CAPITULO5 - informatica forense

7/31/2019 CAPITULO5 - informatica forense

1/23

95

Informtica Forense

CAPTULO 5

HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE

5.1 Anlisis sobre las herramientas y equipos para la aplicacin de laInformtica Forense para la Polica Nacional

La Polica Nacional, actualmente se encuentra manejando en proceso de aceptacinel Departamento de Delitos Informticos en la ciudad de Quito, hasta el momento las

herramientas y la gua o pasos que se beben tomar en el acontecimiento de un delito

informtico, no se encuentran adecuadamente definidos, nuestra labor es proponer

herramientas (software libre) y equipos ptimos que ayuden a la Polica a realizar

actividades vlidas y certeras con la finalidad de obtener evidencias contundentes y

ser presentadas en la corte.

La investigacin de cada una de las herramientas que se presentaran estn basadas en

la siguiente clasificacin 21 orientada a la informtica forense:

1) Herramientas para recoleccin de evidencias.

2) Herramientas para el Monitoreo y/o Control de Computadores.

3) Herramientas de Marcado de documentos.

4) Herramientas de Hardware.

1) Herramientas para recoleccin de evidencias: Existen una gran cantidad de

herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace

necesario debido a:

21 LPEZ scar, INFORMTICA FORENSE: GENERALIDADES, ASPECTOS TCNICOS YHERRAMIENTAS.


2/23

96

Informtica Forense

x La gran cantidad de datos que pueden estar almacenados en un computador.

x La variedad de formatos de archivos, los cuales pueden variar enormemente,

an

x dentro del contexto de un mismo sistema operativo.

x La necesidad de recopilar la informacin de una manera exacta, y que permita

verificar que la copia es exacta.

x Limitaciones de tiempo para analizar toda la informacin.

x Facilidad para borrar archivos de computadores.

x Mecanismos de encripcin, o de contraseas.

2) Herramientas para el Monitoreo y/o Control de Computadores

Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto

existen herramientas que monitorean el uso de las mismas, para poder recolectar

informacin. Existen algunos programas simples como key loggers o recolectores de

pulsaciones del teclado, que guardan informacin sobre las teclas que son

presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del

computador, o hasta casos donde la mquina es controlada remotamente.

3) Herramientas de Marcado de documentos

Un aspecto interesante es el de marcado de documentos; en los casos de robo de

informacin, es posible, mediante el uso de herramientas, marcar software para poder

detectarlo fcilmente.

La seguridad est centrada en la prevencin de ataques. Algunos sitios que manejan

informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso,

pero, debido a que no existe nada como un sitio 100% seguro, se debe estar

preparado para cualquier tipo de incidentes.

4) Herramientas de Hardware


3/23

97

Informtica Forense

Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe

modificar la informacin se han diseado varias herramientas para ello.

5.2 Costos de equipos y software para la aplicacin de la InformticaForense

Las herramientas que se presentan sern evaluadas segn los siguientes factores:

x Software libre.

x Rendimiento y desempeo. Por medio de una evaluacin = alta, media, baja.

x Costos.

x Confiabilidad ante la recuperacin de evidencias.

Para la puesta en marcha en el manejo de evidencias digitales del Departamento de

Delitos Informticos de la Polica Nacional, el forense o los forenses informticos

asignados a esta rea, pueden apoyarse en determinadas herramientas que adems de

automatizar tareas, tambin le ayudaran a secuenciar sus pasos y a documentar cada

uno de ellos.

As, segn la realidad del Departamento y las leyes vigentes en el pas en base a la

gua que se ha planteado para la Polica Nacional, se presenta mediante un cuadro

comparativo y evaluado, las herramientas que poseen ms cualidades que otras y son

ms recomendables.


4/23

98

InformticaForense

Herram

ienta

Costo

Caracte

rsticas

Plataformaenlasque

trabajan

Evaluacin

TheCoroners

Toolkit

Libre

.-Estacoleccindeprogramassirvepararealiz

aruna'autopsia's

obresistemasUNIX

despus

dequehan'muerto'c

ompletamente.

