ndice Introduccin y demostracin de la importancia de un anlisis
forense informtico. Visin global del uso de tcnicas forenses
informticas. Introduccin a los sistemas de ficheros al
comportamiento de los mismos en un sistema operativo. Herramientas
forenses ms utilizadas en el sector. Prctica de resolucin de un
caso ficticio utilizando todas las tcnicas forenses descritas en el
curso durante el seminario. Conclusin de la prctica y ordenacin de
las evidencias obtenidas. Creacin de un informe pericial
completo.
Introduccin y demostracin de la importancia de un anlisis
forense informtico. Durante los ltimos aos la informtica ha tomado
gran relevancia en muchos aspectos de la vida, tambin en lo
referente a la criminalidad. Expertos en seguridad informtica unen
sus fuerzas con criminales para evadir las medidas de seguridad.
Problema: sofisticados sistemas de ocultacin de informacin que
permiten intercambiar informacin sin ser descubiertos. Gran
cantidad de casos ocurridos durante las dcadas de los 89 y 90 no
han sido resueltos dada la poca experiencia acerca de los anlisis
forenses informticos. Se encuentra una manera sencilla y de poco
riesgo de traspaso de informacin en la red o mediante dispositivos
fsicos de almacenamiento. Resultado: Aumenta el nmero de robos de
informacin en empresas y traspaso de pornografa ilegal. Solucin:
INFORMTICA FORENSE. Expertos informticos forenses, junto con
expertos en seguridad informtica destapan los sistemas de ocultacin
dejando a la vista los datos ocultos. Desde la aparicin de la
combinacin de ambos campos de la informtica, muchos casos sin
resolver han sido rescatados y resueltos con xito.
-
El soporte que ofrecen los expertos en seguridad informtica
junto con la pericia de los expertos en anlisis forense informtico
dan como resultado aplicaciones de bsqueda avanzada de evidencias
capaces de encontrar el dato exacto en un mar de informacin
aparentemente incomprensible.
Visin global del uso de tcnicas forenses informticas.
-
Durante los aos han ido apareciendo tcnicas forenses capaces de
extraer informacin de dispositivos fsicos y virtuales con el fin de
demostrar una evidencia concreta.
-
Debido a su carcter libre y abierto a la comunidad, la mayora de
aplicaciones y tcnicas estn enfocadas a realizarse sobre una
plataforma LINUX, permitiendo modificar aspectos concretos del
programa o del sistema operativo segn la necesidad de cada
analista.
-
Entre las tcnicas de ms difusin en el mundo del anlisis forense
informtico se encuentran: o Anlisis de metadatos. Metadatos son
aquella informacin extra incluida dentro de la mayora de archivos
multimedia. Mediante el anlisis de los metadatos puede encontrarse
informacin muy til de una investigacin. ExifTool o Extraccin de
correos. En una investigacin digital los correos enviados y
recibidos tienen una gran importancia. En ellos puede encontrarse
gran cantidad de informacin que el acusado puede haber
intercambiado con otro contacto o alguien implicado en el caso. El
mtodo de extraccin de esta informacin depende de cada software de
gestin de correo.
o Bsqueda de archivos borrados. Los archivos eliminados del
sistema no suponen un problema para un investigador forense, a
menos que se haya utilizado software de borrado seguro, suele haber
una opcin para recuperarlos. En ellos puede encontrarse informacin,
que por el motivo que sea, el dueo ha eliminado de su sistema para
ocultar informacin confidencial. Una de las herramientas ms
utilizadas en el campo del anlisis forense informtico es PhotoRec.
Es una herramienta sencilla multiplataforma que permite la
extraccin de todos los ficheros borrados de un sistema. o Anlisis y
ruptura de contraseas. Un fichero protegido por contrasea puede
contener en ocasiones informacin confidencial que no se desea
desvelar. Mediante software creado por expertos en seguridad
informtica se puede conseguir extraer la clave del fichero.
