POTENCIALIDADES DEL SOFTWARE ENCASE PARA EL ANLISIS FORENSE.

MAGDA LILIANA MALDONADO CARLOS ALBERTO MORENO EMERSON CCERES HERRERA

UNIVERSIDAD DE INVESTIGACIN Y DESARROLLO UDI ESPECIALIZACIN SEGURIDAD INFORMTICA BUCARAMANGA 2012

POTENCIALIDADES DEL SOFTWARE ENCASE PARA EL ANLISIS FORENSE.

MAGDA LILIANA MALDONADO CARLOS ALBERTO MORENO EMERSON CCERES HERRERA

Trabajo de Monografa para optar al ttulo de Especialista en Seguridad Informtica

Director: INGENIERO FERNANDO BARAJAS

UNIVERSIDAD DE INVESTIGACIN Y DESARROLLO UDI ESPECIALIZACIN SEGURIDAD INFORMTICA BUCARAMANGA 2012

Nota de Aceptacin

______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________

______________________________________ Firma Presidente del Jurado .

______________________________________ Firma del Jurado .

______________________________________ Firma del Jurado .

Bucaramanga, Julio de 2012

Contenido

1. INTRODUCCIN 2. PLANTEAMIENTO DEL PROBLEMA 3. OBJETIVOS 3.1. Objetivo General 3.2. Objetivos Especficos 4. JUSTIFICACIN 5. MARCO DE REFERENCIA 5.1. ANTECEDENTES 5.2. MARCO TERICO

12 14 16 16 16 17 19 19 27

5.2.1.Evidencia Digital... 28 5.2.2. Clasificacin de la evidencia digital. 29 5.2.3. Manipulacin de la evidencia digital.. 32 5.2.4. Gestin de la Evidencia digital....33 5.3 MARCO TECNOLGICO 5.4 MODELOS 36 39

5.4.1. CARACTERSTICAS DE EnCase..41 6. METODOLOGA 6.1 PLANEACIN DEL TRABAJO 6.2 APLICACIN DE TCNICAS DE INVESTIGACIN 6.3 ANLISIS DE LA INFORMACIN 6.4 ESTRUCTURACIN DEL MANUAL 6.5 VALIDACIN DE LA INFORMACIN 6.6 AUTORIZACIN DEL MANUAL 6.7 DESARROLLO 45 45 46 47 47 48 48 48
4

6.7.1. Configuracin de encase. 6.7.2. Encase en red 6.7.3.Caracteristicas de EnCase 6.7.4. Archivos de copias de seguridad. 6.7.5. Creacin de un nuevo caso. 6.7.6. Guardar el caso. 6.7.7. Agregar dispositivos de evidencia. 6.7.8. Atributos del dispositivo de evidencia. 6.7.9. Inicio de la verificacin de la informacin comprometida. 6.7.10. Creacin de la imagen forense 6.7.11. Adicionar la imagen al caso 6.7.12. Clculo de sumas de verificacin (Hashing) 6.7.13. Recuperacin de archivos eliminados 6.7.14. Tcnicas avanzadas de bsqueda 6.7.15. Crear palabras claves a partir del encabezado. 6.7.16. Reportes 6.7.17. Personalizar la presentacin de los valores del reporte 6.7.18.Exportando Reportes en formato RTF y HTML 6.7.19. Condiciones y consultas

49 53 55 60 62 64 65 67 68 69 70 76 81 87 91 95 99 101 103

7 CONCLUSIONES Y RECOMENDACIONES 8 REFERENCIAS

109 110

Lista de figuras

Figura 1. EnCase Forensic Figura 2. Disco duro Figura 3. Tableau TDA5-ZIF Figura 4. Bloqueo de discos duros Figura 5. Adaptador puentes Tableau - Bloqueo de discos duros Figura 6. EnCase Modo Acquisition Figura 7. Ubicacin del archivo de seguridad Default.nas Figura 8. Ubicacin del archivo de seguridad SAFE.SAFE Figura 9. Herramienta opciones Figura 10. Archivos correspondientes a los certificados de EnCase Figura 11. Direccionar un equipo al servidor de EnCase Figura 12. Acerca de EnCase Figura 13. Interfaz grfica de EnCase Figura 15. Panel de reportes o Report Panel Figura 14. Panel de directorios o rbol de evidencia Figura 16. Panel vista o Panel View Figura 17. Panel de filtros Figura 18. Control de Backups Figura 19. Crear la estructura de directorio Figura 20. Confirmar los directorios de las carpetas para el caso Figura 21. Guarde el nuevo archivo de caso Figura 22. Agregar dispositivo para adicionar un archivo de evidencia Figura 23. Seleccionar dispositivo que se adicionar al caso Figura 24. Editar el nombre de la evidencia. Figura 25. Indicar atributos Figura 26. El archivo de evidencia se agrega al caso Figura 27. Informacin contenida en el dispositivo de evidencia Figura 28. Creacin de Imagen Figura 29. Propiedades de la imagen forense

36 37 38 38 39 49 50 50 51 52 53 55 56 57 57 59 59 60 62 63 64 65 66 66 67 68 69 70 71
6

Figura 30. Progreso de adquisicin de la imagen Figura 31. Ventana de estado Figura 32. Ventana de verificacin Figura 33. Vista Reporte Figura 34. Seleccionar todo los archivos para el hash Figura 35. Calculando los valores hash Figura 36. Ventana de estado de generacin de Hash Figura 37. Visualizando archivos analizados mediante hashing Figura 38. Modificar la informacin de zona horaria Figura 39. Configurar el archivo de evidencia en Hora Local Figura 40. Recuperacin de archivos Figura 41. Exportar los archivos seleccionados Figura 42. Caractersticas de la exportacin Figura 43. Ubicacin de los archivos exportados Figura 44. Informe final del destino de los archivos exportados Figura 45. Informe de exportacin de archivos Figura 46. Encabezado de una imagen en los clster no asignados Figura 47. Creacin de palabras claves. Figura 48. Trminos de bsqueda Figura 49. Opciones de bsqueda Figura 50. Palabra clave creada Figura 51. Resultados de la bsqueda avanzada Figura 52. Marcador al disco fsico Figura 53. Creacin de la carpeta con la informacin del dispositivo. Figura 54. Informacin del dispositivo Fsico Figura 55. Informe del caso Figura 56. Modificacin de la presentacin de los archivos Figura 57. Reporte de la investigacin Figura 58. Almacenamiento del reporte exportado Figura 59. Creando nueva carpeta para almacenar condiciones Figura 60. Creando una nueva condicin en la nueva carpeta

72 73 74 75 77 78 79 80 82 83 84 85 85 86 86 87 91 92 93 94 94 95 96 97 98 99 100 101 102 104 105

7

Figura 61. Cuadro de dialogo nueva condicin Figura 62. Crear criterio de condicin Figura 63. Filtro para archivos con extensin jpeg Figura 64. Nueva condicin creada Figura 65. Ejecucin de la condicin de bsqueda

105 106 107 107 108

Lista de Tablas

Tabla 1. Antecedentes - fraude empresarial ................................................. 20 Tabla 2. Antecedentes - Denuncia en el departamento de sistemas. ........... 21 Tabla 3. Antecedentes - Recuperacin y anlisis de informacin ................ 23 Tabla 4. Antecedentes - Manipulacin de material probatorio ...................... 24 Tabla 5. Antecedentes - Peritaje en Paraguay ............................................. 26 Tabla 6. Smbolos para bsqueda de palabras de forma avanzada ............. 89

RESUMEN

El software EnCase es una sistema de computacin forense reconocido a nivel mundial producido y licenciado por Guidance Software, es por esta razn que no es sencillo para el estudiante encontrar informacin en internet o en medios impresos que le permitan avanzar de forma gil en el aprendizaje acerca del uso de ste.

Este trabajo proporciona al estudiante un panorama amplio de las principales potencialidades de EnCase dejando a disposicin de estos un material sencillo, de fcil acceso y uso, con ejemplos prcticos que se realizaron usando como evidencia un dispositivo Usb en el cual se desarrolla desde la creacin de un hash que le permitir darle validez jurdica a la evidencia hasta la recuperacin de archivos eliminados que son claves para la investigacin, esta informacin es fundamental para llevar a cabo el manejo de este software y le dar un panorama amplio de conocimiento que le permita realizar sus propios avances.

La recopilacin de la informacin acerca de EnCase ha sido tomada de diversas fuentes incluyendo fuentes en Internet que permiten conocer la importancia que tiene este software en el mbito jurdico a nivel mundial y la confianza que representa para los investigadores trabajar con sta herramienta, fuentes impresas de carcter especializado y tres fuentes humanas que nos han compartido sus conocimientos adquiridos a travs de muchos aos de experiencia profesional en el mbito de la investigacin y la informtica forense pertenecientes especficamente como peritos

informticos, el actual jefe de delitos informticos de la DIJIN y el actual jefe de delitos informticos de CTI seccional Bucaramanga pertenecientes a la polica nacional y la fiscala general de la nacin respectivamente.

10

GLOSARIO Algoritmo MD5, Bsqueda en datos electrnicos, Clonacin de Discos Duros, Cadena de Custodia, Delito informtico, Evidencia, Evidencia Digital, Funcin Hash, Imagen Forense, Sistema de archivos. : Un sistema de archivos define cmo se organizan los datos (archivos con sus metadatos, carpetas y sus metadatos, espacio libre) en una particin. Hay varios tipos diferentes de sistemas de archivos, unos procedentes del mundillo Unix/Linux y otros no. Ejemplos de sistemas de archivos comnmente utilizados en Unix/Linux son ext2, ext3, reiserfs y xfs.

Su funcin es decirle al ordenador el tipo de fichero que es y qu se debe hacer con l cuando es abierto o ejecutado. Cuando el sistema operativo detecta que un archivo es ejecutado, el registro es consultado donde estn almacenados una lista de tipos de fichero con sus extensiones. Esta lista contiene las acciones posibles para ese archivo en particular, el software que se supone que tiene que abrir el fichero, y donde est localizado ese software en el ordenador.

