Forense digital: Las tcnicas de forense son la aplicacin de una tcnica de investigacin metdica para reconstruir una secuencia

de eventos. Las tcnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. Existen dos aspectos de estas tcnicas:

que ha hecho la gente en su computador, esto incluye:

o o o o o

La recuperacin de archivos eliminados Desencriptacin elemental Bsqueda de cierto tipo de archivos Bsqueda de ciertas fases Observacin de reas interesantes del computador

que ha hecho un usuario remoto en la computadora de alguien ms. Esto incluye:

o o o

Leer archivos de registro Reconstruir acciones Rastrear el origen Principios forenses:

Existe un nmero de principios bsicos que son necesarios al examinar un computador o un cadver. Estos principios son:

Evitar la contaminacin Actuar metdicamente Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia Evitar la contaminacin

En televisin salen los examinadores forenses ataviados con batas blancas y guantes, cogiendo todas las pruebas con pinzas y ponindolas en bolsa de plstico selladas. Todo ello es para prevenir la contaminacin. Aqu es donde las evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y deja sus huellas digitales en la hoja del cuchillo (te acuerdas de la pelcula del Fugitivo? Piensa en los problemas que lleg a tener!). Actuar metdicamente En cualquier cosa que se haga, si tuvieras que ir a un juicio, necesitaras justificar todas las acciones que hayas tomado. Si actas de una manera cientfica y metdica, tomando cuidadosas notas de todo lo que haces y cmo lo haces, esta justificacin es mucho ms fcil. Tambin permite a cualquier otra persona poder seguir tus pasos y verificar que t no has cometido ningn error que pueda poner en duda el valor de tu evidencia. Cadena de Evidencias

Siempre se debe mantener lo que se denomina la Cadena de Evidencias. Esto Significa que, en cualquier momento del tiempo, desde la deteccin de la Evidencia hasta la presentacin final en el juicio, puedes justificar quin ha Tenido acceso y dnde ha sido. Esto elimina la posibilidad de que alguien haya Podido sabotearlo o falsificarlo de alguna manera. Metodologa

Como en todo proceso de anlisis existe una metodologa a seguir que nos marca los pasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y con unos resultados altamente fiables. Estudio preliminar: En el primer paso nos hemos de plantear a la situacin en la que nos encontramos: estado fsico del disco, causas del posible fallo, sistema operativo, topologa de la red, etctera. Esta es la toma de contacto y de aqu saldr, a priori, el camino a seguir para llegar a buen puerto. Adquisicin de datos: En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio. Para esta fase la forma ms comn de realizarlo es mediante el comando `dd' de Linux, que nos realiza un volcado de un disco a otro. Si el disco est daado fsicamente entonces no tenemos ms remedio que recurrir al uso de la cmara blanca. En esta fase ha de estar presente un notario para dar fe de los actos realizados. Anlisis Procedemos a realizar las comprobaciones necesarias y a la manipulacin de los datos, para ello puede ser tan fcil como arrancar el sistema operativo y mirarlo en modo grfico, o bien realizar una lectura a nivel fsico y determinar la solucin mediante los bits. Presentacin Despus de un trabajo duro llega el momento de la entrega de los resultados obtenidos al cliente. Si ste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposicin ante el juez. Evidencia Digital

El propio significado del concepto puede dar una orientacin certera a su propia explicacin, pues se trata nada ms y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informtico. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del anlisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos. Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daos y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificacin o creacin desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignacin de archivos del soporte. Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de tcnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema an est muy verde en Espaa y al no haber leyes referentes a ello, cada juez lo valora subjetivamente como prueba vlida o no. Herramientas para la Recoleccin de Evidencia Existen una gran cantidad de herramientas para recuperar evidencia. El uso de

Herramientas sofisticadas se hace necesario debido a: 1. La gran cantidad de datos que pueden estar almacenados en un computador. 2. La variedad de formatos de archivos, los cuales pueden variar enormemente, an dentro del contexto de un mismo sistema operativo. 3. La necesidad de recopilar la informacin de una manera exacta, y que permita verificar que la copia es exacta. 4. Limitaciones de tiempo para analizar toda la informacin. 5. Facilidad para borrar archivos de computadores. 6. Mecanismos de encripcin, o de contraseas.

EnCase

ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el anlisis de un crimen digital. Algunas de las caractersticas ms importantes de encase se relacionan a Continuacin: Copiado Comprimido de Discos Fuente. Encase emplea un estndar sin prdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta caracterstica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo. Bsqueda y Anlisis de Mltiples partes de archivos adquiridos . EnCase permite al examinador buscar y analizar mltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extrables, discos zip y otros tipos de dispositivos de almacenamiento de la informacin. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. Diferente capacidad de Almacenamiento . Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo. EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se cre, ltimo acceso, ltima escritura), nombres de los archivos, firma de los archivos y extensiones. Anlisis Compuesto del Documento. EnCase permite la recuperacin de archivos internos y meta-datos con la opcin de montar directorios como un sistema virtual para la visualizacin de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.

