Aman Hardirak presenta un excelente mapa mental sobre análisis forense digital. Dado que existe una gran cantidad de dispositivos que pueden almacenar información, eso hace del análisis forense y la ciencia forense, campos muy amplios y ello lleva a que hayan diferentes expertos forenses para cada temática de interés: expertos en redes, expertos en Windows, Linux, expertos en equipos móviles, impresoras, etc. La información puede estar almacenada en discos duros internos o externos, teléfonos celulares, impresoras, circuitos impresos, módulos de memoria, etc.
La rama de la ciencia forense digital que trata sobre la evidencia legal encontrada en computadores y medios digitales de almacenamiento es la informática forense (en inglés: Computer forensics) también denominada cómputo forense.
sábado, 29 de noviembre de 2014
La adquisición de la evidencia - Segunda parte
La importancia de la evidencia
Allesio Aguirre comenta: "Cuando se está querellando, no se habla de si una persona es culpable o inocente sino de si las pruebas que se presentan son admisibles en la corte o no, ya que en el sistema de justicia hay un sinnúmero de garantías y para cumplir con esas garantías hay unos requisitos que hay que cumplir."
Alessio recomienda a ese respecto, tener una extensa documentación de la adquisición: horas, domicilios, nombres, documentar una narrativa de lo que va pasando, en particular, relatar lo que se encuentra en el sitio de la evidencia. Colocar la menor cantidad de información posible: pocos nombres, números de serie, etc. para evitar problemas causados por datos que no concuerden. Es decir, solo lo mínimo esencial.
Alessio comenta sobre equipos Write Locker utilizados para proteger los discos contra escritura.
Comenta también que en ocasiones no es bueno ayudarse de un escribano, o se debe cambiar la terminología y utilizar palabras que el escribano las entienda.
La importancia de habilitar la auditoría de los servicios informáticos
Un análisis forense se verá favorecido, en menor o mayor grado, dependiendo de qué tanto los sistemas registran eventos de auditoría. Por ejemplo, no debe causar sorpresa encontrar que los servidores Windows traen opciones de auditoría deshabilitadas. Es sencillo habilitar un servidor de archivos, y puede ocurrir que solo hasta que se presente la necesidad de saber cuándo y quién borró un archivo, se viene uno a dar cuenta de que en forma predeterminada los servidores Windows (Windows Server 2008 R2 por ejemplo) traen las opciones de auditoría local deshabilitadas, como se puede leer en uno de los propios sitios de Microsoft:
En servidores Windows, la auditoría se habilita primero accediendo a la opción Directivas de Auditoría bajo Directivas Locales, por ejemplo así:
El siguiente paso consiste en adicionar reglas de auditoría por usuario o por evento utilizando la opción de Configuración de Seguridad Avanza que aparece al hacer clic derecho sobre una carpeta compartida que se desea auditar, como se aprecia en la siguiente imagen:
Finalmente, para consultar los registros auditados debe utilizarse el visor de eventos del sistema, bajo la rama de seguridad, como se aprecia en la siguiente imagen.
No obstante lo anterior, esa auditoría es complicada ya que se hace todo en torno a las limitaciones propias de la base de datos de eventos del sistema de Windows, por ello, es recomendable considerar herramientas de terceros, por ejemplo ésta, cuándo haya una razón legal o gerencial para disponer de una buena auditoría.
Un experto forense debe conocer no solo este sino muchos otros temas ya que en el curso de una investigación puede requerir ubicar y analizar archivos log existentes o eliminados.
"Antes de implementar una auditoría, debe tomar una decisión sobre una directiva de auditoría. Una directiva de auditoría especifica las categorías de eventos relacionados con la seguridad que desea auditar. Cuando esta versión de Windows se instala por primera vez, todas las categorías de auditoría están deshabilitadas."De igual manera ocurre en servidores de archivos Samba bajo Linux. La auditoría de servidores de archivos Linux con Samba. A partir de la versión 3.0.25 de Samba es posible registrar en el sistema log de un servidor Linux, operaciones tales como creación, modificación, borrado o renombrado de archivos o carpetas, mediante el uso del módulo VFS vsf_full_audit. Aquí una muestra de cómo se habilita y configura.
En servidores Windows, la auditoría se habilita primero accediendo a la opción Directivas de Auditoría bajo Directivas Locales, por ejemplo así:
Fuente: http://i.technet.microsoft.com/dynimg/IC68974.jpg
Un experto forense debe conocer no solo este sino muchos otros temas ya que en el curso de una investigación puede requerir ubicar y analizar archivos log existentes o eliminados.
Nueva versión de Autopsy - Herramientas para análisis forense
El equipo de desarrollo de Autopsy publicó una nueva versión de la versión de Autopsy que solo corre bajo Windows, es decir, de la versión 3. La nueva versión, la 3.1.1 incluye entre otras mejoras que se pudieron evidenciar, la generación de líneas de tiempo y una nueva imagen mejorada de su mascota:
Entre las herramientas Open Source de Informática Forense, Autopsy es una de las que se encuentran a la vanguardia, disponibles tanto para Windows como para Linux. Autopsy está basada en TSK (The Sleuth Kit), una librería y un conjunto de herramientas y utilitarios basados en Windows y Linux para análisis forense de sistemas de cómputo.
Por si es de su interés, aquí una evaluación reciente de las mejores herramientas de análisis forense.
Nueva imagen mejorada de Autopsy.
Por si es de su interés, aquí una evaluación reciente de las mejores herramientas de análisis forense.
lunes, 10 de noviembre de 2014
La adquisición de la evidencia - Primera parte
Se presentan algunos extractos de algunos detalles expuestos por Alessio Aguirre, especialista en Informática Forense, en el marco de la "V Jornada de Derecho y Delitos Informáticos" (2011),
La Informática Forense y la adquisición de la evidencia
"Forense es todo aquello que asiste al fuero (al juez)".
Según el diccionario de la RAE, foro (o fuero) es un término que viene de la antigua Roma: plaza donde se trataban los negocios públicos y donde el pretor celebraba los juicios.
Alessio indica también: "La finalidad de la informática forense es proponer una hipótesis acerca de si un evento o comportamiento humano es consistente con el que generó el estado digital con los artefactos en cuestión, es decir, tiene que explicar el estado digital de un artefacto".
Cuando se sospecha de algún delito o irregularidad, se hace adquisición digital de evidencia, es decir, apersonarse (comparecer) al sitio y hacer una adquisición de evidencia.
La adquisición de datos puede corresponder a:
- Adquisición digital única: cuando se sospecha de una sola persona y se trabaja sobre el computador, fax, impresora, etc. de esa persona.
- Adquisición de diversos equipos: cintas, discos duros, teléfonos (muchos tienen chip y GPS), etc.
La búsqueda de evidencias relevantes debe realizarse con personal idóneo.
- Peritos: se encargan de recaudar información
- Investigadores: analizar información
- Documentos contables: deberían ser recolectados por analistas contadores
- Documentos legales: por abogados
En resumen: lo ideal es que cada experto se encargue de su tema: los peritos en la adquisición de evidencia y los investigadores en el análisis de la información.
Suscribirse a:
Entradas (Atom)