domingo, 17 de mayo de 2015

Introducción a la Informática Forense

La Informática Forense es una disciplina de vital importancia en el ámbito corporativo, ya que proporciona la línea y técnicas necesarias para la investigación de delitos informáticos, permitiendo el análisis de pruebas digitales y la solución de conflictos tecnológicos en el ámbito de la protección de datos y seguridad informática.


Los objetivos de la Informática Forense se pueden resumir en:

  1. Ser usada como medida preventiva, en procesos de auditoria, para la detección de vulnerabilidades de seguridad y toma de acciones correctivas y preventivas
  2. Recoger e identificar elementos probatorios que permita analizar la fuente de los ataques informáticos.
  3. Identificar y analizar las posibles alteraciones, destrucciones y manipulaciones de información causadas por intrusos.

El incremento de los delitos en el ámbito tecnológico e informático a nivel mundial, ha generado la necesidad de definir estos actos ilícitos bajo el nombre de delitos informáticos.

Publicadas por a la/s No hay comentarios.:

Delitos informáticos

Un delito informático puede considerarse como cualquier actividad ilegal contra el soporte tecnológico e informático de una organización, y en el marco de actividades criminales de robo, manipulación, falsificación, fraude.


La Organización de las Naciones Unidas (ONU) define tres tipos de delitos informáticos:

Fraudes cometidos mediante manipulación de computadoras
  • Manipulación de los datos de entrada o sustracción de datos.
  • La manipulación de programas
  • Manipulación de los datos de salida.
  • Fraude efectuado por manipulación informática
  • Manipulación de los datos de entrada

Falsificaciones informáticas:
  • Alteración de documentos digitales.
  • Uso de equipos informáticos para falsificar documentos.

Los daños o modificaciones de programas o datos computarizados:
  • Sabotaje informático
  • Acceso no autorizado a servicios y sistemas informáticos.
  • Reproducción no autorizada de programas informáticos de protección legal 
Publicadas por a la/s No hay comentarios.:

Fases de la Informática Forense



Identificación:
  • Levantamiento de información: Descripción del delito informático, a partir de la denuncia presentada por el señor Pérez, así como la información general información de la organización y más específicamente del señor Pérez, información sobre el equipo afectado, detalles del equipo donde huno la perdida de la información, sus características técnicas.
  • Asegurar la escena: Identificar las evidencias para evitar la manipulación indebida que conlleve a la perdida de confiabilidad en el procesamiento.

Validación y preservación
  • Copias de la evidencia, específicamente del disco duro donde se presentó la pérdida de información, detallando el procedimiento a seguir.
  • Cadena de custodia, informando el paso a seguir para garantizar que la información recogida sirva como prueba ante la denuncia.

Análisis
  • Preparación para el análisis, garantizando las condiciones para un procesamiento adecuado y que permita la adecuada manipulación de los elementos involucrados.
  • Reconstrucción del ataque para determinar no sólo el medio por el cual fue extraída la información, sino el procedimiento que emplearon para el borrado.
  • Determinación del ataque, identificando si el ataque fue a través de la red o por medios físicos.
  • Identificación del atacante, sabiendo el medio y la forma como accedió al sistema y realizó el ataque es posible una identificación plena de quien atacó el sistema.
  • Perfil del atacante, con esto se pretende además de descubrir al atacante, conocer los motivos, así como el propósito que tuvo al atacar el sistema de la organización cuatro ruedas.
  • Evaluación del impacto causado al sistema para determinar los daños y las compensaciones que hubiesen a lugar por parte del atacante.

Documentación y presentación de pruebas
  • Registro del incidente.
  • Informe técnico.
  • Informe ejecutivo.
Publicadas por a la/s No hay comentarios.:

Herramientas de informática forense

En la actualidad existe una gran variedad de herramientas Software libre o propietario para el análisis forense.


Entre las herramientas para Investigación Forense más usadas encontramos:
EnCase. Osforensics,  Access Data Forensic Tool Kit (Ftk), Forense Toolkit (TCT) y Caine, Autopsy etc.
Publicadas por a la/s No hay comentarios.:

Instalando y examinando Autopsy

Autopsy es programa en código abierto para el análisis forense de dato con interfaz gráfica lo cual lo convierte en una herramienta fácil de utilizar. Puede ser descargado desde http://www.sleuthkit.org/autopsy/download.php

 La instalación de Autopsy es asistida y mediante unos pocos pasos se instala fácilmente el software:
Instalación de Autopsy.
Selección de ubicación para la instalación de Autopsy.
Instalación finalizada de Autopsy.
El inicio del programa permite crear un nuevo caso o abrir uno ya existente. Para el caso particular se creará uno nuevo:
Pantalla inicial de Autopsy
Se crea el caso y se especifica la ruta donde se guardará la información relacionada:
Creación de caso en Autopsy

Se especifica el número del caso para llevar el control y el nombre del investigador:
Identificador de investigador del caso
Luego, se montar una imagen de la información que se quiere analizar:
La aplicación inmediatamente trae la información del disco, empezando por las características de éste:
Caracteristicas generales de la imagen a analizar

Una de las características importantes es que Autopsy permite ver las distintas particiones del disco:
Particiones del disco analizado

Luego, es posible examinar los ítems que tiene la unidad:
Elementos del disco analizado

Tiene además un apartado específicamente para los archivos eliminados:
Archivos eliminados del disco

Cuando se selecciona un archivo eliminado es posible identificar información detallada del archivo en la parte inferior de la pantalla:
Detalles del archivo eliminado
Conclusiones:
Una de las herramientas más importantes es el análisis de la fuente de datos. . Además, tiene visores de archivos por tipos, recientes, borrados y por tamaño. Es posible hacer además búsquedas, examinar mensajes de correo electrónico y elementos de interés, así como etiquetas.

