Analisis Forense

ANALISIS FORENCE DIGITAL

INGRID GOMEZ LEGUIZAMON

JAVIER CALDERON

Presentado a:

Ing. Miguel Ángel López

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA “UNAD”

FACULTAD DE CIENCIAS BASICAS E INGENIERIA

INGENIERIA DE SISTEMAS

BOGOTA

2012

NTRODUCCION

La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el manual Open Source Computer Forensicsl, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence, que mantiene online varias conferencias interesantes.

Se reconoce generalmente a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit, como los pioneros de la informática forense. Actualmente, Brian Carrier es probablemente uno de los mayores expertos mundiales en el tema.

Existen varias unidades especializadas en Informática forense entre las Fuerzas de Seguridad, como por ejemplo el Grupo de Delitos Telemáticos de la Guardia Civil (España), la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía (España), la National HiTech Crime Unit (Inglaterra) o el Laboratorio de Informática forense del Departamento de Defensa (Estados Unidos).

En Colombia existe en la Policía Nacional un departamento dedicado a este tipo de delitos el cual esta formado por diferentes agentes especializados en áreas como sistemas, informática, telemática, redes, etc.

El presente informe busca dar a conocer una parte de los delitos informáticos como lo es la informática forense, en que consiste, como se aplica y cuales son las normas que rigen en nuestro país respecto a este tema.

OBJETIVOS

 Identificar y analizar los riesgos que presenta nuestra información en medios magneticos y en pc’s conectados al Internet.

 Conocer un poco de que manera operan los delincuentes informáticos.

 Preveer y prevenir ataques informáticos a nuestros equipos o de nuestras empresas y asi evitar fraudes, robos o perdidas de información.

ANTECEDENTES

Imaginemos que una tarde cualquiera en su empresa se empieza a evidenciar el ataque de un “gusano”, este infecta su sistema y realiza una escalada de privilegios hasta obtener derechos de Administrador, realizando entonces la descarga, desde diferentes direcciones IP y vía FTP, de un agente para la ejecución de ataques de denegación de servicio distribuido (DDoS). Aunque las empresas de antivirus ya han detectado el problema y han enviado un parche con la solución, sus equipos ya han sido infectados en buena manera.

Ante este tipo de eventos podríamos analizar si nuestras empresas están preparadas para dar respuesta a este tipo de incidentes y si los incluyen dentro de su política de seguridad.

Este tipo de eventos no son casos aislados se están presentando mas usualmente de lo que nosotros creemos, según un estudio realizado por McAfee, compañía centrada en soluciones de prevención de intrusiones y de gestión de riesgos, revela el grado de desprotección de las organizaciones a la hora de gestionar su seguridad. Casi la mitad (el 45 por ciento) de los 600 ejecutivos TI europeos pertenecientes a compañías de más de 250 empleados encuestados durante el 2.005, afirmaron que su infraestructura informática nunca está protegida al 100 por cien frente a las vulnerabilidades.

La inclusión en la política de seguridad de procedimientos capaces de recibir, analizar y posteriormente responder a este tipo de incidentes, ya sean inminentes o en curso, se convierte en un componente indispensable de la infraestructura de los sistemas informáticos de la organización, pues los ataques a dichos sistemas no sólo ha aumentado en número sino que también lo han hecho en variedad y capacidad destructiva.

CONCEPTOS Y TERMINOLOGÍA

El análisis forense digital, también llamado informática forense, computación forense, cómputo forense o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos “tradicionales”, (homicidios, fraude financiero, narcotráfico, terrorismo, etc.), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, distribución de pornografía infantil, intrusiones y “hacking” en organizaciones, spam, phishing, etc.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Por evidencia digital se entiende al conjunto de datos en formato binario, esto es, comprende los ficheros, su contenido o referencias a éstos (metadatos) que se encuentren en los soportes físicos o lógicos del sistema atacado.

Por otro lado, hay que definir otro concepto importante, el de Incidente de Seguridad Informática, pues éste ha evolucionado en los últimos tiempos. En principio un incidente de este tipo se entendía como cualquier evento anómalo que pudiese afectar a la seguridad de la información, como podría ser una pérdida de disponibilidad, su integridad o confidencialidad, etc. Pero la aparición de nuevos tipos de incidentes ha hecho que este concepto haya ampliado su definición.

Actualmente un Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos.

Tras esta definición cabe ahora una categorización de dichos incidentes que nos aporte una base para su valoración y nos de una visión de cómo afrontarlos. Aunque se han propuesto varios tipos de clasificaciones sobre taxonomías de incidentes, no existe ningún consenso al respecto y ni mucho menos sobre cual de ellas es la más acertada. Aquí describimos algunos:

• Incidentes de Denegación de Servicios (DoS): Son un tipo de incidentes cuya finalidad es obstaculizar, dañar o impedir el acceso a redes, sistemas o aplicaciones mediante el agotamiento de sus recursos.

• Incidentes de código malicioso: Cualquier tipo de código ya sea, virus, gusano, “caballo de Troya”, que pueda ejecutarse en un sistema e infectarlo.

• Incidentes de acceso no autorizado: Se produce cuando un usuario o aplicación accede, por medio de hardware o software, sin los permisos adecuados a un sistema, a una red, a una aplicación o los datos.

• Incidentes por uso inapropiado: Se dan cuando los usuarios se “saltan” la política de uso apropiado de los sistemas (por ejemplo ejecutando aplicaciones P2P en la red interna de la organización para la descarga de música).

• Incidente múltiple: Se produce cuando el incidente implica varios de los tipos anteriores.

La mayoría de los incidentes que se dan en la realidad, pueden enmarcarse en varias de las categorías expuestas, por lo que una buena forma de identificarlos es por el mecanismo de transmisión empleado. Por ejemplo un virus que crea en el sistema atacado una puerta trasera debe ser manejado como un incidente de código malicioso y no como un acceso no autorizado, ya que el virus es el mecanismo de transmisión.

Cadena de Custodia: La identidad de personas que manejan la evidencia en el tiempo del suceso y la ultima revisión del caso. Es responsabilidad de la persona que maneja

...