INFORMÁTICA FORENSE(Inteligencia Artificial)(Revision Bibliografica final(Junio)).docx

5/27/2018

INFORMÁTICAFORENSE(InteligenciaArtificial)(Revision Bibliograficafin...

INFORM TICA FORENSE: “Inteligencia Artificial en los Sistema de Detección de

Intrusos(IDS)” 1. INTRODUCCIÓN

En la actualidad información es el activo más valioso que se pueda poseer véase de donde se vea. Ésta es cada vez más importante para el desarrollo institucional y de negocios exitosos a través de la implementación de sistemas de información, a diferencia de épocas pasadas donde la información se almacenaba de manera manual y en medio físico (papel). Estas mejoras tecnológicas en el procesamiento de la información trajeron consigo cierto tipo de ventajas y desventajas. Las ventajas son extremadamente evidentes, mayor facilidad en el manejo de la información, rapidez en la recolección y análisis de la misma, alta disponibilidad tanto en tiempo como en localización. Sin embargo, las desventajas y riesgos en los que se incurre no son tan obvios o notorios. Entre estos menciono, la vulnerabilidad de la información a ser borrada o alterada, la facilidad de copia, extracción o replicación de la misma, la explotación por vulnerabilidades en el sistema, entre otros.

JAMES IR SALAZAR TORRES Junio de 2013

protección y llegado el caso del ilícito tener los mecanismos para determinar el ¿quién? Y ¿cómo?; es allí donde surge la informática forense, Para poder garantizar las políticas de seguridad y la protección de la información y las tecnologías que facilitan la gestión de la información. Pero la dinámica del campo informático hace que cada vez se busquen interconectar diferentes áreas para lograr mayor eficiencia, en este particular la inteligencia artificial (IA). Según Lazalde (2012), hablar IA es hablar de un área inmensa de conocimiento, tan profunda en sus cimientos matemáticos como extensa en sus alcances y cruces con otras áreas. Éste es el caso de la seguridad informática, donde desde hace algún tiempo encontramos soluciones basadas en IA. Quizá el ejemplo más evidente son los sistemas de detección de spam, que se valen de técnicas de máquinas de vectores de soporte, LSI y, principalmente, de estadística bayesiana. Es toda la amplitud de la IA la que genera el verdadero desarrollo de la computación forense, dándole credibilidad y reduciendo los tiempos de resolución de delitos.

Con todo el riesgo que se corre al manejar información se debe contar http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliograficacon mecanismos adecuados de

5/27/2018


Al integrar el método de Inteligencia Artificial (AI) en el sistema de detección de intrusiones (IDS) que hace que todo el proceso de detección sea mucho más fácil. El

utilice, pues cada uno de ellos trata de manera particular o general temas que son de interés para la ciencias forenses aplicadas en medios informáticos (Cano,

sistema aprender preferenciaspodría de las reglas las de seguridad y mostrar alertas que de los ataques propensos a sufrir. También podría obtener el mismo sistema basado en normas observando e imitando a un oficial de seguridad en el trabajo, o podría vincular hechos que pueden parecer insignificantes, pero cuando se combinan, pueden indicar que un

2006; 2009). El concepto más difundido es el que resulta de digital forensics (forensia

ataque está las en marcha, completar piezas esde como un rompecabezas, sólo cuando se completa es significativo. Esto demuestra que AI tiene la capacidad de aprender y de enseñar (Stair y George, 2010).

delincuente.” (Cano, Otras definiciones más simple2009). “Informática

2. GENERALIDADES Y CONCEPTOS (Computación Forense e Inteligencia Artificial) 2.1 ¿Qué es la Informática forense? definir de manera simple y acertada lo que es la informática Forense puede no ser una tarea sencilla, ya se puede encontrar muchas definiciones que generan caos de acuerdo a los momentos históricos de desarrollo de esta disciplina, una primera revisión sugiere diferentes términos para

