Informtica Forense

CAPTULO 4

METODOLOGAS Y ESTRATEGIAS EN BASE A LA INFORMTICA FORENSE

Las metodologas que se usen en la Informtica Forense pueden ser diversas e independientemente de las plataformas o sistema operacional donde se efecten las actividades de los investigadores forenses en informtica se debe cumplir los siguientes requisitos con la informacin o evidencia identificada. Para las copias de la informacin se debe utilizar medios forenses estriles Mantener la integridad del medio original Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultado de la investigacin.

De esta forma la evidencia no ser rebatida y tampoco descartada como medio probatorio.

4.1

Anlisis de Soportes y Dispositivos Electrnicos

Los soportes de almacenamiento, como los discos, almacenamientos removibles (disquetes, discos ZIP, CD-ROM, DVD, etc.). Para su anlisis se requiere una

comprensin completa tanto de la estructura fsica y del funcionamiento de los medios de almacenamiento como la forma y la estructura lgica de cmo se almacenan los datos.

Los dispositivos electrnicos se refieren a cualquier dispositivo capaz de guardar informacin que posea valor como evidencia. Dentro de stos se puede incluir a los 58

Informtica Forense

telfonos celulares, agendas y organizadores electrnicos, dispositivos de comunicaciones de red como routers, hubs, etc. El anlisis de estos dispositivos es ms complejo que recuperar los datos de los soportes, inclusive el requerido es generalmente ms especializado. hardware

Por tanto por el amplio alcance de la informtica forense, estn involucradas varias ciencias y disciplinas como ingeniera electrnica, criptografa, ingeniera de software, comunicaciones, derecho, son reas que en conjunto hacen posible el anlisis de los soportes de almacenamiento y dispositivos electrnicos.

4.2

Anlisis de la comunicacin de datos

Para realizar el anlisis de la comunicacin de datos, es importante abarcar dos aspectos: 1. Intrusin en una red de computadoras o el mal uso de la misma. 2. Interceptacin de datos.

El anlisis sobre estructuras de esta naturaleza, consiste en las funciones siguientes:

Deteccin de la intrusin o interceptacin. Detectar la evidencia, capturarla y preservarla. Reconstruir de la actividad especfica o del hecho en s.

Para la deteccin de la intrusin o interceptacin generalmente se utiliza software especializado y en algunos casos hardware, para supervisar la comunicacin de los datos y conexiones con el propsito de identificar y aislar un comportamiento ilegal. Dicho comportamiento incluye el acceso no autorizado, modificacin del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.

59

Informtica Forense

Despus del descubrimiento de la intrusin o un comportamiento anormal, se debe capturar la evidencia, para que se pueda conservar para el posterior anlisis.

La reconstruccin de la intrusin o un comportamiento anormal permite un examen de todos los datos recogidos durante la captura de la evidencia.

4.3

Metodologas y Estrategias

Para realizar un anlisis forense se requiere de una metodologa cientfica probada, y del uso de la tecnologa disponible para encontrar, recolectar, procesar e interpretar datos, as como de una cuidadosa cautela y de buenos conocimientos.

Los componentes principales que debe cumplir una metodologa para un anlisis forense es: Marco Cientfico: Investigaciones y experiencias apoyadas estrictamente en el mtodo cientfico. Ms all de la fluidez argumentativa propia de cada profesional se debe aportar estructura lgicas necesarias para justificar las fundamentaciones de manera estricta e irrebatible.

Marco Criminalstico: Interrelacionarse con los restantes especialistas del rea, interactuar con los mismos, trabajar en forma mancomunada y en base a visiones especficas llegar a conclusiones coherentes. Obtener los conocimientos necesarios para detectar, documentar, preservar y de ser necesario secuestrar los elementos probatorios propios de otras especialidades presentes en el lugar del hecho.

60

Informtica Forense

Marco Informtico general: las metodologas de Anlisis de Sistemas, que se utiliza en herramientas de uso general se pueden adaptar a las actividades periciales informticas. Las etapas de relevamiento de informacin y desarrollo de un modelo coherente de anlisis, se evidencian como instrumentos adecuados para brindar soporte metodolgico a la actividad del experto en informtica Forense.

Marco Informtico especfico: en relacin con las herramientas propias del anlisis forense informtico, deben ser abordadas desde las caractersticas ms adecuadas que vayan con la realidad de nuestra sociedad, ya sean ambientes de software libre o software propietario.

Marco Legal: Implica la insercin legal del accionar pericial al concurrir al lugar del hecho, los cumplimientos de los plazos legales, la condicin de testigo experto, los artculos de las leyes vigentes en nuestro pas.

Al cumplir con los componentes metodolgicos nombrados el Informe Pericial ser: x Cientficamente fundamentado x Criminalsticamente interrelacionado x Modelado mediante tcnicas propias del Anlisis de Sistemas. x Investigado con las mejores herramientas disponibles. x Inserto en el marco legal correspondiente. Metodologa Sistmica La investigacin es una serie actividades tendientes a resolver un problema especfico y acotado, la metodologa sistmica es una de las ms apropiadas y actualizadas para enfrentar dicha tarea.

61

Informtica Forense

Los mtodos clsicos de induccin, deduccin y abduccin, todos ellos reunidos en el mtodo cientfico, constituyen herramientas inevitables y bsicas en una investigacin, pero la planificacin general es sistmica.

