Upload
leonardo-chica
View
8
Download
1
Tags:
Embed Size (px)
Citation preview
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
Estudio de informtica forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre Linux dentro de redes hibridas
TESIS DE GRADO Previa a la obtencin del Ttulo de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: CARLOS ALBERTO LUCAS AYORA TUTOR: ING. JUAN SANCHEZ H.
GUAYAQUIL ECUADOR
2010
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
Estudio de informtica forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre Linux dentro de redes hibridas
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
INGENIERO EN SISTEMAS COMPUTACIONALES
CARLOS ALBERTO LUCAS AYORA
TUTOR: ING. JUAN SANCHEZ H.
GUAYAQUIL ECUADOR
2010
Guayaquil, 2010
i
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de investigacin, Estudio de informtica forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas elaborado por el Sr. CARLOS ALBERTO LUCAS AYORA, egresado de la Carrera de Ingeniera en Sistemas Computacionales, Facultad de Ciencias Matemticas y Fsicas de la Universidad de Guayaquil, previo a la obtencin del Ttulo de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
.
Ing. JUAN SANCHEZ H. TUTOR
ii
DEDICATORIA
Este trabajo de tesis va dedicado a mi familia, mi madre, mi padre y mi hermano; han sido el soporte, la compaa, la ayuda, el amor, la comprensin, la paciencia, todo aquello que un ser humano necesita rodearse y sentir para poder alcanzar sus objetivos en la vida.
iii
AGRADECIMIENTO
A ti Rossana, sin tu amor, sin tu empuje esto no hubiera sido posible. Quiero agradecer a mis familiares cercanos que siempre estuvieron pendientes de mis avances para la obtencin de mis objetivos, a mis amigos siempre con sus palabras de apoyo, a la Universidad de Guayaquil por brindarme las herramientas y el conocimiento para realizar este trabajo, a todas esas personas muchas gracias.
iv
TRIBUNAL DE GRADO
Ing. Frenando Abad Montero Ing. Juan Chanab Alccer DECANO DE LA FACULTAD DIRECTOR CIENCIAS MATEMATICAS Y FISICAS
MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL
MIEMBRO DEL TRIBUNAL (TUTOR) SECRETARIO
v
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
Estudio de informtica forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre Linux dentro de redes hibridas
RESUMEN
El presente proyecto de tesis tiene como objetivo dar a conocer a nuestra sociedad tecnolgica una herramienta muy nueva, pero por esto no deja de ser importante. Vemos cada vez el creciente nmero de incidentes, ataques o siniestros ocurridos en los centros de datos, estos en mayor numero ocurren por ataques externos, intrusos que logran vulnerar las seguridades de los mismos accediendo a informacin delicada y a su vez averiando la estructura fsica tecnolgica. La informtica forense es una ciencia que basa su principios cientficos en el anlisis de los datos en los dispositivos electrnicos, para lograr establecer daos causados y encontrar rastros de quien o quienes fueron los posibles autores de dicha intrusin. Este estudio explica los pasos que los especialistas deben seguir y que herramientas disponibles pueden hacer uso para encontrar evidencia suficiente y precisa para identificar el dao as como los autores. Esta ciencia guarda mucha relacin con otras, en especial con la forense, ya que sigue el mismo patrn de procedimientos y tambin con las ciencias humansticas, las legales. Esto es, porque toda aquella evidencia que se logre encontrar puede ser utilizada como pruebas para un proceso legal que sea llevado en una corte. Debemos estar a la altura de la situacin, los riesgos cada vez son ms grandes, por las cantidades de informacin que manejan los centros de datos, y se debe tener en cuenta todo el abanico de opciones y herramientas que permiten una mejor administracin de los mismos. Pero as mismo estas acciones y procesos no pueden llevarse a cabalidad sino existe un respaldo legal eficiente y bien estructurado, sino se disean cuerpos legales que consideren este campo muy amplio y que tengan definiciones ms apropiadas para afrontar este tipo de hechos.
Autor: Carlos Lucas Ayora Tutor:Ing. Juan Sanchez H.
vi
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES
___________________________________________________
Estudio de informtica forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos
cliente de plataforma Windows y servidores con plataforma de software libre
Linux dentro de redes hibridas
________________________________________
Proyecto de trabajo de grado que se presenta como requisito para optar por el ttulo de
INGENIERO en SISTEMAS COMPUTACIONALES
Auto/a CARLOS LUCAS AYORA
C.I. 0923048102
Tutor: Ing. JUAN SANCHEZ H.
Guayaquil, ______de_____ Mes
vii
CERTIFICADO DE ACEPTACIN DEL TUTOR
En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el Departamento de Graduacin y la Direccin de la Carrera de Ingeniera en Sistemas Computacionales de la Universidad de Guayaquil,
CERTIFICO:
Que he analizado el Proyecto de Grado presentado por el/la egresado(a) CARLOS ALBERTO LUCAS AYORA, como requisito previo para optar por el ttulo de Ingeniero cuyo problema es:
Estudio de informtica forense acerca de delitos ocurridos entre la interoperabilidad de sistemas operativos cliente de plataforma Windows y servidores con plataforma de software libre Linux dentro de redes hibridas
considero aprobado el trabajo en su totalidad.
Presentado por:
LUCAS AYORA CARLOS ALBERTO 0923048102 Apellidos y Nombres completos Cdula de ciudadana N
Tutor: ING. JUAN SANCHEZ H.
Guayaquil, ______de_____ Mes
i
ii
INDICE GENERAL CARATULA i CARTA DE ACEPTACION DEL TUTOR ii INDICE GENERAL iii RESUMEN iv INTRODUCCION v
CAPITULO I .- EL PROBLEMA 1 1.1 Ubicacin del problema en un contexto 1 1.2 Situacin, conflictos, nudos crticos 2 1.3 Causas y consecuencias del problema 3 1.4 Delimitacin del problema 4 1.5 Formulacin del problema 5 1.6 Objetivos 6 1.7 Justificacin e Importancia 8
CAPITULO II .- MARCO TEORICO 10 2.1 Antecedentes 10 2.1.1 Los principios en entrenamiento 10 2.1.2 El organismo especializado (IOCE) 10 2.1.3 Finales de los 90's 11 2.1.4 La primera dcada del siglo 21 11 2.2 Fundamentacin Legal 11 2.2.1 Ley de Comercio Electrnico, firmas electrnicas y mensajes de datos 12 2.3 Fundamentacin Terica 15 2.3.1 Informtica forense 17 2.3.2 Principios Forenses 19 2.3.3 Evidencia Digital 20 2.4 Metodologa de trabajo para el anlisis de datos 21 2.4.1 La identificacin de la evidencia digital 22 2.4.2 La extraccin y preservacin del material informtico 23 2.4.3 Anlisis de datos 25 2.4.4 La presentacin del dictamen pericial 26 2.5 Hiptesis y Variables 28 2.5.1 Definiciones 28 2.6 Conceptos y definiciones 29 2.6.1 Siniestro 29 2.6.1.1 Clases de Siniestro 30 2.6.1.1.1 Por el grado de intensidad del dao producido 30 2.6.1.1.1.1 Siniestro Parcial 30 2.6.1.1.1.2 Siniestro Total 30
2.6.1.1.2 Por el estado del trmite en que se encuentran 30 2.6.1.1.2.1 Siniestro Declarado 30 2.6.1.1.2.1 Siniestro Pendiente 30 2.6.1.1.2.1 Siniestro Liquidado 30 2.6.1.1.3 Segn lo comn del siniestro 31 2.6.1.1.3.1 Siniestro Ordinario 31 2.6.1.1.3.1 Siniestro Extraordinario o Catastrfico 31 2.6.1.1.4 Siniestro Informtico 32 2.6.1.1.4.1 Concepto 32 2.6.1.1.4.1 Tipos de Siniestro Informtico 32 2.6.1.1.4.1.1 Bomba ilcita o cronolgica 32 2.6.1.1.4.1.2 Piratas informticos o hackers 32
CAPITULO III .- METODOLOGIA 34 3.1 Diseo de la Investigacin 34 3.1.1 Modalidad de la investigacin 34 3.1.2 Tipo de investigacin 35 3.1.3 Poblacin y muestra 38 3.2 Operacionalizacion de las variables 40 3.2.1 Variable independiente 40 3.2.2 Variable dependiente 41 3.2.3 Tcnicas para el procesamiento y anlisis de datos 42
CAPITULO IV .- MARCO ADMINISTRATIVO 44 4.1 Cronograma 44 4.2 Presupuesto 44
CAPITULO V .- MARCO LEGAL 45 5.1 Conceptos y definiciones 45 5.1.1 Delito Informtico 45 5.1.2 Criminologa 45 5.1.3 Criminalstica 46 5.1.4 Evidencia Digital 46 5.1.5 Perito Informtico 46 5.1.6 Informtica forense 46 5.1.7 Auditoria forense 47 5.2 Leyes y normativas legales sobre derecho informtico 47 5.2.1 Derecho informtico en Europa 48 5.2.2 Derecho informtico en Norteamrica 49 5.2.3 Derecho informtico en Mxico 50 5.2.3 Derecho informtico en Latinoamrica 51
5.2.3 Derecho informtico en Ecuador 53 5.3 El papel fundamental de la evidencia fsica dentro de un proceso legal basado en delitos informticos 56 5.3.1 Proceso de recuperacin de evidencia 56 5.3 Reconocimiento de la evidencia 59 5.3 Recomendaciones legales bsicas 63
REFERENCIAS BIBLIOGRAFICAS 67 ANEXOS 70 Instalacion y configuracin del SLEUTHKIT y ATOPSY BROWSER 71
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES
ESTUDIO DE INFORMTICA FORENSE ACERCA DE DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE
SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA WINDOWS Y SERVIDORES CON PLATAFORMA DE
SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS
Autor/a: CARLOS LUCAS AYORA
Tutor/a: ING: JUAN SANCHEZ H.
