Informática Forense
Definición
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.
Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software si no también de hardware, redes, seguridad, hacking, cracking y recuperación de información.
La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails y chats.
La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo. El informático forense debe tener muy presentes el principio de intercambio de Locard así como el estándar de Daubert, por su importancia en el análisis de criminalística y la admisibilidad de pruebas que un perito forense debe presentar como testimonio en un juicio, respectivamente.
Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no tiene como objetivo el prevenir delitos, de ello se encarga la seguridad informática, por eso resulta imprescindible tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.
Tras una primera introducción de la historia forense moderna, continuamos comentando los acontecimientos más relevantes relacionados con la informática forense.
En Florida reconoce los crímenes de sistemas informáticos en el "Computer Crimes Act", en casos de sabotaje, copyright, modificación de datos y ataques similares.
Nace en . También es conocida como copy2pc, se usa para la copia exacta de disquetes, que generalmente están protegidos para evitar copias piratas. El producto será posteriormente integrado en las "Pc Tools". La compañía es un éxito y es comprada por Symantec en 1994.
En Peter Norton publica , la primera versión del conjunto de herramientas "Norton Utilities", entre las que destacan UnErase, una aplicación que permite recuperar archivos borrados accidentalmente. Otras aplicaciones también serán útiles desde la perspectiva forense, como FileFix o TimeMark. Con el éxito de la suite de aplicaciones Peter publica varios libros técnicos, como Inside the I. B. M. Personal Computer: Access to Advanced Features and Programming, del que su octava edición se publicó en 1999, 11 años después de la primera edición.. La compañía será vendida a Symantec en 1990.
el forma el Magnetic Media Program, que más tarde, en , será elComputer Analysis and Response Team (CART).
En colabora en la detección del hacker Markus Hess. En publica el documento Stalking the Wily Hacker contando lo ocurrido. Este documento es transformado en el libro , anticipando una metodología forense.
se crea la High Tech Crime Investigation Association (HTCIA), asociación de Santa Clara que agrupa a profesionales tanto de agencias gubernamentales como compañías privadas para centralizar conocimiento e impartir cursos. John C. Smith detalla la historia de esta organización aún vigente en su página web.
nace la compañía AccessData, pionera en el desarrollo de productos orientados a la recuperación de contraseñas y el análisis forense con herramientas como la actual Forensic Toolkit (FTK).
En se crea la International Association of Computer Investigative Specialists (IACIS), que certificará a profesionales de agencias gubernamentales en el Certified Forensic Computer Examiner (CFCE), una de las certificaciones más prestigiosas en el ámbito forense.
En este mismo año se desarrolla el programa o SCERS, con el objetivo de formar a profesionales en computer forensics.
El libro "", de P. A. Collier y B. J. Spaul acuña en el término "computer forensics". Otros libros posteriores continuarán desarrollando el termino y la metodología, como: "High-Technology Crime: Investigating Cases Involving Computers" de Kenneth S. Rosenblatt.
se funda el International Organization on Computer Evidence (IOCE), con objetivo de ser punto de encuentro entre especialistas en la evidencia electrónica y el intercambio de información.
la Interpol organiza losInternational Forensic Science Symposium, como foro para debatir los avances forenses, uniendo fuerzas y conocimientos.
nace la Digital Forensic Research Workshop (DFRWS), un nuevo grupo de debate y discusión internacional para compartir información.
OBJETIVOS
La informática forense tiene tres objetivos:
La compensación de los daños causados por los intrusos o criminales. La persecución y procesamiento judicial de los criminales. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la colección de evidencia.
APLICACIONES
En la actualidad existen cientos de herramientas, el uso de herramientas sofisticadas se hace necesario debido a:
• La gran cantidad de datos que pueden estar almacenados en un
computador.
• La variedad de formatos de archivos, los cuales pueden variar
enormemente, aún dentro del contexto de un mismo sistema operativo.
• La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad para borrar archivos de computadores.
• Mecanismos de encriptación, o de contraseñas.
Entre los más populares se encuentran:
EnCase
EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características son:
- Copiado Comprimido de Discos Fuente
- Búsqueda y Análisis de Múltiples partes de archivos adquiridos
- Diferente capacidad de Almacenamiento
- Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
- Análisis Compuesto del Documento.
- Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
- Firmas de archivos, Identificación y Análisis
- Análisis Electrónico Del Rastro De Intervención.
- Soporte de Múltiples Sistemas de Archivo.
- Vista de archivos y otros datos en el espacio Unallocated.
- Genera el reporte del proceso de la investigación forense como un
estimado.
- Visualizador Integrado de imágenes con Galería.
