anÁlisis de evidencias de naturaleza informÁtica...
TRANSCRIPT
ANÁLISIS DE EVIDENCIAS DE NATURALEZA INFORMÁTICA MEDIANTE EL USO DE LA
HERRAMIENTA ENCASE FORENSIC
EDWARD HERRERA BIUR
INVESTIGADOR CRIMINALISTA IV DIRECCIÓN DE ASESORÍA TÉCNICO CIENTÍFICA E INVESTIGACIONES DEL
MINISTERIO PÚBLICO
DAVID CASTILLO
INGENIERO ExPERTO EN PERITAJE INFORMÁTICO
DIVISIÓN DE ANÁLISIS DE TECNOLOGÍAS DE INFORMACIÓN
DIRECCIÓN DE ASESORÍA TÉCNICO CIENTÍFICA E INVESTIGACIONES DEL
MINISTERIO PÚBLICO
OSWALD FALCÓN
INGENIERO DE SISTEMAS
DIVISIÓN DE ANÁLISIS DE TECNOLOGÍAS DE INFORMACIÓN
DIRECCIÓN DE ASESORÍA TÉCNICO CIENTÍFICA E INVESTIGACIONES DEL
MINISTERIO PÚBLICO
REsUMEN
En la actualidad, el auge de delitos informáticos ha hecho necesario adoptar nuevas estrategias para su investigación y, muy especialmente, para el análisis de las evidencias que se pudieran hallar en un momento determinado. Este auge, debe ser analizado tomando en consideración diversos aspectos, como por ejemplo, la motivación, origen y desarrollo de los distintos tipos de manipulaciones, modificaciones, ataques que configuran una amplia variedad de los tipos penales previstos en la ley sustantiva que rige la materia; también se debe mencionar como aspecto a ser evaluado, la diversidad de tecnologías existentes en diversos campos de la informática y la computación, que si bien, en un principio nacieron con un objetivo específico y determinado, se observa como esta orientación se desvirtúa antes, durante o después de su implementación.
Dentro de esta vorágine tecnológica, también se incluyen aquellas herramientas que nacen con orientación forense, pensando precisamente en las aristas y ramificaciones operacionales que se verifican al momento de abordar la investigación de un delito informático.
Una de estas herramientas es Encase Forensic, diseñada para realizar el análisis de aquellas evidencias que resultaron tener un interés criminalístico en la investigación y que contempla procedimientos estandarizados desde el punto de vista de la protección, integridad, originalidad y no repudio de los datos e información que se evalúan.
DESCRIPTORES:
Tecnología, aplicación forense, computación, minería de datos, estadísticas.
RJM STA DEL MI NISTERIO P ÚBLlc o ll REVISTA C IENTfPlCA ARBITRADtJl V ETAI'A N° 14 [15J
ABSTRACf
At present, [he rise of co mpurer crime has made ir necessary ro adopr
new suaregies for ir investigation and especially for me anal is of me evi
dence mar could be found in a given rime.
This rise, mu t be analyzed raking into con ideration various aspectS such as for example, morivation, origin and development of me diJferent
rypes of manipulation mi boom musr be analyzed raking into con ide
ration various aspect , uch a for example, motivado n, origin and developmenr of the differenr rype of manipulado n , modificadon , arracks
thar shape a wide variery of criminal offen es under m e ub randve law governing the manero hould al o be mentioned as an aspecr ro be eva
luared , the diversiry of exi ting technologies in various field of ompurer
science and compurin g rhar while in a principie were born \Vi(h a pe ifi
objecrive and determined , you can ee ho\ thi guidan e i being undermined befo re during or after ir implementation.
Within mi Univer e f rechnology, are al o included tho e tool mat
are born \Vith ~ ren i orien tation minking pr i el in me edg and operatio nal ramification m at are verified ar (h ti me to tan me inv tÍ!!ati n of a ompurer rime.
One of mese ro I i • n ase F ren i , d igned r p rform m anal i
of those eviden es thar rurned out t ha e a inte t in iminali ti re-
earch that involv randardized pr edur fr m me p inr f vi w f (h
protection, inregriry, origi naliry and non- r pudiati n f data and in rmarion thar are evaluated .