11

INTRODUCCIN

El avance de la tecnologa y la llegada de la era de informacin han generado un gran impacto a nivel mundial penetrando tanto en nuestras vidas que esta se ha convertido en un producto fundamental de consumo. Actualmente en nuestro pas que es considerado un pas en desarrollo existen 3,2 millones de conexiones a internet segn un informe presentado por el Ministerio de Tecnologas de la Informacin y las Comunicaciones (TIC), a nivel mundial las cifras son mucho ms grandes, segn las

estadsticas de la Comisin de Regulacin de Telecomunicaciones (CRT), estas conexiones en Colombia para el 2009 representan el 7,3 por ciento de las conexiones de Amrica Latina y el 0,46 por ciento del mundo. Teniendo en cuenta que una conexin puede ser usada en un hogar por varias personas esta cifra nos muestra la gran cantidad de personas que hay conectadas a la red de internet enviando y recibiendo informacin a travs de computadoras o dispositivos mviles

Internet se ha convertido en una fuente de informacin elemental para todas las personas por su disposicin y fcil accesibilidad, pero a su vez se ha convertido en un universo de informacin y un espacio que brinda datos valiosos de los usuarios a los delincuentes haciendo que las cifras de Cibercrimen asciendan diariamente, en el mbito tecnolgico se puede cometer delitos que van desde actos terroristas hasta pornografa infantil o el acoso conocido comnmente en este medio como ciberbullying. En el mbito de la seguridad informtica estas crecientes cifras permiten a los investigadores tener un amplio campo de exploracin, pues al igual que las grandes cifras de dispositivos usados para conexin a internet tambin existen gran cantidad de dispositivos de almacenamiento de informacin como Usb, discos duros porttiles, cmaras fotogrficas, etc, todos estos con

12

grandes cantidades de informacin de los usuarios que pueden arrojar informacin clave para resolver un caso delictivo.

Teniendo en cuenta las cifras anteriores podemos entender la necesidad de herramientas que les permitan a los investigadores la toma de evidencia digital que les permita llevar a cabo sus investigaciones de forma segura, con la confianza de encontrar evidencia suficiente para esclarecer un caso delictivo, para ello se han desarrollado herramientas como EnCase, un

software que permiten a los profesionales de la seguridad informtica ejecutar exmenes informticos delicados y conclusivos. El programa EnCase soporta un amplio rango herramientas que permiten dar solucin a casos que son un reto constante para los investigadores forenses.

Teniendo en cuenta los altos ndices de delitos informticos cometidos a diario, el trabajo que esto implica para los investigadores informticos y la importancia que tiene el software en este medio a nivel mundial, se considera de vital importancia el conocimiento de la herramienta EnCase lo que motiva el desarrollo de una herramienta desarrollada con el objetivo de entregar una base fundamental en el conocimiento de EnCase y sus potencialidades al momento de evaluar una evidencia.

13

PLANTEAMIENTO DEL PROBLEMA

La Universitaria de Investigacin y Desarrollo -UDI-, es una institucin que tiene como propsito formar profesionales integrales con pensamiento universal y crtico, profesionales que a travs de la ciencia y la tecnologa, aporten valor agregado al desarrollo humano, econmico y social de la regin y del pas, soportados en los objetivos establecidos por la ley y enmarcados dentro de los estndares de calidad de la Educacin Superior.

La UDI en su programa de Especializacin en Seguridad Informtica busca ofrecer a los estudiantes escenarios de casos reales que busquen construir un contexto de aprendizaje prctico alrededor de la inseguridad propia de los sistemas, para desarrollar un marco de gestin adecuado y coherente con la informacin crtica de la organizacin; de esta manera y con el fin de llevar a cabo estos propsitos la Universitaria de Investigacin y Desarrollo ha adquirido equipo tecnolgico de anlisis forenses para el desarrollo de actividades que mejoren la calidad en el contenido de la misma, por este motivo y con el propsito de lograr el mayor beneficio posible a este material es preciso llevar a cabo estudios de los mismos que permitan conocer su funcionamiento y manejo de forma detallada y de esta forma poder darle un uso ptimo a estas herramientas.

Una de las herramientas adquiridas por la Universitaria de Investigacin y Desarrollo UDI es el software ENCASE que permite la visibilidad completa de la red para investigaciones internas, seguridad de la red, descubrimiento electrnico y cumplimiento de polticas en las empresas y/o en instituciones gubernamentales; esta herramienta es de ltima generacin pero solo es manejada por personal especializado, esto se debe a la falta de documentacin, informacin y complejidad que implica el manejo de las mismas.
14

La solucin que se plantea en este trabajo es el desarrollo de una investigacin que se enfocar en las principales potencialidades que ofrece el software Encase de forma que se pueda conocer su uso ptimo, indagar a fondo en las diferentes fuentes de informacin que proporciona la internet y los medios impresos a fin de obtener su mxima potencialidad.

Con el objetivo de dar un buen uso de la informacin recolectada a partir de la investigacin y de acuerdo con los datos recolectados se definen los parmetros para mejorar la presentacin de la informacin.

Es necesaria la clara documentacin y presentacin de la informacin sobre el uso del software ENCASE adquirido por la Universitaria de Investigacin y Desarrollo, con el propsito de ponerlo a disposicin de los estudiantes.

15

OBJETIVOS

3.1

OBJETIVO GENERAL

Documentar las potencialidades que ofrece el software ENCASE para el anlisis forense, a partir de una revisin en las diferentes fuentes de informacin que proporciona la internet y los medios impresos de sus caractersticas y la formulacin de actividades de uso, ofreciendo a las siguientes cohortes de la Especializacin en Seguridad Informtica, informacin adecuada y pertinente para facilitar el uso de estas herramientas.

3.2

OBJETIVOS ESPECFICOS

Recopilar informacin acerca de los procedimientos de anlisis forense y el software que los apoya, a partir de una revisin en diferentes fuentes documentales y entrevistas con personal especializado y capacitado en su uso.

Organizar la informacin de manera que sea de fcil acceso a los usuarios, de acuerdo al material recolectado, con parmetros que faciliten la consulta de la informacin.

Documentar el uso del software ENCASE adquirido por la Universitaria de Investigacin y Desarrollo, en la realizacin de procedimientos forenses, planteando un conjunto de por lo menos 3 actividades de uso que muestren sus caractersticas.

16

JUSTIFICACIN

Es una realidad que en nuestra sociedad es necesario adquirir en poco tiempo ciertas competencias acordes a la alta exigencia competitiva de las empresas y las condiciones cambiantes del contexto en el cual se desenvuelven. Para el logro de esto el aprendizaje por medio de la experiencia es una herramienta muy til1. En definitiva, el experimento es una instancia clave del aprendizaje, ya que otorga el conocimiento requerido para comprender los mecanismos lgicos y empricos2.

Basados en lo anterior la UDI en su programa de Especializacin en Seguridad Informtica busca ofrecer a los estudiantes escenarios de casos reales sobre el tema por medio de la obtencin de herramientas informticas de ltima tecnologa como el software EnCase.

EnCase actualmente es el estndar a nivel mundial en computacin forense, es el software ms utilizado por seguridad. investigadores y profesionales de la

La polica, el gobierno, los militares y los investigadores

corporativos confan en EnCase para ejecutar exmenes informticos delicados y conclusivos. El programa EnCase soporta un amplio rango de sistemas operativos, archivos y perifricos que son el desafo de los investigadores forenses diariamente. Como una herramienta seleccionada por la polica, el programa EnCase ha soportado numerosos desafos en las cortes de justicia, demostrando su confiabilidad y exactitud3.

Ing. Ral Santamarina y Lic. Laura Llull. Director y Gerente de Gestin del Aprendizaje de Distance Educational Network Argentina. Revista: Learning review Latinoamrica 2 EXPERIENCIA Y SU IMPORTANCIA EN EL PROCESO DE APRENDIZAJE DOMINGUEZ, Federico Daniel Colegio Nuestra Seora de Loreto, Crdoba Profesor Gua: POLO, Sergio Antonio 3 http://www.internet-solutions.com.co/EnCase.php Internet solutions 17
1

EnCase software fue premiado con el prestigioso premio eWEEK por la excelencia y un grado de 5 estrellas en SC Magazine.

Conociendo la importancia de este software para los estudiantes de la especializacin en seguridad informtica de la Universitaria de Investigacin y Desarrollo UDI - es claro tambin la importancia del conocimiento y el buen manejo que se le debe dar a este software para obtener su mximo potencial y un aprendizaje ptimo.

Debido a la trascendencia que da la Universitaria de Investigacin y Desarrollo UDI- al uso de herramientas que permitan el desarrollo de habilidades investigativas a partir del conocimiento adquirido de manera prctica y teniendo en cuenta la adquisicin para este fin de la herramienta EnCase, es de gran importancia ofrecer documentacin precisa de por lo menos sus principales funcionalidades para entregar una base a los estudiantes y permitirles de esta manera un avance mucho ms eficiente y eficaz en el proceso de aprendizaje del manejo de esta importante herramienta. Es necesario recalcar que el uso de este tipo de herramientas en Colombia an no es de conocimiento general, es decir, solo personas especializadas conocen el manejo de estas herramientas debido a la falta de documentacin, informacin y complejidad que implica el manejo de EnCase, lo que hace muy difcil el acceso a esta informacin, siendo este el principal inconveniente para los principiantes en informtica forense realizada con EnCase.

18

MARCO DE REFERENCIA

En el mundo actual la tecnologa juega un papel de gran importancia; pues permite obtener la informacin necesaria en el lugar y el momento que se desee. Hoy en da las empresas reconocen la informacin como su principal recurso, han comenzado a comprender que sta no es slo un subproducto de la conduccin empresarial sino que es la que genera negocios, siendo un factor crtico para la determinacin del xito o fracaso de las organizaciones. La capacidad competitiva de las empresas dada la importancia que tiene la informacin dentro de los negocios hace prioritario para ellas tomar medidas para proteger su informacin estratgica tanto de ataques internos como externos y a todos los niveles, acoplndose a las tecnologas de seguridad de la informacin disponibles y herramientas tecnolgicas que permitan la disponibilidad, integridad y confidencialidad de la misma con el fin de obtener su mayor provecho.

5.1

ANTECEDENTES

A continuacin se presentan antecedentes relacionados con la seguridad informtica y con el uso del software EnCase como medio de ayuda y solucin del casos en informatica forense.

