Professional Documents
Culture Documents
DE LA EVIDENCIA DIGITAL
INTRODUCCION
La informtica forense est adquiriendo una gran
importancia dentro del rea de la informacin
electrnica, esto debido al aumento del valor de la
informacin y/o al uso que se le da a sta, al
desarrollo de nuevos espacios donde es usada (por
Ej. el Internet), y al extenso uso de computadores
por parte de las compaas de negocios
tradicionales (por Ej. bancos). Es por esto que
cuando se realiza un crimen, muchas veces la
informacin queda almacenada en forma digital.
Sin embargo, existe un gran problema, debido a
que los computadores guardan la informacin de
forma tal que no puede ser recolectada o usada
como prueba utilizando medios
comunes, se
deben utilizar mecanismos diferentes a los
INFORMATICA FORENSE
Segn el FBI, la informtica (o computacin) forense es la ciencia
de adquirir, preservar, obtener y presentar datos que han sido
procesados electrnicamente y guardados en un medio
computacional. 2
La informtica forense, es el conjunto de tcnicas cientficas y
analticas especializadas en infraestructura tecnolgica que
permitan identificar, preservar, analizar y mostrar datos que sean
vlidos dentro de un proceso legal o cuando la situacin lo requiera.
A travs del uso de tecnologa de punta se busca mantener la
integridad y procesamiento de los datos, para lo cual se requiere de
una especializacin y conocimientos avanzados en sistemas
informticos, que le permitan detectar dentro de cualquier
dispositivo electrnico lo que esta sucediendo.
TERMINOLOGIA FORENSE
Informtica forense(3).- Tambin conocida como computacin. la
ciencia de adquirir, preservar, obtener y presentar datos que han sido
procesados electrnicamente y guardados en un medio
computacional.
Forensia en redes(4)
OBJETIVOS DE LA INFORMATICA
FORENSE
Crear y aplicar polticas para prevenir posibles ataques y de
existir antecedentes evitar casos similares.
Perseguir y procesar judicialmente a los criminales.
Compensar daos causados por los criminales o intrusos
EVIDENCIA DIGITAL
EVIDENCIA DIGITAL
Es toda informacin que se extrae de un medio
electrnico,
la cual debe cumplir con ciertas
exigencias para su autentificacin, debido a que este
tipo de documentacin digital no deja rastro alguno de
ser copiado y en el intervalo puede modificarse. Por tal
razn los investigadores deben generar varias copias y
verificar durante el proceso de trabajo que no haya
ninguna alteracin.
CLASIFICACIN DE LA
EVIDENCIA DIGITAL
Registros generados por la computadora.- Son aquellos
que resultan del uso de la PC, los cuales son inalterables por
el usuario y pueden ser usados como prueba.
Registros almacenados por o en computadores.- Son
todos aquellos archivos creados por el usuario y almacenado
en la PC. En este tipo de registro, es importante poder
demostrar la identidad del creador, y probar lo afirmado en
dicha evidencia misma es verdico.
Registros hbridos.- Estn formados por los registros
generados y los almacenado por la PC.
Discos slidos
Discos rgidos
Discos externos
Memorias USB
Palms
Celulares
Camaras digitales
Fax
DESAFIOS DE LA EVIDENCIA
DIGITAL
Voltil
Annima
Duplicable
Contaminable
Modificable
Eliminable
MANIPULACIN DE LA
EVIDENCIA DIGITAL
La evidencia digital, al momento de ser recolectada no debe
ser alterada por lo que se debe preservar la integridad del
medio original que la contiene.
Las personas que deben estar a cargo de este tipo de
evidencias debe ser un profesionales especializado en el
manejo de este tipo de informacin.
Todas las actividades de recoleccin, almacenamiento o
traslado de la evidencia digital, debe ser documentada,
preservada y estar disponible para la revisin.
Las personas a cargo de la evidencia digital, son las
responsables de la misma.
CONSIDERACIONES EN EL MANEJO DE
LA EVIDENCIA DIGITAL
No se debe trabajar con datos originales,
evidencias, dispositivos, etc..
