246

Gua metodolgica para la investigacin forense en el navegador web Google Chrome

Andrs E. Len Zuluaga, Tatiana Echeverra Jimnez y Manuel Santander Pelez
Resumen Un estndar busca unificar metodologas bien definidas para poder llegar a resultados similares, reduciendo las diferencias a niveles cada vez menores. En un estndar estn plasmadas las mejores prcticas con el fin de que el proyecto que lo siga sea ordenado y coherente para las entidades interesadas y lo ms importante, se obtengan resultados de calidad y confiables. Es por esta razn que las herramientas que se diseen para realizar anlisis forense en el caso de los navegadores Web, deberan seguir una metodologa que permita su adecuada utilizacin, independiente del tipo de navegador o la plataforma donde stos se ejecuten. En el presente artculo se expone una propuesta de una gua metodolgica para realizar investigacin forense en el navegador web Google Chrome, de manera que se convierta en un proceso repetible y documentado. Esta metodologa podra ser utilizada como parte del desarrollo en un futuro de un estndar de anlisis forense en navegadores web. Palabras clave investigacin forense, navegador web, Google Chrome, metodologa, computacin forense, evidencia digital.

1 INTRODUCCIN
NTERNET se ha convertido en una fuente muy importante de informacin, en la red podemos encontrar artculos, reseas, monografas, noticias y otros contenidos que nos informan de todo lo que acontece en el mundo. Desde hace varios aos se ha convertido en un medio fundamental para impulsar el diseo e implementacin de servicios que cumplen con las necesidades de las personas y organizaciones en general. As mismo, este medio brinda a personas inescrupulosas la posibilidad de cometer delitos relacionados con la informtica, que van desde actos terroristas hasta pornografa infantil, dependiendo de su clasificacin. Estas personas no necesariamente deben ser expertos en computacin, pero inconscientemente utilizan el Internet para realizar actos que van en contra de la ley. El personal capacitado en forense debe estar preparado para las acciones que puedan efectuar los delincuentes sin importar el nivel de conocimiento en tecnologa informtica. En una investigacin forense, lo ms importante es generar evidencias significativas que apoyen la construccin del acervo probatorio en un caso determinado, con base en los principios fundamentales de la admisibilidad de la evidencia. El problema radica en que en la actualidad ha sido difcil encontrar un procedimiento genrico que permita realizar tal fin, lo que genera un desbalance en la jurisprudencia en los pases con respecto al fraude informtico. Esto aplica para el caso de los navegadores web, debido a que no existe un procedimiento para la recoleccin de la informacin forense. Para entender los numerosos aspectos que se relacionan con el proceso de anlisis forense en el navegador Google Chrome, es necesario conocer los conceptos de la informtica forense en general, los principios de admisibilidad de la

evidencia, los modelos de investigacin que existen en la actualidad, herramientas, procedimientos y estndares los cuales permiten que el anlisis se realice con xito y sin alteracin de la evidencia digital que pudiera llevarse a un proceso legal. Aqu se fundamenta el estudio base de la investigacin. Adems de lo anterior, es importante comprender el funcionamiento del navegador Google Chrome, sus caractersticas y los archivos que generan valor en una investigacin forense, con el fin de tener un claro entendimiento del navegador y adelantar una investigacin adecuada y formal. Este artculo inicia con una rpida introduccin a la computacin forense, exponiendo sus objetivos y componentes. De esta forma, sentar las bases para la metodologa que se propone para realizar investigacin forense en el navegador web Google Chrome. El objetivo de la presente investigacin consiste en proponer, aplicar y evaluar una gua metodolgica para realizar investigacin forense en el navegador Google Chrome. Esta investigacin trata de dar respuesta a la pregunta: Cmo desarrollar un anlisis forense orientado a incidentes en el navegador Google Chrome? Para responder a este interrogante se realiza una revisin de los conceptos fundamentales, herramientas y procedimientos de la informtica forense en general y su aplicacin en navegadores web. La informtica forense es un campo que poco a poco ha ido evolucionado gracias a los aportes realizados por entidades que cada cierto tiempo formulan modelos o metodologas para la mejora en las fases que la componen. La importancia de esta investigacin se fundamenta en el inters de aportar en temas relacionados con anlisis forenses en Google

x Tatiana Echeverra Jimnez est con la Universidad Pontificia Bolivariana. E-mail: tatianaej10@hotmail.com. Andres E. Len Zuluaga est con la Universidad Pontificia Bolivariana. E-mail: andresleon41@hotmail.com Manuel H. Santander Pelaez esta con Empresas Pblicas de Medelln. xxxx-xxxx/0x/$xx.00 200x IEEE E-mail: manuel.santander@epm.com.co

247
Chrome, a travs de una gua metodolgica basada en las mejores prcticas y experiencias. grandes beneficios y tiene tan amplio potencial en las investigaciones y procesos judiciales que la computacin forense. [1] Es una disciplina rigurosa en cuanto a sus procedimientos de investigacin, quienes la realizan son personas altamente capacitadas en los puntos que caracteriza cualquier investigacin de las ciencias forenses. Estas personas tienen un alto grado de preparacin tcnica y cientfica para llevar a cabo una investigacin de esta envergadura. El tratamiento que debe recibir la informacin en cualquiera de sus fases: extraccin, manipulacin y almacenamiento, es tan importante y tan riguroso como a cualquier evidencia formal que se analice en las ciencias forenses. La computacin forense comprende cuatro importantes [2]: La identificacin de la evidencia digital La preservacin de la evidencia digital El anlisis de la evidencia digital La presentacin de la evidencia digital elementos

