Índice de Contenidos

Transcripción

1 Índice de Contenidos Título Página Portada I Autoría II Dedicatoria III Agradecimiento IV Índice de Contenidos 5 Índice de Gráficos 10 Introducción. 11 Capítulo 1. Antecedentes Qué es la Evidencia Digital? Definición de Evidencia Digital Importancia de la Evidencia Digital Tratamiento de la Evidencia Digital Tipos de Evidencia Digital Evidencia Digital Constante Evidencia Digital Volátil. 15 5

2 Capítulo 2. Aspectos Técnicos Importantes Fuentes de la Evidencia Digital Sistemas de computación Abiertos Sistemas de Comunicación Sistemas Convergentes de Computación Características de la Evidencia Digital Es Volátil Es Anónima Es Duplicable Es alterable y Modificable Es Eliminable Categorías de la Evidencia Digital Registros Almacenados en el Equipo de Tecnología Informática Registros Generados por Equipos de Tecnología Informática Registros que Parcialmente ha sido Generados y Almacenados en Equipos de Tecnología Informática La Dinámica de la Evidencia Digital. 20 6

3 Capítulo 3. Factores que Afectan la Evidencia Digital Equipo de Emergencia Personal de Criminalista Acciones de la Victima El Sospechoso o Imputado Tratando de Cubrir sus Rastros Transferencia Secundaria Testigos Clima y la Naturaleza Descomposición. 24 Capítulo 4. Cadena de Custodia Metodologías del Análisis Identificar la Evidencia Digital Preservar la Evidencia Digital Analizar la Evidencia Digital Presentación de la Evidencia Digital Por qué el Análisis Forense? Metodologías de Trabajo. 37 7

4 Fases del Análisis Escenarios Típicos del Análisis Forense. 39 Capítulo 5. Identificar la Evidencia Digital Una Conversación Inicial Asegurar la Evidencia Digital Física Realizar imágenes de la Evidencia Digita encontrada Métodos para realizar Imágenes Software Aplicable Lógica Checksum MD5 48 Capítulo 6. Qué elementos se debe analizar? Qué es un sistema vivo y un sistema muerto? Analizar Sistemas Vivos y Sistemas Muertos Software Aplicable para sistema vivo y un sistema muerto Examinadores de Evidencia Digital. 63 8

5 6.5. El reconocimiento de la Evidencia Digital como Formal y Valida. 63 Capítulo 7. Presentar la Evidencia Digital Normas Para la Presentación de la Evidencia Digital Presentación de la Evidencia. 65 Capítulo 8. Leyes Ecuatorianas Contra los Delitos Informáticos Extracto de las Leyes ecuatorianas sobre el Derecho Informático Extracto de las Normas ISO Recomendaciones desde el punto de vista técnico para mejorar las políticas ecuatorianas. 74 Conclusiones y Recomendaciones 76 Glosario de Términos. 80 Bibliografía. 83 Citas Bibliográficas. 86 9

6 Índice de Figuras Título Página Figura Principio de Intercambio LOADCARD. 21 Figura Equipo de Emergencia. 23 Figura Personal de Criminalista. 23 Figura Realizar copias a nivel de Bit del Sistema. 30 Figura Generación de código MD5. 31 Figura Código único. 31 Figura Empaquetado de Equipos. 32 Figura Fundas de Electroestática. 32 Figura Transporte de la Evidencia. 33 Figura Laboratorio de Análisis. 33 Figura Metodología del Trabajo. 37 Figura Software HELIX. 62 Figura Software AUTOPSY 63 10

7 Introducción Hoy en día estamos en un mundo que casi en su totalidad se encuentra automatizado y computarizado. Se han generado procesos que mediante el computador facilite la vida diaria de las personas y los des-complique de tareas tediosas, confusas y complicadas, dichos procedimientos también han acortando grandes distancias geográficas. Si bien la tecnología nos ayuda a solucionar problemas, también va de la mano nuevas formas de delinquir, generando un mundo obscuro y casi inexplorado en nuestro medio, por dichas razones aun los profesionales del derecho, incluso profesionales informáticos se encuentran en conflictos cuando se presenta cosos que ameritan su estudio y posterior sanción. Vivimos y trabajamos hoy en el mundo de la conectividad global. La accesibilidad al internet el empuje universal abre las nuevas oportunidades para el criminal sin escrúpulos. Hasta hace poco tiempo, muchos profesionales de la tecnología de información pusieron interés en el fenómeno del cibercrimen. En este sistema de la seguridad del cibercrimen existe una unión entre dos jugadores muy importantes la ley y el agente que realiza la investigación creando una lucha eficaz contra el cibercrimen. Como ya sabemos la Evidencia Digital, por su misma naturaleza, es frágil y puede alterarse, dañarse o destruirse por un mal manejo. Por estas razones se debe tomar pre- 11

8 causaciones especiales para conservar este tipo de evidencias que son sumamente importantes. En esta investigación buscaremos una forma correcta, segura y confiable que nos permita la incautación y preservación de las Evidencias Digitales que se obtienen en un proceso, así también se dará las pautas para su posterior tratamiento y presentación de las mismas, sin el menor rango posible de una alteración o contaminación de las evidencias. En este trabajo investigativo se pretende dar soluciones a los profesionales del derecho, con una visión informática. 12

