Contextualización y aproximación al objeto de estudio de investigación cualit...
La importancia del manejo de la evidencia digital
1. LA IMPORTANCIA DEL MANEJO DE LA
EVIDENCIA DIGITAL
Juan Carlos Velarde-Álvarez Mansilla
Diplomado Prevención de incidentes informáticos
2. INTRODUCCION
La informática forense está adquiriendo una gran importancia
dentro del área de la información electrónica, esto debido al
aumento del valor de la información y/o al uso que se le da a
ésta, al desarrollo de nuevos espacios donde es usada (por Ej.
el Internet), y al extenso uso de computadores por parte de las
compañías de negocios tradicionales (por Ej. bancos). Es por
esto que cuando se realiza un crimen, muchas veces la
información queda almacenada en forma digital. Sin
embargo, existe un gran problema, debido a que los
computadores guardan la información de forma tal que no
puede ser recolectada o usada como prueba utilizando medios
comunes, se deben utilizar mecanismos diferentes a los
tradicionales. Es de aquí que surge el estudio de la
computación forense como una ciencia relativamente nueva. 1
3. INFORMATICA FORENSE
“Según el FBI, la informática (o computación) forense es la ciencia
de adquirir, preservar, obtener y presentar datos que han sido
procesados electrónicamente y guardados en un medio
computacional”. 2
La informática forense, es el conjunto de técnicas científicas y
analíticas especializadas en infraestructura tecnológica que
permitan identificar, preservar, analizar y mostrar datos que sean
válidos dentro de un proceso legal o cuando la situación lo requiera.
A través del uso de tecnología de punta se busca mantener la
integridad y procesamiento de los datos, para lo cual se requiere de
una especialización y conocimientos avanzados en sistemas
informáticos, que le permitan detectar dentro de cualquier
dispositivo electrónico lo que esta sucediendo.
4. TERMINOLOGIA FORENSE
• Informática forense(3).- “También conocida como computación. la
ciencia de adquirir, preservar, obtener y presentar datos que han sido
procesados electrónicamente y guardados en un medio
computacional”.
• Forensia en redes(4) .- “Campo de la informática forense que se
dedica a capturar, registrar, almacenar y analizar los eventos de la
red”.
• Forensia digital(5).- “Forma de aplicar los conceptos, estrategias y
procedimientos de la
criminalística tradicional a los medios
informáticos especializados, con el fin de apoyar a la administración
de justicia en su lucha contra los posibles delincuentes o como una
disciplina especializada que procura el esclarecimiento de los
hechos…”
5. PARA QUE SIRVE LA INFORMATICA
FORENSE
- La disciplina forense adaptada al ámbito de las nuevas
tecnologías, surge como respuesta al auge delincuencial que
utiliza como apoyo o medio cualquier soporte electrónico.
En el momento actual son muchos los casos en los que se
obtienen distintos medios de prueba, vitales para el éxito de
una investigación, de discos duros, teléfonos móviles, PDAs
,sistemas GPS, etc.
- Permite garantizar la efectividad de las políticas de
seguridad y la protección de la información como de las
tecnologías que facilitan la administración de la misma.
6. OBJETIVOS DE LA INFORMATICA
FORENSE
• Crear y aplicar políticas para prevenir posibles ataques y de
existir antecedentes evitar casos similares.
• Perseguir y procesar judicialmente a los criminales.
• Compensar daños causados por los criminales o intrusos
7. USOS DE LA INFORMATICA FORENSE
• Prosecución Criminal: Evidencia incriminatoria que puede ser usada
para procesar una variedad de crímenes, incluyendo homicidios, fraude
financiero, tráfico de drogas, evasión de impuestos o pornografía
infantil.
• Litigación Civil: En los procesos de investigación por fraude,
discriminación, acoso, divorcio, etc.
