Protocolo de InvestigaciónMaestría en Tecnologías de Información José Roberto López Quiñones José Roberto López Quiñones Protocolo de investigación Tabla de contenido Índice de ilustraciones................................................................................................................................4 Índice de tablas..........................................................................................................................................5 Introducción...........................................................................................................................................9 Revisión de literatura.............................................................................................................................9 Informática forense: Una valiosa herramienta para las PyME’s................................................................9 Resumen.................................................................................................................................................9 Abstract................................................................................................................................................10 Principios del forensics........................................................................................................................12 Herramientas tecnológicas...................................................................................................................13 Herramientas de informática forense de hardware y software.............................................................13 Causas de daños...................................................................................................................................14 Recuperando información de la computadora.....................................................................................14 Conceptos.............................................................................................................................................16 Metodología general de la investigación.............................................................................................19 Descripción de la metodología seleccionada: materiales, métodos, instrumentos, técnicas, participantes.........................................................................................................................................19 Materiales.........................................................................................................................................19 Métodos............................................................................................................................................19 Medidas e instrumentos de evaluación............................................................................................20 Técnicas...........................................................................................................................................20 Participantes.....................................................................................................................................20 Introducción a la informática forense (“forensics”)............................................................................21 ¿Qué es “forensics”?........................................................................................................................21 ¿Cuáles son los objetivos de “forensics”?........................................................................................21 Usos de “forensics”..........................................................................................................................22 Distinción entre documentos electrónicos y documentos impresos (20)...........................................22 Técnicas de “forensics“........................................................................................................................23 ¿Cómo se puede recuperar evidencia borrada?....................................................................................24 Funcionamiento de los dispositivos de almacenamiento.................................................................24 Escritura de datos en dispositivos de almacenamiento....................................................................25 Lectura de datos en dispositivos de almacenamiento......................................................................27 Proceso de “forensics”.........................................................................................................................28 Identificación de la evidencia digital...............................................................................................28 Extracción y preservación del material informático........................................................................29 Análisis de datos..............................................................................................................................31 File Slack (14, 25)............................................................................................................................31 Archivo swap de Windows (14, 25).................................................................................................32 Unallocated file space (14, 26)........................................................................................................33 Herramientas de “forensics”................................................................................................................33 Herramientas para la recolección de evidencia................................................................................33 Herramientas de monitoreo y/o control de computadoras...............................................................37 Keylogger (29).................................................................................................................................37 UNID 2010 Página 2 José Roberto López Quiñones Protocolo de investigación Herramientas de marcado de documentos(14).................................................................................38 Herramientas de hardware (14)........................................................................................................38 Dificultades del experto en “forensics”(14).........................................................................................38 Seguridad forense en negocios. (30)....................................................................................................39 Quién utiliza la seguridad forense. (30)...............................................................................................39 Fases de la seguridad forense (30).......................................................................................................40 Retos de “forensics”(30)......................................................................................................................41 Incidentes de seguridad (8)..................................................................................................................41 Forensia en redes (Network Forensics)................................................................................................44 Presupuesto de la investigación...........................................................................................................45 Procedimiento..........................................................................................................................................46 Encuesta...............................................................................................................................................46 Análisis de la información...................................................................................................................50 Referencias...........................................................................................................................................51 ANEXO1. Resultados de las encuestas...................................................................................................53 UNID 2010 Página 3 José Roberto López Quiñones Protocolo de investigación Índice de ilustracione Ilustración 1Elección del tema de investigación.......................................................................................8 Ilustración 2 Principales rubros de costos asociados a la seguridad de la información en su organización(6)........................................................................................................................................10 Ilustración 3. Etapas de una investigación (10)......................................................................................12 Ilustración 4 Una cabeza de escritura(14)................................................................................................25 Ilustración 5 Escribiendo datos en un medio de almacenamiento(14)....................................................25 Ilustración 6 Leyendo datos desde un medio de almacenamiento(14)....................................................26 Ilustración 7 Metodología de trabajo para análisis de datos(21).............................................................27 Ilustración 8 Elementos para la identificación de evidencia.(21)............................................................28 Ilustración 9 Elementos para la preservación de evidencia(21)...............................................................29 Ilustración 10 Elementos para el análisis de evidencia.