Facultad de Ingeniera

Escuela Ingeniera de Sistemas y Computacin.

III Programa de Profesionalizacin. Titulo: Informtica Forense, Mencin de herramientas.

Autor:

Crdova Oblitas, Csar Augusto.

Chiclayo, Septiembre, 2010

Resumen En este ensayo se pretende presentar a la informtica forense, conocida tambin como computacin forense, haciendo mencin en su importancia, objetivos, estudio, pasos del computo forense y dificultades de esta especializacin, tambin se hace la mencin de algunas herramientas, dando a conocer esta especialidad.

Introduccin.

La mencin de la ciencia forense; es probable que nos trae a la mente la televisin, centrndonos en los dramas de entorno a escenas de crmenes o a los procedimientos realizados por un mdico forense. Sin embargo, este tema nos lleva a una creciente especializacin que se est desarrollando y que consiste en recuperar informacin de un sistema informtico. Un especialista forense de hoy puede trabajar junto a instituciones de la Justicia, Policiales y compaas particulares, para recuperar, ocultos o suprime la informacin de un computador de uso domstico o de alguna institucin [1].

Esta informacin pueden ir desde los archivos borrados (o piezas de los archivos eliminados) y documentos existentes almacenados en un disco duro o de almacenamiento en cualquier medio de comunicacin.

[2] La informtica forense ha llegado a ser tan importante para las organizaciones de hoy en da, Tal es as que el mundo empresarial es el impulsador al desarrollo de las nuevas herramientas forenses, aun mas, que el mundo jurdico.

El Internet ha demostrado que el uso de una computadora o un medio de comunicacin es una herramienta ideal para comunicarse. Lo que muchos usuarios desconocen, sin embargo, que los rastros de conversaciones, correos electrnicos y otros documentos se quedan almacenados. Estas huellas, son a menudo convertidos en una prueba esencial en los procesos judiciales, pueden ser descubiertos o recuperados a travs del uso de la tcnicas forenses.

[3] Esta rama investigativa tuvo su origen desde el ao 1984 cuando los laboratorios del FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Se reconoce a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit (software forense), como los pioneros de la informtica forense y actualmente, Brian Carrier, es probablemente uno de los mayores expertos mundiales en el tema.

La gente usa los ordenadores o medios de comunicacin para cometer delitos: enviar o comercializar pornografa, el lavado de dinero, extorsin, actividades terroristas, etc. El propsito que se persiguen en esta investigacin, es proporcionar avances del especialista forense as como su uso de herramientas, quien puede encontrar la evidencia, dado que no se borra la informacin por completo del computador o medio de almacenamiento de datos; cuando alguien quiere eliminar informacin para ocultar algn delito. Qu es la Informtica Forense? Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. En nuestra Institucin Policial hemos complementado este concepto y la definimos como la ciencia que mediante la aplicacin de procedimientos tcnicos permite identificar, adquirir, preservar, analizar, presentar y sustentar la informacin que ha sido procesada electrnicamente y almacenada en un medio computacional [3].

Importancia, Objetivos y Estudios de la Informtica Forense [4]. Importancia: Segn estudios sobre delitos relacionados con la informtica, basados en el nmero de incidentes reportados por las entidades estatales y privadas y el sector bancario de nuestro pas, los crmenes informticos, su prevencin y procesamiento se vuelven cada vez ms importantes; sin embargo, la importancia real de la informtica forense proviene de sus objetivos.

Objetivos: La informtica forense tiene 3 objetivos fundamentales que son: - La persecucin y procesamiento judicial de los delincuentes. - La compensacin de los daos causados por los criminales informticos. - La creacin y aplicacin de medidas para prevenir casos similares.

Estudios: Entre los estudios ms conocidos que permite la informtica forense y que est en capacidad de atender un Laboratorio de Informtica Forense son: - Recuperacin de evidencias en discos. - Reconstruccin de eventos (Web-Internet). - Acceso a archivos temporales y de cach. - Recuperacin de contraseas y archivos encriptados. - Deteccin y recuperacin de Virus, Troyanos y Spyware (es un tipo de software malicioso). - Deteccin de mensajes de gano grafa Anonimato (Dominio de escrituras Annimos). - Recuperacin del Registro de Windows. - Investigacin de informacin.

Cabe resaltar que para la preservacin de estos datos es necesaria la copia del medio a analizar, algunos especialistas recomiendan hacer hasta tres copias de seguridad; siempre acompaados de otro especialista forense, de la misma capacidad de conocimiento, para futuros deslindes judiciales, as como tener una libreta de apuntes o bitcora, de todas las acciones seguidas, desde el momento en que se tuvo el medio sometido al anlisis.

Pasos del cmputo forense [5]. El proceso de anlisis forense a una computadora se describe a continuacin: Identificacin: Es muy importante conocer los antecedentes, situacin actual y el proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las bsquedas y la estrategia de investigacin. Incluye muchas veces la identificacin del bien informtico, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisin del entorno legal que protege el bien y del apoyo para la toma de decisin con respecto al siguiente paso una vez revisados los resultados.

