Documente Academic
Documente Profesional
Documente Cultură
Protocolo de investigacin
Tabla de contenido
ndice de ilustraciones................................................................................................................................4
ndice de tablas..........................................................................................................................................5
Introduccin...........................................................................................................................................9
Revisin de literatura.............................................................................................................................9
Informtica forense: Una valiosa herramienta para las PyMEs................................................................9
Resumen.................................................................................................................................................9
Abstract................................................................................................................................................10
Principios del forensics........................................................................................................................12
Herramientas tecnolgicas...................................................................................................................13
Herramientas de informtica forense de hardware y software.............................................................13
Causas de daos...................................................................................................................................14
Recuperando informacin de la computadora.....................................................................................14
Conceptos.............................................................................................................................................16
Metodologa general de la investigacin.............................................................................................19
Descripcin de la metodologa seleccionada: materiales, mtodos, instrumentos, tcnicas,
participantes.........................................................................................................................................19
Materiales.........................................................................................................................................19
Mtodos............................................................................................................................................19
Medidas e instrumentos de evaluacin............................................................................................20
Tcnicas...........................................................................................................................................20
Participantes.....................................................................................................................................20
Introduccin a la informtica forense (forensics)............................................................................21
Qu es forensics?........................................................................................................................21
Cules son los objetivos de forensics?........................................................................................21
Usos de forensics..........................................................................................................................22
Distincin entre documentos electrnicos y documentos impresos (20)...........................................22
Tcnicas de forensics........................................................................................................................23
Cmo se puede recuperar evidencia borrada?....................................................................................24
Funcionamiento de los dispositivos de almacenamiento.................................................................24
Escritura de datos en dispositivos de almacenamiento....................................................................25
Lectura de datos en dispositivos de almacenamiento......................................................................27
Proceso de forensics.........................................................................................................................28
Identificacin de la evidencia digital...............................................................................................28
Extraccin y preservacin del material informtico........................................................................29
Anlisis de datos..............................................................................................................................31
File Slack (14, 25)............................................................................................................................31
Archivo swap de Windows (14, 25).................................................................................................32
Unallocated file space (14, 26)........................................................................................................33
Herramientas de forensics................................................................................................................33
Herramientas para la recoleccin de evidencia................................................................................33
Herramientas de monitoreo y/o control de computadoras...............................................................37
Keylogger (29).................................................................................................................................37
UNID 2010
Pgina 2
Protocolo de investigacin
UNID 2010
Pgina 3
Protocolo de investigacin
ndice de ilustracione
UNID 2010
Pgina 4
Protocolo de investigacin
ndice de tablas
Tabla 1 Seguridad en algoritmos de hash (24).........................................................................................29
Tabla 2 Area del file slack (18)................................................................................................................31
Tabla 3 Caractersticas de los principales software de "forensics"(21)...................................................36
UNID 2010
Pgina 5
Protocolo de investigacin
Titulo
Anlisis de los beneficios del uso de tcnicas y herramientas de forensics en las Pymes para
la recuperacin y prevencin de prdida de datos.
Justificacin
Con el gran auge de las tecnologas de informacin, cada vez es ms comn la perdida
de datos por parte de los usuarios, ya sea de una forma accidental o deliberada, lo cual,
para las empresas, es una perdida principalmente de recursos econmicos,
desgraciadamente esto es muy comn en las promesa, ya sea por errores de captura, o lo
ms frecuente, empleados descontentos.(1)
La prdida de informacin sin una correcta planificacin e implementacin de medidas
de seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su
recuperacin, y eso siempre y cuando sea posible ya que no siempre lo es, o por lo
menos no totalmente. En un entorno empresarial esto es an ms grave ya que la
disponibilidad de la informacin es fundamental para el correcto desarrollo de su
actividad diaria.(2)
Existen diferentes herramientas que ayudan en la recuperacin de datos, el anlisis de
intrusos, proteccin de atacantes, entre otras que, con el conocimiento adecuado
permitiran a las Pymes recuperar informacin perdida o incluso prevenir que suceda
dicha perdida.(3)
Objetivo General
Analizar los beneficios del uso de tcnicas y herramientas de forensics para apoyar a
en la recuperacin y prevencin de prdida de datos en pequeas y medianas empresas.