19

ANTECEDENTE CASO 1
TITULO: Investigacin de fraude empresarial PAS: Estados Unidos AO: 2009 EMPRESA: -DESCRIPCIN: Dado que en una investigacin, la recuperacin de documentos borrados conlleva a despido laboral y proceso penal. Una gran empresa multinacional fue acusada de generar informes financieros cuestionables por la Comisin Estadounidense de Valores y Mercado (Securities and Exchange Commission) y, como consecuencia, una importante firma consultora independiente realiz una investigacin. El objetivo de la investigacin consista en determinar si el Director General de Finanzas (CFO) le haba ordenado al personal que alterara o destruyera ciertas transacciones para que la posicin financiera de la compaa pareciera ms favorable. Se emple EnCase Enterprise para realizar una bsqueda exhaustiva de todos los registros de las computadoras en la amplia divisin financiera de la compaa. Pronto se descubri que la gerencia le haba ordenado al personal que destruyera ciertos documentos clave. No obstante, algunos empleados no cumplieron totalmente con la orden, lo que permiti una fcil recuperacin de los archivos. Todo el proceso se realiz en secreto, sin afectar las operaciones comerciales ni la productividad. Se recuper suficiente informacin para reconstruir los eventos reales y probar que varios gerentes de alto nivel haban tramado alterar los registros de la compaa. Los empleados bajo sospecha quedaron cesantes y se iniciaron querellas penales contra ellos. La compaa result ilesa.

Tabla 1. Antecedentes - fraude empresarial

20

ANTECEDENTE CASO 2 TITULO: Investigacin de Recursos Humanos. El equipo de investigacin utiliza EnCase Enterprise para verificar las denuncias presentadas. AO: 2010 EMPRESA-DESCRIPCIN:
Una gran institucin financiera utiliza EnCase Enterprise diariamente para investigar infracciones a las normas de uso de las computadoras de la empresa. EnCase Enterprise es parte de un proceso utilizado para investigar discretamente y verificar denuncias de infracciones a las normas de uso de las computadoras, problemas de desempeo y otras infracciones a las normas. Segn cada caso particular, el departamento de Recursos Humanos comunica las denuncias presentadas al equipo de investigacin de la compaa. Luego, los investigadores utilizan EnCase Enterprise para investigar y analizar material inadecuado, abuso de correo electrnico, mensajera instantnea y otra actividad no relacionada con asuntos comerciales. EnCase Enterprise captura evidencia, documenta los hallazgos y genera informes con evidencia de respaldo que se envan a las partes relevantes. Esta informacin es fundamental para verificar o refutar las denuncias contra los empleados. La solucin no slo brinda un respaldo verificable de las denuncias, sino que tambin permite que el proceso de investigacin de los empleados sea discreto y exhaustivo, minimizando la posibilidad de crear una relacin hostil con los empleados durante las investigaciones.

Tabla 2. Antecedentes - Denuncia en el departamento de sistemas.

21

ANTECEDENTE CASO 3 TITULO: Recuperacin y anlisis de informacin. El equipo de investigacin de la POLICA NACIONAL utiliza EnCase para analizar los equipos encontrados en un operativo en campamentos de las FARC. AO: 2008 EMPRESA - POLICA NACIONAL DESCRIPCIN: La polica nacional de Colombia recibe los computadores encontrados en el campamento del guerrillero de las FARC Ral Reyes, los computadores fueron extrados de la zona donde se ubicaba el campamento durante un operativo llamado Operacin FENIX realizado por el EJERCITO NACIONAL, los computadores detallan informacin histrica relacionada a las actividades del grupo guerrillero, incluyendo informacin que relaciona a las FARC con el gobierno venezolano de Hugo Chvez y el gobierno ecuatoriano de Rafael Correa, adems de una extensa red de cooperantes en varios pases de Latinoamrica. Posterior a la entrega de estos computadores la Polica Nacional procede a realizar las imgenes de los computadores y su respectivo hash para asegurar la integridad de esta informacin a partir del momento en que se reciben estas mquinas. Ante la problemtica que se presenta debido a la situacin de conflicto por la que atraviesa el pas y con el objetivo de hacer del proceso de investigacin y obtencin de la informacin de forma clara los equipos con sus respectivos cdigos hash son puestos a disposicin de la INTERPOL. Los cdigos hash, la investigacin y/o anlisis de la informacin contenida en las computadoras de Ral Reyes son analizados con el programa EnCase. Cabe resaltar la importancia de ste durante la investigacin no solo por el hecho de ser utilizado como
22

herramienta de investigacin por parte de la polica sino adems como herramienta comn entre los diferentes investigadores encargados de INTERPOL, ya que los investigadores de este caso son un equipo conformado por un investigador proveniente de Corea, un investigador proveniente de Australia y un investigador proveniente de Singapur. Los investigadores de cada uno de estos pases coinciden en la preferencia de EnCase como herramienta de investigacin y seguridad informtica.

Tabla 3. Antecedentes - Recuperacin y anlisis de informacin

23

ANTECEDENTE CASO 4 TITULO: Investigacin de manipulacin de material probatorio. El equipo de investigacin de la FISCALA PERUANA utiliza EnCase para analizar material probatorio que se sospecha fue manipulado por un fiscal. AO: 2009 EMPRESA Fiscala Peruana DESCRIPCIN: La Oficina de Control Interno de la Fiscala, oficina que investigaba la sustraccin y suplantacin de los dos USB de la procesada Giselle Giannotti en el caso Business Track, teniendo como sospechosa a la fiscal adjunta de la Tercera Fiscala Anticorrupcin, Vanessa Aranbar, debido a supuestas irregularidades en el control y cuidado del material incautado el 8 de enero de 2009 a la citada acusada. Uno de los puntos controversiales tomados en cuenta en las pesquisas es que precisamente ese da, luego de producida la incautacin de los bienes y su traslado a la Dirandro, accin en la que estuvo la fiscal adjunta Aranbar, se manipul una de las computadoras confiscadas. Esto se pudo saber por el sistema informtico ENCASE FORENSE, que detall que ese CPU fue manipulado desde las 6 hasta las 8 p.m. del da de la incautacin. Otra presunta irregularidad es que Aranbar llev adelante el visionado de los USB y otros dispositivos el da 12 de enero de 2009 en la Dirandro, a pesar de que el juez Elmer Yarico, a cargo del caso en ese momento, orden expresamente no visionar los materiales hasta que l lo dispusiera. Este ltimo punto es delicado para Aranbar debido a que la sustraccin y suplantacin de los USB originales de Giannotti pudo haberse producido el mismo 12 de enero de 2009 en la Dirandro, antes del lacrado del material.

Tabla 4. Antecedentes - Manipulacin de material probatorio

24

ANTECEDENTE CASO 5 TITULO: Peritaje sin precedentes. El equipo de peritos informticos perteneciente a la fiscala de Paraguay analiza informacin para investigar el secuestro y posterior asesinato de la hija del ex presidente Ral Cubas utilizan EnCase, esta informacin permite la captura y condena de los involucrados. AO: 2004 -2005 EMPRESA - POLICA NACIONAL DESCRIPCIN: La investigacin realizada por el caso de Cecilia Cubas fue uno de los primeros, en Paraguay, en utilizar evidencia informtica en el juicio oral y pblico, la que fue considerada vlida y posibilit altas condenas para los responsables del secuestro y homicidio de la hija de ex presidente de la repblica, ingeniero Ral Cubas, el secuestro fue llevado a cabo el 21 de diciembre de 2004. Los investigadores fiscales hallaron evidencia de tarjetas de COPACO, en correo electrnico tras el cruce de llamadas registradas en las zonas involucradas al secuestro. Los secuestradores determinaron en ese momento que el medio de comunicacin con la familia Cubas sera el correo electrnico cantagrillo@yahoo.com.ar y la contrasea amenezien2. A partir de aqu se inicia la negociacin de manera intercalada entre comunicados y correo electrnico. Con la utilizacin del software EnCase Forensic, los peritos informticos analizaron la comunicacin existente a partir de esta direccin

musguero@hotmail.com, utilizada por los secuestradores.

El peritaje permiti

descubrir que el mismo perteneca a Omar Martnez. Con esta evidencia, se allana su vivienda en enero de 2005 en Caaguaz donde se encontraron documentos relacionados a correos electrnicos, entre ellos una tarjeta personal con una
25

anotacin del correo trotador505@hotmail.com. Llam la atencin del Ministerio Publico que ese correo electrnico utilizaba un vocabulario de la regin andina. Con esta inquietud se oficia a los Ministerios Pblicos de Venezuela, Colombia y Ecuador solicitando datos. La fiscala de Colombia informa que

trotador505@hotmail..com estaba siendo investigado por pertenecer a las filas de las FARC. ste perteneca a Rodrigo Granda Escobar.

Tabla 5. Antecedentes - Peritaje en Paraguay

26

5.2

MARCO TERICO

Segn estudios sobre delitos relacionados con la informtica, basados en el nmero de incidentes reportados por las entidades estatales y privadas y el sector bancario colombiano, los crmenes informticos, su prevencin y procesamiento se vuelven cada vez ms importantes.

Es importante saber y conocer que es la informtica forense dentro de la seguridad de una empresa o institucin, mostrando para ello, algunas herramientas vitales en el rea. Pero, la informtica forense va mucho ms all de verificar e identificar la intrusin o ataque en los sistemas informticos de una empresa, una labor importante es concientizar al personal involucrado dentro de la red organizativa indicando las medidas preventivas a seguir para evitar que la informacin de la empresa sea vulnerable.

La informtica forense ha adquirido gran importancia debido al creciente valor de la informacin y al uso que se le da a sta. Cuando se realiza un crimen, muchas veces la informacin queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la informacin forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense como una ciencia relativamente nueva.

Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica, de la electricidad y el magnetismo. Es gracias a fenmenos electromagnticos que la informacin se puede almacenar, leer e incluso recuperar cuando se crea eliminada. La informtica forense, aplicando

procedimientos estrictos y rigurosos puede ayudar a resolver grandes crmenes apoyndose en el mtodo cientfico, aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales.
27

5.2.1 Evidencia Digital Casey define la evidencia de digital como cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar un enlace (link) entre un crimen y su vctima o un crimen y su autor4.

Cualquier informacin, que sujeta a una intervencin humana u otra semejante, ha sido extrada de un medio informtico5. [HBIT03]. A diferencia de la documentacin en papel, la evidencia computacional es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realiz una copia
6

[ComEvi01]. Esta situacin crea problemas concernientes a la

investigacin del robo de secretos comerciales, como listas de clientes, material de investigacin, archivos de diseo asistidos por computador, frmulas y software propietario.

Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar de los originales del disco, porque esto invalidara la evidencia; por esto los investigadores deben revisar con frecuencia que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias tecnologas, como por ejemplo checksums o hash MD5. [DaVa01]7.

Cuando ha sucedido un incidente, generalmente, las personas involucradas en el crimen intentan manipular y alterar la evidencia digital, tratando de

[Casey04] CASEY, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. 2004 5 HB171:2003 Handbook Guidelines for the management of IT evidence Disponible en: http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf
4 6 7

http://www.forensics-intl.com/def3.html

Brian Deering. Data Validation Using The Md5 Hash http://www.forensicsintl.com/art12.html 28

borrar cualquier rastro que pueda dar muestras del dao. Sin embargo, este problema es mitigado con algunas caractersticas que posee la evidencia digital.

La evidencia de Digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original. Esto se hace comnmente para no manejar los originales y evitar el riesgo de daarlos.

Actualmente, con las herramientas existentes, es muy fcil comparar la evidencia digital con su original, y determinar si la evidencia digital ha sido alterada.

La evidencia de Digital es muy difcil de eliminar. Aun cuando un registro es borrado del disco duro del computador, y ste ha sido formateado, es posible recuperarlo.

Cuando los individuos involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios.

5.2.2

Clasificacin de la evidencia digital

Cano clasifica la evidencia digital que contiene texto en 3 categoras 8 [EviDig05]:

Registros generados por computador: Estos registros son aquellos, que como dice su nombre, son generados como efecto de la programacin de un
Cano Martines Jeimy Jos, Mosquera Gonzlez Jos Alejandro, Certain Jaramillo Andrs Felipe. Evidencia Digital: contexto, situacin e implicaciones nacionales. Abril de 2005. http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTe cnologias6.pdf 29
8

computador. Los registros generados por computador son inalterables por una persona. Estos registros son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que gener el registro.

Registros no generados sino simplemente almacenados por o en computadores: Estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones humanas contenidas en la evidencia son reales.

Registros hbridos que incluyen tanto registros generados por computador como almacenados en los mismos: Los registros hbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.

Criterios de admisibilidad: En legislaciones modernas existen cuatro criterios que se deben tener en cuenta para analizar al momento de decidir sobre la admisibilidad de la evidencia: la autenticidad, la confiabilidad, la completitud o suficiencia, y el apego y respeto por las leyes y reglas del poder judicial [AdmEvi03]9.

Autenticidad: Una evidencia digital ser autentica siempre y cuando se cumplan dos elementos:

9 Cano

Martines Jeimy Jos. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisin y Anlisis. Agosto de 2003. http://www.alfa-redi.org/rdiarticulo.shtml?x=1304 30

 Demostrar que dicha evidencia ha sido generada y registrada en el lugar de los hechos

la evidencia digital debe mostrar que los medios originales no han sido modificados, es decir, que la los registros corresponden efectivamente a la realidad y que son un fiel reflejo de la misma.

A diferencia de los medios no digitales, en los digitales se presenta gran volatilidad y alta capacidad de manipulacin. Por esta razn es importante aclarar que es indispensable verificar la autenticidad de las pruebas presentadas en medios digitales contrario a los no digitales, en las que aplica que la autenticidad de las pruebas aportadas no ser refutada, de acuerdo por lo dispuesto por el artculo 11 de la ley 446 de 1998: Autenticidad de documentos. En todos los procesos, los documentos privados presentados por las partes para ser incorporados a un expediente judicial con fines probatorios, se reputarn autnticos, sin necesidad de presentacin personal ni autenticacin. Todo ello sin perjuicio de lo dispuesto en relacin con los documentos emanados de terceros [Ley 446].

Para asegurar el cumplimiento de la autenticidad se requiere que una arquitectura exhiba mecanismos que certifiquen la integridad de los archivos y el control de cambios de los mismos.

Confiabilidad: Se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son crebles y verificable [AdmEvi03]10. Para probar esto, se debe contar con una arquitectura de computacin en correcto funcionamiento, la cual demuestre que los logs

Cano Martnez Jeimy Jos. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisin y Anlisis. Agosto de 2003. http://www.alfa-redi.org/rdiarticulo.shtml?x=1304 31
10

que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados.

Una prueba digital es confiable si el sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba [EviDig05]. La arquitectura de computacin del sistema lograr tener un funcionamiento correcto siempre que tenga algn mecanismo de sincronizacin del registro de las acciones de los usuarios del sistema y que a posea con un registro centralizado e ntegro de los mismos registros.

Suficiencia o completitud de las pruebas: Para que una prueba est considerada dentro del criterio de la suficiencia debe estar completa. Para asegurar esto es necesario contar con mecanismos que proporcionen integridad, sincronizacin y centralizacin [AdmEvi03] para lograr tener una vista completa de la situacin. Para lograr lo anterior es necesario hacer una verdadera correlacin de eventos, la cual puede ser manual o sistematizada.

Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio se refiere a que la evidencia digital debe cumplir con los cdigos de procedimientos y disposiciones legales del ordenamiento del pas. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurdico.

5.2.3

Manipulacin de la evidencia digital

Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulacin de la evidencia digital.

Hacer uso de medios forenses estriles (para copias de informacin)

32

 Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia.

Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.

Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigacin, deben estar disponibles para su revisin.

Siempre que la evidencia digital este en poder de algn individuo, ste ser responsable de todas la acciones tomadas con respecto a ella, mientras est en su poder.

Las agencias responsables de llevar el proceso de recoleccin y anlisis de la evidencia digital, sern quienes deben garantizar el cumplimiento de los principios anteriores.

5.2.4 Gestin de la Evidencia digital Existen gran cantidad de guas y buenas prcticas que muestran como llevar a cabo la gestin de la evidencia digital.

Las guas que se utilizan tienen como objetivo identificar evidencia digital con el fin de que pueda ser usada dentro de una investigacin. Estas guas se basan en el mtodo cientfico para concluir o deducir algo acerca de la informacin. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes digitales con el fin de asistir en la reconstruccin posterior de eventos. Existen diferentes tipos de planteamientos, estos varan
33

dependiendo del criterio de la institucin y/o personas que definen la gua, como se define a continuacin.

I.

Guas Mejores Prcticas

A continuacin se enuncian algunas guas existentes a nivel mundial de mejores prcticas en computacin forense.

RFC 3227. El RFC 3227: Gua Para Recolectar y Archivar Evidencia (Guidelines for Evidence Collection and Archiving) [GuEvCo02], escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea, ingenieros del Network Working Group. Es un documento que provee una gua de alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las mejores prcticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recoleccin y determinar cmo almacenar y documentar los datos. Tambin explica algunos conceptos relacionados a la parte legal. Su estructura es:

a) Principios durante la recoleccin de evidencia: orden de volatilidad de los datos, cosas para evitar, consideraciones de privacidad y legales. b) El proceso de recoleccin: transparencia y pasos de recoleccin. c) El proceso de archivo: la cadena de custodia y donde y como archivar.

Gua de la IOCE. La IOCE pblico Gua para las mejores prcticas en el examen forense de tecnologa digital (Guidelines for the best practices in the forensic examination of digital technology) [IOCE06]11. El documento provee una serie de estndares, principios de calidad y aproximaciones

IOCE, International http://www.ioce.org

11

Organization

of

Computer

Evidence.

Disponible: 34

para la deteccin prevencin, recuperacin, evaluacin y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentacin en la corte. Su estructura es:

a) Garanta de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal, documentacin, herramientas y validacin de las mismas y espacio de trabajo). b) Determinacin de los requisitos de examen del caso. c) Principios generales que se aplican a la recuperacin de la evidencia digital (recomendaciones generales, documentacin y responsabilidad). d) Prcticas aplicables al examen de la evidencia de digital. e) Localizacin y recuperacin de la evidencia de digital en la escena: precauciones, bsqueda en la escena, recoleccin de la evidencia y empaquetado, etiquetando y documentacin. f) Priorizacin de la evidencia. g) Examinar la evidencia: protocolos de anlisis y expedientes de caso. h) Evaluacin e interpretacin de la evidencia i) Presentacin de resultados (informe escrito). j) Revisin del archivo del caso: Revisin tcnica y revisin administrativa. k) Presentacin oral de la evidencia. l) Procedimientos de seguridad y quejas.

35

5.3

MARCO TECNOLGICO

Software EnCase: EnCase es una herramienta desarrollada por Guidance Software Inc. [ENC-03], permite asistir al especialista forense durante el anlisis de un crimen digital12.

Figura 1. EnCase Forensic

Se escogi mostrar esta herramienta por tratarse del software lder en el mercado, el producto ms ampliamente difundido y de mayor uso en el campo del anlisis forense.

EnCase

es

un

software

que

permite

el

anlisis

de

medios

de

almacenamiento de informacin tales como de discos duros, memorias USB, memorias de cmaras fotogrficas que son analizados utilizando dispositivos bloqueadores que evitan la modificacin de la evidencia en un posible error humano.

Como elementos de ayuda y fuentes de seguridad en la proteccin de evidencias es necesario conocer algunas de las herramientas anteriormente mencionadas, para ello hacemos referencia a estos a continuacin:

12

http://www.EnCase.com/html/how_EnCase_works.html 36

DISCO DURO: (de prueba para realizar la documentacin de cmo se obtiene la evidencia) En informtica, un disco duro o disco rgido (en ingls Hard Disk Drive, HDD) es un dispositivo de almacenamiento de datos no voltil que emplea un sistema de grabacin magntica para almacenar datos digitales. Se compone de uno o ms platos o discos rgidos, unidos por un mismo eje que gira a gran velocidad dentro de una caja metlica sellada. Sobre cada plato, y en cada una de sus caras, se sita un cabezal de lectura/escritura que flota sobre una delgada lmina de aire generada por la rotacin de los discos.

Figura 2. Disco duro

Adaptador de puertos: Es un tipo especializado de Hardware que permite adaptar diferentes tipos de puertos, este dispositivo permite a un usuario recuperar informacin de los diferentes tipos de dispositivos que en muchos casos pueden generar inconvenientes en la recoleccin de informacin.

