Un enfoque básico sobre Informática Forense.

Ventajas y desventajas de las Redes Sociales
enero 24, 2017
¿A Qué te vas a dedicar?
enero 24, 2017
Show all

Un enfoque básico sobre Informática Forense.

Un enfoque básico sobre Informática Forense.

Dr. Rodolfo Gallardo-Rosales, Ph.D.

Centro de Bachillerato Tecnológico, industrial

y de servicios No. 226 de Ciudad Guzmán, Jal.

gallardo@cbtis226.edu.mx

Dr. Andrés Gerardo Fuentes-Covarrubias, Ph.D.

Facultad de Ing. Mecánica y Eléctrica. Universidad de Colima.

Coquimatlán, Colima, México.

fuentesg@ucol.mx

Dr. Ricardo Fuentes-Covarrubias, Ph.D.

Facultad de Ing. Mecánica y Eléctrica. Universidad de Colima.

Coquimatlán, Colima, México.

fuentesr@ucol.mx

Resumen

El Presente documento, fue hecho con el propósito de dar a conocer esta relativamente nueva línea de investigación y despertar en el lector el interés por la investigación al respecto, para permitir a responsables y administradores de sistemas, recuperar los dispositivos empresariales, y al usuario final, darle la oportunidad de recuperar su sistema después de haber sido objeto de un ataque invasivo. Parte de las definiciones más básicas, analizando el propósito final de esta disciplina, las actividades para las que es útil; la forma en que está compuesta, un listado breve de las reglas que la Informática Forense sigue, los campos en los que su actuar es de capital importancia; una relación del equipo que se utiliza para la aplicación de la misma, y los lugares e instituciones donde se imparte capacitación y/o se otorga certificación sobre Informática Forense.

1. Introducción

La informática Forense es una disciplina de relativamente nueva creación, en la cual no hay estándares aceptados. Sin embargo, hay algunos proyectos que están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), el Open Source Computer Forensics Manual, el Training Standards and Knowledge Skills and Abilities.

La Informática Forense está cobrando cada vez más importancia, al convertirse la información en el nuevo tipo de cambio. Su valor es inapreciable y despierta ahora la codicia de criminales, que buscan valerse de la técnica para introducirse en sistemas, violar la seguridad, romper candados, robar cuentas de correo, clonar teléfonos, conseguir números de tarjetas de crédito, etc. En la misma medida que los criminales se apropian de nuevos métodos y desarrollan nuevas técnicas, el experto en Informática Forense, se prepara constantemente para contrariar sus tendencias, basado en las huellas que el ciber-criminal deja a su paso. Estas huellas no pueden ser descubiertas utilizando formas convencionales de cómputo, se deben implementar herramientas y mecanismos diferentes, y es de ahí de donde surge la necesidad del estudio, preparación e investigación sobre la Informática Forense.

2. Informática Forense

La Informática forense ha sido definida desde diferentes ángulos de visión, así encontramos diversas concepciones de la misma: “una técnica de lucha contra

el crimen que es en parte ciencia y en parte investigación policial” [1] “La ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y grabados en un medio computacional” [2].

“El término Informática Forense significa también diferentes cosas para diferentes personas. Informática forense, usualmente se refiere al examen forense de los componentes de la computadora y sus contenidos, tales como discos duros, discos compactos, e impresoras” [3]

La informática forense se basa en tecnologías que tienen capital importancia para la recolección de evidencias que quizás configurarán un hecho real y tangible. La escena del crimen, es la red o la computadora en sí.

3. Propósito

Haciendo una analogía con la recolección de evidencia que sobre un cadáver realiza el forense, la Informática Forense extrae y recolecta información del “cadáver” de una computadora, con el propósito de servir de evidencia legal ante una entidad judicial (ya sea un jurado o ministerio público).

Entre los delitos más habituales investigados por personal especializado en esta área se encuentran:

 Posesión, producción y distribución de pornografía infantil.