• Investigación de Seguros: La evidencia encontrada en ordenadores
puede ayudar a las compañías de seguros a disminuir los costos de
reclamos por accidentes y compensaciones.
• Temas corporativos: En casos que tratan sobre acoso sexual, robo,
mal uso o apropiación de información confidencial o de espionaje
industrial.
• Mantenimiento de la ley: Para la consecución inicial de órdenes
judiciales, y en la búsqueda de información una vez que se cuenta
con una orden judicial para hacer la búsqueda exhaustiva.
9. EVIDENCIA DIGITAL
Es toda información que se extrae de un medio
electrónico, la cual debe cumplir con ciertas exigencias
para su autentificación, debido a que este tipo de
documentación digital no deja rastro alguno de ser
copiado y en el intervalo puede modificarse. Por tal
razón los investigadores deben generar varias copias y
verificar durante el proceso de trabajo que no haya
ninguna alteración.
10. DEFINICIONES DE EVIDENCIA DIGITAL(6)
• Evidencia Digital.- Es cualquier dato almacenado o
transmitido utilizando un computador que soporte o refute
una teoria de como una ofensa ocurrió. (Chisum 1999)
• Evidencia Digital.- Cualquier dato que puede establecer
que un crimen ha sido cometido o que suministre un
enlace entre el crimen y la víctima o entre el crimen y su
perpetrador. (Casey 2000)
11. CICLO DE LA EVIDENCIA DIGITAL
• Diseño de la evidencia
• Producción de la evidencia
• Recolección de la evidencia
• Análisis de la evidencia
• Reporte y presentación
• Determinación de la relevancia de la evidencia
Alberto Oscar Uez
12. REGLAS DE LA EVIDENCIA DIGITAL
• Admisible.- Debe ser capaz de ser utilizada en el proceso y
aceptado por el magistrado
• Auténtica.- Debe ser capaz de demostrarse que la evidencia se
relaciona con el incidente de manera relevante.
• Completa.- Las pruebas deben demostrar las acciones del
acusado, así como también puedan demostrar su inocencia. Si se
pude demostrar que el acusado fue identificado en el momento
del incidente, también es necesario demostrar quién más estaba
conectado.
• Segura y confiable.- La recolección de evidencia y
procedimientos de análisis no deben poner en duda la
autenticidad de la evidencia y su veracidad.
• Creíble.- Debe ser claramente comprensible y creíble a un juez.
No tiene sentido presentar un volcado binario de memoria si el
juez no tiene idea. Del mismo modo, si se traduce a algo
comprensible, debe ser capaz de mostrarse la relación con el
binario original, de lo contrario no hay forma de que el juez sepa
que no se fraguó.
13. CLASIFICACIÓN DE LA EVIDENCIA
DIGITAL
• Registros generados por la computadora.- Son aquellos
que resultan del uso de la PC, los cuales son inalterables
por el usuario y pueden ser usados como prueba.
• Registros almacenados por o en computadores.- Son
todos aquellos archivos creados por el usuario y
almacenado en la PC. En este tipo de registro, es importante
poder demostrar la identidad del creador, y probar lo
afirmado en dicha evidencia misma es verídico.
• Registros híbridos.- Están formados por los registros
generados y los almacenado por la PC.
15. TIPOS DE EVIDENCIA DIGITAL
• Documentos de Office: Word, excel.
• Servicios de mensajería : E-mails, SMSs, etc
• Imágenes digitales: fotos, videos, etc
• Bases de datos
• Ficheros de registro de actividad: LOGS
• Evidencias de host: memoria, conexiones de
red, procesos, usuarios conectados,
configuraciones de red, discos, etc.
16. DESAFIOS DE LA EVIDENCIA
DIGITAL
•
•
•
•
•
•
Volátil
Anónima
Duplicable
Contaminable
Modificable
Eliminable
17. MANIPULACIÓN DE LA EVIDENCIA DIGITAL
• La evidencia digital, al momento de ser recolectada no debe
ser alterada por lo que se debe preservar la integridad del
medio original que la contiene.
