Que es la Informtica Forense?

La Informatica Forense es el proceso de investigar dispositivos electrnicos o computadoras con el fin de descubrir y de analizar informacin disponible, suprimida, u ocultada que puede servir como evidencia en un asunto legal. Es Igualmente provechosa cuando se han perdido accidentalmente datos debido a fallas. Las herramientas modernas y el software hacen la Informatica Forense mucho ms fcil para los expertos forenses para encontrar y restaurar evidencia ms rpido y con ms exactitud. La Informatica Forense recolecta y utiliza la evidencia digital para casos de delitos informticos y para otro tipo de crimenes usando tcnicas y tecnologas avanzadas. Un experto en informatica forense utiliza estas tcnicas para descubrir evidencia de un dispositivo de almacenaje electrnico. Los datos pueden ser de cualquier clase de dispositivo electrnico como discos duros, cintas de respaldo, computadores portaties, memorias extraibles, archivos y correos electronicos. La mayoria de los usuarios pensamos que al borrar un archivo se quitar totalmente la informacion del disco duro. En realidad se quita solamente el archivo de localizacin, pero el archivo real todava queda en su computadora. La Informatica Forense consigui atencin durante el escndalo de Enron, por ser la investigacin ms grande de Informatica Forense hasta la presente fecha. Hoy en da la Informatica Forense y el descubrimiento electrnico se est convirtiendo en estndar de juicios y pleitos legales de todos los tipos, especialmente pleitos grandes juicios que implican materias corporativas con gran cantidad de datos. La Informatica Forense se puede utilizar para descubrir un fraude, uso no autorizado de computadoras, una violacin de polticas de compaas, historial de chats, archivos y navwegacion o cualquier otra forma de comunicaciones electrnicas.

ANLISIS FORENSE
1. Introduccin La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de Prcticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matas Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes. En Espaa, la organizacin ms prestigiosa a este respecto es el es-CERT. Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informtica forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema. En Espaa, destacan en esta materia Roger Carhuatocto, (del es-Cert), David Barroso (S21SEC), Ral Siles (HP), Javier Fernndez-Sanguino (Germinus) y Antonio Javier Garca Martnez (Telefnica Mviles).

Entre las revistas especializadas se encuentran International Journal of Digital Evidence, que acaba de liberar su edicin Winter 2004; y Digital Investigation, que ofrece de forma gratuita su primer nmero. Dentro de las distribuciones linux especficas para informtica forense destacan F.I.R.E. Linux (Forensic and Incident Response Environment) y Honeynet CD-ROM. Existen varias unidades especializadas en Informtica forense entre las Fuerzas de Seguridad, como por ejemplo el Grupo de Delitos Telemticos de la Guardia Civil (Espaa), la Brigada de Investigacin Tecnolgica del Cuerpo Nacional de Polica (Espaa), la National Hi-Tech Crime Unit (Inglaterra) o el Laboratorio de Informtica forense del Departamento de Defensa (Estados Unidos). Un interesante portal sobre Delitos Informticos, es precisamente el denominado Delitos Informticos.

2. La Brigada de Investigacin Tecnolgica La Brigada de Investigacin Tecnolgica, perteneciente al Cuerpo Nacional de Polica, se cre en 1995 y ha evolucionado desde los 3 agentes iniciales a 28 y en la actualidad cuenta con 32 miembros. Est localizada en el complejo policial de Canillas de Madrid y ha realizado ms de 300 detenciones en la primera mitad del ao 2004, con mltiples denuncias diarias que se resuelven en su mayor parte en los juzgados de Plaza de Casilla. Los datos de la brigada son:
CUERPO NACIONAL DE POLICA Brigada de Investigacin Tecnolgica Seccin Tcnica Tlf: 91-582 27 47 CENTRO POLICIAL C/ Julin Gonzlez Segador, S/N 28043 Madrid.

Depende de la Comisara General de Polica Judicial, que a su vez depende de la Subdireccin General Operativa (Miguel ngel Fernndez Chico), dependiente de la Direccin General de la Polica (Vctor Garca Hidalgo), dependiente de la Secretara de Estado de Seguridad (Subsecretario), que reporta al Ministerio del Interior (Jos Antonio Alonso), segn el Real Decreto 1449/2000, de 28 de Julio, de estructura Orgnica Bsica del Ministerio del Interior.

