• Like
Computacion forense
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Computacion forense

  • 5,821 views
Published

 

Published in Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
5,821
On SlideShare
0
From Embeds
0
Number of Embeds
3

Actions

Shares
Downloads
361
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. UNIVERSIDAD NACIONAL DEL CALLAO FACULTAD INGENIERÍA INDUSTRIAL Y DE SISTEMAS ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS N ACI O NAL D DE DE UNIVERS DA UNIVERSIDA L CALLAO L CALLAO 1966 COMPUTACIÓN FORENSEAlumna: Untiveros Morales, Miriam Bellavista-Callao 2010 1
  • 2. ÍNDICE1.- INTRODUCCIÓN…………………………………………………………………………………32.- COMPUTACIÓN FORENSE……………………………………………………………………4 DEFINICIÓN OBJETIVOS3.- FORENSIA EN REDES (NETWORK FORENSICS) ………………………………………5 FORENSIA DIGITAL (DIGITAL FORENSICS) IDENTIFICACIÓN DE LA EVIDENCIA DIGITAL4.- PRESERVACIÓN DE LA EVIDENCIA DIGITAL……………………………………………..6 ANÁLISIS DE LA EVIDENCIA DIGITAL PRESENTACIÓN DE LA EVIDENCIA DIGITAL5.- ORGANIZACIÓN INTERNA DE LABORATORIO………………………………………….76.- INGRESO DEL SECUESTRO………………………………………………………………….87.- PRESERVACIÓN………………………………………………………………………………..98.- ANÁLISIS…………………………………………………………………………………………109.- SOFTWARE FORENSE………………………………………………………………………..1110.- HARDWARE FORENSE………………………………………………………………………1311.- GUÍAS MEJORES PRÁCTICAS……………………………………………………………1412.- HERRAMIENTAS DE INFORMACIÓN FORENSE…………………………………………1613.- HERRAMIENTAS PARA LA RECOLECCIÓN DE EVIDENCIA…………………………1714.- WINHEX…………………………………………………………………………………………2015.- HERRAMIENTAS PARA EL MONITOREO Y/O CONTROL DE COMPUTADORES….2116.- HERRAMIENTAS DE MARCADO DE DOCUMENTOS ……………………………………22 2
  • 3. INTRODUCCIONLa informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, estodebido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espaciosdonde es usada (por Ej. El Internet), y al extenso uso de computadores por parte de las compañías de negociostradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la información quedaalmacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan lainformación de información forma tal que no puede ser recolectada o usada como prueba utilizando medioscomunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aquí que surge el estudio de lacomputación forense como una ciencia relativamente nueva.Resaltando su carácter científico, tiene sus fundamentos en las leyes de la física, de la electricidad y elmagnetismo. Es gracias a fenómenos electromagnéticos que la información se puede almacenar, leer e inclusorecuperar cuando se creía eliminada.La informática forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crímenesapoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebasdigitales.En este escrito se pretende mostrar una panorámica muy general de la Informática Forense, explicando en detallealgunos aspectos técnicos muchas veces olvidados en el estudio de esta ciencia. 3
  • 4. COMPUTACIÓN FORENSEDEFINICIÓN DE COMPUTACIÓN FORENSEEs el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmenteaceptableComputación forense (computer forensics) que entendemos por disciplina de las ciencias forenses, queconsiderando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en losmedios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como ladisciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos decomputación ofrece un análisis de la información residente en dichos equipos.OBJETIVOS DE LA COMPUTACIÓN FORENSELa informática forense tiene 3 objetivos, a saber:1. La compensación de los daños causados por los criminales o intrusos.2. La persecución y procesamiento judicial de los criminales.3. La creación y aplicación de medidas para prevenir casos similares.Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia. 4
