MAESTRA EN SISTEMAS GERENCIALES ESPECIALIZACIN SEGURIDAD INFORMTICA
Curso de Computacin Forense Facilitador: Antonio Jos Pernett Agnew
Trabajo Retos y Riesgos Emergentes para la Computacin Forense
Grupo No. 5
Integrantes: Agustn Collins Santiago Bsques Rodrigo Ortiz Juan Cedeo
Febrero 2012
I
Introduccin
Iniciaremos con una visin general de lo que es la formacin de especialistas de en informtica forense, cmo nace?, A quienes combaten?, su formacin en s y los contenidos que deben tener los programas de capacitacin de estos especialista. Veremos las caractersticas de confiabilidad que deben tener las herramientas y software que son usados en el mbito de la computacin forense y el conocimiento que debe tener el investigador forense informtico con respecto al mundo tecnolgico, al igual que las tcnicas anti forenses que no son ms que las utilizadas para contrarrestar las investigaciones realizadas en el posible hecho delictivo informtico. Se definirn e ilustrarn las diferentes formas en que se puede realizar la eliminacin de evidencia y se definirn los conceptos de ciberterrorismo, cibercrimen y las diferentes formas en que los ciberdelincuentes los llevan a cabo.
1
Objetivos
Revisar y analizar la formacin de especialistas en informtica forense. Presentar algunos desafos propios de la confiabilidad de las herramientas forenses en informtica. Presentar avances en el desarrollo de las tcnicas antiforenses y sus implicaciones para las investigaciones. Analizar las tendencias emergentes, como el cibercrimen y el ciberterrorismo Ilustrar algunos de los retos tecnolgicos ms sobresalientes para los investigadores forenses en informtica.
2
5.1 LA FORMACIN DE ESPECIALISTAS EN INFORMTICA FORENSE La evolucin actual de los negocios y de las posibilidades, que da a da se abren con el uso de las tecnologas de informacin y comunicaciones, establece retos interesantes tanto para las organizaciones como para los profesionales en telecomunicaciones e informtica. En este contexto, esa evaluacin aprovechada de manera positiva ofrece a los ciudadanos nuevas opciones y oportunidades para conectarse y compartir informacin, productos o servicios de manera global. Esto contrasta con la evolucin a su vez de la delincuencia tradicional y organizada ahora en medios electrnicos. Aparecen los delincuentes informticos que son una nueva generacin de criminales que utilizan los medios electrnicos para cometer crmenes. En este escenario, donde tenemos un enemigo que se mimetiza y es casi invisible, nace un nuevo tipo de investigador que asume el reto que exige seguir un delincuente de medios tecnolgicos, sabiendo que siempre estar un paso atrs del atacante. El cibercrimen tiene elementos que lo hacen imperceptible y caracterstico de una sorpresa predecible. La gente piensa que eso es un invento de los paranoicos y que si pasara, no sera tan grave. Se tienen datos y noticias relacionados con este tema, pero dispersos y poco difundidos. Los gobiernos no tienen tiempo para mirar esto, porque existen otros temas ms prioritarios para sus naciones. La formacin de investigadores forenses en informtica requiere atencin especial para establecer los referentes mnimos del plan de estudio.
3
Ilustracin 1 - Investigacin de crmenes de alta tecnologa Por otra parte se establecen cuatro (4) componentes de excelencia que deben estar presentes en programas de formacin en forensia digital, los cuales permiten que dichos programas se desarrollen profesionalmente a los especialistas en estos temas. Los cuatro componentes son: Contenido multidisciplinario, este debe permitir la formacin no solo de un analista tcnico en temas de tecnologa de informacin, sino que el conocimiento y manejo de temas en criminalstica, criminologa, delitos informticos, seguridad de informacin, cumplimiento de estndares y normas, entre otros. Los ejercicios prcticos en laboratorios, con herramientas tecnolgicas, deben procurar diferentes niveles de dificultad de anlisis de los especialistas. Instructores calificados y con amplio conocimiento del tema , son pieza fundamental de los programas en temas de forensia digital, dado que no existe cuerpo de conocimiento formal, la experiencia de estos, su visin acerca de los casos que han desarrollado, les permite ofrecer a los estudiantes un escenario de anlisis y revisin que enriquece el contenido de las materias
4
Ejemplos del mundo real, buscan darle mayor autenticidad y profundidad al aprendizaje planteado.