Objetivos Especficos
UNID 2010
Protocolo de investigacin
UNID 2010
Pgina 7
Protocolo de investigacin
UNID 2010
Pgina 8
Protocolo de investigacin
Introduccin
Contexto
Con la adopcin cada vez ms frecuente de las tecnologas de informacin por las empresas, la
dependencia de la informacin digital es cada vez mayor y por lo tanto se tienen que preparar y utilizar
recursos para proteger dichos datos e inclusive recuperar algunos de esos datos que pueden llegar a
perderse por distintos motivos principalmente por la accin de virus informticos(4). En algunos casos
la perdida de informacin se debe a empleados descontentos que realizan fraudes y en esos casos se
pueden llegar a acciones penales contra ellos, sin embargo para obtener las pruebas necesarias para
proceder legalmente, es necesario el uso de tcnicas y herramientas tanto de software como de
hardware (5) para obtener dichas pruebas, aunque dichas tcnicas y herramientas pueden ser usadas con
otros propsitos como la proteccin de los datos para evitar su prdida o recuperar datos que fueron
borrados accidentalmente y que son crticos para la empresa, ya que sta depende directamente de la
informacin que generan sus sistemas de informacin(6).
Revisin de literatura
UNID 2010
Pgina 9
Protocolo de investigacin
Abstract
The steady increase in the use of new information technologies the companies has led to a big
dependency on them, because of it, for various reasons, mainly disgruntled employees, for business
critical data is lost, causing economic losses. There are various techniques of computer forensics that
help in the recovery of lost data, even software that specializes in computer forensics that can help
companies to avoid or recover lost data and therefore, prevent economic losses.
Key words: Forensics, software, forensics techniques
Costos asociados a la seguridad de la informacin en las empresas.
Es difcil elegir o dar prioridad a solo algunos rubros que intervienen en los costos que implica la
seguridad de la informacin. A continuacin se presenta un mapa mental para tratar de dejar ver un
panorama general de la informacin.
Pgina 10
Protocolo de investigacin
Informacin (TI).
La prdida de informacin sin una correcta planificacin e implementacin de medias de seguridad,
podra requerir de una alta inversin en tiempo e incluso dinero para su recuperacin, y eso siempre y
cuando sea posible ya que no siempre lo es, o por lo menos no totalmente. En un entorno empresarial
esto es aun ms grave ya que la disponibilidad de la informacin es fundamental para el correcto
desarrollo de su actividad diaria.(2)
Qu es la informtica forense?
Existen mltiples definiciones a la fecha sobre el tema forense en informtica. Una primera revisin
nos sugiere diferentes trminos para aproximarnos a este tema, dentro de los cuales se tienen:
computacin forense, digital forensics (forensia digital), network forensics (forensia en redes), entre
otros. La informtica forense se puede definir entonces como la disciplina cientfica y especializada
que entendiendo los elementos propios de las tecnologas de los equipos de computacin ofrece un
anlisis de la informacin residente en dichos equipos.(7)
La informtica forense se ocupa de la utilizacin de los mtodos cientficos aplicables a la
investigacin de los delitos, no solo informticos y donde se utiliza el anlisis forense de las evidencias
digitales, en fin toda informacin o datos que se guardan en una computadora o sistema informtico. En
conclusin diremos que la informtica forense es la ciencia forense que se encarga de la preservacin,
identificacin, extraccin, documentacin y interpretacin de la evidencia digital, para luego sta ser
presentada en una corte de justicia.(8)
Si bien la informtica forense est encaminada a la resolucin de casos de ndole penal, las tcnicas y
herramientas de las que hace uso, se pueden usar con otros fines, como la proteccin y recuperacin de
datos informticos. Para ello se tienen que tener en claro las partes que pudieran estar involucradas en
la prdida de informacin, para este propsito se han creado categoras a fin de hacer una necesaria
distincin entre el elemento material de un sistema informtico o hardware (evidencia electrnica) y la
informacin contenida en este (evidencia digital).(8)
UNID 2010
Pgina 11
Protocolo de investigacin
UNID 2010
Pgina 12
Protocolo de investigacin
Herramientas tecnolgicas
De forma global, las herramientas tecnolgicas que hay son muchas a nivel mundial. Su funcionalidad
como se menciono anteriormente viene a ser la de ayudar al perito que realiza una investigacin a
encontrar mejores pruebas y de una forma ms exacta y precisa, y que a la postre, sirva como evidencia
clara para el debido proceso penal.(11)
Algunas de las herramientas que con frecuencia son utilizadas en procesos de informtica forense son:
ENCASE. Es una de las herramientas clave que las fuerzas policiales han empezado a utilizar
Herramientas de adquisicin
Herramientas de descubrimiento de datos
Herramientas de historial de internet
UNID 2010
Pgina 13
Protocolo de investigacin
Causas de daos
La perdida de informacin ocurre por diversos motivos, de acuerdo a una encuesta realizada en 2008 a
diversas organizaciones, los incidentes por virus ocurren cada vez ms frecuentemente, teniendo casi la
mitad de las respuestas (un 49%), el segundo incidente ms comn son los abusos de redes con un
44%, seguidos por el robo de laptops y otros dispositivos mviles.(4)
UNID 2010
Pgina 14
Protocolo de investigacin
Preguntas de investigacin.