  • 5. FORENSIA EN REDES (NETWORK FORENSICS)Es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos,configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momentoespecífico en el tiempo y un comportamiento particular.Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes decomputadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, losmovimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición decomputación forense, este contexto exige capacidad de correlación de evento, muchas veces disyuntos yaleatorios, que en equipos particulares, es poco frecuente.FORENSIA DIGITAL (DIGITAL FORENSICS)Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los mediosinformáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posiblesdelincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?,¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidosbien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones enel contexto de la administración de la inseguridad informática.IDENTIFICACIÓN DE LA EVIDENCIA DIGITALEn una investigación que involucra información en formato digital, se debe:  Identificar las fuentes potenciales de evidencia digital  Determinar qué elementos se pueden secuestrar y cuáles noSi se trata de un escenario complejo: Tomar fotografías del entorno investigado Documentar las diferentes configuraciones de los equipos, topologías de red y conexiones a Internet 5
  • 6. PRESERVACIÓN DE LA EVIDENCIA DIGITALAl trabajar con evidencia digital deben extremarse los recaudos a fin de evitar la contaminación de la prueba,considerando su fragilidad y volatilidad Mantenimiento de la Cadena de Custodia  Registro de todas la operaciones que se realizan sobre la evidencia digital  Resguardo de los elementos secuestrados utilizando etiquetas de seguridad Preservación de los elementos secuestrados de las altas temperaturas, campos magnéticos y golpes  Los elementos de prueba originales deben ser conservados hasta la finalización del proceso judicial Obtención de imágenes forenses de los elementos secuestrados  Por cuestiones de tiempo y otros aspectos técnicos, esta tarea se realiza una vez que ha sido secuestrado el elemento probatorio original  En caso de que la creación de una imagen forense no sea posible, el acceso a los dispositivos originales se realiza mediante mecanismos de protección contra escritura Autenticación de la evidencia original  Generación de valores hash –MD5 o SHA-1- a partir de los datos contenidos en los diferentes dispositivos secuestradosANÁLISIS DE LA EVIDENCIA DIGITALInvolucra aquellas tareas orientadas a localizar y extraer evidencia digital relevante para la investigaciónMediante la aplicación de diversas técnicas y herramientas forenses se intenta dar respuesta a los puntos depericia solicitados  El análisis de datos requiere un trabajo interdisciplinario entre el perito y el operador judicial –juez, fiscal- que lleve la causa  Tareas que se llevan a cabo dependiendo del tipo de investigación  Búsqueda de palabras claves o documentos en todo el espacio de almacenamiento del dispositivo investigado  Determinar si ciertas aplicaciones fueron utilizadas por un determinado usuario  Determinar qué tipo de actividad tenía el usuario en la Web, análisis del historial de navegación, análisis de correo electrónico, etc.PRESENTACIÓN DE LA EVIDENCIA DIGITALConsiste en la elaboración del dictamen pericial con los resultados obtenidos en las etapas anteriores La eficacia probatoria de los dictámenes informáticos radica fundamentalmente en la continuidad en el aseguramiento de la prueba desde el momento de su secuestro El dictamen debe ser objetivo y preciso, conteniendo suficientes elementos para repetir el proceso en caso de ser necesario (por ejemplo en un juicio oral) 6
  • 7. ORGANIZACIÓN INTERNA DE LABORATORIO  WORKFLOW DE LABORATORIO PERICIAL INFORMÁTICO 7
  • 8. INGRESO DEL SECUESTRORegistro de fotografías digitales en el CMSVerificación de la cadena de custodia 8
  • 9. PRESERVACIÓN 9
  • 10. ANÁLISISPRESENTACIÓN YENVÍO 10
  • 11. SOFTWARE FORENSEGeneración de una imagen forense para practicar la pericia informática 11
  • 12. 12
  • 13. HARDWARE FORENSE 13