(21)....................................................................30 Ilustración 11 Categorías generales de incidentes(8)...............................................................................42 UNID 2010 Página 4 José Roberto López Quiñones Protocolo de investigación Índice de tablas Tabla 1 Seguridad en algoritmos de hash (24).........................................................................................29 Tabla 2 Area del file slack (18)................................................................................................................31 Tabla 3 Características de los principales software de "forensics"(21)...................................................36 UNID 2010 Página 5 UNID 2010 Analizar las diferencias entre las herramientas de “forensics”. o lo más frecuente. ya sea por errores de captura. lo cual. Página 6 . En un entorno empresarial esto es aún más grave ya que la disponibilidad de la información es fundamental para el correcto desarrollo de su actividad diaria. con el conocimiento adecuado permitirían a las Pymes recuperar información perdida o incluso prevenir que suceda dicha perdida. es una perdida principalmente de recursos económicos.” Justificación Con el gran auge de las tecnologías de información. o por lo menos no totalmente.(1) La pérdida de información sin una correcta planificación e implementación de medidas de seguridad. desgraciadamente esto es muy común en las promesa. protección de atacantes. ya sea de una forma accidental o deliberada.(3) Objetivo General Analizar los beneficios del uso de técnicas y herramientas de “forensics” para apoyar a en la recuperación y prevención de pérdida de datos en pequeñas y medianas empresas. podría requerir de una alta inversión en tiempo e incluso dinero para su recuperación.José Roberto López Quiñones Protocolo de investigación Titulo “Análisis de los beneficios del uso de técnicas y herramientas de “forensics” en las Pymes para la recuperación y prevención de pérdida de datos. Objetivos Específicos Determinar cuáles son las diferentes herramientas de “forensics” que existen en el mercado.(2) Existen diferentes herramientas que ayudan en la recuperación de datos. el análisis de intrusos. entre otras que. empleados descontentos. cada vez es más común la perdida de datos por parte de los usuarios. y eso siempre y cuando sea posible ya que no siempre lo es. para las empresas. José Roberto López Quiñones Protocolo de investigación Determinar cuál es el giro empresarial más afectado por la pérdida de información en Durango. UNID 2010 Página 7 . José Roberto López Quiñones Protocolo de investigación Determinación del tema de investigación Ilustración 1Elección del tema de investigación UNID 2010 Página 8 . Palabras clave: Informática forense. aunque dichas técnicas y herramientas pueden ser usadas con otros propósitos como la protección de los datos para evitar su pérdida o recuperar datos que fueron borrados accidentalmente y que son críticos para la empresa. principalmente empleados descontentos. datos importantes para las empresas se pierden. técnicas de “forensics”. Existen diversas técnicas de informática forense que ayudan en la recuperación de datos perdidos. generando pérdidas económicas.José Roberto López Quiñones Protocolo de investigación Introducción Contexto Con la adopción cada vez más frecuente de las tecnologías de información por las empresas. la dependencia de la información digital es cada vez mayor y por lo tanto se tienen que preparar y utilizar recursos para proteger dichos datos e inclusive recuperar algunos de esos datos que pueden llegar a perderse por distintos motivos principalmente por la acción de virus informáticos(4). por diversas razones. es necesario el uso de técnicas y herramientas tanto de software como de hardware (5) para obtener dichas pruebas. evitar pérdidas económicas. a causa de ello. ya que ésta depende directamente de la información que generan sus sistemas de información(6). incluso software especializado en informática forense que puede ayudar a las empresas a evitar pérdidas o en la recuperación de datos y por lo tanto. sin embargo para obtener las pruebas necesarias para proceder legalmente. Revisión de literatura Informática forense: Una valiosa herramienta para las PyME’s Resumen El constante incremento en el uso de las nuevas tecnologías de información por las empresas ha ocasionado una gran dependencia de las mismas. UNID 2010 Página 9 . software. En algunos casos la perdida de información se debe a empleados descontentos que realizan fraudes y en esos casos se pueden llegar a acciones penales contra ellos. for various reasons. A continuación se presenta un mapa mental para tratar de dejar ver un panorama general de la información.José Roberto López Quiñones Protocolo de investigación Abstract The steady increase in the use of new information technologies the companies has led to a big dependency on them. Ilustración 2 Principales rubros de costos asociados a la seguridad de la información en su organización(6) Con el gráfico anterior se puede decir que si se tiene una especial importancia por las Tecnologías de UNID 2010 Página 10 . causing economic losses. prevent economic losses. forensics techniques Costos asociados a la seguridad de la información en las empresas. even software that specializes in computer forensics that can help companies to avoid or recover lost data and therefore. There are various techniques of computer forensics that help in the recovery of lost data. Key words: Forensics. Es difícil elegir o dar prioridad a solo algunos rubros que intervienen en los costos que implica la seguridad de la información. because of it. for business critical data is lost. software. mainly disgruntled employees. digital forensics (forensia digital). para luego ésta ser presentada en una corte de justicia”. La pérdida de información sin una correcta planificación e implementación de medias de seguridad. Para ello se tienen que tener en claro las partes que pudieran estar involucradas en la pérdida de información. entre otros. La informática forense se puede definir entonces como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. En un entorno empresarial esto es aun más grave ya que la disponibilidad de la información es fundamental para el correcto desarrollo de su actividad diaria. como la protección y recuperación de datos informáticos. En conclusión diremos que la informática forense es “la ciencia forense que se encarga de la preservación. podría requerir de una alta inversión en tiempo e incluso dinero para su recuperación.(8) UNID 2010 Página 11 . o por lo menos no totalmente. las técnicas y herramientas de las que hace uso. network forensics (forensia en redes).(7) La informática forense se ocupa de la utilización de los métodos científicos aplicables a la investigación de los delitos. en fin toda información o datos que se guardan en una computadora o sistema informático. para este propósito se han creado categorías a fin de hacer una necesaria distinción entre el elemento material de un sistema informático o hardware (evidencia electrónica) y la información contenida en este (evidencia digital). documentación y interpretación de la evidencia digital. identificación.(2) ¿Qué es la informática forense? Existen múltiples definiciones a la fecha sobre el tema forense en informática. se pueden usar con otros fines.José Roberto López Quiñones Protocolo de investigación Información (TI). extracción.(8) Si bien la informática forense está encaminada a la resolución de casos de índole penal. y eso siempre y cuando sea posible ya que no siempre lo es. no solo informáticos y donde se utiliza el análisis forense de las evidencias digitales. Una primera revisión nos sugiere diferentes términos para aproximarnos a este tema. dentro de los cuales se tienen: computación forense. se necesitaría justificar todas las acciones que se hayan realizado. Cadena de evidencias.(9) 3. Actuar metódicamente. se pueda justificar quien ha tenido acceso y donde ha sido.José Roberto López Quiñones Protocolo de investigación Principios del forensics Existen un gran número de principios básicos que son necesarios independientemente de si estás examinando un ordenador o un cadáver: 1. Etapas de una investigación (10) UNID 2010 Página 12 . Significa que. Evitar la contaminación. eliminando así la posibilidad de que alguien haya podido sabotearlo o falsificarlo de alguna manera. en cualquier momento del tiempo. Si se actuara de manera científica y metódica. si se tuviera que ir a un juicio. esta justificación sería mucho más fácil. Todo ello es para prevenir la “contaminación”.(9) Ilustración 3. En cualquier cosa que se haga.(9) 2. tomando las pruebas con pinzas y poniéndolas en bolsas de plástico selladas. En televisión salen los examinadores forenses ataviados con batas blancas y guantes. tomando cuidadosas notas de todo lo que se hace y como se hace. Ofrece a los profesionales la capacidad de realizar exámenes forenses informatizados completos y exhaustivos(11). (5) Uso de herramientas de software(5) Las herramientas de software pueden tener muchas categorías dependiendo en como se quiera vulnerarlas. reproducibles y verificables. Algunas herramientas son multipropósito y pueden cubrir más de un escenario. Herramientas de informática forense de hardware y software Una herramienta forense produce resultados útiles. otras herramientas son altamente especializadas. tal como cables especializados. y que a la postre.(5) Uso de herramientas de hardware.