37

Figura 3. Tableau TDA5-ZIF

Bloqueador de discos: Es un tipo especializado de controlador de disco o dispositivo de hardware forense de escritura de bloque cuyo propsito es obtener acceso de slo lectura al (los) disco(s) duro(s) del computador, sin el riesgo de daar el su contenido aplicacin de la unidad. El comn es dispositivo para uso se en

llama forense porque

ms

investigaciones en las que una unidad de disco duro del computador puede contener pruebas. Este controlador se coloca entre un ordenador y un disco duro IDE o SCSI, pero con la llegada de USB y SATA.

Figura 4. Bloqueo de discos duros

38

Adaptador puente: Las familias de puentes clsicos y mejorados ofrecen soluciones para imgenes forenses porttiles para unidades de discos duros SATA, IDE y SCSI nativos.

Figura 5. Adaptador puentes Tableau - Bloqueo de discos duros

5.4

MODELOS

1. Puente T35es: El puente forense T35es eSATA ofrece ms opciones de conexin nativa del equipo host y del dispositivo que cualquier otro bloqueador de escritura que se encuentra hoy disponible. Gracias al T35es de su kit de herramientas forenses, podr disponer de un puente forense slido y fiable con cuatro conexiones diferentes de la interfaz de host (eSATA, FireWire 800, FireWire 400 y USB) y de dos conexiones para dispositivos (SATA e IDE).

El T35es es el primer puente de Tableau con una conexin eSATA del host. La interfaz eSATA permitir que los profesionales forenses adquieran imgenes de las unidades objeto de anlisis SATA e IDE a una velocidad superior a FireWire 800.

39

Eche un vistazo al T35es visualizando las imgenes que aparecen abajo o navegando por los vnculos del producto de la columna de la izquierda. Pngase en contacto con el distribuidor de Tableau para aadir un kit forense de T35es eSATA a su coleccin de productos de Tableau.

2. Puente T35es-RW: La carcasa AMARILLA del modelo T35es-RW es idntica a la NEGRA habitual del T35es, exceptuando que el T35es-RW est previamente configurado de fbrica para un funcionamiento de lecturaescritura.

Como ocurre con otros productos de Tableau, los profesionales de anlisis forenses nos comunicaron la necesidad de un puente exclusivo para utilizarlo cuando realizaban copias de una evidencia forense. La carcasa AMARILLA destaca el hecho de que se puede escribir en el T35es-RW y eliminar as un posible uso incorrecto durante los exmenes forenses.

A menudo, un kit completo de anlisis forense incluir tanto el puente forense bloqueado contra escritura (NEGRO) como el de lectura-escritura

(AMARILLO) y observar que muchos distribuidores de Tableau comercializan kits configurados de este modo.

3. Puente T35e: Durante los cuatro ltimos aos, la lnea clsica de puentes forenses de Tableau se ha convertido en el punto de referencia de facto para las adquisiciones de datos basadas en bloqueadores de escritura de hardware. El bloqueador de escritura ms moderno de Tableau, el puente forense SATA/IDE T35e proporciona un rendimiento y funciones slidas, lo que le convierte en la nueva norma por la que se medirn el resto de dispositivos de bloqueo de escritura.

40

Diseado para admitir las imgenes de las unidades SATA e IDE de un nico paquete clsico, T35e proporciona el rendimiento con el que no pueden competir otros bloqueadores de escritura de hardware. Se han medido los aumentos de los ndices de transferencia de datos SATA de hasta un 60 % (frente a los productos clsicos actuales) con una interfaz de host FireWire 800 y las herramientas de imgenes disponibles de otros fabricantes. T35e reduce los tiempos de adquisicin de datos.

5.4.1 CARACTERSTICAS DE EnCase Algunas de las caractersticas ms importantes de EnCase se relacionan a continuacin:

Copiado Comprimido de Discos Fuente. EnCase emplea un estndar sin prdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta caracterstica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo.

Bsqueda y Anlisis de Mltiples partes de archivos adquiridos. EnCase permite al examinador buscar y analizar mltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extrables, discos zip y otros tipos de dispositivos de almacenamiento de la informacin. Con EnCase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. En varios
41

casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red y tambin buscada mediante EnCase en un solo paso.

Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CDROM evitando costos, recursos y tiempo de los especialistas.

Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo. EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se cre, ltimo acceso, ltima escritura), nombres de los archivos, firma de los archivos y extensiones.

Anlisis Compuesto del Documento. EnCase permite la recuperacin de archivos internos y meta-datos con la opcin de montar directorios como un sistema virtual para la visualizacin de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.

Bsqueda Automtica y Anlisis de archivos de tipo Zip y Attachments de E-Mail. Firmas de archivos, Identificacin y Anlisis. La mayora de las graficas y de los archivos de texto comunes contiene una pequea cantidad de bytes en el comienzo del sector los cuales constituyen una firma del archivo. EnCase verifica esta firma para cada archivo contra una lista de firmas conocida de extensiones de archivos. Si existe alguna discrepancia, como en el caso de que un sospechoso haya escondido un archivo o simplemente lo haya renombrado, EnCase
42

detecta automticamente la identidad del archivo, e incluye en sus resultados un nuevo tem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle.

Anlisis Electrnico Del Rastro De Intervencin. Sellos de fecha, sellos de hora, registro de accesos y la actividad de comportamiento reciclado son a menudo puntos crticos de una investigacin por computador. EnCase proporciona los nicos medios prcticos de recuperar y de documentar esta informacin de una manera no invasora y eficiente. Con la caracterstica de ordenamiento, el anlisis del contenido de archivos y la interfaz de EnCase, virtualmente toda la informacin necesitada para un anlisis de rastros se puede proporcionar en segundos.

Soporte de Mltiples Sistemas de Archivo. EnCase reconstruye los sistemas de archivos forenses en DOS, Windows (todas las versiones), Macintosh (MFS, HFS, HFS+), Linux, UNIX (Sun, Open BSD), CD-ROM, y los sistemas de archivos DVDR. Con EnCase un investigador va a ser capaz de ver, buscar y ordenar archivos desde estos discos concurridos con otros formatos en la misma investigacin de una manera totalmente limpia y clara.

Vista de archivos y otros datos en el espacio Unallocated. EnCase provee una interfaz tipo Explorador de Windows y una vista del Disco Duro de origen, tambin permite ver los archivos borrados y todos los datos en el espacio Unallocated. Tambin muestra el Slack File con un color rojo despus de terminar el espacio ocupado por el archivo dentro del clster, permitiendo al investigador examinar inmediatamente y determinar cundo el archivo reescrito fue creado. Los archivos Swap y Print Spooler son mostrados con sus estampillas de datos para ordenar y revisar.

43

 Integracin de Reportes. EnCase genera el reporte del proceso de la investigacin forense como un estimado. En este documento realiza un anlisis y una bsqueda de resultados, en donde se muestra el caso incluido, la evidencia relevante, los comentarios del investigador, favoritos, imgenes recuperadas, criterios de bsqueda y tiempo en el que se realizaron las bsquedas.

Visualizador Integrado de imgenes con Galera. EnCase ofrece una vista completamente integrada que localiza automticamente, extrae y despliega muchos archivos de imgenes como .gif y .jpg del disco. Seleccionando la "Vista de Galera" se despliega muchos formatos de imgenes conocidas, incluyendo imgenes eliminadas, en el caso de una vista pequea. El examinador puede despus escoger las imgenes

relevantes al caso e inmediatamente integrar todas las imgenes en el reporte de EnCase. No es necesario ver los archivos grficos usando software de terceros, a menos que el formato de archivo no sea muy conocido y todava no sea soportado por EnCase.

44

METODOLOGA

Para la elaboracin de la Monografa etapas:

se

consideraran

las siguientes

Planeacin del Trabajo Aplicacin de Tcnicas de Investigacin Anlisis de la Informacin Estructuracin del Manual Validacin de la Informacin Autorizacin del Manual Distribucin y Difusin

6.1

PLANEACIN DEL TRABAJO

Se nombr un coordinador como responsable de conducir las acciones para homogeneizar el contenido y la presentacin de la informacin.

Se llev a cabo un estudio preliminar que nos dieron conocer las funciones y actividades que se realizaran en las reas a trabajar, para definir la estrategia general de levantamiento de informacin, a travs de fuentes ms representativas como son:

Fuentes de informacin variadas.

45

 Personas capacitadas. Material disponible en internet Fuentes escritas.

6.2

APLICACIN DE TCNICAS DE INVESTIGACIN

Simultneamente a la elaboracin del programa de trabajo, se establecer y disear las tcnicas de investigacin a utilizarse, entre las principales se encuentran las documentales, la entrevista, el cuestionario y la observacin directa.

Investigacin documentos

documental: Consiste en seleccionar y analizar los que contienen datos importantes relacionados con el

funcionamiento, manejo y aplicabilidad del Software EnCase.

Entrevista: Se refiere a obtener informacin verbal del personal que tiene experiencia en el manejo del Software.

Este medio proporciona informacin completa y precisa, debido a la interaccin que se da con el personal entrevistado, permitiendo la percepcin de actitudes.

Para que esta tcnica se desarrolle con xito es conveniente observar lo siguiente:

Utilizar las entrevistas libres, dirigidas o ambas. Tener claro el objetivo de la entrevista. Concertar previamente cita con el personal capacitado. Escuchar con atencin y objetividad para evitar el desvo del enfoque de la entrevista.
46

 Realizar

las

preguntas

necesarias

efecto

de

entender

completamente las actividades que desarrolla el personal o esclarecer toda duda.

Cuestionario: Disear una serie de preguntas escritas, predefinidas, procurando que sean claras y concisas, con un orden lgico, redaccin comprensible y facilidad de respuesta.

Observacin Directa: Examinar visualmente las actividades especficas que realiza cada herramienta del Software y anotar todas las acciones en la secuencia correcta con la finalidad de completar, confrontar y verificar datos obtenidos en la investigacin documental.

6.3

ANLISIS DE LA INFORMACIN

Despus de reunir todos los datos, el siguiente paso es organizarlos en forma lgica mediante el desarrollo de un esquema de trabajo.

Lo primero que se har es un anlisis de la informacin, con la finalidad de facilitar el manejo y ordenamiento de lo que debe incluirse en el contenido del manual.

6.4

ESTRUCTURACIN DEL MANUAL

En esta etapa se establece el diseo y la presentacin que se utilizar para la elaboracin de los Manuales y la documentacin de las actividades de uso propuestas.

