INFORMATICA FORENSE
Integrantes: ANDERSON SILVA ROA FABIO OMAR RUIZ CHRISTIAN ADOLFO DIAZ LUIS EDUARDO CALLE
CORPORACIÓN UNIVERSITARIA REMINGTON FACULTAD DE CIENCIAS BÁSICAS E INGENIERÍA PROGRAMA INGENIERÍA DE SISTEMAS SAN JOSÉ DE CÚCUTA 2016
INFORMATICA FORENSE
Integrantes: ANDERSON SILVA ROA FABIO OMAR RUIZ CHRISTIAN ADOLFO DIAZ LUIS EDUARDO CALLE
Director EDUARDO RUEDA FAJARDO
TRABAJO PRESENTADO COMO REQUISITO PARA OPTAR POR LA NOTA DE PARCIAL DE LA ASIGNATURA DERECHO INFORMATICO
CORPORACIÓN UNIVERSITARIA REMINGTON FACULTAD DE CIENCIAS BÁSICAS E INGENIERÍA PROGRAMA INGENIERÍA DE SISTEMAS
SAN JOSÉ DE CÚCUTA 2016 DEDICATORIA Dedicamos esta investigación a
Dios
nos
ha
primeramente tenido
con
AGRADECIMIENTOS
quien vida
y
Este trabajo
es el resultado
fuerzas para seguir adelante, a
del esfuerzo conjunto de todos
nuestros profesores por confiar
los que formamos el grupo de
en
trabajo. Por esto agradecemos
nuestro
brindarnos
trabajo una
y
por
oportunidad
a
nuestro
profesor,
y
a
para ser mejores cada día, por
quienes a lo largo de este
brindarnos
tiempo han puesto a prueba
y
conocimiento
darnos para
sus crecer
sus
capacidades A
y
profesional, a nuestra familia y
conocimientos.
amigos por el apoyo brindado
padres quienes a lo largo de
y la confianza que han tenido
toda
hacia nosotros.
apoyado
nuestra y
nuestros vida
han
motivado
formación
la
académica,
creyendo en nosotros en todo momento y no dudaron de las habilidades. profesores debemos
A a gran
nuestros gracias
nuestros
quienes
les
parte
de
conocimientos, a
enseñanza
su y
paciencia finalmente
y un
eterno agradecimiento a esta prestigiosa universidad la cual abrió
abre
jóvenes
sus como
puertas
a
nosotros,
preparándonos para un futuro
competitivo
y
formándonos
como personas de bien.
INTRODUCCIÓN
Desde que inicio Internet en el mundo, uno de sus principales objetivos está relacionado con su uso en las empresas y otras instituciones. De hecho, la primera red de computadoras llamada "Arpanet" (Advanced Research Projects Agency Network) fue creada a petición del Departamento de Defensa de EU como medio de comunicación para los diferentes organismos del país. De ahí en adelante sus beneficios se multiplicaron hasta lo que es ahora: una enorme plataforma que nos permite guardar y buscar datos, además de comunicarnos con cualquier empresa, sin importar la ubicación que posea en el mapa. Sin embargo, tan importante como conocer sus beneficios es también entender los riesgos inherentes a la seguridad, cuando se implementa esta tecnología.
De acuerdo con algunas empresas de investigación, la seguridad de la información seguirá siendo una preocupación ejecutiva durante, al menos, los próximos cinco años, debido a las nuevas olas tecnológicas que modificarán las medidas de seguridad existentes. ¿Qué es Forense?
la
Informática
Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente en computadores para ser a continuación impresos. Dentro de lo forense encontramos otras ramas:
Computación forense (computer forensics)
Se considera a las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos.
Forense en forensics)
redes
(network
Es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular. Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de computación forense, este contexto exige capacidad de correlación de evento, muchas veces disyuntos y aleatorios, que en
equipos particulares, es poco frecuente.
Forense forensics)
digital
(digital
Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿por qué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática.
Objetivos de la Informática Forense
La informática forense tiene 3 objetivos, a saber: 1. La compensación de daños causados por criminales o intrusos.
los los
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia
5. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.
Ciencia Forense Usos de Forense
la
Informática
1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. 2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. 3. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. 4. Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.
La ciencia forense nos proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense. Los principios científicos que hay detrás del procesamiento de una evidencia son reconocidos y usados en procedimientos como: • Recoger y examinar huellas dactilares y ADN. • Recuperar documentos de un dispositivo dañado. • Hacer una copia exacta de una evidencia digital. • Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para asegurar que este no se ha modificado.
• Firmar digitalmente un documento para poder afirmar que es auténtico y preservar la cadena de evidencias.
Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir el crimen y encontrar pistas. Aplicando un método científico analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis. Esto puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir, esto es debido a que un forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada. Por esto, sólo puede presentar posibilidades basadas en la información limitada que posee.
El principio fundamental de la ciencia forense es el de transferencia Locard que viene a decir que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y vice-versa (se lleva consigo), en otras palabras: “cada contacto deja un rastro”. En el mundo real significa que si piso la escena del crimen con toda seguridad dejaré algo mío ahí, pelo, sudor, huellas, etc. Pero también me llevaré algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc. Con algunas de estas evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal estuviera en la escena del crimen.
En este ejemplo hemos hablado de evidencias físicas, en la ciencia forense tradicional hay varios tipos de evidencias físicas:
• Evidencia transitoria: como su nombre indica es temporal por naturaleza, por ejemplo un olor, la temperatura, o unas letras sobre la arena o nieve (un objeto blando o cambiante). • Evidencia curso o patrón: producidas por contacto, por ejemplo la trayectoria de una bala, un patrón de rotura de un cristal, patrones de posicionamiento de muebles, etc. • Evidencia condicional: causadas por una acción o un evento en la escena del crimen, por ejemplo la localización de una evidencia en relación con el cuerpo, una ventana abierta o cerrada, una radio encendida o apagada, dirección del humo, etc. • Evidencia transferida: generalmente producidas por contacto entre personas, entre objetos o entre personas y
objetos. Aquí descubrimos el concepto de relación.
En la práctica las evidencias transferidas se dividen en dos tipos, conocidas como: • Transferencia por rastro: aquí entra la sangre, semen, pelo, etc. • Transferencia por huella: huellas de zapato, dactilares, etc.
Aunque en la realidad, estas últimas suelen mezclarse, por ejemplo una huella de zapato sobre un charco de sangre. El principio de intercambio de Locard se puede resumir así: 1. El sospechoso se llevará lejos algún rastro de la escena y de la víctima. 2. La víctima retendrá restos del sospechoso y puede dejar rastros de sí mismo en el sospechoso.
•
El sospechoso
Para la correcta resolución del caso, todos estos componentes deben estar relacionados. Esto se conoce como el concepto de relación, que es lo que nos faltaba para completar el principio de intercambio de Locard.
Las evidencias pueden, a su vez, ser transferidas de dos formas distintas:
1. Transferencia directa: cuando es transferida desde su origen a otra persona u objeto de forma directa. 2. Transferencia indirecta: cuando es transferida directamente a una localización y, de nuevo, es transferida a otro lugar. Importante resaltar que cualquier cosa y todo puede ser una evidencia.
3. El sospechoso dejará algún rastro en la escena. El objetivo es establecer una relación entre los diferentes componentes: •
La escena del crimen
•
La víctima
•
La evidencia física
Brevemente, la ciencia forense facilita las herramientas, técnicas y métodos sistemáticos (pero científicos) que pueden ser usados para analizar una evidencia digital y usar dicha evidencia para reconstruir qué ocurrió durante la realización del crimen con el último propósito de relacionar al autor,
a la víctima y la escena del crimen.
las actividades realizadas en un computador determinado.
Es posible investigar (aún cuando internet permite el anonimato y el uso de nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados artículos y otros documentos enviados a través de redes o publicados en la misma. El rastreo depende en sí de quien y como realizó el ataque o cualquier otra acción, es posible buscar atacantes exteriores de sistemas e incluso se conocen casos donde se ha determinado la autoría de virus.
Los archivos informáticos pueden guardar información sobre su autor, la compañía, fecha y otros datos de interés jurídico. Esta información es almacenada a espaldas del usuario pudiendo determinarse en algunos casos en que computador/estación fue redactado el archivo (esto es poco fiable, ya que cualquier otra persona pudo trabajar con la pc, falsificando la identidad del usuario propietario de la estación, pero es usado como base del procedimiento).
Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de datos de redes internas o externas, así como de cualquier sistemas de redes, ataques internos. Por supuesto, para realizar esta fragosa tarea se debe poseer un conocimiento sólido (normalmente quienes hacen de Informáticos forenses han realizados ataques anteriormente o conocen el uso de herramientas, dispositivos y software de incursión en redes, por lo que tienen una idea de las posibles intrusiones por parte de terceros en un sistema).
Las imágenes digitales y otros medios audiovisuales pueden estar protegidos no solo por derechos de autor (copyright) sino por las llamadas marcas de agua digitales que servirían para determinar el origen del archivo aunque hayan sido modificados para disfrazarlos y darle una apariencia distinta.