Cul sector de empresas sera el ms beneficiado al implantar tcnicas y herramientas de forensics?
Es necesario personal especializado para implantar las tcnicas de forensics?
Con que frecuencia se pierden datos en las empresas?
De los datos perdidos, qu cantidad es imprescindible para la empresa?
Qu consecuencia trae consigo la perdida de informacin digital?
Hiptesis
La adopcin de tcnicas y herramientas de informtica forense para la recuperacin y prevencin de
datos por las empresas disminuir prdidas econmicas y operativas.
UNID 2010
Pgina 15
Protocolo de investigacin
Conceptos
Para la correcta comprensin del presente documento, es necesario conocer algunos conceptos
importantes, a continuacin se presentan aquellos conceptos que se considera son los de mayor
relevancia para el proyecto.
Informtica o computacin forense: Segn el FBI, la informtica (o computacin) forense es la
ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y
guardados en un medio computacional.(13)
La informtica forense hace entonces su aparicin como una disciplina auxiliar de la justicia moderna,
para enfrentar los desafos y tcnicas de los intrusos informticos, as como garante de la verdad
alrededor de la evidencia digital que se pudiese aportar en un proceso.(7)
Dentro de la informtica forense, se pueden encontrar diferentes conceptos, tales como:
Computacin forense (computer forensics) que se entiende por disciplina de las ciencias forenses,
que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la
informacin en los medios informticos para establecer los hechos y formular las hiptesis relacionadas
con el caso; o como la disciplina cientfica y especializada que entendiendo los elementos propios de
las tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en dichos
equipos. (7)
Forensia en redes (network forensics) Es un escenario an ms complejo, pues es necesario
comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se
conjugan para dar como resultado un momento especfico en el tiempo y un comportamiento particular.
Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de
computadores, es capaz, siguiendo los protocolos y formacin criminalstica, de establecer los rastros,
los movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la
definicin de computacin forense, este contexto exige capacidad de correlacin de evento, muchas
veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente. (7)
UNID 2010
Pgina 16
Protocolo de investigacin
Forensia digital (digital forensics) Es la forma de aplicar los conceptos, estrategias y procedimientos
de la criminalstica tradicional a los medios informticos especializados, con el fin de apoyar a la
administracin de justicia en su lucha contra los posibles delincuentes o como una disciplina
especializada que procura el esclarecimiento de los hechos (quin?, cmo?, dnde?, cundo?,
porqu?) de eventos que podran catalogarse como incidentes, fraudes o usos indebidos bien sea en el
contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el
contexto de la administracin de la inseguridad informtica. (7)
Importancia de la informtica forense
"High-tech crime is one of the most important priorities of the Department of Justice". Con esta frase
se puede observar cmo los crmenes informticos, su prevencin, y procesamiento se vuelven cada
vez ms importantes.(14) Esto es respaldado por estudios sobre el nmero de incidentes reportados por
las empresas debido a crmenes relacionados con la informtica.(15)
Los investigadores de la computacin forense usan gran cantidad de tcnicas para descubrir evidencia,
incluyendo herramientas de software que automatizan y aceleran el anlisis computacional.(14)
Usos de la informtica forense
Existen varios usos que se le pueden dar a la informtica forense, y aunque algunos de ellos sean casos
muy particulares relacionados con actividades legales, existen otros que estn ligados a la vida
cotidiana.
Prosecucin Criminal: la evidencia digital puede ser usada para incriminar y procesar diversos tipos
de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos
o pornografa infantil.
Litigacin Civil: Ayuda en los casos que tratan con fraude, discriminacin, acoso, divorcio, entre otros.
Investigacin de Seguros: La evidencia encontrada en computadoras, ayuda a las compaas de
seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
UNID 2010
Pgina 17
Protocolo de investigacin
Temas corporativos: Informacin que trata sobre acoso sexual, robo, mal uso o apropiacin de
informacin confidencial o propietaria, o an de espionaje industrial puede ser recolectada de las
computadoras.
UNID 2010
Pgina 18
Protocolo de investigacin
MATERIALES
Los materiales requeridos para sta investigacin se resumen a: computadora; conexin a internet;
artculos, libros, publicaciones dentro de los temas de forensics, recuperacin de informacin,
Software de forensics; software de procesamiento de minera de datos, Diversos software de
forensics.
MTODOS
Para la presente investigacin se har uso del Mtodo deductivo, ya que a partir de todos los aspectos
que el computo forense(7) abarca solo se enfocar a aquellos que tengan que ver nica y
exclusivamente con la prdida y recuperacin de datos.
