Unidad 2

Autenticidad: Para que una evidencia digital sea auténtica, se debe cumplir:

1.    Probar que esta evidencia ha sido generada y registrada en el lugar de  los hechos.

2.    Demostrar que los medios de la evidencia no han sido modificados, que los registros, archivos, fechas y atributos sean correspondientes a la realidad.

Esto se debe a que los medios digitales, presentan la posibilidad y capacidad de ser manipulados, por esta razón es importante verificar y garantizar la autenticidad de las pruebas.

Confiabilidad: Los registros de una evidencia digital son confiables si vienen de fuentes verificables y creíbles. Para garantizar esto, se debe contar con equipos de análisis en correcto funcionamiento y con una arquitectura computacional sólida, que sea segura y que genere datos confiables y verificables. También es confiable si el sistema que dio los resultados no es penetrado o hackeado al momento de la generación de la prueba.

Suficiencia: La prueba realizada debe ser completa, en ningún momento debe permitir resultados parciales, esto debido a que puede haber algún tipo de manipulación de los datos, y la interpretación de los resultados y pruebas son vitales para dar un veredicto sobre el acusado.

Respeto por las leyes y el poder judicial: Todo análisis realizado debe ir dentro del marco de las leyes y estatutos legales del país, ya que en caso contrario puede ser descartada la evidencia.

Adicionalmente, es importante hacer uso de medios forenses estériles para realizar las copias de la información, ya que la evidencia encontrada se debe mantener intacta, manteniendo la integridad de este. Además, al momento que la evidencia se encuentre en poder de una persona natural, este debe ser un profesional forense, y es responsable legalmente, de las alteraciones sobre esta.

La evidencia digital debe ser meticulosamente analizada y recopilada, para posteriormente cumplir con los requisitos de admisibilidad en una corte.

ü  Que estrategias se usaron para la recolección de las pruebas electrónicas

Estrategias para la recolección de pruebas electrónicas

Llevar un orden de recopilación de información

Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos:

Buscar la evidencia.

Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado de verificación que puede ayudar en el proceso de recolección, comprobando que todo lo que se está buscando este en el sistema.

Determinar la relevancia de los datos.

Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso, para estar seguro, se debe recopilar toda la información necesaria y no excluir ninguna prueba que tenga afinidad con el caso reportado, es necesario trabajar rápido y no perder tiempo recogiendo información que no será de utilidad para el caso.

Al adquirir y tratar la evidencia electrónica, los elementos que deben regir el trabajo del perito informático son: la no alteración de la prueba y el principio de imparcialidad. En este sentido y con el fin de garantizar la autenticidad y seguridad de la información que constituye la prueba, la IOCE (International Organization on Computer Evidence) propone cinco principios sobre la adquisición y el tratamiento de la evidencia electrónica:

1.               Las acciones llevadas a cabo para adquirir la evidencia electrónica no deben modificarla.

2.    Las personas que accedan a la evidencia electrónica original deben estar formadas especialmente para ello.

3.    Toda aquella actividad referente a la adquisición, acceso, almacenamiento o transferencia de la evidencia electrónica, debe ser totalmente documentada, almacenada y debe estar disponible para revisión.

4.    Un individuo es responsable de todas las acciones llevadas a cabo con respecto a la evidencia electrónica mientras ésta está en su posesión.

5.    Cualquier organismo que sea responsable de la adquisición, acceso, almacenamiento o transferencia de la evidencia electrónica debe cumplir estos principios.

ü Que indicios fueron tenidos en cuenta para la recolección de evidencias.

Lo primero que se debe buscar son los archivos eliminados, ya que, a pesar de creer que se elimina el archivo, queda rastro de la acción y del archivo mismo. La conservación de los archivos es vital para la investigación del caso, ya que posiblemente es la información que el acusado querría ocultar. Posteriormente, hacer una búsqueda de archivos por atributos ya que en este caso, al tener datos sobre el acusado, y de la investigación del caso, se puede hacer uso de la ingeniería social para hacer análisis de la información.