2 Introduccin a la Computacin Forense

En la actualidad las organizaciones dependen cada vez ms de las redes y sistemas de informacin y si algo les llega a ocurrir puede llegar a comprometer a la organizacin entera, deteniendo la continuidad de las operaciones y del negocio. Con el gran incremento de delitos y ataques informticos, las empresas en la actualidad han decidido incrementar la proteccin de sus sistemas haciendo uso de las mejores prcticas en la gestin de la seguridad de la informacin, incluyendo la definicin de polticas de seguridad, el control de accesos, entre otras. Es comn encontrar organizaciones con grandes fallas en los modelos de seguridad, y este es un problema que se ha venido incrementando en los ltimos tiempos. Los atacantes estn obteniendo cada da habilidades y destrezas mucho ms especializadas que les permiten obtener mayores provechos. Las fallas en la seguridad que vienen desde el interior de la organizacin son las ms importantes y a las que se les debe prestar una mayor atencin. Si las empresas deciden acceder a nuevas tecnologas que permitan disminuir o mitigar los riesgos, deben desembolsar grandes sumas de dinero, las cuales pueden provocar que los directivos y encargados de la seguridad de la informacin se confen y se sientan ms tranquilos y seguros, sin que sea totalmente cierto. No obstante, estas medidas no suelen ser suficientes ante un incidente grave de seguridad, por ejemplo en un caso que pueda terminar en un proceso judicial en contra de una persona. De esta forma la computacin forense (computer forensics) entra a jugar un papel muy importante en las empresas. Es un error comn pensar que la computacin forense tiene que ver con las aplicaciones o programas que se utilizan en la medicina forense, aquella especialidad que se encarga de la investigacin penal en sus aspectos mdicos, con el fin de resolver problemas civiles, penales o administrativos y para cooperar con la ley. La computacin forense se origin en el ao 1984 cuando el FBI y otras agencias de los Estados Unidos comenzaron a desarrollar programas para examinar evidencia extrada de los computadores. Esta rama de las ciencias forenses es la encargada de obtener, preservar, tratar, recuperar, conservar, analizar y presentar la informacin obtenida de un sistema, red, aplicacin u otro recurso de computacin, para determinar la fuente de un ataque a estos. Fue creada con la intencin de atender las necesidades especficas de la aplicacin de la ley, para aprovechar al mximo esta nueva forma de evidencia. Como disciplina forense, no hay nada desde el descubrimiento del ADN que haya brindado tan

La computacin forense tiene como objetivo la aplicacin de guas, estndares y procedimientos definidos con el fin de recolectar, comparar, analizar y evaluar informacin procedente de un sistema informtico con fines judiciales, apoyado siempre en herramientas tecnolgicas.

2.1 Proceso forense estndar La computacin forense tiene aplicacin en muchos mbitos y situaciones, desde obtener respuestas para requerimientos legales hasta establecer acciones disciplinarias frente a un incidente en una organizacin, sea el objetivo que se persiga el proceso forense estndar sigue cuatro pasos estndares presentados en la Figura 1 y segn lo detalla el National Institute of Standards and Technology NIST en Guide to Integrating Forensic Techniques into Incident Response. El detalle de cada una de esas fases puede variar dependiendo de la situacin especfica, de las polticas organizacionales, de gobierno, entre otros.
A continuacin se presentarn las cuatro fases del proceso forense estndar: recoleccin, evaluacin, anlisis y presentacin de resultados. Durante la fase de recoleccin, se identifican, etiquetan, graban y recolectan los datos o informacin, preservando su integridad. En la segunda fase, la evaluacin, se usan herramientas y tcnicas apropiadas segn los tipos de datos recolectados, con el fin de identificar y extraer informacin relevante de estos mientras se protege su integridad. En esta fase se puede utilizar una combinacin de herramientas automticas y de procesos manuales. La tercera fase, el anlisis, supone el anlisis de los resultados de la evaluacin con el fin de obtener informacin que permita responder a las preguntas que impulsaron la investigacin. La fase final consiste en presentar o reportar los resultados de los anlisis, los cuales deben incluir las descripciones de las acciones realizadas, para determinar que acciones adicionales se deben considerar, y recomendaciones sobre mejoras de polticas, directrices, procedimientos, herramientas y otros

248
aspectos del proceso forense. Figura 1 - Proceso forense estndar respecto a la actividad en red y al uso de las aplicaciones. Otras organizaciones tambin pueden registrar la informacin, como es el caso de los proveedores de servicios de internet o ISP, quienes pueden registrar la actividad en la red. Es importante identificar siempre los dueos de las fuentes de informacin, para poder dimensionar el impacto que se tiene en el momento de la recoleccin. Adquisicin de los datos: Luego de identificar las fuentes potenciales de datos los analistas e investigadores necesitan obtenerlos de estas. Esta etapa debe realizarse en tres pasos: desarrollar un plan para obtener los datos, obtener los datos y verificar la integridad de los datos obtenidos. Estos ltimos dos pasos varan dependiendo de los tipos de datos. x Desarrollar un plan para obtener los datos: Es un primer paso importante en la mayora de casos, ya que hay mltiples fuentes de datos posibles. El analista debe crear un plan que d prioridad a las fuentes y establecer el orden en que los datos deben ser adquiridos. Entre los factores importantes para establecer prioridades se encuentran las siguientes: o Valor probable: Corresponde al valor relativo probable de cada fuente de datos potencial. o Volatilidad: La adquisicin de datos voltiles se debe dar prioridad sobre los datos no voltiles. o Cantidad de esfuerzo requerido: El esfuerzo implica no slo el tiempo dedicado por los analistas y otros dentro de la organizacin, sino tambin el costo de los equipos y servicios. x Adquisicin de los datos: Si los datos no han sido adquiridos por las herramientas de seguridad, herramientas de anlisis, o por otros medios, el proceso general para la adquisicin de datos implica el uso de herramientas forenses para recoger datos voltiles, duplicar las fuentes de datos no voltiles para recoger sus datos, y asegurar las fuentes de datos originales. Esta actividad puede realizarse localmente o de forma remota a travs de la red. x Verificar la integridad de los datos: Despus de que se han adquirido los datos es particularmente importante garantizar que estos no sufrieron modificaciones y son idnticos bit a bit a la fuente original. 2.1.2. Evaluacin: Una vez se han obtenido los datos, la siguiente fase consiste en examinarlos, lo que implica evaluar y extraer las piezas ms relevantes de informacin de los datos recolectados. Esta fase tambin puede implicar omitir o atenuar los mecanismos de control de las aplicaciones y del sistema operativo, los cuales enturbian los datos y el cdigo, como por ejemplo, control de acceso, cifrado y compresin de datos. Existen varias herramientas y tcnicas que se pueden utilizar con el fin de reducir la cantidad de datos. Pueden utilizarse bsquedas de texto y de patrones para identificar datos pertinentes. Otra tcnica til es utilizar herramientas que puedan

