República Bolivariana de Venezuela Ministerio del Poder Popular para la Educación Superior Instituto Universitario "Jesús Enrique ossada" Unidad !urricular Introducción # a !o$putación
Sistema Operativo:
CAINE
Alumnos:
Docente:
Jeshua Vega
Adonis Parra
Darryson Pea
Agosto !"#$
IN%&OD'CCI(N
En la actualidad% en la &poca $oderna% con el au'e del internet ( sus e)celente bene*icios% E)isten $uc+os individuos o +asta 'rupos or'anizados a realizar delitos de *or$a di'ital% los *a$osos delitos in*or$,ticos% co$o pueden ser% robos de cuentas bancarias% pro*anación de in*or$ación 'uberna$ental privada% +ac-eos a personas naturales% etc.. Para esto ta$bi&n e)isten investi'adores in*or$,ticos que se encar'an de cu$plir todas las le(es que con esto respecta% pero debido a esto% co$o un cient/*ico con su $icroscopios% o un detective con su lupa% un investi'ador *orense in*or$,tico ta$bi&n necesita de sus +erra$ientas% por lo cual en el $ercado actual +a( $uc+a variedad de estas% unas $,s destacadas que otras% eso s/.
Un investi'ador en se'uridad in*or$,tica a la +ora de analizar deter$inadas evidencias
di'itales% requiere
de
+erra$ientas de
un
con0unto
de
+erra$ientas
espec/*icas para el an,lisis de evidencias que le a(ude a co$pletar de *or$a $,s e*iciente su investi'ador. El adecuado $ane0o ( conoci$iento de estas per$itir, obtener resultados e*icientes para entre'ar co$o evidencias en un caso 0udicial reportado.
Es por eso% que en &sta investi'ación se tratara ( e)plicara lo que respecta a in*or$,tica *orense ( sobre todo% la +erra$ienta por e)celencia de &stos investi'adores%
CAINE)
*A IN+O&,-%ICA +O&ENSE
Un delito in*or$,tico es toda aquella acción il/cita llevada a cabo por v/as in*or$,ticas con el *in de per0udicar a personas naturales% 0ur/dicas% $edios ( redes electrónicas. # pesar de ser utilizada *recuente$ente% los venezolanos tienen pocos conoci$ientos sobre esta $odalidad del cri$en. #l desconocer los ries'os que i$plican el uso de las di*erentes v/as electrónicas las personas se convierten en presas *,ciles para los delincuentes cibern&ticos. # trav&s de los a1os el cri$en cibern&tico +a ido au$entado de *or$a considerable% los delincuentes utilizan $&todos $,s so*isticados para +acer sus *ec+or/as% convirtiendo a la Internet en su ar$a contra sus v/cti$as incautas% quienes caen en sus redes por desconoci$iento.
Para co$batir esto se usa lo que es la in*or$,tica *orense. a in*or$,tica *orense *ue creada para atender las necesidades espec/*icas ( articuladas de aplicación de la le( para +acer la $a(or parte de esta nueva *or$a de pruebas electrónicas. In*or$,tica *orense es la ciencia de adquirir% preservar% recuperar ( presentar los datos que +a sido procesada electrónica$ente ( al$acenada en soportes in*or$,ticos. !o$o disciplina *orense% nada (a que la tecnolo'/a de #23 +a tenido un 'ran e*ecto potencial sobre los tipos espec/*icos de investi'aciones ( procesa$ientos co$o la ciencia *orense. In*or$,tica *orense es% en su esencia% di*erente de la $a(or/a de las disciplinas *orenses tradicionales. El $aterial in*or$,tico que se e)a$ina ( las t&cnicas disponibles para el e)a$inador son productos de un sector privado i$pulsada por el $ercado. #de$,s% en contraste con los an,lisis tradicionales *orenses% +a( co$ún$ente es un requisito para llevar a cabo e),$enes de ordenador en pr,ctica$ente cualquier ubicación */sica% no sólo en un entorno de laboratorio controlado. En lu'ar de producir conclusiones interpretativas% co$o en $uc+as disciplinas *orenses% la ciencia *orense produce in*or$ación directa ( datos que pueden tener i$portancia en un caso. Este tipo de recopilación de datos directa tiene a$plias i$plicaciones tanto para la relación entre el investi'ador ( el cient/*ico *orense ( el producto del traba0o del e)a$en in*or$,tico *orense.
