Embed Size (px)
Citation preview
.
PROCEDIMIENTOS SOBRE ADQUISICIÓN DE EVIDENCIA EN UNA INVESTIGACION INFORMÁTICA FORENSE
Ing. Alex Niño e-mail: [email protected]
Ing. Franklin Viasus e-mail: [email protected]
RESUMEN: en el entorno informático, la adquisición de evidencia digital representa la recuperación o copia de toda evidencia que sea primordial para la investigación, un solo procedimiento que se represente mal, puede llegar a alterar cualquier tipo de hallazgo. Cualquier lugar donde exista un dato como una memoria USB, disco duro, CD romos, disquete, etc., puede ser útil al momento de recuperar evidencia para una investigación informática forense,
PALABRAS CLAVE: adquisición, evidencia, hash, informática forense
1. INTRODUCCIÓN
La investigación forense de ataques informáticos es el proceso de detectar dichos ataques y extraer la evidencia de manera apropiada para reportar el crimen y llevar a cabo auditorias para prevenir futuros ataques. La computación forense es simplemente la aplicación de la investigación informática y las técnicas de análisis con el interés de determinar evidencia legal. La evidencia podría buscarse en un amplio rango del mal uso de la informática o de crímenes informáticos, incluyendo entre otros el robo de secretos comerciales, robo o destrucción de la propiedad intelectual, y fraude. Los investigadores CHFI dispondrán de una serie de métodos para descubrir los datos que residen en un sistema computacional, o para recuperar archivos de información borrados, dañados o encriptados.
La computación forense permite la identificación sistemática y cuidadosa de evidencia en una computadora involucrada en algún crimen o caso de abuso. Esto va desde rastrear los pasos de un hacker a través del sistema de un cliente, localizar al autor de correos electrónicos difamatorios, hasta recuperar señales de fraude.
2. PROTECCIÓN DE LA EVIDENCIA
Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar la investigación.
En el ámbito de los sistemas informáticos, a la Ciencia Forense se le llama Análisis Forense Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos "tradicionales" (homicidios, fraude financiero, narcotráfico...), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, intrusiones, "hacking", spam, phishing. Dicho de otra manera, se define el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.
Un incidente de seguridad informática puede considerarse como un violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos, como por ejemplo: Incidentes de denegación de servicios, de código malicioso, de acceso no autorizado, por uso inapropiado, incidente múltiple....
Los incidentes en la realidad pueden enmarcarse en varias categorías de las anteriormente mencionadas, por lo que una buena forma de identificarlos puede ser el mecanismo de transmisión empleado.
Imagen tomada de: http://www.windowstecnico.com/cfs-filesystemfile.ashx/__key/CommunityServer.Components.UserFiles/00.00.00.21.29/fingerprint.png
En el análisis forense digital pueden diferenciarse las siguientes fases:
Identificación del incidente: descubrir las señales de ataque.
1
.
Recopilación de evidencias: registros y contenidos de la caché, contenidos de la memoria, estado de las conexiones de red, tablas de rutas, estado de los procesos en ejecución, contenido de archivos y discos duros...
Preservación de la evidencia: realizar copias, métodos adecuados para el almacenamiento y etiquetado de las evidencias.
Análisis de la evidencia: acondicionar un entorno de trabajo adecuado, reconstrucción de la secuencia temporal del ataque, determinación de cómo se realizó el ataque, identificación del autor del incidente y evaluación del impacto causado al sistema.
Documentación y presentación de los resultados: utilización de formularios de registro de incidente, informe técnico e informe ejecución.
Una vez que hemos pasado la primera fase del análisis y estamos seguros de que nuestro sistema informático ha sido atacado, debemos decidir qué es más importante para nosotros: tener nuevamente operativo nuestro sistema o realizar una investigación forense detallada.
