CAPITULO5 - informatica forense
-
Upload
lokoemanuel -
Category
Documents
-
view
237 -
download
2
Transcript of CAPITULO5 - informatica forense
-
7/31/2019 CAPITULO5 - informatica forense
1/23
95
Informtica Forense
CAPTULO 5
HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE
5.1 Anlisis sobre las herramientas y equipos para la aplicacin de laInformtica Forense para la Polica Nacional
La Polica Nacional, actualmente se encuentra manejando en proceso de aceptacinel Departamento de Delitos Informticos en la ciudad de Quito, hasta el momento las
herramientas y la gua o pasos que se beben tomar en el acontecimiento de un delito
informtico, no se encuentran adecuadamente definidos, nuestra labor es proponer
herramientas (software libre) y equipos ptimos que ayuden a la Polica a realizar
actividades vlidas y certeras con la finalidad de obtener evidencias contundentes y
ser presentadas en la corte.
La investigacin de cada una de las herramientas que se presentaran estn basadas en
la siguiente clasificacin 21 orientada a la informtica forense:
1) Herramientas para recoleccin de evidencias.
2) Herramientas para el Monitoreo y/o Control de Computadores.
3) Herramientas de Marcado de documentos.
4) Herramientas de Hardware.
1) Herramientas para recoleccin de evidencias: Existen una gran cantidad de
herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:
21 LPEZ scar, INFORMTICA FORENSE: GENERALIDADES, ASPECTOS TCNICOS YHERRAMIENTAS.
-
7/31/2019 CAPITULO5 - informatica forense
2/23
96
Informtica Forense
x La gran cantidad de datos que pueden estar almacenados en un computador.
x La variedad de formatos de archivos, los cuales pueden variar enormemente,
an
x dentro del contexto de un mismo sistema operativo.
x La necesidad de recopilar la informacin de una manera exacta, y que permita
verificar que la copia es exacta.
x Limitaciones de tiempo para analizar toda la informacin.
x Facilidad para borrar archivos de computadores.
x Mecanismos de encripcin, o de contraseas.
2) Herramientas para el Monitoreo y/o Control de Computadores
Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto
existen herramientas que monitorean el uso de las mismas, para poder recolectar
informacin. Existen algunos programas simples como key loggers o recolectores de
pulsaciones del teclado, que guardan informacin sobre las teclas que son
presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del
computador, o hasta casos donde la mquina es controlada remotamente.
3) Herramientas de Marcado de documentos
Un aspecto interesante es el de marcado de documentos; en los casos de robo de
informacin, es posible, mediante el uso de herramientas, marcar software para poder
detectarlo fcilmente.
La seguridad est centrada en la prevencin de ataques. Algunos sitios que manejan
informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso,
pero, debido a que no existe nada como un sitio 100% seguro, se debe estar
preparado para cualquier tipo de incidentes.
4) Herramientas de Hardware
-
7/31/2019 CAPITULO5 - informatica forense
3/23
97
Informtica Forense
Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe
modificar la informacin se han diseado varias herramientas para ello.
5.2 Costos de equipos y software para la aplicacin de la InformticaForense
Las herramientas que se presentan sern evaluadas segn los siguientes factores:
x Software libre.
x Rendimiento y desempeo. Por medio de una evaluacin = alta, media, baja.
x Costos.
x Confiabilidad ante la recuperacin de evidencias.
Para la puesta en marcha en el manejo de evidencias digitales del Departamento de
Delitos Informticos de la Polica Nacional, el forense o los forenses informticos
asignados a esta rea, pueden apoyarse en determinadas herramientas que adems de
automatizar tareas, tambin le ayudaran a secuenciar sus pasos y a documentar cada
uno de ellos.
As, segn la realidad del Departamento y las leyes vigentes en el pas en base a la
gua que se ha planteado para la Polica Nacional, se presenta mediante un cuadro
comparativo y evaluado, las herramientas que poseen ms cualidades que otras y son
ms recomendables.
-
7/31/2019 CAPITULO5 - informatica forense
4/23
98
InformticaForense
Herram
ienta
Costo
Caracte
rsticas
Plataformaenlasque
trabajan
Evaluacin
TheCoroners
Toolkit
Libre
.-Estacoleccindeprogramassirvepararealiz
aruna'autopsia's
obresistemasUNIX
despus
dequehan'muerto'c
ompletamente.
