curso de especialización: investigacion de la escena del delito e infografia forense 2

CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL

DELITO E INFOGRAFIA FORENSE”

Computo Forense, Investigación de la escena del Crimen de Computo (Parte II)

Instituto de Pericias Criminalísticas & Capacitacion “HANS GROSS”

Alonso E. Caballero Quezada

Diciembre 2005

CURSO DE ESPECIALIZACION: “INVESTIGACION DE LA ESCENA DEL DELITO E INFOGRAFIA FORENSE”

Alonso E. Caballero Quezada / Instituto de Pericias Criminalisticas & Capacitacion “HANS GROSS”

Pasos para el procesamiento de Evidencia de Computo

1. Apagar la Computadora

2. Documentar la configuración Hardware del sistema

3. Transportar el sistema de computo a un lugar seguro

4. Hacer un backup de “Flujo de bits” del disco duro

5. Auntentificar Matematicamente todos los datos de los dispositivos de almacenamiento

6. Documentar la Fecha y Hora del sistema

7. Hacer un listado de palabras clave para búsqueda

8. Evaluar el archivo “swap” de Windows




9. Evaluar Archivos “slack” (amplitud)

10. Evaluar espacio sin asignar (Archivos Eliminados)

11. Buscar Archivos, Archivo de amplitud, y espacio sin asignar por palabras clave.

12. Documentar nombre de archivos, fechas, y horas

13. Identificar archivo, programa, y anomalias de almacenamiento

14. Evaluar la funcionalidad de un programa

15. Documentar los hallazgos

16. Mantener copias del Software Utilizado




Guia de emergencia:

* No encender u operar la computadora “objetivo”.

* No solicitar Asistencia de un “Experto” residente.

* No evaluar correo electrónico de un empleado a menos que la política lo permita.



Aspectos Legales de la Recolección y Preservación de Evidencia de Computo Forense

¿Qué es una Cadena de Custodia?

Es un mapa de ruta que muestra como la evidencia fue recolectada, analizada, y preservada, para ser presentada como evidencia. Establecer una cadena de custodia es crucial, debido a que la evidencia electrónica puede ser facilmente alterada.

* Ninguna información ha sido añadida o alterada

* Una copia completa fue realizada

* Un proceso de copiado confiable fue utilizado

* Todos los medios están asegurados.




Requisitos Legales:

Los requerimientos legales son vastos, complejos, y varian de país en país. Pero algunos son comunes.

* Archivos de “Logs”, probar que no han sido “forzados”

* Espectativa de Privacidad del Usuario. El sistema es solo para usuarios autorizados, las actividades de estos usuarios puede ser monitoreado. Cualquiera que haga uso del sistema esta aceptando expresamente ser monitoreado.




Precedimiento de Recolección de Evidencia:

* La Primera regla es “No acometer”.

* El equipo investigador necesitará ciertas herramientas.

* Dependiendo del tipo de incidente se obtendrá el sistema completo o solo los datos.

* El coordinador del incidente debe asignar tareas a los miembros del equipo.

* Se debe mantener un libro de anotaciones de evidencia con los siguientes items:





- Quien divulgo inicialmente el incidente, con hora, fecha y circunstancias que rodean al incidente sospechoso.

- Detalles de las obligaciones iniciales que conducen a la investigación formal.

- Nombre de todas las personas conduciendo la investigación

- El número de caso del incidente

- Razones para la investigación





* Lista de todos los sistemas de computo incluidas en la investigación.

* Diagramas de Red

* Aplicaciones ejecutándose en el sistema de computo listado

* Copia de las políticas relacionadas al acceso y uso de los sistemas listados.

* Una lista de administradores responsables de la rutina de mantenimiento del sistema.





* Lista detallada de pasos utilizados para recolectar y analizar evidencia. Especialmente, ésta lista necesita identificar la fecha y hora en que cada tarea fue realizada, descripción de la tarea, quien realizó la tarea, donde fue realizada la tarea, y los resultados del análisis.

* Una lista de control de acceso de quien accedió a la evidencia recolectada y en que fecha y hora.




Almacenamiento y Análisis de Datos:

La cadena de custodia debe ser mantenida durante el proceso de análisis. Utilizar un lugar seguro de almacenamiento.

* Fecha y Hora del análisis

* Herramientas utilizadas para realizar el análisis.

* Metodología detallada del análisis

* Resultados del análisis



Verificación y Autentificación de una imagen de computo.

Necesidades Especiales de Auntentificación de Evidencia

* Un método seguro de determinar que los datos no han sido alterados o un simple bit, desde que la copia fue hecha.

* Un método seguro de determinar que la copia es genuina desde el momento en que fue tomada de la computadora en cuestión.




Necesidades Especiales de Auntentificación de Evidencia

* Certificados digitales es una forma de credenciales electrónicas para internet. Basada en la teoría de criptografía de clave pública. El propósito es enlazar de manera confiable el clave privada/pública con su propietario.

* Autoridades de Certificación como VeriSign entregan certificados digitales a aquellas entidades cuya identidad debe ser convalidada.