Osforensics
OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:
- buscar textos e imágenes
- recopilar rastros de actividad
- buscar archivos borrados y disfrazados
- visualizar el contenido de la memoria RAM
- crear un informe del sistema.
- Numerosas herramientas de investigación
- Instalador para unidades USB
Access Data Forensic Tool Kit (Ftk)
Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos.
FTK posee funciones eficaces de filtro y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico. Sus principales funciones son:
- Fácil de usar
- Opciones de búsqueda avanzadas
- Registry viewer
- Análisis de correo electrónico y de archivos zip
- Diseño de capa de base de datos
- Montaje seguro de dispositivos remotos
Forense Toolkit (TCT)
TCT incluye una variedad de utilidades para el estudio y la recopilación de datos las partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).
Caine
CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.
Los objetivos de diseño principales de CAINE son los siguientes:
-Un entorno interoperable que admite el investigador digital durante las fases de la investigación digital
- Una interfaz gráfica de usuario amigable
- una recopilación semiautomática del informe final
DISPOSITIVOS A ANALIZAR
La infraestructura informática a analizar puede ser toda aquella que tenga una Memoria, por lo que se incluyen en tal pericia los siguientes dispositivos:
*Disco duro de una Computadora o ServidorDocumentación *Documentación referida del caso.
*Tipo de Sistema de Telecomunicaciones
*Información Electrónica MAC address
*Logs de seguridad.
*Información de FirewallsIP, redes Proxy. lmhost, host, Crossover, pasarelas
*Software de monitoreo y seguridad
*Credenciales de autentificación
*Trazo de paquetes de red. *Teléfono Móvil o Celular, parte de la telefonía celular,
*Agendas Electrónicas (PDA) *Dispositivos de GPS.
*Impresora
*Memoria
*USB
*Bios
PASOS DEL PROCESO
El proceso de análisis forense a una computadora se describe a continuación:
Identificación
Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces ( en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado
de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.
Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere( soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.
Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.
Presentación
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy especifica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas
Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:
Ser imparcial. Solamente analizar y reportar lo encontrado.Realizar una investigación formal sin conocimiento y experiencia.Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia).Documentar toda actividad realizada.
El especialista debe conocer también sobre:
Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento.
IMPORTANCIA
Hoy en día, además de las protecciones que tenemos al alcance de nuestra mano como pueden ser los antivirus entre otros softwares de seguridad, contamos con otras alternativas que, en cierta forma, aumentan la seguridad de nuestros sistemas informáticos y entre esas alternativas se encuentra la informática forense.
Tal como explican los expertos, la informática forense es una ciencia que consiste en la adquisición, preservación, consecución y presentación de datos que han sido procesados electrónicamente con anterioridad y que han sido guardados en un medio de almacenamiento físico.
Su objetivo es la investigación de sistemas de información para poder detectar cualquier clase de evidencia de vulnerabilidad que puedan tener. Asimismo se persiguen diferentes objetivos de prevención, intentando anticiparse a lo que pudiera pasar así como establecer una solución rápida cuando las vulnerabilidades ya se han producido.
El papel que tiene la informática forense es principalmente preventivo y nos ayuda, mediante diferentes técnicas, a probar que los sistemas de seguridad que tenemos implementados son los adecuados para poder corregir errores y poder mejorar el sistema además de conseguir la elaboración de políticas de seguridad y la utilización de determinados sistemas para poder mejorar tanto el rendimiento como la seguridad del sistema de información.
En caso de que el sistema de seguridad haya sido burlado, con la informática forense se consigue poder realizar un rastro y detectar no sólo cómo se ha conseguido burlar el sistema (lo que ayudará a parchear ese fallo para evitar que esto vuelva a suceder) sino que también se puede conocer el nivel de daño que la amenaza haya conseguido realizar.
También se consiguen recopilar pistas electrónicas, detectar desde dónde se ha producido el ataque o si ha hecho alguna clase de cambio en el sistema como manipulación o robo de datos, instalación de algún archivo malicioso, alteración de los archivos del disco duro, etc.
Esto se ha convertido en una ciencia indispensable para la seguridad informática de muchas empresas y también en un estupendo aliado para las fuerzas de seguridad del Estado dado que también permite la recopilación de evidencias encontradas para localizar y detener a la persona o personas que han accedido a un sistema informático sin autorización, a aquellas que roban información confidencial o borran datos, etc.
Dado que hoy en día el valor de los datos e información sensible tanto de gobiernos como empresas o a nivel particular, va en aumento, es muy importante protegerla al máximo y por ello, la informática forense se ha convertido en uno de los más sólidos aliados para ello, razón por la cual es necesaria la realización de auditorías en los sistemas de forma periódica.