9 CAPÍTULO I 1. ANTECEDENTES 1.1. Qué es la evidencia Digital? Es un término usado de una manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser usado como evidencia en un proceso legal informático. La evidencia digital es el proceso de identificación, preservación, análisis y presentación de evidencias digitales en una forma que sea legalmente aceptable en cualquier proceso judicial o administrativo Definición de Evidencia Digital. Existen múltiples definiciones a la fecha sobre evidencia digital, para nuestro estudio tomaremos la definición de acuerdo con el HB: Guidelines for the Management of IT Evidence, que dice la evidencia digital es: Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático. También definimos la evidencia digital de una forma más comprensible diciendo que son los movimientos realizados en los computadores y están registrados para una posterior investigación. 13

10 1.3. Importancia de la Evidencia Digital. En esta fase se establecen el valor de las evidencias de tal forma que se pueda identificar las mejoras que permita presentar e identificar de forma clara y eficaz, los elementos que se desee llevar ajuicio, es decir, redactar lo más importante para la investigación. El objetivo es que el ente que valore las pruebas aportadas observe que el análisis forense aporta los objetivos de prueba más relevantes para el esclarecimiento de los hechos en discusión, en otras palabras que sirva como prueba dentro de un juicio, para dicho efecto se bebe tomar en cuenta: o El valor probatorio.- establece que el registro tenga autenticidad. o Normas de la evidencia.- hace referencia a que se sigan los procedimientos y reglas para una adecuada recolección y manejo de las evidencias. Tal vez este aspecto en un principio no es tomando muy en serio, pero es un aspecto fundamental puesto que demuestra en grado en el que se encuentra los equipos y sus contenidos Tratamiento de la Evidencia Digital. Siendo la evidencia digital información de carácter trascendental en un proceso judicial informático puede ser copiada con exactitud y compartida para ser revisada por varios investigadores forenses especializados, y para que en posterior puedan 14

11 dar sus resultados de manera abierta, sin ocultar nada y todas las personas que estén involucrados en el caso den su propia opinión sobre los resultados Tipos de Evidencia Digital. La evidencia digital de acuerdo a su naturaleza y fragilidad se divide en dos grupos que son: Evidencia Digital Constante. En un principio el tipo de la evidencia digital buscada en los equipos informáticos es de tipo constante o persistente, es decir lo que está almacenado en discos duros o en otro medio informático, y se mantenía preservada después que el computador es apagado Evidencia Digital Volátil. También la evidencia es de tipo volátil, es decir, la evidencia digital se encuentra alojada temporalmente en la memoria RAM, o en el CACHE, son evidencias que por su naturaleza inestable se pierde cuando se apaga el computador, este tipo de evidencia debe ser recuperado casi de inmediato. 15

12 CAPÍTULO II. 2. ASPECTOS TÉCNICOS IMPORTANTES Fuentes de la Evidencia Digital. En algunos casos se presta a confusiones los términos evidencia digital y evidencia electrónica, dichos términos pueden ser usados como sinónimos, sin embargo es necesario poder distinguirlos entre electrónicos que son aparatos como: PCs, 1 Flash memory, CD s., DVD s., y lo digital es la información que estos contengan, clasificando la evidencia digital en tres grupos que son: Sistemas de computación Abiertos. Son aquellos que están compuestos por las computadoras de escritorio y todos sus periféricos, computadores portátiles y los servidores, dado que los servidores tienen una capacidad enorme para almacenar información en sus discos duros, hace que se conviertan en una fuente de evidencia digital importante. 1 Son de carácter no volátil, esto es, la información que almacena no se pierde en cuanto se desconecta de la corriente, una característica muy valorada para la multitud de usos en los que se emplea este tipo de memoria. 16

13 Sistemas de Comunicación. Están compuestos por redes de telecomunicación, la comunicación inalámbrica y el Internet, convirtiéndoles en una gran fuente de evidencia digital e información Sistemas Convergentes de Computación. Estos sistemas son los que están formados por los teléfonos, celulares, los PDAs, las tarjetas inteligentes, las 2 memory stick, el flash memory, y cualquier aparato electrónico que posea convergencia digital y pueda contener evidencia digital Características de la Evidencia Digital. Una característica única de la evidencia computacional es la fragilidad, otra de las características es la potencialidad al momento de realizar copias sin dejar rastros. Cuando se dan los incidentes generalmente las personas involucradas intentan manipular y alterar la evidencia digital, tratando de borrar algún rastro que de prueba del daño, sin embargo este problema es mitigado con algunas características que posee la evidencia digital, que a continuación se describen. 2 Es un formato de tarjeta de memoria extraíble 17

14 Es Volátil. La evidencia digital se puede perder en cualquier momento. Ej., al momento de apagar un equipo, de esta forma perderíamos la información que esta almacenada en la RAM o CAHE del equipo Es Anónima. No se puede saber con exactitud dónde está la evidencia digital Es Duplicable. La evidencia digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original, esto se hace comúnmente para no manipular los originales y evitar el riesgo de dañar la evidencia Es alterable y Modificable. Actualmente, con las herramientas existentes, es fácil de comprobar la evidencia digital con su original y determinar si la evidencia digital ha sido alterada o modificada, por mínimos o insignificantes que sean los cambios realizados Es Eliminable. La evidencia digital es muy fácil de eliminar, aun cuando un registro es borrado del disco duro del computador, y este ha sido formateado por varias ocasiones, es posible recuperarlo. 18