Consideraciones Prácticas:

1. La recoleccion de datos forenses debe ser completa y no específico a software - evitando trampas de software o particionado oculto.

2. La operación, esta debe ser tan rápida

y simple como sea posible para evitar

errores o demoras.




Consideraciones Prácticas:

3. Debe ser posible para cualquiera, la utilización del sistema de recuperación de datos forenses, con la mínima cantidad de entrenamiento.

4. Los costos necesarios y los

recursos deben de

mantenerse en lo mínimo.




Implementación Práctica:

El enfasis recae en la aplicación práctica de tecnología probada, tal que la mínima cantidad de confianza es puesta en la habilidad del operador o investigador.

Se debe de comprender que durante el proceso de copiado, los procedimientos son implementados para atrapar y manejar errores de hardware, mapear excepciones cuando sea necesario.

Estos procedimientos son implementados para verificar que la información sea copiada correctamente.




Implementación Práctica:

Con el Sistema DIBS actual, tanto como el contenido de los datos “en bruto” de un disco duro son obtenidos, tambien la sección de memoria alta convencional debe ser obtenida.

Tambien se debe de almacenar sobre cada dispositivo, información como tipo de CPU, velocidad; indicadores de equipo hardware; número de serie del dispositivo de copia; comentarios de referencia, nombre del operador, etc.



Descubrimiento de Evidencia Electrónica

* Información empresarial es creada, almancenada, y comunicada de manera electrónica.

* Los abogados “demandantes” necesitan desarrollar un conocimiento y habilidad para tomar ventaja de éste tipo de información electrónica.

* Necesitan conocer lo suficiente para hacer las preguntas adecuadas y obtener la asesoría un experto en computo forense de ser necesario.

* Aquellos que no hacen caso a éstas oportunidades podrían exponerse a demandas por negligencia.




Una nueva y poderosa herramienta de litigio

* Aparte del testimonio de un testigo, la evidencia documental es probablemente la manera mas convincente de evidencia.

* En años pasados , la evidencia documental se limitaba a documentos en papel.

* Ahora la mayoría de documentos son creados utilizando computadoras, con programas procesadores de texto o de correo electrónico.

* La mayoría de documentos no son impresos nunca en papel, y son solo leidos en pantallas de computadoras.





* La regla de mejor evidencia a cambiado, las copias son tan buenas como las originales del documento electrónico.

* Desde el punto de vista del computo forense puede ser probado mantematicamente.

* Algunos programas crean archivos “temporales” de los documentos, windows SWAP y espacio de amplitud.

* El descubrimiento de evidencia electrónica esta haciendo la diferencia en juicios civiles y criminales.





* Con la evolución de las computadoras, los sistemas operativos y las redes de computadoras, se crea un entorno ideal para las brechas de seguridad y para el descubrimiento de evidencia electrónica aprovechandolas.

* Estos temas deben de preocupar a todos, sin embargo proporcionan ventajas a los abogados concerniente al potencial de la evidencia electrónica.

“ La mayoría de usuarios no son inconcientes de que sus computadoras dejan rastros de sus movimientos. “



Identificación de Datos:

Viaje del tiempo

*Cada Computadora tiene su propio reloj, a menos que éste ejecutando NTP (Network Time Protocol)

* Las organizaciones necesitan confiar

en las sincronizaciones de tiempo

exactas para sus transacciones.

*Mantener un sentido del tiempo es

crítico para actividades relacionadas al

computo forense.




Materias del Tiempo:

* Mantener el tiempo es una ciencia avanzada, en la cual están avocados muchos cientificos al rededor del mundo.

* Se han desarrollado diferentes técnicas:

- El comando rdate en unix que permite setear un reloj basado en servidor remoto

- Programas que se conectan con servidores NIST

- NTP (Network Time Protocol) se utiliza en WWW, GPS.




Filtros de Reloj:

* NTP Asume que el tiempo avanza y no retrocede.

* NTP Asume cambios minimos, menos de un segundo.

* NTP obtiene tiempo de diferentes servidores.

* NTP Recolecta ocho muestras y utiliza un algoritmo para obtener la mejor aproximación.



Examen Forense a un Sistema Windows

Disco de Inicio para adquisición de Evidencia:

* El S.O de la computadora debe ser “saltado” para evitar alterar evidencia, evitar trampas de usuarios avanzados.

* Se realiza con un “Disco de Inicio”, UN CDROM como HELIX.

* Se debe de inhabilitar la “escritura” al medio en cuestion. Es mas seguro hacer esto por HARDWARE.

* Hay dos puntos a tomar en consideración, cuando se utilizan ZIP Drives o Tarjetas de Red que necesitan “controladores”. Estos deben ser almacenados y “cargados” desde el disco de inicio.




Sistema de Archivos:

* FAT (Tabla de Asignación de Archivos) FAT 12, FAT 16, FAT 32.




Herramientas de Procesamiento de Evidencia Digital:

* Logicamente: Relaciona examinar datos “en bruto” almacenados en el disco, utilizando un editor, los datos son normalmente mostrados en Texto Plano y Hexadecimal.

* Fisicamente: Relaciona examinar datos en el disco representados por un sistema de archivos. Eso facilita la vista de la estructura de directorios, y cierto tipo de análisis, pero no muestra información visible, como lo anterior.




