Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Herramientas para computación forense control y adquisición de evidencia digital (página 2)




Enviado por Franklin Contreras



Partes: 1, 2

Las actividades a desarrollar por el profesional de la
informática forense deben servir para la
correcta planificación preventiva de seguridad de
una red
corporativa. En la medida que la Internet crece, lo hace de
igual manera el número de acciones
incursivas ilegales contra la seguridad de las redes corporativas, por ello
hay que preguntarse: ¿Quién lleva acabo
éstos incidente?, ¿Qué los posibilita?,
Qué, quién y por qué los provoca?,
¿Cómo se producen? y ¿Qué medidas se
deben implementar?.- Por tal motivo, es necesario que las
organizaciones
concreten sus políticas
de seguridad, con el objetivo de
planificar, gestionar, y controlar aspectos tan básicos
como:

. Definición de seguridad para los activos de
información, responsabilidades y planes de
contingencia: Se debe establecer que hay que proteger y como.

. Sistema de
control de
acceso: Se deben restringir y maximizar los permisos de acceso
para que cierto personal pueda
llegar a una determinada información, estableciendo quien
puede acceder a una determinada información y de que
modo.

. Respaldo de datos: Hacer
copias de la información periódicamente para su
posterior restauración en caso de pérdida o
corrupción de los datos.

. Manejo de virus e intrusos:
Establecer una política de
actuación ante la presencia de malware, spyware y virus
evitando los riegos para la seguridad.

Además, se debe realizar una reunión presencial
del personal gerencial y/o directivo para instruirles en
conceptos tan importante como:

a) Muchas veces el gasto en seguridad
informática es considerado poco rentable. b) Se debe
valorar el coste que les supondría una pérdida de
información frente al coste de protegerla.

c) La inversión en las medidas de seguridad
será más alta para aquellas aplicaciones que
presenten mayor riesgo y un mayor
impacto en el caso de ser suspendidas.d) Las medidas de seguridad
tomadas racionalmente, provocaran en las organizaciones
beneficios tales como aumento de la productividad,
aumento en la
motivación e implicación del personal.

Es importante la implicación de una dirección y su concienciación en la
importancia que tienen las tecnologías y la
protección de la seguridad en el éxito
de las empresas. Otros
requisitos previos a la implantación es establecer quien
será el encargado de planificarla y aplicarla y la
asignación de responsabilidades. El objetivo es conseguir
que las medidas de seguridad den resultados a corto plazo pero
con vigencia a largo plazo. El desarrollo de
políticas de seguridad debe emprenderse después de
una evaluación
de las vulnerabilidades, amenazas y riesgos. Una
vez analizado el campo de trabajo, se
debe empezar a establecer las medidas de seguridad del sistema
pertinentes. Se ha de conseguir sensibilizar a toda la
organización de la importancia de las medidas que se
deben tomar para facilitar la aceptación de las nuevas
instrucciones, leyes internas y
costumbres que una implantación de un sistema de seguridad
podría acarrear. Es importante y necesario planificar,
analizar e implantar sistemas y
políticas de seguridad, establecer medidas de control,
planes de contingencia y realizar auditorias
sobre los sistemas implantados y su correcto cumplimiento.
Auditar las políticas de seguridad instituidas en la empresa, tiene
como objetivos
analizar el nivel de cumplimiento de las políticas puestas
en marcha, y detectar "agujeros" para evolucionar en las
mismas.

Por último, es fundamental conocer las posibles
incitaciones que pueden llevar a los usuarios del sistema a
cometer "delitos" sobre
la seguridad interna, para sugerir las soluciones a
aplicar. La información es un bien muy valioso para
cualquier empresa.
Garantizar la seguridad de la información es por tanto un
objetivo ineludible e inaplazable especialmente del departamento
de tecnología
de la información. Multitud de amenazas ponen en
riesgo la integridad, confidencialidad y disponibilidad de la
información. El análisis de riesgos es un estudio detallado
de los bienes a
proteger, "intangibles", las amenazas a las que están
sometidos, posibles vulnerabilidades, contramedidas establecidas
y el riesgo residual al que están expuestos.

Los objetivos principales consisten establecer una
política de seguridad para reducir al mínimo los
riegos posibles, implementando adecuadamente las diferentes
medidas de seguridad. Cuando se establecen los riesgos dentro la
organización, se debe evaluar su impacto a
nivel institucional total. Hay multitud de herramientas
para llevar a cabo un análisis de riesgos. Una de las
más importantes es MAGERIT ( "Metodología de Análisis y Gestión de
Riesgos de los sistemas de
Información de las Administraciones Públicas"):
método
formal para investigar los riesgos que soportan los Sistemas de
Información, y para recomendar las medidas apropiadas que
deberían adoptarse para controlar estos riesgos. Existen
otras herramientas como las siguientes: MARION, CRAMM, BDSS,
RISK, ARES, BUDDY SYSTEM, MELISA, RISAN, etc.

Metodologías y estándares a
nivel mundial

Las normas de
Seguridad Standard establecen que todos los archivos deben
estar protegidos con unas medidas de seguridad, cuya intensidad
variará en función de
la naturaleza de
los datos que se almacena en ellos. Además, las empresas
deberán tomar precauciones, control de acceso,
asignación y cambio de
contraseñas del personal, especificar las funciones y
obligaciones
del personal que accede al fichero, hacer copias Las técnicas y
herramientas existentes para análisis forense tienen una
cierta madurez, pero en general adolecen de un defecto:
están orientadas al mundo del PC. Acceso físico al
hardware,
discos duros
de tamaño razonable, posibilidad de desconectar el sistema
y confiscarlo, etc.

En muchos casos es difícil, si no imposible, aplicar
las técnicas de investigación forense en el mundo de la
gran corporación. Esto puede ser debido a muchas
causas:

  • Tamaño del entorno tecnológico,
    distribución geográfica, gran número de
    sistemas, tamaño del almacenamiento implicado,
    etc.

  • Complejidad tecnológica, y existencia de
    múltiples tecnologías.

  • Complejidad organizativa, política o legal,
    incluyendo diferentes jurisdicciones o sistemas legales.

  • Existencia de sistemas críticos en entornos
    controlados

Además, la distancia, la posibilidad de acceso
físico a sistemas remotos, diferencias culturales o de
idioma, zonas horarias, etc. pueden limitar o dificultar la
realización de una investigación forense. Cuando se
tiene que obtener la evidencia de forma remota, el ancho de banda
disponible (a veces mínimo) y la proliferación de
grandes medios de
almacenamiento
(discos de cientos de gigabytes), hacen difícil la
obtención de imágenes
de disco para su examen. La existencia de sistemas de
almacenamiento externo (NAS, SAN, etc.) y la difuminación
entre lo físico y lo virtual (sistemas virtuales,
almacenamiento distribuido, clusters
geográficos) no hacen sino complicar aún más
la tarea del investigador. El tamaño de los
volúmenes actuales de disco, en el mejor de los casos,
puede implicar varias horas para la formación de una
imagen
bit-a-bit, de forma local.

Por último, no siempre es posible acceder a la
evidencia en el caso de sistemas críticos, debiendo
evaluar la conveniencia en base a:

  • Coste de downtime contra coste del incidente

  • Coste de reinstalación y puesta en marcha

  • Coste de re-validación o re-certificación
    del sistema

En las configuraciones RAID es posible en ciertos casos
utilizar uno de los discos en espejo para realizar la copia,
pudiendo extraerlo en caliente sin afectar a la continuidad del
servicio. En
el caso de que no haya acceso físico al sistema, puede ser
necesario recurrir a operadores remotos o utilizar otros métodos
como la transferencia a través de red de la imagen o el
arranque del sistema desde un CD-ROM virtual
mapeado a través de tarjetas de
gestión
remota tipo "Lights out".

Una ventaja que tiene la gran corporación respecto a
otros entornos es la estandarización de los sistemas. La
plataforma de clientes y
servidores de
una forma común permite la creación de "bases de datos de
hashes" de tamaño razonable que facilitan la
investigación al descartar en seguida los archivos
"conocidos", y centrar el análisis en los archivos
desconocidos. El uso de una base de datos
de "hashes" de archivos permite descartar entre un 80% y 90% de
los archivos de una partición de un PC o un servidor de forma
rápida y cómoda.

Es posible que la práctica forense esté pasando
por un bache de la desilusión en terminología
de Gartner. Esto es debido a la incapacidad de las
técnicas y herramientas actuales para cubrir las
necesidades de los entornos modernos. Esto hace que la
práctica deje de ser "interesante" y parezca que ha
"pasado de moda". El futuro de la práctica de
investigación forense en sistemas informáticos pasa
necesariamente por renovarse e incorporar técnicas maduras
que hagan frente a:

  • El desplazamiento del campo de batalla desde el disco duro
    a la memoria. Ciertas aplicaciones, troyanos y "rootkits" son
    capaces de residir en memoria sin tocar el disco.

  • El desarrollo de técnicas y herramientas para el
    análisis de dispositivos móviles.

  • La entrada de la práctica forense en el mundo
    corporativo (sistemas críticos, grandes
    almacenamientos, falta de acceso físico a
    máquinas, virtualización, distancias, etc.)