Los administradores lo primero que suelen hacer es devolver a la normalidad el sistema, aunque así puedan perder casi todas las evidencias del ataque, y ello impida llevar a cabo acciones legales posteriores si fuera necesario. En sistemas SCADA, una vez identificado el incidente la única opción que tenemos es la de restablecer el sistema, ya que sería impensable dejar de suministrar gas, agua.... y comenzar con un análisis forense, ya que son sistemas críticos. Por ello, una posible solución sería registrar todo tipo de evento que pueda suceder en cualquier dispositivo de nuestro sistema.
En las redes SCADA hay dispositivos que son capaces de registrar eventos, sin embargo, existen otros que no lo son (PLC, RTU...), así una buena solución sería establecer soluciones de software que puedan registrar dichos eventos de estos dispositivos SCADA. Los PLC y RTU´s suelen utilizar protocolos concretos (ModbusTCP, DNP3, IEC104, ...) que tendrán que ser interpretados por este software, de tal modo que permita determinar qué información es la que se desea registrar.
En ocasiones esto no es suficiente y es necesario además incluir una última interpretación de lo que está sucediendo en la red para crear el registro necesario de estos eventos, como por ejemplo, se está actualizando un firmware en un dispositivo y esta actualización NO se ha completado con éxito, todo ello con el fin de disponer de toda la información suficiente para realizar un análisis forense más completo.
El ingeniero Miguel López Delgado especifica las fases de un análisis informático forense como: recopilación de evidencia:
Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva aparejado la búsqueda y recopilación de evidencias.
Si sospecha que sus sistemas han sido comprometidos lo primero que tiene que hacer es ¡NO PERDER LA CALMA!, piense que no es el primero y que menos aún va a ser el último al que le ocurre. Antes de comenzar una búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de forma metódica y profesional.
Asegúrese primero que no se trata de un problema de hardware o software de su red o servidor, no confunda un “apagón” en su router con un ataque DoS.
Para iniciar una primera inspección del equipo deberá tener en mente la premisa de que debe conservar la evidencia, por ello NO HAGA NADA QUE PUEDA MODIFICARLA. Deberá utilizar herramientas que no cambien los sellos de tiempo de acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto que no borren nada.
Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad que incorpora el Sistema Operativo, o las que se hayan instalado se mantienen intactas deberemos utilizar otras alternativas. Piense que en muchos casos los atacantes dispondrán de herramientas capaces de modificar la información que el administrador verá tras la ejecución de ciertos comandos. Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Cuestione siempre la información que le proporcionen las aplicaciones instaladas en un sistema que crea comprometido.
No estría de más en este momento crear un CD o DVD como parte de sus herramientas para la respuesta a incidentes, y si trabaja en entornos mixtos UNIX/Linux y Windows, tendrá que preparar uno para cada plataforma. Aunque existen gran cantidad de utilidades a continuación propongo una relación de aquellas que considero debería incluir en su ToolKit, y que le permitan, al menos, realizar las siguientes tareas:
Interpretar comandos en modo consola (cmd, bash)
Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport, lsoft)
Listar usuarios conectados local y remotamente al sistema
Obtener fecha y hora del sistema (date, time)
Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que los lanzaron (ps, pslist)
Enumerar las direcciones IP del sistema y mapear la asignación de direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, net)
2
.
Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
Visualizar registros y logs del sistema (reg, dumpel)
Visualizar la configuración de seguridad del sistema (auditpol)
Generar funciones hash de ficheros (sah1sum, md5sum)
Leer, copiar y escribir a través de la red (netcat, crypcat)
Realizar copias bit-a-bit de discos duros y particiones (dd, safeback)
Analizar el tráfico de red (tcpdump, windump)
Supongamos que ya dispone de su ToolKit, ahora se hará la siguiente pregunta ¿dónde puedo buscar indicios de un ataque?. Evidentemente, uno de los primeros lugares donde comenzar la búsqueda de indicios es en los equipos que consideremos comprometidos pero no se limite sólo a éstos, piense que sus atacantes han podido borrar algunos registros locales en esos equipos, pero aún así, puede haber indicios en otras máquinas próximas tales como escaneado de puertos o tráfico inusual en cortafuegos y routers de la red.