digital) que dice “es una forma de

aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados , con el fin de apoyar a la administración de justicia en su lucha contra los posibles forense es la práctica de recoger, analizar y comunicar la información digital de una manera que es admisible en derecho”(Megazine.co, 2012). “La Informática Forense es la ciencia de: Adquirir, Preservar, Obtener y Presentar datos que hayan sido procesados electrónicamente y almacenados en soportes informáticos.” (sevilla, 2004). La ciencia forense digital es relativamente nueva, aunque se tienen evidencias de su aplicación desde los años 70 cuando se presentaron de ataques por virus a sistemas de información del gobierno de los Estados Unidos, su verdadero desarrollo e importancia se ha conseguido a finales de los 90’s e

aproximarnos al tema, entre inicio del nuevoy milenio algunos se tienen: computación es sistemática se basaesta en ciencia hechos forense, digital forensics (forensia premeditados para recabar pruebas digital), network forensics para luego analizarlas. La tecnología, (forensia en redes) entre otros. en caso de análisis forense en Este conjunto de términos puede sistemas informáticos, son generar confusión en los aplicaciones que hacen un papel de http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliograficadiferentes escenarios donde se suma importancia en recaudar la

5/27/2018


información y pruebas necesarias. La escena del crimen es el computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente para ser aen computadores continuación impresos.(Xombra, 2007). 2.2 ¿Qué busca forense?

la

informática

tiene principalmente 3 objetivos según lo plantea (Ramirez R., 2008) 

razonamiento y el mejoramiento a través de la experiencia. La inteligencia artificial es la rama de la informática que trata de aproximar resultados razonamiento los humano mediante del la organización y manipulación de hechos y conocimiento heurístico. Las áreas de actividad incluyen sistema experto, la comprensión del lenguaje natural, reconocimiento del habla, la visión y la robótica (Bejarano R, 2008). 2.4

¿Qué

es

Sistemas

de

y aplicar paray Crear prevenir posiblespolíticas ataques,

Detección de Intrusos (IDS)?

de existir antecedentes evitar casos similares. y procesar Perseguir judicialmente a los criminales. Compensar daños causados por los criminales o intrusos.

Es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automáticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas (Wikipedia.com, 2010).





Pero nada se gana si no se tiene claro cuáles serían las actividades susceptibles de ser están: investigadas, mencionar algunas Fraudespor en comunicaciones, abuso a menores de edad, dialers, Fraudes de Internet, Carding, Phising, seguridad lógica, injurias, calumnias y amenazas por medios electrónicos, propiedad intelectual, robo de código y la que mayor atención esta generando en la actualidad “Blanqueo electrónico de activos”(Ramirez R., 2008).

Es evidente elforense campo ydesu acción de la informática beneficio desde el punto de vista de la justicia, sin embargo en algunos países aun no son aceptados es la capacidad de un dispositivo indagaciones de este tipo, debido al Para realizar funciones que desconocimiento y falta de normalmente se asocian con la legislación al respecto que otorgue http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliograficainteligencia humana, tales como el 2.3 ¿Qué Artificial?

es

Inteligencia

5/27/2018


un marco de confiabilidad en las evidencias que se puedan encontrar del análisis investigativo digital(Rogers y Seigfried, 2004). Esta brecha normativa ha generado que

La definición de ciencia forense, es la aplicación de prácticas científicas dentro del proceso legal.(López et 2002; Ecured, 2010) ¿Qué al., significa esto? Básicamente, que la

algunos vuelvan sitios de esconditepaíses de se ciberdelincuentes, ampliando el estudio de la situación de esta área de fusión entre la informática y el derecho como medio de recolección y análisis de evidencia digital que ayude al esclarecimiento de estos delitos.

ciencia conjunto ciencias forense, que la leyesusaunpara atrapardea un criminal, ya sea física, química, matemática, y muchas más. El trabajo de los investigadores

Las nuevas informáticos

leyes sobre y la de

delitos firmas

electrónicas y mensajes de países datos implementadas en muchos desarrollados, abren procesal y definitivamente los medios probatorios informáticos, y están generando la ola de actualización jurídicas para otros países no tan desarrollados, con la suscripción de convenios internacionales para evitar la proliferación de ciberataques y salvaguardar la integridad de la estabilidad mundial. En el caso de Colombia se, cuenta con secciones de delitos informáticos (en la Policía, Dian) pero el marco regulatorio de su operatividad es muy limitado, se deben ampliar más el campo de acción de los entes investigadores del estado y crear un marco jurídico más específico que permita contar con entidades del estado todo más confiablesrobustas (en y sobre materia de integralidad de evidencias recolectadas) en materia de computación forense.

