1

UN

IVE

RS

IDA

D

NACIONAL

DE

LC

ALL

AO

UN

IVE

RS

IDA

D

NACIONAL

DE

LC

AL

LA

O

19 6 6

19 6 6

UNIVERSIDAD NACIONAL DEL CALLAO FACULTAD INGENIERÍA INDUSTRIAL Y DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

COMPUTACIÓN FORENSE

Alumna: Untiveros Morales, Miriam

Bellavista-Callao

2010

2

ÍNDICE

1.- INTRODUCCIÓN…………………………………………………………………………………3

2.- COMPUTACIÓN FORENSE……………………………………………………………………4

DEFINICIÓN

OBJETIVOS

3.- FORENSIA EN REDES (NETWORK FORENSICS) ………………………………………5

FORENSIA DIGITAL (DIGITAL FORENSICS)

IDENTIFICACIÓN DE LA EVIDENCIA DIGITAL

4.- PRESERVACIÓN DE LA EVIDENCIA DIGITAL……………………………………………..6

ANÁLISIS DE LA EVIDENCIA DIGITAL

PRESENTACIÓN DE LA EVIDENCIA DIGITAL

5.- ORGANIZACIÓN INTERNA DE LABORATORIO………………………………………….7

6.- INGRESO DEL SECUESTRO………………………………………………………………….8

7.- PRESERVACIÓN………………………………………………………………………………..9

8.- ANÁLISIS…………………………………………………………………………………………10

9.- SOFTWARE FORENSE………………………………………………………………………..11

10.- HARDWARE FORENSE………………………………………………………………………13

11.- GUÍAS MEJORES PRÁCTICAS……………………………………………………………14

12.- HERRAMIENTAS DE INFORMACIÓN FORENSE…………………………………………16

13.- HERRAMIENTAS PARA LA RECOLECCIÓN DE EVIDENCIA…………………………17

14.- WINHEX…………………………………………………………………………………………20

15.- HERRAMIENTAS PARA EL MONITOREO Y/O CONTROL DE COMPUTADORES….21

16.- HERRAMIENTAS DE MARCADO DE DOCUMENTOS ……………………………………22

3

INTRODUCCION

La informática forense está adquiriendo una gran importancia dentro del área de la información electrónica, esto

debido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espacios

donde es usada (por Ej. El Internet), y al extenso uso de computadores por parte de las compañías de negocios

tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la información queda

almacenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la

información de información forma tal que no puede ser recolectada o usada como prueba utilizando medios

comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aquí que surge el estudio de la

computación forense como una ciencia relativamente nueva.

Resaltando su carácter científico, tiene sus fundamentos en las leyes de la física, de la electricidad y el

magnetismo. Es gracias a fenómenos electromagnéticos que la información se puede almacenar, leer e incluso

recuperar cuando se creía eliminada.

La informática forense, aplicando procedimientos estrictos y rigurosos puede ayudar a resolver grandes crímenes

apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas

digitales.

En este escrito se pretende mostrar una panorámica muy general de la Informática Forense, explicando en detalle

algunos aspectos técnicos muchas veces olvidados en el estudio de esta ciencia.

4

COMPUTACIÓN FORENSE

DEFINICIÓN DE COMPUTACIÓN FORENSE

Es el proceso de identificar, preservar, analizar y presentar evidencia digital, de manera que esta sea legalmente aceptable

Computación forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que

considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los

medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la

disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de

computación ofrece un análisis de la información residente en dichos equipos.

OBJETIVOS DE LA COMPUTACIÓN FORENSE

La informática forense tiene 3 objetivos, a saber:

1. La compensación de los daños causados por los criminales o intrusos.

2. La persecución y procesamiento judicial de los criminales.

3. La creación y aplicación de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia.

5

FORENSIA EN REDES (NETWORK FORENSICS)

Es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos,

configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento

específico en el tiempo y un comportamiento particular.

Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de

computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los

movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de

computación forense, este contexto exige capacidad de correlación de evento, muchas veces disyuntos y

aleatorios, que en equipos particulares, es poco frecuente.

FORENSIA DIGITAL (DIGITAL FORENSICS)

Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios

informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles

delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?,

¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos

bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en

el contexto de la administración de la inseguridad informática.