Al iniciar la investigación nunca sabremos con qué nos vamos a encontrar, de hecho al principio puede que no se aprecie, a simple vista ninguna huella o indicio del ataque especialmente si para realizarlo han empleado e instalado en sus equipos un rootkit.
Como primera opción de búsqueda podemos realizar una verificación de integridad de los ficheros del sistema, utilidades como Tripwire o AIDE (Advance Intrusion Detection Enviroment) podrán arrojar algo de luz sobre sus sospechas. Otra opción es realizar una serie de verificaciones sobre del equipo.
Primero sería interesante conocer los procesos que se están ejecutando actualmente en el equipo, en busca de alguno que le resulte extraño, deberán llamarnos la atención aquellos que consuman recursos en exceso, con ubicaciones poco frecuentes en el sistema de archivos, que mantengan conexiones de red en puertos TCP o UDP no habituales, etc.
Este último punto nos llevará a realizar otra comprobación de interés, listar todos los puertos TCP y UDP abiertos además de los procesos (PID), usuarios y aplicaciones que los utilizan, siempre con la idea de identificar actividad no usual, recuerde la importancia de que el administrador conozca muy bien los parámetros de actividad normal del sistema. La aparición en el listado de procesos sin nombre o que emplean puertos altos (por encima del 1024) pueden ser indicios de la ejecución de un troyano o puerta trasera (backdoor) en el equipo. Una buena opción sería buscar en Internet (especialmente en Google) alguna referencia sobre el puerto o proceso que le resulta sospechoso.
Si tras estas consultas sus temores aumentan, pase ahora a editar los archidos de registro del sistema y logs en busca de entradas y avisos sobre fallos de instalación, accesos no autorizados, conexiones erróneas o fallidas, etc. Dependiendo de la plataforma que emplee encontrará estos archivos en distintas ubicaciones.
Microsoft Windows: Este sistema operativo le proporciona un entorno para realizar estas pesquisas puede consultar, si considera que se trata aún de una aplicación segura, dentro del menú Herramientas administrativas, el Visor de sucesos, el de Servicios o el de la Directiva de seguridad local. Si no entiende bien la información que estos visores le aporten puede consultar la base de datos de ayuda de Microsoft. Otro lugar donde se esconde gran cantidad información es el registro de Windows. La aplicación del sistema regedit.exe puede ayudarle en esta tarea, pero si no se fía de ella use las herramientas de su CD tales como reg (permite hacer consultas al registro sin modificarlo), o regdmp (exporta el registro en formato de texto plano, .txt), para su posterior consulta. En estos archivos tendrá que buscar “una aguja en un pajar”, debido a la in-gente cantidad de información que almacena y que se mezcla. Un punto de partida podría ser buscar en las claves del registro Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce, Winlogon, pues bajo estas claves se encuentran los servicios, programas y aplicaciones que se cargarán en el inicio del sistema. Si ve algo raro, acuda nuevamente a Google.
UNIX/Linux: En este tipo de sistemas se dispone de una serie de archivos de registro (logs), que podremos encontrar habitualmente bajo el directorio /var/log, siendo los más importantes los que se detallan a continuación:
/var/log/messagesContiene los mensajes generales del sistema
/var/log/secureGuarda los sistemas de autenticación y seguridad
/var/log/wmtpGuarda un historial de inicio y cierres de sesión pasadas
/var/run/utmpGuarda una lista dinámica de quien ha iniciado la sesión
/var/log/btmpGuarda cualquier inicio de sesión fallido o erróneo
Si el atacante sigue online, logra averiguar su actividad y actuar como una acción evasiva o, pero aun, destructiva eliminando todo tipo de información. Pero si por la severidad del ataque o por importancia de los datos comprometidos decide apagar el equipo, no lo dude ¡DESCONÉCTELO DIRECTAMENTE DE LA RED ELÉCTRICA!, si ha leído bien, de esta forma perderá la
3
.
información volátil de la RAM, micro, etc. Pero guardará aun suficiente información sobre el ataque.
