INFORMATICA FORENSE
POLICA INFORMTICA
FUNCIONES:
Investigar y Denunciar la Comisin de los
Delitos Contra el Patrimonio (hurto
agravado) mediante la utilizacin de
sistemas de transferencias electrnicas de
fondos, de la telemticaen general, o la
violacin del empleo de claves secretas,
identificando, ubicando y capturando a los
autores y cmplices, ponindolos a
disposicin de la autoridad competente.
�POLICA INFORMTICA
FUNCIONES:
Investigar y Denunciar la Comisin de los
Delitos Informticos en la modalidad de
interferencia, acceso, copia ilcita,
alteracin, dao o destruccin contenida
en base de datos y otras que ponga en
peligro la seguridad nacional,
identificando, ubicando y capturando a los
autores y cmplices, ponindolos a
disposicin de la autoridad competente.
����DELITO
�DELITO
�DELITO
�INFORMATICA FORENSE
Segn
el FBI, la informtica forense es
la ciencia de adquirir, preservar,
obtener y presentar datos que han
sido procesados electrnicamente y
guardados en un medio
computacional.
Desde 1984, el Laboratorio del FBI y
otras agencias que persiguen el
cumplimiento de la ley empezaron a
desarrollar programas para examinar
evidencia computacional.
�IMPORTANCIA
1.
"High-tech crime, es una de las
prioridades ms importantes
del Department of Justice
2.
Los crmenes informticos, su
prevencin, y procesamiento se
vuelven cada vez ms
importantes.
�IMPORTANCIA
Objetivos
1.
2.
3.
La compensacin de los daos
causados por los criminales o
intrusos.
La persecucin y procesamiento
judicial de los criminales.
La creacin y aplicacin de
medidas para prevenir casos
similares.
Recoleccin de evidencia
�USOS
1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada
para procesar una variedad de crmenes, incluyendo homicidios,
fraude financiero, trfico y venta de drogas, evasin de impuestos o
pornografa infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin,
acoso, divorcio, pueden ser ayudados por la informtica forense.
3. Investigacin de Seguros: La evidencia encontrada en
computadores, puede ayudar a las compaas de seguros a disminuir
los costos de los reclamos por accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos
que tratan sobre acoso sexual, robo, mal uso o apropiacin de
informacin confidencial o propietaria, o an de espionaje industrial.
5. Mantenimiento de la ley: La informtica forense puede ser
usada en la bsqueda inicial de rdenes judiciales, as como en la
bsqueda de informacin una vez se tiene la orden judicial para hacer
la bsqueda exhaustiva
�La Investigacin Tecnolgica
Los
investigadores
de
la
computacin forense usan gran
cantidad
de
tcnicas
para
descubrir evidencia, incluyendo
herramientas de software que
automatizan y aceleran el anlisis
computacional.
�1.- Evidencia Digital
La evidencia computacional es nica, cuando se la compara con
otras formas de evidencia documental.
A diferencia de la documentacin en papel, la evidencia
computacional es frgil y una copia de un documento almacenado
en un archivo es idntica al original.
Otro aspecto nico de la evidencia computacional es el potencial
de realizar copias no autorizadas de archivos, sin dejar rastro de
que se realiz una copia.
Esta situacin crea problemas concernientes a la investigacin del
robo de secretos comerciales, como listas de clientes, material de
investigacin, archivos de diseo asistidos por computador,
frmulas y software propietario.
�1.- Evidencia Digital
La IOCE (International Organization On Computer Evidence)
define los siguientes cinco puntos como los principios para
el manejo y recoleccin de evidencia computacional:
1. Sobre recolectar evidencia digital, las acciones tomadas
no deben cambiar por ningn motivo esta evidencia.
2. Cuando es necesario que una persona tenga acceso a evidencia
digital original, esa persona debe ser un profesional forense.
3. Toda la actividad referente a la recoleccin, el acceso,
almacenamiento o a la transferencia de la evidencia digital,
debe ser documentada completamente, preservada y
disponible para la revisin.
4. Un individuo es responsable de todas las acciones tomadas
con respecto a la evidencia digital mientras que sta est en su
posesin.