Entre sus miembros destacan el Comisario Jefe Juan Hidalgo (2001). el Comisario Jefe Carlos Lobato, la Inspector Jefe de Grupo Operativo del Grupo de Fraudes en Internet, Mara Nieves Gamoneda (2004), el inspector Jos Manuel Colodrs y Carlos Garca Rodrguez, Jefe del Grupo de Delitos Informticos de la Brigada de Delincuencia Econmico-Financiera de la Unidad Central de Polica Judicial (1999). Entre los delitos ms habituales investigados se encuentran:
o o o o o

o o o o

o o o

Proteccin al menor: produccin, distribucin y posesin de pornografa infantil Fraude en las comunicaciones: locutorios telefnicos clandestinos Dialers: modificacin oculta del nmero de telfono de destino Produccin y distribucin de decodificadoras de televisin privada Fraudes en Internet: estafas, subastas ficticias y ventas fraudulentas. Puede denunciarse este tpo de prcticas enviando los correos recibidos de Phishing a fraudeinternet@policia.es Carding: uso de tarjetas de crdito ajenas o fraudulentas Phising: redireccin mediante correo electrnico a falsas pginas simuladas trucadas (comn en las mafias rusas) Cartas nigerianas (segunda fuente de ingresos del pas, segn el FBI; despus del petrleo) Seguridad lgica: virus, ataques de denegacin de servicio, sustraccin de datos, hacking, descubrimiento y revelacin de secretos, suplantacin de personalidads, sustraccin de cuentas de correo electrnico Delitos de injurias, calumnias y amenazas a travs del email, news, foros, chats o SMS Propiedad intelectual: piratera de programas de ordenador, de msica y de productos cinematogrficos Robos de cdigo: como en el caso de los juegos Dark Age of Camelot, y Half-Life 2, o de los sistemas Cisco IOS y Enterasys Dragon IDS

3. El Grupo de Delitos Telemticos El Grupo de Delincuencia Informtica de la Guardia Civil, se form inicialmente en 1997, dependiente de la Unidad Central Operativa de Polica Judicial de la Guardia Civil (formada en 1990). Fue posteriormente denominado Grupo de Investigacin

de Delitos de Alta Tecnologa antes de tomar su nombre actual de Grupo de Delitos Telemticos. El primer responsable del Grupo fue el entonces Teniente Anselmo del Moral Torres (1997), a quien le sucedi el Teniente Juan Rodrguez lvarez de Sotomayor (2002). Actualmente el responsable del grupo es el comandante Juan Salom Clotet. Actualmente el grupo cuenta con 14 personas y reciben una media de 60 denuncias diarias Los datos del Grupo son:
Direccin General de la Guardia Civil Unidad Central Operativa de Polica Judicial C/ Guzmn el Bueno 110- 28003 MADRID. Telfono: 91-5146400

4. Recuperacin de evidencias en discos Estrictamente hablando, el Anlisis Forense se refiere a la recopilacin de evidencias bajo notario que puedan servir como prueba judicial. Es por ello que la mayor parte de las tcnicas se basan en la recuperacin de informacin de discos duros, ahora que comienza a decaer las tcnicas denominadas Floppy Disk Forensics En este sentido, el lder del mercado en entornos forenses de discos es ENCASE, que puede realizar duplicaciones exactas del contenido de un disco, incluso de forma remota. SMART es una utilidad que permite instalar en un disco las imgenes capturadas con Encase. A la sombra de esta herramienta, lder del mercado, han surgido muchas otras herramientas similares, como por ejemplo Forensic Toolkit La empresa Checa LEC, s.r.o. dispone de dos productos de anlisis forense de discos, Disk Doubler II (un duplicador hardware de discos) y DiskDoubler Plus, una aplicacin de bsqueda de cadenas en los datos adquiridos. La recuperacin de ficheros borrados o no accesibles entra tambin dentro de este campo. bsqueda de cadenas en los datos adquiridos. Lo ms normal en caso de querer recuperar datos de un disco es intentar montar la particin con un arranque del sistema operativo Linux. Foremost permite extraer ficheros del interior de una imagen de disco realizada con el comando dd de Linux. Existen varias herramientas de recuperacin de ficheros, como por ejemplo CIA Unerase, File Recover, Restores 2000, Active@, R-Studio, Ontrack Easy Recovery y

GetDataBack) (si se han borrado particiones con fdisk). Sleuth Kit (web que contiene interesantes artculos sobre Forensics) y su entorno grfico The Autopsy Forensic Browser permiten visualizar el contenido de sistemas de ficheros y ficheros borrados. NTFS Reader es un programa windows que genera una imagen de floppy disk para arrancar en FreeDos y permite leer y copiar ficheros dentro de particiones NTFS. Bootdisk, Winimage o PEBuilder permiten crear imgenes de discos de arranque de diferentes sistemas operativos. Wotsit Format contiene las especificaciones de mltiples formatos de ficheros. Drive Image o Norton Ghost, ambas de Symantec, permiten la gestin de particiones. Por otro lado, el anlisis forense tambin se refiere a determinar las causas del compromiso de seguridad de un sistema, es decir, la alteracin de sus datos o la cada o malfuncionameinto del sistema. Tripwire y Osiris y son dos sistemas de control de integridad de ficheros.