  • La proliferación y puesta a disposición del
    gran público de herramientas que dificulten la
    investigación forense.

El mantener parámetros o normas contra las nuevas
técnicas y herramientas para realizar actividad maliciosa,
y contra las herramientas anti-forenses, así como la
madurez de la práctica para adecuarla al entorno
corporativo, serán decisivas en el desarrollo de una de
los campos más fascinantes de la Seguridad de la
Información.

Otras
herramientas usadas en la
computación
forense

  • OpenBSD: El sistema operativo preventivamente seguro.

  • TCP Wrappers: Un mecanismo de control de acceso y registro
    clásico basado en IP.

  • pwdump3: Permite recuperar las hashes de passwords de
    Windows localmente o a través de la red aunque syskey
    no esté habilitado.

  • LibNet: Una API (toolkit) de alto nivel permitiendo al
    programador de aplicaciones construir e inyectar paquetes de
    red.

  • IpTraf: Software para el monitoreo de redes de IP.

  • Fping: Un programa para el escaneo con ping en
    paralelo.

  • Bastille: Un script de fortalecimiento de seguridad Para
    Linux, Max Os X, y HP-UX.

  • Winfingerprint: Un escáner de enumeración de
    Hosts/Redes para Win32.

  • TCPTraceroute: Una implementación de traceroute que
    utiliza paquetes de TCP.

  • Shadow Security Scanner: Una herramienta de
    evaluación de seguridad no-libre.

  • pf: El filtro de paquetes innovador de OpenBSD.

  • LIDS: Un sistema de detección/defensa de
    intrusiones para el kernel Linux.

  • hfnetchk: Herramienta de Microsoft para evaluar el estado
    de los parches de todas la máquinas con Windows en una
    red desde una ubicación central.

  • etherape: Un monitor de red gráfico para Unix
    basado en etherman.

  • dig: Una útil herramienta de consulta de DNS que
    viene de la mano con Bind.

  • Crack / Cracklib: El clásico cracker de
    passwords locales de Alec Muffett.

  • cheops / cheopsng: Nos provee de una interfaz
    simple a muchas utilidades de red, mapea redes locales o
    remotas e identifica los sistemas operativos de las
    máquinas.

  • zone alarm: El firewall personal para Windows. Ofrecen una
    versión gratuita limitada.

  • Visual Route: Obtiene información de
    traceroute/whois y la grafica sobre un mapa del mundo.

  • The Coroner's Toolkit (TCT): Una colección
    de herramientas orientadas tanto a la recolección como
    al análisis de información forenese en un
    sistema Unix.

  • tcpreplay: una herramienta para reproducir {replay}
    archivos guardados con tcpdump o con snoop a velocidades
    arbitrarias.

  • snoop: ?Un cantante de rap bastante conocido (Snoop Dogg)!
    También es un sniffer de redes que viene con
    Solaris.

  • putty: Un excelente cliente de SSH para Windows.

  • pstools: Un set de herramientas de línea de
    comandos gratuito para administrar sistemas Windows (procesar
    listados, ejecución de comandos, etc).

  • arpwatch: Se mantiente al tanto de las equivalencias entre
    direcciones ethernet e IP y puede detectar ciertos trabajos
    sucios.

Exploración de herramientas de
hardware

Una herramienta: Es una máquina simple o compuesta
diseñada para ayudarnos a construir o reparar herramientas
o máquinas.

Una herramienta de Hardware es una herramienta física como un
destornillador o martillo, no necesitan mucho entrenamiento o
conocimiento
técnico para usarla, su uso se basa principalmente en la
experiencia empírica, principalmente se necesita fuerza motriz
para usarla y se daña (desgasta) con el uso.

Una herramienta para Software es una herramienta
Lógica
o intangible, nos permite depurar, o diseñar nuevo
software, se necesita cierto entrenamiento para poder usarla
ya que generalmente se utiliza para tareas complicadas. No se
daña con el uso, y se puede mejorar sin necesidad de
adquirir otra

El procedimiento
forense digital

Al hablar de un manual de
procedimientos en delitos
informáticos no solamente se hace referencia a definir
cuál será el paso a paso que deberá seguir
el investigador al llegar a la escena del delito. Definir
este procedimiento en
términos de "el investigador debe abrir el explorador de
Windows,
ubicarse en la carpeta de Archivos de programa. buscar
los archivos ejecutables que existan en la máquina."
sería caer en un simplismo casuístico que no
aportaría nada nuevo a la valoración que sobre la
prueba deben hacer el fiscal y el
juez.

Se trata de dar a los jueces y fiscales elementos que deban
tomar en consideración cuando un investigador les presente
evidencia de naturaleza digital, de manera que estén en
capacidad de decidir si la aceptan o la rechazan, dependiendo del
nivel de certeza que alcancen respecto de si esa prueba ha sido
modificada de alguna forma, en algún momento. El
procedimiento forense digital busca, precisamente, evitar esas
modificaciones de los datos contenidos en el medio
magnético a analizar, que se pueden presentar en cualquier
instante, desde el mismo momento en el que haya ocurrido el
presunto hecho punible por razones tan diversas el simple paso
del tiempo, porque
alguien haya decidido apagar la máquina, por que se haya
ejecutado en ella una aplicación que sobre escribió
en la memoria, en
fin. También pueden presentarse como consecuencia de la
intervención directa del investigador, cuya tarea inicial
es "congelar" la evidencia y asegurarla, para posteriormente
presentarla para su análisis. El aseguramiento se hace,
única y exclusivamente, mediante la utilización de
herramientas de software y hardware que, a su vez, utilizan
métodos matemáticos bastantes complejos para copiar
cada medio magnético en forma idéntica; es decir,
que les permiten obtener clones idénticos (copias iguales,
bit a bit) al original. Cuando se presenta un
delito informático, antes de analizar el hecho el
investigador debe, inmediatamente, acordonar la escena, que puede
no tener más de cinco centímetros de largo, si se
trata de una memoria flash (del tipo
USB).Y este
acordonamiento de la escena no es otra cosa que clonar
bit a bit los datos contenidos en ella. Obtener
una copia judicialmente aceptable no es tarea fácil. Sin
embargo, la industria, y
la práctica legal en otros países, han definido
estándares que, entre otros, se refieren a la necesidad de
esterilizar el medio magnético en el que la copia
será guardada; al paso a paso que debe seguir el
investigador; a la aceptación que la comunidad
científica da a los métodos matemáticos que
están detrás de las herramientas de hardware y
software usadas por él; y, a la rata de error de esas
herramientas.

Identificación de la evidencia
digital

Una investigación forense de hacking de computador es
el proceso de
detectar ataques de hacking y extraer adecuadamente evidencias
para reportar el posible delito y realizar auditorias para
prevenir ataques futuros. La computación forense es la aplicación
de técnicas de análisis e investigación de
computador para determinar las evidencias digitales legales
potenciales. La computación forense puede revelar: La
forma en que el intruso entró en la red corporativa.
Muestra el
camino. Revela las técnicas de intrusión. Permite
recoger trazas y evidencias digitales. Un investigador forense no
puede ni resolver el caso por sí sólo ni predecir
lo que sospecha, tan sólo se limitará a
proporcionar hipótesis

Se pueden buscar evidencias en: Computadores del entorno, en
forma de logs, ficheros, datos del ambiente,
herramientas. Firewall, en
forma de logs, tanto si es la víctima del ataque como si
es un intermediario para la víctima. Dispositivos de
interconexión de red (switches, bridges, router, etc.),
en forma de logs y buffers. Computador de la víctima, en
forma de logs, ficheros, datos del ambiente, ficheros de
configuración alterados, ficheros troyanos remanentes,
ficheros que no coinciden sus hash, troyanos, virus, gusanos,
ficheros robados almacenados, restos alterados de Web, etc. Las
formas de ocultar ficheros se emplean para: Utilizar el propio
sistema
operativo, por ejemplo Windows para ocultar ficheros. Hacer
que el texto tenga el
mismo color del fondo
de la pantalla. Cambiar la extensión del fichero, ejemplo
pasar de .doc a .xls. Borrar discos y utilizar una utilidad de
recuperación. Utilizar estaganografía. Vaciar
recycle bin.

Resguardo de la
evidencia digital en la escena del incidente

La información que constituye evidencia debe ser desde
el momento mismo de la copia, una imagen fidedigna de la
información original, y debe seguirlo siendo durante toda
la investigación. La evidencia digital debe ser preservada
en su estado
original. Esto implica que la información no debe poder
ser alterada, disminuida o aumentada de ninguna forma por
ningún proceso intencional o accidental que haga parte de
la investigación, o por ninguna de las herramientas, de
manera intencional o accidental utilizadas en ella. Cuando estas
premisas se cumplen a lo largo de una investigación, se
puede asegurar que se ha mantenido la integridad evidencial.
Existe un campo de aplicaciones creciente y de gran interés
para el área de conocimiento de la seguridad de la
información denominado computer forensic, por ejemplo se
utiliza para identificar y seguir la pista de:
robos/destrucción de propiedad
intelectual, actividad no autorizada, hábitos de
navegación por Internet, reconstrucción de eventos, inferir
intenciones, vender ancho de banda de una empresa,
piratería software, acoso sexual,
reclamación de despido injustificado.

