UNIDAD 1 CAPITULO 1

INTRODUCCIÓN A LA INFORMÁTICA FORENSE.

Qué es la Informática forense 

es una nueva disciplina dedicada a la recolección de pruebas digitales desde una maquina computacional para fines judiciales mediante la aplicación de técnicas de análisis y de investigación. La aparición de la informática forense como una disciplina se remonta a 1989 con la creación de la primera "ciencia de la computación forense" en la Ley Federal de los EE.UU.

Definiciones generales 

El E-discovery o descubrimiento electrónico es la parte del proceso de descubrimiento que se centra en la búsqueda de pruebas en formato electrónico por lo general de un computador. De acuerdo con el Guidelines for the Management of IT Evidence, la evidencia digital es: "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional.

Qué es el delito informático

Para comprender porque la informática forense ha adquirido importancia en la actualidad debemos comprender donde se origina el delito. Los delitos informáticos son “toda conducta que revista características delictivas, es decir, sea típica, antijurídica y culpable, y atente contra el soporte lógico de un sistema de procesamiento de información, sea sobre programas o datos relevantes, a través del empleo de las tecnologías de la información, y el cual se distingue de los delitos computacionales o tradicionales informatizados”.

Fraudes cometidos mediante manipulación de computadores: Entre estos se encuentran la manipulación de datos de entrada y salida y la manipulación de programas. En cada caso, lo que se trata es de colocar datos falsos en un sistema u obtener los datos del sistema en forma ilegal
Falsificaciones Informáticas: En este punto se trata de usar los computadores como elemento para falsificar entradas, dinero, tickets o cuentas bancarias.

Daños a Datos Computarizados: Aquí se ubican los virus, las bombas lógicas, los gusanos, accesos no autorizados, etc. Se trata, en general, de programas o acciones que de una u otra forma dañan la información de un sistema determinado.

Tipos de delito informático

Desde los albores de la humanidad, el hombre ha ido creando una larga serie de normas tendientes a regular la convivencia en sociedad para defenderse de quienes intentan burlar la ley, el derecho, a través de sus operadores en los diferentes campos, fue delineando diferentes soluciones y así surgieron, entre otras, la figura de las presunciones, aquellas que no admiten prueba en contrario, etc. A continuación se presentan las más modernas conductas delictivas que son entendidas como delitos informáticos

Hacking Es la conducta de entrar a un sistema de información sin autorización, es decir violando las barreras de protección establecidas a tal fin. El sujeto que realiza esta actividad es llamado hackers, muy rara vez se conoce su nombre verdadero y en mucho casos actúa y firma en grupo.

Cracking Cambiar los contenidos de la información que tienen por objeto destruir el sistema,

a esto se llama cracking y a los sujetos que lo realizan se los identifica como crackers. 

Phreaking: la más común de todas las llamadas actividades ilícitas informáticas, es la actividad de obtener ventajas de las líneas telefónicas a los efectos de no pagar los costos de comunicación

Carding: actividad de cometer un fraude o una estafa con un número de tarjeta de crédito, tarjetas telefónicas caseras que tienen la capacidad de recargarse

Ley 1273 de 2009 Protección de la Información y de los Datos en Colombia

En Colombia existe la ley 1273 con la cual se modifico el código penal y se incluyo en lo relacionado al delito informático, para tener un mejor conocimiento de la ley esta se muestra exacta tal y como se rige: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

UNIDAD 1 CAPITULO 2

FASES DE LA INFORMÁTICA FORENSE. 

Descripción de las fases de la Informática Forense. 

Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional

Fase de Identificación 

Se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta:

¿Qué información se necesita?

¿Cómo aprovechar la información presentada?

¿En qué orden ubico la información?

¿Acciones necesarias a seguir para el análisis forense?

Levantamiento de información inicial para el Análisis Forense: La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis.

Descripción Del Delito Informático

Información General

Información Sobre El Equipo Afectado

Asegurar la escena: Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología.

Fase de Validación y preservación. 

Aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación.

Copias de la evidencia. Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1.

Cadena de custodia Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento.

Fase de Análisis 

Antes de iniciar esta fase se deben preparar herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores.

Preparación para el análisis: Acondicionar un entorno de trabajo adecuado al estudio que se desea

realizar. Trabajar con las imágenes que se recopiló como evidencias, o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.

Reconstrucción del ataque: Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza

Determinación del ataque: Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.