Los aspectos a considerar dentro de las metodologas de la Informtica forense son:

x Asegurar que ninguna persona tenga acceso a la computadora y a sus alrededores. Si es una empresa se debe identificar al personal informtico interno y a los usuarios de aplicaciones especficas que deben someterse a peritaje. x Si la computadora se encuentra encendida, fotografiar la pantalla. x Si la computadora se encuentra apagada, no encender ya que pueden activarse sistemas que destruirn la informacin. x Deshabilitar la energa desde su fuente o cerrar el sistema usando los comandos del Sistema Operativo, si son notebooks ser necesario quitarle la batera. El perito informtico determinar la modalidad de apagado y desconexin elctrica. x Desconectar o deshabilitar el mdem x Desconectar la fuente de la impresora x Insertar un diskette, cd o dvd cubierto con cinta de evidencia x Antes de empezar con el procesamiento de la evidencia se debe fotografiar una toma completa del lugar donde se encuentran los equipos, a las conexiones de todos los equipos y luego diagramarlas. En algunos casos si es conveniente se puede realizar una filmacin. x Rotular todas la conexiones de los equipos para poder restaurar la configuracin original x Fotografiar el rea despus de que el gabinete ha sido removido x Investigar el rea en busca de informacin relacionada o de contraseas. x Secuestrar libros, notas, manuales, software, discos, sistemas de almacenamiento y todo lo relacionado al sistema; y realizar un inventario de lo secuestrado. 62

Informtica Forense

x Para tocar el material informtico se lo debe hacer con guantes descartables ya que el objeto de la investigacin puede ser el mouse, teclado, CDs, DVDs, etc. y puede servir para el anlisis de huellas dactilares, ADN, etc. x Colocar los discos en sobres de material que no conduzca la esttica x Interrogar a todos los sospechosos x Transportar la evidencia, no colocar elementos cerca de fuentes electromagnticas (radios policiales) x Trasladar la computadora a un lugar seguro x Realizar copias de seguridad de los canales de bits, discos rgidos, etc. x La evidencia es frgil y puede ser alterada o destruida fcilmente por lo tanto la recuperacin forense se debe realizar en las copias y de esta manera se podr preservar la evidencia; solamente si es que existieran circunstancias extremas se podr tocar la evidencia original. x Autentificar matemticamente la informacin de los Sistemas de

Almacenamiento x Antes de acceder a las pruebas se deben registrar, es decir realizar el hash del soporte accedido. x Cuando las diligencias son realizadas en momentos que no son visibles para comprobar algunas circunstancias como antenas externas, conexiones con otros edificios, etc., es recomendable operar en horas que preceden al amanecer. x El perito informtico debe escuchar durante la operacin, a las personas que hayan llegado en primer trmino, ya que podrn dar testimonio de cmo se encontraron los cambios sufridos. La base de la metodologa de trabajo de un informtico forense es el ver ms all de lo visible.

La investigacin no debe limitarse solo en el lugar desde dnde se accede a la informacin o donde se encuentra almacenada la misma; debe extenderse a todo su contorno y lugares adyacentes.

63

Informtica Forense

Mtodo Espiral: Una manera de hacer la inspeccin es mediante la forma que se denomina espiral, desde afuera hacia adentro. Si el hecho est en el interior de un lugar entonces la inspeccin se debe dar desde las paredes hasta llegar al sitio principal.

Mtodo Cuadrcula: Cuando el sitio es muy grande se lo fracciona en cuadrculas, posteriormente se revisa las cuadrculas con el mtodo espiral. Las fracciones sern divididas en base a las distancias que se encuentran los elementos, as como tambin las dimensiones del lugar; las cuales deben ser calculadas con exactitud (no a simple vista o mediante pasos). La Unidad de Anlisis Forense de la Polica Nacional, al emplear ste mtodo debe dividir las inspecciones de los lugares anexos al personal de la Unidad, al momento de encontrar algn indicio, no se debe tocar, comunicar del descubrimiento y se sujetarn a la accin a tomar por decisin del Jefe de la Unidad. No se debe subestimar una opinin y tampoco un dato por su aparente obviedad. En la investigacin de los hechos delictivos todo lo que se encuentra el lugar del suceso sirve, nada debe descartarse como intil

4.3.1

Secuestros de Equipos

Para un anlisis forense debemos contar con resultados previsibles de mxima y mnima, que nos aseguren contar con la prueba necesaria. Se debe proceder a accionar una aproximacin, acceso, proteccin y secuestro de los equipos o datos pretendidos. El secuestro de equipos tiene carcter procesal y sirve para que el Juez asegure las pruebas y se de veracidad en los resultados del juicio. 64

Informtica Forense

Para el secuestro de equipos se debe identificar cada uno de los dispositivos computacionales, siempre es preferible secuestrar dispositivos informticos que almacenan grandes volmenes (computadoras, notebooks, discos rgidos externos) tambin puede secuestrarse DVD, CDs, discos Zip,etc. y entornos de red.

Se debe rotular el hardware que se va a secuestrar: x Para computadoras, notebooks, palmtops, celulares, etc.: o Nmero del Expediente Judicial o Fecha y Hora o Nmero de serie o Fabricante modelo x Para DVDs, CDs, Diskettes, discos Zip, etc.: o Almacenarlos en conjunto en un sobre antiesttico o o N del Expediente Judicial Tipo (DVDs, CDs, Diskettes, discos Zip, etc.)

o Cantidad. Cuando se necesite secuestrar perifricos especficos conectados a los equipos informticos se debe identificar con etiquetas con nmeros los cables para mostrar dnde se deben conectar y tambin deben ser fotografiados los equipos con sus respectivos cables de conexin etiquetados.

Para que una investigacin sea efectiva es esencial saber concretamente que se va a incautar para proceder a embalar y transportar correctamente los medios computacionales, la informacin de los equipos debe ser levantada de la manera ms cautelosa, posterior a esto se da paso a la cadena de custodia, la cual tiene 65

Informtica Forense

como objetivo garantizar la integridad de los datos en los medios de almacenamiento originales durante toda la investigacin y de esta manera asegurar la admisibilidad de las pruebas. Durante el proceso de captura, se realizar la copia exacta bit a bit, desde ese momento se trabajar nicamente sobre la imagen forense.

Se debe considerar la custodia, ya que muchas veces existen individuos que operan equipos que han sido secuestrados, destruyendo as la evidencia y si no son correctamente vigilados sern fcilmente comprometidos.

4 .3.2

Discos Duros

Generalmente la escena del crimen es el disco duro, por lo que hay que evitar cualquier situacin que pueda alterarlo y se pierdan pistas importantes de la intrusin, es necesario tomar notas de lo que se hace con el disco duro y a qu hora, Este anlisis no slo busca archivos incriminatorios, sino tambin otra informacin valiosa como passwords, logins y rastros de actividad en Internet, etc.