La seguridad forense la utiliza un colectivo cada vez mayor,
entre otros:

  • a) Las personas que persiguen a delincuentes y
    criminales. Se basa en las evidencias obtenidas del
    computador y redes que el investigador utiliza como
    evidencia.

  • b)  Litigios civiles y administrativos. Los datos de
    negocios y personas descubiertos en un computador se utilizan
    en de acoso, discriminación, divorcio, fraude o para
    mejorar la seguridad.

  • c) Compañías de seguros. Las evidencias
    digitales descubiertas en computadores se utilizan para
    compensar costos (fraude, compensación a trabajadores,
    incendio, etc.).

  • d) Corporaciones privadas. Las evidencias obtenidas
    de los computadores de los empleados pueden utilizarse como
    evidencia en casos de acosos, fraude y desfalcos.

  • e)  Policías que aplican las leyes. Se
    utilizan para respaldar órdenes de registro y
    manipulaciones post – incautación.

  • f) Ciudadanos privados / individuos. Obtienen los
    servicios de especialistas profesionales forenses para
    soportar denuncias de acosos, abusos, despidos improcedentes
    de empleo, etc. o para mejorar la seguridad.

Aunque en algunas investigaciones
es posible decomisar la máquina en la que se encuentra la
evidencia, esto es difícil de realizar cuando la
máquina es irreemplazable debido a su costo, a que no
hay otras máquinas disponibles para reemplazarla, a que la
máquina no puede ser apagada, a que la gravedad del crimen
no lo amerita o a que simplemente el marco legal no lo permite.
En estos casos, se debe hacer una copia fidedigna de la
información a través de procedimientos
que mantengan el invariante de integridad evidencial, lo cual
garantiza que la copia es idéntica al original. Pero,
debido a que la máquina va a seguir funcionando, y la
información que contiene va a cambiar, es necesario
garantizar que dicha copia, que va a ser la única
evidencia disponible de que se cometió un delito, no ha
sido alterada de ninguna manera. La principal forma de garantizar
esto es mantener la cadena de custodia de la evidencia.

Es necesario partir del supuesto de que cualquier acción
que se tome durante el proceso de la investigación va a
ser escrutado por individuos que van a buscar desacreditar las
técnicas usadas en la investigación, el testimonio
del investigador, y sus habilidades para hallar la evidencia
[MAN2001]. Es necesario mantener una lista detallada de las
personas que han tenido contacto con la evidencia a lo largo de
la investigación, desde su recopilación hasta su
destrucción final, de manera que se pueda establecer en
cada momento de la investigación quién ha
manipulado la evidencia. Así mismo, se debe documentar
detalladamente cualquier acción que se realice con la
evidencia, así como las personas y las herramientas
involucradas. Esto permite aseverar que si se cumple el primer
invariante en el momento de la recopilación de la
evidencia y posteriormente el original es destruido y/o
modificado, aún así podemos garantizar que la copia
no ha sido modificada, pues podemos determinar a cada paso de la
investigación quién ha estado en contacto con la
evidencia, y que acciones se han realizado sobre ésta.

Pauta a seguir
para recolectar la evidencia de un computador
encendido

Un laboratorio de
informática forense necesita tener la capacidad de
recopilar evidencia utilizando un método que garantice la
integridad evidencial del original en el momento de la copia,
utilizando medios de almacenamiento que permitan garantizar la de
la copia a lo largo del tiempo, y con un desempeño razonable. Como forma de
satisfacer dichos requerimientos, se proponen las siguientes
alternativas de solución:

  • Dispositivo de hardware de una sola vía, para
    realizar copias forenses de disco a disco. Requiere abrir el
    computador y manipular el disco sospechoso.

  • Dispositivo de hardware para realizar copias forenses en
    cartuchos ópticos, que permite hacer copias sin
    necesidad de conectar directamente el disco sospechoso al
    dispositivo (ejemplo a través de un cable paralelo).
    No requiere abrir el computador ni manipular el disco duro
    sospechoso.

  • PC estándar con software de generación de
    imágenes forense que permita hacer copias sin
    necesidad de conectar directamente el disco sospechoso a la
    máquina forense (ejemplo a través de un cable
    paralelo). No requiere abrir el computador ni manipular el
    disco duro sospechoso.

  • PC con modificaciones de hardware para permitir
    únicamente la lectura de discos a través de un
    bus de datos para análisis forense, al que se
    deberá conectar el disco duro sospechoso a ser
    analizado, y un bus de datos normal al que se deberá
    conectar el disco en el que se va a generar la imagen, y con
    cualquier software de generación de imágenes
    forenses. Requiere abrir le computador y manipular el disco
    duro sospechoso.

Las fases del computer forensic son:

  • a) Adquisición de datos de evidencias. Se
    trata de obtener posesión física o remota del
    computador, todas las correspondencias de red desde el
    sistema y dispositivos de almacenamiento físico
    externo. Se incluye la autenticación de evidencias, la
    cadena de custodia, la documentación y la
    preservación de evidencias.

  • b)  Identificación y análisis de datos.
    Identificar qué datos pueden recuperarse y
    recuperarlos electrónicamente ejecutando diversas
    herramientas de computer forensic y suites software. Se
    realiza un análisis automatizado con herramientas. El
    análisis manual se realiza con experiencia y
    formación.

  • c)  Evaluación. Evaluar la información
    o datos recuperados para determinar si pueden utilizarse o no
    y de que forma contra el sospechoso con vistas a despedir al
    empleado o llevarlo a juicio.

  • d) Presentación de los descubrimientos.
    Presentación de evidencias descubiertas de manera que
    sean entendidas por abogados y personal no técnico.
    Puede ser presentación oral o escrita.

Procesamiento y
manipulación de la evidencia digital

Una evidencia digital es cualquier dato almacenado o
transmitido utilizando computadores que prueba o rebate una
teoría
de cómo un delito ocurrió o de los elementos
críticos implicados del delito como coartada o
intención. También puede definirse una evidencia
digital como cualquier información, sujeto de
intervención humana o no, que pueda extraerse de un
computador. Debe estar en formato leíble por las personas
o capaz de ser interpretada por una persona con
experiencia en el tema. Algunos ejemplos son: recuperar miles de
correos electrónicos borrados, realizar
investigación después del despido de un empleado,
recuperar evidencias digitales después de formatear el
disco duro,
realizar investigación después de que varios
usuarios Hayan tomado el control del sistema. Los sistemas
operativos son cada vez más complejos en líneas
de código
y número de ficheros que utilizan. Por ejemplo un examen
superficial de ficheros impide percatarse de nombres de ficheros
que se han podido depositar de forma maliciosa. El fichero de
Windows CMS32.dll (Console Messaging Subsystem Library) es
verdadero, pero en cambio  wow32.dll (32 bit- wow subsystem
library) es malicioso; el fichero kernel32.dll es correcto pero
en cambio kerne132.dll es malicioso.

La información y datos que se busca después del
incidente y se recoge en la investigación debe ser
manejada adecuadamente. Esta puede ser:

1.- Información volátil: Información de
red. Comunicación entre el sistema y la red.
Procesos
activos. Programas
actualmente activos en el sistema. Usuarios logeados. Usuarios y
empleados que actualmente utilizan el sistema. Ficheros abiertos.
Librerías en uso, ficheros ocultos, troyanos cargados en
el sistema.

2.- Información no volátil. Se incluye
información, datos de configuración, ficheros del
sistema y datos del registro que son
disponibles después del re-arranque. Esta
información se investiga y revisa a partir de una copia de
backup. Los discos duros fijos pueden ser con conexión
S-ATA a velocidad de
5400 rpm y capacidad de 320 GB, los discos extraíbles
pueden ser Seagate de capacidad 140 GB y velocidad 15K rpm con
conexión SCSI.

Es un aspecto mi portante en toda investigación
forense. Existen procedimientos y políticas estrictas
respecto del tratamiento de las evidencias. Todo esto para
asegurar que no se rompa la cadena de custodia, y por lo tanto se
preserve la integridad de las evidencias. El manejo de evidencias
incluye items como:

. Estar capacitado para determinar que evidencia proviene de
que trozo de HW.

. De donde se obtuvo tal pieza de HW.

. Proveer almacenamiento seguro de las
evidencias, manteniendo un acceso restringido a estas.

. Documentar cada proceso utilizado para extraer
información.

. Asegurar que los procesos son reproducibles, y que
producirán los mismos resultados.

Las opciones de investigación ante un incidente son
normalmente 3:

. Investigación Interna: corresponde a conducir una
investigación al interior de la organización,
utilizando al personal de IT interno puede ser la opción
menos costosa, sin embargo, dependiendo del tipo de incidente,
puede ser la menos efectiva.

. Investigación Policial: puede no siempre poseer los
recursos para
manejar la investigación, y es posible necesitar proveer
de evidencias a los investigadores antes de que puedan comenzar
con su investigación. Varias organizaciones se presentan
opuestas a reportar sus incidentes ante la policía, ya que
a veces el costo de la investigación sobrepasa el consto
de las consecuencias del incidente.