Identificación del atacante. Si ya se logro averiguar cómo entraron en el sistema, es hora de saber quién o quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones.

Perfil del atacante: Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos

detalles se podrá encontrar los siguientes tipos: Hackers, SciptKiddies, Profesionales.

Evaluación del impacto causado al sistema: Para poder evaluar el impacto causado al sistema, el análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que

accedieron al sistema.

Fase de Documentación y Presentación de las pruebas

Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.

Utilización de formularios de registro del incidente: Es importante que durante el proceso de análisis se mantenga informados a los administradores de los equipos y que tras la resolución del incidente se presenten los informes Técnico y Ejecutivo.

Informe Técnico: Este informe consiste en una exposición detallada del análisis efectuado. Deberá

describir en profundidad la metodología, técnicas y hallazgos del equipo forense, deberá contener:

Introducción

- Antecedentes del incidente
- Recolección de los datos
- Descripción de la evidencia
- Entorno del análisis
- Descripción de las herramientas
- Análisis de la evidencia
- Información del sistema analizado
- Características del SO
- Aplicacion
- Servicios
- Vulnerabilidades
- Metodología
- Descripción de los hallazgos
- Huellas de la intrusión
- Herramientas usadas por el atacante
- Alcance de la intrusión
- El origen del ataque
- Cronología de la intrusión
- Conclusiones
- Recomendaciones específicas
- Referencias
- Anexos

Informe Ejecutivo: Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado.

Línea de tiempo de la investigación: La definición de la línea de tiempo es fundamental al momento de iniciar una investigación, constituye el marco que permite a un investigador indagar en base a un criterio de tiempo determinando que ficheros pueden o no ser importantes para el caso.

UNIDAD 1 CAPITULO 3

ACCIONES EN LA ESCENA DEL FRAUDE INFORMATICO

Identificando las vulnerabilidades informáticas.

En el consenso general entre los expertos en seguridad informática la gran mayoría de los delitos informáticos no están detectados o reportados, esto se debe a que muchos delitos informáticos no son fácilmente detectados, ya que si un individuo roba información de un computador , el intruso hará una copia de la información y los datos originales permanecen sin alteraciones en el computador y siguen siendo accesibles para el propietario, por ello es importante identificar ciertas vulnerabilidades informáticas como:

•Los empleados hacen mal uso de los sistemas por ejemplo, violaciones de las políticas de uso de Internet

• Código malicioso por ejemplo, virus, los gusanos o troyanos.

• Las intrusiones o piratería: Monitoreo electrónico no autorizado (sniffers, eyloggers,)

• Web site falsas o vandalismo

• El acceso no autorizado a información confidencial

• Las herramientas automatizadas de escaneo

• Sabotaje ejecutivo a través de espionaje o empleados descontentos.

Preservar la escena del Fraude. 

Id entificado la posible causa del fraude informático se considera necesario cuidar los dispositivos que contienen la evidencia del ataque por lo cual se hace necesario preservar los elementos en el momento de hacer el análisis forense en la o las máquinas atacadas, cuidando los procedimientos a realizar con los equipos para evitar alteraciones de la siguiente manera:

Aislamiento del sistema informático: Para que las evidencias no se pierdan es de suma importancia aislar la maquina afectada junto con todos los medios de almacenamiento encontrados, además, de

las notas escritas a mano y los documentos que se encuentran en las proximidades del equipo en cuestión, estos elementos pueden ser de valiosa información para el curso de la investigación forense

Procedimiento de apagado para preservar la evidencia: Tener en cuenta el apagado del sistema informático de manera que no dañe la integridad de los archivos existentes, es un procedimiento de seguridad informática complicado, ya que al apagar el sistema puede omitir archivos que estén en los dispositivos volátiles, en este caso se debe documentar el estado in icial de la máquina reportada y proceder a apagar la máquina sin modificar ningún archivo o ejecutar programa alguno.

Inspeccionar el sistema operativo: De acuerdo al tipo de sistema operativo que una empresa utiliza se dictan las normas de apagado de las máquinas computaciones y también la forma en como se conectan los computadores a la fuente de energía, sea por circuitos eléctricos compartidos, fuentes de poder reguladas o sistemas eléctricos protegidos. A continuación se mencionan algunas Características de los sistemas operativos más comunes, se menciona el procedimiento para su cierre:

Sistema Operativo Ms – Dos

o El texto es sobre un fondo sólido (generalmente negro).

o El mensaje contiene una letra de unidad y utiliza las barras contrarias.

o El indicador por lo general termina con un signo mayor que (>). - Procedimientos de cierre

o Fotografiar la pantalla y anotar los programas en ejecución.

o Retire el cable de alimentación de la pared.