5.2 Confiabilidad de las herramientas forenses en informtica Par al computacin forense, otro reto emergente son las herramientas tecnolgicas que los investigadores utilizan para adelantar sus pericias. Las herramientas licencias exigen importantes inversiones, tanto de hardware como en software, para darles formalidad y certeza a las partes involucradas en un caso de la evidencia digital, y dichas inversiones no slo son en la adquisicin, sino en mantenimiento y la actualizacin de las mismas. Tambin se encuentran herramientas forenses de cdigo abierto, las cuales son cuestionadas en muchos tribunales y poco se recomiendan su uso formal para presentar audiencias. Las pruebas que se realicen a los programas y dispositivos de hardware sern tiles para dar cumplimiento a las exigencias propias del test de Daubert, prueba de referencia generalizada para establecer la confiabilidad de las herramientas en computacin forense, el cual es un conjunto de reglas extradas de la sentencia de la corte suprema de justicia en el caso de Daubert versus Merrell Dow Pharmaceutics que especifica los estndares que deben tener los jueces a la hora de admitir o no la evidencia la entrega por expertos en un caso las cuales son: - La tcnica o el programa utilizados han sido probados en condiciones y no slo en laboratorios.
- La tcnica o el programa han sido sometidos a revisin de pares acadmicos o cientficos y publicaciones especializadas.
- Se conoce el nivel de error potencial del programa o tcnica.
- Existe un estndar o un referente para el control y la revisin del programa o tcnica.
- La tcnica o el programa son generalmente aceptados dentro de la comunidad cientfica relevante a la misma.
Esto significa que los programas o las herramientas de computacin forense requieren estudios y anlisis detallados para contar con un nivel de aceptacin de los mismos.
5
5.3. Tcnicas anti forenses y sus implicaciones para las investigaciones actuales y futuras. Los atacantes evolucionan tan rpido como la inseguridad de la informacin, ms nos demoramos en la publicidad del mismo que lo que se le encuentra una vulnerabilidad. Esto implica que tanto los especialidad en seguridad como los investigadores en informtica forense deben avanzar e el reconocimiento de esa tecnologa y estudiar sus ventajas y limitaciones.
Las tcnicas antiforenses genricas como las tcnicas forenses especificas en informtica, evolucionan y se mejoran, por eso es que se necesitan una basen en la comprensin de los sistemas de informacin ya que se vuelve critico para la formacin y la prctica de los investigadores forenses, pues, si un conocimiento claro de los mismos, el atacante tendr mayores oportunidades para confundir y distorsionar la realidad de los hechos. Por eso que en esta evolucin, las tcnicas forenses necesitan una estandarizacin y ajuste para estar tan cerca como las nuevas vulnerabilidad que se presenten tanto en sus herramientas como en las infraestructuras de las empresas. Para desarrollar un marco conceptual de anlisis de las estrategias anti forenses, una definicin de esta sera: cualquier intento exitoso efectuado por un individuo o proceso que impacte de manera negativa la identificacin, la disponibilidad, la confiabilidad y la relevancia de la evidencia digital en un proceso forense.
6
Entonces, las estas estrategias aplicadas en la escena del posible ilcito o incidente buscan como objetivo: - Limitar la deteccin de un evento que hay ocurrido.
- Distorsionar la informacin residente en el sitio.
- Incrementar el tiempo requerido para la investigacin.
- Generar dudas en el informe forense.
- Engaar y limitar un ataque contra el investigador forense que realiza la pericia.
- Eliminar los rastros que pudiesen haber quedado luego de los hechos.