D · ruPTOR:
Teclll1 lo ,foren i , ppli ti n, mputati n, dura minin , ·mrLti
ENCASE FORENSIC
Es una solución estandarizada para la investigación en el área de la informática y la computación, diseñada para operadores forenses, que requieren conducir eficientemente la investigación y el análisis de evidencias con procesos respetables y reproducibles. La probada, confiable y poderosa herramienta EnCase permite a los analistas obtener data a partir de una amplia variedad de dispositivos aunado a la identificación de potencial evidencia con análisis forense a nivel de disco, generando los respectivos reportes de hallazgos y manteniendo la integridad de la evidencia. Cabe destacar, que la referida herramienta tecnológica, está siendo adquirida para su implementación en la Coordinación de Peritaje del Ministerio Público.
CARACTERÍSTICAS
El poder y la efectividad de la herramienta EnCase Forensic, la han hecho muy popular entre diversas organizaciones gubernamentales a nivel mundial, así como en organizaciones privadas y entre sus principales características encontramos las siguientes:
•
•
Extracción de data e información desde casi cualquier
dispositivo. Adquisición desde disco o memoria RAM ,
documentos, imágenes, correos electrónicos, correo web,
páginas web, historial y caché web, sesiones de chat, archivos
comprimidos, archivos de respaldo, archivos encriptados,
arreglos de disco RAI D ' s, estaciones de trabajo, servidores y a partir de la versión 7, teléfonos inteligentes y tableras.
Extracción Forense. EnCase Forensic permite realizar
un duplicado binario exacto del dispositivo original,
verificándolo posteriormente por medio de la generación
REVISTA DEL M'N,~rP.R10 Pú8ucoll REVI STA C IBNTIFl CA AruI'TAAOAf¡ V ETAPA N° '4 [171
de un valor HASH en a1goriuno MD5 , para archivos de
imágenes relacionados asignándole un valor de comprobación
a la data.
• Análisis avanzado. Recupera archivos y particiones, detección
de archivos eliminados, análisis de firmas de archivos y
análisis de HASH.
• Los analistas pueden previsualizar los resultados miencras se
adquiere la data o información , y una va.. que son creados
los archivos de imagen, pueden realizar búsquedas y analizar
múltiples d.ispositivos imulcáneamence.
METODOLOGlAs y EsTÁNDARES A Nrva MUNDIAL
• Las normas de eguridad tandard establecen que todos
los archivos deben estar protegido con unas medidas de
eguridad, cuya incen idad variará en función de la naruraleza
de los datos que se almacena en ello . Además, las empresas
deberán tomar precauciones, conaol de a ceso, asignación y
cambio de concraseilas del personal, especificar las funcion
•
•
•
y obligacio nes del per onal que ac ede al fichero, r ha er
copias. Las técnicas y herramientas exi rene para análisi
foren e tienen una ci rta madurez, pero en general adolecen
de un defecto: cán o rientadas al mundo del P . o
Rico al hardware, di o duro de tamaño raz nable,
po ibilidad de d oneccar el i tema confi cario, r .
En mucho ca o diR iI , i no impo ible, aplicar l. t ni
de investiga i n forense en el mundo de la gran orpora i ' n .
. to puede er debido a mu has u
Talllañodelencornote n I gi o,di tribu i ng g.fi .. gran
número de si tema , talllañ del alma enamient impli d , etc.
olllplcjidad
t nologr •. xi ten ia d múltipl
1181 RIN1 ~r" I)F,I. MlfIIlSTI1 RI O t~U (\U II R I'1STA 'JlNT1n itA! Il I V t:, \ ,, \ ''''
• Complejidad organizariva, po((tica o legal, inclu)'endo
diferentes jurisdi ciones o istema legales.
• Existen ia de sistemas crítico en entornos ontrolados
• Además, la distancia, la posibilidad de a eso flsi o a
sistemas remoto , diferencias ulturales o de idioma, zona
horarias, et . pueden limitar o difi ultar la rea lización de
una investigación foren e. uando se tiene que obtener la
evidencia de forma remota, el an ho de banda disponible
(a veces mfnimo) )' la proliferación de grande medio de
almacenamiento (discos de ciento de gigab)'tes), hacen
dificil la obtención de imágenes de disco para su examen.
La existencia de sistema de almacenamiento e.'( terno ( A ,
SAN, etc.) )' la difuminación entre lo fl i o )' lo virtual
(sistemas virtuales, almacenamiento di tribuido, e/I/SIU!
geográficos) no hacen sino complicar aún más la tarea del
investigador. El tamaño de los volúmenes actuales de di co,
en el mejor de los casos, puede implicar varia horas para la
formación de una imagen bit-a-bit, de forma local.