forenses es muy extenso…pasa desde

la recolección de las evidencias, y el proceso de las mismas, hasta la extracción de muestras de ADN, debates extensos, creación de teorías sobre lo ocurrido, comparación fibras, estrías en una bala, y variasde tareas más. Para el caso de la particular de la aplicación en la ciencias computacionales o informáticas se puede decir que la ciencia forense, pone a disposición de los peritos digitales todas esas técnicas que facilitan la investigación del delito criminal o como lo plantea José Bonilla “cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense” (Bonilla, 2009) Según Zuccardi (Zuccardi y Gutiérrez, 2006) Los principios científicos que hay detrás del procesamiento de una evidencia son reconocidos y usados en procedimientos como: Recoger y examinar huellas dactilares y ADN. Recuperar



3. LA CIENCIA FORENSE

documentos de un dispositivo dañado.

http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliografica-

5/27/2018


Hacer una copia exacta de una



evidencia digital. Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para asegurar que este no



crimen con toda seguridad dejará algo de él (huellas, pelos…) y/o

llevara consigo algo de la escena , lo cual automáticamente lo convierte en sospechoso.

ha modificado. se Firmar digitalmente



un documento para poder afirmar que es auténtico y preservar la cadena de evidencias.

Estos elementos anteriores son los que constituyen por decirlo de alguna manera el lado oscuro para el investigador forense tradicional el cual aporta su entrenamiento, experticia y sagacidad para ayudar a otros investigadores a reconstruir el crimen y encontrar pistas; para ello aplica métodos científicos para analizar la evidencia disponible, conjeturando sobre lo que pudo haber ocurrido en el lugar de los hechos, claro está todo dentro de los limites posible que le proporcione la evidencia colectada. La mayoría de los proceso de descubrimiento de un criminal se basan en un principio fundamental en la ciencia forense, llamado Principio de Intercambio o transferencia de Locard (Principio de Locard) usado para relacionar un criminal con el crimen que ha cometido.

Este principio fundamental dice que cualquiera o cualquier objeto que entra en en la la escena crimen deja un rastro escenadel o en la víctima y viceversa (se lleva consigo); en otras palabras: “cada contacto deja un rastro” (Bonilla, 2009), en pocas

4. APLICACIÓN DE LA INFORMÁTICA FORENSE (López et al., 2002; Zuccardi y Gutiérrez, 2006) De acuerdo a lo planteado por los autores Existen varios usos de la informática forense, muchos de estos provienen de la vida diaria, y no

tienen que con estar la directamente relacionados informática forense: i.

Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.

ii.

Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.

iii.

Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros disminuir los costos de losa reclamos por accidentes y compensaciones.

palabras lo que plantea locard, es iv. Temas corporativos: Puede ser que en el mundo real cualquier recolectada información en casos individuo que pise la escena del http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliograficaque tratan sobre acoso sexual,

5/27/2018


robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial. v.

Mantenimiento de lapuede ley: ser La informática forense usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.

En todo procesos de peritaje donde se haga uso de los principios de informática forense, se debe aplicar los principios base de la ciencia forense. 5. LA EVIDENCIA DIGITAL

Según Zuccardi (Zuccardi y Gutiérrez, 2006) evidencia es. “cualquier

dato

que

un crimen y su víctima o un crimen y su autor” y permite establecer o refutar algo (hipotesis). La evidencia digital es un tipo de evidencia física, menos tangible que otras formas de evidencia (adn, huellas digitales, componentes de computadores …), otro concepto acuñado por Cano, "cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático". En este sentido, la evidencia digital, es un término utilizado de manera amplia para describir "cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal". (Cano, 2009), la cual brinda un sinnúmero de ventajas en relación a la evidencia tradicional.