Como se puede observar en la Figura 1, el proceso forense transforma los medios en datos, estos a su vez son convertidos en informacin para finalmente transformarla en evidencia, si sta es necesaria para probar un caso ante un tribunal o para uso interno en una organizacin. Vale la pena aclarar que este modelo del proceso forense que se revisa es bsico y solo refleja las etapas esenciales del proceso forense, y como tal no significa que sea el nico existente. Las organizaciones deben elegir el modelo especfico forense ms apropiado para sus necesidades. Cuando los datos recolectados son examinados se transforman por primera vez, de forma que se puedan extraer los datos de los medios y transformarlos en un formato que pueda ser procesado por las herramientas forenses. Acto seguido, los datos se convierten en informacin a travs del anlisis. Finalmente, la transformacin en evidencia es anloga a la transferencia de conocimiento en acciones utilizando la informacin producida en el anlisis en una o varias formas durante la fase de reportes o presentacin de informes. Por ejemplo, podra ser utilizado como evidencia para ayudar a procesar una persona especfica, puede ser una informacin til y prctica que permita ayudar a detener o mitigar alguna actividad delictiva, o como conocimiento en la generacin de nuevas pistas para un caso. 2.1.1. Recoleccin de datos El primer paso en una investigacin forense consiste en la recoleccin de datos o evidencia, para esto es necesario identificar las posibles fuentes de datos, para posteriormente realizar su extraccin. Identificacin de fuentes de datos: Hoy en da es posible identificar numerosas fuentes, debido a la constante evolucin de la tecnologa. Dentro de las fuentes ms obvias y comunes se encuentran las de uso de nuestro da a da como los laptops, desktops, servidores y dispositivos de almacenamiento en red. Estos equipos poseen internamente unidades de lectura de CDs y DVDs as como una diversidad de puertos a los que pueden conectrseles medios externos de almacenamiento que podran considerarse como posibles fuentes de datos como las memorias USB, memorias y tarjetas SD, discos pticos y magnticos. En este punto tambin es importante tener en consideracin los datos voltiles, asi como los diferentes dispositivos porttiles digitales existentes como PDAs, smartphones, celulares, reproductores de audio y video, cmaras digitales, entre otros. Las fuentes de datos pueden estar en diversos lugares, por lo general hay muchas de estas dentro de la organizacin con

249
determinar el tipo de contenido de cada archivo de datos, tales como texto, grficos, msica o un archivo en un formato comprimido. Conocer los tipos de archivos de datos permite identificar aquellos que requieren una mayor atencin, as como excluir aquellos que no son de inters para la evaluacin. 2.1.3. Anlisis: Una vez se ha extrado la informacin relevante, el analista debe estudiar y analizar los datos con el fin de sacar conclusiones de ello. Los fundamentos de las ciencias forenses utilizan un enfoque metdico para llegar a conclusiones apropiadas basadas en los datos disponibles o para determinar que an no se puede sacar ninguna conclusin. El anlisis debera incluir la identificacin de personas, lugares, objetos y eventos y determinar cmo estos elementos estn relacionados de modo que se puede llegar a una conclusin. 2.1.4. Presentacin de resultados: La fase final es la presentacin de resultados, que es el proceso de elaboracin y presentacin de la informacin resultante de la fase de anlisis. Hay muchos factores que afectan la presentacin de informes, incluyendo las siguientes: Explicaciones alternativas Conocer la audiencia Informacin til gua metodolgica para la investigacin forense en el navegador web Google Chrome, basado en los principios anteriormente descritos y aportando elementos que faciliten la obtencin de evidencia digital relacionada con los detalles de un incidente ocurrido en el navegador web Google Chrome. 3.1 Gua metodolgica para la investigacin forense en el navegador web Google Chrome Las investigaciones y los incidentes se manejan de formas distintas dependiendo de las circunstancias del incidente, su gravedad, y la preparacin y experiencia del equipo de investigacin. Las investigaciones digitales son comparables a las escenas del crimen donde las tcnicas de investigacin utilizadas por las autoridades se han aplicado como una base para la creacin de los procedimientos utilizados cuando se trate de pruebas digitales. En esta seccin del documento se presenta la propuesta de gua metodolgica orientada realizar investigaciones forenses en el navegador web Google Chrome, la cual es el resultado de la revisin y comprensin de diversos conceptos. A grandes rasgos la gua se divide en cuatro fases principales: Preparacin, recoleccin de datos, anlisis de datos y reporte. Dicha gua posteriormente va a ser aplicada a un escenario de incidentes con el fin de validar la gua, complementarla y generar las respectivas conclusiones. Figura 2 - Proceso propuesto

GUA METODOLGICA PARA LA INVESTIGACIN FORENSE EN EL NAVEGADOR WEB GOOGLE CHROME

El principal elemento que se debe proteger en una investigacin de cualquier tipo es el dispositivo mismo que contiene la informacin til para la investigacin. Es en ste que se encuentra la posible evidencia digital que puede llegar a ser determinante en un caso judicial. La evidencia digital, debido a su naturaleza, es extremadamente frgil, sta puede ser alterada, daada o destruida si no se maneja adecuadamente durante la recogida de los datos. Esto puede ocasionar que las evidencias sean inutilizables o invalidadas en un proceso judicial, lo que puede llevar a conclusiones inexactas y hasta equivocadas. Las evidencias deben recolectarse de tal forma que se garantice su integridad y fiabilidad. Basado en lo anterior, es imperante seguir un procedimiento estndar que asegure la proteccin y el anlisis exitoso de dicha evidencia digital con el fin de encontrar la mayor cantidad de detalles sobre el incidente ocurrido, sin embargo, para disear lo anterior es necesario revisar con ms detenimiento los procedimientos y estndares establecidos en la actualidad para considerar las mejores prcticas y fases expuestas, generando con ello un esquema metodolgico que, sumado al aporte de anlisis de incidentes, resulta en la gua metodolgica propuesta en el presente trabajo. Luego de realizar una revisin de algunos de los estndares y procedimientos ms aceptados en cuanto a informtica forense se refiere, se procede a continuacin a proponer una

