Informática Forense
UNIVERSIDAD POLITÉCNICA SALESIANA SEDE CUENCA
FACULTAD DE INGENIERÍAS CARRERA DE INGENIERÍA DE SISTEMAS
Trabajo de Grado previo a la obe!"i#! del T$%lo de I!&e!iero de Si'e(a'
)METODOLOGÍAS* ESTRATEGIAS + ,ERRAMIENTAS DE LA INFORM-TICA FORENSE APLICA.LES PARA LA DIRECCI/N NACIONAL DE COMUNICACI/N + CRIMINALÍSTICA DE LA POLICÍA NACIONAL0
A%ore'1
Mar$a Da!iela -lvare2 Galar2a
Ver#!i"a Ale3a!dra G%a(4! Reib4!
Dire"or1
I!&5 Vladi(ir Roble'
C%e!"a* Febrero 6778 1
DECLARACI/N
Nosotras, María Daniela Álvarez Galarza y Verónica Alexanra G!amán "ei#án, eclaramos #a$o $!ramento %!e el tra#a$o a%!í escrito es e n!estra a!toría& %!e no 'a sio (reviamente (resentao (ara nin)*n )rao o calificación (rofesional& y, %!e 'emos cons!ltao las referencias #i#lio)ráficas %!e incl!yen en este oc!mento+
A travs e la (resente (resente eclaraci eclaración ón ceemos ceemos n!estros n!estros erec'os erec'os e (ro(iea (ro(iea intelect!al corres(onientes a este tra#a$o, a la -niversia .olitcnica /alesiana, se)*n lo esta#lecio (or la 0ey e .ro(iea Intelect!al, (or s! "e)lamento y (or la normativia vi)ente+
Fir(a1 Da!iela -lvare2 G5
Ver#!i"a G%a(4! R5
CERTIFICACI/N
ertifico %!e el (resente tra#a$o f!e esarrollao (or María Daniela Álvarez Galarza y Verónica Alexanra G!amán "ei#án, #a$o mi s!(ervisión+
Fir(a1 I!&5 Vladi(ir Roble'
Dire"or de Te'i!a
DEDICATORIA
A mi familia (or el a(oyo y amor (ermanente %!e me ofrecen caa instante, a mis ami)as, ami)os y com(a2eros (or el a(oyo %!e e !na ! otra manera me 'an #rinao+ 3 e manera es(ecial a !na (ersona %!ien sin verlo más, 'a c!ltivao en mi via y en la via e mi familia el entener %!e caa ía tenemos !na n!eva o(ort!nia+
Daniela
DEDICATORIA
A lo lar)o e n!estra via vamos 'acieno cosas %!e %!izás !nas son más sencillas %!e otras, (ero caa !na e ellas nos e$a !na ense2anza y f!era e ser !na tarea %!e c!m(lir son o(ort!niaes (ara a(rener y esc!#rir en los etalles lo %!e te ay!a no sólo a la realización (rofesional sino a !na realización (ersonal+
A Dios, por permitir que las cosas se den. A mis Padres, por su apoyo y enseñanzas A los amigos y compañeros, por los momentos compartidos
Verónica
AGRADECIMIENTO
A los (rofesores (or las ense2anzas com(artias, %!e nos 'an ay!ao a esenvolvernos en el esarrollo el tra#a$o e )rao, %!e a!n%!e a veces creíamos %!e ciertas cosas no nos servirían, 'oy (oemos ecir %!e too c!anto se a(rene en !na a!la res!lta m!y acertao en el momento %!e nos toca act!ar+
A la .olicía Nacional el 4c!aor y e manera es(ecial al 5eniente .a#lo In)a (or s! a(ert!ra, cola#oración e inters (restao (ara %!e se esarrolle e la me$or manera el tra#a$o+
Al In)+ Vlaimir "o#les, (or ser !n t!tor con (aciencia y (or sa#er orientarnos+
3 so#re too )racias a Dios (or ser n!estra )!ía, a n!estros (ares (or s! (reoc!(ación y a(oyo+
INDICE DE CONTENIDOS
CAPÍTULO 9 CONCEPTOS GENERALES SO.RE LA INFORM-TICA FORENSE
1+1
Intro!cción66666666666666666666++ .á)+ 7
1+7
Informática Forense+66666666666666666++ .á)+ 8 1+7+1 Definición6+++666666666666666+++++++++ .á)+ 8 1+7+7 9#$etivo e la Informática Forense666666666+ .á)+ 8
1+7
om(!tación Anti:Forense66666666666666+++ .á)+ ;
1+;
Delitos Informáticos66666666666666666++ .á)+ <
1+=
"e)las e la Informática Forense666666666666++ .á)+>
1+?
As(ectos 0e)ales666666666666666666+++ .á)+18 1+?+1 0ey e omercio 4lectrónico, Firmas 4lectrónicas y Mensa$es e Datos 6++6666666666666666+ .á)+18 1+?+7 0ey e .ro(iea Intelect!al66666666666+ .á)+1;
CAPÍTULO 6 AN-LISIS + DIAGN/STICO DE LA INSTITUCI/N 7+1
Anteceentes66666666666666666666++ .á)+1?
7+7
.roceso Intere(artamental666666666666666+ .á)+1<
7+8
@erramientas Informáticas orientaas a la investi)ación e elitos vi)entes en la act!alia en la .olicía Nacional6666+++++++++++++ .á)+1>
CAPÍTULO : FASES DE LA INFORM-TICA FORENSE 8+1 Ientificación e 4viencia Di)ital66666666666++ .á)+7= 8+1+1 Desc!#rimiento e las se2ales el ata%!e6666 .á)+8 8+1+7 "ecolección e eviencias666666666++ .á)+87 8+1+7+1 !iaos en la "ecolección e 4viencias666+ .á)+88 8+1+7+7 Inicio e la "ecolección66666666666.á)+8; 8+7 .reservación e la 4viencia Di)ital66666666666+++ .á)+8= 8+8
Análisis e la 4viencia Di)ital666666666666+++ .á)+8< 8+8+1 .re(aración (ara el análisisB 4ntorno e tra#a$o6666666666666 .á)+8C 8+8+7 "econstr!cción e la sec!encia tem(oral el ata%!e6666666666666666++.á)+8> 8+8+8 Determinación e cómo se realizó el ata%!e6666666666666+66666.á)+; 8+8+; Ientificación el a!tor o a!tores el inciente66666666+ 66666+6++ .á)+;1 8+8+= 4val!ación el im(acto ca!sao al sistema666666666666666++6+ .á)+;8
8+; .resentación e 4viencia Di)ital666666666666 .á)+;; 8+;+1 -tilización e form!larios e re)istro el inciente666666666666666666+.á)+;; 8+;+7 Informe tcnico66666666666666666+.á)+;= 8+;+8 Informe 4$ec!tivo6666666666666666+.á)+;?
CAPÍTULO ; METODOLOGÍAS + ESTRATEGIAS EN .ASE A LA INFORM-TICA FORENSE ;+1
Análisis e /o(ortes y Dis(ositivos 4lectrónicos666666+
.á)+;<
;+7
Análisis e la com!nicación e atos66666666666 .á)+;C
;+8
Metoolo)ías y 4strate)ias666666666666666 .á)+;> ;+8+1 /ec!estros e 4%!i(os666666666666
.á)+=8
; +8+7 Discos D!ros6666666666666666
.á)+==
;+8+8
/istemas 9(erativos6666666666666
.á)+=<
;+8+8+1 File slac66666666666666++
.á)+=C
;+8+8+7 Arc'ivo /Ea(66666666666+++++++
.á)+=C
;+8+8+8 -nallocate File /(ace666666666
.á)+=>
;+8+;
ases e Datos66666666666666 .á)+?1
;+8+=
5elfonos móviles y tar$etas666666666 .á)+?7
;+8+?
Análisis e sistemas vivos++666666666 .á)+?;
;+; G!ía Informática Forense A(licaa (ara la .olicía Nacional +66 .á)+<1
CAPÍTULO < ,ERRAMIENTAS + E=UIPOS PARA EL AN-LISIS FORENSE =+1
Análisis so#re las 'erramientas y e%!i(os (ara la a(licación e la Informática Forense (ara la .olicía Nacional 66666+ .á)+C;
=+7
ostos e e%!i(os y softEare (ara la a(licación e la Informática Forense 666666666666666666666+
.á)+C?
=+7+1 5oolit (ara el De(artamento e Delitos Informáticos e la .olicía Nacional ++6666666666666+ .á)+>= =+7+7 4ntornos e tra#a$o so#re com(!tación virt!al (ara la .olicía Nacional 666666666666666 .á)+>C =+8
.erfil y ca(acitación (ara los miem#ros e la .olicía Nacional en el área e Informática Forense 666666666666+
.á)+1
=+8+1 .erfil e !n Informático Forense6666666++++++
.á)+1
=+8+7 a(acitación c!rsos y certificaciones666666
.á)+17
oncl!siones 666666666666666666666+
.á)+1<
"ecomenaciones 66666666666666666666
.á)+1C
i#lio)rafía 66666666666666666666666 .á)+11 Glosario A(nices A(nice A 66666666666666666666666 .á)+117 A(nice A1 6666666666666666666666
.á)+118
A(nice A7 6666666666666666666666
.á)+11;
A(nice 66666666666666666666666+ .á)+17= A(nice 666666666666666666666666 .á)+18
FIGURAS1 Fi)!ra 1+1
lasificación e la om(!tación Anti:Forense 6666 .á)+ =
Fi)!ra 7+1
9r)ani)rama el De(artamento e Investi)ación e Delitos Informáticos .ro(!estaH 6666666++
Fi)!ra 7+7
.á)+1C
/istema e Ientificación Decaactilar a!tomatizao 6+ .á)+71
Fi)!ra 8+1
Metoolo)ía el Análisis Forense 666666666 .á)+78
Fi)!ra ;+1
o(ia e Disco D!ro 6666++666666666+ .á)+=?
Fi)!ra ;+1
Fra)mento e !n Arc'ivo e "e)istro+++666666++
.á)+?
TA.LAS 5a#la 1+1
Nivel e /e)!ria e Mtoos Anti:Forenses6666++ .á)+ ?
5a#la 1+7
/anciones (ara los elitos informáticos en el 4c!aor6+ .á)+1=
5a#la 8+1
Ientificación e la 4viencia IH
66666666 .á)+7>
5a#la 8+7
Ientificación e la 4viencia IIH
66666666 .á)+8
5a#la ;+1
Arc'ivos e "e)istro en -nix0in!x 6666666++ .á)+=>
Meodolo&$a'* E'rae&ia' > ,erra(ie!a' de la I!?or(4i"a Fore!'e apli"able' para la Dire""i#! Na"io!al de Co(%!i"a"i#! > Cri(i!al$'i"a de la Poli"$a Na"io!al5
CAPITULO I
CONCEPTOS GENERALES SO.RE LA INFORMATICA FORENSE
959
I!rod%""i#!
Act!almente !n meio más (ara cometer infracciones y el!ir a las a!toriaes es la tecnolo)ía+
4sto 'a creao la necesia e %!e la .olicía Nacional e#a
es(ecializarse y ca(acitarse en n!evas áreas en one las tecnolo)ías e la información y e la com!nicación res(onan a favor e la J!sticia+
4n (aíses como 4staos -nios, Alemania, In)laterra, olom#ia, Ar)entina, etc+, se está !tilizano la Informática Forense con el fin e o#tener (r!e#as y lo)rar esc!#rir a los a!tores e ic'as infracciones+
De#io a la )lo#alización e la
/ociea e la Información, la informática Forense está a%!irieno !na )ran im(ortancia+
4l inters e la .olicía Nacional el 4c!aor es esta#lecer la Informática forense (ara encontrar eviencias e los elitos informáticos, crímenes traicionales y e esta forma (orían ser !tilizaas en c!al%!ier (roceso $!icial como (r!e#a el ilícito+ /e consiera formalizar las tcnicas y los (roceimientos (ara arle valor (ro#atorio a esas eviencias i)itales+
4n !n crimen m!c'as veces las com(!taoras (ortátiles, e escritorio, meios físicos e almacenamiento como DKs, DVDKs, memorias, telfonos cel!lares, is(ositivos e almacenamiento masivo, etc+, son eviencias (or lo tanto se re%!iere e
mecanismos (ara rec!(erar, inter(retar y !sarlas
(ara %!e (!ean servir
como
(r!e#as+ 0a finalia e este oc!mento es analizar metoolo)ías, tcnicas y (ro(oner 'erramientas a la .olicía Nacional (ara %!e orienten y ay!en a mane$ar !na escena el elito en one se vean invol!craos sistemas e información o rees y la (osterior rec!(eración e las eviencias i)itales+
956
1
I!?or(4i"a Fore!'e
95659 De?i!i"i#!
4s la ciencia forense %!e se encar)a e la (reservación, ientificación, extracción, inter(retación y (resentación e la información o atos %!e 'an sio (rocesaos electrónicamente y )!araos en !na com(!taora o sistema informático, %!e servirá como eviencia i)ital+
0a ciencia forense es sistemática y se #asa en 'ec'os (remeitaos (ara reca#ar (r!e#as %!e l!e)o serán analizaas+
95656 Objeivo de la I!?or(4i"a Fore!'e
"eco#rar los re)istros y mensa$es e atos existentes entro e !n e%!i(o informático, y si es necesario reconstr!ir los mismos con la finalia e o#tener información i)ital %!e (!ea servir como (r!e#a en !n (roceso $!icial+
1
0L.4 D40GAD9 Mi)!el, Análisis Forense Di)ital, J!nio el 7<, "I.9"4D 9(+ it
95:
Co(p%a"i#! A!i Fore!'e
Naie (!ee ise2ar !n sistema, %!e al)!ien más no (!ea com(rometer o v!lnerarO+ 4sta frase nos avierte %!e las me$oras y acciones %!e se aelanten en las 'erramientas forenses siem(re estarán ex(!estas a n!evos esafíos y (r!e#as (or la llamaa informática Anti:Forense+
0a c!al nos (ermitirá n!evos esarrollos y
estrate)ias (ara enfrentar la inse)!ria e la información y los exi)entes re%!isitos le)ales, alreeor e la eviencia i)ital, %!e se emanan al (artici(ar en !n (roceso $!icial+
0a com(!taci com(!tación ón anti forense forense es !n con$!nto e mtoos mtoos e levantamient levantamientoo e eviencias con el o#$etivo e e#ilitar los res!ltaos e la com(!tación forense, !tilizano ciertas 'erramientas con las c!ales se o#tiene información confia#le (ara crear insolvencias en la eviencia y el (roceso forense+
Afe Afectan tan los los Da Dato toss es estr tr!!cción ción,, oc! oc!lta ltamien miento to,, mani mani((!lac !lació ión, n, fa#r fa#ric icaación iónH, 'erramientas e#iliaes, fallas en los res!ltaosH, análisis inconsistenciasH+
Cara"er$'i"a' •
Interr!m(e el (roceso e recolección e eviencias
•
Incrementa los tiem(os necesarios e eicación a !n !n caso caso
•
Genera !as so#re !n (roceso forense o testimonio
•
Afecta la e$ec!ción y !tilización e las 'erramientas forenses
•
4vita la etección e al)!na clase e evento oc!rrio
0a informática forense (osee as(ectos (ositivos y ne)ativos tales comoB
7
D40GAD9 405"ÁN arlos Análisis Anti:Forense O, 4nero 7C + Iem 8 1=
7
Po'iivo' •
"e(lantean y valianB (rocesos forenses, 'erramientas forenses y 'a#iliaes+
Ne&aivo' •
.!een exonerar a !n c!l(a#le+
•
.!een inc!l(ar a !n inocente+
•
Afectar al (roceso forense+
Cla'i?i"a"i#! 1lasif icación Destr !ir
9c!ltar
4liminar la la F!ente
Falsif icar
Fi)!ra 1+1 lasificación e la om(!tación Anti:Forense
A contin!ación se etalla las características y al)oritmos %!e se em(lean en la clasificación e la com(!tación anti:forenseB •
.revenir %!e la eviencia sea encontraa, y en caso e ello, re!cir s! !tilia+
•
Desmantelar o in!tilizar in!tilizar la eviencia entro e !n (roceso forense+
•
No #!sca #!sca 'acer la eviencia eviencia inaccesi#le, #!sca %!e esta esta sea sea irrec!(era#le+ irrec!(era#le+
•
Nivel físico y ló)ico+
FísicaB a travs e cam(os ma)nticos De))a!serH, G!arian Do) is(ositivo ma)nticoH+
0ó)icaB cam#io e la com(osición e los atos, so#rescri#ir atos Metaa, DataH, a más e eliminar las referencias e los atos+
Pi(e 0i#erarHB so#rescri#ir los atos meiante la !tilización e al)oritmos, a contin!ación se listan los mtoos !tilizaos (ara esto al)oritmos y s! nivel e se)!riaB Mtoo
Nivel e /e)!ria
orrao rá(io
a$o
"M. 5//I5 9./:II
Meio
DoD /im(le
Meio
DoD =77:77 M
Meio
G!tman
Alto
."NG /tream
Meio:Alto
5a#la 1+1 Nivel e /e)!ria e Mtoos Anti:Forenses
4l nivel e com(le$ia al !sar estas 'erramientas es sencillo, y la rec!(eración e estos atos es casi im(osi#le, !na e las (osi#les sol!ciones ante este ti(o e ciencia Anti Q Forense es Análisis Ma)ntico+
M@odo' a!i?ore!'e' E!"ripa"i#!, es !no e los mtoos más !saos (ara e#ilitar la com(!tación forense+ /e (!ee iviir en tres ti(os la l a encri(taciónB /imtricaB se realiza (or meio e !na contrase2a %!e se intro!ce al momento e encri(tar el arc'ivo ne)ano e esta esta manera el acceso+ /! esventa$a es %!e si existe al)!na necesia e#emos e#emos enviar la información encri(taa a otra (ersona, le e#eríamos enviar la clave e la encri(tación+
AsimtricaB se !tiliza !na com#inación e llaves (*#licas y (rivaas y e !n .ress'are Rey !tilizao (ara comenzar el (roceso e encri(tación+
1<
4steno)rafíaB 0!e)o e la encri(ción e atos, los mismos se almacenan #a$o la a(ariencia e otros arc'ivos+ 4stos arc'ivos contienen los atos oc!ltos y se los enominan arc'ivos (ortaores+
.orrado Se&%ro1 om*nmente !saa (ara eliminar atos almacenaos en is(ositivos ma)nticos+
/e realizan meiante a(licaciones comoB Pi(er, 4rase,
.G., Pin@ex, etc+
E'"o!der (e!'aje'1 el arte e esconer mensa$es, es e tal forma %!e las (ersonas no (!een (erci#ir %!e eso s!cee, (or e$em(lo la tcnica más !saa es en imá)enes y arc'ivos e a!io, meiante la aición e #its insi)nificativos, esta tcnica es (osi#le e#io a la inca(acia %!e tienen los seres '!manos e (erci#ir variaciones e sonio y calia e ima)en+
4s im(ortante tener en consieración, %!e las tcnicas Anti:Forenses (!een ser e m!c'a !tilia (ara me$orar el (roceso forense, e#io a %!e (ermiten enfrentar y esc!#rir las v!lnera#iliaes a las %!e la informática forense está ex(!esta,
y
controlar la estr!cción e las eviencias y así evitar la c!l(a#ilia e !n criminal o en el (eor e los casos incriminar a !n inocente+
95;
Delio' I!? or(4i"o'
0os elitos informáticos, son a%!ellos actos elictivos %!e en s! realización 'acen !so e las tecnolo)ías electrónicas ya sea como mtoo, meio o fin y los elitos en %!e se a2a estos e%!i(os, rees informáticas, o la información contenia en ellos, v!lnerano #ienes $!ríicos (rote)ios+
8
8
@-I0A.I .4SAFI40 Art!ro 9sEalo, 45ID 9(c+it 1C
0os ti(os e Delitos sonB Mani(!lación e com(!taorasB •
Mani(!lación e atos e entraa
•
Mani(!lación e (ro)ramas
•
Mani(!lación e los atos e salia
•
Da2os o moificaciones e (ro)ramas o atos com(!tarizaos
Falsificaciones informáticasB •
!ano se alteran atos e los oc!mentos almacenaos en forma com(!tarizaa+
•
!ano se !san las com(!taoras (ara efect!ar falsificaciones e oc!mentos e !so comercial+
Fra!es en InternetB •
arin)B !so e tar$etas e crito a$enas o fra!!lentas
•
Ventas e (ro!ctos %!e n!nca lle)an a entre)arse
•
4stafas, s!#astas ficticias
•
.'isin)B reirección meiante correo electrónico a falsas (á)inas sim!laas tr!caas+
/e)!ria 0ó)icaB •
/a#ota$e informático meianteB vir!s, )!sanos, ata%!es e ene)ación e servicio, s!stracción e atos, 'acin), esc!#rimiento y revelación e secretos, s!(lantación e (ersonaliaes, s!stracción e c!entas e correo electrónico+
•
Delitos e in$!rias, cal!mnias y amenazas a travs el e:mail, neEs, foros, c'ats o /M/+
.ro(iea Intelect!alB •
.iratería e (ro)ramas e orenaor, e m*sica y e (ro!ctos cinemato)ráficos
•
"o#os e cói)o+
Accesos no a!torizaosB •
Acceso no a!torizao a servicios y sistemas informáticos+
•
.iratas informáticos o 'acers+
•
"e(ro!cción no a!torizaa e (ro)ramas informáticos e (rotección le)al+
9tros elitosB •
A travs e Internet se (!een com(rar ro)as ilícitas, armas, (ro!ctos farmac!ticos no re)!laos, oc!mentos falsos+
•
95<
.orno)rafía infantil (ro!cción, istri#!ción y (osesiónH
Re&la' de la I!? or(4i"a Fore!'e
A contin!ación se (resentan re)las )enerales (ara a(licar a c!al%!ier (roceso en la informática forense, s! c!m(limiento es f!namental (ara ase)!rar la ace(tación, rece(ción e c!al%!ier eviencia en !n $!z)ao+ Dao %!e la metoolo)ía %!e se em(lee será eterminaa (or el es(ecialista forense, el (roceso esco)io e#e a(licarse e forma %!e no se v!lneren las re)las #ásicas e la informática forense+
4sencialmente, las re)las e la informática forense sonB ;
A/43, 4+ Di)ital 4vience an om(!ter rime+ Acaemic .ress, 7+ 9(+it+
;
Re&la 91 Mi!i(i2ar el Ma!ejo del Ori&i!al 0a a(licación el (roceso e la informática forense !rante el examen e los atos ori)inales se e#erá re!cir al mínimo (osi#le+ 4sto se (!ee consierarse como la re)la más im(ortante en la informática forense+ !al%!ier análisis e#e iri)irse e manera tal %!e minimice la (ro#a#ilia e alteración, esto se lo)ra co(iano el ori)inal y examinano l!e)o los atos !(licaos+ 0a !(licación e eviencia tiene varias venta$asB •
Ase)!rar %!e el ori)inal no será alterao en caso e !n !so incorrecto o ina(ro(iao el (roceso %!e se a(li%!e+
•
.ermitir al examinaor a(licar iferentes tcnicas en casos óne el me$or res!ltao no está claro+ /i !rante tales ensayos los atos se alteran o se estr!yen, sim(lemente se rec!rre a otra co(ia+
•
.ermite a varios es(ecialistas e informática forense tra#a$ar en los mismos atos, o en (artes e los atos, al mismo tiem(o+
•
Ase)!rar %!e el ori)inal se 'a (reservao en el me$or estao (osi#le (ara la (resentación en !n $!z)ao+
A!n%!e 'ay venta$as al !(licar la eviencia, 'ay tam#in esventa$as+ •
0a !(licación e eviencia e#e realizarse e la me$or manera y con 'erramientas, %!e ase)!ren %!e el !(licao es !na co(ia (erfecta el ori)inal+ 4l fracaso (ara a!tenticar el !(licao a(ro(iaamente, (ro!cirá !n c!estionamiento so#re s! inte)ria, lo %!e lleva inevita#lemente a (re)!ntar (or la exactit! y fia#ilia el (roceso el examen y los res!ltaos lo)raos+
•
D!(licano el ori)inal, se está a)re)ano !n (aso aicional en el (roceso forense, a mas e %!e la recreación e este am#iente se torna !na tanto ifícil,
esto im(lica %!e se re%!ieren más rec!rsos y tiem(o extra (ara facilitar el (roceso e !(licación, y la metoolo)ía em(leaa e#e extenerse (ara incl!ir el (roceso e la !(licación+
Re&la 61 Do"%(e!ar lo' "a(bio' !ano oc!rren cam#ios ya sea en la eviencia ori)inal o !(licaos !rante !n examen forense, la nat!raleza, ma)nit! y razón (ara ellos e#e oc!mentarse a(ro(iaamente, esto se a(lica tanto a nivel físico como ló)ico+ Aicionalmente, el (erito e#e ser ca(az e ientificar correctamente la ma)nit! e c!al%!ier cam#io y ar !na ex(licación etallaa e (or %! era necesario el mismo, este (roceso e(ene irectamente e las 'a#iliaes y conocimiento el investi)aor forense+
D!rante el examen forense este (!nto (!ee (arecer insi)nificante, (ero se v!elve !n (ro#lema crítico c!ano el examinaor está (resentano s!s res!ltaos en !n $!icio+ A!n%!e la eviencia (!ee ser le)ítima, las (re)!ntas acerca e las 'a#iliaes el examinaor y conocimiento (!een afectar s! crei#ilia, así como la confia#ilia el (roceso em(leao+ on !na !a razona#le, los res!ltaos el (roceso forense, en el (eor e los casos, se consieraran inace(ta#les+ A!n%!e la necesia e alterar los atos oc!rre (ocas veces, 'ay casos óne al examinaor se le exi)e el cam#io (ara facilitar el (roceso el examen forense+
Re&la :1 C%(plir "o! la' Re&la' de Evide!"ia .ara la a(licación o el esarrollo e 'erramientas y tcnicas forenses se e#en tener en c!enta las normas (ertinentes e eviencia+ •
Ase)!rar %!e el !so e 'erramientas y tcnicas no ismin!ye la amisi#ilia el (ro!cto final+ 77
•
.resentar la información e !na manera %!e sea tan re(resentativa el ori)inal como sea (osi#le+ 4s ecir, el mtoo e (resentación no e#e alterar el si)nificao e la eviencia+
Re&la ;1 No e3"eda '% "o!o"i(ie!o 4l es(ecialista en informática forense no e#e em(rener !n examen más allá e s! nivel e conocimiento y 'a#ilia+ 4s esencial %!e el (erito sea consciente el límite e s! conocimiento y 'a#ilia+ 0le)ao este (!nto, is(one e las si)!ientes o(cionesB •
Detener c!al%!ier examen y #!scar la ay!a e (ersonal más ex(erimentao+
•
"ealizar la investi)ación necesaria (ara me$orar s! (ro(io conocimiento, (ara %!e le (ermita contin!ar el examen y se alcance a o#tener lo %!e se #!sca+
4s inis(ensa#le %!e el examinaor forense (!ee escri#ir correctamente los (rocesos em(leaos !rante !n examen y ex(licar e la me$or manera la metoolo)ía se)!ia (ara ese (roceso+ 4l fracaso (ara ex(licar com(etentemente y con (recisión, la a(licación e !n (roceso (!ee (ro!cir c!estionamientos so#re el conocimiento y crei#ilia el examinaor+
0os análisis com(le$os e#en ser em(renios (or (ersonal calificao y ex(erimentao %!e (osea !n a(ro(iao nivel e entrenamiento+ Aicionalmente, ao %!e la tecnolo)ía está avanzano contin!amente, es im(ortante %!e el examinaor reci#a entrenamiento contin!o+
95B A'pe"o' Le&ale'
95B59 Le> de Co(er"io Ele"r#!i"o* Fir(a' Ele"r#!i"a' > Me!'aje' de Dao' Le> N6776B 4n a#ril el 77 se a(ro#ó el texto efinitivo e la 0ey e omercio 4lectrónico, Mensa$es e Datos y Firmas 4lectrónicas, y en consec!encia las reformas al ói)o .enal %!e 'acen referencia a los elitos informáticos+ De ac!ero a la onstit!ción .olítica e la "e(*#lica el 4c!aor, en s! 5ít!lo T, a(ít!lo 8ro+, al 'a#lar el Ministerio .*#lico, en s! Art+ 71> inciso (rimero se2ala %!e el Ministerio .*#lico (revenrá en el conocimiento e las ca!sas, iri)irá y (romoverá la investi)ación (re:(rocesal y (rocesal (enal+ 4sto es en concorancia con el Art+ 88 el ói)o e .rocesamiento .enal %!e se2ala %!eB el e$ercicio e la acción (*#lica corres(one excl!sivamente al fiscalO+ 4s (or tanto el Fiscal %!ien e#erá llevar la voz en la investi)ación e esta clase e infracciones e ti(o informático (ara lo c!al contara como se2ala el Art+ 7C el ói)o e .roceimiento .enal con s! ór)ano a!xiliar la .olicía J!icial %!ien realizará la investi)ación e los elitos e acción (*#lica y e instancia (artic!lar #a$o la irección y control Ministerio .*#lico, en tal virt! c!al%!ier res!ltao e ic'as investi)aciones se incor(oran en s! tiem(o ya sea a la Instr!cción Fiscal o a la Ina)ación .revia, esto como (arte e los elementos e convicción %!e ay!arán (osteriormente al re(resentante el Ministerio .*#lico a emitir s! ictamen corres(oniente+= 0a 0ey e omercio 4lectrónico, Mensa$es e Datos y Firmas 4lectrónicas re)!la los mensa$es e atos, la firma electrónica, los servicios e certificación, la contratación electrónica y telemática, la (restación e servicios electrónicos, a travs e rees e información, incl!io el comercio electrónico y la (rotección a los !s!arios e estos sistemas+ 5am#in contem(la !n a(ít!lo con cinco artíc!los con referencia al meio e (r!e#a, %!e los mensa$es e atos, firmas electrónicas, oc!mentos electrónicos y los certificaos electrónicos nacionales o extran$eros, =