RESUMEN Las infraestructuras de TI son cada da mucho mejor implementadas en cuanto a costos, elementos y diseos; para obtener el mayor rendimiento posible de las mismas. Es por eso que para su diseo y mantenimiento se deben tener mecanismo de seguridad tanto preventiva como correctiva. Antivirus, Antispyware, Firewalls, restricciones, VPN's, un sin nmero de mtodos que se pueden implementar para la seguridad de TI. Pero en Ocasiones cuando las seguridades fallan, sean estas por descuido de los administradores o por intrusiones malintencionadas, es cuando las medidas correctivas son llevadas a cabo, ah es donde hace su aparicin la informtica forense, una ciencia naciente que permite por medio de procesos y mtodos cientficos la obtencin de evidencias que guen a los autores de un ataque a la estructura de TI, as como de los daos que esto causo y de las correcciones que deben tomarse para restablecer los servicios. La informtica forense es una ciencia que recin est comenzando a ser aceptada y utilizada, una gran utilidad de la misma es que se involucra con el mbito legal, ya que mediante los anlisis forenses se podrn identificar a los culpables de hechos dolosos que atenten contra la estructura de los centros de datos, pudiendo poner a estos ante la justicia con evidencias incriminatorias. El objetivo del desarrollo de esta tesis es poner en conocimiento de los administradores de TI una herramienta muy til, as como de explicar la aplicacin de la misma para el mantenimiento de los centros de datos. En nuestro pas estos conceptos aun son muy poco conocidos y menos aun utilizados. La informtica forense abre un abanico de soluciones ya que puede interactuar con muchos campos del desarrollo tecnolgico, telecomunicaciones, hardware, software, obteniendo un rango muy amplio de accin.
vi
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES
ESTUDIO DE INFORMTICA FORENSE ACERCA DE DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE
SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA WINDOWS Y SERVIDORES CON PLATAFORMA DE
SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS
ABSTRACT
It infraestructures are improving every day, but these implies costs, designing, and very complex devices; in order to keep best perfomance on those estructures. That is the reason of why they have security programs and strutctures as preventive and for repairment. Antivirus, Antiphising, Antispyware, security policies, and others ways that can be developed for IT security structures. Even though of those efforts sometimes this systems can fail, those can be consequences of a security policies not correctly implanted, some administrators are not capable to solve some situations and problems that can be seen in a IT structure, intruders trying to cause damages. This is the right moment when administrators using they policies, in this case to repairs damages and errors caused before. Computer forensics is one of the most powerful tools in this matter, this the base of this document. Computer Forensics is a neraly age science, its based on scientifics process and sizing. Its used to obtain phisic evidence from several electronics devices like computers, pda's, hard disks, etc. This newly science allows the investigators get leads about those who may do the intrusion or damage in that case. INVOLVES procedures to make planing of fixing events that take down the services of IT. Because this procedures, methods and results of these are catalog as evidence, this evidence can be show in a law process sucha as trial, for these reason computer forensics is mixing with so many other sciences. This document of thesis pretend stablish a way of thinking between IT administrators and people involve in technology, nowadays there so many treaths, so many ways to brake securities, and reach very important information as many devices. that's why people who work or develop solutions for theese problems have to be awareness of this matter. We take a look arround and every are technology, and every we bring more solutions to our world.
v
INTRODUCCION
Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones utilizan sistemas informticos para el manejo de sus operaciones o a su vez almacenamiento de datos, sean estos programas, equipos de computacin y que a medida que se incrementa esta demanda hacen que estos equipos y programas sean vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos elementos produciendo daos en las plataformas tecnolgicas, perjuicios economicos, etc. Por este motivo debe de drsele la importancia necesaria para establecer normas de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal adecuado para salvaguardar las infraestructuras tecnolgicas as como la integridad de la informacin.
A medida que va aumentando y diversificando el uso de plataformas tecnolgicas, las vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados buscan cuentas sin contrasea, servicios mal configurados, contraseas mal estructuradas, vulnerabilidades en los protocolos, de sistemas operativos aprovechndose adems de la deficiencia en la cultura sobre seguridad computacional que existe en la sociedad.
Nombrando incidentes y ataques ms comunes que deben tomarse en cuenta para mantener la seguridad de un equipo o sistema tenemos: robo de contraseas, troyanos, virus y gusanos, puertas traseras, negacin de servicios (DOS), correo no deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros.
Para combatir este tipo de delitos, existe la Informtica Forense como una herramienta clave en la investigacin de estas peligrosas prcticas. Esta ciencia involucra aspectos como la preservacin, descubrimiento, identificacin, extraccin, documentacin y la interpretacin de datos informticos; analizando a partir de esto,
los elementos de la tecnologa de informacin que sean una evidencia digital llevando as a la solucin funcional y/o judicial del delito padecido por compaa o persona natural.
En nuestro pas esta ciencia usada como herramienta es muy poco aplicada, ya que o existe desconocimiento de la misma o no hay la informacin ni los mecanismos adecuados para su aprovechamiento, dando lugar a que la mayora de estos problemas se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios ocasionados. Ms aun en nuestra sociedad, cuando se trata de infraestructura tecnolgica existen muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o inclusive propias de la tecnologa las que son aprovechadas por intrusos para ocasionar daos.
La informtica forense hace su aparicin como una disciplina auxiliar para la justicia en estos tiempos donde los delitos han cambiado y se presentan distintas figuras legales. Con esta disciplina podemos hacer frente a los desafos y tcnicas utilizadas por los intrusos informticos, as como para proporcionarnos garanta en lo que a
evidencia digital concierne para que esta pueda ser aportada en un proceso judicial.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
El fraude, extorsin, robo de informacin, venganza o simplemente el reto de vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o atacantes externos pueden llegar a afectar la estructura tecnolgica de una compaa. Si una compaa no disea procedimientos, polticas y asigna recursos para la seguridad de sus sistemas puede fcilmente ser vctima de estas situaciones. En nuestro pas muy pocas empresas y personas toman muy en serio el mbito de la
seguridad de sus plataformas ya que comprenden la importancia de estas para el funcionamiento del negocio.
Mientras las personas encargadas de administrar los sistemas, los recursos tecnolgicos no procedan con cautela ante estos posibles ataques o no tomen las medidas preventivas ni correctivas, se podrn encontrar frecuentemente con estos problemas.
La informtica forense aparte de ser una medida correctiva, tambin se la puede aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los inconvenientes que un ataque a la plataforma tecnolgica pueda causar.
En nuestro pas estas tcnicas y procedimientos de la informtica forense son nuevos, por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que las leyes que existen para tipificar lo que es un delito de ndole informtica son muy escasas, adems no son muy explicitas al momento de especificar un hecho de esta naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y situaciones que se van presentando a medida que la tecnologa avanza.
1
CAPTULO I
1. EL PROBLEMA
1.1 UBICACIN DEL PROBLEMA EN UN CONTEXTO
Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones utilizan sistemas informticos para el manejo de sus operaciones o a su vez almacenamiento de datos, sean estos programas, equipos de computacin y que a medida que se incrementa esta demanda hacen que estos equipos y programas sean vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos elementos produciendo daos en las plataformas tecnolgicas, perjuicios econmicos, etc. Por este motivo debe de drsele la importancia necesaria para establecer normas de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal adecuado para salvaguardar las infraestructuras tecnolgicas as como la integridad de la informacin.
A medida que va aumentando y diversificando el uso de plataformas tecnolgicas, las vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados buscan cuentas sin contrasea, servicios mal configurados, contraseas mal estructuradas, vulnerabilidades en los protocolos, de sistemas operativos aprovechndose adems de la deficiencia en la cultura sobre seguridad computacional que existe en la sociedad.
Nombrando incidentes y ataques ms comunes que deben tomarse en cuenta para mantener la seguridad de un equipo o sistema tenemos: robo de contraseas, troyanos, virus y gusanos, puertas traseras, negacin de servicios (DOS), correo no deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros.
2
Para combatir este tipo de delitos, existe la Informtica Forense como una herramienta clave en la investigacin de estas peligrosas prcticas. Esta ciencia involucra aspectos como la preservacin, descubrimiento, identificacin, extraccin, documentacin y la interpretacin de datos informticos; analizando a partir de esto, los elementos de la tecnologa de informacin que sean una evidencia digital llevando as a la solucin funcional y/o judicial del delito padecido por compaa o persona natural.
En nuestro pas esta ciencia usada como herramienta es muy poco aplicada, ya que o existe desconocimiento de la misma o no hay la informacin ni los mecanismos adecuados para su aprovechamiento, dando lugar a que la mayora de estos problemas se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios ocasionados. Ms aun en nuestra sociedad, cuando se trata de infraestructura tecnolgica existen muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o inclusive propias de la tecnologa las que son aprovechadas por intrusos para ocasionar daos.
La informtica forense hace su aparicin como una disciplina auxiliar para la justicia en estos tiempos donde los delitos han cambiado y se presentan distintas figuras legales. Con esta disciplina podemos hacer frente a los desafos y tcnicas utilizadas por los intrusos informticos, as como para proporcionarnos garanta en lo que a
evidencia digital concierne para que esta pueda ser aportada en un proceso judicial.
1.2 SITUACIN CONFLICTO NUDOS CRTICOS El crecimiento en el uso de plataformas tecnolgicas para la administracin de los datos de las empresas o gobiernos tambin produce un mayor nmero de vulnerabilidades dentro de estos sistemas. Estas vulnerabilidades se encuentran porque existen personas malintencionadas que persiguen causar un perjuicio u
3
obtener informacin confidencial, utilizando tcnicas y procedimientos tcnicos para alcanzar este fin.
