Download Índice de Contenidos
Transcript
Índice de Contenidos Título Página Portada I Autoría II Dedicatoria III Agradecimiento IV Índice de Contenidos 5 Índice de Gráficos 10 Introducción. 11 Capítulo 1. Antecedentes. 13 1.1. ¿Qué es la Evidencia Digital? 13 1.2. Definición de Evidencia Digital. 13 1.3. Importancia de la Evidencia Digital. 14 1.4. Tratamiento de la Evidencia Digital. 14 1.5. Tipos de Evidencia Digital. 15 1.5.1. Evidencia Digital Constante. 15 1.5.2. Evidencia Digital Volátil. 15 5 Capítulo 2. Aspectos Técnicos Importantes. 2.1. 2.2. 2.3. 2.4. 16 Fuentes de la Evidencia Digital. 16 2.1.1. Sistemas de computación Abiertos. 16 2.1.2. Sistemas de Comunicación. 17 2.1.3. Sistemas Convergentes de Computación. 17 Características de la Evidencia Digital. 17 2.2.1. Es Volátil. 18 2.2.2. Es Anónima. 18 2.2.3. Es Duplicable. 18 2.2.4. Es alterable y Modificable. 18 2.2.5. Es Eliminable. 18 Categorías de la Evidencia Digital. 19 2.3.1. Registros Almacenados en el Equipo de Tecnología Informática. 19 2.3.2. Registros Informática. Tecnología 19 2.3.3. Registros que Parcialmente ha sido Generados y Almacenados en Equipos de Tecnología Informática. 20 La Dinámica de la Evidencia Digital. 20 Generados por Equipos de 6 Capítulo 3. Factores que Afectan la Evidencia Digital. 22 3.1. Equipo de Emergencia. 22 3.2. Personal de Criminalista. 23 3.3. Acciones de la Victima. 23 3.4. El Sospechoso o Imputado Tratando de Cubrir sus Rastros. 24 3.5. Transferencia Secundaria. 24 3.6. Testigos. 24 3.7. Clima y la Naturaleza. 24 3.8. Descomposición. 24 Capítulo 4. Cadena de Custodia. 26 4.1. Metodologías del Análisis. 27 4.1.1. Identificar la Evidencia Digital. 27 4.1.2. Preservar la Evidencia Digital. 28 4.1.3. Analizar la Evidencia Digital. 33 4.1.4. Presentación de la Evidencia Digital. 36 4.2. ¿Por qué el Análisis Forense? 36 4.3. Metodologías de Trabajo. 37 7 4.3.1. Fases del Análisis. 38 4.3.2. Escenarios Típicos del Análisis Forense. 39 Capítulo 5. Identificar la Evidencia Digital. 40 5.1. Una Conversación Inicial. 40 5.2. Asegurar la Evidencia Digital. 40 5.2.1. Física. 41 5.2.1.1. encontrada. Realizar imágenes de la Evidencia Digita 42 5.2.1.2. Métodos para realizar Imágenes. 46 5.2.1.3. Software Aplicable. 46 5.2.2. Lógica. 47 5.2.2.1. Checksum 47 5.2.2.2. MD5 48 Capítulo 6. ¿Qué elementos se debe analizar? 49 6.1. ¿Qué es un sistema vivo y un sistema muerto? 61 6.2. Analizar Sistemas Vivos y Sistemas Muertos. 61 6.3. Software Aplicable para sistema vivo y un sistema muerto. 62 6.4. Examinadores de Evidencia Digital. 63 8 6.5. El reconocimiento de la Evidencia Digital como Formal y Valida. Capítulo 7. Presentar la Evidencia Digital. 7.1. Normas Para la Presentación de la Evidencia Digital. 7.2. Presentación de la Evidencia. Capítulo 8. Leyes Ecuatorianas Contra los Delitos Informáticos. 63 65 65 65 68 8.1. Extracto de las Leyes ecuatorianas sobre el Derecho Informático. 68 8.2. Extracto de las Normas ISO. 72 8.3. Recomendaciones desde el punto de vista técnico para mejorar las políticas ecuatorianas. 74 Conclusiones y Recomendaciones 76 Glosario de Términos. 80 Bibliografía. 83 Citas Bibliográficas. 86 9 Índice de Figuras Título Página Figura 2.4.1. Principio de Intercambio LOADCARD. 21 Figura 3.1.1. Equipo de Emergencia. 23 Figura 3.2.1.Personal de Criminalista. 23 Figura 4.1.2.1. Realizar copias a nivel de Bit del Sistema. 30 Figura 4.1.2.2. Generación de código MD5. 31 Figura 4.1.2.3.Código único. 31 Figura 4.1.2.4. Empaquetado de Equipos. 32 Figura 4.1.2.5. Fundas de Electroestática. 32 Figura 4.1.2.6. Transporte de la Evidencia. 33 Figura 4.1.2.7. Laboratorio de Análisis. 33 Figura 4.3.1. Metodología del Trabajo. 37 Figura 6.3.1. Software HELIX. 62 Figura 6.3.2. Software AUTOPSY 63 10 Introducción Hoy en día estamos en un mundo que casi en su totalidad se encuentra automatizado y computarizado. Se han generado procesos que mediante el computador facilite la vida diaria de las personas y los des-complique de tareas tediosas, confusas y complicadas, dichos procedimientos también han acortando grandes distancias geográficas. Si bien la tecnología nos ayuda a solucionar problemas, también va de la mano nuevas formas de delinquir, generando un mundo obscuro y casi inexplorado en nuestro medio, por dichas razones aun los profesionales del derecho, incluso profesionales informáticos se encuentran en conflictos cuando se presenta cosos que ameritan su estudio y posterior sanción. Vivimos y trabajamos hoy en el mundo de la conectividad global. La accesibilidad al internet el empuje universal abre las nuevas oportunidades para el criminal sin escrúpulos. Hasta hace poco tiempo, muchos profesionales de la tecnología de información pusieron interés en el fenómeno del cibercrimen. En este sistema de la seguridad del cibercrimen existe una unión entre dos jugadores muy importantes la ley y el agente que realiza la investigación creando una lucha eficaz contra el cibercrimen. Como ya sabemos la Evidencia Digital, por su misma naturaleza, es frágil y puede alterarse, dañarse o destruirse por un mal manejo. Por estas razones se debe tomar pre11 causaciones especiales para conservar este tipo de evidencias que son sumamente importantes. En esta investigación buscaremos una forma correcta, segura y confiable que nos permita la incautación y preservación de las Evidencias Digitales que se obtienen en un proceso, así también se dará las pautas para su posterior tratamiento y presentación de las mismas, sin el menor rango posible de una alteración o contaminación de las evidencias. En este trabajo investigativo se pretende dar soluciones a los profesionales del derecho, con una visión informática. 12 CAPÍTULO I 1. ANTECEDENTES 1.1. ¿Qué es la evidencia Digital? Es un término usado de una manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser usado como evidencia en un proceso legal informático. La evidencia digital es el proceso de identificación, preservación, análisis y presentación de evidencias digitales en una forma que sea legalmente aceptable en cualquier proceso judicial o administrativo. 1.2. Definición de Evidencia Digital. Existen múltiples definiciones a la fecha sobre evidencia digital, para nuestro estudio tomaremos la definición de acuerdo con el HB: 171 2003 Guidelines for the Management of IT Evidence, que dice la evidencia digital es: “Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático. También definimos la evidencia digital de una forma más comprensible diciendo que son los movimientos realizados en los computadores y están registrados para una posterior investigación. 13 1.3. Importancia de la Evidencia Digital. En esta fase se establecen el valor de las evidencias de tal forma que se pueda identificar las mejoras que permita presentar e identificar de forma clara y eficaz, los elementos que se desee llevar ajuicio, es decir, redactar lo más importante para la investigación. El objetivo es que el ente que valore las pruebas aportadas observe que el análisis forense aporta los objetivos de prueba más relevantes para el esclarecimiento de los hechos en discusión, en otras palabras que sirva como prueba dentro de un juicio, para dicho efecto se bebe tomar en cuenta: o El valor probatorio.- establece que el registro tenga autenticidad. o Normas de la evidencia.- hace referencia a que se sigan los procedimientos y reglas para una adecuada recolección y manejo de las evidencias. Tal vez este aspecto en un principio no es tomando muy en serio, pero es un aspecto fundamental puesto que demuestra en grado en el que se encuentra los equipos y sus contenidos. 1.4. Tratamiento de la Evidencia Digital. Siendo la evidencia digital información de carácter trascendental en un proceso judicial informático puede ser copiada con exactitud y compartida para ser revisada por varios investigadores forenses especializados, y para que en posterior puedan 14 dar sus resultados de manera abierta, sin ocultar nada y todas las personas que estén involucrados en el caso den su propia opinión sobre los resultados. 1.5. Tipos de Evidencia Digital. La evidencia digital de acuerdo a su naturaleza y fragilidad se divide en dos grupos que son: 1.5.1. Evidencia Digital Constante. En un principio el tipo de la evidencia digital buscada en los equipos informáticos es de tipo constante o persistente, es decir lo que está almacenado en discos duros o en otro medio informático, y se mantenía preservada después que el computador es apagado. 1.5.2. Evidencia Digital Volátil. También la evidencia es de tipo volátil, es decir, la evidencia digital se encuentra alojada temporalmente en la memoria RAM, o en el CACHE, son evidencias que por su naturaleza inestable se pierde cuando se apaga el computador, este tipo de evidencia debe ser recuperado casi de inmediato. 