  • 14. GUÍAS MEJORES PRÁCTICASA continuación se enuncian siete guías existentes a nivel mundial de mejores prácticas en computación forense.El RFC 3227: Guía Para Recolectar y Archivar EvidenciaEs un documento que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones.Muestra las mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar larecolección y determinar cómo almacenar y documentar los datos. También explica algunos conceptosrelacionados a la parte legal. Su estructura es:a) Principios durante la recolección de evidencia: orden de volatilidad de los datos, cosas para evitar, consideraciones de privacidad y legales.b) El proceso de recolección: transparencia y pasos de recolección.c) El proceso de archivo: la cadena de custodia y donde y como archivar.Guía de la IOCE Guía para las mejores prácticas en el examen forense de tecnología digitalEl documento provee una serie de estándares, principios de calidad y aproximaciones para la detecciónprevención, recuperación, examinación y uso de la evidencia digital para fines forenses.Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todoel proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en la corte. Suestructura es: a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal,documentación, herramientas y validación de las mismas y espacio de trabajo).b) Determinación de los requisitos de examen del caso.c) Principios generales que se aplican a la recuperación de la evidencia digital (recomendaciones generales,documentación y responsabilidad).d) Prácticas aplicables al examen de la evidencia de digital.e) Localización y recuperación de la evidencia de digital en la escena: precauciones, búsqueda en la escena,recolección de la evidencia y empaquetado, etiquetando y documentación.f) Priorización de la evidencia.g) Examinar la evidencia: protocolos de análisis y expedientes de caso.h) Evaluación e interpretación de la evidenciai) Presentación de resultados (informe escrito).j) Revisión del archivo del caso: Revisión técnica y revisión administrativa.k) Presentación oral de la evidencia.l) Procedimientos de seguridad y quejas. 14
  • 15. Guía DoJ 1: Investigación en la Escena del Crimen ElectrónicoEsta guía se enfoca más que todo en identificación y recolección de evidencia. Su estructura es:a) Dispositivos electrónicos (tipos de dispositivos se pueden encontrar y cuál puede ser la posible evidencia).b) Herramientas para investigar y equipo.c) Asegurar y evaluar la escena.d) Documentar la escena.e) Recolección de evidencia.f) Empaque, transporte y almacenamiento de la evidencia.g) Examen forense y clasificación de delitos.h) Anexos (glosario, listas de recursos legales, listas de recursos técnicos y listas de recursos de entrenamiento).Guía DoJ 2: Examen Forense de Evidencia DigitalOtra guía del DoJ EEUU, es “Examen Forense de Evidencia Digital” Esta guía está pensada para ser usada en elmomento de examinar la evidencia digital. Su estructura es:a) Desarrollar políticas y procedimientos con el fin de darle un buen trato a la evidencia.b) Determinar el curso de la evidencia a partir del alcance del caso.c) Adquirir la evidencia.d) Examinar la evidencia.e) Documentación y reportes.f) Anexos (casos de estudio, glosario, formatos, listas de recursos técnicos y listas de recursos de entrenamiento).Guía Hong Kong: Computación Forense - Parte 2: Mejores PrácticasEsta guía cubre los procedimientos y otros requerimientos necesarios involucrados en el proceso forense deevidencia digital, desde el examen de la escena del crimen hasta la presentación de los reportes en la corte. Suestructura es:a) Introducción a la computación forense.b) Calidad en la computación forense.c) Evidencia digital.d) Recolección de Evidencia.e) Consideraciones legales (orientado a la legislación de Hong Kong).f) Anexos.Guía Reino Unido: Guía De Buenas Prácticas Para Evidencia Basada En ComputadoresLa policía creó este documento con el fin de ser usado por sus miembros como una guía de buenas prácticas paraocuparse de computadores y de otros dispositivos electrónicos que puedan ser evidencia. Su estructura es: a) Los principios de la evidencia basada en computadores.b) Oficiales atendiendo a la escena.c) Oficiales investigadores.d) Personal para la recuperación de evidencia basada en computadores.e) Testigos de consulta externos.f) Anexos (legislación relevante, glosario y formatos)Guía Australia: Guía Para El Manejo De Evidencia En ITEs una guía creada con el fin de asistir a las organizaciones para combatir el crimen electrónico. Establece puntosde referencia para la preservación y recolección de la evidencia digital.Detalla el ciclo de administración de evidencia de la siguiente forma:a) Diseño de la evidencia.b) Producción de la evidencia.c) Recolección de la evidencia.d) Análisis de la evidencia.e) Reporte y presentación.f) Determinación de la relevancia de la evidencia. 15