Dr+ A-"I9 D40 .IN9 /antia)o, Intro!cción a la Informática Forense Dr+ 4"NA0 Geovanny , Informática J!ríica, 4nero 7C+ 7;
emitios e conformia con esta 0ey, c!al%!iera sea s! (roceencia o )eneración, serán consieraos meios e (r!e#a, con !na valoración #a$o los (rinci(ios eterminaos en la 0ey y tomano en c!enta la se)!ria y fia#ilia e los meios con los c!ales se la envió, reci#ió, verificó, almacenó o com(ro#ó si f!ese el caso, sin (er$!icio e %!e ic'a valoración se efect*e con el em(leo e otros mtoos %!e aconse$en la tcnica y la tecnolo)ía+ 0a valoración e la (r!e#a se someterá al li#re criterio $!icial, se)*n las circ!nstancias en %!e 'ayan sio (ro!cios+ 4l $!ez o ár#itro com(etente %!e conozca el caso e#erá esi)nar los (eritos %!e consiere necesarios (ara el análisis y est!io tcnico y tecnoló)ico e las (r!e#as (resentaas+ 0as "eformas al ói)o .enal e las Infracciones Informáticas incl!yen los ata%!es %!e se (ro!cen contra el erec'o a la intimia, a la o#tención y !tilización no a!torizaa e información, sa#ota$es informáticos, falsificación electrónica, a2os informáticos, a(ro(iación ilícita+
95B56 Le> de Propiedad I!ele"%al Ma> 8
0a 0ey e .ro(iea intelect!al vi)ente en el 4c!aor ese Mayo e 1>>C se refiere a las normas %!e
)arantiza el erec'o e a!tor, inventor e la o#ra, invento o
esc!#rimiento corres(oniente+ ontem(la los (ro)ramas e orenaor softEareH+ !ano se trata e softEare la (rotección es so#re los erec'os e a!tor no como invento o esc!#rimiento+ Al ser (ro!cto e in)enio '!mano es consierao como !na o#ra literaria+ 4l reconocimiento es ine(eniente el o#$eto en el c!al este incor(oraa la o#ra, los erec'os e a!tor se )arantiza a (esar e no estar incor(orao en !n orenaor e ine(enientemente e s! forma e ex(resión, es ecir sea le)i#le (ara el 'om#re o (ara la má%!ina+ .!een ser ia)ramas e fl!$o, (lanos, man!ales e !so, (ro)ramas o(erativos, a(licativos y toos los elementos %!e conforman la estr!ct!ra, sec!encia y or)anización e !n (ro)rama+
0os artíc!los 87; Q 87= e la 0ey e .ro(iea Intelect!al 'a esta#lecio las sanciones a a(licarse en caso e violaciones contra estos erec'os como la
(!#licación, if!sión, re(ro!cción, eformación, moificación, tra!cción, m!tilación, arre)lo, aa(tación, etc+, no a!torizaos (or el a!tor+
LE+ 0ey e omercio 4lectrónico, Firmas 4lectrónicas y Mensa$es e Datos 4-AD9"
0ey e .ro(iea Intelect!al
DELITO =UE SANCIONA ARTÍCULO Da2os informáticos y ;1=+1:;1=+7 sa#ota$e informático o+ .enal Falsificación informática 8=8+1 o+ .enal A(ro(iación ilícita ==8+1 o+ .enal 4stafas y otras =?8 efra!aciones o+ .enal Infracción o(y"i)'t e #ase ;1=+1 e atos o+ .enal Accesos no a!torizaos 77+1:77+7 o+ .enal .orno)rafía Infantil =7C+< o+ .enal .ro(iea Intelect!al 7C al 87
5a#la+1+7 /anciones (ara los elitos informáticos en el 4c!aor
.ara l!c'ar contra la Delinc!encia Informática no sólo es necesario contar con leyes e instr!mentos eficaces sino tam#in con la infraestr!ct!ra tanto tcnica como con el rec!rso '!mano calificao (ara 'acerle frente a este ti(o e elitos caa vez más crecientes+ 4n c!m(limiento con el manato constit!cional el Ministerio .*#lico tiene la o#li)ación J!ríica e (oseer !n c!er(o es(ecializao (ara com#atir esta ti(o e criminalia a fin e (reca!telar los erec'os e las víctimas y llevar a los res(onsa#les a $!icio+ 4s (reciso esarrollarse en las investi)aciones tanto (oliciales como el Ministerio .*#lico es(ecializaas en a#orar c!estiones e la elinc!encia informática e informática forense+ Act!almente en la .olicía Nacional está en (roceso e a(ro#ación la im(lementación e !na -nia 4s(ecializaa en Investi)ación e Delitos Informáticos con secciones e Investi)aciones e Inteli)encia y e Análisis Forense+
?
In)+ A"IA/ MIS9 Gonzalo Mayor e .olicía+ 9(+it
?
CAPÍTULO 6
AN-LISIS + DIAGN/STICO DE LA INSTITUCI/N
659 A!e"ede!e'
0os (asos %!e 'oy en ía se an en el cam(o e la tecnolo)ía son verti)inosas, com(!taoras, cel!lares, Internet, a!tomatización e tareas meiante la im(lementación e (ro)ramas, telecom!nicaciones, etc+, 'an lle)ao a ser (arte e la via el ser '!mano, no solo en el ám#ito la#oral sino tam#in (ersonal e#io a la información so#re la ientia e caa (ersona, almacenaa en las iversas ases e Datos, e i)!al manera las transacciones e com(ra, venta, (a)os, e(ósitos, etc+, se lo realiza a travs e Internet+ 5oo este fl!$o e información es trasmitia a travs la re e rees InternetH+
0o %!e en)lo#a esta era tecnoló)ica trae interro)antes como, U! tan (rote)ia está la informaciónW, e Uómo se (!ee reaccionar a ata%!es contra la inte)ria el inivi!o o e las em(resasW, UDe %!e si las leyes y meios existentes en n!estro (aís (!een esc!#rir cómo, %!in cometió el elito y %!e sentencia reci#iráW+
4n el 4c!aor se 'an manifestao casos e elitos informáticos %!e no son iv!l)aos o en!nciaos (or los inivi!os o em(resas afectaas (or evitar !n caos, (or res)!arar s! ima)en o, m!c'as veces (or esconocimiento e la ley %!e incrimina ciertos elitos informáticos+ 0a .olicía Nacional tiene como f!ncionalia res)!arar y (rote)er a la ci!aanía, (or ello se consiera %!e el crecimiento e la instit!ción e#e ser (ermanente y en constante act!alización, ya %!e caa vez más la tecnolo)ía informática se 'a convertio en !n instr!mento (ara cometer crímenes+ 0a .olicía es consciente e %!e los elitos tanto traicionales como informáticos %!e se s!scitan en n!estro (aís,
emanan )ranes esafíos en s!s investi)aciones ya %!e se 'an o#tenio eviencias como com(!taoras, telfonos cel!lares, is(ositivos e almacenamiento, (ro)ramas o c!al%!ier ti(o e 'arEare %!e re%!ieren e conocimiento, tcnicas y 'erramientas e Informática Forense (ara %!e se (!ea realizar !na reconstr!cción, análisis y reconocimiento el elito e !na manera aec!aa y lle)ar así 'asta el atacante+ 4n la misma instit!ción se 'an ao casos e extorsión meiante la tecnolo)ía, en one no se 'a (oio a(licar !na metoolo)ía e investi)ación e análisis forense (ara (oer o#tener eviencias cont!nentes y e esta manera etectar a tiem(o al inivi!o y %!e sea en$!iciao+
0a .olicía Nacional al consierar %!e estos com(ortamientos elictivos afectan irectamente a la sociea ec!atoriana en s! con$!nto, 'a iniciao !n .royecto en el %!e se esarrollan las re)las y normativas (ara la im(lementación e !n De(artamento 4s(ecializao en la investi)ación e elitos informáticos+
656 Pro"e'o I!erdepara(e!al
0a .olicía Nacional (ara c!m(lir s!s f!nciones se enc!entra iviia en las si)!ientes áreasB
•
• • •
• •
.olicía J!icial 5ránsito Mi)ración riminalística o Investi)aciones Antinarcóticos De(artamento Nacional e om!nicaciones+
aa área (osee eterminaas f!nciones c!m(len con el o#$etivo e (rote)er y velar (or el #ienestar e la ci!aanía+
7C
0as investi)aciones %!e se realizan so#re los crímenes o elitos e(enieno el ti(oH re%!ieren e la (resencia e interacción e toos los e(artamentos e la .olicía Nacional+
0os elitos informáticos son en!nciaos irectamente en la Dirección Nacional e la .olicía J!icial (ero act!almente no son trataos en !n e(artamento es(ecífico (ara el correcto análisis y com(ro#ación e los mismos, el (ersonal (olicial %!e act*a son los (ertenecientes al De(artamento Nacional e om!nicaciones si se trata e elitos informáticos (ro(iamente ic'os, (ero si se trata e elitos traicionales y %!e como meio se !tilizó !n is(ositivo i)ital o electrónico act*a el De(artamento e riminalística y e(enieno el caso el De(artamento e Antinarcóticos+
0a .olicía Nacional 'a visto la necesia e me$orar el res)!aro e la ci!aanía con los atentaos e este ti(o e elitos+ .or tal razón, la .olicía 'a realizao !n .royecto en el %!e se (ro(onen incrementar !n e(artamento es(ecializao en elitos informáticos+ /e (lantea iniciar en la ci!a e !ito con la si)!iente estr!ct!ra el e(artamentoB
Fi)!ra 7+7 9r)ani)rama el De(artamento e Investi)ación e Delitos Informáticos .ro(!estaH
omo o#$etivos el De(artamento (lanteaos en el .royecto son los si)!ientesB •
Investi)ar elitos relacionaos con el !so ilícito e rec!rsos tecnoló)icos y e esta manera #rinar al Ministerio .*#lico y a las !niaes e la .olicía Nacional el so(orte tcnico en mane$o e los inicios+
•
Desarrollar conocimientos es(ecializaos e tcnicas e investi)ación e elitos ci#ernticos+
•
Mantener la coo(eración e a)encias e investi)ación, encar)aos e mantenimiento e oren y se)!ria (*#lica en otros (aíses+
•
A(ro#ar los meios (ro#atorios a la fiscalía+
•
-tilizar 'erramientas y rec!rsos tecnoló)icos (ara !n aec!ao análisis+
•
Asistir al Ministerio .*#lico (ara !na correcta e$ec!ción e las leyes contra el ci#ercrimen+
•
Detectar e investi)ar con!ctas ilícitasB o
Acceso ile)al a sistemas informáticos
o
Interce(tación ile)al e las telecom!nicaciones
o
Da2os en sistemas informáticos
o
Fra!e electrónico
o o
Fra!e en las 5elecom!nicaciones .orno)rafía infantil en sitios y serviores Pe# !#icaos en n!estro (aís+
.ara %!e el De(artamento en (royecto (!ea res(oner a las ex(ectativas ansiaas se re%!iere e !na ex'a!stiva investi)ación e la Informática Forense, (ara (oer esco)er !na metoolo)ía aec!aa, con 'erramientas seleccionaas a(ro(iaamente y con !na )!ía e #!enas (rácticas enfocaa a la realia e n!estro (aís+
65: ,erra(ie!a' I!?or(4i"a' orie!ada' a la i!ve'i&a"i#! de delio' vi&e!e' e! la a"%alidad
0a .olicía Nacional tiene !n /istema e Informática Inte)rao, %!e f!e a%!irio a la em(resa 5rans5ools, el (royecto com(rene el esarrollo e s!#sistemas a la meia e las necesiaes e la .olicía Nacional+
4l sistema informático está iviio en os áreasB
-rea de Ge'i#! E3er!a* com(!esta (or los si)!ientes s!#sistemasB
5ránsito
•
Mi)ración
•
Investi)aciones
•
Antinarcóticos
•
Incl!ye la instalación e inte)ración el /istema e Ientificación ecaactilar a!tomatizao AFI/H e la 4m(resa ."IN5"AR M959"90A+ 4sta 'erramienta en (arte está enfocaa a la informática forense+
-rea de Ge'i#! I!er!a* com(!esta (or los si)!ientes s!#sistemasB •
"ec!rsos @!manos
/al!
•
4!cación
•
Ins(ectoría
•
Inteli)encia
•
9(eraciones
•
Gerencial
•
Doc!mental
•
4l o#$etivo e este esarrollo es lo)rar %!e la .olicía c!ente con !na #ase e atos inte)ral y *nica #asaa en la información el (ersonal (olicial, ve'íc!los, o#$etos, casos e incientes+
4l (royecto 'a sio aministrao con cinco com(onentesB 1+ Aconicionamiento tcnico o(eracional 7+ @arEare y softEare e #ase 8+ /oftEare a(licativo ;+ onectivia =+ a(acitación+
4l /istema Informático no es !n sistema sofisticao e inteli)encia, el sistema c!m(le los si)!ientes o#$etivosB •
"enovar la estr!ct!ra or)anizacional e la Instit!ción .olicial (ara %!e est conforme con el cam#io tecnoló)ico y c!lt!ral+
•
Formar !n )r!(o e (rofesionales (oliciales en el área e informática (ara res(onsa#ilizarse e la o(eración y mantenimiento f!t!ro el /istema Informático Inte)rao+
•
onsoliar !na #ase e atos *nica a nivel nacional, a la %!e (!ean acceer los istintos f!ncionarios e la .olicía Nacional, e(enieno e s! ran)o y los niveles e se)!ria esta#lecios en el sistema+
Si'e(a AFIS
Fi)!ra 7+1 /istema e Ientificación Decaactilar a!tomatizao
4l /istema e Ientificación ecaactilar a!tomatizao AFI/H act!almente está en f!ncionamiento en el De(artamento e riminalística e las ci!aes e !ito y G!aya%!il como a(oyo en las investi)aciones e crímenes traicionales y %!e (oría ser *til tam#in (ara investi)aciones e elitos informáticos+ 4l sistema AFI/ es !n sistema e ientificación (olicial #asao en ientificación #iomtrica meiante '!ellas actilares+ 4l sistema a!tomatiza las tareas e #*s%!ea
y almacenamiento e '!ellas actilares, *nicamente en los arc'ivos (oliciales y en la información e los re)istros e los etenios+
4l imensionamiento el sistema es (ara !n almacenamiento en línea e !n máximo e 7+ tar$etas ecaactilares e etenios y ?+ '!ellas latentes+
4l sistema no mantiene la #ase e atos e toos los ci!aanos ec!atorianos (or%!e el "e)istro ivil está encar)ao e esta res(onsa#ilia+
Co!ve!io' "o! I!'i%"io!e' del E'ado para (a!e!er el Si'e(a I!?or(4i"o
Re&i'ro Civil1 onvenio (ara valiar y cote$ar la información, (ara %!e los oc!mentos %!e emite la .olicía Nacional, como licencias, matríc!las, atos e filiación, certificaciones e censos, re%!isitos e amisión a las filas (oliciales, certificaos e anteceentes (ersonales, etc+, sean veraeras y confia#les+
Servi"io de Re!a' I!er!a'1 on las entiaes #ancarias no existe relación ya %!e toa la información el (a)o e es(ecies se realiza a travs el sistema #ancario, los c!ales irectamente transfieren al /ervicio e "entas Internas y este a s! vez transfiere a la .olicía Nacional+
0a falta e @erramientas orientaas a la Informática Forense 'a sio !n (ro#lema (ara la .olicía Nacional ya %!e no 'a (oio c!m(lir a ca#alia las investi)aciones re%!erias (ara o#tener eviencias y así s!stentar las (r!e#as (ara la sentencia e !n elito informático+
<
A)encia e Noticias e la .olicía el 4c!aor : EEE+(oliciales+ co#ert!rai)ital+ com
CAPÍTULO :
FASES DE LA INFORM-TICA FORENSE
0a .olicía Nacional, ante el mane$o e eviencias so#re !n crimen o elito informático cometio, e#erá act!ar como c!al%!ier (roceso criminal, el (rimer (aso es ase)!rara la escena el elito restrin)ieno el acceso a la misma (ara no moificar la eviencia+ 0os (eritos %!e mane$en el caso e#erán (oseer conocimientos so#re las metoolo)ías el análisis forense informático %!e se e#en a(licar se)*n el caso+
Presentación de evidencia
Analizar las evidencias Preservar las evidencias
Identificar evidencia
- Según prioridad -Conservación inicial
- Fase crítica - Preservar de forma que no exista duda de la evidencia -Creación de imágenes a nivel de bit - Generar cec!sum de original " copias
- Propósito# dar respuestas a las preguntas$ %&ui'n( que cuando " como) - *nali+ar requerimientos del cliente$ ,úsqueda de las evidencias acorde al caso$
- ar un informa claro( conciso( estructurada " sin ambig.edad de las evidencias $ - /o se debe usar un lengua0e mu" t'cnico - eberá contener las evidencias encontradas de acuerdo al caso
Fi)!ra 8+1 Metoolo)ía el Análisis Forense C
.ara llevar a ca#o !na investi)ación forense es aec!ao conocer ciertos as(ectos tales comoB •
C
onocer las coniciones #a$o las c!ales, la eviencia será consieraa como B o Amisi#le o A!tentica
4%!i(o e Investi)ación e Incientes y Delitos Informáticos+ PPP+4IIDI+9M
o o o
•
om(leta onfia#le reí#le
onocer el (roceimiento (ara llevar a ca#o !na investi)ación, c!ano e#e llevarse a ca#o las c!estiones le)ales a tener en c!enta, e(enieno el (aís one se lleve a ca#o+
4xisten moos e Análisis (ara la Informatica Forense, estos sonB
X Análisis (ost:mortemB se realiza con !n e%!i(o eicao es(ecíficamente (ara fines forenses (ara examinar iscos !ros, atos o c!al%!ier ti(o e información reca#aa e !n sistema %!e 'a s!frio !n inciente+ 4n este caso, las 'erramientas e las %!e se (!ee is(oner son a%!ellas %!e existan en el la#oratorio estinao al análisis e iscos !ros, arc'ivos e lo)s e fireEalls, etc+
X Análisis en calienteB se lleva a ca#o c!ano !n sistema (res!me %!e 'a s!frio !n inciente o está s!frieno !n inciente e se)!ria+ 4n este caso, se e#e em(lear !n D con las 'erramientas e "es(!esta ante Incientes y Análisis Forense com(ilaas e forma %!e no realicen moificaciones en el sistema+ -na vez 'ec'o este análisis en caliente, y confirmao el inciente, se realiza el análisis(ost:mortem+
Cade!a de "%'odia1 el es con$!nto e (asos o (roceimientos se)!ios (ara (reservar la (r!e#a i)ital %!e (ermita convertirla y !sarla como eviencia i)ital en !n (roceso $!icial+ No existe !n estánar reconocio (*#licamente+
0a caena e c!stoia e#eB Q "e!cir al máximo la cantia e a)entes im(licaos en el mane$o o tratamiento e eviencias+ Q Mantener la ientia e las (ersonas im(licaas ese la o#tención 'asta la (resentación e las eviencias+ Q Ase)!rar la firmeza e las eviencias+ Q "e)istros e tiem(os, firmaos (or los a)entes, en los intercam#ios entre estos e las eviencias+ aa !no e ellos se 'ará res(onsa#le e las eviencias en caa momento+
Q Ase)!rar la firmeza e las eviencias c!ano las eviencias están almacenaas ase)!rano s! (rotección+
0a sec!encia e la caena e la eviencia e#e se)!ir el si)!iente orenB Q "ecolección e ientificación e eviencia+ Q Análisis+ Q Almacenamiento+ Q .reservación+ Q 5rans(orte+ Q .resentación en el $!z)ao+ Q "etorno a s! !e2o+
0a caena e la eviencia m!estraB
Q !in o#t!vo la eviencia+ Q Dóne y c!áno la eviencia f!e o#tenia+ Q !in (rote)ió la eviencia+ Q !in 'a tenio acceso a la eviencia+
:59
Ide!i?i"a"i#! de la Evide!"ia Di&ial
4n esta fase se e#e localizar los is(ositivos one (oemos encontrar eviencias, ya %!e m!c'as veces la información %!e irecta o inirectamente se relaciona con esta con!cta criminal %!ea almacenaa e forma i)ital entro e estos /istemas Informáticos+
0a Evide!"ia Di&ial 4s el con$!nto e atos en formato #inario, com(rene los fic'eros, s! contenio o referencias a stos meta:atosY atos acerca e atosH %!e
se enc!entren en los so(ortes físicos o ló)icos el sistema atacao, los mismos (!een ser recolectaos y analizaos con 'erramientas y tcnicas es(eciales+
Tipo de Evide!"ia Di&ial
•
•
Co!'a!e1 eviencia almacenaa en !n meio informático y %!e se mantiene (reservaa es(!s e %!e la com(!taora sea a(a)aa+
Vol4il1 eviencia %!e se enc!entra almacenaa tem(oralmente, en la memoria "AM, o en el cac', y al interr!m(ir la alimentación elctrica la eviencia se (iere+ 4ste ti(o e eviencia e#er ser rec!(eraa casi e inmeiato, )!ararlas a fic'eros e sta forma se convertirá en eviencias no volátiles+
4s im(ortante consierar la iferencia %!e 'ay entre la eviencia i)ital y eviencia electrónica ya %!e estas (!een ser !saas como sinónimos, sin em#ar)o la (rimera se refiere a los a(aratos electrónicos como cel!lares y .DA/ > y la se)!na a la información i)ital %!e estos conten)an+
Cla'i?i"a"i#! de la Evide!"ia Di&ial 97
Evide!"ia
1)
F$'i"a -
Sopore' de Al(a"e!a(ie!o . Disettes D:"9Ms, DVD intas ma)nticas, etc+ • • • •
-
Di'po'iivo' ele"r#!i"o' 5elfonos cel!lares •
> .DA/B es !n com(!taor e mano ori)inalmente ise2ao como a)ena electrónica calenario, lista e contactos, #loc e notas y recoratoriosH con !n sistema e reconocimiento e escrit!ra+ @oy ía se (!ee !sar como !na com(!taora omstica ver (elíc!las, crear oc!mentos, $!e)os, correo electrónico, nave)ar (or Internet, re(ro!cir arc'ivos e a!io, etc+H+ 1
-A"DI Giovanni Q G-5IZ""4 J!an Davi+, Informática Forense+
• •
-
A)enas 9r)anizaores electrónicos
Di'po'iivo' de "o(%!i"a"io!e' de red • • •
99
"o!ters /Eitc'Ks @!#Ks
6 Evide!"ia L#&i"a1 c!al%!ier ato almacenao o )enerao en !n meio ma)ntico, este ti(o e eviencia (!ee ser clasificaa en tres cate)oríasB
•
•
•
•
•
Re&i'ro' &e!erado' por "o(p%ador1 4stos re)istros son )eneraos como efecto e la (ro)ramación e !n com(!taor, y son inaltera#les (or !na (ersona, los mismos son llamaos re)istros e eventos e se)!ria lo)sH+ Re&i'ro' !o &e!erado' 'i!o 'i(ple(e!e al(a"e!ado' por o e! "o(p%adore'1 4stos re)istros son )eneraos (or !na (ersona, son almacenaos en el com(!taor, (or e$em(lo, !n oc!mento realizao con !n (rocesaor e (ala#ras+ Re&i'ro' H$brido'1 estos re)istros incl!yen tanto re)istros )eneraos (or com(!taor como almacenaos en los mismos+ 0os re)istros 'í#rios son a%!ellos %!e com#inan afirmaciones '!manas y lo)s+ Re&i'ro' de "ada 'ervidor1 son a%!ellos re)istros el sistema y e caa (ro)rama en e$ec!ción, como (!een ser los e !n servior Pe# A(ac'e+ Re&i'ro' de r4?i"o de red
11
/Eitc'B is(ositivo electrónico e interconexión e rees e orenaores %!e o(era en la ca(a 7 nivel e enlace e atosH el moelo 9/I+ @!#B o concentraor es !n e%!i(o e rees %!e (ermite conectar entre sí otros e%!i(os y retransmite los (a%!etes %!e reci#e ese c!al%!iera e ellos a toos+ "o!terB enr!taor o encaminaor, is(ositivo e 'arEare (ara interconexión e rees e las com(!taoras %!e o(era en la ca(a tres nivel e reH
8C
•
Re&i'ro' de apli"a"i#!1 son a%!ellos re)istros a los %!e caa a(licación almacena so#re el acceso e los !s!arios, errores oc!rrios e información so#re las activiaes e caa !s!ario en la a(licación+
F%e!e' de la Evide!"ia Di&ial 0as f!entes e eviencia i)ital (!een serB
1H /istemas e com(!tación a#iertosB están com(!estos (or com(!taoras (ersonales y serviores con s!s (erifricos teclao, Mo!se, monitorH, son !na f!ente e eviencia i)ital m!y im(ortante ya %!e almacenan )ran cantia e información en s!s iscos !ros+ 7H /istemas e om!nicaciónB están com(!estos (or telecom!nicaciones, Internet y com!nicación inalám#rica+
rees
e
8H /istemas onver)entes e om(!taciónB formaos (or telfonos cel!lares, llamaas inteli)entes, asistentes (ersonales i)itales .DAs, tar$etas inteli)entes y c!al%!ier is(ositivo electrónico %!e (osea tenencia i)ital+
Ide!i?i"a"i#! de la Evide!"ia
96
.ara la ientificación e la eviencia entro el (roceso forense se e#eB
•
•
•
Antici(ar %! (roceimientos serán em(leaos en la (ráctica forense al momento e reco(ilar la eviencia+ Ientificar el ti(o e información almacenaa en !n is(ositivo y el formato en %!e se )!ara, con la finalia e !sar la tecnolo)ía a(ro(iaa (ara extraer la información %!e se mantienen en el mismo+ 0os investi)aores forenses e#en estar en ca(acia e reconocer %! formato tiene eterminaa información, cómo extraerla y %! meio re%!ieren (ara almacenar y (reservar la misma+
on la finalia e eterminar one e#e s er !#icaa y como e#e s er !saa la eviencia, se efinen cate)orías (ara istin)!ir entre !n sistema informático o
17
Dr+ A-"I9 D40 .IN9, Intro!cción a la Informática Forense /antia)o+ 9(+ it+( 18
'arEare eviencia electrónicaH y la información contenia en este eviencia i)italH+ 4l 'arEare se refiere a toos los com(onentes físicos e !n sistema informático, la información se refiere a atos, (ro)ramas almacenaos, mensa$es e atos trasmitios !sano el sistema informático+ SISTEMA INFORM-TICO ,ardare
Evide!"ia Ele"r#!i"a
ele(e!o' ?$'i"o' 4l 'arEare es mercancía ile)al o fr!to el elito+
: 4l 'arEare es !na mercancía ile)al c!ano s! (osesión no está a!torizaa (or la ley+ : 4l 'arEare es fr!to el elito c!ano es o#tenio meiante ro#o, fra!e ! otra clase e infracción
4l 'arEare es !n instr!mento
: 4s !n instr!mento c!ano el 'arEare c!m(le !n (a(el im(ortante en al cometer el elito, es ecir si se lo !sa como !na arma o 'erramienta tal como !na (istola, e$em(lo snifers 18
4l 'arEare es eviencia
: 4s !n elemento físico %!e se constit!ye como (r!e#a e la comisión e !n elito+ 5a#la 8+1 Ientificación e la 4viencia IH
SISTEMA INFORM-TICO I!?or(a"i#!
