Download TESIS - Sección de Estudios de Posgrado e Investigación
Document related concepts
no text concepts found
Transcript
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS” SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS. “METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL” TESIS QUE PARA OBTENER EL GRADO DE: MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS. PRESENTA: ING. ARTURO PALACIOS UGALDE. DIRECTOR DE TESIS: M. EN C. LEOPOLDO ALBERTO GALINDO SORIA. MÉXICO D.F. OCTUBRE DE 2010. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. “METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL” RESUMEN En el presente proyecto de tesis, se presenta explícitamente la problemática existente de la falta de una metodología de análisis pericial forense en el entorno de la informática forense, por lo que se propone y aplica una metodología forense para el análisis de sistemas de redes y equipos de cómputo personal, además se estudian algunos dispositivos de interés, detallando de forma particular, el análisis sobre una computadora personal de escritorio, dicho producto de la presente Tesis se pretende funja como herramienta fundamental para la resolución de contiendas y denuncias judiciales. La metodología propuesta se encuentra compuesta por cinco Fases: I.Planteamiento del problema, II.- Identificación detallada del material objeto de estudio, III.Adquisición de evidencia, IV.- Análisis de datos y V.- Presentación de resultados obtenidos, las presentes Fases se consideran herramientas ineludibles y básicas a la hora de investigar un hecho delictivo, las mismas nos permitirán efectuar un trabajo sistémico metodológicamente estructurado y sistemáticamente fundamentado, considerando que la metodología propuesta sea aplicada por un perito en informática forense en auxilio de la autoridad judicial. Con el presente trabajo se busca establecer un marco referencial base de cualquier investigador forense digital en aspectos técnicos y jurídicos que procure generar y fortalecer iniciativas multidisciplinarias para la modernización y avance de la administración de justicia en el contexto de una sociedad digital y de la información. La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un caso de estudio, presentado en el ―Capítulo 4.- Localización de un archivo con información específica‖, con el fin de iniciar la evaluación de su aplicabilidad. Ing. Arturo Palacios Ugalde. Resumen y Abstract. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. “METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN NETWORKS SYSTEMS AND PERSONAL COMPUTING EQUIPMENTS” ABSTRACT In this thesis Project, it is explicitly presented the existing problems due to the lack of a methodology for the forensic expert analysis in computing, so it is proposed and applied a forensic methodology for the analysis of networks systems and personal computing equipments. Also, some interesting devices are studied, particularly detailing the analysis on a personal desk computer. The result of the present thesis is intended to function as a basic tool for the resolution of judicial controversies and complaints. The proposed methodology consists of five stages: I.- Approach of the problem, II.Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data analysis, and V.- Presentation of the results obtained. The present stages are considered as necessary and basic tools at the time of investigating a criminal act, and such tools will enable us to carry out a systemic work which shall be methodologically structured and systematically founded, considering that the methodology being proposed shall be applied by forensic expert in computing, in assistance of the judicial authority. The present work seeks to establish a basic reference framework for any digital forensic investigator regarding technical and juridical aspects, tending to generate and strengthen multidisciplinary initiatives for the modernization and improvement of justice administration in the context of a digital society and computing. The methodology proposed was applied within the present thesis project, in a case under study presented in ―Chapter 4.- Localization of a file with specific information‖, with the purpose of starting an evaluation of its applicability. Ing. Arturo Palacios Ugalde. Resumen y Abstract. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Agradecimientos A Dios: Por darme la fortaleza y esperanza en los momentos difíciles. A mi Madre: Gloria Ugalde y Guzmán Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la confianza que en su momento, depositaste en mí. A mis Hermanos: Gabriel, Martin, Armando y Jonathan Por ayudarme y apoyarme. Gracias por facilitarme las cosas. A mi Hijo: Emiliano Palacios Fernández Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza y alegría, por ser mi motor y mi fuerza para seguir adelante. A mi Familia: Por todo su amor, cariño y comprensión. Ing. Arturo Palacios Ugalde. Agradecimientos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Al Instituto Politécnico Nacional: Por crear en mí el sentimiento de orgullo. A mi Director de tesis: El Profesor Prof. Leopoldo A. Galindo Soria Por sus invaluables sugerencias y acertados aportes durante la realización de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y compartir conmigo su talento y experiencia, en un marco de confianza, afecto y amistad, fundamentales para la concreción de este trabajo. A todos aquellos que sin querer omito: Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles las gracias por formar parte de mí y por todo lo que me han brindado. Ing. Arturo Palacios Ugalde. Agradecimientos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Índice General. Índice General i Índice de figuras y tablas iv Glosario de Términos viii Introducción xiii 0.1 Presentación del Proyecto de Tesis xiii 0.2 Marco Metodológico para el desarrollo del proyecto de Tesis xv Capítulo 1.- Marco Conceptual y Contextual 1.1. 1.2 Marco Conceptual 2 1.1.1 Pirámide Conceptual 3 1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis 5 Marco Contextual 11 1.2.1 Marco contextual acorde a la pirámide conceptual 1.2.2. Descripción del procedimiento básico en informática forense 11 13 Capítulo 2.- Identificación y Análisis de la Situación Actual 2.1 Antecedentes 22 2.2 Análisis de la situación actual al inicio del Proyecto de Tesis 25 2.3 Justificación del proyecto de Tesis 33 2.4 Definición de Objetivos del Proyecto de Tesis 33 i Ing. Arturo Palacios Ugalde. Indice. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 3.- Desarrollo de la Metodología Propuesta 3.1 Introducción a la Metodología Propuesta 36 3.2 Presentación esquemática de la Metodología Propuesta 41 3.2.1 Fase I. Planteamiento del Problema 45 3.2.2 Fase II. Identificación detallada del material objeto de estudio 45 3.2.3 Fase III. Adquisición de evidencia 46 3.2.4 Fase IV Análisis de datos 47 3.2.5 Fase V. Presentación de resultados obtenidos 48 Descripción detallada de las Fases de la Metodología Propuesta 51 3.3.1 Fase I. Planteamiento del Problema 51 3.3.2 Fase II. Identificación detallada del material objeto de estudio 55 3.3.3 Fase III. Adquisición de evidencia 78 3.3.4 Fase IV Análisis de datos 89 3.3.5 Fase V. Presentación de resultados obtenidos 106 3.3 Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio 4.1 Aplicación de la Fase I. Planteamiento del Problema 117 4.2 Aplicación de la Fase II. Identificación detallada del material objeto de estudio 120 4.3 Aplicación de la Fase III. Adquisición de evidencia 153 4.4 Aplicación de la Fase IV. Análisis de datos 176 4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos 209 ii Ing. Arturo Palacios Ugalde. Indice. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones 5.1 Valoración de Objetivos 238 5.2 Trabajos Futuros 241 5.3 Conclusiones 243 Bibliografía 246 Referencias a Internet 247 iii Ing. Arturo Palacios Ugalde. Indice. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Índice de figuras y tablas. Número de Figura o Tabla. Figura 1.1 Descripción: Capítulo 1: Marco Conceptual y Contextual. Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio. Página. 4 Figura 1.2 Reglas generales de la informática forense. 9 Figura 1.3 Representación esquemática de la intervención pericial en informática forense. 11 Figura 1.4 Representación esquemática del Proceso de Investigación. 13 Figura 1.5 Modelo básico de la informática forense. 18 Figura 1.6 Modelo de informática forense complementario. 18 Figura 1.7 Productos a obtener bajo la aplicación de la Metodología Propuesta en el presente proyecto de tesis. 19 Figura 2.1 Tabla 2.1 Capítulo 2: Identificar y Analizar la Situación Actual. Estándares y directrices, relacionados con la informática forense y la seguridad de la información. Comparativo de ventajas y desventajas de Metodologías y Estándares actuales. 26 28 Figura 3.1 Capítulo 3: Desarrollo de la Metodología Propuesta. Presentación Esquemática de la Metodología Propuesta. 42 Figura 3.2 Presentación Secuencial de la Metodología Propuesta. 42 Figura 3.3 Presentación detallada de la Metodología Propuesta. 44 Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar. 57 Figura 3.5 Ejemplo en el que se presenta, la forma en que se identifica un posible material objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o Documento Final. 58 iv Ing. Arturo Palacios Ugalde. Indice. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Número de Figura o Tabla. Descripción: Página. Figura 3.6 Imagen que se presenta a manera de Ilustrar un posible lugar de los hechos. 60 Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de un equipo de cómputo a analizar. 61 Figura 3.8 Se debe restringir el acceso al lugar de los hechos. 62 Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo genero, para tres archivos. 72 Salida tipo pantalla, en la que se muestra el análisis al archivo 104 Index.dat, con el fin de mostrar las cookies almacenadas en éste. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. Figura 4.1 Identificación del material objeto de estudio. 121 Figura 3.10 Figura 4.2 Identificación del disco duro asociado al material objeto de estudio. 122 Figura 4.3 Fijación fotográfica del material objeto de estudio, teniendo mayor relevancia para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que es el elemento en donde se almacena toda la información procesada. 133 Figura 4.4 Una vez que se tuvo identificado plenamente al elemento base (principal fuente de información), para realizar su análisis correspondiente, se procedió a colocarle un bloqueador de escritura. 142 Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que fue detectado el disco duro, asociado al material objeto de estudio. 146 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen (―#L##-###L‖). Como primer paso se tuvo que montar el Disco Duro al Software. 147 Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a través del software forense AccessData FTK Imager. 160 Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de estudio. 161 Figura 4.6 Figura 4.7 v Ing. Arturo Palacios Ugalde. Indice. 159 METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Número de Figura o Tabla. Descripción: Página. Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al software forense, el destino de la imagen. Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la imagen total del disco duro. Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta ―Documents and Settings‖. Salida tipo pantalla en que se muestra el termino del proceso para Figura 4.13 adquirir la imagen de la carpeta ―Documents and Settings‖. Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2). Figura 4.15 Vista del contenido del archivo generados con el valor Hash de la imagen del disco duro. Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida. Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco duro motivo de estudio. Figura 4.18 Exploración de la imagen forense obtenida. 162 Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan respuesta al Planteamiento del Problema. 186 Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso de exportación de archivos ubicados. Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los archivos localizados. 188 Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura. 163 164 165 166 169 177 184 185 197 217 Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito. 218 Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que 219 conforman la Imagen Forense del presente caso bajo estudio. Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se apegan al criterio especificado en el Planteamiento del Problema. vi Ing. Arturo Palacios Ugalde. Indice. 220 METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Número de Figura o Tabla. Figura 4.26 Figura 4.27 Figura 4.28 Descripción: Página. Conexión del Disco Duro bajo estudio al protector contra escritura. 225 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito. Salida tipo pantalla en donde se muestran los dos archivos que conforman la Imagen Forense del presente caso bajo estudio. 226 227 Salida tipo pantalla en donde se muestran los dos archivos, Figura 4.29 localizados y que se apegan al criterio especificado en el 228 Planteamiento del Problema. Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones. Tabla 5.1 Valoración de los Objetivos Particulares. 241 vii Ing. Arturo Palacios Ugalde. Indice. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. GLOSARIO DE TÉRMINOS. Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente serie de términos usados, se puede observar que varias definiciones se toman con base a referencias de sitios o páginas de Internet, confiables. Análisis Forense Digital [http://archivos.diputados.gob.mx/Comisiones/Especiales/ Acceso_Digital/Presentaciones/Procuracion_justicia_PGR.pdf]: conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste en establecer las responsabilidades y controles de cada una de las personas que manipulen la evidencia, (The Organization of American States (OAS), La Organización de los Estados Americanos (OEA)). Delitos Informáticos [http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg0000 7.html]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet. Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos. Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema encomendado para producir una explicación consistente. viii Ing. Arturo Palacios Ugalde. Glosario de términos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial. Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien puede disentir de sus colegas. Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado. Forense [http://www.rae.es/rae.html]: adj. Perteneciente o relativo al foro. Lugar en que los tribunales actúan y determinan las causas: foro público. Hash [http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt]: En informática, hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, procedimiento que autentica la información o dato en cuestión (firma digital). Incidente de Seguridad Informática [http://www.oas.org/juridico/spanish/cyb_analisis _foren.pdf]: puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos. ix Ing. Arturo Palacios Ugalde. Glosario de términos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Indicio [http://www.bibliojuridica.org/]: El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se percibe con los sentidos y que tiene relación con un hecho delictuoso; al decir material sensible significativo se entiende que está constituido por todos aquellos elementos que son aprehendidos y percibidos mediante la aplicación de nuestros órganos de los sentidos. A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones en la selección del material que será sometido a estudio. Cuando se comprueba que está íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia. Lugar de los hechos [http://www.bibliojuridica.org/]: Se entiende como el lugar de los hechos ―El sitio donde se ha cometido un hecho que puede ser delito‖. Toda investigación criminal tiene su punto de partida casi siempre en el lugar de los hechos, y muchos criminalistas ya han expresado: ―que cuando no se recogen y estudian los indicios en el escenario del crimen, toda investigación resulta más difícil‖. Por tal motivo, es imperativo proteger adecuadamente en primer término ―el lugar de los hechos‖ o como lo denominan los especialistas ―el sitio del suceso‖, (en los países de habla inglesa se utiliza el término ―escena del crimen‖). Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos. Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. x Ing. Arturo Palacios Ugalde. Glosario de términos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Partición swap [http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.ht ml]: Una partición swap (al menos 256 MB) — Las particiones swap son utilizadas para soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no hay memoria suficiente disponible para contener los datos que su ordenador está procesando. Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema encomendado para luego entregar su informe o dictamen pericial con sujeción a lo dispuesto por la ley. Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que comprende las tres clases de elementos. Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas. Software [RODAO, 2005]: Se conoce como software al equipamiento lógico o soporte lógico de una computadora digital; comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos del sistema, llamados hardware. xi Ing. Arturo Palacios Ugalde. Glosario de términos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el procesador de textos, que permite al usuario realizar todas las tareas concernientes a la edición de textos o el software de sistema tal como el sistema operativo, que básicamente, permite al resto de los programas funcionar adecuadamente. xii Ing. Arturo Palacios Ugalde. Glosario de términos. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. INTRODUCCIÓN. 0.1 PRESENTACIÓN DEL PROYECTO DE TESIS. El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Ante el suceso de un delito informático u otro delito en el que se considere que equipos de cómputo pueden presentar evidencias, es necesaria la intervención de un perito en informática forense. La falta de una metodología para realizar un peritaje en informática forense ante el suceso de un delito informático en cualquier persona física o moral, pueden impactar de varias formas tales como: que la evidencia se pierda viéndose alterada y por ende nunca descubrir al culpable del acto ilícito que nos ocupa, o también podría fincársele una responsabilidad para el perito en informática forense así como el de no presentar elementos suficientes como evidencia o que pierdan su valor probatorio frente a un tribunal por que no se halla preservado la integridad de la información o manejado adecuadamente (cadena de custodia). Por lo anterior y de no adoptarse una metodología de peritaje en informática forense, ante un suceso que así lo amerite, no se tendrá un peritaje confiable recalcando el hecho de que en nuestro país la informática forense ha tenido un nulo crecimiento en lo que a desarrollo tecnológico y metodológico se refiere. xiii Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. De lograr el empleo de una metodología en informática forense, se contará con una herramienta formal que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje informático en forma eficiente, confiable, segura y que le dará certidumbre a los resultados obtenidos. Por tales motivos, es que se desarrolla el presente trabajo cuya finalidad es la creación de una “Metodología para el análisis forense informático en sistemas de redes y equipos de cómputo personal”, para que sea la base fundamental de cualquier peritaje informático. Considerando lo anterior, a continuación se muestra el Marco Metodológico que servirá de guía para el desarrollo del presente trabajo de tesis: xiv Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. 0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS. En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los resultados obtenidos y las evidencias significativas encontradas en relación al problema investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los cuales se intenta dar respuestas a las interrogantes objeto de investigación. El marco metodológico, para el desarrollo de este Proyecto de Tesis, donde se propone un “Análisis Forense Informático en Sistemas de Redes y Equipos de Computo Personal”; indica el conjunto de métodos, técnicas y protocolos instrumentales que se emplearán en el proceso de recolección de los datos requeridos en el presente trabajo de investigación. Es importante señalar que tal conjunto de técnicas y herramientas especializadas deben ser guiadas por una metodología apropiada, basada en el desarrollo de la ―Tabla Metodológica‖ [Galindo, 2008], en tal sentido, en la siguiente Tabla, se describen las actividades necesarias para así cumplir con la(s) meta(s) que se ha fijado y lograr los objetivos o productos deseados, además de indicar las técnicas y herramientas que se consideran más adecuadas. xv Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008]. Metodología Actividades Propias del Proyecto (¿Qué hacer?) Avocarse a la tarea de la recopilación y análisis de una metodología a seguir para el desarrollo del proyecto de tesis Uso de los Métodos Analítico y Sintético. Inicio de la aplicación de la metodología para el desarrollo de la Tesis. Definir cuál es o será el tema del proyecto de Tesis. Identificar y conocer el medio ambiente correspondiente. Crear una pirámide conceptual, para definir el Marco Conceptual. Hacer una descripción de los conceptos definidos en la pirámide conceptual. Hacer un análisis de la situación actual, del área y procesos bajo estudio y realizar una evaluación y diagnóstico correspondiente. Técnicas (¿Cómo hacer?) Investigación y cotejo de diversas metodologías acordes al presente proyecto de tesis. Herramientas (¿Con qué hacer?) Consulta de bibliografía. Tener bien claro el objetivo a alcanzar. Búsqueda de información acerca de interés y que contribuyan a resolver un problema. Identificar los elementos sistémicos. Aplicación del método Deductivo es decir ubicar de lo general a lo particular los elementos que intervienen. Hacer una lista de los conceptos incluidos en la pirámide conceptual. Creando un cuadro comparativo con ventajas y desventajas. Metas (¿Qué Obtener en particular?) La selección de la metodología a seguir. Inicio del proyecto de Tesis. Computadora personal, acceso a Internet, Bibliografía. El tema de Tesis. Observación. Computadora e Internet. Investigación Bibliográfica. Computadora e Internet. Investigación Bibliográfica. El alcance y el enfoque que tendrá la Tesis. Computadora e Internet. Investigación Bibliográfica. Explicar los conceptos en forma breve dando el marco conceptual donde se ubicará el proyecto de Tesis. Observación. Investigación, Cuestionarios. Entrevistas. Computadora e Internet Procesador de Palabras, Hoja de cálculo. Información para justificar la Tesis. xvi Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. Representar gráficamente el proyecto de Tesis y el producto principal a obtener. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Continuación) Metodología, Actividades Propias del Proyecto (¿Qué hacer?) Técnicas (¿Cómo hacer?) Definir la justificación del proyecto de Tesis. Llevar a cabo el Análisis del cuadro comparativo citado con antelación. Definir el objetivo particular y los generales del Proyecto de Tesis. Definir la aportación principal del proyecto de Tesis y de lo que se obtiene en el proceso de desarrollo. Desarrollo del producto principal del Proyecto de Tesis. Proponer la Metodología en Informática Forense. Basándose en metodologías previamente identificadas y analizadas, así como diseñando y proponiendo la metodología del trabajo de Tesis. Aplicar la Metodología propuesta. Siguiendo las actividades de la Metodología propuesta. Herramientas (¿Con qué hacer?) Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes. Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Observación, Análisis e investigación. Con las herramientas necesarias en cada Actividad de la Metodología. xvii Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. Metas (¿Qué Obtener en particular?) Justificar la Tesis. Definir los objetivos. Metodología a usar en la Tesis. Alcanzar los niveles de pericia y especialización necesarios para llevar a cabo una intervención pericial en Informática Forense precisa, confiable y por ende irrefutable. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Final) Metodología, Actividades Propias del Proyecto (¿Qué hacer?) Técnicas (¿Cómo hacer?) Herramientas (¿Con qué hacer?) Redacción del documento de Tesis Conforme avance en trabajo la Tesis. Valoración del cumplimiento de los objetivos. Revisando el cumplimiento de los objetivos. Definición de trabajos futuros. Proponiendo mejoras continuas y seguimiento al trabajo. Conclusiones del proyecto de Tesis. Redactar los beneficios y la utilidad que representa el trabajo de Tesis. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Metas (¿Qué Obtener en particular?) Escribir el documento de Tesis Conclusiones acerca del cumplimiento de los objetivos. Definir trabajos a futuro. Conclusiones referentes al trabajo de Tesis. Con el fin de cumplimentar lo plasmado con antelación, se emplea la ―Metodología para el Desarrollo y Redacción de un Proyecto de Tesis de Maestría‖ [Galindo, 2005], propuesta por el Prof. Leopoldo Galindo Soria; misma que será la metodología a aplicar para la elaboración y la redacción del proyecto en comento. xviii Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. Estructura del Documento de Tesis. El cuerpo de la Tesis se encuentra dividido en 5 capítulos, una sección para conclusiones y una sección dedicada a trabajos futuros, a continuación se realiza una breve descripción de cada uno de los capítulos que integran esta tesis, cuya estructura es la siguiente: Capítulo 1.- Marco Conceptual y Contextual. Se definen las bases para desarrollar el trabajo de investigación, con el fin de ayudar a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos elementos que intervienen en una intervención pericial en informática forense. Capítulo 2.- Identificar y analizar la situación actual. Presenta una definición general de metodología, así mismo se describe el proceso forense en informática, mostrando un análisis del modelo de informática forense, de manera adicional se realiza una comparativa teniendo como elemento de cotejo a las guías internacionales de mayor importancia, de las mejores prácticas en informática forense y la metodología propuesta, razón por la cual se justifica proponer como proyecto de Tesis el contar con una nueva metodología en Informática forense, que pueda ser aplicada en México. Capítulo 3.- Desarrollo de la Metodología Propuesta. Se presentan las fases y métodos que la integran, se describe el proceso forense informático, mostrando un análisis del modelo de informática forense. xix Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con los que la metodología propuesta deba cumplir. La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o datos obtenidos). En el presente capítulo se genera la estrategia de creación de la metodología. Esta estrategia considera: la aplicación del método científico, utilización de metodologías (en el área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel internacional. Capítulo 4.- Aplicación de la Metodología Propuesta en un caso de Estudio. En este capítulo se presenta la aplicación de la metodología propuesta en un caso práctico; proponiendo con el fin de mostrar su utilidad y funcionalidad la ―Localización de un archivo con información específica‖, es decir se propuso la Ubicación de información cuestionable. Razón por la cual es que en este capítulo se desarrollan todas y cada una de las fases que integran la metodología propuesta. Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones. Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta, por último se presenta la Bibliografía y Referencias a Internet. En síntesis, en la siguiente lámina se presenta la estructura general del proyecto de tesis: xx Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL. ―Después‖ ―Cambio‖ ―Antes‖ Introducción. Presentación del Proyecto de Tesis. -Presentación del proyecto de tesis. -Marco metodológico para el desarrollo del proyecto de tesis. -Estructura del documento del proyecto de tesis. Capítulo 1 El marco conceptual y contextual -Introducción al marco conceptual y contextual. -Pirámide Conceptual. -Descripción de Términos. IMPARTICIÓN DE JUSTICIA. Capítulo 2 -Análisis, evaluación y diagnóstico de la situación al inicio del proyecto de tesis. -Identificar y analizar la situación actual. -Análisis de la situación actual al inicio del proyecto de tesis. SITUACIÓN ACTUAL: ―AUTORIDAD COMPETENTE‖. INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA. SITUACIÓN MEJORADA DE LA INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA. Capítulo 4.Aplicación de la Metodología Propuesta en un Caso de Estudio. -Justificación del proyecto de tesis. -Objetivos del proyecto de tesis. ―ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL‖. CAPITULO 3 DESARROLLO DE LA METODOLOGÍA PROPUESTA: FASE I, FASE II, FASE III, FASE IV y FASE V. FASE I FASE II Identificación detallada del material objeto de estudio. Planteamiento del Problema. Por medio de: FASE III FASE IV FASE V Adquisición de evidencia. Análisis de datos. Presentación de resultados obtenidos. ¿Cómo llegar? Capítulo 4 FASE V FASE IV FASE III FASE II FASE I APLICACIÓN DE LAS FASES, DE LA METODOLOGÍA PROPUESTA. xxi Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis. Para obtener: METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 1.Marco Contextual y Conceptual 1 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. CAPÍTULO 1. MARCO CONTEXTUAL Y CONCEPTUAL. El Marco Conceptual y Contextual, servirá como Marco de Referencia que se usará en el presente trabajo de Tesis. Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que intervienen en la Informática Forense. A continuación, se detalla el Marco Conceptual y Contextual. Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los delincuentes se hacen diestros en la utilización de los avances tecnológicos como herramienta para delinquir. La prueba documental y el arma homicida están perdiendo vigencia con rapidez. En el presente proyecto de tesis se aborda el tema de la Informática Forense, de la evidencia digital, de la manipulación de la misma y de los retos que esta tarea conlleva, dándole un vistazo a las diferentes directrices de manipulación de pruebas electrónicas y de evidencia digital que los países más avezados en estos temas han planteado como solución a los problemas de admisibilidad y a otros retos que usualmente se le presentan a un operador jurídico que pretende usar información almacenada en medios electrónicos como prueba, razón por la cual, se hace cada vez más necesario que los aparatos judiciales tengan a su disposición funcionarios y colaboradores que posean los conocimientos informáticos, técnicos y jurídicos necesarios para ofrecer certeza sobre la integridad de la evidencia obtenida en entornos digitales. 2 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Cabe señalar que al momento de la redacción del presente trabajo se consideraron las guías generadas en países con mayor desarrollo y experiencia en esta área científica, con el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la creación de la metodología en informática forense motivo del presente proyecto de tesis y otros procedimientos de los que se hace referencia en materia de peritaje informático. Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una sugerencia informada para ayudar a la implementación de lo que sería el estándar Mexicano de buenas prácticas en materia de peritaje informático. 1.1 Marco conceptual 1.1.1 Pirámide conceptual. [Galindo, 2005] La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y elementos involucrados que se emplearán en esta investigación, así como, también a identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y de izquierda a derecha. A continuación, se presenta la Pirámide Conceptual, la cual es usada durante el proyecto de Tesis para definir los conceptos principales: 3 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. CONTAR CON UNA METODOLOGÍA EN INFORMÁTICA FORENSE APLICABLE EN MÉXICO. Figura 1.1.- Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio. (Adaptada de [Galindo, 2005]). 4 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis Estos conceptos representan la base para una mejor comprensión del contenido del presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide Conceptual, de abajo hacia arriba y de izquierda a derecha. Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos. Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. El delito [http://www.bibliojuridica.org/]: en sentido estricto, es definido como una conducta, acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquiere, que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la ley. Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet. Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos. 5 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Legislación Mexicana [http://www.bibliojuridica.org/]: Recopilación de leyes, decretos, bandos, reglamentos, circulares y providencias de los supremos poderes y otras autoridades de la República Mexicana. Peritaje [Orellana,1975]: Es el examen y estudio que realiza el perito sobre el problema encomendado para luego entregar su informe o dictamen pericial con sujeción a lo dispuesto por la ley. Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema encomendado para producir una explicación consistente. Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial. Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento, explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖. 6 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La Criminalística es la disciplina coadyuvante del Derecho Penal y de la propia Criminología frente a un delito. La Criminalística registra estas interrogantes ¿Cómo?, ¿Por qué?, ¿Quiénes?, ¿Qué instrumentos Utilizaron?, ¿Dónde?, ¿Cuándo?, etcétera. Consecuentemente la Criminalística utilizando una serie de técnicas procedimientos y ciencias establecen la verdad jurídica acerca de dicho acto criminal. La Criminalística se vale obviamente de todos los métodos y técnicas de investigación posibles, proporcionados por las más diversas áreas del saber científico; ello en cuanto sirvan a su objeto. Pero, a su tiempo, va desenvolviendo su propio cuerpo de conocimientos y adquiriendo autonomía disciplinaria. Algunos estudiosos han incluido las fuentes de la Criminalística en su concepto: Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias naturales en el examen del material sensible significativo relacionado con un presunto hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la intervención de uno o varios sujetos en el mismo". Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a estos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado. Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se percibe con los sentidos y que tiene relación con un hecho delictuoso; 7 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste en establecer las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia que habiendo sido examinado, estudiado y analizado con la opinión de un experto se fundamenta. NIST [http://www.nist.gov/index.html]: Instituto Nacional de Estándares y Tecnología, (NIST, por sus siglas en inglés). NIJ [http://www.ojp.usdoj.gov/nij/funding/welcome.htm]: Departamento de Justicia de EE.UU., (NIJ, por sus siglas en inglés). FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés). Análisis Forense Digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar nuestra investigación, ya sea criminal o no. Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos de Análisis Forense Digital. 8 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. De manera más formal podemos definir el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de identificación, adquisición, preservación, análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial, es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la metodología que se emplee será determinada por el especialista forense, el proceso escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática forense (Figura 1.2). Por evidencia digital se entiende al conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado. Figura 1.2.- Reglas generales de la informática forense [Fuente propia]. 9 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que serán desarrolladas con más detalle a lo largo de este documento: 1ª. Identificación del incidente. 2ª. Adquisición o recopilación de evidencias. 3ª. Preservación de la evidencia. 4ª. Análisis de la evidencia. 5ª. Documentación y presentación de los resultados. Principio de intercambio de Locard [Locard, 1963]: Este principio fundamental viene a decir que cualquiera o cualquier objeto que entra en la escena del crimen (lugar de los hechos), deja un rastro en la escena o en la víctima y viceversa (se lleva consigo), en otras palabras: ―cada contacto deja un rastro‖. En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal estuviera en la escena del crimen. 10 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 1.2 Marco contextual general. 1.2.1 Marco contextual acorde a la pirámide conceptual. En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia – Intervención Pericial – Dictamen Pericial, con un enfoque sistémico. La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal efecto: Aplicación de Metodología en Informática Forense, Software y Herramientas Adecuadas Legislación Situación Actual Situación Futura Certeza, Confiabilidad y Precisión en el Análisis realizado sobre el equipo de cómputo motivo de estudio. Malas Prácticas Forenses. Metodología en Informática Forense aplicada por un Perito en Informática Figura 1.3.- Representación Esquemática de la Intervención Pericial en Informática Forense [Fuente propia]. 11 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Bajo el enfoque de la figura 1.2, se observa que la aplicación de la Informática forense se encuentra apoyada por nuestra legislación; siendo que la sociedad en general rara vez espera los cambios legislativos para modificar sus conductas, más bien ésta y su realidad concreta suelen estar varios pasos delante de legisladores y juristas. Si a esta situación habitual sumamos el hecho de que la informática interactúa con la sociedad a velocidades exponenciales en lugar que las lineales de las ciencias jurídicas, nos encontraremos ante la cruda verdad de que, de no hacerse algo de manera inmediata, nos hallaremos cada día más lejos de la verdad de las conductas que pudieran resultar incriminables en defensa de los valores reconocidos como protegibles por la sociedad que ampara al orden jurídico o que éste debe intentar salvaguardar [Cámpoli, 2007]. Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los esquemas tradicionales de interacción social y ofrecen nuevas formas de relación interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el hecho de que además sirven como medios de comisión de delitos; es aquí, en donde resalta la importancia de aplicar una metodología que proporcione a la autoridad una valoración técnica que sea totalmente confiable. 12 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 1.2.2. Descripción del procedimiento básico en informática forense. Las etapas que se describen a detalle a continuación tienen como base las metodologías de informática forense y procedimientos para la obtención de evidencia digital, las cuales están consideradas dentro de algunas guías y metodologías en informática forense y serán descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del presente proyecto de Tesis. Un análisis en informática forense para que pueda ser válido ante una instancia judicial del orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final del proceso de análisis forense informático. A continuación, se describen las etapas de la metodología básica aplicada al peritaje informático: Búsquedas Filtros Línea del Tiempo Visualización de Archivos Presentación Interpretación de datos obtenidos. Análisis Esta etapa busca mantener la integridad de la evidencia, la cual este caso particular es muy frágil. Imagen bit a bit de la información, motivo de estudio (copia idéntica). Preservación Adquisición Descripción a detalle de cada elemento de estudio. Identificación Planteamiento del Problema Se presenta la evidencia final obtenida, un registro detallado y en palabras simples. Se identifica al elemento cuestionado, equipo comprometido o Intrusión realizada. Figura 1.4 Representación Esquemática del Proceso de Investigación [Fuente propia]. 13 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En la figura anterior, el ―Proceso de Investigación‖, es representado como una escalera en donde los pasos o etapas son secuenciales y ascendentes estructurada de tal forma que conforma, una exhaustiva y rigurosa investigación, garantizando un adecuado tratamiento de las pruebas, reduciendo de esta forma la probabilidad de errores creados por improvisaciones, careciendo de metodología alguna y otros peligros potenciales. Este proceso es aplicado en las investigaciones de carácter penal para una intervención pericial. 1. Planteamiento del Problema.- El planteamiento del problema de la investigación es la delimitación clara y precisa del objeto de la investigación que se realiza por medio de preguntas, lecturas (para el caso de archivos ―logs‖ o bitácoras), encuestas pilotos, entrevistas, etc. En esta etapa cabe tener presente el siguiente pensamiento ―Es más importante para la ciencia, saber formular problemas, que encontrar soluciones‖ (Albert Einstein). La función del planteamiento del problema consiste en revelarle al perito investigador si su proyecto de investigación es viable, dentro de sus tiempos (considerando y matizando que cuando existen personas detenidas por algún acto ilícito, la premura es un factor determinante) y recursos disponibles. 2.- Identificación.- Tiene como fin la localización de las fuentes de información de una manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que tienen que hacerse: ¿Qué marca, modelo y características del hardware tiene el equipo o dispositivos motivo de estudio? ¿El equipo se encuentra encendido o apagado? 14 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Si el equipo se encuentra encendido, identificar el Sistema Operativo, características técnicas (versión del Sistema Operativo, cantidad de memoria RAM, tipo de microprocesador), dirección IP, MAC address (Media Access Control o control de acceso al medio). Ubicar las evidencias e indicios en el sistema - equipo comprometido o vulnerado. Resguardante del equipo. 3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento) o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la información obtenida de la fase de identificación y tiene como objetivo obtener la imagen (copia bit a bit) de la evidencia digital e información que será necesaria para la fase de análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es decir, evitar en todo momento que sea modificada la evidencia por la manipulación del software o hardware, por consiguiente es necesario tomar las medidas de seguridad necesarias para mantener aislado en lo posible el equipo a inspeccionar. Dentro de la adquisición de la evidencia digital, el procedimiento será centralizado principalmente en mantener la técnica apropiada para la informática forense, lo anterior para tener la certeza de que la evidencia adquirida será aceptada como prueba en un procedimiento legal, teniendo la posibilidad de ser duplicada y si es necesario que esta pueda ser analizada por terceras personas. A continuación se listan algunos aspectos que son indispensables en la fase de adquisición de la evidencia: Evaluar y documentar el lugar del incidente (planimetría, fotografía, croquis de conexiones, etc.). Manejo adecuado de la documentación y evaluación. 15 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Etiquetar y embalar adecuadamente la evidencia para que no sean alterados. ¿Metodología empleada para documentar el material motivo de estudio? 4.- Preservación de la evidencia. Busca mantener la integridad de la evidencia desde su obtención hasta la fase de presentación. Es difícil demostrar que la evidencia que dejo la persona que cometió la falta o el delito no fue alterada por las personas que se encontraban en el lugar de los hechos y que el perito en informática forense que recopilo u obtuvo la información lo hizo de una manera adecuada y sin alteración alguna. En la preservación se integra la cadena de custodia que es un elemento clave durante todo el proceso de la informática forense, que ayuda de manera importante a dar valides y sustento al hecho ocurrido ante cualquier autoridad. Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc. Esto último es útil, para el perito en informática forense porque se les hace difícil a los jueces discutir con éxito la integridad de la evidencia digital presentada. Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser analizado, esta huella digital es un valor numérico calculado que resume una cantidad de información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del original. Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1. 16 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Otro elemento de ayuda para mantener la integridad de la evidencia digital es el uso de equipos y herramientas que no permitan la escritura en la evidencia o copia digital obtenida (bloqueadores de escritura), así como el trabajar única y exclusivamente sobre la imagen de la evidencia digital (copia idéntica bit a bit del original, por ejemplo la imagen de un disco duro o de una memoria USB). 5.- Análisis de la evidencia.- Se refiere a la interpretación de los datos obtenidos y a la colocación de estos en un formato lógico y útil, proporciona la evidencia que se busca y está en función de las habilidades del perito en informática forense. La fase de análisis debe documentarse en todas sus partes y seguir un método científico que permita independientemente de la metodología utilizada por el perito en informática forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado obtenido del análisis es el correcto. Es decir: Se debe extraer la información, procesarla e interpretarla. Extraerla producirá archivos binarios. Procesarla generará información entendible. Interpretarla es la parte más importante del proceso. El proceso debe poder rehacerse y producir el mismo resultado. 6.- Presentación y documentación de los resultados. Está enfocada a la creación final de un documento o un reporte para presentar la evidencia final obtenida, debe contener las conclusiones a detalle de la investigación y análisis. La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a manera de que sea entendible para cualquier lector, conteniendo anexos a manera de ilustrar a la autoridad competente. Lo anterior se resume como: En esta etapa se presentan los resultados obtenidos a la empresa, abogados, autoridad competente, etc. 17 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La aceptación de la misma dependerá de: Forma de presentación. Antecedentes y calificación de la persona que realizó el análisis. La credibilidad del proceso que fue utilizado para la preservación y análisis de la evidencia. Con el propósito de obtener la mayor cantidad de información necesaria para realizar el proceso forense y dar pie a la integración de una metodología se realizó un análisis del modelo de informática forense, el cual se muestra en las figuras 1.5 y 1.6. Etapa de Identificación. Etapa de Obtención. Etapa de Análisis. Etapa de Presentación. Figura 1.5 Modelo básico de la informática forense [Fuente propia]. Etapa de Identificación. Etapa de Análisis. Etapa de Obtención. Etapa de Presentación. Etapa de Documentación. Figura 1.6 Modelo de informática forense complementario [Fuente propia]. 18 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Considerando lo anterior, ahora se presentará un panorama general de los subsistemas a obtener, con el fin de que el lector pueda identificar los elementos esenciales que componen un Sistema de Análisis Forense Informático en Redes y Equipos de Cómputo Personal. Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes y Equipo de Cómputo [Fuente propia]. De la figura anterior, se observa que el primer elemento a obtener, es el contar con una ―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖, de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o Dictamen Informático. 19 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Resumen del Capítulo: En este capítulo, se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis; además, de describir los conceptos principalmente usados en el desarrollo del trabajo de Tesis, marcando la diferencia entre Perito, Peritaje e Informática Forense, el primer concepto hace referencia a un experto en una ciencia o arte cuya actividad es vital en la resolución de conflictos judiciales, el segundo concepto nos habla del estudio en sí, que realiza un perito bajo un planteamiento especifico y el tercer concepto nos refiere que se trata de una disciplina de las Ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso bajo estudio, como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. Por último, se presenta un modelo del Sistema de ―Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal‖, que se desea obtener. Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis, para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente referido, para establecer sus ventajas y desventajas, para de esta manera hacer un diagnóstico de las mismas y entonces definir la posible necesidad de proponer una metodología, así como la justificación de la misma. 20 Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 2.Identificación y Análisis de la Situación Actual. 21 Ing. Arturo Palacios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 2. Identificación y Análisis de la Situación Actual. En el capítulo anterior, se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis, también se dió una descripción del procedimiento básico en informática forense, por último se mostro, el modelo del Sistema de Análisis Forense Informático, en Sistemas de Redes y Equipos de Cómputo Personal que se desea obtener, ahora se presentará un riguroso análisis de la situación actual, considerando las metodologías y estándares actuales. 2.1 Antecedentes. En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto al desarrollo y aplicación de metodologías al m<omento de enfrentarse con una investigación de carácter forense. Para solventar la situación anterior, se han desarrollado trabajos internacionales que han destacado la importancia de contar con una metodología formal y estandarizada al momento de manejar la evidencia durante el proceso de investigación, tal como el desarrollado por Jim McMillan en donde cita ―Obedecer una metodología estándar es crucial para realizar un análisis exitoso y efectivo en la informática forense. Tal como los programadores profesionales utilizan una metodología minuciosa de programación, los profesionales forenses también deberían utilizar una metodología de investigación detallada‖ y además agrega que ―una metodología estándar proporcionará protección y ciertos pasos comunes que deberán ser realizados durante el proceso de investigación‖, [http://www.moreilly.com/CISSP/DomA-3-Importance%20of%20a%20Standard%20Methodol ogy%20in%20Computer%20Forensics.pdf]. 22 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En el mismo sentido, el Grupo de Trabajo Científico en la Evidencia Digital (SWGDE, por sus siglas en inglés) [http://www.swgde.org/], resalta la necesidad de contar con procesos estandarizados, para lo cual presenta un escenario en donde la aplicación de la ley se enfrenta a un mundo global de transacciones económicas compuesto de dos características principales: a) muchas de ellas son de carácter internacional y b) los criminales al momento de actuar pudieran involucrar a naciones diferentes. Aclara que cada nación tiene su propio sistema legal y que no es razonable esperar que cada una de las naciones conozca de manera precisa las reglas y leyes que rigen a otros países. Por lo tanto, indica que es necesario encontrar un mecanismo que permita el intercambio seguro y estandarizado de evidencia. Dado que en México no se tienen claros avances de una metodología en la Informática Forense, de acuerdo a la experiencia personal del suscrito, se concluyó realizar una investigación a través de Internet orientada a la exploración de documentos relacionados con el manejo de la evidencia digital, lo anterior ya que en éste, es donde encuentra la mayor cantidad de información sobre este tema, así como el más actualizado. La investigación produjo resultados interesantes, pues mediante ella fue posible reconocer a organizaciones trabajando en conjunto con diversos investigadores. Estos esfuerzos se han orientado al desarrollo de trabajos que permitan establecer un marco de referencia coherente. En el ámbito internacional se identifican algunos organismos cuya cualidad principal, es que su fin es la investigación sobre el manejo de la evidencia digital. Algunas de estas organizaciones son: Centro Nacional de Delitos de Cuello Blanco (―National White Collar Crime Center‖,NW3C, por sus siglas en inglés), [http://www.nw3c.org/], Grupo de Trabajo Científico en la Evidencia Digital (―Scientific Working Group on Digital Evidence”, SWGDE, por sus siglas en inglés), [http://www.swgde.org/], Centro Australiano de Alta Tecnología del Delito (―Australian High Tech Crime Centre‖), [http://www.afp.gov.au/policing/e- crime.aspx],Centro Nacional de Ciencias Forenses (―National Center for Forensic 23 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Science‖,NCSF, por sus siglas en inglés), Sociedad Internacional de Examinadores Forenses (―International Society of Forensic Computer Examiners‖,ISFCE, por sus siglas en inglés), [http://www.isfce.com/], Organización Internacional de la evidencia informática, (―International Organization on Computer Evidence‖,IOCE, por sus siglas en inglés), [http://www.ioce.org/core.php?ID=1], UNAM-CERT(Equipo de Respuesta a Incidentes de Seguridad en Cómputo), etc. Sin embargo, destacan también organismos como la Asociación de Jefes de Policía de Inglaterra, Gales e Irlanda del Norte (―Association of Chief Police Officers Of England, Wales and Northern Ireland‖, ACPO, por sus siglas en inglés), [http://www.acpo.police.uk/], Taller de Investigación Forense Digital (―Digital Forensics Research Workshop‖, DFRW, por sus siglas en inglés), [http://www.dfrws.org/], Instituto Nacional de Justicia, EE.UU. Departamento de Justicia (―National Institute of Justice, U.S. Department of Justice‖, NIJ, por sus siglas en inglés) y el Instituto Nacional de Estándares y Tecnología (―National Institute of Standards and Technology‖, NIST, por sus siglas en inglés), [http://www.nist.gov/index.html], por su trayectoria en la última década, ya sea por haber establecido las bases para el manejo de la evidencia, por abrirse a la comunidad científica, por pertenecer a un organismo de carácter oficial y sobre todo, por el trabajo continuo realizado sobre el manejo de la evidencia digital tratando de mantenerse a la vanguardia al generar documentos actualizados y relacionados con la informática forense. Guías Mejores Prácticas: Existen gran cantidad de guías y buenas prácticas que nos muestran como llevar a cabo la gestión de la evidencia digital. Las guías consideradas para la elaboración del presente trabajo, tienen como objetivo identificar evidencia digital con el fin de que pueda ser usada dentro de una investigación. 24 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Estas guías se basan en el método científico para concluir o deducir algo acerca de la información. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes digitales con el fin de asistir en la reconstrucción posterior de eventos. 2.2 Análisis de la situación actual al inicio del Proyecto de Tesis. Ahora, en el siguiente mapa mental [Buzan, 1996], se pretende identificar algunas de directrices, guías, y estándares existentes relacionados con la Informática Forense, obteniendo la orientación de estos, para así identificar bajo qué área de oportunidad o contexto se estará trabajando durante el proyecto de Tesis: 25 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 2.1 Estándares y directrices, relacionados con la Informática Forense y la Seguridad de la Información [Fuente propia]. 26 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En general, él análisis se hará para identificar las metodologías existentes relacionadas con las tecnologías de la Información, en particular se verá la forma de análisis con respecto a la Informática Forense, para así obtener sus ventajas y desventajas. Para ésto; se basará en: 1.- Norma ISO-27001:2005, (norma sobre Seguridad de la Información). 2.- Estándar, ―Secure Hash Standard (SHS) Federal Information Processing Standards Publications (FIPS PUB 180-3)‖, emitido por el Instituto Nacional de Estándares y Tecnología (NIST), USA, [http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf]. 3.- El ―RFC 3227: Guidelines for Evidence Collection and Archiving‖ (Guía Para Recolectar y Archivar Evidencia), escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea, Ingenieros del Network Working Group, USA, [http://www.ietf.org/rfc/rfc3227.txt]. 4.- ―Handbook Guidelines for the management of IT evidence HB171:2003‖. (Guía Para El Manejo De Evidencia En IT), Australia, [http://www.saiglobal.com/PDFTemp/Previews/OSH/ as/misc/handbook/HB171.PDF]. 5.- ―Best Practices For Seizing Electronic Evidence v.3 A Pocket Guide for First Responders. - U.S. Department of Homeland Security United States Secret Service‖. (Mejores Prácticas para la adquisición de Pruebas electrónicas v. 3 Una guía de Bolsillo para respuesta a un incidente - Departamento de Seguridad de Homeland Estados Unidos Servicio Secreto), [http://www.ncjrs.gov/App/publications/Abstract.aspx?id=239359]. 27 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales. Estándar y/o Metodología ISO-27001:2005. Ventajas Desventajas Es una norma estándar, la cual describe las buenas prácticas de la Seguridad de la Información. Es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad. Cuenta con una guía de implantación. Se consideran como controles o normas, pero no es en sí un modelo o una metodología. No indica que hacer en caso de que el sistema se vea comprometido. Manifiesta las necesidades de la Evaluación del Riesgo. Es un punto de partida. Estándar, ―Secure Hash Standard (SHS) Federal Information Processing Standards Publications (FIPS PUB 180-3)‖. Es un estándar en cuanto al procedimiento matemático de obtención del valor Hash por medio de los algoritmos: SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512. Considera a los algoritmos de reducción criptográfica SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512, como base de este Standard. 28 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. Esta guía es compleja y genérica, no está pensada en cómo reaccionar ante una eventual intrusión al sistema. No indica en forma clara y explícita el cómo obtener tales necesidades, es decir no indica con que herramientas o mecanismos será detectado determinado riesgo (scanner de puertos, auditorias etcétera.). Marca pautas pero no indica cómo aplicarlas ante una vulnerabilidad del sistema cuando se ha sufrido un ataque por parte de un Hacker. No es en sí un modelo o una metodología, sino que más bien pudiese formar parte de esta. No se hace referencia al algoritmo de reducción criptográfica MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) el cual es un algoritmo de reducción criptográfica de 128 bits y que todavía es ampliamente usado por muchos lenguajes. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales (continuación). Estándar y/o Metodología RFC 3227: Guidelines for Evidence Collection and Archiving (Guía Para Recolectar y Archivar Evidencia). Ventajas Desventajas Presenta de forma escrupulosa el desarrollo matemático así como la demostración para la obtención de los valores del HASH a partir de determinadas condiciones. Una de sus principales falencias respecto al tema abordado en este trabajo de investigación es que no es tratado el HASH como una evidencia digital, mucho menos refiere en qué casos es importante obtenerlo ni en qué etapa de la investigación calcularlo. Se encuentra sometida a la supeditación de las normativas vigentes en cada País es algo muy claro, máxime en el caso de las evidencias digitales, debido a la facilidad de su alteración y manipulación. Por ejemplo la RFC establece la necesidad de tomar evidencias en función de la volatilidad de las mismas, no indicando cómo y con que realizar el análisis. Ignora las circunstancias que varían en función de muchas características tales como: Los sistemas operativos involucrados. - Donde se encuentra la información. - Las consecuencias legales. - Que herramientas utilizamos para la toma de información. No se detalla en cómo ni con que realizar el análisis de los elementos volátiles tales como: - Registros, caché. - contenidos de la Memoria. - Estado de las conexiones de red. - Estado de los procesos en ejecución. Sistemas de archivos temporales. - Contenido del Disco duro. - Configuración física, topología de la red. Determina una serie de buenas prácticas, para la recogida, almacenamiento y análisis de las evidencias. Hace hincapié en una correcta recopilación de la evidencia digital. Especifica el orden de la volatilidad de los datos en un sistema basado en Windows. Esta lista se utiliza para recopilar datos y evidencias volátiles en un orden determinado para evitar cualquier error en la recolección de evidencias electrónicas (desde lo más volátil a lo menos volátil). 29 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales (continuación). Estándar y/o Metodología Ventajas Desventajas Sugiere el minimizar al máximo los cambios a los datos recolectados tales como tiempos de acceso. Menciona que los métodos utilizados para recopilar las pruebas deben ser transparentes y reproducibles. Handbook Guidelines for the management of IT evidence HB171:2003, (Guía Para El Manejo De Evidencia En IT), Australia. Sugiere la obtención y generación de una prueba criptográfica de la información. El documento nos provee de una guía para el manejo de registros electrónicos para que estos puedan ser usados como evidencia judicial o en un procedimiento administrativo, planteado como defensor o testigo. De acuerdo con lo previsto en este documento se detalla el ciclo de administración de la evidencia digital y sus respectivos elementos. Hace hincapié en fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologías de la información. Enuncia algunas recomendaciones sobre el escrutinio de registros (archivos). Refiere el mantener el control de la integridad de los registros electrónicos, que permita identificar cambios que se hayan presentado en ellos. 30 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. No hace referencia al uso de Hardware para evitar la escritura sobre cualquier medio de almacenamiento. No se detalla en los métodos a aplicar, no ofreciendo más detalles, por ejemplo para la recolección de archivos con determinado contenido y/o formato. No obliga a la generación de un valor Hash, para asegurar la Cadena de Custodia. Se considera como una serie de recomendaciones o sugerencias a seguir pero en si no es un modelo o una metodología. Resulta impráctico en la vida real. No hace referencia a técnicas ni precauciones a tomar al arribar al lugar de los hechos, para asegurar dicha admisibilidad. Margina de manera absoluta que éste, debe ser en estricto apego a una solicitud expresa por una autoridad Judicial competente para no incurrir en algún delito (Intervención de comunicaciones privadas en el caso de e-mail). No describe ningún mecanismo que ayude a preservar la evidencia digital intacta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales (continuación). Estándar y/o Metodología Ventajas Desventajas En todo su desarrollo realza la importancia del buen manejo de la evidencia digital por su cualidad de frágil y volátil. ―Best Practices For Seizing Electronic Evidence v.3 A Pocket Guide for First Responders. U.S. Department of Homeland Security United States Secret Service‖. (Mejores Prácticas para la adquisición de Pruebas electrónicas v. 3 Una guía de Bolsillo para respuesta a un incidente - Departamento de Seguridad de Homeland Estados Unidos Servicio Secreto). Presenta un compendio de los problemas mas comunes encontrados en el lugar de los hechos, donde se hallan cometido delitos informáticos (electrónicos). No toma en cuenta la relevancia que tiene la evidencia no digital (contraseñas escritas en papeles, impresiones, topología de red, posición del Mouse que nos indica si el usuario es zurdo o diestro y/o huellas dactilares en teclados), así como la red de vínculos con respecto la investigación. No hace referencia al manejo de este tipo de evidencia, la no digital y que se encuentra íntimamente ligada a la digital. Esta guía presenta una serie de reglas, consejos y medidas preventivas a efectuar, cuando se tiene la presunción de un delito informático (electrónico); pero carece de un método sistematizado para aplicar tales medidas y no provee al investigador de una metodología propiamente. Resulta práctica en cuanto a Una de sus falencias más su volumen de información. perceptibles es que resulta tácita, ya que no abunda en la información proporcionada, carece de gráficos, ejemplos y diagramas. Marca consideraciones legales Estas consideraciones legales muy específicas. son proporcionadas por una guía extranjera. 31 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En la Tabla 2.1, se puede apreciar que no se cuenta actualmente con guías y Metodologías que estén alineadas al contexto Mexicano debido a que: No indican en forma clara y explícita la obtención de la evidencia digital. Describen sus etapas en forma teórica (no entrando a detalle), no presentan ejemplos. Se asume que se cuentan con los recursos tecnológicos para cada caso a investigar, no presentando métodos alternativos más económicos con los cuales se puedan obtener los mismos resultados. Son de origen extranjero y algunas marcan consideraciones legales muy específicas, recordando que nuestro país posee todavía en la práctica un Sistema Penal que diverge al de otros países tal es el caso del Europeo, el Americano y el de algunos países Sudamericanos como Chile por ejemplo, en el cual su sistema penal está basado en los Juicios Orales. Ante el escenario comparativo anterior, a continuación se obtiene la justificación del proyecto de Tesis. 32 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 2.3 Justificación del proyecto de Tesis. Con base en el análisis, la evaluación y el diagnóstico de los estándares y las metodologías anteriores, se observa que no cumplen con las necesidades de los procesos de análisis forense informático para el entorno de la sociedad mexicana. Por lo tanto, es necesario establecer un nuevo conjunto de: estrategias, metodologías, acciones y herramientas para descubrir en los medios informáticos, la evidencia digital que sustente y verifique las afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo estudio y que sean ampliamente aplicables en nuestro país. De donde en esta tesis se propone una ―Metodología para el Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal”, para así afrontar de forma más adecuada, vanguardista y progresiva, el contexto de los delitos informáticos en México. Para llegar a lo anterior, se proponen los siguientes: 2.4 Definición de Objetivos del Proyecto de Tesis. Objetivo General: Proponer una Metodología con un enfoque sistémico para el análisis forense informático en sistemas de redes y equipos de cómputo personal. Objetivos Particulares: Conocer el medio ambiente en cuanto a los delitos informáticos, para conocer el mecanismo de cómo se debe responder ante un eventual ataque informático. Analizar las Metodologías y estándares en cuanto a evidencia digital se refiere para efectuar una evaluación y diagnóstico de la situación actual. Aplicar la metodología propuesta en un caso de estudio real para iniciar la evaluación de su implementación. 33 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Resumen del Capítulo: En este Capítulo, se analizó la situación actual al inicio del proyecto de Tesis, para lo cual se realizó un comparativo entre las Metodologías para la adquisición y estudio de evidencia digital, para de esta manera efectuar su correspondiente evaluación y diagnóstico. Ahora en el siguiente capítulo, se verá en forma detallada en qué consiste la Metodología Propuesta para efectuar un adecuado análisis forense en informática que nos permita describir y presentar a la autoridad competente, "cualquier registro generado o almacenado en un sistema informático que puede ser utilizado como evidencia en un proceso legal". 34 Ing. Arturo Placios Ugalde. Capítulo 2: Identificar y analizar la situación actual. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 3.Desarrollo de la Metodología Propuesta. 35 Ing. Arturo Palacios Ugalde. Capítulo 3: Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 3.- Desarrollo de la Metodología Propuesta. En el presente capítulo, se exponen las fases y métodos que la integran, se describe el proceso forense informático, mostrando un análisis del modelo de informática forense; dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con los que la metodología propuesta deba cumplir. En el presente capítulo, se genera la estrategia de creación de la metodología. Esta estrategia considera: la aplicación del método científico, utilización de metodologías (en el área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel internacional. 3.1 Introducción a la Metodología Propuesta. Con el rápido desarrollo de Internet, todo tipo de usuario es cada vez más dependiente del uso de redes públicas y privadas, volviendo crítica la protección de la estabilidad de la infraestructura nacional y mundial que componen la nueva e-economía emergente. Un Dictamen Pericial es uno de los medios probatorios con más auge en los procesos civiles, mercantiles y penales, debido al incremento del desarrollo de la ciencia y tecnología en diversos campos del saber, lo que permite aplicar nuevos métodos de estudio (metodologías) en la búsqueda de la verdad. 