3.1.1 Fase de preparacin La fase de preparacin es necesariamente la primera que se debe efectuar al realizar un anlisis forense en los navegadores web. Principalmente trata de la preparacin de todos los elementos necesarios para efectuar con xito el proceso, entre los que se encuentra preparar la escena (identificacin), el equipo de computo (incautacin y preservacin de evidencia), las herramientas forenses y el personal. 1. Definicin de roles y responsabilidades Sin importar el tipo del incidente, la variedad de roles involucrados son similares [3]. Antes de comenzar una investigacin forense, es importante definir una serie de roles entre el personal involucrado con el objetivo de definir responsabilidades y generar un orden en todo el proceso. Adems de esto, es importante para generar la cadena de custodia de la evidencia, debido a que dependiendo del rol, la persona puede o no tener acceso a la evidencia asegurando en cierta forma la admisibilidad de la evidencia y su preservacin. La planeacin debe abordar como el personal existente cumple con estos roles cuando se trata de responder y participar en una investigacin. El NIST propone una serie

250
de roles genricos los cuales se nombran a continuacin [4]: Equipos de respuesta inmediata: Este equipo es el encargado de ser el primero en llegar a la escena donde ocurri el incidente. Provee una evaluacin inicial y comienza con el apropiado nivel de respuesta. Entre sus responsabilidades se encuentran asegurar la escena del incidente, solicitar al personal apropiado segn el soporte requerido y apoyar la recoleccin de evidencia. Investigadores: Son los encargados de planear y gestionar la preservacin, adquisicin, examen, anlisis y presentacin de informes de la evidencia digital. El investigador lder est a cargo de supervisar que las actividades ejecutadas en la escena del incidente sean realizadas en el orden y momento correcto. Puede ser el responsable de desarrollar la evidencia, preparar un reporte del caso e informar a los altos funcionarios cualquier hallazgo. Tcnicos: Son los encargados de realizar tareas bajo la supervisin del Investigador lder. Los tcnicos son responsables de identificar y recolectar la evidencia y documentar la escena del incidente y todas las acciones realizadas. Estn entrenados especialmente para incautar la informacin y evidencia digital conservando la integridad de cada elemento involucrado. Custodios de la evidencia: Son los encargados de proteger toda la evidencia recolectada, que se encuentra en un lugar centralizado. Ellos reciben la evidencia recolectada por los tcnicos, se aseguran de que se encuentre propiamente identificada y mantienen una estricta cadena de custodia. Examinadores forenses: Son personal especialmente entrenado para reproducir las imgenes adquiridas y recuperar los datos que se puedan obtener. Los examinadores son los encargados de hacer visible la potencial evidencia digital en el dispositivo. Ellos tambin pueden adquirir datos ms difciles de obtener utilizando herramientas altamente especializadas, realizando ingeniera reversa u otros mtodos que no estn disponibles para los tcnicos forenses. Generalmente no es recomendable tener personas que tengan los roles de tcnicos y examinadores al mismo tiempo. Analistas forenses: Son los encargados de evaluar el producto de los examinadores forenses teniendo en cuenta aspectos como significancia y valor probativo en el caso. Las organizaciones pueden necesitar mezclar estos roles para que coincida con su mtodo de operaciones y nivel de capacidad de personal. En determinadas situaciones, se puede esperar que un solo individuo realice ms de un rol. Sin embargo, distinguir los distintos roles es una forma til para identificar responsabilidades asociadas y asegurarse de que el alcance general de las actividades es completa y suficiente. 2. Identificacin de la escena a. Identificar y documentar los dispositivos electrnicos que no se van a incautar: Los elementos que se van a incautar son generalmente computadores; sin embargo es necesario documentar los componentes electrnicos que pueden tener relacin con el elemento a analizar (Telfonos celulares, porttiles, PDAs, etc). La razn de esto es que al buscar los rastros del incidente es posible que se encuentren datos de conexin o de acceso de stos dispositivos lo cual, si no existe el registro mencionado anteriormente, puede conllevar a resultados errneos. b. Realizar una entrevista al propietario del dispositivo: Consiste en obtener la mayor cantidad posible de informacin sobre el incidente. Es aqu donde se detectan las primeras pistas para el inicio de la investigacin, como por ejemplo el comportamiento del equipo, ausencia de la informacin, procesos no ejecutados por el usuario, puertos abiertos, procesos lentos, entre otros. c. Identificar el equipo: Documentar el estado del equipo o Encendido Apagado. o Protegido por contrasea. o Dispositivos de almacenamiento externos conectados. x Documentar el equipo o Marca del equipo. o Modelo. o Direccin IP. o Nmero de MAC. x Documentar caractersticas del equipo, como unidad de procesamiento, almacenamiento voltil y permanente, bus de datos, etc. Determinar si existen conexiones WIFI x

d.

3. Asegurar la preservacin de la evidencia Este proceso consiste en la no alteracin de la informacin almacenada en la mquina y unidades externas. La preservacin garantiza una mejor bsqueda, reconocimiento y recoleccin de evidencia, porque existe la seguridad que se est tratando con informacin confiable e integra. x x x x x Asegurar que el personal est capacitado para trabajar con equipos de escritorio y porttiles. Aislar la mquina de Internet o intranet si se trata de un equipo perteneciente a una compaa. Crear el registro de la cadena en custodia. Documentar toda interaccin con el equipo. Tomar una foto o video que exhiba el estado inicial del dispositivo y de la escena en general Determinar las herramientas forenses a utilizar Tener en cuenta si la herramienta es opensource tiene algn costo. Identificar si la herramienta es soportada por el sistema operativo instalado en la mquina. Definir criterios de seleccin: Antes de realizar la seleccin de la herramienta, es necesario definir, por orden de importancia, los criterios a tener en cuenta con el fin de estar de acuerdo con la poltica de negocio de la empresa. A continuacin se nombran algunos de los ms comunes. Criterios definidos por Brian Carrier[5]: o Usabilidad: La habilidad de presentar datos de

