LA IMPORTANCIA DEL MANEJO DE LA EVIDENCIA DIGITAL

LA IMPORTANCIA DEL MANEJO DE LA EVIDENCIA DIGITALJuan Carlos Velarde-lvarez MansillaDiplomado Prevencin de incidentes informticosINTRODUCCIONLa informtica forense est adquiriendo una gran importancia dentro del rea de la informacin electrnica, esto debido al aumento del valor de la informacin y/o al uso que se le da a sta, al desarrollo de nuevos espacios donde es usada (por Ej. el Internet), y al extenso uso de computadores por parte de las compaas de negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la informacin queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la informacin de forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense como una ciencia relativamente nueva. 12INFORMATICA FORENSE

Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. 2La informtica forense, es el conjunto de tcnicas cientficas y analticas especializadas en infraestructura tecnolgica que permitan identificar, preservar, analizar y mostrar datos que sean vlidos dentro de un proceso legal o cuando la situacin lo requiera. A travs del uso de tecnologa de punta se busca mantener la integridad y procesamiento de los datos, para lo cual se requiere de una especializacin y conocimientos avanzados en sistemas informticos, que le permitan detectar dentro de cualquier dispositivo electrnico lo que esta sucediendo.TERMINOLOGIA FORENSE

Informtica forense(3).- Tambin conocida como computacin. la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional.

Forensia en redes(4) .- Campo de la informtica forense que se dedica a capturar, registrar, almacenar y analizar los eventos de la red.

Forensia digital(5).- Forma de aplicar los conceptos, estrategias y procedimientos de la criminalstica tradicional a los medios informticos especializados, con el fin de apoyar a la administracin de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechosPARA QUE SIRVE LA INFORMATICA FORENSE- La disciplina forense adaptada al mbito de las nuevas tecnologas, surge como respuesta al auge delincuencial que utiliza como apoyo o medio cualquier soporte electrnico.En el momento actual son muchos los casos en los que se obtienen distintos medios de prueba, vitales para el xito de una investigacin, de discos duros, telfonos mviles, PDAs ,sistemas GPS, etc.

- Permite garantizar la efectividad de las polticas de seguridad y la proteccin de la informacin como de las tecnologas que facilitan la administracin de la misma.

OBJETIVOS DE LA INFORMATICA FORENSE

Crear y aplicar polticas para prevenir posibles ataques y de existir antecedentes evitar casos similares.

Perseguir y procesar judicialmente a los criminales.

Compensar daos causados por los criminales o intrusos

USOS DE LA INFORMATICA FORENSEProsecucin Criminal: Evidencia incriminatoria que puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico de drogas, evasin de impuestos o pornografa infantil.Litigacin Civil: En los procesos de investigacin por fraude, discriminacin, acoso, divorcio, etc.Investigacin de Seguros: La evidencia encontrada en ordenadores puede ayudar a las compaas de seguros a disminuir los costos de reclamos por accidentes y compensaciones.Temas corporativos: En casos que tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o de espionaje industrial.Mantenimiento de la ley: Para la consecucin inicial de rdenes judiciales, y en la bsqueda de informacin una vez que se cuenta con una orden judicial para hacer la bsqueda exhaustiva.EVIDENCIA DIGITALEVIDENCIA DIGITAL

Es toda informacin que se extrae de un medio electrnico, la cual debe cumplir con ciertas exigencias para su autentificacin, debido a que este tipo de documentacin digital no deja rastro alguno de ser copiado y en el intervalo puede modificarse. Por tal razn los investigadores deben generar varias copias y verificar durante el proceso de trabajo que no haya ninguna alteracin.

DEFINICIONES DE EVIDENCIA DIGITAL(6)Evidencia Digital.- Es cualquier dato almacenado o transmitido utilizando un computador que soporte o refute una teoria de como una ofensa ocurri. (Chisum 1999)

Evidencia Digital.- Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la vctima o entre el crimen y su perpetrador. (Casey 2000)CICLO DE LA EVIDENCIA DIGITAL

Diseo de la evidencia Produccin de la evidencia Recoleccin de la evidencia Anlisis de la evidencia Reporte y presentacin Determinacin de la relevancia de la evidenciaAlberto Oscar UezREGLAS DE LA EVIDENCIA DIGITAL

Admisible.- Debe ser capaz de ser utilizada en el proceso y aceptado por el magistradoAutntica.- Debe ser capaz de demostrarse que la evidencia se relaciona con el incidente de manera relevante.Completa.- Las pruebas deben demostrar las acciones del acusado, as como tambin puedan demostrar su inocencia. Si se pude demostrar que el acusado fue identificado en el momento del incidente, tambin es necesario demostrar quin ms estaba conectado.Segura y confiable.- La recoleccin de evidencia y procedimientos de anlisis no deben poner en duda la autenticidad de la evidencia y su veracidad. Creble.- Debe ser claramente comprensible y creble a un juez. No tiene sentido presentar un volcado binario de memoria si el juez no tiene idea. Del mismo modo, si se traduce a algo comprensible, debe ser capaz de mostrarse la relacin con el binario original, de lo contrario no hay forma de que el juez sepa que no se fragu.

