INFORMTICA FORENSE: GENERALIDADES, ASPECTOS TCNICOS Y HERRAMIENTAS(Autores: scar Lpez , Haver Amaya, Ricardo Len y Coautora: Beatriz Acosta).El presente documento de investigacin pretende mostrar una panormica general de la informtica forense, resaltando en primer lugar su importancia, sus objetivos y usos. Acto seguido, se explica brevemente el concepto de evidencia informtica, seguida de los detalles tcnicos del almacenamiento de sta en medios magnticos y las tcnicas para eliminarla de manera segura. A continuacin se muestran algunos de los tipos de programas y herramientas usadas por los investigadores forenses, haciendo especial nfasis en EnCase, una de tales herramientas. ara finali!ar, se presentan algunas de las dificultades encontradas por los investigadores forenses en la actualidad, y se muestran algunas referencias a casos de investigacin de la vida real.1 ntroduccin"a informtica forense est ad#uiriendo una gran importancia dentro del rea de la informacin electrnica, esto debido al aumento del valor de la informacin y$o al uso #ue sele da a sta, al desarrollo de nuevos espacios donde es usada %por Ej. El &nternet', y al extenso uso de computadores por parte de las compa()as de negocios tradicionales %por Ej. bancos'. Es por esto #ue cuando se reali!a un crimen, muchas veces lainformacin #ueda almacenada en forma digital. *in embargo, existe un gran problema, debido a #ue los computadores guardan la informacin de informacin forma tal #ue no puede ser recolectadao usada como prueba utili!ando medios comunes, se deben utili!ar mecanismos diferentes a los tradicionales. Es de a#u) #uesurge el estudio de la computacin forense como una ciencia relativamente nueva. +esaltando su carcter cient)fico, tiene sus fundamentos en las leyes de la f)sica, de la electricidad y el magnetismo. Es gracias a fenmenos electromagnticos #ue la informacin se puede almacenar, leer e incluso recuperar cuando se cre)a eliminada."a informtica forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes cr)menes apoyndose en el mtodo cient)fico, aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales.En este escrito se pretende mostrar una panormica muy general de la &nformtica ,orense, explicando en detalle algunos aspectos tcnicos muchas veces olvidados en el estudio de esta ciencia.! n"orm#tica $orense!.1 %&u' es (a n"orm#tica $orense)*eg-n el ,.&, la informtica %o computacin' forense es la ciencia de ad#uirir, preservar, obtener y presentar datos #ue han sido procesados electrnicamente y guardados en un medio computacional./esde 0123, el"aboratorio del ,.& y otras agencias #ue persiguen el cumplimiento de la ley empe!aron a desarrollar programas para examinar evidencia computacional.!.! mportancia de (a n"orm#tica $orense45igh6tech crime is one of the most important priorities of the /epartment of 7ustice8 . Con esta frasepodemos ver cmo poco a poco los cr)menes informticos, su prevencin, y procesamiento se vuelven cada ve! ms importantes. Esto es respaldado por estudios sobre el n-mero de incidentes reportados por las empresas debido a cr)menes relacionados con la informtica %ver 90:;'.*in embargo, la importancia real de la informtica forense proviene de sus objetivos.!.!.1 *+,etivos de (a n"orm#tica $orense"a informtica forense tiene < objetivos, a saber=1. "a compensacin de los da(os causados por los criminales o intrusos.!. "a persecucin y procesamiento judicial de los criminales.-. "a creacin y aplicacin de medidas para prevenir casos similares.Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia.!.!.! .sos de (a n"orm#tica $orenseExisten varios usos de la informtica forense, muchos de estos usos provienen de la vida diaria, y no tienen #ue estar directamente relacionados con la informtica forense=1. /rosecucin Crimina(: Evidencia incriminatoria puede ser usada para procesar una variedad de cr)menes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornograf)a infantil.:. "itigacin Civil= Casos #ue tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense.are propietario./ebe tenerse en cuenta #ue los datos digitales ad#uiridos de copias no se deben alterar de los originales del disco, por#ue esto invalidar)a la evidencia@ por esto los investigadores deben revisar con frecuencia #ue sus copias sean exactas a las del disco del