  • 16. HERRAMIENTAS DE INFORMACIÓN FORENSEEn los últimos dos años se ha disparado el número de herramientas para computación forense, es posibleencontrar desde las más sencillas y económicas, como programas de menos de US$300, oo cuyas prestacioneshabitualmente son muy limitadas, hasta herramientas muy sofisticadas que incluyen tanto software comodispositivos de hardware. Otra situación que se ha venido presentando es el uso de herramientas tradicionalescomo los utilitarios.Con esa amplia gama de alternativas, si está pensando en adquirir una herramienta para computación forense, esnecesario tener claro primero que todo el objetivo que persigue, pues existen varios tipos básicos de herramientas,no todos los productos sirven para todo, algunos están diseñados para tareas muy especificas y más aún,diseñados para trabajar sobre ambientes muy específicos, como determinado sistema operativo.Siendo la recolección de evidencia una de las tareas más críticas, donde asegurar la integridad de esta esfundamental, es necesario establecer ese nivel de integridad esperado, pues algunas herramientas no permitenasegurar que la evidencia recogida corresponda exactamente a la original. Igual de importante es que durante larecolección de la evidencia se mantenga inalterada la escena del “crimen”Son todas estas consideraciones que se deben tener en cuenta a la hora de seleccionar una herramienta paraeste tipo de actividad, claro, además de las normales en cualquier caso de adquisición de tecnología, comopresupuesto, soporte, capacitación, idoneidad del proveedor, etc.De hecho una de las alternativas que siempre se deberá evaluar es si incurrir en una inversión de este tipo a laque muy seguramente se tendrá que adicionarle el valor de la capacitación que en algunos casos puede superarel costo mismo del producto, o, contratar una firma especializada para esta tarea, que generalmente cuentan nocon una sino con varias herramientas.En este parte se presenta una clasificación que agrupa en cuatro los tipos de herramientas de computaciónforense 16
  • 17. Herramientas para la recolección de evidencia.Las herramientas para la recolección de evidencia representan el tipo de herramienta más importante en lacomputación forense, porque su centro de acción está en el que para muchos es el punto central. Su uso esnecesario por varias razones:• Gran volumen de datos que almacenan los computadores actuales.• Variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismosistema operativo.• Necesidad de recopilar la información de una manera exacta, que permita verificar que la copia es fiel y ademásmantener inalterada la escena del delito.• Limitaciones de tiempo para analizar toda la información.• Volatilidad de la información almacenada en los computadores, alta vulnerabilidad al borrado, con una solainformación se pueden eliminar hasta varios gigabytes.• Empleo de mecanismos de encriptación, o de contraseñas.• Diferentes medios de almacenamiento, como discos duros, CDs y cintas.Por esto mismo, las herramientas de recolección de evidencia deben reunir características que permitan manejarestos aspectos, pero además incluir facilidades para el análisis como las que ofrecen EnCase de GuidanceSoftware y la familia de productos Image Máster de LawEnforcement & Comp. Forensic:ENCASEwww.encase.com/ El Estándar en Computación ForenseEl estándar a nivel mundial en computación forense: Utilizado por más de 12.000 investigadores y profesionalesde la seguridad.La policía, el gobierno, los militares y los investigadores corporativos confían en EnCase Edición Forense paraejecutar exámenes informáticos delicados y conclusivos. Guiados por nuestras relaciones con investigadores en elmundo entero, El programa EnCase ha sido optimizado para manejar la complejidad cada vez mayor de lasconfiguraciones y capacidades