Informtica forense

1. Qu es la informtica forense? La informtica forense es un desafo interdisciplinario que requiere un estudio detallado de la tecnologa, los procesos y los individuos que permitan la conformacin de un cuerpo de conocimiento formal, cientfico y legal para el ejercicio de una disciplina que apoye directamente la administracin de la justicia y el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las organizaciones. En este sentido, se tienen agendas de investigacin a corto y mediano plazo para que se avancen en temas de especial inters en la conformacin y fortalecimiento de las ciencias forenses aplicadas a los medios informticos.

2. Procesos y caractersticas de la informtica forense: Considerando la fragilidad del insumo con el cual trabajan los especialistas en informtica forense, es preciso extremar las medidas de seguridad y control que stos deben tener a la hora de adelantar sus labores, pues cualquier imprecisin en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [WILSON 2003, TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E y LIEDERBACH, J. 2006]. En este sentido, detallamos de manera bsica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado: 2.1. Esterilidad de los medios de informticos de trabajo Los medios informticos utilizados por los profesionales en esta rea, deben estar certificados de tal manera, que stos no hayan sido expuestos a variaciones magnticas, pticas (lser) o similares, so pena de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas. La esterilidad de los medios es una condicin fundamental para el inicio de cualquier procedimiento forense en informtica, pues al igual que en la medicina forense, un instrumental contaminado puede ser causa de una interpretacin o anlisis errneo de las causas de la muerte del paciente. 2.2. Verificacin de las copias en medios informticos Las copias efectuadas en los medios previamente esterilizados, deben ser idnticas al original del cual fueron tomadas. La verificacin de stas debe estar asistida por mtodos y procedimientos matemticos que establezcan la completitud de la informacin traspasada a la copia. Para esto, se sugiere utilizar algoritmos y tcnicas de control basadas en firma digitales que puedan comprobar que la informacin inicialmente tomada corresponde a la que se ubica en el medio de copia. Adicionalmente, es preciso que el software u aplicacin soporte de esta operacin haya sido previamente probado y analizado por la comunidad cientfica,

para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal. 2.3. Documentacin de los procedimientos, herramientas y resultados sobre los medios informticos analizados El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del anlisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontacin sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicacin del mtodo cientfico es posible que un tercero reproduzca sus resultados utilizando la misma evidencia. 2.4. Mantenimiento de la cadena de custodia de las evidencias digitales Este punto es complemento del anterior. La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especia- les para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quin la entreg, cundo, en qu estado, cmo se ha transportado, quin ha tenido acceso a ella, cmo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administra- cin de las pruebas a su cargo. 2.5. Informe y presentacin de resultados de los anlisis de los medios informticos Este elemento es tan importante como los anteriores, pues una inadecuada presentacin de los resultados puede llevar a falsas expectativas o interpretacin de los hechos que ponga en entredicho la idoneidad del investigador. Por tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redaccin impecable sin juicios de valor y una ilustracin pedaggica de los hechos y los resultados, son elementos crticos a la hora de defender un informe de las investigaciones. Generalmente existen dos tipos de informes, los tcnicos con los detalles de la inspeccin realizada y el ejecutivo para la gerencia y sus dependencias. 2.6. Administracin del caso realizado Los investigadores forenses en informtica deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigacin o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo despus. Por tanto, el mantener un sistema automatizado de documentacin de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso.

2.7. Auditora de los procedimientos realizados en la investigacin Finalmente y no menos importante, es recomendable que el profesional investigador mantenga un ejercicio de autoevaluacin de sus procedimientos, para contar con la evidencia de una buena prctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA Planear, Hacer, Verificar y Actuar, sea una constante que per- mita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prcticas y tcnicas actuales para el mejoramiento de su ejercicio profesional y la prctica de la disciplina.