En una compaa, un empleado puede comprometer las seguridades en los sistemas de la compaa, en casos por inexperiencia o tambin con conocimiento de culpa. Podemos encontrar que un trabajador obtiene una contrasea de seguridad para obtener mayores privilegios dentro de una base de datos, sin conocimiento puede permitir el acceso al sistema de un virus o algn otro programa daino, obtiene informacin confidencial para proporcionrsela a la competencia.
Por la falta de cultura de seguridad informtica que existe las empresas pueden ser vctimas de delincuentes especializados en este tipo de acciones. Un banco puede sufrir una prdida de informacin por un intruso en sus sistemas. Una empresa comercial que posee un servidor externo para clientes, si no est debidamente configurado y no posee las seguridades necesarias puede ser vctima de un hacker y puede sufrir daos en su infraestructura tecnolgica.
Ante todas estas situaciones problemticas se puede hacer uso de la informtica forense tanto para la recuperacin de los daos sufridos por intrusos o aplicaciones peligrosas, as como la identificacin de los posibles culpables que ocasionaron el dao y adems la recoleccin de evidencia confiable para que esta pueda ser tomada en una acusacin formal de los supuestos agresores.
1.3 CAUSAS Y CONSECUENCIAS DEL PROBLEMA El fraude, extorsin, robo de informacin, venganza o simplemente el reto de vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o atacantes externos pueden llegar a afectar la estructura tecnolgica de una compaa.
4
Si una compaa no disea procedimientos, polticas y asigna recursos para la seguridad de sus sistemas puede fcilmente ser vctima de estas situaciones. En nuestro pas muy pocas empresas y personas toman muy en serio el mbito de la seguridad de sus plataformas ya que comprenden la importancia de estas para el funcionamiento del negocio.
Mientras las personas encargadas de administrar los sistemas, los recursos tecnolgicos no procedan con cautela ante estos posibles ataques o no tomen las medidas preventivas ni correctivas, se podrn encontrar frecuentemente con estos problemas.
La informtica forense aparte de ser una medida correctiva, tambin se la puede aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los inconvenientes que un ataque a la plataforma tecnolgica pueda causar.
En nuestro pas estas tcnicas y procedimientos de la informtica forense son nuevos, por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que las leyes que existen para tipificar lo que es un delito de ndole informtica son muy escasas, adems no son muy explicitas al momento de especificar un hecho de esta naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y situaciones que se van presentando a medida que la tecnologa avanza.
1.4 DELIMITACIN DEL PROBLEMA El estudio actual se va a centrar en el anlisis de hechos acontecidos o que puedan ocurrir en la plataforma cliente, Windows XP en todas sus versiones, ya que es el sistema operativo que ms se ha comercializado y ms utilizado aun en estos momentos. En esta plataforma es donde ms problemas de seguridad ocurren por el hecho de su uso, entre mas se masifica ms problemas se encuentran a medida de su utilizacin.
5
La plataforma de Microsoft, Windows XP, es la que ms sufre de atentados de seguridad ya sea en una empresa o en caso de uso personal. Esto sucede por la masificacin existente, para ello la informtica forense posee herramientas para la
deteccin de estos ataques para su correspondiente camino de acciones posteriores.
Tambin se presentara casos de violaciones de seguridad en servidores Linux ya que en mayor parte las empresas estn adoptando el uso de estos sistemas operativos para el manejo de sus sistemas.
De la misma manera se propondr soluciones legales para proceder en estos casos, se realizara recomendaciones para asesorar cuando se es vctima de un delito informtico.
1.5 FORMULACIN DEL PROBLEMA En nuestro pas los delitos informticos ocurren con mucha frecuencia, no son tan difundidos porque en mayor parte de los casos no se logra hallar a los autores de dichos delitos, porque las empresas no dedican recursos a obtener resultados haciendo investigaciones y porque las leyes diseadas para identificar y sancionar dichos hechos no son acorde a la realidad o son muy pasadas de poca, ya que no existe una reforma en ese campo.
El objeto de este estudio es identificar problemas de seguridad que se identifiquen en los sistemas operativas tanto de Windows como Linux para proceder con sus correcciones, recuperacin y recoleccin de evidencia digital para evaluacin en un litigio.
6
1.6 OBJETIVOS Mediante el anlisis informtico forense, se rastrean las pruebas en los elementos digitales, discos duros y dispositivos de almacenamiento, componentes de una red, con el fin de reconstruir el escenario de cualquier incidente o ataque informtico para recolectar evidencias y que esta sirvan para establecer los daos ocurridos as como la identificacin de los posible agresores.
El objetivo primordial de la realizacin de esta tesis, es la elaboracin de un estudio acerca de la aplicacin de la informtica forense en caso de supuestos ataques que puedan ocurrir dentro del ambiente de una empresa u organizacin, dentro de parmetros debidamente delineados.
La informtica forense es una ciencia relativamente nueva en la cual aun no existen
estndares aceptados por lo cual se pueden hacer uso de varias herramientas conceptuales y procedimentales, as como de herramientas de software que permite la consecucin de la meta que es el encontrar la evidencia necesaria para determinar un delito informtico.
La informtica forense en primer lugar se usa como sistema preventivo, ya que
permiten analizar las diferentes fallas o inseguridades dentro de los sistemas para poder ser corregidas antes de que ocurra un hecho desfavorable para la actividad de la empresa o negocio.
Luego la informtica forense se llega a utilizar como una herramienta correctiva, ya
que permitir encontrar las fallas de seguridad para poder elaborar un plan de accin as tambin obtendremos indicios de los posibles culpables que ocasionaron el dao, adems de recopilar evidencia necesaria para encontrar el mecanismo de ataque as como para poder ser tomadas en cuenta en las acusaciones que se puedan emprender en contra de los atacantes.
7
Es por eso que en este estudio realizaremos un caso de prueba en cual mediante una estacin de trabajo conectada mediante un ruteador hacia otro equipo que har de servidor, ejecutaremos una simulacin de ataque desde esta, el usuario de este equipo lograra tener acceso al servidor y copiar unos archivos de acceso restringido, as como de eliminar dichos archivos ubicados en el servidor.
Luego de realizar dicha simulacin se ejecutar un procedimiento de informtica forense para determinar los daos causados por dicho intruso, con el cual se evaluara la informacin obtenida. Se dimensionaran los daos causados, que informacin se sustrajo o elimino del servidor y desde donde realizo dicho ataque.
Se planificara un curso de accin para determinar la manera en que se violo el acceso al servidor, como logro ingresar que fue lo que realizo, que informacin logro obtener del mismo, as como tambin de recuperar el dao realizado. Recoger las evidencias del ataque para poder elaborar un informe posterior sobre lo sucedido en este ataque.
En el desarrollo de esta tesis se utilizara herramientas de software libre, las cuales se proceder a descargar del internet, con cuales podremos demostrar ciertos casos de ataques dentro de la interoperabilidad que existen entre los sistemas operativos mencionados en el titulo de esta misma. Estas aplicaciones nos permitirn examinar los casos propuestos elaborando un plan de accin para la obtencin de la informacin necesaria que permita demostrar el uso de las herramientas as como demostrar los objetivos para los cuales se estableci la informtica forense.
Se demostrar con el uso de las aplicaciones de software libre diseadas para la informtica forense el cumplimiento de los objetivos principales de la misma que son la deteccin del ataque, resarcimiento de los daos sufridos y obtencin de evidencia digital para su uso correspondiente.
8
Se propondr un grupo de lineamientos legales que deberan ser tomados en cuenta en este mbito, involucrndose un poco en la parte legal de la informtica. Ya que hablamos de delitos y estos como tales deben ser sancionados por leyes que los definan y hayan penas para los mismos. En nuestro pas esto aun no es un tema de mayor anlisis por lo cual este trabajo tambin se proyectara hacia all planteando normativas o especificaciones que se pueden hacer uso dentro de la ley de comercio electrnico que es la que regula este campo dentro del sistema legal ecuatoriano.
1.7 JUSTIFICACIN E IMPORTANCIA La realizacin de este estudio tiene como meta principal dar a conocer a la informtica forense como una poderosa herramienta dentro del campo de seguridad digital.
Este estudio se justifica por el uso que realizan las organizaciones, gobiernos y personas de recursos informticos, los cuales necesitan ser estructurados con polticas y medidas de seguridad, para garantizar su continuo funcionamiento y desenvolvimiento para el beneficio de los usuarios y de las organizaciones.
El conocimiento de herramientas para la informtica forense es otra de las metas que se pretende realizando este estudio, ya que en la actualidad existen programas de cdigo libre que ayudan en la consecucin de los objetivos planteados.
La informtica forense es un tema reciente en nuestro pas, por lo el cual este trabajo pretende ser una gua y/o plataforma para investigaciones y trabajos en lo posterior.
Las empresas, organizaciones y personas podrn hacer uso de este estudio para lograr una optima estructuracin es sus polticas de seguridad informtica, y favorecer su productividad y desarrollo.
9
Con la ayuda de la informtica forense se pueden identificar delitos de ndole digital los cuales luego de su anlisis, podrn ser clasificados, tipificados y podrn pasar a formar parte de los delitos que la ley enuncia y establecer castigos para los mismos.
10
CAPTULO II
2. MARCO TERICO
2.1 ANTECEDENTES El estudio de la informtica forense comprende la extraccin, anlisis y
documentacin de la evidencia de un sistema informtico o de una red. Es usualmente utilizada por agentes de la ley para encontrar evidencia dentro de un juicio criminal. Esta disciplina es relativamente nueva, teniendo su aparicin en 1980.