Preservacin: Este paso incluye la revisin y generacin de las imgenes forenses de la evidencia para poder realizar el anlisis. Dicha duplicacin se realiza utilizando tecnologa de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia bit-a-bit de todo el disco, el cual permitir recuperar en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar la contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una alteracin no deseada en los medios.

Anlisis: Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la mquina como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos especficos, recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos sitios visitados, recuperacin del cach del navegador de Internet, etc.

Presentacin: Es el recopilar toda la informacin que se obtuvo a partir del anlisis para realizar el reporte y la presentacin a los abogados, la generacin (si es el caso) de una pericial y de su correcta interpretacin sin hacer uso de tecnicismos.

Dificultades del Investigador Forense [3]: El investigador forense requiere de varias habilidades que no son fciles de adquirir, es por esto que el usuario normal se encontrar con dificultades como las siguientes: 1. Carencia de software especializado para buscar la informacin en varios computadores. 2. Posible dao de los datos visibles o escondidos, an sin darse cuenta. 3. Ser difcil encontrar toda la informacin valiosa. 4. Es difcil adquirir la categora de 'experto' para que el testimonio personal sea vlido ante una corte.

5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa. 6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional. 8. Dificultad para conducir la investigacin de manera objetiva. 9. Dificultad para hacer correctamente una entrevista con las personas involucradas. 10. Reglamentacin que puede causar problemas legales a la persona.

Es por esto que, antes de lanzarse a ser un investigador forense, se necesita bastante estudio y experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de un accidente es aconsejable llamar a uno o varios expertos.

Herramientas de Investigacin Forense [4]: En la actualidad existen cientos de herramientas; las cuales se pueden clasificar en cuatro grupos principales. - Herramientas para la Recoleccin de Evidencia - Herramientas para el Monitoreo y/o Control de Computadores - Herramientas de Marcado de documentos. - Herramientas de Hardware.

Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la informacin se han diseado varias herramientas como DIBS "Portable Evidence Recovery Unit" (Prueba Porttil Unidad de Recuperacin).

Algunas Herramientas: Sleuth Kit, Autopsy: ambos son de cdigo abierto herramientas digitales de investigacin (tambin conocido como herramientas digitales forenses) que se ejecutan en sistemas Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, Y

Solaris). Pueden ser utilizados para analizar NTFS, FAT , HFS +, ext2, ext3, UFS1 , y los sistemas de archivo UFS2 y varios tipos de sistemas de volumen.

Py-Flag: es una herramienta avanzada para el anlisis e investigacin forense de grandes volmenes de archivos de registro.

dcfldd - DD AIR: es una aplicacin de cdigo abierto que proporciona una interfaz grfica para los dd / dcfldd (conjunto de datos Definicin (dd)) de comandos. AIR est diseado para crear fcilmente discos forenses, solo para Linux y distribuciones.

Foremost: es un programa de consola para recuperar archivos basndose en sus cabeceras, pies de pgina, y las estructuras internas de datos.

Md5deep: es un conjunto de programas para calcular MD5, SHA-1, SHA-256, Tiger, o Whirlpool (son tcnicas de algoritmos, que nos permiten tener una marca especial en cada archivo, como las firmas o huellas digitales, son nicos), es capaz de examinar un rbol de todo el directorio. Es decir, calcular el MD5 para cada archivo en un directorio y para cada archivo de cada subdirectorio.

Netcat: es una utilidad libre, de red; lee y escribe datos a travs de conexiones de red, usando el protocolo TCP / IP.

Cryptcat: es una sencilla utilidad de Unix que lee y escribe datos a travs de conexiones de red, utilizando los protocolos TCP o UDP, una herramienta de exploracin, ya que puede crear casi cualquier tipo de conexin que se necesita.

NTFS-Tools: proporciona acceso de lectura a unidades NTFS desde el entorno MS DOS. Soporta nombres de archivo largos, as como comprimidos y archivos fragmentados.

Qtparted: es un programa para Linux que se utiliza para crear, destruir, cambiar el tamao y la gestin de particiones (Libre).

Regviewer: Es independiente de plataforma que permita un examen de los archivos de registro de Windows desde cualquier plataforma.