Asimismo, algo que se debe tener muy en cuenta, es que es realmente necesario el establecimiento de políticas de seguridad para todos los usuarios así como la utilización de los sistemas de información para poder reducir al máximo la posibilidad de que exista alguna clase de fallo de seguridad o “puerta abierta” que pueda producirse por error por parte de los usuarios
HERRAMIENTAS DEL COMPUTO FORENSE
*Sleuth Kit (Forensics Kit. Command Line)
*Autopsy (Forensics Browser for Sleuth Kit)
*Volatility (Reconstrucción y análisis de memoria RAM)
*Py-Flag (Forensics Browser)
*Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
*dcfldd (DD Imaging Tool command line tool and also works with AIR)
*foremost (Data Carver command line tool)
*Air (Forensics Imaging GUI)
*md5deep (MD5 Hashing Program)
*netcat (Command Line)
*cryptcat (Command Line)
*NTFS-ToolsHetman software (Recuperador de datos borrados por los criminales)
*qtparted (GUI Partitioning Tool)
*regviewer (Windows Registry)
*Viewer
*X-Ways WinTrace
*X-Ways WinHex
*X-Ways Forensics
*R-Studio Emergency (Bootable Recovery media Maker)
*R-Studio Network Edtion
*R-Studio RS Agent
*Netresident
*Faces
*Encase
*Snort
*Helix
*NetFlow
*Deep Freeze
*Hiren´s boot
*Canaima 3.1
*Mini XP
*Metashield Analyser Online (Analizador de metadatos online)
*Exif Viewer (Visor de metadatos en imágenes)
HERRAMIENTAS PARA ANÁLISIS
*AccessData Forensic ToolKit (FTK)
*Guidance Software EnCase
*Kit Electrónico de Transferencia de datos
Herramientas para el análisis de correoselectrónicos
*Paraben
*AccessData Forensic ToolKit (FTK)
Herramientas para el análisis de dispositivosmóviles
*Cellebrite UFED Touch 2, Physical Analyzer.
*AccessData Mobile Phone Examiner Plus (MPE+)
Herramientas para el análisis de redes
*E-Detective - Decision Computer Group
*SilentRunner- AccessData *NetworkMiner
*Netwitness Investigator
Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet
*Tcpdump
*USBDeview
*SilentRunner - AccessData
*WireShark
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.
Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software si no también de hardware, redes, seguridad, hacking, cracking y recuperación de información.
La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails y chats.
La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo. El informático forense debe tener muy presentes el principio de intercambio de Locard así como el estándar de Daubert, por su importancia en el análisis de criminalística y la admisibilidad de pruebas que un perito forense debe presentar como testimonio en un juicio, respectivamente.
Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no tiene como objetivo el prevenir delitos, de ello se encarga la seguridad informática, por eso resulta imprescindible tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.
Antecedentes
En Florida reconoce los crímenes de sistemas informáticos en el "Computer Crimes Act", en casos de sabotaje, copyright, modificación de datos y ataques similares.
Nace en . También es conocida como copy2pc, se usa para la copia exacta de disquetes, que generalmente están protegidos para evitar copias piratas. El producto será posteriormente integrado en las "Pc Tools". La compañía es un éxito y es comprada por Symantec en 1994.
En Peter Norton publica , la primera versión del conjunto de herramientas "Norton Utilities", entre las que destacan UnErase, una aplicación que permite recuperar archivos borrados accidentalmente. Otras aplicaciones también serán útiles desde la perspectiva forense, como FileFix o TimeMark. Con el éxito de la suite de aplicaciones Peter publica varios libros técnicos, como Inside the I. B. M. Personal Computer: Access to Advanced Features and Programming, del que su octava edición se publicó en 1999, 11 años después de la primera edición.. La compañía será vendida a Symantec en 1990.
nace la compañía AccessData, pionera en el desarrollo de productos orientados a la recuperación de contraseñas y el análisis forense con herramientas como la actual Forensic Toolkit (FTK).
En se crea la International Association of Computer Investigative Specialists (IACIS), que certificará a profesionales de agencias gubernamentales en el Certified Forensic Computer Examiner (CFCE), una de las certificaciones más prestigiosas en el ámbito forense.