5. Recuperacin de contraseas John the Ripper es el crackeador de contraseas fuerza bruta ms famoso, probablemente por ser gratuito y uno de los primeros. El proyecto OpenWall es una recopilacin de recuperadores de contraseas, al igual que Russian Password Crackers. Ambos incluyen crackeadores para compresores, para utilidades de cifrado, BIOS, formatos de ficheros (Office, PDF, etc.), bases de datos, Sistemas Operativos, Aplicaciones, etc. se incluyen adems enlaces sobre los algoritmos y sus debilidades. MDcrack es capaz de romper hashes MD4, MD5 y NTLM1. Existen varias formas de recuperar o restablecer una contrasea en Windows. La pgina de Daniel Petri muestra algunas de ellas, como por ejemplo el Offline NT Password Registry editor (portado al DOS como chntpw) o pwdump3 y Dumpsec (para Windows 2000). LC5 es la ltima versin del famoso crackeador de passwords comercial L0phtCrack, antiguo grupo de hacking ahora reconvertido en el empresa @Stake. Se trata de un software de recuperacin de passwords por fuerza bruta y por diccionario para Microsoft Windows. Las versiones anteriores de L0phtcrack tienen el cdigo fuente disponible. En la web puede descargarse una versin de evaluacin de 15 das con el ataque por fuerza bruta deshabilitado. Cain es otro software muy conocido para la recuperacin de password Windows.

Piero Bunari ha profundizado en la utilizacin y adaptacin de crackeadores de contraseas; dando como resultado las utilidades wJohn, el port para windows de Lepton's Crack y W@RP. Ms recientemente, el proyecto Rainbowcrack permite agilizar el cracking de contraseas mediante precomputacin de hashes. Con Winrtgen se puede agilizar la generacin de tablas para Rainbowcrack. Este proyecto ha tenido tanto exito que se ha creado una pgina web para el cracking online de hashes. Revelation es una utilidad freeware para revelar las contraseas ocultas en el GUI de Windows.

6. Deteccin y recuperacin de Virus, Troyanos y Spyware Una de las mejores webs de Antivirus es el Centro de Alerta Temprana sobre Virus Informticos, una propuesta de varios Ministerios y entidades colaboradoras pblicas y privadas. Se puede encontrar tutoriales, una gran base de datos de virus, descripciones y calendarios de activacin y estadsticas de infeccin. Existen multitud de antivirus para puestos de trabajo, pero puede ser particularmente interesante el PC Cillin 2003 para tiempo real o el Trend Micro System Cleaner si se quiere escanear todo el disco duro sin instalar antivirus. Sin embargo, al parecer hay un consenso entre los creadores de virus, que consideran el AVP Kaspersky Labs como el mejor antivirus. Panda Software es la nica empresa espaola que desarrolla actualmente software antivirus. El EICAR (European Institute of Computer Anti-virus Research) mantiene un fichero de prueba de antivirus, no propagable y sin un payload daino. Es una de las mejores pruebas para ver de forma segura si un antivirus se est ejecutando o no. El Test VEMLIE comprueba si un sistema es vulnerable a la autoejecucin de pogramas .bat en el e-mail. Es comnmente aceptado que 29A es el mejor grupo de investigacin de virus del mundo. Su poltica implica que cualquier virus desarrollado por el grupo, se confina internamente y se prohbe su propagacin. En uno de sus ltimos e-zines se repasa la virus-scene (Situation in VX scene) y pueden encontrarse muchos links interesantes como la Reference guide to VX sites. Merc Molist realiz recientemente una entrevista a VirusBuster. WinterMute mantiene en su web un Curso sobre Programacin de Virus. IKX, menos conocido, es el otro grupo dentro de la VX Scene. VDAT es una web muy completa sobre colecciones de Virus. Entre los troyanos ms conocidos se encuentran Back Orifice 2000 (originario de "Cult of the Dead Cow" y de L0pht), SubSeven, NetBus y Hack'a'tack.