.-Elfuncionamientodeestesoftwaresebasaprincipalmenteenlarecogidadegrand

es

cantidadesdedatosparaprocederasuanlisisposterior.Algunosdesuscomponentessonla

herramien

ta'ladrndetumbas'(

quecapturainformacin),losprogramasparadetectar

archivos'muertos'o'vivos',ascomo'lzaro',querestauraarchivosborrados,yotra

herramien

taquerestauraclavescriptogrficasd

esdeunprocesoactivoodesdealgn

archivo.

.-Contienevariasherramientasimportantesparaelanlisisforense.

Aplicacionesimportantes:

-grave-robber-Unautilidadparacapturarinfo

rmacinsobrei-nodes,paraserprocesadapor

elprogram

amactimedelmismotoolkit.

-unrmylazarus-Herramientasparalarecuper

acindearchivosborrados(logs,RA

M,swap,

etc.).Estasaplicacionesidentificanyrecuperan

lainformacinocultaenlossectoresdel

discoduro

.

-mactime

-Elprogramaparavisualizarlosficheros/directoriossutimestampMAC

(Modification,Access,yChange).

.-Seejecutadacuandolaevidenciaencontrada,

poseeunSistemaOperativo(Linux)

Descargas

:http://www.f

ish.com/tct/,odesdehttp://www.porcupine.org/forensics.

FreeBSD2-4.*,

OpenBSD2.*,BSD/OS

2-3.*,SunOS4-5.*y

Linux2.*.

SUNSolaris

RedHatLinux

Media


5/23

99

InformticaForense

TheSleuthKity

Autop

sy

Libre

.-Esunainterfazgraficaquetrabajaenconjuntoconlaherramientathesleuthkitutilizada

paraelanlisisforense.

.-Analiza

discosysistemadearchivos(NTFS,

FAT,U

FS1/2,Ext2/3).

.-Muestra

eldetalledeinformacinsobredatoseliminadosyestructurasdelsistema

de

ficheros.

.-Permite

elaccesoaestructurasdearchivosy

directoriosdebajonivelyeliminados

.-Generalalneatemporaldeactividaddelosarchivos(timestamp).

.-Permitebuscardatosdentrodelasimgenesp

orpalabrasclave,

.-Permitecrearnotasdelinvestigadoreincluso

generainformesymuchastareas.

.-Esunacoleccindeherramientas.

.-Utilizainterfazgraficaquefacilitanotableme

nteeltrabajo.

.-Seejecutadacuandolaevidenciaencontrada,

poseeunSistemaOperativo(Window

s/Linux)

Descargas

:http://www.s

leuthkit.org/autopsy/download.php

Unix/Linux,W

indows

Alto

Mac-robber

Libre

.-Recopilainformacindeficheroslocalizados

enunsistemadeficherosmontado

(mounted).

.-Losdatosobtenidospuedenserutilizadosporlaherramientamactime,contenidae

nel

SleuthKit,paraelaborarunalneatemporalde

actividaddelosficheros.

.-Estbas

adoengrave-robber(contenidoenTCT)explicadoanteriormente.

.-Requierequeelsistemadeficherosestmontadoporelsistemaoperativo,adiferenciade

otrasherramientascomoelSleuthKitqueprocesanelsistemadeficherosellosmism

os.Por

lotanto,m

ac-robbernorecopiladatosdeficheroseliminadosoficherosqueestnoc

ultos.

Linux

Bajo


6/23

100

InformticaForense

.-Modific

arlostiemposdeaccesoadirectorio

squeestnmontadosconpermisosd

e

escritura.

Foundstone

ForensicTo

olkit

Comercial

Herramientasqueformanparte:

-Pasco:HerramientaparaanalizarlaactividadrealizadaconelnavegadorwebIntern

et

Explorerd

eMS.

-Galleta:E

xaminaelcontenidodelficherodec

ookiesdeIE.

-Rifiuti:E

xaminaelcontenidodelficheroINFO

2delapapeleradereciclajedeWindows.

-Vision:L

istatodaslospuertosTCPyUDPen

escucha(abiertos)ylosmapeaalas

aplicacion

esoprocesosqueseencuentrandetrs.

-Forensic

Toolkit:Esunasuitedeherramientas

paraelanlisisdelaspropiedadesdeficheros

Examinalosficherosdeundiscoenbuscadeactividadnoautorizadayloslistaporsultima

fechadea

cceso,permitiendorealizarbsquedasenfranjashorarias,b

squedadearc

hivos

eliminados,etc.(opensource)

Descarga:

www.foundstone.com

Windows

Alto

Foremost

GPL

(proyecto

abiertoal

pblico)

.-Recuperaficherosbasndoseensuscabecera

s.