Presumamos que puede conservar su equipo “activo” un poco más, inicie a recopilar evidencias siguiendo el orden de mayor a menor volatilidad. Este proceso se describe muy bien en el RFC 3227. Crearemos el siguiente orden de volatilidad y por tanto de recopilación de evidencias:
Registros y contenidos de la cache. Contenidos de la memoria. Estados de las conexiones de red, tablas
de rutas. Estado de los procesos en ejecución Contenidos de otros dispositivos de
almacenamiento.
Prestar atención que los cuatro primeros puestos significan un tipo de dato, volátil, que se perderán o modificaran si se paga o se reinicia la maquina, es por tanto muy fácil eliminar evidencias de forma inadvertida.
NOTA: SI ESTA PRENDIDO, NO APAGARLO Y SI ESTA APAGADO, NO PRENDERLO.
Según Daniel A. Torres, Jeimy J. Cano, Sandra J. Rueda; evalúan la evidencia digital en el contexto Colombiano basados en la recolección como la etapa más critica pues se debe recoger la información relevante y conservarla garantizando los requisitos de admisibilidad fijados por la ley 557 de la legislación Colombiana: para valorar la fuerza probatoria de la información digital “…habrá de tenerse en cuenta la confiabilidad en la forma en la que se haya generado, archivado o comunicado la información”.
La cantidad de información que se debe recolectar debe ser decidida por el investigador durante la etapa de planeación, teniendo en cuenta las hipótesis planteadas, las evidencias registradas y los elementos recolectados en los testimonios de los involucrados.
Independientemente del camino tomado para realizar el proceso de recolección, la evidencia siempre debe ser recolectada de lo más a lo menos volátil. A continuación se presenta una posible clasificación según el orden de volatilidad
TA: TIPO DE ALMACENAMIENTO
TA Importancia forenseCPU (registro cache). Memoria de video
Usualmente la información de este dispositivo es de mínima utilidad, pero debe ser capturada como parte de la imagen de la memoria del sistema
TABLA 1. Evidencia Altamente Volátil
TA Importancia forenseRAM Incluye información sobre
los procesos de ejecución. El hecho de capturarla hace que cambie, requiere un conocimiento especializado para poder reconstruirla, pero no se requiere mucho conocimiento para hacer una búsqueda de palabras clave
Tablas del kernel (estado de la red y procesos de ejecución).
Permite analizar la actividad de red y de los procesos que puede ser evidencia de actividades no autorizadas
TABLA 2. Evidencia Medianamente Volátil
TA Importancia forenseMedios fijos (discos duros)
Incluye área de swap, colas, directorios temporales, directorios de registros – logs y otros directorios. La información recolectada en el área de swap y colas, permite analizar los procesos y la información de los mismos en un punto del tiempo en particular. Los directorios permiten reconstruir eventos.
Medios removibles (Cintas, CD ROM)
Usualmente son dispositivos para almacenamientos de contenidos históricos de sistema. Si existen previamente en un incidente pueden ser usadas para acotar el periodo de tiempo en el cual sucedió
Medio Impreso (papel)
Difíciles de analizar cuando hay muchos, ya que no se puede realizar búsquedas automáticas sobre ellos
TABLA 3. Evidencia Poco Volátil
3. REGLAS A TENER EN CUENTA
El ETF RFC 3227 es un documento que
proporciona una guía de alto nivel para recolectar y archivar datos relacionados con instrucciones y dentro de estas se encuentran las siguientes buenas prácticas
No cierre hasta que haya concluido la recopilación de pruebas. Muchas pruebas se pueden perder y el atacante puede haber alterado el inicio o apagado scripts o servicios para destruir las pruebas
No confié en los programas en el sistema. Ejecute sus pruebas, recopilación de los programas de los medios de comunicación debidamente protegidos.
No ejecute programas que modifiquen el tiempo de acceso de todos los archivos del sistema.