15 Cuando los involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios Categorías de la Evidencia Digital. Las categorías en las que se divide la evidencia digital, son tres, que se procede a describirlas a continuación: Registros Almacenados en el Equipo de Tecnología Informática. Son aquellos que son generados por una persona y que son almacenados en un computador, por ejemplo tenemos un documento realizado con un procesador de palabras, imágenes, aplicaciones de 3 ofimática, correos electrónicos, en estos registros es importante poder demostrar la identidad de la persona que genero y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo que hemos mencionado es importante demostrar que muestren que las afirmaciones humanas contenidas en la evidencia son reales Registros Generados por Equipos de Tecnología Informática. Estos registros son aquellos que como dice su nombre, son generados por efecto de la programación de un computador. Este tipo de registros son inalterables por una persona, se los llama registros de eventos de seguridad ( 4 logs) y sirven como prueba tras demostrar el correcto y 3 Equipamiento de hardware y software usado para idear y crear, coleccionar, almacenar, manipular y transmitir digitalmente la información en una oficina para realizar y lograr objetivos básicos. 4 Archivo de registro en el que se van grabando las conversaciones del canal o privadas. 19

16 adecuado funcionamiento del sistema o computador que genero el registro, como ejemplos podemos mencionar registros de auditoría, registro de transacciones, registros de eventos, etc Registros que Parcialmente ha sido Generados y Almacenados en Equipos de Tecnología Informática. A estos registros se les llama también como registros híbridos ya que incluyen tanto registros generados por un computador como almacenado en los mismos. Combinan afirmaciones humanas y los logs, para que los mismos sirvan como prueba deben de cumplir las dos categorías antes mencionadas La Dinámica de la Evidencia Digital. La dinámica de la evidencia digital es la forma como se entiende y se describen los diferentes factores que actúan sobre las evidencias, a fin de determinar los cambios que producen sobre ellas. Se afirma sin lugar a duda de que existen muchos agentes que intervienen sobre la evidencia digital, aquí se aplica el principio de 5 Locard se debe de reconocer la forma de cómo estos factores puedan alterar la evidencia, y así tener la oportunidad de manejarla de la manera apropiada, evitando su contaminación, daños y hasta una perdida por completo. 5 Cuando una persona está en la escena del delito, esta deja algo de si mismo dentro de la escena y a su vez que cuando sale de ella esta se lleva algo consigo. 20

17 Los principios de criminalística de Locard y el 6 mismisidad se deben de tener como instrumento de investigación en escenas del crimen y escenas de delitos informáticos. A continuación se muestra la figura que describe de forma grafica el principio de intercambio. PRINCIPIO DE INTERCAMBIO Objeto 1 La interacción causa intercambio de datos La interacción causa intercambio de datos Objeto 2 Figura Principio de Intercambio LOADCARD Cuando en una escena del delito se tiene que trabajar en condiciones adversas, es indispensable tomar medidas de seguridad necesarias para en primer lugar la integridad física y luego incrementar procedimientos adecuados para incrementar las posibilidades de recuperar las evidencias de la manera más completa. 6 Una cosa es igual a sí misma y diferente de las demás. 21

18 CAPITULO III 3. FACTORES QUE AFECTAN LA EVIDENCIA DIGITAL. De lo que hemos dicho en los capítulos anteriores podemos manifestar que los investigadores forenses nunca tendrán la oportunidad de revisar una escena del delito en su estado original siempre habrá un factor que haga que haga que las escenas presenten alguna anomalía o discrepancia. A continuación se procede a exponer algunas de las posibles situaciones en donde se ve afectada la escena del delito informático Equipo de Emergencia. En el caso de un incendio, los sistemas informáticos pueden ser afectados por el fuego y el humo, posteriormente se ven sometidos a una gran cantidad de agua al tratar de apagar el incendio. Esto va a provocar que los técnicos forenses no puedan determinar a ciencia cierta si los sistemas informáticos encontrados en la escena estuvieron comprometidos, fueron atacados o usados indebidamente. En otras ocasiones los equipos de emergencia manipulan la escena cuando es necesario para salvar la vida de una persona. 22

19 Figura Equipo de Emergencia Personal de Criminalista. En algunas ocasiones el personal de criminalística por accidente cambia, reubica o altera la evidencia. Como un claro ejemplo tenemos en el caso de que quiera sacar una muestra de sangre de una gota precipitada sobre un disquete o disco compacto mediante el uso de escarpelo, esto puede comprometer accidentalmente los datos e información almacenada en dichos soportes. Figura Personal de Criminalista Acciones de la Victima. La víctima de un delito, pueden borrar correos electrónicos que le causen aflicción o le provoquen alguna situación embarazosa. 23

20 3.4. El Sospechoso o Imputado Tratando de Cubrir sus Rastros. Cuando el sospechoso o imputado deliberadamente borra o altera los datos, registrados u otros mensajes de datos considerados como evidencia dentro de un disco duro Transferencia Secundaria. Hay ocasiones, en la que los sistemas informáticos usados en el sometimiento del delito informático, son usados posteriormente por alguna persona de forma inocente, causando con ello la destrucción y alteración de la evidencia Testigos. Se puede dar que un administrador del sistema pueda borrar cuentas de usuario sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir su acceso y utilización futura Clima y la Naturaleza. Los campos electromagnéticos pueden corromper la información guardada en los discos magnéticos Descomposición. La información que esta almacenada en discos magnéticos o en otros soportes en algunos casos puede perderse o tornarse ilegible para los sistemas de información, a causa del tiempo y de las malas condiciones de almacenamiento. 24

21 En resumen debemos entender que los factores humanos, de la naturaleza y los propios equipos informáticos pueden alterar, borrar o destruir la evidencia. Debemos comprender como estas variables actúan sobre la escena misma del delito, por tanto se debe encaminar la investigación desde su etapa más temprana tomando en cuenta dichos cambios a fin de adecuar el mejor método para adquirir, preservar y luego analizar las evidencias obtenidas y así reducir de manera considerable los posibles efectos de los factores que afectan la evidencia digital 25