.-Puedetrabajarsobrearchivosdeimgenes,comolosgeneradoscondd,Safeback,

Encase,

etc.odirectamentesobreundiscooparticin.

.-Lascabeceraspuedenespecificarseatravsd

esuarchivodeconfiguracin,porlo

quese

puedeespecificarbsquedasparaformatosespecficos.

Linux

Bajo


7/23

101

InformticaForense

Helix/FIRE

Libre

.-HELIXestbasadaenKNOPPIX.

.-LiveCD

.

.-Poseeunavariedaddeherramientaspararealizarunanlisisforensetantoaequiposcomo

imgenesdediscos.

.-ParaMS

Windowsposeeunconjuntodeherramientasde90Mb,permitiendotrabajarcon

sistemasv

ivos,yrecuperarinformacinvoltil.

.-Enelen

tornoLinux,

disponedeunSistemaOperativocompleto,conunncleo

modificad

oparaconseguirunaexcelentedeteccindehardware.

.-Norealizaelmontajedeparticionesswap,nin

gunaotraoperacinsobreeldiscodurodel

equiposobreelquesearranque.

.-Esmuy

buenoparaelanlisisdeequiposmuertos,sinquesemodifiquenlasevide

ncias

puesmontarlosdiscosqueencuentreenelsistemaenmodoslolectura.

.-ContienemsynuevasversionesdeSleuthKityAutopsy.

.-Sudocu

mentacinnoesamplia.

.-Permite

elegirentreusarloskernels(2.4.2

6o

2.6.5

).

.-Tieneunaexcelentedeteccindehardware.

.-HELIX

estpensadoespecficamenteparano

realizarningntipodealteracinsobrelos

sistemase

nlosqueseusa.

.-TieneunaconfiguracinautorunparaWindowsconherramientasparaesteSO.

Descarga:

http://www.e-fense.com/helix/

Windows,Solaris,Linux

Altoy

recomendable


8/23

102

InformticaForense

F.I.R.E

(Forensic

andIncident

Response

Environmen

t)

Libre

.-Esunadistribucindeunnicocdrom,portableybootableLiveCD.Proveeherra

mientas

adecuadas

paraunaactuacinrpidaencasosd

eanlisisforense.

.-Respuestaanteincidentes,recuperacindedatos,a

taquedevirus.

.-Contienegrancantidaddeherramientasdean

lisisforense.

.-Esusableparaanlisisencalientedesistemas,conloquenicamentemontandoelCDse

puedeusar.

.-Herramientascompiladasestticamentesinnecesidadderealizarunrebootdelam

quina.

.-Poseeunainterfazgraficaquehacefcilsuuso.

.-Norealizaningunamodificacinsobreloseq

uiposenlosqueseejecute,porloquepuede

serutilizadoconseguridad

.-Recuperadatosdeparticionesdaadas.

.-F.I.R.Eposeelassiguientesherramientas:

x

N

essus,nmap,w

hisker,hping2,hunt,fragrouter.

x

E

thereal,Snort,tcpdump,ettercap,dsniff,a

irsnort.

x

C

hkrootkit,F-Port

x

T

CT,Autopsy.

x

T

estdisk,fdisk,gpart.

x

S

SH(clienteyservidor),VNC(clienteyservidor)

x

M

ozilla,ircII,mc,Perl,biew,fenris,p

gp.

Todosestosprogramasserncomentadosbrevemente,enelglosario.

Descarga:

http://fire.dmzs.com/?section=main

ohttp://biatchux.dmzs.com.

Windows,Solarisy

Freeware

Altoy

recomendable


9/23

103

InformticaForense

BackTrack

Libre

.-EsunadelasmsconocidasyapreciadasdistribucionesGNU/Linux

.-Ocupae

lpuesto32enelfamosornkingdeInsecure.org.

.-Seprese

ntacomounLiveCD(norequierede

instalacin)

.-Posee300herramientasdetodotipo(sniffers

,exploits,auditorawireless,anlisis

forense,

etc)perfectamenteorganizadas.