En el momento que se trabaja con el medio original se tendr que estar acompaado del delegado a constatar los efectos legales.

Las copias deben ser realizadas bit a bit (imgenes del disco). La investigacin se har sobre la copia y no sobre el original. Es recomendable hacer tres copias del disco duro original y hacer una verificacin criptogrfica, un checksum. Tambin realizar dumps de memoria y almacenarlos al igual que los discos.

66

Informtica Forense

Figura 4.1 Copia de Disco Duro

Ya sobre la copia, es necesario utilizar tcnicas de bsqueda para identificar actividades del intruso, como el uso de archivos especficos, palabras claves, archivos creados, modificados o borrados, ltimos accesos, configuraciones (sistema y de usuarios), revisar bitcoras, analizar ligas existentes de acceso directo a aplicaciones, archivos o dispositivos, etc.

Se puede basar en los cookies y en los archivos temporales de Internet para intentar determinar sus hbitos de navegacin.

Para poder deducir las aplicaciones instaladas o utilizadas se debe analizar los archivos temporales que se generaron.

A travs del spool de impresin del sistema se puede determinar si el atacante imprimi archivos. Los archivos generados (Windows) para impresin tienen la extensin SPL o SHD. Al buscar estos archivos es posible obtener informacin como el nombre del archivo impreso, el propietario, la impresora utilizada y los datos impresos.

El buscar archivos borrados, buscar bitcoras y archivos sospechosos mediante herramientas de software y tcnicas especiales podemos rescatar datos que nos pueden guiar en la investigacin. 67

Informtica Forense

4.3.3

Sistemas Operativos

Existen diversas metodologas y una gran cantidad de herramientas que pueden ser ejecutadas bajo la los diferentes sistemas operativos para poder realizar una investigacin correcta, contando que se debe analizar la variedad de formatos de archivos, los cuales pueden variar significativamente an dentro del contexto de un sistema operativo.

Para consultar los archivos de registro del sistema y logs en busca de entradas y avisos sobre fallas de instalacin, accesos no autorizados, conexiones errneas o fallidas, etc., depende de la plataforma para la ubicacin de estos archivos.

Microsoft Windows: Proporciona un entorno donde se puede verificar si las aplicaciones son seguras.

Los pasos a seguir son los siguientes: Men: Herramientas administrativas Visor de sucesos El de servicios o Directiva de seguridad social

Tambin en el registro de Windows se encuentra gran cantidad de informacin, se puede utilizar la aplicacin del sistema regedit.exe o las siguientes herramientas: Reg, que permite consultar al registro sin modificarlo Regdmp, exporta el registro en formato de texto plano (.txt)

Debido a la gran cantidad de informacin que almacena y se mezcla, se debe ser cuidadoso y es recomendable empezar por buscar en las claves del registro Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce, Winlogon, ya que 68 bajo

Informtica Forense

estas claves se encuentran los programas, servicios y aplicaciones que se cargan al inicio del sistema, y es donde se puede ver algo sospechoso.

4.3.3.1 File slack Los archivos son creados en varios tamaos dependiendo de lo que contengan. Los clsters son bloques de tamao fijo donde los sistemas DOS, Windows 95/98/ME/XP/VISTA y Windows NT almacenan los archivos, no es comn que el tamao de los archivos coincida totalmente con el tamao de uno o varios clusters. El tamao de los clsters vara por su longitud, esto depende del sistema operativo. En Windows 95/98/ME/XP depende del tamao de la particin lgica involucrada.

Se denomina file-slack al espacio de almacenamiento de datos que se da desde el final del archivo hasta el final del clster. Los clusters estn compuestos por bloques de sectores y si no hay suficientes datos en el archivo para cubrir el ltimo sector del archivo DOS/Windows diferencia hacia arriba los datos completando el espacio restante con datos que se encuentran en ese momento en la memoria del sistema. Por lo tanto un tamao ms grande en los clusters significan ms file slack y tambin mayor prdida de espacio de almacenamiento y esta debilidad de la seguridad del computador crea una ventaja para el investigador forense, porque el file slack es una fuente significativa de pistas y evidencia ya que contiene octetos de datos aleatoriamente seleccionados de la memoria del computador.

4.3.3.2 Archivo Swap Los sistemas operativos Windows utilizan un archivo especial nombrado Swap de Windows o Directorios de Pgina de Windows en el sistema operativo Windows NT. El tamao de estos archivos se extiende desde 20MB a 200MB, el objetivo de estos archivos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrnicos, la actividad en Internet (cookies, etc), logs de entradas a

69

Informtica Forense

bases de datos, etc. Es un problema de seguridad ya que se da un almacenamiento transparente, pero estos proporcionan a la investigacin forense grandes pistas.

4.3.3.3 Unallocated File Space Para el borrado de archivos solamente si se ha utilizado alguna herramienta especializada se podr dar efectivamente caso contrario cuando los archivos son borrados o suprimidos en DOS, Windows, el contenido de los archivos no son borrados verdaderamente ya que estos permanecen en un rea llamada espacio de almacenamiento no-asignado (Unallocated File Space). Por lo tanto aunque los datos no sean visibles siguen existiendo y pueden ser revelados con herramientas forenses.

UNIX/Linux: Se dispone de una serie de archivos de registro (logs), generalmente en el directorio /var/log, en la siguiente tabla se describe a los archivos ms importantes:

Archivos de Registro /var/log/messages

Descripcin Contiene los mensajes generales del sistema Guarda los sistemas de autenticacin y seguridad Guarda el historial de inicio y cierres de sesin pasadas Guarda una lista dinmica de quin ha iniciado la sesin Guarda cualquier inicio de sesin fallido o errneo

/var/log/secure

/var/log/wmtp

/var/run/utmp

/var/log/btmp

Tabla 4.1 Archivos de Registro en Unix/Linux

70

Informtica Forense

Bajo el directorio /var se encuentran los propios archivos de registro de los programas y aplicaciones. Se encuentran en modo texto y se podr buscar indicios del ataque mediante un editor o visor de texto.