.-Elfuncionamientodeestesoftwaresebasaprincipalmenteenlarecogidadegrand
es
cantidadesdedatosparaprocederasuanlisisposterior.Algunosdesuscomponentessonla
herramien
ta'ladrndetumbas'(
quecapturainformacin),losprogramasparadetectar
archivos'muertos'o'vivos',ascomo'lzaro',querestauraarchivosborrados,yotra
herramien
taquerestauraclavescriptogrficasd
esdeunprocesoactivoodesdealgn
archivo.
.-Contienevariasherramientasimportantesparaelanlisisforense.
Aplicacionesimportantes:
-grave-robber-Unautilidadparacapturarinfo
rmacinsobrei-nodes,paraserprocesadapor
elprogram
amactimedelmismotoolkit.
-unrmylazarus-Herramientasparalarecuper
acindearchivosborrados(logs,RA
M,swap,
etc.).Estasaplicacionesidentificanyrecuperan
lainformacinocultaenlossectoresdel
discoduro
.
-mactime
-Elprogramaparavisualizarlosficheros/directoriossutimestampMAC
(Modification,Access,yChange).
.-Seejecutadacuandolaevidenciaencontrada,
poseeunSistemaOperativo(Linux)
Descargas
:http://www.f
ish.com/tct/,odesdehttp://www.porcupine.org/forensics.
FreeBSD2-4.*,
OpenBSD2.*,BSD/OS
2-3.*,SunOS4-5.*y
Linux2.*.
SUNSolaris
RedHatLinux
Media
-
7/31/2019 CAPITULO5 - informatica forense
5/23
99
InformticaForense
TheSleuthKity
Autop
sy
Libre
.-Esunainterfazgraficaquetrabajaenconjuntoconlaherramientathesleuthkitutilizada
paraelanlisisforense.
.-Analiza
discosysistemadearchivos(NTFS,
FAT,U
FS1/2,Ext2/3).
.-Muestra
eldetalledeinformacinsobredatoseliminadosyestructurasdelsistema
de
ficheros.
.-Permite
elaccesoaestructurasdearchivosy
directoriosdebajonivelyeliminados
.-Generalalneatemporaldeactividaddelosarchivos(timestamp).
.-Permitebuscardatosdentrodelasimgenesp
orpalabrasclave,
.-Permitecrearnotasdelinvestigadoreincluso
generainformesymuchastareas.
.-Esunacoleccindeherramientas.
.-Utilizainterfazgraficaquefacilitanotableme
nteeltrabajo.
.-Seejecutadacuandolaevidenciaencontrada,
poseeunSistemaOperativo(Window
s/Linux)
Descargas
:http://www.s
leuthkit.org/autopsy/download.php
Unix/Linux,W
indows
Alto
Mac-robber
Libre
.-Recopilainformacindeficheroslocalizados
enunsistemadeficherosmontado
(mounted).
.-Losdatosobtenidospuedenserutilizadosporlaherramientamactime,contenidae
nel
SleuthKit,paraelaborarunalneatemporalde
actividaddelosficheros.
.-Estbas
adoengrave-robber(contenidoenTCT)explicadoanteriormente.
.-Requierequeelsistemadeficherosestmontadoporelsistemaoperativo,adiferenciade
otrasherramientascomoelSleuthKitqueprocesanelsistemadeficherosellosmism
os.Por
lotanto,m
ac-robbernorecopiladatosdeficheroseliminadosoficherosqueestnoc
ultos.
Linux
Bajo
-
7/31/2019 CAPITULO5 - informatica forense
6/23
100
InformticaForense
.-Modific
arlostiemposdeaccesoadirectorio
squeestnmontadosconpermisosd
e
escritura.
Foundstone
ForensicTo
olkit
Comercial
Herramientasqueformanparte:
-Pasco:HerramientaparaanalizarlaactividadrealizadaconelnavegadorwebIntern
et
Explorerd
eMS.
-Galleta:E
xaminaelcontenidodelficherodec
ookiesdeIE.
-Rifiuti:E
xaminaelcontenidodelficheroINFO
2delapapeleradereciclajedeWindows.
-Vision:L
istatodaslospuertosTCPyUDPen
escucha(abiertos)ylosmapeaalas
aplicacion
esoprocesosqueseencuentrandetrs.
-Forensic
Toolkit:Esunasuitedeherramientas
paraelanlisisdelaspropiedadesdeficheros
Examinalosficherosdeundiscoenbuscadeactividadnoautorizadayloslistaporsultima
fechadea
cceso,permitiendorealizarbsquedasenfranjashorarias,b
squedadearc
hivos
eliminados,etc.(opensource)
Descarga:
www.foundstone.com
Windows
Alto
Foremost
GPL
(proyecto
abiertoal
pblico)
.-Recuperaficherosbasndoseensuscabecera
s.