 Fraude en las comunicaciones (teléfonos, teléfonos celulares, señal de CATV)

 Fraude en internet (subastas y ventas fraudulentas, carding, phishing, cartas nigerianas)

 Seguridad lógica (virus, DoS, sustracción de datos, hacking, robo de cuentas de e-mail; injurias, amenazas o calumnias a través de e-mail, foros, chats o SMS, robo y distribución ilegal de cd-roms, ya sea de música o de juegos)

 Propiedad intelectual (piratería de programas, música y películas; robos de código como Dark Age of Camelot, Half Life, Cisco IOS, Enterasys Dragon IDS)

4. Utilidad

Siendo que no es una sola disciplina, sino que involucra varias de las conocidas en el trabajo del tratamiento de las evidencias, prácticamente su utilidad la podríamos dividir en tres actividades principales:

Análisis de soportes y dispositivos electrónicos, que requiere tener un alto grado de conocimientos tanto de dispositivos de almacenamiento, como de comunicaciones y redes, como routers y switches.

Análisis de la comunicación de datos. Si se trata de mal uso o entrada ilegal a una red, el análisis constará de: detectar el acceso ilegal; detectar la evidencia, capturarla, y preservarla; reconstrucción de hechos.

Investigación y desarrollo. Esta actividad es absolutamente necesaria, dado que la computación envejece en meses, los equipos y el software evoluciona, debe dedicarse recursos humanos y financieros a la investigación en esta área, para permanecer dentro de lo actual.

5. Composición

Tiene cuatro componentes principales:

La Identificación de la evidencia, que precisa el o los métodos óptimos para la recuperación y recolección de los datos. No incluye solamente PCs, sino todo dispositivo capaz de almacenar datos, como PDA, Agendas electrónicas, Pocket PC, Palm Top, Teléfonos celulares, Memory Sticks, Flash Pen Drive, etc.

Preservación de la evidencia, esto equivale a poner la cinta protectora aislando el área del crimen, para que un intruso no altere la evidencia. Debe tenerse un registro minucioso de las alteraciones (físicas y lógicas) que el proceso de obtención de la evidencia, haya causado, y en razón de esto, no se debe trabajar con el original (por ejemplo del disco), que debe preservarse intacto, sino con una copia hecha a propósito.

Análisis de la evidencia, que básicamente es el proceso de elevar a un nivel de abstracción (usuarios y aplicaciones) los

datos en crudo que se obtienen como evidencias (en el hardware) con el propósito de hacerlas comprensibles para una persona.

Presentación de la evidencia, la cual se requiere que sea bajo todos los requisitos que la ley exige, evitando a oda costa la contaminación de la misma, pues daría lugar a que la evidencia digita fuera considerada como dudosa o hasta inadmisible.

6. Reglas de la Informática forense.

Estas reglas son muy importantes para asegurar la admisibilidad de las evidencias en un juzgado. Cualquier proceso que se realice, deberá hacerse respetando estas cuatro reglas básicas.

Regla 1. Evitar en lo posible la manipulación del original. Esta es la primera y también la más importante de las reglas. Debe copiarse el original y trabajarse con la copia mientras el original queda a buen resguardo. Si los datos se alteraran o destruyesen durante el proceso de la extracción o recolección de evidencias, siempre estará disponible el original para compulsar una nueva copia donde trabajar. También es una forma excelente de realizar trabajo en equipo, toda vez que pueden hacerse tantas copias del original, como peritos trabajen en el caso.

Regla 2. Documentación de los cambios. Es posible que e el proceso de la obtención de la evidencia, y al realizar alguna prueba, la misma resultare alterada o destruida. El perito debe tener cuidado de documentar perfectamente cada cambio que efectúe, así como de entender y explicar la naturaleza de los cambios que se están realizando.

Regla 3. Cumplimiento de las reglas de la evidencia. Asegurarse que al usar técnicas y herramientas, no afectará la admisibilidad de las pruebas, así como presentar el producto final que sea tan representativo del original como sea posible.

Regla 4. No rebasar el conocimiento. El perito debe conocer sus limitaciones y no

efectuar pruebas más allá de su nivel de habilidades y conocimientos. Si ocurriera, entonces debe buscar la ayuda de alguien más experimentado, o realizar trabajo de investigación que le permita acrecentar su acervo y continuar el examen.

7. Campo que afecta

La Informática forense, afecta los siguientes campos:

Persecución de actos criminales, desde homicidio, secuestro, narcotráfico, fraude, extorsión, pornografía infantil, etc. Donde aporta evidencias, dado que actualmente prácticamente la totalidad de la población tiene medios para acceder al Internet y a sistemas de cómputo, como ciber-cafés.