5.3.1 Destruccin de la evidencia Este mtodo busca modificar fsicamente el objeto que contiene la evidencia requerida, de tal forma que no sea posible conseguirla de manera confiable o real. Cuando se habla de eliminar la fuente de la evidencia, significa neutralizar el sistema o la tcnica utilizada por el sistema para dejar los rastros al controlar esta tcnica o proceso no existir la evidencia y, por tanto, no habr trazas que seguir en una investigacin (dem). Si el atacante no ha podido materializar los dos mtodos anteriores, puede optar por esconder la evidencia o falsificarla. En la primera, la evidencia se dispersa en el medio que la contiene, se oculta en el mismo, o en el sistema donde se encuentra, limitando los hallazgos del investigador en su proceso. En la segunda, crea o invalida la evidencia que adelante el investigador (dem). A manera de resumen y como elemento de anlisis, un cuadro resumen y analtico de las tcnicas antiforenses.
7
Propsito Tipo Nivel de esfuerzo requerido Destruccin Lgica: borrado seguro de datos Bajo Fsica: desmagnetizador (degausser) Alto Ocultar Aplicaciones: criptografa, esteganografa, rootkits. Media Sistemas de archivos: unidades de datos, metadata, archivos cifrados. Media Medios de almacenamiento: HPA (Host Protected Data) Alto Eliminar la fuente Memoria Fsica Medio Desactivar sistemas de monitoreo Medio Falsificar Sistema de archivos: metadata Medio Sistema de logs y auditora Medio
La sobrescritura de datos y metadatos est asociada con la modificacin fsica de la informacin residente en los medios de almacenamiento y sus sistemas, y sus sistemas de archivos. Es una manera para dejar inconsistente una posible recuperacin de informacin, o una forma de construir entradas falsas en las tablas de asignacin de archivos que generen la aparicin de archivos inexistentes.
5.4 CIBERCRIMEN Y CIBERTERRORISMO: AMENAZAS ESTRATGICAS Y TCTICAS DE LAS ORGANIZACIONES MODERNAS.
5.4.1 Ciberterrorismo Segn Denning, el ciberterrorismo es la convergencia entre terrorismo y el ciberespacio, una conjuncin de fuerzas que, utilizando las ventajas y capacidades del terrorismo fsico, ahora basado en fallas y vulnerabilidades tecnolgicas logran intimidar o presionar a un estado y sus ciudadanos.
8
Por otra parte, Nelson, Choi, Iacobucci y Gagnon, establecen que el ciberterrorismo est asociado con las vulnerabilidades asociadas con las infraestructuras crticas de una nacin: energa elctrica, produccin, almacenamiento y suministro de gas y petrleo, telecomunicaciones, bancos y finanzas, sistema de suministro de agua, transporte, servicios de emergencia y operaciones gubernamentales, aquellos sistemas que hacen parte de la dinmica de la economa de una nacin y el bienestar de los ciudadanos. Si bien las vulnerabilidades no son sinnimo de amenazas, dado que ellas son debilidades que se presentan en un sistema, las amenazas requieren un actor con motivacin, recursos y deseos de explotar la misma. De igual forma, Gordon y Ford comentan que las acciones ciberterroristas son actividades terroristas llevadas a cabo completamente (de manera preferente) en el mundo virtual. En este contexto, los investigadores mencionados establecen un modelo base para comprender el ciberterrorismo, como una extensin del terrorismo, para lo cual establecen siete elementos de anlisis a saber: Quin es el perpetrador?: un grupo o un individuo. El sitio donde se adelanta la accin. La accin misma realizada. La herramienta o estrategia utilizada: violencia, secuestro, bomba, etc. El objetivo de la accin: el gobierno, una organizacin particular. La afiliacin a la que pertenece el perpetrador La motivacin El ciberterrorismo abarca cuatro variables que deben ser parte del anlisis de esta nueva amenaza, la cual se confunde con las fallas mismas de los sistemas de informacin, y deja sin argumentos tanto a los profesionales de la seguridad, como a los analistas de inteligencia. Las variables propias del ciberterrorismo son: Ataques a la infraestructura de tecnologas de informacin TI. Ataques a la informacin Utilizacin de las TI para labores de coordinacin de los planes terroristas La promocin y difusin de sus consignas ideas, as como del enfrentamiento de sus grupos de accin.