. Investigación por parte de Especialistas Privados: en
el caso de Australia, un gran número de policías se
retira y comienzan a trabajar de manera particular, con la
ventaja de que conocen sobre las reglas del manejo de evidencias,
y poseen experiencia que pueden poner a disposición de sus
clientes en el momento que estos la necesiten.

Método o
protocolo para la adquisición de
evidencias

Un laboratorio de informática forense necesita tener la
capacidad de buscar evidencia en grandes universos de
búsqueda, de manera precisa y exacta, y con un
desempeño razonable, manteniendo siempre la integridad
evidencial. Como forma de satisfacer dichos requerimientos, se
proponen las siguientes alternativas de solución:-
Software de búsqueda de evidencia en diskette forense. No
requiere abrir el computador ni manipular el disco duro
sospechoso. – PC estándar con software de análisis
forense que permita hacer búsquedas sin necesidad de
realizar una copia del disco sospechoso, y sin necesidad de
conectar directamente el disco sospechoso a la máquina
forense. No requiere abrir el computador ni manipular el disco
duro sospechoso. – PC con modificaciones de hardware para
permitir únicamente la lectura de
discos a través de un bus de datos para
análisis forense, al que se deberá conectar el
disco duro sospechoso a ser analizado, y con cualquier software
de análisis forense. Requiere abrir le computador y
manipular el disco duro sospechoso.

La gestión de evidencias tiene los mismos objetivos,
métodos o procedimientos que la seguridad forense, estos
son: (a) Admisibilidad de evidencias. Existen reglas legales que
determinan si las evidencias potenciales pueden o no ser
consideradas por un tribunal. Las evidencias deben obtenerse de
manera que se asegure la autenticidad y validez y no debe haber
alteración alguna. (b) Los procedimientos de
búsqueda de computador no deben dañar, destruir o
comprometer las evidencias. Prevenir que se introduzcan virus en
el computador durante el proceso de análisis. (c) Debe
protegerse de posibles daños mecánicos o
electromagnéticos las evidencias extraídas /
reveladas y mantener una continua cadena de custodia. Se debe
limitar la cantidad de veces que las operaciones de
negocios se
vean afectadas. d No se debe divulgar y se debe respetar
cualquier información del cliente (desde el
punto de vista ético y legal) que inadvertidamente se
pueda haber adquirido durante una exploración forense.

 

Por otra parte, es de tenerse muy en cuenta, que todo
procedimiento relacionado con la evidencia digital debe estar
relacionada con los siguientes conceptos:

a) Descripción general de servicios de
informática forense: ofrece a los operadores judiciales
–Jueces y Fiscales- servicios de informática
forense: . Pericia sobre Infracción a la ley de Propiedad
Intelectual del Software. Actualización y
adquisición de licencias de software. . Pericia sobre
robo, hurto, borrado intencional o accesos no autorizados a la
información de una determinada empresa o
institución, procesada y/o generada por los sistemas de
informáticos. . Pericia sobre duplicación no
autorizada de datos procesados y/o generados por los sistemas
informáticos. Métodos y normas a seguir en
cuestión de seguridad y privacidad de la
información procesada y/o generada por los sistemas
informáticos. . Pericia sobre la realización de
auditorias de áreas de sistemas y centros de
cómputos así como de los sistemas
informáticos utilizados. Recuperar de datos borrados y
rastreo de información en los distintos medios
informáticos. . Pericia sobre métodos y normas a
seguir en cuestión de salvaguarda y control de los
recursos físicos y lógicos de un sistema
informático. Manejo e implementación de proyectos
informáticos. . Pericia sobre contratos en los
que la informática se encuentre involucrada. Aspectos
laborales vinculados con la informática. Uso de Internet
en el trabajo,
uso indebido de las facilidades de la organización
otorgadas a los empleados.

El procedimiento general de investigación judicial
utilizando servicios de informática forense, consta de dos
fases principales: a) Incautación confiable de la prueba y
mantenimiento
de la Cadena de Custodia. Debe ser llevada a cabo por personal
policial junto a los operadores judiciales encargados de conducir
el procedimiento, siguiendo una Guía de Procedimientos
para el Secuestro de
Tecnología
Informática b) Análisis de la información
disponible con arreglo al incidente investigado y redacción del informe pericial.
Efectuada en el laboratorio por un Perito Informático,
siguiendo los estándares de la ciencia
forense para el manejo de evidencia digital, en función a
los puntos de pericias que sean indicados por los operadores
judiciales.

Uno de los pasos a tener en cuenta en toda
investigación, sea la que sea, consiste en la captura de
la/s evidencia/s. Por evidencia entendemos toda
información que podamos procesar en un análisis. El
único fin del análisis de las evidencias es saber
con la mayor exactitud qué fue lo que ocurrió.
Podemos obtener evidencia como: El último acceso a un
fichero o aplicación (unidad de tiempo) .Un Log en un
fichero y Una cookie en un disco duro. El uptime de un sistema.
Un fichero en disco; Un proceso en ejecución y Archivos
temporales, Restos de instalación y Un disco duro,
pen-drive.

Almacenamiento,
identificación y preservación de evidencia
digital

Tan importante como el método de copia, es el medio en
el cual se está generando dicha copia. No solo es
importante garantizar que no se va a modificar la evidencia
existente en el disco original en el momento de la copia. Debido
a que en la mayoría de los casos el computador en el cual
se cometió el delito sigue funcionando después de
que se realiza la copia, con la consiguiente degradación
de la evidencia presente en el disco, y debido a que en la
mayoría de los casos no es posible decomisar el disco
original, es vital garantizar también que la integridad
evidencial de la copia se mantiene, pues la copia se convierte en
la única evidencia de que se cometió un delito.

Autores recomiendan realizar la recopilación de la
evidencia utilizando herramientas de software forense, usando
computadores personales corrientes para realizar la copia, no
tienen problemas a la
hora de usar discos duros comunes para almacenar la copia de la
evidencia. La aproximación de dichos autores a la
solución de la problemática de la
informática forense es totalmente errónea. Una vez
más, el invariante de integridad evidencial especifica que
las herramientas utilizadas en el proceso de la
investigación nunca deberían estar en capacidad de
poner en peligro la integridad de la evidencia, de manera
intencional o accidental.

Los discos duros no son un medio confiable para el
almacenamiento de evidencias forense y no permiten garantizar el
invariable de integridad evidencial de manera razonable. La
superficie de un disco duro se empieza a deteriorar en el momento
en el que sale de la planta de producción. Además, los discos duros
son extremadamente sensibles a los impactos, que usualmente hacen
que el brazo de lecto-escritura roce
la superficie del disco, dañando la capa magnética,
y destruyendo la integridad de la información almacenada
Entonces, se hace necesario contar con una solución que
permita realizar la copia de la evidencia en un medio adecuado
para almacenar evidencia digital, por largos períodos de
tiempo, de manera íntegra, y que sea de bajo costo para
que su "pérdida" no sea de gran impacto para el presupuesto de
funcionamiento del laboratorio de informática forense. El
almacenamiento de material informático y su
correspondiente identificación para el peritaje por
parte del personal policial debe ser efectuado conforme a las
pautas elaboradas por los Procedimientos Tecnología
Informática. Es de especial importancia la
utilización de precinto de seguridad desde el momento del
secuestro del material, y todos aquellos medios tendientes a
garantizar la autenticidad e integridad de la evidencia digital.
El requerimiento judicial deberá ser efectuado completando
la información del Formulario para Requerimiento de
Servicios estándar y aprobado a nivel institucional, el
que estará disponible para su descarga en los repositorios
digitales de documentos
oficiales del Poder Judicial.
El material informático deberá ser enviado al
organismo pericial informático, donde se cotejará
la existencia de los precintos sobre los secuestros y la correcta
identificación de los elementos enviados a peritaje.

En caso de detectarse la alteración o ausencia de
precintos, se dejará constancia en un acta de
recepción que deberá ser suscripto por el
responsable del traslado. Es responsabilidad del personal policial el traslado
del material secuestrado hasta los organismos judiciales. Cada
una de las personas que haya trasladado la evidencia digital
deberá dejar registrada su intervención con los
medios que se establezcan.

Luego, de realizar una inspección al material
informático secuestrado, el Perito podrá indicar si
requiere de elementos específicos al organismo
jurisdiccional, para que este último arbitre los medios
necesarios para su adquisición a través del
organismo administrativo que se encargue de adquirir bienes e
insumos. El dictamen será presentado siguiendo los
estándares utilizados para la presentación de
reportes informáticos forenses. Se intentará
minimizar el volumen de
información en soporte papel, suministrando toda la
información complementaria que sea necesaria para el
objeto de la pericia en soporte digital. Los elementos
probatorios originales que almacenen evidencia digital
deberán resguardarse hasta finalizar el proceso judicial,
si se pretende que sean utilizados como prueba. Los elementos
analizados deberán ser resguardados con los medios
adecuados para preservar la integridad y la autenticidad de la
evidencia digital.