.-Laversin2(recinpublicada)utilizaunkernel2.6.20convariosparcheseincluy

esoporte

paratarjetasinalmbricas.

.-Losprogramasquetraeestesoftwareyavienentodosconfiguradosylistosparaser

usados,po

rloquenosedebeempleartiempoe

nbuscarloseinstalarlos.

GNU/Linux

Altoy

recomendable

FLAG(Forensic

andLogAnalysis

GUI)

Libre

proyecto

abiertoal

publico

.-Simplificarelprocesodeanlisisdeficheros

delogeninvestigacionesforenses.

.-Estbas

adoenweb,porloquepuedeinstalarseenunservidordondesecentralice

todala

informacindelosanlisis,deformaquepuedeserconsultadaportodoelequipoforense.

.-pyFlageslaimplementacin(empleadaactualmente)enPython.Esunarevisin/reescritura

completadeFLAG,m

spotente,verstilyrobusta.

Linux

Bajo

E-ROL

Libre

.-Esunaaplicacinon-lineseguraydefcilmanejo.

.-Permite

alosusuariosrecuperarlosarchivos

quehayansidoborradosdeunidadesdedisco

duro,unidadesZIPydisquetes,entodoslos

sistemasoperativosdelafamiliaMicrosoft

Windows.

.-Registra

unamediademsde350entradasdiariasasupginaweb.

Windows

Bajo


10/23

104

InformticaForense

StellarPhoe

nix

.-Softwar

edeRecuperacindeDatosseencuentradisponibleparaserutilizadoen

unavasta

gamadesistemasoperativosyarchivosdesiste

ma.

.-RecuperarArchivosProgramaderecuperacindearchivosanulados:escapazde

recuperar

delcestodeWindowsdatosanuladosoperdidosacausadelformateodeldiscoduro,

deuna

infeccindevirus,deunarepentinacadadelsistemaoporundesperfectodesoftwa

re.

.-Elsoftw

aresoportalosarchivosdesistemaF

AT,

NTFS

.-Rrepara

ryrestablecearchivosZipyarchiv

oenformatoMicrosoftOffice(arc

hivosde

Access,Excel,PowerPointyWord)corrompidosonoaccesibles.

.-Repara

Archivosextraelasinformacionescontenidasenelycreaunnuevoarchivosin

errores.

Windows95,W

indows

98,W

indowsME,

WindowsNT,W

indows

2000,W

indows2003

ServereWindowsXP.

Media

Ilook

Libre

.-Recuperadatosinclusolosborrados.

.-Identificaysoportavariossistemasarchivos.

.-Analiza

funcioneshas.

.-Basado

enLinux.

.-Recuperatodoslosdatosincluidolosdearch

ivosborrados.

.-Asistealinvestigadorabuscardetallesespecficos.

Linux,W

ink2k

WinXP/Server2003

Media

.-Recuperadatoscorruptosendisquetes,CD,d

ispositivosusboelpropiodiscoloca

l.


11/23

105

InformticaForense

Badco

py

Comercial

$50

.-Recuperartodotipodearchivos,comopor

ejemplodocumentos,imgenes,aplicaciones,

etc.

.-Utilizau

nsistemainteligentederecuperacin

dedatosydisco,paraelcontenidod

eficheros

originales;puedeleerelcontenidodearchivoscorruptosyenlamayorade

loscasos

recuperarlos,entodooenparte,eneldirectorioqueseespecifique.

Win95/98/NT/ME/2000/

XP

Medio

Encase

Comercial

Sector

privado

$2495

.-Softwarelderenelmercadoydemayoruso

enelcampodeanlisisforense.

.-Losform

atosdearchivosconextensin.c

dacontenidosenCDparaequiposdemsicano

sonbienreconocidosporEnCase.

.-MuyusadaenEEUUporelFBI.

.-Noesm

ultiplataforma.