sospechoso, para esto se utili!an varias tecnolog)as, como por ejemplo checAsums o hash B/C."a &?CE %&nternational ?rgani!ation ?n Computer Evidence'9s 1C$12$BE$L y Kindo>s HD$:III almacenan los archivos en blo#ues de tama(o fijo llamados clusters, en los cuales raramente el tama(o de los archivos coinciden perfectamente con el tama(o de uno o muchos clusters.El espacio de almacenamiento de datos #ue existe desde el final del archivo hasta el final del cluster se llama 4file slacA8. "os tama(os de los clusters var)an en longitud dependiendo del sistema operativo involucrado y, en el caso de Kindo>s 1C$12$BE$L, del tama(o de la particin lgica implicada.En tama(o ms grande en los clusters significan ms file slacA y tambin mayor prdida de espacio de lmacenamiento. *in embargo, esta debilidad de la seguridad del computador crea ventajas para el investigador forense, por#ue el file slacA es una fuente significativa de evidencia y pistas.El file slacA, potencialmente contiene octetos de datos aleatoriamente seleccionados de la memoria del computador. Esto sucede por#ue /?*$Kindo>s escribe normalmente en blo#ues de C0: bytes llamados sectores. "os clusters estn compuestos por blo#ues de sectores, si no hay suficientes datos en el archivo parallenar el ultimo sector del archivo, /?*$Kindo>s diferencia hacia arriba%los datos' completando el espacio restante con datos #ue se encuentran en ese momento en la memoria del sistema.!.-.-.! Arcindo=s"os sistemas operativos Bicrosoft Kindo>s utili!an un archivo especial como un 4cuaderno de apuntes8 para escribir datos cuando se necesita memoria de acceso aleatorio adicional. EnKindo>s 1C$12$BE$L, a estos archivos se les conoce como Archivos *>ap de Kindo>s. En Kindo>s HD$:III se conocen comodirectorios de pgina de Kindo>s pero tiene esencialmente las mismas caracter)sticas #ue los deKin1x. "os archivos de intercambio sonpotencialmente enormes y la mayor)a de los usuarios de C son inconscientes de su existencia. El tama(o de estos archivos puede extenderse desde :IB. a :IIB., el potencial de estos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrnicos, laactividad en &nternet %cooAies, etc', logs de entradas a bases de datos y de casi cual#uier otro trabajo #ue haya ocurrido durante las -ltimas sesiones. Dodo esto genera un problema de seguridad, por#ue el usuario del computador nunca es informado de este almacenamientotransparente."os Archivos *>ap de Kindo>s actualmente proporcionan a los especialistas en computacinforense pistas con las cuales investigar, y #ue no se podr)an conseguir de otra manera.!.-.-.- .na((ocated $i(e :paceCuando los archivos son borrados o suprimidos en /?*, Kin1x, KinHD$:III, el contenido delos archivos no es verdaderamente borrado. A menos #ue se utilice alg-n soft>are especial #ue ofre!ca un alto grado de seguridad en el proceso de eliminacin, los datos 4borrados8, permanecen en un rea llamada espacio dealmacenamiento no6asignado %Enallocated ,ile *pace'. &gual sucede con el file slacA asociadoal archivo antes de #ue ste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados mediante herramientas de soft>are para el anlisis de la computacin forense.!.0 5(iminacin de datos5asta el momento, se ha hablado de la forma de almacenar y leer los datos en un disco de computador, sin embargo pueden darse casos leg)timos en donde sea necesario destruir informacin sin dejar rastro alguno. En este numeral, se describen las prcticas adecuadas para la eliminacin de informacin.!.0.1 5(iminacin de 6atos en un 3edio 3a4n'tico.orrar de manera definitiva los datos en un medio magntico tiene toda una problemtica asociada. Como se vio en una seccin anterior, la informacin es escrita y le)da aprovechando las caracter)sticas de magneti!acin de un material determinado.