CLASIFICACIN DE LA EVIDENCIA DIGITAL

Registros generados por la computadora.- Son aquellos que resultan del uso de la PC, los cuales son inalterables por el usuario y pueden ser usados como prueba.Registros almacenados por o en computadores.- Son todos aquellos archivos creados por el usuario y almacenado en la PC. En este tipo de registro, es importante poder demostrar la identidad del creador, y probar lo afirmado en dicha evidencia misma es verdico. Registros hbridos.- Estn formados por los registros generados y los almacenado por la PC.DONDE ENCONTRAR EVIDENCIA DIGITALDiscos slidosDiscos rgidos Discos externosMemorias USBPalmsCelularesCamaras digitalesFax

TIPOS DE EVIDENCIA DIGITAL

Documentos de Office: Word, excel. Servicios de mensajera : E-mails, SMSs, etcImgenes digitales: fotos, videos, etcBases de datosFicheros de registro de actividad: LOGSEvidencias de host: memoria, conexiones de red, procesos, usuarios conectados, configuraciones de red, discos, etc.

DESAFIOS DE LA EVIDENCIA DIGITAL

VoltilAnnimaDuplicableContaminable ModificableEliminable

MANIPULACIN DE LA EVIDENCIA DIGITAL

La evidencia digital, al momento de ser recolectada no debe ser alterada por lo que se debe preservar la integridad del medio original que la contiene.Las personas que deben estar a cargo de este tipo de evidencias debe ser un profesionales especializado en el manejo de este tipo de informacin.Todas las actividades de recoleccin, almacenamiento o traslado de la evidencia digital, debe ser documentada, preservada y estar disponible para la revisin. Las personas a cargo de la evidencia digital, son las responsables de la misma.

CONSIDERACIONES EN EL MANEJO DE LA EVIDENCIA DIGITAL

No se debe trabajar con datos originales, evidencias, dispositivos, etc.. Se debe trabajar dentro del marco legal vigente y las polticas de la Organizacin Si los resultados pueden ser verificables y reproducibles

DIFICULTADES EN LA RECOLECCION DE EVIDENCIA DIGITALAusencia de software especializado para buscar la informacin en varios computadores.Existe un alto ndice de probabilidades de que estas pruebas puedan ser contaminadas a un sin darnos cuenta Dificultad para contar con software y hardware para almacenar, preservar y presentar los datos como evidencia.Falta de pericia para mostrar, reportar y documentar un incidente informtico.EVIDENCIA DIGITAL VISIBLE

Documentos Bases de datos y registros contables Correos electrnicos Fotos digitales Archivos y carpetas eliminadas

EVIDENCIA DIGITAL INVISIBLE

Registro de usuarios del sistema y contraseas Logs Actividad realizada en Internet Ubicacin geogrfica de una computadora Impresiones realizadasArchivos eliminadosRemanentes de archivos Medios removibles conectadosTrafico de redADMISIBILIDAD DE LA EVIDENCIA DIGITAL (7) La evidencia digital deben cumplir con algunos requerimientos para tener validez jurdica

Autenticidad: La evidencia no ha sido modificadaPrecisin: Tanto las herramientas, como los procedimientos no deben presentar dudas, adems debe estar relacionada con el incidenteSuficiencia: Debe mostrar todo los eventos que relacionan a un incidente Listado deherramientas forensesSet de utilidades que permite la adquisicin de la memoria ram para posteriormente hacer un anlisis con ella.

pd Proccess Dumper - Convierte un proceso de la memoria a fichero.FTK Imager - Permite entre otras cosas adquirir la memoria.DumpIt - Realiza volcados de memoria a fichero.Responder CE - Captura la memoria y permite analizarla.Volatility - Analiza procesos y extrae informacin util para el analista.RedLine - Captura la memoria y permite analizarla. Dispone de entrono grfico.Memorize - Captura la ram (Windows y OSX).ADQUISICIN Y ANLISIS DE LA MEMORIAMONTAJE DE DISCOSUtilidades para montar imgenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla.