4
.
La organización internacional de evidencia computacional (IOCE, por sus siglas en inglés), definió en 1999 algunos principios internacionales para el manejo de la evidencia digital, entre los que se incluyen:
Al recolectar la evidencia digital se deben tomar acciones para asegurarse de que no se modificará dicha evidencia.
Cuando una persona necesite acceder a la evidencia digital original, se debe asegurar que dicha persona sea un investigador forense competente.
Toda la actividad relacionada con la recolección, acceso, almacenamiento o transferencia de evidencia digital debe estar documentada, preservada y disponible para ser revisada.
Un individuo es responsable por todas las acciones realizadas sobre la evidencia digital mientras ésta se encuentre en su posesión.
Cualquier agencia que sea responsable de la recolección, acceso, almacenamiento o transferencia de evidencia digital es responsable de cumplir con los principios anteriores.
4. HERRAMIENTAS PARA ADQUISICIÓN
Existe una serie de herramientas útiles dentro del análisis forense de código abierto y libre distribución tales como:
LA CAJA DE HERRAMIENTAS FORENSE (THE FORENSIC TOOLKIT)
Imagen tomada de: http://www.mayurhackstuff.yolasite.com/resources/FTK%20Forensic%20Toolkit.jpg
Kit de herramientas de forense ® (FTK ®) es reconocido en todo el mundo como el estándar en software forense.
Ofrece el análisis de las investigaciones de vanguardia en investigación informática forense, el descifrado y la contraseña de craqueo todo dentro de una interfaz intuitiva y personalizable.
FTK 3 es construido para la velocidad, la analítica y la escalabilidad de clase empresarial. Conocido por su interfaz intuitiva, el análisis de correo electrónico, vistas personalizables de datos y la estabilidad, FTK establece el marco para la expansión sin problemas, por lo que el equipo forense solución puede crecer con las necesidades de su organización. Kit de herramientas forenses 3 es ahora el equipo más avanzado software de análisis forense disponible, proporcionando una funcionalidad que normalmente sólo las organizaciones con decenas de miles de dólares podían pagar.
EL KIT DEL DETECTIVE / AUTOPSIA (THE SLEUTH KIT / AUTOPSY)
The Sleuth Kit es una colección de herramientas de análisis forense de volumen de sistema y archivos. Las herramientas del Sistema de Archivos permiten examinar el sistema de archivos de una computadora sospechosa, de una manera no intrusiva. Esto, debido a que las herramientas no confían en el sistema operativo para los procesos del sistema de archivos, de esta manera es posible ubicar contenido borrado y oculto. Las herramientas de volumen de sistema (manejador de medios) permiten examinar la disposición de los discos y otros medios. The Sleuth Kit soporta particiones DOS, particiones BSD (etiquetas de disco), particiones Mac, partes Sun (Índice de volumenes) y disco GPT. Con estas herramientas, se puede identificar donde se ubican las particiones y extraerlas, de manear que pueda ser analizadas con las herramientas de análisis del sistema de archivos. Cuando se realiza un análisis completo del sistema, puede ser tedioso conocer todas las herramientas en línea de comando. Autopsy Forensic Browser, es una interfaz gráfica para las herramientas que se incluyen en The Sleuth Kit, lo cual permite conducir más fácilmente llevar a cabo una investigación. Autopsy proporciona manejo de casos, integridad de la imagen, búsqueda de palabras clave, y otras operaciones automáticas.
5
.
Obtención de The Sleuth Kit
En primer lugar, obtendremos la versión la más reciente de The Sleuth Kit; en la sección Download de la página principal. El paquete a descargar tiene por nombre sleuthkit-3.0.1.tar.gz, y corresponde a la versión 3.0.1 que data del 2 de febrero del año 2009.
Instalación de The Sleuth Kit
Para proceder con la instalación de The Sleutk Kit, sugiero dar una lectura a conciencia del archivo INSTALL.txt. En este archivo se ubica la siguiente información:
Entre las plataformas que han sido evaluadas, se incluyen; FreeBSD 2-6.*, Linux 2.*, OpenBSD 2-3.*, Mac OS X, SunOS 4-5.* y Windows.