22 CAPÍTULO IV 4. CADENA DE CUSTODIA La cadena de custodia es la aplicación de una serie de normas tendientes a serrar, embalar y proteger cada uno de los elementos probatorios para evitar su destrucción, suplantación o contaminación, lo que podría implicar serios tropiezos en la investigación de una conducta punible. Por otra parte se define como el procedimiento establecido por las normatividad jurídica, que tiene el propósito de garantizar la integridad, conservación e inalterabilidad de elementos materiales de pruebas. Así mismo se considera necesario mencionar, como elemento complementario para aumentar la protección de la evidencia digital, el concepto de cadena de custodia. Se debe aplicar la cadena de custodia a los elementos físicos materia de prueba, para garantizar la autenticidad de los mismos acreditando su identidad y estado original, las personas que intervienen en la recolección, envió, manejo, análisis y conservación de los elementos, así mismo los cambios hechos en ellos por cada custodio. La cadena de custodia se inicia en el lugar donde se obtiene, encuentre o recaude el elemento físico de prueba y finaliza por orden de la autoridad competente. 26

23 Son responsables de la aplicación de la cadena de custodia todos los servidores públicos y los particulares que tengan relación con estos elementos Metodologías del Análisis. La cadena de custodia es el conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en el proceso judicial. o No existe un estándar ampliamente reconocido de forma pública. o Existen procedimientos reconocidos públicamente como robustos a la hora de preservar la información digital. o Existen diferentes procesos de estandarización en los que colaboran fuerzas de la ley, investigadores y expertos Identificar la Evidencia Digital. Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados. 27

24 Es importante clasificar los conceptos y describir la terminología adecuada que nos señale el rol que tiene un sistema informático dentro del 7 iter criminist. Esto a fin de encaminar correctamente el tipo de investigación, la obtención de indicios y posteriormente los elementos probatorios necesarios para sostener nuestro caso. A continuación citamos un ejemplo para entender de forma correcta lo que es la identificación de la evidencia digital. El procedimiento de una investigación por homicidio que tenga que relación con evidencia digital, será totalmente distinto al que utilice en un fraude informático, por tanto el rol que cumpla el sistema informático determina, donde debe ser ubicada y donde debe ser usada Preservar la Evidencia Digital. Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia bita-bit de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios. 7 Camino del delito 28

25 Para la correcta preservación de la evidencia digital se debe seguir los siguientes pasos, que a continuación vamos a detallar. a) Si el dispositivo del cual tenemos que hacer una copia de su sistema de almacenamiento esta encendido, extraerlo siempre que sea posible y ponerlo en una estación de trabajo para la adquisición de datos. b) Si por alguna circunstancia no es posible, arrancar el sistema donde está dicho dispositivo con un sistema operativo auto arrancable, desde CD o disquete, sin instalar nada en el sistema. c) Toda evidencia digital guardada en dispositivos de almacenamiento, y por otro tanto almacenamiento en ficheros, debe ser copiado mediante procedimiento de software que no altere la evidencia. d) Realizar una imagen a nivel de bit de sistema de almacenamiento del dispositivo. o Extraer el dispositivo origen a copiar o Usar un dispositivo destino para el almacenamiento de la información o Usar una conexión de red, 8 Ethernet, cable cruzado, para transferir el contenido del disco al otro dispositivo de almacenamiento. 8 Es un estándar de redes de computadoras de área local con acceso. 29

26 Figura Realizar copias a nivel de Bit del Sistema. e) Retención de tiempos y fechas. o El tiempo y la fecha de creación o modificación de un fichero puede ser un aspecto importante en un asunto de delito informático. o Los archivos puede que no sean correspondientes con la fecha real. o Para ello se debe anotar fecha y hora del sistema antes de apagarlo. f) Preservar datos de dispositivos de mano como PDAs, 9 PocketPCs, etc. o Existen programas que duplican los datos que se están ejecutando sobre el sistema operativo de los dispositivos de mano. o Estos programas crean una imagen completa de la memoria del dispositivo, incluyendo las aplicaciones, datos de usuario 9 Se trata de un pequeño ordenador, diseñado para ocupar el mínimo espacio y ser fácilmente transportable que ejecuta el sistema operativo Windows CE de Microsoft entre otros, el cual le proporciona capacidades similares a los PCs de escritorio. 30

27 y datos de marcado para borrar (estos datos no se borran hasta la siguiente sincronización de sesión). g) Realizar los procesos de Checksum criptográfico de la copia y del original Existen dos métodos utilizados para la generación de hash, ejemplo: la generación de código MD5. Figura Generación de código MD5. h) Documentar quien preservo la evidencia, donde la preservo, como lo hizo, cuándo y por qué. i) Empaquetar los dispositivos que contienen las evidencias. Los detalles mínimos que beben ser registrados, directos e inequivocadamente atribuidos a cada paquete son: o Identificador único. Figura Código único. o Nombre de la persona y organización (fuerza de la policía, departamento técnico, etc.), responsable de la recolección y empaquetado del material. o Breve descripción del material. o Localización desde donde y a quien fue incautado. 31