IDENTIFICACIÓN DE LA EVIDENCIA DIGITAL

En una investigación que involucra información en formato digital, se debe:

Identificar las fuentes potenciales de evidencia digital Determinar qué elementos se pueden secuestrar y cuáles no

Si se trata de un escenario complejo:

Tomar fotografías del entorno investigado

Documentar las diferentes configuraciones de los equipos, topologías de red y conexiones a Internet

6

PRESERVACIÓN DE LA EVIDENCIA DIGITAL

Al trabajar con evidencia digital deben extremarse los recaudos a fin de evitar la contaminación de la prueba, considerando su fragilidad y volatilidad

Mantenimiento de la Cadena de Custodia

Registro de todas la operaciones que se realizan sobre la evidencia digital Resguardo de los elementos secuestrados utilizando etiquetas de seguridad

Preservación de los elementos secuestrados de las altas temperaturas, campos magnéticos y golpes

Los elementos de prueba originales deben ser conservados hasta la finalización del proceso judicial

Obtención de imágenes forenses de los elementos secuestrados

Por cuestiones de tiempo y otros aspectos técnicos, esta tarea se realiza una vez que ha sido secuestrado el elemento probatorio original

En caso de que la creación de una imagen forense no sea posible, el acceso a los dispositivos originales se realiza mediante mecanismos de protección contra escritura

Autenticación de la evidencia original

Generación de valores hash –MD5 o SHA-1- a partir de los datos contenidos en los diferentes dispositivos secuestrados

ANÁLISIS DE LA EVIDENCIA DIGITAL

Involucra aquellas tareas orientadas a localizar y extraer evidencia digital relevante para la investigación

Mediante la aplicación de diversas técnicas y herramientas forenses se intenta dar respuesta a los puntos de pericia solicitados

El análisis de datos requiere un trabajo interdisciplinario entre el perito y el operador judicial –juez, fiscal- que lleve la causa

Tareas que se llevan a cabo dependiendo del tipo de investigación Búsqueda de palabras claves o documentos en todo el espacio de almacenamiento del dispositivo

investigado Determinar si ciertas aplicaciones fueron utilizadas por un determinado usuario Determinar qué tipo de actividad tenía el usuario en la Web, análisis del historial de navegación, análisis

de correo electrónico, etc.

PRESENTACIÓN DE LA EVIDENCIA DIGITAL

Consiste en la elaboración del dictamen pericial con los resultados obtenidos en las etapas anteriores

La eficacia probatoria de los dictámenes informáticos radica fundamentalmente en la continuidad en el aseguramiento de la prueba desde el momento de su secuestro

El dictamen debe ser objetivo y preciso, conteniendo suficientes elementos para repetir el proceso en caso de ser necesario (por ejemplo en un juicio oral)

7

ORGANIZACIÓN INTERNA DE LABORATORIO

WORKFLOW DE LABORATORIO PERICIAL INFORMÁTICO

8

INGRESO DEL SECUESTRO

Registro de fotografías digitales en el CMS

Verificación de la cadena de custodia

9

PRESERVACIÓN

10

ANÁLISIS

PRESENTACIÓN Y

ENVÍO

11

SOFTWARE FORENSE

Generación de una imagen forense para practicar la pericia informática

12

13

HARDWARE FORENSE

14

GUÍAS MEJORES PRÁCTICAS

A continuación se enuncian siete guías existentes a nivel mundial de mejores prácticas en computación forense. El RFC 3227: Guía Para Recolectar y Archivar Evidencia Es un documento que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y determinar cómo almacenar y documentar los datos. También explica algunos conceptos relacionados a la parte legal. Su estructura es: a) Principios durante la recolección de evidencia: orden de volatilidad de los datos, cosas para evitar,

consideraciones de privacidad y legales. b) El proceso de recolección: transparencia y pasos de recolección. c) El proceso de archivo: la cadena de custodia y donde y como archivar. Guía de la IOCE Guía para las mejores prácticas en el examen forense de tecnología digital El documento provee una serie de estándares, principios de calidad y aproximaciones para la detección prevención, recuperación, examinación y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en la corte. Su estructura es: a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal, documentación, herramientas y validación de las mismas y espacio de trabajo). b) Determinación de los requisitos de examen del caso. c) Principios generales que se aplican a la recuperación de la evidencia digital (recomendaciones generales, documentación y responsabilidad). d) Prácticas aplicables al examen de la evidencia de digital. e) Localización y recuperación de la evidencia de digital en la escena: precauciones, búsqueda en la escena, recolección de la evidencia y empaquetado, etiquetando y documentación. f) Priorización de la evidencia. g) Examinar la evidencia: protocolos de análisis y expedientes de caso. h) Evaluación e interpretación de la evidencia i) Presentación de resultados (informe escrito). j) Revisión del archivo del caso: Revisión técnica y revisión administrativa. k) Presentación oral de la evidencia. l) Procedimientos de seguridad y quejas.