3. Herramientas o programas que se utilizan en informtica forense: - Sleuth Kit (Forensics Kit) - Py-Flag (Forensics Browser) - Autopsy (Forensics Browser for Sleuth Kit) - dcfldd (DD Imaging Tool command line tool and also works with AIR) - foremost (Data Carver command line tool) - Air (Forensics Imaging GUI) - md5deep (MD5 Hashing Program) - netcat (Command Line) - cryptcat (Command Line) - NTFS-Tools - Hetman software (Recuperador de datos borrados por los criminales) - qtparted (GUI Partitioning Tool) - regviewer (Windows Registry) - Viewer - X-Ways WinTrace - X-Ways WinHex - X-Ways Forensics - R-Studio Emergency (Bootable Recovery media Maker) - R-Studio Network Edtion - R-Studio RS Agent - Net resident - Faces - Encase - Snort - Helix 3.1. Herramientas para el anlisis de discos duros - AccessData Forensic ToolKit (FTK) - Guidance Software EnCase

3.2. Herramientas para el anlisis de correos electrnicos

Paraben

3.3. Herramientas para el anlisis de redes - E-Detective - Decision Computer Group - SilentRunner - Accessdata - Encase Enterprise Herramientas para filtrar y monitorear el trfico de una red tanto interna como a internet.

3.4. Herramientas para el anlisis de usb - USBDeview 4. Empresas peruanas que realizan computo forense - LABORATORIO VIRUS http://www.laboratoriovirus.com

5. Caso detallado sobre informtica forense

Cmputo forense en el caso Michael Jackson

Segn AP, la fiscala en el caso Michael Jackson ha solicitado los servicios de especialistas en forense digital para investigar en torno al caso el telfono celular del doctor acusado de la muerte del cantante. Cabe sealar que en su momento Stephen Marx testific que encontr correos electrnicos que el acusado, Dr. Conrad Murray habra enviado algunas horas antes de la muerte de Michael. Esto sucedi el 25 de junio de 2009. Ahora bien, no slo se har cmputo forense sobre los mensajes en el celular de Murray. El abogado titular de la defensa, Ed Chernoff dio a entender en una conferencia que el prximo testigo en el caso podra ser Stephen Marx, un examinador forense digital de la DEA (Drug Enforcement Administration) precisamente por el anlisis del iPhone de Murray. Si bien a principios del juicio habl sobre los correos electrnicos, recientemente ha comentado sobre mayores y mucho ms espectaculares hallazgos. El abogado de Distrito David Walgren coment en una de sus intervenciones que se pudo rescatar una grabacin de Jackson en comunicacin con Murray desde el iPhone del doctor. El audio muestra a un Michael Jackson hablando pausado, lentamente y arrastrando la voz. Algunas de las otras llamadas revelan la compra de propofol, entre ellas algunas que al parecer el Doctor no haba colgado por alguna omisin y que fueron escuchadas por el interlocutor. El caso de Michael Jackson, si bien no es el nico en el mundo o en Estados Unidos en que se aplica el cmputo forense, s sentar precedentes por la fuerte relevancia del mismo y el efecto meditico que causar.

Hoy, mucha gente desconoce el hecho que un telfono celular o un smartphone, como el caso del iPhone son equipos con capacidad de almacenamiento y con las consiguientes facilidades para su anlisis forense. Todo equipo mvil moderno tiene registros, en muchas ocasiones internos y no disponibles al usuario comn, pero que a travs de la investigacin o extraccin forense puede revelar suficiente informacin como para que pueda ser usada en una corte como evidencia dura. 6. Demostrar o buscar la forma o manera de realizar un cmputo forense a una pc
En las series de detectives, el investigador se sienta delante del ordenador del sospechoso, pulsa cuatro teclas y obtiene toda la informacin que buscaba. En la vida real no es tan sencillo, pero con las herramientas adecuadas es posible explorar un ordenador en pocas horas. En busca de qu? Pues de imgenes, texto, archivos borrados, registros de conversaciones, historiales web, contraseas y todos aquellos archivos que permiten rastrear la actividad de una persona en un ordenador. Por supuesto, muchas de estas utilidades tambin sirven para rescatar informacin propia.

Recuperar archivos y correos borrados

A menos que alguien lleve a cabo limpiezas peridicas del espacio vaco (por ejemplo, con Disk Wipe) o trabaje en entornos temporales (como Live-CD o mquinas virtuales), recuperar los archivos borrados no solo es posible, sino tambin muy sencillo.

Algunas de las herramientas ms eficaces para este cometido son DiskDigger, Recuva, Pandora Recovery oTestDisk, que rescata incluso particiones perdidas y sectores de arranque.

Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo nivel con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una buena opcin gratuita.

