INFORMÁTICA FORENSE

I. INTRODUCCION: El presente trabajo de investigación nos muestra una visión muy clara sobre el efecto de las tecnologías de información como medio de violación a la privacidad. Para contrarrestar ello es que nace la política de seguridad denominada “Informática Forense”. Al transcurrir se detallará información acerca de la ciencia forense aplicada a la informática así como su plano de investigación, que a su vez engloban los conceptos de evidencias digitales, delitos informáticos, aplicaciones, etc. II. OBJETIVOS DEL INFORME:• Presentar a cabalidad un enfoque útil de la Informática Forense.• Dar a conocer los alcances de esta ciencia, sus aplicaciones y manifestaciones.• Concientizar al lector a un mejor cuidado y uso de las TIC’s.III. DESCRIPCIÓN GENERAL: Hoy en día la información es pieza clave en la sociedad, es por esto el gran desarrollo de tecnologías para tratarla. Sin embargo a su par esto crea conductas delictivas, dando paso a un conjunto de “Delitos informáticos”, afectando no solo a nivel de usuario, si no también grandes empresas que son vulnerables a estos ataques (problemas de privacidad, fraudes, espionaje industrial, etc.). En ese contexto, es que se necesita de un sistema metódico de recuperación, identificación, preservación, reconstrucción, validación, análisis y presentación de pruebas generadas, llamadas evidencias digitales, para certificar la investigación de un accidente informático influyendo en el campo legal.  IV. MARCO CONCEPTUAL E HISTORICO: La ciencia forense tiene aproximadamente 800 años de experiencia científica, evolucionando en conjunto con la tecnología. Esta se encarga del tratamiento de evidencias en un delito; desplegándose en diversas ramas de investigación siendo una de ellas la Informática Forense. Según la FBI; “La informática(o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional”.Por ello es que se establece que la Informática forense es la disciplina encargada de recopilar datos digitales (dígase drivers, cookies, keyloggers, etc.) dañados por los intrusos informáticos, para ser restaurados.Estos son los puntos claves que reflejan el origen y avance de esta útil disciplina científica: • 1984: El gobierno de EEUU y el FBI ante la reciente problemática criminal en dominios computacionales, iniciaron el “Programa de Medios Magnéticos”, que se encargo de examinar evidencia computacional.• 1988: Un agente del IRS(Internal Revenue Service),Michael Anderson, tuvo la iniciativa de armar un grupo de especialistas, lo que posteriormente se convertiría en Symantec. Symantec es el proveedor líder global de software, dispositivos y servicios para ayudar a personas, así como a pequeñas, medianas y grandes empresas a garantizar la seguridad, la disponibilidad y la integridad de su bien más preciado: la información.• 1991: Empezó a operar CART (Computer Analysis and Response Team) en los laboratorios del FBI. CART proporciona exámenes de las computadoras y sus discos como un apoyo a las investigaciones y enjuicios.• 1993-1995: Se formo el IOCE(Organización Internacional en Evidencia Computacional), que brinda un foro para intercambio de ideas sobre seguridad computacional.• En la actualidad los software’s ofrecen un mayor nivel sobre peritaje informático .V. INVESTIGACION Y EVIDENCIAS: En el proceso de investigación se deberá hacer una recopilación evidencias electrónicas y digitales que certifiquen el diagnostico de accidentes informáticos.Evidencia electrónica: hace referencia a un elemento tangible de un sistema computacional o hardware como por ejemplo los diversos medios de almacenamiento, tarjetas inteligentes, etc. Evidencia digital: es la información que extraemos de un medio electrónico, el cual debe cumplir ciertos requerimientos para su autentificación. Puesto que la documentación digital no deja rastro alguno de ser copiado y en transcurso poder modificarse. Para esto los investigadores deben generar varias copias y verificar en el transcurso de su trabajo que no haya ninguna alteración, sirviéndose