Se debe trabajar dentro del marco legal vigente y
las polticas de la Organizacin
Si los resultados
pueden ser verificables y
reproducibles
DIFICULTADES EN LA RECOLECCION DE
EVIDENCIA DIGITAL
Ausencia de software especializado para buscar la
informacin en varios computadores.
Existe un alto ndice de probabilidades de que estas
pruebas puedan ser contaminadas a un sin darnos
cuenta
Dificultad para contar con software y hardware para
almacenar, preservar y presentar los datos como
evidencia.
Falta de pericia para mostrar, reportar y documentar
un incidente informtico.
ADMISIBILIDAD DE LA
EVIDENCIA DIGITAL
(7)
Listado de
herramientas forenses
ADQUISICIN Y ANLISIS DE LA
MEMORIA
MONTAJE DE DISCOS
Utilidades para montar imgenes de disco o virtualizar unidades de forma
que se tenga acceso al sistema de ficheros para posteriormente analizarla.
ImDisk - Controlador de disco virtual.
OSFMount - Permite montar imgenes de discos locales en Windows
asignando una letra de unidad.
raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde
el administrador de discos de
Windows .
LiveView - Utilidad en java que crea una mquina virtual de VMware
partiendo de una imagen de disco.
MountImagePro - Permite montar imgenes de discos locales en Windows
asignando una letra de unidad
ANLISIS DE MALWARE
PDF Tools de Didier Stevens.
PDFStreamDumper - Esta es una herramienta gratuita para el anlisis PDFs
maliciosos.
SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer - Muestra informacin de los procesos.
Captura BAT - Permite la monitorizacin de la actividad del sistema o de un
ejecutable.
Regshot - Crea snapshots del registro pudiendo comparar los cambios entre
ellos
Bintext - Extrae el formato ASCII de un ejecutable o fichero.
LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado
de memoria de los procesos
ejecutados.
Firebug - Analisis de aplicaciones web.
IDA Pro - Depurador de aplicaciones.
OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su
propsito es la deteccin de exploits
OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar
programas o ficheros maliciosos en
Office.
Radare - Framework para el uso de ingeniera inversa.
FileInsight - Framework para el uso de ingeniera inversa.
Volatility Framework con los plugins malfind2 y apihooks.
FRAMEWORKS
Conjunto estandarizado de conceptos, prcticas y criterios en base a el
anlisis forense de un caso.
PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos
de un disco ya montado.
Log2timeline - Es un marco para la creacin automtica de un super lnea de
tiempo.
Plaso - Evolucin de Log2timeline. Framework para la creacin automtica de
un super lnea de tiempo.
OSForensics - Busca ficheros, genera hash, dispone de rainbow tables.
Analiza datos de un disco ya montado.
DFF - Framework con entorno grfico para el anlisis.
SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a
menudo.
Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy
til.
RECUPERACIN DE
CONTRASEAS
Todo lo relacionado con la
recuperacin de contraseas en
Windows, por fuerza bruta, en
formularios, en
navegadores.
Ntpwedit - Es un editor de contrasea
para los sistemas basados en
Windows NT (como Windows 2000,
XP,
Vista, 7 y 8), se puede cambiar o
eliminar las contraseas de cuentas
de sistema local. No valido para
Active
Directory.
Ntpasswd - Es un editor de
contrasea para los sistemas basados
en Windows, permite iniciar la utilidad
desde
un CD-LIVE
pwdump7 - Vuelca los hash. Se
ejecuta mediante la extraccin de los
DISPOSITIVOS MVILES
Esta seccin dispone de un set de
utilidades y herramientas para la
recuperacin de datos y anlisis
forense de
dispositivos mviles. He incluido
herramientas comerciales dado que
utilizo algunas de ellas y considero
que
son muy interesantes e importantes.
iPhone
iPhoneBrowser - Accede al sistema de
ficheros del iphone desde entorno
grfico.
iPhone Analyzer - Explora la
estructura de archivos interna del
iphone.
iPhoneBackupExtractor - Extrae
ficheros de una copia de seguridad
realizada anteriormente.
iPhone Backup Browser - Extrae
ficheros de una copia de seguridad
realizada anteriormente.
iPhone-Dataprotection - Contiene
herramientas para crear un disco RAM
forense, realizar fuerza bruta con
contraseas simples (4 dgitos) y
descifrar copias de seguridad.
iPBA2 - Accede al sistema de ficheros
del iphone desde entorno grfico.
sPyphone - Explora la estructura de
archivos interna.