informáticas.El programa EnCase soporta un amplio rango de sistemas operativos, archivos y periféricos que son el desafío delos investigadores forenses diariamente. Como una herramienta seleccionada por la policía, el programa EnCaseha soportado numerosos desafíos en las cortes de justicia, demostrando su confiabilidad y exactitud.Recientemente, el Instituto Nacional para Estándares y Tecnología (NIST) concluyó que EnCase Imaging Engine(motor de creación de imágenes de discos) opera con mínimos defectos.Ninguna otra solución de computación forense tiene este record de credibilidad, otorgado por sus usuarios,agencias independientes y cortes de justicia. EnCase software fue premiado con el prestigioso premio eWEEK porla excelencia y un grado de 5 estrellas en SC Magazine.Alto rendimiento de procesamiento y confiabilidadLa clave para computación forense es la capacidad de adquirir y analizar datos rápidamente. EnCase EdiciónForense V4 le permite a los investigadores manejar fácilmente largos volúmenes de evidencia computacional, lavisualización de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no utilizado. Laincomparable funcionalidad del programa de EnCase permite a los investigadores llevar satisfactoriamente elproceso completo de investigación computacional, incluyendo reportes personalizados de búsquedas y susubicaciones. 17
  • 18. Adquisiciones forenses confiablesEl programa EnCase ejecuta adquisiciones de medios produciendo un duplicado binario exacto de los datos delmedio original. EnCase verifica este duplicado generando valores de hash MD5 en ambos medios (el original y elarchivo imagen o "archivo de evidencia"). Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valorCRC. Estos valores CRC son verificados cada vez que la evidencia es accesada.Flexibilidad extrema: EnScriptEnScript es un macro lenguaje de programación incluido en el programa EnCase. Emulando características deJava y C++, EnScript le permite al investigador construir scripts personalizados para necesidades específicas de lainvestigación y/o automatización de tareas rutinarias complejas. Mediante la automatización de cualquier tareainvestigativa, EnScript no solamente puede salvar días de investigación, si no semanas del tiempo de análisis.Características de encaseMúltiple administración de casosLa característica de múltiple administración de casos del programa EnCase, permite a los investigadores ejecutarsimultáneamente múltiples casos hacia diferentes objetivos con diversos medios.Soporte unicodeCuando un usuario visualiza un documento creado en un lenguaje diferente, el programa EnCase puede desplegarlos caracteres correctamente. Esta es una característica que le permite al programa EnCase buscar palabrasclaves y desplegar los resultados en cualquier lenguaje.Configuración dinámica de discosEl programa EnCase soporta las siguientes configuraciones dinámicas de discos: Spanned, Mirrored, Striped,RAID 5 y básico. Con el ingreso de un mínimo de información, por parte del investigador, el programa EnCasepuede detectar automáticamente la configuración de los discos y conectar todas las particiones, mientras que seconservan intactas las áreas libres y de arranque para futuras búsquedas.Búsqueda y análisis: palabras claves, búsqueda de hash y firmas, y filtrosEnCase Edición Forense V4 le permite a los investigadores analizar y pre visualizar simultáneamente múltiplesbloques de datos adquiridos. Los investigadores pueden utilizar búsquedas globales de palabras claves, análisisde hash, análisis de firmas de archivos y filtros específicos de archivos para analizar rápidamente la evidencia.Opciones de adquisición múltipleAl igual que existen muchas formas de medios digitales, existen muchas otras formas de adquisición de medios.EnCase incluye cables para puertos paralelos y cable de red cruzado para Windows y DOS. Ambos métodospermiten al programa "escribir bloques" para ser colocados en el medio sospechoso, asegurando que el mediooriginal no sea alterado.Sistemas de archivos (file systems) interpretados por EnCaseLos siguientes sistemas de archivos son actualmente soportados por EnCase Edición Forense Versión 4: FAT12(disco flexible), FAT16, FAT32, NTFS, HFS, HFS+, Sun Solaris UFS, EXT2/3, Reiser, BSD FFS, Palm, CDFS,Joliet, UDF e ISO 9660.Soporte para correo electrónico PSTEl programa EnCase soporta archivos PST que tengan cifrado compresible y cifrado completo, obviando el archivode contraseñas PST. 18