.-Encaseposeeunavariedaddefuncionesqueserequieredeotrodocumentoparaexplicar

cadaunadeellas.

http://guid

ancesoftware.com

Windows

Medio

Tablacomparativa5.2HerramientasparalaInformticaForense


12/23

106

Informtica Forense

5.2.1 Toolkit para el Departamento de Delitos Informticos de la Polica Nacional

Dejando aparte el software comercial, en el que se puede encontrar herramientas

especficas como EnCase de la empresa Guidance Software, considerado un estndar

en el anlisis forense de sistemas pero no indispensable, nos centramos en

herramientas de cdigo abierto (Open Source) muchos de estos poseen una

coleccin de herramientas en un solo software (toolkit) que pueden ser descargadas

libremente desde las pginas de sus correspondientes autores o miembros del

proyecto y que cumplen similar funcionalidad a las herramientas que soncomerciales. A ms de ello Linux es un entorno ideal en el cual realizar tareas de

anlisis forense permite proveer de una gran variedad de herramientas que facilitan

todas las etapas que se deben llevar a cabo en la realizacin de un anlisis exhaustivo

de un sistema comprometido.

Mediante el cuadro anterior las herramientas que son claramente ms recomendablesy utilizadas; en el toolkit para el Departamento de Delitos Informticos en la Polica

Nacional son:

x TCT es una herramienta de cdigo abierto, es decir no requiere la obtencin

de licencia tiene una evaluacin media.

x Forensic Toolkit forma parte de la organizacion Foundstone, la misma esta

orientada a plataformas Windows.

x The Sleuth Kit y Autopsy es una herramienta altamente recomendable

debido las funciones que posee, es gratuita y multiplataforma. Las

metodologas que se debe seguir al usar esta herramienta se adjunta en

[Anexo E].

x Otra de las herramientas recomendables pero posee una limitante esBackTrack, ya que solo funciona en Sistema Operativo Linux, pero tiene unalto rendimiento.


13/23

107

Informtica Forense

x La siguiente herramienta es E-ROL se le considera con una evaluacin baja

debido a que carece de las funciones que poseen las herramientas antes

mencionadas, pero puede ser de utilidad, al enfrentarse con entornos

Windows para tomar indicios del ataque.

Uno de los elementos ms importantes que un informtico forense debe emplear al

momento de recaudar evidencia digital, son los conocidos Live CDs o DVDs, que

son una coleccin de herramientas, que permiten realizar un examen forense de

imgenes sin tener que dedicar un equipo especfico para ello y sin necesidad de

cargar otro sistema operativo. Entre los ms recomendables ellos tenemos:

x Helix posee una evaluacin alta, contiene un sin nmero de herramientas,

entre una de ellas el Autopsy, es multiplataforma, y open source.

x F.I.R.E (Forensic and Incident Response Environment), este Live CD, es

altamente recomendable. Si Helix contiene ha Autopsy, F.I.R.E. contiene a

las herramientas TCT y Autopsy a ms de un sin nmero de herramientas,

tiles para la recoleccin de evidencias, es multiplataforma y gratuito.

Clasificacin

Herramientas para recoleccin de evidencias

x TCT (Linux).

x Forensic Toolkit (Windows).

x The Sleuth Kit y Autopsy (Unix/Linux, Windows).

x BackTrack( Linux).

x E-ROL (Windows).

x Helix (Windows, Solaris, Linux).

x F.I.R.E (Windows, Solaris y Freeware).


14/23

108

Informtica Forense

Herramientas para el Monitoreo y/o Control de Computadores.

Honeypot

Es un software o conjunto de computadores cuya intencin es atraer a crackers o

spammers, simulando ser sistemas vulnerables o dbiles a los ataques, permite

recoger informacin sobre los atacantes y sus tcnicas, los mismos pueden distraer a

los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al

administrador del sistema de un ataque, adems de permitir un examen en

profundidad del atacante, durante y despus del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no

existentes en la realidad y se les conoce como honeypots de baja interaccin y son

usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan

sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus

fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin.

Tambin se llama honeypot a un website o sala de chat, que se ha creado para

descubrir a otro tipo de usuarios con intenciones criminales.

KeyLogger

Es una herramienta que puede ser til cuando se quiere comprobar actividad

sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario

teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.

Existen dos versiones: la registrada y la de demostracin. La principal diferencia es

que en la versin registrada se permite correr el programa en modo escondido. Esto

significa que el usuario de la mquina no notar que sus acciones estn siendo

registradas.


15/23

109

Informtica Forense

5.2.2 Entornos de Trabajo Forense sobre computacin virtual para la Polica Nacional

Una de las propuestas, que es sumamente interesante y factible para la Polica

Nacional es implementar una arquitectura conformada por servidores virtuales que

proveen servicios informticos al personal designado al laboratorio el Departamento

de Delitos Informticos de la Polica Nacional.

