Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2

CURSO DE ESPECIALIZACION:
“INVESTIGACION DE LA ESCENA DEL
DELITO E INFOGRAFIA FORENSE”
Computo Forense, Investigación de la
escena del Crimen de Computo (Parte II)
Instituto de Pericias Criminalísticas
& Capacitacion “HANS GROSS”
Alonso E. Caballero Quezada
Diciembre 2005

CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”
Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”
Pasos para el procesamiento de Evidencia de
Computo
1. Apagar la Computadora
2. Documentar la configuración Hardware del sistema
3. Transportar el sistema de computo a un lugar seguro
4. Hacer un backup de “Flujo de bits” del disco duro
5. Auntentificar Matematicamente todos los datos de los
dispositivos de almacenamiento
6. Documentar la Fecha y Hora del sistema
7. Hacer un listado de palabras clave para búsqueda
8. Evaluar el archivo “swap” de Windows

Computo
9. Evaluar Archivos “slack” (amplitud)
10. Evaluar espacio sin asignar (Archivos Eliminados)
11. Buscar Archivos, Archivo de amplitud, y espacio sin
asignar por palabras clave.
12. Documentar nombre de archivos, fechas, y horas
13. Identificar archivo, programa, y anomalias de
almacenamiento
14. Evaluar la funcionalidad de un programa
15. Documentar los hallazgos
16. Mantener copias del Software Utilizado

Computo
Guia de emergencia:
* No encender u operar la computadora “objetivo”.
* No solicitar Asistencia de un “Experto” residente.
* No evaluar correo electrónico de un empleado a menos que la
política lo permita.

Aspectos Legales de la Recolección y Preservación
de Evidencia de Computo Forense
¿Qué es una Cadena de Custodia?
Es un mapa de ruta que muestra como la evidencia fue
recolectada, analizada, y preservada, para ser presentada como
evidencia. Establecer una cadena de custodia es crucial,
debido a que la evidencia electrónica puede ser facilmente
alterada.
* Ninguna información ha sido añadida o alterada
* Una copia completa fue realizada
* Un proceso de copiado confiable fue utilizado
* Todos los medios están asegurados.

Requisitos Legales:
Los requerimientos legales son vastos, complejos, y varian de
país en país. Pero algunos son comunes.
* Archivos de “Logs”, probar que no han sido “forzados”
* Espectativa de Privacidad del Usuario. El sistema es solo para
usuarios autorizados, las actividades de estos usuarios puede
ser monitoreado. Cualquiera que haga uso del sistema esta
aceptando expresamente ser monitoreado.

Precedimiento de Recolección de Evidencia:
* La Primera regla es “No acometer”.
* El equipo investigador necesitará ciertas herramientas.
* Dependiendo del tipo de incidente se obtendrá el sistema
completo o solo los datos.
* El coordinador del incidente debe asignar tareas a los
miembros del equipo.
* Se debe mantener un libro de anotaciones de evidencia con
los siguientes items:

- Quien divulgo inicialmente el incidente, con hora, fecha y
circunstancias que rodean al incidente sospechoso.
- Detalles de las obligaciones iniciales que conducen a la
investigación formal.
- Nombre de todas las personas conduciendo la investigación
- El número de caso del incidente
- Razones para la investigación

* Lista de todos los sistemas de computo incluidas en la
investigación.
* Diagramas de Red
* Aplicaciones ejecutándose en el sistema de computo listado
* Copia de las políticas relacionadas al acceso y uso de los
sistemas listados.
* Una lista de administradores responsables de la rutina de
mantenimiento del sistema.

* Lista detallada de pasos utilizados para recolectar y analizar
evidencia. Especialmente, ésta lista necesita identificar la fecha
y hora en que cada tarea fue realizada, descripción de la tarea,
quien realizó la tarea, donde fue realizada la tarea, y los
resultados del análisis.
* Una lista de control de acceso de quien accedió a la evidencia
recolectada y en que fecha y hora.