Evide!"ia Ele"r#!i"a
0a información es mercancía ile)al o fr!to el elito+
: 0a información es mercancía ile)al c!ano s! (osesión no está a!torizaa (or la ley+ 4$em(loB (orno)rafía infantil
0a información es !n instr!mento
: 0a información es !n instr!mento o 'erramienta, c!ano es !saa como meio (ara cometer !na infracción (enal+ 4$em(loB (ro)ramas !saos (ara rom(er se)!ria e !n sistema informático, rom(ieno contrase2as o
: 0a información es fr!to el elito c!ano sea el res!ltao e la comisión e !na infracción+ 4$em(loB co(ias (iratas e (ro)ramas, secretos in!striales '!rtaos+
18 /nifersB es !n (ro)rama (ara monitorizar y analizar el tráfico en !na re e com(!taoras, etectano los c!ellos e #otella y (ro#lemas %!e existan+ 5am#in (!ee ser !tilizao (ara [ca(tar[, lícitamente o no, los atos %!e son transmitios en la re+
#rinan acceso no a!torizao+ 0a información es eviencia
: 4sta cate)oría es e s!ma im(ortancia, e#io a %!e m!c'as e n!estras acciones iarias e$an !n rastro i)ital, se (!ee o#tener m!c'a información como eviencia+ 4$em(loB información e los I/.Ks 1;, #ancos ya %!e estos (!een revelar activiaes (artic!lares e los sos(ec'osos+
5a#la 8+7 Ientificación e la 4viencia IIH
:5959 De'"%bri(ie!o de la' 'eJale' del aaK%e
.ara esc!#rir al)*n ti(o e anomalía, inciente o ata%!e se e#erá tomar en consieración las si)!ientes tareasB
-
Inter(retar comanos en moo consola cm, #as'H
-
4n!merar (!ertos 5. y -D. a#iertos y s!s a(licaciones asociaas f(ort, lsoftH
-
0istar !s!arios conectaos local y remotamente al sistema
-
9#tener fec'a y 'ora el sistema ate, timeH
-
4n!merar (rocesos activos, rec!rsos %!e !tilizan, !s!arios o a(licaciones %!e los lanzaron (s, (slistH+
-
4n!merar las irecciones I. el sistema y ma(ear la asi)nación e irecciones físicas MA con ic'as I. (ro)ramasB i(confi), ar(, netstat, netH o
MAMA 5imesB X aa entraa el /istema e Fic'eros mantiene tres fec'as y 'oras
1; I/.KsB (roveeores e servicio e Internet+ ;1
e toas las entraas %!e se enc!entran en este fic'eros, irectorios, lins, etc+H+ X Im(ortantes (ara el análisis e má%!inas com(rometias+ X 0os MA 5imes sonB Q Moificación MoificationHB am#ios en el fic'ero o irectorio a nivel e s! contenio+ Q Acceso AccessHB Acciones e lect!ra, escrit!ra (!ee no im(lica cam#ioH, etc+ Q am#io 'an)eHB am#io a nivel e características el fic'ero (ermisos, !s!arios, (ro(ietarios, etc+H -
!scar fic'eros oc!ltos o #orraos (ro)ramasB 'fin, !nrm, lazar!sH
-
Vis!alizar re)istros y lo)s el sistema (ro)ramasB re), !m(elH
-
Vis!alizar la confi)!ración e se)!ria el sistema a!it(olH
-
Generar f!nciones 'as' e fic'eros (ro)ramasB sa'1s!m, m=s!mH
-
0eer, co(iar y escri#ir a travs e la re (ro)ramasB netcat, cry(catH
-
"ealizar co(ias #it:a:#it e iscos !ros y (articiones (ro)ramasB , safe#acH
-
Analizar el tráfico e re (ro)ramasB tc(!m(, Ein!m(H
Op"io!e' de .'K%eda
-
"ealizar !na verificación e inte)ria e los fic'eros el sistema, !tiliaes como 5ri(Eire o AID4 Avance Intr!sion Detection 4nviromentH ay!arán a ello+
-
onocer los (rocesos %!e se están e$ec!tano act!almente en el e%!i(o y ver c!al e ellos cons!me más rec!rsos, con !#icaciones (oco frec!entes
en el sistema e arc'ivos y los %!e manten)an conexiones e re en (!ertos 5. o -D. no 'a#it!ales+ -
0istar toos los (!ertos 5. y -D. a#ierto, se e#erá tomar m!y en c!enta a%!ellos (rocesos %!e em(lean (!ertos altos (or encima el 17;+
-
4itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallos e instalación, accesos no a!torizaos, conexiones erróneas o fallias+
Al momento e esc!#rir !na eviencia, se e#eráB
: onservar la eviencia, y (or nin)*n motivo (odi?i"arla5 : -tilizar 'erramientas %!e no moifi%!en el tiem(o e e$ec!ción e los arc'ivos+ : No moificar los arc'ivos ni #orrarlos+
:5956 Re"ole""i#! de Evide!"ia'
0a reco(ilación e eviencias (ermite eterminar el mtoo e entraa al sistema, la activia e los intr!sos, s! ientia y ori)en, (ara too ello se e#e (oseer m!c'a (reca!ción (ara evitar alterar las eviencias !rante el (roceso e recolección+
0a recolección e eviencia, varía e (aís en (aís, y (or lo tanto, !n análisis exacto y com(leto está f!era e los límites+ /in em#ar)o, se (resentan )!ías #ásicas %!e (!een ay!ar a c!al%!ier investi)aor forenseB
0a I94 9r)anización Internacional e 4viencias en om(!taoraH efine cinco (!ntos (rinci(ales (ara el mane$o y recolección e eviencia i)italB
1+ Al recolectar eviencia i)ital, las acciones tomaas no e#en cam#iar (or nin)*n motivo esta eviencia+ 7+ 0a (ersona %!e ten)a acceso a eviencia i)ital ori)inal, e#erá ser !n (rofesional forense+ 8+ 5oa la activia referente a la recolección, el acceso, almacenamiento o a la transferencia e la eviencia i)ital, e#e ser oc!mentaa com(letamente, (reservaa y is(oni#le (ara la revisión+ ;+ -n inivi!o es res(onsa#le e toas las acciones tomaas con res(ecto a la eviencia i)ital mientras %!e sta est en s! (osesión+ =+ !al%!ier a)encia %!e sea res(onsa#le e recolectar, tener acceso, almacenar o transferir eviencia i)ital es res(onsa#le e c!m(lir con estos (rinci(ios+
:595659 C%idado' e! la Re"ole""i#! de evide!"ia'
0a recolección e eviencia informática es !n as(ecto frá)il el la com(!tación forense, es(ecialmente (or%!e re%!iere e (rácticas y c!iaos aicionales %!e no se tienen en la recolección e eviencia convencional+ 4s (or esto %!eB
•
/e e#e (rote)er los e%!i(os el a2o+
•
/e e#e (rote)er la información contenia entro e los sistemas e almacenamiento e información m!c'as veces, estos (!een ser alteraos fácilmente (or ca!sas am#ientales, o (or !n sim(le cam(o ma)nticoH+
•
Al)!nas veces, será im(osi#le reconstr!ir la eviencia o el e%!i(o %!e la contieneH, si no se tiene c!iao e recolectar toas las (iezas %!e se necesiten+
4l 'arEare es !no e los elementos %!e se e#en tener en c!enta a la 'ora e la recolección e eviencias, es (or eso %!e se e#en tener consieraciones es(eciales+ 0o (rimero %!e se e#e (re)!ntar el investi)aor es %! (artes se e#en #!scar o investi)ar+
:595656 I!i"io de la Re"ole""i#!
.ara iniciar la recolección e eviencias se e#eB •
A(a)ar el e%!i(o atacao
•
Anotar la fec'a, 'ora e inicio y fin e caa !no e los (asos %!e se realicen
•
Anotar las características y n*meros e serie e caa e%!i(o, e s!s com(onentes, e s! /+9+ /istema 9(erativoH, etc+
•
Foto)rafiar los e%!i(os el entorno+
•
4s recomena#le %!e exista !n acom(a2ante !rante el (roceso e reco(ilación e eviencias, sta act!aría como testi)o al tomar c!al%!ier acción en la escena, si es !n Notario es m!c'o me$or+
-na vez %!e ya se realizaron las tareas anteriores se e#erá efinir el estao el sistema y el atacanteB
-
4le)ir el ti(o e análisis %!e se efect!ará en el e%!i(oB o
Análisis con el e%!i(o a(a)aoY 4n fríoB es válio si se lo realiza #ien, (ero no se (osee toa la información el ata%!e+
o
Análisis en calienteYmientras el ata%!e se esta realizanoB #rina más información (rocesos, conexiones e re, etc+H, (ero si se lo realiza e forma inaec!aa, (!ee (er$!icar el (osterior análisis en frío, esto (!ee conllevar a (ro#lemas le)ales, ismin!yeno la cont!nencia e la eviencia+
Mantenerse (recavios ante el estao el atacante, ya %!e este (!ee
-
se)!ir conectao y (rovocar #orrao, moficao e la información meiante !na (!erta e entraa+ Asec'ar al atacante evitano %!e evaa la vi)ilancia en caso e %!e este
-
se manten)a conectao+
9tro e los tantos (ro#lemas %!e (osee !n investi)aor forense, es #!scar eviencia volátil, es ecir eviencia %!e se enc!entre alo$aa tem(oralmente en la memoria "AM o en el A@4, son eviencias %!e se (ieren c!ano se a(a)a el com(!taor, (or ello, este ti(o e información e#e ser rec!(eraa e forma inmeiata+
:56
Pre'erva"i#! de la evide!"ia
0a (reservación se enfoca en res)!arar los o#$etos %!e ten)an valor como eviencia, e manera %!e estos (ermanezcan e forma com(leta, clara y verifica#le, es im(ortante %!e c!al%!ier examen %!e se lleve a ca#o no )enere cam#ios, en caso e s!scitarse !n cam#io e manera inevita#le, es esencial %!e se (resente la razón (or la %!e se io tal acontecimiento, ex(licano el s!ceso etallaamente, (osterior a ello e#e ser re)istrao y $!stificao+ 4n esta fase se !tiliza tcnicas cri(to)ráficas como cói)os e se)!ria f!nción 'as', c'ecs!msH+ 1=
1= ri(to)rafíaB es el arte o ciencia e cifrar y escifrar inf or mación !tilizano tcnicas %!e 'a)an (osi#le el intercam#io e mensa$es e manera se)!ra %!e sólo (!ean ser leíos (or las (ersonas a %!ienes van iri)ios+
0a fase e (reservación interviene a lo lar)o e too el (roceso e investi)ación forense, la misma interact*a con las emás fases+
0as tareas %!e se e#en se)!ir (ara (reservar la eviencia i)ital sonB -
"ealizar os co(ias e las eviencias o#tenias+
-
Generar !na s!ma e com(ro#ación e la inte)ria e caa co(ia em(leano f!nción 'as' MD= o /@A1H+
-
Incl!ir las firmas o#tenias en la eti%!eta e caa co(ia e la eviencia en el D o DVD, incl!ir fec'a, 'ora e la creación e la co(ia y el nom#re e la misma+
-
.rote)er los is(ositivos e factores externos comoB cam#ios #r!scos, tem(erat!ra o cam(os electroma)nticos, ya %!e (!een alterar la eviencia+
/i se extraen iscos !ros se e#erá se)!ir el mismo (roceimiento+ 3 en caso e %!e se re%!iera %!e los iscos sean analizaos (or otras em(resas es(ecializaas, se e#e solicitar %!e lo ase)!ren+
F!nción 'as'B es !na 'erramienta f!namental en la cri(oto)rafía, son !saas (rinci(almente (ara resolver el (ro#lema e la inte)ria e los mensa$es, así como la a!tenticia e mensa$es y e s! ori)en, es tam#in am(liamente !saa (ara la firma i)ital, ya %!e los oc!mentos a firmar son en )eneral emasiao )ranes, la f!nción 'as' les asocia !na caena e lon)it! 1? #its %!e los 'ace más mane$a#les (ara el (ro(ósito e firma i)ital+
9tro as(ecto %!e se e#e tomar en c!enta es la caena e c!stoia, one se esta#lecen las res(onsa#iliaes y controles e caa !na e las (ersonas %!e mani(!len la eviencia, se e#erá re)istrar los atos (ersonales e toos los im(licaos en el (roceso e mani(!lación e las co(iasB •
Dóne, c!áno y %!in mane$o o examinó la eviencia, incl!yeno s! nom#re, s! car)o, n*mero e ientificación, fec'as y 'oras, etc+
•
!in est!vo c!stoiano la eviencia, !rante c!anto tiem(o y óne se almacenó+
•
!ano se cam#ie la c!stoia e la eviencia tam#in e#erá oc!mentarse c!áno y cómo se (ro!$o la transferencia y %!in la trans(ortó+
:5:
A!4li'i' de la Evide!"ia Di&ial
AFD Análisis Forense Di)italH, es !n con$!nto e (rinci(ios y tcnicas %!e com(rene el (roceso e a%!isición, conservación, oc!mentación, análisis y (resentación e eviencias i)itales y %!e lle)ao el caso (!ean ser ace(taas le)almente en !n (roceso $!icial+
4ste análisis se ará (or concl!io c!ano se conozca cómo se (ro!$o el ata%!e, %!in o %!ienes lo llevaron a ca#o, #a$o %! circ!nstancias se (ro!$o, c!ál era el o#$etivo el ata%!e, %! a2os ca!saron, etc+
Antes e realizar !n análisis se e#e tener en c!enta la si)!iente informaciónB aH /istema o(erativo afectao+ #H Inventario e softEare instalao en el e%!i(o cH 5i(o e 'arEare el e%!i(o H Accesorios yo (erifricos conectaos al e%!i(o
eH /i (osee fireEall fH /i esta en el ám#ito el DM ona esmilitarizaaH )H onexión a Internet+ 'H onfi)!ración+ iH .arc'es yo act!alizaciones e softEare $H .olíticas e se)!ria im(lementaas H Forma e almacenamiento e la información cifraa o noH lH .ersonas con (ermisos e acceso al e%!i(o mH 4l com(!taor esta entro el DM nH 4xiste ID/
1?
oH !antos e%!i(os en re se enc!entran conectaos+ (H 0istar !s!arios conectaos local y remotamente al sistema+
:5:59 Prepara"i#! para el a!4li'i'1 El e!ro!o de rabajo
4s im(ortante esta#lecer estaciones e tra#a$o (ara realizar las istintas (r!e#as y est!ios al s!r)ir !n caso, e(enieno el ata%!e o crimen cometio+ .ara ello se e#eráB -
lasificar el ti(o e inciente
-
/e)!ir el (roceso inter:e(artamental (ara el mane$o e las eviencias
-
Ientificar el ti(o e is(ositivo com(!taor, cel!lar, memorias, .DAKs, etc+H y las 'erramientas necesarias (ara s! análisis+
1?
ID/B las f!nciones %!e c!m(le el ID/ sonB Monitorea las activiaes a nivel e !s!ario o (rocesos y activiaes e !n sistema @ID/H, o las activiaes e !na re NID/H, ifrao e atos, 'ace !n ia)nostico com(leto el ata%!e y en al)!nos casos (!ee ar recomenaciones e cómo controlar el ata%!e+ ;>
4n las estaciones se e#erá o(erar e la si)!iente maneraB -
Montar imá)enes e iscos !ros+
-
Instalar /istemas 9(erativos (ara realizar el est!io e eviencias+
-
"ealizar co(ias exactas el isco !ro con la finalia e realizar (r!e#as y verificaciones conforme s!r$an las 'i(ótesis el ata%!e+
-
4n caso e no is(oner e rec!rsos se (!ee !sar e softEare (ara crear !na (lataforma e tra#a$o con varias má%!inas virt!ales+ 1<
-
/e (!ee crear !n entorno e tra#a$o 'i(ottico con las co(ias o#tenias (ara realizar la em!lación e los ata%!es+
:5:56 Re"o!'r%""i#! de la 'e"%e!"ia e(poral del aaK%e
-na vez esta#lecia la estación e tra#a$o, el (rimer (aso es crear !na línea tem(oral e s!cesos o timeline, (ara ello se e#erá reco(ilar la si)!iente información so#re los fic'erosB -
Marcas e tiem(o MAD fec'a y 'ora e moificación, acceso, creación y #orraoH+
-
"!ta com(leta el fic'ero+
-
5ama2o en #ytes y ti(o e fic'ero+
-
-s!arios y )r!(os a %!ien (ertenece el fic'ero+
-
.ermisos e acceso+
-
Ientificar si f!e #orrao o no+
4sta información es la %!e más tiem(o lleva reco(ilar (ero es el (!nto e (artia (ara el análisis+ 4s im(ortante (re(arar !n '"rip con la finalia e a!tomatizar el (roceso e creación el timeline+ 0!e)o e realizar lo antes mencionao se e#eráB 1< Má%!inas virt!alesB varios e%!i(os ló)icos ine(enientes f!ncionano so#re !n e%!i(o físico+ 4l softEare %!e se (!ee em(lear (ara la creación e (lataforma es VMEare+
-
9renar los arc'ivos (or s!s fec'as MA, esto se e#e realizar e#io a %!e los arc'ivos tenrán la fec'a e instalación el sistema o(erativo, (or lo %!e !n sistema %!e se instaló 'ace meses y %!e f!e com(rometio recientemente (resentará en los fic'eros n!evas fec'as MA m!y istintas a las e los fic'eros más anti)!os+
-
!scar
fic'eros y irectorios %!e 'an sio creaos, moificaos o
#orraos recientemente+ -
!scar instalaciones e (ro)ramas (osteriores a la el sistema o(erativo y %!e aemás se enc!entren en r!tas (oco com!nes+
-
!scar en l!)ares one no se s!ele mirar, (or e$em(lo en los irectorios tem(orales+
-
!scar los arc'ivos e sistema moificaos tras la instalación el sistema o(erativo, averi)!ar arc'ivos oc!ltos one se enc!entran y %!e ti(o son+
-
!scar arc'ivos #orraos, ya %!e (!een ser restos e lo)s y re)istros #orraos (or s!s atacantes+
-
4n las imá)enes realizaas a los iscos !ros se (!ee acceer al es(acio resi!al %!e 'ay etrás e caa arc'ivo ya %!e los mismos s!elen almacenarse (or #lo%!es, e tal manera %!e se (!ea leer zonas %!e el sistema o(erativo no ve+
-
"ec!(erar arc'ivos #orraos, al momento e 'acerlo, se e#erá intentar rec!(erar s! contenio y fec'a e #orrao+
-
4xaminar y las 'oras e manera más etallaa e los fic'eros lo)s y re)istros %!e ya se revisaron con la finalia e encontrar !na correlación entre eventos+
-
"evisar el arc'ivo e contrase2as, #!scar la creación e !s!arios y c!entas extra2as relacionar la 'ora e la creación e estas c!entas en caso e %!e existan con la 'ora en la %!e se inició el ata%!e al sistema+
:5:5: Deer(i!a"i#! de "#(o 'e reali2# el aaK%e
-na vez %!e se is(on)a e la caena e acontecimientos %!e se 'an (ro!cio, se e#erá eterminar c!ál f!e la vía e entraa al sistema, averi)!ano %! =1
v!lnera#ilia o fallo e aministración ca!só el a)!$ero e se)!ria y %!e 'erramientas !tilizó el atacante (ara a(rovec'arse e tal #rec'a+ .ara ello se e#eráB
-
om#inar cons!ltas a arc'ivos lo)s, re)istro, claves c!entas e !s!arios etc+
-
.restar atención a los servicios y (rocesos a#iertos, (!ertos a#iertos 5.-D.