Sistema Operativo Windows 3.X

o Barra de titulos de colores

o Menú estándar de opciones - Procedimientos de cierre

o Fotografiar la pantalla y anotar los programas en ejecución.

o Retire el cable de alimentación de la pared.

Sistema Operativo Windows NT 3.51

o Barra de titulo de colores

o Menú estándar de opciones

o Los iconos representan equipos de red y personas - Procedimientos de cierre

o Fotografiar la pantalla y anotar los programas en ejecución.

o Retire cable de alimentación de la pared

Sistema Operativo Windows 95/98/NT 4.0/2000

o El botón de inicio tiene un símbolo de Windows. - Procedimientos de cierre

o Fotografiar la pantalla y anotar los programas en ejecución.

o Retire cable de alimentación de la pared

Sistema Operativo Unix / Linux

o El botón de inicio tiene un símbolo de la versión Unix / Linux - Procedimientos de cierre

o Fotografiar la pantalla y anotar los programas en ejecución.

o Haga clic derecho en el menú.

o Desde el menú, haga clic en Consola.

o Verificar el indicador de usuario root #. Si no está presente, cambie al usuario root (teclee su -).

Sistema Operativo Mac OS

o Posee un símbolo de Apple en la esquina superior izquierda.

o Pequeñas líneas horizontales en las barras de menú de las ventanas

o Un solo botón sencillo en cada esquina de la ventana

o Icono de Papelera

Claridad de la evidencia. 

La evidencia digital es información de valor probatorio constituida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales. Abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor. Con el fin de garantizar su validez probatoria, debe reunir las siguientes características:

Autenticidad: Garantizar que sus contenidos no han sido modificados; que la información proviene de la fuente identificada y que la información externa a ella es precisa.

Precisión: Debe ser posible relacionarla positivamente con el incidente. Los procedimientos seguidos y las herramientas utilizadas para su recolección, manejo, análisis y posterior presentación en una corte deben ser confiables.

Suficiencia: Debe, por sí misma y en sus propios términos, mostrar el escenario completo, y no una perspectiva de un conjunto particular de circunstancias o eventos.

Formato de la evidencia en la escena. 

Un formato de archivo es una forma específica de codificar datos digitales que van de acuerdo al programa donde fue diseñado (hoja de calculo, procesadores de texto, base de datos o diseñadores gráficos entre otros) El formato de un archivo es necesarios para ser identificado dentro de un máquina computacional, ya que de acuerdo a su formato se podrá almacenar, manipular y borrar.

Cuidados de la evidencia en la escena

Realizadas las diferentes inspecciones iniciales se hace necesario tener especial cuidado sobre los equipos atacados, para ello se hace necesario tener en cuenta las siguientes observaciones:

Esterilidad de los medios informáticos de trabajo: Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones m agnéticas, ópticas (láser) o similares, so pena de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas.

Verificación de las copias en medios informáticos: Las copias efectuadas en los medios Previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. La verificación de éstas debe estar asistida por métodos y procedimientos matemáticos que establezcan la completitud de la información traspasada a la copia.

Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados: El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos.

Mantenimiento de la cadena de custodia de las evidencias digitales: Este punto es complemento del anterior. La custodia de todos los elementos del sistema allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder.

Informe y presentación de resultados de los análisis de los medios informáticos: Este elemento es tan importante como los anteriores, pues una inadecuada presentación de los resultados puede llevar a falsas expectativas o interpretación de los hechos que ponga en entredicho la idoneidad del investigador.

Administración del caso realizado: Los investigadores forenses en informática deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después.

Auditoría de los procedimientos realizados en la investigación: Finalmente y no menos Importante, es recomendable que el profesional investigador mantenga un ejercicio de autoevaluación de sus procedimientos, para contar con la evidencia de una buena práctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA - Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina.

UNIDAD 2 CAPITULO 1

DESARROLLO DE UN CASO DE INFORMÁTICA FORENSE

Reconocimiento de los sistemas operativos. 