• Las personas que deben estar a cargo de este tipo de
evidencias debe ser un profesionales especializado en el
manejo de este tipo de información.
• Todas las actividades de recolección, almacenamiento o
traslado de la evidencia digital, debe ser documentada,
preservada y estar disponible para la revisión.
• Las personas a cargo de la evidencia digital, son las
responsables de la misma.
18. CONSIDERACIONES EN EL MANEJO DE
LA EVIDENCIA DIGITAL
• No se debe trabajar con datos originales,
evidencias, dispositivos, etc..
• Se debe trabajar dentro del marco legal vigente y
las políticas de la Organización
• Si los resultados
pueden ser verificables y
reproducibles
19. DIFICULTADES EN LA RECOLECCION DE
EVIDENCIA DIGITAL
• Ausencia de software especializado para buscar la
información en varios computadores.
• Existe un alto índice de probabilidades de que estas
pruebas puedan ser contaminadas aun sin darnos
cuenta
• Dificultad para contar con software y hardware para
almacenar, preservar y presentar los datos como
evidencia.
• Falta de pericia para mostrar, reportar y documentar
un incidente informático.
20. EVIDENCIA DIGITAL VISIBLE
• Documentos
• Bases de datos y registros contables
• Correos electrónicos
• Fotos digitales
• Archivos y carpetas eliminadas
21. EVIDENCIA DIGITAL INVISIBLE
• Registro de usuarios del sistema y contraseñas
• Logs
• Actividad realizada en Internet
• Ubicación geográfica de una computadora
• Impresiones realizadas
• Archivos eliminados
• Remanentes de archivos
• Medios removibles conectados
•Trafico de red
22. ADMISIBILIDAD DE LA EVIDENCIA
DIGITAL
(7)
La evidencia digital deben cumplir con algunos requerimientos
para tener validez jurídica
• Autenticidad: La evidencia no ha sido modificada
• Precisión: Tanto las herramientas, como los procedimientos
no deben presentar dudas, además debe estar relacionada
con el incidente
• Suficiencia: Debe mostrar todo los eventos que relacionan a
un incidente
24. ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA
Set de utilidades que permite la adquisición de la memoria ram para
posteriormente hacer un análisis con ella.
pd Proccess Dumper - Convierte un proceso de la memoria a fichero.
FTK Imager - Permite entre otras cosas adquirir la memoria.
DumpIt - Realiza volcados de memoria a fichero.
Responder CE - Captura la memoria y permite analizarla.
Volatility - Analiza procesos y extrae información util para el analista.
RedLine - Captura la memoria y permite analizarla. Dispone de
entrono gráfico.
Memorize - Captura la ram (Windows y OSX).
25. MONTAJE DE DISCOS
Utilidades para montar imágenes de disco o virtual izar unidades de
forma que se tenga acceso al sistema de ficheros para posteriormente
analizarla.
ImDisk - Controlador de disco virtual.
OSFMount - Permite montar imágenes de discos locales en Windows
asignando una letra de unidad.
raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager - Comentada anteriormente, permite realizar montaje de
discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje
desde el administrador de discos de
Windows .
LiveView - Utilidad en java que crea una máquina virtual de VMware
partiendo de una imagen de disco.
MountImagePro - Permite montar imágenes de discos locales en
Windows asignando una letra de unidad
26. HERRAMIENTAS DE DISCO
Recuperación de datos perdidos, borrados, búsqueda de patrones y
ficheros con contenido determinado como
por ejemplo imágenes, vídeos. Recuperación de particiones y
tratamiento de estructuras de discos.
PhotoRec - Muy útil, permite la recuperación de imágenes y vídeo.
Scalpel -Independiente del sistema de archivos. Se puede personalizar
los ficheros o directorios a recuperar.