UNID 2010
Pgina 19
Protocolo de investigacin
TCNICAS
Las tcnicas establecidas para sta investigacin son: uso de tcnicas de minera de datos (17) a travs
del software weka(16) siendo ste alimentado por las respuestas de las encuestas aplicadas, evaluacin
de las caractersticas de los diferentes software de forensics.
PARTICIPANTES
Los participantes sern los las empresas en las que se encuentran realizando su residencia profesional
los estudiantes de las carreras de Ingeniera en Sistemas Computacionales y Licenciatura en
Informtica del Instituto Tecnolgico de Durango.
UNID 2010
Pgina 20
Protocolo de investigacin
Sin embargo, para los efectos de la presente investigacin se tomara como objetivo primordial de
forensics el punto nmero 3 La creacin y aplicacin de medidas para prevenir casos similares, ya
que lo que se busca es disminuir al mximo los riesgos de prdida de informacin en las empresas.
UNID 2010
Pgina 21
Protocolo de investigacin
USOS DE FORENSICS
Forensics no est ligado nicamente hacia aspectos legales sino que puede abarcar varios aspectos
generales entre ellos se pueden mencionar los siguientes:
Prosecucin Criminal
Litigacin Civil
Investigacin de Seguros
Temas corporativos
Mantenimiento de la ley
Como se puede observar, los diversos usos de forensics pueden ser desde aspectos simples como la
perdida de informacin empresarial hasta casos graves como estafas bancarias, es por ello que se
pueden usar las tcnicas y herramientas que usa forensics en varios escenarios.
Pgina 22
Protocolo de investigacin
resistencia que tenemos para utilizar algo nuevo es muy grande, ya que se pueden pensar cosas
como:
Si tengo todos mis documentos en la computadora cualquier persona podr verlos, es preferible
mantenerlos bajo llave en el archivero.
La principal causa de los puntos antes mencionados es el desconocimiento del potencial de las nuevas
tecnologas las cuales hacen de los documentos electrnicos una herramienta muy poderosa, y es por
ello que las empresas han optado por cambiar paulatinamente hacia las nuevas tecnologas y dejar atrs
los esquemas tradicionales de trabajo.
Tcnicas de forensics
Las tcnicas forenses son aquellas que surgen de una investigacin metdica para reconstruir una
secuencia de eventos. Las tcnicas de forense digital son el arte de recrear que ha pasado en un
dispositivo digital. Existen dos aspectos principales sobre los cuales trabajar:(21)
Lo que hace un usuario en su equipo,
Desencriptacin elemental
Reconstruir acciones
Rastrear el origen
UNID 2010
Pgina 23
Protocolo de investigacin
Forensics hace uso de diversas tcnicas especializadas as como herramientas sofisticadas para ver
informacin que no puede ser accedida por usuarios comunes. Esta informacin pudo haber sido
borrada por el usuario meses o incluso aos antes de que se sucediera la investigacin o incluso pudo
nunca haber sido guardada, pero puede aun existir en parte del disco duro.(22)
Dependiendo de la naturaleza de la investigacin, puede ser recomendable la creacin de una imagen
del disco, para as analizar nicamente la imagen y evitar la sobreescritura de informacin por el
sistema operativo ya que en ocasiones el propio sistema operativo realiza actualizaciones sobre
archivos automticamente. Por ejemplo, en un sistema Windows, ms de 160 alteraciones son
realizadas a los archivos cuando la computadora es encendida. Dichos cambios no son visibles para el
usuario, pero los cambios que pueden ocurrir pueden alterar o incluso borrar evidencia.(22)
Cmo se puede recuperar evidencia borrada?
El sistema operativo de una computadora utiliza un directorio que contiene el nombre y lugar de cada
archivo en el disco. Cuando un archivo es borrado, varios eventos toman lugar en una computadora. Un
marcador de estatus de archivo es activado para mostrar que el archivo ha sido borrado. Una marca de
estatus de disco es colocada para mostrar que el espacio est disponible para otro uso. Con esto el
usuario no podr ver el archivo listado en un directorio, sin embargo no se ha realizado ningn cambio
al archivo mismo. ste espacio nuevo es llamado libre o sin asignar y hasta que sea escrito por otro
archivo, el especialista forense puede obtener dicho archivo sin problema.
En muchos casos, incluso cuando el usuario ha desfragmentado o reformateado un disco, la evidencia
aun se puede recuperar. Muchos datos no son alterados por desfragmentar un disco, porque muchos
documentos contienen informacin interna que describe fechas, usuarios y otros datos histricos que
pueden ser tiles. Mientras que formatear un disco reconstruye el sistema de archivos, no elimina la
informacin que previamente exista en el disco.