y conexiones %!e ya se tomaron como eviencia volátil
c!ano el sistema esta#a a*n vivo+ -
4xaminar las circ!nstancias sos(ec'osas encontraas al inicio el ata%!e, y #!scar con ellas si son o no v!lnera#iliaes a travs e Internet, e$em(loB EEE+)oo)le +com, EEE+ cert +com, EEE+sec!rityfoc!s+com+
-
/i ya esta claro c!al f!e la v!lnera#ilia el sistema, se e#erá #!scar en Internet al)*n ex(loit v!lnera#ilia+
1C
anterior a la fec'a el ata%!e, %!e !tilice esa
-
"eforzar caa !na e las 'i(ótesis meiante la fórm!la ca!sa:efecto+
-
-tilizar la má%!ina cone$illo e IniasO con la finalia e realizar las (r!e#as y ex(loits encontraos+
-
om(ro#ar si la e$ec!ción el ex(loit so#re !na má%!ina i)!al a la atacaa, )enera los mismos eventos %!e se 'an encontrao entre las eviencias+
:5:5; Ide!i?i"a"i#! del a%or o a%ore' del i!"ide!e
-na vez %!e se eterminó como se infiltraron al sistema, a'ora se tiene %!e sa#er %!in o %!ienes lo 'icieron, (ara ello se e#erá cons!ltar n!evamente al)!nas eviencias volátiles %!e f!eron reco(ilaas en la (rimera faseB 1C 4x(loitB es !n (ro)rama informático malicioso, o (arte el (ro)rama, %!e trata e forzar al)!na eficiencia o v!lnera#ilia e otro (ro)rama llamaas #!)sH+ -n [ex(loit[ es !sao normalmente (ara ex(lotar !na v!lnera#ilia en !n sistema y acceer a l, lo %!e es llamao como [rootear[ tener (rivile)ios e root aministraorH+ /e (!een encontrar ex(loits en EE E+( aetstor mse c!r it y+or)
-
"evisar las conexiones %!e se encontra#an a#iertas, %!e (!ertos y %!e irecciones I. las solicitaron, a más e ello se e#erá #!scar entre las entraas a los lo)s e conexiones+
-
Ina)ar entre los arc'ivos #orraos %!e se 'an rec!(erao+
.ara Ientificar a los atacantes se e#e realizar al)!nas averi)!aciones como (arte el (roceso e ientificaciónB -
Averi)!ar la irección I. el atacante, (ara ello
se e#erá revisar
eteniamente los re)istros e conexiones e re, los (rocesos y servicios %!e se encontra#an a la esc!c'a+ 4sta información se (oría encontrar en fra)mentos e las eviencias volátiles, la memoria virt!al o arc'ivos tem(orales y #orraos, como restos e e:mail, conexiones fallias, etc+
-
Al a%!irir la irección I. sos(ec'osa, se e#erá com(ro#ar en el re)istro "I.4 N EEE+ r i( e+n et H a %!ien (ertenece, es im(ortante consierar %!e no se (!ee sacar concl!siones (remat!ras, e#io a %!e m!c'os atacantes falsifican la irección I. con tcnicas e s(oofin)
1>
+ 0os
atacantes tam#in (!een !tilizar orenaores zom#is, stos son com(rometios en (rimera instancia (or el atacante y (osteriormente son !tilizaos como instr!mentos el ata%!e final sin %!e s!s (ro(ietarios se(an %!e están sieno cóm(lices e tal 'ec'o+ .or ello, (ara ientificar a s! atacante tenrá %!e verificar y valiar la irección I. o#tenia+ -
/e (!ee em(lear tcnicas 'acer (ara ientificar al atacante ya %!e el e%!i(o el mismo e#e tener inevita#lemente !n (!erto %!e se enc!entre es(erano noticias o #!scano víctimas+ Nma( ca(ít!lo =H
-
Averi)!ar el (erfil el atacante, se (!ee encontrar con los si)!ientes ti(osB
1> /(oofin)B !so e tcnicas e s!(lantación e ientia )eneralmente con !sos maliciosos o e investi)ación+
=8
o
@acersB (ersonas con conocimientos en tcnicas e (ro)ramación, rees, Internet y sistemas o(erativos, s!s ata%!es son en sentio ieoló)ico y (acifista+
o
/cri(tRiiesB son (ersonas n!evas
%!e 'an saltao a la
escena e la elinc!encia informática recientemente+ /e trata e $óvenes %!e con !nos conocimientos ace(ta#les en Internet y (ro)ramación em(lean 'erramientas ya fa#ricaas (or otros (ara realizar ata%!es y ver %!e (asaO+
o
.rofesionalesB son (ersonas con m!c'ísimos conocimientos en len)!a$es e (ro)ramación, rees y s! e%!i(amiento ro!ters, fireEall, etc+H, Internet y sistemas o(erativos ti(o -NIT+
:5:5< Eval%a"i#! del i(pa"o "a%'ado al 'i'e(a
4l análisis forense ofrece la (osi#ilia e investi)ar %! es lo %!e 'an 'ec'o los atacantes !na vez %!e acceieron al sistema+ 4sto (ermitirá eval!ar el ata%!e cometio a los e%!i(os y realizar !na estimación el im(acto ca!sao+ Generalmente se (!een ar os ti(os e ata%!esB
9 AaK%e' pa'ivo'1 en los %!e no se altera la información ni la o(eración normal e los sistemas, limitánose el atacante solo a fis)onear+
6 AaK%e' a"ivo' B en los %!e se altera la información, y en ocasiones seriamente, la ca(acia e o(eración el sistema+
/e e#erá tener en c!enta los efectos y el im(acto %!e ca!se el ata%!e a sistemas, serviores e ases e Datos, serviores P4, cortaf!e)os, ro!ter con la finalia e ser !n a(orte, (resentano los a2os encontraos, al (ersonal e se)!ria
informática e la instit!ción atacaa o en *ltimo e los casos a la com(a2ía e se)!ros e la misma+
:5;
Pre'e!a"i#! de Evide!"ia Di&ial
67
4sta es la fase final e la investi)ación forense informática ya %!e se (resentan los res!ltaos y 'allaz)os el investi)aor+ 5an (ronto como el inciente 'aya sio etectao es im(ortante tomar nota so#re las activiaes %!e se llevan a ca#o, caa (aso ao e#e ser oc!mentao y fec'ao ese %!e se esc!#re el inciente 'asta finalizar
la (resentación, la misma e#e ser enteni#le, creí#le, confia#le y
convincente, es ecir se e#erá es(ecificar claramente los (roceimientos y las tcnicas !tilizaas (ara recolectar, (reservar y filtrar la eviencia e tal manera %!e sea le)almente ace(ta#le (ara ser (resentaas a las entiaes investi)aoras y $!iciales+
:5;59 Uili2a"i#! de ?or(%lario' de re&i'ro del i!"ide!e
0a a(licación e form!larios ay!ará a (resentar !na resol!ción el inciente meiante la (resentación e informes !no 5cnico y otro 4$ec!tivo+ 4stos form!larios e#en ser llenaos (or e(artamentos o entiaes afectaas o (or el e%!i(o %!e )estiona el inciente, los form!larios %!e se e#en (re(arar sonB o
Doc!mento e c!stoia e la eviencia+
o
Form!lario e ientificación e e%!i(os y com(onentes+
o
Form!lario e inciencias+
o
Form!lario e (!#licación el inciente+
o
o
7
Form!lario e reco)ia e eviencias+ Form!lario e iscos !ros+
0L.4 D40GAD9 Mi)!el, Análisis Forense Di)ital+ 9(+ it+ ( 7 AMA3A, "icaro 0eón, Informática ForenseB Generaliaes, as(ectos tcnicos y 'erramientas+
:5;56 I!?or(e T@"!i"o
4ste informe consiste en !na ex(osición etallaa el análisis efect!ao+ De#erá escri#ir en (rof!nia la metoolo)ía, tcnicas y 'allaz)os el e%!i(o forense+ De#erá contener, al menos, los si)!ientes (!ntosB
-
Anteceentes el inciente+
-
"ecolección e los atos+
-
Descri(ción e la eviencia+
-
4ntorno el análisis+
-
Descri(ción e las 'erramientas+
Análisis e la eviencia+
Información el sistema analizao+ •
aracterísticas el /9+
A(licaciones+
•
/ervicios+
•
V!lnera#iliaes+
•
Metoolo)ía+
•
-
Descri(ción e los 'allaz)os+
•
@!ellas e la intr!sión+
•
@erramientas !saas (or el atacante+
•
Alcance %!e 'a tenio el elito+
•
4l ori)en el ata%!e
-
ronolo)ía el elito+
-
oncl!siones+
-
"ecomenaciones es(ecíficas+
-
"eferencias+
:5;5: I!?or(e Eje"%ivo
4ste informe es !n res!men el análisis efect!ao a las eviencias i)itales, el mismo e#eráB -
/er reactao en !n len)!a$e com*n %!e sea le)i#le (ara c!al%!ier (ersona+
-
No ser escrito e manera tcnica+
-
4x(oner los 'ec'os más estaca#les e lo oc!rrio en el sistema analizao+
-
onstará e (ocas (á)inas, entre tres y cinco,
-
De#erá ser e inters (ara ex(oner lo s!ceio a (ersonal no es(ecializao en sistemas informáticos, como el e(artamento e "ec!rsos @!manos, Aministración, e incl!so al)!nos irectivos+
4n el mismo se e#e escri#irB -
Motivos e la intr!sión+
-
Desarrollo e la intr!sión+
-
"es!ltaos el análisis+
-
"ecomenaciones+
=<
CAPÍTULO ;
METODOLOGÍAS + ESTRATEGIAS EN .ASE A LA INFORM-TICA FORENSE
0as metoolo)ías %!e se !sen en la Informática Forense (!een ser iversas e ine(enientemente e las (lataformas o sistema o(eracional one se efect*en las activiaes e los investi)aores forenses en informática se e#e c!m(lir los si)!ientes re%!isitos con la información o eviencia ientificaa+ .ara las co(ias e la información se e#e !tilizar meios forenses estriles Mantener la inte)ria el meio ori)inal 4ti%!etar, controlar y transmitir aec!aamente las co(ias e los atos, im(resiones y res!ltao e la investi)ación+
De esta forma la eviencia no será re#atia y tam(oco escartaa como meio (ro#atorio+
;59
A!4li'i' de Sopore' > Di'po'iivo' Ele"r#!i"o'
0os so(ortes e almacenamiento, como los iscos, almacenamientos removi#les is%!etes, iscos I., D:"9M, DVD, etc+H+
.ara s! análisis se re%!iere !na
com(rensión com(leta tanto e la estr!ct!ra física y el f!ncionamiento e los meios e almacenamiento como la forma y la estr!ct!ra ló)ica e cómo se almacenan los atos+
0os is(ositivos electrónicos se refieren a c!al%!ier is(ositivo ca(az e )!arar información %!e (osea valor como eviencia+ Dentro e stos se (!ee incl!ir a los
telfonos cel!lares, a)enas y or)anizaores electrónicos, is(ositivos e com!nicaciones e re como ro!ters, '!#s, etc+ 4l análisis e estos is(ositivos es más com(le$o %!e rec!(erar los atos e los so(ortes, incl!sive el
'arEare
re%!erio es )eneralmente más es(ecializao+
.or tanto (or el am(lio alcance e la informática forense, están invol!craas varias ciencias y isci(linas como in)eniería electrónica, cri(to)rafía, in)eniería e softEare, com!nicaciones, erec'o, son áreas %!e en con$!nto 'acen (osi#le el análisis e los so(ortes e almacenamiento y is(ositivos electrónicos+
;56
A!4li'i' de la "o(%!i"a"i#! de dao'
.ara realizar el análisis e la com!nicación e atos, es im(ortante a#arcar os as(ectosB 1+ Intr!sión en !na re e com(!taoras o el mal !so e la misma+ 7+ Interce(tación e atos+ 4l análisis so#re estr!ct!ras e esta nat!raleza, consiste en las f!nciones si)!ientesB Detección e la intr!sión o interce(tación+ Detectar la eviencia, ca(t!rarla y (reservarla+ "econstr!ir e la activia es(ecífica o el 'ec'o en sí+ .ara la etección e la intr!sión o interce(tación )eneralmente se !tiliza softEare es(ecializao y en al)!nos casos 'arEare, (ara s!(ervisar la com!nicación e los atos y conexiones con el (ro(ósito e ientificar y aislar !n com(ortamiento ile)al+ Dic'o com(ortamiento incl!ye el acceso no a!torizao, moificación el sistema en forma remota y el monitoreo no a!torizao e (a%!etes e atos+
Des(!s el esc!#rimiento e la intr!sión o !n com(ortamiento anormal, se e#e ca(t!rar la eviencia, (ara %!e se (!ea conservar (ara el (osterior análisis+
0a reconstr!cción e la intr!sión o !n com(ortamiento anormal (ermite !n examen e toos los atos reco)ios !rante la ca(t!ra e la eviencia+
;5:
Meodolo&$a' > E'rae&ia'
.ara realizar !n análisis forense se re%!iere e !na metoolo)ía científica (ro#aa, y el !so e la tecnolo)ía is(oni#le (ara encontrar, recolectar, (rocesar e inter(retar atos, así como e !na c!iaosa ca!tela y e #!enos conocimientos+
0os com(onentes (rinci(ales %!e e#e c!m(lir !na metoolo)ía (ara !n análisis forense esB
Mar"o Cie!$?i"o1 Investi)aciones y ex(eriencias a(oyaas estrictamente en el mtoo científico+ Más allá e la fl!iez ar)!mentativa (ro(ia e caa (rofesional se e#e a(ortar estr!ct!ra ló)icas necesarias (ara $!stificar las f!namentaciones e manera estricta e irre#ati#le+
Mar"o Cri(i!al$'i"oB Interrelacionarse con los restantes es(ecialistas el área, interact!ar con los mismos, tra#a$ar en forma mancom!naa y en #ase a visiones es(ecíficas lle)ar a concl!siones co'erentes+ 9#tener los conocimientos necesarios (ara etectar, oc!mentar, (reservar y e ser necesario sec!estrar los elementos (ro#atorios (ro(ios e otras es(ecialiaes (resentes en el l!)ar el 'ec'o+
Mar"o I!?or(4i"o &e!eral1 las metoolo)ías e Análisis e /istemas, %!e se !tiliza en 'erramientas e !so )eneral se (!een aa(tar a las activiaes (ericiales informáticas+ 0as eta(as e relevamiento e información y esarrollo e !n moelo co'erente e análisis, se eviencian como instr!mentos aec!aos (ara #rinar so(orte metooló)ico a la activia el ex(erto en informática Forense+
Mar"o I!?or(4i"o e'pe"$?i"o1 en relación con las 'erramientas (ro(ias el análisis forense informático, e#en ser a#oraas ese las características más aec!aas %!e vayan con la realia e n!estra sociea, ya sean am#ientes e softEare li#re o softEare (ro(ietario+
Mar"o Le&al1 Im(lica la inserción le)al el accionar (ericial al conc!rrir al l!)ar el 'ec'o, los c!m(limientos e los (lazos le)ales, la conición e testi)o ex(erto, los artíc!los e las leyes vi)entes en n!estro (aís+
Al c!m(lir con los com(onentes metooló)icos nom#raos el Informe .ericial seráB •
ientíficamente f!namentao
•
riminalísticamente interrelacionao
•
Moelao meiante tcnicas (ro(ias el Análisis e /istemas+
•
Investi)ao con las me$ores 'erramientas is(oni#les+
•
Inserto en el marco le)al corres(oniente+
Meodolo&$a Si'@(i"a 0a investi)ación es !na serie activiaes tenientes a resolver !n (ro#lema es(ecífico y acotao, la metoolo)ía sistmica es !na e las más a(ro(iaas y act!alizaas (ara enfrentar ic'a tarea+
0os mtoos clásicos e in!cción, e!cción y a#!cción, toos ellos re!nios en el mtoo científico, constit!yen 'erramientas inevita#les y #ásicas en !na investi)ación, (ero la (lanificación )eneral es sistmica+
0os as(ectos a consierar entro e las metoolo)ías e la Informática forense sonB
•
Ase)!rar %!e nin)!na (ersona ten)a acceso a la com(!taora y a s!s alreeores+ /i es !na em(resa se e#e ientificar al (ersonal informático interno y a los !s!arios e a(licaciones es(ecíficas %!e e#en someterse a (erita$e+
•
/i la com(!taora se enc!entra encenia, foto)rafiar la (antalla+
•
/i la com(!taora se enc!entra a(a)aa, no encener ya %!e (!een activarse sistemas %!e estr!irán la información+
•
Des'a#ilitar la ener)ía ese s! f!ente o cerrar el sistema !sano los comanos el /istema 9(erativo, si son note#oos será necesario %!itarle la #atería+ 4l (erito informático eterminará la moalia e a(a)ao y esconexión elctrica+
•
Desconectar o es'a#ilitar el móem
•
Desconectar la f!ente e la im(resora
•
Insertar !n isette, c o v c!#ierto con cinta e eviencia
•
Antes e em(ezar con el (rocesamiento e la eviencia se e#e foto)rafiar !na toma com(leta el l!)ar one se enc!entran los e%!i(os, a las conexiones e toos los e%!i(os y l!e)o ia)ramarlas+ 4n al)!nos casos si es conveniente se (!ee realizar !na filmación+
•
"ot!lar toas la conexiones e los e%!i(os (ara (oer resta!rar la confi)!ración ori)inal
•
Foto)rafiar el área es(!s e %!e el )a#inete 'a sio removio
•
Investi)ar el área en #!sca e información relacionaa o e contrase2as+
•
/ec!estrar li#ros, notas, man!ales, softEare, iscos, sistemas e almacenamiento y too lo relacionao al sistema& y realizar !n inventario e lo sec!estrao+
•
.ara tocar el material informático se lo e#e 'acer con )!antes escarta#les ya %!e el o#$eto e la investi)ación (!ee ser el mo!se, teclao, Ds, DVDs, etc+ y (!ee servir (ara el análisis e '!ellas actilares, ADN, etc+
•
olocar los iscos en so#res e material %!e no con!zca la estática
•
Interro)ar a toos los sos(ec'osos
•
5rans(ortar la eviencia, no colocar elementos cerca e f!entes electroma)nticas raios (olicialesH
•
5raslaar la com(!taora a !n l!)ar se)!ro
•
"ealizar co(ias e se)!ria e los canales e #its, iscos rí)ios, etc+
•
0a eviencia es frá)il y (!ee ser alteraa o estr!ia fácilmente (or lo tanto la rec!(eración forense se e#e realizar en las co(ias y e esta manera se (orá (reservar la eviencia& solamente si es %!e existieran circ!nstancias extremas se (orá tocar la eviencia ori)inal+
A!tentificar matemáticamente la información e los /istemas e
•
Almacenamiento •
Antes e acceer a las (r!e#as se e#en re)istrar, es ecir realizar el 'as' el so(orte acceio+
•
!ano las ili)encias son realizaas en momentos %!e no son visi#les (ara com(ro#ar al)!nas circ!nstancias como antenas externas, conexiones con otros eificios, etc+, es recomena#le o(erar en 'oras %!e (receen al amanecer+
•
4l (erito informático e#e esc!c'ar !rante la o(eración, a las (ersonas %!e 'ayan lle)ao en (rimer trmino, ya %!e (orán ar testimonio e cómo se encontraron los cam#ios s!frios+
0a #ase e la metoolo)ía e tra#a$o e !n informático forense es el ver más allá e lo visi#le+
0a investi)ación no e#e limitarse solo en el l!)ar ese óne se accee a la información o one se enc!entra almacenaa la misma& e#e extenerse a too s! contorno y l!)ares ayacentes+
M@odo E'piral1 -na manera e 'acer la ins(ección es meiante la forma %!e se enomina es(iral, ese af!era 'acia aentro+ /i el 'ec'o está en el interior e !n l!)ar entonces la ins(ección se e#e ar ese las (arees 'asta lle)ar al sitio (rinci(al+
M@odo C%adr$"%la1 !ano el sitio es m!y )rane se lo fracciona en c!aríc!las, (osteriormente se revisa las c!aríc!las con el mtoo es(iral+ 0as fracciones serán iviias en #ase a las istancias %!e se enc!entran los elementos, así como tam#in las imensiones el l!)ar& las c!ales e#en ser calc!laas con exactit! no a sim(le vista o meiante (asosH+ 0a -nia e Análisis Forense e la .olicía Nacional, al em(lear ste mtoo e#e iviir las ins(ecciones e los l!)ares anexos al (ersonal e la -nia, al momento e encontrar al)*n inicio, no se e#e tocar, com!nicar el esc!#rimiento y se s!$etarán a la acción a tomar (or ecisión el Jefe e la -nia+ No se e#e s!#estimar !na o(inión y tam(oco !n ato (or s! a(arente o#viea+ 4n la investi)ación e los 'ec'os elictivos too lo %!e se enc!entra el l!)ar el s!ceso sirve, naa e#e escartarse como in*til
;5:59 Se"%e'ro' de EK%ipo'
.ara !n análisis forense e#emos contar con res!ltaos (revisi#les e máxima y mínima, %!e nos ase)!ren contar con la (r!e#a necesaria+ /e e#e (roceer a accionar !na a(roximación, acceso, (rotección y sec!estro e los e%!i(os o atos (retenios+ 4l sec!estro e e%!i(os tiene carácter (rocesal y sirve (ara %!e el J!ez ase)!re las (r!e#as y se e veracia en los res!ltaos el $!icio+
.ara el sec!estro e e%!i(os se e#e ientificar caa !no e los is(ositivos com(!tacionales, siem(re es (referi#le sec!estrar is(ositivos informáticos %!e almacenan )ranes vol*menes com(!taoras, note#oos, iscos rí)ios externosH tam#in (!ee sec!estrarse DVD, Ds, iscos i(,etc+ y entornos e re+
/e e#e rot!lar el 'arEare %!e se va a sec!estrarB •
.ara com(!taoras, note#oos, (almto(s, cel!lares, etc+B
o
o
o
o
•
N*mero el 4x(eiente J!icial Fec'a y @ora N*mero e serie Fa#ricante moelo
.ara DVDs, Ds, Disettes, iscos i(, etc+B
o
Almacenarlos en con$!nto en !n so#re antiestático
o
N\ el 4x(eiente J!icial
o
o
5i(o DVDs, Ds, Disettes, iscos i(, etc+H antia+
!ano se necesite sec!estrar (erifricos es(ecíficos conectaos a los e%!i(os informáticos se e#e ientificar con eti%!etas con n*meros los ca#les (ara mostrar óne se e#en conectar y tam#in e#en ser foto)rafiaos los e%!i(os con s!s res(ectivos ca#les e conexión eti%!etaos+
.ara %!e !na investi)ación sea efectiva es esencial sa#er concretamente %!e se va a inca!tar (ara (roceer a em#alar y trans(ortar correctamente los meios com(!tacionales, la información e los e%!i(os e#e ser levantaa e la manera más ca!telosa, (osterior a esto se a (aso a la caena e c!stoia, la c!al tiene
como o#$etivo )arantizar la inte)ria e los atos en los meios e almacenamiento ori)inales !rante toa la investi)ación y e esta manera ase)!rar la amisi#ilia e las (r!e#as+ D!rante el (roceso e ca(t!ra, se realizará la co(ia exacta #it a #it, ese ese momento se tra#a$ará *nicamente so#re la ima)en forense+
/e e#e consierar la c!stoia, ya %!e m!c'as veces existen inivi!os %!e o(eran e%!i(os %!e 'an sio sec!estraos, estr!yeno así la eviencia y si no son correctamente vi)ilaos serán fácilmente com(rometios+
; 5:56
Di'"o' D%ro'
Generalmente la escena el crimen es el isco !ro, (or lo %!e 'ay %!e evitar c!al%!ier sit!ación %!e (!ea alterarlo y se (ieran (istas im(ortantes e la intr!sión, es necesario tomar notas e lo %!e se 'ace con el isco !ro y a %! 'ora, 4ste análisis no sólo #!sca arc'ivos incriminatorios, sino tam#in otra información valiosa como (assEors, lo)ins y rastros e activia en Internet, etc+
4n el momento %!e se tra#a$a con el meio ori)inal se tenrá %!e estar acom(a2ao el ele)ao a constatar los efectos le)ales+
0as co(ias e#en ser realizaas #it a #it imá)enes el iscoH+ 0a investi)ación se 'ará so#re la co(ia y no so#re el ori)inal+ 4s recomena#le 'acer tres co(ias el isco !ro ori)inal y 'acer !na verificación cri(to)ráfica, !n c'ecs!m+ 5am#in realizar !m(s e memoria y almacenarlos al i)!al %!e los iscos+
Fi)!ra ;+1 o(ia e Disco D!ro
3a so#re la co(ia, es necesario !tilizar tcnicas e #*s%!ea (ara ientificar activiaes el intr!so, como el !so e arc'ivos es(ecíficos, (ala#ras claves, arc'ivos creaos, moificaos o #orraos, *ltimos accesos, confi)!raciones sistema y e !s!ariosH, revisar #itácoras, analizar li)as existentes e acceso irecto a a(licaciones, arc'ivos o is(ositivos, etc+
/e (!ee #asar en los cooies y en los arc'ivos tem(orales e Internet (ara intentar eterminar s!s 'á#itos e nave)ación+
.ara (oer e!cir las a(licaciones instalaas o !tilizaas se e#e analizar los arc'ivos tem(orales %!e se )eneraron+
A travs el s(ool e im(resión el sistema se (!ee eterminar si el atacante im(rimió arc'ivos+ 0os arc'ivos )eneraos PinoEsH (ara im(resión tienen la extensión /.0 o /@D+ Al #!scar estos arc'ivos es (osi#le o#tener información como el nom#re el arc'ivo im(reso, el (ro(ietario, la im(resora !tilizaa y los atos im(resos+
4l #!scar arc'ivos #orraos, #!scar #itácoras y arc'ivos sos(ec'osos meiante 'erramientas e softEare y tcnicas es(eciales (oemos rescatar atos %!e nos (!een )!iar en la investi)ación+ ?<
;5:5:
Si'e(a' Operaivo'
4xisten iversas metoolo)ías y !na )ran cantia e 'erramientas %!e (!een ser e$ec!taas #a$o la los iferentes sistemas o(erativos (ara (oer realizar !na investi)ación correcta, contano %!e se e#e analizar la variea e formatos e arc'ivos, los c!ales (!een variar si)nificativamente a*n entro el contexto e !n sistema o(erativo+
.ara cons!ltar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallas e instalación, accesos no a!torizaos, conexiones erróneas o fallias, etc+, e(ene e la (lataforma (ara la !#icación e estos arc'ivos+
Mi"ro'o? i!do'1 .ro(orciona !n entorno one se (!ee verificar si las a(licaciones son se)!ras+
0os (asos a se)!ir son los si)!ientesB :
Men*B @erramientas aministrativas
:
Visor e s!cesos
:
4l e servicios o
:
Directiva e se)!ria social
5am#in en el re)istro e PinoEs se enc!entra )ran cantia e información, se (!ee !tilizar la a(licación el sistema re)eit+exe o las si)!ientes 'erramientasB :
"e), %!e (ermite cons!ltar al re)istro sin moificarlo
:
"e)m(, ex(orta el re)istro en formato e texto (lano +txtH
De#io a la )ran cantia e información %!e almacena y se mezcla, se e#e ser c!iaoso y es recomena#le em(ezar (or #!scar en las claves el re)istro "!n, "!n9nce, "!n9nce4x, "!n/ervices, "!n/ervices9nce, Pinlo)on, ya %!e #a$o ?C
estas claves se enc!entran los (ro)ramas, servicios y a(licaciones %!e se car)an al inicio el sistema, y es one se (!ee ver al)o sos(ec'oso+
;5:5:59 File 'la" 0os arc'ivos son creaos en varios tama2os e(enieno e lo %!e conten)an+ 0os cl*sters son #lo%!es e tama2o fi$o one los sistemas D9/, PinoEs >=>CM4T.VI/5A y PinoEs N5 almacenan los arc'ivos, no es com*n %!e el tama2o e los arc'ivos coincia totalmente con el tama2o e !no o varios cl!sters+ 4l tama2o e los cl*sters varía (or s! lon)it!, esto e(ene el sistema o(erativo+ 4n PinoEs >=>CM4T. e(ene el tama2o e la (artición ló)ica invol!craa+
/e enomina file:slac al es(acio e almacenamiento e atos %!e se a ese el final el arc'ivo 'asta el final el cl*ster+ 0os cl!sters están com(!estos (or #lo%!es e sectores y si no 'ay s!ficientes atos en el arc'ivo (ara c!#rir el *ltimo sector el arc'ivo D9/PinoEs iferencia 'acia arri#a los atos com(letano el es(acio restante con atos %!e se enc!entran en ese momento en la memoria el sistema+ .or lo tanto !n tama2o más )rane en los cl!sters si)nifican más file slac y tam#in mayor (ria e es(acio e almacenamiento y esta e#ilia e la se)!ria el com(!taor crea !na venta$a (ara el investi)aor forense, (or%!e el file slac es !na f!ente si)nificativa e (istas y eviencia ya %!e contiene octetos e atos aleatoriamente seleccionaos e la memoria el com(!taor+
;5:5:56 Ar"Hivo Sap 0os sistemas o(erativos PinoEs !tilizan !n arc'ivo es(ecial nom#rao /Ea( e PinoEs o Directorios e .á)ina e PinoEs en el sistema o(erativo PinoEs N5+ 4l tama2o e estos arc'ivos se extiene ese 7M a 7M, el o#$etivo e estos arc'ivos es contener arc'ivos so#rantes el tratamiento e los (rocesaores e texto, los mensa$es electrónicos, la activia en Internet cooies, etcH, lo)s e entraas a
#ases e atos, etc+ 4s !n (ro#lema e se)!ria ya %!e se a !n almacenamiento trans(arente, (ero estos (ro(orcionan a la investi)ación forense )ranes (istas+
;5:5:5: U!allo"aed File Spa"e .ara el #orrao e arc'ivos solamente si se 'a !tilizao al)!na 'erramienta es(ecializaa se (orá ar efectivamente caso contrario c!ano los arc'ivos son #orraos o s!(rimios en D9/, PinoEs, el contenio e los arc'ivos no son #orraos veraeramente ya %!e estos (ermanecen en !n área llamaa es(acio e almacenamiento no:asi)nao -nallocate File /(aceH+ .or lo tanto a!n%!e los atos no sean visi#les si)!en existieno y (!een ser revelaos con 'erramientas forenses+
UNILi!%31 /e is(one e !na serie e arc'ivos e re)istro lo)sH, )eneralmente en el irectorio varlo), en la si)!iente ta#la se escri#e a los arc'ivos más im(ortantesB
Ar"Hivo' de Re&i'ro
De'"rip"i#!