Los requisitos del sistema; un compilador de C y GNU Make.
Se puede utilizar el siguiente programa opcional:
Autopsy: Proporciona una interfaz gráfica basada en HTML para The Sleuth Kit (El cual hace más fácil su utilización). Este paquete debe ser instalado después de la instalación de The Sleuth Kit.
Existen además características adicionales que TSK utilizará si han sido instaladas antes de que se construya y lo instale. Estas son:
AFFLIB: Permite procesar imágenes de disco que son almacenadas en el formato AFF.
LibEWF: Permite procesar imágenes de disco que son almacenadas en el formato Expert Witness (EnCASE).
F.I.R.E LINUX
De entorno Linux que se le han añadido una serie de características y utilidades en seguridad como las que se nombran a continuación
Capacidad para recolectar datos de un entorno informático sometido a intrusión o ataque
Posibilidad de realización de test de penetración y vulnerabilidad
Recuperar datos de particiones dañadas o sometidas a incidencias
Al arrancar, un cálido entorno X-Window nos da la bienvenida al entorno. Los que gustéis del empleo de la consola, podéis invocarla con un simple
# /sbin/dlg/startmenu
Las herramientas que posee F.I.R.E son conocidas y muy recomendables:
Nessus, Nmap, whisker, hping2, hunt, fragrouter
Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort
chkrootkit, F-Prot tct, tctutils, Autopsy Testdisk, fdisk, gpart SSH (client and Server), VNC (client and
server) Mozilla, ircII, mc, Perl, biew, fenris, gpg
BACKTRACK
6
.
Imagen tomada de : http://3.bp.blogspot.com/_539QgnQU-Fg/S_AwdGLsrmI/AAAAAAAAABc/QmwrbEdMtH8/s1600/backtrack4_4.png
Backtrack 4 es una distribución de Linux basada en Ubuntu que incluye numerosas aplicaciones para realizar tests de seguridad y análisis informático forense. Gracias a esas aplicaciones Backtrack se ha convertido en una distribución imprescindible para los administradores de sistemas y profesionales de la auditoria informática.
La distribución incluye utilidades para la auditoría de redes wireless, scanners de puertos y vulnerabilidades, sniffers, archivos de exploits, etc.. la mayoría de ellas actualizadas a sus últimas versiones, pues la versión 4 de la distribución se lanzó hace poco más de 15 días.
Algunas de esas herramientas son: dnsmap, Netmask, PsTools, TCtrace, Nmap, Protos, utilidades para la detección de vulnerabilidad en redes Cisco, SQL Inject, SMB-NAT, SNMP Scanner, Pirana, Dsniff, Hydra, Sing, WebCrack, Wireshark, NSCX, Airsnort, aircrack, BTcrack, SNORT, Hexedit, etc.. hasta completar más de 300.
Backtrack 4 puede descargarse desde su página web o bien utilizando la red BitTorrent. Su forma de utilización es la habitual y puede ejecutarse directamente desde el DVD donde grabemos la imagen iso, desde un disco USB o bien instalarla en nuestro ordenador. También puede instalarse utilizando herramientas de virtualización como VMWare.
ENCASE V5
El estándar a nivel mundial en computación forense: Utilizado por más de 12.000 investigadores y profesionales de la seguridad. La policía, el gobierno, los militares y los investigadores corporativos confían en EnCase Edición Forense para ejecutar exámenes informáticos delicados y conclusivos. Guiados por nuestras relaciones con investigadores en el mundo entero, El programa EnCase ha sido optimizado para manejar la complejidad cada vez mayor de las configuraciones y capacidades informáticas.
