INFORMATICA FORENSE

POLICA INFORMTICA
FUNCIONES:
Investigar y Denunciar la Comisin de los
Delitos Contra el Patrimonio (hurto
agravado) mediante la utilizacin de
sistemas de transferencias electrnicas de
fondos, de la telemticaen general, o la
violacin del empleo de claves secretas,
identificando, ubicando y capturando a los
autores y cmplices, ponindolos a
disposicin de la autoridad competente.

POLICA INFORMTICA
FUNCIONES:
Investigar y Denunciar la Comisin de los
Delitos Informticos en la modalidad de
interferencia, acceso, copia ilcita,
alteracin, dao o destruccin contenida
en base de datos y otras que ponga en
peligro la seguridad nacional,
identificando, ubicando y capturando a los
autores y cmplices, ponindolos a
disposicin de la autoridad competente.

DELITO

DELITO

DELITO

INFORMATICA FORENSE
Segn

el FBI, la informtica forense es

la ciencia de adquirir, preservar,
obtener y presentar datos que han
sido procesados electrnicamente y
guardados en un medio
computacional.
Desde 1984, el Laboratorio del FBI y
otras agencias que persiguen el
cumplimiento de la ley empezaron a
desarrollar programas para examinar
evidencia computacional.

IMPORTANCIA
1.

"High-tech crime, es una de las

prioridades ms importantes
del Department of Justice

2.

Los crmenes informticos, su

prevencin, y procesamiento se
vuelven cada vez ms
importantes.

IMPORTANCIA
Objetivos
1.

2.
3.

La compensacin de los daos

causados por los criminales o
intrusos.
La persecucin y procesamiento
judicial de los criminales.
La creacin y aplicacin de
medidas para prevenir casos
similares.
Recoleccin de evidencia

USOS

1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada

para procesar una variedad de crmenes, incluyendo homicidios,
fraude financiero, trfico y venta de drogas, evasin de impuestos o
pornografa infantil.

2. Litigacin Civil: Casos que tratan con fraude, discriminacin,

acoso, divorcio, pueden ser ayudados por la informtica forense.

3. Investigacin de Seguros: La evidencia encontrada en

computadores, puede ayudar a las compaas de seguros a disminuir
los costos de los reclamos por accidentes y compensaciones.

4. Temas corporativos: Puede ser recolectada informacin en casos

que tratan sobre acoso sexual, robo, mal uso o apropiacin de
informacin confidencial o propietaria, o an de espionaje industrial.

5. Mantenimiento de la ley: La informtica forense puede ser

usada en la bsqueda inicial de rdenes judiciales, as como en la
bsqueda de informacin una vez se tiene la orden judicial para hacer
la bsqueda exhaustiva

La Investigacin Tecnolgica
Los

investigadores
de
la
computacin forense usan gran
cantidad
de
tcnicas
para
descubrir evidencia, incluyendo
herramientas de software que
automatizan y aceleran el anlisis
computacional.

1.- Evidencia Digital

La evidencia computacional es nica, cuando se la compara con

otras formas de evidencia documental.

A diferencia de la documentacin en papel, la evidencia

computacional es frgil y una copia de un documento almacenado
en un archivo es idntica al original.

Otro aspecto nico de la evidencia computacional es el potencial

de realizar copias no autorizadas de archivos, sin dejar rastro de
que se realiz una copia.

Esta situacin crea problemas concernientes a la investigacin del

robo de secretos comerciales, como listas de clientes, material de
investigacin, archivos de diseo asistidos por computador,
frmulas y software propietario.

1.- Evidencia Digital

La IOCE (International Organization On Computer Evidence)

define los siguientes cinco puntos como los principios para
el manejo y recoleccin de evidencia computacional:

1. Sobre recolectar evidencia digital, las acciones tomadas

no deben cambiar por ningn motivo esta evidencia.

2. Cuando es necesario que una persona tenga acceso a evidencia

digital original, esa persona debe ser un profesional forense.

3. Toda la actividad referente a la recoleccin, el acceso,

almacenamiento o a la transferencia de la evidencia digital,
debe ser documentada completamente, preservada y
disponible para la revisin.

4. Un individuo es responsable de todas las acciones tomadas

con respecto a la evidencia digital mientras que sta est en su
posesin.

