Beruflich Dokumente
Kultur Dokumente
1. Qu es la informtica forense? La informtica forense es un desafo interdisciplinario que requiere un estudio detallado de la tecnologa, los procesos y los individuos que permitan la conformacin de un cuerpo de conocimiento formal, cientfico y legal para el ejercicio de una disciplina que apoye directamente la administracin de la justicia y el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las organizaciones. En este sentido, se tienen agendas de investigacin a corto y mediano plazo para que se avancen en temas de especial inters en la conformacin y fortalecimiento de las ciencias forenses aplicadas a los medios informticos.
2. Procesos y caractersticas de la informtica forense: Considerando la fragilidad del insumo con el cual trabajan los especialistas en informtica forense, es preciso extremar las medidas de seguridad y control que stos deben tener a la hora de adelantar sus labores, pues cualquier imprecisin en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [WILSON 2003, TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E y LIEDERBACH, J. 2006]. En este sentido, detallamos de manera bsica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado: 2.1. Esterilidad de los medios de informticos de trabajo Los medios informticos utilizados por los profesionales en esta rea, deben estar certificados de tal manera, que stos no hayan sido expuestos a variaciones magnticas, pticas (lser) o similares, so pena de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas. La esterilidad de los medios es una condicin fundamental para el inicio de cualquier procedimiento forense en informtica, pues al igual que en la medicina forense, un instrumental contaminado puede ser causa de una interpretacin o anlisis errneo de las causas de la muerte del paciente. 2.2. Verificacin de las copias en medios informticos Las copias efectuadas en los medios previamente esterilizados, deben ser idnticas al original del cual fueron tomadas. La verificacin de stas debe estar asistida por mtodos y procedimientos matemticos que establezcan la completitud de la informacin traspasada a la copia. Para esto, se sugiere utilizar algoritmos y tcnicas de control basadas en firma digitales que puedan comprobar que la informacin inicialmente tomada corresponde a la que se ubica en el medio de copia. Adicionalmente, es preciso que el software u aplicacin soporte de esta operacin haya sido previamente probado y analizado por la comunidad cientfica,
para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal. 2.3. Documentacin de los procedimientos, herramientas y resultados sobre los medios informticos analizados El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del anlisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontacin sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicacin del mtodo cientfico es posible que un tercero reproduzca sus resultados utilizando la misma evidencia. 2.4. Mantenimiento de la cadena de custodia de las evidencias digitales Este punto es complemento del anterior. La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especia- les para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quin la entreg, cundo, en qu estado, cmo se ha transportado, quin ha tenido acceso a ella, cmo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administra- cin de las pruebas a su cargo. 2.5. Informe y presentacin de resultados de los anlisis de los medios informticos Este elemento es tan importante como los anteriores, pues una inadecuada presentacin de los resultados puede llevar a falsas expectativas o interpretacin de los hechos que ponga en entredicho la idoneidad del investigador. Por tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redaccin impecable sin juicios de valor y una ilustracin pedaggica de los hechos y los resultados, son elementos crticos a la hora de defender un informe de las investigaciones. Generalmente existen dos tipos de informes, los tcnicos con los detalles de la inspeccin realizada y el ejecutivo para la gerencia y sus dependencias. 2.6. Administracin del caso realizado Los investigadores forenses en informtica deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigacin o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo despus. Por tanto, el mantener un sistema automatizado de documentacin de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso.
2.7. Auditora de los procedimientos realizados en la investigacin Finalmente y no menos importante, es recomendable que el profesional investigador mantenga un ejercicio de autoevaluacin de sus procedimientos, para contar con la evidencia de una buena prctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA Planear, Hacer, Verificar y Actuar, sea una constante que per- mita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prcticas y tcnicas actuales para el mejoramiento de su ejercicio profesional y la prctica de la disciplina.
3. Herramientas o programas que se utilizan en informtica forense: - Sleuth Kit (Forensics Kit) - Py-Flag (Forensics Browser) - Autopsy (Forensics Browser for Sleuth Kit) - dcfldd (DD Imaging Tool command line tool and also works with AIR) - foremost (Data Carver command line tool) - Air (Forensics Imaging GUI) - md5deep (MD5 Hashing Program) - netcat (Command Line) - cryptcat (Command Line) - NTFS-Tools - Hetman software (Recuperador de datos borrados por los criminales) - qtparted (GUI Partitioning Tool) - regviewer (Windows Registry) - Viewer - X-Ways WinTrace - X-Ways WinHex - X-Ways Forensics - R-Studio Emergency (Bootable Recovery media Maker) - R-Studio Network Edtion - R-Studio RS Agent - Net resident - Faces - Encase - Snort - Helix 3.1. Herramientas para el anlisis de discos duros - AccessData Forensic ToolKit (FTK) - Guidance Software EnCase
Paraben
3.3. Herramientas para el anlisis de redes - E-Detective - Decision Computer Group - SilentRunner - Accessdata - Encase Enterprise Herramientas para filtrar y monitorear el trfico de una red tanto interna como a internet.