La Universidad de Calgary es la primera en incorporar a sus planes de estudio el funcionamiento y la creacin de virus. Un artculo tcnico de Microsof denominado Virus Hunting: Understand Common Virus Attacks Before They Strike to Better Protect Your Apps ayuda a comprender el funcionamiento de los Virus. De entre los gusanos con mayor potencial de propagacin se encuentran el SQL Slammer (ms detalles tcnicos), del cual se ha publicado el cdigo fuente. Microsoft ha tomado contramedidas posteriormente. El virus de tipo gusano Blaster es uno de los ms peligrosos ltimamente. Para desinfectarse en Windows XP, es necesario dehabilitar la opcin de Restaurar el sistema de forma automtica, descargarse un parche y desinfectarlo con un antivirus actualizado. The Worm FAQ es una fuente muy importante para conocerlo todo sobre los gusanos.
o

Trend Micro PC-cillin 2003 protege de virus el puesto de tabajo en tiempo real adems de filtrar POP3. Es posible descargarse el software, la gua de inicio rpido y un readme.txt. Se necesita el registro para la actualizacin de patrones y versiones. ISS BlackICE PC Protection 3.6 es un sistema hbrido de proteccin de intrusiones en red, proteccin contra ejecucin de aplicaciones y de acceso a la red y comprobacin de integridad del sistema. Windows Washer limpia el PC de ficheros temporales e histricos. La versin demo no permite realizar limpiezas programadas. Entre los programas que eliminan el spyware se encuentran Ad-aware 6.0 (el nico durante mucho tiempo), SpyBot, Search and Destroy (uno de los mejores), Hijack This! (mencionado en muchos sitios) y Spy Sweeper. Winpatrol Monitoriza el PC en intervalos de tiempo detectando las diferencias. Processes in Windows NT/2000/XP .

Respecto a los programas que eliminan las ventanas en la navegacin, los ms populares son Popup Stopper y Stopzilla

Patchfinder 2.10 es una utilidad de diagnstico para localizar bibliotecas del sistema y compromisos del kernel por los rootkits ms modernos: Hacker Defender, APX, Vaniquish, He4Hook, etc.

Los muy muy duros pueden probar la ingeniera inversa tras leerse el artculo Reverse Engineering Malware y hacer prcticas con el IDA Pro Disassembler and Debugger, presentndose a los retos del HoneyNet Reverse Challenge o el Reto de Anlisis forense de RedIRIS (resultados). Ahora estn de moda las bombas de descompresin, que pueden limitar el rendimiento de los antivirus que escanean en ZIP. Ej:
dd if=/dev/zero bs=1k count=10000 | gzip - > testfile.gz

7. Seguridad en el correo electrnico La amenaza ms propagada, aunque aparentemente inofensiva, son los hoaxes, mensajes de correo electrnico en los que se advierte de un virus extremedamente peligroso o de alguna otra noticia alarmista que, en realidad, no existe. Estos mensajes normalmente son reenviados por quien los recibe a toda su agenda de direcciones, como se requiere en el mensaje, ayudando a que la falsa alarma se extienda an ms. Existen varios sitios donde se puede consultar si un mensaje pude ser o no un hoax. Un buen artculo introductorio sobre las tcnicas filtrado de SPAM es Fighting the Spam Monster-and Winning . Normalmente, realizado por un robot, que recoge direcciones de una base de datos o recogidas de analizar las existentes en un hoax previamente lanzado. Tambin es posible. Microsoft publica un truco para aadir simultneamente a varios remitentes en la lista de no deseados en Microsoft Outlook 2002. SA-Proxy (ftp) es un port para Windows del SpamAssasing, un proxy local (127.0.0.1) de POP3 que filtra los mensajes y los marca como SPAM. utiliza filtros bayesianos para autoaprender del SPAM anterior. Se integra perfectamente con el cliente de correo Bloomba (ftp). Es posible encontrar una introduccin al seguimiento de emails en Visualware. Mailtracking es un sistema de seguimiento de emails mediante la confirmacin manual de recepcin del destinatario. WMDecode es una utilidad para extraer ficheros de un archivo Winmail.dat de Outlook. Decode Shell Extension permite extraer varios ficheros multiparte de emails en crudo en formato codificado MIME-Base64, etc.

