E-Portafolio Informática Forense
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software si no también de hardware, redes, seguridad, hacking, cracking, recuperación de información. La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.
Ley 1273 de 2009 Protección de la Información y de los Datos en Colombia. En Colombia existe la ley 1273 con la cual se modifico el código penal y se incluyo en lo relacionado al delito informático, para tener un mejor conocimiento de la ley esta se muestra exacta tal y como se rige: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
Unidad I: Fundamentos en la Informática Forense
Fases:
- Línea de tiempo de la investigación: La definición de la línea de tiempo es fundamental al momento de iniciar una investigación, constituye el marco que permite a un investigador indagar en base a un criterio de tiempo determinando que ficheros pueden o no ser importantes para el caso. La línea de tiempo se define en 2 momentos dentro de una investigación: La línea previa: surge con la entrevista inicial, nos muestra la pauta para iniciar los análisis y hace referencia a los detalles de tiempos y sucesos iniciales dados por las personas que nos encarga la investigación, La línea de investigación: Se inicia con la fase del análisis, las conclusiones previas permitirían establecer un inicio, pero la línea de tiempo más exacta se vera durante la fase del análisis. Esta línea de tiempo se hace con las evidencias encontradas dentro del análisis.
- Identificación: Ubicados en el lugar de la escena donde se cometió el delito informático se debe rotular absolutamente todos los elementos que van a ser objeto del análisis forense, el principal objetivo es preservar la autenticidad e integridad de la información para que sea valida ante un proceso jurídico.
- Validación y preservación de los datos adquiridos: Con el elemento identificado se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada.
- Análisis y descubrimiento de evidencia: Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles.El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información. Una actividad ilícita reportada puede ser el borrado la información que puede comprometer a una persona o información que pudo haber sido ocultada o almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash drive. En el análisis forense se pueden buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, tipos de archivos con un formato particular que hayan sido alterados.
- Informe: Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.
Acciones en la escena del fraude informático:
Unidad II: Análisis de las evidencias y herramientas
Recolección de la Evidencia Digital
Estrategias para la recolección de pruebas electrónicas
Volatilidad de la evidencia.
La evidencia volátil es evidencia la que rápidamente puede desaparecer o es sólo de carácter temporal, este tipo de pruebas tiene que ser recogida antes de que la máquina sea desconectada de la red y sea apagada. La recopilación de pruebas se debe hacer de la más volátil a la menos volátil. A continuación se presenta un ejemplo de elementos volátiles
Cuando llegue el momento de comenzar la recolección de pruebas la primera regla que se debe seguirse es la de no apresurarse. Es común que la victima desee saber rápidamente que información fue vulnerada y ejerce mucha ansiedad sobre el investigador, sin embargo, si el investigador se apresura en los procedimientos de recolección de datos, la evidencia puede ser pasada por alto, recuerde que un error en la recolección y preservación de la evidencia a menudo es irreversible.
Análisis de la Evidencia Recolectada.
Recolección
Estrategias para la recolección de pruebas electrónicas
- Llevar un orden de recopilación de información
- Buscar la evidencia.
- Determinar la relevancia de los datos.
- Determinar la volatilidad de la información.
- Eliminar la interferencia exterior.
- Recoger la evidencia.
- Documentar todas las acciones realizadas.
- Cantidad de Información recolectada.
- Cuidados al Hardware.
Volatilidad de la evidencia.
La evidencia volátil es evidencia la que rápidamente puede desaparecer o es sólo de carácter temporal, este tipo de pruebas tiene que ser recogida antes de que la máquina sea desconectada de la red y sea apagada. La recopilación de pruebas se debe hacer de la más volátil a la menos volátil. A continuación se presenta un ejemplo de elementos volátiles
- Memoria física y virtual
- Los procesos en ejecución
- Red conexiones y todo lo que se ejecuta en modo promiscuo.
- Sistemas de almacenamiento permanente: Discos duros, disquetes, cintas, y DVD – CD - RWs/ ROMs).
Cuando llegue el momento de comenzar la recolección de pruebas la primera regla que se debe seguirse es la de no apresurarse. Es común que la victima desee saber rápidamente que información fue vulnerada y ejerce mucha ansiedad sobre el investigador, sin embargo, si el investigador se apresura en los procedimientos de recolección de datos, la evidencia puede ser pasada por alto, recuerde que un error en la recolección y preservación de la evidencia a menudo es irreversible.
Análisis de la Evidencia Recolectada.
Recolección
La recolección de evidencia informática es un aspecto frágil del la informática forense porque requiere de prácticas y cuidados adicionales que no se tienen en la recolección de evidencia convencional.
Análisis
Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque y qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.
- Preparación para el análisis
- Reconstrucción de la secuencia temporal del ataque
Herramientas de software utilizadas en la informática forense:
OSFORENSICS: (http://www.osforensics.com/)Es una herramienta de investigación digital que permite extraer datos forenses o descubrir información oculta de una computadora. Ofrece una variedad de características de búsquedas avanzadas que le permiten descubrir las actividades realizadas en el equipo o en Internet, archivos borrados, contraseñas almacenadas y otras informaciones forenses.
La evidencia digital debe tener la característica de ser copiada exactamente realizando una copia bit a bit utilizando herramientas de análisis forenses con las cuales se puede determinar que la información copiada no ha presentado modificaciones en su contenido y que permita verificar que la copia es exacta; para esto podemos utilizar algoritmos MD5 para generar el archivo HASH.