La labor pericial demanda el uso de distintos Sistemas Operativos (Windows, Linux,

Solaris, etc.) como plataforma de ejecucin de aplicaciones forenses. Para ello sepuede implementar puestos de trabajo con mquinas virtuales, facilitando a los

investigadores la utilizacin de un mayor nmero de recursos de software en forma

simultnea.

La virtualizacin se refiere a una capa de abstraccin que separa el hardware del

sistema operativo, optimizando y flexibilizando de esta manera la utilizacin de losrecursos computacionales. Permite que mltiples mquinas virtuales con sistemas

operativos heterogneos puedan funcionar simultneamente en la misma

computadora. Cada mquina virtual tiene asignado un conjunto propio de recursos de

hardware sobre el que pueden funcionar diferentes aplicaciones. La virtualizacin

brinda la posibilidad de mejorar la infraestructura informtica en cuanto a

escalabilidad, seguridad y una variedad de modalidades en la administracin de

servidores.

Los beneficios de la virtualizacin pueden ser apreciados sobre tres aspectos de alto

impacto para la administracin de sistemas:

x Particionamiento (permite que mltiples aplicaciones y sistemas operativos

puedan compartir el mismo hardware).


16/23

110

Informtica Forense

x Aislamiento de componentes (si una mquina virtual falla esta situacin no

afecta al funcionamiento de las restantes).

x Encapsulacin(permite que una mquina virtual pueda almacenarse en un

simple archivo facilitando el backup de la misma, la copia, o el traslado).\

Virtualizacion en el Departamento de Delitos Informticos

En los puestos de trabajo del laboratorio pericial informtico se analiza la evidencia

digital utilizando aplicaciones forenses tales como EnCase, Autopsy, etc. Las

herramientas mencionadas no son multiplataforma. EnCase operan bajo Windows yAutopsy bajo Linux, impidiendo utilizarlas al mismo tiempo en un mismo equipo.

Mediante la aplicacin de virtualizacin se pueden crear mquinas virtuales con

diferentes sistemas operativos y de esta manera lograr que aplicaciones que no son

multiplataforma operen en paralelo.

Por ello se propone, como tema de aplicacin en el laboratorio pericial informtico,

que cada puesto de trabajo utilice el software de virtualizacin VMware Servercomo plataforma de operaciones, funcionando sobre el sistema operativo anfitrin

Windows XP. Se cuenta con una mquina virtual con sistema operativo Linux, sobre

la que es posible ejecutar las aplicaciones Autopsy entre otras.

Las ventajas de la virtualizacin son evidentes, ya que con esta plataforma de

operaciones es posible efectuar una adquisicin remota de un disco rgido medianteuna herramienta destinada para ello y luego abrir la imagen forense para efectuar

alguna operacin en particular con el software respectivo, ejecutando sobre el

sistema operativo anfitrin, sin necesidad de cambiar el entorno habitual de trabajo.


17/23

111

Informtica Forense

No se cree conveniente poseer clonar el dispositivo de almacenamiento original y

luego instalar esta copia en un hardware de laboratorio o incluso sobre la

computadora original Este procedimiento no es muy recomendado, ya que

usualmente se presentan problemas de incompatibilidad con el hardware cuando se

utiliza una computadora de laboratorio.

Con la aparicin de herramientas de virtualizacin como VMware se puede recrear el

entorno de trabajo del sospechoso. Debido a que actualmente ha surgido en el

mercado de informtica forense la herramienta comercial VFC , mediante la cual es

posible crear una maquina virtual ejecutable y luego inicializarla con VMware, deesta manera se podr combinar con el software destinado a la recoleccin de la

evidencia digital.

En el mbito institucional del Ecuador es habitual contar con recursos financieros

mnimos para la adquisicin de tecnologa. Es por ello que se presenta la opcin de

trabajar con servidores virtuales aplicados a la informtica forense del Departamento

de Delitos Informticos de la Polica Nacional, de tal manera que se aproveche

eficientemente el equipamiento informtico y se deje atrs al Sistema Operativo

como un punto de inflexin para el aprovechamiento de recursos informticos en las

actividades periciales.