A continuacin se presenta un fragmento de un archivo /var/log/messages en una mquina acometida.

Figura 4.1 Fragmento de un Archivo de Registro

En la entrada cuarta y quinta del archivo se puede notar una modificacin ya que se ve un salto en la secuencia de fechas, tiene dos entradas con fecha del 22 de enero tras dos entradas con fecha del 23 de enero.

Aunque estos detalles no son determinantes, si pueden ser indicios que indiquen que los sistemas estaban siendo causa de un trasteo.

Los archivos de claves, usuarios y grupos tambin pueden ayudar para la bsqueda de evidencias, se pueden encontrar en / etc/ passwd, / etc/ shadow. Adems de estos archivos de registro, tambin pueden contener indicios los archivos de claves, usuarios y grupos, los cuales se pueden encontrar en el directorio: /etc/passwd, /etc/shadow,/etc/group.

71

Informtica Forense

Al editar el archivo /root/ .bash_history se puede obtener los comandos ejecutados por el usuario root.

4.3.4

Bases de Datos

Para iniciar el anlisis forense en una Bases de Datos, primero es necesarios conocer el diccionario de datos de la misma, ya que este posee tablas con informacin importante de la Base de Datos tal como: x x x Informacin del estado y creacin de la Base de Datos. Informacin de usuarios creados y roles asignados. Informacin de usuarios que acceden a la Base de Datos y a sus objetos (tablas, ndices, procedimientos)

Es muy importante que el informtico forense posea conocimientos bsicos en la ejecucin de consultas SQL, y los nombres ms importantes de los atributos de cada tabla que forma parte del diccionario de datos.

El trabajo de la Informtica forense para encontrar algn tipo de evidencia en una Base de Datos se tiene que dar tanto en la capa fsica como lgica. Debido a que en la capa fsica se encuentran archivos de la BD que residen en disco y en la capa lgica se encuentran las estructuras que mapean los datos hacia esos componentes fsicos.

Los primeros archivos que se deben verificar y estudiar su estado despus del ataque en la capa fsica de la Base de Datos son: x Los primeros archivos que se deben revisar son los control files, ya que estos archivos contienen informacin de la ubicacin de los datafiles y redo log

72

Informtica Forense

En la Capa fsica se encuentran los datafiles, estos almacenan toda la informacin almacenada en la BD, por ello despus de comprobar el estado de los control files se deber analizar en la BD el estado de los datafiles, ya que muchos objetos (tablas, ndices) pueden compartir varios datafiles, y la evidencia puede encontrases entre esas tablas.

En caso de que el atacante realizo algn tipo de dao en la BD, se puede acudir al uso de los archivos redo log (deshacer) los mismos almacenan informacin que se utiliza para la recuperacin de la BD en caso de falla, estos archivos almacenan la historia de cambio de la BD y son tiles cuando se requiere corroborar si los cambios que la BD ya ha confirmado, se han efectuado realmente en los datafiles.

Posterior a verificar los estados de los archivos en la capa fsica se procede ha la capa lgica, en ella se encuentra el esquema de la Base de Datos, el cual consiste de objetos como tablas, clusters, ndices, vistas, procedimientos, secuencias, entre otros, con ello se puede comprobar: x Las tablas existentes, si se borro o modifico alguna tabla y que usuraos tienen acceso a ellas, de tal manera que si un usuario que solo tiene acceso al departamento financiero y este puede ingresar a informacin del departamento de auditora, entonces ya existe una anomala.

4.3.5

Telfonos mviles y tarjetas

Cuando se obtiene como evidencia un telfono mvil, blackberry o PDA, es importante evitar comunicaciones salientes o entrantes del dispositivo para evitar la modificacin del estado en el que se encuentra y tambin evitar el trfico entrante que pudiera sobrescribir registros histricos o mensajes existentes.

73

Informtica Forense

Existen dos opciones al momento de incautar un dispositivo de este tipo:

x x

Mantenerlo encendido pero aislado de la red. Apagar el dispositivo.

La primera opcin de mantenerlo encendido y con una bolsa aislante se consigue que el dispositivo deje de estar conectado a la red. Pero estos dispositivos al no encontrar portadora para comunicaciones, aumentan su potencia de emisin y la frecuencia con la que intenta buscar red, por lo tanto la vida de la batera se acorta. En cambio la segunda opcin tenemos un problema adicional ya que la mayora de las veces estos dispositivos estn protegidos mediante contraseas o cdigos PIN. Y nos tocara investigar contraseas o irrumpirlas.

Se puede optar por varias salidas, ya que existen casos que en que utilizar fuentes de alimentacin porttil al ser almacenadas con el dispositivo en la bolsa aislante resulta efectivo para reducir el consumo de la batera.

Para la pericia de la telefona mvil se tiene la informacin que contiene el mvil en su memoria interna y en su SIM, y la que aporta la operadora de telefona mvil. Si la tarjeta SIM est bloqueada mediante va judicial se puede solicitar el nmero PUNK a la operadora, tambin se puede solicitar las llamadas entrantes, salientes, mensajes cortos y buzn de voz, todo en dependencia del tiempo que cada operadora lo almacene en sus bases de datos.

Una ayuda para sta rea seran los mapas de localizacin del mvil durante su uso en relacin al posible hecho delictivo.

74

Informtica Forense

Se puede tener el caso de mviles en mal estado, los cuales deben someterse a un proceso de reparacin y ensamblaje de componentes para ponerlo en funcionamiento y mediante software especializado obtener los datos almacenados en la memoria interna. Para la investigacin forense es muy importante el anlisis del telfono mvil ya que se ha convertido en un aparato tan usado como las computadoras, ya que actualmente muchos de estos celulares ya tienen las funciones principales de un computador.