4. x x x

251
o forma til para el investigador. Completitud: La habilidad de presentar todos los datos al investigador, incluyendo evidencia culpatoria como exculpatoria. Precisin: Se refiere a la calidad de los resultados que arroja la herramienta y al margen de errores obtenidos. Determinismo: La habilidad de la herramienta de producir el mismo resultado cuando se proporcionan el mismo conjunto de instrucciones y los mismos datos de entrada. Verificable: La habilidad de asegurar la precisin del resultado arrojado por la herramienta teniendo acceso a inmediato a la presentacin y traduccin de resultados. debida extraccin. Para llevar a cabo esta labor es necesario realizar las siguientes sub-actividades: 1.1. Priorizar las fuentes de datos, apoyndose en los factores de volatilidad, valor probable y la cantidad de esfuerzo requerido. 1.1.1. Desarrollar un plan para la obtencin de datos, para lo cual se toma como insumo la priorizacin. Este plan plasma al detalle el paso a paso para llevar a cabo exitosamente el proceso de adquisicin. 1.1.2. Proceso de adquisicin, en esta actividad se hace uso de herramientas forenses que permitan obtener la informacin necesaria para la investigacin. Existen dos formas de adquisicin de informacin, que son: la adquisicin fsica y la adquisicin lgica, las cuales se deben realizar de forma completa y suficiente. Se describen a continuacin: Adquisicin fsica: Obtencin del volcado de memoria tanto voltil como no voltil, es decir, copia bit a bit de los archivos. Tambin es recomendable obtener una imagen del equipo debido a que es posible que se encuentren rastros del incidente en dicho dispositivo. Adquisicin lgica: Se basa en el sistema de archivos, por lo tanto se conoce la relacin entre los diferentes archivos, ubicacin, caractersticas e informacin que pueden ser tiles para anlisis ms especficos durante el proceso de recoleccin de evidencia. A travs de esta extraccin se puede recuperar archivos borrados, contraseas protegidas y datos comprimidos, adems de espacios no asignados en disco. Verificacin de la integridad de la imagen de datos Creacin de una copia de la imagen Aseguramiento de la imagen suministrada En las actividades de obtencin de datos es importante adquirir informacin de los usuarios y/o administradores de los sistemas siempre y cuando sea posible, como: cuentas de usuario, contraseas (BIOS, de aplicaciones, de correo electrnico, sistemas operativos, bases de datos), sistemas operativos, aplicaciones ms utilizadas, topologa de la red, informacin para acceso a intranet o internet, dispositivos de almacenamiento externo, entre otros que permitan apoyar la investigacin. 1.1.3. Verificacin de la integridad de los datos: Con esta actividad se busca garantizar que los datos y elementos obtenidos no sufrieron modificaciones y son idnticos bit a bit a la fuente original. 2. Documentacin del procedimiento: La evidencia digital debe ser preservada y autenticada. Cuando se administra evidencia digital, se debe tener en cuenta las tres Cs, Cuidado, Control y Cadena de custodia. Cuando se siguen estos tres principios se garantiza que la evidencia digital presentada es la misma que el equipo incaut. Este proceso requiere de una estricta documentacin de la evidencia en su estado original y en cada paso de su

Criterios definidos por Daubert o Prueba: La herramienta ha sido probada empricamente? o Aceptacin: La herramienta ha sido sujeta a revisin antes de ser publicada? o Tasa de error: Cul es la potencial tasa de errores? o Credibilidad: Cul es la calificacin y estatus de la que tiene la comunidad cientfica sobre la herramienta? o Claridad: Los resultados proporcionados por la herramienta son fciles de entender? Otros criterios: o Calidad: Soporte tcnico, fiabilidad y actualizaciones peridicas frecuentes. o Capacidad: Caractersticas que soporta, numero de modelos de dispositivos, flexibilidad y personalizacin. o Asequibilidad: Costo versus beneficios en productividad. 5. Aplicar proceso de pruebas a las herramientas seleccionadas 6. Diligenciar listas de chequeo de funcionalidades (de la herramienta y del proceso) 7. Documentar la(s) herramienta(s) escogida(s)

3.1.2 Fase de recoleccin de informacin: Consiste en la recoleccin de la evidencia digital. Esta fase es realizada por los tcnicos forenses y se debe tener especial cuidado en la preservacin de la integridad y, por tanto, admisibilidad de la evidencia digital. 1. Realizar una identificacin de las posibles fuentes de datos, el objetivo de esta actividad es bsicamente identificar las fuentes de informacin, entre ellas los diversos archivos que el navegador genera, almacena y gestiona antes, durante y despus de su operacin como lo son entre otros el historial, la cache, los marcadores y las cookies, con el fin de realizar una planeacin detallada y estructurada para su