47

6.5

VALIDACIN DE LA INFORMACIN

La validacin la llevaran a cabo los responsables de las reas a las que corresponden los manuales, con la finalidad de que la informacin que se presenta en ellos, sea acorde con las atribuciones y las actividades que realizan.

6.6

AUTORIZACIN DEL MANUAL

Una vez llevada a cabo la validacin, se dar formalidad al documento solicitando la autorizacin del Director del Proyecto, con el propsito de poder iniciar la reproduccin del mismo y posteriormente su distribucin.

6.7

DESARROLLO

Una vez obtenida la informacin necesaria precedemos a organizar y plasmar el contenido desarrollado a continuacin.

48

6.7.1 Configuracin de encase. Al iniciar trabajos forenses e investigativos utilizando el Software EnCase primero se debe verificar que este tenga todas las funciones habilitadas, en la siguiente imagen se muestra la barra de titulo que informa que Encase se encuentra en modo Acquisition, en este modo EnCase solo permite la opcin de crear imgenes forenses, esta modalidad nos indica que EnCase no se encuentra registrado, para ello debe adquirir las licencias y llaves necesarias para su utilizacin.

Figura 6. EnCase Modo Acquisition

Verificacin y habilitacin con la llave Dongle.

Cuando se han adquirido los servicios del Software EnCase se otorga una llave o Dongle contenido en un dispositivo USB que contiene las licencias y certificados que permite la habilitacin de todas las opciones o herramientas que nos otorga el Software.

Una vez se inserta la llave debe reiniciar EnCase y verificar nuevamente en la barra de titulo que Encase se encuentre en modo Training, si aun se encuentra en modo Acquisition se debe terminar el proceso SAFE.exe en el administrador de tareas y abrir nuevamente EnCase.
49

Si se han realizado los pasos anteriores correctamente y EnCase continua en el modo Acquisition, debe verificar que las llaves se encuentren ubicadas y debidamente vinculadas con las llaves default.nas y SAFE.SAFE.

Las llaves deben encontrarse en la carpeta raz donde se encuentran todos los archivos de Encase como se especifican a continuacin.

Figura 7. Ubicacin del archivo de seguridad Default.nas

Figura 8. Ubicacin del archivo de seguridad SAFE.SAFE

Se debe proceder a seleccionar herramientas Tools y posteriormente selecciona Tools Opciones Option.

50

Figura 9. Herramienta opciones

En la pestaa NAS se encuentran los campos User Key Path y Server Key Path a los cuales se les debe indicar donde se encuentra alojadas las llaves default.nas y SAFE.SAFE como se muestra a continuacin.

51

Figura 10. Archivos correspondientes a los certificados de EnCase

52

6.7.2 Encase en red Para poder utilizar EnCase en red, todas las maquinas deben encontrarse en red y con el software EnCase instalado en cada una de ellas, la maquina que se utiliza como servidor debe tener conectado el Dongle y con el FireWall inactivo.

Figura 11. Direccionar un equipo al servidor de EnCase

53

Para que EnCase funcione en cada maquina correctamente se debe seguir con las instrucciones que se encuentran en el capitulo anterior a excepcin del ultimo paso, en la pestaa NAS se deben tambien seleccionar las opciones de Network Authetication Server y en la opcion de Server Addres se debe insertar la direccion IP del SERVIDOR.

54

6.7.3 Caracteristicas de EnCase EnCase es un software que permite asistir al especialista forense durante el anlisis de un crimen el anlisis de medios de almacenamiento de informacin tales como discos duros, memorias USB, memorias de cmaras fotogrficas que son analizados utilizando dispositivos bloqueadores que evitan la modificacin de la evidencia en un posible error humano.

Figura 12. Acerca de EnCase

55

 La interfaz grfica de EnCase

Consta de una interfaz grfica (GUI) de cuatro paneles que se dividen en Tree Panel, Report Panel, View Panel, Filter Panel.

Tree Panel

Report Panel

View Panel

Filter Panel

Figura 13. Interfaz grfica de EnCase

Tree Panel: Este panel corresponde al espacio donde el investigador tiene acceso al rbol o directorio correspondiente a los archivos almacenados en la evidencia. ste muestra los dispositivos en el caso junto con su jerarqua. Los archivos contenidos en cualquier nivel se mostrarn en el panel de la tabla, junto con las carpetas en ese mismo nivel que los archivos que se muestran.

56

Figura 14. Panel de directorios o rbol de evidencia

Report Panel: la pestaa por defecto del panel de reportes es la vista de tabla en la que los objetos aparecen en una vista de hoja de clculo con los diversos atributos o propiedades de los objetos que aparecen en las columnas.

Figura 15. Panel de reportes o Report Panel

57

En el panel de reportes se puede ordenar, ocultar, mover, bloquear y configurar columnas para agilizar su examen, el investigador debe organizar las columnas para que la informacin ms significativa se pueda visualizar de forma fcil y rpida.

Una de las caractersticas ms tiles es la capacidad para bloquear una columna. Cuando una columna est bloqueado, puede desplazarse a travs de las columnas y el nombre del objeto permanece visible durante todo el proceso. Para bloquear una columna seleccinela y haga clic derecho sobre la seleccin, a continuacin, seleccione la opcin Lock Set, cuando se desplace a travs de las columnas, la columna bloqueada permanece visible.

View Panel

En el panel vista el investigador tendr la opcin Hex que permitir visualizar la notacin Hexadecimal y los metadatos correspondientes a los archivos que se encuentran seleccionados, la opcin Text que le permitir visualizar el texto correspondiente a un archivo seleccionado de este tipo, al igual que la opcin Doc y Picture EnCase le permite al investigador visualizar los archivos seleccionados que se encuentran en dichos formatos.

58

Figura 16. Panel vista o Panel View

Filter Panel

Permite al investigador revisar el resultado de la bsqueda en un archivo con facilidad y rapidez, sin salir de la pestaa entradas del panel rbol. En versiones anteriores, los filtros y las consultas estaban en el panel de vista con el texto, Hex, Informe, y los espectadores de imagen.

Figura 17. Panel de filtros

59

6.7.4 Archivos de copias de seguridad. Esta opcin controla el nmero de copias de seguridad que puede tener un archivo almacenados en cada los casos en la opcin Backup files y la frecuencia en minutos con la que el sistema crear cada copia de seguridad en la opcin Auto Save Minutes.

Figura 18. Control de Backups

60

El investigador podr cambiar la ruta de la carpeta de copias de seguridad utilizando la opcin ubicada dentro de la pestaa Storage Paths en el cuadro de dialogo Opciones Generales.

61

6.7.5 Creacin de un nuevo caso. Una de las herramientas ms poderosas en EnCase es la capacidad de organizar diferentes tipos de dispositivos para que el usuario pueda localizarlos como una unidad y no de forma individual. Este proceso ahorra una gran cantidad de tiempo y permite al examinador concentrarse en el anlisis de la evidencia.

ste mtodo de organizacin consiste en crear una carpeta por cada caso, ubicar en ella el archivo de caso y los archivos de evidencia

correspondientes. Es necesario crear 4 carpetas, 3 de ellas son predeterminadas para EnCase (Export, Index y Temp), la cuarta carpeta debe crearla el usuario, para realizar este el ejemplo creamos la carpeta con nombre Evidencia, estas carpetas se utiliza para almacenar el caso, los reportes y copias de la evidencias que se van exportando en cada caso.

Figura 19. Crear la estructura de directorio

62

Una vez creadas las carpetas para el caso, debe iniciar EnCase y seleccionar la opcin crear un nuevo caso en la opcin New (Nuevo) de la barra de herramientas para acceder el cuadro de dilogo Opciones del caso. En este cuadro se podr seleccionar los directorios Export, Temp e Index para el nuevo caso. Buscar los directorios creados para este caso y hacer clic en Finalizar.

Figura 20. Confirmar los directorios de las carpetas para el caso

63

6.7.6 Guardar el caso. Para guardar el caso debe hacer clic en el botn Save o Guardar de la barra de herramientas

Figura 21. Guarde el nuevo archivo de caso

Por tratarse de un caso nuevo, se mostrar el cuadro de dilogo Guardar, debe ingresar al directorio o carpeta para el encontrar la ubicacin de un nuevo caso en la unidad de evidencia y escribir un nombre para el caso. En este punto, se podr generar una vista preliminar de un nuevo dispositivo o adicionar al caso un dispositivo adquirido con anterioridad, utilizando el botn Agregar dispositivo.

64

6.7.7 Agregar dispositivos de evidencia. Para iniciar el proceso de investigacin en un caso el investigador debe agregar el dispositivo fuente de la evidencia a EnCase para poder realizar la inspeccin de los todos los archivos existentes en el disco incluyendo lo que han sido eliminados, incluso despus de haber sido formateado el dispositivo. Archivos de la evidencia. Inicialmente debemos agregar un dispositivo, para ello debe seleccionar la opcin Agregar Dispositivo (Add device) ubicado en la barra de herramientas como se muestra a continuacin.

Figura 22. Agregar dispositivo para adicionar un archivo de evidencia

65

Al acceder a la unidad lgica de la cual se va a obtener la imagen, se muestra el tamao y el nmero total de sectores del archivo de evidencia.

Figura 23. Seleccionar dispositivo que se adicionar al caso

Una vez se haya seleccionado la opcin siguiente, el usuario tiene la opcin de editar el nombre y el nmero de la evidencia.

Figura 24. Editar el nombre de la evidencia.

66

6.7.8 Atributos del dispositivo de evidencia. Los atributos de la evidencia nos permitirn distinguir la evidencia dentro del caso, es importante recordar que cada uno de estos atributos hace parte del informe que permite que una evidencia sea vlida legalmente.

Figura 25. Indicar atributos

El archivo de evidencia se agrega correctamente al caso una vez seleccione la opcin Ok, debe guardar y confirmar la ubicacin del archivo.

67

6.7.9 Inicio de la verificacin de la informacin comprometida. En este punto podemos iniciar el desarrollo de la investigacin, pero teniendo en cuenta la importancia de la integridad que se debe mantener en la evidencia original, se crea una imagen forense que nos permite garantizar una copia bit a bit del dispositivo analizado para trabajar en la bsqueda de la informacin en la imagen forense y no directamente sobre la evidencia con el objetivo de garantizar dicha integridad.