*os procedimientos llevados a ca.o se dividen en las siguientes etapas: #/ Ad0uisici1n: si'ni*ica copiar de una $anera especial el contenido en bruto de la in*or$ación del siste$a en observación. ue'o se traba0ar, sobre esta copia de0ando intacta la in*or$ación ori'inal. Esta tarea se +ar, no arrancando la co$putadora por los $edios convencionales sino accediendo a los volú$enes en $odo de sólo lectura para que ni un b(te sea alterado desde el $o$ento en que e$pieza nuestra intervención. 4a( que tener en cuenta que el si$ple booteo 5arranque6 de una co$putadora altera por lo $enos al'unos arc+ivos en sus contenidos ( *ec+as% var/a la cantidad total de arc+ivos% etc. o $is$o ocurre cuando abri$os un arc+ivo aunque $,s no sea para leerlo o i$pri$irlo. Se puede rastrear todo este tipo de actividad en una co$putadora. a adquisición puede involucrar desde un disquette o un disco r/'ido de una co$putadora +asta un con0unto de discos de un servidor% un 0ue'o de cintas% o varias co$putadoras de una or'anización.
!/ Validaci1n y preservaci1n de los datos ad0uiridos: Por $edios $ate$,ticos se debe calcular de $anera nor$alizada un códi'o único correspondiente a esa co$binación única de b(tes que constitu(e la totalidad del $edio en observación. Este códi'o de validación +a de ser lo su*iciente$ente co$ple0o co$o para i$pedir que sea 'enerado en *or$a reversa con *ines dolosos ( nor$alizado co$o para que cualquier auditor independiente pueda por su cuenta veri*icar la autenticidad de la i$a'en to$ada ( as/ establecer una cadena de custodia consistente .2esde este $o$ento (a se pueden e*ectuar copias e)acta$ente i'uales de la i$a'en a los e*ectos de que di*erentes actores puedan conservar una copia de se'uridad.
2/ An3lisis y descu.rimiento de evidencia: se procede a realizar una bater/a de pruebas en el laboratorio sobre la copia validada. Es posible analizar ( buscar in*or$ación a $uc+os di*erentes niveles. Parti$os de la base de que el usuario sospec+oso de una actividad il/cita puede +aber borrado la in*or$ación que lo co$pro$ete
o
pudo
+aberla
ocultado
al$acen,ndola
por
$edios
no
convencionales. Estas búsquedas est,n orientadas por cada caso en particular (
aqu/ conta$os con la in*or$ación que provee quien solicita el servicio. Se pueden buscar •
arc+ivos
borrados%
arc+ivos
creados%
accedidos
o
$odi*icados dentro de deter$inado ran'o de *ec+as% •
tipos de arc+ivos con un *or$ato particular que +a(an sido alterados%
por
e0e$plo
arc+ivos
de
un
siste$a
de
contabilidad reno$brados co$o arc+ivos de un procesador de te)to% •
i$,'enes%
$ensa0es
de
correo
electrónico%
actividad
desarrollada en internet% •
a di*erentes niveles palabras claves tales co$o un nú$ero tele*ónico% el no$bre de una ciudad o una e$presa% etc.
En base a este an,lisis se deter$ina un patrón de co$porta$iento del usuario en cuanto a la creación% $odi*icación ( borrado de $ensa0es% actividad de correo electrónico% etc.
4/ In5orme: se presenta un in*or$e escrito en un len'ua0e a la vez t&cnico ( claro ( un !2 donde se +ace accesible al usuario no especializado de una *or$a ordenada la evidencia recuperada ( su interpretación. #unque a $enudo se subesti$a la i$portancia de los pasos 76 ( 86 ( se considera el paso 96 el espec/*ico de la in*or$,tica *orense% +a( que tener en cuenta que la evidencia in*or$,tica es por de*inición *r,'il ( puede ser alterada +aciendo que la $is$a pierda su validez *rente a un tribunal.