28 o Día y hora de la incautación. Figura Empaquetado de Equipos. j) Los dispositivos magnéticos u ópticos (cintas, CDs, discos duros, disquetes, discos ZIP, 10 JAZ) que expongan placas deben ser primeramente introducidos en bolsas antiestáticas y después ponerla en una caja cuyo interior podamos rellenarla con plásticos con burbujas u otro material protector. Figura Fundas de Electroestática. k) Documentación en papel (como manuales y libros) en bolsas de plástico para proteger de daños. l) Toda persona involucrada en un examen forense debería tomar las precauciones necesarias para preservar las evidencias de factores externos tales como electricidad estática, excesivo calor, excesiva humedad documentando el hecho. 10 Antiguo dispositivo de almacenamiento que utiliza cartuchos que internamente son muy parecidos a un disco duro. 32

29 m) Transportar los documentos que contienen las evidencias. Figura Transporte de la Evidencia. n) Toda evidencia debe ser transportada a un lugar seguro y cerrado. Figura Laboratorio de Análisis. o) La cadena de custodia se debe mantener durante el transporte Analizar la Evidencia Digital. Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. El investigador debe intentar contestar a las siguientes preguntas en el análisis de la evidencia digital. 1) Quién? 33

30 Reunir la información él/los individuo/s involucrados en el compromiso. 2) Qué? Determinar la naturaleza exacta de los eventos ocurridos. 3) Cuándo? Reconstruir la secuencia temporal de los hechos. 4) Cómo? Descubrir que herramientas o 11 exploits se han usado para cometer el delito. La evidencia almacenada debe ser analizada para extraer la información relevante y recrear la cadena de eventos sucedidos. Cualquier elemento enviado para su análisis debería ser en primer lugar revisado para comprobar la integridad del paquete antes de empezar dicho análisis. Es importante que el cliente especifique que información es importante. Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos móviles, etc.). En el peor de los casos el investigador forense deberá analizar todas las evidencias digitales que posea para resolver el caso. Existen cuatro categorías de datos: 11 Es un programa o técnica que aprovecha una vulnerabilidad. 34

31 1) Datos lógicamente accesibles. Son los datos más comunes, las dificultades que podemos encontrar en estos datos son: o Que haya una gran cantidad de información a analizar (los actuales dispositivos de almacenamiento pueden contener una cantidad inimaginable de ficheros). o Que estén cifrados, si están cifrados con programas como por ejemplo Office que es el más fácil de romper la clave; en otros casos como puede ser al usar PGP) es virtualmente imposible romperlo. o Que estén corruptos o que tengan trampa (por ejemplo código 12 hostil que al producirse cierta situación puede hacerse que se formatee el disco duro, etc.). 2) Datos que han sido eliminados. Si aun no han sido sobre escritos se puede recuperarlos para un posterior análisis. 3) Datos en 13 ambient data espacio no asignado, ficheros de 14 swap/page file, espacio entre sectores, espacio entre particiones, 15 datastreams alternativos, etc., este tipo de datos necesita software especial para poder ser recuperados. 12 Troyanos, Virus, etc., que aceden a la PC para atacarla. 13 Datos en localizaciones no visibles de forma fácil en sistemas de ficheros. 14 Memoria Virtual. 15 Datos en flujo continuo. 35

32 4) Datos en 16 estenografía Los forenses informáticos pueden usar técnicas estenográficas para buscar información oculta en el sistema Presentación de la Evidencia Digital. Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos. Si la prueba que se pretende hacer valer es el fundamento de la pretensión principal dentro de un proceso es claro que entonces este debe incorporada al momento de la presentación de la demanda o de la contestación de la misma según sea el caso. Es claro así mismo, que aun si la parte no promueve la evidencia si el juez del proceso conoce de la existencia de la misma este pude de solicitar de oficio que esta sea decretada, siempre y cuando las considere útiles para la verificación de los hechos relacionados con las alegaciones de las partes Por qué el Análisis Forense? El análisis forense permite descubrir el origen del atacante, identificar detalladamente las acciones realizadas, determinarlas herramientas y los métodos 16 Espacio no asignado por el cual se puede ocultar datos dentro del fichero. 36

33 utilizados, y lo más importante descubrir las vulnerabilidades que lo han hecho posible. Todo esto tiene el objetivo de poder fortificar el sistema ante futuros incidentes. De este modo no solo se trata de proteger a la empresa de incidentes, también podemos definir el alcance de los mismos y tomar las medidas oportunas Metodologías de Trabajo. Se ha desarrollado una metodología propietaria de trabajo que garantiza la validación y la preservación de los datos que se adquieren en el proceso de análisis forense. Metodología del Trabajo Presentar Analizar Preservar Identificar t Figura Metodología del Trabajo. 37

34 Los pasos y acciones realizadas, incluyendo posibles modificaciones a cualquier evidencia, se documentan detalladamente. Las tareas de investigación se realizan sobre una copia de la información y nunca sobre la evidencia original. De hecho la metodología contempla diversos métodos de adquisición de datos como ejemplo tenemos: La duplicación de un disco duro Fases del Análisis. Nos vamos a centrar en dos Fases a la hora de reconstruir los hechos: 1. El estudio del sistema informático (La victima). Engloba los diferentes procesos necesarios para recopilar la evidencia de forma adecuada y permitir su posterior análisis, se estudia por ejemplo: o Recuperar información borrada, o Buscar información sospechosa, o Comprobar si han existido accesos no autorizados, o Detectar los métodos de acceso de posibles intrusos, o Detectar los posibles troyanos instalados, o Crear un esquema temporal de incidentes de seguridad. 2. Escenario de la incidencia (Físico y Lógico). Engloba procesos externos al sistema en cuestión, se estudia por ejemplo: o Los log de los cortafuego, o ID s u otros dispositivos de red, 38