F.I.R.E.: Destaca dentro de las distribuciones Linux especficas para informtica forense Sitio web: http://biatchux.dmzs.com

WinHex: recuperacin de archivos, Editor Hexadecimal de Archivos, Discos y RAM Sitio web: http://www.x-ways.net (shareware)

Snort: sistema de deteccin de intrusiones basado en red, tiene la capacidad para realizar anlisis en tiempo real del trfico y el registro de paquetes de Protocolo Internet (IP) (Libre) . Sitio web: http://www.snort.org

Ossim: Herramienta de monitorizacin. Sitio web: http://www.ossim.net

Ettercap: Excelente sniffer de redes. Sitio web: http://ettercap.sourceforge.net/

NMap: (Network Mapper) Potente localizador de vulnerabilidades, software libre de utilidad para la exploracin de red o de auditora de seguridad. Sitio web: http://www.insecure.org/nmap/

Nessus: Otro proyecto para scanear vulnerabilidades. (Sitio web: http://www.nessus.org)

Ethereal: Otro potente sniffer. Sitio web: http://www.ethereal.com

Fport: Identifica puertos abiertos y aplicaciones asociadas a ellos. Sitio web: http://foundstone.com/

Putty: Excelente cliente SSH (Secure Shell o SSH es una protocolo de red que permite el intercambio de datos utilizando una canal seguro entre dos dispositivos de red). Sitio web: http://www.chiark.greenend.org.uk/~sgtatham/putty/

Stunnel: Programa que cifra las conexiones TCP bajo SSL (Secure Sockets Layer, el predecesor de Seguridad en el transporte de capa, un protocolo de comunicaciones). Sitio web: http://www.stunnel.org/

AirSnort: Herramienta wireless para recuperar claves cifradas Sitio web: http://airsnort.shmoo.com/

Aircrack: sniffer y WEP craqueador de wirless. Stio web: http://www.cr0.net:8040/code/network/

Achilles: Herramienta para testear la seguridad de las aplicaciones web. sitio web: http://www.mavensecurity.com/achilles

NetStumbler: Localizador de los puntos de acceso wirless (debes poseer tarjeta wirless para q funcione). Sitio web: http://www.stumbler.net/

Dsniff: sniffer. Sitio Web: http://www.datanerds.net/~mike/dsniff.html

VNC: Administrador remoto. Sitio web: http://www.realvnc.com/ Autopsy: Browser para la informtica forense. Sitio web: http://www.sleuthkit.org

PyFlag: Herramienta para recuperar discos en RAID.

Sitio web: http://pyflag.sourceforge.net/

Promqry 1.0, PromqryUI 1.0 (interfaz grfico): Herramientas que le permiten detectar un sniffer de red que se ejecuta en un equipo que ejecuta Windows Server 2003 , Windows XP o Windows 2000.

Encase 4.20: Se escogi mostrar esta herramienta por tratarse del software lder en el mercado, el producto ms ampliamente difundido y de mayor uso en el campo del anlisis forense. Desarrollada por Guidance Software Inc.
(http://www.guidancesoftware.com)

EnCase es un software costoso, y en Estados Unidos los costos se dividen as:

Gobierno y Educacin US$1,995 Sector Privado US$2,495

Al existir muchos programas para el servicio y uso del Analista Forense, tambin existen algunos programas que son mencionados, para este caso, pero los que no tiene una buena utilidad, tal es as como USBDeview 1.77, que solo muestra detalles de los USB conectados.

Conclusiones.

El foco de la seguridad est centrado en la prevencin de ataques.

Todo en el mundo tiene su lado opuesto, y la seguridad no es la excepcin, tiene la inseguridad, y esto muchas veces nos lleva a la destruccin de la informacin; que puede ser casual o intencionada, como se ha podido apreciar en este tema ya contamos con herramientas que pueden ser bajadas libremente, eso s teniendo el especial cuidado al manipularlas.

Puede servir como apoyo a la Justicia y empresas particulares; a la investigacin sobre el efecto de algo sobre la comisin del delito para saber si ha sido accidental o intencionadamente, estas tcnicas y herramientas de la Informtica Forense, quien trata de obtener una radiografa del estudio del equipo (medios de comunicacin, discos duros, CD, DVD, USB, Diskettes, celulares, etc.) a quien se quiere hacer el estudio. Actualmente en que los medios de comunicacin, almacenamiento de datos, utilizan medios; en los cuales puede filtrarse algn delincuente informtico, este profesional en Informtica Forense, puede ayudar al deslinde o descubrir a intrusos en nuestros medios de comunicacin, as como de almacenamiento de datos.

BIBLIOGRAFIA:
[1] Duffy, K., M. Davis, and V. Sethi. 2010. Demonstrating Operating System Principles via Computer Forensics Exercises. Journal of Information Systems Education 21, no. 2, (July 1): 195-202. http://www.proquest.com (accessed September 3, 2010). [2] Hosmer, C. 2006. Digital evidence bag, Communications, of the ACM, Vol. 49, No. 2, pages 69-70.

[3] EE.UU. Departamento de Justicia. 2000. Recovering and Examining Computer Forensic Evidence

(http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm (consultado: 11-09-2010).

[4] scar Lpez , Haver Amaya, Ricardo Len (2001). Informtica Forense: Generalidades, Aspectos Tcnicos Y Herramientas. http://www.criminalistaenred.com.ar/Informatica_F.html (consultado: 13-092010).

[5] Wikipedia (2010). Cmputo forense, http://es.wikipedia.org/wiki/Inform%C3%A1tica_forense, (consultado: 13-09-2010).