Los telfonos mviles, las agendas electrnicas, etc., guardan y procesan cantidades significativas de datos. El examinar estos dispositivos muchas veces conduce a investigaciones relacionadas con la droga ya que generalmente los narcotraficantes sospechosos se han acostumbrado a usar estos dispositivos para guardar los nombres del contacto y nmeros de clientes. Las agendas electrnicas permiten el

almacenamiento de cantidades grandes de datos que pueden protegerse por medio de una contrasea.

Las tarjetas inteligentes, no slo tienen la capacidad para guardar cantidades importantes de datos, sino tambin para procesar y asegurar datos en un solo chip, esto agrega complicaciones al proceso del examen forense, pero as como la tecnologa de la tarjeta inteligente es sofisticada, tambin lo son los procesos forenses para analizar y extraer los datos.

4.3.6

Anlisis de sistemas vivos

Si se encuentra el equipo vivo y se puede mantenerlo un poco ms, se da inicio en seguida a la recopilacin de evidencias (Gua de Informtica Forense para la Polica Nacional).

75

Informtica Forense

Se debe establecer el siguiente orden de volatilidad y su recopilacin, de esta manera se dar prioridad en un sistema vivo.
x x x x x x

Registros y contenidos de la cach Contenidos de la memoria Estado de las conexiones de red, tablas de rutas Estado de los procesos en ejecucin. Contenido del sistema de archivos y de los discos duros. Contenido de otros dispositivos de almacenamiento. Es importante recuperar datos del sistema en tiempo real: -Fecha y hora -Procesos activos. -Conexiones de red. -Puertos TCP/UDP abiertos y aplicaciones asociadas a la escucha. -Usuarios conectados remota y localmente.

La informacin voltil es de vital importancia por lo tanto no se debe almacenar en el equipo comprometido para supuestamente recuperarla ms tarde para su anlisis, esta se puede perder enseguida.

Al momento que se obtiene la informacin voltil se debe recopilar la informacin contenida en los discos duros.

76

Informtica Forense

4.4 GUA INFORMTICA FORENSE APLICADA PARA LA POLICA NACIONAL

La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), Manual de Cdigo Abierto para Computacin Forense, las Guas de Estndares, Habilidades y Herramientas de la IOCE (International Organization of Computer Evidence) y el tratamiento de la Evidencia Digital detallado en el RFC 3227, que fue emitida por la Internet Society y la IETF.

Las metodologas usadas por parte de los Peritos Informticos Forenses dependen de la estrategia del Profesional, de lo que est permitido hacer hasta los lmites que impone la Ley de cada Pas y de los medios que tiene para realizar la investigacin forense. Para seguir una correcta metodologa se recomienda seguir los lineamientos de la IOCE y del RFC 3227.

Propuesta de una Gua de Buenas Prctica en Informtica Forense Para la Polica Nacional del Ecuador

La gua que se detalla a continuacin est basada en metodologa cientfica y orientada especficamente a la Polica Nacional del Ecuador segn los delitos informticos y las leyes vigentes en la Constitucin de la Repblica del Ecuador.

El objetivo es seguir un orden adecuado para intervenir ante un delito y anlisis del mismo en base al tipo de evidencia digital encontrada.

La gua tiene el siguiente contenido: 77

Informtica Forense

x x x x x

Preparacin para acudir al incidente Inicio del Anlisis forense, definicin de escenario y tipo de evidencia Proceso de identificacin y fuente de la informacin: escenarios, acciones. Presentacin de las metodologas y tcnicas usadas al descubrir una evidencia, formularios, informes. Anexos (glosario, fotografas y diagramas)

La metodologa para dar inicio a la Investigacin Forense se basa en una metodologa sistmica: Inspeccin Ocular Criminalstica.

Figura 4.2 Metodologa Pericial Informtica Forense

1. Requisitoria Pericial

La requisitoria pericial proviene del Fiscal del Ministerio Pblico, la Polica Judicial designa un agente para el caso quien informa al Jefe de la Polica Judicial y posteriormente se presenta al Agente Fiscal las pruebas reunidas para que el Juez dictamine la detencin al individuo involucrado en el caso. 2. Entrevista aclaratoria

78

Informtica Forense

Para la obtencin de una prueba digital, el principal punto de accin es en el momento de la inspeccin ocular en el incidente, sin embargo para alcanzar los resultados pretendidos es necesario realizar una planificacin previa adecuada.

La entrevista permite obtener informacin que posibilita analizar los sistemas informticos involucrados, componentes fsicos involucrados, normas de seguridad, cronogramas de actividades, distribucin fsica del personal, organigrama de la empresa, etc., que facilita la planificacin de las acciones necesarias para acceder al lugar, recolectar la prueba, protegerla y trasladarla al lugar de anlisis. [No se puede generar acciones que prevengan a los involucrados]

3. Inspeccin Ocular

Paso 1. Documentar mediante acta, croquis y fotografas todo lo que se encuentra en el lugar del hecho. [Todo sirve, nada debe descartarse, aun cuando se crea que no tiene relacin con el hecho ocurrido]. [Todo es importante: rastros, huellas, manchas, pisadas, colillas de cigarrillos, impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados, por ejemplo equipos abiertos o cerrados, fajas de seguridad rotas, cables sueltos, equipos de conexin o distribucin abiertos o cerrados, elementos prximos al rea de trabajo, al parecer desconectados o sin relacin con los equipos, equipos de captura de video, de comunicaciones, de impresin, de almacenamiento, de alimentacin elctrica, etc.]. [No pasar, no tocar, no mover, no encender, no abrir, no pisar y no importunar a los dems peritos, observar crticamente y documentar]. 79

Informtica Forense

Paso 2. Realizar un relevamiento previo. Registrar la hora exacta en que se recibe la comunicacin solicitando la presencia de la Polica la hora en que se llega al lugar del hecho quin o quines ya se encontraban en el mismo testigos que se hallaren, personas que acompaan o dirigen las actividades, sistemas de seguridad franqueados para llegar al lugar, sistemas de seguridad activos en el momento de arribar. [Nada debe dejarse librado al azar] [No podemos basarnos en la memoria propia ni ajena] [Todo debe contarse, medirse, anotarse, registrarse, fotografiarse, en los medios disponibles (anotador de papel o electrnico),los papeles sueltos no sirven se deterioran o se pierden] [El trabajo debe efectuarse sin prisa, pero sin pausa] [No se puede ignorar las actividades del resto de colegas profesionales de la criminalstica] SITUACIONES POSIBLES Situacin 1: Se desarrolla de manera confidencial. Se han iniciado las actuaciones y luego se ha decidido intervenir, detectar y secuestrar la prueba.