35 o Se revisa físicamente el sistema informático y red de comunicación Escenarios Típicos del Análisis Forense. Los escenarios típicos para el análisis forense son: o Filtraciones de documentaciones confidenciales, o Accesos no autorizados, o Comportamiento anómalo del sistema, o Problemas nacidos del personal interno, o Destrucción de datos, o Uso no autorizado del material. 39

36 CAPITULO V 5. IDENTIFICAR LA EVIDENCIA DIGITAL Para la correcta identificación de la evidencia digital se debe realizar los siguientes paso se describen a continuación Una Conversación Inicial. Es el primer paso de cualquier análisis forense, nos deben o debemos explicar con la mayor exactitud posible qué ha ocurrido, qué se llevaron o intentaron llevar y cuándo ocurrió, también tendremos que recoger información sobre la organización, ya sea organización, casa, etc., recogeremos información sobre la tipología de red y de gente directa o indirectamente implicada, también podríamos recoger información sobre el tipo de escenario y el/los sistema/s afectado/s 5.2. Asegurar la Evidencia Digital. El primer pasó en un proceso de investigación informática forense, al igual que en cualquier otro proceso criminal, es 17 asegurar la escena del delito informático. Este primer módulo, idealmente, debería ser realizado por un cuerpo de seguridad del Estado: Guardia Civil, Policía Nacional, etc. junto a un experto en Informática Forense. 17 Restringir el acceso a la zona del delito para no modificar evidencias 40

37 Como esta situación es bastante ideal y el proceso de aseguramiento se debe hacer lo más rápido posible, aunque la exactitud debe primar sobre la rapidez en todas las fases, este módulo debe ser realizado por una persona competente de la organización implicada que pueda explicar los pasos que ha realizado y la implicación de sus acciones Física. Normalmente los administradores de los sistemas informáticos serán los primeros en tener contacto con la escena del delito y junto a equipo de respuesta de incidentes realizarán los primeros pasos para congelar la escena del delito. El rol fundamental de las primeras personas en responder al delito es no hacer nada que pueda producir daño. A menos que se esté específicamente entrenado en respuesta a incidentes, la persona que primero llegue a la escena no debería realizar nada de lo que no esté seguro de sus consecuencias. Es muy fácil que un astuto criminal informático inserte un troyano o código hostil que destruya evidencias automáticamente al apagar el ordenador, resetearlo, etc. Es muy importante que una persona sea asignada con autoridad suficiente para tomar decisiones finales que aseguren la escena del delito, conducir las 41

38 búsquedas de evidencias y preservar las mismas. Este rol normalmente debe ser asumido por el jefe del equipo forense Realizar imágenes de la Evidencia Digital encontrada. Esta es la fase más importante y crítica de la metodología, puesto que una vez que se haya comprobado el delito informático la empresa o institución dañada normalmente deseará llevar a un proceso judicial al atacante. Para ello es necesario poseer evidencias digitales preservadas de tal forma que no haya duda alguna de su verosimilitud y siempre de acuerdo a las leyes vigentes. Este proceso de preservación se debe realizar tan pronto como sea posible. Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra, registrarlo, documentarlo y justificarlo, siempre que sea posible con testigos que puedan corroborar las acciones. Recordemos que las primeras evidencias que hay que obtener son las volátiles, que al guardarlas en ficheros se convertirán en evidencias no volátiles. Pasos para realizar imágenes de las evidencias digitales encontradas: 42

39 - Si el dispositivo del cual tenemos que hacer copia de su sistema de almacenamiento está encendido, extraerlo siempre que sea posible y ponerlo en una estación de trabajo para la adquisición de datos. Si por cualquier circunstancia no es posible, arrancar el sistema donde está dicho dispositivo con un sistema operativo autoarrancable, desde disquete o CD, sin instalar nada en el sistema. - Toda evidencia digital guardada en dispositivos de almacenamiento, y por tanto almacenado en un sistema de ficheros, debe ser copiado mediante procedimientos software que no alteren la evidencia y que sean admisibles en un tribunal de justicia. Para ello realizar una imagen a nivel de bit del sistema de almacenamiento del dispositivo. Una imagen a nivel de bits es una copia que registra cada bit que fue grabado en el dispositivo de almacenamiento original, incluyendo ficheros ocultos, ficheros temporales, ficheros corruptos, ficheros fragmentados y ficheros borrados que todavía no han sido sobrescritos. Estas imágenes usan un método CRC para validar que la copia es la misma que el original. - Formas para crear duplicados a nivel de bit de los discos de almacenamiento de información. o Extraer el dispositivo origen a copiar. 43

40 o Usar un dispositivo destino para el almacenamiento de la información; se recomienda algún RAID ya que aseguran redundancia y disponibilidad de los datos. o Usar una conexión de red, conexión Ethernet, cable cruzado, USB, etc., para transferir el contenido del disco al otro dispositivo de almacenamiento. Qué método usar dependen del equipamiento que se tenga a mano. Lo mejor, aunque también lo más caro, es una estación de trabajo portátil o un dispositivo de creación de imágenes. Teniendo sistemas de almacenamiento de capacidad menor a 700 Mb se puede usar un CD que no sea regrabable para realizar la imagen. Si esta capacidad es menor a 17 Gb se podría usar un DVD no regrabable. Usando CDs o DVDs se asegura la integridad de los datos, puesto que en estos dispositivos no puede ser modificado. - Retención de tiempos y fechas. El tiempo y fecha de creación o modificación de un fichero puede ser un importante asunto en un delito. Si el usuario puede tener el sistema sin configurar apropiadamente el tiempo o deliberadamente cambiar las propiedades de fecha y hora, los ficheros puede que no sean correspondientes con la fecha real. Esto puede ser un problema si, por ejemplo, el sistema de registro muestra que un fichero fue creado en una fecha concreta y 44