15

Guía DoJ 1: Investigación en la Escena del Crimen Electrónico Esta guía se enfoca más que todo en identificación y recolección de evidencia. Su estructura es: a) Dispositivos electrónicos (tipos de dispositivos se pueden encontrar y cuál puede ser la posible evidencia). b) Herramientas para investigar y equipo. c) Asegurar y evaluar la escena. d) Documentar la escena. e) Recolección de evidencia. f) Empaque, transporte y almacenamiento de la evidencia. g) Examen forense y clasificación de delitos. h) Anexos (glosario, listas de recursos legales, listas de recursos técnicos y listas de recursos de entrenamiento). Guía DoJ 2: Examen Forense de Evidencia Digital Otra guía del DoJ EEUU, es “Examen Forense de Evidencia Digital” Esta guía está pensada para ser usada en el momento de examinar la evidencia digital. Su estructura es: a) Desarrollar políticas y procedimientos con el fin de darle un buen trato a la evidencia. b) Determinar el curso de la evidencia a partir del alcance del caso. c) Adquirir la evidencia. d) Examinar la evidencia. e) Documentación y reportes. f) Anexos (casos de estudio, glosario, formatos, listas de recursos técnicos y listas de recursos de entrenamiento). Guía Hong Kong: Computación Forense - Parte 2: Mejores Prácticas Esta guía cubre los procedimientos y otros requerimientos necesarios involucrados en el proceso forense de evidencia digital, desde el examen de la escena del crimen hasta la presentación de los reportes en la corte. Su estructura es: a) Introducción a la computación forense. b) Calidad en la computación forense. c) Evidencia digital. d) Recolección de Evidencia. e) Consideraciones legales (orientado a la legislación de Hong Kong). f) Anexos. Guía Reino Unido: Guía De Buenas Prácticas Para Evidencia Basada En Computadores La policía creó este documento con el fin de ser usado por sus miembros como una guía de buenas prácticas para ocuparse de computadores y de otros dispositivos electrónicos que puedan ser evidencia. Su estructura es: a) Los principios de la evidencia basada en computadores. b) Oficiales atendiendo a la escena. c) Oficiales investigadores. d) Personal para la recuperación de evidencia basada en computadores. e) Testigos de consulta externos. f) Anexos (legislación relevante, glosario y formatos) Guía Australia: Guía Para El Manejo De Evidencia En IT Es una guía creada con el fin de asistir a las organizaciones para combatir el crimen electrónico. Establece puntos de referencia para la preservación y recolección de la evidencia digital. Detalla el ciclo de administración de evidencia de la siguiente forma: a) Diseño de la evidencia. b) Producción de la evidencia. c) Recolección de la evidencia. d) Análisis de la evidencia. e) Reporte y presentación. f) Determinación de la relevancia de la evidencia.

16

HERRAMIENTAS DE INFORMACIÓN FORENSE

En los últimos dos años se ha disparado el número de herramientas para computación forense, es posible

encontrar desde las más sencillas y económicas, como programas de menos de US$300, oo cuyas prestaciones

habitualmente son muy limitadas, hasta herramientas muy sofisticadas que incluyen tanto software como

dispositivos de hardware. Otra situación que se ha venido presentando es el uso de herramientas tradicionales

como los utilitarios.

Con esa amplia gama de alternativas, si está pensando en adquirir una herramienta para computación forense, es

necesario tener claro primero que todo el objetivo que persigue, pues existen varios tipos básicos de herramientas,

no todos los productos sirven para todo, algunos están diseñados para tareas muy especificas y más aún,

diseñados para trabajar sobre ambientes muy específicos, como determinado sistema operativo.

Siendo la recolección de evidencia una de las tareas más críticas, donde asegurar la integridad de esta es

fundamental, es necesario establecer ese nivel de integridad esperado, pues algunas herramientas no permiten

asegurar que la evidencia recogida corresponda exactamente a la original. Igual de importante es que durante la

recolección de la evidencia se mantenga inalterada la escena del “crimen”

Son todas estas consideraciones que se deben tener en cuenta a la hora de seleccionar una herramienta para

este tipo de actividad, claro, además de las normales en cualquier caso de adquisición de tecnología, como

presupuesto, soporte, capacitación, idoneidad del proveedor, etc.