ImDisk - Controlador de disco virtual.OSFMount - Permite montar imgenes de discos locales en Windows asignando una letra de unidad.raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdkFTK Imager - Comentada anteriormente, permite realizar montaje de discos.vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos deWindows .LiveView - Utilidad en java que crea una mquina virtual de VMware partiendo de una imagen de disco.MountImagePro - Permite montar imgenes de discos locales en Windows asignando una letra de unidadCARVING Y HERRAMIENTAS DE DISCORecuperacin de datos perdidos, borrados, bsqueda de patrones y ficheros con contenido determinado comopor ejemplo imgenes, vdeos. Recuperacin de particiones y tratamiento de estructuras de discos.PhotoRec - Muy til, permite la recuperacin de imgenes y vdeo.Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.RecoverRS - Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imagen de disco.NTFS Recovery - Permite recuperar datos y discos an habiendo formateado el disco.Recuva - Utilidad para la recuperacin de ficheros borrados.Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos losparmetros RAID.CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.Restoration - Utilidad para la recuperacin de ficheros borrados.Rstudio - Recuperacin de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT,HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2(FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.Freerecover - Utilidad para la recuperacin de ficheros borrados.DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS(consola), Linux (Terminal) e incorpora utilidades de carving.IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicacionescomo chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.

UTILIDADES PARA EL SISTEMA DE FICHEROSConjunto de herramientas para el anlisis de datos y ficheros esenciales en la bsqueda de un incidente.analyzeMFT - David Kovar's utilidad en python que permite extraer la MFTMFT Extractor- Otra utilidad para la extraccin de la MFTINDXParse - Herramienta para los indices y fichero $I30.MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFTMFT_Parser - Extrae y analiza la MFTPrefetch Parser - Extrae y analiza el directorio prefetchWinprefectchview - Extrae y analiza el directorio prefetchFileassassin - Desbloquea ficheros bloqueados por los programasANLISIS DE MALWAREPDF Tools de Didier Stevens.PDFStreamDumper - Esta es una herramienta gratuita para el anlisis PDFs maliciosos.SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.Proccess explorer - Muestra informacin de los procesos.Captura BAT - Permite la monitorizacin de la actividad del sistema o de un ejecutable.Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellosBintext - Extrae el formato ASCII de un ejecutable o fichero.LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesosejecutados.Firebug - Analisis de aplicaciones web.IDA Pro - Depurador de aplicaciones.OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propsito es la deteccin de exploitsOfficeMalScanner - Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos enOffice.Radare - Framework para el uso de ingeniera inversa.FileInsight - Framework para el uso de ingeniera inversa.Volatility Framework con los plugins malfind2 y apihooks.shellcode2exe - Conversor de shellcodes en binarios.FRAMEWORKSConjunto estandarizado de conceptos, prcticas y criterios en base a el anlisis forense de un caso.PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.Log2timeline - Es un marco para la creacin automtica de un super lnea de tiempo.Plaso - Evolucin de Log2timeline. Framework para la creacin automtica de un super lnea de tiempo.OSForensics - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.DFF - Framework con entorno grfico para el anlisis.SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy til.ANLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, informacin del sistema,direcciones IP, informacin de aplicaciones.RegRipper - Es una aplicacin para la extraccin, la correlacin, y mostrar la informacin del registro.WRR - Permite obtener de forma grfica datos del sistema, usuarios y aplicaciones partiendo del registro.Shellbag Forensics Anlisis de los shellbag de windows.Registry Decoder - Extrae y realiza correlacin aun estando encendida la mquina datos del registroHERRAMIENTAS DE REDTodo lo relacionado con el trfico de red, en busca de patrones anmalos, malware, conexiones sospechosas,identificacin de ataques, etc.WireShark - Herramienta para la captura y anlisis de paquetes de red.NetworkMiner - Herramienta forense para el descubrimiento de informacin de red.Netwitness Investigator - Herramienta forense. La versin 'free edition' est limitado a 1GB de trfico.Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisicin y anlisis de la red.Xplico - Extrae todo el contenido de datos de red (archivo pcap o adquisicin en tiempo real). Es capaz deextraer todos los correos electrnicos que llevan los protocolos POP y SMTP, y todo el contenido realizado porel protocolo HTTP.Snort - Detector de intrusos. Permite la captura de paquetes y su anlisis.Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa yaprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea fsica, virtual o en lanube.AlientVault - Al igual que Splunk recolecta los datos y logs aplicndoles una capa de inteligencia para ladeteccin de anomalas, intrusiones o fallos en la poltica de seguridad.RECUPERACIN DE CONTRASEASTodo lo relacionado con la recuperacin de contraseas en Windows, por fuerza bruta, en formularios, ennavegadores.Ntpwedit - Es un editor de contrasea para los sistemas basados en Windows NT (como Windows 2000, XP,Vista, 7 y 8), se puede cambiar o eliminar las contraseas de cuentas de sistema local. No valido para ActiveDirectory.Ntpasswd - Es un editor de contrasea para los sistemas basados en Windows, permite iniciar la utilidad desdeun CD-LIVEpwdump7 - Vuelca los hash. Se ejecuta mediante la extraccin de los binarios SAM.SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques porfuerza bruta.DISPOSITIVOS MVILESEsta seccin dispone de un set de utilidades y herramientas para la recuperacin de datos y anlisis forense dedispositivos mviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero queson muy interesantes e importantes.iPhoneiPhoneBrowser - Accede al sistema de ficheros del iphone desde entorno grfico.iPhone Analyzer - Explora la estructura de archivos interna del iphone.iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad realizada anteriormente.iPhone Backup Browser - Extrae ficheros de una copia de seguridad realizada anteriormente.iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta concontraseas simples (4 dgitos) y descifrar copias de seguridad.iPBA2 - Accede al sistema de ficheros del iphone desde entorno grfico.sPyphone - Explora la estructura de archivos interna.BlackBerryBlackberry Desktop Manager - Software de gestin de datos y backups.Phoneminer - Permite extraer, visualizar y exportar los datos de los archivos de copia de seguridad.Blackberry Backup Extractor - Permite extraer, visualizar y exportar los datos de los archivos de copia deque viene, ms concretamente el martes 24de Julio a las 16:00, tendr el gusto de darotro Webcast sobre anlisis de Malwareorien...Hace 1 aoBlog ArchiveForensics PowerTools (Listado de herramientas forenses) ~ ConexionInversahttp://conexioninversa.blogspot.com/2013/09/forensics-powertools-listado-de.html[20/02/2014 03:33:28 p.m.]seguridad.MagicBerry - Puede leer, convertir y extraer la base de datos IPD.Androidandroid-locdump. - Permite obtener la geolocalizacin.androguard - Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSCviaforensics - Framework de utilidades para el anlisis forense.Osaf - Framework de utilidades para el anlisis forense.PRODUCTOS COMERCIALESNo podan faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rpidas yconcisas. Lo peor en alguna de ellas es el precio.UFED Standard (http://www.cellebrite.com)XRY (http://www.msab.com)Mobilyze (http://www.blackbagtech.com)SecureView2 (http://mobileforensics.susteen.com)MobilEdit! (http://www.mobiledit.com)Oxygen Forensic (http://www.oxygen-forensic.com)CellDEK (http://www.logicube.com)Mobile Phone Examiner (http://www.accessdata.com)Lantern (http://katanaforensics.com)Device Seizure (http://www.paraben.com)Neutrino (www.guidancesoftware.com)REFERENCIAS