A las funciones hash (adopción más o menos directa del término inglés hash function) también se les llama funciones picadillo, funciones resumen o funciones de digest (adopción más o menos directa del término inglés equivalente digest function). Una función hash H es una función computable mediante un algoritmo.
Para verificar dicha evidencia utilizaremos OSforensics en su versión libre dispone en dicha opción en la cual ingresaremos la ruta de la evidencia así como el MD5 dispuesto en la guía de actividades.
CAINE 4 (AUTOPSY): (http://www.caine-live.net/) Es un entorno de investigación asistido por computadora una distribución italiana de GNU / Linux creada como un proyecto de forense digital. CAINE ofrece un entorno forense completo que está organizado para integrar las herramientas forenses existentes como módulos de software y para proporcionar una interfaz gráfica amigable.
CUADRO COMPARATIVO VENTAJAS Y DESVENTAJAS PRINCIPALES HERRAMIENTAS DE ANÁLISIS FORENSE
AdaStegano: AdaStegano incorpora dos métodos de cifrado para dificultar la labor de un atacante por descubrir y leer el archivo oculto. Ambos métodos tienen en común que se guarda la información en un orden aleatorio según la contraseña; un ataque a esto por fuerza bruta es casi impracticable. Además, AdaStegano codifica la información de dos maneras: Método Cesar: Una vez decidido el orden en el que se guardará la información, se codifica la información con dos métodos seguidos: el método Cesar de desplazamiento y un xor byte a byte con la contraseña. Método Serpent: Una vez decidido el orden en el que se guardará la información, se codifica la información dividiéndola en trozos de 16 bytes (128 bits) y cifrando cada trozo usando un algoritmo AES candidato (Serpent). AdaStegano funciona tanto en Linux como en Windows, con el mismo código fuente (excepto por un paquete de manejo de consola, que hay que usar uno u otro según el SO).
Xiao_Stenography: Xiao Steganography permite ocultar y encriptar archivos dentro de una imagen o de un archivo de sonido (eso sí, con extensión .bmp o .wav). El procedimiento es tan sencillo como elegir qué imagen o audio queremos usar como contenedor de lo que vamos a ocultar (concepto conocido como portador), elegir qué archivo queremos ocultar, elegir el tipo de cifrado que queremos usar y qué contraseña. Una vez hecho eso, tan sólo queda guardarlo y enviarle el archivo que se ha creado usando este programa a la persona con la cuál queremos establecer una comunicación secreta. Por supuesto, una vez ésta persona lo reciba, para poder a la información que hemos ocultado en el portador (la imagen o foto), debe tener el Xiao Steganography y conocer qué tipo de cifrado y qué contraseña hemos usado.
ANÁLISIS DE FICHEROS SOSPECHOSOS MEDIANTE LA TÉCNICA DE ESTEGANOGRAFÍA
Las esteganografía es una ciencia realmente interesante ha tenido históricamente una importancia relevante en espionaje, conflictos militares, diplomacia política etc. Hoy en día la seguridad informática está a la vanguardia de las relaciones internacionales y la confidencialidad, integridad y disponibilidad de la información requiere del conocimiento de esta ciencia para mitigar las diferentes amenazas a la que está expuesta nuestra información.
Xiao_Stenography: Xiao Steganography permite ocultar y encriptar archivos dentro de una imagen o de un archivo de sonido (eso sí, con extensión .bmp o .wav). El procedimiento es tan sencillo como elegir qué imagen o audio queremos usar como contenedor de lo que vamos a ocultar (concepto conocido como portador), elegir qué archivo queremos ocultar, elegir el tipo de cifrado que queremos usar y qué contraseña. Una vez hecho eso, tan sólo queda guardarlo y enviarle el archivo que se ha creado usando este programa a la persona con la cuál queremos establecer una comunicación secreta. Por supuesto, una vez ésta persona lo reciba, para poder a la información que hemos ocultado en el portador (la imagen o foto), debe tener el Xiao Steganography y conocer qué tipo de cifrado y qué contraseña hemos usado.- Existen múltiples aplicaciones para el uso de la estenografía como: Ada Stegano y Xiao_Stenography, estas herramientas cumplen con el objetivo principal y es entender el arte de la esteganografía.
- Uno de los métodos más sencillos para ocultar datos son los archivos de imagen BMP color 24 bits, ya que son imágenes no comprimidas; La esteganografía no es aplicable únicamente a imágenes, también puede realizarse con documentos, audio, o video.
- AdaStegano incorpora dos métodos de cifrado para dificultar la labor de un atacante por descubrir y leer el archivo oculto
- Ambos métodos tienen en común que se guarda la información en un orden aleatorio según la contraseña.
REFERENCIAS BIBLIOGRÁFICAS
·
H. Cabera. Informática Forense. Documentos de
apoyo. Universidad Nacional Abierta y a Distancia UNAD. [Nov. 2014].
·
J. Cano. Computación forense descubriendo los
rastros Informáticos. Online [En. 2009].
·
Software Engineering Institute. Carnegie
Mellon University. Trusted Computing in Embedded Systems - Challenges. Online
[Nov. 2010].
·
G. Zucarddi & J. D. Gutiérrez.
“Informática Forense”. Online [Nov. 2006].
·
K. Kent, S. Chevalier, T. Grance & H.
Dang. National Institute of Standards And Technology. “Guide to Integrating
Forensic Techniques into Incident Response. NIST SP 800-86”, Online [Aug.
2006].
·
J. E. Bonilla. Computación Forense. Online
[Nov. 2009].
No hay comentarios.:
Publicar un comentario