De hecho una de las alternativas que siempre se deberá evaluar es si incurrir en una inversión de este tipo a la

que muy seguramente se tendrá que adicionarle el valor de la capacitación que en algunos casos puede superar

el costo mismo del producto, o, contratar una firma especializada para esta tarea, que generalmente cuentan no

con una sino con varias herramientas.

En este parte se presenta una clasificación que agrupa en cuatro los tipos de herramientas de computación

forense

17

Herramientas para la recolección de evidencia.

Las herramientas para la recolección de evidencia representan el tipo de herramienta más importante en la

computación forense, porque su centro de acción está en el que para muchos es el punto central. Su uso es

necesario por varias razones:

• Gran volumen de datos que almacenan los computadores actuales.

• Variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo

sistema operativo.

• Necesidad de recopilar la información de una manera exacta, que permita verificar que la copia es fiel y además

mantener inalterada la escena del delito.

• Limitaciones de tiempo para analizar toda la información.

• Volatilidad de la información almacenada en los computadores, alta vulnerabilidad al borrado, con una sola

información se pueden eliminar hasta varios gigabytes.

• Empleo de mecanismos de encriptación, o de contraseñas.

• Diferentes medios de almacenamiento, como discos duros, CDs y cintas.

Por esto mismo, las herramientas de recolección de evidencia deben reunir características que permitan manejar

estos aspectos, pero además incluir facilidades para el análisis como las que ofrecen EnCase de Guidance

Software y la familia de productos Image Máster de LawEnforcement & Comp. Forensic:

ENCASE www.encase.com/

El Estándar en Computación Forense

El estándar a nivel mundial en computación forense: Utilizado por más de 12.000 investigadores y profesionales de la seguridad. La policía, el gobierno, los militares y los investigadores corporativos confían en EnCase Edición Forense para ejecutar exámenes informáticos delicados y conclusivos. Guiados por nuestras relaciones con investigadores en el mundo entero, El programa EnCase ha sido optimizado para manejar la complejidad cada vez mayor de las configuraciones y capacidades informáticas. El programa EnCase soporta un amplio rango de sistemas operativos, archivos y periféricos que son el desafío de los investigadores forenses diariamente. Como una herramienta seleccionada por la policía, el programa EnCase ha soportado numerosos desafíos en las cortes de justicia, demostrando su confiabilidad y exactitud. Recientemente, el Instituto Nacional para Estándares y Tecnología (NIST) concluyó que EnCase Imaging Engine (motor de creación de imágenes de discos) opera con mínimos defectos. Ninguna otra solución de computación forense tiene este record de credibilidad, otorgado por sus usuarios, agencias independientes y cortes de justicia. EnCase software fue premiado con el prestigioso premio eWEEK por la excelencia y un grado de 5 estrellas en SC Magazine.

Alto rendimiento de procesamiento y confiabilidad La clave para computación forense es la capacidad de adquirir y analizar datos rápidamente. EnCase Edición Forense V4 le permite a los investigadores manejar fácilmente largos volúmenes de evidencia computacional, la visualización de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no utilizado. La incomparable funcionalidad del programa de EnCase permite a los investigadores llevar satisfactoriamente el proceso completo de investigación computacional, incluyendo reportes personalizados de búsquedas y sus ubicaciones.

18

Adquisiciones forenses confiables El programa EnCase ejecuta adquisiciones de medios produciendo un duplicado binario exacto de los datos del medio original. EnCase verifica este duplicado generando valores de hash MD5 en ambos medios (el original y el archivo imagen o "archivo de evidencia"). Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valor CRC. Estos valores CRC son verificados cada vez que la evidencia es accesada.

Flexibilidad extrema: EnScript EnScript es un macro lenguaje de programación incluido en el programa EnCase. Emulando características de Java y C++, EnScript le permite al investigador construir scripts personalizados para necesidades específicas de la investigación y/o automatización de tareas rutinarias complejas. Mediante la automatización de cualquier tarea investigativa, EnScript no solamente puede salvar días de investigación, si no semanas del tiempo de análisis.

Características de encase

Múltiple administración de casos La característica de múltiple administración de casos del programa EnCase, permite a los investigadores ejecutar simultáneamente múltiples casos hacia diferentes objetivos con diversos medios. Soporte unicode Cuando un usuario visualiza un documento creado en un lenguaje diferente, el programa EnCase puede desplegar los caracteres correctamente. Esta es una característica que le permite al programa EnCase buscar palabras claves y desplegar los resultados en cualquier lenguaje.

