Informática forense

1. ¿Qué es la informática forense?La informática forense es un desafío interdisciplinario que requiere un estudio detallado de la tecnología, los procesos y los individuos que permitan la conformación de un cuerpo de conocimiento formal, científico y legal para el ejercicio de una disciplina que apoye directamente la administración de la justicia y el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las organizaciones. En este sentido, se tienen agendas de investigación a corto y mediano plazo para que se avancen en temas de especial interés en la conformación y fortalecimiento de las ciencias forenses aplicadas a los medios informáticos.

2. Procesos y características de la informática forense:Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [WILSON 2003, TAYLOR, R., CAETI, T., KALLLOPER, D., FRITSCH, E y LIEDERBACH, J. 2006]. En este sentido, detallamos de manera básica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado:

2.1.Esterilidad de los medios de informáticos de trabajoLos medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones magnéticas, ópticas (láser) o similares, so pena de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas. La esterilidad de los medios es una condición fundamental para el inicio de cualquier procedimiento forense en informática, pues al igual que en la medicina forense, un instrumental contaminado puede ser causa de una interpretación o análisis erróneo de las causas de la muerte del paciente.

2.2.Verificación de las copias en medios informáticosLas copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. La verificación de éstas debe estar asistida por métodos y procedimientos matemáticos que establezcan la completitud de la información traspasada a la copia. Para esto, se sugiere utilizar algoritmos y técnicas de control basadas en firma digitales que puedan comprobar que la información inicialmente tomada corresponde a la que se ubica en el medio de copia. Adicionalmente, es preciso que el software u aplicación soporte de esta operación haya sido previamente probado y analizado por la comunidad científica,

para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal.

2.3.Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizadosEl investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontación sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicación del método científico es posible que un tercero reproduzca sus resultados utilizando la misma evidencia.

2.4. Mantenimiento de la cadena de custodia de las evidencias digitalesEste punto es complemento del anterior. La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especia- les para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administra- ción de las pruebas a su cargo.

2.5. Informe y presentación de resultados de los análisis de los medios informáticosEste elemento es tan importante como los anteriores, pues una inadecuada presentación de los resultados puede llevar a falsas expectativas o interpretación de los hechos que ponga en entredicho la idoneidad del investigador. Por tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redacción impecable sin juicios de valor y una ilustración pedagógica de los hechos y los resultados, son elementos críticos a la hora de defender un informe de las investigaciones. Generalmente existen dos tipos de informes, los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias.

2.6. Administración del caso realizadoLos investigadores forenses en informática deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después. Por tanto, el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso.

2.7.Auditoría de los procedimientos realizados en la investigaciónFinalmente y no menos importante, es recomendable que el profesional investigador mantenga un ejercicio de autoevaluación de sus procedimientos, para contar con la evidencia de una buena práctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA Planear, Hacer, Verificar y Actuar, sea una constante que per- mita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina.

3. Herramientas o programas que se utilizan en informática forense:- Sleuth Kit (Forensics Kit)- Py-Flag (Forensics Browser)- Autopsy (Forensics Browser for Sleuth Kit)- dcfldd (DD Imaging Tool command line tool and also works with AIR)- foremost (Data Carver command line tool)- Air (Forensics Imaging GUI)- md5deep (MD5 Hashing Program)- netcat (Command Line)- cryptcat (Command Line)- NTFS-Tools- Hetman software (Recuperador de datos borrados por los criminales)- qtparted (GUI Partitioning Tool)- regviewer (Windows Registry)- Viewer- X-Ways WinTrace- X-Ways WinHex- X-Ways Forensics- R-Studio Emergency (Bootable Recovery media Maker)- R-Studio Network Edtion- R-Studio RS Agent- Net resident- Faces- Encase- Snort- Helix

3.1.Herramientas para el análisis de discos duros- AccessData Forensic ToolKit (FTK)- Guidance Software EnCase

3.2.Herramientas para el análisis de correos electrónicos

- Paraben

3.3.Herramientas para el análisis de redes- E-Detective - Decision Computer Group- SilentRunner - Accessdata- Encase Enterprise

Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet.