de diferentes tecnologías como por ejemplo Checksums o hash MD5. VI. PASOS DE LA INVESTIGACION FORENSE:Es un proceso que comprende cuatro instancias:i) Recolección de la evidencia: En esta etapa del proceso, el investigador debe decidir entre un conjunto de objeto y/o pruebas las cuales serán las adecuadas para ser tomadas como evidencia. La recopilación de evidencia es muy complicada, puesto que no se debe dañar ninguna característica de la evidencia; teniendo en cuenta que es susceptible a variaciones y tendencia a perderse si no se tratan con software y hardware adecuados.ii) Autenticación de la evidencia: Es indispensable la preservación de la evidencia original. Las variaciones en el transcurso de su estudio son inevitables, es por eso que se debe tener ciertas precauciones. En primer lugar es aconsejable crear copias de seguridad para no dañar la evidencia. A la par se debe de crear una cadena de custodia en la cual podemos documentar, quienes tuvieron acceso a ella y los respectivos estudios y/o modificaciones efectuadas.iii) Análisis: Se empieza a estudiar las evidencias para obtener información de relevancia para el caso. En algunos casos es difícil seguir con exactitud los rastros que ha dejado el atacante en el dispositivo y/o servidores. Para esto va depender del razonamiento y deducción del investigador con el fin de conseguir información de la evidencia.iv) Reporte final: El reporte a presentar debe incluir todos los detalles del proceso de manera exhaustiva, los datos de hardware y software usados para el estudio así como los métodos usados para la obtención de datos. La sustentación del informe debe estar basada en el conocimiento, habilidades y neutralidad del investigador.VII. DELITOS INFORMATICOS:De acuerdo al avance de la tecnología han empezado a crearse junto con ella conductas ilícitas, a esto nos referimos con delitos informáticos. Desde un punto de vista legal un delito es un hecho antijurídico realizado por una persona, tipificado, culpable y sancionado por una pena. Existen diversos tipos de delitos y los siguientes están tipificados en el código penal Peruano: •Delitos de Violación a la Intimidad, Pornografía infantil.• Delito de Hurto agravado por Transferencia Electrónica de Fondos, telemática en general y empleo de claves secretas.•Delito de Falsificación de Documentos Informáticos.•Delito de suplantación de bienes informáticos (IP). •Delito contra los derechos de autor de software, etc.•Delito de Fraude en la administración de personas jurídicas en la modalidad de uso de bienes informáticos.Para mayores informes visite: http://www.policiainformatica.gob.pe/A nivel mundial los ataques más populares son: i)Phishing: Este fraude se basa en la obtención de tus datos personales así como la obtención de códigos de tarjetas de crédito, de cuentas bancarias, contraseñas u otros datos. Este tipo de delito se ejecuta mediante el envió de correos electrónicos, suplantando a alguna entidad de confianza para el usuario y solicitar sus cuentas bancarias. A la vez este tiene diversas ramificaciones; que en general engloban la misma idea. Ejemplos: Scam o Phishing Laboral, SMiShing, Spear Phishing, Vishing. ii)Spoofing: Es un ataque de suplantación de identidad; las cuáles son comúnmente utilizadas en malversaciones y/o investigación. Existen diversos tipos de suplantación: IP Spoofing(Sustituye direcciones IP de algún paquete por otro al que se desea suplantar), ARP Spoofing (Se infiltrar en una red Ethernet con el cual puede intervenir a los datos en la LAN, modificando el trafico en ella), DNS Spoofing(suplantación de indentidad por nombre de dominio), Mail Spoofing(suplantación en correo electrónico de la direcciones de email de usuarios). iii)Man-in-the-middle: Este ataque tiene la facilidad de interceptar comunicación entre dos usuarios sin que estos puedan detectarlo. Y consiguiendo manipular la información transmitida a su antojo. VIII. HERRAMIENTAS APLICADAS EN LA INFORMATICA FORENSE:El uso de herramientas para tratar la evidencia es tanto en ámbito de software y hardware. i. Hardware: Se mencionan equipos especializados en identificación biométrica como en captura de evidencias.