En la dcada de los 80s, cuando los computadores personales se convirtieron en una muy buena opcin para los consumidores ya que les permita automatizar sus tareas. El FBI creo en 1984, un programa conocido en ese tiempo como Magnetic Media Program, el cual en estos das paso a llamarse Computer Analysis and Response Team (CART). Poco despus el hombre conocido como el padre de la informtica forense comienzo a trabajar en este campo. Este hombre era Michael Anderson, fue un agente especial de la divisin de investigaciones criminales en el IRS. Anderson trabajo para el gobierno hasta mediados de los 90s, para luego fundar New Technologies Inc., una firma lder en el mbito de la informtica forense.
2.1.1 Los principios en entrenamiento En Oregon en 1988 se programa una reunin que dio lugar a la
formacin del IACIS (International Association of Computer Investigative Specialist). Poco tiempo despus la primera promocin se entreno en SCERS (Seized Computer Evidence Recovery Especialist).
2.1.2 El organismo especializado (IOCE) El continuo crecimiento de esta disciplina dio lugar en los 90s a la
primera conferencia sobre la recoleccin de evidencia informtica en el ao de
11
1993. Dos aos ms tarde se estableci la International Organization on Computer Evidence (IOCE).
2.1.3 Finales de los 90s Para 1997, fue ampliamente reconocido el refuerzo de los ejecutantes
de la ley alrededor del mundo entero necesitaban estar bien al tanto de cmo adquirir evidencia desde un sistema computacional, un hecho evidente que ocurri en un comunicado del G8 en ese ao. Luego la INTERPOL organizo un simposio sobre informtica forense el siguiente ao y en 1999 el CART perteneciente al FBI logro resolver 2,000 casos.
2.1.4 La primera dcada del siglo 21 El CART del FBI contino en constante crecimiento. Tanto que en
1999, logro analizar 17 Terabytes de datos, siendo para el ao 2003 782 Terabytes de datos en tan solo un ao. Con los avances tecnolgicos, la proliferacin del acceso a internet, el rol de la informtica forense comenz a ser de mucha importancia dentro del mbito legal. Con el advenimiento de los smartphones y PDAs, se convierten en vas para que los criminales tengas ms
opciones en quebrantar la ley y es en donde la informtica forense juega un papel muy importante.
12
2.2 FUNDAMENTACION LEGAL
2.2.1 LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS
La actual LEY DE COMERCIO ELECTRONICO, FIRMAS Y MENSAJES DE DATOS fue publicada en R.O. Suplemento 557 de 17 de Abril del 2002
Artculo 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrnica, los servicios de certificacin, la contratacin electrnica y telemtica, la prestacin de servicios electrnicos, a travs de redes de informacin, incluido el comercio electrnico y la proteccin a los usuarios de estos sistemas.
Artculo 2.- Reconocimiento jurdico de los mensajes de datos.- Los mensajes de datos tendr igual valor jurdico que los documentos escritos. Su eficacia, valoracin y efectos se someter al cumplimiento de lo establecido en esta Ley y su reglamento.
Artculo 4.- Propiedad Intelectual.- Los mensajes de datos estarn sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la propiedad intelectual.
Artculo 5.- Confidencialidad y reserva.- Se establecen los principios de confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma, medio o intencin. Toda violacin a estos principios, principalmente aquellas referidas a la intrusin electrnica, transferencia ilegal de mensajes de datos o violacin del secreto profesional, ser sancionada conforme a lo dispuesto en esta Ley y dems normas que rigen la materia.
Artculo 44.- Cumplimiento de formalidades.- Cualquier actividad, transaccin mercantil, financiera o de servicios, que se realice con mensajes de datos, a travs de
13
redes electrnicas, se someter a los requisitos y solemnidades establecidos en la Ley que las rija, en todo lo que fuere aplicable, y tendr el mismo valor y los mismos efectos jurdicos que los sealados en dicha Ley.
Artculo 47.- Jurisdiccin.- En caso de controversias las partes se sometern a la jurisdiccin estipulada en el contrato; a falta de sta, se sujetarn a las normas previstas por el Cdigo de Procedimiento Civil Ecuatoriano y esta Ley, siempre que no se trate de un contrato sometido a la Ley Orgnica de Defensa del Consumidor, en cuyo caso se determinar como domicilio el del consumidor o usuario.
Para la identificacin de la procedencia de un mensaje de datos, se utilizarn los medios tecnolgicos disponibles, y se aplicarn las disposiciones sealadas en esta Ley y dems normas legales aplicables.
Cuando las partes pacten someter las controversias a un procedimiento arbitral, en la formalizacin del convenio de arbitraje como en su aplicacin, podrn emplearse medios telemticos y electrnicos, siempre que ello no sea incompatible con las normas reguladoras del arbitraje.
Artculo 57.- Infracciones Informticas.- Se considerarn infracciones informticas, las de carcter administrativo y las que se tipifican, mediante reformas al Cdigo Penal, en la presente Ley.
Artculo 61.- A continuacin del Art. 415 del Cdigo Penal, inclyanse los siguientes artculos enumerados: Art.....- Daos informticos.- El que dolosamente, de cualquier modo o utilizando cualquier mtodo, destruya, altere, inutilice, suprima o dae, de forma temporal o definitiva, los programas, datos, bases de datos, informacin o cualquier mensaje de datos contenido en un sistema de informacin o red electrnica, ser reprimido con
14
prisin de seis meses a tres aos y multa de sesenta a ciento cincuenta dlares de los Estados Unidos de Norteamrica.
La pena de prisin ser de tres a cinco aos y multa de doscientos a seis cientos dlares de los Estados Unidos de Norteamrica, cuando se trate de programas, datos, bases de datos, informacin o cualquier mensaje de datos contenido en un sistema de informacin o red electrnica, destinada a prestar un servicio pblico o vinculado con la defensa nacional.
Art. .....- Si no se tratare de un delito mayor, la destruccin, alteracin o inutilizacin de la infraestructura o instalaciones fsicas necesarias para la transmisin, recepcin o procesamiento de mensajes de datos, ser reprimida con prisin de ocho meses a cuatro aos y multa de doscientos a seis cientos dlares de los Estados Unidos de Norteamrica..
Artculo 64.- A continuacin del numeral 19 del Art. 606 adase el siguiente: (VER CODIGO PENAL) 19. Los que causaren cualquier dao o perjuicio en las instalaciones u obras destinadas a la provisin de alumbrado, agua potable, u en los focos, lmparas o faroles, etc., destinados al servicio pblico, si el acto no fuere delito. ..... Los que violaren el derecho a la intimidad, en los trminos establecidos en la Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos..
15
2.3 FUNDAMENTACION TEORICA En una sociedad que, cada da, basa ms sus dinmicas en sistemas de
cmputo, comunicaciones, redes y conectividad, la seguridad debe pasar de ser una tarea ms a una prioridad para los gobiernos, instituciones, compaas e individuos, solidificndose as una poltica clara e integral de seguridad informtica, seal un informe de ETEK (ETEK es una corporacin en soluciones integrales de Seguridad de la Informacin).
A medida que se incrementa y abarca ms campos de desarrollo humano se intensifica el uso de sistemas informticos, de la misma manera aumentan los riesgos de ataques e incidentes a estos equipos utilizados en los sistemas de computo y dems dispositivos electrnicos que ponen en peligro la integridad de los datos que se almacena, procesa, registra o transfieren esos elementos; de aqu nace la necesidad de disear e implementar medidas preventivas y correctivas, planes de emergencia y tiempos de respuesta inmediatos para salvaguardar la estructura IT y las aplicaciones, protegiendo la informacin.
Vemos cada vez ms en los medios de comunicacin, reportes sobre vulnerabilidades encontradas, el aprovechamiento de fallas ya sean estas humanas, tecnolgicas o procedimentales sobre estructuras tecnolgicas alrededor del mundo, ofreciendo el escenario adecuado para la proliferacin de tendencias relacionas con la intrusin dentro de sistemas informticos.
La motivacin de los intrusos es de diversa ndole, ya que sus alcances y estrategias varan causando desconcierto entre los especialistas, ya sean estos analistas, consultores etc. Ya que las modalidades de ataque se diferencia de un ataque a otro.
Por muy difciles que parezcan los escenarios presentados existe la criminalstica que nos ofrece un espacio de anlisis y estudio permitindonos una reflexin detallada
16
sobre los hechos y las evidencias en el lugar donde ocurrieron las acciones catalogadas como criminales. Justo en ese momento se necesita definir qu conjunto de herramientas as como un curso de accin se proceder a tomar para descubrir en los elementos de un sistema informtico las evidencias digitales relevantes que sustente y valide los argumentos que sobre los hechos criminales se han materializado en el caso bajo anlisis.
Es entonces que la informtica forense hace su aparicin como una disciplina y herramienta para la justicia moderna, para hacer frente a los mecanismos y tcnicas utilizadas por los intrusos informticos, as tambin garantizar la verdad alrededor de la evidencia digital que se pudiese obtener y contribuir al proceso.
El aumento de infracciones informticas es causa de preocupacin por parte de los responsables de la seguridad de las estructuras tecnolgicas alrededor del globo ya que estas estn produciendo grandes prdidas econmicas especialmente en los sectores comercial y bancario, en donde por poner un ejemplo las manipulaciones fraudulentas de informacin ganan terreno. Se estima que las prdidas ocasionadas por estos siniestros superan con facilidad los dos millones de dlares, adems de esto se pierde la credibilidad y fiabilidad institucional, lo cual se traduce en un dao incuantificable.
Una herramienta para encontrar soluciones a estos problemas es la informtica forense. Calificada como una ciencia criminalstica, que combinada con las tecnologas de informacin y de la comunicacin en todos los diferentes mbitos en que se desarrolla el hombre, est adquiriendo un lugar privilegiado debido a la globalizacin de la sociedad de la informacin (DR. Santiago Acurio del Pino, Introduccin a la Informtica Forense pgina 1 y 2). A pesar de ser catalogada como una ciencia no posee un mtodo estandarizado, motivo por el cual su admisibilidad puede ser cuestionada dentro de un proceso judicial, a pesar de esta dificultad no
17
puede ser menospreciada y debe ser manejada con base a rgidos principios cientficos, normas legales y procedimentales.