*in embargo, y dependiendo del medio usado %unidades de disco, cintas, disAettes, etc.' , el proceso de eliminacin total de los datos se ve afectado por diversos factores.El /epartamento de /efensa de los Estados Enidos %/o/' cuenta con toda una serie de recomendaciones sobre cmo 4saniti!ar8 un medio magntico, esto es, el proceso por el cual la informacin clasificada es removida por completo, en donde ni si#uiera un procedimiento de laboratorio con las tcnicas conocidas a la fecha o un anlisis pueda recuperar la informacin #ue antes estaba grabada.9:2; Aun#ue en un comien!o los procedimientos a seguir pueden parecer algo paranoicos, la %relativa' facilidad con la #ue se puede recuperar informacin #ue se cre)a borrada hacenecesario tomar medidas extremas a la hora de eliminar datos confidenciales o comprometedores. En enero de 011C, el /o/ public un documento, el 4Hacional&ndustrial *ecurity rogram ?perating Banual8 %H&*?B', ms com-nmente referenciado como 4/o/ C::I.::6B8 9:M;, #ue detalla toda una serie de procedimientos de seguridad industrial, entre ellos, cmo eliminar datos contenidos en diferentes medios.A partir de los lineamientos presentes en C::I.::6B , otro organismo estadounidense, el /efense *curity *ervice, public una 4Batri! de *aniti!acin y .orrado8 #ue explica de manera prctica los pasos a seguir para remover por completo informacin sensitiva. En las siguientes secciones se hacen algunas precisiones tcnicas, y en el apndice A se muestra y se explica la Batri!.!.0.1.1 6e4aussin4 de 3edios 3a4n'ticos"a Batri! de "impie!a y *aniti!acin es una acumulacin de mtodos conocidos y aprobados para limpiar y$o saniti!ar diversos medios y e#uipo. Cuando H&*?B fue publicado, el +ango Extendido Dipo &&, Dipo &&& y los degaussers de ropsito Especial no exist)an. Esto resultaba en la necesidad de destruir todos los medios con un factor de coercividad %cantidad de fuer!aelctrica re#uerida para reducir la fuer!a magntica grabada a cero' mayor #ue MCI oersteds%unidad #ue mide la fuer!a magneti!ante necesaria para producir una fuer!a magntica deseada a lo largo de una superficie' y la mayor)a de discos magnticos cuando ya no fuerannecesarios comosoporte para una misin clasificada. Ahora, la 4Hational *ecurity Agency norteamericana8 %H*A' ha evaluado degaussers de cinta magntica #ue satisfacen los re#uerimientos del gobierno parasaniti!ar cintas magnticas de hasta 0MII oersteds. "as cintas magnticas se encuentran divididas en Dipos. "a cinta magntica de Dipo & tiene un factor de coercividad #ue no excede los are &nc.%http=$$>>>.guidancesoft>are.com', permite asistir al especialistaforense durante el anlisis de un crimen digital.*e escogi mostrar esta herramienta por tratarse del soft>are l)der en el mercado, el producto ms ampliamente difundido y de mayor uso en el campo del anlisis forense.Algunas de las caracter)sticas ms importantes de EnCase se relacionan a continuacin=Copiado Comprimido de /iscos ,uente. Encase emplea un estndar sin prdida %loss6less' para crear copias comprimidas de los discos origen. "os archivos comprimidos resultantes, pueden ser anali!ados, buscados y verificados, de manera semejante a los normales %originales'. Esta caracter)stica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismos tiempo, examinando la evidencia y buscando en paralelo..-s#ueda y Anlisis de B-ltiples partes de archivos ad#uiridos. EnCase permite al examinador buscar y anali!ar m-ltiples partes de la evidencia. Buchos investigadores involucran una gran cantidad de discos duros, discos extra)bles, discos 4!ip8 y otros tipos de dispositivos de almacenamiento de la informacin. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. "a evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. En varios casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red y tambin buscada mediante EnCase en un solo paso./iferente capacidad de Almacenamiento. "os datos pueden ser colocados en diferentes unidades, como /iscos duros &/E o *C*&, drives N&, y 7a!!. "os archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en C/6+?B manteniendo su integridad forense intacta, estos archivos pueden ser utili!ados directamente desde el C/6+?B evitandocostos, recursos y tiempo de los especialistas. Jarios Campos de ?rdenamiento, &ncluyendo Estampillas de tiempo. EnCasepermite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo %cuando se cre, -ltimo acceso, -ltima escritura', nombres de los archivos, firma de los archivos y extensiones.Anlisis Compuesto del /ocumento. EnCase permite la recuperacin de archivos internos y meta6datos con la opcin de montar directorios como un sistema virtual para la visuali!acin de la estructura de estos directorios y sus archivos, incluyendo el slacA interno y los datos del espacio unallocated..