CAINE !#I3E inu)% si'ni*ica !o$puter #ided Investi'ative Enviro$ent% que ser/a :Entorno de Investi'ación #sistido Por !o$putadora;% es una 2istribución <3U=inu) creada co$o un Pro(ecto de >orense 2i'ital. El $ane0ador actual del Pro(ecto es 3anni Bassetti.
!#I3E ?*rece un entorno inu) co$pleto% inte'rando +erra$ientas de so*t@are e)istentes ( con una inter*az 'r,*ica a$i'able. os principales ob0etivos son •
Un Entorno *,cil que apo(e las investi'aciones di'itales.
•
Una Inter*az 'r,*ica a$i'able.
•
4erra$ientas a$i'ables para el usuario.
!#I3E representa plena$ente el esp/ritu de la *iloso*/a ?pen Source% (a que el pro(ecto est, co$pleta$ente abierto ( todo el $undo puede asu$ir el le'ado del desarrollador anterior o 'erente del pro(ecto.
Uno de las $e0ores distribuciones inu) *orenses es !aine 8.A 5!o$puter #ided Investi'ative Environ$ent6. Esta distribución cuenta con una serie de utilidades ( +erra$ientas especializadas en dar soporte a cada una de las cuatro *ases de la In*or$,tica >orense Estudio preli$inar% recolección de la evidencia% an,lisis de la evidencia ( la elaboración del in*or$e *inal.
Instalaci1n
Per$ite la instalación v/a red ( brinda i$,'enes para la descar'a de $,quinas virtuales pre*abricadas con las +erra$ientas instaladas. Pode$os ver todos los pasos co$pletos para la instalación con capturas incluidas en la @eb del propio siste$a operativo.
6erramientas y Programas Nativos inu) !aine cuenta con una serie de +erra$ientas% utilidades ( recursos% que lo +an convertido en una de las distribuciones $,s populares a nivel de la in*or$,tica *orense. #ntes de iniciar un recorrido por cada una de las +erra$ientas disponibles% es i$portante tener en cuenta que el acceso a estos recursos requieren de un nivel de conoci$ientos previos de in*or$,tica *orense ( conoci$ientos en el trata$iento de la evidencia di'ital.
Mount Mana'er
Esta +erra$ienta per$ite detectar% $ontar% des$ontar% e)a$inar ( ad$inistrar las unidades de al$acena$ientos% conectadas a disco duro% tanto las unidades internas co$o las e)ternas.
Es una +erra$ienta *orense% con la capacidad de crear copias bit a bit o r&plicas de i$a'en de disco% es bastante ,'il en su *unciona$iento ( crea replicas en *or$atos dd% EC>% #>>.
#ir 5I$a'en ( Restauración #uto$,tica6
#ir Es una aplicación en $odo 'ra*ico para el uso del co$ando dd=dcl*dd 52atataset 2e*inition 5dd66. >ue dise1ado co$o una $e0ora en $odo 'r,*ico de todas las variantes de dd% su *,cil uso per$ite crear i$,'enes *orenses de discos ( de particiones co$pletas del $is$o. Soporta M2D=S4#) +as+es% cintas S!SI% pro(ección de i$,'enes sobre una red !P=IP% i$,'enes partidas% ( re'istración detallada de la sesión.
#utops(
al vez la $e0or +erra$ienta libre que e)iste para el an,lisis de evidencia di'ital. Su inter*az 'r,*ica es un bro@ser que basado en las +erra$ientas en l/nea de co$andos del Sleut+ Fit% per$ite un an,lisis de diversos tipos de evidencia $ediante una la captura de una i$a'en de disco.
4e)editor
Per$ite car'ar los datos de cualquier arc+ivo% ver ( editar en *or$ato +e)adeci$al o #S!II. Por $edio del editor +e)adeci$al% el usuario puede ver% redactar% reparar o $odi*icar el contenido intacto ( e)acto de un arc+ivo binario.
P+otoRec
Recupera datos ( arc+ivos perdidos inclu(endo v/deo% docu$entos ( arc+ivos de discos duros ( !2=2V2. Inclu(endo la búsqueda en el espacio no asi'nado en disco% e)a$inando cabecera tipo de arc+ivo espec/*ico ( los valores de pie de p,'ina.