UNID 2010
Pgina 24
Protocolo de investigacin
Algunos materiales se magnetizan con facilidad cuando son expuestos a un campo magntico
dbil. Cuando el campo se apaga, el material se desmagnetiza rpidamente.
Otros materiales se magnetizan con dificultad, pero una vez que se magnetizan, mantienen su
magnetizacin cuando el campo se apaga.
Estos cuatro fenmenos son explotados por los fabricantes de cabezas grabadoras magnticas, que leen
y escriben datos, para almacenar y recuperar datos en unidades de disco. Aplicndolos en los siguientes
puntos: (14)
Pgina 25
Protocolo de investigacin
inferior, hay un espacio entre las capas, y en el extremo superior, las capas estn unidas. Las capas
superior e inferior de material magntico se magnetizan con facilidad cuando fluye una corriente
elctrica en el rollo espiral, de tal forma que estas capas se vuelven los polos Norte y Sur magnticos de
un pequeo electro-magneto. (En una cabeza real, la distancia desde el espacio hasta la parte superior
del rollo es de aproximadamente 30 mm).(14)
UNID 2010
Pgina 26
Protocolo de investigacin
UNID 2010
Pgina 27
Protocolo de investigacin
UNID 2010
Pgina 28
Protocolo de investigacin
UNID 2010
Pgina 29
Protocolo de investigacin
UNID 2010
Pgina 30
Protocolo de investigacin
Probabilidad de colisin
1 en 32768
1 en 2147483648
1 en 170141183460469231731687303715884105728
1 en 2159
1 en 2255
UNID 2010
Pgina 31
Protocolo de investigacin
ANLISIS DE DATOS.
Analizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de
almacenamiento, sin embargo dicha operacin puede ser un tanto tediosa, ya que se tienen que tomar
en cuenta diversos factores, tales como el sistema operativo sobre el que se est trabajando, la
estructura del sistema de archivos y la cantidad de documentos con los que cuenta el sistema. Es por
ello que las herramientas de forensics incorporan un sistema de bsqueda a travs de palabras clave,
o a travs de fechas, incluso la aplicacin de filtros para determinados tipos de archivos.
Entre los recursos que un experto en forensics puede hacer uso para recuperar informacin de un
dispositivo de almacenamiento, se encuentran los siguientes:
FILE SLACK (14, 25)
Los archivos son creados en varios tamaos dependiendo de lo que contengan. Algunos sistemas
operativos almacenan los archivos en bloques de tamao fijo llamados clster, en los cuales
raramente el tamao de los archivos coincide perfectamente con el tamao de uno o muchos
clsteres.
UNID 2010
Pgina 32
Protocolo de investigacin
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del clster se
llama file slack. Los tamaos de los clsteres varan en longitud dependiendo del sistema operativo
involucrado y en el caso de Windows, tambin del tamao de la particin lgica implicada.
Un tamao ms grande en los clsteres significan mas file slack y tambin mayor prdida de espacio de
almacenamiento. Sin embargo esta debilidad de la seguridad de la computadora crea ventajas para el
experto en forensics ya que el file slack es una fuente significativa de evidencias y pistas.
Pgina 33
Protocolo de investigacin
Los archivos swap de Windows proporcionan a los expertos en forensics pistas esenciales con las
cuales investigar ya que nicamente en este archivo se encuentra la informacin y no se podra
conseguir de otra manera.
UNALLOCATED FILE SPACE (14, 26)
Cuando los archivos son borrados o suprimidos, el contenido de los archivos no es verdaderamente
borrado, a menos que se utilice algn software especial que ofrezca un alto grado de seguridad en el
proceso de eliminacin, los datos borrados, permanecen en un rea llamada espacio de
almacenamiento no asignado (unallocated file space). Igual sucede con el file slack asociado al archivo
antes que este fuera borrado. Consecuentemente siguen existiendo los datos, escondidos, pero presentes
y pueden ser detectados mediante herramientas de software para el anlisis de forensics.
Herramientas de forensics
Existen una gran cantidad de herramientas sobre las que los expertos en forensics (27) pueden
valerse para utilizar las tcnicas antes mencionadas y realizar un proceso forense en una o varias
computadoras, dichas herramientas pueden ser clasificadas en cuatro grupos principales para su mejor
comprensin:
HERRAMIENTAS PARA LA RECOLECCIN DE EVIDENCIA.
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas
sofisticadas se hace necesario debido a:
1. La gran cantidad de datos que pueden estar almacenados en una computadora.
2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aun dentro del
la copia es exacta.