3.4. Herramientas para el anlisis de usb - USBDeview 4. Empresas peruanas que realizan computo forense - LABORATORIO VIRUS http://www.laboratoriovirus.com
Hoy, mucha gente desconoce el hecho que un telfono celular o un smartphone, como el caso del iPhone son equipos con capacidad de almacenamiento y con las consiguientes facilidades para su anlisis forense. Todo equipo mvil moderno tiene registros, en muchas ocasiones internos y no disponibles al usuario comn, pero que a travs de la investigacin o extraccin forense puede revelar suficiente informacin como para que pueda ser usada en una corte como evidencia dura. 6. Demostrar o buscar la forma o manera de realizar un cmputo forense a una pc
En las series de detectives, el investigador se sienta delante del ordenador del sospechoso, pulsa cuatro teclas y obtiene toda la informacin que buscaba. En la vida real no es tan sencillo, pero con las herramientas adecuadas es posible explorar un ordenador en pocas horas. En busca de qu? Pues de imgenes, texto, archivos borrados, registros de conversaciones, historiales web, contraseas y todos aquellos archivos que permiten rastrear la actividad de una persona en un ordenador. Por supuesto, muchas de estas utilidades tambin sirven para rescatar informacin propia.
Algunas de las herramientas ms eficaces para este cometido son DiskDigger, Recuva, Pandora Recovery oTestDisk, que rescata incluso particiones perdidas y sectores de arranque.
Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo nivel con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una buena opcin gratuita.
MessenPass hace otro tanto con los usuarios y contraseas de Messenger, ICQ, Yahoo!... Mail PassView rescata las claves de las cuentas de correo locales (en Outlook, Eudora, Thunderbird, etc.) BulletsPassView, ShoWin y AsteriskKey desvelan las contraseas ocultas tras asteriscos WirelessKeyDump obtiene las contraseas de las redes WiFi FireMaster intenta recuperar la contrasea maestra de Firefox
muchas
herramientas
dedicadas
exclusivamente
la
recuperacin de contraseas, casi todas ejecutables desde memorias USB. Conviene recordar que solo obtienen contraseas almacenadas sin proteccin y que para romper el cifrado es necesario recurrir a ataques criptogrficos (por ejemplo, con Cain & Abel).
MyLastSearch recopila las ltimas bsquedas llevadas a cabo en Google, Yahoo y Bing SkypeLogView sirve para ver cules fueron las ltimas llamadas hechas con Skype LiveContactsView enumera los detalles de los contactos de Windows Live Messenger FlashCookieView analiza las cookies Flash
Tambin hay utilidades especficas para ciertos escenarios. WinPrefetchView, por ejemplo, analiza la carpeta Prefetch en busca de datos asociados a los programas que se ejecutan con mayor frecuencia, mientras que Rifiutiescarba en la Papelera de reciclaje.
OutlookAttachView es increblemente til. Para un backup rpido de los correos y adjuntos de Mozilla Thunderbird, MozBackup es la primera eleccin. Y si quieres un visor rpido, baja Mail Viewer.
Para rebuscar en los adjuntos de Outlook,
Para recuperar fotografas borradas (sean autnticas o no), recomendamos Adroit Photo Recovery y Adroit Photo Forensics, dos herramientas de informtica forense especializadas en la recuperacin de imgenes.
Por ltimo, puede darse el caso de que el ordenador al que has accedido est todava encendido y con programas abiertos. Comprueba qu archivos estn en uso con OpenedFilesView y analiza la memoria con la ayuda de un editor hexadecimal (por ejemplo, WinHex o HxD). Ms avanzados son MoonSols Windows Memory Toolkit y Volatility Framework, que analizan volcados de memoria y ficheros de hibernacin de Windows, trozos de memoria "congelados" que pueden contener informacin valiosa.
La particularidad de OSForensics, adems de concentrar varias herramientas en una sola ventana, es su gestor de casos, til para organizar los datos de distintas investigaciones. Ms sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas (los archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial de Internet Explorer y basura de la Papelera.