UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS EN EL VALLE DE SULA

INFORMATICA FORENSE

Lorena Vanessa Aguilar Sanabria 20132003695Lili del Carmen Pineda Muñoz 20122001193

Medicina Forense

Sección 16:00

San Pedro Sula, Cortes, 4 de Noviembre del 2016

1

Doctor Alejandro Álvarez

INDICE

Introducción………………………………………………………………….3

Justificación……………………………………………………………….…4

Objetivos……………………………………………………………………..5

Marco Teórico………………………………………………......……….6-10

Conclusiones…………………………………………………………….…11

Bibliografía...……………………………………………………………….12

Anexos….………………………………………………………………..…13

2

INTRODUCCION

La informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y al uso que se le da a ésta, al desarrollo de nuevos espacios donde es usada y al extenso uso de computadores por parte de las compañías de negocios tradicionales. Es por esto que cuando se realiza un crimen, muchas veces la información queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la información de información forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aquí que surge el estudio de la computación forense como una ciencia relativamente nueva. Resaltando su carácter científico, tiene sus fundamentos en las leyes de la física, de la electricidad y el magnetismo. Es gracias a fenómenos electromagnéticos que la información se puede almacenar, leer e incluso recuperar cuando se creía eliminada. La informática forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crímenes apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales.

3

JUSTIFICACIÓN

La informática forense se encarga de investigar los procesos mediante los cuales se pudieron haber cometido un crimen mediante dispositivos electrónicos con el fin de descubrir y analizar la información disponible, suprimida u ocultada y que ésta a su vez pueda servir como evidencia en un asunto legal. Se pueden reconstruir hechos en caso de que se haga un mal uso de ellos. Hoy en día las empresas necesitan cada día más seguridad para sí mismos y por medio de la informática forense, en cualquier intento de delito, se puede llegar a los procesos que se hicieron y recuperar los archivos que se tenían en un principio. Es por eso que se vuelve tan importante la protección de datos tanto en empresas como datos personales, en redes sociales o cualquier otro ámbito para no tener problemas con los llamados hackers o que puedan robar la identidad de una identidad por internet. Las distintas metodologías forenses incluyen la captura segura de datos de diferentes medios digitales y evidencias digitales, sin alterar la información de origen. Se han encontrado hallazgos en diferentes áreas dado que los eventos se dan en diferentes maneras como entrar a una página privada y gracias a un método llamado SMART y LINR lograron detectar a los hackers y pudieron reforzar su programa a tiempo para algún otro incidente.

4

OBJETIVOS

-Describir los usos en los que son aplicables las técnicas de la Informática forense.

-Conocer detalladamente los métodos de recolección de evidencia que nos brinda la Informática Forense.

-Determinar los criterios de admisibilidad de las pruebas obtenidas a través de la informática forense.

-Enumerar y explicar los pasos del cómputo forense.

5

MARCO TEORICO

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking, recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no tiene como objetivo el prevenir delitos, de ello se encarga la seguridad informática, por eso resulta imprescindible tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.

La informática forense tiene 3 objetivos:

-La compensación de los daños causados por los intrusos o criminales.

6

-La persecución y procesamiento judicial de los criminales.

-La creación y aplicación de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas, entre ellas, la principal es la colección de evidencia.

Dentro de lo forense encontramos varias definiciones:

Computación forense que entendemos por disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos.

Forense en redes es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular. Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de computación forense, este contexto exige capacidad de correlación de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente.

Forense digital forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿por qué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática.

Usos de la Informática Forense

Existen varios usos de la informática forense, muchos de estos usos provienen de la vida diaria, y no tienen que estar directamente relacionados con la informática forense:

7

1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.

2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.

3. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.

4. Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.

5. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.

La ciencia forense nos proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o Informática Forense. Juan David Gutierrez Giovanni Zuccardi analizar la evidencia durante una investigación criminal forma parte de la ciencia forense.

Los principios científicos que hay detrás del procesamiento de una evidencia son reconocidos y usados en procedimientos como:

• Recoger y examinar huellas dactilares y ADN.

• Recuperar documentos de un dispositivo dañado.

• Hacer una copia exacta de una evidencia digital.

• Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para asegurar que este no se ha modificado.

• Firmar digitalmente un documento para poder afirmar que es auténtico y preservar la cadena de evidencias.

Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir el crimen y encontrar pistas. Aplicando un método científico analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis. Esto puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir, esto es debido a que un forense no

8

puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada. Por esto, sólo puede presentar posibilidades basadas en la información limitada que posee.

La infraestructura informática a analizar puede ser toda aquella que tenga una Memoria (informática), por lo que se incluyen en tal pericia los siguientes dispositivos:

-Disco duro de una Computadora o Servidor

-Documentación referida del caso.

-Tipo de Sistema de Telecomunicaciones

-Información Electrónica MAC address

-Logs de seguridad.

-Información de Firewalls

-IP, redes Proxy. lmhost, host, Crossover, pasarelas

-Software de monitoreo y seguridad

-Credenciales de autentificación

-Trazo de paquetes de red.

-Teléfono Móvil o Celular, parte de la telefonía celular,

-Agendas Electrónicas (PDA)

-Dispositivos de GPS.