Proceder a tareas de Relevamiento Informtico. Situacin 2: Se desarrolla en lugar que se desconoce y el perito no ha tenido tiempo para realizar una planificacin adecuada.

80

Informtica Forense

Proceder a tareas sin Previa Planificacin Situacin 3: Se desarrolla en el lugar y no se tiene autorizado a retirar elementos del mismo, es decir debe trabajar en el lugar.

Proceder a tareas en el Propio Lugar TAREAS DE RELEVAMIENTO INFORMTICO I. Tomar contacto con las personas que intervienen (penales, civiles, comerciales, laborales, administrativos, etc), extraer toda la informacin disponible en los mismos. II. Tomar contacto con todas las personas no involucradas como sospechosas en la investigacin, que puedan aportar datos sobre el lugar, las plataformas instaladas, los sistemas operativos en uso, los mecanismos de proteccin instalados, la estructura de seguridad informtica del lugar (fsica y lgica). III. Tratar de acceder a un plano del lugar a ser inspeccionado (no slo de la habitacin en cuestin, sino de todo el edificio involucrado). o Planos de distribucin de red o Planos de distribucin elctrica [Se podr planificar por anticipado la ruta de acceso ms segura y rpida al lugar a ser inspeccionado, realizando las acciones necesarias para la proteccin de la prueba e impidiendo las acciones maliciosas sobre la misma]. IV. Planificar el momento de acceder al lugar [Recomendable horas de la madrugada (entre tres y cinco de la maana), generalmente los recursos humanos, se encuentran menos activos a estas horas].

81

Informtica Forense

V. Tomar previsiones, evita prdidas y destrucciones de informacin innecesarias. Es conveniente contar con un plan alternativo, si por un acaso el principal falla [Una puerta que no se abre, un acceso que ha sido eliminado o modificado, la remodelacin de una oficina, sala de servidores, conexin, etc.] VI. Se debe contar con resultados previsibles de mxima y mnima, que aseguren contar con la prueba necesaria. [Si se detectan dificultades reales, para alcanzar el objetivo de mnima, es necesario formular otro plan de aproximacin, acceso, proteccin y secuestro de los datos pretendidos]. VII. Si no se tiene acceso posible al lugar, se puede recurrir a las tcnicas de ingeniera social. VIII. Todas las medidas deben ser informadas y autorizadas por el juez o fiscal interventor. IX. Al acudir al lugar se debe hacer con los elementos necesarios para realizar todas las tareas que conlleva la investigacin forense. X. Utilizar el kit de herramientas forense [Cap. 5. puntos 5.2.1] XI. Se debe equipar con los siguientes elementos: o Linternas o proyectores y pilas o bateras suficientes (iluminacin accesoria) o Cmara digital con zoom, para poder realizar ampliaciones macrofotogrficas de los elementos que se necesite documentar. o Un grabador de bolsillo con micrfono disimulable (corbatero) o Una brjula (permite orientar los croquis) o Una cinta mtrica (entre 5 y 10 metros) o Una plomada (permite medir distancias de un objeto elevado hasta el piso por una sola persona) o Un cuaderno cuadriculado, (para los croquis) o Sobres de papel de diversos tamaos 82

Informtica Forense

o Sobres plsticos de distintos tamaos (con cierre incorporado) o Rtulos autoadhesivos o Una lupa de tamao cmodo para utilizar en espacios reducidos o Un imn extensible (para retirar elementos metlicos del interior de los equipos) o Un espejo pequeo o Marcadores al agua para destacar elementos o marcas o Gasa y cinta adhesiva, para realizar pequeos envoltorios o Varios pares de guantes de ciruga, trabajar siempre con ellos

TAREAS SIN PREVIA PLANIFICACIN I. Aprovechar el viaje hacia el lugar para relevar toda la informacin posible antes de efectuar el ingreso. II. Realizar un relevamiento lo ms profundo en cuanto a tiempo se tenga disponible. III. Preguntar sobre la naturaleza de las acciones pretendidas y autorizadas por el juez o fiscal interventor. [El encuadre legal del perito informtico es imprescindible] IV. Al acudir al lugar se debe hacer con los elementos necesarios para realizar las tareas V. El perito debe actuar en el lugar realizando copias de la informacin, no puede retirar los elementos porque tienen que estar en cadena de custodia y con autorizacin se pueden retirar.

TAREAS EN EL PROPIO LUGAR I. Al ser un caso complicado se requiere de habilidad, capacidad profesional, inteligencia prctica y aptitud investigativa II. Son los casos ms raros 83

Informtica Forense

III. Se debe ser meticuloso, tomar todo el tiempo posible IV. Analizar las pruebas a profundidad V. El ambiente puede ser montado para engaar al perito. VI. Obtener una copia de la prueba analizada VII. Opinar cuando se est completamente seguro

VIII. Estos casos, se dan generalmente en ambientes que contienen informacin altamente sensible para un determinado organismos, institucin o empresa. [Registros de bases de datos de organismos gubernamentales, militares, de fuerzas de seguridad, de estructuras religiosas o polticas, etc].

DETECCIN, IDENTIFICACIN, RECOLECCIN Y TRASLADO O REMISIN DE PRUEBAS PREPARACIN PARA LOS INCIDENTES Incautacin de equipos Al momento de presumir que puedan existir elementos donde es posible obtener algn tipo de evidencia digital en un dispositivo electrnico, en la escena donde se cometi el delito se deber solicitar la autorizacin judicial correspondiente para incautar dichos elementos y para acceder al contenido almacenado y generados por dichos aparatos. >> (Requisitorio Pericial)

Antes de acudir al allanamiento e incautacin de equipos informticos o electrnicos se deber tomar en cuenta lo siguiente:

Dependiendo del caso y de las situaciones analizadas en la parte anterior, entrar sin previo aviso, utilizando seguridad y evitando destruir o alterar los equipos.