• Como Identificación biométrica: Usados para autenticar la identidad de un usuario a través de un atributo o rasgo único. Esto generalmente implica el uso de un lector. Algunos tipos:a)Huella Digitalb)Análisis de palmac)Iris, retinad)Rostroe)Reconocimiento de Voz•Como captura de evidencias: Brindan la posibilidad de recopilar evidencias (copias) preservando las características y detalles de la evidencia original. Por ejemplo tenemos:a) DIBS RAID: Dispositivo de hardware de una sola vía, para realizar copias forenses de disco a disco. Es necesario abrir el computador y manipular el disco sospechoso. b) DIBS PERU: Realiza las copias en cartuchos ópticos, que permite hacer copias sin necesidad de conectar directamente el disco sospechoso al dispositivo. No se manipula directamente el disco duro sospechoso.c) ICS Products: (Image MASSter 4008i, LinkMASSter II,etc)Estos dispositivos duplican el disco duro dañado y trabajan con éste. Al analizarlo, a través de un “booteo” se acceden a los datos. •NOTA: Un caso especial, que no encaja en los casos anteriores, es para una herramienta que controla y monitorea el uso de una computadora, se trata del KeyLogger.El Keylogger viene a ser una aplicación que almacena las pulsaciones sobre el teclado, siendo ésto guardado en un archivo o en mail, con información sobre el proceso, hora , fecha, mensajes de la aplicación, etc. El usuario no se dará cuenta del uso de esta herramienta, ya que trabaja en modo oculto. ii. Software: Software forense que opera creando una copia de respaldo de la información a analizar. Existen también software que analizan los puertos y rutas de comunicación, paquetes enviados, recibidos, cookies, etc. Tenemos por ejemplo:a) EnCase: Software líder en el mercado, de mayor uso en el ámbito de análisis forense. Algunas características importantes:-Soporte multiplataforma: Windows, Solaris, Macintosh, Linux, etc.-Crea copias comprimidas de los discos fuente para poder analizarlo, buscarlo y verificarlo.-Proporciona y documenta eficientemente fechas, horas, registros de accesos, es decir todos los rastros de intervención en un proceso.-Permite ver archivos borrados, ocultos y los que están en el espacio Unallocated. En este mismo punto es bueno mencionar que EnCase localiza automáticamente y despliega muchos formatos de imágenes, incluyendo las que fueron eliminadas. De todas estas se escogen las imágenes más relevantes para el caso.-Genera reporte del proceso, mostrando el caso investigado, la evidencia principal, algunos comentarios, imágenes recuperadas, tiempo en que se realizó la búsqueda.Más información en: http://www.guidancesoftware.com/products/ef_index.aspb) Forensic Toolkit: Paquete de herramientas que analiza las especificaciones de ficheros en búsqueda de actividad no autorizada. Algunas características:-Análisis de punta, permite descrifrar y crackear password.-Permite el uso de una base de datos para manejar su información obtenida.-Analiza si un servidor revela información mediante NULL Sessions (login anónimo).Mas información en:http://www.accessdata.com/forensictoolkit.htmlc) SafeBACK: Aplicación usada para crear “imágenes espejo” de disco duro (completo o partición). Algunas características que presenta:-Basado en DOS ya que Windows puede alterar los datos.-Indaga la existencia de archivos ocultos cuando los sectores no presentan semejanza con el enlace de disco duro.