• Por último, no siempre es posible acceder a la evidencia en
el caso de istema críticos, debiendo evaluar la co nveniencia
en base a:
» Coste de dOI/Jllrim contra coste del incidente
» Coste de reinstalación y puesta en marcha
» Coste de re-validación o re-certificación del sistema
» En las configuraciones RAID es po ible en ciertos casos
utilizar uno de los di cos en espejo para realizar la copia,
pudiendo extrae rlo en caHente in afectar a la continuidad
del servicio. En el caso de que no haya acceso físico al
sistema, puede ser necesa rio recurrir a operadores remoto
o utilizar OtrOS métodos como la transferencia a través
de red de la imagen o el arranque del sistema desde un
CD-ROM virtual mapeado a través de tarjetas de gestión
remota tipo "Lights oue".
ReVISTA .) EL MINI STERIO I)únl.lcoll R I:."V ISTA l ENTIFICA ARlIITRAOAl/ V ETAPA N° 1.1 1191
• Una ventaja que tiene la gran corporación respecto a otros
entornos es la estandarización de los sistemas. La plataforma
de dientes y servidores de una forma común permite la
creación de "bases de datos de hashes" de tamaño razonable
que facilitan la investigación al descartar en seguida los
archivos "conocidos", y centrar el análisis en los archivos
desconocidos. El uso de una base de datos de "hashes" de
archivos permite descartar entre un 80% y 90% de los
archivos de una partición de un pe o un ervidor de forma
rápida y cómoda.
• Es po ible que la práctica forense esté pasando por un bache
de la desilusión en terminolog(a de Gartner. Esto es debido
a la incapacidad de las técnicas y herramientas actuales para
cubrir las nec idades de los entornos modernos. Esto hace
que la práctica deje de er "interesante" y parezca que ha
"pasado de moda". 1 futuro de 13 práctica de investigación
roren e en sistemas inform:í tico pasa necesariamente por
renovarse e incorporar técnicas maduras que hagan frente a:
•
•
•
•
•
El desplazamiento dd campo de batalla d de el di o
duro a la memoria. icrras aplicaciones, troyano y roolkits
on capaces de residi r en memoria in tocar el di o.
El desarrollo de técnicas , herramientas para el an:ili i de
di po itivo m vil .
La mrada de la prá ti aforen
(sistemas ríti os. grand a1m3 en el mundo orporati\'O
cnanllem • falta de a o
I i a máquinas. virtualiza i n. di tan i •• Cl .)
La pr lircra in)' pue ca a di p
herrami 11t:IS quc difi ullen la in n d I gran público de
ren .
El m3nt ncr parámctros o n rmJ one . l. nueva 1 ni u,
hcrr.lIl1i ' \HJS para realizar a lividJd m.Ji i .1. Y ntra
la, hcrrami nt.l~ anli -ror n •• 1 ¡ omo 1.\ m.ldure? dI.}
pd ti • p.trol ade lIarla.tl \\lomo I pOr.llivo. r. 11 d i h-.u
en el desarrollo de uno de los ampo m:\s fas inam de la
seguridad de la información.
ANÁLISIS DE INFORMÁTICA FORENSE MEDIANTE EL USO DE ENCASE
• Una de la principales caracrerf rica que ha en de n a e
una herramienra de ofnvare práctica y úril es la variedad de
sisremas de archivos y de sisremas operarivos oporrado . Para
cada sisrema operarivo exi ren vario i rema de ar hivo
que pueden coexisri r en un equipo. El sisrema operari o y el
sisrema de archivos son elementos disrinto pero rienen una
estrecha relación en cuantO a cómo almacenan la información
y cómo el sistema operarivo interactúa con el istema de
archivos. La capacidad de anali:mr con profundidad un
amplio rango de istemas operativo y i tema de fichero e
un componente cdtico en las investigaciones. En a e riene la
capacidad de anal izar rodos los i tema de archivo , para lo
cuales se ha desarrollado un ervler (actualmente Windows,
Linux, Solaris, AIX y O X; esrá en camino el oporte de má
sistemas) . Además, EnCase puede interprerar orro istemas
de archivos para los cuales actualmente no existe un ervlet
desarrollado.
• Sistemas Operativos: Window 95 /98/ NT/2000/XP/2003
Server, Linux Kernel 2.4 y superior, olaris 8/9 en 32 y 64
bits, AIX, OSX.