15 CAPÍTULO II. 2. ASPECTOS TÉCNICOS IMPORTANTES. 2.1. Fuentes de la Evidencia Digital. En algunos casos se presta a confusiones los términos evidencia digital y evidencia electrónica, dichos términos pueden ser usados como sinónimos, sin embargo es necesario poder distinguirlos entre electrónicos que son aparatos como: PCs, 1Flash memory, CD’s., DVD’s., y lo digital es la información que estos contengan, clasificando la evidencia digital en tres grupos que son: 2.1.1. Sistemas de computación Abiertos. Son aquellos que están compuestos por las computadoras de escritorio y todos sus periféricos, computadores portátiles y los servidores, dado que los servidores tienen una capacidad enorme para almacenar información en sus discos duros, hace que se conviertan en una fuente de evidencia digital importante. 1 Son de carácter no volátil, esto es, la información que almacena no se pierde en cuanto se desconecta de la corriente, una característica muy valorada para la multitud de usos en los que se emplea este tipo de memoria. 16 2.1.2. Sistemas de Comunicación. Están compuestos por redes de telecomunicación, la comunicación inalámbrica y el Internet, convirtiéndoles en una gran fuente de evidencia digital e información. 2.1.3. Sistemas Convergentes de Computación. Estos sistemas son los que están formados por los teléfonos, celulares, los PDAs, las tarjetas inteligentes, las 2memory stick, el flash memory, y cualquier aparato electrónico que posea convergencia digital y pueda contener evidencia digital. 2.2. Características de la Evidencia Digital. Una característica única de la evidencia computacional es la fragilidad, otra de las características es la potencialidad al momento de realizar copias sin dejar rastros. Cuando se dan los incidentes generalmente las personas involucradas intentan manipular y alterar la evidencia digital, tratando de borrar algún rastro que de prueba del daño, sin embargo este problema es mitigado con algunas características que posee la evidencia digital, que a continuación se describen. 2 Es un formato de tarjeta de memoria extraíble 17 2.2.1. Es Volátil. La evidencia digital se puede perder en cualquier momento. Ej., al momento de apagar un equipo, de esta forma perderíamos la información que esta almacenada en la RAM o CAHE del equipo. 2.2.2. Es Anónima. No se puede saber con exactitud dónde está la evidencia digital. 2.2.3. Es Duplicable. La evidencia digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original, esto se hace comúnmente para no manipular los originales y evitar el riesgo de dañar la evidencia. 2.2.4. Es alterable y Modificable. Actualmente, con las herramientas existentes, es fácil de comprobar la evidencia digital con su original y determinar si la evidencia digital ha sido alterada o modificada, por mínimos o insignificantes que sean los cambios realizados. 2.2.5. Es Eliminable. La evidencia digital es muy fácil de eliminar, aun cuando un registro es borrado del disco duro del computador, y este ha sido formateado por varias ocasiones, es posible recuperarlo. 18 Cuando los involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios. 2.3. Categorías de la Evidencia Digital. Las categorías en las que se divide la evidencia digital, son tres, que se procede a describirlas a continuación: 2.3.1. Registros Almacenados en el Equipo de Tecnología Informática. Son aquellos que son generados por una persona y que son almacenados en un computador, por ejemplo tenemos un documento realizado con un procesador de palabras, imágenes, aplicaciones de 3ofimática, correos electrónicos, en estos registros es importante poder demostrar la identidad de la persona que genero y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo que hemos mencionado es importante demostrar que muestren que las afirmaciones humanas contenidas en la evidencia son reales. 2.3.2. Registros Generados por Equipos de Tecnología Informática. Estos registros son aquellos que como dice su nombre, son generados por efecto de la programación de un computador. Este tipo de registros son inalterables por una persona, se los llama registros de eventos de seguridad (4logs) y sirven como prueba tras demostrar el correcto y 3 Equipamiento de hardware y software usado para idear y crear, coleccionar, almacenar, manipular y transmitir digitalmente la información en una oficina para realizar y lograr objetivos básicos. 4 Archivo de registro en el que se van grabando las conversaciones del canal o privadas. 19 adecuado funcionamiento del sistema o computador que genero el registro, como ejemplos podemos mencionar registros de auditoría, registro de transacciones, registros de eventos, etc. 2.3.3. Registros que Parcialmente ha sido Generados y Almacenados en Equipos de Tecnología Informática. A estos registros se les llama también como registros híbridos ya que incluyen tanto registros generados por un computador como almacenado en los mismos. Combinan afirmaciones humanas y los logs, para que los mismos sirvan como prueba deben de cumplir las dos categorías antes mencionadas. 2.4. La Dinámica de la Evidencia Digital. La dinámica de la evidencia digital es la forma como se entiende y se describen los diferentes factores que actúan sobre las evidencias, a fin de determinar los cambios que producen sobre ellas. Se afirma sin lugar a duda de que existen muchos agentes que intervienen sobre la evidencia digital, aquí se aplica el principio de 5Locard se debe de reconocer la forma de cómo estos factores puedan alterar la evidencia, y así tener la oportunidad de manejarla de la manera apropiada, evitando su contaminación, daños y hasta una perdida por completo. 5 Cuando una persona está en la escena del delito, esta deja algo de si mismo dentro de la escena y a su vez que cuando sale de ella esta se lleva algo consigo. 20 Los principios de criminalística de Locard y el 6mismisidad se deben de tener como instrumento de investigación en escenas del crimen y escenas de delitos informáticos. A continuación se muestra la figura 2.4.1. que describe de forma grafica el principio de intercambio. PRINCIPIO DE INTERCAMBIO Objeto 1 La interacción causa intercambio de datos Objeto 2 La interacción causa intercambio de datos Figura 2.4.1. Principio de Intercambio LOADCARD Cuando en una escena del delito se tiene que trabajar en condiciones adversas, es indispensable tomar medidas de seguridad necesarias para en primer lugar la integridad física y luego incrementar procedimientos adecuados para incrementar las posibilidades de recuperar las evidencias de la manera más completa. 6 Una cosa es igual a sí misma y diferente de las demás. 21 CAPITULO III 3. FACTORES QUE AFECTAN LA EVIDENCIA DIGITAL. De lo que hemos dicho en los capítulos anteriores podemos manifestar que los investigadores forenses nunca tendrán la oportunidad de revisar una escena del delito en su estado original siempre habrá un factor que haga que haga que las escenas presenten alguna anomalía o discrepancia. A continuación se procede a exponer algunas de las posibles situaciones en donde se ve afectada la escena del delito informático. 3.1. Equipo de Emergencia. En el caso de un incendio, los sistemas informáticos pueden ser afectados por el fuego y el humo, posteriormente se ven sometidos a una gran cantidad de agua al tratar de apagar el incendio. Esto va a provocar que los técnicos forenses no puedan determinar a ciencia cierta si los sistemas informáticos encontrados en la escena estuvieron comprometidos, fueron atacados o usados indebidamente. En otras ocasiones los equipos de emergencia manipulan la escena cuando es necesario para salvar la vida de una persona. 22 Figura 3.1.1. Equipo de Emergencia. 3.2. Personal de Criminalista. En algunas ocasiones el personal de criminalística por accidente cambia, reubica o altera la evidencia. Como un claro ejemplo tenemos en el caso de que quiera sacar una muestra de sangre de una gota precipitada sobre un disquete o disco compacto mediante el uso de escarpelo, esto puede comprometer accidentalmente los datos e información almacenada en dichos soportes. Figura 3.2.1.Personal de Criminalista. 3.3. Acciones de la Victima. La víctima de un delito, pueden borrar correos electrónicos que le causen aflicción o le provoquen alguna situación embarazosa. 23 3.4. El Sospechoso o Imputado Tratando de Cubrir sus Rastros. Cuando el sospechoso o imputado deliberadamente borra o altera los datos, registrados u otros mensajes de datos considerados como evidencia dentro de un disco duro. 3.5. Transferencia Secundaria. Hay ocasiones, en la que los sistemas informáticos usados en el sometimiento del delito informático, son usados posteriormente por alguna persona de forma inocente, causando con ello la destrucción y alteración de la evidencia. 