5. Cualquier agencia que sea responsable de recolectar,

tener acceso, almacenar o transferir evidencia digital es
responsable de cumplir con estos principios.

La Investigacin Tecnolgica

2.- Grabacin en Medios Magnticos : Principios Fsicos

Escribiendo Datos Magnticos

Leyendo Datos Magnticos

3.- Anlisis de Discos

3.- Analisis de Discos

La clave de la computacin forense es el anlisis de

discos duros, disco extrables, CDs, discos SCSI, y
otros medios de almacenamiento. Este anlisis no slo
busca archivos potencialmente incriminatorios, sino
tambin otra informacin valiosa como passwords, logins
y rastros de actividad en Internet.

Los investigadores forenses, utilizan

herramientas especiales que buscan
archivos "suprimidos" que no han sido
borrados en realidad, estos archivos se
convierten en evidencia.

3.- Analisis de Discos

File Slack

El espacio de almacenamiento de datos que existe desde el

final del archivo hasta el final del cluster

El file slack, potencialmente contiene octetos de datos

aleatoriamente seleccionados de la memoria del computador

Archivo Swap de Windows

Los archivos de intercambio son potencialmente enormes y

la mayora de los usuarios de PC son inconscientes de su
existencia. El tamao de estos archivos puede extenderse
desde 20MB a 200MB, el potencial de estos es contener
archivos sobrantes del tratamiento de los procesadores de
texto, los mensajes electrnicos, la actividad en Internet
(cookies, etc), logs de entradas a bases de datos y de asi
cualquier otro trabajo que haya ocurrido durante las ltimas
sesiones.

3.- Analisis de Discos

Unallocated File Space

almacenamiento no-asignado (Unallocated File Space). Igual

sucede con el file slack asociado al archivo antes de que ste
fuera borrado. Consecuentemente, siguen existiendo los
datos, escondidos pero presentes, y pueden ser detectados.

4.- Eliminacin de datos

Prcticas adecuadas para la eliminacin de informacin.

Eliminacin de Datos en un Medio Magntico

DoD (Departamento de Defensa de los Estados Unidos)

public un documento, el National Industrial Security
Program Operating Manual (NISPOM), ms comnmente
referenciado como DoD 5220.22-M [27], que detalla toda
una serie de procedimientos de seguridad industrial, entre
ellos, cmo eliminar datos contenidos en diferentes medios.

Defense Scurity Service, public una Matriz de

Sanitizacin y

Borrado

4.- Eliminacin de datos

Eliminacin de Datos en CDs
Los datos de un CD estn almacenados en la parte superior del CD
por medio de una capa reflectiva que es leda por un lser.

1. Retiro de la lmina reflectiva : Se puede retirar la lmina

con algn elemento cortante, sin embargo se debe destruir la
lmina reflectiva, y an as pueden quedar algunos rastros de
datos en el policarbonato.

2. Cortar en pedazos : Con una cortadora industrial de papel,

el CD podra ser destruido, sin embargo, la lmina reflectiva
podra separarse del CD y no ser cortada correctamente.

3. Destruir el CD por medios qumicos : Una posible

alternativa es introducir el CD en Acetona, lo cual dejara la
lmina superior inservible, sin embargo es posible que la lmina
de policarbonato an contenga algunos rastros de informacin.

4.- Eliminacin de datos

Eliminacin de Datos en CDs

4. Destruccin por Incineracin : Probablemente es el

mtodo ms rpido y eficiente, pero es realmente nocivo
para el medio ambiente. El humo del policarbonato puede
ser perjudicial para la salud de las personas.

5. Destruccin por medio de un horno microondas :

Introduciendo el CD en un microondas por unos 3 segundos
puede destruir gran parte del CD, sin embargo no todas las
partes sern destruidas. Este mtodo no se recomienda,
especialmente porque puede daar el horno debido a los
campos magnticos que usa el horno y que pueden causar
un cortocircuito debido a que el CD contiene metales.

4.- Eliminacin de datos

Eliminacin de Datos en CDs

6. Reescritura : Para los CDs re-escribibles, es posible

volverlos a escribir de tal forma que el proceso dae los
datos. Sin embargo, no se sabe si por mecanismos
especiales sea posible recuperar la informacin.