(11) FORENSICTOOLKIT. Las herramientas forenses pueden dividirse en dos grandes clases de herramienta: hardware y software. bloqueadores de escritura. Su funcionalidad como se menciono anteriormente viene a ser la de ayudar al perito que realiza una investigación a encontrar mejores pruebas y de una forma más exacta y precisa. extractores de dispositivos y otros utensilios que permiten que las herramientas de software funcionen.José Roberto López Quiñones Protocolo de investigación Herramientas tecnológicas De forma global. las herramientas tecnológicas que hay son muchas a nivel mundial. sirva como evidencia clara para el debido proceso penal. Algunas de las principales categorías de herramientas forenses son: Herramientas de adquisición Herramientas de descubrimiento de datos Herramientas de historial de internet UNID 2010 Página 13 . Es una de las herramientas clave que las fuerzas policiales han empezado a utilizar en técnicas de investigación cibernética.(11) Algunas de las herramientas que con frecuencia son utilizadas en procesos de informática forense son: ENCASE. Las herramientas de hardware incluyen cada elemento externo a la computadora que se está analizando. el segundo incidente más común son los abusos de redes con un 44%. Para entender cómo funciona la recuperación de datos perdidos. utilizando algunas técnicas especializadas. Los discos duros guardan la información de forma magnética y los datos se van sobrescribiendo.José Roberto López Quiñones Protocolo de investigación Causas de daños La perdida de información ocurre por diversos motivos. es posible acceder a “historiales magnéticos” de los datos borrados y recuperarlos. seguidos por el robo de laptops y otros dispositivos móviles. de acuerdo a una encuesta realizada en 2008 a diversas organizaciones. primero hay que entender que la información se guarda en medios físicos por lo tanto no existe como tal sino mas bien se encuentra latente como una forma “metafísica” por lo cual puede ser accedida de alguna manera. los incidentes por virus ocurren cada vez más frecuentemente.(12) UNID 2010 Página 14 .(4) Recuperando información de la computadora. teniendo casi la mitad de las respuestas (un 49%). ¿Cuál sector de empresas sería el más beneficiado al implantar técnicas y herramientas de “forensics”? ¿Es necesario personal especializado para implantar las técnicas de “forensics”? ¿Con que frecuencia se pierden datos en las empresas? De los datos perdidos.José Roberto López Quiñones Protocolo de investigación Preguntas de investigación. ¿qué cantidad es imprescindible para la empresa? ¿Qué consecuencia trae consigo la perdida de información digital? Hipótesis La adopción de técnicas y herramientas de informática forense para la recuperación y prevención de datos por las empresas disminuirá pérdidas económicas y operativas. UNID 2010 Página 15 . (7) Forensia en redes (network forensics) Es un escenario aún más complejo. (7) UNID 2010 Página 16 . que en equipos particulares. es poco frecuente. es necesario conocer algunos conceptos importantes. es capaz. este contexto exige capacidad de correlación de evento. de establecer los rastros. se pueden encontrar diferentes conceptos. muchas veces disyuntos y aleatorios. los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de computación forense.(13) La informática forense hace entonces su aparición como una disciplina auxiliar de la justicia moderna. así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso. Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de computadores. pues es necesario comprender la manera como los protocolos. la informática (o computación) forense es la ciencia de adquirir. Informática o computación forense: Según el FBI.José Roberto López Quiñones Protocolo de investigación Conceptos Para la correcta comprensión del presente documento. que considerando las tareas propias asociadas con la evidencia. siguiendo los protocolos y formación criminalística. obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso. a continuación se presentan aquellos conceptos que se considera son los de mayor relevancia para el proyecto. configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular. para enfrentar los desafíos y técnicas de los intrusos informáticos.(7) Dentro de la informática forense. tales como: Computación forense (computer forensics) que se entiende por disciplina de las ciencias forenses. o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. preservar. y aunque algunos de ellos sean casos muy particulares relacionados con actividades legales. ¿porqué?) de eventos que podrían catalogarse como incidentes. entre otros.(15) Los investigadores de la computación forense usan gran cantidad de técnicas para descubrir evidencia. Investigación de Seguros: La evidencia encontrada en computadoras. estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados. fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática. ayuda a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. discriminación. ¿cuándo?. evasión de impuestos o pornografía infantil. acoso. UNID 2010 Página 17 . incluyendo herramientas de software que automatizan y aceleran el análisis computacional. ¿cómo?. fraude financiero. Prosecución Criminal: la evidencia digital puede ser usada para incriminar y procesar diversos tipos de crímenes.(14) Esto es respaldado por estudios sobre el número de incidentes reportados por las empresas debido a crímenes relacionados con la informática. Litigación Civil: Ayuda en los casos que tratan con fraude. con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?.José Roberto López Quiñones Protocolo de investigación Forensia digital (digital forensics) Es la forma de aplicar los conceptos. ¿dónde?. y procesamiento se vuelven cada vez más importantes. divorcio. tráfico y venta de drogas. existen otros que están ligados a la vida cotidiana. Con esta frase se puede observar cómo los crímenes informáticos.(14) Usos de la informática forense Existen varios usos que se le pueden dar a la informática forense. (7) Importancia de la informática forense "High-tech crime is one of the most important priorities of the Department of Justice". incluyendo homicidios. su prevención. UNID 2010 Página 18 .José Roberto López Quiñones Protocolo de investigación Temas corporativos: Información que trata sobre acoso sexual. mal uso o apropiación de información confidencial o propietaria. o aún de espionaje industrial puede ser recolectada de las computadoras. robo. Descripción de la metodología seleccionada: materiales. un software libre usado para el procesamiento de datos a través de algoritmos de minería de datos (16). ya que a partir de todos los aspectos que el “computo forense”(7) abarca solo se enfocará a aquellos que tengan que ver única y exclusivamente con la pérdida y recuperación de datos. “recuperación de información”. conexión a internet. UNID 2010 Página 19 . libros. métodos. La metodología a seguir se basará en la aplicación de encuestas con tendencias de seguridad de la información que se realizarán al personal del área de sistemas de cada empresa. posteriormente se analizarán los resultados obtenidos de las encuestas utilizando weka. evitando o controlando la pérdida de datos. Diversos software de forensics. Ésta investigación será realizada mediante una investigación aplicada. software de procesamiento de minería de datos. artículos. participantes. MATERIALES Los materiales requeridos para ésta investigación se resumen a: computadora. ya que se pretende que los resultados obtenidos sean puestos en práctica para contribuir a la mejora de la seguridad en la información de las Pymes en el estado de Durango. publicaciones dentro de los temas de “forensics”. técnicas. MÉTODOS Para la presente investigación se hará uso del “Método deductivo”.José Roberto López Quiñones Protocolo de investigación Metodología general de la investigación En la presente investigación se tendrá como objeto de estudio las diferentes técnicas y herramientas de “forensics” que las pymes del estado de Durango puedan usar para la recuperación y/o prevención de pérdida de datos. instrumentos. “Software de forensics”. UNID 2010 Página 20 . evaluación de las características de los diferentes software de “forensics”. PARTICIPANTES Los participantes serán los las empresas en las que se encuentran realizando su residencia profesional los estudiantes de las carreras de Ingeniería en Sistemas Computacionales y Licenciatura en Informática del Instituto Tecnológico de Durango.José Roberto López Quiñones Protocolo de investigación MEDIDAS E INSTRUMENTOS DE EVALUACIÓN Las medidas e instrumentos de evaluación que serán utilizados durante el proyecto de investigación son los resultados que sean arrojados por el software weka (16) así como una comparativa entre las características de cada uno de los software analizados. TÉCNICAS Las técnicas establecidas para ésta investigación son: uso de técnicas de minería de datos (17) a través del software weka(16) siendo éste alimentado por las respuestas de las encuestas aplicadas.. esto debido al aumento del valor de la información así como al uso que se le da a ésta. ¿CUÁLES SON LOS OBJETIVOS DE “FORENSICS”? Los objetivos de “forensics” como tal. debido a que las computadoras guardan la información de información forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes. se deben utilizar mecanismos diferentes a los tradicionales. y al extenso uso de computadoras por parte de las compañías de negocios tradicionales (por Ej. muchas veces la información queda almacenada en forma digital.José Roberto López Quiñones Protocolo de investigación Introducción a la informática forense (“forensics”) La informática forense está adquiriendo cada vez más importancia en el área de la información electrónica. ya que lo que se busca es disminuir al máximo los riesgos de pérdida de información en las empresas. puede resultar en beneficio de las empresas y/o particulares. Sin embargo. Internet). La creación y aplicación de medidas para prevenir casos similares. para los efectos de la presente investigación se tomara como objetivo primordial de “forensics” el punto número 3 “La creación y aplicación de medidas para prevenir casos similares”. existe un gran problema. bancos). Es por esto que cuando se realiza un crimen. son los siguientes:(19) 1. al desarrollo de nuevos lugares donde es usada (por Ej. Es de aquí que surge el estudio de la computación forense como una ciencia relativamente nueva. 