MS-DOS: Microsoft
Disk Operating System

Herramientas de adquisición en MS-DOS

MS-DOS son
las signas de MicroSoft Disk Operating System, Sistema
operativo de disco de Microsoft. Es
un sistema operativo comercializado por Microsoft perteneciente a
la familia
DOS. Fue un sistema operativo para el IBM PC que alcanzó
gran difusión., es un sistema patentado por Microsoft
Corporation para ordenadores personales PC's. El Sistema
Operativo más difundido con diferencia es MS-DOS, este al
estar diseñado para 16 bits y con la reciente
aparición de Windows 95 de Microsoft, de 32 bits y con
posibilidades de multitarea, ve peligrar su supremacía
como rey indiscutible del entorno PC. Este sistema operativo fue
patentado por las empresas Microsoft Corporation e IBM,
utilizándose dos versiones similares llamadas MS-DOS y
PC-DOS. A MS-DOS le acompañan unos números que
indican la versión. Si la diferencia entre dos versiones
es la última cifra representa pequeñas variaciones.
Sin embargo, si es en la primera cifra representa cambios
fundamentales. Las versiones comenzaron a numerar por 1.0 en
agosto de 1981. En mayo de 1982 se lanzó la versión
1.1 con soporte de disquetes de dos caras. La versión 2.0
se creó en marzo de 1983 para gestionar el PC-XT, que
incorporaba disco duro de 10 Mb, siendo su principal novedad el
soporte de estructura de
directorios y subdirectorios.

BREVE DESCRIPCIÓN DEL MS-DOS.

El MS-DOS es un sistema operativo monousuario y monotarea. Al
cumplir las dos condiciones arriba mencionadas el procesador
está en cada momento está dedicado en exclusividad
a la ejecución de un proceso, por lo que la
planificación del procesador es simple y se dedica al
único proceso activo que pueda existir en un momento
dado.

Para instalar MS-DOS bastará con ejecutar el programa
de instalación que está situado en el disquete
número uno de MS-DOS. No es posible ejecutar MS-DOS desde
los disquetes de instalación ya que dichos archivos
están comprimidos. Al Instalar, este sistema, detecta el
tipo de hardware y de software que contiene el PC y le comunica a
este si no cumple con los requisitos mínimos o si existen
características incompatibles con MS-DOS. El sistema
operativo MS-DOS tiene una estructura arborescente donde existen
unidades, dentro de ellas directorios y a su vez dentro de ellos
tenemos los ficheros. Las unidades son las disqueteras y
los discos duros. Los directorios son, dentro de las unidades,
carpetas donde se guardan los ficheros. Los ficheros son conjuntos de
datos y programas. El DOS tiene unos cien comandos, que
para poder ser ejecutados necesitan tres ficheros: a) El
IBMBIOS.COM se encarga de las comunicaciones
de entrada y salida. b) El IBMDOS.COM es el centro de los
servicios del ordenador, es conocido también como kernel o
núcleo y c) El COMMAND.COM carga y permite ejecutar todos
los comandos.

ESTRUCTURA BÁSICA DEL SISTEMA.

El MS-DOS contiene cinco elementos fundamentales:

  • La ROM-BIOS.- Programas de gestión de entrada y
    salida entre el Sistema Operativo y los dispositivos
    básicos del ordenador.

  • La IO.SYS.- Son un conjunto de instrucciones para la
    transferencia de entrada/salida desde periféricos a
    memoria. Prepara el sistema en el arranque y contiene drivers
    de dispositivo residentes.

  • MSDOS.SYS.- Es el kernel de MS-DOS, en que figuran
    instrucciones para control de los disquetes.

  • DBLSPACE.BIN.- Es el controlador del Kernel del compresor
    del disco duro que sirve para aumentar la capacidad de
    almacenamiento del disco, disponible a partir de la
    versión 6 del MS-DOS. Este controlador se ocupa de
    toda la compresión y descompresión de ficheros
    y se puede trasladar desde la memoria convencional a la
    memoria superior.

  • COMMAND.COM.- Es el intérprete de comandos,
    mediante los cuales el usuario se comunica con el ordenador,
    a través del prompt >. Interpreta los comandos
    tecleados y contiene los comandos internos de MS-DOS que no
    se visualizan en el directorio del sistema.

Herramientas de
adquisición en Windows

Windows es una familia de
sistemas
operativos desarrollados y comercializados por Microsoft.
Existen versiones para hogares, empresas, servidores y
dispositivos móviles, como computadores de bolsillo y
teléfonos inteligentes. Hay variantes para procesadores de
16, 32 y 64 bits. Incorpora diversas aplicaciones como Internet
Explorer, el Reproductor de Windows Media, Windows Movie Maker,
Windows Mail, Windows Messenger, Windows Defender, entre
otros.

Análisis
de computación forense: uso de encase x-ways para analizar
data

Las dos características principales que hacen de EnCase
una herramienta software única son la variedad de sistemas
operativos y sistemas de archivos que admite. Para cada sistema
operativo existen varios sistemas de archivos que pueden
utilizarse en un equipo. El sistema operativo y el sistema de
archivos son elementos distintos pero tienen una estrecha
relación en cuanto a cómo almacenan la
información y cómo el sistema operativo
interactúa con el sistema de archivos. La capacidad de
analizar con profundidad un amplio rango de sistemas operativos y
sistemas de ficheros es un componente crítico en las
investigaciones. EnCase tiene la capacidad de analizar todos los
sistemas de archivos, para los cuales se ha desarrollado un
Servlet (actualmente Windows, Linux, Solaris,
AIX y OSX; está en camino el soporte de más
sistemas). Además, EnCase puede interpretar otros sistemas
de archivos para los cuales actualmente no existe un Servlet
desarrollado.

· Sistemas Operativos: Windows 95/98/NT/2000/XP/2003
Server, Linux Kernel 2.4 y superiors, Solaris 8/9 en 32 y 64
bits, AIX, OSX.

· Sistemas de archivos: FAT12/16/32, NTFS, EXT2/3
(Linux), Reiser(Linux), UFS (Sun Solaris), AIX Journaling File
System, LVM8, FFS (OpenBSD, NetBSD y FreeBSD), Palm, HFS, HFS+
(Macintosh), CDFS, ISO 9660, UDF,
DVD y TiVo 1 y
2. · En exclusiva soporta la realización de
imágenes y el análisis de RAID, de tipo software y
hardware. El análisis forense de RAID es casi imposible
fuera del entorno De EnCase.

·Soporte para discos dinámicos de Windows
2000/XP/2003 Server.·Capacidad para previsualizar
dispositivos Palm.

· Capacidad para interpretar y analizar VMware,
Microsoft Virtual PC, e imágenes de DD y Safeback

El proceso de adquisición de EnCase comienza con la
creación de una imagen completa (bitstream) del
dispositivo a analizar de una forma no invasiva. El archivo de
evidencia que genera EnCase es un duplicado exacto de los datos
en el momento de la adquisición. Durante el proceso de
adquisición, los bits de la imagen son verificados de
forma continua con bloques de CRCs, que son calculados
simultáneamente a la adquisición. Cuando el proceso
de adquisición se ha completado se realiza un segundo tipo
de verificación mediante un hash MD5 sobre todo el
conjunto de datos, y se presenta como parte de la
validación del archivo de evidencia del dispositivo
analizado.

· Adquisición granulada: se tiene un mayor
control sobre la forma en la que se realiza la adquisición
de datos o Errores: Normalmente, cuando se encuentra un error al
leer un disco duro, el bloque entero de datos que contenía
el error se ponía a cero. Con la herramienta EnCase
Forensic se puede especificar el número de sectores que se
ponen a cero cuando se encuentra un error o Bloques adquiridos:
Se puede definir la cantidad de datos que se obtienen durante el
proceso de adquisición, asegurando la rapidez de dicho
proceso.

· Interrupción del proceso: se puede continuar
con la adquisición de un sistema basado en Windows desde
el punto en el que se interrumpió, no teniendo que volver
a realizar el proceso de adquisición desde el
principio.

· Archivos lógicos de evidencias: Se puede hacer
una adquisición selectiva de los archivos y carpetas que
se deseen, sin realizar una adquisición completa del
disco. Las evidencias lógicas preservan los archivos
originales en la misma forma en la que existían en el
dispositivo e incluyen una rica variedad de información
adicional como el nombre del archivo, la extensión, la
fecha de último acceso, creación, fecha de
última modificación, tamaño lógico,
tamaño físico, hash MD5, permisos, comienzo y
ubicación original del archivo.

La herramienta LinEn es una versión Linux de la
herramienta de adquisición de EnCase basada en DOS. A la
vez que realiza las mismas funciones básicas que la
herramienta DOS, admite sistemas que no son Windows, discos duros
extremadamente grandes y mejora la velocidad de
adquisición.

ANALISIS DE COMPUTACION FORENSE

Los investigadores forenses de la informática
descubren, analizan y recopilan evidencias digitales que
incriminan a los atacantes virtuales, quienes hace más de
dos décadas vienen afectando desde el universo
computacional el mundo real. En muchos casos se piensa que la
informática forense tiene que ver con los programas o
aplicaciones que se utilizan en la medicina
forense, aquella especialidad que se encarga de la
investigación penal en sus aspectos médicos con el
fin de resolver problemas civiles, penales o administrativos y
para cooperar en la formulación de leyes; pero la realidad
es que la informática forense realiza las mismas funciones
que esta medicina pero en otros "cadáveres" y en otros
delitos, no físicos sino on line.