Software ms utilizado: John The Ripper. o Bsqueda en registro de
Windows. El registro de Windows contiene toda la informacin
necesaria para el correcto funcionamiento del mismo. En mucha
ocasiones, informacin acerca de programas instalados permanece
intacto en el registro. Mediante el comando regedit puede verse el
contenido del mismo. o Extraccin y anlisis de ficheros LOG. Todos
los sistemas operativos y software que ofrecen servicios almacenan
un registro de acontecimientos en memoria. Esos ficheros se
denominan LOGS. Un anlisis exhaustivo de los ficheros LOG puede
descubrir: Accesos al sistema. Login incorrecto de usuarios.
In/desinstalacin de software. Conexin a servidores externos.
o Anlisis de archivos de paginacin Los ficheros de paginacin en
todos los sistemas operativos almacenan informacin desestructurada
sobre todo lo ocurrido en el sistema. Estos ficheros o reas de
intercambio pueden contener informacin imposible de borrar con
software convencional, por lo que puede ser un buen lugar para
buscar informacin si el disco ha sido manipulado para borrar
evidencias. o Anlisis de todos los ficheros sensibles de contener
informacin oculta. (PhotoRec). En informtica forense, todos los
ficheros son susceptibles de contener informacin relevante para la
resolucin de un caso. Como se ha explicado anteriormente, cualquier
fichero de texto, imagen, vdeo, pdf, etc., puede contener
informacin adicional a la que en un principio es visible a simple
vista. Es una tarea larga. Introduccin a los sistemas de ficheros
al comportamiento de los mismos en un sistema operativo. Los
sistemas de ficheros almacenan la informacin en el disco de una
manera ordenada, pero tambin se encargan de: o Proporcionar
seguridad y permisos como acceso a ficheros de usuario, permisos de
escritura, lectura, etc. o Enlaces simblicos o duros. o Soporte
para archivos dispersos. o Etc. Un cluster es la unidad de medida
ms pequea en un sistema de ficheros. El tamao de un cluster es
decidido por el sistema de ficheros que se utilice. Este puede ser
modificado para cumplir unos requisitos especficos del usuario.
Para sistemas de ficheros NFTS de Windows, el tamao de un cluster
se sita en 512 bytes. Si un archivo no es capaz de completar los
512 bytes de informacin, se utilizar el cluster completo
igualmente. Si un archivo excede del tamao de 512 bytes de
informacin, continuar introduciendo informacin en clusters
contiguos. Si el cluster contiguo se encuentra ocupado realizar una
bsqueda hacia delante hasta encontrar uno vaco. En el cluster del
cual proviene introducir un puntero hasta este ltimo. Un cluster se
compone de tres apartados claramente identificados.
-
o Seccin de datos: En ella se almacena la informacin. o Puntero
al siguiente cluster: Se almacena la direccin de memoria del
siguiente puntero que contiene la informacin. o Marca de permiso
reescritura: Switch que indica si el cluster est disponible para
escribir en l o no. Si tratamos de introducir un texto mayor al que
es capaz de almacenar un cluster, nos veremos obligados a utilizar
ms clusters con el fin de almacenar la informacin completa. Una vez
el cluster est lleno de algn dato, este recibe la marca que impide
escribir nuevamente sobre l. De esta manera ningn otro programa
podr eliminar ese dato. La informacin contenida en un cluster no
puede ser eliminada de forma natural por ningn sistema operativo o
software. La nica accin posible a realizar por un sistema operativo
es la de eliminar la marca de permiso de escritura para liberar el
cluster. A partir de ese momento el cluster puede ser re-escrito
por otra informacin, borrando la anterior. Mientras eso no ocurre,
la informacin anterior se mantiene. Una vez el cluster dispone de
una marca de permiso de escritura ningn software puede escribir
directamente en l hasta que no lo libere. Cuando un software
elimina informacin, nicamente elimina la marca de permiso de
escritura. Pero la informacin contenida en el cluster se mantiene.
Si se desea almacenar una nueva frase, el sistema de ficheros
buscar un cluster sin la marca de permiso de escritura habilitada
sobre la cual escribir. Una vez se ha sobreescrito un cluster con
una informacin alternativa, el dato anterior se considera
irrecuperable.