3. La persecución y procesamiento judicial de los criminales. La compensación de los daños causados por los criminales o intrusos. 2. preservación. Aunque el propósito inicial de “forensics” está orientado hacia aspectos legales las técnicas y herramientas en las que se basa (18) pueden ser usadas con otros fines y dependiendo de por quién sean usadas. ¿QUÉ ES “FORENSICS”? Existen diversos conceptos acerca de “forensics”. sin embargo todos ellos van enfocados hacia la adquisición. y presentación de datos que han sido procesados y guardados en un medio electrónico. UNID 2010 Página 21 . Sin embargo. José Roberto López Quiñones Protocolo de investigación USOS DE “FORENSICS” “Forensics” no está ligado únicamente hacia aspectos legales sino que puede abarcar varios aspectos generales entre ellos se pueden mencionar los siguientes: Prosecución Criminal Litigación Civil Investigación de Seguros Temas corporativos Mantenimiento de la ley Como se puede observar. No intente encenderla con un cerillo. estaban tan acostumbrados a utilizar lámparas de gas. cerillos y demás accesorios que cuando llego aquel descubrimiento tan innovador. la UNID 2010 Página 22 . por ejemplo. la gente cambiaba muy rápido los focos para que la electricidad no “goteara” sobre el socket. Se tuvieron que poner anuncios sobre los focos para que la gente los leyera “Este cuarto está equipado con la luz eléctrica Edison. Todo esto se debe a la resistencia que tenían las personas en aquellos tiempos al cambio. es por ello que se pueden usar las técnicas y herramientas que usa “forensics“ en varios escenarios. lidiaron contra sus actividades cotidianas para dar paso a algo nuevo y benéfico. Con los documentos electrónicos y los documentos “tradicionales” pasa lo mismo. cuando la electricidad se invento y los focos vinieron a reemplazar a las lámparas de gas. los diversos usos de “forensics“ pueden ser desde aspectos simples como la perdida de información empresarial hasta casos graves como estafas bancarias. Distinción entre documentos electrónicos y documentos impresos (20) Cuando se piensa en nuevas tecnologías (tales como documentos electrónicos) en términos de tecnología “antigua” (Papel y tinta). no se pueden apreciar las características y potenciales distintivos. Simplemente encienda el apagador que está en la pared cerca de la puerta”. Y esto se debe principalmente a la resistencia que tienen las personas al cambio. José Roberto López Quiñones Protocolo de investigación resistencia que tenemos para utilizar algo “nuevo” es muy grande. La principal causa de los puntos antes mencionados es el desconocimiento del potencial de las nuevas tecnologías las cuales hacen de los documentos electrónicos una herramienta muy poderosa. Leer archivos de registro Reconstruir acciones Rastrear el origen UNID 2010 Página 23 . Recuperación de archivos eliminados Desencriptación elemental Búsqueda de cierto tipo de archivos Búsqueda de ciertas frases Observación de áreas interesantes del computador Lo que hace un usuario remoto en otro equipo. Existen dos aspectos principales sobre los cuales trabajar:(21) Lo que hace un usuario en su equipo. es preferible mantenerlos bajo llave en el archivero. y es por ello que las empresas han optado por cambiar paulatinamente hacia las nuevas tecnologías y dejar atrás los esquemas tradicionales de trabajo. Técnicas de “forensics“ Las técnicas forenses son aquellas que surgen de una investigación metódica para reconstruir una secuencia de eventos. Las técnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. ya que se pueden pensar cosas como: ¿Cómo se compartirán mis documentos? ¿Cómo van a firmar mis documentos? ¿Cómo almacenaré mis documentos? Si tengo todos mis documentos en la computadora cualquier persona podrá verlos. Esta información pudo haber sido borrada por el usuario meses o incluso años antes de que se sucediera la investigación o incluso pudo nunca haber sido guardada. En muchos casos.(22) ¿Cómo se puede recuperar evidencia borrada? El sistema operativo de una computadora utiliza un directorio que contiene el nombre y lugar de cada archivo en el disco.(22) Dependiendo de la naturaleza de la investigación. más de 160 alteraciones son realizadas a los archivos cuando la computadora es encendida. incluso cuando el usuario ha desfragmentado o reformateado un disco. pero puede aun existir en parte del disco duro. Por ejemplo. sin embargo no se ha realizado ningún cambio al archivo mismo. Dichos cambios no son visibles para el usuario. Un marcador de estatus de archivo es activado para mostrar que el archivo ha sido borrado. la evidencia aun se puede recuperar. UNID 2010 Página 24 . el especialista forense puede obtener dicho archivo sin problema. Mientras que formatear un disco reconstruye el sistema de archivos. Cuando un archivo es borrado. en un sistema Windows. usuarios y otros datos históricos que pueden ser útiles. puede ser recomendable la creación de una imagen del disco. para así analizar únicamente la imagen y evitar la sobreescritura de información por el sistema operativo ya que en ocasiones el propio sistema operativo realiza actualizaciones sobre archivos automáticamente. pero los cambios que pueden ocurrir pueden alterar o incluso borrar evidencia. porque muchos documentos contienen información interna que describe fechas. varios eventos toman lugar en una computadora. Muchos datos no son alterados por desfragmentar un disco.José Roberto López Quiñones Protocolo de investigación Análisis de conexiones desde o hacia el host “Forensics” hace uso de diversas técnicas especializadas así como herramientas sofisticadas para ver información que no puede ser accedida por usuarios comunes. Con esto el usuario no podrá ver el archivo listado en un directorio. Una marca de estatus de disco es colocada para mostrar que el espacio está disponible para otro uso. no elimina la información que previamente existía en el disco. Éste espacio nuevo es llamado libre o sin asignar y hasta que sea escrito por otro archivo. la resistencia eléctrica cambia cuando el material es magnetizado. se basan en el principio magnético que se debe a los siguientes fenómenos físicos: Una corriente eléctrica produce un campo magnético. Medios de almacenamiento: son magnetizados de forma permanente en una dirección determinada por el campo de escritura. Otros materiales se magnetizan con dificultad. La vista superior de una cabeza de escritura (izquierda) muestra un rollo espiral. En el extremo UNID 2010 Página 25 . envuelto entre dos capas de material magnético suave: a la derecha está un corte transversal de esta cabeza vista de lado. para almacenar y recuperar datos en unidades de disco. En algunos materiales magnéticos suaves. Algunos materiales se magnetizan con facilidad cuando son expuestos a un campo magnético débil.José Roberto López Quiñones Protocolo de investigación FUNCIONAMIENTO DE LOS DISPOSITIVOS DE ALMACENAMIENTO La mayor parte de los dispositivos de almacenamiento actuales. ESCRITURA DE DATOS EN DISPOSITIVOS DE ALMACENAMIENTO En la siguiente figura se muestra un esquema simplificado de una cabeza de escritura. el material se desmagnetiza rápidamente. Aplicándolos en los siguientes puntos: (14) Cabezas de escritura: Escriben bits de información en un disco magnético giratorio. Cuando el campo se apaga. La resistencia regresa a su valor original cuando el campo magnético es apagado. Cabezas de lectura: Leen bits de información. pero una vez que se magnetizan. que leen y escriben datos. mantienen su magnetización cuando el campo se apaga. Estos cuatro fenómenos son explotados por los fabricantes de cabezas grabadoras magnéticas. José Roberto López Quiñones Protocolo de investigación inferior.(14) Ilustración 4 Una cabeza de escritura(14) Las computadoras almacenan los datos en un disco giratorio en forma de bits transmitidos a la unidad de disco en una secuencia de tiempo correspondiente a los dígitos binarios uno y cero. la distancia desde el espacio hasta la parte superior del rollo es de aproximadamente 30 mm). y en el extremo superior. Las capas superior e inferior de material magnético se magnetizan con facilidad cuando fluye una corriente eléctrica en el rollo espiral. (En una cabeza real. hay un espacio entre las capas. En su forma más simple. UNID 2010 Página 26 . corresponde a un cambio en la polaridad de la corriente. un bit uno. las capas están unidas. En otras palabras los unos almacenados aparecen en donde ocurre una inversión en la dirección magnética en el disco y los ceros residen entre los unos. Estos bits son convertidos en una onda de corriente eléctrica que es transmitida por medio de cables al rollo de la cabeza de escritura tal como se muestra en la siguiente figura. mientras que un bit cero corresponde a la ausencia de cambio en la polaridad de la corriente de escritura. de tal forma que estas capas se vuelven los polos Norte y Sur magnéticos de un pequeño electro-magneto. Estas cabezas GMR/Válvula Spin son situadas muy cerca del disco de almacenamiento magnético rotatorio exponiendo el elemento GMR a los campos magnéticos de bit previamente escritos en la superficie del disco. presente en cualquier dispositivo eléctrico se esquematiza en la siguiente figura: UNID 2010 Página 27 . los bits en la superficie del disco quedan magnetizados permanentemente en una dirección hasta que nuevos patrones sean escritos sobre los viejos.José Roberto López Quiñones Protocolo de investigación Ilustración 5 Escribiendo datos en un medio de almacenamiento(14) Un reloj de regulación esta sincronizado con la rotación del disco y existen celdas de bit para cada tic de reloj: algunas de estas celdas de bits representaran un uno y otras representaran ceros. Si la cabeza GMR se aleja ligeramente del disco la intensidad del campo cae por fuera de un nivel útil y los datos magnéticos no pueden ser recuperados fielmente.