Cabe mencionar que son los operadores de justicia as como los profesionales en informtica, los llamados a combatir este tipo de delitos tecnolgicos, ya que los mencionados en primer lugar conocen la forma de pensar de un delincuente, mientras que los segundos poseen pleno conocimiento de los equipos y redes informticas. La fusin de los dos conforma la llave para el xito en contra de los delitos informticos.
2.3.1 Informtica Forense La parte del proceso de descubrimiento que se centra en la bsqueda
de evidencia electrnica, especialmente en un sistema informtico, es conocida como E-discovery o eletronic discovery (descubrimiento electrnico). El anlisis forense se especializa en la recopilacin de evidencia dispersa por el sistema para el posterior anlisis de la misma; esta evidencia entre ms completa y precisa resulte se dar mayor validez al anlisis realizado. Un aspecto fundamental dentro de la investigacin es la adecuada conservacin de la informacin contenida en el sistema original ya que el procesamiento de esta debera llevarse a cabo en una copia de los datos del sistema original. La disposicin de una copia exacta del sistema es el objetivo ideal de la recopilacin de evidencia, pero esto en muchas ocasiones es una misin imposible ya que mientras se realiza el proceso de recoleccin los usuarios u otros programas pueden ocasionar cambios en el sistema, destruyendo as parte de la evidencia.
Existen diversas definiciones sobre el concepto de la informtica forense, un concepto que abarca bastante lo que esta disciplina contempla es el que detalla el Dr. Santiago Acurio del Pino, Profesor de la Universidad Catlica del Ecuador:
18
Es una ciencia forense que se ocupa de la utilizacin de los mtodos cientficos aplicables a la investigacin de los delitos, no solo informticos y donde se utiliza el anlisis forense de la evidencias digitales, en fin toda informacin o datos que se guardan en una computadora o sistema informtico, en conclusin, la informtica forense es la ciencia forense que se encarga de la preservacin, identificacin, extraccin, documentacin, e interpretacin de la evidencia digital, para luego esta ser presentada en una Corte de Justicia. (Introduccin a la Informtica Forense, pg 7)
La informtica forense se utiliza como un medio para localizar y canalizar de forma correcta los hechos jurdicos informticos ms relevantes dentro de una investigacin.
La ciencia forense como la mayora de las ciencias es sistemtica y se base en hechos previamente diseados para recopilar pruebas para su posterior anlisis. La tecnologa utilizada en cada fase del anlisis forense ocupa un papeo de suma importancia ya que son las aplicaciones que permitirn recaudar la informacin y los elementos de conviccin necesarios. Es as, que se define como la escena del crimen al computador y la red a la cual este est conectado.
La informtica forense tiene como objetivo principal la recuperacin de registros y mensajes de datos existentes dentro de un equipo informtico, de tal forma que toda esta evidencia digital pueda ser usada como prueba vlida ante un tribunal de justicia.
La informtica forense, segn Ajoy Ghosh, en Guidelines of Management of IT evidence, comprende cuatro elementos claves:
19
I. La identificacin de la evidencia digital: Este es el primer paso en el proceso forense. Reconocer donde est presente la evidencia, donde esta almacenada y como esta almacenada, esto es vital para el proceso ya que va a determinar que procesos van a ser empleados para facilitar la recuperacin. Adems, el examinador de informtica forense debe ser capaz de identificar el tipo de informacin almacenada en los dispositivos as como el formato en cual estn para as proceder a la extraccin de la misma.
II. La preservacin de la evidencia digital: Debido al prolijo escrutinio de las cortes jurdicas, es imperativo que cualquier examen de los paquetes de datos almacenados debe ser con el mayor cuidado posible. Habr circunstancias en que los cambios producidos a los datos sern inevitables, pero es importante controlar que ocurran el mnimo de cambios posibles. En las circunstancias en que los cambios sean imposibles de evitar deben ser explicados estos cambios desde la naturaleza y la razn por la que ocurrieron dichos cambios.
III. El anlisis de la evidencia digital: una vez extrada, procesada e interpretada la informacin digital, esta debe ser organizada de la mejor manera para que las personas puedan entenderlas.
IV. La presentacin de la evidencia digital: involucra en si la presentacin en una corte de justicia. Esta incluye la manera de presentacin, la pericia y experiencia del presentador y el proceso de credibilidad empleado para producir el efecto propuesto de la evidencia presentada.
2.3.2 Principios Forenses Existen varios principios bsicos que son necesarios al momento de
examinar un cadver. Tales principios, los podemos aplicar al analizar un computador. Estos principios han sido descritos en innumerables artculos y/o programas de televisin y los podemos resumir en los siguientes puntos:
20
- Evitar la contaminacin: En televisin vemos a los mdicos forenses vestidos de batas blancas y guantes, recogiendo las evidencias con pinzas y colocndolas en bolsas de plstico selladas. Todo este procedimiento para evitar la contaminacin de la evidencia. En este momento es donde se pueden echar a perder las evidencias.
- Actuar metdicamente: Debido al uso de la evidencia que se recopila, esta debe ser justificada en cada una de sus acciones, ya que se pueden utilizar en un juicio. Si se procede de manera cientfica y metdica, documentando todo cuidadosamente, esta justificacin ser mucho ms fcil. Esto tambin permite que otras personas pueden retomar el trabajo realizado o a su vez verificar si no se ha cometido algn error que pueda poner en duda la evidencia obtenida.
- Cadena de evidencia: Desde el comienzo de la investigacin forense hasta la presentacin final en el juicio, se debe mantener la cadena de obtencin de informacin, para as poder justificar quienes ya que se tenido acceso. Esto permite eliminar las posibilidades de que alguien haya podido sabotear o falsificar la evidencia recuperada.
- Metodologa: Debido a que aun no se establecen estndares generalmente aceptados para una metodologa a seguir, se debe establecer un curso de accin para de esa forma obtendremos resultados finales fiables.
2.3.3 Evidencia Digital La evidencia digital se puede definir como cualquier informacin, que
ha sido:
Sujeta a manipulacin humana u otra semejante, Extrada de un sistema o elemento informtico.
21
Siendo as, la evidencia digital, es el trmino utilizado para describir de manera amplia a cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como tal en un proceso legal.
La evidencia digital posee ciertos elementos que la catalogan como un desafo constante para los que la identifican y analizan:
a) Voltil
b) Annima
c) Posible duplicarla
d) Alterable y modificable
e) Susceptible de ser eliminada
2.4 METODOLOGA DE TRABAJO PARA EL ANLISIS DE DATOS
El siguiente cuadro muestra el procedimiento ordenado para evaluar la evidencia digital
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
22
2.4.1 La identificacin de la evidencia digital Identificar la evidencia digital representa una tarea caracterizada por
distintos aspectos. Entre ellos podemos mencionar el factor humano, que realiza la recoleccin de material informtico. En muchos casos, la identificacin y recoleccin de potencial evidencia digital es realizada por personal que no cuenta con los conocimientos adecuados para llevar a cabo las tareas en cuestin (por ejemplo un allanamiento policial, o un administrador no instruido).
La omisin de algunos aspectos tcnicos puede llevar a la perdida de datos probatorios o a la imposibilidad de analizar cierta informacin digital. A modo de ejemplo podemos mencionar la incautacin de terminales durante un allanamiento omitiendo traer el servidor; o apagar las computadoras eliminando la posibilidad de realizar un anlisis sobre ciertos elementos voltiles (registros, procesos, memoria, estado de la red). Por otra parte, el desconocimiento puede llevar a que se causen perjuicios innecesarios a la persona/entidad investigada, como la incautacin masiva de equipamiento informtico o de material irrelevante para la investigacin.
Otro aspecto crtico relativo a la identificacin de la evidencia digital se refiere a la correcta rotulacin y detalle de los elementos informticos. Sucede con frecuencia que durante un procedimiento judicial no se etiquetan todos los elementos secuestrados. Si no se toman ciertos recaudos durante el allanamiento, y se verifica que se dispone en el laboratorio pericial de la tecnologa necesaria, el faltante de algn elemento puede retrasar o impedir la realizacin de la investigacin.
23
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.4.2 La extraccin y preservacin del material informtico Extraer y Preservar el material informtico durante las incautaciones
implica considerar la fragilidad de los medios de almacenamiento de datos y la volatilidad de la informacin. Sobre este aspecto, cabe destacar que existe una gran falencia en lo que se conoce como Cadena de Custodia, cuyo objetivo consiste en mantener el registro de todas las operaciones que se realizan sobre la evidencia digital en cada uno de los pasos de investigacin detallados. Si al realizar un anlisis de datos se detecta que la informacin original ha sido alterada, la evidencia pierde su valor probatorio.
Las cuestiones inherentes al transporte de la evidencia digital no son menos importantes. Es comn que los elementos informticos a analizar
lleguen sin los ms mnimos resguardos.
Usualmente, la incautacin de material informtico tiene un tratamiento muy similar al de otros elementos armas, papeles contables, etc.- y no se le da el cuidado que realmente merece, pudiendo algn golpe ocasionar roturas en el equipamiento informtico. Debe considerarse adems
24
que la informacin digital es sensible a la temperatura, y en algunos casos a los campos electromagnticos.
Por ltimo, preservar implica los aspectos tcnicos relativos a la no
alteracin (integridad) de la evidencia original. La utilizacin de algn software que genere un valor hash a partir de un conjunto de datos es de gran ayuda. Existen diferentes algoritmos para calcular un checksum criptogrfico seguro o valor resumen hash (SHA-1, MD5), estos algoritmos son muy utilizados por las herramientas forenses. Para realizar copias de la evidencia original debe usarse algn software Forense que realice una imagen a nivel de bit-stream y no una simple copia de archivos, en la que se pierde informacin que puede ser usada como potencial evidencia. Asimismo, debe quedar claro que aunque por principio general se debe trabajar sobre imgenes de la evidencia original, slo el perito podr determinar cundo debe o no aplicarse este tipo de medida.