varlo)messa)es
ontiene los mensa$es )enerales el sistema
varlo)sec!re
G!ara los sistemas e a!tenticación y se)!ria
varlo)Emt(
G!ara el 'istorial e inicio y cierres e sesión (asaas
varr!n!tm(
G!ara !na lista inámica e %!in 'a iniciao la sesión
varlo)#tm(
G!ara c!al%!ier inicio e sesión fallio o erróneo
5a#la ;+1 Arc'ivos e "e)istro en -nix0in!x
<
a$o el irectorio var se enc!entran los (ro(ios arc'ivos e re)istro e los (ro)ramas y a(licaciones+ /e enc!entran en moo texto y se (orá #!scar inicios el ata%!e meiante !n eitor o visor e texto+
A contin!ación se (resenta !n fra)mento e !n arc'ivo varlo)messa)es en !na má%!ina acometia+
Fi)!ra ;+1 Fra)mento e !n Arc'ivo e "e)istro
4n la entraa c!arta y %!inta el arc'ivo se (!ee notar !na moificación ya %!e se ve !n salto en la sec!encia e fec'as, tiene os entraas con fec'a el 77 e enero tras os entraas con fec'a el 78 e enero+
A!n%!e estos etalles no son eterminantes, si (!een ser inicios %!e ini%!en %!e los sistemas esta#an sieno ca!sa e !n trasteo+
0os arc'ivos e claves, !s!arios y )r!(os tam#in (!een ay!ar (ara la #*s%!ea e eviencias, se (!een encontrar en etc (assE, etc s'aoE+ Aemás e estos arc'ivos e re)istro, tam#in (!een contener inicios los arc'ivos e claves, !s!arios y )r!(os, los c!ales se (!een encontrar en el irectorioB etc(assE, etcs'aoE,etc)ro!(+
Al eitar el arc'ivo root +#as']'istory se (!ee o#tener los comanos e$ec!taos (or el !s!ario root+
;5:5;
.a'e' de Dao'
.ara iniciar el análisis forense en !na ases e Datos, (rimero es necesarios conocer el iccionario e atos e la misma, ya %!e este (osee ta#las con información im(ortante e la ase e Datos tal comoB •
Información el estao y creación e la ase e Datos+
•
Información e !s!arios creaos y roles asi)naos+
•
Información e !s!arios %!e acceen a la ase e Datos y a s!s o#$etos ta#las, ínices, (roceimientosH
4s m!y im(ortante %!e el informático forense (osea conocimientos #ásicos en la e$ec!ción e cons!ltas /0, y los nom#res más im(ortantes e los atri#!tos e caa ta#la %!e forma (arte el iccionario e atos+
4l tra#a$o e la Informática forense (ara encontrar al)*n ti(o e eviencia en !na ase e Datos se tiene %!e ar tanto en la ca(a física como ló)ica+ De#io a %!e en la ca(a física se enc!entran arc'ivos e la D %!e resien en isco y en la ca(a ló)ica se enc!entran las estr!ct!ras %!e ma(ean los atos 'acia esos com(onentes físicos+
0os (rimeros arc'ivos %!e se e#en verificar y est!iar s! estao es(!s el ata%!e en la ca(a física e la ase e Datos sonB •
0os (rimeros arc'ivos %!e se e#en revisar son los control files, ya %!e estos arc'ivos contienen información e la !#icación e los atafiles y reo lo)
•
4n la a(a física se enc!entran los atafiles, estos almacenan toa la información almacenaa en la D, (or ello es(!s e com(ro#ar el estao e los control files se e#erá analizar en la D el estao e los atafiles, ya %!e m!c'os o#$etos ta#las, ínicesH (!een com(artir varios atafiles, y la eviencia (!ee encontrases entre esas ta#las+
•
4n caso e %!e el atacante realizo al)*n ti(o e a2o en la D, se (!ee ac!ir al !so e los arc'ivos reo lo) es'acerH los mismos almacenan información %!e se !tiliza (ara la rec!(eración e la D en caso e falla, estos arc'ivos almacenan la 'istoria e cam#io e la D y son *tiles c!ano se re%!iere corro#orar si los cam#ios %!e la D ya 'a confirmao, se 'an efect!ao realmente en los atafiles+
.osterior a verificar los estaos e los arc'ivos en la ca(a física se (rocee 'a la ca(a ló)ica, en ella se enc!entra el es%!ema e la ase e Datos, el c!al consiste e o#$etos como ta#las, cl!sters, ínices, vistas, (roceimientos, sec!encias, entre otros, con ello se (!ee com(ro#arB •
0as ta#las existentes, si se #orro o moifico al)!na ta#la y %!e !s!raos tienen acceso a ellas, e tal manera %!e si !n !s!ario %!e solo tiene acceso al e(artamento financiero y este (!ee in)resar a información el e(artamento e a!itoría, entonces ya existe !na anomalía+
;5:5<
Tel@?o!o' (#vile' > arjea'
!ano se o#tiene como eviencia !n telfono móvil, #lac#erry o .DA, es im(ortante evitar com!nicaciones salientes o entrantes el is(ositivo (ara evitar la moificación el estao en el %!e se enc!entra y tam#in evitar el tráfico entrante %!e (!iera so#rescri#ir re)istros 'istóricos o mensa$es existentes+
4xisten os o(ciones al momento e inca!tar !n is(ositivo e este ti(oB •
Mantenerlo encenio (ero aislao e la re+
•
A(a)ar el is(ositivo+
0a (rimera o(ción e mantenerlo encenio y con !na #olsa aislante se consi)!e %!e el is(ositivo e$e e estar conectao a la re+ .ero estos is(ositivos al no encontrar (ortaora (ara com!nicaciones, a!mentan s! (otencia e emisión y la frec!encia con la %!e intenta #!scar re, (or lo tanto la via e la #atería se acorta+ 4n cam#io la se)!na o(ción tenemos !n (ro#lema aicional ya %!e la mayoría e las veces estos is(ositivos están (rote)ios meiante contrase2as o cói)os .IN+ 3 nos tocaría investi)ar contrase2as o irr!m(irlas+
/e (!ee o(tar (or varias salias, ya %!e existen casos %!e en %!e !tilizar f!entes e alimentación (ortátil al ser almacenaas con el is(ositivo en la #olsa aislante res!lta efectivo (ara re!cir el cons!mo e la #atería+
.ara la (ericia e la telefonía móvil se tiene la información %!e contiene el móvil en s! memoria interna y en s! /IM, y la %!e a(orta la o(eraora e telefonía móvil+ /i la tar$eta /IM está #lo%!eaa meiante vía $!icial se (!ee solicitar el n*mero .-NR a la o(eraora, tam#in se (!ee solicitar las llamaas entrantes, salientes, mensa$es cortos y #!zón e voz, too en e(enencia el tiem(o %!e caa o(eraora lo almacene en s!s #ases e atos+
-na ay!a (ara sta área serían los ma(as e localización el móvil !rante s! !so en relación al (osi#le 'ec'o elictivo+
/e (!ee tener el caso e móviles en mal estao, los c!ales e#en someterse a !n (roceso e re(aración y ensam#la$e e com(onentes (ara (onerlo en f!ncionamiento y meiante softEare es(ecializao o#tener los atos almacenaos en la memoria interna+ .ara la investi)ación forense es m!y im(ortante el análisis el telfono móvil ya %!e se 'a convertio en !n a(arato tan !sao como las com(!taoras, ya %!e act!almente m!c'os e estos cel!lares ya tienen las f!nciones (rinci(ales e !n com(!taor+
0os telfonos móviles, las a)enas electrónicas, etc+, )!aran y (rocesan cantiaes si)nificativas e atos+
4l examinar estos is(ositivos m!c'as veces con!ce a
investi)aciones relacionaas con la ro)a ya %!e )eneralmente los narcotraficantes sos(ec'osos se 'an acost!m#rao a !sar estos is(ositivos (ara )!arar los nom#res el contacto y n*meros e clientes+
0as a)enas electrónicas (ermiten el
almacenamiento e cantiaes )ranes e atos %!e (!een (rote)erse (or meio e !na contrase2a+
0as tar$etas inteli)entes, no sólo tienen la ca(acia (ara )!arar cantiaes im(ortantes e atos, sino tam#in (ara (rocesar y ase)!rar atos en !n solo c'i(, esto a)re)a com(licaciones al (roceso el examen forense, (ero así como la tecnolo)ía e la tar$eta inteli)ente es sofisticaa, tam#in lo son los (rocesos forenses (ara analizar y extraer los atos+
;5:5B
A!4li'i' de 'i'e(a' vivo'
/i se enc!entra el e%!i(o vivo y se (!ee mantenerlo !n (oco más, se a inicio en se)!ia a la reco(ilación e eviencias G!ía e Informática Forense (ara la .olicía NacionalH+
/e e#e esta#lecer el si)!iente oren e volatilia y s! reco(ilación, e esta manera se ará (rioria en !n sistema vivo+ •
"e)istros y contenios e la cac'
•
ontenios e la memoria
•
4stao e las conexiones e re, ta#las e r!tas
•
4stao e los (rocesos en e$ec!ción+
•
ontenio el sistema e arc'ivos y e los iscos !ros+
•
ontenio e otros is(ositivos e almacenamiento+ 4s im(ortante rec!(erar atos el sistema en tiem(o realB :Fec'a y 'ora :.rocesos activos+ :onexiones e re+ :.!ertos 5.-D. a#iertos y a(licaciones asociaas a la esc!c'aO+ :-s!arios conectaos remota y localmente+
0a información volátil es e vital im(ortancia (or lo tanto no se e#e almacenar en el e%!i(o com(rometio (ara s!(!estamente rec!(erarla más tare (ara s! análisis, esta se (!ee (erer ense)!ia+
Al momento %!e se o#tiene la información volátil se e#e reco(ilar la información contenia en los iscos !ros+
;+; GUÍA INFORM-TICA FORENSE APLICADA PARA LA POLICÍA NACIONAL
0a Informática Forense es !na cien cia relativamente n !eva y no existen estánares ace(taos, a!n%!e al)!nos (royectos están en esarrollo, como el ;.DF ói)o e .rácticas (ara Di)ital ForensicsH, Man!al e ói)o A#ierto (ara om(!tación Forense, las G!ías e 4stánares, @a#iliaes y @erramientas e la I94 International 9r)anization of om(!ter 4vienceH y el tratamiento e la 4viencia Di)ital etallao en el "F 877<, %!e f!e emitia (or la Internet /ociety y la I45F+
0as metoolo)ías !saas (or (arte e los .eritos Informáticos Forenses e(enen e la estrate)ia el .rofesional, e lo %!e está (ermitio 'acer 'asta los límites %!e im(one la 0ey e caa .aís y e los meios %!e tiene (ara realizar la investi)ación forense+ .ara se)!ir !na correcta metoolo)ía se recomiena se)!ir los lineamientos e la I94 y el "F 877<+
Prop%e'a de %!a G%$a de .%e!a' Pr4"i"a e! I!?or(4i"a Fore!'e Para la Poli"$a Na"io!al del E"%ador
0a )!ía %!e se etalla a contin!ación está #asaa en metoolo)ía científica y orientaa es(ecíficamente a la .olicía Nacional el 4c!aor se)*n los elitos informáticos y las leyes vi)entes en la onstit!ción e la "e(*#lica el 4c!aor+
4l o#$etivo es se)!ir !n oren aec!ao (ara intervenir ante !n elito y análisis el mismo en #ase al ti(o e eviencia i)ital encontraa+
0a )!ía tiene el si)!iente contenioB
• • • •
•
.re(aración (ara ac!ir al inciente Inicio el Análisis forense, efinición e escenario y ti(o e eviencia .roceso e ientificación y f!ente e la informaciónB escenarios, acciones+ .resentación e las metoolo)ías y tcnicas !saas al esc!#rir !na eviencia, form!larios, informes+ Anexos )losario, foto)rafías y ia)ramasH
0a metoolo)ía (ara ar inicio a la Investi)ación Forense se #asa en !na metoolo)ía sistmicaB Ins(ección 9c!lar riminalísticaO+
Fi)!ra ;+7 Metoolo)ía .ericial Informática Forense
95 ReK%i'ioria Peri"ial
0a re%!isitoria (ericial (roviene el Fiscal el Ministerio .*#lico, la .olicía J!icial esi)na !n a)ente (ara el caso %!ien informa al Jefe e la .olicía J!icial y (osteriormente se (resenta al A)ente Fiscal las (r!e#as re!nias (ara %!e el J!ez ictamine la etención al inivi!o invol!crao en el caso+
65 E!revi'a a"laraoria
.ara la o#tención e !na (r!e#a i)ital, el (rinci(al (!nto e acción es en el momento e la ins(ección oc!lar en el inciente, sin em#ar)o (ara alcanzar los res!ltaos (retenios es necesario realizar !na (lanificación (revia aec!aa+
0a entrevista (ermite o#tener información %!e (osi#ilita analizar los sistemas informáticos invol!craos, com(onentes físicos invol!craos, normas e se)!ria, crono)ramas e activiaes, istri#!ción física el (ersonal, or)ani)rama e la em(resa, etc+, %!e facilita la (lanificación e las acciones necesarias (ara acceer al l!)ar, recolectar la (r!e#a, (rote)erla y traslaarla al l!)ar e análisis+ ^ No se puede generar acciones que prevengan a los involucrados]
:5 I!'pe""i#! O"%lar
Pa'o 95 -
Doc!mentar meiante acta, cro%!is y foto)rafías too lo %!e se enc!entra en el l!)ar el 'ec'o+
[odo sirve, nada de!e descartarse, aun cuando se crea que no tiene relación con el "ec"o ocurrido]. [odo es importante# rastros, "uellas, manc"as, pisadas, colillas de cigarrillos, impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados, por e$emplo equipos a!iertos o cerrados, %a$as de seguridad rotas, ca!les sueltos, equipos de cone&ión o distri!ución a!iertos o cerrados, elementos pró&imos al 'rea de tra!a$o, al parecer desconectados o sin relación con los equipos, equipos de captura de video, de comunicaciones, de impresión, de almacenamiento, de alimentación el(ctrica, etc.]. [No pasar, no tocar, no mover, no encender, no a!rir, no pisar y no importunar a los dem's peritos, o!servar cr)ticamente y documentar].
Pa'o 65 -
"ealizar !n relevamiento (revio+ "e)istrar la 'ora exacta en %!e se reci#e la com!nicación solicitano la (resencia e la .olicía la 'ora en %!e se lle)a al l!)ar el 'ec'o %!in o %!ines ya se encontra#an en el mismo testi)os %!e se 'allaren, (ersonas %!e acom(a2an o iri)en las activiaes, sistemas e se)!ria fran%!eaos (ara lle)ar al l!)ar, sistemas e se)!ria activos en el momento e arri#ar+
[Nada de!e de$arse li!rado al azar] [No podemos !asarnos en la memoria propia ni a$ena] [odo de!e contarse, medirse, anotarse, registrarse, %otogra%iarse, en los medios disponi!les *anotador de papel o electrónico+,los papeles sueltos no sirven se deterioran o se pierden] [ 4l tra#a$o e#e efect!arse sin (risa, (ero sin (a!sa ] [No se puede ignorar las actividades del resto de colegas pro%esionales de la criminal)stica]
SITUACIONES POSI.LES Si%a"i#! 91 /e esarrolla e manera confiencial+ /e 'an iniciao las act!aciones y l!e)o se 'a eciio intervenir, etectar y sec!estrar la (r!e#a+
Pro"eder a area' de Releva(ie!o I!?or(4i"o5 Si%a"i#! 61 /e esarrolla en l!)ar %!e se esconoce y el (erito no 'a tenio tiem(o (ara realizar !na (lanificación aec!aa+
Pro"eder a area' 'i! Previa Pla!i?i"a"i#! Si%a"i#! :1 /e esarrolla en el l!)ar y no se tiene a!torizao a retirar elementos el mismo, es ecir e#e tra#a$ar en el l!)ar+
Pro"eder a area' e! el Propio L%&ar TAREAS DE RELEVAMIENTO INFORM-TICO I5 5omar contacto con las (ersonas %!e intervienen (enales, civiles, comerciales, la#orales, aministrativos, etcH, extraer toa la información is(oni#le en los mismos+
II5 5omar contacto con toas las (ersonas no invol!craas como sos(ec'osas en la investi)ación, %!e (!ean a(ortar atos so#re el l!)ar, las (lataformas instalaas, los sistemas o(erativos en !so, los mecanismos e (rotección instalaos, la estr!ct!ra e se)!ria informática el l!)ar física y ló)icaH+
III5 5ratar e acceer a !n (lano el l!)ar a ser ins(eccionao no sólo e la 'a#itación en c!estión, sino e too el eificio invol!craoH+ o
.lanos e istri#!ción e re
o
.lanos e istri#!ción elctrica [e podr' plani%icar por anticipado la ruta de acceso m's segura y r'pida al lugar a ser inspeccionado, realizando las acciones necesarias para la protección de la prue!a e impidiendo las acciones maliciosas so!re la misma_+
IV5 .lanificar el momento e acceer al l!)ar [-ecomenda!le "oras de la madrugada *entre tres y cinco de la mañana+, generalmente los recursos "umanos, se enc uentran menos activos a estas "oras].
V5 5omar (revisiones, evita (rias y estr!cciones e información innecesarias+ 4s conveniente contar con !n (lan alternativo, si (or !n acaso el (rinci(al falla [na puerta que no se a!re, un acceso que "a sido eliminado o modi%icado, la remodelación de una o%icina, sala de servidores, cone&ión, etc.]
VI5 /e e#e contar con res!ltaos (revisi#les e máxima y mínima, %!e ase)!ren contar con la (r!e#a necesaria+ [i se detectan di%icultades reales, para alcanzar el o!$etivo de m)nima, es necesario %ormular otro plan de apro&imación, acceso, protección y secuestro de los datos pretendidos].