1.- scar Lpez, Haver Amaya, Ricardo Len, INFORMTICA FORENSE en: http://www.urru.org/papers/RRfraude/InformaticaForense_OL_HA_RL.pdf2.- Juan David Gutierrez Giovanni,Informtica Forense en: Zuccardihttp://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf3.- Jeimy J. Cano, Ph.D, CFE , Introduccion a la Informatica Forense, en: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf4.- Roberto Gomez Cardenas, Computo Forense en redes, en:http://www.cryptomex.org/SlidesForensia/ForensiaRedes.pdf5.-Jose Galiel Solano Torres, Informtica Forense, en : http://josemiguelapalucero.files.wordpress.com/2010/10/informatica-forense.pdf.6 y 7 .- Andrs Almanza, Recoleccin de Evidencia en Ambientes de Reden: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Seguridad/AndresAlmanza-VJNSI.ppt. WEBGRAFIAhttp://laconsigna.files.wordpress.com/2008/05/informatica-forense.pdf.http://webcache.googleusercontent.com/search?q=cache:ZTt_9TMDXUsJ:densi-unc.wikispaces.com/file/view/Evidencia%2Bdigital%2B-%2BAlberto%2BUez.ppt+&cd=1&hl=es-419&ct=clnk&gl=pe.http://www.slideshare.net/vaceitunofist/j-16621012http://www.masterrecoverylab.co/recoforense.asphttp://www.ecured.cu/index.php/Inform%C3%A1tica_Forense#Criterios_de_admisibilidadhttp://forense-infor.blogspot.com/2009_06_01_archive.htmlhttp://www.presman.com.ar/admin/archivospublicaciones/archivos/Curso%20PGN_20100706100513.pdfhttp://issaarba.org/sites/default/files/EventoIssaUTN/GP.pdf