Una $a'ni*ica +erra$ienta para el c,lculo de di*erentes *unciones+as+ de un arc+ivo ( su$as de co$probación de $ensa0es. #ctual$ente los tipos soportados inclu(en *unciones de +as+ M2D% S4#7% S4#8DG% S4#D78% RIPEM2% 4#V#% I
4*sutils
4>S es una +erra$ienta para leer ( escribir volú$enes de Macintos+% de su "siste$a de *ic+eros 0er,rquico"% el *or$ato de volu$en nativos utilizados en los $odernos ordenadores Macintos+. +*sutils es el no$bre de un co$pleto paquete de so*t@are est,n
desarrollando para per$itir la $anipulación de los volú$enes 4>S de U3IH ( otros siste$as.
2vdisaster
2vdisaster es una *abulosa +erra$ienta que e)a$ina !2 = 2V2 = B2% con el *in de recuperar arc+ivos% incluso despu&s de al'unos errores de lectura. Esto per$ite rescatar in*or$ación da1ada o de di*/cil lectura a un nuevo $edio de al$acena$iento tras su recuperación.
?p+crac-
Utilidad para ro$per u obtener contrase1as de usuario en el siste$a operativo Cindo@s. Su *unciona$iento se basa en el an,lisis de las tablas rainbo@ para el acceso a las claves de la S#M 5Securit( #ccounts Mana'er6. S#M es el 'estor de se'uridad para cuentas de usuario% de los actuales siste$as operativos Microso*t Cindo@s. Este servicio se e$plea durante los procesos de acceso al siste$a% ( retiene in*or$ación del usuario que se +a lo'eado ante el siste$a.
esdis-
est2is- es una buena +erra$ienta dise1ada para recuperar particiones perdidas de al$acena$iento de datos% o recuperar la capacidad del disco para +acerlo booteable. Estas *unciones son e)itosas cuando los proble$as son causados por so*t@are con *allas% ciertos tipos de virus o en caso de borrar accidental$ente una tabla de particiones. Su *unción no aplica para discos duros con da1os */sicos% sin e$bar'o puede intentar el acceso a las particiones da1adas u ocultas.
VEN%AJAS
DESVEN%AJAS
? ?*rece un entorno a$i'able que le proporciona al investi'ador *orense toda la a(uda necesaria en el $o$ento de resolver un caso.
Se de$ora en descar'ar% requiere
Requiere de un nivel de conoci$ientos previos de in*or$,tica *orense ( conoci$ientos en el trata$iento de la evidencia di'ital.
Es una distribución de códi'o abierto que puede $odi*icar sin nin'ún proble$a (a que no es considerado co$o robo de propiedad intelectual o propósitos para la pirater/a.
3 3o tiene nin'ún costo econó$ico para adquirirlo. S Su instalador no es pesado% se puede al$acenar en el disco duro% $e$oria *las+ o !2% debido a que est, en un *or$ato IS?. !ontiene una *,cil interoperabilidad en su entorno al $o$ento de realizar una investi'ación *orense. !ontiene una 'ran variedad de +erra$ientas útiles% de *,cil uso ( 'randes bene*icios. Se puede $ane0ar en l/nea de co$andos o +aciendo uso de su inter*az 'r,*ica. 3 3o a*ecta la parte del rendi$iento en el siste$a% porque est, dise1ado para soportar nuevas arquitecturas.
buenos conoci$ientos en el $ane0o de inu).
CONC*'SI(N El an,lisis de evidencias se puede realizar adecuada$ente $ediante el uso de t&cnicas de an,lisis de co$putación *orense ( el uso de +erra$ientas adecuadas para poder entre'ar un in*or$e claro ( convincente de lo que se sospec+a en torno a un il/cito. as +erra$ientas de an,lisis de in*or$,tica *orense son de 'ran utilidad ( requieren de ciertos conoci$ientos para su adecuada co$prensión.
&E+E&ENCIAS
+ttp==@@@.in*or$atica*orense.co$.ar=procedi$ientos.+t$
+ttp==@@@.sleut+-it.or'=autops(
[email protected]+p
+ttp==@@@.cainelive.net=
+ttps
[email protected]'=@i-i=!#I3Einu)