252
preparacin para los diversos procedimientos necesarios. Se recomiendan tres tipos de registros: Cadena de custodia Documentacin de la escena del incidente Documentacin de las acciones del equipo investigador Se puede realizar a travs de fotografas, grabaciones, capturas de pantalla entre otros, de los puestos de trabajo, equipos fsicos, conexiones con el fin de evidenciar el estado de los elementos involucrados en el incidente. En esta actividad se debe incluir informacin encontrada en el permetro y que pueda ser relevante para la investigacin. 3. Preservacin de la evidencia digital En esta etapa se busca garantizar uno ms de los requisitos de admisibilidad fijados por la Ley 527 de la Legislacin Colombiana: Para valorar la fuerza probatoria de la informacin digital habr de tenerse en cuenta la confiabilidad en la forma en la que se haya conservado la integridad de la informacin y la forma en la que se identifique a su iniciador. Los responsables de esta actividad son los denominados custodios de la evidencia, quienes se harn cargo de validar que la evidencia se encuentre correctamente identificada adems de mantener una estricta cadena de custodia. En esta actividad se debe: Inventariar los dispositivos o elementos de almacenamiento de evidencia digital removibles como CDs, DVDs, pen drives, memorias USB, discos duros externos, cintas. Si se encuentran dispositivos magnticos involucrados utilizar bolsas antiestticas. Registrar detalladamente los elementos a custodiar, su ubicacin y los posibles propietarios o usuarios. Proteger la integridad de la evidencia Se debe ser capaz de describir claramente la manera como se encontr la evidencia, como se manej y todo lo que sucedi con ella. Al final de la investigacin debe ser posible responder a las siguientes preguntas: Quienes realizaron la incautacin de la evidencia? Cuando y donde se realiz? Quin protegi y transport la evidencia? Quienes tienen la custodia de la evidencia? Durante cunto tiempo tendrn la custodia? Cmo se almacenan? Qu mtodos de proteccin fueron utilizados? Quines y porque razn tuvieron contacto con la evidencia? Es necesario rotular y registrar en el formato de incautacin todos los nmeros de serie de los elementos custodiados. Para todas las actividades de esta fase de recoleccin de evidencia es necesario tener las debidas consideraciones, con el fin de minimizar el riesgo de prdida de su calidad de admisibilidad. Para esto se recomienda seguir los lineamientos descritos en el captulo 5 del presente documento. 3.1.3 Fase de anlisis Consiste en el anlisis de los datos recolectados por los tcnicos forenses. Esta fase es efectuada por los investigadores forenses y, en general, se identifican los datos tanto fsicos como lgicos para construir una lnea de tiempo en donde se correlacionen todos los hechos y se pueda obtener la mayor cantidad de detalles del incidente ocurrido. Las personas que intervienen en esta fase deben estar altamente capacitadas, debido a que es donde se le va a dar significado y coherencia a lo que se tom de la fase previa. Para examinar la evidencia, se recomiendan los siguientes pasos: 1. Preparacin: En este paso se debe planear cual va a ser el directorio de trabajo, es decir, donde se va a almacenar la informacin que se extraer de lo entregado por los tcnicos forenses. 2. Extraccin: Importante proceso, se recomienda conocer los tipos de extraccin de evidencia. (Ver Capitulo 5, Tipos de extraccin de evidencia digital). 3. Anlisis de los datos extrados: En este paso se busca interpretar los datos extrados y determinar su significado en el caso de estudio. 4. Conclusin: Se describe la informacin significativa, producto del anlisis sobre los dispositivos de almacenamiento y datos suministrados por la fase de recoleccin. Teniendo en cuenta lo anterior, se puede decir que la tarea de recuperacin y reconstruccin de la evidencia digital, requiere que se busque eficientemente sobre el contenido de diferentes medios de almacenamiento, con el fin de identificar evidencia relevante. Adems, el analista siempre debe suponer que puede existir informacin no visible dentro del medio. La evidencia digital puede ser clasificada, comparada e individualizada de diferentes maneras, las cuales deben ser utilizadas a criterio del investigador basado en la evidencia que se haya recolectado hasta el momento.

Recomendaciones generales: Identificar propiedades generales de la adquisicin. Estructura de la adquisicin. Recuperar los datos borrados. Recuperar informacin oculta. Anlisis de datos lgicos. Anlisis de los archivos obtenidos (correlacin de eventos). Construccin de la lnea de tiempo definitiva. 3.1.4 Fase de reporte: Consiste en documentar todas las acciones, eventos y hallazgos obtenidos durante el proceso. Todo el personal est

253
involucrado en sta fase y es vital para asegurar la cadena de custodia de la evidencia. Los reportes generalmente son generados por la herramienta que se utiliza en el anlisis. Se realiza una documentacin detallada de la informacin contenida sobre los dispositivos de almacenamiento. La documentacin tambin incluye el lugar de donde se tom y el destino de la evidencia. Fase de anlisis El anlisis se realiz en 2 fases, en la primera se analiz la evidencia con ChromeAnalysis, con el fin de obtener un anlisis general del contenido de los archivos relevantes del navegador. Los resultados de esta herramienta, solo permiten conocer el contenido de cada uno de los archivos mencionados anteriormente. En este caso, slo hubo resultados o rastros de navegacin, en la pestaa WebSite History, en la que se muestran las respectivas URLs visitadas, as como el nmero de visitas, y la fecha y hora exactas de visita. La otra pestaa que presenta informacin es Cookies. Las pestaas Bookmarks, Downloads, Search Terms, Logins, Archived Website History, Archived Search Terms no muestran contenido alguno. A partir del resultado obtenido en la pestaa de WebSite History, se puede realizar un anlisis de las URLs que arroja la herramienta y determinar qu sitio visita el acusado, y si los sitios estn relacionados con las acusaciones realizadas hacia l. Las URLs que se analizaron corresponden pginas de Facebook, las cuales para este caso no estn asociadas a ningn contenido de pornografa, ni mucho menos pornografa infantil. Lo importante del resultado arrojado por esta herramienta es el contador de visitas a determinadas pginas identificando cuales son los destinos que el investigado frecuenta. El campo de visitas totales es importante para esta fase ya que a travs de l podemos inferir con qu frecuencia la persona accede a determinadas pginas. En este caso se realiza una priorizacin de las pginas ms visitadas a las menos visitadas y se procede a verificar los respectivos sitios. Para realizar el anlisis de los archivos del Chrome, ms profundamente se analizaron los archivos utilizando la herramienta SQLite Database y ChromeCacheView. Segunda Fase Se comienza analizando la cache, para esto hacemos uso de la herramienta ChromeCacheView, que permite acceder a los archivos de la carpeta Cache en Default. Con esta herramienta se puede observar el contenido de la cache, a travs de las siguientes propiedades: Filename, URL, Content Type, File Size, Last Accessed, Server Time, Server Last Modified, Expire Time, Server Name, Server Response, Content Encoding, Cache Name, Cache Control, ETag. A partir de la informacin obtenida por la herramienta se pueden identificar los archivos de inters para la investigacin, para este caso se realiza un ordenamiento por tipo de contenido y se determina que los archivos a verificar