Almacenamiento y Análisis de Datos:
La cadena de custodia debe ser mantenida durante el proceso
de análisis. Utilizar un lugar seguro de almacenamiento.
* Fecha y Hora del análisis
* Herramientas utilizadas para realizar el análisis.
* Metodología detallada del análisis
* Resultados del análisis

Verificación y Autentificación de una imagen de
computo.
Necesidades Especiales de Auntentificación de Evidencia
* Un método seguro de determinar que los datos no han sido
alterados o un simple bit, desde que la copia fue hecha.
* Un método seguro de determinar que la copia es genuina
desde el momento en que fue tomada de la computadora en
cuestión.

computo.
Necesidades Especiales de Auntentificación de Evidencia
* Certificados digitales es una forma de credenciales
electrónicas para internet. Basada en la teoría de criptografía
de clave pública. El propósito es enlazar de manera confiable el
clave privada/pública con su propietario.
* Autoridades de Certificación como VeriSign entregan
certificados digitales a aquellas entidades cuya identidad debe
ser convalidada.

computo.
Consideraciones Prácticas:
1. La recoleccion de datos forenses debe ser completa y no
específico a software - evitando trampas de software o
particionado oculto.
2. La operación, esta debe ser tan rápida
y simple como sea posible para evitar
errores o demoras.

computo.
Consideraciones Prácticas:
3. Debe ser posible para cualquiera, la utilización del sistema
de recuperación de datos forenses, con la mínima cantidad de
entrenamiento.
4. Los costos necesarios y los
recursos deben de
mantenerse en lo mínimo.

computo.
Implementación Práctica:
El enfasis recae en la aplicación práctica de tecnología
probada, tal que la mínima cantidad de confianza es puesta en
la habilidad del operador o investigador.
Se debe de comprender que durante el proceso de copiado, los
procedimientos son implementados para atrapar y manejar
errores de hardware, mapear excepciones cuando sea
necesario.
Estos procedimientos son implementados para verificar que la
información sea copiada correctamente.

computo.
Implementación Práctica:
Con el Sistema DIBS actual, tanto como el contenido de los
datos “en bruto” de un disco duro son obtenidos, tambien la
sección de memoria alta convencional debe ser obtenida.
Tambien se debe de almacenar sobre cada dispositivo,
información como tipo de CPU, velocidad; indicadores de
equipo hardware; número de serie del dispositivo de copia;
comentarios de referencia, nombre del operador, etc.

Descubrimiento de Evidencia Electrónica
* Información empresarial es creada, almancenada, y
comunicada de manera electrónica.
* Los abogados “demandantes” necesitan desarrollar un
conocimiento y habilidad para tomar ventaja de éste tipo de
información electrónica.
* Necesitan conocer lo suficiente para hacer las preguntas
adecuadas y obtener la asesoría un experto en computo
forense de ser necesario.
* Aquellos que no hacen caso a éstas oportunidades podrían
exponerse a demandas por negligencia.

Una nueva y poderosa herramienta de litigio
* Aparte del testimonio de un testigo, la evidencia documental
es probablemente la manera mas convincente de evidencia.
* En años pasados , la evidencia documental se limitaba a
documentos en papel.
* Ahora la mayoría de documentos son creados utilizando
computadoras, con programas procesadores de texto o de
correo electrónico.
* La mayoría de documentos no son impresos nunca en papel,
y son solo leidos en pantallas de computadoras.

* La regla de mejor evidencia a cambiado, las copias son tan
buenas como las originales del documento electrónico.
* Desde el punto de vista del computo forense puede ser
probado mantematicamente.
* Algunos programas crean archivos “temporales” de los
documentos, windows SWAP y espacio de amplitud.
* El descubrimiento de evidencia electrónica esta haciendo la
diferencia en juicios civiles y criminales.