NTFS Recovery - Permite recuperar datos y discos aún habiendo
formateado el disco.
Recuva - Utilidad para la recuperación de ficheros borrados.
Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o
raid 0. Incluso si no conocemos los parámetros RAID.
Restoration - Utilidad para la recuperación de ficheros borrados.
Freerecover - Utilidad para la recuperación de ficheros borrados.
Bulk_extractor - Permite extraer datos desde una imagen, carpeta o
ficheros.
27. UTILIDADES PARA EL SISTEMA DE FICHEROS
Conjunto de herramientas para el análisis de datos y ficheros
esenciales en la búsqueda de un incidente.
analyzeMFT - David Kovar's utilidad en python que permite
extraer la MFT
MFT Extractor- Otra utilidad para la extracción de la MFT
INDXParse - Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades
para el acceso a la MFT
MFT_Parser - Extrae y analiza la MFT
Prefetch Parser - Extrae y analiza el directorio prefetch
Winprefectchview - Extrae y analiza el directorio prefetch
Fileassassin - Desbloquea ficheros bloqueados por los
programas
28. ANÁLISIS DE MALWARE
PDF Tools de Didier Stevens.
PDFStreamDumper - Esta es una herramienta gratuita para el análisis
PDFs maliciosos.
SWF Mastah - Programa en Python que extrae stream SWF de ficheros
PDF.
Proccess explorer - Muestra información de los procesos.
Captura BAT - Permite la monitorización de la actividad del sistema o de
un ejecutable.
Regshot - Crea snapshots del registro pudiendo comparar los cambios
entre ellos
Bintext - Extrae el formato ASCII de un ejecutable o fichero.
LordPE - Herramienta para editar ciertas partes de los ejecutables y
volcado de memoria de los procesos ejecutados.
Firebug - Analisis de aplicaciones web.
IDA Pro - Depurador de aplicaciones.
OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
29. FRAMEWORKS
Conjunto estandarizado de conceptos, prácticas y criterios en base a el
análisis forense de un caso.
PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza
datos de un disco ya montado.
Log2timeline - Es un marco para la creación automática de un super
línea de tiempo.
Plaso - Evolución de Log2timeline. Framework para la creación
automática de un super línea de tiempo.
OSForensics - Busca ficheros, genera hash, dispone de rainbow tables.
Analiza datos de un disco ya montado.
DFF - Framework con entorno gráfico para el análisis.
SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a
menudo.
Autopsy - Muy completo. Reescrito en java totalmente para Windows.
Muy útil.
30. ANÁLISIS DEL REGISTRO DE WINDOWS
Permite obtener datos del registro como usuarios, permisos, ficheros
ejecutados, información del sistema,
direcciones IP, información de aplicaciones.
RegRipper - Es una aplicación para la extracción, la correlación, y
mostrar la información del registro.
WRR - Permite obtener de forma gráfica datos del sistema, usuarios y
aplicaciones partiendo del registro.
Registry Decoder - Extrae y realiza correlación aun estando encendida la
máquina datos del registro
31. HERRAMIENTAS DE RED
Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware,
conexiones sospechosas, identificación de ataques.
WireShark - Herramienta para la captura y análisis de paquetes de red.
NetworkMiner - Herramienta forense para el descubrimiento de información de red.
Netwitness Investigator - Herramienta forense. La versión 'free edition' está limitado a
1GB de tráfico.
Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisición y
análisis de la red.
Xplico - Extrae todo el contenido de datos de red. Es capaz de extraer todos los correos
electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el
protocolo HTTP.
Snort - Detector de intrusos. Permite la captura de paquetes y su análisis.
Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y
servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e
infraestructura de IT: ya sea física, virtual o en la nube.
AlientVault - Al igual que Splunk recolecta los datos y logs aplicándoles una capa de
inteligencia para la detección de anomalías, intrusiones o fallos en la política de
seguridad.