puede

establecer que un crimen se ha ejecutado (commit) o puede proporcionar una enlace (link) entre

Puede ser duplicada de manera



exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliograficaúnico de la evidencia computacional 





Figura 1. Esquema principio de Locard. Fuente: Bonilla (2009)

5/27/2018


es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó (Presman, 2010).

contaminación de las pruebas) Herrera plantea usar los siguientes pasos: Identificar, Preservar, Analizar, Presentar (Herrera y Gómez, 2009)

De todos esos nuevos elementos probatorios Computadores, redes de datos, dispositivos de almacenamiento,… , se dan algunas modificaciones al principio de Locard para garantizar su aplicabilidad en la informática forense, tal como se ve en el siguiente esquema. Figura 3. Pasos para la Colección de evidencia Válida. Fuente: Herrera Gómez 2009

Figura 2. Esquema principio de Locard (Versión Digital). Fuente: Bonilla (2009)

Para Ecured la evidencia digital esta clasificada en tres categorías : los registros generados por computador, Registros no generados por computador sino datos simplemente almacenados en el computador y los registros Híbridos o mixtos (Ecured, 2010).

Esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking, recuperación de información, entre otros ítem relacionados. 6. SISTEMAS DE DETECCIÓN DE INTRUSOS

6.1 Funcionamiento El funcionamiento de estas La evidencia es un elemento tan herramientas se basa en el análisis importante y delicado que para su pormenorizado del tráfico de red, el validez legal o jurídico necesita cual al entrar al analizador es seguir un conjunto de pasos lógicos y comparado con firmas de ataques rigurosos que garanticen la conocidos, o comportamientos http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliograficaintegridad de lo colectado (no

5/27/2018


sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc.(Barrera G, 2010) El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el

entrar en una red o de Internet. Las verdaderas capacidades IDS se basan en la detección de tráfico de red malicioso, tales como paquetes que explotar una vulnerabilidad de

contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

seguridad conocida

De acuerdo a lo planteado por Lazalde (2012) los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Redes y computadoras se vuelven más complejos y cada día, creando así aún más las lagunas para la explotación maliciosa. Nuevas vulnerabilidades de seguridad son explotadas diariamente, en un

6.2 Proceso de Aprendizaje El proceso de aprendizaje es el período de interacción que la IA necesita para funcionar correctamente. Por lo general, el proceso es continuo por lo que sería adaptarse a las nuevas amenazas. Hay varios métodos para enseñar IA:(Arzyq, 2010) • Después de clics del usuario • Explicando los clics • Presentar una razón por que IA ha

clasificado un evento y preguntando al usuario si eso es correcto. • Hacer las preguntas a los usuarios sobre la clasificación Un IDS-AI puede constar de varios subsistemas, posiblemente determine la interfaz de usuario. Por lo menos, podría ser una buena idea tener un agente inteligente para detectar y clasificar los eventos en una red y para determinar qué eventos el oficial de seguridad quiere saber (Reyes O, 2005). Lo anterior significa que todos los procesos de inteligencia artificial mencionados requieren la enseñanza antes de su uso. También existen otras formas basadas en registrar el tráfico habitual en la red para clasificar todo manualmente.

mundo donde están conectados en los red,ordenadores incluso cuando se encuentra una vulnerabilidad en un solo equipo pondría en peligro toda la red. El método más común para evitar esto es asegurarse de que el equipo está libre de cualquier 6.3 Principales Características vulnerabilidad de seguridad, antes de http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliografica de los IDS

5/27/2018


las principales características de los sistemas de detección de intrusiones, se basan en si pueden o no hacer procesos de detección en Online u Offline, donde cada tipo tienen sus

mejora en los procesos de peritaje informático ya que son resultados muy prometedores que se pueden obtener a partir de esta complementación

ventajas y aplicaciónadependiendo las vulnerabilidades las cuales sea enfrente.

La hibridación de diferentes técnicas de Inteligencia Artificial también indica un futuro brillante en el análisis de IDS y la predicción de sus diversas propiedades de seguridad de la red en tiempo real.