Configuración dinámica de discos El programa EnCase soporta las siguientes configuraciones dinámicas de discos: Spanned, Mirrored, Striped, RAID 5 y básico. Con el ingreso de un mínimo de información, por parte del investigador, el programa EnCase puede detectar automáticamente la configuración de los discos y conectar todas las particiones, mientras que se conservan intactas las áreas libres y de arranque para futuras búsquedas.

Búsqueda y análisis: palabras claves, búsqueda de hash y firmas, y filtros EnCase Edición Forense V4 le permite a los investigadores analizar y pre visualizar simultáneamente múltiples bloques de datos adquiridos. Los investigadores pueden utilizar búsquedas globales de palabras claves, análisis de hash, análisis de firmas de archivos y filtros específicos de archivos para analizar rápidamente la evidencia.

Opciones de adquisición múltiple Al igual que existen muchas formas de medios digitales, existen muchas otras formas de adquisición de medios. EnCase incluye cables para puertos paralelos y cable de red cruzado para Windows y DOS. Ambos métodos permiten al programa "escribir bloques" para ser colocados en el medio sospechoso, asegurando que el medio original no sea alterado. Sistemas de archivos (file systems) interpretados por EnCase Los siguientes sistemas de archivos son actualmente soportados por EnCase Edición Forense Versión 4: FAT12 (disco flexible), FAT16, FAT32, NTFS, HFS, HFS+, Sun Solaris UFS, EXT2/3, Reiser, BSD FFS, Palm, CDFS, Joliet, UDF e ISO 9660.

Soporte para correo electrónico PST El programa EnCase soporta archivos PST que tengan cifrado compresible y cifrado completo, obviando el archivo de contraseñas PST.

19

Visor de galería El visor de galería provee un método simple para visualizar rápidamente todas las imágenes en el archivo de evidencia. La galería despliega imágenes BMP, JPGs, GIFs y TIFFs.

Visor de escala de tiempo El visor de escala de tiempo le permite a los investigadores visualizar gráficamente toda la actividad de en un estilo de calendario, ilustrando los atributos del archivo, por ejemplo: cuándo el archivo fue creado, última vez accesado o escrito. El visor de escala de tiempo puede mostrar escalas desde días hasta años, sirviendo como una herramienta invaluable para mirar todos los patrones de actividad de archivos.

Visor de reportes Los reportes pueden ser generados sobre cualquier archivo, carpeta, volumen, disco físico o el caso completo. Los reportes incluyen información referente a la adquisición de datos, geometría del disco, estructuras de carpetas, marcadores de archivos e imágenes. Los investigadores pueden exportar los reportes a formato RTF o HTML.

EnCase módulo del sistema de archivos de cifrado (Encrypting File System . EFS) El módulo de EFS de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de archivos cifrados (EFS), para usuarios locales autenticados.

EnCase módulo del sistema de archivos virtuales (Virtual File System . VFS) El módulo de VFS de EnCase permite a los examinadores montar la evidencia de un computador en modo de lectura únicamente y fuera de la red, permitiendo la examinación adicional de la evidencia usando el explorador de Windows y herramientas de terceros.

Módulo del servidor de autenticación en red (Network Authentication Server . NAS) El servidor de autenticación en red provee una completa flexibilidad en el licenciamiento del programa EnCase. NAS permite licenciar el programa EnCase de tres formas: Local en el computador del examinador, remotamente con servicios de terminal y a través de red usando el administrador de licencias (License Manager).

FORENSIC TOOLKIT www.accessdata.com/products/utk/ Cualquier investigación informática forense produce una gigantesca cantidad de papeleo, ya que el objetivo de la investigación es documentar absolutamente todo lo que se encuentra. Estos conjuntos de herramientas están diseñadas para proporcionar al investigador con la forma probada y verdadera y plantillas que permitirán al investigador para documentar todo lo que se encuentra. Sirven también como una lista de control eficaz de la ayuda del equipo de investigación para garantizar que no se pierda el paso y que todo se hace en el orden correcto.