En muchos casos resulta impracticable realizar copias de la evidencia original por impedimentos tcnicos u otras razones de tiempo y lugar. En estos casos se debern extremar las precauciones durante la investigacin, siempre aplicando tcnicas de anlisis de datos no-invasivas y utilizando todas las herramientas forenses que estn al alcance, a fin de no alterar la evidencia.
25
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.4.3 El anlisis de datos Analizar involucra aquellas tareas referidas a extraer evidencia digital
de los dispositivos de almacenamiento. Una de las claves a la hora de analizar es la localizacin de informacin especfica vinculada con una determinada causa. La experiencia demuestra que en muchos casos, el anlisis de datos requerir un trabajo interdisciplinario entre el perito y el operador judicial -juez, fiscal- que lleve la causa, a fin de determinar aquellas palabras clave (keywords) que son de inters para la investigacin.
En casi la totalidad de los casos el anlisis de datos se realiza sobre sistemas operativos Windows y Unix. En el primero de ellos, se debe profundizar en aspectos tcnicos del sistema de archivos NTFS, ya que es utilizado por las ltimas versiones. NTFS almacena atributos de archivos y directorios en un archivo del sistema llamado MFT (Master File Table) y escribe los datos en espacios llamados clusters. Los atributos de mayor inters para el investigador forense son: el nombre del archivo, MAC Times (fecha y hora de la ltima Modificacin, Acceso o Cambio de un archivo) y los datos (si el archivo es suficientemente pequeo) o la ubicacin de los datos en el disco. Asimismo, el archivo utilizado como memoria virtual del sistema operativo (Swap file), el espacio libre que puede quedar entre un archivo y el cluster en el cual reside (Slack space), la papelera de reciclaje (Recycle bin), clusters que contienen parte que los archivos borrados (Unallocatable space), los accesos directos, los archivos temporarios y los de Internet, son algunos de los elementos sobre los que se realiza habitualmente el anlisis de datos. Por otro lado, un examen del registro de Windows permite conocer el hardware y software instalado en un determinado equipo.
26
El anlisis sobre sistemas Unix es similar al de Windows, ya que se investiga sobre los elementos citados precedentemente. Unix utiliza el concepto de nodos ndices (i-node) para representar archivos. Cada i-node contiene punteros a los datos en el disco, as como tambin los atributos del archivo. Los datos se escriben en unidades llamadas bloques (blocks) siendo un concepto anlogo a los clusters de Windows. En Unix todo es tratado como un archivo, y puede estar almacenado en formato binario o texto.
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.4.4 La presentacin del dictamen pericial Presentar consiste en elaborar el dictamen pericial con los resultados
obtenidos en las etapas anteriores.
La eficacia probatoria de los dictmenes informticos radica fundamentalmente en la continuidad del aseguramiento de la prueba desde el momento de su secuestro. Realizado ello en debida forma es poco probable que, si la investigacin preliminar se dirigi correctamente, el material peritado no arroje elementos contundentes para la prueba del delito.
Expuesta la situacin actual en materia de pericias informticas, interesa conocer cmo debe realizarse un dictamen pericial sobre anlisis de
27
datos, de manera tal que sea objetivo, preciso y contenga suficientes elementos para repetir el proceso en caso de ser necesario.
La estructura bsica de cualquier informe atendera al siguiente esquema:
Antecedentes (Solicitante, encargo profesional o tipo de trabajo. Situacin. Redactor) Documentos facilitados, recopilados y examinados (Proyectos, expedientes administrativos, contratos, escrituras, datos registrales, etc.) Inspecciones realizadas (Pruebas requeridas en funcin del material a analizar y del tipo de dao a valorar). Metodologa del informe (Criterios para su elaboracin). Dictamen (Conclusiones, que recoger de modo resumido los aspectos ms determinantes del trabajo). Anexos (Estar compuesto por los diferentes documentos obtenidos en las investigaciones: fotografas, resultados de los anlisis, documentacin relevante como prueba, normativa infringida, etc.).
28
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.5 HIPOTESIS y VARIABLES 2.5.1 Definiciones
La informtica forense es una disciplina emergente, por lo tanto, es una herramienta nueva que aparece a medida del continuo avance de la tecnologa, las formas en que se almacenan los datos, polticas de seguridad. Esta herramienta es utilizada para la determinacin de siniestros ocurridos dentro de un sistema informtico, sea donde se hayan producido ataques y/o adquisicin fraudulenta de informacin contenida dentro de estos sistemas, la permitir mediante procedimientos estructurados y herramientas adicionales poder descubrir la forma y autores de aquel delito suscitado.
Esta disciplina tiene como objetivo recobrar evidencia digital de los sistemas siniestrados para proceder a evaluarlas analizarlas
29
mediante estndares especficos para estas puedan ser presentadas en un proceso legal y tengan validez objetiva.
Debido al acceso de informacin existente, a la aparicin de nuevas tcnicas, mecanismos y formas de ejecutar un ataque a los sistemas informticos, los delincuentes informticos cada vez son ms especializados. Elaboran procedimientos ms complejos y efectivos que deriven en una accin delictiva eficaz, haciendo la labor de los especialistas y representantes de la ley mucho ms complicada debido a la dificultad con que estos delitos fueron cometidos.
2.6 Conceptos y definiciones 2.6.1 Siniestro Segn el italiano Carlos Sarzana: El siniestro es la destruccin
fortuita o prdida importante que sufren las personas o la propiedad, en especial por muerte, incendio o naufragio.
Segn el Ing. Cueto-Lpez: El siniestro es un hecho sbito, accidental e imprevisto, cuyas consecuencias daosas estn cubiertas por las garantas dadas.
Segn el diccionario Laurrose: El siniestro es un hecho violento, sbito, externo y ajeno a la intencionalidad del asegurado, cuyas consecuencias pueden estar cubiertas por alguna garanta del seguro. Constituye un solo y nico accidente el conjunto de daos derivados de un mismo hecho.
30
En conclusin, el siniestro es acontecimiento espontaneo o planeado, que es ejecutado por terceros con el objetivo de perjudicar los activos o bienes de una empresa.
2.6.2 Clases de Siniestros
Segn los Consultores de Javelles S.A las clases de siniestros se clasifican, segn:
2.6.2.1 Por el grado de intensidad del dao producido
2.6.2.1.1 Siniestro Total. Es aqul cuyas consecuencias han afectado a la totalidad del objeto asegurado, destruyndolo completa o casi completamente.
2.6.2.1.2 Siniestro Parcial. Es aqul cuyas consecuencias slo afectan parte del objeto asegurado, sin destruirlo completamente.
2.6.2.2 Por el estado del trmite en que se encuentran:
2.6.2.2.1 Siniestro Declarado. Aqul que ha sido comunicado por el asegurado a su entidad aseguradora.
2.6.2.2.2 Siniestro Pendiente. Es aqul cuyas consecuencias econmicas an no han sido totalmente indemnizadas por la entidad aseguradora.
31
2.6.2.2.3 Siniestro Liquidado. Aqul cuyas consecuencias econmicas han sido completamente indemnizadas o reparadas por la entidad aseguradora.
2.6.2.3 Segn lo comn del siniestro
2.6.2.3.1 Siniestro Ordinario. Es el que tiene su origen en la ocurrencia de un riesgo ordinario.
2.6.2.3.2 Siniestro Extraordinario o Catastrfico. Es el que esta originado por un riesgo de naturaleza extraordinaria o excepcional.
Los siniestros dentro de las organizaciones en algunas ocasiones, estn vinculados con los fraudes, ya que pueden ser cometidos de forma intencional y afectar econmicamente a la empresa
Por ejemplo se mencionan algunos: Violacin de Seguridad
Ocultamiento de documentos
Borrado fraudulento de archivos
Robo de dinero
Competencia desleal
Destruccin de Archivos
Perdida de datos y bienes
32
2.6.3 Siniestro Informtico 2.6.3.1 Concepto.-Segn Miguel Antonio Cano C: El siniestro
informtico implica actividades criminales como robos, hurtos, falsificaciones, estafa, sabotaje, etc. Sin embargo, debe destacarse que el uso de las tcnicas informticas ha creado nuevas posibilidades del uso indebido de computadoras lo que ha propiciado a su vez la necesidad de regulacin por parte del derecho.
2.6.3.2 Tipos de Siniestros Informticos El Dr. Julio Tllez Valdez menciona que los siniestros
informticos Incluye los cometidos contra el sistema y los cometidos por medio de sistemas informticos ligados con Telemtica, o a los bienes jurdicos que se han relacionado con la informacin: datos, documentos electrnicos, dinero electrnico, etc. Predominan:
2.6.3.2.1 Bomba ilcita o cronolgica. Exige conocimientos especializados ya que requiere programar la destruccin o modificacin de datos en el futuro. Lo contrario de los virus o los gusanos, las bombas lgicas son difciles de detectar antes de que exploten; por eso entre todos los dispositivos informticos criminales, la bombas lgicas son las que poseen el mximo potencial de dao. Su activacin puede programarse para que cause el mximo de dao y para que tenga lugar mucho tiempo despus de que se haya marchado el delincuente. Puede utilizarse como material de extorsin y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.
2.6.3.2.2 Piratas informticos o hackers. El acceso se efecta a menudo desde un lugar exterior, recurriendo a uno de los diversos medios
33
Aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema.
Los piratas informticos se hacen pasar por usuarios legtimos
del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseas comunes o contraseas de mantenimiento que estn en el propio sistema.