7. Rayado Simple : A menos que uno quiera ser realmente

precavido, la forma mas fcil de destruir un CD es rayando
la parte superior. La razn por la que se debe rayar la
parte superior es porque es esta la que mantiene los datos.
Si es rayada la parte inferior es fcil recuperar la capa y
corregir el problema, utilizando productos comerciales para
recuperar CDs.

HERRAMIENTAS

Herramientas para la Recoleccin de

Evidencia.

Herramientas para el Monitoreo y/o

Control de Computadores

Herramientas de Marcado de
documentos
Herramientas de Hardware

HERRAMIENTAS
Microsoft creo un 'set'
de herramientas (coffe)
que posteriormente
entrego de forma
gratuita a gobiernos,
fuerzas de seguridad
gubernamentales

HERRAMIENTAS
COFFE es un dispositivo USB que
dispone de ms de 150 comandos
que facilitan la obtencin de
pruebas voltiles en una
mquina sospechosa.
Permite, rastrear la actividad
reciente en Internet y acceder
a los datos almacenados en el
ordenador, todo ello puede
realizarse in situ.
Rompe contraseas?

HERRAMIENTAS free
RAPIER es un framework
Open Source realizado en
VBScript que se apoya en
utilidades externas para la
obtencin de informacin.
Dispone de entorno grfico y
de programas compilados
para que sea portable.
http://code.google.com/p/rapier/downloa
ds/list

RAPIER

RAPIER
Cargar y ejecutar mdulos ms all de la obtencin de
pruebas.

ADS. Escanea en busca de NTFS Alternate Data Streams

ddPhySMem. Realiza un DUMP de memoria

DumpProcs. Realiza un DUMP de un proceso determinado

HiddenFiles. Lista los ficheros ocultos y los ordena por fechas

de acceso

AVScan. Permite escanear en lnea de comandos ficheros con

Malware

FileCapture. Una funcionalidad que permite buscar ficheros

basados en patrones

L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal

MIR-ROR
Como la anterior es un conjunto de scripts basada en lnea de
comandos que llama a herramientas especficas de Windows
Sysinternals, as como alguna otra herramienta (exactamente
del Kit de recursos de Windows 2003) .

Sysinternals Suite
http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

AccessChk

AccessEnum

AdExplorer

AdRestore

FileMon

ProcessExplorer

Handle

RootkitRevealer

Process Monitor

Hex2dec

SDelete

ProcFeatures

Junction

ShareEnum

PsExec

LDMDump

ShellRunas

PsFile

SigCheck

Autologon

Autoruns

BgInfo

CacheSet

ListDLLs

PsGetSid

LiveKd

Streams

PsInfo

Strings

Contig

LoadOrder

PsKill

Coreinfo

LogonSessions

Sync

Ctrl2Cap

PsList

NewSid

TCPView

PsLoggedOn

NTFSInfo

VMMap

PsLogList

PageDefrag

VolumeID

PsPasswd

PendMoves

WhoIs

PsService

PipeList

WinObj

PsShutdown

PortMon

ZoomIt

PsSuspend

ProcDump

RegDelNull

RegJump

RegMon

ClockRes

DebugView

Desktops

DiskExt

DiskMon

DiskView

Disk Usage (DU)

EFSDump

Dificultades del Investigador Forense

1. Carencia de software especializado para buscar

la informacin en varios computadores.
2. Posible dao de los datos visibles o escondidos,
an sin darse cuenta.
3. Ser difcil encontrar toda la informacin
valiosa.
4. Es difcil adquirir la categora de 'experto' para
que el testimonio personal seavlido ante una
corte.
5. Los errores cometidos pueden costar caro para
la persona o la organizacin que representa.

Dificultades del Investigador Forense

6. Dificultad al conseguir el software y hardware

para guardar, preservar y presentarlos datos
como evidencia.
7. Falta de experiencia para mostrar, reportar y
documentar un incidente computacional.
8. Dificultad para conducir la investigacin de
manera objetiva.
9. Dificultad para hacer correctamente una
entrevista con las personas involucradas.
10.Reglamentacin que puede causar problemas
legales a la persona.