Ing. Esp.
Edgar Rodrigo Enrquez Rosero Docente UNAD - UDENAR
Anlisis de sistemas informticos en busca de evidencia con fines judiciales o negociaciones extrajudiciales.
Aplicacin de tcnicas y herramientas de hardware y software para determinar datos potenciales o relevantes. Permite informar al cliente acerca de las posibilidades reales de la evidencia existente o supuesta. Los destinatarios de este servicio son los estudios jurdicos sin embargo cualquier empresa o persona puede contratarlo. La necesidad de este servicio surge cuando la informacin generada se encuentra en medios electrnicos.
Informacin no es accesible por medios convencionales por problemas de funcionamiento del dispositivo, por eliminacin o corrupcin de las estructuras administrativas de software del sistema de archivos. La informacin puede perderse por problema de fallo de la tecnologa de hardware y/o software o por error humano. El usuario indica su versin de los hechos y es comn encontrar adems de la falla original otras que el usuario o el soporte tcnico agregaron en un intento de recuperacin. La informtica forense parte desde el momento en que todo funcionaba bien y la informacin era accesible.
No slo recuperacin de informacin sino descubrir informacin
No necesariamente hay fallas del dispositivo, ni un error humano sino actividad ilegal para borrar, adulterar u ocultar informacin. Apela a una gran aptitud dado que existen casos en que el dispositivo fue borrado, golpeado y daado fsicamente hasta ligeras alteraciones de informacin que pueden constituirse en un crimen. La evidencia informtica puede ser alterada o modificada y as perder autenticidad frente a una instancia legal de justicia.
Establecer normas de preservacin y cadena de custodia de la misma
Adquisicin Copiar de una manera especial el contenido global de la informacin del sistema en observacin. Se trabaja sobre la copia dejando intacta la informacin original. El arranque del equipo se hace accediendo a los volmenes en modo de slo lectura para que ni un byte sea alterado desde el momento de la intervencin. Hay que tener en cuenta que el booteo puede alterar algunos archivos en sus contenidos y fechas, cantidad total de archivos, etc. Lo mismo sucede al abrir un archivo sin importar el fin (lectra, escritura o impresin). Es posible rastrear todo tipo de actividad en una computador. La adquisicin puede involucrar desde medios magnticos, discos duros de una computadora, dispositivos de almacenamiento extraibles hasta un conjunto de discos de un servidor o varios computadores de una empresa.
Validacin y preservacin de los datos adquiridos Mediante procesos matemticos se debe calcular de manera normalizada un cdigo nico correspondiente a esa combinacin nica de bytes que constituye la totalidad del medio en observacin. Este cdigo de validacin debe ser lo suficientemente complejo para impedir que sea generado en forma reversa con fines dolosos y normalizado como para que cualquier auditor independiente pueda por su cuenta verificar la autenticidad de la imagen tomada y as establecer una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.
Anlisis y descubrimiento de evidencia Se realiza una batera de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar informacin en diferentes niveles. Se parte de la base de que el usuario sospechoso de una actividad ilcita puede haber borrado la informacin que lo compromete o pudo haberla ocultado almacenndola por medios no convencionales.
�Es posible buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas Tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, Imgenes, mensajes de correo electrnico, actividad desarrollada en internet. Palabras claves tales como un nmero telefnico, el nombre de una ciudad o una empresa, etc. En base a este anlisis se determina un patrn de comportamiento del usuario en cuanto a la creacin, modificacin y borrado de mensajes, actividad de correo electrnico, etc.
� Informe
Reporte escrito en un lenguaje de tipo tcnico y claro y un medio de almacenamiento digital donde se hace accesible al usuario comn de una forma ordenada la evidencia recuperada y la interpretacin de la misma.
Empresas que llevan juicios laborales con sus empleados, o con sus asociados por conflictos de intereses Estudios jurdicos que necesitan recabar informacin ya sea para presentarla frente a un tribunal o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Organismos judiciales y policiales que buscan evidencias de todo tipo de crmenes. Componente indispensable en litigios civiles.
El 75% de los delitos relacionados con sistemas informticos se producen desde dentro de las empresas (hacker dentro del muro de fuego). Durante 1999 el 93% de la informacin se gener en forma electrnica (fuente: IDC) Mal uso de la computadora que conlleve a prdida de productividad de empleados (uso personal de correo electrnico, uso de internet para actividades personales o entretenimiento). Robo de secretos comerciales, industriales y profesionales, robo o destruccin de propiedad intelectual, destruccin de archivos judiciales, de auditora, etc.
�Distribucin GNU/Linux en modo LiveCD Creada por Giancarlo Giustini Proyecto de Informtica Forense para el Centro de Investigacin en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia.
El proyecto CAINE (Computer Aided INvestigative Environment) no pretende ser una nueva herramienta forense o framework de recopilacin de ellas, pues este tipo de distribuciones ya existen (ej. Felix FCCU, Deft, entre otras). Propone un entorno de fcil uso para todo este tipo de herramientas. Proporciona una interfaz grfica homognea que gua a los investigadores digitales durante la adquisicin y el anlisis de las pruebas electrnicas
Interoperabilidad durante todo el proceso forense: Preservacin, Recoleccin, Anlisis, Reportes. Entorno grfico de fcil manejo Emplea Ubuntu como sistema operativo base Fcil uso e instalacin o adaptacin sobre el entorno de trabajo. Generacin semi-automtica de reportes. Puede ejecutarse como S.O o como Live - CD
Grissom Analyzer Automated Image & Restore (AIR) Guymager Foremost and Scalpel Autopsy 2.20 and TSK 3.0 SFDumper Fundl Stegdetect Ophcrack
[Link]
[Link] [Link] [Link] [Link]