3.4.Herramientas para el análisis de usb- USBDeview

4. Empresas peruanas que realizan computo forense- LABORATORIO VIRUS http://www.laboratoriovirus.com

5. Caso detallado sobre informática forense

Cómputo forense en el caso Michael

JacksonSegún AP, la fiscalía en el caso Michael Jackson ha solicitado los servicios de especialistas en forense digital para investigar en torno al caso el teléfono celular del doctor acusado de la muerte del cantante. Cabe señalar que en su momento Stephen Marx testificó que encontró correos electrónicos que el acusado, Dr. Conrad Murray habría enviado algunas horas antes de la muerte de Michael. Esto sucedió el 25 de junio de 2009.

Ahora bien, no sólo se hará cómputo forense sobre los mensajes en el celular de Murray. El abogado titular de la defensa, Ed Chernoff dio a entender en una conferencia que el próximo testigo en el caso podría ser Stephen Marx, un examinador forense digital de la DEA (Drug Enforcement Administration) precisamente por el análisis del iPhone de Murray. Si bien a principios del juicio habló sobre los correos electrónicos, recientemente ha comentado sobre mayores y mucho más espectaculares hallazgos.El abogado de Distrito David Walgren comentó en una de sus intervenciones que se pudo rescatar una grabación de Jackson en comunicación con Murray desde el iPhone del doctor. El audio muestra a un Michael Jackson hablando pausado, lentamente y arrastrando la voz.

Algunas de las otras llamadas revelan la compra de propofol, entre ellas algunas que al parecer el Doctor no había colgado por alguna omisión y que fueron escuchadas por el interlocutor.

El caso de Michael Jackson, si bien no es el único en el mundo o en Estados Unidos en que se aplica el cómputo forense, sí sentará precedentes por la fuerte relevancia del mismo y el efecto mediático que causará.

Hoy, mucha gente desconoce el hecho que un teléfono celular o un smartphone, como el caso del iPhone son equipos con capacidad de almacenamiento y con las consiguientes facilidades para su análisis forense.

Todo equipo móvil moderno tiene registros, en muchas ocasiones internos y no disponibles al usuario común, pero que a través de la investigación o extracción forense puede revelar suficiente información como para que pueda ser usada en una corte como evidencia dura.

6. Demostrar o buscar la forma o manera de realizar un cómputo forense a una pc

En las series de detectives, el investigador se sienta delante del ordenador del sospechoso,

pulsa cuatro teclas y obtiene toda la información que buscaba. En la vida real no es tan

sencillo, pero con las herramientas adecuadas es posible explorar un ordenador en pocas horas. ¿En busca de qué? Pues de imágenes, texto, archivos borrados, registros de conversaciones,

historiales web, contraseñas y todos aquellos archivos que permiten rastrear la actividad de

una persona en un ordenador. Por supuesto, muchas de estas utilidades también sirven para

rescatar información propia.

Recuperar archivos y correos borradosA menos que alguien lleve a cabo limpiezas periódicas del espacio vacío (por ejemplo, con Disk

Wipe) o trabaje en entornos temporales (como Live-CD o máquinas virtuales), recuperar los

archivos borrados no solo es posible, sino también muy sencillo.

Algunas de las herramientas más eficaces para este cometido son DiskDigger, Recuva, Pandora

Recovery oTestDisk, que rescata incluso particiones perdidas y sectores de arranque.

Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo nivel

con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una buena

opción gratuita.

Rescatar las contraseñasLa contraseña es un sistema de protección usado por muchos sitios web, programas de

mensajería y herramientas ofimáticas. Recolectar las claves existentes permite rescatar mucha

información valiosa.

- BrowserPasswordDecryptor recupera todas las contraseñas almacenadas en los

navegadores web

- MessenPass hace otro tanto con los usuarios y contraseñas de Messenger, ICQ, Yahoo!...

- Mail PassView rescata las claves de las cuentas de correo locales (en Outlook, Eudora,

Thunderbird, etc.)