Herramientas para el Monitoreo y/o Control de Computadores

Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar informacin. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan informacin sobre las teclas que son presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del computador, o hasta casos donde la mquina es controlada remotamente .

KeyLogger

KeyLogger es un ejemplo de herramientas que caen en esta categora. Es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen dos versiones: la registrada y la de demostracin. La principal diferencia es que en la versin registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la mquina no notar que sus acciones estn siendo registradas.

Herramientas de Marcado de documentos

Un aspecto interesante es el de marcado de documentos; en los casos de robo de informacin, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fcilmente. El foco de la seguridad est centrado en la prevencin de ataques. Algunos sitios que manejan informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes. Tcnicas forenses en una mquina individual Esta es probablemente la parte ms comn en las tcnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicacin con alguien ms, e-mail o libretas de direcciones o evidencia de una naturaleza particular, como imgenes pornogrficas. En los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo, que archivos ha accesado, y ms. Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades que por ejemplo, observar que contena un disco antes de una formateada. Muchos de los archivos que se detectan no pueden ser ledos inmediatamente, muchos programas tienen sus propios formatos de archivo; sin embargo, tambin existen utilidades que permiten saber cual tipo de archivo es. Tcnicas forenses en una red Las tcnicas forenses en una red se usan para saber donde se localiza un computador y para probar si un archivo particular fue enviado desde un computador particular. Estas tcnicas son muy complicadas, pero se puede investigar utilizando dos herramientas bsicas:

Registros de firewalls Encabezados de correo Post-Mortem

He aqu la palabra que encauza el ttulo de nuestro artculo, el anlisis post-mortem se realiza mayoritariamente para la recuperacin de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a ste recurso se aconsejan la copias de seguridad peridicas. Se puede decir que un disco duro ha "muerto" cuando su parte mecnica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo. Cuando esto sucede no hay ms que una solucin posible, y esa es el anlisis post-mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cmara blanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecnico para su correcta lectura de datos. Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idnticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dgitos; si ste es el mismo en los dos podemos asegurar que el proceso ha sido completado con xito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daos.

Dificultades del Investigador Forense El investigador forense requiere de varias habilidades que no son fciles de adquirir, es por esto que el usuario normal se encontrar con dificultades como las siguientes: 1. Carencia de software especializado para buscar la informacin en varios Computadores. 2. Posible dao de los datos visibles o escondidos, an sin darse cuenta. 3. Ser difcil encontrar toda la informacin valiosa. 4. Es difcil adquirir la categora de 'experto' para que el testimonio personal sea vlido ante una corte. 5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa. 6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente Computacional. 8. Dificultad para conducir la investigacin de manera objetiva.

Equipos Anlisis Informtico Forense

Para realizar Anlisis Informtico Forense es imprescindible contar con el equipamiento necesario, no solo para investigar sino tambin para proteger la integridad de los dispositivos a analizar, de forma que sigan siendo vlidos como prueba judicial. Disponemos de los equipos con la ms avanzada tecnologa en el campo del Anlisis Informtico Forense, copiadoras duplicadoras, creadoras de imgenes ultrarrpidas; equipos para investigacin "en caliente" no intrusivos, que no dejan huella as como equipos para borrado seguro. No se quede atrs, utilice lo ultimo del estado del arte en equipamiento Forense. 1. Equipo Informtico Anlisis Forense marca VOOM modelo SHADOW 2 Dispositivo Hardware diseado para ayudar a los investigadores forenses a acceder al soporte magntico sin alterar su contenido. Caractersticas: Permite arrancar, en caliente, al investigador forense el sistema a analizar sin alterar su contenido. Permite instalar herramientas propietarias en caliente sin alteracin de contenidos. Permite actualizar el Firmware del Shadow 2 con futuras actualizaciones y mejoras.

2. Equipo Informtico Anlisis Forense VOOM modelo HARDCOPY II Dispositivo hardware que permite las siguientes funciones: Clona discos a una velocidad de hasta un mximo de 5.5 GB por minuto, en condiciones optimas. MD5 permitido en toda la imagen. Permite imgenes automticas de las reas Protegidas. Permite imgenes ISO (dd, tambin llamadas copias planas) compatible con el software ENCASE Pantalla LCD para control de errores o procesos. Por el momento NO permite copias de dispositivos SCSI Con sus adaptadores correspondientes permite copia de dispositivos IDE/ATA, SATA, 2.5" y dispositivos de memoria. Puede trabajar con discos de hasta 2 TB de capacidad Borrado de un disco duro con algoritmo nico (ms rpido) o mltiple utilizados por la NAVY y DOD 3. Equipo Informtico Anlisis Forense marca VOOM modelo DRIVEWIPER Este equipo asegura una alta calidad de borrado a gran velocidad. Gran facilidad de uso y fcilmente ampliable. Principales caractersticas:

Borrado de un disco duro a 5,5 GB por minuto Borrado de dos discos duros simultneamente a 8 GB por minuto en conjunto Trabaja con discos ATA o SATA Desbloquea y borra automticamente reas protegidas Dispone de algoritmos nico (ms rpido) o mltiple utilizados por la NAVY y DOD Pantalla LCD y solo tres botones para su operacin