-Copia al 100% todas las áreas del disco duro.Más información en:http://www.forensics-intl.com/safeback.htmld) Ethereal: Trabaja sobre paquetes de red activa. Analizador de protocolos que cuenta con interfaz grafica.Más información en:http://www.ethereal.com/e) Pasco: Utilizada para analizar actividad realizada con el navegador web Internet Explorer de Microsoft.f) Galleta: Examina el contenido del fichero de cookies de Internet Explorer.g) Encryption Linux Boot Disk: Software usado solo en plataforma Linux y UNIX. Permite “bootear” el sistema operativo de tal modo que el acceso se le es más sencillo, logrando en este modo se puede reemplazar o modificar ciertos archivos de sistema que se encuentres dañados por algún intruso.IX. NOTICIAS Y ACTUALIDAD: En el mundo de la informática forense se han presentado muchos casos que son relevantes y nuevas ideas para contrarrestar el delito informático, he aquí algunos ejemplos: 04/05/01: Dos ingenieros chinos que trabajaban en Lucent Technologies, fabricante de equipos de telecomunicaciones, robaron secretos de fabricación para transferirlos a una compañía propia . 31/03/08: Parabeno Corporation, que proporciona tecnología forense digital, anunció que ha liberado el software Device Seizure 2.0 con soporte para el iPhone. Device Seizure es la primer herramienta forense para el iPhone. Ésta a su vez permite recuperar tipos de archivo y datos del iPhone.Más información: http://www.applehoy.com/tag/iphone/page/16/ 16/04/09: Microsoft firmo un acuerdo con la Interpol , para que esta pueda utilizar la herramienta de software Microsoft’s COFEE (Computer Online Forensic Evidence Extractor) que consta de herramientas comunes digitales forenses como ayuda para los oficiales a recolectar evidencia en la escena del crimen.Más información: http://www.itpro.co.uk/610531/microsoft-aids-interpol-with-forensic-policing X. RECOMENDACIONES:Recomendaciones para con su computador:•Actualizar regularmente su sistema operativo como los software que usa. El sistema operativo presenta muchos fallos que pueden ser contrarrestados con actualizaciones o parches de seguridad que ofrecen los fabricantes.•Instalar un antivirus adecuado, que sea compatible con su Sistema operativo y actualizarlo con frecuencia. Analizar con este todos los archivos de su PC, en especial los descargados de Internet.•Activar sus cortafuegos(Firewall).Recomendación navegando Internet:• Navegue por páginas web seguras con algún certificado de garantía o sello particular.• Uso de contraseñas seguras y cambiarlas frecuentemente.• De preferencia evite el uso de programas de acceso remoto pues no se sabe la precedencia del otro ordenador. •Investigar y exigir seguridad ante una compañía antes de dar tus datos personales.XI. Conclusiones:•La informática forense en sintaxis es una técnica usada para solucionar delitos que surgen dado que la información digital es pieza clave en nuestra sociedad.•Siempre que exista un acceso a la información existirá formas de invadir y quebrantar sus medidas de seguridad.XII. BIBLIOGRAFIA:Diapositivas : Protección de los activos de información.Ing. Carlos Castañeda ReáteguiCurso: Seguridad, Control y Auditoria de los Sistemas de Informacion.Gutierrez, Juan D.2006 Informática Forensehttp://edigital.k4k3k4.com/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdfM. Gómez, Leopoldo S.----- El tratamiento de la Evidencia Digitalhttp://sebastiangomez.no-ip.org/papers/Digital.pdfLópez, Oscar ; Amaya, Haver ; León, Ricardo----- Informática Forense: Generalidades, Aspectos Técnicos y Herramientas. http://urru.org/papers/RRfraude/InformaticaForense_OL_HA_RL.pdfDr. Acurio, Santiago----- Introducción a la Informática Forensehttp://www.alfa-redi.com//apc-aa-alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/Acurio.pdfFernandez Bleda, Daniel2004 Informática Forense – Teoría y Prácticahttp://www.isecauditors.com/downloads/present/hm2k4.pdf2009 Microsoft aids Interpol with forensic policinghttp://www.itpro.co.uk/610531/microsoft-aids-interpol-with-forensic-policingApple Hoy2008 “Recuperar archives perdidos del iPhone con Device Seizure 2.0http://www.applehoy.com/tag/iphone/page/16/Linux Questions----- Linux Disk Encryptionhttp://www.linuxquestions.org/questions/linux-security-4/linux-disk-encryption-696493/Paraben Corporation----- Device Seizure 3.1http://www.paraben-forensics.com/catalog/product_info.php?products_id=405Intelligent Computer Solutions----- ImageMASSter Product Lineshttp://www.ics-iq.com/Computer Forensic----- Computer Forensic Investigationshttp://www.computer-forensic.com/old_site/presentations/ASIS_Presentation.pdfAsociación de Internautas----- ¿Qué es el phishing y cómo protegerse?http://seguridad.internautas.org/html/451.htmlComputer Forensic----- Delitos informáticos http://www.delitosinformaticos.info/delitos_informaticos/definicion.htmlHEDRICH Computer Forensic----- Perito Informáticohttp://www.computerforensic.es/