Con el auge de los computadores y la TI, la seguridad
informática se ha visto afectada. Durante la última
década los ataques virtuales han crecido inimaginablemente
estableciendo un escenario oscuro sobre la seguridad de la
infraestructura informática en todo el mundo, lo que ha
suscitado una serie de acciones que favorecen y refuerzan la
seguridad, sin embargo, los hackers y
delincuentes informáticos cada vez encuentran nuevas
formas para continuar con su accionar.

Debido a los ataques y delitos informáticos que se
presentan hace más de dos décadas, las autoridades
en el mundo tomaron cartas en el
asunto, creando laboratorios informáticos para apoyar las
investigaciones judiciales, creando departamentos de
computación forense para analizar las informaciones de la
red y sus comportamientos, y poder atrapar a los
delincuentes.

Así, puede definirse la computación forense como
una rama de la informática que se encarga de recolectar
y/o recopilar información valiosa desde sistemas
informáticos con distintos fines, sirviendo de apoyo a
otras disciplinas o actividades, como son las labores de criminalística e investigaciones. Estas
evidencias que permite descubrir diferentes datos sirven, por
ejemplo, para condenar o absolver a algún imputado. La
idea principal de este tipo de informática es colaborar
con la criminalística, ya que, la computación
forense trabaja como una disciplina
auxiliar de la justicia
moderna, para enfrentar los desafíos y técnicas de
los intrusos informáticos, como garante de la verdad
alrededor de la evidencia digital que se pudiese aportar en un
proceso.

El análisis forense involucra aspectos como la
preservación, descubrimiento, identificación,
extracción, documentación y la interpretación de datos
informáticos, analizando, a partir de esto, los elementos
que sean evidencia digital, la cual no es más que un tipo
de evidencia física, menos tangible que otras formas de
pruebas (DNA,
huellas digitales, componentes de computadores), que puede ser
duplicada de manera exacta y copiada tal como si fuese el
original, como explica Cano.

Este tipo de evidencia es la que brinda a los investigadores
la materia prima
para trabajar, sin embargo cuenta con algunas desventajas ya que
ésta es volátil, anónima, duplicable,
alterable, modificable y eliminable. Por esto, los investigadores
deben estar al tanto de procedimientos, técnicas y
herramientas tecnológicas para obtener, custodiar,
analizar, revisar y presentar esta evidencia. Asimismo deben
tener conocimiento de las normas, derecho
procesal y procedimientos legales para que dichas pruebas
sean confiables y den los elementos necesarios para poder
inculpar a alguien. Al realizar una investigación, existen
algunos componentes que todo investigador forense debe tener en
cuenta al manipular las pruebas, ya que dependiendo del buen uso
que se le dé a la evidencia y de los conocimientos de los
peritos es que la justicia puede tomar decisiones.

COMPONENTES DEL ANÁLISIS FORENSE

. Identificación de la evidencia: los investigadores
deben conocer muy bien los formatos que tiene la
información con el fin de saber cómo extraerla,
dónde y cómo almacenarla y preservarla..
Preservación de la evidencia: es importante que no se
generen cambios en la evidencia al analizarse, sin embargo en
algunos casos donde deba presentarse esos cambios deben ser
explicados ya que toda alteración debe ser registrada y
justificada.

. Análisis de la evidencia: cada uno de los datos
recopilados como prueba deben ser examinados por expertos en el
tema.

. Presentación: las metodologías que se utilicen
para la presentación de los datos analizados deben ser
serias, probadas y confiables.

Estos componentes y procedimientos no son únicos,
existen otros como: la esterilidad de los medios
informáticos de trabajo, que, al igual que en la medicina
forense, si existe un material contaminado puede causar una
interpretación o un análisis erróneo; y la
verificación de las copias en medios informáticos;
deben ser idénticas al original. Sin embargo, y con el fin
de continuar luchando contra estos casos, las autoridades han
implementado laboratorios de informática forense y
capacitado a los diversos cuerpos para combatir los delitos y
manejar sin riesgo información clasificada en computadoras.
A raíz de los ataques a las Torres Gemelas, las
organizaciones públicas y privadas se dieron cuenta de las
múltiples falencias que poseían en seguridad
informática, por lo que han tratado de desarrollar mejores
estrategias, sin
embargo éstas no han podido contrarrestar a los ataques on
line que se presentan en la actualidad. La situación
latina frente a la norte americana es totalmente diferente.

Configuración de la estación de
trabajo forense

El Almacenamiento en línea de más de 40
terabytes (40,000 GB) en un arreglo de discos RAID-5 de alta
velocidad – como opción adicional, permite un
sistema que incluye una Red Ethernet Forense
completa en un rack de 2 por 3 pies. A objeto de tener
conexión a una red de estaciones forenses previamente
establecidas en un laboratorio, permitiendo así, que el
sistema pueda brindar todos los servicios de almacenamiento y de
red necesarios. Un módulo integrado y retráctil que
cuenta con un monitor y
teclado con un
switch KV,
permitiendo el acceso y monitoreo de cualquier estación de
trabajo o servidor de archivos desde un punto central. El sistema
incluye: Servidor de archives forense, arreglo de discos duros
RAID-5 con 6.0 terabyte, switch Ethernet Gigabit, UPS integrado,
FRED para rack y un switch con KVM con pantalla LCD y teclado
retráctil. La configuración permite tener un
sistema personalizado para satisfacer casi cualquier
requerimiento forense. Así, puede implementación de
forma simple un servidor Forense con un arreglo de discos de alta
capacidad, para ser utilizado como punto de almacenamiento
central de imágenes forenses. El sistema funciona como una
estación de trabajo forense. Una configuración
típica puede ser utilizada como punto central de
adquisición de imágenes para todo el sistema.

Todos los módulos de procesamiento y servidores de
archivos deben ir conectados a través de un backbone
Gigabit Ethernet. Este backbone es 10 veces más
rápido que la conexión estándar 10/100, la
función principal de estas instalación permite
mover imágenes forenses hacia o desde el servidor, o
procesando imágenes ya almacenados en el servidor, de esta
manera el mecanismo de transporte
contará con la tecnología de punta que le ayudara a
terminar su trabajo en tiempo record. Una configuración de
trabajo no debe ser limitada a los dispositivos. Los switches
Ethernet y los paneles patch ldeben permiter integrar las
estaciones y equipo forense existentes.

Análisis a
sistemas de archivos Microsoft

Las barreras de protección erigidas para salvaguardar
los activos de información, los incidentes de seguridad
/se siguen produciendo. Estar preparado para reaccionar ante un
ataque es fundamental. Una de las fases más importantes de
la respuesta a incidentes consiste en la investigación del
incidente para saber por qué se produjo la
intrusión, quién la perpetró y sobre
qué sistemas. Esta investigación se conoce como
análisis forense y sus características más
destacadas serán explicadas en este artículo.

Un plan de respuesta
a incidentes ayuda a estar preparado y a saber cómo se
debe actuar una vez se haya identificado un ataque. Constituye un
punto clave dentro de los planes de seguridad de la
información, ya que mientras que la detección del
incidente es el punto que afecta a la seguridad del sistema, la
respuesta define cómo debe reaccionar el equipo de
seguridad para minimizar los daños y recuperar los
sistemas, todo ello garantizando la integridad del conjunto.

El plan de respuesta a incidentes suele dividirse en varias
fases, entre las que destacan: 1) respuesta inmediata, para
evitar males mayores, como reconfigurar automáticamente
las reglas de los cortafuegos o inyectar paquetes de RESET
sobre conexiones establecidas; 2) investigación, para
recolectar evidencias del ataque que permitan reconstruirlo con
la mayor fidelidad posible; 3) recuperación, para volver a
la normalidad en el menor tiempo posible y evitar que el
incidente se repita de nuevo; y 4) creación de informes, para
documentar los datos sobre los incidentes y que sirvan como base
de conocimiento con posterioridad, para posibles puntos de mejora
y como información para todos los integrantes de la
organización. De manera adicional, se hacen necesarios los
informes por posibles responsabilidades legales que pudieran
derivarse. 

El análisis forense de sistemas pretende averiguar lo
ocurrido durante una intrusión. Busca dar respuesta a los
interrogantes que normalmente envuelven a todo incidente:
quién realizó el ataque, qué activos de
información se vieron afectados y en qué grado,
cuándo tuvo lugar, dónde se originó y contra
qué blancos se dirigió, cómo fue llevado a
cabo y por qué.- El análisis forense comprende dos
fases: la primera, la captura de las evidencias y su
protección; la segunda, el análisis de las mismas.
Sin embargo, debido a que en los crímenes digitales cada
vez resulta más difícil dar respuesta a los seis
interrogantes, especialmente quién realizó el
ataque, la investigación forense suele centrarse en
averiguar qué fue dañado, cómo fue
dañado y cómo arreglarlo.