* Con la evolución de las computadoras, los sistemas
operativos y las redes de computadoras, se crea un entorno
ideal para las brechas de seguridad y para el descubrimiento
de evidencia electrónica aprovechandolas.
* Estos temas deben de preocupar a todos, sin embargo
proporcionan ventajas a los abogados concerniente al
potencial de la evidencia electrónica.
“ La mayoría de usuarios no son inconcientes de que sus
computadoras dejan rastros de sus movimientos. “

Identificación de Datos:
Viaje del tiempo
*Cada Computadora tiene su propio reloj, a menos que éste
ejecutando NTP (Network Time Protocol)
* Las organizaciones necesitan confiar
en las sincronizaciones de tiempo
exactas para sus transacciones.
*Mantener un sentido del tiempo es
crítico para actividades relacionadas al
computo forense.

Materias del Tiempo:
* Mantener el tiempo es una ciencia avanzada, en la cual están
avocados muchos cientificos al rededor del mundo.
* Se han desarrollado diferentes técnicas:
- El comando rdate en unix que permite setear un reloj basado
en servidor remoto
- Programas que se conectan con servidores NIST
- NTP (Network Time Protocol) se utiliza en WWW, GPS.

Filtros de Reloj:
* NTP Asume que el tiempo avanza y no retrocede.
* NTP Asume cambios minimos, menos de un segundo.
* NTP obtiene tiempo de diferentes servidores.
* NTP Recolecta ocho muestras y utiliza un algoritmo para
obtener la mejor aproximación.

Examen Forense a un Sistema Windows
Disco de Inicio para adquisición de Evidencia:
* El S.O de la computadora debe ser “saltado” para evitar
alterar evidencia, evitar trampas de usuarios avanzados.
* Se realiza con un “Disco de Inicio”, UN CDROM como HELIX.
* Se debe de inhabilitar la “escritura” al medio en cuestion. Es
mas seguro hacer esto por HARDWARE.
* Hay dos puntos a tomar en consideración, cuando se utilizan
ZIP Drives o Tarjetas de Red que necesitan “controladores”.
Estos deben ser almacenados y “cargados” desde el disco de
inicio.

Sistema de Archivos:
* FAT (Tabla de Asignación de Archivos) FAT 12, FAT 16, FAT
32.

Herramientas de Procesamiento de Evidencia Digital:
* Logicamente: Relaciona examinar datos “en bruto”
almacenados en el disco, utilizando un editor, los datos son
normalmente mostrados en Texto Plano y Hexadecimal.
* Fisicamente: Relaciona examinar datos en el disco
representados por un sistema de archivos. Eso facilita la vista
de la estructura de directorios, y cierto tipo de análisis, pero no
muestra información visible, como lo anterior.

Herramientas de Procesamiento de Evidencia Digital:
Limitaciones:
* Cuando se busca una palabra clave, sector por sector
fisicamente, tal vez no haya ocurrencias, debido que la palabra
clave esta dividida en sectores no adyacentes
* Acceso físico da acceso a areas del disco que no son
representados por el sistema de archivos como espacio de
amplitud o archivos sin asignar.
* Herramientas como Encase o FTK para windows o The Sleuth
Kit para Linux combinan ambas características.

Recuperacion de Datos:
* Recuperacion de Datos desde espacio sin asignar.
* Recuperacion de Datos desde espacio de amplitud.
Para recuperar un archivo de nombre texto.doc es necesario
modificar la entrada en el directorio raiz reemplazando el
simbolo (sigma) con un “underline”.
Esto se realiza en una copia del dispositivo de almacenamiento,
dado que se esta realizando una modificación.

Recuperacion de Datos:
* Herramientas de Recuperación de Datos
basados en Windows
* Herramientas de Recuperación de Datos
basados en Linux
* Herramientas que permiten recuperar achivos de espacio sin
asignar, archivos swap, u otro objetos digitales.

