Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMÁTICA FORENSE
1
ARMENIA
2016
CONTENIDO
2. CONCLUSIONES ................................................................................................................ 16
3. BIBLIOGRAFIA .................................................................................................................. 17
2
INTRODUCCION
La informática forense es la ciencia forense encargada del uso de los métodos científicos en los
sistemas informáticos. Para ello debe asegurar, identificar, preservar, analizar y presentar la
evidencia digital, garantizando su integridad de manera que sea aceptada como prueba en un
proceso judicial.
Se recurre a la informática forense en casos de delitos en los que parte de las pruebas puedan
hallarse en plataformas informáticas, las cuales pueden marcar la diferencia en el resultado del
proceso judicial. Las evidencias forenses pueden proceder de discos duros de ordenadores
personales, discos duros portátiles, dispositivos USB, dispositivos móviles, etc.
3
1. RECOLECCION DE EVIDENCIA DIGITAL
El tesorero de la alcaldía de MACONDO tiene dentro de sus funciones realizar los pagos de la
papelería que se utiliza en la alcaldía; el pasado año 2015 desde marzo se empezaron a
incrementar los gastos en ese concepto como por ejemplo se pagaron resmas de papel de 75
gramos a precios aumentados en un 20% o más pasaron de 6 mil pesos a 10 mil pesos lo cual ha
generado sospechas al tesorero ya que las listas de precios solo las maneja el alcalde porque los
precios de sus proveedores son exclusivos para Macondo, además, se perdió del computador del
despacho del Alcalde una lista de proveedores de suma importancia para la alcaldía.
La secretaria del despacho del alcalde Lulú Cadena ha estado atenta a todo lo que el tesorero ha
informado al alcalde y también quiere que se dé con los responsables de la alteración de precios
y perdida de información.
Cerca de la alcaldía de Macondo existe una sede de la UNAD y aunque la secretaria Lulú no
estudia en la universidad se la ha mirado ingresar a las instalaciones de la misma reiteradamente
con el pagador de proveedores de la alcaldía a preguntar sobre los programas ofertados según
reportan los vigilantes de la alcaldía que son de la misma empresa de seguridad de los vigilantes
de la UNAD.
Sospechosa No. 1
La Secretaria de la Alcaldía de Macondo
Sospechosa No. 2
Pagador de la Alcaldía
4
1.1.2. Buscar la evidencia
SHA-1: 551bb28deb960af92fd0bf08258b9d8d6fbde091
Se determina la relevancia de la imagen de disco duro por medio del software AUTOPSY
una herramienta libre que existe para realizar el análisis de diferentes tipos de evidencia
mediante una captura de imagen de disco, esta herramienta puede ser ejecutada en varios
sistemas operativos como Windows, Linux, Unix; generando reportes sobre archivos
eliminados, modificados y conocer su fecha de creación.
Genera reportes en diferentes formatos que permiten respaldar y realizar un análisis más
profundo, permitiendo encontrar y recuperar archivos que han sido borrados.
Hay un grado de volatilidad de los datos almacenados en la imagen de disco duro puesto que
es un archivo que contiene la estructura y contenidos completos de un medio de
almacenamiento ya que contiene una copia exacta de una unidad, se puede definir también
como una copia de seguridad.
Como una imagen de disco es una copia de la información contenida en el disco, es decir se
crea una copia perfecta.
Los reportes permiten llevar una bitácora de todas las pistas encontradas para su posterior
análisis. Este reporte documenta los archivos según la línea de tiempo, los archivos
eliminados, además de evidenciar los datos que han sido borrados. Dichos reportes indican
los cálculos en md5 entre otros.
5
1.1.7. Documentar todas las acciones realizadas
Para llegar a una solución en el análisis forense, autopsy cuenta con los siguientes
parámetros para documentar las acciones realizadas como:
Metadata. Permite realizar un análisis de metadatos sobre las estructuras del disco
que contienen detalles de los diferentes archivos,
Image Details. Permite efectuar datos generales de la imagen forense por cada
diferente sistema de archivo utilizado en la imagen.
File Activity Timelines. Permite la creación de líneas de tiempo que nos van a ayudar
a identificar los lugares sospechosos que debemos analizar, además reconoce los
archivos que fueron modificados o accedidos por última vez.
File type Categories. Permite ordenar archivos que contengan sus hashes validos e
inválidos, así como también aquellos archivos que contengan una extensión
desconocida para el tipo de archivo.
La información que se reoleta es una imagen de disco además de un computador Acer Aspire
Z1 con un registro Has SHA-1: 551bb28deb960af92fd0bf08258b9d8d6fbde091
Esta imagen disco es muy importante para la investigación ya que almacena toda la copia de
seguridad y como tal se debe cuidar puesto que es un medio volátil y para realizar el análisis
es un poco más difícil ya que se corre en riesgo su integridad.
6
1.3.Volatilidad de la Evidencia
Como se había mencionado con anterioridad hay diferentes niveles de volatilidad, como los
registros del procesador, estructuras de datos en la memoria RAM o memoria de tipo caché,
conexiones de red activas, usuarios y procesos actuales, sistema de archivos, etc.
Es difícil reunir toda esta información a la vez y gran parte de esta se perderá si decide
apagar el equipo de la forma habitual.
Los cuatro primeros puntos representan un tipo de datos, volátil, que se perderán o
modificarán si apaga o reinicia el sistema, es por tanto muy fácil eliminar evidencias de
forma inadvertida.
1.3.3. Es importante que no se busque información en áreas que normalmente tiene razón
alguna para ser accedida.
Cuando se ha obtenido toda la información volátil del sistema se debe que recopilar la
información contenida en los discos duros, teniendo en cuenta que estos dispositivos no sólo
contienen las particiones, los archivos, directorios, etc. Sino que también contienen otro tipo
de datos que hacen referencia a los propios archivos y a flujos de información, son los
metadatos que serán de gran importancia en el análisis forense.
7
1.4.Recomendaciones Generales
1.5.1. Recolección
8
Los archivos que se encontraron en la imagen de disco fueron los siguientes:
File Type
Images 129
Audios 0
Videos 0
Archives 0
Documents
Html 0
Office 29
PDF 9
Plain Text 8
Rich Text 0
Executable
.exe 3
.dll 0
.bat 0
.cmd 0
.com 0
9
Adicional a estas carpetas encontramos:
$Extend 5
$OrphanFiles 0
$Unalloc 1
Desktop 9
Documents 8
Downloads 30
RECYCLER 3
System Volume Information 3
$CarvedFiles 88
.com 0
1.5.2. Análisis
10
Análisis de Documentos que se encuentran en la imagen de disco.
11
En el análisis realizado se encuentra un archivo con el nombre de lulu, la secretaria de la
Alcaldía de Macondo (Sospechosa No.1)
12
Hay otro archivo lulu.pdf que contiene información de la alcaldía, la secretaria incurre en un
delito muy grave que es utilizar su cargo para apropiarse de la información de la organización y
peor aún para su beneficio
13
1.5.3. Preparación de Análisis
14
15
2. CONCLUSIONES
Con este trabajo se pretende realizar una primera incursión en el apasionante y novedoso
mundo del Análisis Forense Digital, exponiendo aquellas características y
particularidades propias de esta disciplina de la seguridad informática. Se ha enfocado el
tema desde el punto de vista de una herramienta indispensable que toda organización
debe contemplar dentro de su política de seguridad y enmarcada dentro del proceso de
respuesta a incidentes en los sistemas informáticos.
16
3. BIBLIOGRAFIA
17