Publicadas por a la/s No hay comentarios.:

Instalando y examinando CAINE - Autopsy

CAINE (Computer Aided INvestigative Environment) es una distribución Linux con entorno gráfico con un compendio de aplicaciones enfocadas hacia en análisis forense digital.  Dentro de las herramientas con las que cuenta CAINE se puede llegar a analizar imágenes de discos, bases de datos, redes, memorias y dispositivos móviles. 

CAINE se puede descargar desde la siguiente dirección: http://www.caine-live.net/page5/page5.html

Para este blog, se trabajará únicamente la aplicación Autopsy que se encuentra contenida en CAINE.

CAINE no requiere instalación, ya que se trata de un LIVE CD, por lo que es necesario tener dos consideraciones importantes:
  • El montaje se realizará desde una maquina virtual
  • El procesamiento, así como el caso analizado no se guardará en ninguna ubicación de la maquina, por lo que al apagar el sistema se perderá la información.


Como se mencionaba, se monta una maquina virtual usando el programa VM VirtualBox. Se configura para que sea una maquina con sistema operativo Ubuntu a 64 bits, con memoria RAM de 1GB y disco duro de 8 GB, sin embargo ni el sistema operativo ni el disco duro serán tocados dado que CAINE corre directamente desde la imagen ISO descargada desde la dirección anteriormente referenciada: 
Maquina virtual para el montaje de CAINE

Al arrancar el sistema, se selecciona la versión de CAINE gráfica para mayor facilidad:
Selección de la interfaz gráfica de CAINE

Cargado el sistema, la interfaz gráfica permite fácilmente trabajar sobre las distintas opciones 
Pantalla principal del sistema

Como se mencionaba, CAINE cuenta con un conjunto de herramientas para le análisis forense:
Herramientas disponibles para análisis forense en CAINE
Se ingresa a la aplicación Autopsy la cual funciona a través del explorador de Internet:
Pantalla principal de Autopsy

Y se crea un nuevo caso, se realiza una descripción del mismo y se asocian los investigadores:
Creación del caso en Autopsy

Creado el caso es necesario crear un host:
Creación del host en Autopsy

Luego, es necesario asociar la imagen del caso a analizar:
Adición de imagen en el caso

Se carga la imagen indicando su ubicación, si se trata de una imagen o una partición y el método de importación:
Selecciona la imagen a analizar

Previo al cargue de la imagen es posible calcular el hash del disco con el fin de verificar que se trata del mismo procesado como evidencia, además se conocen algunos detalle del sistema de archivos:
Parámetros de la imagen a analizar

El sistema entrega la información calculada y permite agregar una nueva imagen o continuar con el análisis de esta: 
Hash calculado sobre la imagen

Ya con la imagen cargada, se inicia el análisis:
Inicio del análisis sobre la imagen

Se solicita hacer un análisis de las actividades de los archivos en una línea de tiempo:
Hacer análisis de línea de tiempo sobre la imagen

Se  establecen los parámetros para el análisis:
Parámetros de análisis para la linea de tiempo

y se establece el archivo de salida:
Información para la salida de información:

Finalmente el programa arroja la información solicitada para una fecha en particular, la cual se puede modificar con los parámetros de la parte superior de la pantalla:
Visor de los archivos por fecha

Además, es posible analizar el sistema de archivo del disco, los archivos asociados a la línea de tiempo y al resultado como tal: 
Análisis de la línea de tiempo

Es posible observar el estado actual de los archivos, por ejemplo en la imagen se observa que varios de ellos se encuentran eliminados:
Identificación de archivos eliminados



Conclusiones:
Aunque CAINE tiene muchas más herramientas de análisis forense, sólo se exploró la herramienta de Autopsy. Es posible hacer una línea de tiempo de la actividad sobre los archivos, chequear la integridad de la imagen, calcular el hash de archivos y del disco. Además, permite tomar notas relevantes y registrar la secuencia de los eventos.

También permite chequear la integridad del disco mediante la generación del hash. Además, al ser un sistema sobre montado, no se altera el sistema donde se ejecuta la tarea.
Referencias Bibliográficas

 Arellano L. (2012) La cadena de custodia. Recuperado de http://ojs.tdea.edu.co/index.php/cuadernoactiva/article/view/45

 López M. (2007) Análisis forense digital. Recuperado de www.oas.org/juridico/spanish/cyb_analisis_foren.pdf

 Rivas J. (2009) Análisis forense de sistemas informáticos. Recuperado de http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf

 Villacís V. (2006) Auditoria Forense: Metodología, Herramientas y Técnicas Aplicadas en un siniestro informático de una empresa del sector comercial. Recuperado de http://www.dspace.espol.edu.ec/handle/123456789/10737

 Fases de la informática forense. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/546/4/CAPITULO3.pdf
RIFA POUS H, SERRA RUIZ J & RIVAS LOPEZ J.L. (2009) Análisis forense de sistemas informáticos. Barcelona – España. 2009. Disponible en: http://jlrivas.webs.uvigo.es/downloads/publicaciones/Analisis%20forense%20de%20sistemas%20informaticos.pdf


Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)