VALIDACIN DE LA PROPUESTA

Esta metodologa fue validada con un escenario de prueba, el cual esta relacionado con un estudiante de mercadeo, que es acusado ante la fiscala por abuso de menores y pornografa infantil. A continuacin se resume los resultados obtenidos de la validacin en cada una de las fases propuestas: Fase de preparacin En esta primera fase se realizo la definicin de roles y se asignaron las responsabilidades, se usan 4 de los 6 roles: investigador, custodio de la evidencia, examinador forense y analista forense. Se procedi a identificar la escena, en la cual se determina que es un computador porttil marca COMPAQ Modelo PresarioCQ61-400 el elemento a incautar. Acto siguiente, se procede a realizar una entrevista con el propietario para conocer mayores detalles de su interaccin con el dispositivo, se identifican las caracteristicas propias del dispositivo, se documenta y se preserva, sin olvidar crear el debido registro de la cadena de custodia. Todo esto se deja debidamente documentado con fotografas y registros. En esta fase tambin se determinan las herramientas a utilizar, en este caso: ChromeAnalysis, SQLite Database Browser y ChromeCacheView, basado en criterios como usabilidad, completitud, precisin, credibilidad, calidad, capacidad y asequibilidad. Aqu mismo se realiza el diligenciamiento de las listas de chequeo de funcionalidades de la herramienta y del proceso y se procede a dejarlas todo el proceso debidamente documentado. Fase de recoleccin En esta fase se identifica la fuente de datos, que en el caso de prueba es una sola y corresponde a la generada por el navegador web Google Chrome, en la carpeta Default. Se deja documentado cada paso del procedimiento, esto es: 1. Determinar la fuente de datos a analizar. 2. Se realiza una copia de los archivos de la ruta y se almacena en dos memorias USB, 2 CDs ROM, un disco duro externo y en el disco duro del equipo donde se va a realizar el anlisis. 3. Se identifica el tamao total del directorio a analizar, al igual que los archivos que contiene, es decir, se realiza un inventario de los archivos y carpetas de la fuente de datos. Las memorias USB (2), el disco duro externo (1), y el CD ROM (1) donde se almacen la evidencia se encuentran identificados por un cdigo y un nombre. Se recomienda que estos dispositivos de almacenamiento se protejan con bolsas antiestticas, para este caso no se cuenta con estos recursos.

254
sern los .jpg que representan imgenes. En total son 135 archivos con la extensin .jpg, cada uno con su determinada direccin o URL. El proceso de verificacin consiste en tomar cada URL e ingresarla en cualquier navegador web, en el caso presente se utiliz Internet Explorer 7.0, y una vez cargada la URL, se mostrar en el navegador la imagen a verificar. Para esta investigacin, las imgenes que estn relacionadas con pornografa infantil o abuso a menores sern las que se incluirn como evidencia electrnica. Para realizar el proceso de anlisis los investigadores se pueden valer de cualquier criterio para la verificacin de los archivos. En esta etapa es posible buscar elementos o acciones comunes, que puedan dar indicios de algo relevante en el comportamiento de la navegacin del usuario. Realizando diversos filtros se puede analizar por cada una de las variables anteriormente mencionadas. Es posible con esta herramienta visitar los enlaces almacenados en la memoria cach, con el fin de conocer lo que el usuario estaba viendo. El siguiente elemento analizado es el archivo History. Este es analizado a travs de su base de datos, con SQLite Database Browser, para esto es necesario ingresar la ruta donde se encuentran los archivos a analizar. Aqu se puede estudiar su estructura, as como navegar en su contenido y a partir de esta informacin conocer la relacin que existe entre las entidades que son utilizadas por Google Chrome. Los resultados de esta herramienta, permiten apreciar una relacin entre las tablas: urls, visits, keyword_search_terms y downloads. Se visualizan los tipos de datos de los campos correspondientes a cada tabla, y tambin el tipo de objeto, es decir, si es una tabla o un campo. A travs de esta relacin se pueden obtener filtros verdaderamente significativos como el que se define a continuacin: Se realiza un filtro para mostrar las urls por las que el usuario accedi en compaa del ttulo de la pgina que cada url abre, de igual forma un campo que indica cuantas veces ha sido visitada la url. Con base en el resultado obtenido con la herramienta SQLite database browser, se aprecia que el resultado es muy similar a los arrojados por las herramientas previas. Se examinaron las URLs ms visitadas, y se investig el material que cada una representa, obteniendo como resultado informacin muy diferente a la que se le asocia al investigado. Segn las dos fases de anlisis realizadas previamente, se determina que el investigado no est relacionado con ningn material de pornografa infantil. Las razones que llevaron a cabo esta conclusin fueron: 1. Generalmente las personas obsesionadas con la pornografa, en este caso con pornografa infantil, frecuentan pginas de dicha ndole. Con base en la priorizacin realizada de las pginas que ms frecuenta, ninguna est relacionada con pornografa, nios, sexualidad en general. 2. Las fotos o imgenes que se verificaron no estaban relacionadas con pornografa. 3. Los videos que se verificaron no estaban relacionados con pornografa. Nota: La conclusin realizada sobre este caso no determina la inocencia del acusado, ya que este anlisis se realiz sobre la informacin que exista en la cach del navegador web Google Chrome instalado en su porttil. Fase de Reporte Los reportes de hallazgos son generados por las herramientas seleccionadas, en este caso ChromeAnalysis, SQLite Database Browser y ChromeCacheView, en distintos formatos dependiendo de la seleccin del investigador forense.

RETROALIMENTACIN DE LA GUA PROPUESTA

La presente seccin expone las conclusiones sobre la experiencia de la aplicacin de la gua metodolgica y las posibles futuras mejoras que se proponen: x La asignacin de roles en la investigacin, es una fase primordial que se debe realizar y se debe tener en cuenta durante todo el proceso; sin embargo, se debe enfatizar que no es necesario que todos los roles estn presentes y que el nmero de personas en una investigacin depende de los recursos econmicos del ente que realiza la investigacin. x La fase de identificacin de la escena puede ser algo compleja en un mbito hipottico (como fue el presente caso) para realizar la validacin de la gua metodolgica debido a que, al realizar los mismos estudiantes el seguimiento de la gua, se supone que todos los elementos utilizados en los escenarios se van a incautar, sin embargo, en los casos reales no se debe suponer ningn tem y se deben incautar y documentar todos los dispositivos y elementos que se encuentren en la escena y que tengan o puedan tener que ver con la investigacin en curso. x En la presente validacin de la gua metodolgica se propone una entrevista al propietario, sin embargo, esta puede ser diseada de acuerdo a las necesidades de cada caso especfico. x El paso de asegurar que el personal est capacitado para trabajar sobre la investigacin, aunque parece no ser tan importante, en un caso real se debe tener muy en cuenta debido a que los equipos de investigacin no slo realizan anlisis en computadores personales, sino tambin en telfonos mviles, servidores, entre otros, por lo que es necesario asegurarse que las personas que trabajan en el caso estn capacitadas para realizar las