36 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La incorporación de las tecnologías de información a la vida personal cotidiana, procesos administrativos, de gestión y de telecomunicaciones ha marcado la necesidad de incluir a los medios informáticos como elementos de carácter probatorio, toda vez que los mismos pueden constituir fácilmente pruebas de manifestaciones de voluntad, consentimiento u otros hechos de relevancia jurídica. Uno de los grandes problemas con los que nos encontramos al tratar de incorporar estos hechos al proceso, es el pensar que las pruebas informáticas son fácilmente creadas, modificadas o destruidas y que por ello difícilmente podrían ser utilizadas en un proceso judicial. La realidad es que dentro de la Criminalística o Investigación Científica Judicial, se ha venido desarrollando una nueva disciplina denominada Informática Forense, la cual tiene como objeto el estudio de la Evidencia Digital. El término evidencia ha sido en principio adminiculado al de física dando como resultado el concepto de ―Evidencia Física‖, lo cual parece ser contrastante con el término ―Evidencia Digital‖, por cuanto, todo aquello relacionado con el término ―Digital‖ se ha asimilado al término ―Virtual‖, es decir, como no real o casi real. Es importante aclarar que los Datos o Evidencia Digital, casi siempre estarán almacenados en un soporte real, como lo son los medios de almacenamiento magnéticos o magneto ópticos u otros que se encuentran en fase de desarrollo, siendo todos estos de tipo físicos por lo que este tipo de evidencia es igualmente física. 37 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Es innegable y evidente, que la aparición de la informática marcó el comienzo de la utilización de nuevos Modus Operandi para comisión de delitos convencionales. De igual manera es innegable que los ataques contra la infraestructura computacional están aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con varias organizaciones públicas, privadas y académicas, que tomen el papel de liderazgo y coordinación. Derivado de estos hechos es que se ha generado la aparición de novedosas legislaciones en los países anglosajones y de habla hispana, tipificando como delitos una gran cantidad de hechos en los cuales intervienen directa o indirectamente los ordenadores o computadoras. Son diversas las variantes de los delitos convencionales que por analogía en la forma de su comisión se han establecido doctrinariamente como delitos de tipo electrónico, como lo son por ejemplo, el delito de intersección y espionaje de comunicaciones electrónicas, asimilables a los delitos de intervenciones telefónicas y grabaciones ilícitas. La analogía entre el correo convencional y el electrónico, ha dado lugar al establecimiento de delitos de violación de correspondencia electrónica, así como el acceso indebido a información contenida en sistemas informáticos. La falsificación de documentos ya no es exclusiva de las falsificaciones materiales en soportes de papel, sino que ya existen como delitos: la falsificación de registros y documentos de tipo electrónico (como la falsificación de documentos públicos y privados). 38 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La inclusión de los sistemas de comunicación electrónica, como el correo y transacciones a través de Internet en el mundo del comercio han terminado de impulsar la necesidad probatoria sobre los hechos que ocurren en este mundo informático. Ahora bien, para decidir llevar este tipo de hechos por vía de pruebas al proceso judicial, es necesario contar con una metodología clara, confiable y veraz, la cual se describe en el presente proyecto de Tesis resultado de un exhaustivo trabajo de investigación. Dicha metodología toma en cuenta algunas de las buenas prácticas para la realización de un adecuado peritaje informático, proponiéndose la siguiente ―Metodología para el Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal”, que tendría un foco operacional en cuanto a las cuestiones fundamentales a las que se enfrenta un perito en informática forense. Teniendo claro que en una metodología se deben detallar, los procedimientos, técnicas, actividades y demás estrategias metodológicas requeridas para la investigación. En esta deberá indicarse el proceso a seguir en la recolección de la información, así como en la organización, sistematización y análisis de los datos. Entonces, la metodología propuesta en el proyecto de tesis será la base para planificar todas las actividades que demande cualquier investigación forense informática y para determinar los recursos humanos y financieros requeridos. 39 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Si bien no es algo definitivo e infalible (dependiendo del caso se deberá adecuar el método a emplear), si constituye un conjunto de normas elementales que ahorran esfuerzo y tiempo. La misma, será una especie de brújula en la que no se produce automáticamente el saber, pero que evitará que nos perdamos en el caos aparente del universo de la información que se maneja hoy en día en los medios informáticos, así como no sucumbir en el embrujo de nuestros prejuicios predilectos. 40 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.2 Presentación esquemática de la Metodología Propuesta. Considerando lo anterior, la metodología propuesta (Figura 3.1), tiene como base, tener un Enfoque Sistémico realizando primero el reconocimiento de la razón que tendría una intervención pericial; es decir Fase I: Planteamiento del Problema; lo anterior, servirá como entrada o acceso para poder hacer una Fase II: Identificación a detalle, por medio de la evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación y así documentarse de todas las acciones y antecedentes que preceden la investigación. A partir de ahí, se estará en posibilidad de tener pleno conocimiento del tipo de evidencia que se busca preservándola; para posteriormente proceder a realizar la Fase III: Adquisición de la evidencia, para la obtención de la misma sin alterarla o dañarla; así mismo, el perito en informática forense deberá autenticar que la información de la evidencia obtenida sea igual a la original, De esta manera se podrá realizar la Fase IV: Análisis de Datos e identificar como interactúa la información adquirida del material motivo de estudio o equipo cuestionado. Para que, finalmente, se esté en condiciones de poder obtener la Fase V: Presentación de Resultados Obtenidos. Entonces, ahora se presenta en un esquema general la Metodología propuesta: 41 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 3.1 Representación Esquemática de la Metodología Propuesta [Fuente Propia]. Ahora se muestra la misma metodología en una estructura tipo secuencial: FASE I Planteamiento del problema. FASE II Identificación detallada del material objeto de estudio. FASE III FASE IV Adquisición de evidencia. Análisis de datos. FASE V Presentación de resultados obtenidos. Figura 3.2 Presentación Secuencial de la Metodología Propuesta [Fuente propia]. 42 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Entonces la figura 3.2, muestra la secuencia de la metodología propuesta en el presente trabajo, cuyo orden de precedencia debe ser rigurosamente respetado, en cuanto a las fases. De esta manera el proceso de investigación logra posicionalidad, consistencia, precisión y objetividad en la búsqueda de la potencial Evidencia Digital. A continuación, se presenta una descripción detallada de las fases de la Metodología Propuesta: 43 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Fase I Planteamiento del Problema Actividad 1.1 adecuadamente planteamiento problema. Definir el del Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta. Fase II Identificación Detallada del Material Objeto de Estudio. Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones generales. Actividad 2.2 Evaluación del caso. Fase III Fase IV Fase V Adquisición de Evidencia. Análisis de Datos. Presentación de Resultados Obtenidos. Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio. Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento final. Actividad Consideraciones previas. 3.1 Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles. Actividad 4.2 Extracción de evidencia. Actividad Actividad 4.3 Extracción lógica de evidencia. 3.3 Elaboración de la guía para la obtención de los datos no volátiles. Actividad 4.4 Análisis de los datos extraídos. Actividad 3.4 Plan de la investigación para la obtención de datos. Actividad Actividad 4.5 Análisis de tiempo de los eventos. Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente actividad, con el fin de elaborar el documento final. 3.5 Procedimiento para la adquisición de la imagen. Actividad 4.6 Análisis de datos ocultos. Actividad 4.7 Análisis de aplicaciones y archivos. Actividad 4.8 Análisis de datos de la Red. Figura 3.3 Presentación detallada de la Metodología Propuesta [Fuente propia]. Ahora, a continuación se presentan las fases, en forma general, de la Metodología Propuesta: 44 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.2.1 Fase I. Planteamiento del Problema. FASE I FASE II FASE III FASE IV V En esta Fase, se le presenta al forense informático de una manera clara yFASEprecisa el objeto de la investigación, es decir el fin que tendrá su intervención. Para cumplir con dicho fin objetivo se sugieren llevar a cabo las siguientes actividades: Actividad 1.1 Definir adecuadamente el planteamiento del problema. Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta. 3.2.2 Fase II. Identificación detallada del material objeto de estudio. FASE I FASE II Para realizar cualquier análisis forense informático, es FASE necesario conocer III FASE IV FASE V previamente el material objeto de estudio, los datos, dónde están localizados y cómo están almacenados. Al ser un universo tan heterogéneo el de los sistemas de información donde se pueden encontrar evidencias digitales, se hace necesaria una clasificación para poder organizar las mismas. Para tal, fin se requiere llevar a cabo las siguientes actividades: Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones generales. Actividad 2.2 Evaluación del caso. 45 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.2.3 Fase III. Adquisición de evidencia. FASE I FASE II Esta es, la fase más importante y crítica de la aplicación de la metodología, puesto que FASE III FASE IV FASE V una vez que se halla comprobado el delito informático el denunciante, la empresa o institución dañada normalmente deseará llevar a un proceso judicial al atacante. Para ello es necesario poseer evidencias digitales adquiridas y preservadas de tal forma que no haya duda alguna de su verosimilitud y siempre de acuerdo a las leyes vigentes. En general, la evidencia deberá poseer las siguientes características para ser considerada como tal, de acuerdo a los criterios que requiere la autoridad competente actualmente: Adminisible. Autentica. Completa. Confiable. Creíble. Este proceso de adquisición y preservación se debe realizar tan pronto como sea posible. Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra, registrarlo, documentarlo y justificarlo, siempre que sea posible con la autoridad competente y/o testigos que puedan corroborar las acciones. Para tal fin, se requiere llevar a cabo las siguientes actividades: Actividad 3.1 Consideraciones previas. Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles. Actividad 3.3 Elaboración de la guía para la obtención de los datos no volátiles. Actividad 3.4 Plan de la investigación para la obtención de datos. Actividad 3.5 Procedimiento para la adquisición de la imagen. 46 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.2.4 Fase IV. Análisis de Datos. FASE I FASE II El concepto de evidencia digital se forma (normalmente) por el contenido de los archivos FASE III FASE IV FASE V (datos) y la información sobre los archivos (metadatos). La evidencia almacenada debe ser analizada para extraer la información relevante (relacionada con la investigación) y recrear la cadena de eventos sucedidos. El análisis requiere un conocimiento profundo de lo que se está buscando y como obtenerlo. Hay que asegurarse que la persona que analiza la evidencia está totalmente cualificada para ello. Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos móviles, etc.). Además, en función del tipo de delito (fraude, pornografía infantil, drogas, etc.) se deberán analizar unos tipos de evidencias y en un determinado orden (el orden permitirá al investigador forense llegar lo antes posible y de la forma más precisa a las evidencias digitales para llegar a resolver el delito informático). Para tal fin, se requiere llevar a cabo las siguientes actividades: Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio. Actividad 4.2 Extracción de evidencia. Actividad 4.3 Extracción lógica de evidencia. Actividad 4.4 Análisis de los datos extraídos. Actividad 4.5 Análisis de tiempo de los eventos. Actividad 4.6 Análisis de datos ocultos. Actividad 4.7 Análisis de aplicaciones y archivos. Actividad 4.8 Análisis de datos de la Red. 47 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.2.5 Fase V. Presentación de Resultados Obtenidos. FASE I FASE II Basándose en las fases anteriores, en toda la documentación disponible del caso y FASE III FASE IV FASE V apoyándose también en la cadena de custodia (conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en un proceso judicial), la presentación y/o sustentación del Dictamen Pericial es la fase de comunicar el significado de la evidencia digital, los hechos, sus conclusiones y justificar el procedimiento empleado. El propósito de la presentación del Dictamen Pericial en Informática Forense es proporcionar al lector toda la Información relevante de las evidencias de forma clara, concisa, estructurada y sin ambigüedad para hacer la tarea de asimilación de la información tan fácil como sea posible. La forma de presentación es muy importante y debe ser entendible por personas no conocedoras del tema en discusión. Es decisivo que el perito en Informática Forense presente las evidencias en un formato sencillo de entender, acompañado de explicaciones que eviten la jerga y la terminología técnica. Durante un juicio la investigación debe presentar evidencias informáticas de una manera lógica, precisa y persuasiva de forma que el juez entenderá y que el abogado de la parte opuesta no podrá contradecir. 48 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Esto requiere que las acciones del perito en Informática Forense puedan ser reconstruidas paso a paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word, PowerPoint, etc.; puede ser de gran ayuda en este punto). Si el abogado del sospechoso (o contraparte) es capaz de levantar dudas sobre la integridad de la prueba o si es capaz de demostrar que el investigador realizó algún procedimiento no sustentable, todo el Dictamen Pericial puede ser rechazado. Es importante, más allá de lo que esté escrito en el Dictamen Pericial, que el forense informático sustente correctamente ante el juez cada tarea realizada en su investigación. Para tal fin se requiere llevar a cabo las siguientes actividades: Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento final. Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente actividad, con el fin de elaborar el documento final. Ahora se describe en profundidad cada una de las fases, en cada una de las cuales se intentará ser lo más genérico posible para poder abarcar el mayor número de tipos de evidencias posibles (debido a que existen sistemas, software y hardware muy heterogéneos). 49 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Se da por hecho que el receptor de esta metodología sabrá que, dependiendo del tipo de delito informático, de los sistemas, de los componentes hardware y software involucrados en el mismo, podrá aplicar o no las distintas actividades que compongan cada Fase. Para terminar esta introducción a la metodología vale la pena comentar que siempre que sea posible los pasos deben ser dados con testigos o notarios ó en presencia de la autoridad competente con el fin de poder corroborar lo realizado por el experto forense. Una vez presentada la metodología propuesta, en forma general, a continuación se muestra en forma detallada: 50 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3 Descripción detallada de las Fases de la Metodología Propuesta. 3.3.1 Fase I. Planteamiento del Problema. FASE I FASE II 3.3.1.0 Introducción. FASE III FASE IV FASE V En esta etapa se lleva a cabo la delimitación clara y precisa del objeto de la investigación. La función del planteamiento del problema consiste entonces en revelarle al perito en Informática Forense si su proyecto de investigación es viable, dentro de sus tiempos y recursos disponibles. Por ejemplo, si se le solicita al forense informático que imprima todos los archivos contenidos en un disco duro con capacidad de un Terabyte, tal Planteamiento de Problema demandará una cantidad de recursos inconmensurables por lo que se tendrá que hacer un replanteamiento del problema y acotar para que el análisis sea viable. Plantear el problema es más bien afinar y estructurar la idea de investigación [Hernández, 1998]. El mismo debe ser verbalizado en forma clara y precisa, de manera que se pueda investigar con procedimientos científicos, cuando sea posible orientar a la autoridad competente en como plantear sus cuestionamientos ya que en muchas ocasiones estos pueden llegar a no ser del todo claros. De donde el Planteamiento del Problema es una fase que se caracteriza por ser descriptiva, analítica y objetiva. Entonces, hay que puntualizar que el perito en Informática Forense deberá ser un experto en su materia y no tendría por que conocer y/o intervenir en otras áreas del conocimiento científico (acústica, antropología, medicina, etc.), por lo que se tendrá que tener precauciones al momento de realizar el Planteamiento del Problema, esto porque al emitir un dictamen este tendrá que ser ratificado, protestado de decir verdad y defendido ante un juzgado, en el que se podría tener a un perito (de la contraparte) en una de estas áreas científicas invadidas por descuido o por desconocimiento de las penas en las que se podría incurrir por realizar alguna aseveración sin ser especialista en otra área ajena a la nuestra. 51 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En este punto bien cabe citar un ejemplo, al perito en informática forense se le solicita emitir un dictamen pericial sobre pornografía infantil, si bien por sentido común se tiene la idea de ¿que se tendrá que buscar?, lo idóneo será realizar un replanteamiento del problema estableciendo un criterio de búsqueda de archivos de imágenes y/o video conteniendo imágenes al parecer de menores de edad con desnudos de parcial a total, teniendo relaciones sexuales y/o en escenas de sexo explicito. De esta manera se evitarán futuros problemas legales ya que a un perito en Informática Forense no le compete determinar si se trata de pornografía infantil ó si es menor de edad, en su caso sería un abogado el que podría tipificar el delito o un doctor o un antropólogo el que determinaría si las personas que aparecen en los archivos de imagen y/o video corresponden a menores de edad. Otro ejemplo, para denotar la importancia del planteamiento del problema es el siguiente: en el caso de un fraude consumado por un cajero de un banco, se le podría estar solicitando al perito en informática forense que: ―Determine si la persona que responde al nombre de X, con cargo de cajero en tal sucursal bancaria fue la que realizo tales traslados de dinero de una cuenta a otra‖; un perito en informática no podría asegurar con certeza que fue tal persona, pero si podría obtener una bitácora de registros ó movimientos de la cuenta cuestionada (también se le conoce en el medio como ―log‖) y los números de empleados bancarios que realizaron tales movimientos. Ahora, a continuación, se describen las actividades de esta fase con mayor detallé: 3.3.1.1 Actividad 1.1 Definir adecuadamente el planteamiento del problema. El objetivo de esta actividad es que: el perito en Informática Forense se valdrá de su calidad de experto en la materia para definir de una manera clara y precisa el motivo de su intervención, orientando a la autoridad competente sobre cómo debe plantear su cuestionamiento, así como haciéndole saber su competencia y limites. Para ello se tendrá que hacer lo siguiente: Identificar de forma general el tipo de intervención a efectuar. 52 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Razonar la información de interés (evidencia) por parte de la autoridad competente y determinar si es competencia de la especialidad de informática ó no. Por ejemplo, se le solicita al forense informático analicé un CPU, (relacionado con la falsificación de documentos oficiales) a efecto de sustraer todos los documentos públicos y privados que se encuentran almacenados en su disco duro y determinar si son falsos. En este caso, al forense informático si le corresponde realizar la sustracción de todos los formatos con tales características especificadas pero no así el de determinar si son auténticos ó falsos, más bien esto sería tarea de la especialidad de documentoscopía y/o grafoscopía. 3.3.1.2 Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta. Es a partir de esta fase que el perito en Informática Forense: evaluará la disponibilidad de los recursos con los que cuenta y los que le serán necesarios, sean estos tangibles o intangibles como el tiempo, esto es, a partir de esta etapa se estará en posibilidades de realizar un requerimiento pericial; es decir si lo que se solícita es viable o es demasiado subjetivo, por ejemplo si lo que se solicita es ―determinar el deterioro de un software‖, se le podrá solicitar que sea más objetivo el motivo de estudio o cuestionamiento. Entonces, algunos de los recursos a evaluar dentro de esta actividad serán los siguientes: Temporales, recordar que el factor tiempo en cualquier intervención pericial dentro de un proceso legal es de suma importancia. Humanos, toda vez que habrá ocasiones en las que se requiera la intervención de más de un especialista trabajando en el caso objeto de estudio. 53 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Materiales, este punto hace referencia al Hardware que necesite el especialista forense informático, que por lo general siempre será diferente y acorde al caso bajo estudio. Organizacionales, este recurso cobra relevancia en intervenciones, en donde se requiera un alto nivel organizacional, por ejemplo cuando es necesario realizar varias visitas, a una determinada empresa en un horario definido, con el fin de realizar un análisis a determinados equipos, que por necesidades de la empresa no puedan salir de la misma ni ser apagados. Ahora, se presenta la Fase II, de la presente metodología, la cual tiene como fin principal, el llevar a cabo la identificación del material objeto de estudio, el conocer los datos, donde están localizados y cómo están almacenados: 54 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2 Fase II. Identificación detallada del material objeto de estudio. 3.3.2.0 Introducción. FASE I FASE II FASE III FASE IV FASE V En esta fase, se realiza la identificación de la evidencia, determinando entre otras cosas el tipo de información que está disponible, así mismo se determina como puede llevarse de forma segura y finalmente determina que forma parte de la evidencia. Entre las diligencias urgentes, ocupa el primer plano la realización de la inspección ocular a cargo de la autoridad competente u órgano investigador, para estar en condiciones de documentar, todo cuanto le corresponde, disponiendo como primera medida que no haya alteración alguna de todo cuanto se relaciona con el objeto del acto ilícito y el estado del lugar donde se cometió. Una vez que la autoridad competente ha adoptado todas las medidas adecuadas para que no se altere nada relacionado con el objeto del crimen y el estado del lugar donde se cometió, debe arbitrar los medios para facilitar la inmediata intervención del equipo de sus auxiliares directos (peritos, policía judicial, policía preventiva, servicio médico forense etc.), para que sean ellos los primeros en visitar la escena del delito en procurar de los indicios que les suministraron "los testigos mudos", tendientes a constatar que realmente se ha cometido un hecho considerado delictuoso por la legislación penal vigente y todo aquello que conduzca a la positiva identificación de su autor o autores. Ese equipo de auxiliares del órgano investigador no actúa en forma indiscriminada, sino siguiendo un ordenamiento, que permita su actuación ponderable y eficaz para alcanzar el mejor de los resultados. A continuación, se hace referencia al orden de expertos que intervendrán bajo un hipotético casó (posterior a su denuncia), en que esté involucrado un medio informático. El orden será el siguiente: 55 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Perito Fotógrafo: Para documentar fidedignamente todo cuanto se relaciona con el lugar de los hechos y sus adyacencias, antes de que se toque o remueva nada; porque de lo contrario, difícilmente se podrán de acuerdo el personal interviniente para determinar que lugar ocupa cada cosa removida antes de su documentación fotográfica total o en detalle. Perito Criminalista: Dentro de sus funciones está la de intervenir para tomar por si y verificar todas las medidas que le permitan confeccionar con exactitud y fidelidad los diversos croquis que, completándose con la fotografía, brindaran a la autoridad competente y a las partes, todo cuanto sea de utilidad para alcanzar la verdad en el proceso penal. Perito en Dactiloscopia: para examinar todos los objetos o lugares idóneos para captar y preservar las impresiones dactilares producidas por las crestas papilares que se localizan en los pulpejos de los dedos de las manos, con el fin de identificar científicamente a una persona. Es conveniente enfatizar que estas impresiones dactilares fueron posiblemente dejadas por el delincuente y que conducirán a establecer su identidad por medios directos. Posterior a estas intervenciones entraría en escena el perito en Informática forense, si el caso involucra computadoras. En el caso de la realización de tomas fotográficas este podrá solicitar todas las que el crea conveniente. Satisfechas las tareas preliminares el perito en Informática Forense procederá a identificar los elementos que necesita para su caso (elementos de estudio). Recordar, que sin pruebas realmente lo que se tiene no es más que una opinión. Cada caso es diferente, así que es probable que se necesiten diferentes tipos de pruebas para cada caso. Saber la clase de evidencia que se necesita es una parte integral de una exitosa investigación (cartera de clientes, datos que se almacenan en una banda magnética de una tarjeta plástica o bancaria, etc.). Una premisa esencial es tomar todo lo necesario. Desafortunadamente, existen cuestiones legales y logísticas relacionadas con este enfoque. El perito en Informática Forense, debe ser muy cauteloso en el ejercicio de sus funciones, por cuanto la extralimitación en el encargo pericial puede traducirse fácilmente en un delito electrónico. 56 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Apegarse estrictamente a la cadena de custodia, directrices así como etiquetar todo tal y como sea removido, conexiones etc. Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar. La Figura anterior, muestra a manera de ilustración la variedad en cuanto a soportes para almacenar información. Ahora, en la Figura 3.5, se ilustra con un posible ejemplo cómo se identifica al material objeto de estudio: 57 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 3.5 Ejemplo en el que se presenta, la forma en que se identifica un posible material objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o Documento Final. Los hechos que rodean el objetivo de la investigación determinarán el método a utilizar, las cuales se podrán justificar dentro del Dictamen pericial y/o informe en un apartado de ―Consideraciones Técnicas‖. Cuando se accede al lugar de los hechos o donde presuntamente se haya cometido algún delito, se deberá mirar todo cuidadosamente, partiendo del hecho de que ya, se hallan fijado los elementos de interés así como del visto bueno de la autoridad competente, solo así y haciendo uso de guantes de látex (para preservar toda impresión dactilar, que no se halla tomado), se estará en condiciones para tomar algún objeto, con el fin de recabar algún dato relevante tal como: el número de serie del equipo de computo, modelo etc. 58 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Considerar que el lugar de los hechos se clasifican en tres tipos; de acuerdo con sus condiciones y características pueden ser: lugares cerrados, lugares abiertos y mixtos. Siempre documentar el lugar de los hechos con tomas fotográficas, a este proceso se le llama fijación (Figura 3.7). No debe olvidarse que las buenas intenciones no sustituyen a la experiencia y al adiestramiento. La fotografía adecuada en este tipo de trabajo requiere la intervención de un experto provisto de un equipo adecuado. Es preferible esperar una o varias horas y lograr su cooperación a confiar en un aficionado. El registró y documentación fotográfica de una escena del delito y sus adyacencias, debe hacerse cubriendo las mismas etapas señaladas al hablar de los procedimientos escritos. Tal operación debe llevarse a cabo desde afuera hacia adentro y en sentido de las agujas del reloj, en forma piramidal, tratando de documentar todas las etapas cubiertas por el delincuente. Realizar dibujos, croquis o bocetos de conexiones, y escritos haciendo descripciones de lo que se vea (por ejemplo si un equipo se encuentra en tal recámara o área de estudio, apagado o encendido si es esto último que programas se están ejecutando o cuales archivos fueron los más recientes etc.), de igual manera se tendrá que tener en cuenta alguna nota al lado del teclado o cercano al equipo de computo donde posiblemente exista información relacionada con la investigación ó contraseñas. 59 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 3.6 Imagen en la que se presenta a manera de ilustración, un posible lugar de los hechos. Las notas que se tomaron y fotografías (de preferencia con una cámara réflex o si es digital del archivo o archivos se deberán obtener su ―hash‖ (En informática, Hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc.)) o dibujos, juntos forman la primera encuesta sobre el sitio. Conforme avance la investigación esta información recabada nos dará más pistas sobre donde poder buscar más evidencias, por ejemplo el mouse se encontró en posición para zurdos, hora en el sistema bajo estudio, hora en la que se efectúo la diligencia etc. 60 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de un equipo de cómputo a analizar. De lo expuesto con antelación se puede colegir que la presente fase permite tener un panorama general del caso a investigar; por lo que se deben de realizar las acciones que a continuación reafirmo, presentándolas de forma desglosada y sistematizada para una mejor apreciación: 61 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.1 Actividad 2.1 Aseguramiento del material motivo de estudio y consideraciones generales. La presente actividad se refiere a que todo material que sea considerado como evidencia y por ende para un posible análisis deberá resguardarse adecuadamente bajo las mas estrictas medidas de seguridad. 3.3.2.1.1 SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos afectados. El objetivo principal de esta actividad es evitar que la evidencia original sea alterada por las personas que intervienen en el lugar de los hechos o bien ajenas a esta. Figura 3.8 Se debe restringir el acceso al lugar de los hechos. 62 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.1.2 SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido y reconstruir los hechos. Para tal fin es imprescindible estudiar el lugar del hecho así como la recolección de todos los indicios, lo cual es materialmente imposible cuando el sitio del suceso no ha sido protegido y conservado adecuadamente, por lo que se deberá restringir el acceso al lugar de los hechos, tanto de personas, como de acceso a otros equipos con el mismo fin que el anterior. 3.3.2.1.3 SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada (huella dactilar latente). Lo cual será útil para facilitar la identificación del supuesto sospechoso o sospechosos. Razón por la cual es recomendable el uso de guantes de látex, con el fin de evitar contaminar los equipos o dispositivos a ser investigados. 3.3.2.1.4 SubActividad 2.1.4 Emplear brazaletes antiestáticos. Esto con el fin de evitar alterar la evidencia por cargas electrostáticas de aquellas personas que manipulen los equipos o dispositivos. Así mismo será conveniente el contar con bolsas antiestáticas para un adecuado y seguro embalaje de la evidencia. 3.3.2.1.5 SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su impacto. Esto con el fin de proveerle a la autoridad competente de una idea general de lo acontecido y tratar de determinar el tipo de incidente suscitado de acuerdo a la experiencia del investigador en informática forense, de esta manera el titular de la investigación podrá determinar el giro que tome la misma. 63 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.1.6 SubActividad 2.1.6 Considerar todos los componentes que pueden estar relacionados de alguna forma con la computadora y/o elemento cuestionado. Se deben considerar todos los elementos relacionados con la especialidad (en el caso particular Informática), y que forman parte de la cadena de eventos que conducen al hecho denunciado, ya que con la conjunción de todo el equipo involucrado, se incrementa el área para realizar la investigación (mayor información aportada al titular de la investigación) y proporcionar más evidencias durante el caso a investigar. 3.3.2.1.7 SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos relacionados a las fuentes, incluyendo factores humanos y electrónicos. Con la aplicación de esta actividad se estará en posibilidad de identificar el área probable donde se pudo haber presentado el incidente y dar una respuesta acertada a lo ocurrido. De igual modo se le dará una idea al titular de la investigación del tiempo que requiere el análisis que está solicitando. 3.3.2.1.8 SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades científicas, técnicas o temporales ante el caso expuesto. De esta forma se podrá evitar que la evidencia se altere por el mal manejo de está (por ejemplo si no se cuenta con material adecuado para respaldar la información), así como el de obtener resultados poco confiables o no tenerlos en tiempo y forma, considerando que muchas veces se contará con sospechosos detenidos relacionados con los hechos que se investigan. 3.3.2.1.9 SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la información y acceso a la misma, por ejemplo la determinación del origen de un correo electrónico estará supeditado a la información proporcionada por el proveedor de servicios de Internet), alcance y objetivos necesarios para realizar la investigación. 64 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Al desarrollar esta actividad se podrá determinar, si se estará en posibilidades de poder desahogar, todos y cada uno de los puntos requeridos por la autoridad competente. 3.3.2.1.10 SubActividad 2.1.10 Contar con un laboratorio de informática forense que permita realizar el proceso de obtención y análisis. Esto con la intención de dar un alto valor a la evidencia digital entregada en lo que se refiere a su manejo y custodia, es recomendable tener un área de acceso restringido con caja fuerte para el resguardo del material motivo de estudio. Debe considerarse, además, que la información digital es sensible a la temperatura, y en algunos casos a los campos electromagnéticos. 3.3.2.1.11 SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la intervención pericial en Informática Forense, (sea ésta por parte de la autoridad competente o del dueño del equipo cuestionado, Investigación de equipos). Teniéndose presente, el principio de secrecía dentro de toda la investigación. 3.3.2.1.12 SubActividad 2.1.12 Documentar todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. Esto determinará el curso de acción a seguir en la Investigación. Se deberá anotar la fecha, la hora exacta en que se recibió la llamada solicitando la intervención pericial en informática, medio por el cual se recibió la llamada. Al llegar al lugar de los hechos se deberá anotar: la hora exacta de llegada, la dirección correcta, nombre de la autoridad que encabeza la investigación y la persona que le pone a la vista el equipo cuestionado. 65 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.1.13 SubActividad 2.1.13 Organizar y definir el equipo de Investigación. Establecer límites, funciones y responsabilidades (por ejemplo en el caso de cuentas de correo electrónico, contar con un oficio emitido por la autoridad competente en la que se autorice la intervención a las comunicaciones privadas, especificando periodos de tiempo para la abertura de mensajes de correo electrónico), en algunos casos será indispensable que de fe la autoridad competente (esto es que la autoridad se encuentre presente y que tal acción obre en el expediente), para validar el análisis efectuado. 3.3.2.1.14 SubActividad 2.1.14 Realizar una Investigación preliminar. Esta misma que se podrá incluir en el Dictamen en Informática en un apartado como Antecedentes (documentar) que le permita describir la situación actual, si se realizo un traslado a un lugar, que persona lo atendió, quien le puso a la vista el equipo, hechos, las partes afectadas, posibles causantes, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación. 3.3.2.1.15 SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de clientes, financieros, comerciales, de Investigación y desarrollo, etc.) 3.3.2.1.16 SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la investigación del Incidente. Esto cobra relevancia en los casos en donde el incidente afecta a empresas las cuales sufren de tiempos de inactividad ó sufren la perdida de información confidencial. De igual manera resulta importante el determinar el posible costo de un equipo afectado o dañado, así como las perdidas en ingresos y/o costos de recuperación. 66 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.1.17 SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches, etc.). 3.3.2.1.18 SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos informáticos. Tales dispositivos de almacenamiento pueden ser: Discos Duros, Pen drive, memorias, tarjetas ―Flash‖, ―Zip Disk‖, Discos Ópticos CDs y DVDs, ―Disquettes‖, etc., que se consideren comprometidos o cuestionados y sean determinados como evidencia, su marca, modelo, características, seriales, etc.; así como fijarlos fotográficamente. 3.3.2.1.19 SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas vivos (análisis en vivo), para no perder la continuidad en producción de los equipos y su uso en las instalaciones, evitando la perdida de los datos volátiles. Es decir, se procederá de acuerdo al criterio del forense informático acorde a las circunstancias, por ejemplo cuando se trabaje en una Terminal bancaria en donde no se pueden interrumpir los procesos que se encuentren ejecutándose. 3.3.2.1.20 SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan relación con la investigación ó que pudieran aportar mayor información. En este punto bien cabe la posibilidad de efectuar entrevistas, ya sea con usuarios o administradores responsables de los sistemas (administradores de red o de servidores de correo), documentar todo y tratar de lograr un conocimiento total de la situación. 67 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.1.21 SubActividad 2.1.21 Realizar una recuperación de los ―logs‖ de los equipos de comunicación y dispositivos de red, involucrados en la topología de la red. 3.3.2.1.22 SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién es el primero que tiene la evidencia? 3.3.2.1.23 SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por ejemplo la policía cibernética). 3.3.2.1.24 SubActividad 2.1.24 Responder a las preguntas: ¿Quién va a tener custodia de la evidencia? y ¿Por cuánto tiempo la tendrá? Documentar a detalle tal acción. 3.3.2.1.25 SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló y/o almacenó la evidencia? Documentar de manera detallada. 3.3.2.1.26 SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio de custodia? y ¿Cómo se realiza la transferencia? Documentar turno, personal y área jurisdiccional (por ejemplo Delegación). 68 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.2 Actividad 2.2 Efectuar la evaluación del caso. Aquí el perito en Informática forense valúa la información por su valor como evidencia. 3.3.2.2.1 SubActividad 2.2.1 Situar el status del caso que el perito en Informática Forense investigará. Aquí se determina qué sentido tomará la investigación, definiéndose si es simplemente la violación de una política, normas, lineamientos o bien se trate de un delito. 3.3.2.2.2. SubActividad 2.2.2 Conocer detalles sobre el caso. El investigador forense antes de llegar a la escena del delito donde se presento el incidente, debe conocer la mayor cantidad de detalles, tanto del área, equipos, personal, sistemas operativos que se manejan (plataforma), dispositivos, etc., para saber ante que se encontrará y acudir con la herramienta y software necesario para la investigación. 3.3.2.2.3 SubActividad 2.2.3 Definir el tipo de evidencia a manejar. Se refiere al tipo de dispositivo o equipo a investigar, por ejemplo: CD, DVD, disco duro, USB, computadoras, por ejemplo hacer la diferencia entre un chip y una micro memoria para equipo fotográfico, etc. Elementos que podrían estar relacionados de alguna forma con los hechos a investigar. 3.3.2.2.4 SubActividad 2.2.4 Evaluar de manera inicial respecto al caso. Ésto se refiere a que los forenses informáticos, deben hacer preguntas a las personas relacionadas con el caso, a los administradores de red y a los encargados de seguridad para posteriormente documentar las respuestas obtenidas y relacionarlas o vincularlas con el incidente. Por ejemplo si para la realización de una acción determinada basta con una cuenta de usuario o se tienen otros candados u otras cuentas para autorizar tal acción. 69 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.2.5 SubActividad 2.2.5 Rastrear fuentes de información en la estructura organizacional. • Perfiles de usuario. • Investigación en progreso de un determinado lugar o un análisis nuevo. Se deben de verificar las políticas de uso de equipos o dispositivos de cómputo así como manuales operativos, para determinar los perfiles de usuarios y verificar que pueden o no hacer, así como también, ver quiénes pueden acceder al sistema de manera remota, y con esto delimitar el área de investigación o determinar otra área para llevarla a cabo. Lo anterior, se ve claramente en los casos de fraude por desvió de fondos relacionados con sucursales bancarias en donde para realizar tales movimientos financieros (traslados de dinero de una cuenta a otra ilícitamente por un empleado del banco) en las cuentas de los clientes es indispensable que más de una cuenta autorizada para dicho fin intervenga es decir que para realizar tal acción y por citar un ejemplo se requerirá la cuenta de un cajero un supervisor, un subgerente y si el monto lo amerita hasta del gerente. 3.3.2.2.6 SubActividad 2.2.6 Ubicar, ¿Cuáles son las fuentes de información? •Localización lógica o física de la evidencia. El perito en Informática Forense puede hacer uso de alguna herramienta grafica, ejemplo: un administrador de archivos (previa utilización de un bloqueador de escritura, para no alterar los metadatos de los archivos), un visualizador de archivos, etc. usados normalmente en una computadora, un análisis físico desde el punto de vista forense es puramente físico, en este no se considera el sistema de archivos per se. Se debe de determinar donde se ubica la evidencia que se está buscando, por ejemplo si fue cometido el delito por la extracción de información al acceder de manera indebida un dispositivo de almacenamiento masivo y extraer información confidencial. 70 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En este punto bien cabe señalar que el perito en Informática Forense cuenta con una amplia variedad de software del tipo ―Open Source‖ (gratis); esto gracias a que la comunidad de Internet ha ido desarrollando gran cantidad de herramientas, que pueden equipararse (si no por separado, si de forma conjunta) a las herramientas comerciales, con unos costes por licencia al alcance de muy pocos, algunos programas establecidos por el tipo de licencia GPL (―General Public License‖) son: The Coroner‘s Toolkit. The Sleuth Kit / Autopsy. Foundstone Forensic Toolkit. FLAG – Forensic and Log Analysis GUI. Foremost. Para ver la imagen desde la perspectiva del sistema de archivos se requiere del uso de un editor hexadecimal y similares herramientas. Por ejemplo, para ver y analizar la firma de una aplicación computacional se hará uso de un procedimiento automatizado para la identificación de las posibles evidencias. Una firma de archivo es un encabezado o un pie de página (o ambos) en un archivo que indica la aplicación asociada con un archivo típico, es decir, el "tipo" de archivo. Lo anterior, se muestra haciendo uso de un editor hexadecimal (WinHex) con el fin de hacer un análisis de la firma de las siguientes aplicaciones, en este caso un documento de Word, un archivo grafico JPG y un archivo de Adobe Acrobat. Las firmas (en hexadecimal) son: 25h 50h 44h 46h, para Adobe Acrobat Reader files (PDF). FFh D8h FFh, para JPEG archivo de formato gráfico; y D0h CFh 11h E0h A1h B1h 1Ah E1h, para archivos de Microsoft Office. 71 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo generó, para tres archivos. Las firmas de archivos son útiles para evaluar si un sujeto está tratando de "ocultar archivos‖, en un plano oculto cambiando las extensiones de archivo. Por ejemplo, renombrar un gráfico desnudo.jpg a tareas.doc puede ser eficaz para darle clandestinidad a un archivo ante los curiosos, aunque ingenuo a los ojos de un perito en informática. 72 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.2.7 SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas, como de aquellas que se encuentran almacenadas de manera lógica. Se realiza para delimitar el área de búsqueda. 3.3.2.2.8 SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso. En este paso se prepara un resumen general para hacer la investigación de manera acotada, (en condiciones de cierta premura podría servir como un avance de Dictamen Pericial (un Dictamen con muy poco tiempo a disposición del investigador)). 3.3.2.2.9 SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y grabaciones de diferentes ángulos en el área del lugar de los hechos antes de la recolección de la evidencia. Esta acción se hace para verificar en ellas si algo no fue considerado durante la intervención pericial y además es de utilidad como evidencia de lo encontrado. 3.3.2.2.10 SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, ―mouse‖, impresora, escáner, etc.), que se encuentran en el lugar de los hechos. Ayuda a mantener una correlación de eventos y proporciona mayor oportunidad de encontrar la evidencia. 3.3.2.2.11 SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo motivo de estudio. Esto servirá para demostrar cómo se encontró el equipo a ser investigado. 73 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.2.12 SubActividad 2.2.12 Documentar la información observable. Debe de anotarse de manera estructurada la información observable por parte del perito en informática forense, con la intención de hilar ideas y escribir en el Dictamen pericial lo observado desde el inicio del proceso de la investigación. 3.3.2.2.13 SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado. Ayuda a determinar los pasos a seguir para la etapa de obtención. 3.3.2.2.14 SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del dispositivo del cual se obtendrá la información. Ayuda a determinar la estructura de archivos y permite definir el tipo de software a utilizar. 3.3.2.2.15 SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la hora en la que se dio inicio a la investigación. Por ejemplo si se trata de mensajes de correos electrónico checar la zona horaria, está información cobra relevancia en los casos de algún cateo ó en el caso en el que se discute la fecha de creación de un archivo. 3.3.2.2.16 SubActividad 2.2.16 Interrumpir las conexiones de la red de cómputo. Se lleva a la práctica para evitar que alguien de manera remota altere la evidencia. 74 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.2.2.17 SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma periódica. Lo anterior, siempre y cuando el investigador acceda a la escena del delito y el equipo de cómputo cuestionado se encuentre encendido. Considerar que algunos equipos cuentan con contraseña en el protector de pantalla por lo que será necesario realizar movimientos de Mouse a efecto de fijar la pantalla que se encuentra activa, así como programas ejecutados y archivos abiertos, en la etapa de adquisición se describirá el orden de obtención de información volátil. 3.3.2.2.19 SubActividad 2.2.18 Preparar un diseño detallado. • Ajuste a nivel detallado de las necesidades actuales. • Consideración de la preparación del tiempo estimado, y los recursos requeridos para completar cada caso. 3.3.2.2.21 SubActividad 2.2.19 Determinación de recursos requeridos para la investigación con respecto al hardware, software y herramientas de informática forense. 3.3.2.2.22 SubActividad 2.2.20 Marco legal relacionado al incidente • Detalles generales a nivel internacional • Detalles generales del fuero federal • Detalles generales del fuero común Este punto es muy importante, ya que deben considerarse antes de proceder con la obtención de información y ver a qué delito corresponde, así como si es del fuero común o federal. 75 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Recordando que uno de los mayores inconvenientes que presentan los delitos informáticos es la frecuente extraterritorialidad que traen aparejados, ya que los delitos pueden ser cometidos por una persona que se encuentra físicamente en un país y los efectos pueden producirse en otro, instalando interrogantes sobre la autoridad competente para juzgar dichos delitos. 3.3.2.2.23 SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la investigación, previa información obtenida. Una vez asegurado el lugar de los hechos y obtenida la información relacionada al incidente, se prepara el procedimiento a seguir para la obtención de información, cuyo propósito es poder reconstruir los eventos realizados durante la etapa de adquisición, por lo que se requiere que éste sea documentado en cada uno de los pasos a seguir. 3.3.2.2.24 SubActividad 2.2.22 Corroborar diseño de investigación. Se hace con el propósito de verificar que los pasos decididos son correctos, acordes y justificados con la situación del incidente. 3.3.2.2.25 SubActividad 2.2.23 Identificar el riesgo implicado. Se orienta a que el forense informático debe documentar los problemas que espera encontrarse o que obliga a que puedan ocurrir, se podrá incluir en el correspondiente dictamen un apartado de consideraciones técnicas. 76 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Por ejemplo; cuando el material motivo de estudio es una cuenta de correo electrónico gratuita (previa autorización del propietario de la cuenta), conviene informar dentro del Dictamen Pericial que en la creación de la misma no se contó con ninguna medida de autenticación, con respecto a los datos del creador de dicha cuenta de correo electrónico, así mismo se deberá informar, que todo aquel que conozca el nombre de usuario y contraseña podrá ingresar a la misma y por ende modificarla; por último, se deberá poner del conocimiento a la autoridad competente que tales cuentas de correo electrónico gratuitas, pierden su vigencia si no se consultan periódicamente, es decir desaparecen. El producto final de esta fase, debe proporcionarle a la peritación que se está llevando a cabo, la información que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final. 77 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.3 Fase III. Adquisición de Evidencia. FASE I FASE II 3.3.3.0 Introducción. FASE III FASE IV FASE V En esta Fase se procede a adquirir la evidencia sin alterarla o dañarla, se autentica que la información de la evidencia sea igual a la original. Aquí se juega un papel muy importante durante el proceso legal de la informática forense, en la que se mantiene la integridad de la evidencia obtenida y se establece la cadena de custodia para demostrar el manejo que le fue dado a la evidencia digital por parte del forense informático que realiza la investigación. Se deberán definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación. 3.3.3.1 Actividad 3.1 Efectuar consideraciones previas. De no contar con lo necesario para conservar intacta la información digital y/o desahogar el estudio requerido (por ejemplo: si el perito en informática forense requiere para emitir su Dictamen, el acceso a algún equipo ó base datos, se le deberá permitir el mismo), informarlo a la autoridad competente, suspendiendo por el momento el estudio requerido. Se tendrá que tener especial cuidado en las implicaciones legales al intervenir y obtener información de un medio electrónico (el Ministerio Público tendrá que dar fe del análisis), así como el de no alterar los metadatos de la información almacenada. 3.3.3.1.1 SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que se presentan previas a la adquisición de la evidencia. • Implicaciones legales de la adquisición de datos, (metodología aplicada en la obtención de información, para su debida legalidad y autenticidad). 78 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. • Documentar la cadena de custodia. El perito en Informática Forense, después de haber cubierto la etapa de identificación, debe tomar en cuenta estas consideraciones para mantener la cadena de custodia y estar en posibilidades de garantizar la individualización, seguridad y preservación de los elementos materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad para los efectos del proceso. 3.3.3.1.2 SubActividad 3.1.2 Requisitar por escrito la autorización, para realizar el análisis forense en informática. Este punto es recomendable que se tenga resuelto ya sea antes de proceder con la obtención de la imagen forense o bien antes de empezar con el análisis en vivo sobre el dispositivo informático cuestionado. 3.3.3.1.3 SubActividad 3.1.3 Documentar la configuración y características del hardware del sistema. Esta SubActividad tiene como fin el de lograr la plena identificación del material objeto de estudio, evitando con ésto que se dude de la autenticidad de un equipo, dichas características deben de anotarse dentro del formato u oficio de la cadena de custodia. 3.3.3.1.4 SubActividad 3.1.4 Elaborar el plan de adquisición de la evidencia digital. • Información adquirida a través de tomas fotográficas. • Información obtenida durante la intervención del perito en informática forense e investigación en curso. 79 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En esta Fase se considera la metodología (métodos y/o técnicas), con la que se llevará a cabo la adquisición de datos, identificando que es lo más conveniente de acuerdo a las características del incidente, priorizando la obtención de datos volátiles del dispositivo y posteriormente aquellos que no lo son. 3.3.3.2 Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles. Cuando se realiza la recolección de evidencia, se debe proceder de lo volátil a lo menos volátil. Si el equipo se encontró encendido no apagarlo hasta que este completa la obtención de la evidencia. Por otro lado mucha información podría perderse si se enciende el equipo, considerando que el atacante halla modificado el proceso de inicio/apagado con algún ―Script‖ (código que se ejecuta cuando se enciende o apaga la maquina), para destruir la evidencia. A continuación se enumeran de acuerdo a su volatilidad, los elementos a considerar para la obtención de evidencia: 1. Registros, ―cache‖ (es una parte de la memoria de la memoria principal que se puede utilizar como buffer (En informática, un ―buffer‖ de datos es una ubicación de la memoria en una computadora o en un instrumento digital reservada para el almacenamiento temporal de información digital, mientras que está esperando ser procesada)para guardar temporalmente los datos transferidos con el disco). 2. Tabla de procesos, estadísticas del kernel (En informática, un núcleo o kernel es un software que actúa de sistema operativo). 80 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3. Tablas de ruteo. Para mostrar la tabla de enrutamiento IP en equipos que ejecutan sistemas operativos Windows Server 2003, puede escribir ―route print” (comando que se ejecuta) en el símbolo del sistema. También puede examinarse la tabla de ruteo de una máquina con el comando netstat. La opción -r del mismo muestra la tabla de ruteo (la opción -n es para no convertir números en nombres). 4. ―Cache ARP‖ (del inglés ―ADDRESS RESOLUTION PROTOCOL‖, tabla donde se almacenan las direcciones IP de internet, ARP convierte un protocolo de Internet (IP) a su dirección física de red correspondiente). 5. Sesiones abiertas. 6. Configuración de la red. 7. Memoria RAM (RAM son las siglas en ingles de ―random access memory‖, un tipo de memoria de computadora a la que se puede acceder aleatoriamente; es decir, se puede acceder a cualquier byte de memoria sin acceder a los bytes precedentes. La memoria RAM es el tipo de memoria más común en computadoras y otros dispositivos como impresoras). 8. Directorios temporales del sistema. 9. Estado de la red. 10. Directorios abiertos. 11. Archivos abiertos. 81 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 12. Configuración física, topología de red. 13. Disco. Tomándose como base las condiciones presentes del equipo o dispositivos a ser analizados, se prepara la guía que determinará cuál será la fuente inicial de obtención de información, misma que tratará de no ser alterada por el perito en Informática Forense y debe considerar además, que ésta puede variar de un momento a otro por los procesos que se están ejecutando dentro del equipo o dispositivo. El orden que debe seguirse es de lo más volátil a lo menos volátil. Cabe señalar que al momento de obtener evidencia de medios magnéticos tales como discos duros, será indispensable el uso de bloqueadores de escritura con el fin de preservar y no alterar la evidencia. Esto puede observarse cuando se accede a un archivo y se modifican sus metadatos tales como la fecha de modificación. 3.3.3.3 Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles. A continuación se enumeran algunos de los elementos a considerar para la obtención de evidencia, los cuales por sus características no se consideran volátiles: 1. CPU,monitor, teclado. 7. Discos duros, disquetes, CD y DVD. 8. Memorias Usb. 9. Impresora y escáner. 10. Tarjetas de red, módems, routers, hubs, switch etc. 82 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. El perito en Informática Forense debe seleccionar cuales serán las fuentes de información con las que iniciará la investigación, dando prioridad a aquellos que considere de mayor relevancia. 3.3.3.4 Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos. 1. Descubrir datos relevantes. • No obtener información innecesaria. 2. Encontrar la evidencia. Este plan consiste en descartar la información no relacionada con el incidente para acotar la búsqueda de la evidencia. 3.3.3.5 Actividad 3.5 Crear el procedimiento para la adquisición de la imagen. De acuerdo al soporte donde se encuentre almacenada la información se deberá establecer el mecanismo (es decir software y tamaño de archivos generados por este), para la obtención de su respectiva imagen forense (copia bit a bit), si es necesario calcular el Hash de la imagen adquirida. 3.3.3.5.1 SubActividad 3.3.1 Crear una copia física exacta de la evidencia. Documentar el proceso de obtención de la imagen forense. Para la obtención de la imagen forense de un disco duro por ejemplo se podrá hacer uso del programa: Forensic Toolkit (FTK) de AccessData (este programa realiza imágenes de originales como parte de su funcionalidad) [http://www.accessdata.com/], el cual en su portal de Internet permite bajar una versión demo o bien hacer uso de software ―Open Source‖ para tal efecto. 83 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En muchos casos resulta impracticable realizar copias de la evidencia original por impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán extremar las precauciones durante la investigación, siempre aplicando técnicas de análisis de datos no-invasivas y utilizando todas las herramientas forenses (bloqueador de escritura) que estén al alcance, a fin de no alterar la evidencia. Éste paso es indispensable hacerlo de manera detallada, ya que forma parte del documento final que tiene como objetivo el análisis y es un elemento esencial para reconstruir el desarrollo del estudio técnico. 3.3.3.5.2 SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los cuales se obtendrá la imagen forense (copias bit a bit). Si existe diferentes dispositivos a los cuales se les obtendrá la imagen se deben etiquetar correctamente a fin de no cometer errores en el manejo y custodia. 3.3.3.5.3 SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura. Es indispensable contar con este tipo protección para no alterar la evidencia original y mantener su integridad, desde el inicio de la investigación. 3.3.3.5.4 SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el ―Hash‖ por medio de los algoritmos MD5 ó SHA-1. Este procedimiento nos permitirá corroborar que la imagen forense obtenida es una copia duplicada bit a bit de la evidencia original. Este valor será guardado en un archivo de preferencia de texto plano .txt para presentarlo si es requerido. 84 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Entonces lo anterior se traduce a que se verificara la integridad de nuestra evidencia con el cálculo del hash al disco original y de la imagen forense. Si los hashes son los mismos, entonces podemos asegurar que la copia hecha es un duplicado bit a bit de la evidencia original. Ejemplo de valor ―Hash‖: 04c09fa404ac7611b20a1acc28e7546c 3.3.3.5.5 SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen forense, hasta su creación, verificación de la imagen forense y su respectivo respaldo, para evitar que esta sea alterada de manera intencional. 3.3.3.5.6 SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen. Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o limpiar esté medio de destino en la computadora forense. Una limpieza forense remueve cualquier vestigio o contenido previo en el disco duro, asegurando que el abogado de la defensa no pueda pretender argumentar que cualquiera de las pruebas obtenidas corresponde a contenidos anteriores en el disco, causado por la mezcla de la evidencia. Una limpieza forense es diferente a formatear un disco duro. Una limpieza forense puede lograrse con el comando dd (linux): # dd if=/dev/zero of=/dev/hdb1 bs=2048 La instrucción /dev/zero provee tantos caracteres null (caracteres nulos), (ASCII NUL, 0x00; no el carácter ASCII "0", 0x30) como se lean desde él. 85 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. El dispositivo lógico / dev / zero es una fuente infinita de ceros. Debido a que hemos especificado nuestra salida a / dev/hdb1 escribirá una serie de ceros a cada sector de la primera partición del segundo disco duro IDE. El argumento de BS especifica que dd debe leer en bloques de 2048 bytes, reemplazando el valor predeterminado de 512 bytes. Podemos comprobar que el procedimiento fue realizado con éxito utilizando el comando grep. # grep –v ‗0‘ /dev/hdb1 ―Grep‖ es una utilidad que realiza búsquedas de palabras clave dentro de archivos. Estamos buscando la cadena "0" en el dispositivo lógico / dev/hdb1. El argumento -v especifica algo de una búsqueda inversa, es decir, despliega todo lo que aparece en el medio que no sea ‗0‘. Si grep encuentra algo que no es ‗0‘, se imprimirá el resultado en pantalla. 3.3.3.5.7 SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de múltiples imágenes. Si por razones de falta de medios de almacenamiento se utiliza un único dispositivo, y si fuera el caso que existieran diferentes imágenes almacenadas en un disco duro este debe ser organizado (por directorios), de manera adecuada para no confundirse en el manejo de su contenido, (tener presente que una imagen forense de un disco duro estará formada por varios archivos generados por el software forense empleado). 3.3.3.5.8 SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea utilizado para imágenes posteriores, a menos que se le aplique un procedimiento que garantice su esterilización. 86 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Esto evitará que información almacenada en un dispositivo contenedor antes utilizado contenga información que pueda desvirtuar la evidencia original. 3.3.3.5.9 SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está. 3.3.3.5.10 SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual encontrada durante la creación de la imagen por medio de algún formato (capturas de pantalla, etc.), para estar en posibilidades de hacer alguna aclaración. 3.3.3.5.11 SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y rectificar los errores de la obtención de la imagen, los cuales deberán ser documentados. 3.3.3.5.12 SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para la obtención de la imagen ó intervención sobre la evidencia requerirá de la aprobación del perito en informática forense y ser documentado, es decir que no se puede manipular la imagen sin autorización del perito en informática responsable. 3.3.3.5.13 SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la evidencia para mantener su integridad. Deben definirse claramente las acciones a seguir con el manejo de la evidencia. 3.3.3.5.14 SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición: • Manejo de imágenes forenses • Manejo de la evidencia obtenida • Conservación • Transporte 87 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de comunicaciones y en un buen contenedor para evitar que esta se dañe. Otro punto, importante para asegurar la evidencia es que se deben mantener bajo un ambiente específico de humedad y temperatura, si el ambiente es muy cálido, húmedo o frío los componentes electrónicos y medios magnéticos pueden ser dañados. Ahora, a continuación se presenta la fase IV: 88 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4 Fase IV. Análisis de Datos. FASE I 3.3.4.0 Introducción. FASE II FASE III FASE IV FASE V De manera similar a la fase anterior se deberán definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos pueda desviar la atención o sencillamente complicar el proceso de análisis de la información. Esta fase permite determinar las causas que originaron un incidente informático y debe ser documentada en todas sus partes, para reconstruir las veces que sea necesaria la forma en la que se encontró o encontraron las evidencias digitales. Es importante mencionar que está es una metodología general en la que se contemplan de manera global cada uno de los pasos que deben ser considerados durante esta fase, ya que para realizar el análisis específico de cada tipo de estructura de archivos y/o sistemas operativos, dispositivos de almacenamiento, discos compactos CD y DVD, memorias USB, etc. deben elaborarse metodologías específicas para cada uno de ellos. 3.3.4.1 Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio. Corroborar que ya se cuenta con una imagen forense, de información y/o respaldo de la misma. 3.3.4.1.1 SubActividad 4.1.1 Contar con disponibilidad de datos: Es recomendable tener a la mano las copias forenses correspondientes al material objeto de estudio con el fin de llevar a cabo su respectivo análisis. • Copias forenses: análisis y respaldos 89 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Una buena práctica a llevar a cabo es la de utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia. Así mismo, antes de iniciar con la fase de análisis, se recomienda se tenga la cantidad de copias necesarias para la realización de todas las pruebas necesarias que requiera la investigación. 3.3.4.1.2 SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño originado por él así como la naturaleza del mismo. Disponer de una estrategia de respuesta, que permita abordar el problema de manera clara y precisa. 3.3.4.1.3 SubActividad 4.1.3 Evitar lo más que se pueda el uso de la computadora si está se encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en vivo y/o post-mortem (apagado). Un análisis en vivo es aquel que utiliza el sistema operativo u otros recursos del sistema investigado para encontrar pruebas. Un análisis post-mortem es aquel que utiliza aplicaciones de confianza en un entorno seguro para encontrar pruebas, es decir es el análisis que se realiza con un equipo dedicado específicamente para fines forenses para examinar discos duros, datos o cualquier tipo de información recabada de un sistema que ha sufrido un incidente. 90 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Con un análisis en vivo es posible obtener información falsa, ya que el sistema podría estar ocultando o falsificando maliciosamente la información (utilizando algún tipo de ―rootkit‖, por ejemplo). Es importante tener presente que un ―rootkit‖ es una herramienta (algún tipo de código de programa), o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. 3.3.4.1.4 SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible. Esto es como se menciono en la actividad anterior por la posibilidad de encontrar algún programa que se ejecute al inicializarse el equipo de computo ó mas aun por la posibilidad de alterar la información almacenada en el disco duro, sobra decir que en este caso el análisis será realizado extrayendo su o sus medios de almacenamiento (de información), previa colocación de un bloqueador de escritura. 3.3.4.1.5 SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si está se encuentra encendida, y de preferencia cuando se observe algo de interés para la investigación. 3.3.4.1.6 SubActividad 4.1.6 Realizar movimientos periódicos del Mouse. Lo anterior cuando la computadora (cuestionada ó bajo estudio), se encuentre encendida (ésto mostrará la imagen en la pantalla). Después cuando la imagen aparezca, fotografiar la pantalla. 91 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.1.7 SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el investigador se apersone en el lugar de los hechos ó escena del delito y la computadora este encendida). Si la computadora es una ―laptop‖ y no se apaga cuando el cable es retirado, localizar y retirar la batería. La batería es comúnmente colocada en el fondo, y generalmente hay un botón o conmutador que permite la supresión de la batería. Una vez que la batería es retirada, no la regrese a la computadora portátil. Retirar la batería evitará encendidos involuntarios de la ―laptop‖. Lo anterior, es recomendable cuando se posee software de análisis forense y se tiene el propósito de efectuar la recuperación de datos en el espacio del disco duro llamado ―swap‖. En informática, el espacio de intercambio es una zona del disco (un archivo ó partición) que se usa para guardar las imágenes (procesos temporales) de los procesos que no han de mantenerse en memoria física (permite hacer creer a los programas que tienen más memoria (RAM) que la que disponen realmente). A este espacio se le suele llamar swap, del inglés "intercambiar", (por lo que al apagar la maquina este espacio se elimina, acompañado de su información). 3.3.4.1.8 SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que se considere aporte datos a la investigación. 3.3.4.1.9 SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda (descrito en el Planteamiento del Problema). Es decir el tipo de evidencia que se está buscando por ejemplo documentos, fotografías, nombres, cadenas de caracteres (como las usadas para las tarjetas de crédito), bases de datos, grabaciones de audio, correos electrónicos, etc. 92 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.1.10 SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado. 3.3.4.1.11 SubActividad 4.1.11 Preparar el directorio o directorios de trabajo. Con base a toda la información previa, se debe seleccionar el área de trabajo bajo la cual se iniciará el análisis, considerando el tamaño de la información a analizar. 3.3.4.1.12 SubActividad 4.1.12 Crear una estructura para directorios y archivos recuperados. Es importante llevar un estricto control al momento de recuperar información, por lo que se deberá tener especial cuidado al momento de obtener el ―path‖ (ruta de ubicación original del archivo recuperado). El comando ―Dir‖ de Ms-Dos es puede ser una útil herramienta para este fin, pero tener en consideración que este comando no es una herramienta Forense, (no lista archivos en espacio por asignar y otros detalles que a un Software Forense no se le escapan). 3.3.4.2 Actividad 4.2 Efectuar la extracción de Evidencia. Una vez que se cuenta con la imagen Forense de la evidencia digital adquirida, se estará en condiciones de explorar y obtener ó desechar, lo que motiva la intervención del perito en Informática Forense. 3.3.4.2.1 SubActividad 4.2.1 Efectuar la extracción física de evidencia. Se llevará a cabo la sustracción de todos y cada uno de los archivos relacionados con los hechos que se investigan, así como cualquier otra información ó dato requerido por la autoridad competente. 93 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.2.2 SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la etapa de análisis. Lo anterior con el fin de que todo procedimiento que se lleve a cabo sea repetible y verificable por otro Investigador Forense con el propósito de reconstruir lo realizado durante la investigación. 3.3.4.2.3 SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos. Esto es, obtener las características físicas del dispositivo a ser analizado, para que posteriormente sean verificadas, por ejemplo, capacidad de almacenamiento, número de serie, etc. 3.3.4.2.4 SubActividad 4.2.4 Recavar información, nombres de usuario e información del AD (Directorio Activo). Active Directory es una implementación de servicio de directorio en una red distribuida centralizado que facilita el control, la administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos). 3.3.4.2.5 SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los directorios corruptos o perdidos. Los cuales se encuentran en el dispositivo y que no puedan ser descritos por el sistema de archivos o por el sistema operativo. Algunos de los programas lideres en análisis forense informático son: Forensic Toolkit (FTK) de AccessData o EnCase de Guidance Software. 3.3.4.2.6 SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y si se quiere comparar su hash (archivos del sistema operativo y/o aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/, o sítios como: 94 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. http://www.wotsit.org/ http://www.processlibrary.com/ Es importante señalar que una vez que ubicamos un archivo de sistema y que se tenga la duda de que se encuentre alterado o que sea el oficial y legítimo publicado por la fuente oficial, la solución por ejemplo será el revisar el Hash MD5 que es publicado por la empresa o desarrollador de software que publica el archivo, y compararlo contra el Hash MD5 que una herramienta calcule con base al archivo que nosotros bajamos (existen varias en Internet). 3.3.4.2.7 SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados y la recuperación de información oculta intencionalmente. 3.3.4.3 Actividad 4.3 Efectuar la extracción, lógica de evidencia. 3.3.4.3.1 SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la instalación del sistema operativo, sistema de archivos y / o aplicaciones. 3.3.4.3.3 SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis. Debe definirse la herramienta a ser utilizada para llevar a cabo el análisis y documentarse sus resultados. 3.3.4.3.4 SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar las características de la estructura de directorios, atributos, nombres, estampas de tiempo, tamaño y localización de archivos. 95 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.3.5 SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación, basándose en nombre y extensión del archivo, cabecera de archivos, contenido y ubicación dentro del dispositivo de almacenamiento. 3.3.4.3.6 SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin asignar (―Unallocated File Space‖). Es indispensable recuperar los archivos que se hallan eliminado ya que en ellos se podría encontrar información valiosa para ayudar a esclarecer los hechos que se investigan. Esto es cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el contenido de los archivos no es verdaderamente borrado. A menos, que se utilice algún software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado (―Unallocated File Space‖). Igual sucede con el ―file slack‖( El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del cluster se llama "file slack", los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño fijo llamados ―clusters‖, en los cuales raramente el tamaño de los archivos coinciden perfectamente con el tamaño de uno o muchos ―clusters‖), asociado al archivo antes de que éste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero presentes, y pueden ser detectados mediante herramientas de software para el análisis forense informático. 3.3.4.3.7 SubActividad 4.3.7 Extraer archivos protegidos con ―passwords‖ (contraseña), encriptados y datos comprimidos. Si se tiene la lista de ―passwords‖ (contraseñas) de usuarios y la colaboración de los usuarios, la investigación será más fácil, de no ser así deberá documentarse el empleo de herramientas que permitirán efectuar la extracción de contraseñas. 96 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.3.8 SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con el fin de extraer la información del “file slack”. Desde un punto de vista de la investigación, el ―file slack‖ es un entorno rico para encontrar pistas y evidencia. Por ejemplo el ―file slack‖ puede contener pistas y evidencia en forma de fragmentos de procesador de palabras, correo electrónico, chats en Internet, noticias de Internet y la actividad de navegación por Internet. Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de los archivos coinciden perfectamente con el tamaño de uno o muchos clusters. El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del cluster se llama "file slack". Los tamaños de los clusters varían en longitud dependiendo del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la partición lógica implicada. Un tamaño más grande en los ―clusters‖ significan más ―file slack‖ y también mayor pérdida de espacio de almacenamiento. Sin embargo, esta debilidad de la seguridad del computador crea ventajas para el investigador forense, porque el ―file slack‖ es una fuente significativa de evidencia y pistas. 3.3.4.3.9 SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows. Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional. En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos ―Swap‖ de Windows. 97 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En Windows NT/2000 se conocen como directorios de página de Windows pero tiene esencialmente las mismas características que los de Win9x. Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de PC son inconscientes de su existencia. El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes electrónicos, la actividad en Internet (cookies, etc), ―logs‖ de entradas a bases de datos y de casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo ésto, genera un problema de seguridad, porque el usuario del computador nunca es informado de este almacenamiento transparente. Los Archivos ―Swap‖ de Windows actualmente proporcionan a los especialistas en informática forense pistas con las cuales investigar, y que no se podrían conseguir de otra manera. 3.3.4.4 Actividad 4.4 Analizar los datos extraídos. 3.3.4.4.1 SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación de metadatos. El perito en Informática Forense debe estar familiarizado con estos conceptos para descubrir de manera eficiente la evidencia que se está buscando 3.3.4.4.2 SubActividad 4.4.2 Efectuar un pre análisis de la evidencia. • Agregación y transformación: Unificación y recuperación de datos. • Generación de metadatos: categorización e indexación, esto es se registraran ordenadamente los datos e información obtenida de la evidencia. 98 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.4.3 SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos. En él se determina si existen procesos ajenos a los propios del sistema operativo o de las aplicaciones. 3.3.4.4.4 SubActividad 4.4.4 Relacionar datos y evidencia. • Diferencia entre datos y evidencia, aislamiento y su contextualización. • Como relacionar los datos obtenidos con la evidencia. • Sostenimiento de la evidencia La evidencia es todo aquello que pueda convertirse en una prueba que constate un hecho de lo ocurrido, por lo que el perito en Informática Forense debe saber diferenciar entre una evidencia y un dato. 3.3.4.5 Actividad 4.5 Efectuar el análisis de tiempo de los eventos. Consiste en considerar fechas y tiempos en los archivos analizados. 3.3.4.5.1 SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de cómputo. Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir cuando ocurrió determinado evento. 3.3.4.5.2 SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación, etc.). 99 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Documentar estos metadatos de los archivos bajo estudio (de interés para la presente investigación), con el fin de correlacionar los eventos y demostrar con ello la creación, modificación y último acceso. Con esta información el perito en informática forense podrá establecer una línea del tiempo. 3.3.4.5.3 SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones. Lo anterior con el fin de localizar posibles indicios de alguna intrusión y/o por el que se halla comprometido el sistema. 3.3.4.6 Actividad 4.6 Analizar los datos ocultos (de sistema). Efectuar un exhaustivo análisis a Archivos de sistema, por ejemplo el archivo SAM en Win NT/2000/XP. 3.3.4.6.1 SubActividad 4.6.1 Detectar y recuperar datos ocultos. Esta actividad al igual que la anterior puede proporcionar información importante. Existe en la red un sin número de aplicaciones gratuitas (muchas de ellas en ambiente Linux), que permiten realizar análisis forenses informáticos, incluso existen ―Live CD‖ (Disco que funciona como disco de ―Booteo‖ (Disco que inicializa un equipo)), tales como ―Live CD Helix3‖ de e-fense , ―Live CD Forense Raptor‖ ó el ―Live CD de Informática Forense DEFT‖. 3.3.4.6.2 SubActividad 4.6.2 Correlacionar los encabezados de archivos a su correspondiente extensión para identificar alguna discrepancia, esto se logra con editores hexadecimales, como WinHex. 3.3.4.7 Actividad 4.7 Analizar las aplicaciones instaladas. Se identifican y analizan aplicaciones y/o los archivos que generan tales aplicaciones instaladas en el equipo objeto de estudio. 100 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.7.1 SubActividad 4.7.1 Obtener información relevante relacionada con la investigación obtenida de los archivos y aplicaciones. La presente actividad servirá, para la toma de medidas adicionales que deben de adoptarse en la extracción y análisis de procesos, (por ejemplo un software destino a la grabación de bandas magnéticas, como las de las tarjetas de crédito). 3.3.4.7.2 SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar su relevancia. Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio. 3.3.4.7.3 SubActividad 4.7.3 Explorar el contenido de los archivos. Abrir y analizar el contenido de archivos sospechosos o motivos de estudio. 3.3.4.7.4 SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de archivos. De acuerdo al material motivo de estudio y contando con la herramienta adecuada el perito determinara el sistema de archivos en el que se encuentra éste. Por ejemplo la mayoría de los equipos de computo con Windows XP se encuentra bajo el sistema de archivos NTFS (NTFS (NT ―File System‖) es un sistema de archivos de Windows NT incluido en las versiones de Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008, Windows Vista y Windows 7), Linux se encuentra en Ext3/Ext4 (―fourth extended filesystem‖ o cuarto sistema de archivos extendido), etc. 101 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La importancia de esto radica en que una maquina en NTFS no puede visualizar particiones de Linux, pero Linux si puede visualizar particiones de Windows. 3.3.4.7.5 SubActividad 4.7.5 Obtener información sobre el Software instalado, actualizaciones y parches. Determinar el Sistema Operativo (si utiliza Windows XP, Linux etc.), el software instalado, actualizaciones de Windows y por supuesto las configuraciones de red. 3.3.4.7.6 SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas. Determinar, si los archivos creados por el usuario del equipo de computo motivo de estudio, corresponden con el software instalado en el mismo. 3.3.4.7.7 SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la instalación del software), para determinar su valor en la información. Identificar archivos fuera de lo común (extensiones irregulares, ejemplo: archivo.upsss) y que posiblemente le fue cambiado su nombre de manera intencional con el propósito de esconder información. 3.3.4.7.8 SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los usuarios con lo que respecta a sus aplicaciones y a la estructura de archivos. Esto para determinar si la información se ha almacenado en el lugar por defecto o en otro lugar. 102 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.7.9 SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario. El perfil de usuario proporciona información muy importante sobre la configuración del entorno de trabajo de cada usuario. Define un entorno de escritorio personalizado, en el que se incluye la configuración individual de la pantalla, así como las conexiones de red, las impresoras, recursos a los que se tiene acceso (directorios o carpetas compartidas) y otros a los que no, etc. Cada usuario puede tener un perfil asociado a su nombre de usuario que se guarda en su equipo de computo, por lo general el administrador de sistema define este perfil de usuario. 3.3.4.7.10 SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de Internet, ―cookies‖ etc. Una cookie es un fragmento de información que se almacena en el disco duro del visitante de una página web (dirección electrónica que visita el usuario), a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama "huella". Por lo anterior, las cookies proporcionan importante información, la cual puede tener relación con los hechos que se investigan, en la figura 3.10 se muestra la obtención de las cookies con el programa ―WinTaylor 2.1 for Caine‖, para su posterior análisis. 103 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el fin de mostrar las cookies almacenadas en éste. El análisis efectuado en la figura 3.10, fue obtenido como se dijo antes, utilizando ―WinTaylor 2.1 for Caine‖, el cual es un software forense gratuito [http://www.caine-live.net/], existen varias versiones. 104 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.4.8 Actividad 4.8 Analizar datos de la Red de cómputo. Búsqueda de información relacionada con dispositivos y/o elementos técnicos que conforman la red de cómputo. 3.3.4.8.1 SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa perimetral. Tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection System, es un programa usado para detectar accesos no autorizados a un computador o a una red), IPS‘s (Intrusion Prevention Systems), éstos combinan múltiples funcionalidades, como: Firewall, IDS, y detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de contenidos, etc., ―Proxys‖, Filtros de Contenido, Analizadores de Red, Servidores de ―Logs‖, etc., que están en la Red, con la finalidad de recuperar los ―Logs‖ que se han tomado como parte de la gestión de red. A continuación, se presenta la fase V: 105 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.5 Fase V. Presentación de Resultados Obtenidos. FASE I FASE II FASE III FASE IV FASE V 3.3.5.0 Introducción. Es la fase final y la más delicada e importante la cual será el documento que sustentará una prueba en un proceso legal. Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la investigación del análisis forense informático. La claridad con la que se presente el resultado de la investigación, marcará la diferencia entre si es aceptada la evidencia o no en un proceso legal, debiendo evitarse al máximo los tecnicismos en su redacción, esto es el Dictamen Pericial deberá ser concreto, libre de jerga propia de la disciplina, pedagógico y sobre manera, consistente con los hechos y resultados obtenidos. Los especialistas en el análisis forense informático que apoyan las labores en el ciclo de administración de la evidencia digital no deben contar con altos niveles de ética, sino con los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los cuales el juez toma sus decisiones. 106 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 3.3.5.1 Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento final. De acuerdo al caso bajo estudio, nivel de complejidad y/o al criterio del perito en informática forense, la elaboración del documento final (llámesele Dictamen ó Reporte técnico), se realizará en estricto apego a las actividades que conforman la presente Fase. 3.3.5.1.1 SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento final. De manera general deberá contener los apartados correspondientes a: los ―Antecedentes‖, el ―Planteamiento del Problema‖, la ―Identificación del material objeto de estudio‖ (descripción a detalle del material objeto de estudio), las ―Consideraciones Técnicas‖ si es que las hay, el desarrollo del ―Estudio técnico‖, ―Conclusiones ó Conclusión‖ a la que se ha llegado, así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y ―Anexos‖. 3.3.5.1.2 SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo por el cual se realizo determinado estudio. 3.3.5.1.3 SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente a los Antecedentes. El cual consistirá, en una breve narración de los hechos precedentes a la intervención pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que se investigan, quien solicita nuestra intervención pericial, a qué lugar se tendrá que trasladar el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con los hechos que se investigan, tal como si fue necesario consultar el expediente de la 107 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a cabo el estudio correspondiente. De igual manera será importante señalar si la autoridad competente o el titular de la investigación gira alguna instrucción específica no obstante que se le haya advertido de los riesgos que se corren al ejecutar tal instrucción. 3.3.5.1.4 SubActividad 5.1.4 Estudiar, el apartado correspondiente al ―Planteamiento del Problema‖. El cual deberá indicarle, al perito en informática forense, de una manera clara y objetiva el motivo de su intervención pericial. 3.3.5.1.5 SubActividad 5.1.5 Incluir un apartado con la ―Identificación del material objeto de estudio‖, (descripción a detalle del material objeto de estudio). En el cual se especifique por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o inventario, alguna observación tal como si se encuentra en buen estado ó si se encuentra funcionando, así como si se encuentra rotulado con alguna leyenda escrita, por ejemplo esto último es típico en los discos compactos CD/DVD. 3.3.5.1.6 SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones Técnicas‖, necesarias para llevar a cabo el estudio correspondiente. 3.3.5.1.7 SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico. Especificar la metodología empleada para el estudio requerido por la autoridad competente, así como todos y cada uno de los procedimientos realizados para llegar a los resultados obtenidos. 108 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Recordando que todo procedimiento deberá ser repetible y verificable (por otro investigador). Incluir irregularidades encontradas o cualquier acción que pudiese ser irregular durante el análisis de la evidencia. 3.3.5.1.8 SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de una manera clara y precisa. La intervención pericial emite una conclusión que viene formulada sobre concretos datos arrojados por el estudio técnico, por lo que en esté apartado, se escriben la ó las conclusiones a las que se ha llegado de una manera clara, corta y objetiva. Evitar los juicios de valor o afirmaciones no verificables, utilizar palabras simples, no las rebuscadas, evitarse las redundancias. Se pueden emplear términos técnicos necesarios, pero siempre de una forma clara y simple, pensando en quien va a recibir el documento final producto de la presente metodología. 3.3.5.1.9 SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final obtenida, para que ésta sea presentada. 3.3.5.1.10 SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial. 3.3.5.1.11 SubActividad 5.1.11 Incluir secciones complementarias, tales como la realización de un glosario, apéndice y anexos. 109 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. De igual manera no olvidar incluir en el cuerpo del Dictamen, todas las personas que de alguna manera intervinieron en el caso bajo estudio (por ejemplo durante la realización de un cateo, interviene una gran variedad de personal tales como: peritos, policía judicial y ministerio público, entre otros), incluyendo sus cargos y las responsabilidades durante toda la investigación. 3.3.5.2 Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la presente actividad, con el fin de elaborar el documento final. 3.3.5.2.1 SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con claridad los hallazgos. Es indispensable que los hallazgos sobre la evidencia y/o resultados del análisis sean vertidos dentro del apartado correspondiente al estudio técnico en donde se desarrollarán a detalle todos y cada uno de los procedimientos efectuados para su obtención. 3.3.5.2.2 SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los procedimientos técnicos utilizados. Esta bitácora podrá ser manejada como un anexo, en el cual se muestre a detalle los procedimientos y/o métodos aplicados a los elementos objeto de estudio. 3.3.5.2.3 SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia. Es recomendable que todo elemento objeto de estudio que se reciba o se entregue sea acompañado con un oficio en el que se especifiquen los elementos que se reciben y/o se entregan así como también se obtenga la firma de la persona que reciba dicho oficio, 110 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. acompañado de los elementos objeto de estudio, no está por demás decir que en dicho oficio se detallaran las características de los elementos objeto de estudio. 3.3.5.2.4 SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante toda la investigación. Es posible que en el desarrollo de la investigación se extravié algún documento y/o elemento objeto de estudio por lo que será de suma importancia el contar con la documentación necesaria para deslindarse de cualquier responsabilidad. 3.3.5.2.5 SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense, utilizadas durante el análisis. Se deberá justificar y explicar el porqué del uso de alguna herramienta, sea ésta informática (software) o electrónica así como su función dentro de la investigación. SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer entendible la conclusión. Esto se hará, sin dar excesivos detalles acerca de cómo se obtuvieron estas, este tipo de información es recomendable citarla en el apartado del estudio técnico. 3.3.5.2.7 SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos justificativos o de apoyo. Lo anterior, se justifica cuando se está trabajando un caso (investigando), demasiado complejo en cuanto a indagatorias (expediente de la averiguación previa), por ejemplo la información que obra en actuaciones de la averiguación previa. 111 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Cabe señalar que en muchas ocasiones habrá averiguaciones previas que estén relacionadas con otras y cada una de ellas podrá estar constituida por varios volúmenes ó tomos, por lo que cobra relevancia el tener documentado a que foja se toma alguna información ó elemento de estudio, esto último por ejemplo cuando a determinada foja se hace referencia a un portal de Internet ó dirección electrónica. 3.3.5.2.8 SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota aclaratoria en la que se especifique que se entrega el material objeto de estudio de la misma forma en la que se recibió. Esta nota aclaratoria es de suma importancia ya que muchas veces se entrega tanto el Dictamen Pericial como el equipo bajo estudio al correspondiente resguardante y este último no toma las medidas cautelares necesarias, teniendo como resultado el daño del equipo o la pérdida del mismo, por lo que ante la ausencia de esta nota aclaratoria el único responsable sería el perito en informática forense por no prever tal situación. SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial, producto de la aplicación de la presente metodología. Lo anterior, a efecto de poder corroborar la entrega y recepción del Documento Final producto de esta metodología, por lo general firmado por la autoridad competente y titular de la investigación, especificando en el mismo que se recibe el material objeto de estudio, fecha, hora y nombre de quien lo recibe. Es importante aclarar que la persona que reciba tal documento, deberá indicar que lo que está recibiendo es un Dictamen ó un Informe. 3.3.5.2.10 SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final antes de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se recomienda firmar al margen todas y cada una de las fojas que constituyan el Documento Final. 112 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Siempre que se tenga algún tipo de observación ó detalle respecto a la investigación, tal como: la entrega de algún anexo (llámesele disco compacto y/o tomas fotográficas, etc.), alguna aclaración respecto a la entrega del Dictamen (retardo y/o evento circunstancial). En lo que se refiere a la redacción del Dictamen evitar dejar espacios en blanco (en particular grandes) y firmar al margen todas y cada una de la fojas que constituyan el Dictamen, producto de la presente metodología. 113 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Resumen del Capítulo: En el Capítulo 3, se desarrolló la Metodología Propuesta, la cual tiene como base el tener un enfoque Sistémico, en el presente capítulo se expusieron las fases y métodos que la integran, se describió el proceso forense informático para lo cual se mostró el análisis del modelo de informática forense, así como se mostraron gráficamente las fases que integran la metodología propuesta. En el Capítulo 3, se generó la estrategia de creación de la metodología propuesta. Lo anterior le permitirá a un investigador forense informático el poder contar con una metodología válida y confiable para la correcta obtención de evidencia digital. Ahora en el siguiente Capítulo, se tendrá un caso de estudio, con la finalidad de poner en práctica la Metodología Propuesta. 114 Ing. Arturo Palacios Ugalde. Capítulo 3:Desarrollo de la Metodología Propuesta. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 4.Aplicación de la Metodología Propuesta en un Caso de Estudio: Localización de un archivo con información específica. 115 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio: Localización de un archivo con información específica. Ubicación de Información cuestionable. Para la aplicación de la Metodología Propuesta, está se aplicará en un caso hipotético en el que se le plantea al perito en informática forense: ―Localizar un archivo de texto con Información Bancaria‖, relacionado con un fraude Bancario, teniendo como objetivo principal el identificar cualquier información relacionada con tarjetas bancarias. Para tal fin, se requiere conocer el elemento objeto de estudio, el cual, en este caso en particular, se trata de una Computadora Personal, puesto a disposición de la autoridad competente y relacionado con un fraude bancario. Recordando que tal y como se estableció en el Capítulo anterior, dependerá del caso de estudio; así como del criterio del perito en informática forense, el aplicar ó no todas y cada una de las actividades y subfases que conforman la presente metodología propuesta. Entonces, para apoyo a la presentación de la metodología propuesta se empleará la siguiente iconografía: Para un recordatorio breve de la Actividad o Fase, es decir el ¿Qué hacer básico? Resultados obtenidos: Este otro icono, servirá para presentar los resultados obtenidos de dicha Actividad en su aplicación en el caso práctico, en algunos casos también será usado para identificación de la forma en que fue aplicada la Actividad o Fase. 116 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Conociendo lo anterior, se procederá a la aplicación de las Fases de la Metodología propuesta: 4.1 . Fase I. Planteamiento del Problema. FASE II FASE I FASE III FASE IV FASE V ¿Qué hacer básico (recordatorio)? Durante esta Fase se le presenta al forense informático de una manera clara y precisa el objeto de la investigación, siendo por lo tanto la Fase que determinara la viabilidad del Análisis, ya que como se trató en el capitulo anterior, de acuerdo a la forma en que se plantea el problema se estará en posibilidades de intervenir en dicho caso a investigar o no. Para tal fin, se sugiere llevar a cabo las siguientes actividades: Actividad 1.1 Definir adecuadamente el planteamiento del problema. ¿Qué hacer básico (recordatorio)? Hace referencia a él objeto de la investigación, es decir, el fin que tendrá la intervención pericial. 117 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para la presente actividad se recomienda se le haga una toma fotográfica al oficio, haciendo énfasis en la parte donde se realiza la petición del tipo de análisis o bien se proceda como a continuación: Para el presente caso hipotético se tiene el siguiente Planteamiento del Problema: A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖ Una vez definido el planteamiento del problema, ahora se tiene que: Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta. ¿Qué hacer básico (recordatorio)? Se evalúa la disponibilidad de los recursos con los que se cuenta, sean estos Temporales, Humanos, Materiales u Organizacionales. Forma de Aplicación de la Actividad. En el presente caso práctico se hizo uso de una herramienta para desmontar el disco duro de la computadora objeto de estudio, un bloqueador de escritura para el disco duro, software forense para obtener la imagen del disco duro, así como su ―Hash‖ (En informática: Hash, se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato), un disco duro limpio o esterilizado para respaldar la correspondiente imagen y un equipo de cómputo para la realización de su respectivo análisis, para el presente caso con la participación de un sólo especialista será suficiente. 118 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Ahora se continúa con la aplicación de la: 119 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 4.2 . Aplicación de la Fase II. Identificación detallada del material objeto de estudio. FASE I FASE II FASE III FASE IV FASE V ¿Qué hacer básico (recordatorio)? Con el fin de llevar a cabo una adecuada intervención pericial en informática forense: es necesario, conocer previamente el material objeto de estudio. Para tal, fin se sugiere llevar a cabo las siguientes actividades: Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones generales. ¿Qué hacer básico (recordatorio)? Se tiene que hacer un resguardo adecuado del material motivo de estudio. Forma de Aplicación de la Actividad. En el presente caso se da por hecho que la autoridad competente ya tiene asegurado el equipo a analizar 120 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Para el presente caso de estudio el CPU, cuestionado y bajo análisis tiene las siguientes características: No. 01 Descripción Marca CPU (gabinete Marca Modelo ####-L# L# No. Serie ##LLL####LL minitorre), color negro, Disco Asociado 1.- Marca de 320 GB S/N: #LL#L#L# con un disco duro. Figura 4.1 Identificación del material objeto de estudio. Es importante tomar en cuenta que un CPU almacena su información a través de sus discos duros, por lo que será necesario identificar dicho elemento como se ejemplifica en la siguiente figura: 121 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.2 Identificación del disco duro asociado al material objeto de estudio. SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos afectados. ¿Qué hacer básico (recordatorio)? Evitar que la evidencia original sea alterada por las personas que intervienen en el lugar de los hechos. 122 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Derivado de que para el presente caso materia de estudio, se da por hecho que el equipo se encuentra ya a disposición de la autoridad competente (en otra área distinta al lugar de los hechos), la presente actividad no aplica en el presente caso motivo de estudio. SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido y reconstruir los hechos. ¿Qué hacer básico (recordatorio)? Analizar adecuadamente el lugar de los hechos y los indicios recogidos en el mismo. Forma de Aplicación de la Actividad. Tomando en cuenta que para el presente caso materia de estudio, se da por hecho que el equipo se encuentra ya a disposición de la autoridad competente (en otra área distinta al lugar de los hechos), la presente actividad no aplica en el presente caso motivo de estudio. SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada (huella dactilar latente). 123 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Con el fin de facilitar la identificación del supuesto sospechoso o sospechosos se deberá preservar toda impresión dactilar. Forma de Aplicación de la Actividad. Corroborar con el titular de la investigación que se haya preservado toda impresión dactilar, no obstante se tendrá que tomar cualquier parte del equipo objeto de estudio con el debido cuidado y haciendo uso de guantes de látex con el fin de evitar contaminar los equipos o dispositivos a ser investigados. SubActividad 2.1.4 Emplear brazaletes antiestáticos. ¿Qué hacer básico (recordatorio)? Se recomienda el uso de brazaletes antiestáticos, para evitar alterar la evidencia por cargas electrostáticas. Forma de Aplicación de la Actividad. Para el presente caso de estudio se hizo uso de brazaletes antiestáticos, con el fin de evitar alterar la evidencia por cargas electrostáticas por la manipulación de los equipos o dispositivos. Así mismo, se contó con bolsas antiestáticas para el adecuado y seguro embalaje de la evidencia. 124 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su impacto. ¿Qué hacer básico (recordatorio)? En este punto se determinará la ocurrencia de cualquier otro dato y/o información relacionada con los hechos que se investigan. Forma de Aplicación de la Actividad. Para el presente punto se determinará la ocurrencia de cualquier otro incidente y/o detalle que se observe del material objeto de estudio, por ejemplo: si el equipo muestra evidencia de que haya sido abierto (marcas de herramienta), si derivado de la inspección del interior del gabinete del CPU se observa algo inusual (por ejemplo, ausencia de polvo por el uso normal en algunas áreas); cualquier anomalía y/o detalle inusual observable se le informará por escrito al titular de la investigación. Para el presente caso se hará hincapié en que el equipo tiene marcas propias de uso. SubActividad 2.1.6 Considerar todos los componentes que pueden estar relacionados de alguna forma con la computadora y/o elemento cuestionado. ¿Qué hacer básico (recordatorio)? Considerar todos los elementos relacionados con la especialidad de Informática con la finalidad de aportar mayor información al titular de la investigación. 125 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio se tomaron, como elementos de análisis el gabinete (chasis de la computadora) y su disco duro. SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos relacionados a las fuentes, incluyendo factores humanos y electrónicos. ¿Qué hacer básico (recordatorio)? Se hará un recuento de ventajas, desventajas relacionadas al caso de estudio y/o sobre cualquier imprevisto. Forma de Aplicación de la Actividad. Se le dio parte al titular de la investigación sobre la falta del cable de datos para conectar el disco duro (en el presente caso se trata de un disco SATA), así como se informo el tiempo estimado para el análisis del presente disco duro objeto de estudio. SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades científicas, técnicas o temporales ante el caso expuesto. ¿Qué hacer básico (recordatorio)? Evitar que la evidencia se altere por el mal manejo de está, así como el de no tenerlos en tiempo y forma. 126 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. En el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que se considera que se cuenta con todos los elementos necesarios para desahogar la solicitud de la autoridad competente. SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la información y acceso a la misma, por ejemplo la determinación del origen de un correo electrónico estará supeditado a la información proporcionada por el proveedor de servicios de Internet), alcance y objetivos necesarios para realizar la investigación. ¿Qué hacer básico (recordatorio)? Determinar si se cuenta con los elementos mínimos necesarios (en cuanto a información y acceso a la misma), para llevar a cabo la investigación. Forma de Aplicación de la Actividad. Para el presente caso bajo estudio, la aplicación de esta actividad no aplica, ya que se considera que se cuenta con el elemento indispensable para darle el debido cumplimiento a lo requerido por la autoridad competente, que en el presente caso es el disco duro de la computadora cuestionada. 127 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.10 Contar con un laboratorio de informática forense que permita realizar el proceso de obtención y análisis. ¿Qué hacer básico (recordatorio)? Contar con la herramienta técnica necesaria y que asegure la preservación de la integridad de la evidencia digital. Forma de Aplicación de la Actividad. Para el presente caso, objeto de análisis, la aplicación de esta actividad no aplica, ya que se considera que se cuenta con los elementos técnicos necesarios para dar el debido cumplimiento a lo requerido por la autoridad competente. SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la intervención Pericial en Informática Forense, (sea esta por parte de la autoridad competente o del dueño del equipo cuestionado,Investigación de equipos). Teniéndose presente, el principio de secrecia dentro de toda la investigación. ¿Qué hacer básico (recordatorio)? Poseer por escrito la autorización para intervenir el equipo, objeto de estudio. 128 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Se obtuvo formalmente y por escrito la autorización para iniciar la intervención Pericial en Informática Forense sobre el equipo objeto de estudio. SubActividad 2.1.12 Documentar todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. ¿Qué hacer básico (recordatorio)? Se deberá anotar la fecha, la hora exacta en que se recibió la llamada solicitando la intervención pericial en informática, medio por el cual se recibió la llamada. Al llegar al lugar de los hechos se deberá anotar: la hora exacta de llegada, la dirección correcta, nombre de la autoridad que encabeza la investigación y la persona que le pone a la vista el equipo cuestionado. Forma de Aplicación de la Actividad. En el presente problema planteado y objeto de esté estudio, la aplicación de esta actividad no aplica. 129 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.13 Organizar y definir el equipo de Investigación. ¿Qué hacer básico (recordatorio)? Se deberá acreditar legalmente la intervención pericial por parte de la autoridad competente. Forma de Aplicación de la Actividad. En el presente caso objeto de estudio, la aplicación de esta actividad no aplica, toda vez que se da por hecho que se cuenta con la documentación que habilita legalmente la intervención del perito. SubActividad 2.1.14 Realizar una Investigación preliminar. ¿Qué hacer básico (recordatorio)? Se documentan todos los Antecedentes, que el perito crea conveniente citar. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica. 130 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de asuntos y/o de clientes, financieros, comerciales, de Investigación y desarrollo, etc.) ¿Qué hacer básico (recordatorio)? Identificar la relevancia que guarda el manejar cierto tipo de información (cuentas bancarias, de gobierno etc.). Forma de Aplicación de la Actividad. Se identificó el Impacto y la sensibilidad de la presente información que para el presente caso planteado se podría tratar por ejemplo de información correspondiente al contenido de las bandas magnéticas de tarjetas plásticas (bancarias), la cual se deberá manejar de manera sigilosa y con el debido cuidado. SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la investigación del Incidente. ¿Qué hacer básico (recordatorio)? Determinar si el incidente le impide a una empresa realizar sus actividades de manera normal y éste no le provoca algún tipo de perdida. 131 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente, planteamiento del problema que se tiene por objeto de estudio, la aplicación de esta actividad no aplica. SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches, etc.) ¿Qué hacer básico (recordatorio)? Se identifican los elementos más importantes dentro de una red de computadoras y que pudieran aportar alguna información a la investigación. Forma de Aplicación de la Actividad. En el presente caso motivo de estudio, ésta actividad no aplica. SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos informáticos. 132 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Identificar los elementos que puedan aportar información relacionada a los hechos que se investigan y que motiva el caso objeto de estudio. Forma de Aplicación de la Actividad. Para el presente caso de estudio se procedió a fijar fotográficamente la computadora objeto de estudio, así como a fijar fotográficamente su disco duro, resaltando datos como su número de serie y capacidad. Figura 4.3 Fijación Fotográfica del material objeto de estudio, teniendo mayor relevancia para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que es el elemento en donde se almacena toda la información procesada. 133 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas vivos (análisis en vivo), para no perder la continuidad en producción de los equipos y su uso en las instalaciones, evitando la perdida de los datos volátiles. ¿Qué hacer básico (recordatorio)? Se procederá de acuerdo al criterio del forense informático acorde a las circunstancias y de acuerdo a lo requerido por la autoridad competente. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la aplicación de esta actividad se ve reflejada en la metodología desarrollada para resolver el Problema Planteado. SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan relación con la investigación ó que pudieran aportar mayor información. ¿Qué hacer básico (recordatorio)? Con el fin de obtener mayor información relacionada con los hechos que se investigan, hacer uso de entrevistas, ya sea con usuarios o administradores responsables de los sistemas. 134 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para dar respuesta a lo requerido, en el presente Planteamiento de Problema propuesto, la aplicación de esta actividad no aplica, ya que el darle respuesta a esta interrogante u obtener está información no forma parte del Planteamiento del Problema para el presente caso motivo de estudio y obtenerla significaría un exceso en las funciones del perito en informática forense, pudiendo derivar en alguna sanción, incluso de carácter penal. SubActividad 2.1.21 Realizar una recuperación de los “logs” (bitácora de movimientos), de los equipos de comunicación y dispositivos de red, involucrados en la topología de la red. ¿Qué hacer básico (recordatorio)? Llevar a cabo la recuperación de ―logs‖ de acuerdo al caso bajo estudio. Forma de Aplicación de la Actividad. Para la presente investigación objeto de estudio, la aplicación de esta actividad no aplica, ya que el darle respuesta a esta interrogante u obtener está información no forma parte del Planteamiento del Problema para el presente caso motivo de estudio. SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién es el primero que tiene la evidencia?. 135 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Determinar la cadena de custodia. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra implícita en el desarrollo del documento final y consiste en llevar a cabo una adecuada manipulación de la evidencia, así como el de llevar un claro registro de quien y en que momento tuvo su resguardo. SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por ejemplo la policía cibernética). ¿Qué hacer básico (recordatorio)? Documentar cualquier intervención (análisis) con el material objeto de estudio. Forma de Aplicación de la Actividad. La aplicación de esta actividad se encuentra implícita en el desarrollo del documento final. 136 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.24 Responder a las preguntas: ¿Quien va a tener custodia de la evidencia? y ¿Por cuánto tiempo la tendrá? ¿Qué hacer básico (recordatorio)? Documentarlo detalladamente. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra implícita en el desarrollo del documento final. SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló y/o almacenó la evidencia? ¿Qué hacer básico (recordatorio)? Documentar este punto detalladamente. Forma de Aplicación de la Actividad. Para el presente objeto de análisis, el empleo de esta actividad no aplica, toda vez que se dio por hecho que el equipo asegurado se recibió para su estudio directamente de la autoridad competente. 137 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio de custodia? y ¿Cómo se realiza la transferencia? ¿Qué hacer básico (recordatorio)? Documentar turno, personal y área jurisdiccional (por ejemplo Delegación ó el nombre del Ministerio Público). Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, el uso de esta actividad se muestra en el desarrollo del documento final (Dictamen Pericial). Actividad 2.2 Efectuar la evaluación del caso. ¿Qué hacer básico (recordatorio)? Se valoraran (con base al contenido de archivos ubicados), los elementos de mayor relevancia localizados en el material objeto de estudio y que tengan relación con la de la investigación y/o hechos que se investigan. 138 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso objeto de estudio, la búsqueda de información se centro en la búsqueda de archivos de tipo texto, sea este del tipo plano (por ejemplo archivos con extensión .txt) ó enriquecido (por ejemplo archivos con extensión .doc). SubActividad 2.2.1 Situar el status del caso, que el perito en informática forense investigará. ¿Qué hacer básico (recordatorio)? Determinar qué sentido tomará la investigación, definiéndose si es simplemente la violación de una política, normas, lineamientos o bien se trate de un delito. Forma de Aplicación de la Actividad. Para el presente asunto bajo estudio, la aplicación de esta actividad no aplica, ya que el Planteamiento del Problema es puntual y objetivo: ―Buscar información Bancaria‖. SubActividad 2.2.2 Conocer detalles sobre el caso. ¿Qué hacer básico (recordatorio)? Conocer la mayor cantidad de detalles antes de llegar a la escena del delito donde se presento el incidente, de ser posible realizar una lectura del expediente de la averiguación previa. 139 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. En la presente investigación, la utilización de esta actividad no aplica, ya que para darle respuesta al presente Planteamiento del Problema, no se requiere mayor información (ya que en algunas ocasiones será necesario leer el expediente de la averiguación previa), que avocarse a la búsqueda de información requerida por la autoridad competente. SubActividad 2.2.3 Definir el tipo de evidencia a manejar. ¿Qué hacer básico (recordatorio)? Tener bien claro el tipo de evidencia que se va a manejar, por ejemplo hacer la diferencia entre un chip y una micro memoria para equipo fotográfico. Forma de Aplicación de la Actividad. En la presente investigación, esta actividad consistió en definir el tipo de evidencia a localizar y/o a manipular, así como a analizar, siendo que para el presente caso, el estudio del disco duro, derivo en localizar dos archivos de texto con información bancaria. SubActividad 2.2.4 Evaluar de manera inicial respecto al caso. ¿Qué hacer básico (recordatorio)? Recabar información con las personas relacionadas con el caso para posteriormente documentar las respuestas recabadas y relacionarlas con la evidencia obtenida. 140 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso se le solicitó al personal bancario sobre las características de la información que podría venir almacenada en la computadora objeto de estudio (series de números con determinadas características: los cuales, probablemente correspondan a tarjetas bancarias ó cuentas bancarias beneficiarias del fraude), que para el presente caso se buscaron las palabras claves ―Track1:‖ y ―Track2:‖, así como búsqueda de cadena de caracteres numéricos de 16 dígitos. SubActividad 2.2.5 Rastrear fuentes de información en la estructura organizacional. • Perfiles de usuario. • Investigación en progreso de un determinado lugar o un análisis nuevo. ¿Qué hacer básico (recordatorio)? Verificar los lineamientos de las políticas de uso de equipos, de igual manera considerar los manuales operativos institucionales con el fin de obtener mayor información. Forma de Aplicación de la Actividad. Para la presente investigación, la aplicación de esta actividad no aplica, ya que no forma parte del Planteamiento del Problema. SubActividad 2.2.6 Ubicar, ¿Cuales son las fuentes de información? ¿Qué hacer básico (recordatorio)? 141 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Localización lógica o física de la evidencia digital, que tenga que ver con los hechos que se investigan. Forma de Aplicación de la Actividad. En este punto se ha identificado al disco duro asociado a la computadora objeto de estudio como un elemento imprescindible en el presente análisis. Razón por la cual se determina realizar una búsqueda de información relacionada con tarjetas bancarias a través de la siguiente acción: 1) Búsqueda en el disco duro de cualquier información relacionada con tarjetas bancarias. Es importante señalar que para realizar el análisis del disco, se utilizó un bloqueador o protector contra escritura (Figura 4.4), de tal forma que la información del disco duro no fue alterada durante el análisis, preservándose de esta forma la integridad de la evidencia. Figura 4.4 Una vez que se tuvo identificado plenamente al elemento base (fuente de información), para realizar su análisis correspondiente, se procedió a colocarle un bloqueador de escritura. 142 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En la figura anterior se observa la conexión del bloqueador de escritura, a efecto de llevar a cabo su exploración sin alterar la información contenida en este soporte magnético (disco duro). SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas, como de aquellas que se encuentran almacenadas de manera lógica. ¿Qué hacer básico (recordatorio)? Delimitar el área de búsqueda, especificada por el Planteamiento del Problema, planteado por la autoridad competente. Forma de Aplicación de la Actividad. Se identificó al personal de las instituciones bancarias idóneas, para proveer de información que pudiera ser útil para la investigación. SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso. ¿Qué hacer básico (recordatorio)? Se prepara un resumen general para hacer la investigación de manera acotada, (en condiciones de cierta premura podría servir como un avance de Dictamen Pericial (un Dictamen con muy poco tiempo a disposición del investigador)). 143 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el caso particular bajo estudio, no aplica la presente actividad, por el hecho de no ser un caso urgente, así como considerar que el volumen de información manejada como evidencia es poca (dos archivos de texto). SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y grabaciones de diferentes ángulos en el área del lugar de los hechos antes de la recolección de la evidencia. ¿Qué hacer básico (recordatorio)? Realizar tomas fotográficas y/o grabaciones del lugar de los hechos ó escena del delito. Forma de Aplicación de la Actividad. Derivado que para el presenta caso motivo de estudio se da por hecho que el material para análisis es puesto a la vista por la autoridad competente y que esté (material ó equipo cuestionado), ya fue asegurado (sustraído) de la escena del delito y por ende ya fue fijado el lugar de los hechos, razón por la cual se aplica la presente actividad de manera parcial, es decir para el presente proyecto se fijo el material de estudio únicamente. SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, mouse, impresora, scaner etc.), que se encuentran en el lugar de los hechos. ¿Qué hacer básico (recordatorio)? 144 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Se fijan los periféricos en el lugar de los hechos o lugar de la investigación. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que el material objeto de estudio, fue recibido a través de la autoridad competente y para el presente caso se consideró que se recibió únicamente el gabinete de la computadora (sin cables, monitor, teclado etc.). SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo motivo de estudio. ¿Qué hacer básico (recordatorio)? Realizar tomas fotográficas del arreglo de las conexiones del equipo ó equipos cuestionados. Forma de Aplicación de la Actividad. Para darle respuesta al presente problema planteado, el uso de esta actividad no aplica, ya que para el caso bajo estudio no se consideró ir al lugar de los hechos ó lugar donde se aseguro el equipo de cómputo, (el gabinete objeto de estudio, lo presento la autoridad competente). SubActividad 2.2.12 Documentar la información observable. ¿Qué hacer básico (recordatorio)? 145 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Debe registrarse toda la información útil observable y que puede en un momento dado ser necesaria, en el desarrollo de la investigación. Forma de Aplicación de la Actividad. Se procede a documentar datos importantes como la unidad con que fue identificado por el equipo al que se conecto, etiqueta del volumen, el número de serie lógico del volumen (disco duro), así como el sistema de archivos en el que se encuentra la información almacenada en el disco duro objeto de estudio, con el propósito de dejar en claro el escrito final, resultante del estudio realizado. Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖) con la que fue detectado el disco duro, asociado al material objeto de estudio. 146 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen (―#L##-###L‖). SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado. ¿Qué hacer básico (recordatorio)? Corroborar el estado de encendido ó apagado de un equipo, (en situaciones en donde se acude al lugar de los hechos). Forma de Aplicación de la Actividad. En el caso bajo análisis, el empleo de esta actividad no aplica, ya que se consideró que el equipo se recibió apagado. SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del dispositivo del cual se obtendrá la información. 147 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Identificar el sistema de archivos en el que se va a trabajar. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, esta actividad no aplica, toda vez que no forma parte del Planteamiento del Problema. SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la hora en la que se dio inicio a la investigación. ¿Qué hacer básico (recordatorio)? Documentar fecha y hora del equipo cuestionado (bajo estudio). Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, esta actividad no aplica, ya que el equipo se recibió apagado. SubActividad 2.2.16 Interrumpir las conexiones de la red de computo. ¿Qué hacer básico (recordatorio)? Desconectar los equipos de la red. 148 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la actividad no se aplica, ya que el equipo de cómputo, se recibió para su estudio apagado y de manera individual. SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma periódica. ¿Qué hacer básico (recordatorio)? Cuando se tiene a la vista, en la escena del delito una computadora (y se va a realizar un análisis en vivo), es recomendable realizar movimientos con el Mouse para evitar activar el protector de pantalla el cual en ocasiones viene acompañado de contraseña. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la actividad no se aplica, debido a que el equipo de cómputo se recibió apagado. SubActividad 2.2.18 Preparar un diseño detallado. • Ajuste a nivel detallado de las necesidades actuales. • Consideración de la preparación del tiempo estimado, y los recursos requeridos para completar cada caso. ¿Qué hacer básico (recordatorio)? Estimación del tiempo necesario para realizar un análisis completo. 149 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la actividad no se aplica, ya que el volumen de información que se maneja, en lo que hace al material objeto de estudio (un solo disco duro), así como evidencia digital localizada, se considera manejable. SubActividad 2.2.19 Determinación de recursos requeridos para la investigación con respecto al hardware, software y herramientas de informática forense. ¿Qué hacer básico (recordatorio)? Ver las necesidades que enfrenta el investigador, a efecto de poder desahogar en tiempo y forma el Problema Planteado. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que para el presente caso motivo de estudio, ya se cuentan con los elementos necesarios para darle respuesta. SubActividad 2.2.20 Marco legal relacionado al incidente • Detalles generales a nivel internacional • Detalles generales del fuero federal • Detalles generales del fuero común ¿Qué hacer básico (recordatorio)? Tener presente las implicaciones legales que tiene cualquier tipo de intervención pericial. 150 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, esta actividad no se aplica, ya que en la presente investigación se tiene el supuesto de que la autoridad competente es quien habilita ó hace legal la presente intervención pericial. La presente actividad será útil, cuando se acude a la escena del delito como por ejemplo en un cateo, en un lugar donde se falsifiquen documentos públicos y/o privados. SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la investigación, previa información obtenida. ¿Qué hacer básico (recordatorio)? Una vez asegurado el lugar de los hechos y obtenida la información relacionada al incidente, se prepara el procedimiento a seguir para la obtención de información. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, esta actividad no se aplica, ya que por la falta de complejidad del presente caso, se considero innecesario. SubActividad 2.2.22 Corroborar diseño de investigación. ¿Qué hacer básico (recordatorio)? Verificar que los pasos decididos son correctos, acordes y justificados con la situación del incidente. 151 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. En la presente investigación, esta actividad no se aplica, ya que no se considera necesario por ser relativamente simple. La presente actividad será útil en asuntos complejos, sea por el volumen de información y/o por la especialización que requieran tales casos. SubActividad 2.2.23 Identificar el riesgo implicado. ¿Qué hacer básico (recordatorio)? Documentar los problemas que se espera encontrar o que obliga a que puedan ocurrir, se podrá incluir en el correspondiente dictamen un apartado de consideraciones técnicas. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, esta actividad no se emplea, ya que la presente intervención pericial se efectuó en estricto apego a la legalidad (recordando que caso bajo estudio es hipotético), y para el caso no se consideran mayores complicaciones. Continuando con el presente estudio, se desarrolla la Fase III: 152 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 4.3 Aplicación de la Fase III. Adquisición de evidencia. FASE I FASE II FASE III FASE IV FASE V ¿Qué hacer básico (recordatorio)? Se obtiene la evidencia sin alterarla o dañarla, se autentica que la información de la evidencia sea igual a la original. Para tal, fin se sugiere llevar a cabo las siguientes actividades: Actividad 3.1 Efectuar consideraciones Previas. ¿Qué hacer básico (recordatorio)? Se tendrá que tener especial cuidado al realizar una intervención pericial y obtener información de un medio electrónico así como el de no alterar los metadatos de la información almacenada (conservar intacta la información digital), es de recalcar que siempre se deberán tener presentes las implicaciones legales al intervenir y obtener información de un medio electrónico. De no contar con el equipo necesario informarlo a la autoridad competente y suspender por el momento el estudio requerido. 153 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Por lo que se refiere al presente caso objeto de estudio, la aplicación de esta actividad se ve reflejada en el hecho de que para efectos del mismo, se da por hecho que un representante de la autoridad competente dio fe del análisis efectuado (es decir estuvo presente), de igual forma se da por hecho que se cuenta con los oficios que habilitan y permiten el presente estudio. SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que se presentan previas a la adquisición de la evidencia. • Implicaciones legales de la adquisición de datos, (metodología aplicada en la obtención de información, para su debida legalidad y autenticidad). • Documentar la cadena de custodia. ¿Qué hacer básico (recordatorio)? Se debe de garantizar la individualización, seguridad y preservación de los elementos materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad para los efectos del proceso. Forma de Aplicación de la Actividad. Para el caso particular propuesto, objeto de análisis, la aplicación de esta actividad se ve reflejada en los puntos en los que se hace referencia a la identificación del material objeto de estudio, la metodología aplicada, así como las herramientas forenses aplicadas (software y hardware) con el fin de darle respuesta al Planteamiento del Problema. 154 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? SubActividad 3.1.2 Requisitar por escrito la autorización para realizar el análisis forense en informática. Obtener la autorización por escrito para la intervención pericial, sea ésta por parte de la autoridad competente (por ejemplo: a través del Agente del Ministerio Público). Forma de Aplicación de la Actividad. A efectos del presente caso motivo de estudio, la aplicación de esta actividad se da por hecho, esto debido a las consideraciones que se han venido tomando en el presente trabajo tales como, que el equipo a ser analizado fue asegurado por una autoridad y esta a su vez la entrego para su análisis al perito en informática forense. SubActividad 3.1.3 Documentar la configuración y características del hardware del sistema. ¿Qué hacer básico (recordatorio)? Lograr la plena identificación del material objeto de estudio, evitando con ésto que se dude de la autenticidad de un equipo. Forma de Aplicación de la Actividad. En el caso particular del presente caso motivo de estudio, la aplicación de esta actividad se ve implícita en el desarrollo del estudio técnico que se le efectúa al material objeto de estudio, ya que en el mismo se documento las características técnicas de la unidad de disco 155 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. duro cuando este fue montado a otra computadora (en el ―argot‖, esto se refiere a que el disco se conecto a otra computadora). SubActividad 3.1.4 Plan de adquisición de la evidencia digital. ¿Qué hacer básico (recordatorio)? Metodología aplicada, con la que se llevará a cabo la adquisición de los datos, identificando que es lo más conveniente de acuerdo a las características del incidente ó material objeto de estudio. Forma de Aplicación de la Actividad. La metodología aplicada al presente caso objeto de estudio, fue la siguiente: 1. Observación directa del dispositivo (computadora) e información contenida en el disco duro asociado a la misma. 2. Descripción detallada del estudio técnico. 3. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con base en la lógica formal. Que para el presente caso la búsqueda se centro en la localización de información bancaria. Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles. 156 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Cuando se realiza la recolección de evidencia digital, se debe proceder de lo volátil a lo menos volátil. Forma de Aplicación de la Actividad. A efectos del presente análisis, esta actividad no se aplica, toda vez que se tuvo acceso al material objeto de estudio (computadora), cuando esta ya estaba apagada por lo que se procedió a efectuar su análisis, directamente sobre su disco duro. Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles. ¿Qué hacer básico (recordatorio)? Se consideran los elementos asociados a la computadora y que por sus características no se considera que generen ó proporcionen información volátil. Forma de Aplicación de la Actividad. Para el presente caso se seleccionó como fuente de información principal al disco duro asociado a la computadora objeto de estudio (ver Figura 4.4). Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos. 1. Descubrir datos relevantes. • No obtener información innecesaria. 2. Encontrar la evidencia. 157 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Descartar la información no relacionada con el incidente para acotar la búsqueda de la evidencia digital. Forma de Aplicación de la Actividad. En el presente caso motivo de estudio, esta actividad se aplicó, definiendo y centrando la búsqueda a la localización de información bancaria. Actividad 3.5 Crear el procedimiento para la adquisición de la imagen. ¿Qué hacer básico (recordatorio)? Se elige el software para adquirir la imagen (copia bit a bit) de la evidencia digital y se establece la forma (tamaño de archivos generados al obtener la correspondiente imagen, por ejemplo archivos de 700 MB para guardarlos en CDs), en la que se adquirirá la imagen forense, copia bit a bit del disco duro, objeto de estudio, así mismo si el caso de estudio así lo amerita se obtendrá el ―Hash‖ de la imagen adquirida. Forma de Aplicación de la Actividad. A efectos de realizar el presente análisis forense en informática, se eligió: la herramienta de apoyo de Software Forense FTK Imager de AccessData Corp. [http://www.accessdata.com/] 158 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Luego de haber realizado una somera revisión y con el fin de agilizar el análisis así como ahorrar en espacio de almacenamiento (recalcando en este punto el uso del protector contra escritura), se opto por obtener la imagen de una parte del disco duro. Una vez identificado el material objeto de estudio y con el fin de ilustrar el procedimiento de obtención de la imagen forense del disco duro objeto de estudio, primeramente se presentan las siguientes pantallas en las que se muestra tal proceso de obtención: Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software. 159 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En la figura anterior se observa la adición como evidencia a analizar con la herramienta de Software Forense AccessData FTK Imager. Archivo Borrado y visualizado en FTK Imager. Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a través del software forense AccessData FTK Imager. Así mismo se observa como este programa permite una vista previa de los archivos almacenados en el disco duro, incluso los eliminados. 160 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de estudio. De la figura anterior, es importante resaltar que con la información proporcionada a este software, se creará la imagen de todo el disco duro bajo análisis (si se opta por la imagen del Disco Duro Completo). 161 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al software forense, el destino de la imagen. De la figura anterior, es importante señalar que el destino donde se guardará la imagen tendrá que ser el suficiente para cumplir tal propósito, también es importante considerar el nombre de los archivos generados y el tamaño de los fragmentos generados (archivos). 162 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la imagen total del disco duro. Como se hizo referencia en líneas anteriores, para el presente estudio se opto por adquirir la imagen de una sección de información (carpeta ―Documents and Settings‖), del disco duro objeto de estudio, por lo que a continuación se presentan las pantallas que ilustran este procedimiento personalizado: 163 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Una vez que se montó el disco duro objeto de estudio (se adicionó como evidencia en el software), se seleccionó la carpeta ―Documents and Settings‖, para lo que posteriormente se seleccionó la opción ―Export Logical Image (AD1)‖, procedimiento que se muestra en la siguiente Figura: Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta ―Documents and Settings‖. 164 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Posteriormente y como resultado de ejecutar la opción ―Export Logical Image (AD1)…‖, sobre el directorio elegido y antes especificado, se visualizaron tres recuadros con la información que se muestra a continuación en la figura 4.13. Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la imagen de la carpeta ―Documents and Settings‖. De la figura anterior, se observa que el software genero tres reportes: Creación de la imagen al 100 %, Creación del directorio en forma de lista al 100 % y el ―Hash‖ (o firma digital de la información) de la imagen. 165 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2). SubActividad 3.3.1 Crear una copia física exacta de la evidencia. ¿Qué hacer básico (recordatorio)? Se obtiene la imagen (copia bit a bit) de la evidencia digital. Forma de Aplicación de la Actividad. En el presente caso objeto de estudio, esta actividad se aplicó de manera parcial ya que como se definió con antelación fue la carpeta ―Documents and Settings‖, de la cual se obtuvo su imagen forense. SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los cuales se obtendrá la imagen. 166 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Cuando se obtengan las imágenes forenses (copias bit a bit), de diferentes equipos (discos duros, memorias etc.), se deberán etiquetar de manera adecuada y correctamente a fin de no cometer errores en el manejo y custodia. Forma de Aplicación de la Actividad. En el presente estudio, el material fue identificado como ―01‖ y siendo un sólo elemento a analizar, no hubo mayor problema con respecto a la individualización de su imagen forense. SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura. ¿Qué hacer básico (recordatorio)? Hacer uso de protectores contra escritura (para la exploración de evidencia digital). Forma de Aplicación de la Actividad. Para la realización del presente estudio se contó con un bloqueador de escritura con el fin de no alterar la evidencia original y mantener su la integridad de la información almacenada intacta. SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el “Hash” por medio de los algoritmos MD5 ó SHA-1. 167 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? De acuerdo al software forense seleccionado se verifica la integridad de nuestra evidencia calculando el ―Hash‖. Forma de Aplicación de la Actividad. Derivado del proceso de obtención de imagen forense, se obtuvo el valor ―Hash‖ (guardado en el archivo: ―Imagen del Disco Duro Objeto de Estudio.ad1.txt‖), que se muestra en la siguiente figura: Para el presente caso objeto de estudio se obtuvieron los siguientes valores ―Hash‖: MD5 checksum: 2262c6f33fe0ed18e328a24e01523bb6 SHA1 checksum: a61e29c88aad2972c95e253451fafbd1aef43b4c Lo anterior, se puede corroborar observando la figura que se muestra a continuación: 168 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.15 Vista del contenido del archivo generados con el valor ―Hash‖ de la imagen del disco duro. SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen forense, hasta su creación, verificación y respaldo, para evitar que esta sea alterada de manera intencional. ¿Qué hacer básico (recordatorio)? Asegurarse que el material objeto de estudio se encuentre bien protegido. 169 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Se mantuvo el equipo de cómputo bajo resguardo y protegido de cualquier eventualidad, de igual manera se almaceno la imagen forense obtenida, bajo un medio ó soporte esterilizado (para el presente caso motivo de estudio considérese que se uso para el resguardo de la imagen forense, un disco duro nuevo) así mismo, se obtuvo el ―Hash‖ de la información adquirida (obtenida). SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen. ¿Qué hacer básico (recordatorio)? Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o limpiar esté medio de destino. Forma de Aplicación de la Actividad. Para el presente caso particular bajo estudio, la aplicación de esta actividad no aplica, toda vez que considerando el tamaño (7.31 GB (7.856.263.168 bytes)) de los dos archivos que conforman la imagen forense adquirida, no fue necesario utilizar un disco duro para su almacenamiento, sino que basto el resguardarlos en un Disco Compacto DVD de doble capa (estos discos tienen una capacidad de 8.5 GB). 170 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de múltiples imágenes. ¿Qué hacer básico (recordatorio)? Organizar adecuadamente el disco destino en el que se guardarán las imágenes forenses. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la imagen forense se resguardo en un disco compacto DVD de los llamados de doble capa, nuevo. SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea utilizado para imágenes posteriores, a menos que se le aplique un procedimiento que garantice su esterilización. ¿Qué hacer básico (recordatorio)? No reutilizar un disco duro para el resguardo de evidencia, a menos que se realice un procedimiento que asegure su esterilización. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que fue utilizado para el resguardo de las imágenes forenses adquiridas un disco compacto DVD de doble capa. 171 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está. ¿Qué hacer básico (recordatorio)? Trabajar siempre sobre un respaldo y no sobre la evidencia. Forma de Aplicación de la Actividad. En el presente análisis se trabajo sobre la imagen forense adquirida. SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual encontrada durante la creación de la imagen por medio de algún formato (capturas de pantalla, etc.), para estar en posibilidades de hacer alguna aclaración. ¿Qué hacer básico (recordatorio)? Notificar y documentar cualquier desperfecto a la hora de obtener la imagen forense de la información a analizar. Forma de Aplicación de la Actividad. En el presente caso motivo de estudio, no se presentó ninguna anomalía en la obtención de la imagen forense. 172 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y rectificar los errores de la obtención de la imagen, los cuales deberán ser documentados. ¿Qué hacer básico (recordatorio)? Cualquier procedimiento encaminado a la rectificación de un error debe ser documentado. Forma de Aplicación de la Actividad. En lo concerniente al presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que no se produjo ningún error durante el estudio técnico desarrollado para dar respuesta al Planteamiento del Problema. SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para la obtención de la imagen requiere de aprobación del perito en informática forense y ser documentado, es decir que no se puede manipular la imagen sin autorización del perito en informática responsable. ¿Qué hacer básico (recordatorio)? Cualquier intervención sobre la evidencia requerirá de la aprobación del perito en informática forense y a su vez ser documentado. Forma de Aplicación de la Actividad. A efectos del presente caso motivo de estudio, se estableció que la imagen forense se obtenía de manera parcial y no del total del disco duro, toda vez que de la exploración que se efectuó del disco duro, bajo estudio se observó que la información de interés se localizaba en un directorio (se obtuvo la imagen forense de la carpeta: ―Documents and Settings‖). 173 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la evidencia para mantener su integridad. ¿Qué hacer básico (recordatorio)? Deben definirse claramente las acciones a seguir con el manejo de la evidencia. Forma de Aplicación de la Actividad. Por lo que respecta al presente caso motivo de estudio, se estableció el ocupar un disco compacto DVD de doble capa para el resguardo de la imagen forense, derivado del tamaño de los dos archivos generados. SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición: • Manejo de imágenes forenses • Manejo de la evidencia obtenida • Conservación • Transporte ¿Qué hacer básico (recordatorio)? Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de comunicaciones y en un buen contenedor para evitar que esta se dañe. 174 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. En lo concerniente al presente caso motivo de estudio, se hizo uso de bolsas antiestáticas para salvaguardar el disco duro bajo estudio y se resguardo en un estuche plástico el disco compacto DVD en el que se almacenaron las imágenes forenses obtenidas. A continuación se desarrolla la Fase IV, de la presente Metodología: 175 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 4.4 Aplicación de la Fase IV. Análisis de Datos. FASE I FASE II FASE III FASE IV FASE V ¿Qué hacer básico (recordatorio)? Se definen los criterios de búsqueda con objetivos claros, en el proceso de análisis de la información. Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio. ¿Qué hacer básico (recordatorio)? Revisión de las imágenes forenses, para efectuar el análisis correspondiente. Forma de Aplicación de la Actividad. Por lo que respecta al presente caso de estudio se procedió a montar los dos archivos generados de imagen, al Software Forense para su respectivo análisis, como se muestra en la siguiente figura: 176 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida. SubActividad 4.1.1 Contar con disponibilidad de datos: ¿Qué hacer básico (recordatorio)? Tener a la mano todas y cada una de las copias forenses correspondientes a la evidencia adquirida de cada uno de los dispositivos bajo estudio. 177 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. En lo concerniente al caso objeto de estudio, se tuvo a la mano los archivos de la imagen adquirida con el Software Forense, la cual se observó en la Figura 4.16. SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño originado por él así como la naturaleza del mismo. ¿Qué hacer básico (recordatorio)? Contar con una estrategia de respuesta al incidente objeto de estudio; es importante establecer, junto con las buenas prácticas de seguridad, estrategias para la identificación y recolección de la evidencia del incidente. Por lo anterior es clave desarrollar y contar con experiencia y entrenamiento en labores forenses en informática que permitan mayor confianza en los procesos mencionados. Considerar que si la evidencia es recogida de una manera adecuada, habrá mayores posibilidades de establecer una ruta hacia el atacante y contar con mayores elementos probatorios en el evento de una persecución y juzgamiento del intruso. Forma de Aplicación de la Actividad. Con respecto al presente caso motivo de estudio no aplica esta Actividad ya que no es parte del problema planteado. 178 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? SubActividad 4.1.3 Evitar lo más que se pueda, el uso de la computadora si está se encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en vivo y/o post-mortem (apagado). Evaluar si conviene realizar el análisis en vivo (con la computadora encendida) y/o apagada. Forma de Aplicación de la Actividad. En lo referente al presente caso motivo de estudio, el análisis se realizó sustrayendo el disco duro de la computadora cuestionada (análisis post-mortem). SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible. ¿Qué hacer básico (recordatorio)? Si el equipo de cómputo se encuentra apagado, sustraerle el disco duro y hacer uso de algún tipo de herramienta forense; por ningún motivo se deberá encender dicho equipo. Forma de Aplicación de la Actividad. Para la realización del presente análisis la computadora cuestionada nunca fue encendida y su estudio fue realizado haciendo uso de un protector de escritura. 179 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si ésta se encuentra encendida, y de preferencia cuando se observe algo de interés para la investigación. ¿Qué hacer básico (recordatorio)? Fijar fotográficamente cualquier dato de interés. Forma de Aplicación de la Actividad. A efectos del presente caso objeto de estudio, la actividad en comento, no aplica ya que el equipo se recibió apagado. SubActividad 4.1.6 Realizar movimientos periódicos del Mouse. ¿Qué hacer básico (recordatorio)? Evitar que aparezca el protector de pantalla. Forma de Aplicación de la Actividad. Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que la computadora bajo análisis, se recibió apagada. 180 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el investigador se apersone en el lugar de los hechos ó escena del delito y la computadora este encendida). ¿Qué hacer básico (recordatorio)? Desconectar la computadora del cable de alimentación y/o quitar batería. Forma de Aplicación de la Actividad. Para el presente caso objeto de estudio no aplica, ya que la computadora se recibió apagada. SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que se considere aporte datos a la investigación. ¿Qué hacer básico (recordatorio)? De ser necesario considerar cualquier documental que facilite el presente análisis motivo de estudio. Forma de Aplicación de la Actividad. Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que se trata de una computadora comercial sin equipo adicional, así como el Planteamiento del Problema no requiere de un estudio más detallado. 181 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda (descrito en el Planteamiento del Problema). ¿Qué hacer básico (recordatorio)? Centralizar la búsqueda de información en estricto apego al Problema Planteado. Forma de Aplicación de la Actividad. Para el presente caso de estudio la búsqueda se centralizó en archivos de texto (plano ó enriquecido), conteniendo información bancaria. SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado. ¿Qué hacer básico (recordatorio)? Verificar si los archivos contienen algún tipo de cifrado. Forma de Aplicación de la Actividad. En lo que concierne al presente caso objeto de estudio se procedió a abrir los archivos, sin tener ningún problema. 182 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.1.11 Preparar el directorio o directorios de trabajo. ¿Qué hacer básico (recordatorio)? Se deberá seleccionar el área de trabajo (Subdirectorio, Carpetas ó Disco Duro), bajo la cual se iniciará el análisis. Forma de Aplicación de la Actividad. Por lo que refiere al presente caso objeto de estudio se determinó trabajar en la carpeta ó directorio ―Documents and Settings‖. SubActividad 4.1.12 Crear una estructura para directorios y archivos recuperados. ¿Qué hacer básico (recordatorio)? Tener un estricto control y orden al momento de recuperar información (archivos). Forma de Aplicación de la Actividad. Derivado del desarrollo de la ―Actividad 3.5 Procedimiento para la adquisición de la imagen‖, se obtuvo un archivo con extensión ―.csv‖, el cual contiene el directorio del disco duro bajo análisis, el cual se muestra en la siguiente Figura: 183 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco duro motivo de estudio. Actividad 4.2 Efectuar la extracción de evidencia. ¿Qué hacer básico (recordatorio)? Llevar a cabo la exploración sobre las Imágenes Forenses adquiridas con el fin de localizar información relacionada con el Planteamiento del Problema. 184 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Una vez obtenida la imagen (en este caso del directorio de interés y antes citado), se procedió a trabajar sobre él, llevándose a cabo una exploración exhaustiva sobre las Imágenes Forenses adquiridas con el Software Forense FTK Imager, con el fin de obtener la información solicitada. Figura 4.18 Exploración de la imagen forense obtenida. 185 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan respuesta al Planteamiento del Problema. 186 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Derivado de la aplicación de la presente actividad, se localizaron dos archivos objetivo, que se pueden visualizar en la Figura 4.19, los cuales corresponden a: ―bins.txt‖ y ―bolsa.doc‖. SubActividad 4.2.1 Efectuar la extracción física de evidencia. ¿Qué hacer básico (recordatorio)? Se lleva a cabo la sustracción de archivos relacionados con los hechos que se investigan. Forma de Aplicación de la Actividad. Una vez localizada la información requerida se procedió a sustraerla (Exportarla a otro medio), con el fin de respaldarla y anexarla al documento final: 187 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.20 Salida tipo pantalla en la que se observa cómo se realiza el proceso de exportación de archivos ubicados. En la figura anterior se muestra la evidencia adquirida, (archivos que se localizaron, trabajando sobre la imagen forense). Cabe señalar que para el presente caso y tomando en consideración que la información recuperada no representa un volumen grande de información, se tomo la decisión de respaldarla en un disco compacto CD, el cual corresponde a un medio de solo lectura. 188 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la etapa de análisis. ¿Qué hacer básico (recordatorio)? Escribir a detalle el estudio técnico realizado sobre el material objeto de estudio. Forma de Aplicación de la Actividad. Se procedió a documentar todo el estudio técnico como se observa en las figuras que ilustran la presente Fase IV: ―Análisis de datos‖. SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos. ¿Qué hacer básico (recordatorio)? Obtener características físicas del dispositivo a ser analizado. Forma de Aplicación de la Actividad. En el correspondiente caso objeto de estudio se tomo información recavada de la Actividad 2.1, SubActividad 2.2.12 y la Actividad 3.5. Dicha información consistió en datos como la capacidad de almacenamiento físico (corroborándolo con el lógico en la Actividad 3.5), número de serie (documentando el número de serie lógico recavado en la Actividad 3.5), marca, modelo y algunas observaciones respecto a su estado físico. 189 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.2.4 Recabar información, nombres de usuario e información del AD (Directorio Activo). ¿Qué hacer básico (recordatorio)? Recabar información correspondiente a los nombres de usuario y del directorio activo. Forma de Aplicación de la Actividad. La presente actividad, no aplica en la investigación objeto de estudio toda vez que no es parte del Planteamiento del Problema. SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los directorios corruptos o perdidos. ¿Qué hacer básico (recordatorio)? Recuperación de archivos y fragmentos de archivos útiles. Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio. SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por algunos criterios, por ejemplo aquellos que han sido afectados por el incidente). 190 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Identificar y recuperar los archivos objetivo, comparando sus valores ―Hash‖, (siempre y cuando sean archivos de sistema). Forma de Aplicación de la Actividad. En lo concerniente al presente caso objeto de estudio, se procedió a darle respuesta a lo solicitado por la autoridad competente, en estricto apego a su Planteamiento del Problema, para lo cual se procedió a localizar y extraer los archivos, con las características que satisfacían su requerimiento. SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados y la recuperación de información escondida. ¿Qué hacer básico (recordatorio)? Llevar a cabo la recuperación de archivos. Forma de Aplicación de la Actividad. La presente actividad no aplica para el actual caso objeto de estudio, ya que no forma parte del Planteamiento del Problema. 191 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Actividad 4.3 Efectuar la extracción, lógica de evidencia. ¿Qué hacer básico (recordatorio)? Obtener información sobre el sistema de archivos. Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento del Problema. SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la instalación del sistema operativo, sistema de archivos y / o aplicaciones. ¿Qué hacer básico (recordatorio)? Identificación de datos basados en la instalación del sistema operativo. Forma de Aplicación de la Actividad. En lo que se refiere al presente caso motivo de estudio, esta actividad no aplica, ya que no es parte del Planteamiento del Problema. SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis. ¿Qué hacer básico (recordatorio)? Definir las herramientas a utilizar, para realizar el análisis. 192 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para dar cumplimiento a la presente actividad se determino trabajar con el Software Forense FTK Imager de AccessData. SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar las características de la estructura de directorios, atributos, nombres, estampas de tiempo, tamaño y localización de archivos. ¿Qué hacer básico (recordatorio)? Extracción de información del sistema de archivos. Forma de Aplicación de la Actividad. Ésta actividad no aplica para el presente análisis, ya que no forma parte del Planteamiento del Problema. SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación, basándose en nombre y extensión del archivo, cabecera de archivos, contenido y ubicación dentro del dispositivo de almacenamiento. ¿Qué hacer básico (recordatorio)? Extracción de archivos pertinentes para la evaluación, basándose en nombre y extensión del archivo. 193 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Derivado de la exhaustiva exploración sobre el disco duro motivo de estudio, enfocándose en los datos generados por el usuario y en estricto apego al Planteamiento del Problema se obtuvieron dos archivos de texto, los cuales al abrirlos y visualizar su contenido correspondieron a su extensión por lo que no fue necesario visualizar su cabecera (haciendo uso de un editor hexadecimal). SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin asignar (Unallocated File Space). ¿Qué hacer básico (recordatorio)? Recuperación de archivos eliminados. Forma de Aplicación de la Actividad. En lo concerniente al presente caso motivo de estudio, ésta actividad no aplica ya que no forma parte del Planteamiento del Problema. SubActividad 4.3.7 Extraer archivos protegidos, con passwords (contraseña), encriptados y datos comprimidos. Si se tiene la lista de password de usuarios y la colaboración de los usuarios, la investigación será más fácil, de no ser así deberá documentarse el empleo de herramientas que permitieron efectuar la extracción de contraseñas. 194 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Extracción de archivos protegidos con passwords (contraseña), encriptados y datos comprimidos. Forma de Aplicación de la Actividad. Ésta actividad no aplica en el presente caso motivo de estudio, ya que los archivos localizados y considerados como evidencia no poseen estos atributos, es decir no cuentan con contraseña ó alguna otra característica que impida su apertura. SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con el fin de extraer la información del “file slack”. ¿Qué hacer básico (recordatorio)? Extraer la información del ―file slack‖. Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio, ya que no es parte del Planteamiento del Problema. SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows. ¿Qué hacer básico (recordatorio)? Obtención de información del archivo Swap. 195 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. En lo concerniente al presente caso motivo de análisis, esta actividad no aplica, ya que no forma parte del Planteamiento del Problema. Actividad 4.4 Analizar los datos extraídos. ¿Qué hacer básico (recordatorio)? Llevar a cabo un exhaustivo análisis de los archivos obtenidos. Forma de Aplicación de la Actividad. Una vez extraídos los archivos producto de su búsqueda exhaustiva, se procedió a efectuar su análisis. SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación de metadatos. ¿Qué hacer básico (recordatorio)? Se deberá interpretar adecuadamente los metadatos de cada archivo. Forma de Aplicación de la Actividad. Se obtuvo información importante tal como la fecha de modificación, hora, nombre, extensión y el tamaño de los archivos sustraídos, lo cual se muestra en la siguiente figura: 196 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los archivos localizados. SubActividad 4.4.2 Efectuar un pre análisis de la evidencia. ¿Qué hacer básico (recordatorio)? • Agregación y transformación: Unificación y recuperación de datos. • Generación de metadatos: categorización e indexación, esto es se registrarán ordenadamente los datos e información obtenida de la evidencia. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, por el hecho de manejar poco volumen de información localizada (dos archivos encontrados como evidencia), la información recabada sobre la evidencia se presento directamente tal y como se obtuvieron sus pantallas en el Software Forense y que se observa en la Figura 4.21. 197 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos. ¿Qué hacer básico (recordatorio)? Determinar si existen procesos ajenos a los propios del sistema operativo o de las aplicaciones. Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio, ya que para el presente caso por recibirse el equipo apagado y desconectado de cualquier red de cómputo, no se consideró necesario e incluso tomando en cuenta que no forma parte de nuestro Planteamiento de Problema. SubActividad 4.4.4 Relacionar datos y evidencia. ¿Qué hacer básico (recordatorio)? • Diferencia entre datos y evidencia, aislamiento y su contextualización. • Como relacionar los datos obtenidos con la evidencia. • Sostenimiento de la evidencia Forma de Aplicación de la Actividad. En lo referente al caso motivo de estudio, la información recabada ó encontrada (dos archivos), se le presentaron a la autoridad competente y se tomo la decisión de tomarlos como evidencia. 198 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Actividad 4.5 Efectuar el análisis de tiempo de los eventos. ¿Qué hacer básico (recordatorio)? Consiste en considerar fechas y tiempos en los archivos analizados. Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento del Problema. SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de cómputo. ¿Qué hacer básico (recordatorio)? Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir cuando ocurrió determinado evento. Forma de Aplicación de la Actividad. Ésta actividad no aplica para el presente caso motivo de estudio, ya que no forma parte del Planteamiento del Problema. 199 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación, etc.). ¿Qué hacer básico (recordatorio)? Correlacionar los eventos y demostrar con ello la creación, modificación y último acceso. Forma de Aplicación de la Actividad. Por lo que se refiere a la presente actividad, ésta no aplica para el presente caso motivo de estudio, ya que no forma parte del Planteamiento del Problema. SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones. ¿Qué hacer básico (recordatorio)? Localizar posibles indicios de alguna intrusión y/o por el que se halla comprometido el sistema. Forma de Aplicación de la Actividad. La presente actividad no aplica en el para éste caso motivo de estudio, por no formar parte del Planteamiento del Problema. 200 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Actividad 4.6 Analizar los datos ocultos (de sistema). ¿Qué hacer básico (recordatorio)? Si la investigación así lo amerita efectuar un estudio detallado, sobre los archivos de sistema. Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. SubActividad 4.6.1 Detectar y recuperar datos ocultos. ¿Qué hacer básico (recordatorio)? Para llevar a cabo dicha actividad el investigador puede apoyarse en un sin número de aplicaciones gratuitas (muchas de ellas en ambiente Linux), que permiten realizar análisis forenses informáticos, incluso existen Live CD (Disco que funciona como disco de ―Booteo‖ (Disco que inicializa un equipo)), tales como Live CD Helix3 de e-fense® , Live CD Forense Raptor ó el Live CD de Informática Forense DEFT. Forma de Aplicación de la Actividad. En lo referente a la presente actividad ésta no aplica para este caso, por no formar parte del Planteamiento del Problema. 201 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.6.2 Correlacionar los encabezados de archivos a su correspondiente extensión para identificar alguna discrepancia, esto se logra con editores hexadecimales, como WinHex. ¿Qué hacer básico (recordatorio)? Después de elegir algún editor hexadecimal con el fin de explorar un archivo para corroborar que corresponde el tipo de archivo con su extensión. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, no aplica ésta actividad por no formar parte del Planteamiento del Problema. Actividad 4.7 Analizar las aplicaciones instaladas. ¿Qué hacer básico (recordatorio)? Se identifican y analizan aplicaciones (herramientas informáticas, es decir programas de aplicación). Forma de Aplicación de la Actividad. Ésta actividad no aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. 202 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.7.1 Obtener información relevante relacionada con la investigación obtenida de los archivos y aplicaciones. ¿Qué hacer básico (recordatorio)? Obtener información que servirá, para la toma de medidas adicionales que deben de adoptarse en la extracción y análisis de procesos. Forma de Aplicación de la Actividad. Por lo que se refiere a esta actividad, para el presente caso motivo de estudio, no aplica. SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar su relevancia. ¿Qué hacer básico (recordatorio)? Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio. Forma de Aplicación de la Actividad. Derivado del poco volumen de información que se manejo para el presente análisis, ésta actividad no aplica. SubActividad 4.7.3 Explorar el contenido de los archivos. ¿Qué hacer básico (recordatorio)? 203 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Efectuar la exploración de los archivos, considerados evidencia dentro del caso de estudio. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio se procedió a abrir todos y cada uno de los archivos obtenidos bajo el análisis y derivado de ello fueron considerados como evidencia. SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de archivos. ¿Qué hacer básico (recordatorio)? Efectuar la identificación del Sistema operativo y/o Sistema de archivos, del material objeto de estudio. Forma de Aplicación de la Actividad. La presente actividad no se aplica, por no formar parte del Planteamiento del Problema. SubActividad 4.7.5 Obtener información sobre el Software instalado, actualizaciones y parches. ¿Qué hacer básico (recordatorio)? Documentar la paquetería y actualizaciones con la que cuenta el elemento de estudio. Forma de Aplicación de la Actividad. Ésta no se aplica para el presente caso motivo de estudio, por no ser parte del Planteamiento del Problema. 204 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas. ¿Qué hacer básico (recordatorio)? Encontrar relación entre los archivos encontrados en el material de estudio y las aplicaciones instaladas en el mismo. Forma de Aplicación de la Actividad. La actividad antes citada no se aplica para el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la instalación del software), para determinar su valor en la información. ¿Qué hacer básico (recordatorio)? Identificar archivos desconocidos y determinar su valor dentro de la investigación. Forma de Aplicación de la Actividad. La actividad antes citada no aplica para el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los usuarios con lo que respecta a sus aplicaciones y a la estructura de archivos. ¿Qué hacer básico (recordatorio)? 205 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Determinar si la información se ha almacenado en el lugar por defecto o en otro lugar (modificación de la configuración). Forma de Aplicación de la Actividad. No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario. ¿Qué hacer básico (recordatorio)? Documentar la configuración del perfil de usuario del material motivo de estudio. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio no se aplica ésta actividad, por no formar parte del Planteamiento del Problema. SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de Internet, cookies etc. ¿Qué hacer básico (recordatorio)? El principal objetivo de esta actividad es recabar la información generada por el navegador (motor de búsqueda) y vincularla a los hechos que se investigan. Forma de Aplicación de la Actividad. 206 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La actividad no se aplica para el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. Actividad 4.8 Analizar datos de la Red de cómputo. ¿Qué hacer básico (recordatorio)? Documentar información relacionada con los dispositivos y/o elementos técnicos que conforman la red de cómputo. Forma de Aplicación de la Actividad. Ésta actividad no se aplica para el presente caso motivo de estudio, por no formar parte del Planteamiento del Problema. SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa perimetral. ¿Qué hacer básico (recordatorio)? Identificar dispositivos tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection System), IPS‘s (Intrusion Prevention Systems), ―Proxys‖, Servidores de ―Logs‖, etc. Forma de Aplicación de la Actividad. En lo que concierne al presente caso motivo de estudio, ésta actividad no aplica por no formar parte del Planteamiento del Problema. 207 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Ahora finalmente a continuación, se desarrolla la Fase V de la metodología propuesta, para lo cual es necesario que se hayan realizado a cabalidad las fases anteriores de la presente metodología. 208 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos. FASE I FASE II FASE III FASE IV FASE V ¿Qué hacer básico (recordatorio)? Se redacta y estructura el documento final que sustentará una prueba en un proceso legal. Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la investigación del análisis forense informático Actividad 5.1 Considerar todas y cada una de las Actividades que conforman la presente Fase a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento final. ¿Qué hacer básico (recordatorio)? Tener presente todas las generalidades, sobre la elaboración del documento final y en el cual se obtendrán la(s) conclusión (es) del caso bajo estudio. Forma de Aplicación de la Actividad. Para la elaboración del Dictamen en la especialidad de Informática Forense, se consideraron todas y cada una de las actividades que conforman la presente Fase, en lo que concierne a la estructura del documento final. 209 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento final. ¿Qué hacer básico (recordatorio)? El Dictamen en Informática Forense, podrá estar conformado de acuerdo a la experiencia personal, por los apartados correspondientes a: I) Antecedentes. II) Planteamiento del Problema. III) Identificación del material objeto de estudio. IV) Consideraciones Técnicas. V) Estudio técnico. VI) Conclusiones ó Conclusión. Así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y/o ―Anexos‖. Forma de Aplicación de la Actividad. Una vez practicadas las fases anteriores, se recabo la información obtenida de las mismas, por lo que se opto para el presente caso objeto de estudio, incluir los siguientes apartados dentro del documento final: I) Antecedentes. II) Planteamiento del Problema. III) Identificación del material objeto de estudio. IV) Consideraciones Técnicas. V) Estudio técnico. VI) Conclusiones ó Conclusión. 210 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tomando en cuenta, que en lo que respecta al apartado correspondiente a las ―Consideraciones Técnicas‖, esté estará sujeto a la consideración del perito que lleva el caso (si de acuerdo al estudio realizado, se deriva alguna consideración técnica). Posteriormente se verán desarrollados cada uno de estos aparatados. SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo por el cual se realizó este estudio determinado. ¿Qué hacer básico (recordatorio)? Razón en la cual se motiva determinado análisis forense, sobre el material objeto de estudio. Forma de Aplicación de la Actividad. La presente intervención pericial estuvo motivada en la solicitud expresa de la autoridad competente. SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente a los Antecedentes. ¿Qué hacer básico (recordatorio)? El cual consistirá, en una breve narración de los hechos precedentes a la intervención pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que se investigan, quien solicita nuestra intervención pericial, a que lugar se tendrá que trasladar el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con los hechos que se investigan, tal como si fue necesario consultar el expediente de la 211 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a cabo el estudio correspondiente. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, se tomó la decisión de incluir el apartado correspondiente a los ―Antecedentes‖, por creerlo necesario ya que aclara algunos detalles dentro de la investigación, quedando de la siguiente manera: I) Antecedentes. En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por la C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en materia de informática, a efecto de que se trasladé y presente el día viernes 25 de abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada en X. Una vez enterado de su petición me presente al lugar indicado en su oficio de petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno Con Detenido, quien me informó que sería necesario realizar un análisis a un equipo de cómputo, de igual manera me informa que previo a mi intervención pericial se encuentra la de la policía en cómputo. Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de estudio. 212 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Cabe señalar que al momento de llevar a cabo la presente intervención pericial, el equipo de computo bajo estudio, esté se encontraba apagado, sin cable alguno, sin monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se aprecia con marcas propias de uso. De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo el C. X. SubActividad 5.1.4 Estudiar el apartado, correspondiente al “Planteamiento del Problema”. ¿Qué hacer básico (recordatorio)? Le indica al perito en informática forense, de una manera clara y objetiva el motivo de su intervención pericial. Forma de Aplicación de la Actividad. Después de efectuar una atenta lectura al ―Planteamiento del Problema‖, se procedió a realizar el estudio técnico, correspondiente con el fin de darle respuesta a lo requerido por la autoridad competente. II) Planteamiento del Problema. A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖ 213 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 5.1.5 Incluir un apartado con la “Identificación del material objeto de estudio”, (descripción a detalle del material objeto de estudio). ¿Qué hacer básico (recordatorio)? Se especifica por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o inventario, alguna observación tal como si se encuentra en buen estado ó maltratado. Forma de Aplicación de la Actividad. Se llevo a cabo la Identificación plena del material objeto de estudio, quedando de la siguiente manera: III) Identificación del material objeto de estudio. No. 01 Descripción Marca CPU (gabinete Marca Modelo ####-L# L# No. Serie ##LLL####LL minitorre), color negro, Disco Asociado 1.- Marca de 320 GB S/N: #LL#L#L# con un disco duro. Observación: El presente material objeto de estudio presenta marcas propias de uso, así mismo se informa que el equipo es armado (sin marca). 214 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones Técnicas‖, necesarias para llevar a cabo el estudio correspondiente. ¿Qué hacer básico (recordatorio)? Se establecen las razones por las cuales se procederá de tal manera y/o justificaciones del uso ó no de alguna herramienta informática. Forma de Aplicación de la Actividad. Se establecieron una serie de consideraciones técnicas a tomar en cuenta en el documento final, a fin de dar respuesta a futuras preguntas y justificar la manera en que se realizo el estudio técnico, esto se puede observar a continuación: IV) Consideraciones Técnicas. El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe del estudio técnico efectuado. A efecto de realizar la exploración del disco duro, este se sustrajo del gabinete objeto de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector contra escritura y software de análisis forense. Una vez terminado su respectivo estudio el disco duro fue ensamblado nuevamente en su ubicación original. En lo que se refiere al uso del protector contra escritura, este dispositivo permite la exploración de un disco duro con la propiedad de sólo lectura, con la finalidad de preservar su contenido intacto. 215 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. En lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖. En cuanto a las pantallas presentadas en el presente documento, estas son presentadas a escala para una mejor apreciación. SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico. ¿Qué hacer básico (recordatorio)? Se determina la metodología a utilizar para el correspondiente análisis, acorde al problema planteado. Forma de Aplicación de la Actividad. Se estableció la metodología a implementar dentro del respectivo estudio técnico a seguir durante el caso de estudio, el cual consistió en: V) Estudio técnico. La metodología aplicada al presente caso objeto de estudio, fue la siguiente: Observación directa aplicada al dispositivo (computadora) e información contenida en el disco duro asociado a la misma. Descripción a detalle del estudio técnico. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con base en la lógica formal. 216 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez teniendo identificado el material motivo de estudio y en presencia de la fe ministerial se procedió de la siguiente manera: 1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilitó al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su información almacenada intacta, al efectuar el presente estudio (exploración del disco duro). Seguido y al momento de conectar el disco duro, en un equipo de cómputo auxiliar para llevar a cabo su análisis se observó que fue identificado como: ―F:\‖, (Letra asignada a la unidad de disco duro objeto de estudio y la cual se mostró cuando se exploró en Mi PC). Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura. 217 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Posteriormente, usando el software forense se procedió a obtener la imagen forense de la información de interés: Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito. Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad Competente (Planteamiento del Problema). 218 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que conforman la Imagen Forense del presente caso bajo estudio. 219 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se apegan al criterio especificado en el Planteamiento del Problema. Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el mismo de la misma manera en que se recibió. SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de una manera clara y precisa. ¿Qué hacer básico (recordatorio)? La intervención pericial emite una conclusión que viene formulada sobre concretos datos arrojados por el estudio técnico. 220 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Con base a la aplicación de la presente metodología se llego a la siguiente: VI) Conclusión: Única: En el material objeto de estudio descrito en el apartado correspondiente a la Identificación del material objeto de estudio e identificado como 01, se localizaron dos archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en el Planteamiento del Problema. SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final obtenida, para que esta sea presentada. ¿Qué hacer básico (recordatorio)? Con la información obtenida mediante la aplicación de la presente metodología se redacta el Dictamen Pericial, que es, el objeto de la aplicación de la metodología que se presenta. Forma de Aplicación de la Actividad. Se redactó, estructuró y elaboró el Dictamen en Informática Forense, incluyendo los aparatados propuestos en la SubActividad 5.1.1. Considerando el caso motivo de estudio a continuación se presentan los apartados sugeridos en esta actividad, de acuerdo a como deberían presentarse en el documento final: 221 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. I) Antecedentes. En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por el C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en materia de informática, a efecto de que se trasladé y presente el día viernes 25 de abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada en Y. Una vez designado para atender su requerimiento, me presente al lugar indicado en su oficio de petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno Con Detenido, quien me informó que, sería necesario realizar un análisis a un equipo de cómputo, de igual manera, me informa que previo a mi intervención pericial se encuentra la de la policía en cómputo. Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de estudio. Cabe señalar, que al momento de llevar a cabo la presente intervención pericial, el equipo de cómputo bajo estudio, esté se encontraba apagado, sin cable alguno, sin monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se aprecia con marcas propias de uso. De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo el C. X. 222 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. II) Planteamiento del Problema. A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖ III) Identificación del material objeto de estudio. No. 01 Descripción CPU (gabinete Marca Marca Modelo ####-L# L# No. Serie ##LLL####LL minitorre), color Disco Asociado 1.- Marca de 320 GB S/N: #LL#L#L# beige, con un disco duro. Observación: El presente material objeto de estudio presenta marcas propias de uso, así mismo se informa que el equipo es armado (sin marca). IV) Consideraciones Técnicas. El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe del estudio técnico efectuado. 223 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. A efecto de realizar la exploración del disco duro, éste se sustrajo del gabinete objeto de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector contra escritura y software de análisis forense. Una vez terminado su respectivo estudio el disco duro fue ensamblado nuevamente en su ubicación original. En lo concerniente al uso del protector contra escritura, cabe señalar que el mismo permite la exploración de un disco duro con la propiedad de sólo lectura, con la finalidad de preservar su contenido intacto. Por lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖. En cuanto a las pantallas presentadas en el presente documento, estas son presentadas a escala para una mejor apreciación. V) Estudio técnico. La metodología aplicada al presente caso objeto de estudio, fue la siguiente: Observación directa aplicada al dispositivo (computadora) e información contenida en el disco duro asociado a la misma. Descripción a detalle del estudio técnico. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con base en la lógica formal. 224 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez teniendo identificado el material motivo de estudio y en presencia de la fe ministerial se procedió de la siguiente manera: 1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilito al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su información almacenada intacta, al efectuar el presente estudio (exploración del disco duro). Seguido y al momento de conectar el disco duro objeto de estudio al equipo de computo auxiliar (computadora), con el fin de efectuar su exploración, el mismo fue identificado con la Unidad: ―F:\‖, lo que se mostró seleccionando Mi PC y observando las unidades de disco duro identificadas. Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura. 225 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Posteriormente usando el software forense se procedió a obtener la imagen forense de la información de interés, lo cual se muestra a continuación. Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito. Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad Competente (Planteamiento del Problema). 226 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que conforman la Imagen Forense del presente caso bajo estudio. 227 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Figura 4.29 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se apegan al criterio especificado en el Planteamiento del Problema. Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el mismo de la misma manera en que se recibió. Con base en lo anterior se determina la siguiente: VI) Conclusión: Única: En el material objeto de estudio descrito en el apartado correspondiente a la Identificación del material objeto de estudio e identificado como 01, se localizaron dos archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en el Planteamiento del Problema. 228 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Observación: Se adjunta al presente documento, Disco Compacto DVD (con número de serie: XXXXX), conteniendo los archivos extraídos, mismos que se apegan al requerimiento especificado en el Planteamiento del Problema. SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial. ¿Qué hacer básico (recordatorio)? Firmar el Dictamen, así mismo no olvidar incluir en el cuerpo del Dictamen a todas las personas que de alguna manera intervinieron en el caso bajo estudio. Forma de Aplicación de la Actividad. Una vez conformado el presente Dictamen, se procedió a rubricarlo (firmarlo). SubActividad 5.1.11 Incluir secciones complementarias, tales como la realización de un glosario, apéndice y anexos. ¿Qué hacer básico (recordatorio)? El perito determinará, la necesidad de acompañar su Dictamen de otras secciones complementarias que lo ilustren y lo complementen. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio se acompaña el Dictamen de un disco compacto DVD conteniendo los dos archivos encontrados y tomados como evidencia. 229 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la presente actividad, con el fin de elaborar el documento final. ¿Qué hacer básico (recordatorio)? Al momento de realizar el documento final, será recomendable el tomar en consideración todas y cada una de las subactividades que conforman la presente actividad. Forma de Aplicación de la Actividad. Al momento de elaborar el Documento final motivo de la presente metodología, se consideraron todas las subactividades que integran la respectiva actividad. SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con claridad los hallazgos. ¿Qué hacer básico (recordatorio)? Utilizar un lenguaje claro y preciso para explicar los resultados obtenidos. Forma de Aplicación de la Actividad. Como resultado de la aplicación de esta metodología, se redactó la conclusión obtenida de una manera clara y precisa. SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los procedimientos técnicos utilizados. 230 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Llevar a cabo una bitácora de los procedimientos a emplear. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, la actividad no aplica ya que por haber realizado un estudio técnico relativamente sencillo en cuanto a procedimientos, en este caso no fue necesario el realizar una bitácora. SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia. ¿Qué hacer básico (recordatorio)? Realizar un minucioso recuento en cuanto a la cadena de custodia efectuada. Forma de Aplicación de la Actividad. Se redacto en el documento final una observación en la que se especifica la devolución del material objeto de estudio (en el presente caso, una computadora). SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante toda la investigación. ¿Qué hacer básico (recordatorio)? Tener a la mano y por duplicado todos los oficios recibidos y/o redactados durante la investigación. 231 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio, se da por hecho el haber llevado a cabalidad la presente actividad. SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense, utilizadas durante el análisis. ¿Qué hacer básico (recordatorio)? Dar una breve explicación del uso de la aplicación informática ó hardware empleado durante la investigación. Forma de Aplicación de la Actividad. Se justificó el uso del protector contra escritura, así como su funcionamiento. SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer entendible la conclusión. ¿Qué hacer básico (recordatorio)? Las pruebas que se localicen y/o cualquier hallazgo se hará sin dar excesivos detalles acerca de cómo se obtuvieron estas. Cualquier descripción a detalle, colocarlo en el apartado correspondiente al estudio técnico. 232 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Se redactó el apartado correspondiente a las conclusiones con un lenguaje sencillo y claro, dejando cualquier detalle para el apartado correspondiente al estudio técnico. SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos justificativos o de apoyo. ¿Qué hacer básico (recordatorio)? Tener bien documentado cualquier consulta a: indagatorias (expedientes de averiguaciones previas), manuales (llámesele manual operativo, respecto a algún procedimiento) y/o manuales institucionales, reglamentos etc. Forma de Aplicación de la Actividad. En lo concerniente a la actual problemática bajo estudio, la presente actividad no aplica ya que no se considero ningún manual ó documento de cotejo (comparativo) para realizar la búsqueda de información bancaria. SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota aclaratoria en la que se especifique que se entrega el material objeto de estudio de la misma forma en la que se recibió. ¿Qué hacer básico (recordatorio)? Incluir una nota u observación en la que se especifique la entrega del material motivo de estudio. 233 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Forma de Aplicación de la Actividad. Se incluyó en el cuerpo del Documento Final, la siguiente leyenda: ―Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el mismo de la misma manera en que se recibió.‖; de esta manera, se tendrá un mecanismo más para deslindarse de cualquier responsabilidad por el daño ó perdida del material motivo de estudio. SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial, producto de la aplicación de la presente metodología. ¿Qué hacer básico (recordatorio)? Una vez terminado el Dictamen Pericial, se deberá tener el cuidado suficiente al momento de ser entregado, cuidando detalles tales como, que la persona que reciba, escriba: su nombre, firma, fecha (en ocasiones si se cree conveniente la hora también), y especifique bien, que lo que está recibiendo es un Dictamen ó bien un informe o se establezca si recibe anexos y por ultimo precise que recibe el material motivo de estudio. Forma de Aplicación de la Actividad. Para el presente caso motivo de estudio la presente actividad se da por realizada (por tratarse de un caso supuesto). SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final antes de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se recomienda firmar al margen todas y cada una de las fojas que constituyan el Documento Final. 234 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. ¿Qué hacer básico (recordatorio)? Se recomienda que todo texto vaya antes de firmar el dictamen, se recomienda firmar todas las fojas que constituyan el mismo, así como no dejar espacios en blanco pronunciados. Forma de Aplicación de la Actividad. Al elaborar el Dictamen, se llevaron a cabo todas las recomendaciones dadas por esta actividad. 235 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Resumen del Capítulo: En este Capítulo, se desarrollaron las cinco Fases de la Metodología Propuesta, de acuerdo a cada una de sus Actividades. Con esto se verifica la funcionalidad y la viabilidad de la Metodología para ser aplicada por un investigador forense en informática. Se presentó la forma adecuada de realizar una intervención pericial en Informática Forense ante la presunción de un delito informático, lo anterior mediante procedimientos para identificar, asegurar, extraer, analizar y presentar las evidencias encontradas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal. Se demostró la importancia de realizar un claro, objetivo y puntual Planteamiento del Problema, así como, el que cada fuente de información se catalogue e identifique preparándola para su posterior análisis y la adecuada documentación de cada prueba aportada. También se hizo hincapié en que las evidencias digitales, deberán ser obtenidas bajo la aplicación de un adecuado estudio técnico, que garantice la integridad de ésta, permitiendo elaborar un dictamen claro, conciso, fundamentado y justificado en las hipótesis que en él se barajan a partir de las pruebas recogidas. Ahora, para finalizar el documento de Tesis, en el siguiente Capítulo, se hará la valoración de Objetivos, Trabajos Futuros y las Conclusiones del trabajo de Tesis. 236 Ing. Arturo Palacios Ugalde. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 5.Valoración de Objetivos, Trabajos Futuros y Conclusiones. 237 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Capítulo 5. Valoración de Objetivos, Trabajos Futuros y Conclusiones. 5.0 Presentación. En el Capítulo anterior, se aplicó la Metodología Propuesta para desarrollar todas y cada una de sus Fases, compuesta por la: Fase I. Planteamiento del Problema, Fase II. Identificación Detallada del Material objeto de estudio, Fase III. Adquisición de Evidencia, Fase IV. Análisis de Datos y la Fase V. Presentación de Resultados Obtenidos. Ahora en el presente Capítulo, se presenta la valoración de los objetivos, los trabajos a futuro aplicables a la Metodología Propuesta, las conclusiones de este trabajo y por último se anexa, la bibliografía utilizada de apoyo para la elaboración del presente proyecto de Tesis. 5.1 Valoración de Objetivos. 5.1.1 Valoración del Objetivo General. En el trabajo de Tesis se obtuvo una Metodología para llevar a cabo una intervención pericial en Informática Forense, la cual puede ser muy útil al intervenir dentro de una investigación donde se halla suscitado un incidente informático. Con esto, se infiere que la Metodología Propuesta, puede ser aplicada en cualquier investigación relacionada con delitos informáticos. 238 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. El objetivo general presentado: Proponer una Metodología con un enfoque sistémico para su aplicación en la Informática Forense, en auxilio de la Justicia Moderna, el cual se cumple a lo largo del desarrollo de los capítulos anteriores, así, como de los objetivos específicos. La aplicación de la Metodología Propuesta dejó ver que el vasto mundo de la informática, requiere de métodos y procedimientos flexibles y adaptables acorde a la vida real, desarrollándose y aplicándose las cinco Fases que la integran. Lo anterior, basado en un Enfoque Sistémico para la Realización de peritajes en informática y bajo el fin mediato de la Criminalística (llegar a la verdad objetiva del hecho). A continuación, se mostrarán los objetivos particulares alcanzados al finalizar el presente proyecto de Tesis: 5.1.2 Valoración de Objetivos particulares. Se considera, que se dio cumplimiento a los objetivos particulares de la tesis, debido a que se realizó un trabajo para identificar las circunstancias y elementos a considerar al momento de realizar una intervención pericial en la vida real. A continuación, se muestra una tabla referente a los objetivos particulares: 239 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Tabla 5.1 Valoración de los Objetivos Particulares. Objetivo a Verificar Objetivo Verificado ¿Qué hacer? ¿Qué se obtuvo? Conocer el medio ambiente en cuanto a los delitos informáticos, para conocer el mecanismo de cómo se debe responder ante un eventual ataque informático. Permitió obtener una visión del medio ambiente donde se desarrollaron las fases de la Metodología Propuesta, así como el tener presentes algunas consideraciones imprescindibles al momento de llevar a cabo una intervención pericial. Analizar las Metodologías y estándares en cuanto a evidencia digital se refiere para efectuar una evaluación y diagnóstico de la situación actual. Fue esencial el conocer bajo que Medio Ambiente se desenvuelve la Informática Forense, bajo el contexto legal en el marco de una intervención pericial. Aplicar la metodología propuesta en un Se presentaron las actividades que caso de estudio real para iniciar la integran la Metodología bajo un contexto evaluación de su implementación. técnico – legal, encaminadas a obtener la verdad histórica de los hechos que se investigan. Como se observa, en general se cumplieron los objetivos del proyecto de tesis; sin embargo se puede considerar que, dentro de la aplicación de la Informática Forense existen otros factores que son muy importantes, como son: el considerar los aspectos operacionales como requerimientos técnicos para adquisición de evidencia, colaboración con otros grupos u organismos de investigación, gestión de casos, la realización de cualquier estudio técnico bajo el soporte de la Ley, desarrollo de políticas de seguridad para respuesta a incidentes y plan preventivo y de continuidad. Esto se puede tomar en cuenta para los siguientes: 240 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 5.2 Trabajos Futuros: En este apartado se engloban una serie de propuestas de continuación al trabajo iniciado en esta tesis. Estas propuestas, quedan definidas mediante los siguientes puntos: Evaluación constante: Un aspecto importante que complementará el desarrollo de la metodología propuesta consistirá en someter la metodología a una evaluación formal y constante. Esta evaluación deberá ser guiada a través de criterios o mecanismos establecidos por algún modelo – guía existente o bien, desarrollar la adaptación del modelo ó guía para que pueda ser aplicado. Los resultados de la evaluación deberán proporcionar información que permita detectar puntos débiles de la metodología, y de esta manera, realizar una mejora en los procesos de la propuesta. Evidencia en la red: El presente trabajo presenta una metodología generalizada aplicada a la Informática Forense, poniendo especial atención en los equipos de cómputo (computadoras personales). Una propuesta de trabajo a futuro, puede consistir en un proyecto que estudie ó proponga el desarrollo de métodos y técnicas especializadas para efectuar el análisis sobre una red de cómputo, sea Internet, intranet y sus elementos principales que la integran (por ejemplo los delitos cometidos sobre el tráfico en la red a través de los llamados ―Sniffers‖). Tecnologías de comunicación: Adaptar la propuesta para aplicar la metodología a equipos de telefonía celular, ya que los avances tecnológicos le han permitido a estos dispositivos, el cumplir con varias de las funciones, que un equipo de cómputo personal realiza. 241 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Vinculación con Instituciones de Justicia. Realizar los trámites y ajustes necesarios para que la metodología se adapte al marco jurídico de estas Instituciones y, de esta manera, pueda ser aceptada como parte de sus mecanismos auxiliares contra aquellos delitos o incidentes que se requieran atender y resolver. Crear una empresa que ofrezca servicios de consultoría en Análisis Forense Informático en Sistemas de Redes y Equipos de Computo Personal, ya que este tipo de análisis es bien remunerado, siendo que un dictamen pericial sencillo esta valuado en $ 8000.00 pesos incrementándose según su complejidad y el número de elementos a estudiar. 242 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. 5.3 Conclusiones del proyecto de tesis. 5.3.1 Conclusiones Generales. A lo largo del desarrollo del presente trabajo se pudo llegar a comprender que el análisis forense informático se traduce como: la ciencia que mediante la aplicación de procedimientos técnicos permite identificar, adquirir, preservar, analizar, presentar y sustentar la información que ha sido procesada electrónicamente y almacenada en un medio computacional. En el presente proyecto de tesis se expuso la problemática existente por la falta de métodos, técnicas y procedimientos para la realización de intervenciones periciales, en informática forense, dentro del marco legal mexicano. No obstante de que la informática se encuentra inmiscuida en gran parte de nuestra vida diaria, es perceptible en nuestra sociedad, la falta de difusión de la informática forense a nivel nacional e institucional, lo que ha contribuido a que la gente pase por alto situaciones que puedan ser consideradas como delitos o faltas administrativas. Se propuso y aplicó una Metodología en la que se presentaron los resultados, de un meticuloso análisis exploratorio, sobre el peritaje informático en México, así como de algunas de las experiencias profesionales adquiridas en la actividad laboral del que suscribe. Estableciendo un marco referencial base, para cualquier investigador forense digital, en aspectos técnicos, procurando la generación y fortalecimiento de iniciativas multidisciplinarías, para la modernización y el avance de la administración de justicia, en el contexto de una sociedad digital y de la información. 243 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Con el empleo de la metodología propuesta, se contará con una herramienta sistemática que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje informático, en forma: eficiente, confiable, segura y que le dará mayor veracidad a los resultados obtenidos. A pesar de que el desarrollo de la tesis no contempla el marco legal, la metodología propuesta es capaz de auxiliar a aquellos organismos encargados de administrar justicia, pues permite: guiar en el proceso de investigación digital, mantener la cadena de custodia y establecer un dictamen confiable en el que se presentan los resultados de manera clara y concisa. Se presentaron y describieron algunas herramientas, que permiten realizar el análisis de la evidencia digital, sobre el material objeto de estudio. Sin embargo, ninguna de ellas resulta ser mejor que otra, más bien se complementan. Por lo tanto, es importante utilizar varias de ellas para mejorar el proceso del análisis forense informático. 5.3.2 Conclusiones personales sobre el desarrollo del Proyecto de Tesis. El presente proyecto de tesis ha sido posible gracias a que se llevaron a cabo una integración y aplicación de conocimientos adquiridos en la ―Maestría en Ciencias en Ingeniería de Sistemas‖. El saber aplicar la visión sistémica u holística, me permitió obtener una nueva visión del mundo. Mediante el uso de Metodologías se obtienen resultados concretos en la solución de problemas, ya que de esta manera se tienen bases sólidas a partir de las cuales se obtienen resultados confiables que permiten presentar un contenido claro y conciso en fondo y en forma. Cabe señalar que este proyecto de tesis, representó para el suscrito una inestimable oportunidad para aumentar y practicar los conocimientos adquiridos durante la maestría, compaginado con la experiencia profesional. 244 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. La madurez y experiencias obtenidas, son el mayor de los logros a nivel personal y profesional que serán aplicadas en el futuro en esos ambientes. De manera particular y personal pienso que el cursar la ―Maestría en Ciencias en Ingeniería de Sistemas‖, significó para mí un considerable crecimiento profesional y el realizar la tesis refrendo el mismo y me permitió tener otra visión del desarrollo de sistemas. 245 Ing. Arturo Palacios Ugalde. Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. Bibliografía: [Buzan, 1996], Buzan T., ―El libro de los mapas mentales‖, Ediciones Urano, España, 1996. [Cámpoli, 2007], Cámpoli G., ―Delitos informáticos en la legislación mexicana‖, Instituto Nacional de Ciencias Penales, México, 2007. [Checkland,1994], Checkland P., ―La metodología de sistemas suaves en acción‖, Noriega Editores, 1994. [Galindo, 2005] Galindo L., ―Una Metodología para el Desarrollo y Redacción de un Proyecto de Maestría‖. Memorias del 1er Congreso Internacional de Metodología de la Ciencia y de la Investigación para la Educación; Instituto Tecnológico de Sonora y Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C., 12 de Enero, Ciudad Obregón, Sonora. Pp. 1505-1522. [Galindo, 2008] Galindo L., ―Metodología para la creación de la‖Tabla Metodológica‖ o ―Solución Integral‖ como Apoyo al Desarrollo de Sistemas‖, Memorias del 4º Congreso Internacional de Metodología de la Ciencia y de la Investigación para la Educación. Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y CFIE del IPN, 25 de Junio de 2008, México, D.F. [Galindo, 2007] Galindo L., ―Una Metodología Básica para el Desarrollo de Sistemas‖, Memorias del 3er. Congreso Internacional de Metodología de la Ciencia y de la Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. e Instituto Campechano; 23 de Marzo de 2007, Campeche, Camp. [Hernández,1998] Hernández R., ―Metodología de la Investigación‖, McGraw Hill Interamericana, México, 1998. [Locard, 1963] Locard E., ―Manual de Técnica Policiaca‖. Editorial José Montesó, 1963. [Moreno, 2009] Moreno R., ―Introducción a la Criminalística‖, Editorial Porrúa, México, 2009. [Orellana, 1975] Orellana J., ―Tratado de Grafoscopía y Grafocrítica‖, Editorial Diana, México, 1975. 246 Ing. Arturo Palacios Ugalde. Bibliografía. METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL. [Rodao, 2005] Rodao J., ―Piratas Cibernéticos, Cybewars, Seguridad Informática e Internet‖. Grupo Editorial Alfa Omega, México, Primera Edición, 2005. [Shinder,2002], Shinder D., ―Prevención y Detección de Delitos Informáticos‖, Editorial Anaya Multimedia, Primera Edición, México, 2002. [Van Gigch, 1987] Van Gigch J. P, ―Teoría General de Sistemas‖. Editorial Trillas, México D. F. MÉXICO, 1987. Referencias a Internet: http://archivos.diputados.gob.mx/Comisiones/Especiales/Acceso_Digital/Presentaciones/Pro curacion_justicia_PGR.pdf http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg00007.html http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf http://www.bibliojuridica.org/ http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.html http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf http://www.nist.gov/index.html http://www.ojp.usdoj.gov/nij/funding/welcome.htm http://www.fbi.gov/ http://www.caine-live.net/ 247 Ing. Arturo Palacios Ugalde. Bibliografía.