Durante la fase de recolección de evidencias se captura
todo aquello que resulte susceptible de posible análisis
posterior y que pueda arrojar luz sobre
detalles de muestras de un delito. El análisis de la
evidencia es la fase más extensa y delicada, ya que
requiere poseer conocimientos avanzados para poder interpretar
las pruebas incautadas, cuyo volumen puede llegar a ser inmenso.
Dependiendo de la calidad de los
datos de registro se podrá realizar de forma más o
menos sencilla el análisis de la evidencia. Igualmente,
dependiendo de la información existente se
procederá a obtener unos resultados más o menos
satisfactorios.  Dada su fragilidad, y que puede perderse
con mucha facilidad, este tipo de evidencia es la primera que
debe ser recogida. Por tanto, en la medida de lo posible, la
máquina objeto del análisis no debería ser
apagada o reiniciada hasta que se haya completado el proceso. Si
se ha ensayado con anterioridad o es realizado por un
especialista, no debería llevar más de unos pocos
minutos.

La teoría señala que la herramienta perfecta
para esta tarea no debería apoyarse en absoluto en el
sistema operativo objeto del análisis, pues éste
podría haber sido fácilmente manipulado para
devolver resultados erróneos. Sin embargo, a pesar de que
tales herramientas existen, como la tarjeta PCI Tribble,
son herramientas hardware, que necesitan estar instaladas en la
máquina antes de la intrusión, ataque o
análisis de la misma. Evidentemente, este escenario
sólo es factible para máquinas que procesan
información especialmente sensible, cuyo hardware puede
ser fácilmente controlado.

En el resto de casos, la inmensa mayoría, hay que
conformarse con utilizar herramientas software y limitar el
proceso de recolección de información a los
mínimos pasos posibles, con el fin de generar el menor
impacto posible sobre la máquina analizada. Lo ideal
sería hacer uso de un dispositivo de sólo lectura, como
una unidad de CD-ROM, que
contenga las herramientas necesarias para el análisis.
Para almacenar las evidencias recogidas será necesario
añadir al sistema analizado algún tipo de
almacenamiento externo. Teniendo en cuenta que se está
realizando la fase de análisis en vivo y que, por tanto,
no es posible apagar el ordenador todavía, existen
básicamente dos opciones. La primera consiste en utilizar
una unidad externa, como un disco duro o una memoria USB de
suficiente capacidad. La segunda opción implica
añadir a la red de la máquina analizada un nuevo
sistema, habitualmente un ordenador portátil, en el que
poder copiar los datos recogidos.

El método sea quizás el más sencillo y
rápido de los dos, pero deja más trazas en el
sistema analizado. Por supuesto, también necesita que el
sistema cuente con un interfaz USB disponible. Utilizar otra
máquina como almacén,
por el contrario, tendría el mínimo impacto sobre
el sistema analizado. A cambio, complica y ralentiza ligeramente
el proceso de toma de datos. En función del tipo de
conexión que la máquina analizada tenga a Internet,
a través de un módem o de un enrutador, este
método podría necesitar cortar la conexión
de la misma momentáneamente, lo que provocaría la
pérdida de las conexiones activas en el momento del
análisis, que, como se verá, es una
información de sumo interés.

El primer tipo de evidencia a recoger es la memoria RAM, a
pesar de que es habitual que, en muchos procesos forenses,
ésta reciba poca o ninguna atención. Sin embargo, este tipo de memoria
es una fuente muy importante de información, que
será irremediablemente perdida en cuanto la máquina
sea apagada o reiniciada. El siguiente paso consistiría en
obtener información sobre todos los procesos activos en el
sistema, junto con los puertos y ficheros que cada uno de ellos
tienen abiertos. Es muy probable que, como resultado del ataque y
posterior intrusión, se hayan creado uno o varios procesos
nuevos en el sistema o, al menos, modificado algunos de los
existentes. Por tanto, la captura de los mismos permitirá
determinar con posterioridad el tipo de ataque sufrido y, lo que
suele ser más importante, qué objetivo se
perseguía. Es importante que este proceso de
recolección se apoye en las herramientas proporcionadas
por el sistema las funciones para listar procesos o las
conexiones activas. Como se ha comentado, estas funciones no son
fiables, pues es muy habitual que hayan sido manipuladas durante
el ataque para proporcionar datos falsos o parciales, con el fin
de ocultar la intrusión. Sin embargo, también
llevan a cabo un volcado completo de la memoria RAM, donde
sí podrán encontrarse estos binarios, lo que
demuestra la importancia de este tipo de evidencia.

Análisis a
sistemas de archivos Unix /Linux

La mayor de las investigaciones de casos similares,
está realizadas por parte de las empresas especializadas o
por parte de las agencias gubernamentales, precisan un estudio
forense previo para recoger todas las pruebas encontradas en los
equipos y determinar los factores claves para reconstruir los
hechos transcurridos, antes, durante y a posteriori del posible
acceso no autorizado al sistema. Todo ese trabajo puede ser
complicado por miles razones, siendo una analogía directa
la ciencia
forense tradicional en los casos criminales, de la escena del
crimen es el servidor comprometido y cualquier
equivocación descuido puede causar la perdida de
información digital que podrá desvelar algún
hecho importante sobre el "la víctima", el "criminal", el
"objetivo. Los intrusos permanentemente mejoran sus
técnicas, sean de acceso, ocultación de pruebas o
de eliminación de huellas, siendo difícil, o en
algunos casos imposibles de reconstruir el 100% de los eventos
ocurridos. Los forenses desde hace varios años tienen
dificultades adaptarse a las nuevas técnicas ya que no
sólo son necesarios los conocimientos de la materia sino
la experiencia en campos que tienen bastante poco que ver con la
ciencia forense.

La ciencia forense se basa en acciones premeditadas para
reunir pruebas y analizarlas. La tecnología en caso de
análisis forense en sistemas informáticos, son
aplicaciones que hacen un papel importante en reunir la
información y pruebas necesarias. La escena del crimen es
el ordenador y la red a la cual se esta conectado.

El objetivo de un análisis forense informático
es realizar un proceso de búsqueda detallada para
reconstruir a través de todos los medios el logro de
acontecimientos que tuvieron lugar desde el momento cuando el
sistema estuvo en su estado integro hasta el momento de
detección de un acceso no autorizado; debe ser llevada
acabo con mucha cautela, asegurándose que se conserve
intacta, a la mayor medida posible, la información
obtenida en el disco de un sistema comprometido y de manera
similar a los investigadores policiales intentan mantener la
escena del crimen sin variar, hasta que se recogen todas las
pruebas posibles.

El trabajo de un investigador forense es necesario para
ofrecer un punto de partida fundamental para los investigadores
policiales, ofreciéndoles pistas, así como pruebas
para su uso posterior. En cada uno de los incidentes está
involucrado un investigador forense externo, diferente en cada
caso. Algunas veces el trabajo puede estar limitado a colaborar
con las agencias del gobierno,
proporcionándoles el equipo negro para que sea analizado
en sus instalaciones y por sus expertos. Es necesario realizar
una recolección de información: analizar ficheros,
logos, estudiar el sistema de ficheros (FS) del equipo
comprometido y reconstruir la secuencia de eventos para tener una
imagen clara y global del incidente.

El análisis termina cuando el forense tiene
conocimiento de como se produjo el compromiso, bajo que
circunstancias, la identidad de
posible/s atacador/es, su procedencia y origen, fechas de
compromiso, objetivos del/los atacador/es; así como,
cuando ha sido reconstruida completamente la secuencia temporal
de los eventos. Cuando un investigador forense empieza el
análisis de la situación nunca sabe con lo que va a
enfrentarse. Al principio puede ser que no encuentre a simple
vista ninguna huella ni prueba de que el equipo ha sido violado,
especialmente si hay un "rootkit" instalado en la memoria. Puede
encontrar procesos extra ejecutándose con puertos
abiertos. También es frecuente que vea una
partición ocupada 100% de su capacidad, pero cuando la
verifica a través de dispositivo, el sistema muestra otro
porcentaje de ocupación. Puede encontrar una
saturación en el entorno de red desde un host
específico.

Los pasos para empezar la investigación de un incidente
son diferentes en cada caso. El investigador debe tomar
decisiones basándose en su experiencia y el "sexto
sentido" para llegar al fondo del asunto. No es necesario seguir
pasos determinados, ni su orden es importante a veces. Puede que
algunos pasos básicos sean molde lo que hace falta y
también puede ser que estos sean insuficientes para
solucionar el problema. Los pasos básicos pueden concluir
en localizar todas las huellas y eventos que se produjeron. Y en
supuestos, esos pasos no han desvelado la situación, se
debe recurrir un análisis profundo de las aplicaciones
encontradas durante la búsqueda.

Un equipo de análisis, funcionando bajo
GNU/LINUX puede ser suficiente para analizar sistemas de
ficheros diferentes pero soportados como por ejemplo Sun UFS. Se
podrá simplemente montar el sistema de fichero emitiendo
el comando mount con la opción articular.