4. Limitaciones de tiempo para analizar toda la informacin.
UNID 2010
Pgina 34
Protocolo de investigacin
Copiado comprimido de discos fuente. Emplea un estndar sin prdida para crear copias
comprimidas de los discos origen. Los archivos comprimidos resultantes pueden ser analizados,
buscados y verificados de manera semejante a los originales. Esta caracterstica ahorra
cantidades importantes de espacio en el disco de la computadora donde se realizara el anlisis.
Diferente capacidad de almacenamiento. Los datos pueden estar en diferentes unidades (discos
duros, CD, USB, etc.). Encase permite copiar de forma comprimida todos esos datos a un solo
CD-ROM manteniendo la integridad del equipo original.
UNID 2010
Pgina 35
Protocolo de investigacin
Anlisis electrnico del rastro de intervencin. Sellos de fecha, sellos de hora, registros de
accesos y la actividad del comportamiento reciclado son puntos crticos de una investigacin
por computadora. Encase proporciona los nicos medios prcticos de recuperar y documentar
dicha informacin de una manera no invasora y eficiente.
Soporte de mltiples sistemas de archivo. Encase reconstruye los sistemas de archivos forense
en DOS, Windows, Macintosh, Linux, UNIX, CD-ROM, y los sistemas de archivos DVD-R.
Vista de archivos y otros datos en el espacio UNALLOCATED. Encase provee una interfaz tipo
explorador de Windows y una vista del disco duro de origen, tambin permite ver los archivos
borrados y todos los datos en el espacio unallocated. Tambin muestra el Slack File con un
color rojo despus de terminar el espacio ocupado por el archivo dentro del clister.
Integracin de reportes. Encase genera el reporte del proceso de la investigacin forense como
un estimado. En dicho documento se realiza un anlisis y una bsqueda de resultados, en donde
se muestra el caso incluido, la evidencia relevante, los comentarios del investigacin, favoritos,
imgenes recuperadas, criterios de bsqueda y tiempo en que se realizaron las bsquedas.
UNID 2010
Pgina 36
Protocolo de investigacin
Visualizador integrado de imgenes con galera. Encase ofrece una vista completamente
integrada que localiza automticamente, extrae y despliega muchos archivos de imgenes
como .gif y .jpg del disco.
UNID 2010
Pgina 37
Nombre
Descripcin
rgido
No analiza los datos, solamente obtiene
Protocolo de investigacin
Open Source /
Sistema
Comercial
Operativo
Open source
Linux
Open source
Linux
Open source
Linux Windows
anlisis
Comercial
Windows
UNID 2010
Pgina 38
Protocolo de investigacin
Comercial
Windows Linux
Pgina 39
Protocolo de investigacin
en un archivo o enviado por e-mail. Los datos que se generan son complementados con informacin
relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas y con los
mensajes que generan algunas aplicaciones.
HERRAMIENTAS DE MARCADO DE DOCUMENTOS(14)
Estas herramientas ayudan en la recuperacin de documentos robados, ya que marcan los
documentos y realizan una bitcora de accesos a ellos permitiendo saber al experto en forensics que
acciones se realizaron sobre los archivos.
HERRAMIENTAS DE HARDWARE (14)
Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la
informacin, se han diseado varias herramientas como DIBS Portable Evidence Recovery Unit.
Dificultades del experto en forensics(14)
El investigador forense requiere de varias habilidades que no son fciles de adquirir, es por esto que el
usuario normal se encontrar con dificultades como las siguientes:
1. Carencia de software especializado para buscar la informacin en varias computadoras.
2. Posible dao de los datos visibles o escondidos, an sin darse cuenta.
3. Ser difcil encontrar toda la informacin valiosa.
4. Es difcil adquirir la categora de experto para que el testimonio personal sea vlido ante una
corte.
5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa.
6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos
como evidencia.
7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional.
8. Dificultad para conducir la investigacin de manera objetiva.
9. Dificultad para hacer correctamente una entrevista con las personas involucradas.
10. Reglamentacin que puede causar problemas legales a la persona.
UNID 2010
Pgina 40
Protocolo de investigacin
Es por esto que, antes de lanzarse a ser un investigador forense, se necesita bastante estudio y
experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de un accidente es
aconsejable llamar a uno o varios expertos.
Las personas que persiguen delincuentes y criminales. Se basan en las evidencias obtenidas de
la computadora y redes que el investigador sospecha y utiliza como evidencia.
Policas que aplican las leyes. Se utilizan para respaldar rdenes de registro y manipulaciones
post-incautacin.
UNID 2010
Pgina 41
Protocolo de investigacin
UNID 2010
Pgina 42
Protocolo de investigacin
Retos de forensics(30)
La informacin y datos que se buscan despus del incidente y se recogen en la investigacin deben ser
manejados adecuadamente. Estos pueden ser:
1. Informacin voltil. Tanto:
a.
b.
c.
d.