INFORMÁTICA FORENSE   La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente en computadores para ser a continuación impresos. Las nuevas leyes sobre delitos informáticos y la de firmas electrónicas y mensajes de datos abren procesalmente y definitivamente los medios probatorios informáticos. Las operaciones comerciales tienden claramente a reducir costos y ampliar mercados a través de las redes informáticas. Ya se han producido algunas experticias en Venezuela (Proyecto de Ley de Delitos Informaticos en Venezuela ) y otros países de habla hispana uno de los más destacados es España, en las cuales se ha solicitado la determinación de la autenticidad e integridad por ejemplo de mensajes de e-mail pudiéndose relacionar con un remitente, dirección de correo, computador y hasta con una persona determinada e inclusive la relación entre estos elementos y los datos anexos (attachments) que se encontraban en el email almacenado previamente en el equipo incurso. Es posible investigar (aún cuando internet permite el anonimato y el uso de nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados artículos y otros documentos enviados a través de redes o publicados en la misma. El rastreo depende en sí de quien y como realizó el ataque o cualquier otra acción, es posible buscar atacantes exteriores de sistemas e incluso se conocen casos donde se ha determinado la autoría de virus. Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de datos de redes internas o externas, así como de cualquier sistemas de redes, ataques internos. Por supuesto, para realizar esta fragosa tarea se debe poseer un conocimiento sólido (normalmente quienes hacen de Informáticos forenses han realizados ataques anteriormente o conocen el uso de herramientas, dispositivos y software de incursión en redes, por lo que tienen una idea de las posibles intrusiones por parte de terceros en un sistema). La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado. Los archivos informáticos pueden guardar información sobre su autor, la compañía, fecha y otros datos de interés jurídico. Esta información es almacenada a espaldas del usuario pudiendo determinarse en algunos casos en que computador/estación fue redactado el archivo (esto es poco fiable, ya que cualquier otra persona pudo trabajar con la pc, falsificando la identidad del usuario propietario de la estación, pero es usado como base del procedimiento). Las imágenes digitales y otros medios audiovisuales pueden estar protegidos no solo por derechos de autor (copyright) sino por las llamadas marcas de agua digitales que servirían para determinar el origen del archivo aunque hayan sido modificados para disfrazarlos y darle una apariencia distinta. Ya son frecuentes las inspecciones judiciales sobre páginas Webs y archivos, tendientes a la fijación de hechos que ocurren dentro del vasto mundo electrónico digital. La promoción, evacuación y control de estas experticias informáticas es especial y bajo las normas de naciente, pero desarrollada informática forense que se pone al servicio inmediato del derecho para afrontar nuevas tareas probatorias y lo más importante es que ya se puede contar en Venezuela y en otros países con este tipo de pericias útiles en los procesos judiciales del presente y del futuro. El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada y minuciosa para reconstruir a través de todos los medios el log de acontecimientos que tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro hasta el momento de detección de un estado comprometedor. Esa labor debe ser llevada acabo con máxima cautela y de forma detallada, asegurándose que se conserva