- BulletsPassView, ShoWin y AsteriskKey desvelan las contraseñas ocultas tras asteriscos

- WirelessKeyDump obtiene las contraseñas de las redes WiFi

- FireMaster intenta recuperar la contraseña maestra de Firefox

Nirsoft y SecurityXploded tienen muchas herramientas dedicadas exclusivamente a la

recuperación de contraseñas, casi todas ejecutables desde memorias USB. Conviene recordar

que solo obtienen contraseñas almacenadas sin protección y que para romper el cifrado es

necesario recurrir a ataques criptográficos (por ejemplo, con Cain & Abel).

Escarbar en cachés e historialesCuando estamos usando ordenadores, pasamos gran parte de nuestro tiempo navegando y

chateando. Esto genera subproductos en forma de texto e imágenes: la "basura" (caché) y los

registros de actividad (historiales) que se guardan automáticamente (a menos que

se limpien periódicamente o se usen modos privados).

- Chat Sniper recopila historiales, imágenes y contactos de Messenger, AIM y Yahoo!

Messenger

- IECacheView, MozillaCacheView, OperaCacheView y ChromeCacheView exploran la caché

- VideoCacheView está dedicado a los vídeos Flash que se guardan en la caché

- MyLastSearch recopila las últimas búsquedas llevadas a cabo en Google, Yahoo y Bing

- SkypeLogView sirve para ver cuáles fueron las últimas llamadas hechas con Skype

- LiveContactsView enumera los detalles de los contactos de Windows Live Messenger

- FlashCookieView analiza las cookies Flash

También hay utilidades específicas para ciertos escenarios. WinPrefetchView, por ejemplo,

analiza la carpeta Prefetch en busca de datos asociados a los programas que se ejecutan con

mayor frecuencia, mientras que Rifiutiescarba en la Papelera de reciclaje.

Buscar documentos y adjuntos de correoBuscar documentos es un paso lógico en toda investigación. FI Tools es capaz de encontrar más

de 4.000 tipos de archivos y explorar su contenido. Por otro lado, con la ayuda

de DocFetcher y Metadata Extractor puedes buscar texto ymetadatos de los documentos del

disco duro. Para buscar texto, Drive Look es particularmente eficaz.

Para rebuscar en los adjuntos de Outlook, OutlookAttachView es increíblemente útil. Para un

backup rápido de los correos y adjuntos de Mozilla Thunderbird, MozBackup es la primera

elección. Y si quieres un visor rápido, baja Mail Viewer.

Buscar, clasificar y recuperar imágenesUna versión portable de Picasa es el mejor aliado para buscar y organizar fotografías

rápidamente, aunque Adobis Photo Sorter y Media Event Organizer también sirven para clasificar

las imágenes en grupos.

Para recuperar fotografías borradas (sean auténticas o no), recomendamos Adroit Photo

Recovery y Adroit Photo Forensics, dos herramientas de informática forense especializadas en la

recuperación de imágenes.

Explorar disco duro y memoriaAl examinar un ordenador, necesitarás una visión global de carpetas y

archivos; SpaceSniffer, Scanner o WinDirStat Portable ofrecen resúmenes rápidos del reparto de

espacio en los discos duros. Para crear una base de datos de carpetas,

usa getFolder y FileLister.

Por último, puede darse el caso de que el ordenador al que has accedido esté todavía encendido

y con programas abiertos. Comprueba qué archivos están en uso con OpenedFilesView y analiza

la memoria con la ayuda de un editor hexadecimal (por ejemplo, WinHex o HxD).

Más avanzados son MoonSols Windows Memory Toolkit y Volatility Framework, que analizan

volcados de memoria y ficheros de hibernación de Windows, trozos de memoria "congelados"

que pueden contener información valiosa.

Suites: OSForensics y Windows File AnalyzerOSForensics es una suite de informática forense con una serie de utilidades únicas: buscador de

texto, índice de contenidos del disco, analizador de actividad reciente, búsqueda de archivos

borrados o discordantes y visor de memoria y disco.

La particularidad de OSForensics, además de concentrar varias herramientas en una sola

ventana, es su gestor de casos, útil para organizar los datos de distintas investigaciones.

Más sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas (los

archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial de

Internet Explorer y basura de la Papelera.