Pgina 43
Protocolo de investigacin
Seguridad de datos: Es la que seala los procedimientos necesarios para evitar el acceso no
autorizado, permite controlar el acceso remoto de la informacin.
UNID 2010
Pgina 44
Protocolo de investigacin
Como se puede observar en la figura anterior, los incidentes pueden ser clasificados en cuatro
categoras.
Interrupcin. Un recurso del sistema es destruido o se vuelve no disponible. Se trata de un ataque
contra la disponibilidad.
Intercepcin. Una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la
confidencialidad.
Modificacin. Una entidad no autorizada no solo consigue acceder a un recurso, sino que es capaz de
manipularlo. Es un ataque contra la integridad.
Fabricacin. Una entidad no autorizada inserta objetos falsificados en el sistema. Es un ataque contra
la autenticidad.
UNID 2010
Pgina 45
Protocolo de investigacin
UNID 2010
Pgina 46
Protocolo de investigacin
Presupuesto de la investigacin.
Para la presente investigacin se cuenta con un presupuesto un tanto reducido, sin embargo por la
naturaleza de la investigacin ms que nada se requiere bibliografa dentro de la cual la mayor parte de
los libros no se consiguen en Mxico y probablemente habra que comprarlos en el extranjero, el
presupuesto para la compra de bibliografa es de $5000.00 pesos mexicanos. Por otro lado, para la
elaboracin de encuestas se tratar de comunicarse va electrnica con los diferentes encargados del
rea de computacin, en cuanto a viticos y transporte se cuenta con $3000.00. Para la evaluacin del
software se buscar aquel que ofrezca un periodo de prueba para su uso, evitando as la compra del
mismo.
UNID 2010
Pgina 47
Protocolo de investigacin
Procedimiento
Se redact una encuesta basada en una serie de preguntas realizadas por una empresa espaola(16) para
evaluar la seguridad de las empresas a las que brinda consultora, adicionalmente se agregan algunas
preguntas que ayudan a orientar el propsito de la encuesta conforme al objetivo de la investigacin,
quedando con la siguiente estructura:
Encuesta
Nombre de la empresa: _______________________________________________________________
NO
Pgina 48
Protocolo de investigacin
d) Mensual e)Bimestral
f)Semestral
g)Anual e) No se
Pgina 49
Protocolo de investigacin
informtica?
Acceso a internet
42. Existe una poltica definida para los accesos a Internet?
43. Se ha explicado claramente a los trabajadores de la empresa?
44. Existe un acceso a Internet corporativo?
45. Est limitado el acceso por departamento y/o por usuario?
46. Existen controles sobre las pginas accedidas por cada departamento o usuario?
47. Existen controles sobre intrusiones externas en nuestro sistema de informacin?
Prdida de informacin
48. En el ltimo semestre Cuntas veces ha sufrido de prdida de informacin?
a) Menos de 5 veces b) Entre 5 y 10 veces c) Ms de 10 veces d) Ninguna
49. Qu importancia o prioridad tena dicha informacin para la empresa?
a)Muy importante b)Importante c)Poco importante
50. Qu importancia o prioridad tena dicha informacin para su persona?
a)Muy importante b)Importante c)Poco importante
51. Cul fue la causa de la prdida de informacin?
a) Accidental b)Virus c) Dao de hardware d) Intrusin en el equipo
52. La prdida de informacin fue un desencadenante para la prdida de recursos
monetarios?
53. De haber perdido recurso monetario, aproximadamente cual fu el monto?
a) menos de $5000 b) entre $5000 y $10000 c) entre $10000 y $20000 d)ms de $20000
54. Cmo se llev a cabo la recuperacin de datos?
a) No se recuperaron los datos
b) Copia de respaldo
c) Justo
d) ms de $5000
d)Alto
Para la aplicacin de la encuesta los alumnos del Instituto Tecnolgico de Durango de la materia de
Tpicos avanzados de bases de datos del ciclo escolar Agosto Diciembre 2011 se dieron a la tarea de
visitar empresas de la comunidad para realizar las preguntas. Cabe mencionar que en algunas de las
empresas se negaban a contestar la encuesta por la naturaleza de las preguntas que, en algunos casos,
son de ndole privado, por dicha razn en algunos casos la empresa contest la encuesta con la
condicin de no revelar el nombre de la misma en los resultados de la investigacin, mismos que se
pueden ver en el anexo.
UNID 2010
Pgina 50
Protocolo de investigacin
Dentro de las empresas que permitieron revelar su nombre se encuentran: Malda Arquitectos, Vidrios
vargas, Calderon Sa de CV, Farmacia Durango., banquetes Beluvida , contrucciones Rosbad, Lab.