El programa EnCase soporta un amplio rango de sistemas operativos, archivos y periféricos que son el desafío de los investigadores forenses diariamente. Como una herramienta seleccionada por la policía, el programa EnCase ha soportado numerosos desafíos en las cortes de justicia, demostrando su confiabilidad y exactitud. Recientemente, el Instituto Nacional para Estándares y Tecnología (NIST) concluyó que EnCase Imaging Engine (motor de creación de imágenes de discos) opera con mínimos defectos. Ninguna otra solución de computación forense tiene este record de credibilidad, otorgado por sus usuarios, agencias
independientes y cortes de justicia. EnCase software fue premiado con el prestigioso premio eWEEK por la excelencia y un grado de 5 estrellas en SC Magazine.Alto rendimiento de procesamiento y confiabilidad
La clave para computación forense es la capacidad de adquirir y analizar datos rápidamente. EnCase Edición Forense V4 le permite a los investigadores manejar fácilmente largos volúmenes de evidencia computacional, la visualización de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no utilizado. La incomparable funcionalidad del programa de EnCase permite a los investigadores llevar satisfactoriamente el proceso completo de investigación computacional, incluyendo reportes personalizados de búsquedas y sus ubicaciones.
Adquisiciones forenses confiables
El programa EnCase ejecuta adquisiciones de medios produciendo un duplicado binario exacto de los datos del medio original. EnCase verifica este duplicado generando valores de hash MD5 en ambos medios (el original y el archivo imagen o "archivo de evidencia"). Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valor CRC. Estos valores CRC son verificados cada vez que la evidencia es accesada.
Flexibilidad extrema: EnScript
EnScript es un macro lenguaje de programación incluido en el programa EnCase. Emulando características de Java y C++, EnScript le permite al investigador construir scripts personalizados para necesidades específicas de la investigación y/o automatización de tareas rutinarias complejas. Mediante la automatización de cualquier tarea investigativa, EnScript no solamente puede salvar días de investigación, si no semanas del tiempo de análisis.
5. CONCLUSIONES
Al momento de adquirir la evidencia se debe contar con una preparación adecuada debido a la fragilidad de tomar muestras y duplicados de
la evidencia, conocer los procedimientos a seguir en cada situación y el ingenio para prever con inteligencia posibles trampas del delincuente para no ser descubierto
Los cuerpos investigativos expertos en la informática forense en Colombia están preparados para el procesos de recolección de evidencia digital como lo explica la ley 527 de la legislación Colombiana que como bien lo dice para realizar el proceso de recolección, la evidencia siempre debe ser recolectada de manera que los datos más volátiles sean la prioridad
En Colombia como en otros países los procedimientos sobre adquirían de evidencia
7
.
siempre se debe adquirir la evidencia de la forma menos destructiva posible, y siempre en orden de más volátil al menos volátil, podemos decir que este primer paso es como una regla general
6 REFERENCIAS
[1] Análisis Forense Digital, Miguel López Delgado; Experto Profesional en Seguridad Informática
[2] Evidencia Digital En El Contexto Colombiano, Daniel A. Torres, Jeimy Cano, Sandra Rueda.
[3] http://www.acis.org.co[4] http://www.internet-solutions.com.co/encase.php [5] http://www.ondata.es/recuperar/envio-soporte.htm[6] http://www.cybex.es/es/servicios_herramientas.htm[7]chttp://www.delitosinformaticos.info/
peritaje_informatico/informe_pericial.html[8]hhttp://www.osmosispublicidad.com/eps-informatica/
servicios-forence.html[9]ffhttp://inforleon.blogspot.com/2008/03/backtrack-
livecdusb.html[10]hhttp://aceproject.org/main/espanol/ei/eih01e.htm [11]ghttp://www.informaticaforense.com/criminalistica/[12] http://www.ausejo.net/seguridad/forense.htm[13]ghttp://www.esdebian.org/wiki/lista-comandos-
gnulinux-i[14] www.webtutoriales.com/tutoriales/linux/comandos-
linux.23.html[15]ghttp://www.alcaldiabogota.gov.co/sisjur/normas/
Norma1.jsp?i=34492
8