En todos estos casos se producen prdidas de dinero provocadas por las conductas descritas.
Robo de informacin.- En principio, todos los computadores contienen alguna informacin de inters para alguien. Es cierto que no siempre tendr el mismo valor, pero siempre puede existir alguien interesado en conseguirla. Por consiguiente, uno de los ataques ms comunes est dirigido a extraer informacin confidencial de un sistema.
Destruccin de informacin.-Existen mtodos indirectos que permiten explorar los contenidos del disco duro.
34
CAPTULO III
METODOLOGA
3.1 DISEO DE LA INVESTIGACIN
3.1.1 Modalidad de la investigacin Por investigacin se entiende: El proceso mediante el cual a travs del
cumplimiento de pasos en forma sistemtica se obtiene un conocimiento. Es un proceso humano, metdico y su fin es la produccin de nuevos conocimientos y solucin de problemas prcticos. ( Finol y Navas, 1993, Proceso y Producto de la Investigacin Documental)
Tambin citamos: Para Webster la investigacin es un examen cuidadoso o crtico en la bsqueda de hechos o principios; una diligente pesquisa para averiguar algo. Esta definicin se complementa con la presentada por Snchez (1993), La educacin como factor del desarrollo integral socioeconmico, cuando expresa, toda investigacin busca el desarrollo tecnolgico y satisfacer necesidades urgentes de la sociedad y los individuos particulares.
La investigacin realizada para este trabajo de tesis es de tipo bibliogrfica, ya que desde el inicio de la misma me decid por un tema investigativo terico. Este tema se ha venido desarrollando en su mayor parte por recopilacin de informacin terica, alcanzando un 70% de estudio terico e investigacin de literatura directamente relacionada con la Informtica forense, tema central del presente estudio para elaborar la tesis de grado.
Adicionalmente, el presente trabajo no solo aborda la parte terica, que involucra la mayor parte de este estudio para la tesis; tambin comprende una parte que es de campo, completando as el 30% restante del estudio. Esta parte de campo
35
involucra una breve demostracin acerca del uso de la informtica forense como una herramienta tecnolgica para afrontar los nuevos retos de seguridad informtica que se presentan en la actualidad.
La elaboracin de esta tesis, con carcter investigativo y de estudio, su estructura principal se fundamenta en una ciencia en crecimiento como lo es la informtica forense. Para el desarrollo de este estudio se recopilo informacin textual acerca de su origen, fundamentos, primeros lineamientos de accin y de anlisis; as como de herramientas utilizadas para complementar esta ciencia en crecimiento.
3.1.2 Tipo de investigacin La investigacin utilizada para la elaboracin de la tesis es de tipo
exploratorio, ya que el tema principal de la misma no es ampliamente conocido por el autor del presente estudio. Se describe como exploratoria porque me involucro en un campo poco conocido, en el cual necesito conocer y ampliar mis conocimientos en la parte conceptual de esta ciencia, su aparicin, sus precursores y las razones por la cual se convirti en una herramienta muy utilizada en los ltimos tiempos.
Dentro de la investigacin, entro en un campo de accin o de incidencia de esta ciencia, poco explorado por mi persona, este campo es el mbito legal. Estos dos conceptos el de la informtica forense y las normativas legales se conjugan muy a menudo. Esto es por el impacto que tiene la informtica forense dentro del anlisis de un delito informtico, depende de este anlisis, la recopilacin de evidencia no contaminada, la que podr ser utilizada dentro un proceso legal, es por esto que estas dos ciencias tienen una conexin muy especial.
La investigacin de este tema de estudio tiene la caracterstica de ser descriptivo, ya que menciona algunos conceptos elaborados por expertos en el tema forense, tambin ciertos lineamientos legales mencionados por conocedores del mbito legal. El estudio comprende la descripcin conceptual de la informtica
36
forense, tcnicas utilizadas, fundamentos que comprende la informtica forense, bases de la misma, as como mecanismos de utilizacin y aplicacin de la informtica forense como una herramienta practica y esencial dentro de la administracin de seguridad informtica.
Dentro del estudio de informtica forense, se describen herramientas que aplican los fundamentos de esta ciencia. Se muestra el uso y aplicacin de dichas herramientas, as como de los resultados que estas concluyan.
Al detallar el uso de las herramientas que utilizan los conceptos de informtica forense, este estudio de tesis se presenta como explicativa, ya que provee los pasos concernientes a la aplicacin de conceptos, as como de guas para el uso de dichas herramientas para lograr un resultado objetivo y valido.
En el presente estudio tambin se analiza la situacin en que se encuentra nuestra legislacin en lo concerniente a los delitos informticos, y de qu manera se puede establecer mejoras para canalizarlas en una ley que responda a la actualidad informtica en la que se encuentra nuestra sociedad.
El estudio de informtica forense que elaboro en esta tesis posee la caracterstica de evaluativo. Tiene esta caracterstica porque someto a evaluacin y comprobacin una de las herramientas que existen para ejecutar un anlisis forense, con la cual puedo demostrar los conceptos en los cuales se basa la informtica forense. Desarrollar una prueba de laboratorio controlada en la cual se evaluara una muestra, en este caso un ataque, una imagen de un disco que posee un sistema operativo que ha sido atacado. Con esto se procede a realizar una prueba ejecutando varios pasos que se detallan ms adelante, para obtener, despus del anlisis, las evidencias que podran ser evaluadas en procesos legales.
Podemos mencionar que este proyecto de tesis utiliza la investigacin aplicada, con el adicional de ser tecnolgica. Una definicin de este concepto se
37
puede encontrar en siguiente enlace web http://www.google.com.ec/search?client=firefox-a&rls=org.mozilla%3Aes-
ES%3Aofficial&channel=s&hl=es&source=hp&q=investigacion+aplicada&meta=&btnG=Buscar+con+Google, el cual nos detalla este tipo de investigacin en los siguientes trminos: La investigacin aplicada tecnolgica, o simplemente investigacin tecnolgica, se entendera como aquella que genera conocimientos o mtodos dirigidos al sector productivo de bienes y servicios, ya sea con el fin de mejorarlo y hacerlo ms eficiente, o con el fin de obtener productos nuevos y competitivos en dicho sector . Este concepto nos dice muy claramente que el uso de este tipo de investigacin es para generar conocimientos que sean tiles para el sector productivo, tanto para mejorarlo as como para ser ms eficientes. Esto quiere decir que este estudio de informtica forense pretende generar un conocimiento acerca de este campo con el uso de herramientas que permitan fomentar la eficiencia de productos o servicios que permitan la difusin de esta ciencia.
Ya que para este estudio realizare una prueba de laboratorio, tambin podemos describir la investigacin como de laboratorio por el lugar en que se realizara dicha prueba.
Esta investigacin es de naturaleza de accin, ya que el resultado de esta tesis generara una solucin para problemas existentes dentro del campo de la seguridad informtica, los cuales se suelen presentar de manera concurrente en estos das.
Una caracterstica adicional de esta investigacin es que es un proyecto factible, ya que propone un modelo prctico aplicable que permite solucionar problemas de seguridad informtica as como de ndole legal por motivo de que propone mejoras a las contemplaciones legales con respecto a los delitos informticos. La factibilidad de este proyecto radica en que se provee una herramienta muy til para afrontar retos modernos dentro del campo informtico, as
38
como de presentar opciones para tomarlas en medidas de seguridad as como de manejo de incidentes.
Parte de su factibilidad esta tambin porque se involucra mucho con el mbito legal ya que propone mejoras para la estructura legal que existe en nuestro pas para el reconocimiento y sancin de delitos informticos.
3.1.3 Poblacin y muestra Debido a que este estudio para desarrollo de tesis, involucra un tema muy
extenso, que posee un campo de accin de gran tamao as como de diversidad dentro de nuestra sociedad se proceder a limitarla tomando en cuenta ciertos parmetros.
Este estudio est especialmente dirigido hacia personas involucradas o interesadas en el campo tecnolgico, siendo ms especficos, para personas que desarrollen sus conocimientos y habilidades en la seguridad de la informacin, para aquellas personas que se dedican a solucionar problemas y falencias en seguridad dentro de los sistemas informticos.
Para delimitar la muestra nos remitiremos al ambiente de empresas de mediano tamao. Este tipo de empresas poseen en promedio unos 150 usuarios registrados con diferentes caractersticas y jerarqua de acceso a los sistemas de la compaa. As como tambin el uso de recursos compartidos, especialmente las unidades almacenamiento.
Si analizamos una empresa tpica, encontraremos que dentro del departamento de sistemas que posee dicha empresa, se encuentran los equipos servidores, alojados en un cuarto especial, los cuales proporcionan las aplicaciones necesarias para el
correcto funcionamiento del negocio.
39
Para nuestro ejemplo, en este departamento se encuentra el jefe de sistemas, al administrador de base datos y un encargado de soporte al usuario. Estos tres personajes son los encargados de manejar la seguridad tanto de los equipos as como de los accesos y de las aplicaciones que se encuentran en el departamento de cmputo.
Dentro de la poblacin de individuos que trabajan en el campo de tecnologas de informacin, delimitamos la muestra a un grupo pequeo de profesionales que estn involucrados en el campo de la informtica, en un departamento que es esencial dentro de la infraestructura de la compaa, como es el de sistemas.
Variables Dimensiones Indicadores Tcnicas y/o Instrumentos V. D.
Modos o mecanismos de defensa contra agresores
externos o
internos hacia los
la integridad de los sistemas
Medidas de seguridad dentro de los sistemas
Un 80% de las empresas poseen
mecanismos de defensa
Firewalls
Antivirus
Polticas de seguridad Contraseas, jerarquas de usuarios
Terminal Server
V.D.