(14) LECTURA DE DATOS EN DISPOSITIVOS DE ALMACENAMIENTO En la actualidad. El proceso de lectura incluyendo el ruido. Una vez escritos. las cabezas de lectura leen datos magnéticos mediante resistores magnéticamente sensitivos llamados Válvulas Spin que explotan el efecto GMR(23). discos SCSI y otros medios de almacenamiento. CD.José Roberto López Quiñones Protocolo de investigación Ilustración 6 Leyendo datos desde un medio de almacenamiento(14) Proceso de “forensics” El éxito de “forensics” es el análisis de discos duros. Este análisis no solo busca archivos potencialmente incriminatorios o perdidos sino también otra información valiosa como contraseñas. discos extraíbles. datos de acceso y rastros de actividad en internet. UNID 2010 Página 28 . UNID 2010 Página 29 . IDENTIFICACIÓN DE LA EVIDENCIA DIGITAL Identificar la evidencia digital representa una tarea caracterizada por distintos aspectos. mas aun cuando los usuarios no tienen la mas mínima idea de cómo funcionan las computadoras y por lo tanto no hacen un mayor esfuerzo para borrar archivos. en muchos casos la identificación y recolección de potencial evidencia digital es realizada por personal que no cuenta con los conocimientos adecuados para llevar a cabo las tareas en cuestión. Entre ellos podemos mencionar el factor humano.José Roberto López Quiñones Protocolo de investigación Ilustración 7 Metodología de trabajo para análisis de datos(21) Existen muchas formas de buscar evidencia en un disco. que realiza los secuestros de material informático. La omisión de algunos aspectos técnicos puede llevar a la perdida de los datos o a la imposibilidad de analizar cierta información digital. (21) EXTRACCIÓN Y PRESERVACIÓN DEL MATERIAL INFORMÁTICO. incluso en algunos casos toparse con campos electromagnéticos que imposibilitarían el análisis de información. o que la temperatura ambiente no sea la optima para preservar la información. es muy común que los elementos informáticos lleguen sin los más mínimos resguardos. En cuestiones del transporte de la información digital.José Roberto López Quiñones Protocolo de investigación Ilustración 8 Elementos para la identificación de evidencia. Sobre este aspecto cabe destacar que existe una gran falencia en lo que se conoce como “cadena de custodia” cuyo objetivo consiste en mantener el registro de todas las operaciones que se realizan sobre la evidencia digital en cada uno de los pasos de investigación detallados. Extraer y preservar el material informático durante los “secuestros de información” implica considerar la fragilidad de los medios de almacenamiento de datos y la volatilidad de la información. Si al realizar un análisis de datos se detecta que la información original ha sido alterada. la evidencia pierde su valor probatorio. UNID 2010 Página 30 . lo cual puede ocasionar roturas en el equipamiento. La utilización de algún software que genere un valor hash a partir de un conjunto de datos es de gran ayuda de tal manera que el experto en “forensics” puede estar seguro que trabaja con la información exacta y no corrupta.José Roberto López Quiñones Protocolo de investigación Ilustración 9 Elementos para la preservación de evidencia(21) Por último los aspectos técnicos relativos a la no alteración de la evidencia original. Algoritmo de hash CRC-16 CRC-32 MD5 (128 bits) SHA-1 SHA-256 Probabilidad de colisión 1 en 32768 1 en 2147483648 1 en 170141183460469231731687303715884105728 1 en 2159 1 en 2255 Tabla 1 Seguridad en algoritmos de hash (24) UNID 2010 Página 31 . ya que se tienen que tomar en cuenta diversos factores.José Roberto López Quiñones Protocolo de investigación ANÁLISIS DE DATOS.(21) Entre los recursos que un experto en “forensics” puede hacer uso para recuperar información de un dispositivo de almacenamiento. Analizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de almacenamiento. la estructura del sistema de archivos y la cantidad de documentos con los que cuenta el sistema. en los cuales raramente el tamaño de los archivos coincide perfectamente con el tamaño de uno o muchos clústeres. se encuentran los siguientes: FILE SLACK (14. Es por ello que las herramientas de “forensics” incorporan un sistema de búsqueda a través de palabras clave. sin embargo dicha operación puede ser un tanto tediosa. Algunos sistemas operativos almacenan los archivos en bloques de tamaño fijo llamados clúster. o a través de fechas. incluso la aplicación de filtros para determinados tipos de archivos. UNID 2010 Página 32 . tales como el sistema operativo sobre el que se está trabajando. 25) Los archivos son creados en varios tamaños dependiendo de lo que contengan. Ilustración 10 Elementos para el análisis de evidencia. Todo esto genera un problema de seguridad por que al usuario nunca se le informa que es lo que está pasando ya que el proceso es transparente. los mensajes electrónicos. Los archivos de intercambio pueden ser muy grandes y la mayoría de los usuarios no saben que existen. UNID 2010 Página 33 . a estos archivos se les conoce como archivos Swap o archivos de intercambio. Los tamaños de los clústeres varían en longitud dependiendo del sistema operativo involucrado y en el caso de Windows. Un tamaño más grande en los clústeres significan mas file slack y también mayor pérdida de espacio de almacenamiento.José Roberto López Quiñones Protocolo de investigación El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del clúster se llama “file slack”. entre otros). log de entradas a bases de datos y casi cualquier trabajo que se haya ejecutado en las últimas sesiones. también del tamaño de la partición lógica implicada. Sin embargo esta debilidad de la seguridad de la computadora crea ventajas para el experto en “forensics” ya que el file slack es una fuente significativa de evidencias y pistas. la actividad en internet (cookies. Tabla 2 Area del file slack (18) ARCHIVO SWAP DE WINDOWS (14. 25) Los sistemas operativos Microsoft Windows utilizan un archivo especial como un “cuaderno de apuntes” para escribir datos cuando se necesita memoria de acceso aleatorio adicional. archivos temporales. su potencial es contener archivos sobrantes del tratamiento de procesadores de texto. José Roberto López Quiñones Protocolo de investigación Los archivos swap de Windows proporcionan a los expertos en “forensics” pistas esenciales con las cuales investigar ya que únicamente en este archivo se encuentra la información y no se podría conseguir de otra manera. UNID 2010 Página 34 . y que permita verificar que la copia es exacta. aun dentro del contexto de un mismo sistema operativo. 3. los datos “borrados”. el contenido de los archivos no es verdaderamente borrado. a menos que se utilice algún software especial que ofrezca un alto grado de seguridad en el proceso de eliminación. Consecuentemente siguen existiendo los datos. El uso de herramientas sofisticadas se hace necesario debido a: 1. los cuales pueden variar enormemente. Igual sucede con el file slack asociado al archivo antes que este fuera borrado. dichas herramientas pueden ser clasificadas en cuatro grupos principales para su mejor comprensión: HERRAMIENTAS PARA LA RECOLECCIÓN DE EVIDENCIA. Herramientas de “forensics” Existen una gran cantidad de herramientas sobre las que los expertos en “forensics” (27) pueden valerse para utilizar las técnicas antes mencionadas y realizar un proceso forense en una o varias computadoras. pero presentes y pueden ser detectados mediante herramientas de software para el análisis de “forensics”. permanecen en un área llamada espacio de almacenamiento no asignado (unallocated file space). Limitaciones de tiempo para analizar toda la información. 26) Cuando los archivos son borrados o suprimidos. Existen una gran cantidad de herramientas para recuperar evidencia. 2. escondidos. La variedad de formatos de archivos. 4. La necesidad de recopilar la información de una manera exacta. UNALLOCATED FILE SPACE (14. La gran cantidad de datos que pueden estar almacenados en una computadora. com). Emplea un estándar sin pérdida para crear copias comprimidas de los discos origen. se enfocara específicamente sobre la herramienta EnCase. Esta característica ahorra cantidades importantes de espacio en el disco de la computadora donde se realizara el análisis. Diferente capacidad de almacenamiento. que son algunas de herramientas más utilizadas en el ámbito de la recolección de evidencia.com).x-ways. X-Ways WinHex (www. y Nuix (www. UNID 2010 Página 35 .com). incluyendo estampillas de tiempo. Los archivos comprimidos resultantes pueden ser analizados.(20) A continuación se describen algunos de los ámbitos que abarcan las herramientas para la recolección de evidencias.com).xways. etc. Mecanismos de encriptación o de contraseñas. Varios campos de ordenamiento. Búsqueda y análisis de múltiples partes de archivos adquiridos.accessdata.