5.3 Perfil y capacitacin para los miembros de la Polica Nacional enInformtica Forense

5.3.1 Perfil de un Informtico Forense

EL investigador forense para actuar correctamente ante la escena de un crimen debe

realizar un proceso formal, donde su conocimiento cientfico y tcnico debe ser


18/23

112

Informtica Forense

suficiente para generar indicios hacia el descubrimiento de evidencias y resolver un

caso.

Para actuar adecuadamente y de la mejor manera ante un proceso de anlisis forense,

cada miembro que forme parte del equipo de investigacin en el Departamento de

Delitos Informticos de la Polica Nacional se le debe asignar un rol determinado,

con funciones especficas, a continuacin se presentan los roles para cada tipo de

investigador que forma parte de este equipo:

Tcnicos en escenas del crimen informticas o First Responde

Las caractersticas del mismo:

x Son los primeros en llegar a la escena del crimen.

x Recolectan la evidencia.

x Formacin bsica en el en el manejo de evidencia y documentacin.

x Reconstruyen el delito.Examinadores de evidencia digital o Informtica

x Procesan la toda la evidencia digital obtenidas por los Tcnicos en Escenas

del Crimen Informticos.

x Debern ser especializados en sistemas e informtica.

Investigadores de Delitos Informticos

x Realizan la Investigacin y la reconstruccin de los hechos de los Delitos

Informticos de forma general.

x Debern poseer un entrenamiento general en cuestiones de informtica

forense.

x Debern ser profesionales en:

x Seguridad Informtica.

x Abogado.


19/23

113

Informtica Forense

x Policas.

x Examinadores Forenses.

Perito Informtico

Peritos son las personas que por disposicin legal y encargo Judicial o del Ministerio

Pblico aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o

la Polica Judicial adquieran conocimiento para determinar las circunstancias en que

se cometi una infraccin.

Las condiciones que debe reunir una persona para ser perito son:

a) Profesional, especializado y calificado por el Ministerio Pblico en un

respectivo campo y determinada materia.

b) Mayores de edad (18 aos).

c) Honradez, calidad moral de proceder ntegro y honrado en el obrar.

d) Deber ser totalmente imparcial.

e) Conocimientos especficos en la materia para cumplir su cometido.

La pericia intenta obtener un dictamen fundado en especiales conocimientos

cientficos, tcnicos, til para el descubrimiento o valoracin de un elemento de

prueba.

5.3.2 Capacitacin, Cursos y Certificaciones

Los investigadores forenses en informtica cuentan con conocimiento tcnicos

informticos, los mismos deben prepararse para desenvolverse en procedimientos

legales y tcnicamente vlidos con la finalidad de establecer evidencia en situaciones

donde se vulneran o comprometen sistemas, utilizando mtodos y procedimiento


20/23

114

Informtica Forense

cientficamente probados y claros, permitiendo establecer posibles hiptesis sobre el

hecho y contar con la evidencia requerida que fundamente dichas hiptesis.

Para ello la Polica Nacional deber constantemente capacitar al personal de esta

rea, ya que inevitablemente la tendencia de crecimiento, avances y alcance que tiene

la tecnologa es continua y con ello el aumento de nuevas tcnicas para cometer

ataques y perjudicar sistemas informticos tambin se desarrollan a la par. A mas de

ello para un adecuado manejo de evidencias cada personal que forme parte del

Departamento de Delitos Informticos, deber cumplir funciones especficas

dependiendo de su rea, de tal manera que el proceso de anlisis forense que seaplique a la evidencia digital sea llevada de la mejor manera y la evidencia sea

contundente y clara en el proceso judicial.

A continuacin presentamos los tipos de cursos y entrenamiento que debern

aplicarse para el equipo del Departamento de Delitos Informticos. Estas son dos de

las asociaciones que han desarrollado programas de certificacin forenses eninformtica, que permiten detallar las habilidades requeridas y las capacidades

deseables en los investigadores informticos:

x IACIS - International Association of Computer Investigative Specialist

(http://www.cops.org).

x HTCN - High Technology Crime Netwok (http://www.htcn.org).

IACIS

Ofrece la certificacin internacional denominada CFEC (Computer Forensic External

Certification), diseada para personas que no pertenezcan a instituciones judiciales o

de polica. Costo de esta certificacin es de US $1250 con una duracin de cinco

meses, y se requiere de una forma de aplicacin con mltiples datos del aspirante, la

misma es evaluada por el comit de IACIS.