Protección por contraseña y encriptación:
* Es deseable para los investigadores acceder a protecciones
por contraseña o encriptación en la computadora objetvio.
* Se puede utilizar un simple editor hexadecimal, para remover
la contraseña de un archivo.
* Pero tambien existe software especializado que “saltan” o
recuperan claves de diferentes archivos.
“Esposibleencontrar versionessinencriptar enespaciosinasignar, archivoswap,
ootrasareasdel sistema”

Archivos “Logs”:
* Atribución es el mayor objetivo de los archivos “logs” que
pueden registrar cuales cuentas fueron utilizadas para acceder
a un sistema en un momento dado.
* Contienen información sobre que cuentas de usuario fueron
utilizadas para comenter un crimen y pueden mostrar que
cuenta fue robada.
* Es deseable buscar y ordenar archivos “Logs” durante la
investigación y existen interfaces gráficas que pueden hacer la
tarea mas comoda.

Rastros del Sistema de Archivos:
* Todas las acciones sobre una computadora dejan rastros, que
los investigadores pueden utilizar para conocer que ocurrio.
* Cuando un archivo es descargado de internet, la fecha y hora
del archivo representan cuando el archivo fue puesto en la
computadora.
* Si el archivo es movido, accedido o modificado, la fecha y
hora serán alterados para reflejar estas acciones.
“ Archivos ZIP pueden retener fecha y hora del sistema origen, asi
tambien pueden ser modificados con un simple ‘touch’”

Registro:
* Almacena configuración del sistema y detalles útiles en los
asi llamados “claves” en W95/98 system.dat user.dat. En
NT/2000/XP se localiza en “%systemroot%system32config”
* Archivos de registro pueden ser vistos utilizando aplicaciones
con EnCase.
* “Last Write Time” indica cuando el valor de la clave del
registro fue alterada o añadida.

Rastros de Internet:
* Acceder a internet deja una amplia variedad de información.
Incluyendo sitios webs, contenidos visualizados, correos
electrónicos, etc.
- Navegación Web
- Correo Electrónico
- Otras aplicaciones
- Almacenamiento de Red.

- Navegación Web:
* En internet Explorer se almacena en “index.dat”
* Navegadores almacenan archivos temporales para rápido
acceso de páginas frecuentemente visitadas
* Cookies almacenan información de los visitantes y sus
intereses.

- Correo Electrónico:
* Clientes de correo contienen mensajes que han sido enviados
y recibidos en una computadora.
* Algunos clientes utilizan formatos propietarios.
* FTK puede ser utilizado para interpretar dicho formatos
propietarios. EnCase tambien los interpreta.

- Otras Aplicaciones:
* Clientes de mensajeria instantanea no guardas registros por
defecto, pero pueden ser configuradas para ello.
* Clientes P2P, mantienen una lista de servidores que fueron
contactados o los archivos que han sido accedidos.
* Clientes IRC, pueden retener mas archivos “Logs”.
* Se puede encontrar mas información en SWAP u otras areas.

- Almacenamiento en Red.:
* Se debe identificar las localizaciónes remotas donde la
información digital puede ser encontrada.
* Un cliente FTP creo un archivo “Log” cada ves que se utiliza.
* Algunas maquinas son parte de una intranet, una lista de
recursos compartidos se localiza en: HKEY-USERS/sid/Network
* No existe una guia definitiva para localizar todo esto.

Análisis de Programas:
* Para tener una mejor comprensión de la reconstrucción de un
sistema o aplicacion, es deseable realizar una prueba empírica.
* En el caso de una intrusión, es útil analizar el programa
malicioso, como por ejemplo uno de “acceso remoto”.
* Tres Reglas básicas:
- Examinar el Código Fuente
- Ver el Programa en forma compilada.
- Ejecutar el programa en un entorno de pruebas.

Muchas Gracias
por su atención.
Feliz Navidad
Correo Electrónico:
reydes@gmail.com

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2

Recomendados

Recomendados

Más contenido relacionado

Similar a Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2

Similar a Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2 (20)

Más de Alonso Caballero

Más de Alonso Caballero (20)

Último

Último (20)

Curso de Especialización: Investigacion de la Escena del Delito e Infografia Forense 2