.-Puedetrabajarsobrearchivosdeimgenes,comolosgeneradoscondd,Safeback,
Encase,
etc.odirectamentesobreundiscooparticin.
.-Lascabeceraspuedenespecificarseatravsd
esuarchivodeconfiguracin,porlo
quese
puedeespecificarbsquedasparaformatosespecficos.
Linux
Bajo
-
7/31/2019 CAPITULO5 - informatica forense
7/23
101
InformticaForense
Helix/FIRE
Libre
.-HELIXestbasadaenKNOPPIX.
.-LiveCD
.
.-Poseeunavariedaddeherramientaspararealizarunanlisisforensetantoaequiposcomo
imgenesdediscos.
.-ParaMS
Windowsposeeunconjuntodeherramientasde90Mb,permitiendotrabajarcon
sistemasv
ivos,yrecuperarinformacinvoltil.
.-Enelen
tornoLinux,
disponedeunSistemaOperativocompleto,conunncleo
modificad
oparaconseguirunaexcelentedeteccindehardware.
.-Norealizaelmontajedeparticionesswap,nin
gunaotraoperacinsobreeldiscodurodel
equiposobreelquesearranque.
.-Esmuy
buenoparaelanlisisdeequiposmuertos,sinquesemodifiquenlasevide
ncias
puesmontarlosdiscosqueencuentreenelsistemaenmodoslolectura.
.-ContienemsynuevasversionesdeSleuthKityAutopsy.
.-Sudocu
mentacinnoesamplia.
.-Permite
elegirentreusarloskernels(2.4.2
6o
2.6.5
).
.-Tieneunaexcelentedeteccindehardware.
.-HELIX
estpensadoespecficamenteparano
realizarningntipodealteracinsobrelos
sistemase
nlosqueseusa.
.-TieneunaconfiguracinautorunparaWindowsconherramientasparaesteSO.
Descarga:
http://www.e-fense.com/helix/
Windows,Solaris,Linux
Altoy
recomendable
-
7/31/2019 CAPITULO5 - informatica forense
8/23
102
InformticaForense
F.I.R.E
(Forensic
andIncident
Response
Environmen
t)
Libre
.-Esunadistribucindeunnicocdrom,portableybootableLiveCD.Proveeherra
mientas
adecuadas
paraunaactuacinrpidaencasosd
eanlisisforense.
.-Respuestaanteincidentes,recuperacindedatos,a
taquedevirus.
.-Contienegrancantidaddeherramientasdean
lisisforense.
.-Esusableparaanlisisencalientedesistemas,conloquenicamentemontandoelCDse
puedeusar.
.-Herramientascompiladasestticamentesinnecesidadderealizarunrebootdelam
quina.
.-Poseeunainterfazgraficaquehacefcilsuuso.
.-Norealizaningunamodificacinsobreloseq
uiposenlosqueseejecute,porloquepuede
serutilizadoconseguridad
.-Recuperadatosdeparticionesdaadas.
.-F.I.R.Eposeelassiguientesherramientas:
x
N
essus,nmap,w
hisker,hping2,hunt,fragrouter.
x
E
thereal,Snort,tcpdump,ettercap,dsniff,a
irsnort.
x
C
hkrootkit,F-Port
x
T
CT,Autopsy.
x
T
estdisk,fdisk,gpart.
x
S
SH(clienteyservidor),VNC(clienteyservidor)
x
M
ozilla,ircII,mc,Perl,biew,fenris,p
gp.
Todosestosprogramasserncomentadosbrevemente,enelglosario.
Descarga:
http://fire.dmzs.com/?section=main
ohttp://biatchux.dmzs.com.
Windows,Solarisy
Freeware
Altoy
recomendable
-
7/31/2019 CAPITULO5 - informatica forense
9/23
103
InformticaForense
BackTrack
Libre
.-EsunadelasmsconocidasyapreciadasdistribucionesGNU/Linux
.-Ocupae
lpuesto32enelfamosornkingdeInsecure.org.
.-Seprese
ntacomounLiveCD(norequierede
instalacin)
.-Posee300herramientasdetodotipo(sniffers
,exploits,auditorawireless,anlisis
forense,
etc)perfectamenteorganizadas.