VII5
/i no se tiene acceso (osi#le al l!)ar, se (!ee rec!rrir a las tcnicas e in)eniería social+
VIII5 5oas las meias e#en ser informaas y a!torizaas (or el $!ez o fiscal interventor+
I5 Al ac!ir al l!)ar se e#e 'acer con los elementos necesarios (ara realizar toas las tareas %!e conlleva la investi)ación forense+
5 -tilizar el it e 'erramientas forense ^a(+ =+ (!ntos =+7+1_ I5 /e e#e e%!i(ar con los si)!ientes elementosB o
0internas o (royectores y (ilas o #aterías s!ficientes il!minación accesoriaH
o
ámara i)ital con zoom, (ara (oer realizar am(liaciones macrofoto)ráficas e los elementos %!e se necesite oc!mentar+
o
-n )ra#aor e #olsillo con micrófono isim!la#le cor#ateroH
o
-na #r*$!la (ermite orientar los cro%!isH
o
-na cinta mtrica entre = y 1 metrosH
o
-na (lomaa (ermite meir istancias e !n o#$eto elevao 'asta el (iso (or !na sola (ersonaH
o
-n c!aerno c!aric!lao, (ara los cro%!isH
o
/o#res e (a(el e iversos tama2os
o
/o#res (lásticos e istintos tama2os con cierre incor(oraoH
o
"ót!los a!toa'esivos
o
-na l!(a e tama2o cómoo (ara !tilizar en es(acios re!cios
o
-n imán extensi#le (ara retirar elementos metálicos el interior e los e%!i(osH
o
-n es(e$o (e%!e2o
o
Marcaores al a)!a (ara estacar elementos o marcas
o
Gasa y cinta a'esiva, (ara realizar (e%!e2os envoltorios
o
Varios (ares e )!antes e cir!)ía, tra#a$ar siem(re con ellos
TAREAS SIN PREVIA PLANIFICACI/N I5 A(rovec'ar el via$e 'acia el l!)ar (ara relevar toa la información (osi#le antes e efect!ar el in)reso+
II5 "ealizar !n relevamiento lo más (rof!no en c!anto a tiem(o se ten)a is(oni#le+
III5 .re)!ntar so#re la nat!raleza e las acciones (retenias y a!torizaas (or el $!ez o fiscal interventor+ ^ /l encuadre legal del perito in%orm'tico es imprescindi!le_
IV5 Al ac!ir al l!)ar se e#e 'acer con los elementos necesarios (ara realizar las tareas
V5 4l (erito e#e act!ar en el l!)ar realizano co(ias e la información, no (!ee retirar los elementos (or%!e tienen %!e estar en caena e c!stoia y con a!torización se (!een retirar+
TAREAS EN EL PROPIO LUGAR I5 Al ser !n caso com(licao se re%!iere e 'a#ilia, ca(acia (rofesional, inteli)encia (ráctica y a(tit! investi)ativa
II5 /on los casos más raros C8
III5 /e e#e ser metic!loso, tomar too el tiem(o (osi#le IV5 Analizar las (r!e#as a (rof!nia V5 4l am#iente (!ee ser montao (ara en)a2ar al (erito+ VI5 9#tener !na co(ia e la (r!e#a analizaa VII5
9(inar c!ano se est com(letamente se)!ro
VIII5 4stos casos, se an )eneralmente en am#ientes %!e contienen información altamente sensi#le (ara !n eterminao or)anismos, instit!ción o em(resa+ ^"e)istros e #ases e atos e or)anismos )!#ernamentales, militares, e f!erzas e se)!ria, e estr!ct!ras reli)iosas o (olíticas, etc_+
DETECCI/N* IDENTIFICACI/N* RECOLECCI/N + TRASLADO O REMISI/N DE PRUE.AS PREPARACI/N PARA LOS INCIDENTES I!"a%a"i#! de eK%ipo' Al momento e (res!mir %!e (!ean existir elementos one es (osi#le o#tener al)*n ti(o e eviencia i)ital en !n is(ositivo electrónico, en la escena one se cometió el elito se e#erá solicitar la a!torización $!icial corres(oniente (ara inca!tar ic'os elementos y (ara acceer al contenio almacenao y )eneraos (or ic'os a(aratos+ `` "e%!isitorio .ericialH
Antes e ac!ir al allanamiento e inca!tación e e%!i(os informáticos o electrónicos se e#erá tomar en c!enta lo si)!ienteB
De(enieno el caso y e las sit!aciones analizaas en la (arte anterior, entrar sin (revio aviso, !tilizano se)!ria y evitano estr!ir o alterar los e%!i(os+
Materiales caena e c!stoiaH o
4m#ala$es e (a(el
o
/o#res e (a(el
o
/o#res e Manila
o
a$as e cartón
o
olsas es(eciales antiestáticas (ara almacenar is(ositivos e almacenamiento informático %!e sean electroma)nticos
o
o
o
4ti%!etas Discos y isettes vacíos ámara foto)ráfica
4vitar el !sos e #olsas (lásticas
0os o#$etos e#erán ser tomaos con )!antes ya %!e se (oría alterar la eviencia i)ital o las '!ellas actilares %!e se enc!entren en los mismos+
/i el elemento o com(onente encontrao en la escena el crimen no está encenio, $elo como esta e tal manera %!e se (!ea evitar el inicio e c!al%!ier ti(o e (ro)rama e a!to(rotección+ 4n caso e %!e este encenio no se e#e a(a)ar inmeiatamente, esto evitara la (ria e información volátil si existe !n mo!se, se e#e moverlo (ara evitar %!e la (antalla se cierre o #lo%!ee, (ara ello se e#erá !sar )!antes+
De(enieno el caso, se e#erá realizar los allanamientos e forma sim!ltánea, ya %!e los atos (!een estar en más e !na l!)ar en caso e sistemas e re o conexiones remotas+
I!i"ial(e!e preparar'e para a"%dir al i!"ide!e1
C=
Asi)nar !n (rofesional forense o (erito informático ^aracterísticas .erito Forense a(+= : =+8+1_ %!e enca#ece el mismo+ 0lenar los form!larios asi)naos en caa (aso el esarrollo el (roceso forense+ 4sta#lecer los res(onsa#les o el e%!i(o %!e mani(!larán las eviencias e(enieno el caso, el o los mismos e#erán (oseer los roles mencionaos ^a(+= : =+8+1 First "es(one_, a mas e llenar el ^Form!lario "e)istro el 4%!i(o Desi)nao en la aena e !stoia Q A(nice A_+ Asi)nar !n acom(a2ante !rante el levantamiento e las eviencias, el mismo act!ano como testi)o al tomar c!al%!ier acción en la escena+ Determinar %!ien o %!ienes trans(ortarán la eviencia ^Form!lario 4viencia General 0ao : A(nice A_+ 4l e%!i(o asi)nao en la investi)ación e#e (re(ararse (ara interact!ar con las eviencias !sano )!antes escarta#les ya %!e c!al%!ier o#$eto en la escena el crimen (!ee contener '!ellas actilares+ Al trans(ortar la eviencia no se e#e colocar los elementos cerca e f!entes electroma)nticas+ !ano las ili)encias son realizaas en momentos %!e no son visi#les, (ara com(ro#ar al)!nas circ!nstancias como antenas externas, conexiones con otros eificios, etc+ 4s recomena#le o(erar en 'oras %!e (receen al amanecer+ Ientificar el o los ti(o e elito informático cometios ante el caso %!e se (resente+
I!i"iar "o! el pro"e'o ?ore!'e1
Foto)rafiar los e%!i(os y s! entorno+ Dia)ramar o i#!$ar el entorno one se enc!entren las eviencias, si el caso lo amerita realizar !na filmación+ ^A(nice _ 4l (erito informático e#e esc!c'ar, !rante la o(eración a las (ersonas 'ayan lle)ao en (rimer trmino, e#io a %!e las mismas (orán ar testimonio e cómo se encontraron los cam#ios s!frios+ ^Form!lario e ontrol ante res(!estas al Inciente Q A(nice A_+ Interro)ar a toos los sos(ec'osos+ No alterar ni cam#iar (or nin)*n motivo la eviencia i)ital encontraa+ Mantener al elemento o com(onente encontrao en la escena el elito, se(arao e c!al%!ier ti(o e imán o cam(o ma)ntico+ "e)istrar el n*meros e com(onentes electrónicos o eviencia electrónica encontraos en la escena .DAKs, cel!lares, com(!taoresH+ ^Form!lario Inventario e /oftEare y om(onentes Q A(nice A_ ^Form!lario e "e)istros e eviencias e la com(!taora Q A(nice A_+ Definir en %! ti(o e escenario se enc!entra la eviencia en la escena el crimen, el mismo %!e se encar)arán los examinaores e eviencia i)ital o informática ^a(+= : =+8+1_+ [Form!lario e 4viencia General lao A Q A(nice A_ 4scenario 1 /istemas e com(!tación a#iertos om(!taorasYDisco D!ro, -/, /istema 9(erativoH+
4scenario 7 /istemas e com!nicación om(!taoras en reH+ ^Form!lario e "ecolección e Datos el Inciente Q A(nice A_
4scenario 8 Dis(ositivos varios cel!lares, .DAKs, DVD, D"9MH+ /i se eli)iese os ti(os e escenarios iferentes, se e#erá em(lear caa !na e las activiaes y re)istro e form!larios e forma se(araa+ Verificar el estao e la eviencia y nivel e la misma a car)o e los examinaores e eviencia i)italHB
o
o
/in a2os entonces se e#erá (rote)er a los e%!i(osH+ Da2os eval!ar con !n (orcenta$e, (ara (osterior análisisH+
"ecolectar los com(onentes electrónicos encontraos y toas las (iezas %!e se necesiten a car)o e los examinaores e eviencia i)italH+ o
o
características moelo, marca, tama2o, color, com(letoH+ n*mero e serie+
lasificar la 4viencia y ver %! ti(o e eviencia es constante o volátilH, a car)o e los examinaores e eviencia i)ital+
1H 4viencia Física /o(ortes e Almacenamiento -
.-,
-
Disettes,
-
D, DVD,
-
intas ma)nticas+
-
Discos D!ros+ ^Form!lario e ontrol e Análisis e Disco D!ros
-#icao en Q A(nice A _
Dis(ositivos 4lectrónicos
•
•
•
5elfonos cel!lares, A)enas, 9r)anizaores electrónicos+
Dis(ositivos e com!nicaciones e re -
"o!terKs,
-
/Eitc'Ks,
-
@!#Ks+
7H 4viencia 0ó)icaB
o
"e)istros )eneraos (or com(!taorB re)istros e eventos e se)!ria lo)sH+
o
"e)istros no )eneraos sino sim(lemente almacenaos (or o en com(!taores )eneraos (or !na (ersona, y almacenaos en el com(!taor+
o
"e)istros 'í#rios la !nión e los os anteriores+
Inventario el softEare instalao en el e%!i(o a car)o e los examinaores e eviencia i)italH+ o(ia e la (ieza o eviencia a (eritar encontraa en la escena el elito+ ^Form!lario el estao e la eviencia Q A(nice A_ -na vez realizaa la (rimera (arte e la )!ía se (rocee a efinir las acciones %!e se e#erán tomar e(enieno el ti(o e escenario+
A""io!e' 'e&! ipo de e'"e!ario
4stas acciones se e#en ser mane$aas (or los enominaos Investi)aores e Delitos Informáticos s! (erfil se menciona en ^a(+= : =+8+1_+
4scenario 1B /istemas e com(!tación a#iertos
Verificar el estao el sistema o e%!i(oB a(a)ao o encenio+ o
!scar eviencia volátil antes e a(a)ar el e%!i(o+
o
"ealizar co(ias #it:a:#it e iscos !ros y (articiones , safe#acH, la metoolo)ía (lanteaa (ara el mane$o e iscos !ros se e#erá se)!ir en el ^a(+ ; : ;+8+7_+
Definir el ti(o e (lataforma+ Ientificar el ti(o e información almacenaa en !n is(ositivo y el formato en %!e se )!ara+ No moificar los arc'ivos ni #orrarlos+ Inter(retar comanos en moo consola cm, #as'H+ 9#tener fec'a y 'ora el sistema ate, timeH+ 4n!merar (rocesos activos, a(licaciones %!e los lanzaron (s, (slistH+ onocer los (rocesos %!e se están e$ec!tano act!almente en el e%!i(o y c!ál e ellos cons!me más rec!rsos con !#icaciones (oco frec!entes en el sistema e arc'ivos+ !scar fic'eros oc!ltos o #orraos 'fin, !nrm, lazar!sH+
9renar los arc'ivos (or s!s fec'as, esto se e#e realizar e#io a %!e los arc'ivos tenrán la fec'a e instalación el sistema o(erativo+ !scar fic'eros y irectorios tem(oralesH %!e 'an sio creaos, moificaos o #orraos recientemente+ Determinar la r!ta com(leta el o los fic'eros, tama2o en #ytes+ Vis!alizar re)istros y lo)s el sistema re), !m(elH+ Vis!alizar la confi)!ración e se)!ria el sistema a!it(olH+ 4itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallos e instalación, accesos no a!torizaos, conexiones erróneas o fallias+ -tilizar 'erramientas %!e no moifi%!en el tiem(o e e$ec!ción e los arc'ivos+
4scenario 7B /istemas com!nicación
Verificar el estao el sistema o e%!i(o y atacanteB si el sistema contin!a conectao a la re se o#tiene mayor información (ero se corre el ries)o e %!e el atacante si)a en línea y (er$!i%!e en el (eor e los casos (or com(leto la eviencia i)ital+ .or ello en caso e %!e lo re%!iera, esconectar el móem+ Definir el ti(o e (lataforma+ Definir c!antos e%!i(os en re se enc!entran conectaos+ >1
4n!merar (!ertos 5. y -D. a#iertos y s!s a(licaciones asociaas, se e#e tomar en c!enta los (!ertos (or encima el 17; f(ort, lsoftH+ 0istar !s!arios conectaos local y remotamente al sistema+ 0istar los (ermisos e acceso e toos los !s!arios e la re+ 9#tener fec'a y 'ora el sistema ate, timeH+ 4n!merar (rocesos activos, rec!rsos %!e !tilizan, !s!arios o a(licaciones %!e los lanzaron (s, (slistH+ onocer (rocesos %!e manten)an conexiones e re en (!ertors 5. o -D. no 'a#it!ales+ 4n!merar las irecciones I. el sistema y ma(ear la asi)nación e irecciones físicas MA con ic'as I. i(confi), ar(, netstat, netH+ "ealizar !n ma(a ló)ico y físico e la re, e tal manera %!e se (!ea ientificar el l!)ar one se enc!entre caa e%!i(o con s! irección I.+ !scar fic'eros oc!ltos o #orraos 'fin, !nrm, lazar!sH+ Generar f!nciones 'as' e fic'eros sa'1s!m, m=s!mH+ Vis!alizar re)istros y lo)s el sistema re), !m(elH+ Vis!alizar la confi)!ración e se)!ria el sistema a!it(olH+ 0eer, co(iar y escri#ir a travs e la re netcat, cry(catH+
Analizar el tráfico e re tc(!m(, Ein!m(H+
"ealizar co(ias #it:a:#it e iscos !ros y (articiones , safe#acH+ 4itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallos e instalación, accesos no a!torizaos, conexiones erróneas o fallias+ Dentro e este escenario es e s!ma im(ortancia sa#er c!al es la f!ncionalia el e%!i(o atacao, ya %!e este (!ee ser !n servior y entro el mismo (!ee encontrarse !na ase e Datos, (ara la c!al se e#erán se)!ir las metoolo)ías (lanteaas en ^a(+ ; : ;+8+;_ y e esta manera o#tener mayor eviencia y claria !rante el (roceso forense+
4scenario 8 Dis(ositivos varios -na vez entro e este escenario se e#erá ientificar la eviencia electrónica, ya %!e esta (!ee ser, telfonos cel!lares, .DAKs, -/, D, DVD+ 4l res(onsa#le el De(artamento e 4st!io y A(oyo 5cnico el De(artamento e Delitos Informáticos e la .olicía Nacional, e#erá asi)nar !n es(ecialista enB o
4str!ct!ra física+
o
4str!ct!ra ló)ica+
De cómo se almacenan y f!ncionan estos meios, ya %!e s! análisis es más com(le$o y re%!iere e softEare es(ecializao+
Pre'e!ar la evide!"ia > re'%lado'
4n este (!nto los form!larios em(leaos anteriormente son e s!ma im(ortancia ya %!e los mismos (ermitirán (resentar las activiaes acti viaes realizaas en la caena e c!stoia y %!ienes f!eron res(onsa#les e ello+ .ara este (!nto el tra#a$o e caa miem#ro %!e forme (arte el e%!i(o en el (roceso e análisis forense informático
será reco(ilao con toos los (!ntos antes mencionaos y se concl!irá con la eviencia+
/e e#erá (resentar los si)!ientes form!lariosB Form!lario e control ante res(!estas a incientes+ testi)os en la escenaH Form!lario e "e)istro General+ Form!lario el 4%!i(o Desi)nao en la caena e c!stoia+ Form!lario e lista e control e análisis e isco+ Form!lario e recolección e incientes is(ositivos e reH Form!lario e Inventario e softEare y com(onentes+ Form!larios e re)istro e eviencia e la com(!taora+ Form!lario e estao e la eviencias, al mismo se le s!ma la forma en la %!e se co(ia caa (ieza o eviencia encontraa en la escena el elito, como se conserva la ori)inal y como se ase)!ran las (iezas+ Form Form!la !lari rioo e "es! "es!lta ltao oss e 4vi 4vien enci cia, a, se e#e e#erá rá a$! a$!nta ntarr los los (roceimientos, tcnicas !tilizaas (ara recolectar, la eviencia i)ital e(enieno e(enieno el o los ti(os e escenarios+
5oos los form!larios antes mencionaos se enc!entran en el A(nice A, (arte inferior e la )!íaH
A esto se s!ma los Informes 5cnico y 4$ec!tivo, (resentaos en ^a(+8 : 8+;+7 Informe 5cnico, 8+;+8 Informe 4$ec!tivo_+
.ara %!e !na )!ía (!ea ser llevaa e la me$or manera se re%!iere e so(orte a toos los invol!craos en el (roceso+
CAPÍTULO <
,ERRAMIENTAS + E=UIPOS PARA EL AN-LISIS FORENSE
<59 A!4li'i' 'obre la' Herra(ie!a' > eK%ipo' para la apli"a"i#! de la I!?or(4i"a Fore!'e para la Poli"$a Na"io!al
0a .olicía Nacional, act!almente se enc!entra mane$ano en (roceso e ace(tación el De(artamento e Delitos Informáticos en la ci!a e !ito, 'asta el momento las 'erramientas y la )!ía o (asos %!e se #e#en tomar en el acontecimiento e !n elito informático, no se enc!entran aec!aamente efinios, n!estra la#or es (ro(oner 'erramientas softEare li#reH y e%!i(os ó(timos %!e ay!en a la .olicía a realizar activiaes válias y certeras con la finalia e o#tener eviencias cont!nentes y ser (resentaas en la corte+ 0a investi)ación e caa !na e las 'erramientas %!e se (resentaran están #asaas en la si)!iente clasificación
71
orientaa a la informática forenseB
1H @erramientas (ara recolección e eviencias+ eviencias+ 7H @erramientas (ara el Monitoreo yo yo ontrol e om(!taores+ om(!taores+ 8H @erramientas e Marcao e oc!mentos+ ;H @erramientas e @arEare+
9 ,erra(ie!a' para re"ole""i#! de evide!"ia'1 4xisten !na )ran cantia e 'erramientas (ara rec!(erar eviencia+ 4l !so e 'erramientas sofisticaas se 'ace necesario e#io aB
71
0L.4 Lscar, INF9"MÁ5IA F9"4N/4B G4N4"A0IDAD4/, A/.459/ 5ZNI9/ 3 @4""AMI4N5A/ 5 >=
•
0a )ran cantia e atos %!e (!een estar almacenaos en !n com(!taor+
•
0a variea e formatos e arc'ivos, los c!ales (!een variar enormemente, a*n
•
entro el contexto e !n mismo sistema o(erativo+
•
0a necesia e reco(ilar la información e !na manera exacta, y %!e (ermita verificar %!e la co(ia es exacta+
•
0imitaciones e tiem(o (ara analizar toa la información+
•
Facilia (ara #orrar arc'ivos e com(!taores+
•
Mecanismos e encri(ción, o e contrase2as+
6 ,erra(ie!a' para el Mo!ioreo >o Co!rol de Co(p%adore' Al)!nas veces se necesita información so#re el !so e los com(!taores, (or lo tanto existen 'erramientas %!e monitorean el !so e las mismas, (ara (oer recolectar información+ 4xisten al)!nos (ro)ramas sim(les como ey lo))ers o recolectores e (!lsaciones el teclao, %!e )!aran información so#re las teclas %!e son (resionaas, 'asta otros %!e )!aran imá)enes e la (antalla %!e ve el !s!ario el com(!taor, o 'asta casos one la má%!ina es controlaa remotamente+
: ,erra(ie!a' de Mar"ado de do"%(e!o' -n as(ecto interesante es el e marcao e oc!mentos& en los casos e ro#o e información, es (osi#le, meiante el !so e 'erramientas, marcar softEare (ara (oer etectarlo fácilmente+ 0a se)!ria está centraa en la (revención e ata%!es+ Al)!nos sitios %!e mane$an información confiencial o sensitiva, tienen mecanismos (ara valiar el in)reso, (ero, e#io a %!e no existe naa como !n sitio 1 se)!ro, se e#e estar (re(arao (ara c!al%!ier ti(o e incientes+
; ,erra(ie!a' de ,ardare
De#io a %!e el (roceso e recolección e eviencia e#e ser (reciso y no e#e moificar la información se 'an ise2ao varias 'erramientas (ara ello+
<56 Co'o' de eK%ipo' > 'o?are para la apli"a"i#! de la I!?or(4i"a Fore!'e 0as 'erramientas %!e se (resentan serán eval!aas se)*n los si)!ientes factoresB •
/oftEare li#re+
•
"enimiento y esem(e2o+ .or meio e !na eval!ación Y alta, meia, #a$a+
ostos+
•
•
onfia#ilia ante la rec!(eración e eviencias+
.ara la (!esta en marc'a en el mane$o e eviencias i)itales el De(artamento e Delitos Informáticos e la .olicía Nacional, el forense o los forenses informáticos asi)naos a esta área, (!een a(oyarse en eterminaas 'erramientas %!e aemás e a!tomatizar tareas, tam#in le ay!aran a sec!enciar s!s (asos y a oc!mentar caa !no e ellos+ Así, se)*n la realia el De(artamento y las leyes vi)entes en el (aís en #ase a la )!ía %!e se 'a (lanteao (ara la .olicía Nacional, se (resenta meiante !n c!aro com(arativo y eval!ao, las 'erramientas %!e (oseen más c!aliaes %!e otras y son más recomena#les+
><
Informática Forense
,erra(ie!a
Co'o
Cara"er$'i"a'
Plaa?or(a e! la' K%e rabaja!
Eval%a"i#!
+: 4sta colección e (ro)ramas sirve (ara realizar !na ba!to(siab so#re sistemas -NIT es(!s e %!e 'an bm!ertob com(letamente+ +: 4l f!ncionamiento e este softEare se #asa (rinci(almente en la reco)ia e )ranes cantiaes e atos (ara (roceer a s! análisis (osterior+ Al)!nos e s!s com(onentes son la 'erramienta blarón e t!m#asb %!e ca(t!ra informaciónH, los (ro)ramas (ara etectar arc'ivos bm!ertosb o bvivosb, así como blázarob, %!e resta!ra arc'ivos #orraos, y otra 'erramienta %!e resta!ra claves cri(to)ráficas ese !n (roceso activo o ese al)*n arc'ivo+ +: ontiene varias 'erramientas im(ortantes (ara el análisis forense+ 5'e oronerKs 5oolit
0i#re
Free/D 7:;+, 9(en/D 7+, /D9/ A(licaciones im(ortantesB 7:8+, /!n9/ ;:=+ y : )rave:ro##er : -na !tilia (ara ca(t!rar información so#re i:noes, (ara ser (rocesaa (or 0in!x 7++ el (ro)rama mactime el mismo toolit+ /-N /olaris : !nrm y lazar!s : @erramientas (ara la rec!(eración e arc'ivos #orraos lo)s, "AM, sEa(, etc+H+ 4stas a(licaciones ientifican y rec!(eran la información oc!lta en los sectores el isco !ro+ : mactime : 4l (ro)rama (ara vis!alizar los fic'erosirectorios s! timestam( MA Moification, Access, y 'an)eH+ +:/e e$ec!taa c!ano la eviencia encontraa, (osee !n /istema 9(erativo 0in!xH Descar)asB 'tt(B EE E+ fis '+comtct, o ese ' tt (BEEE +(orc! (ine+or)forensics+
>C
"e@at 0in!x
Meia
+: 4s !na interfaz )rafica %!e tra#a$a en con$!nto con la 'erramienta t'e sle!t' it !tilizaa (ara el análisis forense+ +: Analiza iscos y sistema e arc'ivos N5F/, FA5, -F/17, 4xt78H+ +: M!estra el etalle e información so#re atos eliminaos y estr!ct!ras el sistema e fic'eros+ +: .ermite el acceso a estr!ct!ras e arc'ivos y irectorios e #a$o nivel y eliminaos 5'e /le!t' Rit y
0i#re
-nix0in!x, PinoEs
Alto
0in!x
a$o
+: Genera la línea tem(oral e activia e los arc'ivos timestam(H+ +:.ermite #!scar atos entro e las imá)enes (or (ala#ras clave,
A!to(sy
+:.ermite crear notas el investi)aor e incl!so )enera informes y m!c'as tareas+ +:4s !na colección e 'erramientas+ +: -tiliza interfaz )rafica %!e facilita nota#lemente el tra#a$o+ +:/e e$ec!taa c!ano la eviencia encontraa, (osee !n /istema 9(erativo PinoEs0in!xH Descar)asB ' tt (B EE E+s le !t ' it+ or )a !to( sy o En lo a +( ' ( +: "eco(ila información e fic'eros localizaos en !n sistema e fic'eros montao mo!nteH+ Mac:ro##er
0i#re
+: 0os atos o#tenios (!een ser !tilizaos (or la 'erramienta mactime, contenia en el /le!t' Rit, (ara ela#orar !na línea tem(oral e activia e los fic'eros+ +: 4stá #asao en )rave:ro##er contenio en 55H ex(licao anteriormente+ +: "e%!iere %!e el sistema e fic'eros est montao (or el sistema o(erativo, a iferencia e
+: Moificará los tiem(os e acceso a irectorios %!e están montaos con (ermisos e escrit!ra+ @erramientas %!e forman (arteB :.ascoB @erramienta (ara analizar la activia realizaa con el nave)aor Ee# Internet 4x(lorer e M/ + :GalletaB 4xamina el contenio el fic'ero e cooies e I4+ :"ifi!tiB 4xamina el contenio el fic'ero INF97 e la (a(elera e recicla$e e PinoEs+ Fo!nstone Forensic 5oolit
omercial
:VisionB 0ista toas los (!ertos 5. y -D. en esc!c'a a#iertosH y los ma(ea a las a(licaciones o (rocesos %!e se enc!entran etrás+
PinoEs
Alto
0in!x
a$o
:Forensic 5oolitB 4s !na s!ite e 'erramientas (ara el análisis e las (ro(ieaes e fic'eros 4xamina los fic'eros e !n isco en #!sca e activia no a!torizaa y los lista (or s! *ltima fec'a e acceso, (ermitieno realizar #*s%!eas en fran$as 'orarias, #*s%!ea e arc'ivos eliminaos, etc+ o(en so!rceH Descar)aB EE E+ fo! n sto ne +com
Foremost
G.0 (royecto a#ierto al (*#licoH
+: "ec!(era fic'eros #asánose en s!s ca#eceras+ +: .!ee tra#a$ar so#re arc'ivos e imá)enes, como los )eneraos con , /afe#ac, 4ncase, etc+ o irectamente so#re !n isco o (artición+ +: 0as ca#eceras (!een es(ecificarse a travs e s! arc'ivo e confi)!ración, (or lo %!e se (!ee es(ecificar #*s%!eas (ara formatos es(ecíficos+
+:@40IT está #asaa en RN9..IT+ +: 0ive D+ +: .osee !na variea e 'erramientas (ara realizar !n análisis forense tanto a e%!i(os como imá)enes e iscos+ +: .ara M/ PinoEs (osee !n con$!nto e 'erramientas e > M#, (ermitieno tra#a$ar con sistemas vivos, y rec!(erar información volátil+ +: 4n el entorno 0in!x, is(one e !n /istema 9(erativo com(leto, con !n n*cleo moificao (ara conse)!ir !na excelente etección e 'arEare+ +:No realiza el monta$e e (articiones sEa(, nin)!na otra o(eración so#re el isco !ro el e%!i(o so#re el %!e se arran%!e+ @elixFI"4
0i#re
+: 4s m!y #!eno (ara el análisis e e%!i(os m!ertos, sin %!e se moifi%!en las eviencias (!es montará los iscos %!e enc!entre en el sistema en moo sólo lect!ra+ +: ontiene más y n!evas versiones e /le!t'Rit y A!to(sy+ +: /! oc!mentación no es am(lia+ +: .ermite ele)ir entre !sar los ernels 7+;+7? o 7+?+=H+ +: 5iene !na excelente etección e 'arEare+ +: @40IT está (ensao es(ecíficamente (ara no realizar nin)*n ti(o e alteración so#re los sistemas en los %!e se !sa+ +: 5iene !na confi)!ración a!tor!n (ara PinoEs con 'erramientas (ara este /9+ Descar)aB ' tt ( B EE E +e : fe n s e+c om ' el ix
PinoEs, /olaris, 0in!x
Alto y recomena#le
+: 4s !na istri#!ción e !n *nico crom, (orta#le y #oota#le 0ive D+ .rovee 'erramientas aec!aas (ara !na act!ación rá(ia en casos e análisis forense+ +: "es(!esta ante incientes, rec!(eración e atos, ata%!e e vir!s+ +: ontiene )ran cantia e 'erramientas e análisis forense+ +: 4s !sa#le (ara análisis en caliente e sistemas, con lo %!e *nicamente montano el D se (!ee !sar+ +: @erramientas com(ilaas estáticamente sin necesia e realizar !n re#oot e la má%!ina+ +: .osee !na interfaz )rafica %!e 'ace fácil s! !so+ F+I+"+4 Forensic an Incient "es(onse 4nvironmentH
0i#re
+: No realiza nin)!na moificación so#re los e%!i(os en los %!e se e$ec!te, (or lo %!e (!ee ser !tilizao con se)!ria +: "ec!(era atos e (articiones a2aas+ +: F+I+"+4 (osee las si)!ientes 'erramientasB Ness!s, nma(, E'iser, '(in)7, '!nt, fra)ro!ter+ 4t'ereal, /nort, tc(!m(, etterca(, sniff, airsnort+ 'rootit, F:.ort 55, A!to(sy+ 5estis, fis, )(art+ //@ cliente y serviorH, VN cliente y serviorH Mozilla, ircII, mc, .erl, #ieE, fenris, ()(+ 5oos estos (ro)ramas serán comentaos #revemente, en el )losario+ • • • • • • •
Descar)aB ' tt (B fire + m zs+c om W se cti on Y ma in o ' tt (B#iatc'!x+mzs+com+
PinoEs, /olaris y FreeEare
Alto y recomena#le
+: 4s !na e las más conocias y a(reciaas istri#!ciones GN-0in!x +: 9c!(a el (!esto 87 en el famoso ránin) e Insec!re+or)+ +: /e (resenta como !n 0iveD no re%!iere e instalaciónH ac5rac
0i#re
+: .osee 8 'erramientas e too ti(o sniffers, ex(loits, a!itoría Eireless, análisis forense, etcH (erfectamente or)anizaas+
GN-0in!x
Alto y recomena#le
0in!x
a$o
PinoEs
a$o
+: 0a versión 7 recin (!#licaaH !tiliza !n ernel 7+?+7 con varios (arc'es e incl!ye so(orte (ara tar$etas inalám#ricas+ +: 0os (ro)ramas %!e trae este softEare ya vienen toos confi)!raos y listos (ara ser !saos, (or lo %!e no se e#e em(lear tiem(o en #!scarlos e instalarlos+ +: /im(lificar el (roceso e análisis e fic'eros e lo) en investi)aciones forenses+ F0AG Forensic an 0o) Analysis G-IH
0i#re (royecto a#ierto al (!#lico
+: 4stá #asao en Ee#, (or lo %!e (!ee instalarse en !n servior one se centralice toa la información e los análisis, e forma %!e (!ee ser cons!ltaa (or too el e%!i(o forense+ +: (yFla) es la im(lementación em(leaa act!almenteH en .yt'on+ 4s !na revisiónreescrit!ra com(leta e F0AG, más (otente, versátil y ro#!sta+ +: 4s !na a(licación on:line se)!ra y e fácil mane$o+ +: .ermite a los !s!arios rec!(erar los arc'ivos %!e 'ayan sio #orraos e !niaes e isco
4:"90
0i#re
!ro, !niaes I. y is%!etes, en toos los sistemas o(erativos e la familia Microsoft PinoEs+ +: "e)istra !na meia e más e 8= entraas iarias a s! (á)ina Ee#+
+: /oftEare e "ec!(eración e Datos se enc!entra is(oni#le (ara ser !tilizao en !na vasta )ama e sistemas o(erativos y arc'ivos e sistema+ +: "ec!(erar Arc'ivos .ro)rama e rec!(eración e arc'ivos an!laosB es ca(az e rec!(erar el cesto e PinoEs atos an!laos o (erios a ca!sa el formateo el isco !ro, e !na infección e vir!s, e !na re(entina caía el sistema o (or !n es(erfecto e softEare+ /tellar .'oenix
+: 4l softEare so(orta los arc'ivos e sistema FA5, N5F/
PinoEs >=, PinoEs >C, PinoEs M4, PinoEs N5, PinoEs
Meia
7, PinoEs 78
+: "re(arar y resta#lece arc'ivos i( y arc'ivo en formato Microsoft 9ffice arc'ivos e /erver e PinoEs T.+ Access, 4xcel, .oEer.oint y PorH corrom(ios o no accesi#les+ +: "e(ara Arc'ivos extrae las informaciones contenias en el y crea !n n!evo arc'ivo sin errores+ +: "ec!(era atos incl!so los #orraos+ +: Ientifica y so(orta varios sistemas arc'ivos+ Iloo
0i#re
+: Analiza f!nciones 'as+ +: asao en 0in!x+ +: "ec!(era toos los atos incl!io los e arc'ivos #orraos+ +: Asiste al investi)aor a #!scar etalles es(ecíficos+ +: "ec!(era atos corr!(tos en is%!etes, D, is(ositivos !s# o el (ro(io isco local+
0in!x, Pin7 PinT. /erver 78
Meia
+:"ec!(erar too ti(o e arc'ivos, como (or e$em(lo oc!mentos, imá)enes, a(licaciones, a co(y
etc+ 1omercial
+:-tiliza !n sistema inteli)ente e rec!(eración e atos y isco, (ara el contenio e fic'eros d=
Pin>=>CN5M47 T.