9
Al estudiar como mnimo estas cuatro variables y las relaciones entre ellas, podernos ver comportamientos emergentes que nos permitirn ver cmo las naciones, las organizaciones y los individuos deben cerrar sus filas para que el terror en lnea no se convierta en esa amenaza invisible y predecible que todos advertimos pero no queremos enfrentar. Si esta tendencia actual persiste, estaremos allanando el camino para eventos de mayor magnitud, que le permitirn al atacante demostrar que puede atemorizar a un estado, que ha faltado a su deber de proteccin de ms ciudadanos ahora en un mundo online.
5.4.2 Cibercrimen: viejos hbitos del mundo offline, nuevas armas en el mundo online. Para la UIT, la ciberseguridad consiste en: () proteger contra el acceso no autorizado y la manipulacin y destruccin de recursos y activos esenciales (), definicin que si bien establece un lineamiento concreto para los gobiernos e interesados, limita un entendimiento profundo del concepto de seguridad de la informacin, causante de los riesgos identificados, como la enemiga de la sociedad. La realidad de la inseguridad de la informacin y la materializacin de la delincuencia, en medios electrnicos, nos debe llevar a mirar en perspectiva lo que la justicia requiere para enfrentar el desafo de un atacante annimo, que se mimetiza en la red, que manipula Ciberterrorismo Ataques a la infraestructura Ataques a la informacin Promocin y difusin Facilitacin de las tecnologas
10
evidencias, que elimina rastros y que conoce en los detalles las herramientas de apoyo y soporte de investigaciones informticos.
Para perseguir la criminalidad informtica, la dificultad existente radica en varias razones, como el entendimiento de las tecnologas y las vulnerabilidades inherentes por parte de los cuerpos de seguridad del Estado y la administracin de justicia, la comprensin y el anlisis de la evidencia digital y los rastros electrnicos, la informacin y su valor en los mercados internaciones y la falta de precisin en el perfil de un delincuente tenolgico, como elementos que exigen de la academia, el gobierno, la industria y las instituciones de la justicia un esfuerzo conjunto para avanzar en las construccin de caminos que confronten a los nuevos y organizados criminales. 5.4.3 Retos tecnolgicos para los investigadores forenses en informtica Los atacantes establecen un reto para los investigadores forenses en informtica, por los alcances y habilidades requeridas para alcanzar sus objetivos. En este sentido, el atacante ha evolucionado, descubriendo en las tecnologas un incentivo para materializar sus acciones, adicional de maniobras para evadir las investigaciones. En razn a lo anterior, se requiere analizar algunos de los elementos emergentes que pueden ser aprovechados por los criminales informticos para entorpecer las investigaciones en curso.
Computer Abuse. Parker 1978 El computador es el objeto, o los datos en el computador son los objetos, del acto. El computador crea un entorno nico o una nica forma para los activos. El computador es el instrumento o herramienta del acto. El computador representa un smbolo utilizado para la intimidacin o el engao. Computer Crime. Taylor 2006 El computador es el objeto de la conducta. El computador es el instrumento para cometer la conducta El computador facilita la consumacin de la conducta Conductas asociadas contra la industria informtica.