.-Laversin2(recinpublicada)utilizaunkernel2.6.20convariosparcheseincluy
esoporte
paratarjetasinalmbricas.
.-Losprogramasquetraeestesoftwareyavienentodosconfiguradosylistosparaser
usados,po
rloquenosedebeempleartiempoe
nbuscarloseinstalarlos.
GNU/Linux
Altoy
recomendable
FLAG(Forensic
andLogAnalysis
GUI)
Libre
proyecto
abiertoal
publico
.-Simplificarelprocesodeanlisisdeficheros
delogeninvestigacionesforenses.
.-Estbas
adoenweb,porloquepuedeinstalarseenunservidordondesecentralice
todala
informacindelosanlisis,deformaquepuedeserconsultadaportodoelequipoforense.
.-pyFlageslaimplementacin(empleadaactualmente)enPython.Esunarevisin/reescritura
completadeFLAG,m
spotente,verstilyrobusta.
Linux
Bajo
E-ROL
Libre
.-Esunaaplicacinon-lineseguraydefcilmanejo.
.-Permite
alosusuariosrecuperarlosarchivos
quehayansidoborradosdeunidadesdedisco
duro,unidadesZIPydisquetes,entodoslos
sistemasoperativosdelafamiliaMicrosoft
Windows.
.-Registra
unamediademsde350entradasdiariasasupginaweb.
Windows
Bajo
-
7/31/2019 CAPITULO5 - informatica forense
10/23
104
InformticaForense
StellarPhoe
nix
.-Softwar
edeRecuperacindeDatosseencuentradisponibleparaserutilizadoen
unavasta
gamadesistemasoperativosyarchivosdesiste
ma.
.-RecuperarArchivosProgramaderecuperacindearchivosanulados:escapazde
recuperar
delcestodeWindowsdatosanuladosoperdidosacausadelformateodeldiscoduro,
deuna
infeccindevirus,deunarepentinacadadelsistemaoporundesperfectodesoftwa
re.
.-Elsoftw
aresoportalosarchivosdesistemaF
AT,
NTFS
.-Rrepara
ryrestablecearchivosZipyarchiv
oenformatoMicrosoftOffice(arc
hivosde
Access,Excel,PowerPointyWord)corrompidosonoaccesibles.
.-Repara
Archivosextraelasinformacionescontenidasenelycreaunnuevoarchivosin
errores.
Windows95,W
indows
98,W
indowsME,
WindowsNT,W
indows
2000,W
indows2003
ServereWindowsXP.
Media
Ilook
Libre
.-Recuperadatosinclusolosborrados.
.-Identificaysoportavariossistemasarchivos.
.-Analiza
funcioneshas.
.-Basado
enLinux.
.-Recuperatodoslosdatosincluidolosdearch
ivosborrados.
.-Asistealinvestigadorabuscardetallesespecficos.
Linux,W
ink2k
WinXP/Server2003
Media
.-Recuperadatoscorruptosendisquetes,CD,d
ispositivosusboelpropiodiscoloca
l.
-
7/31/2019 CAPITULO5 - informatica forense
11/23
105
InformticaForense
Badco
py
Comercial
$50
.-Recuperartodotipodearchivos,comopor
ejemplodocumentos,imgenes,aplicaciones,
etc.
.-Utilizau
nsistemainteligentederecuperacin
dedatosydisco,paraelcontenidod
eficheros
originales;puedeleerelcontenidodearchivoscorruptosyenlamayorade
loscasos
recuperarlos,entodooenparte,eneldirectorioqueseespecifique.
Win95/98/NT/ME/2000/
XP
Medio
Encase
Comercial
Sector
privado
$2495
.-Softwarelderenelmercadoydemayoruso
enelcampodeanlisisforense.
.-Losform
atosdearchivosconextensin.c
dacontenidosenCDparaequiposdemsicano
sonbienreconocidosporEnCase.
.-MuyusadaenEEUUporelFBI.
.-Noesm
ultiplataforma.