ü Los cuidados tenidos en cuenta al tener evidencia volatilidad, se necesitase extraer del computador incautado.

·         Eliminar la interferencia exterior.

Es importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación, evitando que atacantes puedan instalar un interruptor que puede borrar evidencia una vez el equipo se desconecta de la red o de Internet.

·         Recoger la evidencia.

Para iniciar el proceso de recolección se pueden utilizar las herramientas de software disponibles para esta tarea. Examinar los elementos recogidos anteriormente y revisar que elementos en el listado pueden faltar para inspeccionar nuevamente la escena.

·         Documentar todas las acciones realizadas.

En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el proceso de recolección de evidencia.

·         Cantidad de Información recolectada.

Incautar  sólo lo mínimo necesario para efectuar una investigación seleccionando la información potencialmente importante para no incurrir en demandas por dañar o alterar el sistema informático.

·         Cuidados al Hardware

El hardware es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto del crimen.

·         No apague el sistema hasta que haya completado todos los procedimientos de recolección de pruebas para pruebas volátiles

·         Se recomienda hacer una lista de elementos con prioridad de apagado para conservarlos activos mientras dure la indagación

·         No confiar en los programas activos en el sistema.

·         Ejecutar los programas de obtención de pruebas (software forense) en los medios de comunicación debidamente protegidos.

·         No ejecute programas que modifican el tiempo de acceso de todos los archivos en el sistema (por ejemplo tar o xcopy).

Sistema Operativo Windows 95

- Características

·         El botón de inicio tiene un símbolo de Windows.

- Procedimientos de cierre

·         Fotografiar la pantalla y anotar los programas en ejecución.

·         Retire cable de alimentación de la pared

ü  Recordar jerarquía de evidencia digital:

o   Datos Volátiles

§  Registros del Procesador

§  Contenido de Memoria Caché

§  Contenido de Memoria RAM

§  Conexiones de Red

§  Procesos activos

o   Datos No Volátiles

§  Contenido del Sistema de Archivos y Medios de Almacenamiento Fijos

§  Contenido Medios de Almacenamiento Removibles

Practica 1

Descarga instaladores de software AUTOPSY  y OSFORENSICS para Windows

Instalación OSFORENSICS

Instalación AUTOPSY

Montaje imagen en OSFORENSICS

Luego del montaje de la imagen se abre la siguiente ventana:

Revisión de archivos eliminados

AUTOPSY

La herramienta Autopsy realiza el análisis automáticamente.

A continuación, algunos pantallazos del análisis.

Pantallazo de la herramienta de búsqueda por atributos:

Aplicación	Herramientas y utilidad	Ventajas	Desventajas
OSFORENSICS	Programa para escanear datos, permite extraer la información relevante del computador.	ü  Interfaz intuitiva. ü  Fácil de usar. ü  Ideal para buscar ficheros perdidos. ü  Descubrir actividades recientes de los usuarios. ü  Tiene más funcionalidades en comparación con otras herramientas. ü  Permite un análisis de coincidencias más exhaustivo. ü  Diferentes niveles de profundidad en las búsquedas. ü  Posee una potente herramienta de búsqueda de contraseñas almacenadas. ü  Creación de índices, que permiten realizar búsquedas indexadas. ü  Análisis profundo de actividad reciente. ü  Explicación de cada una de sus funciones.	ü  El análisis se debe hacer paso a paso de manera manual. ü  No recupera archivos borrados con facilidad. ü  No permite filtros de búsquedas por atributos, lo que ocasiona lentitud  al momento de obtener resultados.
AUTOPSY	Utilizada para el análisis de evidencia digital tanto en discos duros, memorias USB, capturas de trafico de red o volcados de memoria	ü  Posee diferentes tipos de análisis. ü  Es fácil de usar. ü  Se puede programar las funcionalidades al momento de la creación del caso. Lo que permite un análisis más rápido, o más exhaustiva y lenta, se habiliten o inhabiliten dichas funcionalidades. ü  Potente herramienta de recuperación de archivos borrados. ü  El análisis se realiza de manera automática, en todas las funcionalidades que se configuren. ü  Búsqueda de emails, que, en caso de ser requerida, es una funcionalidad muy útil. ü  Acceso de manera sencilla al registro de últimos accesos, últimos archivos. ü  Búsqueda de archivos por tamaño, extensión, nombre, fecha de acceso, modificación acceso y otros atributos ü  Generación de reportes, en diferentes formatos.	ü  No permite la creación de índices, a pesar del análisis profundo en las demás opciones de búsqueda. ü  No permite analizar actividad reciente en el equipo, únicamente análisis sobre la unidad o imagen a examinar. ü  No permite filtros de búsquedas por características, lo que ocasiona lentitud  al momento de obtener resultados. ü  Ausencia de información sobre las funcionalidades en la herramienta.
CAINE	Herramienta para el análisis forense de equipos informáticos.	ü  Posee herramientas y scripts que facilitan el trabajo. ü  Basada en Ubuntu y utiliza escritorio MATE. ü  Permite dar soporte a las cuatro fases de la informática forense.

Unidad 1

1. FASE DE IDENTIFICACIÓN:
   
   

Etapa 1: Levantamiento de información inicial

Para la construcción de una línea de tiempo se debe tener en cuenta el levantamiento de información inicial que comprende obtener información sobre el o los equipos informáticos afectados como sistema operativo, datos técnicos, fecha, tipo de incidente, características de configuración como dirección IP, etc.

Etapa 2: Asegurar la escena

Identificar las evidencias

Identificación de las evidencias que se encuentran en la escena del caso, es necesario clasificarlas de acuerdo al tipo de dispositivo en el que se encuentran y el modo de almacenamiento, que para este caso según el tipo corresponde a un Sistema informático y según el modo de almacenamiento No volátil  por tratarse de un archivo que aparentemente fue borrado del disco duro.

1.  FASE DE VALIDACIÓN Y PRESERVACIÓN

Etapa 1: Copias de la evidencia

Se hace una copia o réplica exacta bit a bit del contenido de la evidencia seleccionada en este caso el PC encontrado, aplicando técnicas de validación para mantener la originalidad de la misma, es necesario documentar este proceso para cualquier caso legal.

Se utiliza software especializado y reconocido para este proceso, que permita hacer una suma de comprobación mediante MD5 o SHA1

Etapa 2: Cadena de custodia

Es  necesario establecer quienes manipulan la evidencia, registrando los datos de los que realizan manipulación de las evidencias o copias realizadas - Dónde, cuándo y quién examinó la evidencia, incluyendo su nombre, su cargo, un número de identificación, fechas y horas, etc. - Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó. - Cuando se cambie la custodia de la evidencia también se deberá documentar cuándo y cómo se produjo la transferencia y quién la transportó.

Estas medidas permiten relacionar cada uno de los accesos a las evidencias para conocer las manipulaciones sobre esta.

1.    FASE DE ANÁLISIS

Reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Es aquí donde debemos determinar cómo se produjo el hurto del archivo, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo,  cuál era el objetivo del hurto del archivo, qué daños causaron.

Etapa 1: Preparación para el análisis

Definir el grupo de investigación una zona de trabajo adecuada para realizar el análisis forense.

Reconstruir la escena del delito informático, a través de una instalación de un sistema operativo con las mismas características para realizar pruebas y verificaciones para establecer hipótesis acerca del caso.

Etapa 3: Determinación del ataque

Tan pronto se reconozcan los acontecimientos  que produjeron la perdida de la información, para reconocer el agujero de seguridad que tiene la organización se hizo necesario realizar un análisis a la cadena de acontecimientos hasta la fecha acerca de la investigación  en mención.