intacta, en la medida posible, la información contenida en el disco de un sistema comprometido, de forma similar que los investigadores policiales intentan mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles. Juan Carlos Guel, jefe del Departamento de Seguridad en Cómputo de la Dirección General de Servicios de Cómputo Académico y Coordinador del Equipo de Respuesta a Incidentes en Seguridad en Cómputo UNAM-CERT (no estoy al tanto que aún posea este cargo), señala: “informática o cómputo forense es un conjunto de técnicas especializadas que tiene como finalidad la reconstrucción de hechos pasados basados en los datos recolectados, para lo cual se procesa la información que pueda ser usada como evidencia en un equipo de cómputo”. Es decir, el cómputo forense opera diversas herramientas informáticas para determinar el estado de un sistema luego de que sus medidas de seguridad han sido sobrepasadas y vulneradas, con la finalidad de encontrar evidencias que permitan definir, con toda certeza, los mecanismos que los intrusos utilizaron para acceder a ella, así como de desarrollar las mejoras y/o técnicas que deben seguirse para evitar futuras incursiones ajenas en el sistema. En una entrevista realizada por virusprot al Doctor Jeimy J.Cano, Ingeniero de Sistemas y Computación Universidad de los Andes (Colombia) en el año 2002, y cito textualmente:"¿Cuánto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque? Es una pregunta complicada de responder, pues muchas veces el informático forense debe prepararse para fallar en la identificar la persona real que cometió el ataque. Pues la versatilidad que ofrece Internet para enmascarar direcciones IP, correos electrónicos, entre otros aspectos, sugiere un gran conocimiento técnico y paciencia por parte de los atacantes, los cuales también consideran estrategias "anti-forenses" que limiten las investigaciones y la efectividad de las mismas. Luego, la recolección de pista puede ser demorada, algunos casos pueden llevar años en esta labor." Las herramientas que utilizan los peritos forenses en materia de cómputo para dar con los intrusos, y saber a ciencia cierta qué hicieron en el sistema, se han desarrollado al paso del tiempo, para que nos ayuden en cuestiones de velocidad y faciliten identificar lo que realmente le pasó al sistema y qué es lo que le puede suceder, en su contra parte igualmente se han desarrollado herramientas bastantes sofisticadas en contra de los análisis forenses (herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigación.), tal como lo indica el Dr. Jeimi Cano. De allí el personal que labore en la informática forense deberá poseer sólidos conocimientos técnicos y prácticos y conocer las herramientas de uso, estar al día en bugs (vulnerabilidades) de sistemas (Sistemas operativos, software y hardware) El campo de la seguridad informática es inmensamente heterogéneo e interesante. Analizar un entorno atacado y comprometido es un desafiante ejercicio de aplicación de ingeniería inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas involucrados, las técnicas de ataque y los rastros que dejan las mismas. Se puede leer en diferente sitios web notas similares a estas: "Espero que los nuevos empleados tengan un mínimo de conocimientos de informática y software forense antes de que lleguen a la puerta", apunta Marc Kirby, detective inspector para la sección de informática forense de la británica Unidad Nacional de Crimen de Alta Tecnología (NHTCU)". Saque sus conclusiones de ese párrafo. Debemos tener en cuenta que la prioridad es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro. Eso significa colocar el sistema fuera de servicio (offline) cuando todos los usuarios del sistema están presionando para volver a ponerlo on-line. Sí el sistema, por parte del administrador, fue forzado a seguir funcionando, eliminando las posibles vulnerabilidades o cualquier otra supuesta vía de acceso al servidor, la investigación forense no podrá seguir el rumbo correcto ya que: 1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza. 