(14. ultimo acceso.net/winhex). ahorrando tiempo.kazeon. USB. Permite al experto buscar y analizar múltiples partes de la evidencia.). Paraben (www.José Roberto López Quiñones Protocolo de investigación 5.nuix.digitalintelligence. Con Encase se pueden analizar todos los posibles dispositivos a la vez. 6.com).com). FTK (www. y otros dispositivos de almacenamiento. Encase permite copiar de forma comprimida todos esos datos a un solo CD-ROM manteniendo la integridad del equipo original. pero en general todas se basan en los mismos principios. nombres de archivos. CD. firma de archivos y extensiones. buscados y verificados de manera semejante a los originales.paraben. EnCase (www. Los datos pueden estar en diferentes unidades (discos duros. 28) Copiado comprimido de discos fuente. Facilidad para borrar archivos de computadoras. ultima escritura. Permite al especialista ordenar los archivos de acuerdo a diferentes campos incluyendo cuando se creó. X-Ways Forensics (www. se pueden mencionar Kazeon (www. Digital Intelligence (www. Entre las herramientas para la recolección de evidencia.guidancesoftware. Muchos expertos involucran una gran cantidad de discos duros.net/forensics). discos extraíbles. Windows. Permite la recuperación de archivos internos y metadatos con la opción de montar directorios como un sistema virtual. UNID 2010 Página 36 . como en el caso de que se haya renombrado un archivo. se detecta automáticamente la identidad del archivo. Sellos de fecha. Soporte de múltiples sistemas de archivo. favoritos. También muestra el Slack File con un color rojo después de terminar el espacio ocupado por el archivo dentro del clister. Encase provee una interfaz tipo explorador de Windows y una vista del disco duro de origen.José Roberto López Quiñones Protocolo de investigación Análisis compuesto del documento. Linux. CD-ROM. Vista de archivos y otros datos en el espacio UNALLOCATED. La mayoría de las gráficas y de los archivos de texto comunes contiene una pequeña cantidad de bytes en el comienzo del sector los cuales constituyen una firma del archivo. Análisis electrónico del rastro de intervención. identificación y análisis. Encase proporciona los únicos medios prácticos de recuperar y documentar dicha información de una manera no invasora y eficiente. Encase genera el reporte del proceso de la investigación forense como un estimado. registros de accesos y la actividad del comportamiento reciclado son puntos críticos de una investigación por computadora. si existe alguna discrepancia. Integración de reportes. Encase verifica dicha firma para cada archivo contra una lista de firmas conocidas de extensiones de archivos. en donde se muestra el caso incluido. los comentarios del investigación. En dicho documento se realiza un análisis y una búsqueda de resultados. imágenes recuperadas. criterios de búsqueda y tiempo en que se realizaron las búsquedas. Macintosh. Búsqueda automática y análisis de archivos de tipo Zip y attachments de e-mail Firmas de archivos. y los sistemas de archivos DVD-R. sellos de hora. también permite ver los archivos borrados y todos los datos en el espacio unallocated. Encase reconstruye los sistemas de archivos forense en DOS. UNIX. la evidencia relevante. jpg del disco. extrae y despliega muchos archivos de imágenes como .José Roberto López Quiñones Protocolo de investigación Visualizador integrado de imágenes con galería. Encase ofrece una vista completamente integrada que localiza automáticamente.gif y . UNID 2010 Página 37 . Permite analizar los procesos en ejecución. The Sleuth Kit Recuperación de archivos borrados Open source Linux Windows Copiado comprimido de discos fuente Búsqueda y análisis de múltiples partes de archivos adquiridos Diferente capacidad de almacenamiento Varios campos de ordenamiento. identificación y Encase análisis Comercial Windows Análisis electrónico del rastro de intervención Soporte de múltiples sistemas de archivo Vista de archivos y otros datos en el espacio Unallocated Integración de reportes Visualizador integrado de imágenes con galería UNID 2010 Página 38 .José Roberto López Quiñones Nombre Descripción Enhanced_loopbac Duplicado forense y utilización como disco k rígido No analiza los datos. incluyendo estampillas de tiempo Análisis compuesto del documento Firmas de archivos. solamente obtiene Protocolo de investigación Open Source / Sistema Comercial Operativo Open source Linux Open source Linux información relevante para el análisis. Cononer's toolkit Incorpora un recuperador de ficheros borrados (lazarus) para cualquier Unix. Windows Linux Identificación de archivos típicos del file system y programas. Existen algunos programas simples como key loggers o recolectores de pulsaciones de teclado. (14) KEYLOGGER (29) Keylogger es un ejemplo de herramientas de monitoreo y/o control de computadoras. Comercial Análisis de correo electrónico.José Roberto López Quiñones Protocolo de investigación Permite principalmente analizar la información relevada de un sistema. Es una herramienta que puede ser útil cuando se quiere comprobar actividad sospechosa: guarda los eventos generados por el teclado. Snapback. cuando el usuario teclea la tecla de retroceder. etc. Forensic Tool Kit pkzip. Smart. incluso existen algunos casos en los que la computadora se controla de forma remota. gzip. de evidencia. rar. que guardan información sobre las teclas que son presionadas hasta otros que guardan imágenes de la pantalla que ve el usuario de la computadora. hashsets. ext3) realizadas con Encase. Generación de reportes. existen algunas herramientas que monitorean el uso de las computadoras para poder obtener información. esto es guardado UNID 2010 Página 39 . por ejemplo. Análisis de archivos comprimidos (winzip. tar). Manejo de imágenes de File systems Windows (NTFS. acceso y desencriptado de datos protegidos y de registros. Safeback y DD). FAT) y Linux (ext2. Tabla 3 Características de los principales software de "forensics"(21) HERRAMIENTAS DE MONITOREO Y/O CONTROL DE COMPUTADORAS En algunas ocasiones es necesario obtener información acerca del uso que se ha tenido en una determinada computadora. Será difícil encontrar toda la información valiosa. Es difícil adquirir la categoría de “experto” para que el testimonio personal sea válido ante una corte. se han diseñado varias herramientas como DIBS “Portable Evidence Recovery Unit”. 10. Carencia de software especializado para buscar la información en varias computadoras. ya que “marcan” los documentos y realizan una bitácora de accesos a ellos permitiendo saber al experto en “forensics” que acciones se realizaron sobre los archivos. con anotaciones sobre las horas y con los mensajes que generan algunas aplicaciones. Dificultad para conducir la investigación de manera objetiva. Dificultades del experto en “forensics”(14) El investigador forense requiere de varias habilidades que no son fáciles de adquirir. Los datos que se generan son complementados con información relacionada con el programa que tiene el foco de atención. 6. 2. 7. aún sin darse cuenta. preservar y presentar los datos como evidencia. HERRAMIENTAS DE MARCADO DE DOCUMENTOS(14) Estas herramientas ayudan en la recuperación de documentos robados. 8. Falta de experiencia para mostrar. Reglamentación que puede causar problemas legales a la persona. 5. Los errores cometidos pueden costar caro para la persona o la organización que representa. UNID 2010 Página 40 . Dificultad al conseguir el software y hardware para guardar. 4. reportar y documentar un incidente computacional. Posible daño de los datos visibles o escondidos. Dificultad para hacer correctamente una entrevista con las personas involucradas. 3. es por esto que el usuario normal se encontrará con dificultades como las siguientes: 1.José Roberto López Quiñones Protocolo de investigación en un archivo o enviado por e-mail. 9. HERRAMIENTAS DE HARDWARE (14) Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información. Las evidencias digitales descubiertas en computadoras se pueden utilizar para compensar costos (fraude. reclamación de despido injustificado. Seguridad forense en negocios. Quién utiliza la seguridad forense. Ciudadanos privados.José Roberto López Quiñones Protocolo de investigación Es por esto que. piratería de software. acoso sexual. o para mejorar la seguridad. antes de lanzarse a ser un investigador forense. hábitos de navegación por internet. inferir intenciones. se necesita bastante estudio y experiencia. en caso de un accidente es aconsejable llamar a uno o varios expertos.+. compensación a trabajadores. divorcio. fraude. fraude y desfalcos. etc. actividad no autorizada. vender ancho de banda de una empresa. entre otras cosas. (30) “Forensics” es utilizada por un colectivo cada vez mayor de personas entre otros: Las personas que persiguen delincuentes y criminales. Compañías de seguros. discriminación. Policías que aplican las leyes. Obtienen los servicios de profesionales en “forensics” para soportar denuncias de acosos. (30) En el ámbito de los negocios es muy frecuente el uso de “forensics” para identificar y seguir la pista de: robos/destrucción de propiedad intelectual. reconstrucción de eventos. Se basan en las evidencias obtenidas de la computadora y redes que el investigador sospecha y utiliza como evidencia. Litigios civiles y administrativos. abusos. despidos improcedentes de empleo. Las evidencias obtenidas de las computadoras de los empleados pueden utilizarse en casos de acosos. etc. Los datos de negocios y personas descubiertos en una computadora se pueden utilizar en casos de acoso. o para mejorar la seguridad. UNID 2010 Página 41 . Se utilizan para respaldar órdenes de registro y manipulaciones post-incautación. incendio provocado. Corporaciones privadas.. y si no se cumple con los requisitos. Si existe facilidad para sembrar la duda en los hallazgos presentados. En la fase de análisis de datos. 