La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas
Ya son frecuentes las inspecciones judiciales sobre páginas Webs y archivos, tendientes a la fijación de hechos que ocurren dentro del vasto mundo electrónico digital. El campo de la seguridad informática es inmensamente heterogéneo e interesante. Analizar un entorno atacado y comprometido es un desafiante ejercicio de aplicación de ingeniería inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas
involucrados, las técnicas de ataque y los rastros que dejan las mismas. Bases de Forense 1.
la
7.
Recuperación de data y archivos intencionalmente
Informática
borrados o
por
virus.
Experticias,
Auditoria
Inspecciones
e en
Computadores
y
Páginas
8.
Recuperación y descifrado de las claves.
Web. 2.
Ubicación de origen de correos
anónimos
y
archivos anexos. 3.
Determinación propietarios
de
de Dominios
.com .net .org y otros. 4.
Pruebas de violación de derechos de autor.
5.
Control restricción
preventivo de
uso
y de
computadores e Internet. 6.
Protección de información y derechos de autor.
Al realizar un análisis de informática forense es necesario tomar notas de lo que se hace con el disco duro, y a que hora, almacenándolo en una ubicación segura como por ejemplo una caja fuerte. Es recomendable que siempre que se trabaje con el medio original esté acompañado por un colega, para que conste a los efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar. Las copias deben ser hechas bit-por-bit, es decir será necesario hacer imágenes del disco. La investigación debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro original. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica un checksum. En lo posible realizar dumps de memoria y almacenarlos al igual que los discos. Es importante todos los hechos pertinentes al caso durante la
preparación, recuperación y análisis de las pruebas sobre un ataque sean anotados para poder desarrollar un informe detallado de incidencia que se debe preparar una vez terminado el análisis. Este documento deberá servir como una prueba del incidente o compromiso. Siempre que se realiza cualquier apunte al cuaderno, el asistente debe tener completo conocimiento y entendimiento de lo que ha sido apuntado. Antes de apagar el sistema, será útil recoger algunos ejemplos de aquella información que posiblemente no ha sido cambiada por los intrusos, como la organización de sistema de ficheros logs, el nombre del host, su dirección IP del fichero e información de algunos dispositivos. El análisis de la comunicación de datos es realmente importante allí se trabajaran en dos actividades: 1. Intrusión en una red de computadoras o mal uso de la misma. 2. Interceptación de datos. La intrusión en una red de computadoras o mal uso de la misma es la actividad de la informática forense principal cuando el análisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones siguientes:
a) Detección de la intrusión. b) Detectar
la
evidencia,
capturarla y preservarla; y c) Reconstrucción
de
la
actividad específica o del hecho en sí. El descubrimiento de la intrusión generalmente involucra la aplicación de software especializado y en algunos casos hardware, para supervisar la comunicación de los datos y conexiones a fin de identificar y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos. La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior análisis. La fase final, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia.
Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación de datos y el apoyo de ingenieros y/o técnicos de software. Antes de realizar un análisis se debe tener en cuenta la siguiente información:
implementadas k) forma de almacenamiento de la información (cifrada o no) l) personas con permisos de acceso al equipo
a) sistema operativo
m) el pc esta dentro del
afectado.
DMZ
b) inventario de software
n) existe IDS
instalado en el equipo
o) cuantos equipos en red
c) tipo de hardware del equipo d) accesorios y/o periféricos conectados al equipo e) si posee firewall f) si esta en el ámbito del DMZ (Zona desmilitarizada) g) conexión a internet h) configuración i) parches y/o actualizaciones de software j) políticas de seguridad
Conclusiones
Gracias al desarrollo del tema de informática forense se puede concluir que es recomendable seguir un conjunto de buenas prácticas. Que no limitan a la organización a seguir un nivel restringido al momento de gestionar su información. Después del todo lo visto se observa que debemos aplicar todos los procesos, lo que no le permite tener una idea clara de las actividades que debe realizar cada uno de los usuarios para cada instrumento tecnológico de dando como resultado una buena gestión de los servicios y aplicativos que el mundo y por ende la satisfacción y seguridad de los usuarios.
Referencias bibliográficas http://cdigital.dgb.uanl.m x/te/1020149046.pdf http://datateca.unad.edu. co/contenidos/208017/Co ntLin2/Figura_31.Punto_d e_acceso_y_Enrutador_In alambrico.jpg http://www.wni.mx/index .php? page=shop.product_detail s&category_id=40&flypag e=flypage_new.tpl&produ ct_id=438&option=com_v irtuemart&Itemid=53 http://www.officecomput er.com.bo/pro.php? id=318047 http://www.minutemanup s.com/es/products/prort.php