  • 19. Visor de galeríaEl visor de galería provee un método simple para visualizar rápidamente todas las imágenes en el archivo deevidencia. La galería despliega imágenes BMP, JPGs, GIFs y TIFFs.Visor de escala de tiempoEl visor de escala de tiempo le permite a los investigadores visualizar gráficamente toda la actividad de en unestilo de calendario, ilustrando los atributos del archivo, por ejemplo: cuándo el archivo fue creado, última vezaccesado o escrito. El visor de escala de tiempo puede mostrar escalas desde días hasta años, sirviendo comouna herramienta invaluable para mirar todos los patrones de actividad de archivos.Visor de reportesLos reportes pueden ser generados sobre cualquier archivo, carpeta, volumen, disco físico o el caso completo. Losreportes incluyen información referente a la adquisición de datos, geometría del disco, estructuras de carpetas,marcadores de archivos e imágenes. Los investigadores pueden exportar los reportes a formato RTF o HTML.EnCase módulo del sistema de archivos de cifrado (Encrypting File System . EFS)El módulo de EFS de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de archivoscifrados (EFS), para usuarios locales autenticados.EnCase módulo del sistema de archivos virtuales (Virtual File System . VFS)El módulo de VFS de EnCase permite a los examinadores montar la evidencia de un computador en modo delectura únicamente y fuera de la red, permitiendo la examinación adicional de la evidencia usando el explorador deWindows y herramientas de terceros.Módulo del servidor de autenticación en red (Network Authentication Server . NAS)El servidor de autenticación en red provee una completa flexibilidad en el licenciamiento del programa EnCase.NAS permite licenciar el programa EnCase de tres formas: Local en el computador del examinador, remotamentecon servicios de terminal y a través de red usando el administrador de licencias (License Manager).FORENSIC TOOLKITwww.accessdata.com/products/utk/Cualquier investigación informática forense produce una gigantesca cantidad depapeleo, ya que el objetivo de la investigación es documentar absolutamente todo loque se encuentra. Estos conjuntos de herramientas están diseñadas paraproporcionar al investigador con la forma probada y verdadera y plantillas quepermitirán al investigador para documentar todo lo que se encuentra. Sirven tambiéncomo una lista de control eficaz de la ayuda del equipo de investigación paragarantizar que no se pierda el paso y que todo se hace en el orden correcto. 19
  • 20. WINHEXwww.x-ways.net/forensics/index-m.html Software para informática forense y recuperación de archivos, Editor Hexadecimal de Archivos, Discos y RAMWinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la más potente utilidad de sistemajamás creada. Apropiado para informática forense, recuperación de archivos, peritaje informático,procesamiento de datos de bajo nivel y seguridad informática. Sus características incluyen:  Built-in interpretation of RAID systems and dynamic disks  Various data recovery techniques  Editor de RAM, una manera de editar RAM y la memoria virtual de otros procesos  Intérprete de Datos que reconoce hasta 20 tipos distintos de datos  Edición de estructuras de datos mediante plantillas  Concatenar, partir, unir, analizar y comparar archivos  Funciones de búsqueda y reemplazo especialmente flexibles  Clonado de discos, con licencia especialista también sobre DOS  Imágenes y Backus de discos (comprimibles o divisibles en archivos de 650 MB)  Programming interface (API) y scripts  Encriptación AES de 256 bits, checksums, CRC32, digests (MD5, SHA-1...)  Borrado irreversible de datos confidenciales/privados  Importación de todos los formatos de portapapeles  Formatos de conversión: Binario, Hex ASCII, Intel Hex y Motorola S  Juego de caracteres: ANSI ASCII, IBM ASCII, EBCDIC  Salto instantáneo entre ventanasExisten otros productos tradicionales cuyo objetivo primordial no es la computación forense, pero por incluirherramientas para la recuperación de archivos, en ocasiones pueden ser útiles, aunque la integridad de laevidencia recabada a través de estas herramientas podría estar más expuesta y su valor probatorio podría sermenor que el de evidencias obtenidas a través de herramientas altamente especializadas que garantizan laveracidad de la evidencia. Ejemplo típico de herramientas no propiamente forenses es Norton Systemworks yNorton Utilities. 20
