a realizar las comprobaciones necesarias y a la manipulación de los datos,para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico,o bien realizar una lectura a nivel físico y determinar la solución mediante los bits.PresentaciónDespués de un trabajo duro llega el momento de la entrega de los resultados obtenidos alLuis Cristóbal Bósquez Ayala 8-799-693 4
  3. 3. Universidad Americana Panamácliente. Si éste requiere presentar una denuncia judicial aportando como pruebas lasconclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez. Evidencia DigitalEl propio significado del concepto puede dar una orientación certera a su propiaexplicación, pues se trata nada más y nada menos que de demostrar una entrada,existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidenciadigital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto porejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa delanálisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamosfiabilidad en los datos.Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños ydificultades con los que nos encontremos, que pueden ir desde mirar la fecha demodificación o creación desde las propiedades del archivo, a mirar el log de acciones delos programas o del mismo sistema operativo, e incluso tener que leer la tabla deasignación de archivos del soporte.Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos anteun juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente hasucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyesreferentes a ello, cada juez lo valora subjetivamente como prueba válida o no. Herramientas para la Recolección de EvidenciaExisten una gran cantidad de herramientas para recuperar evidencia. El uso deHerramientas sofisticadas se hace necesario debido a:1. La gran cantidad de datos que pueden estar almacenados en un computador.2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aúndentro del contexto de un mismo sistema operativo.3. La necesidad de recopilar la información de una manera exacta, y que permita verificarque la copia es exacta.4. Limitaciones de tiempo para analizar toda la información.5. Facilidad para borrar archivos de computadores.6. Mecanismos de inscripción, o de contraseñas. EncaseENCASE es un ejemplo de herramientas de este tipo. Desarrollada por GuídenseSoftware Inc. Permite asistir al especialista forense durante el análisis de un crimendigital. Algunas de las características más importantes de encase se relacionan aContinuación:Copiado Comprimido de Discos Fuente.Encase emplea un estándar sin pérdida para crear copias comprimidas de los discosorigen. Los archivos comprimidos resultantes, pueden ser analizados, buscados yLuis Cristóbal Bósquez Ayala 8-799-693 4
  4. 4. Universidad Americana Panamáverificados, de manera semejante a los normales (originales). Esta característica ahorracantidades importantes de espacio en el disco del computador del laboratorio forense,permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando laevidencia y buscando en paralelo.Búsqueda y Análisis de Múltiples partes de archivos adquiridos.Encase permite al examinador buscar y analizar múltiples partes de la evidencia. Muchosinvestigadores involucran una gran cantidad de discos duros, discos extraíbles, discos“Zip” y otros tipos de dispositivos de almacenamiento de la información. Con Encase, elexaminador puede buscar todos los datos involucrados en un caso en un solo paso. Laevidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duroY ser examinada en paralelo por el especialista.Diferente capacidad de Almacenamiento.Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI,drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos oguardados en CD-ROM manteniendo su integridad forense intacta, estos archivos puedenser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de losespecialistas.Varios Campos de Ordenamiento,Incluyendo Estampillas de tiempo. Encase permiteal especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos,incluyendo campos como las tres estampillas de tiempo (cuando se creó, último acceso,última escritura), nombres de los archivos, firma de los archivos y extensiones.Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internosy meta-datos con la opción de montar directorios como un sistema virtual para lavisualización de la estructura de estos directorios y sus archivos, incluyendo el slackinterno y los datos del espacio unallocated. Herramientas para el Monitoreo y/o Control de ComputadoresAlgunas veces se necesita información sobre el uso de los computadores, por lo tantoexisten herramientas que monitorean el uso de los computadores para poder recolectarinformación. Existen algunos programas simples como key loggers o recolectores depulsaciones del teclado, que guardan información sobre las teclas que son presionadas,hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, ohasta casos donde la máquina es controlada remotamente . KeyLogger“KeyLogger” es un ejemplo de herramientas que caen en esta categoría. Es unaherramienta que puede ser útil cuando se quiere comprobar actividad sospechosa; guardalos eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla deretroceder, esto es guardado en un archivo o enviado por e-mail. Los datos generadosson complementados con información relacionada con el programa que tiene el foco deatención, con anotaciones sobre las horas, y con los mensajes que generan algunasaplicaciones.Luis Cristóbal Bósquez Ayala 8-799-693 4
  5. 5. Universidad Americana PanamáExisten dos versiones: la registrada y la de demostración. La principal diferencia es queen la versión registrada se permite correr el programa en modo escondido. Esto significaque el usuario de la máquina no notará que sus acciones están siendo registradas. Herramientas de Marcado de documentosUn aspecto interesante es el de marcado de documentos; en los casos de robo deinformación, es posible, mediante el uso de herramientas, marcar software para poderdetectarlo fácilmente. El foco de la seguridad está centrado en la prevención de ataques.Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos paravalidar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debeestar preparado para incidentes. Técnicas forenses en una máquina individualEsta es probablemente la parte más común en las técnicas de forense digital. Elexaminador forense puede estar buscando evidencia de fraude, como hojas financierasdispersas, evidencia de comunicación con alguien más, e-mail o libretas de direcciones oevidencia de una naturaleza particular, como imágenes pornográficas. En los discosduros, se puede buscar tanto en los archivos del usuario como en archivos temporales yen caches. Esto permite al examinador forense reconstruir las acciones que el usuario hallevado a cabo, que archivos ha accesado, y más.Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades quepor ejemplo, observar que contenía un disco antes de una formateada. Muchos de losarchivos que se detectan no pueden ser leídos inmediatamente, muchos programastienen sus propios formatos de archivo; sin embargo, también existen utilidades quepermiten saber cual tipo de archivo es. Técnicas forenses en una redLas técnicas forenses en una red se usan para saber donde se localiza un computador ypara probar si un archivo particular fue enviado desde un computador particular. Estastécnicas son muy complicadas, pero se puede investigar utilizando dos herramientasbásicas: Registros de firewalls Encabezados de correo Post-MortemHe aquí la palabra que encauza el título de nuestro artículo, el análisis post-mortem serealiza mayoritariamente para la recuperación de datos con los que poder trabajarposteriormente, obviamente para no tener que acudir a éste recurso se aconsejan lacopias de seguridad periódicas.Se puede decir que un disco duro ha "muerto" cuando su parte mecánica interna nofunciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja deser operativo.Luis Cristóbal Bósquez Ayala 8-799-693 4
  6. 6. Universidad Americana PanamáCuando esto sucede no hay más que una solución posible, y esa es el análisis post-mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cámarablanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjuntomecánico para su correcta lectura de datos.Hay que tener claro que un volcado no es lo mismo que una simple transferencia deficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno trasotro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de quelas copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado esun valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar queel proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara delmismo sistema justo antes de sufrir daños. Dificultades del Investigador ForenseEl investigador forense requiere de varias habilidades que no son fáciles de adquirir, espor esto que el usuario normal se encontrará con dificultades como las siguientes:1. Carencia de software especializado para buscar la información en variosComputadores.2. Posible daño de los datos visibles o escondidos, aún sin darse cuenta.3. Será difícil encontrar toda la información valiosa.4. Es difícil adquirir la categoría de experto para que el testimonio personal sea válidoante una corte.5. Los errores cometidos pueden costar caro para la persona o la organización querepresenta.6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar losdatos como evidencia.7. Falta de experiencia para mostrar, reportar y documentar un incidenteComputacional.8. Dificultad para conducir la investigación de manera objetiva.Luis Cristóbal Bósquez Ayala 8-799-693 4

×