5. Cualquier agencia que sea responsable de recolectar,
tener acceso, almacenar o transferir evidencia digital es
responsable de cumplir con estos principios.
�La Investigacin Tecnolgica
2.- Grabacin en Medios Magnticos : Principios Fsicos
Escribiendo Datos Magnticos
Leyendo Datos Magnticos
3.- Anlisis de Discos
���3.- Analisis de Discos
La clave de la computacin forense es el anlisis de
discos duros, disco extrables, CDs, discos SCSI, y
otros medios de almacenamiento. Este anlisis no slo
busca archivos potencialmente incriminatorios, sino
tambin otra informacin valiosa como passwords, logins
y rastros de actividad en Internet.
Los investigadores forenses, utilizan
herramientas especiales que buscan
archivos "suprimidos" que no han sido
borrados en realidad, estos archivos se
convierten en evidencia.
��3.- Analisis de Discos
File Slack
El espacio de almacenamiento de datos que existe desde el
final del archivo hasta el final del cluster
El file slack, potencialmente contiene octetos de datos
aleatoriamente seleccionados de la memoria del computador
Archivo Swap de Windows
Los archivos de intercambio son potencialmente enormes y
la mayora de los usuarios de PC son inconscientes de su
existencia. El tamao de estos archivos puede extenderse
desde 20MB a 200MB, el potencial de estos es contener
archivos sobrantes del tratamiento de los procesadores de
texto, los mensajes electrnicos, la actividad en Internet
(cookies, etc), logs de entradas a bases de datos y de asi
cualquier otro trabajo que haya ocurrido durante las ltimas
sesiones.
��3.- Analisis de Discos
Unallocated File Space
almacenamiento no-asignado (Unallocated File Space). Igual
sucede con el file slack asociado al archivo antes de que ste
fuera borrado. Consecuentemente, siguen existiendo los
datos, escondidos pero presentes, y pueden ser detectados.
��4.- Eliminacin de datos
Prcticas adecuadas para la eliminacin de informacin.
Eliminacin de Datos en un Medio Magntico
DoD (Departamento de Defensa de los Estados Unidos)
public un documento, el National Industrial Security
Program Operating Manual (NISPOM), ms comnmente
referenciado como DoD 5220.22-M [27], que detalla toda
una serie de procedimientos de seguridad industrial, entre
ellos, cmo eliminar datos contenidos en diferentes medios.
Defense Scurity Service, public una Matriz de
Sanitizacin y
Borrado
�4.- Eliminacin de datos
Eliminacin de Datos en CDs
Los datos de un CD estn almacenados en la parte superior del CD
por medio de una capa reflectiva que es leda por un lser.
1. Retiro de la lmina reflectiva : Se puede retirar la lmina
con algn elemento cortante, sin embargo se debe destruir la
lmina reflectiva, y an as pueden quedar algunos rastros de
datos en el policarbonato.
2. Cortar en pedazos : Con una cortadora industrial de papel,
el CD podra ser destruido, sin embargo, la lmina reflectiva
podra separarse del CD y no ser cortada correctamente.
3. Destruir el CD por medios qumicos : Una posible
alternativa es introducir el CD en Acetona, lo cual dejara la
lmina superior inservible, sin embargo es posible que la lmina
de policarbonato an contenga algunos rastros de informacin.
�4.- Eliminacin de datos
Eliminacin de Datos en CDs
4. Destruccin por Incineracin : Probablemente es el
mtodo ms rpido y eficiente, pero es realmente nocivo
para el medio ambiente. El humo del policarbonato puede
ser perjudicial para la salud de las personas.
5. Destruccin por medio de un horno microondas :
Introduciendo el CD en un microondas por unos 3 segundos
puede destruir gran parte del CD, sin embargo no todas las
partes sern destruidas. Este mtodo no se recomienda,
especialmente porque puede daar el horno debido a los
campos magnticos que usa el horno y que pueden causar
un cortocircuito debido a que el CD contiene metales.
�4.- Eliminacin de datos
Eliminacin de Datos en CDs
6. Reescritura : Para los CDs re-escribibles, es posible
volverlos a escribir de tal forma que el proceso dae los
datos. Sin embargo, no se sabe si por mecanismos
especiales sea posible recuperar la informacin.