3.6. Testigos. Se puede dar que un administrador del sistema pueda borrar cuentas de usuario sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir su acceso y utilización futura. 3.7. Clima y la Naturaleza. Los campos electromagnéticos pueden corromper la información guardada en los discos magnéticos. 3.8. Descomposición. La información que esta almacenada en discos magnéticos o en otros soportes en algunos casos puede perderse o tornarse ilegible para los sistemas de información, a causa del tiempo y de las malas condiciones de almacenamiento. 24 En resumen debemos entender que los factores humanos, de la naturaleza y los propios equipos informáticos pueden alterar, borrar o destruir la evidencia. Debemos comprender como estas variables actúan sobre la escena misma del delito, por tanto se debe encaminar la investigación desde su etapa más temprana tomando en cuenta dichos cambios a fin de adecuar el mejor método para adquirir, preservar y luego analizar las evidencias obtenidas y así reducir de manera considerable los posibles efectos de los factores que afectan la evidencia digital 25 CAPÍTULO IV 4. CADENA DE CUSTODIA La cadena de custodia es la aplicación de una serie de normas tendientes a serrar, embalar y proteger cada uno de los elementos probatorios para evitar su destrucción, suplantación o contaminación, lo que podría implicar serios tropiezos en la investigación de una conducta punible. Por otra parte se define como el procedimiento establecido por las normatividad jurídica, que tiene el propósito de garantizar la integridad, conservación e inalterabilidad de elementos materiales de pruebas. Así mismo se considera necesario mencionar, como elemento complementario para aumentar la protección de la evidencia digital, el concepto de cadena de custodia. Se debe aplicar la cadena de custodia a los elementos físicos materia de prueba, para garantizar la autenticidad de los mismos acreditando su identidad y estado original, las personas que intervienen en la recolección, envió, manejo, análisis y conservación de los elementos, así mismo los cambios hechos en ellos por cada custodio. ”La cadena de custodia se inicia en el lugar donde se obtiene, encuentre o recaude el elemento físico de prueba y finaliza por orden de la autoridad competente.” 26 Son responsables de la aplicación de la cadena de custodia todos los servidores públicos y los particulares que tengan relación con estos elementos. 4.1. Metodologías del Análisis. La cadena de custodia es el conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en el proceso judicial. o No existe un estándar ampliamente reconocido de forma pública. o Existen procedimientos reconocidos públicamente como robustos a la hora de preservar la información digital. o Existen diferentes procesos de estandarización en los que colaboran fuerzas de la ley, investigadores y expertos. 4.1.1. Identificar la Evidencia Digital. Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados. 27 Es importante clasificar los conceptos y describir la terminología adecuada que nos señale el rol que tiene un sistema informático dentro del 7 iter criminist. Esto a fin de encaminar correctamente el tipo de investigación, la obtención de indicios y posteriormente los elementos probatorios necesarios para sostener nuestro caso. A continuación citamos un ejemplo para entender de forma correcta lo que es la identificación de la evidencia digital. El procedimiento de una investigación por homicidio que tenga que relación con evidencia digital, será totalmente distinto al que utilice en un fraude informático, por tanto el rol que cumpla el sistema informático determina, donde debe ser ubicada y donde debe ser usada. 4.1.2. Preservar la Evidencia Digital. Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bita-bit” de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios. 7 Camino del delito 28 Para la correcta preservación de la evidencia digital se debe seguir los siguientes pasos, que a continuación vamos a detallar. a) Si el dispositivo del cual tenemos que hacer una copia de su sistema de almacenamiento esta encendido, extraerlo siempre que sea posible y ponerlo en una estación de trabajo para la adquisición de datos. b) Si por alguna circunstancia no es posible, arrancar el sistema donde está dicho dispositivo con un sistema operativo auto arrancable, desde CD o disquete, sin instalar nada en el sistema. c) Toda evidencia digital guardada en dispositivos de almacenamiento, y por otro tanto almacenamiento en ficheros, debe ser copiado mediante procedimiento de software que no altere la evidencia. d) Realizar una imagen a nivel de bit de sistema de almacenamiento del dispositivo. o Extraer el dispositivo origen a copiar o Usar un dispositivo destino para el almacenamiento de la información o Usar una conexión de red, 8Ethernet, cable cruzado, para transferir el contenido del disco al otro dispositivo de almacenamiento. 8 Es un estándar de redes de computadoras de área local con acceso. 29 Figura 4.1.2.1. Realizar copias a nivel de Bit del Sistema. e) Retención de tiempos y fechas. o El tiempo y la fecha de creación o modificación de un fichero puede ser un aspecto importante en un asunto de delito informático. o Los archivos puede que no sean correspondientes con la fecha real. o Para ello se debe anotar fecha y hora del sistema antes de apagarlo. f) Preservar datos de dispositivos de mano como PDAs, 9PocketPCs, etc. o Existen programas que duplican los datos que se están ejecutando sobre el sistema operativo de los dispositivos de mano. o Estos programas crean una imagen completa de la memoria del dispositivo, incluyendo las aplicaciones, datos de usuario 9 Se trata de un pequeño ordenador, diseñado para ocupar el mínimo espacio y ser fácilmente transportable que ejecuta el sistema operativo Windows CE de Microsoft entre otros, el cual le proporciona capacidades similares a los PCs de escritorio. 30 y datos de marcado para borrar (estos datos no se borran hasta la siguiente sincronización de sesión). g) Realizar los procesos de Checksum criptográfico de la copia y del original Existen dos métodos utilizados para la generación de hash, ejemplo: la generación de código MD5. Figura 4.1.2.2. Generación de código MD5. h) Documentar quien preservo la evidencia, donde la preservo, como lo hizo, cuándo y por qué. i) Empaquetar los dispositivos que contienen las evidencias. Los detalles mínimos que beben ser registrados, directos e inequivocadamente atribuidos a cada paquete son: o Identificador único. Figura 4.1.2.3.Código único. o Nombre de la persona y organización (fuerza de la policía, departamento técnico, etc.), responsable de la recolección y empaquetado del material. o Breve descripción del material. o Localización desde donde y a quien fue incautado. 31 o Día y hora de la incautación. Figura 4.1.2.4. Empaquetado de Equipos. j) Los dispositivos magnéticos u ópticos (cintas, CDs, discos duros, disquetes, discos ZIP, 10 JAZ) que expongan placas deben ser primeramente introducidos en bolsas antiestáticas y después ponerla en una caja cuyo interior podamos rellenarla con “plásticos con burbujas” u otro material protector. Figura 4.1.2.5. Fundas de Electroestática. k) Documentación en papel (como manuales y libros) en bolsas de plástico para proteger de daños. l) Toda persona involucrada en un examen forense debería tomar las precauciones necesarias para preservar las evidencias de factores externos tales como electricidad estática, excesivo calor, excesiva humedad documentando el hecho. 10 Antiguo dispositivo de almacenamiento que utiliza cartuchos que internamente son muy parecidos a un disco duro. 32 m) Transportar los documentos que contienen las evidencias. Figura 4.1.2.6. Transporte de la Evidencia. n) Toda evidencia debe ser transportada a un lugar seguro y cerrado. Figura 4.1.2.7. Laboratorio de Análisis. o) La cadena de custodia se debe mantener durante el transporte 4.1.3. Analizar la Evidencia Digital. Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. El investigador debe intentar contestar a las siguientes preguntas en el análisis de la evidencia digital. 1) ¿Quién? 33 Reunir la información él/los individuo/s involucrados en el compromiso. 2) ¿Qué? Determinar la naturaleza exacta de los eventos ocurridos. 3) ¿Cuándo? Reconstruir la secuencia temporal de los hechos. 4) ¿Cómo? Descubrir que herramientas o 11exploits se han usado para cometer el delito. La evidencia almacenada debe ser analizada para extraer la información relevante y recrear la cadena de eventos sucedidos. Cualquier elemento enviado para su análisis debería ser en primer lugar revisado para comprobar la integridad del paquete antes de empezar dicho análisis. Es importante que el cliente especifique que información es importante. Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos móviles, etc.). En el peor de los casos el investigador forense deberá analizar todas las evidencias digitales que posea para resolver el caso. Existen cuatro categorías de datos: 11 Es un programa o técnica que aprovecha una vulnerabilidad. 34 1) Datos lógicamente accesibles. Son los datos más comunes, las dificultades que podemos encontrar en estos datos son: o Que haya una gran cantidad de información a analizar (los actuales dispositivos de almacenamiento pueden contener una cantidad inimaginable de ficheros). o Que estén cifrados, si están cifrados con programas como por ejemplo Office que es el más fácil de romper la clave; en otros casos como puede ser al usar PGP) es virtualmente imposible romperlo. o Que estén corruptos o que tengan trampa (por ejemplo código 12 hostil que al producirse cierta situación puede hacerse que se formatee el disco duro, etc.). 2) Datos que han sido eliminados. Si aun no han sido sobre escritos se puede recuperarlos para un posterior análisis. 3) Datos en 13 “ambient data” espacio no asignado, ficheros de 14 swap/page file, espacio entre sectores, espacio entre particiones, 15 datastreams alternativos, etc., este tipo de datos necesita software especial para poder ser recuperados. 12 Troyanos, Virus, etc., que aceden a la PC para atacarla. 13 Datos en localizaciones no visibles de forma fácil en sistemas de ficheros. 14 Memoria Virtual. 15 Datos en flujo continuo. 35 4) Datos en 16 estenografía Los forenses informáticos pueden usar técnicas estenográficas para buscar información oculta en el sistema. 4.1.4. Presentación de la Evidencia Digital. Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos. Si la prueba que se pretende hacer valer es el fundamento de la pretensión principal dentro de un proceso es claro que entonces este debe incorporada al momento de la presentación de la demanda o de la contestación de la misma según sea el caso. Es claro así mismo, que aun si la parte no promueve la evidencia si el juez del proceso conoce de la existencia de la misma este pude de solicitar de oficio que esta sea decretada, siempre y cuando las considere útiles para la verificación de los hechos relacionados con las alegaciones de las partes. 4.2. ¿Por qué el Análisis Forense? El análisis forense permite descubrir el origen del atacante, identificar detalladamente las acciones realizadas, determinarlas herramientas y los métodos 16 Espacio no asignado por el cual se puede ocultar datos dentro del fichero. 36 utilizados, y lo más importante descubrir las vulnerabilidades que lo han hecho posible. Todo esto tiene el objetivo de poder fortificar el sistema ante futuros incidentes. De este modo no solo se trata de proteger a la empresa de incidentes, también podemos definir el alcance de los mismos y tomar las medidas oportunas. 4.3. Metodologías de Trabajo. Se ha desarrollado una metodología propietaria de trabajo que garantiza la validación y la preservación de los datos que se adquieren en el proceso de análisis forense. Metodología del Trabajo Presentar Analizar Preservar Identificar t Figura 4.3.1. Metodología del Trabajo. 37 Los pasos y acciones realizadas, incluyendo posibles modificaciones a cualquier evidencia, se documentan detalladamente. Las tareas de investigación se realizan sobre una copia de la información y nunca sobre la evidencia original. De hecho la metodología contempla diversos métodos de adquisición de datos como ejemplo tenemos: La duplicación de un disco duro. 4.3.1. Fases del Análisis. Nos vamos a centrar en dos Fases a la hora de reconstruir los hechos: 1. El estudio del sistema informático (La victima). Engloba los diferentes procesos necesarios para recopilar la evidencia de forma adecuada y permitir su posterior análisis, se estudia por ejemplo: o Recuperar información borrada, o Buscar información sospechosa, o Comprobar si han existido accesos no autorizados, o Detectar los métodos de acceso de posibles intrusos, o Detectar los posibles troyanos instalados, o Crear un esquema temporal de incidentes de seguridad. 2. Escenario de la incidencia (Físico y Lógico). Engloba procesos externos al sistema en cuestión, se estudia por ejemplo: o Los log de los cortafuego, o ID’s u otros dispositivos de red, 38 o Se revisa físicamente el sistema informático y red de comunicación. 4.3.2. Escenarios Típicos del Análisis Forense. Los escenarios típicos para el análisis forense son: o Filtraciones de documentaciones confidenciales, o Accesos no autorizados, o Comportamiento anómalo del sistema, o Problemas nacidos del personal interno, o Destrucción de datos, o Uso no autorizado del material. 39 CAPITULO V 5. IDENTIFICAR LA EVIDENCIA DIGITAL Para la correcta identificación de la evidencia digital se debe realizar los siguientes paso se describen a continuación. 5.1. Una Conversación Inicial. Es el primer paso de cualquier análisis forense, nos deben o debemos explicar con la mayor exactitud posible qué ha ocurrido, qué se llevaron o intentaron llevar y cuándo ocurrió, también tendremos que recoger información sobre la organización, ya sea organización, casa, etc., recogeremos información sobre la tipología de red y de gente directa o indirectamente implicada, también podríamos recoger información sobre el tipo de escenario y el/los sistema/s afectado/s 5.2. Asegurar la Evidencia Digital. El primer pasó en un proceso de investigación informática forense, al igual que en cualquier otro proceso criminal, es 17asegurar la escena del delito informático. Este primer módulo, idealmente, debería ser realizado por un cuerpo de seguridad del Estado: Guardia Civil, Policía Nacional, etc. junto a un experto en Informática Forense. 17 Restringir el acceso a la zona del delito para no modificar evidencias 40 Como esta situación es bastante ideal y el proceso de aseguramiento se debe hacer lo más rápido posible, aunque la exactitud debe primar sobre la rapidez en todas las fases, este módulo debe ser realizado por una persona “competente” de la organización implicada que pueda explicar los pasos que ha realizado y la implicación de sus acciones. 5.2.1. Física. Normalmente los administradores de los sistemas informáticos serán los primeros en tener contacto con la escena del delito y junto a equipo de respuesta de incidentes realizarán los primeros pasos para “congelar” la escena del delito. El rol fundamental de las primeras personas en responder al delito es “no hacer nada que pueda producir daño”. A menos que se esté específicamente entrenado en respuesta a incidentes, la persona que primero llegue a la escena no debería realizar nada de lo que no esté seguro de sus consecuencias. Es muy fácil que un astuto criminal informático inserte un troyano o código hostil que destruya evidencias automáticamente al apagar el ordenador, resetearlo, etc. Es muy importante que una persona sea asignada con autoridad suficiente para tomar decisiones finales que aseguren la escena del delito, conducir las 41 búsquedas de evidencias y preservar las mismas. Este rol normalmente debe ser asumido por el jefe del equipo forense. 5.2.1.1. Realizar imágenes de la Evidencia Digital encontrada. Esta es la fase más importante y crítica de la metodología, puesto que una vez que se haya comprobado el delito informático la empresa o institución dañada normalmente deseará llevar a un proceso judicial al atacante. Para ello es necesario poseer evidencias digitales preservadas de tal forma que no haya duda alguna de su verosimilitud y siempre de acuerdo a las leyes vigentes. Este proceso de preservación se debe realizar tan pronto como sea posible. Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra, registrarlo, documentarlo y justificarlo, siempre que sea posible con testigos que puedan corroborar las acciones. Recordemos que las primeras evidencias que hay que obtener son las volátiles, que al guardarlas en ficheros se convertirán en evidencias no volátiles. Pasos para realizar imágenes de las evidencias digitales encontradas: 42 - Si el dispositivo del cual tenemos que hacer copia de su sistema de almacenamiento está encendido, extraerlo siempre que sea posible y ponerlo en una estación de trabajo para la adquisición de datos. Si por cualquier circunstancia no es posible, arrancar el sistema donde está dicho dispositivo con un sistema operativo autoarrancable, desde disquete o CD, sin instalar nada en el sistema. - Toda evidencia digital guardada en dispositivos de almacenamiento, y por tanto almacenado en un sistema de ficheros, debe ser copiado mediante procedimientos software que no alteren la evidencia y que sean admisibles en un tribunal de justicia. Para ello realizar una imagen a nivel de bit del sistema de almacenamiento del dispositivo. Una imagen a nivel de bits es una copia que registra cada bit que fue grabado en el dispositivo de almacenamiento original, incluyendo ficheros ocultos, ficheros temporales, ficheros corruptos, ficheros fragmentados y ficheros borrados que todavía no han sido sobrescritos. Estas imágenes usan un método CRC para validar que la copia es la misma que el original. - Formas para crear duplicados a nivel de bit de los discos de almacenamiento de información. o Extraer el dispositivo origen a copiar. 43 o Usar un dispositivo destino para el almacenamiento de la información; se recomienda algún RAID ya que aseguran redundancia y disponibilidad de los datos. o Usar una conexión de red, conexión Ethernet, cable cruzado, USB, etc., para transferir el contenido del disco al otro dispositivo de almacenamiento. Qué método usar dependen del equipamiento que se tenga a mano. Lo mejor, aunque también lo más caro, es una estación de trabajo portátil o un dispositivo de creación de imágenes. Teniendo sistemas de almacenamiento de capacidad menor a 700 Mb se puede usar un CD que no sea regrabable para realizar la imagen. Si esta capacidad es menor a 17 Gb se podría usar un DVD no regrabable. Usando CDs o DVDs se asegura la integridad de los datos, puesto que en estos dispositivos no puede ser modificado. - Retención de tiempos y fechas. El tiempo y fecha de creación o modificación de un fichero puede ser un importante asunto en un delito. Si el usuario puede tener el sistema sin configurar apropiadamente el tiempo o deliberadamente cambiar las propiedades de fecha y hora, los ficheros puede que no sean correspondientes con la fecha real. Esto puede ser un problema si, por ejemplo, el sistema de registro muestra que un fichero fue creado en una fecha concreta y 44 el sospechoso es capaz de probar que esa fecha no usó el ordenador. Por ello se debe anotar hora y fecha del sistema antes de apagarlo, documentando el hecho. Además puede ser prudente fotografiar la pantalla mostrando el acceso a ficheros o tiempos de modificación antes de abrir dichos ficheros. También tener en cuenta el desfase horario que pueda haber entre el dispositivo que contiene la evidencia y el horario real, documentado este desfase. Siempre que sea posible trabajar con zonas de tiempo GMT. El delito puede involucrar varias zonas de tiempo y usando GMT puede ser un punto de referencia que haga el análisis de las evidencias más sencillo. - Preservar datos de dispositivos de mano como PDAs, PocketPCs, etc. Existen programas que duplican los datos que se están ejecutando sobre el sistema operativo de los dispositivos de mano. Estos programas crean una imagen completa de la memoria del dispositivo, incluidas las aplicaciones, datos de usuario y datos marcados para borrar (estos elementos no se borran hasta la siguiente sesión de sincronización). También se ofrece información sobre la versión del sistema operativo, información sobre el procesador, RAM, ROM, etc. Si no se posee una herramienta otra forma de hacer imágenes de la información es copiar los ficheros relevantes a una tarjeta de memoria. 45 5.2.1.2. Métodos para realizar Imágenes. El método que se recomienda para realizar imágenes de la evidencia digital encontrada es generar los procesos de checksum criptográfico de la copia y del original. Mediante el método de checksum criptográfico, proceso de generación de la integridad de un fichero, conjunto de ficheros o de toda la información contenida en un dispositivo de almacenamiento, se garantiza que la evidencia no será alterada en ni un solo bit. 5.2.1.3. Software Aplicable. El software que se debe aplicar para la realización de imágenes de la evidencia digital encontrada debe ser: De preferencia software libre, caso contrario se debe disponer de las licencias respectivas del uso del software. El software no debe contaminar o modificar en lo mas mínimo la evidencia. Debe ser de fácil interpretación al momento de presentar las pruebas, etc. 46 5.2.2. Lógica. Datos lógicamente accesibles. Son los datos más comunes. Las dificultades que podemos encontrar en estos datos son: o Que haya una gran cantidad de información a analizar. o Que estén cifrados. o 5.2.2.1. Que estén corruptos o que tengan trampas. Checksum El proceso es sencillo; generar el checksum significa generar un 18 hash, valor único para un determinado conjunto de bytes, de la evidencia. Esto es posible dado que los algoritmos criptográficos de hash son cuidadosamente seleccionados para ser funciones de un solo sentido, dado un determinado checksum criptográfico para un mensaje, es virtualmente imposible adivinar qué mensaje produjo ese checksum. Dicho de otra manera, no es posible hallar mediante cómputos dos mensajes que generen el mismo checksum criptográfico. 18 No es más que un número, hexadecimal generalmente, resumen; un compendio de bits que dependen bit a bit de un conjunto de bits original. Dicho conjunto de bits original puede ser un fichero, una cadena de texto, etc. 47 5.2.2.2. MD5 Gracias a determinado software especializado y algoritmos de verificación de checksum (como MD5) se comprueba que si la evidencia no se ha alterado, produce un hash idéntico al original. También podemos usar firma digital para realizar el proceso de autenticación de la copia y del original, puesto que debido a sus características (única, no falsificable, fácil de autenticar, barata y fácil de generar) es ideal para este proceso. 48 CAPÍTULO VI 6. ¿QUÉ ELEMENTOS SE DEBE ANALIZAR? Los elementos que se deben analizar se muestran en la lista que se detalla a continuación. a) Sistemas informáticos. o Sistemas Windows. i. Registro del Sistema. ii. Contenido de Sistema de Fichero Cifrados (EFS). iii. FAT o MTF (Tablas de Metadatos de sistemas de ficheros Windows). iv. Fichero BITMAP (Fichero creado durante el formateo de volúmenes NTFS para Windows NT y superiores). v. Papelera de reciclaje. vi. Ficheros de acceso directo. vii. Active Directory (Windows 2000 y superiores). viii. Log de visor de eventos. 49 o Sistemas Unix/Linux. i. Listado descriptores de ficheros. ii. Ficheros SUID/SGID. iii. Trabajos planificados (schedule jobs). iv. Ficheros del historial de la shell. Localización común de evidencias en los sistemas mencionados anteriormente y otros como pueden ser Solaris, SPARC, MVS, etc.: o Evidencias volátiles. o Mensajes de correo electrónico. o Ficheros de trabajo de impresión. o Archivos temporales de los browsers. o Cache de los browsers. o Historiales de los 19browsers. o Favoritos de los browsers. o Ficheros de 20cookies de los browsers. 19 Explorador de la web. 20 Las cookies son pequeños archivos de texto que son descargados automáticamente (si está permitido por las reglas de seguridad) al navegar en una página web específica. 50 o Logs del sistema operativo. o Logs de aplicaciones. o Logs de clientes de 21chat. o Documentos de texto (cuyas extensiones pueden ser doc, wpd, wps, rtf, txt, etc.). o Hojas de cálculo (cuyas extensiones pueden ser xls, wgl, wkl, etc.). o Ficheros gráficos (cuyas extensiones pueden ser jpg, gif, tif, bmp, etc.). Otras localizaciones “no tan visibles” (conocido como “ambient data”) que necesitan software especializado para poder ser obtenida la evidencia digital: o FileSlack (Espacio entre el final de un fichero y el final del cluster en el que se encuentra). o Ficheros de intercambio (Swap File y Page File). o Espacio no asignado (Unallocate space). o Espacio entre sectores. o Espacio entre particiones. 21 Recurso en Internet que permite comunicarse en forma de texto con otros usuarios 51 Otras evidencias (como por ejemplo imágenes que usen estenografía para ocultar otros datos) pueden encontrase en los sistemas de ficheros de otros dispositivos distintos a los anteriormente mencionados (como CDs, DVDs, etc.) o memorias o 22buffers propios de otros dispositivos (escáneres, impresoras, cámaras de fotos digitales, cámaras de vídeo digitales, etc.). b) Redes o Información proporcionada por la tarjeta de red (dirección MAC, dirección IP.). o Tabla de direcciones IP asignadas por el servidor DHCP. o Cache de ARP. o Logs del IDS. o Memoria del IDS. o Logs del 23firewall. o Memoria del firewall. o Logs de servidores (Web, FTP, de correo electrónico). o Mensajes de correo electrónico almacenados en el servidor. 22 Memoria de almacenamiento temporal de información. 23 Herramienta de seguridad que controla el tráfico de entrada/salida de una red. 52 o Logs de24 modems. o Información de 25routers: o Logs del router. i. RAM con información de configuración. ii. Cache ARP. o Datagramas almacenados cuando el tráfico es alto. o Información de servidores 26DIAL-UP (Servidores ISP). o Logs del servidor DIAL-UP. o Memoria del servidor DIAL-UP. o Logs del servidor de autentificación. o Memoria del servidor de autentificación. o Logs del servidor VPN. o Memoria del servidor VPN. 24 Periférico de entrada/salida, que puede ser interno o externo a una computadora, y sirve para a conectar una línea telefónica con la computadora. 25 Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. 26 Conexión a una red como Internet a través de un módem y una línea telefónica. 53 c) Redes inalámbricas. Dentro de las redes inalámbricas debemos diferenciar 2 tipos: o Redes LAN Inalámbricas (Wireless LAN): i. Información proporcionada por las tarjetas inalámbricas de red (direcciones MAC, direcciones IP, etc.). ii. Puntos de acceso. iii. Logs de modems wireless. o Redes inalámbricas basadas en conmutación de: i. OMC. Realiza tareas administrativas como obtener datos de la MSC para propósitos de facturación y administra los datos de la HLR. Además, proporciona una visión del estatus de operación de la red, la actividad de red y las alarmas. A través de éste, es posible examinar una o rastrear una llamada móvil particular en progreso. ii. Registros de facturación CDR. iii. Registros que contienen información para cada llamada realizada, como número que se llamó, el día de la llamada, duración, entre otros, organizados por clientes para efectos de facturación. Estos registros son archivados y están disponibles en un periodo 54 aproximado de varios años, dependiendo de las políticas de la operadora. iv. HLR. Contiene información del subscriptor, referente a sus capacidades móviles contratadas (clase de servicio), la identificación de la unidad móvil, la ubicación actual de la misma ya sea en el área de cubrimiento de la red proveedora o de otras redes celulares (roaming), la información de autenticación, el nombre de la cuenta y la dirección de facturación. v. VLR. Almacena información física, electrónica y de radio, acerca de todos los usuarios que están actualmente autenticados dentro de una red particular del MSC. Dicha información incluye la localización actual del dispositivo móvil y el estado del mismo (activo, en espera, etc.). d) Dispositivos móviles: o Teléfonos móviles. i. Log de llamadas (llamadas realizadas, recibidas, perdidas). ii. Datos (logs de sesiones, números marcados, etc) contenidos en dispositivos a los que se haya conectado el teléfono móvil (computadoras de sobremesa, ordenadores portátiles). 55 iii. Ficheros con distinta información almacenada en la tarjeta del móvil (SIM, código PIN, código PUK). Esta tarjeta es una Smart Card iv. Chips de memoria Flash (Estas memorias contienen información sobre el teléfono así como software interno del mismo). v. Número IMEI. vi. Números de teléfonos almacenados. vii. Mensajes de texto. viii. Configuraciones (lenguaje, día/hora, tono/volumen, etc). ix. Grabaciones de audio almacenadas. x. Programas ejecutables almacenados. xi. Configuraciones de Internet, GPRS, WAP. o Organizadores de mano (PDAs, Pockets PC, etc.) i. RAM. ii. ROM. Memoria en la que se encuentra el sistema operativo y las aplicaciones base. 56 iii. 27 FLASH-ROM. Memoria en la que podemos guardar aplicaciones y datos que no queremos perder por un reseteo del dispositivo o porque no tenga batería. iv. Datos (de sincronización, contactos, tareas, etc.) contenidos en dispositivos a los que se en dispositivos a los que se haya conectado el teléfono móvil (ordenadores de sobremesa, ordenadores portátiles, teléfonos móviles). e) Sistemas embebidos. o Memory sticks y memory cards (Smarts Card y Compact Flash). Básicamente su recolección de datos es igual que la de un disco duro puesto que se basan en sistemas de ficheros tipo FAT (normalmente). Las estructuras de datos en las que se pueden analizar evidencias son: i. CIS Área oculta que contiene información del fabricante. ii. MBR En las tarjetas este sector está presente por razones de compatibilidad y raramente se usará como arranque de un disco duro (aunque los delincuentes, podría ocultar aquí información). iii. Sector de arranque. iv. Se usa junto al MBR para establecer la geometría del dispositivo. 27 Una memoria de semiconductor destinada a ser leída y no destructible. 57 v. FAT. Contiene la lista que describe los cluster ocupados por los ficheros. vi. El área de datos que contiene los datos de los ficheros actuales. f) Otros dispositivos. Normalmente la mayoría de estos dispositivos serán sistemas embebidos. Debido a la exclusividad de cada uno de ellos, habrá que conseguir la documentación propia del dispositivo (a través del fabricante, Internet, etc.) para saber donde puede almacenar evidencias. Podemos hacer la siguiente clasificación: o Sistemas de oficina. i. Teléfonos fijos. ii. Fax. iii. Fotocopiadoras. o Sistemas de comunicación. i. Enlaces de radio y TV. ii. Enlaces de satélite. iii. Sistemas de llamadas. o Sistemas de transporte. 58 i. GPS. ii. Sistemas embebidos en coches, trenes, etc., como pueden ser airbag, sistemas de navegación, cierres electrónicos, etc. iii. Sistemas de monitorización. iv. Sistemas de control de tráfico. v. Sistemas de control de tráfico aéreo. vi. Sistemas de radar. o Equipamientos domésticos. i. Alarmas contra robos. o Sistemas de mantenimiento de edificios. i. Sistemas de emergencia (UPS, etc.). ii. Sistemas de control de acceso. o Sistemas de registros. i. Cámaras de circuito cerrado. o Sistemas de producción. i. Sistemas CAM. 59 ii. Sistemas CAD. iii. Sistemas de control de energía (electricidad, agua, gas, etc.). iv. Sistemas de producción de energía (electricidad, agua, gas, etc.). v. Sistemas de registro de tiempo. vi. Sistemas de simulación. vii. Robots o Bancos. i. Cajeros automáticos. ii. Sistemas de tarjeta de crédito. o Sistemas médicos. i. Equipo para imagen y procesamiento (radiografías, resonancias magnéticas, etc.). ii. Equipo cardiaco. iii. Equipo de ventilación. iv. Equipo de respiración asistida. v. Equipo de anestesia. 60 vi. Equipo de esterilización. vii. Equipo de desinfectación. 6.1. ¿Qué es un Sistema Vivo y un Sistema Muerto? Los sistemas vivos son aquellos en los que se puede analizar cuando el sistema operativo está funcionando, Los sistemas muertos son aquellos que se analizan instalando la herramienta desde otro sistema operativo. 6.2. Analizar Sistemas Vivos y Muertos. Un análisis de sistema vivo ocurre cuando se está analizando el sistema sospechoso mientras está funcionando. Este análisis se utiliza mientras que se está produciendo el incidente y se analiza básicamente: procesos, memoria, ficheros, etc. Después de que se confirme la amenaza, el sistema puede ser adquirido en una imagen para conservarlo sin corrupciones posteriores y así realizar análisis de sistema muerto. Un análisis de sistema muerto, en este caso se utiliza la herramienta desde otro sistema operativo y con el sistema a investigar en su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integridad de archivos, estructura de ficheros, logs del sistema y datos borrados. 61 6.3. Software Aplicable para los sistemas vivos y los sistemas muertos. Las herramientas que se utilizan para le analices de la evidencia digital depende de: o Licencias de Software, o No contamine a la Evidencia o Sean fiable los resultados. Desde mi criterio recomiendo utilizar las siguientes herramientas: o Para software Vivo HELIX Figura 6.3.1. Software HELIX. 62 o Para sistema Muerto AUTOPSY Figura 6.3.2. Software AUTOPSY. 6.4. Examinadores de Evidencia Digital. Son los responsables de procesar toda la evidencia digital o infamación obtenida por los técnicos en escenas del crimen informático. Para estas dichas personas se requiere un alto grado de especialización en el área de sistemas e información. 6.5. El reconocimiento de la Evidencia Digital como Formal y Valida. Para que la evidencia digital sea reconocida como formal y valida debe cumplir las siguientes reglas: 63 o Levantar toda evidencia física, siendo preferible pecar por exceso que por defecto. o Manejar lo estrictamente necesario, a fin de no alterarla o contaminarla. o Evitar contaminarla con software que no garantice un proceso limpio. o Trabajarla individuamente, procurando que se mantenga la integridad de su naturaleza. [BRUNGS, A y JAMIESON, R. 2003]. “La evidencia digital en la administración de justicia en muchas partes del mundo continua siendo una situación problemática por resolver.” Dada las características mencionadas previamente, se hace un elemento que requiere un tratamiento especial, más allá de las características legales requeridas, pues éstas deben estar articuladas con los esfuerzos de seguridad de la información vigentes en las organizaciones. 64 CAPÍTULO VII 7. PRESENTAR LA EVIDENCIA DIGITAL 7.1. Normas Para la Presentación de la Evidencia Digital. Para que la presentación de la evidencia digital sea reconocida hay que seguir los s siguientes: 1. Demostrar con hechos y documentación que los procedimientos aplicados para recolectar y analizar los registros electrónicos son razonables y robustos. 2. Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el análisis de los datos, son repetibles y verificables por un tercero especializado. 3. Auditar periódicamente los procesos de recolección y análisis de registros electrónicos, de tal manera que se pone cada vez mejor formalidad y detalles en los análisis efectuados. 4. Fortalecer las políticas, procesos y procedimientos de seguridad de la información asociados con el manejo de la evidencia digital. 5. Procurar certificaciones profesionales y corporativas en temas relacionados con computación forense. 7.2. Presentación de la Evidencia Basándose en las fases anteriores, en toda la documentación disponible del caso y basándose también en la cadena de custodia, la presentación y/o sustentación del 65 informe pericial es la fase de comunicar el significado de la evidencia digital, los hechos, sus conclusiones y justificar el procedimiento empleado. El propósito de la presentación de los informes es proporcionar al lector toda la información relevante de las evidencias de forma clara, concisa, estructurada y sin ambigüedad para hacer la tarea de asimilación de la información tan fácil como sea posible. La forma de presentación es muy importante y debe ser entendible por personas no conocedoras del tema en discusión. Es decisivo que el investigador presente las evidencias en un formato sencillo de entender, acompañado de explicaciones que eviten la jerga y la terminología técnica. Durante un juicio la investigación debe presentar evidencias informáticas de una manera lógica, precisa y persuasiva de forma que el jurado entenderá y que el abogado de la parte opuesta no podrá contradecir. Esto requiere que las acciones del experto forense puedan ser reconstruidas paso a paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word, PowerPoint, etc. puede ser de gran ayuda en este punto). Si el abogado del sospechoso es capaz de levantar dudas sobre la integridad de la prueba o si es capaz de demostrar que el investigador realizó algún procedimiento no sustentable, todo el informe puede ser rechazado. 66 Es importante, más allá de lo que esté escrito en el informe pericial, que el investigador sepa sustentar correctamente ante jurado cada tarea realizada en sus investigación. 67 CAPÍTULO VIII 8. LEYES ECUATORIANAS CONTRA LOS DELITOS INFORMÁTICOS 8.1. Extracto de las Leyes ecuatorianas sobre el Derecho Informático. Libro II Código Penal Título II: Delitos contra las garantías constitucionales y la igualdad racial Capítulo V: Delitos contra la inviolabilidad del secreto. Art. 202 Literal A): “El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad para acceder u obtener información protegida, contenida en sistemas de información para vulnerar el secreto, confidencialidad o reserva o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los estado Unidos de Norteamérica. Si la información obtenida se refiere a seguridad nacional, o secretos comerciales o industriales, la pena será de uno a tres años y multa de mil a mil quinientos dólares de los Estados Unidos de Norteamérica. 68 La divulgación o la utilización fraudulenta de la información protegida, así como los secretos comerciales o industriales serán sancionadas con pena de reclusión menor de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o personas encargadas de la custodia o utilización legitima de la información, estas serán sancionadas con la pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica.” Art. 202 Literal B): Obtención y utilización no autorizada de información.- La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica. Título III: De los delitos contra la administración pública. Capitulo V: De la violación de los deberes de funcionarios públicos, de la usurpación atributos y de los abusos de autoridad. Art. 262: “Serán reprimidos con tres a seis años de reclusión menor, todo empleado publico y toda persona encargada del servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un 69 sistemas de información o red electrónica, de que fueren depositario, en su calidad de tales, o que les hubiere sido encomendados sin razón de su cargo.” Título IV: De los delitos contra la fe pública Capítulo III: De la falsificación de los documentos en general. Art. 353 Literal A): “Falsificación Electrónicas.- Son reos de falsificación electrónica la persona que sin ánimo de lucro o para causar un perjuicio a un tercero, utilizando cualquier medio; alteren o modifiquen mensajes de datos o la información incluida en estos, que se encuentre contenida en cualquier soporte material, sistema de información o telemática, ya sea: 1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter formal o esencial; 2. Simulando un mensaje de datos en todo o en parte, de manera que introduzca a error sobre su autenticidad; 3. Suponiendo en un acto de intervención de personas que no la han tenido o atribuyendo a las que han intervenido en el proceso declaraciones o manifestaciones diferentes de las que hubiere hecho. 4. Estos delitos serán sancionados de acuerdo aló dispuesto en este capítulo.” 70 Título V: De los delitos contra la seguridad pública. Capítulo VII: Del Incendio y otras destrucciones, de los deterioros o daños. Art. 415 Literal A) “Daños Informáticos.- El que dolosamente de cualquier modo o utilizando cualquier método, destruya, altere, inutiliza, suprima o dañe, de forma temporal o definitiva, los programas, datos, base de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres anos y una multa de sesenta a Ciento cincuenta dólares de Norteamérica. La pena de prisión será de tres a cinco anos y una multa de doscientos a seiscientos dólares de Norteamérica cuando se trate de programas datos base de datos, información cualquier mensaje de datos contenido en un sistema de información o de red electrónica, destinada aprestar un servicio público o vinculada con la defensa nacional.” Art. 415 Literal B) “Si no se tratare de un delito mayor, la destrucción, la alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seiscientos dólares de los Estados Unidos de Norte América.” 71 8.2. Extracto de las Normas ISO. Normas ISO 17799 en su numeral 12.1.7. 12.1.7. Recolección de la Evidencia digital. 12.1.7.1. Reglas para la Recolección de la Evidencia Digital. Es necesario contar con la adecuada evidencia para respaldar una acción contra una persona u organización. Siempre que esta acción responda a una medida disciplinaria interna, la evidencia, la evidencia necesaria estará descrita en los procedimientos internos. Cuando la acción implica la aplicación de una ley, tanto civil como penal, la evidencia presentada debe cumplir con las normas de la evidencia establecidas en la ley pertinente o en las normas especificadas del tribunal en el cual se desarrollará el caso. En general estas normas comprenden: a. Validez de la Evidencia: si se puede o no utilizarse la misma en el tribunal; b. Peso de la evidencia: la calidad y la totalidad de la misma; c. Adecuada evidencia de que los controles han funcionado en forma correcta y consistente (por ejemplo. Evidencia de control de procesos) durante todo el periodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. 72 12.1.7.2. Validez de la Evidencia. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de practica relativos a la producción de evidencia valida. 12.1.7.3. Calidad y totalidad de la evidencia. Para lograr la calidad y la totalidad de la evidencia es necesaria una sólida pista de la misma. En general, esta pista puede establecerse si se cumple las siguientes condiciones: a. Para documentos en papel: el original se almacena en forma segura y se mantienen registros acerca de quien lo halló, dónde se halló y quién presenció el hallazgo. Cualquier investigación debe garantizar que los originales no sean alterados. b. Para información en medios informáticos: se deben hacer copias de los medios removibles y de la información en discos rígidos o en memoria para garantizar su disponibilidad. Se debe mantener un registro de todas las acciones realizadas durante el proceso de copia y éste debe ser presenciad. Se debe almacenar en forma segura de los medios y del registro. c. Cuando se detecta un incidente puede no resultar obvio si éste derivará en una demanda legal. 73 Por consiguiente, existe el riesgo de que la evidencia necesaria sea destruida accidentalmente antes de que se advierta la gravedad del incidente. Es aconsejable involucrar a un abogado o la policía en la primera etapa de cualquier acción legal contemplada y procurar asesoramiento acerca de la evidencia requerida. 8.3. Recomendaciones desde el punto de vista técnico para mejorar las políticas ecuatorianas. El derecho tiene como finalidad normar la conducta humana. Los actos del hombre cambian de acuerdo a la época, en la actualidad no existe institución, incluso hogar en el que no se encuentra un ordenador o un sistema informático. Hasta hace pocos años era imposible en una red de comunicación mundial como es el Internet; por lo tanto es menester que todos los países del mundo unan sus esfuerzos a fin de evitar la propagación de los delitos informáticos. En el Ecuador, este tipo de actividad delictiva es 28incipiente, como incipiente en s desarrollo tecnológico. Últimamente se ha popularizado el uso del Internet, pero no existe regulación legal acerca de la difusión de la información y transmisión de datos por esta vía, así también como de su uso. 28 Naciente, primitivo o inicial. 74 Las recomendaciones desde el punto de vista técnico para mejorar las políticas ecuatorianas son: Tipificar esta nueva conducta ilícita, en el código penal del Ecuador. La facilidad tecnológica permite en la actualidad la transferencia electrónica de fondos, que se puede dar lugar defraudaciones millonarias sin su uso no normado por la ley, pero en el Ecuador no existe ninguna reglamentación, referente a este aspecto; así como también, tiene que ver en cuanto a la transferencia de datos. Es necesario robustecer a las políticas de estado, generando sanciones mas fuertes para los infractores. Se debe crear un instituto o ente que se especialice y vigile este tipo de conductas delictivas. Además se debe capacitar de forma permanente a los jueces y magistrados, o formar un grupo de especialistas en derecho informático, que sean capaces o competentes cuando se presente un caso de estudio. En nuestro país desde abril del año 2002, en el que los honorables diputados, aprobaron la Ley de Comercio Electrónico, Mensaje de Datos y Firmas Electrónicas, no se ha vuelto a tipificar en el código penal las sanciones a los nuevos delitos informáticos que aparecen conforme avanza la tecnología. 75 9. CONCLUSIONES Y RECOMENDACIONES 10. CONCLUSIO NES o Las organizaciones deben desarrollar mayor conciencia sobre la evidencia digital que deben generar fruto de sus operaciones. o No existe claridad sobre el tiempo de retención de registros electrónicos. o La carga probatoria de la evidencia digital actualmente recae sobre la experiencia particular de peritos especializados. o Es necesario un 29 estándar a nivel nacional sobre la administración de evidencia digital. o Se requiere la integración a la administración de justicia de especialistas en computación forense. o En nuestro país no hay suficientes especialistas en la materia de manejo de la evidencia digital. o Los administradores de la justicia ecuatoriana no se han, ni se preocupan de los delitos informáticos. 29 Lenguaje común 76 o No hay apoyo del estado a las pocas personas que nos preocupamos del la delincuencia informática. o No hay un control adecuado en nuestro país del uso del Internet en lugares públicos. o En nuestro medio no existe un organismo que controle la información que es subida a la Web. o Las penas y sanciones tipificadas en el código penal ecuatoriano ya son obsoletas. o No hay sanciones lo suficientemente severas para los delincuentes informáticos. o Hay vulnerabilidades de seguridad en las páginas web que han sido creadas en nuestro medio. o En general no hay conciencia de los delitos informáticos. 77 11. RECOMENDACIO NES o Crear un organismo que vigile y sancione de forma permanente los actos delictivos informáticos. o Capacitación permanente a los encargados de la justicia ecuatoriana, en materia de derecho informático. o Capacitar constantemente a los profesionales del derecho y a los profesionales informáticos. o Robustecer el código penal ecuatoriano. o Restringir el libre acceso al Internet en lugares públicos. o Crear un estándar para el manejo de evidencia digital. o Robustecer la inseguridad en las páginas web. o Generar conciencia de la gravedad de los delitos informáticos. o Incentivar a las empresas, instituciones, etc., el uso de software legal, es decir, impulsar y facilitar la compra de software legal. o Crear programas para el uso adecuado de los recursos y tecnología informática. o En las carreras afines al derecho y a la computación o informática, se debe crear materias o seminarios referentes al derecho informático. 78 o Dar mayor apoyo a las personas que nos interesamos en los delitos informáticos. o Crear más fuentes de información en materia de la informática forense. 79 12. 13. GLOSARIO DE TÉRMINOS Término Significado ARP Protocolo de Resolución de Direcciones. BITMAP La representación binaria en la cual un bit o conjunto de bits corresponde a alguna parte de un objeto. CACHE Conjunto de datos duplicados de otros originales. CAD Diseño Asistido por Computadora. CAM Fabricación Asistida por Computador. CD Disco Compacto. CDR Charging Detail Records. CIS Card Information System. DHCP Protocolo de Configuración de Host Dinámico. DVD Disco de Video Digital. EFS Contenido de Sistema de Fichero Cifrados. FAT Tabla de Ubicación de Archivos 80 GB Giga Byts. Unidad de Medida. GMT Hora de Referencia de Greenwich. GPS Sistema de Posicionamiento Global. HLR Registro de inicio de localización. IP Protocolo de Internet. IDS Sistema de detección de intrusos. IMEI Equipo de Identificación International Móvil. ISO Organización Internacional para la Estandarización. ISP Protocolo de Servicio de Internet. LAN Red de Área Local. MAC Control de Acceso Medio. MB Mega Byts. Unidad de Medida. MBR Registro de Arranque Maestro. MD5 General Packet Radio Service. MSC Centro de Conmutación Móvil. MTF Centro de Cambios de Fallos. 81 NT Nueva Tecnología. NTFS Nueva Tecnología de Archivos del Sistema. OMC Centro de Operación y Administración. PC Computadora Personal. PDAs Asistente Personal Digital. PGP Privacidad Bastante Buena. PIN Número de Identificación Personal. PUK Clave Personal de Desbloqueo. RAM Memoria de Acceso Aleatorio. ROM Memoria de Solo Lectura SIM Modulo de Suscripción de Identidad. UPS Fuentes de Alimentación Ininterrumpida. USB Bus Universal Serial. VLR Visor de Localización de Registros. VPN Red Privada Virtual. WAP Protocolo de Aplicación Inalámbrica. 82 14. BIBLIOGRAFÍA Ø Libros o TITULO: Introducción a la Informática forense AUTOR: EIIDI. o TITULO: Introducción a la Informática forense AUTOR: Dr. Santiago Acurio del Pino. o TITULO: Informática forense AUTORES: Juan David Gutierrez, Giovanni Zuccardi. o TITULO: Evidencia Digital: contexto, situación e implicaciones Colombianas. AUTORES: José Alejandro Mosquera González, Andrés Felipe Certain Jaramillo, Jeimy J. Cano. Ø Códigos o TÍTULO: Código Penal Ecuatoriano. Ø Normas o TÍTULO: Normas ISO 17799, Numeral 12.1.7. Ø Guías 83 o TÍTULO: RFC 3227 “Guía para Recolectar y Archivar Evidencia (Guidelines for Evidence Collection and Archiving)”. AUTORES: Dominique Brezinski, Tom Killalea. Ø Referencias de Internet o www.eiidi.com [Pagina del Equipo de Investigación de Incidentes y Delitos Informáticos] o http://www.google.com.ec [Buscador de Internet] o http://www.virusprot.com/Archivos/Eviden-GECTI03.pdf [Manejo de la Evidencia Digital] o http://www.desarrollador.org/2007/05/informtica-forense.html [Introducción a Informática Forense, Parte I] o http://www.alfa-redi.org/rdi-articulo.shtml?x=1304[Revista de Derecho Informático] o http://www.isecauditors.com/downloads/present/hm2k4.pdf [Informática forense Teoría y Práctica] o http://www.utpl.edu.ec/derechoinformatico/images/stories/docs/ponencias/javier leon.pdf [Informática Forense] o http://www.elhacker.net/ [Hacker y Cracker] o http://rfc.net/rfc3227.html [Guía para Recolectar y Archivar Evidencia] 84 o http://www.alegsa.com.ar/Dic [Diccionario de Acrónimos Informáticos] o http://vtroger.blogspot.com/2008/01/suite-completa-para-informticaforense.html [Guía para sistemas Muertos] o http://www.tecnoseguridad.net/recoleccin-de-evidencias-forenses-sistemavivo/?wpcf7=json [Guías para sistemas Vivos] 85 15. CITAS BIBLIOGRÁFICAS o Libro II del Código Penal del Ecuador. Delitos Informáticos. o Normas ISO 17799 en su numeral 12.1.7. Normas ISO sobre la Evidencia Digital. o [BRUNGS, A y JAMIESON, R. 2003]. Reconocimiento de la Evidencia digital o HB: 1712003 Guidelines for the Management of IT Evidence. Evidencia Digital. 86