Mecanismos de ataques
Programas o
tcnicas que
buscas fallas o falencias en los
sistemas
Su utilizacin es
masiva
Exploits, algoritmos de bsqueda de puertos abiertos
40
3.2 OPERACIONALIZACIN DE VARIABLES 3.2.1 Variables Independientes
3.2.2 Variables Dependientes
Variables Dimensiones Indicadores Tcnicas y/o Instrumentos rea informtica, estudiantes, personas que
desean obtener recursos de forma fraudulenta
Tecnicas de hackeo Exploits
Rootkits
Virus, keyloggers, backdoors Algoritmos
V. I.
Atacante que
disea o utiliza un mecanismo de agresin hacia un
sistema
computacional,
ocasionando daos, perdidas y disminuyendo los tiempos de respuesta
Usuarios mal
intencionados Un 3% de usuarios que causan daos de forma consciente o sin
intencin
keyloggers
Tecnicas de hackeo
V.I.
Leyes,
normativas y disposiciones generales sobre los delitos informticos, as como del manejo de informacin digital
Legal Constitucin, cdigos, leyes de otros pases
41
3.2.3 Instrumentos de la investigacin Procediendo a enumerar los instrumentos de navegacin, podemos
decir que son los de ms acogida y uso en estos momentos. El ms utilizado es la lectura comprensiva, sea esta informativa, investigativa y analtica. El uso
de este instrumento es el que ms abarca recursos para la investigacin, ya que la estructura de la tesis es un estudio, por ende la mayor parte de esta se conforma por la lectura.
La lectura comprende documentos tales como, reportes de ataques a sistemas informticos, anlisis de evidencias con el uso de herramientas forenses, tratados y artculos sobre conceptos y fundamentos de la informtica forense, manuales de las herramientas forenses.
Adems de los documentos mencionados, por el hecho de que el estudio tambin incluye conclusiones legales acerca de este tema, se hace la lectura y anlisis de publicaciones de autores conocedores del mbito legal de la informtica, como el derecho informtico, leyes y normativas sobre la propiedad de informacin, leyes de propiedad intelectual, etc. En adicin, la procedencia de estos documentos no solo incluyen a nuestro pas sino tambin a varios de Latinoamrica y de habla inglesa que se encuentran en otro nivel respecto a les leyes de este tipo.
Actualmente, sin lugar a dudas, el mayor instrumento de investigacin es el internet. Basta con decir que de todos los documentos mencionados arriba, el 95% de ellos fue obtenido o encontrado en el internet. Siendo esta la mayor fuente de informacin recopilada para la conformacin de este estudio de tesis.
3.2.4 Tcnicas para el procesamiento y anlisis de datos
42
La tcnica utilizada para el anlisis y procesamiento de datos es la revisin de los instrumentos utilizados mediante la informacin recopilada y revisada para el desarrollo de esta tesis, ya que se procesa la informacin ordenada para complementar el desarrollo del documento.
Luego de la revisin y procesamiento de la informacin se obtiene las conclusiones necesarias plasmadas en este trabajo de tesis, las cuales sern la materia prima para generar las recomendaciones y conclusiones finales, en este caso de carcter legal que es lo que se presentara al final en el capitulo V, que tambin abarcara las recomendaciones sobre seguridad informtica pertinentes para el uso de las herramientas forenses.
43
CAPITULO IV MARCO ADMINISTRATIVO
4.1 CRONOGRAMA Diagrama de gant realizado en Project 2007 sobre la distribucin de tiempo y
tareas para el desarrollo del proyecto Venido desde Project
4.2 PRESUPUESTO Detalles de Egresos
EGRESOS DLARES Suministros de oficina y computacin $ 100.00 Fotocopias 10.00
Libros y documentos 10.00
Computadora y servicios de Internet 40.00
Transporte 50.00
Refrigerio 30.00
Impresiones, empastado, anillado de tesis de grado
50.00
TOTAL $ 290.00
44
CAPITULO V
MARCO LEGAL
5.1 Conceptos y definiciones 5.1.1 Delito informtico
Un delito informtico es aquel ataque dirigido contra la confidencialidad, integridad y disponibilidad de los sistemas informticos, redes y datos que estos sistemas involucren, as como el abuso de los mismos.
Los mbitos de accin de estos delitos o ataques son el Hardware y el Software que son los elementos esenciales de los sistemas informticos. Estos elementos presentan vulnerabilidades que si no son encontradas y eliminadas podrn ser la puerta de entrada para los malintencionados agresores que pretenden causar dao a la integridad de dichos sistemas.
5.1.2 Criminologa La criminologa resulta en una ciencia que interacta en muchos
campos del desarrollo de la sociedad, se basa en fundamentos tomados de la sociologa, psicologa y de la antropologa social, dando como resultado un marca conceptual para delimitar al derecho penal. Estudia las causas que ocasionan un crimen y patrocina las soluciones a la conducta antisocial del individuo. Las principales areas de investigacin involucran la incidencia y formas del crimen as como las causas y efectos de los mismos. Tambin suma las reacciones sociales y normas gubernamentales que existen respecto al crimen.
45
5.1.3 Criminalstica La criminalstica tiene como objetivo el encontrar pruebas y
explicaciones de los delitos, as tambin identificar a sus autores y victimas. Utiliza mtodos, procedimientos y tcnicas cientficas para la reconstruccin de los hechos. El conglomerado de disciplinas que la conforman se denomina ciencias forenses.
5.1.4 Evidencia digital La evidencia digital es cualquier es cualquier mensaje de datos
almacenado y transmitido por medio de un sistema de informacin que tenga relacin con el cometimiento de un acto que comprometa gravemente dicho sistema y que posteriormente guie a los investigadores al descubrimiento de los posibles infractores. En definitiva son campos magnticos y pulsos electrnicos que pueden ser recogidos y analizados usando tcnicas y herramientas especiales.1
5.1.5 Perito Informtico Perito especializado en el rea de las tecnologas de la informacin que
de acuerdo con el tema requerido puede ser seleccionado segn su competencia y experiencia para una labor de anlisis.
5.1.6 Informtica Forense Constituye una ciencia que permite adquirir, preservar, obtener y
presentar datos que han sido procesados electrnicamente y almacenados en un medio digital o a su vez magntico.
1 CASEY Eoghan, Handbook of Computer Investigation, Elsevier Academia Press, 2005
46
5.1.7 Auditoria Forense Tcnica que es utilizada para la prevencin y deteccin de fraudes de
maneras especializadas. En estos procesos intervienen contadores, auditores, abogados, investigadores, informticos.
5.2 Leyes y normativas sobre derecho informtico 5.2.1 Derecho informtico en Europa
En Espaa desde hace ya varios aos se vienen dando, en las Facultades de Derecho, conferencias y simposio importantes sobre el uso que tiene la informtica aplicada al campo del derecho; podemos citar como ejemplo que a travs del Seminario de Informtica y Derecho de la Universidad de Zaragoza, se han organizado y realizado, los 3 primeros Congresos Iberoamericanos de Informtica y Derecho: El primero celebrado en Santo Domingo, Repblica Dominicana en 1984; el segundo dado en Guatemala, Guatemala en 1989; y el tercero, celebrado en Mrida, Espaa en 1992; por lo que se puede decir como conclusin que este mbito del derecho est tomando su autonoma propia para desarrollarse como una nueva rama jurdica.
Es de gran importancia mencionar a la legislacin que ha desarrollado Espaa, sobre informtica y derecho, destaca el proyecto de ley sobre firma electrnica que ha sido aprobado por la Unin Europea (compuesta por doce artculos y dos disposiciones). En la que detalla: Se creara un carnet de identidad para poder navegar con seguridad por Internet, y que surtir la misma eficacia jurdica que una firma manuscrita sobre papel y ser admisible como prueba para efectos procesales, a travs de cualesquiera de los medios admitidos en Derecho, dicha firma electrnica tendr el tamao y el precio aproximado de una tarjeta de crdito y funcionar con un mdem especial, de precio reducido.
47
Dentro del mbito universitario, Espaa cuenta con un "Mster en Informtica y Derecho", ofrecido por el Instituto Espaol de Informtica y Derecho (IEID) y la Facultad de Derecho de la Universidad Complutense de Madrid, en el cual se estudian, tanto a la informtica jurdica como al derecho de la informtica, y tambin materias complementarias y prcticas en organizaciones y empresas. Adems, el departamento de Derecho Poltico de la Facultad de Derecho de la Universidad Nacional de Estudios a Distancia (UNED), ofrece un programa de estudios titulado "Derechos constitucionales e informtica.
Francia cuenta con el DEA de Informtica Jurdica y Derecho de la Informtica, de la Facultad de Derecho de la Universidad de Montpellier I. La Universidad de Montpellier I, actualmente se encuentra adscrita a la Red CHASQUI2 (perteneciente al Programa Alfa de la Unin Europea).
Uno de los pases ms desarrollados en cuanto a la legislacin sobre derecho informtico es Italia. Siendo el primer pas, en la opinin de Antonio A. Martino3, que dio una solucin integral al problema relativo a la autoridad de certificacin, sobre la firma digital asimtrica, problema que ha desatado una gran competencia internacional en toda Europa, pues existen grupos y categoras que quisieran tener el monopolio de esta autoridad. Se llevan a cabo cada ao, congresos internacionales sobre inteligencia artificial y derecho. Es
2 Es una red acadmica constituida entre Universidades e Instituciones de la Unin Europea y de Amrica Latina,
cuyo objetivo es promover el estudio y la introduccin de las tecnologas de la informacin y la comunicacin en el mbito de la justicia.
3 Abogado graduado en la Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales en 1962. Doctor
en Derecho y Ciencias Sociales, Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales, 1974. Universidad del Salvador, Departamento de Investigacin y Desarrollo. Vicerrectorado de Investigacin y desarrollo. Desde 1994.
48
necesario destacar q