Después de la BIOS, el sistema operativo (SO) es el primer programa de software que se encuentra cuando se enciende un computador, el sistema operativo permite que las aplicaciones (programas) se comuniquen con el equipo y entre otros programas a un nivel básico. Hay esencialmente dos tipos de sistemas operativos, los dirigidos hacia el usuario doméstico y los orientados a las empresas o usuarios avanzados. Si bien todos los sistemas operativos actuales ofrecen alguna medida de seguridad, son los sistemas operativos de red los que poseen las capacidades más grandes de seguridad.

Imágenes de Discos Duros. 

El principio rector de la informática forense es reunir las posibles pruebas que luego serán analizadas y presentadas a un tribunal para demostrar la presencia de una actividad ilegal. Es importante aclarar que la información en un caso de informática forense no haya alteración, daño o alteración de los datos recolectados. Crear una imagen del disco indica que se hace una copia espejo o una reproducción de los datos contenidos en el disco duro. Las siguientes herramientas para crear imágenes de disco se encuentran entre las pocas que en la actualidad cumplen con los requisitos dispuestos por el NIST:

• Linux dd es una utilidad gratuita para cualquier sistema Linux que crea la imagen y copia de todos los sectores en todos los discos duros SCSI e IDE. Esta utilidad incluye un mecanismo de MD5, Linux dd se puede encontrar en www.redhat.com.

• SnapBack DatArrest, por Columbia Data Producís, Inc. (CDP), es una completa aplicación para crear imágenes de disco se ejecuta desde un solo disquete. Según su fabricante, se puede acceder a datos a una velocidad de hasta 300MB por minuto, así como también crear una copia de seguridad para DOS, Windows, Windows 95, Windows NT, y Unix, los detalles adicionales y los precios pueden ser encontrado en www.snapback.com.

Iniciar un caso de informática forense. 

Un caso de ataque informático, se puede presentar de diferentes maneras según la ley 1273 de 2009 en Colombia, de acuerdo al ataque se origina el delito informático, una vez determinado el ataque se hace necesario establecer que tipo de fraude se desea comprobar para esto se hace necesario realizar un análisis a los equipos computacionales afectados para obtener las pruebas suficientes que demuestren el fraude, los aspectos más relevantes para iniciar la investigación en su orden: 

1. Inspeccionar el sistema operativo instalado para determinar la forma de apagado del sistema

2. Apagar el sistema de acuerdo a las condiciones dadas para cada sistema operativo

3. Aislar los equipos informáticos, medios de almacenamiento y anotaciones

4. Crear las imágenes de los dispositivos encontrados en la escena del incidente

5. Determinar la cantidad de Información a recolectar.

6. Documentar todas las acciones realizadas anteriormente

Donde buscar evidencia. 

Evidencia Digital Almacenada en Dispositivos

Cuando se presenta el caso en que la evidencia está en formato digital el objetivo de la investigación debe ser el contenido del computador, no el hardware. Hay dos opciones cuando se recolecta evidencia digital: copiar todo, o sólo copiar la información necesaria.

Evidencia Digital en Redes Otra categoría de evidencia que puede ser recolectada en el caso de los crímenes informáticos es la evidencia presente en las redes. Todo el flujo de información que corre a través de una red, sea interna o externa a una organización o aún en Internet podría contener evidencia potencialmente útil a la hora de investigar un delito informático.

Analizando información

Recolección: Tal y como se a mencionado con anterioridad, en lo referente a la cadena de custodia que se puede aplicar a la evidencia forense, la recolección adecuada de los rastros de evidencia implica establecer un mecanismo el cual asegure a quien debe realizarse la evaluación y el juicio, que los elementos ofrecidos como prueba documental informática, son confiables, esto quiere decir que durante su  recolección o manipulación para su análisis, no han sufrido alteración o adulteración alguna

Resguardo y traslado de las pruebas

Cuando el proceso de recolección finaliza se debe continuar con el procedimiento para el resguardo de la prueba y preparación para su traslado, para lo cual es necesario, seguir los siguientes pasos:

1. Proceda al apagado del equipo, mediante el uso del comando de apagado de la distribución CAINE, en la opción de finalización con expulsión del CD. 

2. Desconecte el bus de datos y la alimentación del disco duro o retire el PenDrive u otro dispositivo.

3. Ubíquese en una zona despejada, para realizar el proceso de rotulado y registro.

Análisis: Para el análisis de la información existen diferentes técnicas que pueden ser aplicadas, las cuales dependen de la información que se desee recolectar, como se esta haciendo uso de la distribución CAINE, se empleara el software Autopsy para el análisis de las evidencias recolectadas a continuación se presenta en detalle los pasos a seguir para realizar el proceso según sea el tipo de datos que se busca identificar.