Meio
ori)inales& (!ee leer el contenio e arc'ivos corr!(tos y en la mayoría e los casos rec!(erarlos, en too o en (arte, en el irectorio %!e se es(ecifi%!e+ +: /oftEare líer en el mercao y e mayor !so en el cam(o e análisis forense+
1omercial
4ncase
/ector (rivao
d 7;>=
+: 0os formatos e arc'ivos con extensión +ca contenios en D (ara e%!i(os e m*sica no son #ien reconocios (or 4nase+ PinoEs
+: M!y !saa en 44-- (or el FI+ +: No es m!lti(lataforma+ +: 4ncase (osee !na variea e f!nciones %!e se re%!iere e otro oc!mento (ara ex(licar caa !na e ellas+ ' tt ( B )! i a nc e so ft E ar e +com
5a#la com(arativa =+7 @erramientas (ara la Informática Forense
Meio
Informática Forense
<5659 Tooli para el Depara(e!o de Delio' I!?or(4i"o' de la Poli"$a Na"io!al
De$ano a(arte el softEare comercial, en el %!e se (!ee encontrar 'erramientas es(ecíficas como 4nase e la em(resa G!iance /oftEare, consierao !n estánar en el análisis forense e sistemas (ero no inis(ensa#le, nos centramos en 'erramientas e cói)o a#ierto 9(en /o!rceH m!c'os e estos
(oseen !na
colección e 'erramientas en !n solo softEare toolitH %!e (!een ser escar)aas li#remente ese las (á)inas e s!s corres(onientes a!tores o miem#ros el (royecto y %!e c!m(len similar f!ncionalia a las 'erramientas %!e son comerciales+ A más e ello 0in!x es !n entorno ieal en el c!al realizar tareas e análisis forense (ermite (roveer e !na )ran variea e 'erramientas %!e facilitan toas las eta(as %!e se e#en llevar a ca#o en la realización e !n análisis ex'a!stivo e !n sistema com(rometio+
Meiante el c!aro anterior las 'erramientas %!e son claramente más recomena#les y !tilizaas& en el toolit (ara el De(artamento e Delitos Informáticos en la .olicía Nacional sonB •
TCT es !na 'erramienta e cói)o a#ierto, es ecir no re%!iere la o#tención e licencia tiene !na eval!ación meia+
•
Fore!'i" Tooli forma (arte e la or)anizacion Fo!nstone, la misma esta orientaa a (lataformas PinoEs+
•
THe Sle%H Qi > A%op'> es !na 'erramienta altamente recomena#le e#io las f!nciones %!e (osee, es )rat!ita y m!lti(lataforma+ 0as metoolo)ías %!e se e#e se)!ir al !sar esta 'erramienta se a$!nta en ^Anexo 4_+
•
9tra e las 'erramientas recomena#les (ero (osee !na limitante es .a"Tra" , ya %!e solo f!nciona en /istema 9(erativo 0in!x, (ero tiene !n alto renimiento+
1?
•
0a si)!iente 'erramienta es EROL se le consiera con !na eval!ación #a$a e#io a %!e carece e las f!nciones %!e (oseen las 'erramientas antes mencionaas,
(ero (!ee
ser e !tilia, al enfrentarse con entornos
PinoEs (ara tomar inicios el ata%!e+
-no e los elementos más im(ortantes %!e !n informático forense e#e em(lear al momento e reca!ar eviencia i)ital, son los conocios 0ive DKs o DVDKs, %!e son !na colección e 'erramientas, %!e (ermiten realizar !n examen forense e imá)enes sin tener %!e eicar !n e%!i(o es(ecífico (ara ello y sin necesia e car)ar otro sistema o(erativo+ 4ntre los más recomena#les ellos tenemosB •
@elix (osee !na eval!ación alta, contiene !n sin n*mero e 'erramientas, entre !na e ellas el A!to(sy, es m!lti(lataforma, y o(en so!rce+
•
F+I+"+4 Forensic an Incient "es(onse 4nvironmentH, este 0ive D, es altamente recomena#le+ /i @elix contiene 'a A!to(sy, F+I+"+4+ contiene a las 'erramientas 55 y A!to(sy a más e !n sin n*mero e 'erramientas, *tiles (ara la recolección e eviencias, es m!lti(lataforma y )rat!ito+
Cla'i?i"a"i#! ,erra(ie!a' para re"ole""i#! de evide!"ia' •
TCT 0in!xH+
•
Fore!'i" Tooli PinoEsH+
•
THe Sle%H Qi > A%op'> -nix0in!x, PinoEsH5
•
.a"Tra" 0in!xH+
•
EROL PinoEsH+
•
,eli3 PinoEs, /olaris, 0in!xH+
•
F5I5R5E PinoEs, /olaris y FreeEareH+
,erra(ie!a' para el Mo!ioreo >o Co!rol de Co(p%adore'5
,o!e>po 4s !n softEare o con$!nto e com(!taores c!ya intención es atraer a cracers o s(ammers, sim!lano ser sistemas v!lnera#les o #iles a los ata%!es, (ermite reco)er información so#re los atacantes y s!s tcnicas, los mismos (!een istraer a los atacantes e las má%!inas más im(ortantes el sistema, y avertir rá(iamente al aministraor el sistema e !n ata%!e, aemás e (ermitir !n examen en (rof!nia el atacante, !rante y es(!s el ata%!e al 'oney(ot+ Al)!nos 'oney(ots son (ro)ramas %!e se limitan a sim!lar sistemas o(erativos no existentes en la realia y se les conoce como 'oney(ots e #a$a interacción y son !saos f!namentalmente como meia e se)!ria+ 9tros sin em#ar)o tra#a$an so#re sistemas o(erativos reales y son ca(aces e re!nir m!c'a más información& s!s fines s!elen ser e investi)ación y se los conoce como 'oney(ots e alta interacción+ 5am#in se llama 'oney(ot a !n Ee#site o sala e c'at, %!e se 'a creao (ara esc!#rir a otro ti(o e !s!arios con intenciones criminales+
Qe>Lo&&er 4s !na 'erramienta %!e (!ee ser *til c!ano se %!iere com(ro#ar activia sos(ec'osa& )!ara los eventos )eneraos (or el teclao, es ecir, c!ano el !s!ario teclea la tecla e benterb, esto es )!arao en !n arc'ivo o es enviao (or e:mail+ 4xisten os versionesB la re)istraa y la e emostración+ 0a (rinci(al iferencia es %!e en la versión re)istraa se (ermite correr el (ro)rama en moo esconio+ 4sto si)nifica %!e el !s!ario e la má%!ina no notará %!e s!s acciones están sieno re)istraas+
<5656 E!or!o' de Trabajo Fore!'e 'obre "o(p%a"i#! vir%al para la P oli" $a N a"i o! al
-na e las (ro(!estas, %!e es s!mamente interesante y facti#le (ara la .olicía Nacional es im(lementar !na ar%!itect!ra conformaa (or serviores virt!ales %!e (roveen servicios informáticos al (ersonal esi)nao al la#oratorio el De(artamento e Delitos Informáticos e la .olicía Nacional+
0a la#or (ericial emana el !so e istintos /istemas 9(erativos PinoEs, 0in!x, /olaris, etc+H como (lataforma e e$ec!ción e a(licaciones forenses+ .ara ello se (!ee im(lementar
(!estos e tra#a$o con má%!inas virt!ales, facilitano a los
investi)aores la !tilización e !n mayor n*mero e rec!rsos e softEare en forma sim!ltánea+
0a vir%ali2a"i#! se refiere a !na ca(a e a#stracción %!e se(ara el 'arEare el sistema o(erativo, o(timizano y flexi#ilizano e esta manera la !tilización e los rec!rsos com(!tacionales+ .ermite %!e m*lti(les má%!inas virt!ales con sistemas o(erativos 'etero)neos (!ean f!ncionar sim!ltáneamente en la misma com(!taora+ aa má%!ina virt!al tiene asi)nao !n con$!nto (ro(io e rec!rsos e 'arEare so#re el %!e (!een f!ncionar iferentes a(licaciones+ 0a vir%ali2a"i#! #rina la (osi#ilia e me$orar la infraestr!ct!ra informática en c!anto a escala#ilia, se)!ria y !na variea e moaliaes en la aministración e serviores+
0os #eneficios e la virt!alización (!een ser a(reciaos so#re tres as(ectos e alto im(acto (ara la aministración e sistemasB •
.articionamiento (ermite %!e m*lti(les a(licaciones y sistemas o(erativos (!ean com(artir el mismo 'arEareH+
•
Aislamiento e com(onentes si !na má%!ina virt!al falla esta sit!ación no afecta al f!ncionamiento e las restantesH+
•
4nca(s!lación(ermite %!e !na má%!ina virt!al (!ea almacenarse en !n sim(le arc'ivo facilitano el #ac!( e la misma, la co(ia, o el traslaoH+
Vir%ali2a"io! e! el Depara(e!o de Delio' I!?or(4i"o' 4n los (!estos e tra#a$o el la#oratorio (ericial informático se analiza la eviencia i)ital !tilizano a(licaciones forenses tales como 4nase, A!to(sy, etc+ 0as 'erramientas mencionaas no son m!lti(lataforma+ 4nase o(eran #a$o PinoEs y A!to(sy #a$o 0in!x, im(iieno !tilizarlas al mismo tiem(o en !n mismo e%!i(o+ Meiante la a(licación e virt!alización se (!een crear má%!inas virt!ales con iferentes sistemas o(erativos y e esta manera lo)rar %!e a(licaciones %!e no son m!lti(lataforma o(eren en (aralelo+
.or ello se (ro(one, como tema e a(licación en el la#oratorio (ericial informático, %!e caa (!esto e tra#a$o !tilice el softEare e virt!alización VMEare /erver como (lataforma e o(eraciones, f!ncionano so#re el sistema o(erativo anfitrión PinoEs T.+ /e c!enta con !na má%!ina virt!al con sistema o(erativo 0in!x, so#re la %!e es (osi#le e$ec!tar las a(licaciones A!to(sy entre otras+
0as venta$as e la virt!alización son evientes, ya %!e con esta (lataforma e o(eraciones es (osi#le efect!ar !na a%!isición remota e !n isco rí)io meiante !na 'erramienta estinaa (ara ello y l!e)o a#rir la ima)en forense (ara efect!ar al)!na o(eración en (artic!lar con el softEare res(ectivo, e$ec!tano so#re el sistema o(erativo anfitrión, sin necesia e cam#iar el entorno 'a#it!al e tra#a$o+
No se cree conveniente (oseer clonar el is(ositivo e almacenamiento ori)inal y l!e)o instalar esta co(ia en !n 'arEare e la#oratorio o incl!so so#re la com(!taora ori)inal 4ste (roceimiento no es m!y recomenao, ya %!e !s!almente se (resentan (ro#lemas e incom(ati#ilia con el 'arEare c!ano se !tiliza !na com(!taora e la#oratorio+
on la a(arición e 'erramientas e virt!alización como VMEare se (!ee recrear el entorno e tra#a$o el sos(ec'oso+ De#io a %!e act!almente 'a s!r)io en el mercao e informática forense la 'erramienta comercial VF , meiante la c!al es (osi#le crear !na ma%!ina virt!al e$ec!ta#le y l!e)o inicializarla con VMEare, e esta manera se (orá com#inar con el softEare estinao a la recolección e la eviencia i)ital+ 4n el ám#ito instit!cional el 4c!aor es 'a#it!al contar con rec!rsos financieros mínimos (ara la a%!isición e tecnolo)ía+ 4s (or ello %!e se (resenta la o(ción e tra#a$ar con serviores virt!ales a(licaos a la informática forense el De(artamento e Delitos Informáticos e la .olicía Nacional,
e tal manera %!e se a(rovec'e
eficientemente el e%!i(amiento informático y se e$e atrás al /istema 9(erativo como !n (!nto e inflexión (ara el a(rovec'amiento e rec!rsos informáticos en las activiaes (ericiales+
Per?il > "apa"ia"i#! para lo' (ie(bro' de la Poli"$a Na"io!al e! I!?or(4i"a Fore!'e
5.3
<5:59 Per?il de %! I!?or(4i"o Fore!'e
40 investi)aor forense (ara act!ar correctamente ante la escena e !n crimen e#e realizar !n (roceso formal, one s! conocimiento científico y tcnico e#e ser
s!ficiente (ara )enerar inicios 'acia el esc!#rimiento e eviencias y resolver !n caso+
.ara act!ar aec!aamente y e la me$or manera ante !n (roceso e análisis forense, caa miem#ro %!e forme (arte el e%!i(o e investi)ación en el De(artamento e Delitos Informáticos e la .olicía Nacional se le e#e asi)nar !n rol eterminao, con f!nciones es(ecíficas, a contin!ación se (resentan los roles (ara caa ti(o e investi)aor %!e forma (arte e este e%!i(oB
T@"!i"o' e! e'"e!a' del "ri(e! i!?or(4i"a' o Fir' Re'po!de 0as características el mismoB •
/on los (rimeros en lle)ar a la escena el crimen+
•
"ecolectan la eviencia+
•
Formación #ásica en el en el mane$o e eviencia y oc!mentación+
•
"econstr!yen el elito+
E3a(i!adore' de evide!"ia di&ial o I!?or(4i"a •
.rocesan la toa la eviencia i)ital o#tenias (or los 5cnicos en 4scenas el rimen Informáticos+
•
De#erán ser es(ecializaos en sistemas e informática+
I!ve'i&adore' de Delio' I!?or(4i"o' •
"ealizan la Investi)ación y la reconstr!cción e los 'ec'os e los Delitos Informáticos e forma )eneral+
•
De#erán (oseer !n entrenamiento )eneral en c!estiones e informática forense+
•
De#erán ser (rofesionales enB /e)!ria Informática+
•
A#o)ao+
•
.olicías+
•
•
4xaminaores Forenses+
Perio I!?or(4i"o .eritos son las (ersonas %!e (or is(osición le)al y encar)o J!icial o el Ministerio .*#lico a(ortan con s!s conocimientos los atos necesarios (ara %!e el J!ez, Fiscal o la .olicía J!icial a%!ieran conocimiento (ara eterminar las circ!nstancias en %!e se cometió !na infracción+
0as coniciones %!e e#e re!nir !na (ersona (ara ser (erito sonB aH .rofesional, es(ecializao y calificao (or el Ministerio .*#lico en !n res(ectivo cam(o y eterminaa materia+ #H Mayores e ea 1C a2osH+ cH @onraez, calia moral e (roceer ínte)ro y 'onrao en el o#rar+ H De#erá ser totalmente im(arcial+ eH onocimientos es(ecíficos en la materia (ara c!m(lir s! cometio+ 0a (ericia intenta o#tener !n ictamen f!nao en es(eciales conocimientos científicos, tcnicos, *til (ara el esc!#rimiento o valoración e !n elemento e (r!e#a+
<5:56 Capa"ia"i#!* C%r'o' > Ceri?i"a"io!e' 0os investi)aores forenses en informática c!entan con conocimiento tcnicos informáticos, los mismos e#en (re(ararse (ara esenvolverse en (roceimientos le)ales y tcnicamente válios con la finalia e esta#lecer eviencia en sit!aciones one se v!lneran o com(rometen sistemas, !tilizano mtoos y (roceimiento
científicamente (ro#aos y claros, (ermitieno esta#lecer (osi#les 'i(ótesis so#re el 'ec'o y contar con la eviencia re%!eria %!e f!namente ic'as 'i(ótesis+
.ara ello la .olicía Nacional e#erá constantemente ca(acitar al (ersonal e esta área, ya %!e inevita#lemente la tenencia e crecimiento, avances y alcance %!e tiene la tecnolo)ía es contin!a y con ello el a!mento e n!evas tcnicas (ara cometer ata%!es y (er$!icar sistemas informáticos tam#in se esarrollan a la (ar+ A mas e ello (ara !n aec!ao mane$o e eviencias caa (ersonal %!e forme (arte el De(artamento e Delitos Informáticos, e#erá c!m(lir f!nciones es(ecíficas e(enieno e s! área, e tal manera %!e el (roceso e análisis forense %!e se a(li%!e a la eviencia i)ital sea llevaa e la me$or manera y la eviencia sea cont!nente y clara en el (roceso $!icial+
A contin!ación (resentamos los ti(os e c!rsos y entrenamiento %!e e#erán a(licarse (ara el e%!i(o el De(artamento e Delitos Informáticos+ 4stas son os e las asociaciones %!e 'an esarrollao (ro)ramas e certificación forenses en informática, %!e (ermiten etallar las 'a#iliaes re%!erias y las ca(aciaes esea#les en los investi)aores informáticosB •
IAI/ : International Association of om(!ter Investi)ative /(ecialist 'tt(BEEE+ c o(s+or)H+
•
@5N : @i)' 5ec'nolo)y rime NetEo 't t (B EE E +'tcn+or)H+
IACIS 9frece la certificación internacional enominaa F4 om(!ter Forensic 4xternal ertificationH, ise2aa (ara (ersonas %!e no (ertenezcan a instit!ciones $!iciales o e (olicía+ osto e esta certificación es e -/ d17= con !na !ración e cinco meses, y se re%!iere e !na forma e a(licación con m*lti(les atos el as(irante, la misma es eval!aa (or el comit e IAI/+
/i el as(irante es ace(tao, se inicia el (roceso e eval!ación el c!al consiste en el análisis e seis isettes es(ecialmente (re(araos y !n isco !ro con !na is(osición es(ecial+ aa !no e los isettes esta#lece !n (ro#lema tcnico y forense (ara el a(licante el c!al e#e resolver correctamente, oc!mentar s!s 'allaz)os y (resentar !n re(orte one etalle s!s análisis+ Al final el (roceso, se efect*a !n examen so#re el (roceso y las concl!siones el investi)aor en caa !no e los e$ercicios, one el mismo e#erá emostrar s! com(etencia y claria (ara el esarrollo e las activiaes forenses+
La "eri?i"a"i#! CFEC , exi)e %!e los n!evos investi)aores forenses en informática certificaos (osean ex(eriencia y estreza enB •
Ientificación y recolección e eviencia en meios ma)nticos+
•
om(rensión y (ráctica en (roceimientos e revisión y análisis forenses+
•
om(rensión y (ráctica e los estánares e tica %!e ri)en las ciencias forenses en informática+
•
om(rensión e los as(ectos le)ales y e (rivacia asociaos con la a%!isición y revisión e meios ma)nticos+
•
om(rensión y (ráctica e mantenimiento e la caena e c!stoia e la eviencia c!ano se realiza !na investi)ación+
•
om(rensión e los iferentes sistemas e arc'ivos asociaos con sistemas o(eracionales, (artic!larmente FA5 e Microsoft+
•
on!cir e manera etallaa rec!(eración e atos e toas las (orciones e !n isco+
•
om(rensión e como tener acceso a los arc'ivos tem(orales, e cac', e correo electrónico, e Ee#, etc+
•
om(rensión e los as(ectos #ásicos e Internet+
•
om(rensión e tcnicas e rom(imiento e contrase2as+
•
om(rensión )eneral e los temas relacionaos con investi)aciones forenses+
Mencionaa certificación es avalaa y reconocia en iferentes tri#!nales y cortes el m!no, e#io a la seriea y ri)!rosia e (roceso e certificación, las (ersonas %!e o#tienen esta certificación re%!ieren act!alizarse (ermanente en las n!evos (roceimientos y formas (ara me$orar las tcnicas e se)!imiento y análisis, (ermitieno a los (rofesionales certificaos %!e se enc!entren act!alizaos y ca(acitaos (ara afrontar n!evas formas e análisis forense en informática+
,TCN 9frece iversas certificaciones en informática
forense, e manera (artic!lar
comentamos so#re el certificao I Q ertifie om(!ter rime Investi)aorH, %!e tiene la ense2anza e !n nivel e e!cación #ásico y avanzao+ 4l (ro(ósito e esta certificación es el esarrollar !n alto nivel e (rofesionalismo y entrenamiento contin!o en investi)aciones e crímenes e alta tecnolo)ía en la in!stria y las or)anizaciones+ osto e la certificación es e -/ d7=+ 4xisten os ti(os e niveles e certificaciones IB nivel #ásico y avanzao
CCCI Nivel b4'i"oB (ara este nivel se re%!iere lo si)!ienteB •
Dos a2os e ex(eriencia en investi)aciones en c!al%!ier isci(lina o (oseer !n )rao e est!io s!(erior+
•
/eis meses e ex(eriencia investi)ativa irectamente relacionaa con la isci(lina en %!e #!sca certificarse+
•
@a#er com(letao satisfactoriamente !n c!rso e ; 'oras so#re elitos informáticos o com(!tación forense (rovista (or !na a)encia, or)anización o em(resa+
•
Demostrar e manera satisfactoria conocimiento tcnico en la isci(lina e la certificación %!e se esee o#tener, a travs e !n examen escrito+
CCCI Nivel ava!2ado B (ara este nivel se re%!iere lo si)!ienteB •
Dos a2os e ex(eriencia en investi)aciones en c!al%!ier isci(lina o (oseer !n )rao e est!io s!(erior+
•
Dos a2os e ex(eriencia investi)ativa irectamente relacionaa con investi)aciones e elitos informáticos+
•
@a#er com(letao satisfactoriamente !n c!rso e C 'oras so#re elitos informáticos o com(!tación forense (rovista (or !na a)encia, or)anización o em(resa+
•
Demostrar e manera satisfactoria conocimiento tcnico en la isci(lina e la certificación %!e se esee o#tener, a travs e !n examen escrito+
0a .olicía Nacional e#e tomar m!y en c!enta %!e la la#or %!e (osee la investi)ación forense en informática re%!iere e m!c'o entrenamiento y formación, no solamente en las es(ecificaciones tcnicas sino tam#in en (roceimientos y 'a#iliaes %!e (ermitan al (rofesional %!e se certifi%!e, enfrentar la ifícil tarea e reconstr!ir escenarios, esta#lecer y reconocer eviencia i)ital, (rocesar y analizar atos (ara form!lar 'i(ótesis %!e orienten la investi)ación e !n elito informático , con el fin e esc!#rir y s!stentar las ca!sas y a!tores el mismo+ .or ello el (lanteamiento e estas certificaciones im(ortantes a nivel e Informática Forense+
CONCLUSIONES
•
La Policía Nacional en la actualidad no dispone de herramientas orientadas
específicamente
informático,
poseen un
a
la
investigación
de
un
delito
Sistema de dentificación decadactilar
automati!ado "#$S) %ue es utili!ado por el &epartamento
de
'riminalística directamente para resolver crímenes tradicionales, pero tam(in es usado como herramienta de apo*o en ciertas investigaciones de delitos informáticos+
•
La concienti!ación de la importancia %ue tienen
los delitos
informáticos ha surgido de la propia eperiencia de la Policía Nacional, al tener casos en %ue las investigaciones de(en
%uedar a
medias por%ue no se cuenta con los medios necesarios para poder cerrar el caso con la detención del atacante+
•
n el cuador eiste la Le* de Propiedad ntelectual %ue entró en vigencia en 1../ * la Le*
de 'omercio lectrónico * 0ensaes de &atos en el
2332, %ue se re4eren a las infracciones informáticas, aun%ue no es tan especí4ca en la sanción de los delitos informáticos por lo %ue resulta dificultoso sancionar al infractor de un delito+ # parte de %ue la ma*oría de los ciudadanos ecuatorianos desconocen la le* %ue eiste en nuestro país+
•
No eisten estándares esta(lecidos con respecto a la nformática $orense pero muchas organi!aciones tra(aan en esto+ l 5$' 6227 es una guía para tratar la videncia &igital * la 8' "nternational 8rgani!ation of 'omputer vidence) proponen lineamientos para la creación de una guía propia de cada institución seg9n su realidad+
•
Los casos %ue se han presentado en la Policía Nacional, han re%uerido de herramientas %ue recuperen la evidencia generalmente de discos duros * de memorias flash, %ue han formado parte dispositivos
en cadena de custodia * generalmente han necesitado
de herramientas de marcado de documentos, de monitoreo de computadoras para identificar casos de ro(o de información * de etorsión+
•
Los (eneficios %ue ofrece la nformática $orense a la Policía Nacional
son irremedia(lemente grandes *a %ue la Policía tiene
como o(etivo mantener el orden * la seguridad p9(lica * la 4nalidad del &epartamento de nvestigación de &elitos nformáticos es detectar e investigar conductas ilícitas re colectando evidencias digitales válidas para %ue se pueda dar la sentencia correcta al actor de dicho delito+
•
iste personal de la Policía Nacional %ue ha venido tra(aando en lo %ue se refiere a los &elitos nformáticos e nformática $orense * se está preparando * capacitando para poder responder al desafío de este tipo de infracciones+ Pero si eiste la falta de preparación en el orden tcnico tanto del 0inisterio P9(lico como de la Policía :udicial %ue no cuenta con la infraestructura necesaria como la(oratorios forenses especiali!ados, herramientas de soft;are * hard;are * todo el e%uipo necesario para el seguimiento de estos delitos+
RECOMENDACIONES
•
La Policía Nacional al tener un Pro*ecto de mplementación de un &epartamento de nvestigación de delitos informáticos con una sección de #nálisis $orense, es recomenda(le %ue se acople con herramientas 8pen Source *a %ue despus de un análisis comparativo con respecto a las comerciales, tienen algunas ventaas en sus características de rendimiento * la gran diferencia del costo, teniendo en cuenta %ue tanto herramientas comerciales como li(res tienen %ue ser herramientas avaladas
por instituciones autori!adas, para
%ue de esta manera se pueda dar credi(ilidad a la evidencia * pueda servir como prue(a contundente+
•