3. Identificación y análisis de datos. Se trata entonces de actuar y explotar vulnerabilidades en las tres áreas. la cadena de custodia.José Roberto López Quiñones Protocolo de investigación Fases de la seguridad forense (30) Las fases de “forensics” son: 1. El análisis manual se realiza con experiencia y formación. formación o herramientas inadecuadas En la fase de presentación de los descubrimientos. Se realiza un análisis automatizado con herramientas. Si se utiliza una metodología. UNID 2010 Página 42 . todas las correspondencias de red desde el sistema y dispositivos de almacenamiento físico externo. Adquisición o recogida de datos de evidencias. Algunas de las debilidades del proceso forense son: En el proceso de recogida de datos. Evaluar la información recuperada para determinar si es útil para los fines que se requieran. Presentación de los descubrimientos. Se incluye la autenticación de evidencias. Si se identifica una cadena de custodia o recogida de datos incompleta. Identificar que datos pueden recuperarse y recuperarlos electrónicamente ejecutando diversas herramientas de “forensics”. 2. 4. Puede ser una presentación oral o escrita. Se trata de obtener posesión física o remota de la computadora. Presentación de evidencias descubiertas de manera que sean entendidas por cualquier persona no técnica. Evaluación. la documentación y la preservación de evidencias. Para comprender mejor el tema de seguridad. b. Archivos abiertos. es necesario que dicho incidente sea reportado y documentado a fin de saber qué es lo que ocurrió. Tanto: a. Información volátil. Librerías en uso. archivos ocultos. 2. troyanos/rootkit cargados en el sistema. Usuarios y empleados que actualmente utilizan el sistema.(8) UNID 2010 Página 43 . Programas actualmente activos en el sistema. Se incluye información. por más pequeño e insignificante que pueda ser. c. datos de configuración. es necesario señalar algunos conceptos utilizados dentro de la seguridad informática definida como “El conjunto de técnicas y métodos que se utilizan para proteger tanto la información como los equipos informáticos en donde esta se encuentra almacenada ya sean estos individuales o conectados a una red frente a posibles ataques premeditados y suceso accidentales”. por ejemplo podría ser una pérdida de disponibilidad o integridad o de la confidencialidad. Usuarios logeados.José Roberto López Quiñones Protocolo de investigación Retos de “forensics”(30) La información y datos que se buscan después del incidente y se recogen en la investigación deben ser manejados adecuadamente. No importa qué tipo de evento haya sucedido. Comunicación entre el sistema y la red. esto en razón de que cuando ocurre un incidente de seguridad. Información no volátil. d. Información de red. este debe ser verificado con el fin de señalar la existencia o no de un riesgo para el sistema informático. se debe estar familiarizado con las bases de “forensics”. archivos del sistema y datos del registro que son disponibles después del re-arranque. Procesos activos. Incidentes de seguridad (8) Cuando se está a cargo de la administración de seguridad de un sistema de información o una red. Pero con la aparición de nuevos tipos de incidentes ha cambiado su definición ya que ahora puede considerarse como una violación o intento de violación de la política de seguridad de los sistemas informáticos. Estos pueden ser: 1. Un incidente informático en el pasado era considerado como cualquier evento anómalo que pudiese afectar a la seguridad de la información. Los incidentes de seguridad en un sistema de información pueden caracterizarse modelando el sistema como un flujo de mensajes de datos desde una fuente.José Roberto López Quiñones Protocolo de investigación La seguridad informática puede ser dividida en seis componentes: Seguridad física: es aquella que tiene relación con la protección de la computadora en si evitando cualquier tipo de daño físico. como por ejemplo un archivo o una región de la memoria principal. a un destino. Análisis forense: Surge como consecuencia de la necesidad de investigar los incidentes de seguridad informática que se producen en las entidades. UNID 2010 Página 44 . igualmente trata de hallar la manera de evitar ataques similares en el futuro. Seguridad normativa: Conjunto de normas y criterios básicos que determinan lo relativo al uso de los recursos de una organización cualquiera. permite controlar el acceso remoto de la información. Back up y recuperación de datos: Proporciona los parámetros básicos para la utilización de sistemas de recuperación de datos y respaldos de los sistemas informáticos. Seguridad de datos: Es la que señala los procedimientos necesarios para evitar el acceso no autorizado. Persigue la identificación del autor y del motivo del ataque. Se deriva de los principios de legalidad y seguridad jurídica. Un incidente no es más que la realización de una amenaza en contra de los atributos funcionales de un sistema informático. como por ejemplo otro archivo o un usuario. Modificación. Una entidad no autorizada inserta objetos falsificados en el sistema. los incidentes pueden ser clasificados en cuatro categorías. sino que es capaz de manipularlo. Se trata de un ataque contra la disponibilidad. UNID 2010 Página 45 . Intercepción. Una entidad no autorizada no solo consigue acceder a un recurso. Un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la confidencialidad. Es un ataque contra la autenticidad.José Roberto López Quiñones Protocolo de investigación Ilustración 11 Categorías generales de incidentes(8) Como se puede observar en la figura anterior. Es un ataque contra la integridad. Fabricación. Interrupción. Una entidad no autorizada consigue acceso a un recurso. es capaz de establecer los rastros. UNID 2010 Página 46 . Ahora se pueden almacenar Terabytes de datos en una red. la tecnología y sus métodos son más que solo administración de una red y los costos de dispositivos de almacenamiento están al alcance de cualquier persona. muchas veces disyuntos y aleatorios. este contexto exige capacidad de correlación de evento.(7) Las redes son conexiones de un gran volumen de tráfico lo que las hace un verdadero reto para los especialistas. sin romper el banco de almacenamiento. está “en pañales”. Encontrar la herramienta adecuada para una situación en específico puede ser difícil. Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de computadoras. El trabajar con herramientas de “network forensics” es un proceso complejo pero hacen el trabajo más fácil al automatizar la mayor parte de las tareas de adquisición de datos.José Roberto López Quiñones Protocolo de investigación Forensia en redes (Network Forensics) Si “forensics” es un campo relativamente nuevo en los cuestiones de cómputo. los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de “forensics”. que en equipos particulares. configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento especifico en el tiempo y un comportamiento particular. más no imposible. es poco frecuente. ya que es necesario comprender la manera como los protocolos. la forensia en redes. Se tiene que pensar en dos cambios primordiales al hablar de “network forensics”.(31) La forensia en redes es un escenario aun más complejo. 00. el presupuesto para la compra de bibliografía es de $5000. Por otro lado. Para la presente investigación se cuenta con un presupuesto un tanto reducido.José Roberto López Quiñones Protocolo de investigación Presupuesto de la investigación. sin embargo por la naturaleza de la investigación más que nada se requiere bibliografía dentro de la cual la mayor parte de los libros no se consiguen en México y probablemente habría que comprarlos en el extranjero. evitando así la compra del mismo. para la elaboración de encuestas se tratará de comunicarse vía electrónica con los diferentes encargados del área de computación. Para la evaluación del software se buscará aquel que ofrezca un periodo de prueba para su uso.00 pesos mexicanos. en cuanto a viáticos y transporte se cuenta con $3000. UNID 2010 Página 47 . ¿Tienen instaladas fuentes de alimentación redundantes? 7. controles de acceso mediante tarjetas. ) 9. ¿Existe algún control que impida el acceso físico a los recursos a personal no autorizado? (Puertas de seguridad. ¿Existe algún mecanismo físico que impida el uso de los sistemas de información a mecanismos no autorizados? Servidores 10. adicionalmente se agregan algunas preguntas que ayudan a orientar el propósito de la encuesta conforme al objetivo de la investigación. que impiden el acceso a los datos a los usuarios no autorizados? 11. que no sea correcta? 2. ¿Se ha definido una política global de seguridad en la empresa? 3. Agresiones físicas externas 5. alarmas. ¿Tienen instalados Sistemas de Alimentación Ininterrumpida? Controles de acceso físico 8. ¿Ha tenido en cuenta la posibilidad de perder información. ¿Se ha definido el nivel de acceso de los usuarios?. quedando con la siguiente estructura: Encuesta Nombre de la empresa: _______________________________________________________________ Política Global de Seguridad SI NO 1. ¿Existen controles que detecten posibles fallos en la seguridad? 