Otra ventaja de GNU/Linux para investigadores forenses es la
capacidad del interfaz "loopback", que permite montar un fichero
que contiene una imagen del disco dentro del sistema de ficheros
de la estación de análisis. Independientemente del
tipo de investigación que se esté llevando a cabo,
es importante no confiar demasiado en la memoria y llevar un
registro claro de la fecha y hora en la que se recogen las
diferentes evidencias. Si se va a analizar un sistema
comprometido en producción desde su propia consola, es
recomendable ejecutar el comando script, el cual captura
y almacena en un fichero toda la actividad tecleada desde la
consola. Su sintaxis es: # script –a fichero

Posteriormente, es necesario disponer de un lugar en el cual
almacenar los datos del sistema comprometido. Si no se dispone de
un dispositivo de almacenamiento removible de gran capacidad o no
se puede realizar una clonación del disco afectado, el
comando netcat constituye una herramienta de gran
valor pues
permite transferir vía red la información del
servidor afectado a otro sistema en el cual realizar el
análisis. Para ello en el sistema de análisis se
ejecutará el comando: # nc –l –p puerto >
fichero de salida En el sistema comprometido se ejecutará
por ejemplo el comando. En el sistema comprometido se
ejecutará por ejemplo el comando: # cat /etc/passwd | nc
maquina de análisis puerto -w 2.

El proceso nc en la máquina de análisis se
ejecutará hasta que la conexión se rompa,
cerrándose el fichero de salida. La opción –w
2 indica el número de segundos que espera una vez recibido
el fin de fichero para terminar la conexión. La facilidad
de acceso a Internet, así como el desarrollo y avance en
el mercado de las
tecnologías de la información han cambiado no
sólo la forma en que se llevan a cabo los negocios y las
actividades comunes, sino que también la forma en que los
delincuentes desarrollan sus actividades. Tanto los computadores
como las redes de computadores pueden verse involucrados en un
incidente o crimen informático siendo estos las
víctimas del incidente o bien las herramientas utilizadas
para el desarrollo de estos.

Se comprende por análisis Forense de Sistemas
Computacionales a los procesos de extracción,
conservación, identificación, documentación,
interpretación y presentación de las evidencias
digitales de forma que sean legalmente aceptadas en un proceso
legal, proporcionando las técnicas y principios que
facilitan la investigación del delito. El inmenso
crecimiento de las redes de computadores y sistemas
informáticos ha movido al mundo a un entorno en el cual se
vive globalmente conectado, pudiéndose mantener
conversaciones o negocios con personas en casi cualquier parte
del mundo de manera rápida y de bajo costo. Pero, sin
embargo, esta accesibilidad digital abre nuevas oportunidades
también a los delincuentes, quienes encuentran nuevas
formas de delitos, así como herramientas potentes que les
permiten desarrollar ahora sus delitos de manera más
sencilla y efectiva.

El comando xwd de X Window permite capturar tanto
ventanas de forma individual como la pantalla completa desde un
servidor remoto. Para ello se ejecutará el comando: # xwd
–display direccionIP:0 –root > pantalla.xwd. En
Linux todo se trata como un fichero, esto hace muy sencillo
copiar y analizar el contenido tanto de la memoria principal
analizando el fichero /dev/mem como del área
de swap
analizando la partición correspondiente.
Sobre estos dispositivos se pueden utilizar comandos como
strings o grep. El estado de
la red proporciona información tanto de las conexiones
existentes como de los procesos en ejecución.

Copia de discos
duros y sistemas de archivos

Todas las distribuciones de Linux proporcionan un conjunto de
herramientas que permiten copiar los sistemas de ficheros de
forma que es posible examinarlos en una estación segura
cuando no es posible apagar el sistema o quitar el disco para su
clonación. Si no se dispone de un dispositivo de
almacenamiento de gran capacidad, es posible copiar discos
enteros, particiones o sistemas de archivos completos a un
sistema remoto utilizando la herramienta netcat (nc). El
comando mount muestra los sistemas de archivos que se
encuentran montados, el comando fdisk muestra las
particiones existentes en cada unidad de disco estén o no
montadas en ese momento. # fdisk –l /dev/hd. El comando
dd
permite crear imágenes (copias bit a bit) de los
sistemas de archivos. Para ello se ejecuta por ejemplo el
comando: # dd if=/dev/fd0 of=/tmp/disco.img. La
ejecución del comando # dd if=/dev/zero of=/dev/fd0
permite inicializar completamente el dispositivo sobre el que se
va a almacenar la imagen. La combinación de los comandos
dd y netcat permite transferir imágenes completas de
sistemas de archivos a través de la red y supone una
herramienta vital en la recogida de evidencias que supone la
primera fase del análisis forense de un sistema. Una vez
generada la copia es de vital importancia garantizar la
autenticidad de la misma para ello es necesario realizar la
comprobación, para ello se utiliza el comando
md5sum.

OBJETIVO PRINCIPAL

El objetivo principal de un investigador forense es
identificar a todos los sistemas controlados por el intruso,
comprender los métodos utilizados para acceder a estos
sistemas, los objetivos del intruso y la actividad que ha
desempeñado durante su estancia dentro del sistema
comprometido. La información obtenida tiene que ser
compartida con el resto de los miembros del equipo forense, a fin
de evitar la pérdida de información También
el objetivo del investigador es la protección del estado
de sitio contra modificaciones para evitar pérdidas de
información o pruebas.

Linux es un entorno ideal en el cual realizar tareas de
análisis forense pues está dotado de gran variedad
de herramientas que facilitan todas las etapas que se deben
llevar a cabo en la realización de un análisis
exhaustivo de un sistema comprometido. El sistema Linux presenta
algunas características que le dotan de grandes ventajas a
la hora de ser utilizado como herramienta de análisis
forense de sistemas. Estas características son: ·
Todo, incluido el hardware se trata y representa como un fichero.
· Soporta numerosos tipos de sistemas de archivos, mucho
no reconocidos por Windows · Permite montar los sistemas
de archivos; analizar un sistema en funcionamiento de forma
segura y poco invasiva¸ dirigir la salida de un comando a
la entrada de otros (múltiples comandos en una
línea); revisar el código fuente de la
mayoría de sus utilidades y generar dispositivos de
arranque.

Conclusión

La contaminación de la prueba es un punto
crítico en cualquier investigación judicial, por lo
que deben establecerse los mecanismos necesarios para garantizar
la integridad y autenticidad de la evidencia. Es así, como
los diferentes países han optado medidas urgentes a las
necesidades del caso señalando procedimientos aplicables a
los delitos de la tecnología informática;
contribuyendo al mantenimiento de la Cadena de Custodia; los
formularios
para requerimiento de servicios periciales son herramientas
valiosas para aumentar la precisión en la
comunicación de requerimientos y puntos de pericias
desde los organismos jurisdiccionales. Finalmente, un protocolo de
actuación permite unificar el ciclo de vida
de la evidencia durante todo el proceso judicial y facilita la
interacción entre el personal policial,
magistrados, funcionarios, y especialistas de informática
forense.

Los tópicos abordados permitieron analizar y obtener
una mejor comprensión del ámbito de
actuación de un perito en materia de informática
forense. Es de esperar que con el surgimiento de legislaciones
específica en materia de delitos informáticos
intensifique el trabajo interdisciplinario entre operadores
judiciales y profesionales informáticos. Sin embargo, es
importante que institucionalmente se apoye la
formalización de un protocolo de actuación en
pericias informáticas para un mayor aprovechamiento de las
prestaciones
forenses y la calidad de los servicios profesionales brindados a
los organismos jurisdiccionales.

Bibliografía

CRIMINALISTICAS. Richard Saferstein,
PrenticeHall, 1998

COMPUTER FORENSIC. Incident Response
Essentials. Warren Kruse. AddisonWesley, 2002

DIGITAL INVESTIGATION: THE INTERNATIONAL
JOURNAL OF DIGITAL FORENSICS & INCIDENT RESPONSE.

Elsevier. Febrero 2004.

FERNÁNDEZ, C.; "PRUEBA PERICIAL. DELITOS Y
TECNOLOGÍA DE LA INFORMACIÓN.
CARACTERÍSTICAS Y VALORACIÓN EN EL PROCESO
PENAL
", en Delitos Informáticos.com, 2002.

GÓMEZ, L., "GUÍA OPERATIVA PARA
PROCEDIMIENTOS JUDICIALES CON SECUESTRO DE TECNOLOGÍA
INFORMÁTICA
", Alfa-Redi – Revista de
Derecho Informático, ISSN 1681-5726, 2006.

JUAN MANUEL CANELADA OSET ANÁLISIS FORENSE DE
SISTEMAS LINUX
Página 3/7 UNIVERSIDAD
AUTÓNOMA DE MADRID Curso
de Verano 2004: Linux un Entorno Abierto

REYES, A., BRITTSON, R., O"SHEA, K., STEEL, J., "CYBER
CRIME INVESTIGATIONS
", ISBN: 1597491330, Syngress Publishing,
2007.

ÓSCAR DELGADO MOHATAR Y GONZALO ÁLVAREZ
MARAÑÓN,
Grupo de Investigación en
Criptología y Seguridad de la Información del
CSIC." le en: http://www.alfa-redi.org/rdi-articulo.shtml.

 

 

 

 

Autor:

Franklin Contreras

Edixón Gilberto Durán
Sánchez

2do. Año Sección "D"

San Cristóbal, abril 2009

UNIVERSIDAD CATÓLICA DEL TÁCHIRA

FACULTAD DE CIENCIAS
PENALES Y CRIMINALÍSTICAS

ESCUELA DE DERECHO

SAN CRISTÓBAL – ESTADO TÁCHIRA

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter