video



imagen

informatica

heramienta de informatica forense

actividades se informatica

la informatica

 

tipos de definición de informática forense

1. DEFINICION es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional colección y análisis de datos provenientes de un sistema de computo, una red, un sistema de comunicaciones y un medio de almacenamiento masivo, de tal manera que es admisible en un tribunal de derecho. es emergente de las disciplinas de la ciencias de la computación y el derecho.

2. LA INFORMATICA FORENSE consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas. sirve para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.

3. LA INFORMÁTICA FORENSEpermite la solución de conflictos tecnológicosrelacionados con seguridad informática, protección yrecuperación de datos. Gracias a la Informática oinvestigación forense, las empresas obtienen unarespuesta a problemas de privacidad, competenciadesleal, fraude, robo de información confidencial y/oespionaje industrial surgidos a través de uso indebidode las tecnologías de la información. Mediante susprocedimientos se identifican, aseguran, extraen,analizan y presentan pruebas generadas yguardadas electrónicamente para que puedan seraceptadas en un proceso legal.

4. OBJETIVO PRINCIPAL recolectarevidencia digital presente en toda clase de infracciones en los delitos informáticos OBJETIVOS ESPECIFICOS • compensar los daños causados por lo criminales o intrusos. • perseguir y procesar judicialmente a los criminales informáticos. • aplicar medidas como enfoque preventivo

5. ACTIVIDADES DE LACOMPUTACION FORENSE Recolección segura de los datos de un computador Identificación de datos sospechosos El examen de datos sospechosos para determinar los detalles tales como origen y su contenido Presentación de información con base a lo encontrado en un computador

6. EVIDENCIA DIGITAL Se puede decir que el término “Evidencia Digital” abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor.

7. VENTAJAS Puede ser duplicada de manera exacta y copiada tal como si fuese el original. Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha sido alterada, comparada con la original. Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información. Cuando los criminales o sospechosos tratan de destruir la evidencia, existen copias que permanecen en otros sitios del sistema.

8. CATEGORIAS Registros almacenados en el equipo de tecnología informática (por ejemplo, correos, electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.) Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.) Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos vistas parciales de datos, etc.

9. CARACTERISTICAS  Es volátil  Es anónima  Es duplicable  Es alterable y modificable  Es eliminable

10. HERRAMIENTAS PARA ANALISISFORENSE Ouport: programa que permite exportar los datos desde outlook a otros clientes de correo. Airt( advances incident reponse tool):conjunto de herramientas para el analisis y respuesta ante incidentes, útiles para localizar puertas traseras. Foremost: utilidad para Linux que permite realizar analisis forenses. Lee de un fichero de imagen o una partición de disco y permite extraer ficheros. Webjob: permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operación. La salida en caso de haberla,. Puede dirigirse a stdout/stderr a un recurso web.

11. COMUNIDADES QUE UTILIZAN INFORMATICA FORENSEEntidades que aplican la leyFuerzas militaresIndustrias y bancos

Conferencia: "Informática Forense y Seguridad" de Javier Pages

  Evidencia Digital

El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos.

Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignación de archivos del soporte.

Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyes referentes a ello, cada juez lo valora subjetivamente como prueba válida o no                                                         .Herramientas para la Recolección de Evidencia

Existen una gran cantidad de herramientas para recuperar evidencia. El uso de

Herramientas sofisticadas se hace necesario debido a:

1. La gran cantidad de datos que pueden estar almacenados en un computador.

2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.

3. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.

4. Limitaciones de tiempo para analizar toda la información.

5. Facilidad para borrar archivos de computadores.

6. Mecanismos de encripción, o de contraseñas.

• EnCase

ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de encase se relacionan a Continuación:

Copiado Comprimido de Discos Fuente.

Encase emplea un estándar sin pérdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo.

Búsqueda y Análisis de Múltiples partes de archivos adquiridos.

EnCase permite al examinador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de almacenamiento de la información. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro

y ser examinada en paralelo por el especialista.

Diferente capacidad de Almacenamiento.

Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas.

Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo. EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones.

Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.

• Herramientas para el Monitoreo y/o Control de Computadores

Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente .

• KeyLogger

“KeyLogger” es un ejemplo de herramientas que caen en esta categoría. Es una herramienta que puede ser útil cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones.

Existen dos versiones: la registrada y la de demostración. La principal diferencia es que en la versión registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la máquina no notará que sus acciones están siendo registradas.

• Herramientas de Marcado de documentos

Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente. El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes.

Técnicas forenses en una máquina individual

Esta es probablemente la parte más común en las técnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicación con alguien más, e-mail o libretas de direcciones o evidencia de una naturaleza particular, como imágenes pornográficas. En los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo, que archivos ha accesado, y más.

Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades que por ejemplo, observar que contenía un disco antes de una formateada. Muchos de los archivos que se detectan no pueden ser leídos inmediatamente, muchos programas tienen sus propios formatos de archivo; sin embargo, también existen utilidades que permiten saber cual tipo de archivo es.

Técnicas forenses en una red

Las técnicas forenses en una red se usan para saber donde se localiza un computador y para probar si un archivo particular fue enviado desde un computador particular. Estas técnicas son muy complicadas, pero se puede investigar utilizando dos herramientas básicas:

• Registros de firewalls
• Encabezados de correo

Post-Mortem

He aquí la palabra que encauza el título de nuestro artículo, el análisis post-mortem se realiza mayoritariamente para la recuperación de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a éste recurso se aconsejan la copias de seguridad periódicas.

Se puede decir que un disco duro ha "muerto" cuando su parte mecánica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo.

Cuando esto sucede no hay más que una solución posible, y esa es el análisis post-mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cámara blanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecánico para su correcta lectura de datos.

Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños.

Forensia en redes (network forensics) 

Es un escenario aún más complejo, pues es necesario comprender la 

manera como los protocolos, configuraciones e infraestructuras de 

comunicaciones se conjugan para dar como resultado un momento 

específico en el tiempo y un comportamiento particular. 

Esta conjunción de palabras establece un profesional que entendiendo las 

operaciones de las redes de computadores, es capaz, siguiendo los 

protocolos y formación criminalística, de establecer los rastros, los 

movimientos y acciones que un intruso ha desarrollado para concluir su 

acción. A diferencia de la definición de computación forense, este contexto 

exige capacidad de correlación de evento, muchas veces disyuntos y 

aleatorios, que en equipos particulares, es poco frecuente

Forensia digital (digital forensics) 

Forma de aplicar los conceptos, estrategias y procedimientos de la 

criminalística tradicional a los medios informáticos especializados, con el fin 

de apoyar a la administración de justicia en su lucha contra los posibles 

delincuentes o como una disciplina especializada que procura el 

esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, 

¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o 

usos indebidos bien sea en el contexto de la justicia especialiObjetivos de la Informática Forense 

La informática forense tiene 3 objetivos, a saber: 

1. La compensación de los daños causados por los criminales o 

intrusos. 

2. La persecución y procesamiento judicial de los criminales. 

3. La creación y aplicación de medidas para prevenir casos similares. 

Estos objetivos son logrados de varias formas, entre ellas, la principal es la 

recolección de evidencia. zada o como 

apoyo a las acciones internas de las organizaciones en el contexto de la 

administración de la inseguridad informática. 

La Informática forense

¿De que se trata? mediante sus procedimientos se identifican ,aseguran extraen ,analizan presentan pruebas generadas y guardadas electronicamente para que puedan ser aceptadas en un proceso legal.

Las distintas metodologías forenses incluyen la captura segura de datos de diferentes medios digitales y evidencias digitales,sin alterar la información de origen  

Gracias a este proceso ,la informatica forense aparece como una disciplina auxiliar de la justicia moderna para enfrentar los desafios y tecnicas de los intrusos informaticos ,asi como garante de la verdad utilizando  la evidencia digital 

Computación Forense

Pasos del cómputo forense

El proceso de análisis forense a una computadora se describe a continuación:

Identificación

Es muy importante conocer los antecedentes a la investigacón "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extraccion de los registros de información a localizar). Incluye muchas veces ( en un momento especifico Obsevar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.

Preservación

Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere( soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

Análisis

Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

Presentación

Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentacion ya que siempre existiran puertas traseras dentro del sistema en observación y debe ser muy especifica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicacion y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magneticos portatbles estos son basamentos sobre software libre y privativo. deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas

Herramientas de Cómputo Forense

• Sleuth Kit (Forensics Kit)
• Py-Flag (Forensics Browser)
• Autopsy (Forensics Browser for Sleuth Kit)
• Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
• dcfldd (DD Imaging Tool command line tool and also works with AIR)
• foremost (Data Carver command line tool)
• Air (Forensics Imaging GUI)
• md5deep (MD5 Hashing Program)
• netcat (Command Line)
• cryptcat (Command Line)
• NTFS-Tools
• Hetman software (Recuperador de datos borrados por los criminales)
• qtparted (GUI Partitioning Tool)
• regviewer (Windows Registry)
• Viewer
• X-Ways WinTrace
• X-Ways WinHex
• X-Ways Forensics
• R-Studio Emergency (Bootable Recovery media Maker)
• R-Studio Network Edtion
• R-Studio RS Agent
• Net resident
• Faces
• Encase
• Snort
• Helix
• NetFlow
• Deep Freeze
• hiren´s boot
• Canaima 3.1
• Mini XP

Herramientas para el análisis de discos duros

• AccessData Forensic ToolKit (FTK)
• Guidance Software EnCase
• Kit Electrónico de Transferencia de datos

Herramientas para el análisis de correos electrónicos

• Paraben
• AccessData Forensic ToolKit (FTK)

Herramientas para el análisis de dispositivos móviles

• AccessData Mobile Phone Examiner Plus (MPE+)

Herramientas para el análisis de redes

• E-Detective - Decision Computer Group
• SilentRunner - AccessData

Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a Internet

• USBDeview
• SilentRunner - AccessData
• WhireShark

Tecnología en Informática Forense

Programa para el que estudia informática forense

Es un programa tecnológico del área de las ingenierías que tiene como propósito desarrollar competencias orientadas a hacer la selección, uso y aplicación de los procedimientos, métodos, técnicas y herramientas propias de la informática forense para el apoyo en procesos de investigación y solución de delitos que involucren el uso de Tecnologías de la Información y las Comunicaciones.

Areas de desempeño

El Tecnólogo en Informática Forense desarrolla competencias que lo capacitan para desempeñarse en cargos como:

• Experto en aplicación de herramientas y técnicas propias de la informática forense.
• Asesor técnico en procesos de delitos informáticos
• Asesor técnico forense en el manejo de cadena de custodia.
• Analista forense de evidencia presentada como: datos, vídeos, imágenes o audio digital.
• Asistente en seguimiento y aplicación de pruebas Anti-Forenses
• Operador auxiliar para la implementación de procesos de seguridad a nivel empresarial.

Aquí un pequeño vídeo para mas información sobre la informática forense

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos;

sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software si no también de hardware, redes, seguridad, hacking, cracking, recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no se encarga de prevenir delitos, para ello que encarga la seguridad informática, es importante tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoria informática.