-Impresora

-Memoria USB

-Bios

CLASIFICACIÓN DE LA EVIDENCIA DIGITAL

Cano clasifica la evidencia digital que contiene texto en 3 categorías:

-Registros generados por computador: Estos registros son aquellos, que como dice su nombre, son generados como efecto de la programación de un computador. Los registros generados por computador son inalterables por una persona. Estos registros son llamados registros de eventos de seguridad y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que generó el registro.

9

-Registros no generados sino simplemente almacenados por o en computadores: Estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones humanas contenidas en la evidencia son reales.

-Registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: Los registros híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.

CRITERIOS DE ADMISIBILIDAD

En legislaciones modernas existen cuatro criterios que se deben tener en cuenta para analizar al momento de decidir sobre la admisibilidad de la evidencia: la autenticidad, la confiabilidad, la completitud o suficiencia, y el apego y respeto por las leyes y reglas del poder judicial:

1-Autenticidad: Una evidencia digital será autentica siempre y cuando se cumplan dos elementos:

• El primero, demostrar que dicha evidencia ha sido generada y registrada en el lugar de los hechos

• La segunda, la evidencia digital debe mostrar que los medios originales no han sido modificados, es decir, que la los registros corresponden efectivamente a la realidad y que son un fiel reflejo de la misma.

2- Confiabilidad: Se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados. Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba” [EviDig05]. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usuarios del sistema y que a posea con un registro centralizado e íntegro de los mismos registros.

3.- Suficiencia o completitud de las pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa. Para asegurar esto es necesario

10

“contar con mecanismos que proporcionen integridad, sincronización y centralización” para lograr tener una vista completa de la situación. Para lograr lo anterior es necesario hacer una verdadera correlación de eventos, la cual puede ser manual o sistematizada.

4.- Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio se refiere a que la evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurídico.

MANIPULACION DE LA EVIDENCIA DIGITAL

Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital que son los siguientes:

• Hacer uso de medios forenses estériles (para copias de información)

• Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia.

• Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.

• Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles para su revisión.

• Siempre que la evidencia digital este en poder de algún individuo, éste será responsable de todas la acciones tomadas con respecto a ella, mientras esté en su poder.

• Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia digital, serán quienes deben garantizar el cumplimiento de los principios anteriores.

PASOS DEL COMPUTO FORENSE

El proceso de análisis forense a una computadora se describe a continuación:

-Identificación

Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a

11

localizar). Incluye muchas veces (en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.

-Preservación

Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

-Análisis

Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

-Presentación

Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy específica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según las plataformas y sistemas

12

Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:

Ser imparcial. Solamente analizar y reportar lo encontrado.

Realizar una investigación formal sin conocimiento y experiencia.

Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia).

Documentar toda actividad realizada.

El especialista debe conocer también sobre:

Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento.

HERRAMIENTAS DE CÓMPUTO FORENSE

-Sleuth Kit (Forensics Kit. Command Line)

-Autopsy (Forensics Browser for Sleuth Kit)

-Volatility (Reconstrucción y análisis de memoria RAM)

-Py-Flag (Forensics Browser)

-Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)

-dcfldd (DD Imaging Tool command line tool and also works with AIR)

-foremost (Data Carver command line tool)

-Air (Forensics Imaging GUI)

-md5deep (MD5 Hashing Program)

-netcat (Command Line)

-cryptcat (Command Line)

-NTFS-Tools

-Hetman software (Recuperador de datos borrados por los criminales)

-qtparted (GUI Partitioning Tool)

-regviewer (Windows Registry)

13

-Viewer

-X-Ways WinTrace

-X-Ways WinHex

-X-Ways Forensics

-R-Studio Emergency (Bootable Recovery media Maker)

-R-Studio Network Edtion

-R-Studio RS Agent

-Net resident

-Faces

-Encase

-Snort

-Helix

-NetFlow

-Deep Freeze

-hiren´s boot

-Canaima 3.1

-Mini XP

HERRAMIENTAS PARA EL ANÁLISIS DE DISCOS DUROS

-AccessData Forensic ToolKit (FTK)

-Guidance Software EnCase

-Kit Electrónico de Transferencia de datos

HERRAMIENTAS PARA EL ANÁLISIS DE CORREOS ELECTRÓNICOS

-Paraben

-AccessData Forensic ToolKit (FTK)

-Herramientas para el análisis de dispositivos móviles

-AccessData Mobile Phone Examiner Plus (MPE+)

14

-Herramientas para el análisis de redes

-E-Detective - Decision Computer Group

-SilentRunner - AccessData

-NetworkMiner

-Netwitness Investigator

HERRAMIENTAS PARA FILTRAR Y MONITOREAR EL TRÁFICO DE UNA RED TANTO INTERNA COMO A INTERNET

-Tcpdump

-USBDeview

-SilentRunner - AccessData

-WireShark

15

CONCLUSION

En conclusión, estamos hablando de la utilización de la informática forense como una ayuda a la sociedad cuando están expuestos a tantos frauden; y su relevante importancia como una herramienta de mucha ayuda para la resolución de conflictos, mediante la práctica de diversas pruebas técnicas, que ayuden al esclarecimiento de los hechos.

16

BIBLIOGRAFÍA

Introducción a la informática Forense de Rodrigo Florencia

Informática Forense por Giovani Zuccardi Juan David Gutiérrez

Óscar López, Haver Amaya, Ricardo León. (2001) Informática forense: generalidades, aspectos técnicos y herramientas

http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf

http://www.informaticaforense.com.ar/informatica_forense.htm

www.docplayer.es

17

ANEXOS

18

19