  • 21. Herramientas para el monitoreo y/o control de computadoresSi se requiere conocer el uso de los computadores es necesario contar con herramientas que los monitoreen pararecolectar información. Existen herramientas que permiten recolectar desde las pulsaciones de teclado hastaimágenes de las pantallas que son visualizadas por los usuarios y otras donde las máquinas son controladasremotamente.Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas quemonitorean el uso de los computadores para poder recolectar información Existen algunos programas simplescomo key loggers o recolectores de pulsaciones del teclado que guardan información sobre las teclas que sonpresionadas. Estas herramientas pueden ser útiles cuando se quiere comprobar actividad sospechosa ya queguardan los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de retroceder, estoes guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informaciónrelacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajesque generan algunas aplicaciones.Existen otras que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde lamáquina es controlada remotamente.Es importante tener en cuenta que herramientas de este tipo han llegado a ser usadas con fines fraudulentos(captura de claves de los clientes en cafés Internet u otros sitios públicos). Se han detectado instalaciones remotasde sencillos programas que registran toda la actividad del usuario en el teclado, esta es almacenada en un archivoque es obtenido de forma remota por el perpetrador. El uso de estas herramientas debe estar plenamenteautorizada y un investigador no debería tomar el solo la decisión de su uso.KEYLOGGERKeyLogger es un ejemplo de herramientas que caenen esta categoría. Es una herramienta que puede serútil cuando se quiere comprobar actividad sospechosa;guarda los eventos generados por el teclado, porejemplo, cuando el usuario teclea la tecla deretroceder, esto es guardado en un archivo o enviadopor e-mail. Los datos generados son complementadoscon información relacionada con el programa que tieneel foco de atención, con anotaciones sobre las horas, ycon los mensajes que generan algunas aplicaciones.Existen dos versiones: la registrada y la dedemostración. La principal diferencia es que en laversión registrada se permite correr el programa enmodo escondido. Esto significa que el usuario de lamáquina no notará que sus acciones están siendoregistradas. 21
  • 22. HERRAMIENTAS DE MARCADO DE DOCUMENTOSUn aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible,mediante el uso de herramientas, marcar software para poder detectarlo fácilmente.El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan informaciónconfidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como unsitio 100% seguro, se debe estar preparado para incidentes.HERRAMIENTAS DE HARDWAREEl proceso de recolección de evidencia debe ser lo menos invasivo posible con el objeto de no modificar lainformación. Esto ha dado origen al desarrollo de herramientas que incluyen dispositivos como conectores,unidades de grabación, etc. Es el caso de herramientas como DIBS “Portable Evidence Recovery Unit” y unaserie de herramientas de Intelligent Computer Solutions; LinkMASSter Forensic Soft Case, LinkMASSter ForensicHard Case, Image MASSter Solo 2 Forensic Kit With Hard Case.Asimismo, debido a la vulnerabilidad de la copia y modificación de los documentos almacenados en archivosmagnéticos, los investigadores deben revisar con frecuencia que sus copias son exactas a las del disco delsospechoso y para esto utilizan varias tecnologías como checksums o Hash MD5. 22