-s#ueda Automtica y Anlisis de archivos de tipo Nip y Attachments de E6Bail.,irmas de archivos, &dentificacin y Anlisis. "a mayor)a de las graficas y de losarchivos de texto comunes contiene una pe#ue(a cantidad de bytes en el comien!o del sector los cuales constituyen una firma del archivo. EnCase verifica esta firma para cada archivo contra una lista de firmas conocida de extensiones de archivos. *i existe alguna discrepancia, como en el caso de #ue un sospechosos haya escondido un archivo o simplemente lo haya renombrado, EnCase detecta automticamente la identidad del archivo, e incluye en sus resultados un nuevo )tem con la bandera de firma descubierta, permitiendo al investigador darse cuenta de este detalle.Anlisis Electrnico /el +astro /e &ntervencin. *ellos de fecha, sellos de hora,registro de accesos y la actividad de comportamiento reciclado son a menudo puntos cr)ticos de una investigacin por computador. EnCase proporciona los -nicos medios prcticos de recuperar yde documentar esta informacin de una manera no invasora y eficiente. Con la caracter)stica de ordenamiento, el anlisis del contenido de archivos y la interfa! de EnCase, virtualmente toda la informacin necesitada para un anlisis de rastros se puede proporcionar en segundos.*oporte de B-ltiples *istemas de Archivo. EnCase reconstruye los sistemas de archivos forenses en /?*, Kindo>s %todas las versiones', Bacintosh %B,*, 5,*, 5,*O', "inux, EH&L %*un, ?pen .*/', C/6+?B, y los sistemas de archivos /J/+.Con EnCase un investigador va a ser capa! de ver, buscar y ordenar archivos desde estos discos concurridos con otros formatos en la misma investigacin de una manera totalmente limpia y clara.Jista de archivos y otros datos en el espacio Enallocated. EnCase provee una interfa! tipo Explorador de Kindo>s y una vista del /isco /uro de origen, tambin permite ver los archivos borrados y todos los datos en el espacio Enallocated.Dambin muestra el *lacA ,ile con un color rojo despus de terminar el espacio ocupado por el archivo dentro del cluster, permitiendo al investigador examinar inmediatamente y determinar cundo el archivo reescrito fue creado. "os archivos *>ap y rint *pooler son mostrados con sus estampillas de datos para ordenar yrevisar.&ntegracin de +eportes. EnCase genera el reporte del proceso de la investigacin forense como un estimado. En este documento reali!a un anlisis y una b-s#ueda de resultados, en donde se muestra el caso incluido, la evidencia relevante, los comentarios del investigador, favoritos, imgenes recuperadas, criterios de b-s#ueday tiempo en el #ue se reali!aron las b-s#uedas.Jisuali!ador &ntegrado de imgenes con Faler)a. EnCase ofrece una vista completamente integrada #ue locali!a automticamente, extrae y despliega muchos archivos de imgenes como .gif y .jpg del disco. *eleccionando la 4Jista de Faler)a8se despliega muchos formatosde imgenes conocidas, incluyendo imgenes eliminadas, en el caso de una vista pe#ue(a. Elexaminador puede despus escoger lasimgenes relevantes al caso e inmediatamente integrar todas las imgenes en el reporte de EnCase. Ho es necesario ver los archivos grficos usando soft>are de terceros, a menos #ue el formato de archivo no sea muy conocido y todav)a no sea soportado por EnCase.Actualmente EnCase se encuentra en su versin are especiali!ado para buscar la informacin en varios computadores.!. osible da(o de los datos visibles o escondidos, a-n sin darse cuenta.-. *er dif)cil encontrar toda la informacin valiosa.3. Es dif)cil ad#uirir la categor)a de QexpertoR para #ue el testimonio personal sea vlido ante una corte.2. "os errores cometidos pueden costar caro para la persona o la organi!acin #ue representa.7. /ificultad al conseguir el soft>are y hard>are para guardar, preservar y presentar los datos como evidencia.A. ,alta de experiencia para mostrar, reportar y documentar un incidentecomputacional.B. /ificultad para conducir la investigacin de manera objetiva.C. /ificultad para hacer correctamente una entrevista con las personas involucradas.1D.+eglamentacin #ue puede causar problemas legales a la persona.Es por esto #ue, antes de lan!arse a ser un investigador forense, se necesita bastante estudio y experiencia, entre otras cosas, y si no se cumple con los re#uisitos, en caso de un accidente es aconsejable llamar a uno o varios expertos.