UNIDAD 2 CAPITULO 2

HERRAMIENTAS DE SOFTWARE UTILIZADAS EN LA INFORMÁTICA FORENSE.

Aplicaciones para Investigación Forense 

En la actualidad existen cientos de herramientas, el uso de herramientas sofisticadas se hace necesario debido a:

• La gran cantidad de datos que pueden estar almacenados en un computador.

• La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.

• La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.

• Limitaciones de tiempo para analizar toda la información.

• Facilidad para borrar archivos de computadores.

• Mecanismos de encriptación, o de contraseñas.

EnCase: EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de EnCase se relacionan a continuación: Copiado Comprimido de Discos Fuente

• Búsqueda y Análisis de Múltiples partes de archivos adquiridos

• Diferente capacidad de Almacenamiento

• Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.

• Análisis Compuesto del Documento.

• Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.

• Firmas de archivos, Identificación y Análisis

• Análisis Electrónico Del Rastro De Intervención.

• Soporte de Múltiples Sistemas de Archivo.

• Vista de archivos y otros datos en el espacio Unallocated.

• Genera el reporte del proceso de la investigación forense como un estimado.

• Visualizador Integrado de imágenes con Galería

OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:

• buscar textos e imágenes

• recopilar rastros de actividad

• buscar archivos borrados y disfrazados

• visualizar el contenido de la memoria RAM

• crear un informe del sistema.

• Numerosas herramientas de investigación

• Instalador para unidades USB

Base de datos de firmas (hash sets)

• Gestor de casos y generador de informes

Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. FTK posee funciones eficaces de filtro y búsqueda de archivos, Sus principales

funciones son:

• Fácil de usar

• Opciones de búsqueda avanzadas

• Registry viewer

• Análisis de correo electrónico y de archivos zip

• Diseño de capa de base de datos

• Montaje seguro de dispositivos remotos 

Forense Toolkit: TCT incluye una variedad de utilidades para el estudio y la recopilación de datos las partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).

CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable

Clasificación de herramientas para informática forense. 

Herramientas para el Monitoreo y/o Control de Computadores: Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información

Herramientas de Marcado de documentos: Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente.

Herramientas de Hardware: Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas como el DIBS “Portable Evidence Recovery Unit”.

Construcción de un kit de herramientas de informática forense. 

El componente esencial de toda la investigación del delito informático es como se hace la recolección de las evidencias, esto es esencial para la investigación ya que se puede extraer y proporcionar información detallada sobre un equipo o red de trabajo que se haya atacado. Para crear su kit de herramientas personalizado puede hacerlo a través de una combinación de utilidades freeware y/o shareware. Los siguientes son los tipos de herramientas que deben ser incluidos la hora de realizar un examen de informática forense básica:

• Una herramienta para capturar el tráfico de la red para el análisis (por ejemplo, un rastreador de red)

• Una utilidad para crear imágenes de disco o clones a nivel de bits

• Una herramienta para crackear las contraseñas

• Una herramienta que informa sobre puertos TCP / IP abiertos y detecte las procedencias de esos puertos

• Una herramienta para recuperar borrados (borrado) de datos

• Una utilidad para realizar copias de seguridad y editar el Registro de Windows

• Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real

• Una herramienta para analizar las propiedades del archivo

• Una herramienta de monitorización que muestra toda la actividad del Registro en tiempo real

• Una utilidad que muestra los recursos compartidos de red tanto local y remota

• Una herramienta de monitorización que muestra los inicios de sesión, los cierres de sesión y el uso de privilegios

• Una herramienta que muestra los archivos abiertos, los procesos de objetos, las claves de registro, archivos DLL y los propietarios de los procesos de objetos

Utilizando rastreadores de paquetes para reunir pruebas. 

Las Investigaciones forenses en algunas ocasiones ameritan la captura de datos en tiempo real a medida que viajan a través de la red computacional de una organización. Estos datagramas a medida que atraviesan una red se les conocen como paquetes Sniffing, y los programas diseñados para detectaros son llamados sniffers, analizadores de protocolo o analizadores de red.