BlackBerry
Blackberry Desktop Manager Software de gestin de datos y
backups.
Phoneminer - Permite extraer,
visualizar y exportar los datos de los
archivos de copia de seguridad.
Blackberry Backup Extractor - Permite
extraer, visualizar y exportar los
datos de los archivos de copia de
que viene, ms concretamente el
martes 24
de Julio a las 16:00, tendr el gusto
de dar
otro Webcast sobre anlisis de
Malware
orien...
Hace 1 ao
Blog Archive
Forensics PowerTools (Listado de
herramientas forenses) ~
ConexionInversa
http://conexioninversa.blogspot.com/
2013/09/forensics-powertools-listado-
Android
android-locdump. - Permite obtener la
geolocalizacin.
androguard - Permite obtener,
modificar y desensamblar formatos
DEX/ODEX/APK/AXML/ARSC
viaforensics - Framework de
utilidades para el anlisis forense.
Osaf - Framework de utilidades para
el anlisis forense.
PRODUCTOS COMERCIALES
No podan faltar. Disponer de estas
herramientas es una maravilla y un
lujo el poder utilizarlas. Rpidas y
concisas. Lo peor en alguna de ellas
es el precio.
UFED Standard
(http://www.cellebrite.com)
XRY (http://www.msab.com)
Mobilyze
(http://www.blackbagtech.com)
SecureView2
(http://mobileforensics.susteen.com)
MobilEdit! (http://www.mobiledit.com)
Oxygen Forensic (http://www.oxygenforensic.com)
CellDEK (http://www.logicube.com)
Mobile Phone Examiner
(http://www.accessdata.com)
Lantern (http://katanaforensics.com)
Device Seizure
(http://www.paraben.com)
REFERENCIAS
1.- scar Lpez, Haver Amaya, Ricardo Len, INFORMTICA FORENSE en:
http://www.urru.org/papers/RRfraude/InformaticaForense_OL_HA_RL.pdf
2.- Juan David Gutierrez Giovanni,Informtica Forense en:
Zuccardihttp://pegasus.javeriana.edu.co/~edigital/Docs/Informatica
%20Forense/Informatica%20Forense%20v0.6.pdf
3.- Jeimy J. Cano, Ph.D, CFE , Introduccion a la Informatica
Forense, en: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
4.Roberto
Gomez
Cardenas,
Computo
Forense
en
redes,
en:http://www.cryptomex.org/SlidesForensia/ForensiaRedes.pdf
5.-Jose
Galiel
Solano
Torres,
Informtica
Forense,
en
:
http://josemiguelapalucero.files.wordpress.com/2010/10/informatica-forense.pdf.
6 y 7 .- Andrs Almanza, Recoleccin de Evidencia en Ambientes de
Reden:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jorn
ada_de_Seguridad/AndresAlmanza-VJNSI.ppt.
WEBGRAFIA
http://laconsigna.files.wordpress.com/2008/05/infor
matica-forense.pdf.
http://webcache.googleusercontent.com/search?
q=cache:ZTt_9TMDXUsJ:densiunc.wikispaces.com/file/view/Evidencia%2Bdigital
%2B-%2BAlberto%2BUez.ppt+&cd=1&hl=es419&ct=clnk&gl=pe.
http://www.slideshare.net/vaceitunofist/j-16621012
http://www.masterrecoverylab.co/recoforense.asp
http://www.ecured.cu/index.php/Inform
%C3%A1tica_Forense#Criterios_de_admisibilidad
http://forenseinfor.blogspot.com/2009_06_01_archive.html
http://www.presman.com.ar/admin/archivospublica
ciones/archivos/Curso
%20PGN_20100706100513.pdf