.-Encaseposeeunavariedaddefuncionesqueserequieredeotrodocumentoparaexplicar
cadaunadeellas.
http://guid
ancesoftware.com
Windows
Medio
Tablacomparativa5.2HerramientasparalaInformticaForense
-
7/31/2019 CAPITULO5 - informatica forense
12/23
106
Informtica Forense
5.2.1 Toolkit para el Departamento de Delitos Informticos de la Polica Nacional
Dejando aparte el software comercial, en el que se puede encontrar herramientas
especficas como EnCase de la empresa Guidance Software, considerado un estndar
en el anlisis forense de sistemas pero no indispensable, nos centramos en
herramientas de cdigo abierto (Open Source) muchos de estos poseen una
coleccin de herramientas en un solo software (toolkit) que pueden ser descargadas
libremente desde las pginas de sus correspondientes autores o miembros del
proyecto y que cumplen similar funcionalidad a las herramientas que soncomerciales. A ms de ello Linux es un entorno ideal en el cual realizar tareas de
anlisis forense permite proveer de una gran variedad de herramientas que facilitan
todas las etapas que se deben llevar a cabo en la realizacin de un anlisis exhaustivo
de un sistema comprometido.
Mediante el cuadro anterior las herramientas que son claramente ms recomendablesy utilizadas; en el toolkit para el Departamento de Delitos Informticos en la Polica
Nacional son:
x TCT es una herramienta de cdigo abierto, es decir no requiere la obtencin
de licencia tiene una evaluacin media.
x Forensic Toolkit forma parte de la organizacion Foundstone, la misma esta
orientada a plataformas Windows.
x The Sleuth Kit y Autopsy es una herramienta altamente recomendable
debido las funciones que posee, es gratuita y multiplataforma. Las
metodologas que se debe seguir al usar esta herramienta se adjunta en
[Anexo E].
x Otra de las herramientas recomendables pero posee una limitante esBackTrack, ya que solo funciona en Sistema Operativo Linux, pero tiene unalto rendimiento.
-
7/31/2019 CAPITULO5 - informatica forense
13/23
107
Informtica Forense
x La siguiente herramienta es E-ROL se le considera con una evaluacin baja
debido a que carece de las funciones que poseen las herramientas antes
mencionadas, pero puede ser de utilidad, al enfrentarse con entornos
Windows para tomar indicios del ataque.
Uno de los elementos ms importantes que un informtico forense debe emplear al
momento de recaudar evidencia digital, son los conocidos Live CDs o DVDs, que
son una coleccin de herramientas, que permiten realizar un examen forense de
imgenes sin tener que dedicar un equipo especfico para ello y sin necesidad de
cargar otro sistema operativo. Entre los ms recomendables ellos tenemos:
x Helix posee una evaluacin alta, contiene un sin nmero de herramientas,
entre una de ellas el Autopsy, es multiplataforma, y open source.
x F.I.R.E (Forensic and Incident Response Environment), este Live CD, es
altamente recomendable. Si Helix contiene ha Autopsy, F.I.R.E. contiene a
las herramientas TCT y Autopsy a ms de un sin nmero de herramientas,
tiles para la recoleccin de evidencias, es multiplataforma y gratuito.
Clasificacin
Herramientas para recoleccin de evidencias
x TCT (Linux).
x Forensic Toolkit (Windows).
x The Sleuth Kit y Autopsy (Unix/Linux, Windows).
x BackTrack( Linux).
x E-ROL (Windows).
x Helix (Windows, Solaris, Linux).
x F.I.R.E (Windows, Solaris y Freeware).
-
7/31/2019 CAPITULO5 - informatica forense
14/23
108
Informtica Forense
Herramientas para el Monitoreo y/o Control de Computadores.
Honeypot
Es un software o conjunto de computadores cuya intencin es atraer a crackers o
spammers, simulando ser sistemas vulnerables o dbiles a los ataques, permite
recoger informacin sobre los atacantes y sus tcnicas, los mismos pueden distraer a
los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al
administrador del sistema de un ataque, adems de permitir un examen en
profundidad del atacante, durante y despus del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no
existentes en la realidad y se les conoce como honeypots de baja interaccin y son
usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan
sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus
fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin.
Tambin se llama honeypot a un website o sala de chat, que se ha creado para
descubrir a otro tipo de usuarios con intenciones criminales.
KeyLogger
Es una herramienta que puede ser til cuando se quiere comprobar actividad
sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario
teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.
Existen dos versiones: la registrada y la de demostracin. La principal diferencia es
que en la versin registrada se permite correr el programa en modo escondido. Esto
significa que el usuario de la mquina no notar que sus acciones estn siendo
registradas.
-
7/31/2019 CAPITULO5 - informatica forense
15/23
109
Informtica Forense
5.2.2 Entornos de Trabajo Forense sobre computacin virtual para la Polica Nacional
Una de las propuestas, que es sumamente interesante y factible para la Polica
Nacional es implementar una arquitectura conformada por servidores virtuales que
proveen servicios informticos al personal designado al laboratorio el Departamento
de Delitos Informticos de la Polica Nacional.