84

Informtica Forense

Materiales (cadena de custodia) o Embalajes de papel o Sobres de papel o Sobres de Manila o Cajas de cartn o Bolsas especiales antiestticas para almacenar dispositivos de almacenamiento informtico que sean electromagnticos o Etiquetas o Discos y diskettes vacos o Cmara fotogrfica Evitar el usos de bolsas plsticas

Los objetos debern ser tomados con guantes ya que se podra alterar la evidencia digital o las huellas dactilares que se encuentren en los mismos.

Si el elemento o componente encontrado en la escena del crimen no est encendido, djelo como esta de tal manera que se pueda evitar el inicio de cualquier tipo de programa de autoproteccin. En caso de que este encendido no se debe apagar inmediatamente, esto evitara la prdida de informacin voltil si existe un mouse, se debe moverlo para evitar que la pantalla se cierre o bloquee, para ello se deber usar guantes.

Dependiendo del caso, se deber realizar los allanamientos de forma simultnea, ya que los datos pueden estar en ms de una lugar en caso de sistemas de red o conexiones remotas.

Inicialmente (prepararse para acudir al incidente):

85

Informtica Forense

Asignar un profesional forense o perito informtico [Caractersticas Perito Forense Cap.5 - 5.3.1] que encabece el mismo.

Llenar los formularios asignados en cada paso del desarrollo del proceso forense. Establecer los responsables o el equipo que manipularn las evidencias dependiendo del caso, el o los mismos debern poseer los roles mencionados [Cap.5 - 5.3.1 First Responde], a mas de llenar el [Formulario Registro del Equipo Designado en la Cadena de Custodia Apndice A].

Asignar un acompaante durante el levantamiento de las evidencias, el mismo actuando como testigo al tomar cualquier accin en la escena.

Determinar quien o quienes transportarn la evidencia [Formulario Evidencia General Lado B- Apndice A].

El equipo asignado en la investigacin debe prepararse para interactuar con las evidencias usando guantes descartables ya que cualquier objeto en la escena del crimen puede contener huellas dactilares.

Al transportar la evidencia no se debe colocar los elementos cerca de fuentes electromagnticas.

Cuando las diligencias son realizadas en momentos que no son visibles, para comprobar algunas circunstancias como antenas externas, conexiones con otros edificios, etc. Es recomendable operar en horas que preceden al amanecer.

Identificar el o los tipo de delito informtico cometidos ante el caso que se presente.

Iniciar con el proceso forense: 86

Informtica Forense

Fotografiar los equipos y su entorno.

Diagramar o dibujar el entorno donde se encuentren las evidencias, si el caso lo amerita realizar una filmacin. [Apndice B ]

El perito informtico debe escuchar, durante la operacin a las personas hayan llegado en primer trmino, debido a que las mismas podrn dar testimonio de cmo se encontraron los cambios sufridos. [Formulario de Control ante respuestas al Incidente Apndice A].

Interrogar a todos los sospechosos.

No alterar ni cambiar por ningn motivo la evidencia digital encontrada.

Mantener al elemento o componente encontrado en la escena del delito, separado de cualquier tipo de imn o campo magntico.

Registrar el nmeros de componentes electrnicos o evidencia electrnica encontrados en la escena (PDAs, celulares, computadores). [Formulario Inventario de Software y Componentes Apndice A] [Formulario de Registros de evidencias de la computadora Apndice A].

Definir en qu tipo de escenario se encuentra la evidencia en la escena del crimen, el mismo que se encargarn los examinadores de evidencia digital o informtica [Cap.5 - 5.3.1]. [Formulario de Evidencia General lado A Apndice A] Escenario 1 Sistemas de computacin abiertos (Computadoras=Disco Duro, USB, Sistema Operativo).

Escenario 2 Sistemas de comunicacin (Computadoras en red). [Formulario de Recoleccin de Datos del Incidente Apndice A]

87

Informtica Forense

Escenario 3 Dispositivos varios (celulares, PDAs, DVD, CDROM).

Si se eligiese dos tipos de escenarios diferentes, se deber emplear cada una de las actividades y registro de formularios de forma separada.

Verificar el estado de la evidencia y nivel de la misma (a cargo de los examinadores de evidencia digital):

o Sin daos (entonces se deber proteger a los equipos). o Daos (evaluar con un porcentaje, para posterior anlisis). Recolectar los componentes electrnicos encontrados y todas las piezas que se necesiten (a cargo de los examinadores de evidencia digital). o caractersticas (modelo, marca, tamao, color, completo). o nmero de serie.

Clasificar la Evidencia y ver qu tipo de evidencia es (constante o voltil), a cargo de los examinadores de evidencia digital.

1) Evidencia Fsica Soportes de Almacenamiento CPU, Diskettes, CD, DVD, Cintas magnticas. Discos Duros. [Formulario de Control de Anlisis de Disco Duros Ubicado en Apndice A ]

Dispositivos Electrnicos 88

Informtica Forense

x x x

Telfonos celulares, Agendas, Organizadores electrnicos.

Dispositivos de comunicaciones de red Routers, Switchs, Hubs.

2) Evidencia Lgica:

o Registros generados por computador: registros de eventos de seguridad (logs). o Registros no generados sino simplemente almacenados por o en computadores generados por una persona, y almacenados en el computador. o Registros hbridos la unin de los dos anteriores.

Inventario del software instalado en el equipo (a cargo de los examinadores de evidencia digital).

Copia de la pieza o evidencia a peritar encontrada en la escena del delito. [Formulario del estado de la evidencia Apndice A]

Una vez realizada la primera parte de la gua se procede a definir las acciones que se debern tomar dependiendo del tipo de escenario.