255
labores encomendadas con el fin de minimizar los riesgos de alteracin o eliminacin de evidencia digital relevante. x El registro de cadena de custodia puede ser diseado segn las necesidades del caso, sin embargo, se recomienda utilizar formatos estndar sugeridos por entes de control del pas en el que se realiza la investigacin, debido a que son formatos que se adhieren a las normativas y leyes de la nacin en donde se va a presentar el caso. procedimientos, es posible aplicarla realizando algunas modificaciones pertinentes a otro tipo de dispositivos mviles de diferentes tecnologas. Debido al creciente uso de telfonos celulares en el mundo, las vulnerabilidades resultantes de los cada vez mas complejos sistemas operativos y la conectividad entre ellos, los fabricantes tanto de hardware como de software de dichos dispositivos deberan colaborar con la implementacin de mecanismos que permitan registrar con ms detalle los eventos en el dispositivo con el fin de proporcionar los medios necesarios para realizar una correlacin de eventos y poder llegar a una conclusin de los hechos de una forma ms sencilla y certera. Un ejemplo de esto es que en el rastro hallado de la conexin Bluetooth en la validacin de la gua no se encontr la fecha en que se realizo la conexin, por lo que no se pudo establecer su incidencia en la lnea de tiempo definitiva.

CONCLUSIONES
En este trabajo se realiz una extensa investigacin acerca del estado del arte de la informtica forense tanto clsica como en el navegador web Google Chrome, profundizando en cada uno de los aspectos que la componen. Esto se llevo a cabo con el fin de realizar la propuesta de la gua metodolgica presentada en este trabajo, basndola en los conceptos y procedimientos investigados, y refinndola para el manejo y tratamiento no solo en el navegador web Google Chrome sino en otros navegadores. Es importante tener en cuenta otros aspectos importantes de la investigacin, los cuales son: Existe un rea de exploracin importante en el campo de la informtica forense orientada a dispositivos mviles, pues esta rama de las ciencias forenses esta en surgimiento, y requiere de aportes continuos y ms investigacin. Fue fundamental el realizar una extensa adquisicin de material bibliogrfico, puesto que le dio bases serias a la investigacin, y permiti avanzar rpidamente a travs de los captulos propuestos para finalmente proponer una gua metodolgica orientada a incidentes. El tema de rastros de evidencias en dispositivos mviles fue uno de los puntos mas crticos durante el anlisis de resultados obtenidos despus de hacer la adquisicin lgica de los datos del dispositivo del escenario propuesto. Es necesario que se desarrollen plenamente otros mtodos para realizar adquisiciones ms completas y que contengan otros tipos de informacin que puedan contener rastros de incidentes. Al final del proceso de ejecucin de la gua metodolgica, se pudo concluir que es viable llevar a cabo su aplicacin, teniendo en cuenta los puntos expuestos en el captulo del anlisis de resultados. Tambin se recomienda ajustar la gua metodolgica a partir de las recomendaciones dadas en la retroalimentacin que se hizo durante la investigacin y la aplicacin de la gua. Aunque la gua metodolgica est orientada a dispositivos mviles GSM, dada su fundamentacin y sus estrictos

REFERENCIAS
[1] NOBLETT, Michael G; POLLIT Mark M y PRESLEY Lawrence. Recovering and Examining Computer Forensic Evidence. En: Forensic Science Communications FBI [En lnea]. Estados Unidos: 2000 <Disponible en: http://www.fbi.gov/hq/lab/fsc/current/index.htm> [Consulta: Mar. 2010] RESTREPO, Ana Mara. Computacin forense, anlisis de cadveres virtuales. [En lnea] <Disponible en: http://www.dragonjar.org/computacion-forense-analisis-de-cadaveresvirtuales.xhtml> [Consulta: Mar. 2010 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Guidelines on Cell Phone Forensics. En: NIST. Gaithersburg: 2007. [En lnea] <Disponible en: http://csrc.nist.gov/publications/nistpubs/800101/SP800-101.pdf > [Consulta: Sept. 2010] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Guidelines on Cell Phone Forensics. En: NIST. Gaithersburg: 2007. [En lnea] <Disponible en: http://csrc.nist.gov/publications/nistpubs/800101/SP800-101.pdf > [Consulta: Sept. 2010] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Guidelines on Cell Phone Forensics. En: NIST. Gaithersburg: 2007. [En lnea] <Disponible en: http://csrc.nist.gov/publications/nistpubs/800101/SP800-101.pdf > [Consulta: Sept. 2010]

[2]

[3]

[4]

[5]

Andrs Eduardo Len Zuluaga naci el 24 de Agosto de 1988. Realiz estudios de secundaria en la Universidad Pontificia Bolivariama, actualmente opta por el titulo de Ingeniera Informtica de la Universidad Pontificia Bolivariana. Tatiana Echeverra Jimnez naci el 26 de Mayo de 1987. Realiz estudios de secundaria en la Universidad Pontificia Bolivariana y actualmente opta por el titulo de Ingeniera Informtica de esta misma Universidad. Ha estado vinculada a IEEE. Manuel Santander Pelaez, Ingeniero de Sistemas de la Universidad EAFIT. MBA Universidad EAFIT. GCFA GOLD, GCIA Gold, GNET Silver, SSP-MPA. Miembro del Comit de tica de SANS Institute. Desarrollador de Cursos para SANS Institute. Coordinador Equipo de Seguridad y Contingencia de las Empresas Pblicas de Medelln E.S.P. Docente de la Universidad Pontificia Bolivariana y la Escuela de Ingeniera de Antioquia en las ctedras de Fundamentos de Seguridad de la Informacin, Arquitecturas de Seguridad, Modelos de Seguridad, Diseo de Redes de Datos, Fundamentos de Telecomunicaciones y Sistemas Operativos. Conferencista Nacional e Internacional sobre Seguridad de la Informacin.