La labor pericial demanda el uso de distintos Sistemas Operativos (Windows, Linux,
Solaris, etc.) como plataforma de ejecucin de aplicaciones forenses. Para ello sepuede implementar puestos de trabajo con mquinas virtuales, facilitando a los
investigadores la utilizacin de un mayor nmero de recursos de software en forma
simultnea.
La virtualizacin se refiere a una capa de abstraccin que separa el hardware del
sistema operativo, optimizando y flexibilizando de esta manera la utilizacin de losrecursos computacionales. Permite que mltiples mquinas virtuales con sistemas
operativos heterogneos puedan funcionar simultneamente en la misma
computadora. Cada mquina virtual tiene asignado un conjunto propio de recursos de
hardware sobre el que pueden funcionar diferentes aplicaciones. La virtualizacin
brinda la posibilidad de mejorar la infraestructura informtica en cuanto a
escalabilidad, seguridad y una variedad de modalidades en la administracin de
servidores.
Los beneficios de la virtualizacin pueden ser apreciados sobre tres aspectos de alto
impacto para la administracin de sistemas:
x Particionamiento (permite que mltiples aplicaciones y sistemas operativos
puedan compartir el mismo hardware).
-
7/31/2019 CAPITULO5 - informatica forense
16/23
110
Informtica Forense
x Aislamiento de componentes (si una mquina virtual falla esta situacin no
afecta al funcionamiento de las restantes).
x Encapsulacin(permite que una mquina virtual pueda almacenarse en un
simple archivo facilitando el backup de la misma, la copia, o el traslado).\
Virtualizacion en el Departamento de Delitos Informticos
En los puestos de trabajo del laboratorio pericial informtico se analiza la evidencia
digital utilizando aplicaciones forenses tales como EnCase, Autopsy, etc. Las
herramientas mencionadas no son multiplataforma. EnCase operan bajo Windows yAutopsy bajo Linux, impidiendo utilizarlas al mismo tiempo en un mismo equipo.
Mediante la aplicacin de virtualizacin se pueden crear mquinas virtuales con
diferentes sistemas operativos y de esta manera lograr que aplicaciones que no son
multiplataforma operen en paralelo.
Por ello se propone, como tema de aplicacin en el laboratorio pericial informtico,
que cada puesto de trabajo utilice el software de virtualizacin VMware Servercomo plataforma de operaciones, funcionando sobre el sistema operativo anfitrin
Windows XP. Se cuenta con una mquina virtual con sistema operativo Linux, sobre
la que es posible ejecutar las aplicaciones Autopsy entre otras.
Las ventajas de la virtualizacin son evidentes, ya que con esta plataforma de
operaciones es posible efectuar una adquisicin remota de un disco rgido medianteuna herramienta destinada para ello y luego abrir la imagen forense para efectuar
alguna operacin en particular con el software respectivo, ejecutando sobre el
sistema operativo anfitrin, sin necesidad de cambiar el entorno habitual de trabajo.
-
7/31/2019 CAPITULO5 - informatica forense
17/23
111
Informtica Forense
No se cree conveniente poseer clonar el dispositivo de almacenamiento original y
luego instalar esta copia en un hardware de laboratorio o incluso sobre la
computadora original Este procedimiento no es muy recomendado, ya que
usualmente se presentan problemas de incompatibilidad con el hardware cuando se
utiliza una computadora de laboratorio.
Con la aparicin de herramientas de virtualizacin como VMware se puede recrear el
entorno de trabajo del sospechoso. Debido a que actualmente ha surgido en el
mercado de informtica forense la herramienta comercial VFC , mediante la cual es
posible crear una maquina virtual ejecutable y luego inicializarla con VMware, deesta manera se podr combinar con el software destinado a la recoleccin de la
evidencia digital.
En el mbito institucional del Ecuador es habitual contar con recursos financieros
mnimos para la adquisicin de tecnologa. Es por ello que se presenta la opcin de
trabajar con servidores virtuales aplicados a la informtica forense del Departamento
de Delitos Informticos de la Polica Nacional, de tal manera que se aproveche
eficientemente el equipamiento informtico y se deje atrs al Sistema Operativo
como un punto de inflexin para el aprovechamiento de recursos informticos en las
actividades periciales.