Rescatar las contraseas

La contrasea es un sistema de proteccin usado por muchos sitios web, programas de mensajera y herramientas ofimticas. Recolectar las claves existentes permite rescatar mucha informacin valiosa. BrowserPasswordDecryptor recupera navegadores web todas las contraseas almacenadas en los

MessenPass hace otro tanto con los usuarios y contraseas de Messenger, ICQ, Yahoo!... Mail PassView rescata las claves de las cuentas de correo locales (en Outlook, Eudora, Thunderbird, etc.) BulletsPassView, ShoWin y AsteriskKey desvelan las contraseas ocultas tras asteriscos WirelessKeyDump obtiene las contraseas de las redes WiFi FireMaster intenta recuperar la contrasea maestra de Firefox

Nirsoft y SecurityXploded tienen

muchas

herramientas

dedicadas

exclusivamente

la

recuperacin de contraseas, casi todas ejecutables desde memorias USB. Conviene recordar que solo obtienen contraseas almacenadas sin proteccin y que para romper el cifrado es necesario recurrir a ataques criptogrficos (por ejemplo, con Cain & Abel).

Escarbar en cachs e historiales

Cuando estamos usando ordenadores, pasamos gran parte de nuestro tiempo navegando y chateando. Esto genera subproductos en forma de texto e imgenes: la "basura" (cach) y los registros de actividad (historiales) que se guardan automticamente (a menos que se limpien peridicamente o se usen modos privados). Chat Sniper recopila historiales, imgenes y contactos de Messenger, AIM y Yahoo! Messenger IECacheView, MozillaCacheView, OperaCacheView y ChromeCacheView exploran la cach VideoCacheView est dedicado a los vdeos Flash que se guardan en la cach

MyLastSearch recopila las ltimas bsquedas llevadas a cabo en Google, Yahoo y Bing SkypeLogView sirve para ver cules fueron las ltimas llamadas hechas con Skype LiveContactsView enumera los detalles de los contactos de Windows Live Messenger FlashCookieView analiza las cookies Flash

Tambin hay utilidades especficas para ciertos escenarios. WinPrefetchView, por ejemplo, analiza la carpeta Prefetch en busca de datos asociados a los programas que se ejecutan con mayor frecuencia, mientras que Rifiutiescarba en la Papelera de reciclaje.

Buscar documentos y adjuntos de correo

Buscar documentos es un paso lgico en toda investigacin. FI Tools es capaz de encontrar ms de 4.000 tipos de archivos y explorar su contenido. Por otro lado, con la ayuda de DocFetcher y Metadata Extractor puedes buscar texto ymetadatos de los documentos del disco duro. Para buscar texto, Drive Look es particularmente eficaz.

OutlookAttachView es increblemente til. Para un backup rpido de los correos y adjuntos de Mozilla Thunderbird, MozBackup es la primera eleccin. Y si quieres un visor rpido, baja Mail Viewer.
Para rebuscar en los adjuntos de Outlook,

Buscar, clasificar y recuperar imgenes

Una versin portable de Picasa es el mejor aliado para buscar y organizar fotografas rpidamente, aunque Adobis Photo Sorter y Media Event Organizer tambin sirven para clasificar las imgenes en grupos.

Para recuperar fotografas borradas (sean autnticas o no), recomendamos Adroit Photo Recovery y Adroit Photo Forensics, dos herramientas de informtica forense especializadas en la recuperacin de imgenes.

Explorar disco duro y memoria

Al examinar un ordenador, necesitars una visin global de carpetas y archivos; SpaceSniffer, Scanner o WinDirStat Portable ofrecen resmenes rpidos del reparto de espacio en los discos usa getFolder y FileLister. duros. Para crear una base de datos de carpetas,

Por ltimo, puede darse el caso de que el ordenador al que has accedido est todava encendido y con programas abiertos. Comprueba qu archivos estn en uso con OpenedFilesView y analiza la memoria con la ayuda de un editor hexadecimal (por ejemplo, WinHex o HxD). Ms avanzados son MoonSols Windows Memory Toolkit y Volatility Framework, que analizan volcados de memoria y ficheros de hibernacin de Windows, trozos de memoria "congelados" que pueden contener informacin valiosa.

Suites: OSForensics y Windows File Analyzer

OSForensics es una suite de informtica forense con una serie de utilidades nicas: buscador de texto, ndice de contenidos del disco, analizador de actividad reciente, bsqueda de archivos borrados o discordantes y visor de memoria y disco.

La particularidad de OSForensics, adems de concentrar varias herramientas en una sola ventana, es su gestor de casos, til para organizar los datos de distintas investigaciones. Ms sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas (los archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial de Internet Explorer y basura de la Papelera.