Figura 26. El archivo de evidencia se agrega al caso

68

6.7.10 Creacin de la imagen forense En esta ventana se puede ver toda la informacin contenida en el dispositivo de evidencia. Se debe seleccionar la imagen y dar clic en la opcin Adquirir (Acquire).

Figura 27. Informacin contenida en el dispositivo de evidencia

69

6.7.11 Adicionar la imagen al caso Inicialmente debe sealarse que debemos agregar la nueva imagen al caso.

Figura 28. Creacin de Imagen

70

Una vez iniciado el proceso de adquisicin de la imagen forense, se contina con el proceso de registro sus caractersticas incluyendo datos importantes como nombre, nmero de la evidencia y el directorio donde se guardar la evidencia.

Figura 29. Propiedades de la imagen forense

71

Posterior al registro de las propiedades o caractersticas de la nueva imagen forense EnCase inicia su proceso interno creacin de la imagen forense.

Figura 30. Progreso de adquisicin de la imagen

La ventana de estado ubicada en la parte inferir derecha mostrar el avance de la adquisicin y adems los algoritmos hash MD5 y SHA1.

Finalizado el proceso de adquisicin de la imagen forense, EnCase permite visualizar que la creacin fue exitosa, recuerde que es posible que una imagen forense contenga errores debido a problemas de alteraciones en el
72

flujo elctrico que no permiten al equipo forense realizar sus proceso de forma correcta.

Figura 31. Ventana de estado

El proceso es verificado y se consta que no ocurrieron errores durante la adquisicin de la imagen forense.

73

Figura 32. Ventana de verificacin

Al terminar el proceso se incluyen en la vista reporte del Panel Tabla y muestra toda la informacin del caso donde adems se puede verificar que los valores hash MD5 y SHA1 coinciden.

74

Figura 33. Vista Reporte

75

6.7.12 Clculo de sumas de verificacin (Hashing) El componente Hash en EnCase permite crear valores hash o huella digital para cada archivo, es decir una identificacin nica. Slo una copia exacta de un mismo archivo tendr el mismo hash lo que la hace vlida jurdicamente (EnCase utiliza el algoritmo MD5 para crear los valores hash, la probabilidad de encontrar dos archivos con el mismo hash es del orden de 2128).

Calculo de hash o anlisis de firmas El siguiente procedimiento sirve para establecer un anlisis de hash que se ejecutar para cada archivo de la evidencia. Al ingresar en la opcin Entries, se podr visualizar la siguiente pantalla. En esta el investigador tiene la opcin de seleccionar uno a varios archivos para calcular el valor hash haciendo clic en los check box o cajas de seleccin de cada archivo, asimismo para seleccionar todos los archivos de la evidencia debe seleccionar el check box la imagen y el cono Incluir todos como se seala a continuacin

76

Figura 34. Seleccionar todo los archivos para el hash

Una vez seleccionados los archivos a trabajar haga clic en la opcin Buscar, la primera opcin de seleccin Selected tem only permite elegir nicamente los archivos seleccionados, para este ejemplo se encuentran seleccionados 127 archivos, para continuar marque la opcin Calcular hash para generar un valor MD5 para cada uno de los archivos asignados.

77

Figura 35. Calculando los valores hash

Si un selecciona la opcin recompute hash values, EnCase se volver a calcular los valores hash de todos los archivos en el dispositivo. Para una adquisicin local, esto no es necesario, para la adquisicin de la red, esta opcin se utiliza a menudo para volver a calcular los valores hash de la maquina vivo cuando hayan sido previamente sometidos a un anlisis de hash. Una vez seleccionadas estas opciones haga clic en la opcin Iniciar o Start. La ventana de estado le indicara el estatus completado, debe marcar las opciones Consola y Nota si se desea guardar los resultados.

78

Figura 36. Ventana de estado de generacin de Hash

EnCase confirmar el nmero de objetos que tiene un valor hash. En el panel derecho se encuentra la columna Hash Values que contiene las sumas de verificacin correspondiente a cada archivo como se puede ver en la imagen a continuacin.

79

Figura 37. Visualizando archivos analizados mediante hashing

80

6.7.13 Recuperacin de archivos eliminados Un elemento importante de cualquier investigacin en EnCase es la configuracin de la zona horaria para los equipos que funcionan bajo el sistema operativo Windows. Cuando EnCase consulta la informacin de la fecha y la hora de Windows, la hora en formato GMT es convertida al formato de hora local correspondiente basada en el reloj del computador donde se visualiza la informacin. Esta conversin es vital ya que si el dispositivo es confiscado en una zona horaria determinada y luego se enva para que sea examinado en una zona horaria diferente puede afectar diversas herramientas de investigacin, incluyendo la conversin y visualizacin en EnCase de las fechas y horas de Windows. Para evitar esto se debe configurar la zona horaria para cada archivo de evidencia dentro del caso en forma individual. Seleccione la opcin Cases o Casos Entries o Entradas Home o Inicio y haga clic derecho sobre la imagen forense y seleccione la opcin Modify time zone setings como se muestra a continuacin.

81

Figura 38. Modificar la informacin de zona horaria

82

Seleccionar la configuracin de zona horaria apropiada para este dispositivo y hacer clic en Aceptar.

Figura 39. Configurar el archivo de evidencia en Hora Local

Recuperando archivos Los archivos eliminados de la papelera de reciclaje, incluso cuando el disco duro ha sido sometido a formateo no se borran del todo del disco duro, lo que sucede es que el espacio del disco duro donde se encuentra este archivo es catalogado como disponible y ser utilizado por cualquier otro archivo que se cree posteriormente, entre tanto el espacio donde se encuentre el archivo que se elimino no sea sobre-escrito por un archivo nuevo este podr ser recuperado todo o en parte, para ello el software EnCase nos proporciona la herramienta para realizar bsqueda y recuperacin de archivos eliminados. Inicialmente EnCase nos muestra el listado de todos los archivos incluyendo los eliminados, estos se distinguen por una marca circular roja, para proceder
83

con la exportacin de estos archivos debe ubicarse sobre ellos, hacer clic derecho y seleccionar la opcin Copy/UnErase.

Figura 40. Recuperacin de archivos

84

Seleccione en el panel From la opcin All selectd files seleccione Separate files.

y el panel To

Figura 41. Exportar los archivos seleccionados Seleccione en el panel Copy la opcin Logical File Only Character Mask seleccione None. y el panel

Figura 42. Caractersticas de la exportacin

85

Posterior a la definicin de las caractersticas de la exportacin procedemos a determinar la ubicacin del directorio donde se ubicaran los archivos exportados

Figura 43. Ubicacin de los archivos exportados

Figura 44. Informe final del destino de los archivos exportados

86

Finalmente EnCase genera un reporte de la exportacin. Debe marcar las opciones Consola y Nota si se desea guardar los resultados.

Figura 45. Informe de exportacin de archivos

Al finalizar los archivos recuperados y exportados se encuentran en la ubicacin o directorio seleccionado. 6.7.14 Tcnicas avanzadas de bsqueda Bsqueda de expresiones GREP es una utilidad de bsqueda de UNIX que permite al investigador el manejo de una sintaxis poderosa y flexible en la generacin de trminos de bsqueda, cuando se requiere tener sumo cuidado con la naturaleza de un texto que produce una coincidencia. Adicionalmente el uso de GREP hace innecesario definir demasiados trminos redundantes en una expresin de bsqueda.

87

Smbolo

Significado

Un punto indica cualquier carcter simple. Por ejemplo si se utiliza m.r, el resultado puede ser

\x

Un carcter representado por su valor ASCII en Hex. Por ejemplo, \x09 es un tabulador, \x0A es un cambio de lnea, deben incluirse los dgitos hex. An cuando sean cero.

Un signo de interrogacin despus de un carcter o grupo de caracteres indica una o ninguna ocurrencia de dicho carcter o grupo de caracteres. Por ejemplo, "##?/##?/##" podra indicar "1/1/98" o "01/01/89" pero no indicara "123/01/98".

Un asterisco despus de un carcter indica cualquier nmero de ocurrencias de dicho carcter, incluyendo ninguna ocurrencia. Por ejemplo "Juan,*Pea" podra indicar "Juan ,Pea" o "Juan,,Pea" y "JuanPea"

Un signo + despus de un carcter indica cualquier numero de ocurrencias de dicho carcter, excepto cero ocurrencias. Por ejemplo, "Juan,+Pea" podra indicar "Juan,Pea" o "Juan,,Pea" pero No indicara "JuanPea"

Un signo nmero indicad cualquier carcter numrico [0-9]. Por ejemplo, ### #### indica cualquier numero de la forma 327-4323 si se tratara de un nmero telefnico, por ejemplo.

88

[]

Los caracteres entre parntesis cuadrados o llaves relacionan cualquier carcter que aparezca dentro de estos ltimos. Por ejemplo, "Pea[lo]" podran indicar "Peal" "Peao".

[-]

Un guion entre parntesis cuadrados indica un rango de caracteres. Por ejemplo, [a-e] indica cualquier carcter desde "a" hasta "e".

value[x,y] Repetir valor X-Y veces. Por ejemplo, *{3,7} repetira * 3 hasta 7 veces.

()

Funciona como un parntesis en una expresin matemtica: el agrupamiento tiene prioridad.

Tabla 6. Smbolos para bsqueda de palabras de forma avanzada

89

 Ejemplos de expresiones GREP. Los siguientes ejemplos muestran el poder de las expresiones GREP al realizar bsquedas de texto. Ejemplo 1: Magda[ ,;] Maldonado Los caracteres dentro del parntesis se denominan un grupo y son tratados como un nico carcter individual esta expresin encuentra la palabra Magda seguida por un espacio o una coma o un punto y coma seguido por Maldonado. Esto arrojara: Magda ,Maldonado Magda Maldonado MagdaMaldonado Magda,Maldonado Magda;Maldonado Magda ,;Maldonado Magda Maldonado

Ejemplo 2: http://www.\[a-z]+\.org esta expresin indica http://www. seguido por cualquier carcter alfabtico seguido por .com, sta es una buena tctica para hacer referencia a sitios en internet. Esto arrojara: http://www.sitioconunnombremuylargo.org/index.htm http://www.bozo.org http://www.sitiodenombre.org http://www.fifa.org

90

6.7.15 Crear palabras claves a partir del encabezado. El formato de imagen JPEG es probablemente el ms ampliamente utilizado formato de imagen comprimida. Cuando nos fijamos en un encabezado JPEG hay varias partes que podemos utilizar para identificar el tipo de imagen y formatos utilizados. Lo primero que se debe verificar son los dos primeros bytes del archivo. Los valores hexadecimales FF D8 identificar el comienzo del archivo de imagen. Esto es a menudo suficiente para saber que es un verdadero archivo JPEG, pues debemos recordar que un archivo se le pudo haber modificado su extensin. Los siguientes dos bytes son el marcador de aplicacin general, FF E0. Este marcador puede cambiar dependiendo de la aplicacin utilizada para modificar o guardar la imagen. He visto este marcador como FF E1 cuando las imgenes fueron creadas por las cmaras digitales Canon o Sony. Podr crear un palabra clave a partir del encabezado que se ha identificado, y utilizarla para ejecutar una bsqueda sobre los clsteres no asignados.