7. Rayado Simple : A menos que uno quiera ser realmente
precavido, la forma mas fcil de destruir un CD es rayando
la parte superior. La razn por la que se debe rayar la
parte superior es porque es esta la que mantiene los datos.
Si es rayada la parte inferior es fcil recuperar la capa y
corregir el problema, utilizando productos comerciales para
recuperar CDs.
�HERRAMIENTAS
Herramientas para la Recoleccin de
Evidencia.
Herramientas para el Monitoreo y/o
Control de Computadores
Herramientas de Marcado de
documentos
Herramientas de Hardware
���HERRAMIENTAS
Microsoft creo un 'set'
de herramientas (coffe)
que posteriormente
entrego de forma
gratuita a gobiernos,
fuerzas de seguridad
gubernamentales
�HERRAMIENTAS
COFFE es un dispositivo USB que
dispone de ms de 150 comandos
que facilitan la obtencin de
pruebas voltiles en una
mquina sospechosa.
Permite, rastrear la actividad
reciente en Internet y acceder
a los datos almacenados en el
ordenador, todo ello puede
realizarse in situ.
Rompe contraseas?
�HERRAMIENTAS free
RAPIER es un framework
Open Source realizado en
VBScript que se apoya en
utilidades externas para la
obtencin de informacin.
Dispone de entorno grfico y
de programas compilados
para que sea portable.
http://code.google.com/p/rapier/downloa
ds/list
�RAPIER
�RAPIER
Cargar y ejecutar mdulos ms all de la obtencin de
pruebas.
ADS. Escanea en busca de NTFS Alternate Data Streams
ddPhySMem. Realiza un DUMP de memoria
DumpProcs. Realiza un DUMP de un proceso determinado
HiddenFiles. Lista los ficheros ocultos y los ordena por fechas
de acceso
AVScan. Permite escanear en lnea de comandos ficheros con
Malware
FileCapture. Una funcionalidad que permite buscar ficheros
basados en patrones
L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal
�MIR-ROR
Como la anterior es un conjunto de scripts basada en lnea de
comandos que llama a herramientas especficas de Windows
Sysinternals, as como alguna otra herramienta (exactamente
del Kit de recursos de Windows 2003) .
�Sysinternals Suite
http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
AccessChk
AccessEnum
AdExplorer
AdRestore
FileMon
ProcessExplorer
Handle
RootkitRevealer
Process Monitor
Hex2dec
SDelete
ProcFeatures
Junction
ShareEnum
PsExec
LDMDump
ShellRunas
PsFile
SigCheck
Autologon
Autoruns
BgInfo
CacheSet
ListDLLs
PsGetSid
LiveKd
Streams
PsInfo
Strings
Contig
LoadOrder
PsKill
Coreinfo
LogonSessions
Sync
Ctrl2Cap
PsList
NewSid
TCPView
PsLoggedOn
NTFSInfo
VMMap
PsLogList
PageDefrag
VolumeID
PsPasswd
PendMoves
WhoIs
PsService
PipeList
WinObj
PsShutdown
PortMon
ZoomIt
PsSuspend
ProcDump
RegDelNull
RegJump
RegMon
ClockRes
DebugView
Desktops
DiskExt
DiskMon
DiskView
Disk Usage (DU)
EFSDump
�Dificultades del Investigador Forense
1. Carencia de software especializado para buscar
la informacin en varios computadores.
2. Posible dao de los datos visibles o escondidos,
an sin darse cuenta.
3. Ser difcil encontrar toda la informacin
valiosa.
4. Es difcil adquirir la categora de 'experto' para
que el testimonio personal seavlido ante una
corte.
5. Los errores cometidos pueden costar caro para
la persona o la organizacin que representa.
�Dificultades del Investigador Forense
6. Dificultad al conseguir el software y hardware
para guardar, preservar y presentarlos datos
como evidencia.
7. Falta de experiencia para mostrar, reportar y
documentar un incidente computacional.
8. Dificultad para conducir la investigacin de
manera objetiva.
9. Dificultad para hacer correctamente una
entrevista con las personas involucradas.
10.Reglamentacin que puede causar problemas
legales a la persona.