El libro "", de P. A. Collier y B. J. Spaul acuña en el término "computer forensics". Otros libros posteriores continuarán desarrollando el termino y la metodología, como: "High-Technology Crime: Investigating Cases Involving Computers" de Kenneth S. Rosenblatt.
se funda el International Organization on Computer Evidence (IOCE), con objetivo de ser punto de encuentro entre especialistas en la evidencia electrónica y el intercambio de información.
la Interpol organiza losInternational Forensic Science Symposium, como foro para debatir los avances forenses, uniendo fuerzas y conocimientos.
nace la Digital Forensic Research Workshop (DFRWS), un nuevo grupo de debate y discusión internacional para compartir información.
OBJETIVOS
La informática forense tiene tres objetivos:
La compensación de los daños causados por los intrusos o criminales. La persecución y procesamiento judicial de los criminales. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la colección de evidencia.
APLICACIONES
En la actualidad existen cientos de herramientas, el uso de herramientas sofisticadas se hace necesario debido a:
• La gran cantidad de datos que pueden estar almacenados en un
computador.
• La variedad de formatos de archivos, los cuales pueden variar
enormemente, aún dentro del contexto de un mismo sistema operativo.
• La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad para borrar archivos de computadores.
• Mecanismos de encriptación, o de contraseñas.
Entre los más populares se encuentran:
EnCase
EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características son:
- Copiado Comprimido de Discos Fuente
- Búsqueda y Análisis de Múltiples partes de archivos adquiridos
- Diferente capacidad de Almacenamiento
- Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
- Análisis Compuesto del Documento.
- Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
- Firmas de archivos, Identificación y Análisis
- Análisis Electrónico Del Rastro De Intervención.
- Soporte de Múltiples Sistemas de Archivo.
- Vista de archivos y otros datos en el espacio Unallocated.
- Genera el reporte del proceso de la investigación forense como un
estimado.
- Visualizador Integrado de imágenes con Galería.
Osforensics
OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:
- buscar textos e imágenes
- recopilar rastros de actividad
- buscar archivos borrados y disfrazados
- visualizar el contenido de la memoria RAM
- crear un informe del sistema.
- Numerosas herramientas de investigación
- Instalador para unidades USB
Access Data Forensic Tool Kit (Ftk)
Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos.
FTK posee funciones eficaces de filtro y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico. Sus principales funciones son:
- Fácil de usar
- Opciones de búsqueda avanzadas
- Registry viewer
- Análisis de correo electrónico y de archivos zip
- Diseño de capa de base de datos
- Montaje seguro de dispositivos remotos
Forense Toolkit (TCT)
TCT incluye una variedad de utilidades para el estudio y la recopilación de datos las partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).
Caine
CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.
Los objetivos de diseño principales de CAINE son los siguientes:
-Un entorno interoperable que admite el investigador digital durante las fases de la investigación digital
- Una interfaz gráfica de usuario amigable
- una recopilación semiautomática del informe final
DISPOSITIVOS A ANALIZAR
La infraestructura informática a analizar puede ser toda aquella que tenga una Memoria, por lo que se incluyen en tal pericia los siguientes dispositivos:
*Disco duro de una Computadora o ServidorDocumentación *Documentación referida del caso.
*Tipo de Sistema de Telecomunicaciones
*Información Electrónica MAC address
*Logs de seguridad.
*Información de FirewallsIP, redes Proxy. lmhost, host, Crossover, pasarelas
*Software de monitoreo y seguridad
*Credenciales de autentificación
*Trazo de paquetes de red. *Teléfono Móvil o Celular, parte de la telefonía celular,
*Agendas Electrónicas (PDA) *Dispositivos de GPS.
*Impresora
*Memoria
*USB
*Bios
PASOS DEL PROCESO
El proceso de análisis forense a una computadora se describe a continuación:
Identificación
Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces ( en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado
de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.
Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere( soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.
Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.
Presentación
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy especifica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas
Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:
Ser imparcial. Solamente analizar y reportar lo encontrado.Realizar una investigación formal sin conocimiento y experiencia.Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia).Documentar toda actividad realizada.
El especialista debe conocer también sobre:
Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento.
IMPORTANCIA
Hoy en día, además de las protecciones que tenemos al alcance de nuestra mano como pueden ser los antivirus entre otros softwares de seguridad, contamos con otras alternativas que, en cierta forma, aumentan la seguridad de nuestros sistemas informáticos y entre esas alternativas se encuentra la informática forense.
Tal como explican los expertos, la informática forense es una ciencia que consiste en la adquisición, preservación, consecución y presentación de datos que han sido procesados electrónicamente con anterioridad y que han sido guardados en un medio de almacenamiento físico.
Su objetivo es la investigación de sistemas de información para poder detectar cualquier clase de evidencia de vulnerabilidad que puedan tener. Asimismo se persiguen diferentes objetivos de prevención, intentando anticiparse a lo que pudiera pasar así como establecer una solución rápida cuando las vulnerabilidades ya se han producido.