Para la optimi!ación de los recursos tecnológicos * un meor aprovechamiento de las herramientas %ue se implementen en la Policía Nacional es preferi(le utili!ar puestos de tra(ao con má%uinas virtuales %ue facilitarán a los investigadores la utili!ación de un ma*or n9mero de recursos de soft;are de forma simultánea+
•
Por parte de la Policía Nacional se ha dado *a el paso de plantear el Pro*ecto para poder cu(rir los delitos informáticos, si por los diversos recursos a9n no se da, se de(e insistir hasta lograr los o(etivos propuestos+ Se de(e tam(in dar a conocer a la ciudadanía el servicio %ue presta la Policía Nacional, de modo %ue la misma sea partícipe * cola(ore con las denuncias de sta categoría * de esta manera las investigaciones
puedan ser
desarrolladas
sin
inconvenientes
*
culminar con el 4n propuesto+
•
Se recomienda usar la guía de (uenas prácticas adunta en el 'apítulo <, *a %ue está (asada en los lineamientos de la 8' * el 5$' 6227, partiendo de una metodología pro(ada como es la inspección ocular, la guía
permite optimi!ar * agili!ar los pasos
dependiendo del caso de la investigación+
•
La Legislación del cuador puede ser meorada en cuanto a &elitos informáticos se re4ere, *a %ue se podría aclarar especi4caciones con respecto a las sanciones de los involucrados en estos delitos+
•
s importante instruir al 'uerpo Policial como a los :ueces * 0agistrados, %ue se contemple dentro de la 'apacitación #nual del Personal varios seminarios so(re delitos informáticos e informática forense+
= a los encargados del &epartamento en Pro*ecto eigir
especiali!aciones en sta área+
l >o(ierno tiene la o(ligación de
(rindar el apo*o para la formación del personal+
•
s necesario formar parte de 5edes nternacionales de nformática $orense *a %ue la cooperación de países con eperiencia será de mucha utilidad para el cuador, %ue está empe!ando en sta área+
.I.LIOGRAFÍA
•
'tt(BEEE+(orc!(ine+or)forensicsforensic:iscover y
•
'tt(BEEE+vir!s(rot+comcom(!taciF8n:anti:forense+'tm
•
EEE+alfa:rei+or)
•
'tt(B EEE+f#i+)ov'%la#fsc#aciss!a(ril7sE)e+'tm
•
•
•
'tt(B(!#licaciones+erec'o+or)rei 'tt(Berec'o+or)com!niacarlos(alaella Análisis Forense Di)ital, 0ó(ez Del)ao Mi)!el, J!nio el 7<, "I.9"4D
•
In)+ arlos Del)ao eltrán Análisis Anti:Forense O
•
Art!ro 9sEalo @!ilca(i .e2afiel 45ID
•
Di)ital 4vience an om(!ter rime+ A/43, 4+ Acaemic .ress, 7+
•
Dr+ /antia)o Ac!rio Del .ino Q Intro!cción a la Informática Forense
•
Dr+ Geovanny ernal Q A#o)ao
•
INF9"MÁ5IA F9"4N/4BG4N4"A0IDAD4/, A/.459/ 5ZNI9/ 3 @4""AMI4N5A/ A!tores B Lscar 0ó(ez, @aver Amaya, "icaro 0eón+
•
'tt(BEEE+forensics:intl+comevi)!i+'tml
4%!i(o
•
e
Investi)ación
e
Incientes
y
Delitos
PPP+4IIDI+9M •
Informática Forense Giovanni !ccari Q J!an Davi G!tirrez
•
Análisis Forense Di)ital Mi)!el 0ó(ez Del)ao
Informáticos+
•
Informática Forense B Generaliaes, as(ectos tcnicos y 'erramientas Lscar 0ó(ez, @aver Amaya, "icaro 0eón
IAI/ : 't t(BEEE+co(s+or )+
•
•
@5N : 't t (B EE E +'tcn+o r ) +
•
'tt(BEEE+acfe+or) : Assoc+ ertifie Fra! 4xaminers+
•
'tt(BEEE+icsa+com : International Information /ystems /ec!rity Assoc+
•
'tt(BEEE+'tcia+or) : @i)' 5ec'nolo)y rime Investi)ation Association+
Glo'ario de T@r(i!o'
.i'1 -n #it es !n í)ito el sistema e n!meración #inario+ 0a "eal Acaemi a 4s(a2ola "A4H 'a ace(tao la (ala#ra #it con el (l!ral #its+ 4n el sistema e n!meración ecimal se !san iez í)itos, en el #inario se !san sólo os í)itos, el y el 1+ -n #it o í)ito #inario (!ee re(resentar !no e esos os valores, ó 1+
dd1 es !na e las 'erramientas más em(leaas en entornos -NIT0in!x, (ermite crear imá)enes e iscos #it a #it, aemás e ofrecer otras o(ciones como o#tención el 'as' MD= e la co(ia+
De&&a%'er1 sistema e #orrao e alta ener)ía, ise2ao (ara eliminar información resiente en iscos !ros o cintas ma)nticas+
DM1 zona esmilitarizaa o re (erimetral es !na re local s!#reH %!e se !#ica entre la re interna e !na or)anización y !na re externa, )eneralmente Int e rn e t+ 4l o#$etivo e !na DM es %!e las conexiones ese la re interna y la externa a la DM estn (ermitias, mientras %!e las conexiones ese la DM sólo se (ermitan a la re externa+
E3ploi'1 es el nom#re con el %!e se ientifica !n (ro)rama informático malicioso, o (arte el (ro)rama, %!e trata e forzar al)!na eficiencia o v!lnera#ilia e otro (ro)rama+
Fdi'1 es !n (ro)rama e com(!taora is(oni#le en varios sistemas o(erativos, el c!al (ermite iviir en forma ló)ica !n isco !ro, enominao este n!evo es(acio
como (artición+ 0a escri(ción e las (articiones se )!ara en la ta#la e (articiones %!e se localiza en el sector e caa isco+
FPor1 'erramienta (ara ientificar (!ertos a#iertos y a(licaciones asociaas a los mismos+
Freeare1 es !n ti(o e softEare e istri#!ción sin costo y (or tiem(o ilimitao, s!ele incl!ir !na licencia e !so, %!e (ermite s! reistri#!ción (ero con al)!nas restricciones, como no moificar la a(licación en sí, ni venerla+ 5am#in (!ee esa!torizarse el !so en !na com(a2ía con fines comerciales o en !na entia )!#ernamental+
G%ardia! Do&1 mtoo (ara #orrar iscos !ros a travs e !n (otente imán en s! interior, no necesita electricia y tiene s!ficiente (otencia (ara s!(erar la (rotección e las c!#iertas e acero contra cam(os ma)nticos+ Destr!ye toos los atos el isco, incl!so los %!e se enc!entran en áreas %!e los orenaores no (!een leer, y (!ee #orrar c!al%!ier ti(o e !nia ma)nticaB cintas V@/, cintas DA5, iscos I. y similares, etc+
Qer!el1 es la (arte f!namental e !n sistema o(erativo 5
4l softEare es el
encar)ao e )estionar rec!rsos, a travs e servicios e llamaa al sistema+ omo 'ay m!c'os (ro)ramas y el acceso al 'arEare es limitao, el n*cleo tam#in se encar)a e eciir %! (ro)rama (orá 'acer !so e !n is(ositivo e 'arEare y !rante c!ánto tiem(o, lo %!e se conoce como m!lti(lexao+
Q!oppi31 es !na istri#!ción e GN-0in!x #asao en De#ian y %!e !tiliza RD4+ 4s !n 0iveD, (or lo tanto no re%!iere !na instalación en el isco !ro+ 4l sistema (!ee iniciarse ese !n D e < M 'asta la versión act!al e ;++1 en formato DVD e más e 8G#+
Ne"a1 'erramienta %!e (ermite enviar toa la información reco(ilaa a !n sistema se)!ro, como (or e$em(lo !n e%!i(o conectao en la misma re o !n (ortátil conectao irectamente al sistema afectao+
Ne''%'1 es !na 'erramienta %!e (ermite escanear v!lnera#iliaes en !na re e com(!taoras+
N(ap1 es !n (otente localizaor e v!lnera#iliaes %!e se (resentan en !na re e com(!taoras+
S!i??er'1 es !n (ro)rama %!e ca(t!ra atos entro e !na re e cóm(!to, los 'acers la !tilizan (ara o#tener nom#res e !s!arios y contrase2as, sta 'erramienta (ermite a!itar e ientificar (a%!etes e atos en !na re+ A los aministraores e re ay!a a ientificar los (ro#lemas e la re+
SS,1 /ec!re /'ell, es el nom#re e !n (rotocolo y el (ro)rama %!e lo im(lementa, sirve (ara acceer a má%!inas remotas a travs e !na re+ Meiante !n intr(rete e comanos (ermite mane$ar (or com(leto la com(!taora+ 5am#in (ermite co(iar atos en forma se)!ra, )estionar claves "/A (ara no escri#ir calves al conectar a las má%!inas y (asar los atos e c!al%!ier otra
a(licación (or !n canal se)!ro
t!nelizao+ VNC:
?irtual Net;or@ 'omputing, es un programa de soft;are li(re
(asado en una estructura cliente-servidor, el cual permite el control del ordenador servidor remotamente a travs de un ordenador cliente+ Permite %ue el sistema operativo en cada computadora sea distinto, es posi(le compartir la pantalla de una má%uina de cual%uier sistema operativo conectado desde cual%uier otro ordenador o dispositivo %ue disponga de un cliente ?N' portado+
Ap@!di"e A A95 E'K%e(a de Re'p%e'a del pro"e'o de I!"ide!e' A56 For(%lario'
Informática Forense
E'K%e(a de Re'p%e'a del pro"e'o de I!"ide!e'
17<
Formulario de Control ante respuestas de Incidentes
3ugar#
Inicio
Feca " 1ora# Caso# Perito 2nformatico#
Datos del responsable del reporte del incidente Cedula de 2dentidad# /ombre " *pellido# Pais#
Ciudad#
Provincia# ireccion# 4elefono# Fax# Celular#
Correo 5lectronico# Feca " ora aproximada del incidente#
Descripcion del Incidente
Firma del Perito 6esponsible#
0ao A
17C
Formulario de Registros General Inicio Feca " 1ora#
3ugar#
Caso# elito# Perito# *compa7ante# Tipo de Escenario 4scenar io 1
/umero de componentes 4scenar io 7 4scenar io 8
/ombre de la evidencia 5stado de la 5videncia Cantidad
Física83ógica /um$ serie Características
!bservaciones
9 de :
0ao
Formulario de Registros General
Encargados de Transportar la Evidencia
/úmero de 2dentificación
6esponsable quien mane0ará " tendrá acceso a la evidencia
Cargo
Firma del Perito#
: de :
Registro del E"uipo Designados en la Cadena de Custodia
Inicio Feca# Caso# Perito 6esponsable#
/úmero de 2dentif icación 6esponsable ; quien mane0a Seccion a la que pertenece evidencia
Firma del Perito 6esponsable#
dentro del departamento
Cargo
Firma
0ao A Formulario de Control de An#lisis de Discos Almacenamiento secundario fi$o % removible
6utina
S2
/<
Actividades Preliminares 9
5fectuar imagen del disco o medio de almacenamiento bit a bit
:
Generar la autenticación matemática de los datos a trav's del algoritmo de as
=
6egistrar la feca " ora del sistema
>
Generar una lista de palabras claves a buscar
Actividades en la Imagen del Disco ? 4raba0ar sobre la imagen del disco( utili+ar el algoritmo as @
*nali+ar en el disco# a$ 4ipo de Sistema
5valuar el espacio de intercambio
0$
6ecuperar arcivos eliminados
!$ ,uscar arcivos ocultos con las palabras claves en# 2$ 5spacio desperdiciado 22$ 5spacio no asignado 222$ 5spacio de intercambio 2A$ B,6 " tabla de particiones l$ 3istar todas las aplicaciones existentes en el sistema 2$
5xaminar programas e0ecutables sospecosos
9 de :
0ao Formulario de Control de An#lisis de Discos Almacenamiento secundario fi$o % removible 6utina
S2
/<
m$ 2dentificar extensiones de arcivos sospecosos 2$ 5xaminar las extensiones de los arcivos " la coerencia con las aplicaciones que los e0ecutan n$ 5xaminar arcivos en busca de datos ocultos esteganografíaD( "a sean de tipo gráficos( imágenes( texto( comprimidos( o cualquier extensión$ o$ 5xaminar los arcivos protegidos con claves descifrando la clave previamenteD p$ 5xaminar el contenido de los arcivos de cada usuario en el directorio raí+ " si existen( en los subdirectorios q$ 5valuar el comportamiento del sistema operativo# 2$ 2ntegridad de los comandos 22$ 2ntegridad de los módulos r$ 5valuar el funcionamien to de los programas de aplicaciones s$ 6egistrar los alla+gos 2$ Capturar las pantallas t$ Generar la autenticación a trav's del algoritmo de as al finali+ar el análisis 2$ u$
Comparar resultados obtenidos de : " @$
Conservar copias del softEare utili+ado
Firma del Perito 6esponsable#
: de :
Formulario Inventario de &oft'are Instalado % estado de componentes
Inicio
Feca# Caso# Perito#
Tipo de Escenario 4ipo de 5scenario# 4scenar io 1 4scenar io 7 4scenar io 8
/umero de componentes Componente
5stado del componente *pagado8 5ncendidoD
Firma del Perito#
SoftEare instalado
0ao A Formulario de Registros de evidencia de la computadora
Inicio
2nf-/ro#
Feca# 3ugar# Caso# u+gado# Perito#
Especificaciones de la computadora Barca8Bodelo
Bodelo
/ro$ e Serie
Placa Badre Barca8BoldeoD
Bicroprocesador Barca8BoldeoD
Bemoria 6*B
9 de :
Bemoria Cace
0ao Formulario de Registros de evidencia de la computadora Almacenamiento secundario fi$o % removible Cantidad
4ipo is!etera-C-6
Barca8BoldeoD
Aelocidad8Capacidad
/ro$ Serie
Accesorios % Perifericos Cantidad 4ipo Placa de red( modem( cámara( tar0eta de acceso( impresora( etc
Barca8BoldeoD
Aelocidad8Capacidad
!bservaciones
Firma del Perito# ( de (
/ro$ Serie
Formulario de Estado de Evidencias
Inicio Feca#
1ora#
Caso# Perito#
/umero de evidencias
/úmero de 2dentificación
6esponsable mane0a evidencia
Firma del Perito 6esponsable#
Código 5videncia
/ombre 5videncia
Copia de la 5videncia S8/D
onde se mantiene 3a original
Formulario de Resultados de Evidencias Inicio Feca#
Caso# Perito# Tipo de Escenario 4ipo de 5scenario# 4scena r io 1 4scena r io 7 4scena r io 8
/umero de componentes /úmero de 2dentificación
6esponsable mane0a evidencia
Firma del Perito 6esponsable#
Cargo
4ipo del delito
/ombre 5videncia
SoftEare empleado
6esultado *8/D
4iempo en descubrirla
Ap@!di"e . Dib%jo' A%3iliare' para la I!ve'i&a"i#! de I!?or(4i"a Fore!'e
Ap@!di"e 91 Dib%jo' A%3iliare' > "o!"epo' "ri(i!al$'i"o' 4xisten !na !na serie e )ráficos )ráficos iferentes, iferentes, a!n%!e a!n%!e estos no sean sean
irectamente
a(lica#les al i#!$o (ericial, (ero son e m!c'a !tilia en el momento e 'acer !na re(resentación )ráfica y referirse a la misma+
95 E'K%i"io1 se refiere aB •
"e(resentación )ráfica e !na zona (e%!e2a el terreno, sin escala, o a escala a(roximaa, aclarara !n texto y reem(laza !na escri(ción lar)a y com(licaa+
•
"ealizaa 'a mano alzaa, las meias meias se a(reciarán a sim(le vista+
•
5oos 5oos los atos se anotan anotan en el mismo )ráfico (or ello no lleva referencias+ referencias+
•
"e)istrar e manera sim(le y rá(ia la sit!ación e !n l!)ar Fi)!ra 1+ 4s%!icio .anorámico
65 E'bo2o pa!or4(i"o1 .!ee reem(lazar a la foto)rafía (anorámica, en sit!aciones e carencia e elementos cámaraH o razones e visi#ilia escasa ne#linaH, etc+ /e re%!iere eB •
"e(resentación e (ers(ectiva e la zona el terreno, tal como a(arece ante el o$o el (erito+ Di#!$o a mano alzaa y sin meias estrictas+
•
"e)istrar la flec'a %!e inica el norte o el (!nto carinal 'acia el %!e realiza el es#ozo, (ermitieno orientar rá(iamente el i#!$o+
•
/e i#!$a sin escala, se i#!$ará !na re)la 'orizontal y !na vertical inicano las istancias y alt!ras relativas a(roximaasH+
•
-tilizar referencias y no escri#ir en el i#!$o+
:5 CroK%i'1 •
/e e#e re(resentar )ráficamente !na zona (e%!e2a, a escala+
•
.ara realizar el )rafico se e#e ser (aciente, metóica, metic!losa y orenaa+
•
"elacionar elementos is(ersos, creativia e inteli)encia, (ermitieno realizar !na la#or *til, (ara la inivi!alización (osterior e los elementos etectaos+
;5 Gr4?i"o1 4s la re(resentación e los elementos relacionaos con el 'ec'o investi)ao+ •
ontenrá toos los elementos (ro#atorios irectos o inirectos %!e el (erito consiere necesarios (ara investi)ar los 'ec'os+
•
/e realiza con omisión e la eificación y el mo#iliario, salvo en las áreas %!e se etecten o se enc!entre eviencia i)ital
<5 Mapa* "ara de 'i%a"i#! o pla!o del edi?i"io o ?i!"a1 #rina el so(orte necesario (ara a$!star a la escala (revia+ De ser (osi#le, es conveniente contar con a(roximaciones e mayor a menor %!e faciliten la ientificación el l!)ar el 'ec'o al lector+ 3a sea vista )eneral el #arrio estacano la manzanaH, am(liación e la manzana estacano la fincaH, (lano e la eificación estacano la 'a#itaciónH+
B Foo&ra?$a' d%ra!e la i!'pe""i#! o"%lar1 .rimero se foto)rafiará lo %!e se consiere conveniente oc!mentar y l!e)o se realizarán las emás (ericias, sec!estros, etc+ Generalmente, los instr!mentos !tilizaos (ara la cons!mación e elitos son e !so (ro'i#io, y (or lo tanto e#en ser sec!estraos y ecomisaos l!e)o e 'a#er servio como elementos e (r!e#a, sin em#ar)o en el caso es(ecífico e la (ericia informático forense, ic'os elementos (ro#atorios, no sólo son e !so le)al, sino %!e s!elen ser im(rescini#les (ara el f!ncionamiento normal e !na em(resa eterminaa+ .or eso se e#erá estar (re(arao (ara realizar co(ias en el l!)ar sin interferir+ 4l *nico %!e (!ee eterminar el sec!estro e !n elemento y s! traslao ese el l!)ar ins(eccionao es el $!ez e instr!cción o el fiscal e la ca!sa res(ectivamente acore a la $!risicción one se realiza la ins(ección+ on el fin e %!e no (!ean ser s!stit!ios (or otros, falsificánose e esa manera los meios e (r!e#a, (ero recoremos %!e la (r!e#a informático forense almacenaa en arc'ivos es intica al ori)inal+
No #asta, (ara %!e !n acta sea invália, e %!ien la reacte inc!rra en faltas e orto)rafía o em!estre fallas c!lt!rales, ya %!e ello afecta a la com(rensión e lo sentao en ic'o instr!mento /i !n form!lario no f!e firmao (or la (ersona en c!yo (oer f!eron 'allaos los elementos informáticos en la escena el crimen la ili)encia es n!la, ya %!e s! concorancia con otras (r!e#as no acreite s! realia y veracia+
Ap@!di"e C Ca'o Pr4"i"o
Caso Práctico
DelitoB Falsificación e oc!mentos e !n miem#ro e T instit!ción, el mismo emitía oc!mentos falsos %!e com(rometía a otras (ersonas (ara %!e estas le en al)o a cam#io ineroH+ •
.erito Asi)naoB Alexanra "ei#an+
•
"e)istro el 4%!i(o esi)nao en la caena e c!stoia+ Registro del E"uipo Designados en la Cadena de Custodia
Inicio Feca#
uev es 9> de Feb rer o de l :I IJ
Caso#
Fals i ficac ion de doc ume ntos *lexandra 6eiban
Perito 6esponsable#
/úmero de 2dentificación 6esponsable ; quien mane0a evidencia
Seccion a la que pertenece dentro del departamento
I9I>?@>JK:
amian 3ope+
*nalisis Forense
I9I>?@>>::
*ntonio Gu+man
*nalisis Forense
Firma del Perito 6esponsable#
Cargo 4ecnico en escena de crimen 5xaminador de evidenia informatica
Firma
•
Acom(a2ante Desi)naoB Dr+ 5elmo /e)ovia
•
Form!lario General 0ao Formulario de Registros General
Encargados de Transportar la E videncia
/úmero de 2dentificación
6esponsable quien mane0ará " tendrá acceso a la evidencia
I9I>?@>JK:
amian 3ope+
Cargo 4ecnico en escena de crimen
Firma del Perito#
•
5i(o e elito cometio so#orno y falsificación e oc!mentos+ oc!mentos+
•
Foto)rafías e la om(!taora om(!taora (ersonal y -/ encontraos en la escena+
•
Form!lario e control ante res(!estas e incientes+
Formulario de Control ante respuestas de Inci ncidentes
3ugar#
Inicio
Feca " 1ora#
Cuenca
ueves 9> de Febrero :IIJ
Falsificacion de documentos
Caso#
Perito 2nf ormat ormatico# ico#
*lexandra 6eiban
Datos del responsable del reporte del inci ncidente I9I>I?@:L9
Cedula de 2dentidad# Baria Galar+a
/ombre " *pellido# " *pellido#
5cuador
Ciudad#
Cuenca
Pais# Pais# *+ua"
Provincia# Provincia# Calle el Comercio =-::
ireccion#
:J@:K?K
4elefono#
-----------------
Fax#
IKJJKL@K?
Celular#
Correo 5lectronico#
mariagalar+aMotmail$com 9>-Febreo-:II J K#:I *BD
Feca " ora aproximada del incidente#
Descripcion del Incidente Falsificación de documentos " soborno a cambio de dinero( certificados falsos elaborados en documentos de Eord
Firma del Perito 6esponsible#
•
Form!lario e re)istro e softEare y com(onentes+ Formulario Inventario de &oft'are Instalado % estado de compone ponentes
Inic Inicio
Feca# Caso#
Peri to#
uev es 9> de Febr ero er o del del :II J Falsi f f icacion t os icacion de documen tos *lexandra 6eiban 6eiban
Tipo de Escenario 4ipo de 5scenario # 4s cenar io 1
x
4sce nar io 7 4sce nar io 8
/umero de componentes
:
5stado del componente *pagado8 5ncendidoD
Componen te computadora
*pagado
S,
esconectado
SoftEare instalado NindoEs OP
-----------
Firma del Perito#
4scenario /istema e com(!tación a#iertoB om(!taora (ersonal y -/, eviencia física+ 4n vista a la información e inicios %!e se o#t!vieron al inca!tar estas eviencias, +: 4l e%!i(o com(!taorH y el is(ositivo -/ inca!tao le (ertenece aB Man!el Flores, el (res!nto estafaor+ : 4l is(ositivo -/ lleva s! nom#re Man!elH
: 4l com(!taor le (ertenece a el, la instit!ción one este inivi!o la#ora le asi)nó+ 4l nom#re e la com(!taora es ints1MH, nom#re re)istrao y asi)nao a este !s!ario (or el De(artamento e Informática e la Instit!ción+ +: 0a (rimera eviencia a ser analizaa será el -/, el estao e este is(ositivo esB vacío no (osee nin)*n ti(o e información, este estao e vació el is(ositivo es intri)ante, (or ello (ara escartarlo se lo analizara (rimero+ .ara (osteriormente analizar la eviencia más com(le$a, el isco !ro con$!ntamente con el /istema 9(erativo+ •
4stao e la 4viencia (ara (roceer al análisis+
Formulario de Estado de Evidencias
Inicio ueves 9> de Febrero :IIJ Feca#
9: PB
1ora#
Falsificacion de documentos
Caso#
*lexandra 6eiban
Perito#
/umero de evidencias
/úmero de 2dentificación I9I>?@>>:: I9I>?@>>::
6esponsable mane0a evidencia
Código 5videncia
amian 3ope+
C5I9
*ntonio Gu+man
C5I:
Firma del Perito 6esponsable#
:
/ombre 5videncia Computadora de mesa
S,
Copia de la 5videncia S8/D
onde se mantiene 3a original
/<
epartamento de elitos
/<
epartamento de elitos
•
.lataforma PinoEs T.
•
4n este caso y (or el is(ositivo %!e se va analizar, se em(leara la 'erramienta ao(y, %!e (ermitirá rec!(erar los atos o arc'ivos #orraos meiante+ 4l com(onente %!e será analizao será el -/, e#io a las coniciones el is(ositivo y a los escartes (ara contin!ar (osteriormente con el Disco D!ro y /istema 9(erativo+
•
Meiante el Asistente %!e ofrece ao(y se e#erá tratar e o#tener la información+ /e e#e esco)er la eti%!eta el is(ositivo, y seleccionar el moo e reco#rar la eviencia+
Fi)!ra+ 1 aso .ráctico /elección el is(ositivo a ser analizaoH 0os arc'ivos %!e serán rec!(eraos (or esta 'erramienta, se listaran con nom#res tales comoB File 1, File 7, a%!í (arte el tra#a$o el Analizaor forense, el c!al e#erá #!scar min!ciosamente arc'ivos o oc!mentos sos(ec'osos, se)*n las fec'as en %!e se realizaron moificaciones a los mismos+
Fi)!ra+ 7 aso .ráctico nom#re e los arc'ivos rec!(eraosH
0os arc'ivos (!een ser rec!(eraos se)*n los formatos %!e se re%!ieran, así como oc!mentos e Por, 4xcel, etc+
+
Fi)!ra+ 8 aso .ráctico /elección el ti(o e formato a ser rec!(eraoH 4n vista el caso, se #!scaran solamente oc!mentos e Por, ya %!e las falsificaciones se las realiza#an (or meio e este (rocesaor e (ala#ras+
0os arc'ivos etectaos serán almacenaos, en !na ma%!ina el la#oratorio e Análisis Forense, en caso e servir serán (rote)ias y almacenaas, caso contrario se las escartaran+
Fi)!ra+ ; aso .ráctico 0ista e arc'ivos rec!(eraosH Meiante !na #*s%!ea min!ciosa (or (arte el Analizaor forense se etecto !n oc!mento File 7, entro el mismo se etecto información %!e (onía a en eviencia el elito cometio (or (arte el inivi!o (ro(ietario el -/B
Fi)!ra+ = aso .ráctico 0ista e los arc'ivos rec!(eraosH