Respecto al MSN Messenger, el protocolo utilizado est ampliamente documentado en la web del MSN Messenger Protocol; adems de ser utilizado tambin por una versin de software libre, amsn. 8. Anlisis de Redes P2P Las redes P2P (peer to peer) se basan en el intercambio masivo de ficheros de forma distribuida mediante el protocolo MFTP (Multisource File Transmission Protocol) entre mltiples usuarios de Internet, mediante un software cliente, que se conecta a alguno de los mltiples servidores en donde se alojan mltiples usuarios que comparten partes (chunksde 9500KB) de ficheros. El software cliente se descarga una parte de cada uno de los otros mltiples que disponen de esa parte y la comparten. De la misma forma, cada parte que se descarga, queda disponible para ser descargada por otros usuarios. Cada parte es comprobada con un hash MD4, y culmina con el ensamblaje final del fichero completo. El software de P2P e-Donkey 2000 eMule OverNet Kazaa iMesh Audiogalaxy Morpheus WinMX Grokster BearShare Xolox Blubster (comunidad de msica) y LiveWire BroadCast (sintonizador de radios) utiliza e-links de los servidores Zanahorias, Softronic y Spanishare. Recientemente se ha desarrollado un disector para este tipo de protocolos que permite decodificar fcilmente cualquier trama capturada con Ethereal o Packetyzer. Dentro del equipo, se puede identificar fcilmente el uso de este tipo de programas por los puertos comnmente utilizados, que suelen ser
o o o o o

4661/tcp (para conectar al servidor), 4662/tcp (para conectar a otros clientes), 4665/udp (para enviar mensajes a otros servidores), 4672/udp (para enviar mensajes a otros clientes), y 4711/udp (servidor web local)

aunque la identificacin remota de usuarios particualres con dichos puertos abiertos ha dado mucho que hablar ltimamente con el revuelo que se mont.

9. Procesos en el puesto de usuario

Con el comando msconfig, es posible en Windows XP habilitar y deshabilitar los servicios en ejecucin y los elementos del inicio. CTFmon se ejecuta cuando se ha habilitado la "Entrada de usuario alternativa" en Office XP.

10.
o

Anonimato NoTrax es un navegador de Internet diseado para no dejar trazas de la navegacin en el PC local donde se utiliza, no escribe en el registro, borra de forma segura las cookies, cachs y ficheros temporales que utiliza (los cifra con blowfich por si se cuelga), no ejecuta Spyware, JavaScript or ActiveX y soporta SSL en un nico exe Se puede encontrar un interfaz web para servicios annimos de surfing y mailing en All-Nettools Andr Bacard's Privacy Page: http://www.andrebacard.com/privacy.html Anonymizer http://www.anonymizer.com/ HushMail is the world's premier secure Web-based email system. We offer ease of use and total end-to-end security. Thanks to a unique key pair management system, HushMail eliminates the risk of leaving unencrypted files on Web servers. HushMail messages, and their attachments, are encrypted using OpenPGP standard algorithms. These algorithms, combined with HushMail's unique OpenPGP key management system, offer users unrivalled levels of security. https://www.hushmail.com/ Using anonymous digital certificates, PrivacyX members can enjoy all the benefits of strongly encrypted and digitally signed email, without the need to reveal any personally identifying information. https://www.privacyx.com/www/ Private Idaho http://www.eskimo.com/~joelm/pi.html An as, es posible violar la privacidad de la navegacin web en estos sistemas, como demuestra el artculo Timing Attacks on Web Privacy y el proyecto Meantime

o o o o

o o

11.

Investigacin de informacin

Tras conseguir indicios parciales de la identidad de un atacante, es posible completar la informacin mediante varias formas, siendo la principal de ellas la bsqueda en Google (por ejemplo

cuando se localiz el Mapa de red de la CIA). Los telfonos se consiguen en las Pginas Blancas, las direcciones en Infobel, las fotografas de inmuebles en el Callejero Fotogrfico, las fotografas de personas en Google, los Cdigos Postales en Correos y los mapas en Multimap. Existe multitud de callejeros como Pginas Amarillas, el Callejero de Terra, Arcpolis o y Mappy; adems de guas de carreteras entre dos puntos como las Guas Campsa y Micheln. Ms concretamente en Madrid, hay Mapas de Zonas, Clculo de rutas en transporte pblico Tambis es posible realizar bsquedas de vuelos (Iberia, Spanair), Hoteles ( Hotelsearch y Conocemundo), empresas ( Banesto Empresas, Camerdata Empresas, Yahoo! Finance y E-Informa) y pases (CIA)