5.3 Perfil y capacitacin para los miembros de la Polica Nacional enInformtica Forense
5.3.1 Perfil de un Informtico Forense
EL investigador forense para actuar correctamente ante la escena de un crimen debe
realizar un proceso formal, donde su conocimiento cientfico y tcnico debe ser
-
7/31/2019 CAPITULO5 - informatica forense
18/23
112
Informtica Forense
suficiente para generar indicios hacia el descubrimiento de evidencias y resolver un
caso.
Para actuar adecuadamente y de la mejor manera ante un proceso de anlisis forense,
cada miembro que forme parte del equipo de investigacin en el Departamento de
Delitos Informticos de la Polica Nacional se le debe asignar un rol determinado,
con funciones especficas, a continuacin se presentan los roles para cada tipo de
investigador que forma parte de este equipo:
Tcnicos en escenas del crimen informticas o First Responde
Las caractersticas del mismo:
x Son los primeros en llegar a la escena del crimen.
x Recolectan la evidencia.
x Formacin bsica en el en el manejo de evidencia y documentacin.
x Reconstruyen el delito.Examinadores de evidencia digital o Informtica
x Procesan la toda la evidencia digital obtenidas por los Tcnicos en Escenas
del Crimen Informticos.
x Debern ser especializados en sistemas e informtica.
Investigadores de Delitos Informticos
x Realizan la Investigacin y la reconstruccin de los hechos de los Delitos
Informticos de forma general.
x Debern poseer un entrenamiento general en cuestiones de informtica
forense.
x Debern ser profesionales en:
x Seguridad Informtica.
x Abogado.
-
7/31/2019 CAPITULO5 - informatica forense
19/23
113
Informtica Forense
x Policas.
x Examinadores Forenses.
Perito Informtico
Peritos son las personas que por disposicin legal y encargo Judicial o del Ministerio
Pblico aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o
la Polica Judicial adquieran conocimiento para determinar las circunstancias en que
se cometi una infraccin.
Las condiciones que debe reunir una persona para ser perito son:
a) Profesional, especializado y calificado por el Ministerio Pblico en un
respectivo campo y determinada materia.
b) Mayores de edad (18 aos).
c) Honradez, calidad moral de proceder ntegro y honrado en el obrar.
d) Deber ser totalmente imparcial.
e) Conocimientos especficos en la materia para cumplir su cometido.
La pericia intenta obtener un dictamen fundado en especiales conocimientos
cientficos, tcnicos, til para el descubrimiento o valoracin de un elemento de
prueba.
5.3.2 Capacitacin, Cursos y Certificaciones
Los investigadores forenses en informtica cuentan con conocimiento tcnicos
informticos, los mismos deben prepararse para desenvolverse en procedimientos
legales y tcnicamente vlidos con la finalidad de establecer evidencia en situaciones
donde se vulneran o comprometen sistemas, utilizando mtodos y procedimiento
-
7/31/2019 CAPITULO5 - informatica forense
20/23
114
Informtica Forense
cientficamente probados y claros, permitiendo establecer posibles hiptesis sobre el
hecho y contar con la evidencia requerida que fundamente dichas hiptesis.
Para ello la Polica Nacional deber constantemente capacitar al personal de esta
rea, ya que inevitablemente la tendencia de crecimiento, avances y alcance que tiene
la tecnologa es continua y con ello el aumento de nuevas tcnicas para cometer
ataques y perjudicar sistemas informticos tambin se desarrollan a la par. A mas de
ello para un adecuado manejo de evidencias cada personal que forme parte del
Departamento de Delitos Informticos, deber cumplir funciones especficas
dependiendo de su rea, de tal manera que el proceso de anlisis forense que seaplique a la evidencia digital sea llevada de la mejor manera y la evidencia sea
contundente y clara en el proceso judicial.
A continuacin presentamos los tipos de cursos y entrenamiento que debern
aplicarse para el equipo del Departamento de Delitos Informticos. Estas son dos de
las asociaciones que han desarrollado programas de certificacin forenses eninformtica, que permiten detallar las habilidades requeridas y las capacidades
deseables en los investigadores informticos:
x IACIS - International Association of Computer Investigative Specialist
(http://www.cops.org).
x HTCN - High Technology Crime Netwok (http://www.htcn.org).
IACIS
Ofrece la certificacin internacional denominada CFEC (Computer Forensic External
Certification), diseada para personas que no pertenezcan a instituciones judiciales o
de polica. Costo de esta certificacin es de US $1250 con una duracin de cinco
meses, y se requiere de una forma de aplicacin con mltiples datos del aspirante, la
misma es evaluada por el comit de IACIS.