Figura 46. Encabezado de una imagen en los clster no asignados

91

Debe hacer clic derecho sobre la opcin Keywords New.

Figura 47. Creacin de palabras claves.

Asignar un nombre a la palabra clave en el campo Name para identificarla en el futuro. En el campo de texto Search expression debe ingresar el encabezado hexadecimal correspondiente a jpeg utilizando la expresin GREP \x que denota un tabulador hexadecimal. Asegrese de seleccionar GREP Aceptar

92

Figura 48. Trminos de bsqueda

Asegrese que sea la nica palabra clave seleccionada, seleccione bsqueda y marque las opciones indicadas en la siguiente imagen, a continuacin haga clic en la opcin Iniciar o Start.

93

Figura 49. Opciones de bsqueda

Figura 50. Palabra clave creada

94

Figura 51. Resultados de la bsqueda avanzada

6.7.16 Reportes La fase final en una investigacin forense es la generacin de un reporte de resultados, de forma organizada y un formato comprensible para el examinador. EnCase se encarga de generar marcadores y exportar la evidencia de la forma ms ordenada. La informacin contenida en el archivo de evidencia es muy importante para la generacin del reporte final, ya que documenta la cadena de custodia y las caractersticas del dispositivo fsico. En la vista Casos/Entradas/Inicio hacer clic en el botn derecho sobre el disco fsico y seleccionar Marcador Estructura de directorio para incluir estos datos en el reporte.

95

Figura 52. Marcador al disco fsico

Marque la opcin para incluir la informacin del dispositivo Include Device Information. Haga clic derecho sobre el Marcador en la ventana Ruta Destino y cree una carpeta de nombre.

96

Figura 53. Creacin de la carpeta con la informacin del dispositivo.

97

Figura 54. Informacin del dispositivo Fsico

98

6.7.17 Personalizar la presentacin de los valores del reporte La presentacin del reporte se puede personalizar. Para cambiar los atributos que se muestran para cada una de las caractersticas de la carpeta haga clic derecho sobre la carpeta y seleccione la opcin modificar.

Figura 55. Informe del caso

99

En la ventana campos Fields, busque el atributo deseado y haga doble clic para moverlo a la ventana formato. Los datos entre parntesis cuadrados corresponden a los identificadores internos utilizados por EnCase para el atributo seleccionado, y los datos libres de parntesis corresponden a los encabezados para variables que pueden modificarse.

Figura 56. Modificacin de la presentacin de los archivos

100

6.7.18 Exportando Reportes en formato RTF y HTML Una vez se ha generado el reporte para la investigacin y con la informacin organizada adecuadamente es posible exportar los reportes desde EnCase.

Figura 57. Reporte de la investigacin

101

Los reportes pueden ser exportados en formato de texto enriquecido estndar (RTF), que pueden imprimirse en Microsoft Word o bien en HTML como formato de pginas de Internet para la generacin de un reporte no impreso.

Figura 58. Almacenamiento del reporte exportado

102

6.7.19 Condiciones y consultas Esta leccin resume el pode y la eficacia de los programas en EnScript, las condiciones, los filtros y las consultas. Las condiciones y los filtros son utilizados para disminuir las listas de archivos, ayudando as a que el investigador encuentre con facilidad la informacin que busca. Tanto las condiciones como las consultas realizan una bsqueda en todo el caso, filtrando las entradas con base con uno o ms parmetros. Una condicin permite filtrar los objetos en el caso con base en uno o ms atributos. EnCase proporciona una amplia variedad de condiciones predeterminadas, a la vez que permite al investigador crear nuevas condiciones predeterminadas requiriendo muy pocos conocimientos, un investigador podra por ejemplo optar por una condicin para ver solo imgenes, documentos de texto, archivos Zip, pginas de internet, archivos o carpetas que se encuentran ocultos. Es necesario crear una carpeta para almacenar las condiciones

predeterminadas, lo que ayudara de exportar estas condiciones en llegado el caso de que el investigador requiera moverlas o exportarlas. Es primordial indicar el nombre de la pestaa dentro de la cual funcionara cada condicin en el correspondiente nombre de la carpeta, ya que las condiciones activas dependern del nombre de la carpeta.

103

Figura 59. Creando nueva carpeta para almacenar condiciones

Haga clic en el botn derecho sobre la carpeta nueva y seleccin la opcin new (nueva) para crear una nueva condicin.

104

Figura 60. Creando una nueva condicin en la nueva carpeta

Se ha optado por crear una nueva condicin, EnCase mostrara el cuadro de dialogo nueva condicin. A manera de ejemplo creamos una condicin para encontrar todos los archivos con la extensin en JPEG, asignndole el nombre IMGENES JPEG a la nueva condicin.

Figura 61. Cuadro de dialogo nueva condicin

105

Haga clic derecho en el elemento de la funcin principal Fx()Main y seleccione nuevo para agregar criterios a la condicin

Figura 62. Crear criterio de condicin

Las propiedades muestran los atributos disponibles para configurar la ejecucin de cada condicin. En este ejemplo utilizaremos el atributo extensin para filtrar por la extensin JPEG. La funcin operador se ejecuta sobre el atributo seleccionado, para este ejemplo utilizaremos la funcin igual a para filtrar y que nos muestre solamente los archivos cuya extensin solo sea JPEG. El filtro puede distinguir entre maysculas y minsculas si lo desea, para este ejemplo la extensin se incluyen en minsculas, si se utilizara Case

106

Sensitive el resultado no incluira los objetos con una extensin jpeg en la que cualquiera de los tres caracteres estuviera en maysculas.

Figura 63. Filtro para archivos con extensin jpeg

Seleccin Aceptar en el cuadro de dialogo y en el cuadro nueva condicin para insertar la condicin en la carpeta recin creada.

Figura 64. Nueva condicin creada

107

Existen dos formas de ejecutar la condicin de bsqueda, al hacer clic sobre la condicin o clic derecho sobre la condicin y seleccin la opcin Run o Correr.

Figura 65. Ejecucin de la condicin de bsqueda

Una vez realizado el paso anterior obtendr un resultado con todos los archivos de imagen con extensin JPEG.

108

CONCLUSIONES Y RECOMENDACIONES

En este proyecto se ha desarrollado una investigacin de las potencialidades de EnCase teniendo en cuenta diversas fuentes de informacin. Esto se llevo a cabo con el fin de realizar una de la gua metodolgica presentada en este trabajo, basndola en los conceptos y procedimientos investigados, y refinndola para el uso y conocimiento de forma sencilla de EnCase.

Es importante tener en cuenta otros aspectos importantes de este trabajo, los cuales son:

La documentacin encontrada en las diferentes fuentes de informacin ha sido organizada de forma que su uso sea sencillo, sin embrago es fundamental para quienes hagan de esta una herramienta de uso educativo trabajar directamente con el software y puedan conocer el espacio de trabajo y los procedimientos que les permitirn aprender de forma prctica e intuitiva.

La adquisicin de informacin teniendo como base fuentes de internet fue complejo debido a que siendo un software licenciado las fuentes pblicas son escasas y con informacin muy bsica de EnCase.

Actualmente el software encase es una de las herramientas ms reconocidas en el medio de la seguridad informtica.

Una de las herramientas ms poderosas de encase es la capacidad de organizar de forma conjunta diferentes tipos de dispositivos para que el usuario pueda localizarlos como una unidad y no de forma individual. Este proceso ahorra una gran cantidad de tiempo y permite al examinador concentrarse en el anlisis de la evidencia.
109

REFERENCIAS

CASEY, EOGHAN. Digital evidence and computer crime: forensic science, computers, and the internet. 2004

CANO MARTINES JEIMY JOS, MOSQUERA GONZLEZ JOS ALEJANDRO, CERTAIN JARAMILLO ANDRS FELIPE. Evidencia digital: contexto, situacin e implicaciones nacionales. abril de 2005. Fecha de consulta, 28 de noviembre de 2011,

http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/te xto/nastecnologias6.pdf

CANO MARTINES JEIMY JOS. Admisibilidad de la evidencia digital: algunos elementos de revisin y anlisis. Agosto de 2003. Fecha de consulta: 29 de noviembre de 2011. http://www.alfa-redi.org/rdiarticulo.shtml?x=1304

DOMINGUEZ FEDERICO DANIEL, Experiencia y su importancia en el proceso de aprendizaje colegio nuestra seora de Loreto, crdoba profesor gua: polo, Sergio Antonio.

FBI, FEDERAL BUREAU OF INVESTIGATION, (En lnea) fecha de consulta: 20 de noviembre de 2011 httpfbi-10].

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

GUIDANCE SOFTWARE, manual de usuario y gua EnCase, fecha de consulta: 10 de octubre de 2011,

http://www.encase.com/html/how_encase_works.html.

110

 INTERNATION ORGANIZATION ON COMPUTER EVIDENCE, ioce, international organization of computer evidence. (En lnea) Fecha de consulta: 15 de octubre de 2011. Disponible en: http://www.ioce.org

HANDBOOK

GUIDELINES

FOR

THE

MANAGEMENT

OF

IT

EVIDENCE (En lnea), Fecha de consulta: 15 de octubre de 2011. Disponible en:

http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan01 6411.pdf

http://www.forensics-intl.com/def3.html

SANTAMARINA, RAL y LLULL, LAURA. Director y gerente de gestin del aprendizaje de distance educational network argentina. revista: learning review Latinoamrica.

111