2. Hay muchas posibilidades de que se le paso algo importante por alto al administrador y el intruso (o intrusos) siguen teniendo acceso al sistema. Por lo tanto es mejor sufrir un "downtime" de red, mientras que se realiza el análisis forense del sistema. Se tiene que establecer una prioridad entre: (a) Funcionamiento inmediato, teniendo presente que las huellas dejadas por el/los intruso(s) pueden haberse eliminado por descuido del administrador y su equipo, y que el servidor puede seguir teniendo puertas traseras bien ocultas. Esta opción permite estar operativo en poco tiempo. (b) Investigación forense detallada. Esta opción supone un mayor tiempo de permanencia offline sí no existen planes de contingencia y procedimientos para el backup del servicio. Bases de la Informática Forense: 1.       Experticias, Auditoria e Inspecciones en Computadores y Páginas Web. 2.       Ubicación de origen de correos anónimos y archivos anexos. 3.       Determinación de propietarios de Dominios .com .net .org y otros. 4.       Pruebas de violación de derechos de autor. 5.       Control preventivo y restricción de uso de computadores e Internet. 6.       Protección de información y derechos de autor. 7.       7. Recuperación de data y archivos borrados intencionalmente o por virus. 8.       Recuperación y descifrado de las claves. Al realizar un análisis de informática forense es necesario tomar notas de lo que se hace con el disco duro, y a que hora, almacenándolo en una ubicación segura como por ejemplo una caja fuerte. Es recomendable que siempre que se trabaje con el medio original esté acompañado por un colega, para que conste a los efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar. Las copias deben ser hechas bit-por-bit, es decir será necesario hacer imágenes del disco. La investigación debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro original. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica - un checksum. En lo posible realizar dumps de memoria y almacenarlos al igual que los discos. Es importante todos los hechos pertinentes al caso durante la preparación, recuperación y análisis de las pruebas sobre un ataque sean anotados para poder desarrollar un informe detallado de incidencia que se debe preparar una vez terminado el análisis. Este documento deberá servir como una prueba del incidente o compromiso. Siempre que se realiza cualquier apunte al cuaderno, el asistente debe tener completo conocimiento y entendimiento de lo que ha sido apuntado. Antes de apagar el sistema, será útil recoger algunos ejemplos de aquella información que posiblemente no ha sido cambiada por los intrusos, como la organización de sistema de ficheros logs, el nombre del host, su dirección IP del fichero e información de algunos dispositivos. El análisis de la comunicación de datos es realmente importante allí se trabajaran en dos actividades: 1. Intrusión en una red de computadoras o mal uso de la misma. 2. Interceptación de datos. La intrusión en una red de computadoras o mal uso de la misma es la actividad de la informática forense principal cuando el análisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones siguientes: a)   Detección de la intrusión. b)   Detectar la evidencia, capturarla y preservarla; y c)   Reconstrucción de la actividad específica o del hecho en sí. El descubrimiento de la intrusión generalmente involucra la aplicación de software especializado y en algunos casos hardware, para supervisar la comunicación de los datos y conexiones a fin de identificar y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos. La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior análisis. La fase final, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia. Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación de datos y el apoyo de ingenieros y/o técnicos de software. a)       Antes de realizar un análisis se debe tener en cuenta la siguiente información: a) sistema operativo afectado. b) inventario de software instalado en el equipo c) tipo de hardware del equipo d) accesorios y/o periféricos conectados al equipo e) si posee firewall f) si esta en el ámbito del DMZ (Zona desmilitarizada) g) conexión a internet h) configuración i) parches y/o actualizaciones de software j) políticas de seguridad implementadas k) forma de almacenamiento de la información (cifrada o no) l) personas con permisos de acceso al equipo m) el pc esta dentro del DMZ n) existe IDS o) cuantos equipos en red Recomiendo como lectura interesante a: Sistemas de Detección de Intrusiones de Diego González Gómezhttp://www.dgonzalez.net/pub/ids/html/ Interesante artículo enviado por Antonio Javier G.M. http://www.analisisforense.net/SIC59_074-084.pdf Algunos Software/herramientas aplicables en la informática forense: . F.I.R.E.: Destaca dentro de las distribuciones linux específicas para informática forense Sitio web: http://biatchux.dmzs.com . WinHex: Software para informática forense y recuperación de archivos, Editor Hexadecimal de Archivos, Discos y RAM Sitio web: http://www.x-ways.net (shareware) . Encase: Herramienta propietaria, la cual ha demostrado ser un dispositivo útil a los peritos forenses en diferentes casos. sitio web: http://www.guidancesoftware.com/ . Snort Herramienta libre por excelencia una de las mejores Sitio web: http://www.snort.org . Ossim: Herramienta de monitorización Sitio web:http://www.ossim.net . Ettercap: Excelente sniffer de redes Sitio web: http://ettercap.sourceforge.net/ . NMap: Potente localizador de vulnerabilidades Sitio web: http://www.insecure.org/nmap/ . Nessus: Otro proyecto para scanear vulnerabilidades Sitio web: http://www.nessus.org . Ethereal: Otro potente sniffer Sitio web: http://www.ethereal.com .Fport: Identifica puertos abiertos y aplicaciones asociadas a ellos. Sitio web: http://foundstone.com/ . putty: Escelente cliente SSH Sitio web: http://www.chiark.greenend.org.uk/~sgtatham/putty/ . Stunnel: Programa que cifra las conexiones TCP bajo SSL Sitio web: http://www.stunnel.org/ . AirSnort: Herramienta wireless para recuperar claves cifradas Sitio web: http://airsnort.shmoo.com/ . Aircrack: sniffer y WEP craqueador de wirless Stio web: http://www.cr0.net:8040/code/network/ . Achilles: Herramienta para testear la seguridad de las aplicaciones web sitio web: http://www.mavensecurity.com/achilles . NetStumbler Localizador de los puntos de acceso wirless (debes poseer tarjeta wirless para q funcione) Sitio web: http://www.stumbler.net/ .Dsniff: sniffer Sitio Web: http://www.datanerds.net/~mike/dsniff.html .VNC Administrador remoto Sitio web: http://www.realvnc.com/ .The Autopsy: Browser para la informatica forense Sitio web: http://www.sleuthkit.org .PyFlag: Herramienta para recuperar discos en RAID Sitio web: http://pyflag.sourceforge.net/ Herramientas Microsoft: . Promqry 1.0 (linea de comandos, 113 KB):http://download.microsoft.com/download/b/b/6/bb6ea193-2880-43c3-b84b-b487a6454a17/promqrycmd.exe . PromqryUI 1.0 (interfaz gráfico, 255 KB):http://download.microsoft.com/download/7/2/6/7262f637-81db-4d18-ab90-97984699d3bf/promqryui.exe Sitios web de seguridad (recomendados) http://www.kb.cert.orghttp://www.securityfocus.comhttp://www.sqlsecurity.comhttp://www.secunia.comhttp://www.securitytracker.comhttp://www.forensicfocus.com/http://www.frsirt.comhttp://www.infohackers.orghttp://www.hispasec.comhttp://www.seguridad0.comhttp://www.forensic-es.orghttp://www.synacksecurity.com Fuentes consultadas: tecnoiuris.com informaticaforense.com criptored.upm.es loquefaltaba.com grafotecnica.com virusprot.com obm.corcoles.net dgonzalez.net vnunet.es unam-cert.unam.mx alfa-redi.org ausejo.net symantec.com pandasoftware.com monografias.com criminalista.net delitosinformaticos.com hispasec.com synacksecurity.com unmanarc.synacksecurity.com Autor: Xombra www.xombra.com Textos y/o trabajo bajo Licencia: Creative Commons License Ver Terminos en:http://creativecommons.org/worldwide/es/ Traducción al español:http://creativecommons.org/worldwide/es/translated-license

Nueva Página

Nueva Página