-
7/31/2019 CAPITULO5 - informatica forense
21/23
115
Informtica Forense
Si el aspirante es aceptado, se inicia el proceso de evaluacin el cual consiste en el
anlisis de seis diskettes especialmente preparados y un disco duro con una
disposicin especial. Cada uno de los diskettes establece un problema tcnico y
forense para el aplicante el cual debe resolver correctamente, documentar sus
hallazgos y presentar un reporte donde detalle sus anlisis. Al final del proceso, se
efecta un examen sobre el proceso y las conclusiones del investigador en cada uno
de los ejercicios, donde el mismo deber demostrar su competencia y claridad para el
desarrollo de las actividades forenses.
La certificacin CFEC, exige que los nuevos investigadores forenses en informticacertificados posean experiencia y destreza en:
x Identificacin y recoleccin de evidencia en medios magnticos.
x Comprensin y prctica en procedimientos de revisin y anlisis forenses.
x Comprensin y prctica de los estndares de tica que rigen las ciencias
forenses en informtica.
x Comprensin de los aspectos legales y de privacidad asociados con la
adquisicin y revisin de medios magnticos.
x Comprensin y prctica de mantenimiento de la cadena de custodia de la
evidencia cuando se realiza una investigacin.
x Comprensin de los diferentes sistemas de archivos asociados con sistemas
operacionales, particularmente FAT de Microsoft.
x Conducir de manera detallada recuperacin de datos de todas las porciones de
un disco.
x Comprensin de como tener acceso a los archivos temporales, de cach, de
correo electrnico, de web, etc.
x Comprensin de los aspectos bsicos de Internet.
x Comprensin de tcnicas de rompimiento de contraseas.
x Comprensin general de los temas relacionados con investigaciones forenses.
-
7/31/2019 CAPITULO5 - informatica forense
22/23
116
Informtica Forense
Mencionada certificacin es avalada y reconocida en diferentes tribunales y cortes
del mundo, debido a la seriedad y rigurosidad de proceso de certificacin, las
personas que obtienen esta certificacin requieren actualizarse permanente en las
nuevos procedimientos y formas para mejorar las tcnicas de seguimiento y anlisis,
permitiendo a los profesionales certificados que se encuentren actualizados y
capacitados para afrontar nuevas formas de anlisis forense en informtica.
HTCN
Ofrece diversas certificaciones en informtica forense, de manera particular
comentamos sobre el certificado CCCI (Certified Computer Crime Investigador),
que tiende la enseanza de un nivel de educacin bsico y avanzado.
El propsito de esta certificacin es el desarrollar un alto nivel de profesionalismo y
entrenamiento continuo en investigaciones de crmenes de alta tecnologa en la
industria y las organizaciones. Costo de la certificacin es de US $250.
Existen dos tipos de niveles de certificaciones CCCI: nivel bsico y avanzado
CCCI Nivel bsico: para este nivel se requiere lo siguiente:
x Dos aos de experiencia en investigaciones en cualquier disciplina o poseer
un grado de estudio superior.
x Seis meses de experiencia investigativa directamente relacionada con la
disciplina en que busca certificarse.x Haber completado satisfactoriamente un curso de 40 horas sobre delitos
informticos o computacin forense provista por una agencia, organizacin o
empresa.
x Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la
certificacin que se desee obtener, a travs de un examen escrito.
-
7/31/2019 CAPITULO5 - informatica forense
23/23
117
Informtica Forense
CCCI Nivel avanzado: para este nivel se requiere lo siguiente:
x Dos aos de experiencia en investigaciones en cualquier disciplina o poseer
un grado de estudio superior.x Dos aos de experiencia investigativa directamente relacionada con
investigaciones de delitos informticos.
x Haber completado satisfactoriamente un curso de 80 horas sobre delitos
informticos o computacin forense provista por una agencia, organizacin o
empresa.
x Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la
certificacin que se desee obtener, a travs de un examen escrito.
La Polica Nacional debe tomar muy en cuenta que la labor que posee la
investigacin forense en informtica requiere de mucho entrenamiento y formacin,
no solamente en las especificaciones tcnicas sino tambin en procedimientos y
habilidades que permitan al profesional que se certifique, enfrentar la difcil tarea de
reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar
datos para formular hiptesis que orienten la investigacin de un delito informtico ,con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el
planteamiento de estas certificaciones importantes a nivel de Informtica Forense.