Amcci, CETS, Rest. Boolovan, Alum dgo, Finansas, XIFER, Stieefel, Lab. Nova , Lab. Guadiana,
Acabados Carrera, Lab. Civic, Vidrios Rosales, Vidrios Moreno, CID construcciones, CMIC,
Acerradero Serrano, Muebles serrano, Toyota, LALA, Compufcil, Intercraft.Anlisis de la
informacin
UNID 2010
Pgina 51
Protocolo de investigacin
Referencias
1.
Vacca JR. Computer Forensics: Computer crime scene investigation 2nd edition. 2 ed. Boston,
Massachusetts: Charles River Media, Inc.; 2005.
2.
Cerpa JJ. Como prevenir la prdida de informacin? Seguridad de la informacin2009. p.
Blog dedicado a temas de seguridad de informacion, proteccion de datos, seguridad de informtica,
auditorias y peritajes informaticos e informtica forense.
3.
Casey E. Handbook of computer crime investigation: forensic tools and technology: Academic
Pr; 2002.
4.
Richardson R, Director C. CSI computer crime and security survey. Computer Security
Institute. 2007:2008-08.
5.
Davis C, Philipp A, Cowen D. Hacking exposed computer forensics: secrets & solutions:
McGraw-Hill Osborne Media; 2005.
6.
Lopez J. Cales son los principales rubros de costos asociados a la seguridad de la informacin
en su organizacin? SISTEMAS. 2006:35.
7.
Cano JJ. Introduccin a la informtica forense. SISTEMAS. 2006:64-73.
8.
Pino SAd. Informtica forense en el ecuador. Introduccin a la informtica forense.
Ecuador2007.
9.
Biles S. Digital forensics. Hacker Highschool. 2004(8).
10.
Cambrn MB. Anlisis Forense Informtico: Automatizacin de procesamiento de Evidencia
Digital. Automatizacin de procesos en anlisis forense informtico; Montevideo: CIBSI09; 2009.
11.
Arias Chaves M. Panorama general de la informtica forense y de los delitos informaticos en
Costa Rica. InterSedes: Revista de las Sedes Regionales. 2006;7(12):141-54.
12.
Noblett M, Pollitt M, Presley L. Recovering and examining computer forensic evidence.
Forensic Science Communications. 2000;2(4):102-9.
13.
Noblett. MG. Recovering and Ecaminig Computer Forensic Evidence. 2000.
14.
Oscar Lopez HA, Ricardo Leon. Informatica forense: generalidades, aspectos tecnicos y
herramientas. Morelia, Mexico2002.
15.
CERT Statistics (Historical). 2008 [cited 2010 2 Diciembre 2010]; Sitio dedicado a la
recoleccion de informacion de las vulnerabilidades existentes en internet.]. Available from:
http://www.cert.org/stats/cert_stats.html.
16.
complusoft. MD802CS Encuesta 01 Seguridad informtica. Alcal de Henares, Madrid2006
[cited 2011 30/07/2011]; Cuestionario para evaluar los niveles de seguridad informtica en las
empresas]. Available from: www.complusoft.es.
17.
Frand J. Data Mining: What is Data Mining? 1996 [cited 2010 06/12/2010]; Available from:
http://www.anderson.ucla.edu/faculty/jason.frand/teacher/technologies/palace/datamining.htm.
18.
Young S, editor. Forensic Analysis. An organization for local information security; 2005.
UNID 2010
Pgina 52
Protocolo de investigacin
19.
Giovanni Zuccardi JDG. Informtica Forense. 2006.
20.
Linda Volonino IR. e-discovery for dummies: Willey Pubishing, Inc; 2010.
21.
Acosta Gonzalo AA, Rodriguez Gabriel, Rossi Eduardo. Informatica forense. 2007.
22.
Hassell J. Computer forensics 1012004: Available from:
http://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html.
23.
The giant magnetoresistive head: a giant leap for IBM Research: Available from:
http://www.research.ibm.com/research/gmr.html.
24.
Lyle J. Verification of digital forensic tools. 2010.
25.
File Slack Defined.
26.
unallocated file space defined.
27.
Computer forensics tools, digital evidence software, utilities.
28.
software G. EnCase Forensic Features and Functionality.
29.
Keylogger. [7/12/2010]; Available from: http://keylogger.com/.
30.
Bertolin JA. Seguridad forense, tcnicas antiforenses, respuesta a incidentes y gestin de
evidencias digitales. 2010.
31.
Linda Volonino RA. Computer forensics for dummies2008.
UNID 2010
Pgina 53
Protocolo de investigacin
En que formato?
UNID 2010
Pgina 54