41 el sospechoso es capaz de probar que esa fecha no usó el ordenador. Por ello se debe anotar hora y fecha del sistema antes de apagarlo, documentando el hecho. Además puede ser prudente fotografiar la pantalla mostrando el acceso a ficheros o tiempos de modificación antes de abrir dichos ficheros. También tener en cuenta el desfase horario que pueda haber entre el dispositivo que contiene la evidencia y el horario real, documentado este desfase. Siempre que sea posible trabajar con zonas de tiempo GMT. El delito puede involucrar varias zonas de tiempo y usando GMT puede ser un punto de referencia que haga el análisis de las evidencias más sencillo. - Preservar datos de dispositivos de mano como PDAs, PocketPCs, etc. Existen programas que duplican los datos que se están ejecutando sobre el sistema operativo de los dispositivos de mano. Estos programas crean una imagen completa de la memoria del dispositivo, incluidas las aplicaciones, datos de usuario y datos marcados para borrar (estos elementos no se borran hasta la siguiente sesión de sincronización). También se ofrece información sobre la versión del sistema operativo, información sobre el procesador, RAM, ROM, etc. Si no se posee una herramienta otra forma de hacer imágenes de la información es copiar los ficheros relevantes a una tarjeta de memoria. 45

42 Métodos para realizar Imágenes. El método que se recomienda para realizar imágenes de la evidencia digital encontrada es generar los procesos de checksum criptográfico de la copia y del original. Mediante el método de checksum criptográfico, proceso de generación de la integridad de un fichero, conjunto de ficheros o de toda la información contenida en un dispositivo de almacenamiento, se garantiza que la evidencia no será alterada en ni un solo bit Software Aplicable. El software que se debe aplicar para la realización de imágenes de la evidencia digital encontrada debe ser: De preferencia software libre, caso contrario se debe disponer de las licencias respectivas del uso del software. El software no debe contaminar o modificar en lo mas mínimo la evidencia. Debe ser de fácil interpretación al momento de presentar las pruebas, etc. 46

43 Lógica. Datos lógicamente accesibles. Son los datos más comunes. Las dificultades que podemos encontrar en estos datos son: o Que haya una gran cantidad de información a analizar. o Que estén cifrados. o Que estén corruptos o que tengan trampas Checksum El proceso es sencillo; generar el checksum significa generar un 18 hash, valor único para un determinado conjunto de bytes, de la evidencia. Esto es posible dado que los algoritmos criptográficos de hash son cuidadosamente seleccionados para ser funciones de un solo sentido, dado un determinado checksum criptográfico para un mensaje, es virtualmente imposible adivinar qué mensaje produjo ese checksum. Dicho de otra manera, no es posible hallar mediante cómputos dos mensajes que generen el mismo checksum criptográfico. 18 No es más que un número, hexadecimal generalmente, resumen; un compendio de bits que dependen bit a bit de un conjunto de bits original. Dicho conjunto de bits original puede ser un fichero, una cadena de texto, etc. 47

44 MD5 Gracias a determinado software especializado y algoritmos de verificación de checksum (como MD5) se comprueba que si la evidencia no se ha alterado, produce un hash idéntico al original. También podemos usar firma digital para realizar el proceso de autenticación de la copia y del original, puesto que debido a sus características (única, no falsificable, fácil de autenticar, barata y fácil de generar) es ideal para este proceso. 48

45 CAPÍTULO VI 6. QUÉ ELEMENTOS SE DEBE ANALIZAR? Los elementos que se deben analizar se muestran en la lista que se detalla a continuación. a) Sistemas informáticos. o Sistemas Windows. i. Registro del Sistema. ii. Contenido de Sistema de Fichero Cifrados (EFS). iii. FAT o MTF (Tablas de Metadatos de sistemas de ficheros Windows). iv. Fichero BITMAP (Fichero creado durante el formateo de volúmenes NTFS para Windows NT y superiores). v. Papelera de reciclaje. vi. Ficheros de acceso directo. vii. Active Directory (Windows 2000 y superiores). viii. Log de visor de eventos. 49

46 o Sistemas Unix/Linux. i. Listado descriptores de ficheros. ii. Ficheros SUID/SGID. iii. Trabajos planificados (schedule jobs). iv. Ficheros del historial de la shell. Localización común de evidencias en los sistemas mencionados anteriormente y otros como pueden ser Solaris, SPARC, MVS, etc.: o Evidencias volátiles. o Mensajes de correo electrónico. o Ficheros de trabajo de impresión. o Archivos temporales de los browsers. o Cache de los browsers. o Historiales de los 19 browsers. o Favoritos de los browsers. o Ficheros de 20 cookies de los browsers. 19 Explorador de la web. 20 Las cookies son pequeños archivos de texto que son descargados automáticamente (si está permitido por las reglas de seguridad) al navegar en una página web específica. 50

47 o Logs del sistema operativo. o Logs de aplicaciones. o Logs de clientes de 21 chat. o Documentos de texto (cuyas extensiones pueden ser doc, wpd, wps, rtf, txt, etc.). o Hojas de cálculo (cuyas extensiones pueden ser xls, wgl, wkl, etc.). o Ficheros gráficos (cuyas extensiones pueden ser jpg, gif, tif, bmp, etc.). Otras localizaciones no tan visibles (conocido como ambient data ) que necesitan software especializado para poder ser obtenida la evidencia digital: o FileSlack (Espacio entre el final de un fichero y el final del cluster en el que se encuentra). o Ficheros de intercambio (Swap File y Page File). o Espacio no asignado (Unallocate space). o Espacio entre sectores. o Espacio entre particiones. 21 Recurso en Internet que permite comunicarse en forma de texto con otros usuarios 51