Acciones segn tipo de escenario

89

Informtica Forense

Estas acciones se deben ser manejadas por los denominados Investigadores de Delitos Informticos su perfil se menciona en [Cap.5 - 5.3.1].

Escenario 1: Sistemas de computacin abiertos

Verificar el estado del sistema o equipo: apagado o encendido. o Buscar evidencia voltil antes de apagar el equipo. o Realizar copias bit-a-bit de discos duros y particiones (dd, safeback), la metodologa planteada para el manejo de discos duros se deber seguir en el [Cap. 4 - 4.3.2].

Definir el tipo de plataforma.

Identificar el tipo de informacin almacenada en un dispositivo y el formato en que se guarda.

No modificar los archivos ni borrarlos.

Interpretar comandos en modo consola (cmd, bash).

Obtener fecha y hora del sistema (date, time).

Enumerar procesos activos, aplicaciones que los lanzaron (ps, pslist).

Conocer los procesos que se estn ejecutando actualmente en el equipo y cul de ellos consume ms recursos con ubicaciones poco frecuentes en el sistema de archivos.

Buscar ficheros ocultos o borrados (hfind, unrm, lazarus).

90

Informtica Forense

Ordenar los archivos por sus fechas, esto se debe realizar debido a que los archivos tendrn la fecha de instalacin del sistema operativo.

Buscar ficheros y directorios (temporales) que han sido creados, modificados o borrados recientemente.

Determinar la ruta completa del o los ficheros, tamao en bytes.

Visualizar registros y logs del sistema (reg, dumpel).

Visualizar la configuracin de seguridad del sistema (auditpol).

Editar los archivos de registro del sistema y logs en busca de entradas y avisos sobre fallos de instalacin, accesos no autorizados, conexiones errneas o fallidas.

Utilizar herramientas que no modifiquen el tiempo de ejecucin de los archivos.

Escenario 2: Sistemas comunicacin

Verificar el estado del sistema o equipo y atacante: si el sistema continua conectado a la red se obtiene mayor informacin pero se corre el riesgo de que el atacante siga en lnea y perjudique en el peor de los casos por completo la evidencia digital. Por ello en caso de que lo requiera, desconectar el mdem.

Definir el tipo de plataforma.

Definir cuantos equipos en red se encuentran conectados.

91

Informtica Forense

Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas, se debe tomar en cuenta los puertos por encima del 1024 (fport, lsoft).

Listar usuarios conectados local y remotamente al sistema.

Listar los permisos de acceso de todos los usuarios de la red.

Obtener fecha y hora del sistema (date, time).

Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que los lanzaron (ps, pslist).

Conocer procesos que mantengan conexiones de red en puertors TCP o UDP no habituales.

Enumerar las direcciones IP del sistema y mapear la asignacin de direcciones fsicas MAC con dichas IP (ipconfig, arp, netstat, net).

Realizar un mapa lgico y fsico de la red, de tal manera que se pueda identificar el lugar donde se encuentre cada equipo con su direccin IP.

Buscar ficheros ocultos o borrados (hfind, unrm, lazarus).

Generar funciones hash de ficheros (sah1sum, md5sum).

Visualizar registros y logs del sistema (reg, dumpel).

Visualizar la configuracin de seguridad del sistema (auditpol).

Leer, copiar y escribir a travs de la red (netcat, crypcat).

Analizar el trfico de red (tcpdump, windump).

92

Informtica Forense

Realizar copias bit-a-bit de discos duros y particiones (dd, safeback).

Editar los archivos de registro del sistema y logs en busca de entradas y avisos sobre fallos de instalacin, accesos no autorizados, conexiones errneas o fallidas.

Dentro de este escenario es de suma importancia saber cual es la funcionalidad del equipo atacado, ya que este puede ser un servidor y dentro del mismo puede encontrarse una Base de Datos, para la cual se debern seguir las metodologas planteadas en [Cap. 4 - 4.3.4] y de esta manera obtener mayor evidencia y claridad durante el proceso forense.

Escenario 3 Dispositivos varios Una vez dentro de este escenario se deber identificar la evidencia electrnica, ya que esta puede ser, telfonos celulares, PDAs, USB, CD, DVD. El responsable del Departamento de Estudio y Apoyo Tcnico del Departamento de Delitos Informticos de la Polica Nacional, deber asignar un especialista en: o Estructura fsica. o Estructura lgica. De cmo se almacenan y funcionan estos medios, ya que su anlisis es ms complejo y requiere de software especializado.

Presentar la evidencia y resultados

En este punto los formularios empleados anteriormente son de suma importancia ya que los mismos permitirn presentar las actividades realizadas en la cadena de custodia y quienes fueron responsables de ello. Para este punto el trabajo de cada miembro que forme parte del equipo en el proceso de anlisis forense informtico

93

Informtica Forense

ser recopilado con todos los puntos antes mencionados y se concluir con la evidencia.

Se deber presentar los siguientes formularios: Formulario de control ante respuestas a incidentes. (testigos en la escena) Formulario de Registro General. Formulario del Equipo Designado en la cadena de custodia. Formulario de lista de control de anlisis de disco. Formulario de recoleccin de incidentes (dispositivos de red) Formulario de Inventario de software y componentes. Formularios de registro de evidencia de la computadora. Formulario de estado de la evidencias, al mismo se le suma la forma en la que se copia cada pieza o evidencia encontrada en la escena del delito, como se conserva la original y como se aseguran las piezas. Formulario de Resultados de Evidencia, se deber adjuntar los

procedimientos, tcnicas utilizadas para recolectar, la evidencia digital dependiendo del o los tipos de escenarios.

(Todos los formularios antes mencionados se encuentran en el Apndice A, parte inferior de la gua)

A esto se suma los Informes Tcnico y Ejecutivo, presentados en [Cap.3 - 3.4.2 Informe Tcnico, 3.4.3 Informe Ejecutivo].

Para que una gua pueda ser llevada de la mejor manera se requiere de soporte a todos los involucrados en el proceso.

94