4.José Roberto López Quiñones Protocolo de investigación Procedimiento Se redactó una encuesta basada en una serie de preguntas realizadas por una empresa española(16) para evaluar la seguridad de las empresas a las que brinda consultoría. ¿Existen filtros y estabilizadores eléctricos en la red eléctrica de suministro a los equipos? 6. ¿Existen sistemas operativos servidores. a qué recursos tienen acceso y a qué recursos no. es decir. que se la roben. ¿Están los servidores protegidos en cuanto a inicio de sesión y accesos a través de la red? UNID 2010 Página 48 . ¿Existen ficheros de log o similares que registren los accesos autorizados y los intentos de acceso ilícitos? 27. ¿Tiene antivirus corporativo? 30. ¿Existe un presupuesto asignado para la seguridad en la empresa? 37. ¿Protege su antivirus los correos electrónicos y la descarga de archivos vía Web? 31. ¿Ha tenido alguna vez problemas con algún virus en su sistema? Planes de seguridad y contingencias 33. ¿Existe un responsable o responsables que coordinen las medidas de seguridad aplicables? 35. ¿Existe un contrato de mantenimiento en el que se priorice la seguridad y el plan de contingencias? 41. ¿Se ha elaborado un plan de seguridad? 34.José Roberto López Quiñones Protocolo de investigación 12. ¿Tienen instalados Sistemas de Alimentación Ininterrumpida? 14. ¿Tienen instaladas fuentes de alimentación redundantes? 13. ¿Se almacena alguna copia fuera de los locales de trabajo? 20. ¿Existen controles para el acceso a los recursos? 26. ¿Actualiza regularmente el antivirus? 32. ¿Está basado en contraseñas? 23. ¿Se han incluido en el mismo los aspectos relacionados con las comunicaciones? 39. ¿Existe un procedimiento de cambio de contraseñas? Controles de acceso 25. ¿Tiene cuentas de correo electrónico de Internet? 29. ¿Está automatizado el proceso de copia de seguridad? 18. ¿Existe un plan de contingencias? 36. ¿Se almacenan las copias de seguridad en un lugar de acceso restringido? 19. ¿Tienen discos RAID? Copias de seguridad 15. ¿se han separado los recursos a los que tiene acceso cada usuario? Virus 28. Una vez pasados los filtros de identificación. ¿Ha probado a restaurar alguna copia de seguridad? Mecanismos de identificación y autenticación 21. ¿Existe un procedimiento de copia de seguridad? 17. ¿Dispone de personal informático involucrado directamente con la seguridad UNID 2010 Página 49 . ¿Existe un procedimiento de Identificación y Autenticación? 22. ¿Se ha elaborado un plan de seguridad? 38. ¿Realiza el seguimiento del plan de seguridad personal de la empresa? 40. ¿Con qué periodicidad se realizan copias de los datos? a) Diario b) Cada 3 dias c) Semanal d) Mensual e)Bimestral f)Semestral g)Anual e) No se realizan copias de seguridad 16. ¿Las contraseñas se asignan de forma automática por el servidor? 24. UNID 2010 Página 50 . ¿De haber perdido recurso monetario. ¿Existen controles sobre las páginas accedidas por cada departamento o usuario? 47. En el último semestre ¿Cuántas veces ha sufrido de pérdida de información? a) Menos de 5 veces b) Entre 5 y 10 veces c) Más de 10 veces d) Ninguna 49. mismos que se pueden ver en el anexo. ¿Cual fué el costo de dicho trabajo? a) menos de $500 b) entre $500 y $1000 56. son de índole privado. ¿Cuál fue la causa de la pérdida de información? a) Accidental b)Virus c) Daño de hardware d) Intrusión en el equipo 52. Cabe mencionar que en algunas de las empresas se negaban a contestar la encuesta por la naturaleza de las preguntas que. De informática lo hizo 55. ¿Qué importancia o prioridad tenía dicha información para su persona? a)Muy importante b)Importante c)Poco importante 51.José Roberto López Quiñones Protocolo de investigación informática? Acceso a internet 42. ¿Cómo se llevó a cabo la recuperación de datos? a) No se recuperaron los datos b) Copia de respaldo c) Empresa externa realizó la recuperación d) El encargado del depto. Considera que el pago realizado fue: a) Bajo c) Justo c) entre $1000 y $5000 d) más de $5000 d)Alto Para la aplicación de la encuesta los alumnos del Instituto Tecnológico de Durango de la materia de Tópicos avanzados de bases de datos del ciclo escolar Agosto – Diciembre 2011 se dieron a la tarea de visitar empresas de la comunidad para realizar las preguntas. por dicha razón en algunos casos la empresa contestó la encuesta con la condición de no revelar el nombre de la misma en los resultados de la investigación. ¿Existe un acceso a Internet corporativo? 45. ¿La pérdida de información fue un desencadenante para la pérdida de recursos monetarios? 53. ¿Existe una política definida para los accesos a Internet? 43. ¿Qué importancia o prioridad tenía dicha información para la empresa? a)Muy importante b)Importante c)Poco importante 50. aproximadamente cual fué el monto? a) menos de $5000 b) entre $5000 y $10000 c) entre $10000 y $20000 d)más de $20000 54. en algunos casos. ¿Está limitado el acceso por departamento y/o por usuario? 46. ¿Existen controles sobre intrusiones externas en nuestro sistema de información? Pérdida de información 48. Si una empresa externa realizó la recuperación de datos. ¿Se ha explicado claramente a los trabajadores de la empresa? 44. Lab. LALA. banquetes Beluvida . Nova . Farmacia Durango. Lab. Vidrios vargas. Compufácil. Toyota. Muebles serrano. Alum dgo. Civic. Lab. CMIC. Amcci. Guadiana. Finansas.. CETS.Análisis de la información UNID 2010 Página 51 . Acerradero Serrano. Stieefel. Vidrios Rosales. Lab. Rest. Acabados Carrera. CID construcciones. Intercraft. Vidrios Moreno.José Roberto López Quiñones Protocolo de investigación Dentro de las empresas que permitieron revelar su nombre se encuentran: Malda Arquitectos. Calderon Sa de CV. contrucciones Rosbad. XIFER. Boolovan. Pino SAd. 4. 17. 2006. Vacca JR. 2009. 13. Análisis Forense Informático: Automatización de procesamiento de Evidencia Digital. aspectos tecnicos y herramientas. Massachusetts: Charles River Media. Frand J. 16. MD802CS Encuesta 01 Seguridad informática. 2006:35. ¿Como prevenir la pérdida de información? Seguridad de la información2009. editor. Informática forense en el ecuador. Forensic Analysis. 10. Alcalá de Henares. 2007:2008-08. Richardson R. Available from: http://www. 2005. complusoft. 6. Biles S.. Casey E. Recovering and Ecaminig Computer Forensic Evidence.es. Director C. 18. Presley L.]. 2005. Cuestionario para evaluar los niveles de seguridad informática en las empresas]. Pollitt M.org/stats/cert_stats. 2004(8). 2008 [cited 2010 2 Diciembre 2010]. Cowen D. Philipp A. p. Available from: http://www. Mexico2002.José Roberto López Quiñones Protocolo de investigación Referencias 1. Forensic Science Communications.cert. 12. Sitio dedicado a la recoleccion de informacion de las vulnerabilidades existentes en internet. 8. 7. Cano JJ. Cerpa JJ. Davis C. proteccion de datos. Lopez J. 9. Morelia. Young S. Noblett.ucla. Blog dedicado a temas de seguridad de informacion. Computer Forensics: Computer crime scene investigation 2nd edition. UNID 2010 Página 52 .complusoft. Montevideo: CIBSI09. MG.htm. ¿Cúales son los principales rubros de costos asociados a la seguridad de la información en su organización? SISTEMAS. Digital forensics. Boston. Introducción a la informática forense. Handbook of computer crime investigation: forensic tools and technology: Academic Pr. 2 ed. InterSedes: Revista de las Sedes Regionales. Panorama general de la informática forense y de los delitos informaticos en Costa Rica. 2000. 3. 5. 15. Hacker Highschool. 11. Madrid2006 [cited 2011 30/07/2011].anderson. CSI computer crime and security survey.html. Arias Chaves M. Inc. Automatización de procesos en análisis forense informático.2(4):102-9. Hacking exposed computer forensics: secrets & solutions: McGraw-Hill Osborne Media. Ecuador2007. Computer Security Institute. Data Mining: What is Data Mining? 1996 [cited 2010 06/12/2010]. Cambrún MB.edu/faculty/jason. 2006:64-73.7(12):141-54. auditorias y peritajes informaticos e informática forense. 2005. Informatica forense: generalidades. Introducción a la informática forense.frand/teacher/technologies/palace/datamining. 2. 14. 2000. seguridad de informática. 2002. SISTEMAS. An organization for local information security. Ricardo Leon. Recovering and examining computer forensic evidence. Available from: www. Noblett M. Oscar Lopez HA. CERT Statistics (Historical). Informatica forense. Linda Volonino IR. Rossi Eduardo. Available from: http://keylogger. 25. 22.com/. Computer forensics 1012004: Available from: http://www. The giant magnetoresistive head: a giant leap for IBM Research: Available from: http://www. unallocated file space defined. 2006. 29. Keylogger.com/library/forensic_evidence/computer_forensics_101. Verification of digital forensic tools.html.research. 2007.com/research/gmr. Rodriguez Gabriel. 2010. Giovanni Zuccardi JDG. Computer forensics for dummies2008. 23.expertlaw. Lyle J. 2010. utilities.ibm. File Slack Defined. Hassell J. Acosta Gonzalo AA. 31. Linda Volonino RA. digital evidence software. Computer forensics tools. UNID 2010 Página 53 . 20.html. Informática Forense. 27. Bertolin JA. 30. 24. 21. software G. Seguridad forense. 26. EnCase® Forensic Features and Functionality.José Roberto López Quiñones Protocolo de investigación 19. Inc. e-discovery for dummies: Willey Pubishing. técnicas antiforenses. [7/12/2010]. 2010. respuesta a incidentes y gestión de evidencias digitales. 28. Resultados de las encuestas En que formato? UNID 2010 Página 54 .José Roberto López Quiñones Protocolo de investigación ANEXO1.
Report "Análisis de los beneficios del uso de técnicas y herramientas de “forensics” en las Pymes para la recuperación y prevención de pérdida de datos"