48 Otras evidencias (como por ejemplo imágenes que usen estenografía para ocultar otros datos) pueden encontrase en los sistemas de ficheros de otros dispositivos distintos a los anteriormente mencionados (como CDs, DVDs, etc.) o memorias o 22 buffers propios de otros dispositivos (escáneres, impresoras, cámaras de fotos digitales, cámaras de vídeo digitales, etc.). b) Redes o Información proporcionada por la tarjeta de red (dirección MAC, dirección IP.). o Tabla de direcciones IP asignadas por el servidor DHCP. o Cache de ARP. o Logs del IDS. o Memoria del IDS. o Logs del 23 firewall. o Memoria del firewall. o Logs de servidores (Web, FTP, de correo electrónico). o Mensajes de correo electrónico almacenados en el servidor. 22 Memoria de almacenamiento temporal de información. 23 Herramienta de seguridad que controla el tráfico de entrada/salida de una red. 52

49 o Logs de 24 modems. o Información de 25 routers: o Logs del router. i. RAM con información de configuración. ii. Cache ARP. o Datagramas almacenados cuando el tráfico es alto. o Información de servidores 26 DIAL-UP (Servidores ISP). o Logs del servidor DIAL-UP. o Memoria del servidor DIAL-UP. o Logs del servidor de autentificación. o Memoria del servidor de autentificación. o Logs del servidor VPN. o Memoria del servidor VPN. 24 Periférico de entrada/salida, que puede ser interno o externo a una computadora, y sirve para a conectar una línea telefónica con la computadora. 25 Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. 26 Conexión a una red como Internet a través de un módem y una línea telefónica. 53

50 c) Redes inalámbricas. Dentro de las redes inalámbricas debemos diferenciar 2 tipos: o Redes LAN Inalámbricas (Wireless LAN): i. Información proporcionada por las tarjetas inalámbricas de red (direcciones MAC, direcciones IP, etc.). ii. Puntos de acceso. iii. Logs de modems wireless. o Redes inalámbricas basadas en conmutación de: i. OMC. Realiza tareas administrativas como obtener datos de la MSC para propósitos de facturación y administra los datos de la HLR. Además, proporciona una visión del estatus de operación de la red, la actividad de red y las alarmas. A través de éste, es posible examinar una o rastrear una llamada móvil particular en progreso. ii. Registros de facturación CDR. iii. Registros que contienen información para cada llamada realizada, como número que se llamó, el día de la llamada, duración, entre otros, organizados por clientes para efectos de facturación. Estos registros son archivados y están disponibles en un periodo 54

51 aproximado de varios años, dependiendo de las políticas de la operadora. iv. HLR. Contiene información del subscriptor, referente a sus capacidades móviles contratadas (clase de servicio), la identificación de la unidad móvil, la ubicación actual de la misma ya sea en el área de cubrimiento de la red proveedora o de otras redes celulares (roaming), la información de autenticación, el nombre de la cuenta y la dirección de facturación. v. VLR. Almacena información física, electrónica y de radio, acerca de todos los usuarios que están actualmente autenticados dentro de una red particular del MSC. Dicha información incluye la localización actual del dispositivo móvil y el estado del mismo (activo, en espera, etc.). d) Dispositivos móviles: o Teléfonos móviles. i. Log de llamadas (llamadas realizadas, recibidas, perdidas). ii. Datos (logs de sesiones, números marcados, etc) contenidos en dispositivos a los que se haya conectado el teléfono móvil (computadoras de sobremesa, ordenadores portátiles). 55

52 iii. Ficheros con distinta información almacenada en la tarjeta del móvil (SIM, código PIN, código PUK). Esta tarjeta es una Smart Card iv. Chips de memoria Flash (Estas memorias contienen información sobre el teléfono así como software interno del mismo). v. Número IMEI. vi. Números de teléfonos almacenados. vii. Mensajes de texto. viii. Configuraciones (lenguaje, día/hora, tono/volumen, etc). ix. Grabaciones de audio almacenadas. x. Programas ejecutables almacenados. xi. Configuraciones de Internet, GPRS, WAP. o Organizadores de mano (PDAs, Pockets PC, etc.) i. RAM. ii. ROM. Memoria en la que se encuentra el sistema operativo y las aplicaciones base. 56

53 iii. 27 FLASH-ROM. Memoria en la que podemos guardar aplicaciones y datos que no queremos perder por un reseteo del dispositivo o porque no tenga batería. iv. Datos (de sincronización, contactos, tareas, etc.) contenidos en dispositivos a los que se en dispositivos a los que se haya conectado el teléfono móvil (ordenadores de sobremesa, ordenadores portátiles, teléfonos móviles). e) Sistemas embebidos. o Memory sticks y memory cards (Smarts Card y Compact Flash). Básicamente su recolección de datos es igual que la de un disco duro puesto que se basan en sistemas de ficheros tipo FAT (normalmente). Las estructuras de datos en las que se pueden analizar evidencias son: i. CIS Área oculta que contiene información del fabricante. ii. MBR En las tarjetas este sector está presente por razones de compatibilidad y raramente se usará como arranque de un disco duro (aunque los delincuentes, podría ocultar aquí información). iii. Sector de arranque. iv. Se usa junto al MBR para establecer la geometría del dispositivo. 27 Una memoria de semiconductor destinada a ser leída y no destructible. 57