6.4 Mecanismos de Detección de un Ataque Un IDS usa alguna de las siguientes técnicas para determinar que un ataque se encuentra en curso: Heurística: determina actividad normal de red, como el orden de

ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo. Patrón: analiza paquetes en la red, y

los comparaycon patrones de ataques conocidos, preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque. 7. CONCLUSIONES

Partiendo d la breve revisión hecha hasta el momento, podemos ver que la aplicación de técnicas de Inteligencia Artificial complementan http://slidepdf.com/reader/full/informatica-forenseinteligencia-artificialrevision-bibliografica satisfactoriamente las opciones de

5/27/2018


forense".Disponible

en: http://www.neuquen.gov.ar/segurid adinformatica/pdf/Informatica%20F orense%20%20Hernan%20Herrera.pdf . [Visitada en 12 Mayo de 2013].

Referencias Arzyq K. (2010). Using Artificial Intelligence in Intrusion Detection System. 14

Lazalde A. (2012). Inteligencia artificial: algoritmos genéticos para seguridad www.Alt1040.com. informática.

Disponible en: http://alt1040.com/2012/02/intelige ncia-artificial-algoritmos-geneticospara-seguridad-informatica. [Visitada en Junio de 2013].

Barrera G A. (2010). Presente y Futuro de los IDS. 16 Bejarano R Z. (2008). Sistemas Informáticos basados en Algoritmos Evolutivos para Mejorar el Proceso de Identificación Forense de Evidencia Digital. Escuela de Ingenieria de

Sistemas y Computación, Universidad Católica de Santo Toribio de Mogrovejo: http://intranet.usat.edu.pe/. 63 p. Bonilla J.E. (2009). Computacion Forense, in La Computacion Forense: http://www.slideshare.net/joseber/c omputacin-forense. Cano

J.J. (2006). Introduccíón a la informática forense "una disciplina técnico-legal". Revista Sistemas.

López Ó., Amaya H., León R., Acosta B. Informática Forense: (2002). Generalidades aspectos técnicos y herramientas. 22

Megazine.co. (2012). Guía del principiante a la informática forense. Megazine.co. Disponible en: http://megazine.co/guía-delprincipiante-a-la-informáticaforense_4707.html. [Visitada en Abril 21 de 2013]. Presman G.D. (2010). Evidencia digital. Adquisición y preservación de la prueba informática. Casos reales , in Curso para la procuración general de la nación delitos informáticos cuestiones relacionadas con la investigación y el valor de la prueba:

Cano J.J. (2009). Computación forense. Descubriendo los rastros informáticos. Primera ed Alfaomega.

344 p. Ecured.

(2010). Forense.[generalidades

http://www.presman.com.ar/admin/ archivospublicaciones/archivos/Curs o%20PGN_20100706100513.pdf . 50.

Informática

y

datos

tecnicos de la informatica forense]. Disponible en: http://www.ecured.cu/index.php/Inf orm%C3%A1tica_Forense. [Visitada en Mayo de 2013]. Herrera H., Gómez S. (2009). Jornada de

Ramirez R. G. (2008). Informática forense. 5, 4 Reyes

O C. (2005). Herramientas de Software. Inteligencia Artificial y Sistemas Expertos.


Seguridad Informática "Informática

5/27/2018


Rogers M.K., Seigfried K. (2004). The future of computer forensics: a needs analysis survey. Computers & Security : 5. sevilla D. (2004). Informática forense "teoría y práctica " . Stair R., George R. (2010). Principios de Sistemas de Información: "Un enfoque administrativo" , Learning C.,

Editor. 704. Wikipedia.com. (2010). Sistema de detección de intrusos. http://es.wikipedia.org/. Disponible en: http://es.wikipedia.org/wiki/Sistema _de_detecci%C3%B3n_de_intrusos. [Visitada en Mayo de 2013]. Xombra. (2007). El mundo de la informática forense. 9 Zuccardi G., Gutiérrez J. (2006). Informática forense. 17


5/27/2018



INFORMÁTICA FORENSE(Inteligencia Artificial)(Revision Bibliografica final(Junio)).docx

Recommend Documents