21/23

115

Informtica Forense

Si el aspirante es aceptado, se inicia el proceso de evaluacin el cual consiste en el

anlisis de seis diskettes especialmente preparados y un disco duro con una

disposicin especial. Cada uno de los diskettes establece un problema tcnico y

forense para el aplicante el cual debe resolver correctamente, documentar sus

hallazgos y presentar un reporte donde detalle sus anlisis. Al final del proceso, se

efecta un examen sobre el proceso y las conclusiones del investigador en cada uno

de los ejercicios, donde el mismo deber demostrar su competencia y claridad para el

desarrollo de las actividades forenses.

La certificacin CFEC, exige que los nuevos investigadores forenses en informticacertificados posean experiencia y destreza en:

x Identificacin y recoleccin de evidencia en medios magnticos.

x Comprensin y prctica en procedimientos de revisin y anlisis forenses.

x Comprensin y prctica de los estndares de tica que rigen las ciencias

forenses en informtica.

x Comprensin de los aspectos legales y de privacidad asociados con la

adquisicin y revisin de medios magnticos.

x Comprensin y prctica de mantenimiento de la cadena de custodia de la

evidencia cuando se realiza una investigacin.

x Comprensin de los diferentes sistemas de archivos asociados con sistemas

operacionales, particularmente FAT de Microsoft.

x Conducir de manera detallada recuperacin de datos de todas las porciones de

un disco.

x Comprensin de como tener acceso a los archivos temporales, de cach, de

correo electrnico, de web, etc.

x Comprensin de los aspectos bsicos de Internet.

x Comprensin de tcnicas de rompimiento de contraseas.

x Comprensin general de los temas relacionados con investigaciones forenses.


22/23

116

Informtica Forense

Mencionada certificacin es avalada y reconocida en diferentes tribunales y cortes

del mundo, debido a la seriedad y rigurosidad de proceso de certificacin, las

personas que obtienen esta certificacin requieren actualizarse permanente en las

nuevos procedimientos y formas para mejorar las tcnicas de seguimiento y anlisis,

permitiendo a los profesionales certificados que se encuentren actualizados y

capacitados para afrontar nuevas formas de anlisis forense en informtica.

HTCN

Ofrece diversas certificaciones en informtica forense, de manera particular

comentamos sobre el certificado CCCI (Certified Computer Crime Investigador),

que tiende la enseanza de un nivel de educacin bsico y avanzado.

El propsito de esta certificacin es el desarrollar un alto nivel de profesionalismo y

entrenamiento continuo en investigaciones de crmenes de alta tecnologa en la

industria y las organizaciones. Costo de la certificacin es de US $250.

Existen dos tipos de niveles de certificaciones CCCI: nivel bsico y avanzado

CCCI Nivel bsico: para este nivel se requiere lo siguiente:

x Dos aos de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.

x Seis meses de experiencia investigativa directamente relacionada con la

disciplina en que busca certificarse.x Haber completado satisfactoriamente un curso de 40 horas sobre delitos

informticos o computacin forense provista por una agencia, organizacin o

empresa.

x Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la

certificacin que se desee obtener, a travs de un examen escrito.


23/23

117

Informtica Forense

CCCI Nivel avanzado: para este nivel se requiere lo siguiente:

x Dos aos de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.x Dos aos de experiencia investigativa directamente relacionada con

investigaciones de delitos informticos.

x Haber completado satisfactoriamente un curso de 80 horas sobre delitos

informticos o computacin forense provista por una agencia, organizacin o

empresa.

x Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la

certificacin que se desee obtener, a travs de un examen escrito.

La Polica Nacional debe tomar muy en cuenta que la labor que posee la

investigacin forense en informtica requiere de mucho entrenamiento y formacin,

no solamente en las especificaciones tcnicas sino tambin en procedimientos y

habilidades que permitan al profesional que se certifique, enfrentar la difcil tarea de

reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar

datos para formular hiptesis que orienten la investigacin de un delito informtico ,con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el

planteamiento de estas certificaciones importantes a nivel de Informtica Forense.

CAPITULO5 - informatica forense

Documents

Transcript of CAPITULO5 - informatica forense