Herramientas de Procesamiento de Evidencia Digital:

Limitaciones:

* Cuando se busca una palabra clave, sector por sector fisicamente, tal vez no haya ocurrencias, debido que la palabra clave esta dividida en sectores no adyacentes

* Acceso físico da acceso a areas del disco que no son representados por el sistema de archivos como espacio de amplitud o archivos sin asignar.

* Herramientas como Encase o FTK para windows o The Sleuth Kit para Linux combinan ambas características.




Recuperacion de Datos:

* Recuperacion de Datos desde espacio sin asignar.

* Recuperacion de Datos desde espacio de amplitud.

Para recuperar un archivo de nombre texto.doc es necesario modificar la entrada en el directorio raiz reemplazando el simbolo (sigma) con un “underline”.

Esto se realiza en una copia del dispositivo de almacenamiento, dado que se esta realizando una modificación.




Recuperacion de Datos:

* Herramientas de Recuperación de Datos

basados en Windows

* Herramientas de Recuperación de Datos

basados en Linux

* Herramientas que permiten recuperar achivos de espacio sin asignar, archivos swap, u otro objetos digitales.




Protección por contraseña y encriptación:

* Es deseable para los investigadores acceder a protecciones por contraseña o encriptación en la computadora objetvio.

* Se puede utilizar un simple editor hexadecimal, para remover la contraseña de un archivo.

* Pero tambien existe software especializado que “saltan” o recuperan claves de diferentes archivos.

“Es posible encontrar versiones sin encriptar en espacio sin asignar, archivo swap, o otras areas del sistema”




Archivos “Logs”:

* Atribución es el mayor objetivo de los archivos “logs” que pueden registrar cuales cuentas fueron utilizadas para acceder a un sistema en un momento dado.

* Contienen información sobre que cuentas de usuario fueron utilizadas para comenter un crimen y pueden mostrar que cuenta fue robada.

* Es deseable buscar y ordenar archivos “Logs” durante la investigación y existen interfaces gráficas que pueden hacer la tarea mas comoda.




Rastros del Sistema de Archivos:

* Todas las acciones sobre una computadora dejan rastros, que los investigadores pueden utilizar para conocer que ocurrio.

* Cuando un archivo es descargado de internet, la fecha y hora del archivo representan cuando el archivo fue puesto en la computadora.

* Si el archivo es movido, accedido o modificado, la fecha y hora serán alterados para reflejar estas acciones.

“ Archivos ZIP pueden retener fecha y hora del sistema origen, asi tambien pueden ser modificados con un simple ‘touch’”




Registro:

* Almacena configuración del sistema y detalles útiles en los asi llamados “claves” en W95/98 system.dat user.dat. En NT/2000/XP se localiza en “%systemroot%\system32\config”

* Archivos de registro pueden ser vistos utilizando aplicaciones con EnCase.

* “Last Write Time” indica cuando el valor de la clave del registro fue alterada o añadida.




Rastros de Internet:

* Acceder a internet deja una amplia variedad de información. Incluyendo sitios webs, contenidos visualizados, correos electrónicos, etc.

- Navegación Web

- Correo Electrónico

- Otras aplicaciones

- Almacenamiento de Red.





- Navegación Web:

* En internet Explorer se almacena en “index.dat”

* Navegadores almacenan archivos temporales para rápido acceso de páginas frecuentemente visitadas

* Cookies almacenan información de los visitantes y sus intereses.





- Correo Electrónico:

* Clientes de correo contienen mensajes que han sido enviados y recibidos en una computadora.

* Algunos clientes utilizan formatos propietarios.

* FTK puede ser utilizado para interpretar dicho formatos propietarios. EnCase tambien los interpreta.





- Otras Aplicaciones:

* Clientes de mensajeria instantanea no guardas registros por defecto, pero pueden ser configuradas para ello.

* Clientes P2P, mantienen una lista de servidores que fueron contactados o los archivos que han sido accedidos.

* Clientes IRC, pueden retener mas archivos “Logs”.

* Se puede encontrar mas información en SWAP u otras areas.





- Almacenamiento en Red.:

* Se debe identificar las localizaciónes remotas donde la información digital puede ser encontrada.

* Un cliente FTP creo un archivo “Log” cada ves que se utiliza.

* Algunas maquinas son parte de una intranet, una lista de recursos compartidos se localiza en: HKEY-USERS/sid/Network

* No existe una guia definitiva para localizar todo esto.




Análisis de Programas:

* Para tener una mejor comprensión de la reconstrucción de un sistema o aplicacion, es deseable realizar una prueba empírica.

* En el caso de una intrusión, es útil analizar el programa malicioso, como por ejemplo uno de “acceso remoto”.

* Tres Reglas básicas:

- Examinar el Código Fuente

- Ver el Programa en forma compilada.

- Ejecutar el programa en un entorno de pruebas.



Muchas Gracias

por su atención.

Feliz Navidad

Correo Electrónico:

[email protected]

curso de especialización: investigacion de la escena del delito e infografia forense 2

Technology