Recolección de Evidencia Digital

1. Llevar un orden de recopilación de información:Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial.
2. Buscar la evidencia: Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado.
3. Determinar la relevancia de los datos: Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso
4. Determinar la volatilidad de la información:Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información.
5. Eliminar la interferencia exterior: Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación.
6. Recoger la evidencia: Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea.
7. Documentar todas las acciones realizadas: En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el proceso de recolección de evidencia.
8. Cuidados al Hardware: El hardware es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto de investigación
9. Volatilidad de la evidencia: Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos.

Análisis de la evidencia Digital 

Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de 

acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su  descubrimiento.

Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque y qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.

• Preparación para el análisis

Antes de comenzar el análisis de las evidencias se deberá:

1. condicionar un entorno de trabajo adecuado al estudio que se desea realizar.
2. Trabajar con las imágenes que se recopiló como evidencias o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
3. Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
4. Instar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.
5. En otro equipo instar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros., la idea es utilizar este segundo ordenador como “conejillo de Indias” y realizar sobre él pruebas y verificaciones conforme se vayan surgiendo hipótesis sobre el ataque.
6. Si no se dispone de estos recursos, se puede utilizar software como VMware4, que permitirá crear una plataforma de trabajo con varias máquinas virtuales

Más Info

Kit de herramientas de Informática Forense

El componente esencial de toda la investigación del delito informático es como se hace la recolección de las evidencias, esto es esencial para la investigación ya que se puede extraer y proporcionar información detallada sobre un equipo o red de trabajo que se haya atacado.

Los Kits de herramientas para informática forense vienen en dos tipos: uno que puede montar directamente el investigador y otro el prefabricada que se puede descargar o comprar, hay que tener en cuenta que en algunos momentos de la investigación forense se necesite controlar el trafico de datos y romper la contraseñas, por ello, el kit forense debe contener los programas necesarios para
realizar cada una de estas tareas.

Para crear su kit de herramientas personalizado puede hacerlo a través de una
combinación de utilidades freeware y/o shareware. Los siguientes son los tipos de
herramientas que deben ser incluidos la hora de realizar un examen de informática
forense básica:
• Una herramienta para capturar el tráfico de la red para el análisis (por ejemplo, un rastreador de red)
• Una utilidad para crear imágenes de disco o clones a nivel de bits
• Una herramienta para crackear las contraseñas
• Una herramienta que informa sobre puertos TCP / IP abiertos y detecte las procedencias de esos puertos
• Una herramienta para recuperar borrados (borrado) de datos
• Una utilidad para realizar copias de seguridad y editar el Registro de Windows
• Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real
• Una herramienta para analizar las propiedades del archivo
• Una herramienta de monitorización que muestra toda la actividad del Registro en tiempo real
• Una utilidad que muestra los recursos compartidos de red tanto local y remota
• Una herramienta de monitorización que muestra los inicios de sesión, los cierres de sesión y el uso de privilegios
• Una herramienta que muestra los archivos abiertos, los procesos de objetos, las claves de registro, archivos DLL y los propietarios de los procesos de objetos

Más Info

Herramientas Software utilizadas en Informática Forense

En la actualidad existen cientos de herramientas, el uso de herramientas
sofisticadas se hace necesario debido a:

• La gran cantidad de datos que pueden estar almacenados en un computador.
• La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del  contexto de un mismo sistema operativo
• La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad para borrar archivos de computadores.
• Mecanismos de encriptación, o de contraseñas.

Son herramientas que realizan una exploración completa del computador afectado
en un solo paquete informático, se instala en el computador y se realiza la
exploración del sistema de archivos y de usuarios. Entre los más populares se
encuentran:

EnCase

EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de EnCase se relacionan a continuación:

1. Copiado Comprimido de Discos Fuente
2. Búsqueda y Análisis de Múltiples partes de archivos adquiridos
3. Diferente capacidad de Almacenamiento
4. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
5. Análisis Compuesto del Documento.
6. Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
7. Firmas de archivos, Identificación y Análisis
8. Análisis Electrónico Del Rastro De Intervención.
9. Soporte de Múltiples Sistemas de Archivo.
10. Vista de archivos y otros datos en el espacio Unallocated
11. Genera el reporte del proceso de la investigación forense como un estimado.
12. Visualizador Integrado de imágenes con Galería.

Osforensics

OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:

1. Buscar textos e imágenes
2. Recopilar rastros de actividad
3. Buscar archivos borrados y disfrazados
4. Visualizar el contenido de la memoria RAM
5. Crear un informe del sistema.
6. Numerosas herramientas de investigación
7. Instalador para unidades USB

Access Data Forensic Tool Kit (Ftk)

Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. FTK posee funciones eficaces de filtro y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar

rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico. Sus principales funciones son:

1. Fácil de usar
2. Opciones de búsqueda avanzadas
3. Registry viewer
4. Análisis de correo electrónico y de archivos zip
5. Diseño de capa de base de datos
6. Montaje seguro de dispositivos remotos

Forense Toolkit (TCT)

TCT incluye una variedad de utilidades para el estudio y la recopilación de datos

las partes principales de la caja de herramientas son ladrón de tumbas (un

programa de recolección de datos), Lazaruns (un programa de reconstrucción de

datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).

CAINE

CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.1

Los objetivos de diseño principales de CAINE son los siguientes:

1. Un entorno interoperable que admite el investigador digital durante las fases de la investigación digital 
2. Una interfaz gráfica de usuario amigable 
3. Una recopilación semiautomática del informe final

Más Info

Rastreadores de paquetes para reunir pruebas

Las Investigaciones forenses en algunas ocasiones ameritan la captura de datos en tiempo real a medida que viajan a través de la red computacional de una organización. Estos datagramas a medida que atraviesan una red se les conocen como paquetes Sniffing, y los programas diseñados para detectaros son llamados sniffers, analizadores de protocolo o analizadores de red.