20

WINHEX

www.x-ways.net/forensics/index-m.html

Software para informática forense y recuperación de archivos, Editor Hexadecimal de Archivos, Discos y RAM

WinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la más potente utilidad de sistema

jamás creada. Apropiado para informática forense, recuperación de archivos, peritaje informático, procesamiento de datos de bajo nivel y seguridad informática. Sus características incluyen:

Built-in interpretation of RAID systems and dynamic disks Various data recovery techniques Editor de RAM, una manera de editar RAM y la memoria virtual de otros procesos Intérprete de Datos que reconoce hasta 20 tipos distintos de datos Edición de estructuras de datos mediante plantillas Concatenar, partir, unir, analizar y comparar archivos Funciones de búsqueda y reemplazo especialmente flexibles Clonado de discos, con licencia especialista también sobre DOS Imágenes y Backus de discos (comprimibles o divisibles en archivos de 650 MB) Programming interface (API) y scripts Encriptación AES de 256 bits, checksums, CRC32, digests (MD5, SHA-1...) Borrado irreversible de datos confidenciales/privados Importación de todos los formatos de portapapeles Formatos de conversión: Binario, Hex ASCII, Intel Hex y Motorola S Juego de caracteres: ANSI ASCII, IBM ASCII, EBCDIC Salto instantáneo entre ventanas

Existen otros productos tradicionales cuyo objetivo primordial no es la computación forense, pero por incluir herramientas para la recuperación de archivos, en ocasiones pueden ser útiles, aunque la integridad de la evidencia recabada a través de estas herramientas podría estar más expuesta y su valor probatorio podría ser menor que el de evidencias obtenidas a través de herramientas altamente especializadas que garantizan la veracidad de la evidencia. Ejemplo típico de herramientas no propiamente forenses es Norton Systemworks y Norton Utilities.

21

Herramientas para el monitoreo y/o control de computadores Si se requiere conocer el uso de los computadores es necesario contar con herramientas que los monitoreen para recolectar información. Existen herramientas que permiten recolectar desde las pulsaciones de teclado hasta imágenes de las pantallas que son visualizadas por los usuarios y otras donde las máquinas son controladas remotamente. Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado que guardan información sobre las teclas que son presionadas. Estas herramientas pueden ser útiles cuando se quiere comprobar actividad sospechosa ya que guardan los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen otras que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente. Es importante tener en cuenta que herramientas de este tipo han llegado a ser usadas con fines fraudulentos (captura de claves de los clientes en cafés Internet u otros sitios públicos). Se han detectado instalaciones remotas de sencillos programas que registran toda la actividad del usuario en el teclado, esta es almacenada en un archivo que es obtenido de forma remota por el perpetrador. El uso de estas herramientas debe estar plenamente autorizada y un investigador no debería tomar el solo la decisión de su uso.

KEYLOGGER

KeyLogger es un ejemplo de herramientas que caen

en esta categoría. Es una herramienta que puede ser

útil cuando se quiere comprobar actividad sospechosa;

guarda los eventos generados por el teclado, por

ejemplo, cuando el usuario teclea la tecla de

'retroceder', esto es guardado en un archivo o enviado

por e-mail. Los datos generados son complementados

con información relacionada con el programa que tiene

el foco de atención, con anotaciones sobre las horas, y

con los mensajes que generan algunas aplicaciones.

Existen dos versiones: la registrada y la de

demostración. La principal diferencia es que en la

versión registrada se permite correr el programa en

modo escondido. Esto significa que el usuario de la

máquina no notará que sus acciones están siendo

registradas.

22

HERRAMIENTAS DE MARCADO DE DOCUMENTOS

Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible,

mediante el uso de herramientas, marcar software para poder detectarlo fácilmente.

El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan información

confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un

sitio 100% seguro, se debe estar preparado para incidentes.

HERRAMIENTAS DE HARDWARE

El proceso de recolección de evidencia debe ser lo menos invasivo posible con el objeto de no modificar la

información. Esto ha dado origen al desarrollo de herramientas que incluyen dispositivos como conectores,

unidades de grabación, etc. Es el caso de herramientas como DIBS “Portable Evidence Recovery Unit” y una

serie de herramientas de Intelligent Computer Solutions; LinkMASSter Forensic Soft Case, LinkMASSter Forensic

Hard Case, Image MASSter Solo 2 Forensic Kit With Hard Case.

Asimismo, debido a la vulnerabilidad de la copia y modificación de los documentos almacenados en archivos

magnéticos, los investigadores deben revisar con frecuencia que sus copias son exactas a las del disco del

sospechoso y para esto utilizan varias tecnologías como checksums o Hash MD5.