11
5.4.4 Archivos cifrados Una de las tcnicas ms utilizadas por los atacantes, como parte de sus actividades delictivas, es cifrar la informacin residente con algoritmos que utilizan llaves de cifrado. Hasta la fecha los archivos cifrados representan un gran reto para la computacin forense, pues, de lograr descifrar cualquier tipo de informacin cifrada, estaramos poniendo en tela de juicio la formalidad de los algoritmos utilizados. 5.4.5 Estenografa en video La estenografa es una tcnica a travs de la cual, manipulando la estructura interna de un archivo, logramos esconder otro en ste. Dicho engao tecnolgico ha sido ampliamente utilizado en la actualidad y ya existen mltiples herramientas que buscan detectar el uso del mismo. La tcnica consiste en manipular el flujo de video y lograr esconder la informacin, para luego en el receptor interpretar la secuencia y extraer la informacin. 5.4.6 Rastros en ambientes virtuales El rpido incremento de las plataformas virtuales nos muestra un futuro ms demandante. Los entornos virtualizados son escenarios de alta volatilidad, en el manejo de memoria y archivos en disco. Si bien la virtualizacin busca aislar un sistema operativo de otro, siendo estos ejecutados a la vez dentro de un mismo contenedor, es probable que comparta segmentos de memoria en conjunto de otras instancias, lo cual puede hacerlo vulnerable a una falla generalizada. Hasta la fecha, los ambientes virtuales son uno de los referentes mas exigentes para la computacin forense, ya que requiere de un mayor anlisis e investigacin. 5.4.7 Informacin almacenada electrnicamente en memoria voltil La informacin que se halle en memoria es un insumo fundamental para cualquier investigacin. Tal es la importancia de este hecho, que, por los general, se recomienda a los investigadores no apagar la mquina, s la encuentran encendida, dado que la informacin residente en memoria, es pieza clave de lo que pudo haber ocurrido. Estudios recientes muestran que es posible capturar lo que hay en memoria de un computador encendido, y que es viable exportar el resultado del mismo a un archivo para
12
su anlisis posterior. Sin embargo, por lo general, las herramientas disponibles para ello pertenecen, como es natural, al proveedor del sistema operativo. En este sentido, es necesario investigar sobre una manera forense vlida y consistente de la informacin en memoria, de tal manera que pueda ser sujeto de revisin y as fortalecer la idoneidad de la prueba que se presente. 5.4.8 Anlisis de sistemas en vivo Cuando el investigador forense se enfrenta al anlisis de un sistema en vivo, sabe que la modificacin de variables o de archivos en el sistema revisado siempre ser un riesgo a mitigar. En este contexto, las tcnicas que se utilicen para este trabajo debern considerar procedimientos formales y probados que limiten la modificacin involuntaria de la escena del crimen. Las herramientas actuales disponibles tratan de evitar cualquier tipo de modificacin o de contacto con los elementos del sistema analizado en vivo; sin embargo, la probabilidad de modificacin de elementos en memoria o incluso de archivos abiertos en disco es alta, lo que exige del investigador conocer con claridad los posibles cambios que se pueden dar en la mquina analizada. El anlisis de sistemas en vivo es, por tanto un reto tecnolgico crtico para los investigadores forenses actuales, pues saben que un atacante informado y tan conocedor como l, lo pondr a prueba para poner en duda sus procedimientos y el uso de sus herramientas.
II
Conclusiones
Hemos visto que en este mundo actual en el que las empresas dependen ms de sus sistemas de informacin es muy importantes tener profesionales en el rea para proteger dicha informacin y a su vez tener personal capacitado que en caso de ocurrir una prdida de informacin, los mismos puedan descifrar las causas, para proceder con las debidas correcciones y en alguno de los casos proceder de manera legal contra los ejecutores de aquellas faltas.
Las estrategias anti forenses crean un nuevo punto de vista en las ciencias forenses y la seguridad de la informacin debido a que tienen vasto conocimiento de las vulnerabilidades y de los procesos de investigacin aplicados hasta el momento que los coloca un paso adelante de los investigadores. Al igual estos deben mantener una capacitacin continua del mundo tecnolgico analizando las posibles vulnerabilidades para que la brecha de conocimientos y herramientas entre las tcnicas forenses del investigador y anti forenses del atacante sea cada vez mas angosta.
III
Bibliografa
Luis J. Ruiz [en lnea]. [Fecha de consulta: 29 enero 2012]. Disponible en: http://www.monografias.com/trabajos14/investigacion/investigacion.shtml