El papel que tiene la informática forense es principalmente preventivo y nos ayuda, mediante diferentes técnicas, a probar que los sistemas de seguridad que tenemos implementados son los adecuados para poder corregir errores y poder mejorar el sistema además de conseguir la elaboración de políticas de seguridad y la utilización de determinados sistemas para poder mejorar tanto el rendimiento como la seguridad del sistema de información.
En caso de que el sistema de seguridad haya sido burlado, con la informática forense se consigue poder realizar un rastro y detectar no sólo cómo se ha conseguido burlar el sistema (lo que ayudará a parchear ese fallo para evitar que esto vuelva a suceder) sino que también se puede conocer el nivel de daño que la amenaza haya conseguido realizar.
También se consiguen recopilar pistas electrónicas, detectar desde dónde se ha producido el ataque o si ha hecho alguna clase de cambio en el sistema como manipulación o robo de datos, instalación de algún archivo malicioso, alteración de los archivos del disco duro, etc.
Esto se ha convertido en una ciencia indispensable para la seguridad informática de muchas empresas y también en un estupendo aliado para las fuerzas de seguridad del Estado dado que también permite la recopilación de evidencias encontradas para localizar y detener a la persona o personas que han accedido a un sistema informático sin autorización, a aquellas que roban información confidencial o borran datos, etc.
Dado que hoy en día el valor de los datos e información sensible tanto de gobiernos como empresas o a nivel particular, va en aumento, es muy importante protegerla al máximo y por ello, la informática forense se ha convertido en uno de los más sólidos aliados para ello, razón por la cual es necesaria la realización de auditorías en los sistemas de forma periódica.
Asimismo, algo que se debe tener muy en cuenta, es que es realmente necesario el establecimiento de políticas de seguridad para todos los usuarios así como la utilización de los sistemas de información para poder reducir al máximo la posibilidad de que exista alguna clase de fallo de seguridad o “puerta abierta” que pueda producirse por error por parte de los usuarios
HERRAMIENTAS DEL COMPUTO FORENSE
*Sleuth Kit (Forensics Kit. Command Line)
*Autopsy (Forensics Browser for Sleuth Kit)
*Volatility (Reconstrucción y análisis de memoria RAM)
*Py-Flag (Forensics Browser)
*Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
*dcfldd (DD Imaging Tool command line tool and also works with AIR)
*foremost (Data Carver command line tool)
*Air (Forensics Imaging GUI)
*md5deep (MD5 Hashing Program)
*netcat (Command Line)
*cryptcat (Command Line)
*NTFS-ToolsHetman software (Recuperador de datos borrados por los criminales)
*qtparted (GUI Partitioning Tool)
*regviewer (Windows Registry)
*Viewer
*X-Ways WinTrace
*X-Ways WinHex
*X-Ways Forensics
*R-Studio Emergency (Bootable Recovery media Maker)
*R-Studio Network Edtion
*R-Studio RS Agent
*Netresident
*Faces
*Encase
*Snort
*Helix
*NetFlow
*Deep Freeze
*Hiren´s boot
*Canaima 3.1
*Mini XP
*Metashield Analyser Online (Analizador de metadatos online)
*Exif Viewer (Visor de metadatos en imágenes)
HERRAMIENTAS PARA ANÁLISIS
*AccessData Forensic ToolKit (FTK)
*Guidance Software EnCase
*Kit Electrónico de Transferencia de datos
Herramientas para el análisis de correoselectrónicos
*Paraben
*AccessData Forensic ToolKit (FTK)
Herramientas para el análisis de dispositivosmóviles
*Cellebrite UFED Touch 2, Physical Analyzer.
*AccessData Mobile Phone Examiner Plus (MPE+)
Herramientas para el análisis de redes
*E-Detective - Decision Computer Group
*SilentRunner- AccessData *NetworkMiner
*Netwitness Investigator
Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet
*Tcpdump
*USBDeview
*SilentRunner - AccessData
*WireShark
La prueba pericial consiste en la elaboración de un informe pericial (científico y tecnológico) que, a través de un análisis forense, muestra evidencias para culpar o probar la inocencia de una de las partes. Su veracidad permitirá llevar el caso sobre el que se esté investigando a un dictamen pericial (o definitivo) perito informatico vigo.
ResponderBorrarEn otras palabras, revela datos obtenidos por la informática forense, emitidos por un perito ingeniero. Esto para sustentar las evidencias del testigo perito quien será interrogado durante el proceso.