32. RECUPERACIÓN DE CONTRASEÑAS
Todo lo relacionado con la recuperación de contraseñas en Windows,
por fuerza bruta, en formularios, en
navegadores.
Ntpwedit - Es un editor de contraseña para los sistemas basados en
Windows NT (como Windows 2000, XP,
Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de
sistema local. No valido para Active
Directory.
Ntpasswd - Es un editor de contraseña para los sistemas basados en
Windows, permite iniciar la utilidad desde
un CD-LIVE
pwdump7 - Vuelca los hash. Se ejecuta mediante la extracción de los
binarios SAM.
SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash.
Incluyen diccionarios para ataques por
fuerza bruta.
33. DISPOSITIVOS MÓVILES
Esta sección dispone de un set de utilidades y herramientas
para la recuperación de datos y análisis forense de
dispositivos móviles. He incluido herramientas comerciales
dado que utilizo algunas de ellas y considero que
son muy interesantes e importantes.
34. iPhone
iPhoneBrowser - Accede al sistema de ficheros del iphone desde
entorno gráfico.
iPhone Analyzer - Explora la estructura de archivos interna del iphone.
iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad
realizada anteriormente.
iPhone Backup Browser - Extrae ficheros de una copia de seguridad
realizada anteriormente.
iPhone-Dataprotection - Contiene herramientas para crear un disco
RAM forense, realizar fuerza bruta con
contraseñas simples (4 dígitos) y descifrar copias de seguridad.
iPBA2 - Accede al sistema de ficheros del iphone desde entorno gráfico.
sPyphone - Explora la estructura de archivos interna.
35. BlackBerry
Blackberry Desktop Manager - Software de gestión de datos y
backups.
Phoneminer - Permite extraer, visualizar y exportar los datos
de los archivos de copia de seguridad.
Blackberry Backup Extractor - Permite extraer, visualizar y
exportar los datos de los archivos.
36. Android
android-locdump. - Permite obtener la geolocalización.
androguard - Permite obtener, modificar y desensamblar
formatos DEX/ODEX/APK/AXML/ARSC
viaforensics - Framework de utilidades para el análisis
forense.
Osaf - Framework de utilidades para el análisis forense.
37. PRODUCTOS COMERCIALES
No podían faltar. Disponer de estas herramientas es una maravilla y un
lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es
el precio.
UFED Standard (http://www.cellebrite.com)
XRY (http://www.msab.com)
Mobilyze (http://www.blackbagtech.com)
SecureView2 (http://mobileforensics.susteen.com)
MobilEdit! (http://www.mobiledit.com)
Oxygen Forensic (http://www.oxygen-forensic.com)
CellDEK (http://www.logicube.com)
Mobile Phone Examiner (http://www.accessdata.com)
Lantern (http://katanaforensics.com)
Device Seizure (http://www.paraben.com)
Neutrino (www.guidancesoftware.com)
38. REFERENCIAS
1.- Óscar López, Haver Amaya, Ricardo León, INFORMÁTICA FORENSE en:
http://www.urru.org/papers/RRfraude/InformaticaForense_OL_HA_RL.pdf
2.- Juan David Gutierrez Giovanni,Informática Forense en:
Zuccardihttp://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Inform
atica%20Forense%20v0.6.pdf
3.- Jeimy J. Cano, Ph.D, CFE , Introduccion a la Informatica Forense, en:
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
4.Roberto
Gomez
Cardenas,
Computo
Forense
en
redes, en:http://www.cryptomex.org/SlidesForensia/ForensiaRedes.pdf
5.-Jose
Galiel
Solano
Torres,
Informática
Forense,
en
:
http://josemiguelapalucero.files.wordpress.com/2010/10/informatica-forense.pdf.
6 y 7 .- Andrés Almanza, Recolección de Evidencia en Ambientes de Red en:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Se
guridad/AndresAlmanza-VJNSI.ppt.