Litigios civiles, como es el caso de acoso, discriminación, etc.

Investigaciones de seguros, puesto que las evidencias encontradas en las computadoras pueden ayudar a disminuir los costos en pagos por accidentes y compensaciones.

Temas corporativos, para recabar las evidencias de la información en casos como el espionaje industrial.

8. Herramientas utilizadas

Software Forense. Son paquetes provistos por compañías tales como NTI y DIBS que incluyen software de tratamiento de imágenes, programas de “undelete”, programas de búsqueda de cadenas de texto y archivos, programas que pueden verificar la fidelidad de las copias bit a bit, etc. [4]

Para la recuperación de evidencias de discos, suelen utilizarse las siguientes:

 ENCASE es una herramienta poderosa, habilitada sobre la red, solución para investigación multiplataforma, auxiliar excelente en la investigación forense, la herramienta más recomendable si se necesita realizar una duplicación exacta, aún de forma remota.. [5]

 SMARTes una utilidad de software que ha sido diseñada y optimizada para uso de

investigadores forenses, así como personal de seguridad. Esta utilidad permite que se coloquen en un disco las imágenes capturadas con ENCASE. [6]

 AccessData Forensic Toolkit es una herramienta que proporciona la habilidad para ejecutar exámenes forenses de computadora completos y cuidadosos. [7]

 Disk Doubler, de LEC, s.r.o. es un duplicador hardware de discos. [8]

 FOREMOST es un software de open source para recuperar archivos perdidos o borrados en LINUX. [9]

 RAT (Router audit. Tool) para identificar las vulnerabilidades que un router cisco posee habiendo sido configurado por defecto. [10]

Para la recuperación de contraseñas, herramientas comunes que se usan son las siguientes:

 John the Ripper es un crackeador de contraseñas de fuerza bruta, gratuito [11]

 MD Crack, que es capaz de crackear los passwords encriptados con algoritmos MD4, MD5 o NTLM1 [12]

9. Equipo utilizado

Equipo para imágenes. Estos dispositivos permiten de manera expedita hacer copias bit a bit de un disco duro a otro, a cartucho óptico o a cinta. [4]

Estaciones de Trabajo Forenses. Estas son estaciones de trabajo completas preparadas para reconstrucción y análisis rápido de discos copiados. Frecuentemente con conjuntos de discos removibles que permiten bootear de los discos sospechosos. [4]

10. Entrenamiento y certificación sobre Informática Forense

Existen al menos dos programas de certificación en Informática Forense:

 IACIS provee una certificación individual para Forense Examinador Certificado de

Computadoras (CFCE). Para mayor información, ver www.cops.org/External%20Certification.htm1 [4]

 El High Tech Crime Network ofrece un programa básico y uno avanzado de Técnico Forense de Computadoras Certificado y un programa de Investigador de Crímenes Informáticos Certificado. Para mayor información ver www.htcn.org/certification.htm [4]

11. Referencias

[1] Los ciberinvestigadores estudian informática forense. http://www.vnunet.es/Actualidad/Noticias/Comunicaciones/Internet/

[2] Recovering and Examining Computer Forensic Evidence. http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

[3] Eoghan Casey. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Second Edition. Academic Press. © 2004

[4] Debra Littlejohn Shinder. Scene of the Cyber Crime. Computer Forensics Handbook. Syngress Shinder Books. © 2002.

[5] Products and Services, ENCASE Enterprise. http://www.guidancesoftware.com/products/ee_index.asp

[6] SMART Computer Forensics Tools and Forensic Training http://www.asrdata.com/SMART/

[7] Access Data Forensic Toolkit. Find Comp. Evid. http://www.accessdata.com/Product04_Overview.htm?ProductNum=04

[8] LEC, s.r.o. http://www.lec.cz/en/indexo.php

[9] FOREMOST. Latest Version 1.0

http://foremost.sourceforge.net/

[10] RAT. Router Audit Tool Software. http://www.cisecurity.org/

[11] John The Ripper password cracker. http://www.openwall.com/john/

[12] MDCrack bruteforce your hashes. http://membres.lycos.fr/mdcrack/

Comments are closed.