• Sistemas de archivos: FAT 12/ 16/32, NTF , EXT2/3
(Linux), Reiser (Linux), UFS ( un olari ), AlX Journaling
File System, LVM8, FFS (OpenB O, NerBSO y FreeBSO),
Palm, HFS, HFS+ (Macinto h), COFS, I O 9660,
UOF, OVD Y TiVo 1 y 2 . . En exclusiva soporta la realización
de imágenes y el análisis de RAID, de tipo sofrware y
hardware. El análi is forense de RAID es casi imposible fuera
del entorno de EnCase.
• Soporte para discos dinámico de Window 20001XP12003 Server. Capacidad para previsualizar dispositivos Palm.
ItEvJ STA DEL MI NISTE RI O Pú8L1coll R EVISTA l ENTIFI CA ARUI TRAoAiI V ETAPA N° 14 [211
• Capacidad para interprerar y analizar VMware, Microsoft
Virrual PC, e imágenes de DO y Safeback.
• El proceso de adquisición de EnCase comienza con la creación
de una imagen complera (bilStr~am) del dispositivo a analizar
de una forma no invasiva. El archivo de evidencia que genera
EnCase es un duplicado exacro de lo daros en el momenro de
la adquisición. Durante el proceso de adquisición, los bits de
la imagen so n verificado de forma continua con bloques de
C RCs, que son calculados imultáneamente a la adqu isición.
C uando el proceso de adquisició n se ha complerado e
realiza un egundo tipo de veri ficación medianre un hash
M05 obre rodo el conjunto de daros , y e presenta como
parte de la validación del archivo de evidencia del di po itivo
analizado.
• Adquisición granulada: se riene un ma or control obre la
fo rma en la que e realiza la adquisición de daro o error
ormalmente, cuando e encuentra un error al leer un di o
duro , el bloque encero de daro que ontenía el error e
ponía a cero. on la herramienta En e Foren i e puede
•
•
pecificar e! número de ecror que e ponen a ero cuando
e encuentra un error o bloques adquirido: e puede definir
la cantidad de daro que se obrienen durante el pro o de
adquisición , a egurando la rapidez de dicho pro o.
Illlerrup i n de! pro eso: e puede ominuar o n la
adqui i i n de un i rema basado en '\ mdo\\ d de e!
punro en e! que e interrumpi • no teniend que v h'er a
realizar I pr ceso de adqui i i n d de e! prin ipio.
Ar h iv sI gi . decviden ias: epuedeha erunaadqui i ión
se!e tiva de I ar hi s r arpe. que den. in reaIi~lr una adquisi i n omllera de! di O. L'l e\'id n i. I gi ~ pr erva n lo ar hivo riginal ' en la mi ma f¡ rnla n la
que cxis¡(an en e! disp iti e inclu . n un.! ri .1 \~Iri d.ld
de informa i n adi ional om e! n mbre dd .Irchh'o.
la ' lensi 11 , la r. h'l de último.1 e • re.1 i n , fech.1 d
li lt imtl modifi '1 i n, ram.lIio I gi o, l.un.lIio fhi , Iu: h
105, penni o. omiel17o ubi 1 i n ori in.11 J I.l hh l .
122} IlIYI\l UIl ¡\hNI\lJ1.RI(lI~li "ll\ 11 Rl~11\1" "'" ,flh: \ "".,,, 1\ 1 1'r\ ,'" '"
• La herramienra LinEn es una ver ión Linw( de la herramienra
de adqui ición de EnCase ba ada en DO . A la vez que realiza
la mismas funciones bási as que la herramienra DO , admi(e
sis(emas que no son \Xlindo\Vs, discos duros eJ((remadamenre
grandes y mejora la velocidad de adquisición .
REvISTA DEL MINISTERIO Pónuco/l R.V""A IE",.!" CA AlulITRADAl' V ETAPA N° 14 1231
BIBLIOGRAFÍA
Delgado o. y ÁJvarez G ., Grupo de Investigación en C riprología y e-guridad de la Inform ación del le. En: hrrp://www.alfa- recli .o rgl rdi-arciculo.sh unl
D urán Sánchez, E. Universidad Cacólica del Táchi ra, Faculcad de Ciencias Penales y C riminalís ticas an C riscóbal , abril 2009. Escuela de Derecho. an C ristóbal , Escado Táchira. En: hrrp://www. monografi as.com
Guidance ofnvare - Encase. En : herp://www.guidanc ofrware. oml defauJc.aspx