Lo que hacen los sniffers es analizar el tráfico en un segmento de red Ethernet escuchando el tráfico de red, al ejecutar un sniffer en una red se pueden recoger pruebas de intrusión en un sistema informático, hay muchos sniffers entre los caules se tiene:

Snort: es un programa de código abierto (freeware) de intrusiones de red del sistema de detección de Unix y Linux, es capaz de realizar análisis en tiempo real del tráfico y paquetes sesión en las redes IP. Mientras que sobresale como un sistema de detección de intrusiones, también puede ser utilizado como un analizador de paquetes. Para más información o para descargar una copia, visite  www.snort.org.

Ngssniff: es pequeño y fácil de usar, captura de paquetes de red y el programa de análisis. Se requiere Windows 2000 o XP para operar y permite a los usuarios capturar, guardar, y analizar el tráfico de red. Este paquete sniffer se puede descargar en www.nextgenss.com / products /
ngssniff.html.

Ethereal: es un analizador de protocolos de red gratuito con versiones para
Unix y sistemas operativos de Windows. Le permite examinar datos de una
red activa o de un archivo de captura en disco. Se puede descargar desde
www.ethereal.com.

Más Info

Fase Identificación

La fase de identificación se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta:

• ¿Qué información se necesita?
• ¿Cómo aprovechar la información presentada?
• ¿En qué orden ubico la información?
• ¿Acciones necesarias a seguir para el análisis forense

La identificación debe prever los desafíos que se pasaran durante los procesos de

las fases de preservación y extracción. Esta fase culmina con un Plan a seguir.

Etapa 1: Levantamiento de información inicial para el Análisis Forense

La solicitud forense es un documento donde el administrador del equipo afectado

notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad

la revisión del mismo, donde incluye toda la información necesaria para dar inicio

al proceso de análisis. La información incluida en el documento debe ser la

siguiente:

• Descripción Del Delito Informático
• Fecha del incidente
• Duración del incidente
• Detalles del incidente
• Información General
• Área
• Nombre de la dependencia
• Responsable del sistema afectado
• Nombres y Apellidos
• Cargo
• E-mail
• Teléfono
• Extensión
• Celular
• Fax

Información Sobre El Equipo Afectado

• Dirección IP
• Nombre del equipo
• Marca y modelo
• Capacidad de la RAM
• Capacidad del disco duro
• Modelo del procesador
• Sistema operativo (nombre y versión)
• Función del equipo
• Tipo de información procesada por el equipo
• Toda la información del incidente, la evidencia digital, copias o imágenes de la escena del crimen.

Reconocer un incidente mediante indicadores y determinar su tipo. Esto no esta

incluido dentro del análisis forense, pero es significativo en los siguientes pasos.

Esta fase esta dividida en dos procesos iníciales que son:

Etapa 2: Asegurar la escena

Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología. 

Identificar las evidencias

El siguiente paso y muy importante es la identificación de la evidencia presentada en nuestra escena del “crimen”, la misma que estará sujeta a todos los procesos necesarios para la presentación de resultados finales, la evidencia se clasificara según:Tipo de dispositivo

A las evidencias también se las puede clasificar según el tipo de dispositivo donde

se encuentran:

- Sistemas informáticos

- Redes

- Redes Inalámbricas

- Dispositivos móviles

- Sistemas embebidos

- Otros dispositivos

• Modo de almacenamiento

A las evidencias también se las clasifica según el medio de almacenamiento.

- Volátiles: Aquellas que se perderán al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecución, programas en ejecución, usuarios conectados, configuración de red, conexiones activas, puertos abiertos, etc.

- No volátiles: medios físicos de almacenamiento como memorias flash, CD, discos duros. El primer proceso del análisis forense comprende la identificación, búsqueda y recopilación de evidencias, se debe identificar qué cosas pueden ser evidencias, dónde y cómo están almacenadas, qué sistema operativo se está utilizando. A

Más Info

Fases de la Informática Forense

Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [wilson 2003, taylor, r., caeti, t., kall loper, d., fritsch, e y liederbach, j. 2006]. En este sentido, se detalla de manera básica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado:

Los procedimientos llevados a cabo se dividen en las siguientes etapas:

Identificación
Estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disquette o un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.

Validación y preservación de los datos adquiridos

Con el elemento identificado se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación.
Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada, es decir, crear un código que solamente personal calificado y legalmente autorizado pueda manipular para proteger el elemento a ser analizado; esto con el fin de establecer
una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.

Análisis y descubrimiento de evidencia
Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles.

El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información. Una actividad ilícita reportada puede ser el borrado la información que puede comprometer a una persona o información que pudo haber sido ocultada o
almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash drive. El análisis forense está orientado por un caso en particular y aquí es necesaria la información que provee quien solicita la investigación forense.
En el análisis forense se pueden buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, imágenes, mensajes de correo electrónico, actividad desarrollada en internet, a diferentes niveles palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.  En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo
electrónico, etc.

Informe
Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su  interpretación. Aunque a menudo se subestima la importancia de los pasos 1 y 2 y se considera
el paso 3 el específico de la informática forense, hay que tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.

Más Info

Ley 1273 de 2009 Protección de la Información y de los Datos en Colombia

En Colombia existe la ley 1273 con la cual se modifico el código penal y se incluyo en lo relacionado al delito informático, para tener un mejor conocimiento de la ley esta se muestra exacta tal y como se rige:

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -  denominado “de la protección de la información y de los datos” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras  disposiciones.

Más Info