Snort: es un programa de código abierto (freeware) de intrusiones de red del sistema de detección de Unix y Linux, es capaz de realizar análisis en tiempo real del tráfico y paquetes sesión en las redes IP.

Ngssniff: es pequeño y fácil de usar, captura de paquetes de red y el programa de análisis. Se requiere Windows 2000 o XP para operar y permite a los usuarios capturar, guardar, y analizar el tráfico de red.

Ethereal: es un analizador de protocolos de red gratuito con versiones para Unix y sistemas operativos de Windows.

Recomendaciones Sobre el uso de software

El software se clasifica para su uso en los denominados propietarios y los de uso libre, los de tipo propietario requieren la compra de una licencia de funcionamiento con la cual se subscribe un contrato de uso y no de propiedad del software entre los productores de software y los usuarios, al adquirir la licencia de uso no se “compra” los códigos fuentes del programa y la utilización queda restringida a lo que el productor provee.

UNIDAD 2 CAPITULO 3

RECOLECCIÓN DE EVIDENCIA DIGITAL.

Estrategias para la recolección de pruebas electrónicas 

Llevar un orden de recopilación de información: Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos

Buscar la evidencia: Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado de verificación que puede ayudar en el proceso de recolección, comprobando que todo lo que se está buscando este en el sistema

Determinar la relevancia de los datos: Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso, para estar seguro, se debe recopilar toda la información necesaria y no excluir ninguna prueba que tenga afinidad con el caso reportado, es necesario trabajar rápido y no perder tiempo recogiendo información que no será de utilidad para el caso.

Determinar la volatilidad de la información: Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información

Eliminar la interferencia exterior: Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación, en algunos casos los atacantes pueden instalar un interruptor que puede borrar evidencia una vez el equipo se desconecta de la red o de Internet.

Recoger la evidencia: Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea, recuerde que existen programas libres y propietarios que ayudan a esta tarea

Documentar todas las acciones realizadas: En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección

Orientaciones para Recolección de Evidencias

El procedimiento para la recolección de evidencia varía de país a país, sin embargo, existen unas guías básicas que pueden ayudar a cualquier investigador forense.

Cantidad de Información recolectada: La primera gran decisión que se debe tomar a la hora de recolectar evidencias, es la cantidad. Un investigador podría estar tentado a llevarse todo el equipo computacional que encuentre en la escena, con el fin de no arriesgarse a dejar piezas de información potencialmente importantes

Cuidados al Hardware: Es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto del crimen.

Volatilidad de la evidencia
Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos, por lo cual se debe tener en consideración las siguientes apreciaciones:
La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios, Cada paso podrá destruir la información, por lo que todas las medidas que tome deben ser bien aplicadas la primera vez o se puede perder mucha información valiosa.

Recomendaciones Generales
El proceso de recolección de evidencia electrónica puede ser costoso en términos de horas - hombre y del tiempo de inactividad del sistema, ya que los procesos de recolección pueden consumir mucho tiempo y los sistemas afectados pueden no estar disponibles para un uso normal durante un tiempo prolongado mientras se llevan a cabo la recopilación y análisis de los datos.

Análisis de la Evidencia Recolectada
Recolección: La recolección de evidencia informática es un aspecto frágil del la informática forense porque requiere de prácticas y cuidados adicionales que no se tienen en la recolección de evidencia convencional.

Análisis: Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de
acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento

Reconstrucción de la secuencia temporal del ataque: Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza, se procede con la ejecución de los siguientes pasos:

1. Crear una línea temporal o timeline de sucesos, para ello se debe recopilar la siguiente información sobre los ficheros:

2. Ordenar los archivos por sus fechas MAC6, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros más antiguos.

3. Comenzar a examinar con más detalle los ficheros logs y registros que se examinaron durante la búsqueda de indicios del ataque, intentar buscar una correlación temporal entre eventos.

4. Examinar los fragmentos del archivo donde se detectan y registran los accesos FTP, estos nos permitirá descubrir si sobre esa fecha y hora se crearon varios archivos bajo el directorio de la máquina comprometida, además, se debe tener presente que este directorio puede ser borrado por el atacante y deberá ser recuperado.

Referencias:

Cabrera H. (2014), Syllabus del curso Informática Forense

Cabrera H. (2014), Agenda integrada de actividades

H.E. Cabrera Meza, Modulo Informática Forense, Universidad Nacional Abierta y A Distancia. 2014.

Ley de los Delitos Informáticos en Colombia Recuperado de http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia