Metodologia para el analisis forense informatico en sistemas de redes y equipos de computo
275 Pages • 54,036 Words • PDF • 5 MB
Uploaded at 2021-09-24 15:03
This document was submitted by our user and they confirm that they have the consent to share it. Assuming that you are writer or own the copyright of this document, report to us by using this DMCA report button.
INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS”
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”
TESIS QUE PARA OBTENER EL GRADO DE: MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
PRESENTA: ING. ARTURO PALACIOS UGALDE.
DIRECTOR DE TESIS: M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.
MÉXICO D.F. OCTUBRE DE 2010.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL” RESUMEN En el presente proyecto de tesis, se presenta explícitamente la problemática existente de la falta de una metodología de análisis pericial forense en el entorno de la informática forense, por lo que se propone y aplica una metodología forense para el análisis de sistemas de redes y equipos de cómputo personal, además se estudian algunos dispositivos de interés, detallando de forma particular, el análisis sobre una computadora personal de escritorio, dicho producto de la presente Tesis se pretende funja como herramienta fundamental para la resolución de contiendas y denuncias judiciales.
La metodología propuesta se encuentra compuesta por cinco Fases: I.Planteamiento del problema, II.- Identificación detallada del material objeto de estudio, III.Adquisición de evidencia, IV.- Análisis de datos y V.- Presentación de resultados obtenidos, las presentes Fases se consideran herramientas ineludibles y básicas a la hora de investigar un hecho delictivo, las mismas nos permitirán efectuar un trabajo sistémico metodológicamente estructurado y sistemáticamente fundamentado, considerando que la metodología propuesta sea aplicada por un perito en informática forense en auxilio de la autoridad judicial.
Con el presente trabajo se busca establecer un marco referencial base de cualquier investigador forense digital en aspectos técnicos y jurídicos que procure generar y fortalecer iniciativas multidisciplinarias para la modernización y avance de la administración de justicia en el contexto de una sociedad digital y de la información.
La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un caso de estudio, presentado en el ―Capítulo 4.- Localización de un archivo con información específica‖, con el fin de iniciar la evaluación de su aplicabilidad.
Ing. Arturo Palacios Ugalde. Resumen y Abstract.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
“METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN NETWORKS SYSTEMS AND PERSONAL COMPUTING EQUIPMENTS” ABSTRACT In this thesis Project, it is explicitly presented the existing problems due to the lack of a methodology for the forensic expert analysis in computing, so it is proposed and applied a forensic methodology for the analysis of networks systems and personal computing equipments. Also, some interesting devices are studied, particularly detailing the analysis on a personal desk computer. The result of the present thesis is intended to function as a basic tool for the resolution of judicial controversies and complaints.
The proposed methodology consists of five stages: I.- Approach of the problem, II.Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data analysis, and V.- Presentation of the results obtained. The present stages are considered as necessary and basic tools at the time of investigating a criminal act, and such tools will enable us to carry out a systemic work which shall be methodologically structured and systematically founded, considering that the methodology being proposed shall be applied by forensic expert in computing, in assistance of the judicial authority.
The present work seeks to establish a basic reference framework for any digital forensic investigator regarding technical and juridical aspects, tending to generate and strengthen multidisciplinary initiatives for the modernization and improvement of justice administration in the context of a digital society and computing.
The methodology proposed was applied within the present thesis project, in a case under study presented in ―Chapter 4.- Localization of a file with specific information‖, with the purpose of starting an evaluation of its applicability.
Ing. Arturo Palacios Ugalde. Resumen y Abstract.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Agradecimientos
A Dios: Por darme la fortaleza y esperanza en los momentos difíciles.
A mi Madre: Gloria Ugalde y Guzmán Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la confianza que en su momento, depositaste en mí.
A mis Hermanos: Gabriel, Martin, Armando y Jonathan Por ayudarme y apoyarme. Gracias por facilitarme las cosas.
A mi Hijo: Emiliano Palacios Fernández Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza y alegría, por ser mi motor y mi fuerza para seguir adelante.
A mi Familia: Por todo su amor, cariño y comprensión.
Ing. Arturo Palacios Ugalde. Agradecimientos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Al Instituto Politécnico Nacional: Por crear en mí el sentimiento de orgullo.
A mi Director de tesis: El Profesor Prof. Leopoldo A. Galindo Soria Por sus invaluables sugerencias y acertados aportes durante la realización de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y compartir conmigo su talento y experiencia, en un marco de confianza, afecto y amistad, fundamentales para la concreción de este trabajo.
A todos aquellos que sin querer omito: Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles las gracias por formar parte de mí y por todo lo que me han brindado.
Ing. Arturo Palacios Ugalde. Agradecimientos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Índice General.
Índice General
i
Índice de figuras y tablas
iv
Glosario de Términos
viii
Introducción
xiii
0.1 Presentación del Proyecto de Tesis
xiii
0.2 Marco Metodológico para el desarrollo del proyecto de Tesis
xv
Capítulo 1.- Marco Conceptual y Contextual 1.1.
1.2
Marco Conceptual
2
1.1.1 Pirámide Conceptual
3
1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis
5
Marco Contextual
11
1.2.1 Marco contextual acorde a la pirámide conceptual 1.2.2. Descripción del procedimiento básico en informática forense
11 13
Capítulo 2.- Identificación y Análisis de la Situación Actual 2.1
Antecedentes
22
2.2
Análisis de la situación actual al inicio del Proyecto de Tesis
25
2.3
Justificación del proyecto de Tesis
33
2.4
Definición de Objetivos del Proyecto de Tesis
33
i
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 3.- Desarrollo de la Metodología Propuesta 3.1
Introducción a la Metodología Propuesta
36
3.2
Presentación esquemática de la Metodología Propuesta
41
3.2.1 Fase I. Planteamiento del Problema
45
3.2.2 Fase II. Identificación detallada del material objeto de estudio
45
3.2.3 Fase III. Adquisición de evidencia
46
3.2.4 Fase IV Análisis de datos
47
3.2.5 Fase V. Presentación de resultados obtenidos
48
Descripción detallada de las Fases de la Metodología Propuesta
51
3.3.1 Fase I. Planteamiento del Problema
51
3.3.2 Fase II. Identificación detallada del material objeto de estudio
55
3.3.3 Fase III. Adquisición de evidencia
78
3.3.4 Fase IV Análisis de datos
89
3.3.5 Fase V. Presentación de resultados obtenidos
106
3.3
Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio 4.1
Aplicación de la Fase I. Planteamiento del Problema
117
4.2
Aplicación de la Fase II. Identificación detallada del material objeto
de estudio
120
4.3
Aplicación de la Fase III. Adquisición de evidencia
153
4.4
Aplicación de la Fase IV. Análisis de datos
176
4.5
Aplicación de la Fase V. Presentación de Resultados Obtenidos
209
ii
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones 5.1
Valoración de Objetivos
238
5.2
Trabajos Futuros
241
5.3
Conclusiones
243
Bibliografía
246
Referencias a Internet
247
iii
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Índice de figuras y tablas. Número de Figura o Tabla.
Figura 1.1
Descripción: Capítulo 1: Marco Conceptual y Contextual. Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio.
Página.
4
Figura 1.2
Reglas generales de la informática forense.
9
Figura 1.3
Representación esquemática de la intervención pericial en informática forense.
11
Figura 1.4
Representación esquemática del Proceso de Investigación.
13
Figura 1.5
Modelo básico de la informática forense.
18
Figura 1.6
Modelo de informática forense complementario.
18
Figura 1.7
Productos a obtener bajo la aplicación de la Metodología Propuesta en el presente proyecto de tesis.
19
Figura 2.1
Tabla 2.1
Capítulo 2: Identificar y Analizar la Situación Actual. Estándares y directrices, relacionados con la informática forense y la seguridad de la información. Comparativo de ventajas y desventajas de Metodologías y Estándares actuales.
26
28
Figura 3.1
Capítulo 3: Desarrollo de la Metodología Propuesta. Presentación Esquemática de la Metodología Propuesta.
42
Figura 3.2
Presentación Secuencial de la Metodología Propuesta.
42
Figura 3.3
Presentación detallada de la Metodología Propuesta.
44
Figura 3.4
Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar.
57
Figura 3.5
Ejemplo en el que se presenta, la forma en que se identifica un posible material objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o Documento Final.
58
iv
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de Figura o Tabla.
Descripción:
Página.
Figura 3.6
Imagen que se presenta a manera de Ilustrar un posible lugar de los hechos.
60
Figura 3.7
Imagen con la que se ilustra una posible manera de etiquetar las conexiones de un equipo de cómputo a analizar.
61
Figura 3.8
Se debe restringir el acceso al lugar de los hechos.
62
Figura 3.9
Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo genero, para tres archivos.
72
Salida tipo pantalla, en la que se muestra el análisis al archivo 104 Index.dat, con el fin de mostrar las cookies almacenadas en éste. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. Figura 4.1 Identificación del material objeto de estudio. 121
Figura 3.10
Figura 4.2
Identificación del disco duro asociado al material objeto de estudio.
122
Figura 4.3
Fijación fotográfica del material objeto de estudio, teniendo mayor relevancia para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que es el elemento en donde se almacena toda la información procesada.
133
Figura 4.4
Una vez que se tuvo identificado plenamente al elemento base (principal fuente de información), para realizar su análisis correspondiente, se procedió a colocarle un bloqueador de escritura.
142
Figura 4.5
Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que fue detectado el disco duro, asociado al material objeto de estudio.
146
Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen (―#L##-###L‖). Como primer paso se tuvo que montar el Disco Duro al Software.
147
Figura 4.8
Salida tipo pantalla en la que se observa el contenido del disco a través del software forense AccessData FTK Imager.
160
Figura 4.9
Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de estudio.
161
Figura 4.6 Figura 4.7
v
Ing. Arturo Palacios Ugalde. Indice.
159
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de Figura o Tabla.
Descripción:
Página.
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al software forense, el destino de la imagen. Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la imagen total del disco duro. Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta ―Documents and Settings‖. Salida tipo pantalla en que se muestra el termino del proceso para Figura 4.13 adquirir la imagen de la carpeta ―Documents and Settings‖. Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2). Figura 4.15 Vista del contenido del archivo generados con el valor Hash de la imagen del disco duro. Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida. Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco duro motivo de estudio. Figura 4.18 Exploración de la imagen forense obtenida.
162
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan respuesta al Planteamiento del Problema.
186
Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso de exportación de archivos ubicados. Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los archivos localizados.
188
Figura 4.22
Conexión del Disco Duro bajo estudio al protector contra escritura.
163 164 165 166 169 177 184 185
197
217
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito.
218
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que
219
conforman la Imagen Forense del presente caso bajo estudio. Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se apegan al criterio especificado en el Planteamiento del Problema. vi
Ing. Arturo Palacios Ugalde. Indice.
220
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de Figura o Tabla.
Figura 4.26 Figura 4.27
Figura 4.28
Descripción:
Página.
Conexión del Disco Duro bajo estudio al protector contra escritura.
225
Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito. Salida tipo pantalla en donde se muestran los dos archivos que conforman la Imagen Forense del presente caso bajo estudio.
226
227
Salida tipo pantalla en donde se muestran los dos archivos, Figura 4.29
localizados y que se apegan al criterio especificado en el
228
Planteamiento del Problema. Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones. Tabla 5.1 Valoración de los Objetivos Particulares. 241
vii
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
GLOSARIO DE TÉRMINOS.
Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente serie de términos usados, se puede observar que varias definiciones se toman con base a referencias de sitios o páginas de Internet, confiables.
Análisis Forense Digital [http://archivos.diputados.gob.mx/Comisiones/Especiales/ Acceso_Digital/Presentaciones/Procuracion_justicia_PGR.pdf]: conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste en establecer las responsabilidades y controles de cada una de las personas que manipulen la evidencia, (The Organization of American States (OAS), La Organización de los Estados Americanos (OEA)).
Delitos Informáticos [http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg0000 7.html]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema encomendado para producir una explicación consistente.
viii
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial. Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien puede disentir de sus colegas.
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Forense [http://www.rae.es/rae.html]: adj. Perteneciente o relativo al foro. Lugar en que los tribunales actúan y determinan las causas: foro público.
Hash [http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt]: En informática, hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, procedimiento que autentica la información o dato en cuestión (firma digital).
Incidente de Seguridad Informática [http://www.oas.org/juridico/spanish/cyb_analisis _foren.pdf]: puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos.
ix
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Indicio [http://www.bibliojuridica.org/]: El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se percibe con los sentidos y que tiene relación con un hecho delictuoso; al decir material sensible significativo se entiende que está constituido por todos aquellos elementos que son aprehendidos y percibidos mediante la aplicación de nuestros órganos de los sentidos. A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones en la selección del material que será sometido a estudio. Cuando se comprueba que está íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia. Lugar de los hechos [http://www.bibliojuridica.org/]: Se entiende como el lugar de los hechos ―El sitio donde se ha cometido un hecho que puede ser delito‖. Toda investigación criminal tiene su punto de partida casi siempre en el lugar de los hechos, y muchos criminalistas ya han expresado: ―que cuando no se recogen y estudian los indicios en el escenario del crimen, toda investigación resulta más difícil‖. Por tal motivo, es imperativo proteger adecuadamente en primer término ―el lugar de los hechos‖ o como lo denominan los especialistas ―el sitio del suceso‖, (en los países de habla inglesa se utiliza el término ―escena del crimen‖).
Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. x
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Partición swap [http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.ht ml]: Una partición swap (al menos 256 MB) — Las particiones swap son utilizadas para soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no hay memoria suficiente disponible para contener los datos que su ordenador está procesando.
Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema encomendado para luego entregar su informe o dictamen pericial con sujeción a lo dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen.
Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que comprende las tres clases de elementos.
Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas. Software [RODAO, 2005]: Se conoce como software al equipamiento lógico o soporte lógico de una computadora digital; comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos del sistema, llamados hardware.
xi
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el procesador de textos, que permite al usuario realizar todas las tareas concernientes a la edición de textos o el software de sistema tal como el sistema operativo, que básicamente, permite al resto de los programas funcionar adecuadamente.
xii
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
INTRODUCCIÓN. 0.1
PRESENTACIÓN DEL PROYECTO DE TESIS.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Ante el suceso de un delito informático u otro delito en el que se considere que equipos de cómputo pueden presentar evidencias, es necesaria la intervención de un perito en informática forense. La falta de una metodología para realizar un peritaje en informática forense ante el suceso de un delito informático en cualquier persona física o moral, pueden impactar de varias formas tales como: que la evidencia se pierda viéndose alterada y por ende nunca descubrir al culpable del acto ilícito que nos ocupa, o también podría fincársele una responsabilidad para el perito en informática forense así como el de no presentar elementos suficientes como evidencia o que pierdan su valor probatorio frente a un tribunal por que no se halla preservado la integridad de la información o manejado adecuadamente (cadena de custodia).
Por lo anterior y de no adoptarse una metodología de peritaje en informática forense, ante un suceso que así lo amerite, no se tendrá un peritaje confiable recalcando el hecho de que en nuestro país la informática forense ha tenido un nulo crecimiento en lo que a desarrollo tecnológico y metodológico se refiere.
xiii
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
De lograr el empleo de una metodología en informática forense, se contará con una herramienta formal que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje informático en forma eficiente, confiable, segura y que le dará certidumbre a los resultados obtenidos. Por tales motivos, es que se desarrolla el presente trabajo cuya finalidad es la creación de una “Metodología para el análisis forense informático en sistemas de redes y equipos de cómputo personal”, para que sea la base fundamental de cualquier peritaje informático.
Considerando lo anterior, a continuación se muestra el Marco Metodológico que servirá de guía para el desarrollo del presente trabajo de tesis:
xiv
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS. En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los resultados obtenidos y las evidencias significativas encontradas en relación al problema investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los cuales se intenta dar respuestas a las interrogantes objeto de investigación.
El marco metodológico, para el desarrollo de este Proyecto de Tesis, donde se propone un “Análisis Forense Informático en Sistemas de Redes y Equipos de Computo Personal”; indica el conjunto de métodos, técnicas y protocolos instrumentales que se emplearán en el proceso de recolección de los datos requeridos en el presente trabajo de investigación. Es importante señalar que tal conjunto de técnicas y herramientas especializadas deben ser guiadas por una metodología apropiada, basada en el desarrollo de la ―Tabla Metodológica‖ [Galindo, 2008], en tal sentido, en la siguiente Tabla, se describen las actividades necesarias para así cumplir con la(s) meta(s) que se ha fijado y lograr los objetivos o productos deseados, además de indicar las técnicas y herramientas que se consideran más adecuadas.
xv
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008]. Metodología Actividades Propias del Proyecto (¿Qué hacer?) Avocarse a la tarea de la recopilación y análisis de una metodología a seguir para el desarrollo del proyecto de tesis Uso de los Métodos Analítico y Sintético. Inicio de la aplicación de la metodología para el desarrollo de la Tesis. Definir cuál es o será el tema del proyecto de Tesis.
Identificar y conocer el medio ambiente correspondiente.
Crear una pirámide conceptual, para definir el Marco Conceptual.
Hacer una descripción de los conceptos definidos en la pirámide conceptual.
Hacer un análisis de la situación actual, del área y procesos bajo estudio y realizar una evaluación y diagnóstico correspondiente.
Técnicas (¿Cómo hacer?) Investigación y cotejo de diversas metodologías acordes al presente proyecto de tesis.
Herramientas (¿Con qué hacer?) Consulta de bibliografía.
Tener bien claro el objetivo a alcanzar.
Búsqueda de información acerca de interés y que contribuyan a resolver un problema. Identificar los elementos sistémicos.
Aplicación del método Deductivo es decir ubicar de lo general a lo particular los elementos que intervienen. Hacer una lista de los conceptos incluidos en la pirámide conceptual.
Creando un cuadro comparativo con ventajas y desventajas.
Metas (¿Qué Obtener en particular?) La selección de la metodología a seguir.
Inicio del proyecto de Tesis.
Computadora personal, acceso a Internet, Bibliografía.
El tema de Tesis.
Observación. Computadora e Internet. Investigación Bibliográfica. Computadora e Internet. Investigación Bibliográfica.
El alcance y el enfoque que tendrá la Tesis.
Computadora e Internet. Investigación Bibliográfica.
Explicar los conceptos en forma breve dando el marco conceptual donde se ubicará el proyecto de Tesis.
Observación. Investigación, Cuestionarios. Entrevistas. Computadora e Internet Procesador de Palabras, Hoja de cálculo.
Información para justificar la Tesis.
xvi
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Representar gráficamente el proyecto de Tesis y el producto principal a obtener.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Continuación) Metodología, Actividades Propias del Proyecto (¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Definir la justificación del proyecto de Tesis.
Llevar a cabo el Análisis del cuadro comparativo citado con antelación.
Definir el objetivo particular y los generales del Proyecto de Tesis.
Definir la aportación principal del proyecto de Tesis y de lo que se obtiene en el proceso de desarrollo.
Desarrollo del producto principal del Proyecto de Tesis. Proponer la Metodología en Informática Forense.
Basándose en metodologías previamente identificadas y analizadas, así como diseñando y proponiendo la metodología del trabajo de Tesis.
Aplicar la Metodología propuesta.
Siguiendo las actividades de la Metodología propuesta.
Herramientas (¿Con qué hacer?) Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes. Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Observación, Análisis e investigación. Con las herramientas necesarias en cada Actividad de la Metodología.
xvii
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Metas (¿Qué Obtener en particular?) Justificar la Tesis.
Definir los objetivos.
Metodología a usar en la Tesis.
Alcanzar los niveles de pericia y especialización necesarios para llevar a cabo una intervención pericial en Informática Forense precisa, confiable y por ende irrefutable.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Final) Metodología, Actividades Propias del Proyecto (¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Herramientas (¿Con qué hacer?)
Redacción del documento de Tesis
Conforme avance en trabajo la Tesis.
Valoración del cumplimiento de los objetivos.
Revisando el cumplimiento de los objetivos.
Definición de trabajos futuros.
Proponiendo mejoras continuas y seguimiento al trabajo.
Conclusiones del proyecto de Tesis.
Redactar los beneficios y la utilidad que representa el trabajo de Tesis.
Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.
Metas (¿Qué Obtener en particular?) Escribir el documento de Tesis
Conclusiones acerca del cumplimiento de los objetivos.
Definir trabajos a futuro.
Conclusiones referentes al trabajo de Tesis.
Con el fin de cumplimentar lo plasmado con antelación, se emplea la ―Metodología para el Desarrollo y Redacción de un Proyecto de Tesis de Maestría‖ [Galindo, 2005], propuesta por el Prof. Leopoldo Galindo Soria; misma que será la metodología a aplicar para la elaboración y la redacción del proyecto en comento.
xviii
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Estructura del Documento de Tesis. El cuerpo de la Tesis se encuentra dividido en 5 capítulos, una sección para conclusiones y una sección dedicada a trabajos futuros, a continuación se realiza una breve descripción de cada uno de los capítulos que integran esta tesis, cuya estructura es la siguiente: Capítulo 1.- Marco Conceptual y Contextual. Se definen las bases para desarrollar el trabajo de investigación, con el fin de ayudar a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos elementos que intervienen en una intervención pericial en informática forense. Capítulo 2.- Identificar y analizar la situación actual. Presenta una definición general de metodología, así mismo se describe el proceso forense en informática, mostrando un análisis del modelo de informática forense, de manera adicional se realiza una comparativa teniendo como elemento de cotejo a las guías internacionales de mayor importancia, de las mejores prácticas en informática forense y la metodología propuesta, razón por la cual se justifica proponer como proyecto de Tesis el contar con una nueva metodología en Informática forense, que pueda ser aplicada en México. Capítulo 3.- Desarrollo de la Metodología Propuesta. Se presentan las fases y métodos que la integran, se describe el proceso forense informático, mostrando un análisis del modelo de informática forense.
xix
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con los que la metodología propuesta deba cumplir. La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o datos obtenidos). En el presente capítulo se genera la estrategia de creación de la metodología. Esta estrategia considera: la aplicación del método científico, utilización de metodologías (en el área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel internacional. Capítulo 4.- Aplicación de la Metodología Propuesta en un caso de Estudio. En este capítulo se presenta la aplicación de la metodología propuesta en un caso práctico; proponiendo con el fin de mostrar su utilidad y funcionalidad la ―Localización de un archivo con información específica‖, es decir se propuso la Ubicación de información cuestionable. Razón por la cual es que en este capítulo se desarrollan todas y cada una de las fases que integran la metodología propuesta. Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones. Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta, por último se presenta la Bibliografía y Referencias a Internet.
En síntesis, en la siguiente lámina se presenta la estructura general del proyecto de tesis:
xx
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
―Después‖
―Cambio‖
―Antes‖
Introducción. Presentación del Proyecto de Tesis. -Presentación del proyecto de tesis. -Marco metodológico para el desarrollo del proyecto de tesis. -Estructura del documento del proyecto de tesis.
Capítulo 1 El marco conceptual y contextual -Introducción al marco conceptual y contextual. -Pirámide Conceptual. -Descripción de Términos.
IMPARTICIÓN DE JUSTICIA.
Capítulo 2 -Análisis, evaluación y diagnóstico de la situación al inicio del proyecto de tesis. -Identificar y analizar la situación actual. -Análisis de la situación actual al inicio del proyecto de tesis.
SITUACIÓN ACTUAL: ―AUTORIDAD COMPETENTE‖.
INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA.
SITUACIÓN MEJORADA DE LA INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA. Capítulo 4.Aplicación de la Metodología Propuesta en un Caso de Estudio.
-Justificación del proyecto de tesis. -Objetivos del proyecto de tesis.
―ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL‖.
CAPITULO 3 DESARROLLO DE LA METODOLOGÍA PROPUESTA: FASE I, FASE II, FASE III, FASE IV y FASE V. FASE I
FASE II Identificación detallada del material objeto de estudio.
Planteamiento del Problema.
Por medio de:
FASE III
FASE IV
FASE V
Adquisición de evidencia.
Análisis de datos.
Presentación de resultados obtenidos.
¿Cómo llegar?
Capítulo 4 FASE V FASE IV FASE III FASE II FASE I
APLICACIÓN DE LAS FASES, DE LA METODOLOGÍA PROPUESTA.
xxi
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Para obtener:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 1.Marco Contextual y Conceptual
1
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
CAPÍTULO 1. MARCO CONTEXTUAL Y CONCEPTUAL. El Marco Conceptual y Contextual, servirá como Marco de Referencia que se usará en el presente trabajo de Tesis. Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que intervienen en la Informática Forense. A continuación, se detalla el Marco Conceptual y Contextual. Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los delincuentes se hacen diestros en la utilización de los avances tecnológicos como herramienta para delinquir. La prueba documental y el arma homicida están perdiendo vigencia con rapidez.
En el presente proyecto de tesis se aborda el tema de la Informática Forense, de la evidencia digital, de la manipulación de la misma y de los retos que esta tarea conlleva, dándole un vistazo a las diferentes directrices de manipulación de pruebas electrónicas y de evidencia digital que los países más avezados en estos temas han planteado como solución a los problemas de admisibilidad y a otros retos que usualmente se le presentan a un operador jurídico que pretende usar información almacenada en medios electrónicos como prueba, razón por la cual, se hace cada vez más necesario que los aparatos judiciales tengan a su disposición funcionarios y colaboradores que posean los conocimientos informáticos, técnicos y jurídicos necesarios para ofrecer certeza sobre la integridad de la evidencia obtenida en entornos digitales.
2
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cabe señalar que al momento de la redacción del presente trabajo se consideraron las guías generadas en países con mayor desarrollo y experiencia en esta área científica, con el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la creación de la metodología en informática forense motivo del presente proyecto de tesis y otros procedimientos de los que se hace referencia en materia de peritaje informático.
Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una sugerencia informada para ayudar a la implementación de lo que sería el estándar Mexicano de buenas prácticas en materia de peritaje informático.
1.1 Marco conceptual 1.1.1 Pirámide conceptual. [Galindo, 2005] La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y elementos involucrados que se emplearán en esta investigación, así como, también a identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y de izquierda a derecha.
A continuación, se presenta la Pirámide Conceptual, la cual es usada durante el proyecto de Tesis para definir los conceptos principales:
3
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
CONTAR CON UNA METODOLOGÍA EN INFORMÁTICA FORENSE APLICABLE EN MÉXICO.
Figura 1.1.- Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio. (Adaptada de [Galindo, 2005]).
4
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis Estos conceptos representan la base para una mejor comprensión del contenido del presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide Conceptual, de abajo hacia arriba y de izquierda a derecha.
Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos. Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. El delito [http://www.bibliojuridica.org/]: en sentido estricto, es definido como una conducta, acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquiere, que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la ley.
Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet. Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.
5
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Legislación Mexicana [http://www.bibliojuridica.org/]: Recopilación de leyes, decretos, bandos, reglamentos, circulares y providencias de los supremos poderes y otras autoridades de la República Mexicana.
Peritaje [Orellana,1975]: Es el examen y estudio que realiza el perito sobre el problema encomendado para luego entregar su informe o dictamen pericial con sujeción a lo dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema encomendado para producir una explicación consistente. Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial.
Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento, explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖.
6
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La Criminalística es la disciplina coadyuvante del Derecho Penal y de la propia Criminología frente a un delito. La Criminalística registra estas interrogantes ¿Cómo?, ¿Por qué?, ¿Quiénes?, ¿Qué instrumentos Utilizaron?, ¿Dónde?, ¿Cuándo?, etcétera. Consecuentemente la Criminalística utilizando una serie de técnicas procedimientos y ciencias establecen la verdad jurídica acerca de dicho acto criminal. La Criminalística se vale obviamente de todos los métodos y técnicas de investigación posibles, proporcionados por las más diversas áreas del saber científico; ello en cuanto sirvan a su objeto. Pero, a su tiempo, va desenvolviendo su propio cuerpo de conocimientos y adquiriendo autonomía disciplinaria. Algunos estudiosos han incluido las fuentes de la Criminalística en su concepto: Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias naturales en el examen del material sensible significativo relacionado con un presunto hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la intervención de uno o varios sujetos en el mismo".
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a estos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se percibe con los sentidos y que tiene relación con un hecho delictuoso;
7
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste en establecer las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia que habiendo sido examinado, estudiado y analizado con la opinión de un experto se fundamenta.
NIST [http://www.nist.gov/index.html]: Instituto Nacional de Estándares y Tecnología, (NIST, por sus siglas en inglés). NIJ [http://www.ojp.usdoj.gov/nij/funding/welcome.htm]: Departamento de Justicia de EE.UU., (NIJ, por sus siglas en inglés).
FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés). Análisis
Forense
Digital
[http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]:
Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar nuestra investigación, ya sea criminal o no. Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos de Análisis Forense Digital.
8
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De manera más formal podemos definir el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de identificación, adquisición, preservación, análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial, es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la metodología que se emplee será determinada por el especialista forense, el proceso escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática forense (Figura 1.2).
Por evidencia digital se entiende al conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado.
Figura 1.2.- Reglas generales de la informática forense [Fuente propia]. 9
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que serán desarrolladas con más detalle a lo largo de este documento: 1ª. Identificación del incidente. 2ª. Adquisición o recopilación de evidencias. 3ª. Preservación de la evidencia. 4ª. Análisis de la evidencia. 5ª. Documentación y presentación de los resultados.
Principio de intercambio de Locard [Locard, 1963]: Este principio fundamental viene a decir que cualquiera o cualquier objeto que entra en la escena del crimen (lugar de los hechos), deja un rastro en la escena o en la víctima y viceversa (se lleva consigo), en otras palabras: ―cada contacto deja un rastro‖. En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal estuviera en la escena del crimen.
10
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1.2 Marco contextual general. 1.2.1 Marco contextual acorde a la pirámide conceptual. En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia – Intervención Pericial – Dictamen Pericial, con un enfoque sistémico. La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal efecto:
Aplicación de Metodología en Informática Forense, Software y Herramientas Adecuadas Legislación
Situación Actual Situación Futura
Certeza, Confiabilidad y Precisión en el Análisis realizado sobre el equipo de cómputo motivo de estudio.
Malas Prácticas Forenses.
Metodología en Informática Forense aplicada por un Perito en Informática
Figura 1.3.- Representación Esquemática de la Intervención Pericial en Informática Forense [Fuente propia]. 11
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Bajo el enfoque de la figura 1.2, se observa que la aplicación de la Informática forense se encuentra apoyada por nuestra legislación; siendo que la sociedad en general rara vez espera los cambios legislativos para modificar sus conductas, más bien ésta y su realidad concreta suelen estar varios pasos delante de legisladores y juristas. Si a esta situación habitual sumamos el hecho de que la informática interactúa con la sociedad a velocidades exponenciales en lugar que las lineales de las ciencias jurídicas, nos encontraremos ante la cruda verdad de que, de no hacerse algo de manera inmediata, nos hallaremos cada día más lejos de la verdad de las conductas que pudieran resultar incriminables en defensa de los valores reconocidos como protegibles por la sociedad que ampara al orden jurídico o que éste debe intentar salvaguardar [Cámpoli, 2007].
Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los esquemas tradicionales de interacción social y ofrecen nuevas formas de relación interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el hecho de que además sirven como medios de comisión de delitos; es aquí, en donde resalta la importancia de aplicar una metodología que proporcione a la autoridad una valoración técnica que sea totalmente confiable.
12
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1.2.2. Descripción del procedimiento básico en informática forense. Las etapas que se describen a detalle a continuación tienen como base las metodologías de informática forense y procedimientos para la obtención de evidencia digital, las cuales están consideradas dentro de algunas guías y metodologías en informática forense y serán descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del presente proyecto de Tesis.
Un análisis en informática forense para que pueda ser válido ante una instancia judicial del orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final del proceso de análisis forense informático. A continuación, se describen las etapas de la metodología básica aplicada al peritaje informático:
Búsquedas Filtros Línea del Tiempo Visualización de Archivos
Presentación
Interpretación de datos obtenidos.
Análisis
Esta etapa busca mantener la integridad de la evidencia, la cual este caso particular es muy frágil. Imagen bit a bit de la información, motivo de estudio (copia idéntica).
Preservación Adquisición
Descripción a detalle de cada elemento de estudio.
Identificación Planteamiento del Problema
Se presenta la evidencia final obtenida, un registro detallado y en palabras simples.
Se identifica al elemento cuestionado, equipo comprometido o Intrusión realizada.
Figura 1.4 Representación Esquemática del Proceso de Investigación [Fuente propia].
13
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En la figura anterior, el ―Proceso de Investigación‖, es representado como una escalera en donde los pasos o etapas son secuenciales y ascendentes estructurada de tal forma que conforma, una exhaustiva y rigurosa investigación, garantizando un adecuado tratamiento de las pruebas, reduciendo de esta forma la probabilidad de errores creados por improvisaciones, careciendo de metodología alguna y otros peligros potenciales. Este proceso es aplicado en las investigaciones de carácter penal para una intervención pericial.
1.
Planteamiento del Problema.- El planteamiento del problema de la investigación es
la delimitación clara y precisa del objeto de la investigación que se realiza por medio de preguntas, lecturas (para el caso de archivos ―logs‖ o bitácoras), encuestas pilotos, entrevistas, etc. En esta etapa cabe tener presente el siguiente pensamiento ―Es más importante para la ciencia, saber formular problemas, que encontrar soluciones‖ (Albert Einstein).
La función del planteamiento del problema consiste en revelarle al perito investigador si su proyecto de investigación es viable, dentro de sus tiempos (considerando y matizando que cuando existen personas detenidas por algún acto ilícito, la premura es un factor determinante) y recursos disponibles.
2.- Identificación.- Tiene como fin la localización de las fuentes de información de una manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que tienen que hacerse: ¿Qué marca, modelo y características del hardware tiene el equipo o dispositivos motivo de estudio? ¿El equipo se encuentra encendido o apagado?
14
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Si el equipo se encuentra encendido, identificar el Sistema Operativo, características técnicas (versión del Sistema Operativo, cantidad de memoria RAM, tipo de microprocesador), dirección IP, MAC address (Media Access Control o control de acceso al medio). Ubicar las evidencias e indicios en el sistema - equipo comprometido o vulnerado. Resguardante del equipo. 3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento) o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la información obtenida de la fase de identificación y tiene como objetivo obtener la imagen (copia bit a bit) de la evidencia digital e información que será necesaria para la fase de análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es decir, evitar en todo momento que sea modificada la evidencia por la manipulación del software o hardware, por consiguiente es necesario tomar las medidas de seguridad necesarias para mantener aislado en lo posible el equipo a inspeccionar.
Dentro de la adquisición de la evidencia digital, el procedimiento será centralizado principalmente en mantener la técnica apropiada para la informática forense, lo anterior para tener la certeza de que la evidencia adquirida será aceptada como prueba en un procedimiento legal, teniendo la posibilidad de ser duplicada y si es necesario que esta pueda ser analizada por terceras personas. A continuación se listan algunos aspectos que son indispensables en la fase de adquisición de la evidencia:
Evaluar y documentar el lugar del incidente (planimetría, fotografía, croquis de conexiones, etc.). Manejo adecuado de la documentación y evaluación. 15
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Etiquetar y embalar adecuadamente la evidencia para que no sean alterados. ¿Metodología empleada para documentar el material motivo de estudio? 4.- Preservación de la evidencia. Busca mantener la integridad de la evidencia desde su obtención hasta la fase de presentación. Es difícil demostrar que la evidencia que dejo la persona que cometió la falta o el delito no fue alterada por las personas que se encontraban en el lugar de los hechos y que el perito en informática forense que recopilo u obtuvo la información lo hizo de una manera adecuada y sin alteración alguna.
En la preservación se integra la cadena de custodia que es un elemento clave durante todo el proceso de la informática forense, que ayuda de manera importante a dar valides y sustento al hecho ocurrido ante cualquier autoridad. Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc.
Esto último es útil, para el perito en informática forense porque se les hace difícil a los jueces discutir con éxito la integridad de la evidencia digital presentada.
Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser analizado, esta huella digital es un valor numérico calculado que resume una cantidad de información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del original. Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1. 16
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Otro elemento de ayuda para mantener la integridad de la evidencia digital es el uso de equipos y herramientas que no permitan la escritura en la evidencia o copia digital obtenida (bloqueadores de escritura), así como el trabajar única y exclusivamente sobre la imagen de la evidencia digital (copia idéntica bit a bit del original, por ejemplo la imagen de un disco duro o de una memoria USB). 5.- Análisis de la evidencia.- Se refiere a la interpretación de los datos obtenidos y a la colocación de estos en un formato lógico y útil, proporciona la evidencia que se busca y está en función de las habilidades del perito en informática forense. La fase de análisis debe documentarse en todas sus partes y seguir un método científico que permita independientemente de la metodología utilizada por el perito en informática forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado obtenido del análisis es el correcto. Es decir: Se debe extraer la información, procesarla e interpretarla. Extraerla producirá archivos binarios. Procesarla generará información entendible. Interpretarla es la parte más importante del proceso. El proceso debe poder rehacerse y producir el mismo resultado.
6.- Presentación y documentación de los resultados. Está enfocada a la creación final de un documento o un reporte para presentar la evidencia final obtenida, debe contener las conclusiones a detalle de la investigación y análisis. La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a manera de que sea entendible para cualquier lector, conteniendo anexos a manera de ilustrar a la autoridad competente. Lo anterior se resume como:
En esta etapa se presentan los resultados obtenidos a la empresa, abogados, autoridad competente, etc. 17
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La aceptación de la misma dependerá de: Forma de presentación. Antecedentes y calificación de la persona que realizó el análisis. La credibilidad del proceso que fue utilizado para la preservación y análisis de la evidencia. Con el propósito de obtener la mayor cantidad de información necesaria para realizar el proceso forense y dar pie a la integración de una metodología se realizó un análisis del modelo de informática forense, el cual se muestra en las figuras 1.5 y 1.6.
Etapa de Identificación.
Etapa de Obtención.
Etapa de Análisis.
Etapa de Presentación.
Figura 1.5 Modelo básico de la informática forense [Fuente propia].
Etapa de Identificación.
Etapa de Análisis.
Etapa de Obtención.
Etapa de Presentación.
Etapa de Documentación.
Figura 1.6 Modelo de informática forense complementario [Fuente propia].
18
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Considerando lo anterior, ahora se presentará un panorama general de los subsistemas a obtener, con el fin de que el lector pueda identificar los elementos esenciales que componen un Sistema de Análisis Forense Informático en Redes y Equipos de Cómputo Personal.
Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes y Equipo de Cómputo [Fuente propia].
De la figura anterior, se observa que el primer elemento a obtener, es el contar con una ―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖, de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o Dictamen Informático. 19
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Resumen del Capítulo: En este capítulo, se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis; además, de describir los conceptos principalmente usados en el desarrollo del trabajo de Tesis, marcando la diferencia entre Perito, Peritaje e Informática Forense, el primer concepto hace referencia a un experto en una ciencia o arte cuya actividad es vital en la resolución de conflictos judiciales, el segundo concepto nos habla del estudio en sí, que realiza un perito bajo un planteamiento especifico y el tercer concepto nos refiere que se trata de una disciplina de las Ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso bajo estudio, como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. Por último, se presenta un modelo del Sistema de ―Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal‖, que se desea obtener.
Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis, para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente referido, para establecer sus ventajas y desventajas, para de esta manera hacer un diagnóstico de las mismas y entonces definir la posible necesidad de proponer una metodología, así como la justificación de la misma.
20
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 2.Identificación y Análisis de la Situación Actual.
21
Ing. Arturo Palacios Ugalde. Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 2. Identificación y Análisis de la Situación Actual. En el capítulo anterior, se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis, también se dió una descripción del procedimiento básico en informática forense, por último se mostro, el modelo del Sistema de Análisis Forense Informático, en Sistemas de Redes y Equipos de Cómputo Personal que se desea obtener, ahora se presentará un riguroso análisis de la situación actual, considerando las metodologías y estándares actuales.
2.1 Antecedentes. En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto al desarrollo y aplicación de metodologías al m
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS”
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”
TESIS QUE PARA OBTENER EL GRADO DE: MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
PRESENTA: ING. ARTURO PALACIOS UGALDE.
DIRECTOR DE TESIS: M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.
MÉXICO D.F. OCTUBRE DE 2010.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL” RESUMEN En el presente proyecto de tesis, se presenta explícitamente la problemática existente de la falta de una metodología de análisis pericial forense en el entorno de la informática forense, por lo que se propone y aplica una metodología forense para el análisis de sistemas de redes y equipos de cómputo personal, además se estudian algunos dispositivos de interés, detallando de forma particular, el análisis sobre una computadora personal de escritorio, dicho producto de la presente Tesis se pretende funja como herramienta fundamental para la resolución de contiendas y denuncias judiciales.
La metodología propuesta se encuentra compuesta por cinco Fases: I.Planteamiento del problema, II.- Identificación detallada del material objeto de estudio, III.Adquisición de evidencia, IV.- Análisis de datos y V.- Presentación de resultados obtenidos, las presentes Fases se consideran herramientas ineludibles y básicas a la hora de investigar un hecho delictivo, las mismas nos permitirán efectuar un trabajo sistémico metodológicamente estructurado y sistemáticamente fundamentado, considerando que la metodología propuesta sea aplicada por un perito en informática forense en auxilio de la autoridad judicial.
Con el presente trabajo se busca establecer un marco referencial base de cualquier investigador forense digital en aspectos técnicos y jurídicos que procure generar y fortalecer iniciativas multidisciplinarias para la modernización y avance de la administración de justicia en el contexto de una sociedad digital y de la información.
La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un caso de estudio, presentado en el ―Capítulo 4.- Localización de un archivo con información específica‖, con el fin de iniciar la evaluación de su aplicabilidad.
Ing. Arturo Palacios Ugalde. Resumen y Abstract.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
“METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN NETWORKS SYSTEMS AND PERSONAL COMPUTING EQUIPMENTS” ABSTRACT In this thesis Project, it is explicitly presented the existing problems due to the lack of a methodology for the forensic expert analysis in computing, so it is proposed and applied a forensic methodology for the analysis of networks systems and personal computing equipments. Also, some interesting devices are studied, particularly detailing the analysis on a personal desk computer. The result of the present thesis is intended to function as a basic tool for the resolution of judicial controversies and complaints.
The proposed methodology consists of five stages: I.- Approach of the problem, II.Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data analysis, and V.- Presentation of the results obtained. The present stages are considered as necessary and basic tools at the time of investigating a criminal act, and such tools will enable us to carry out a systemic work which shall be methodologically structured and systematically founded, considering that the methodology being proposed shall be applied by forensic expert in computing, in assistance of the judicial authority.
The present work seeks to establish a basic reference framework for any digital forensic investigator regarding technical and juridical aspects, tending to generate and strengthen multidisciplinary initiatives for the modernization and improvement of justice administration in the context of a digital society and computing.
The methodology proposed was applied within the present thesis project, in a case under study presented in ―Chapter 4.- Localization of a file with specific information‖, with the purpose of starting an evaluation of its applicability.
Ing. Arturo Palacios Ugalde. Resumen y Abstract.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Agradecimientos
A Dios: Por darme la fortaleza y esperanza en los momentos difíciles.
A mi Madre: Gloria Ugalde y Guzmán Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la confianza que en su momento, depositaste en mí.
A mis Hermanos: Gabriel, Martin, Armando y Jonathan Por ayudarme y apoyarme. Gracias por facilitarme las cosas.
A mi Hijo: Emiliano Palacios Fernández Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza y alegría, por ser mi motor y mi fuerza para seguir adelante.
A mi Familia: Por todo su amor, cariño y comprensión.
Ing. Arturo Palacios Ugalde. Agradecimientos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Al Instituto Politécnico Nacional: Por crear en mí el sentimiento de orgullo.
A mi Director de tesis: El Profesor Prof. Leopoldo A. Galindo Soria Por sus invaluables sugerencias y acertados aportes durante la realización de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y compartir conmigo su talento y experiencia, en un marco de confianza, afecto y amistad, fundamentales para la concreción de este trabajo.
A todos aquellos que sin querer omito: Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles las gracias por formar parte de mí y por todo lo que me han brindado.
Ing. Arturo Palacios Ugalde. Agradecimientos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Índice General.
Índice General
i
Índice de figuras y tablas
iv
Glosario de Términos
viii
Introducción
xiii
0.1 Presentación del Proyecto de Tesis
xiii
0.2 Marco Metodológico para el desarrollo del proyecto de Tesis
xv
Capítulo 1.- Marco Conceptual y Contextual 1.1.
1.2
Marco Conceptual
2
1.1.1 Pirámide Conceptual
3
1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis
5
Marco Contextual
11
1.2.1 Marco contextual acorde a la pirámide conceptual 1.2.2. Descripción del procedimiento básico en informática forense
11 13
Capítulo 2.- Identificación y Análisis de la Situación Actual 2.1
Antecedentes
22
2.2
Análisis de la situación actual al inicio del Proyecto de Tesis
25
2.3
Justificación del proyecto de Tesis
33
2.4
Definición de Objetivos del Proyecto de Tesis
33
i
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 3.- Desarrollo de la Metodología Propuesta 3.1
Introducción a la Metodología Propuesta
36
3.2
Presentación esquemática de la Metodología Propuesta
41
3.2.1 Fase I. Planteamiento del Problema
45
3.2.2 Fase II. Identificación detallada del material objeto de estudio
45
3.2.3 Fase III. Adquisición de evidencia
46
3.2.4 Fase IV Análisis de datos
47
3.2.5 Fase V. Presentación de resultados obtenidos
48
Descripción detallada de las Fases de la Metodología Propuesta
51
3.3.1 Fase I. Planteamiento del Problema
51
3.3.2 Fase II. Identificación detallada del material objeto de estudio
55
3.3.3 Fase III. Adquisición de evidencia
78
3.3.4 Fase IV Análisis de datos
89
3.3.5 Fase V. Presentación de resultados obtenidos
106
3.3
Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio 4.1
Aplicación de la Fase I. Planteamiento del Problema
117
4.2
Aplicación de la Fase II. Identificación detallada del material objeto
de estudio
120
4.3
Aplicación de la Fase III. Adquisición de evidencia
153
4.4
Aplicación de la Fase IV. Análisis de datos
176
4.5
Aplicación de la Fase V. Presentación de Resultados Obtenidos
209
ii
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones 5.1
Valoración de Objetivos
238
5.2
Trabajos Futuros
241
5.3
Conclusiones
243
Bibliografía
246
Referencias a Internet
247
iii
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Índice de figuras y tablas. Número de Figura o Tabla.
Figura 1.1
Descripción: Capítulo 1: Marco Conceptual y Contextual. Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio.
Página.
4
Figura 1.2
Reglas generales de la informática forense.
9
Figura 1.3
Representación esquemática de la intervención pericial en informática forense.
11
Figura 1.4
Representación esquemática del Proceso de Investigación.
13
Figura 1.5
Modelo básico de la informática forense.
18
Figura 1.6
Modelo de informática forense complementario.
18
Figura 1.7
Productos a obtener bajo la aplicación de la Metodología Propuesta en el presente proyecto de tesis.
19
Figura 2.1
Tabla 2.1
Capítulo 2: Identificar y Analizar la Situación Actual. Estándares y directrices, relacionados con la informática forense y la seguridad de la información. Comparativo de ventajas y desventajas de Metodologías y Estándares actuales.
26
28
Figura 3.1
Capítulo 3: Desarrollo de la Metodología Propuesta. Presentación Esquemática de la Metodología Propuesta.
42
Figura 3.2
Presentación Secuencial de la Metodología Propuesta.
42
Figura 3.3
Presentación detallada de la Metodología Propuesta.
44
Figura 3.4
Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar.
57
Figura 3.5
Ejemplo en el que se presenta, la forma en que se identifica un posible material objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o Documento Final.
58
iv
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de Figura o Tabla.
Descripción:
Página.
Figura 3.6
Imagen que se presenta a manera de Ilustrar un posible lugar de los hechos.
60
Figura 3.7
Imagen con la que se ilustra una posible manera de etiquetar las conexiones de un equipo de cómputo a analizar.
61
Figura 3.8
Se debe restringir el acceso al lugar de los hechos.
62
Figura 3.9
Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo genero, para tres archivos.
72
Salida tipo pantalla, en la que se muestra el análisis al archivo 104 Index.dat, con el fin de mostrar las cookies almacenadas en éste. Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio. Figura 4.1 Identificación del material objeto de estudio. 121
Figura 3.10
Figura 4.2
Identificación del disco duro asociado al material objeto de estudio.
122
Figura 4.3
Fijación fotográfica del material objeto de estudio, teniendo mayor relevancia para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que es el elemento en donde se almacena toda la información procesada.
133
Figura 4.4
Una vez que se tuvo identificado plenamente al elemento base (principal fuente de información), para realizar su análisis correspondiente, se procedió a colocarle un bloqueador de escritura.
142
Figura 4.5
Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que fue detectado el disco duro, asociado al material objeto de estudio.
146
Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen (―#L##-###L‖). Como primer paso se tuvo que montar el Disco Duro al Software.
147
Figura 4.8
Salida tipo pantalla en la que se observa el contenido del disco a través del software forense AccessData FTK Imager.
160
Figura 4.9
Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de estudio.
161
Figura 4.6 Figura 4.7
v
Ing. Arturo Palacios Ugalde. Indice.
159
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de Figura o Tabla.
Descripción:
Página.
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al software forense, el destino de la imagen. Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la imagen total del disco duro. Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta ―Documents and Settings‖. Salida tipo pantalla en que se muestra el termino del proceso para Figura 4.13 adquirir la imagen de la carpeta ―Documents and Settings‖. Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2). Figura 4.15 Vista del contenido del archivo generados con el valor Hash de la imagen del disco duro. Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida. Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco duro motivo de estudio. Figura 4.18 Exploración de la imagen forense obtenida.
162
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan respuesta al Planteamiento del Problema.
186
Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso de exportación de archivos ubicados. Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los archivos localizados.
188
Figura 4.22
Conexión del Disco Duro bajo estudio al protector contra escritura.
163 164 165 166 169 177 184 185
197
217
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito.
218
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que
219
conforman la Imagen Forense del presente caso bajo estudio. Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se apegan al criterio especificado en el Planteamiento del Problema. vi
Ing. Arturo Palacios Ugalde. Indice.
220
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de Figura o Tabla.
Figura 4.26 Figura 4.27
Figura 4.28
Descripción:
Página.
Conexión del Disco Duro bajo estudio al protector contra escritura.
225
Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito. Salida tipo pantalla en donde se muestran los dos archivos que conforman la Imagen Forense del presente caso bajo estudio.
226
227
Salida tipo pantalla en donde se muestran los dos archivos, Figura 4.29
localizados y que se apegan al criterio especificado en el
228
Planteamiento del Problema. Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones. Tabla 5.1 Valoración de los Objetivos Particulares. 241
vii
Ing. Arturo Palacios Ugalde. Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
GLOSARIO DE TÉRMINOS.
Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente serie de términos usados, se puede observar que varias definiciones se toman con base a referencias de sitios o páginas de Internet, confiables.
Análisis Forense Digital [http://archivos.diputados.gob.mx/Comisiones/Especiales/ Acceso_Digital/Presentaciones/Procuracion_justicia_PGR.pdf]: conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste en establecer las responsabilidades y controles de cada una de las personas que manipulen la evidencia, (The Organization of American States (OAS), La Organización de los Estados Americanos (OEA)).
Delitos Informáticos [http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg0000 7.html]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema encomendado para producir una explicación consistente.
viii
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial. Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien puede disentir de sus colegas.
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Forense [http://www.rae.es/rae.html]: adj. Perteneciente o relativo al foro. Lugar en que los tribunales actúan y determinan las causas: foro público.
Hash [http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt]: En informática, hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, procedimiento que autentica la información o dato en cuestión (firma digital).
Incidente de Seguridad Informática [http://www.oas.org/juridico/spanish/cyb_analisis _foren.pdf]: puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos.
ix
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Indicio [http://www.bibliojuridica.org/]: El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se percibe con los sentidos y que tiene relación con un hecho delictuoso; al decir material sensible significativo se entiende que está constituido por todos aquellos elementos que son aprehendidos y percibidos mediante la aplicación de nuestros órganos de los sentidos. A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones en la selección del material que será sometido a estudio. Cuando se comprueba que está íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia. Lugar de los hechos [http://www.bibliojuridica.org/]: Se entiende como el lugar de los hechos ―El sitio donde se ha cometido un hecho que puede ser delito‖. Toda investigación criminal tiene su punto de partida casi siempre en el lugar de los hechos, y muchos criminalistas ya han expresado: ―que cuando no se recogen y estudian los indicios en el escenario del crimen, toda investigación resulta más difícil‖. Por tal motivo, es imperativo proteger adecuadamente en primer término ―el lugar de los hechos‖ o como lo denominan los especialistas ―el sitio del suceso‖, (en los países de habla inglesa se utiliza el término ―escena del crimen‖).
Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. x
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Partición swap [http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.ht ml]: Una partición swap (al menos 256 MB) — Las particiones swap son utilizadas para soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no hay memoria suficiente disponible para contener los datos que su ordenador está procesando.
Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema encomendado para luego entregar su informe o dictamen pericial con sujeción a lo dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen.
Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que comprende las tres clases de elementos.
Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas. Software [RODAO, 2005]: Se conoce como software al equipamiento lógico o soporte lógico de una computadora digital; comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos del sistema, llamados hardware.
xi
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el procesador de textos, que permite al usuario realizar todas las tareas concernientes a la edición de textos o el software de sistema tal como el sistema operativo, que básicamente, permite al resto de los programas funcionar adecuadamente.
xii
Ing. Arturo Palacios Ugalde. Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
INTRODUCCIÓN. 0.1
PRESENTACIÓN DEL PROYECTO DE TESIS.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Ante el suceso de un delito informático u otro delito en el que se considere que equipos de cómputo pueden presentar evidencias, es necesaria la intervención de un perito en informática forense. La falta de una metodología para realizar un peritaje en informática forense ante el suceso de un delito informático en cualquier persona física o moral, pueden impactar de varias formas tales como: que la evidencia se pierda viéndose alterada y por ende nunca descubrir al culpable del acto ilícito que nos ocupa, o también podría fincársele una responsabilidad para el perito en informática forense así como el de no presentar elementos suficientes como evidencia o que pierdan su valor probatorio frente a un tribunal por que no se halla preservado la integridad de la información o manejado adecuadamente (cadena de custodia).
Por lo anterior y de no adoptarse una metodología de peritaje en informática forense, ante un suceso que así lo amerite, no se tendrá un peritaje confiable recalcando el hecho de que en nuestro país la informática forense ha tenido un nulo crecimiento en lo que a desarrollo tecnológico y metodológico se refiere.
xiii
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
De lograr el empleo de una metodología en informática forense, se contará con una herramienta formal que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje informático en forma eficiente, confiable, segura y que le dará certidumbre a los resultados obtenidos. Por tales motivos, es que se desarrolla el presente trabajo cuya finalidad es la creación de una “Metodología para el análisis forense informático en sistemas de redes y equipos de cómputo personal”, para que sea la base fundamental de cualquier peritaje informático.
Considerando lo anterior, a continuación se muestra el Marco Metodológico que servirá de guía para el desarrollo del presente trabajo de tesis:
xiv
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS. En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los resultados obtenidos y las evidencias significativas encontradas en relación al problema investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los cuales se intenta dar respuestas a las interrogantes objeto de investigación.
El marco metodológico, para el desarrollo de este Proyecto de Tesis, donde se propone un “Análisis Forense Informático en Sistemas de Redes y Equipos de Computo Personal”; indica el conjunto de métodos, técnicas y protocolos instrumentales que se emplearán en el proceso de recolección de los datos requeridos en el presente trabajo de investigación. Es importante señalar que tal conjunto de técnicas y herramientas especializadas deben ser guiadas por una metodología apropiada, basada en el desarrollo de la ―Tabla Metodológica‖ [Galindo, 2008], en tal sentido, en la siguiente Tabla, se describen las actividades necesarias para así cumplir con la(s) meta(s) que se ha fijado y lograr los objetivos o productos deseados, además de indicar las técnicas y herramientas que se consideran más adecuadas.
xv
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008]. Metodología Actividades Propias del Proyecto (¿Qué hacer?) Avocarse a la tarea de la recopilación y análisis de una metodología a seguir para el desarrollo del proyecto de tesis Uso de los Métodos Analítico y Sintético. Inicio de la aplicación de la metodología para el desarrollo de la Tesis. Definir cuál es o será el tema del proyecto de Tesis.
Identificar y conocer el medio ambiente correspondiente.
Crear una pirámide conceptual, para definir el Marco Conceptual.
Hacer una descripción de los conceptos definidos en la pirámide conceptual.
Hacer un análisis de la situación actual, del área y procesos bajo estudio y realizar una evaluación y diagnóstico correspondiente.
Técnicas (¿Cómo hacer?) Investigación y cotejo de diversas metodologías acordes al presente proyecto de tesis.
Herramientas (¿Con qué hacer?) Consulta de bibliografía.
Tener bien claro el objetivo a alcanzar.
Búsqueda de información acerca de interés y que contribuyan a resolver un problema. Identificar los elementos sistémicos.
Aplicación del método Deductivo es decir ubicar de lo general a lo particular los elementos que intervienen. Hacer una lista de los conceptos incluidos en la pirámide conceptual.
Creando un cuadro comparativo con ventajas y desventajas.
Metas (¿Qué Obtener en particular?) La selección de la metodología a seguir.
Inicio del proyecto de Tesis.
Computadora personal, acceso a Internet, Bibliografía.
El tema de Tesis.
Observación. Computadora e Internet. Investigación Bibliográfica. Computadora e Internet. Investigación Bibliográfica.
El alcance y el enfoque que tendrá la Tesis.
Computadora e Internet. Investigación Bibliográfica.
Explicar los conceptos en forma breve dando el marco conceptual donde se ubicará el proyecto de Tesis.
Observación. Investigación, Cuestionarios. Entrevistas. Computadora e Internet Procesador de Palabras, Hoja de cálculo.
Información para justificar la Tesis.
xvi
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Representar gráficamente el proyecto de Tesis y el producto principal a obtener.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Continuación) Metodología, Actividades Propias del Proyecto (¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Definir la justificación del proyecto de Tesis.
Llevar a cabo el Análisis del cuadro comparativo citado con antelación.
Definir el objetivo particular y los generales del Proyecto de Tesis.
Definir la aportación principal del proyecto de Tesis y de lo que se obtiene en el proceso de desarrollo.
Desarrollo del producto principal del Proyecto de Tesis. Proponer la Metodología en Informática Forense.
Basándose en metodologías previamente identificadas y analizadas, así como diseñando y proponiendo la metodología del trabajo de Tesis.
Aplicar la Metodología propuesta.
Siguiendo las actividades de la Metodología propuesta.
Herramientas (¿Con qué hacer?) Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes. Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Observación, Análisis e investigación. Con las herramientas necesarias en cada Actividad de la Metodología.
xvii
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Metas (¿Qué Obtener en particular?) Justificar la Tesis.
Definir los objetivos.
Metodología a usar en la Tesis.
Alcanzar los niveles de pericia y especialización necesarios para llevar a cabo una intervención pericial en Informática Forense precisa, confiable y por ende irrefutable.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Final) Metodología, Actividades Propias del Proyecto (¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Herramientas (¿Con qué hacer?)
Redacción del documento de Tesis
Conforme avance en trabajo la Tesis.
Valoración del cumplimiento de los objetivos.
Revisando el cumplimiento de los objetivos.
Definición de trabajos futuros.
Proponiendo mejoras continuas y seguimiento al trabajo.
Conclusiones del proyecto de Tesis.
Redactar los beneficios y la utilidad que representa el trabajo de Tesis.
Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación. Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.
Metas (¿Qué Obtener en particular?) Escribir el documento de Tesis
Conclusiones acerca del cumplimiento de los objetivos.
Definir trabajos a futuro.
Conclusiones referentes al trabajo de Tesis.
Con el fin de cumplimentar lo plasmado con antelación, se emplea la ―Metodología para el Desarrollo y Redacción de un Proyecto de Tesis de Maestría‖ [Galindo, 2005], propuesta por el Prof. Leopoldo Galindo Soria; misma que será la metodología a aplicar para la elaboración y la redacción del proyecto en comento.
xviii
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Estructura del Documento de Tesis. El cuerpo de la Tesis se encuentra dividido en 5 capítulos, una sección para conclusiones y una sección dedicada a trabajos futuros, a continuación se realiza una breve descripción de cada uno de los capítulos que integran esta tesis, cuya estructura es la siguiente: Capítulo 1.- Marco Conceptual y Contextual. Se definen las bases para desarrollar el trabajo de investigación, con el fin de ayudar a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos elementos que intervienen en una intervención pericial en informática forense. Capítulo 2.- Identificar y analizar la situación actual. Presenta una definición general de metodología, así mismo se describe el proceso forense en informática, mostrando un análisis del modelo de informática forense, de manera adicional se realiza una comparativa teniendo como elemento de cotejo a las guías internacionales de mayor importancia, de las mejores prácticas en informática forense y la metodología propuesta, razón por la cual se justifica proponer como proyecto de Tesis el contar con una nueva metodología en Informática forense, que pueda ser aplicada en México. Capítulo 3.- Desarrollo de la Metodología Propuesta. Se presentan las fases y métodos que la integran, se describe el proceso forense informático, mostrando un análisis del modelo de informática forense.
xix
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con los que la metodología propuesta deba cumplir. La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o datos obtenidos). En el presente capítulo se genera la estrategia de creación de la metodología. Esta estrategia considera: la aplicación del método científico, utilización de metodologías (en el área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel internacional. Capítulo 4.- Aplicación de la Metodología Propuesta en un caso de Estudio. En este capítulo se presenta la aplicación de la metodología propuesta en un caso práctico; proponiendo con el fin de mostrar su utilidad y funcionalidad la ―Localización de un archivo con información específica‖, es decir se propuso la Ubicación de información cuestionable. Razón por la cual es que en este capítulo se desarrollan todas y cada una de las fases que integran la metodología propuesta. Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones. Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta, por último se presenta la Bibliografía y Referencias a Internet.
En síntesis, en la siguiente lámina se presenta la estructura general del proyecto de tesis:
xx
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
―Después‖
―Cambio‖
―Antes‖
Introducción. Presentación del Proyecto de Tesis. -Presentación del proyecto de tesis. -Marco metodológico para el desarrollo del proyecto de tesis. -Estructura del documento del proyecto de tesis.
Capítulo 1 El marco conceptual y contextual -Introducción al marco conceptual y contextual. -Pirámide Conceptual. -Descripción de Términos.
IMPARTICIÓN DE JUSTICIA.
Capítulo 2 -Análisis, evaluación y diagnóstico de la situación al inicio del proyecto de tesis. -Identificar y analizar la situación actual. -Análisis de la situación actual al inicio del proyecto de tesis.
SITUACIÓN ACTUAL: ―AUTORIDAD COMPETENTE‖.
INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA.
SITUACIÓN MEJORADA DE LA INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA. Capítulo 4.Aplicación de la Metodología Propuesta en un Caso de Estudio.
-Justificación del proyecto de tesis. -Objetivos del proyecto de tesis.
―ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL‖.
CAPITULO 3 DESARROLLO DE LA METODOLOGÍA PROPUESTA: FASE I, FASE II, FASE III, FASE IV y FASE V. FASE I
FASE II Identificación detallada del material objeto de estudio.
Planteamiento del Problema.
Por medio de:
FASE III
FASE IV
FASE V
Adquisición de evidencia.
Análisis de datos.
Presentación de resultados obtenidos.
¿Cómo llegar?
Capítulo 4 FASE V FASE IV FASE III FASE II FASE I
APLICACIÓN DE LAS FASES, DE LA METODOLOGÍA PROPUESTA.
xxi
Ing. Arturo Palacios Ugalde. Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Para obtener:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 1.Marco Contextual y Conceptual
1
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
CAPÍTULO 1. MARCO CONTEXTUAL Y CONCEPTUAL. El Marco Conceptual y Contextual, servirá como Marco de Referencia que se usará en el presente trabajo de Tesis. Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que intervienen en la Informática Forense. A continuación, se detalla el Marco Conceptual y Contextual. Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los delincuentes se hacen diestros en la utilización de los avances tecnológicos como herramienta para delinquir. La prueba documental y el arma homicida están perdiendo vigencia con rapidez.
En el presente proyecto de tesis se aborda el tema de la Informática Forense, de la evidencia digital, de la manipulación de la misma y de los retos que esta tarea conlleva, dándole un vistazo a las diferentes directrices de manipulación de pruebas electrónicas y de evidencia digital que los países más avezados en estos temas han planteado como solución a los problemas de admisibilidad y a otros retos que usualmente se le presentan a un operador jurídico que pretende usar información almacenada en medios electrónicos como prueba, razón por la cual, se hace cada vez más necesario que los aparatos judiciales tengan a su disposición funcionarios y colaboradores que posean los conocimientos informáticos, técnicos y jurídicos necesarios para ofrecer certeza sobre la integridad de la evidencia obtenida en entornos digitales.
2
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cabe señalar que al momento de la redacción del presente trabajo se consideraron las guías generadas en países con mayor desarrollo y experiencia en esta área científica, con el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la creación de la metodología en informática forense motivo del presente proyecto de tesis y otros procedimientos de los que se hace referencia en materia de peritaje informático.
Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una sugerencia informada para ayudar a la implementación de lo que sería el estándar Mexicano de buenas prácticas en materia de peritaje informático.
1.1 Marco conceptual 1.1.1 Pirámide conceptual. [Galindo, 2005] La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y elementos involucrados que se emplearán en esta investigación, así como, también a identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y de izquierda a derecha.
A continuación, se presenta la Pirámide Conceptual, la cual es usada durante el proyecto de Tesis para definir los conceptos principales:
3
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
CONTAR CON UNA METODOLOGÍA EN INFORMÁTICA FORENSE APLICABLE EN MÉXICO.
Figura 1.1.- Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio. (Adaptada de [Galindo, 2005]).
4
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis Estos conceptos representan la base para una mejor comprensión del contenido del presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide Conceptual, de abajo hacia arriba y de izquierda a derecha.
Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen para alcanzar una gama de objetivos. Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse de los problemas situacionales en los cuales hay un alto componente social, político y humano. El delito [http://www.bibliojuridica.org/]: en sentido estricto, es definido como una conducta, acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquiere, que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la ley.
Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet. Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.
5
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Legislación Mexicana [http://www.bibliojuridica.org/]: Recopilación de leyes, decretos, bandos, reglamentos, circulares y providencias de los supremos poderes y otras autoridades de la República Mexicana.
Peritaje [Orellana,1975]: Es el examen y estudio que realiza el perito sobre el problema encomendado para luego entregar su informe o dictamen pericial con sujeción a lo dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema encomendado para producir una explicación consistente. Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial.
Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento, explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖.
6
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La Criminalística es la disciplina coadyuvante del Derecho Penal y de la propia Criminología frente a un delito. La Criminalística registra estas interrogantes ¿Cómo?, ¿Por qué?, ¿Quiénes?, ¿Qué instrumentos Utilizaron?, ¿Dónde?, ¿Cuándo?, etcétera. Consecuentemente la Criminalística utilizando una serie de técnicas procedimientos y ciencias establecen la verdad jurídica acerca de dicho acto criminal. La Criminalística se vale obviamente de todos los métodos y técnicas de investigación posibles, proporcionados por las más diversas áreas del saber científico; ello en cuanto sirvan a su objeto. Pero, a su tiempo, va desenvolviendo su propio cuerpo de conocimientos y adquiriendo autonomía disciplinaria. Algunos estudiosos han incluido las fuentes de la Criminalística en su concepto: Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias naturales en el examen del material sensible significativo relacionado con un presunto hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la intervención de uno o varios sujetos en el mismo".
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a estos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se percibe con los sentidos y que tiene relación con un hecho delictuoso;
7
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste en establecer las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia que habiendo sido examinado, estudiado y analizado con la opinión de un experto se fundamenta.
NIST [http://www.nist.gov/index.html]: Instituto Nacional de Estándares y Tecnología, (NIST, por sus siglas en inglés). NIJ [http://www.ojp.usdoj.gov/nij/funding/welcome.htm]: Departamento de Justicia de EE.UU., (NIJ, por sus siglas en inglés).
FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés). Análisis
Forense
Digital
[http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]:
Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar nuestra investigación, ya sea criminal o no. Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos de Análisis Forense Digital.
8
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De manera más formal podemos definir el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de identificación, adquisición, preservación, análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial, es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la metodología que se emplee será determinada por el especialista forense, el proceso escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática forense (Figura 1.2).
Por evidencia digital se entiende al conjunto de datos en formato binario, esto es, comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado.
Figura 1.2.- Reglas generales de la informática forense [Fuente propia]. 9
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que serán desarrolladas con más detalle a lo largo de este documento: 1ª. Identificación del incidente. 2ª. Adquisición o recopilación de evidencias. 3ª. Preservación de la evidencia. 4ª. Análisis de la evidencia. 5ª. Documentación y presentación de los resultados.
Principio de intercambio de Locard [Locard, 1963]: Este principio fundamental viene a decir que cualquiera o cualquier objeto que entra en la escena del crimen (lugar de los hechos), deja un rastro en la escena o en la víctima y viceversa (se lleva consigo), en otras palabras: ―cada contacto deja un rastro‖. En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal estuviera en la escena del crimen.
10
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1.2 Marco contextual general. 1.2.1 Marco contextual acorde a la pirámide conceptual. En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia – Intervención Pericial – Dictamen Pericial, con un enfoque sistémico. La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal efecto:
Aplicación de Metodología en Informática Forense, Software y Herramientas Adecuadas Legislación
Situación Actual Situación Futura
Certeza, Confiabilidad y Precisión en el Análisis realizado sobre el equipo de cómputo motivo de estudio.
Malas Prácticas Forenses.
Metodología en Informática Forense aplicada por un Perito en Informática
Figura 1.3.- Representación Esquemática de la Intervención Pericial en Informática Forense [Fuente propia]. 11
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Bajo el enfoque de la figura 1.2, se observa que la aplicación de la Informática forense se encuentra apoyada por nuestra legislación; siendo que la sociedad en general rara vez espera los cambios legislativos para modificar sus conductas, más bien ésta y su realidad concreta suelen estar varios pasos delante de legisladores y juristas. Si a esta situación habitual sumamos el hecho de que la informática interactúa con la sociedad a velocidades exponenciales en lugar que las lineales de las ciencias jurídicas, nos encontraremos ante la cruda verdad de que, de no hacerse algo de manera inmediata, nos hallaremos cada día más lejos de la verdad de las conductas que pudieran resultar incriminables en defensa de los valores reconocidos como protegibles por la sociedad que ampara al orden jurídico o que éste debe intentar salvaguardar [Cámpoli, 2007].
Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los esquemas tradicionales de interacción social y ofrecen nuevas formas de relación interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el hecho de que además sirven como medios de comisión de delitos; es aquí, en donde resalta la importancia de aplicar una metodología que proporcione a la autoridad una valoración técnica que sea totalmente confiable.
12
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1.2.2. Descripción del procedimiento básico en informática forense. Las etapas que se describen a detalle a continuación tienen como base las metodologías de informática forense y procedimientos para la obtención de evidencia digital, las cuales están consideradas dentro de algunas guías y metodologías en informática forense y serán descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del presente proyecto de Tesis.
Un análisis en informática forense para que pueda ser válido ante una instancia judicial del orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final del proceso de análisis forense informático. A continuación, se describen las etapas de la metodología básica aplicada al peritaje informático:
Búsquedas Filtros Línea del Tiempo Visualización de Archivos
Presentación
Interpretación de datos obtenidos.
Análisis
Esta etapa busca mantener la integridad de la evidencia, la cual este caso particular es muy frágil. Imagen bit a bit de la información, motivo de estudio (copia idéntica).
Preservación Adquisición
Descripción a detalle de cada elemento de estudio.
Identificación Planteamiento del Problema
Se presenta la evidencia final obtenida, un registro detallado y en palabras simples.
Se identifica al elemento cuestionado, equipo comprometido o Intrusión realizada.
Figura 1.4 Representación Esquemática del Proceso de Investigación [Fuente propia].
13
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En la figura anterior, el ―Proceso de Investigación‖, es representado como una escalera en donde los pasos o etapas son secuenciales y ascendentes estructurada de tal forma que conforma, una exhaustiva y rigurosa investigación, garantizando un adecuado tratamiento de las pruebas, reduciendo de esta forma la probabilidad de errores creados por improvisaciones, careciendo de metodología alguna y otros peligros potenciales. Este proceso es aplicado en las investigaciones de carácter penal para una intervención pericial.
1.
Planteamiento del Problema.- El planteamiento del problema de la investigación es
la delimitación clara y precisa del objeto de la investigación que se realiza por medio de preguntas, lecturas (para el caso de archivos ―logs‖ o bitácoras), encuestas pilotos, entrevistas, etc. En esta etapa cabe tener presente el siguiente pensamiento ―Es más importante para la ciencia, saber formular problemas, que encontrar soluciones‖ (Albert Einstein).
La función del planteamiento del problema consiste en revelarle al perito investigador si su proyecto de investigación es viable, dentro de sus tiempos (considerando y matizando que cuando existen personas detenidas por algún acto ilícito, la premura es un factor determinante) y recursos disponibles.
2.- Identificación.- Tiene como fin la localización de las fuentes de información de una manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que tienen que hacerse: ¿Qué marca, modelo y características del hardware tiene el equipo o dispositivos motivo de estudio? ¿El equipo se encuentra encendido o apagado?
14
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Si el equipo se encuentra encendido, identificar el Sistema Operativo, características técnicas (versión del Sistema Operativo, cantidad de memoria RAM, tipo de microprocesador), dirección IP, MAC address (Media Access Control o control de acceso al medio). Ubicar las evidencias e indicios en el sistema - equipo comprometido o vulnerado. Resguardante del equipo. 3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento) o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la información obtenida de la fase de identificación y tiene como objetivo obtener la imagen (copia bit a bit) de la evidencia digital e información que será necesaria para la fase de análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es decir, evitar en todo momento que sea modificada la evidencia por la manipulación del software o hardware, por consiguiente es necesario tomar las medidas de seguridad necesarias para mantener aislado en lo posible el equipo a inspeccionar.
Dentro de la adquisición de la evidencia digital, el procedimiento será centralizado principalmente en mantener la técnica apropiada para la informática forense, lo anterior para tener la certeza de que la evidencia adquirida será aceptada como prueba en un procedimiento legal, teniendo la posibilidad de ser duplicada y si es necesario que esta pueda ser analizada por terceras personas. A continuación se listan algunos aspectos que son indispensables en la fase de adquisición de la evidencia:
Evaluar y documentar el lugar del incidente (planimetría, fotografía, croquis de conexiones, etc.). Manejo adecuado de la documentación y evaluación. 15
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Etiquetar y embalar adecuadamente la evidencia para que no sean alterados. ¿Metodología empleada para documentar el material motivo de estudio? 4.- Preservación de la evidencia. Busca mantener la integridad de la evidencia desde su obtención hasta la fase de presentación. Es difícil demostrar que la evidencia que dejo la persona que cometió la falta o el delito no fue alterada por las personas que se encontraban en el lugar de los hechos y que el perito en informática forense que recopilo u obtuvo la información lo hizo de una manera adecuada y sin alteración alguna.
En la preservación se integra la cadena de custodia que es un elemento clave durante todo el proceso de la informática forense, que ayuda de manera importante a dar valides y sustento al hecho ocurrido ante cualquier autoridad. Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc.
Esto último es útil, para el perito en informática forense porque se les hace difícil a los jueces discutir con éxito la integridad de la evidencia digital presentada.
Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser analizado, esta huella digital es un valor numérico calculado que resume una cantidad de información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del original. Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1. 16
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Otro elemento de ayuda para mantener la integridad de la evidencia digital es el uso de equipos y herramientas que no permitan la escritura en la evidencia o copia digital obtenida (bloqueadores de escritura), así como el trabajar única y exclusivamente sobre la imagen de la evidencia digital (copia idéntica bit a bit del original, por ejemplo la imagen de un disco duro o de una memoria USB). 5.- Análisis de la evidencia.- Se refiere a la interpretación de los datos obtenidos y a la colocación de estos en un formato lógico y útil, proporciona la evidencia que se busca y está en función de las habilidades del perito en informática forense. La fase de análisis debe documentarse en todas sus partes y seguir un método científico que permita independientemente de la metodología utilizada por el perito en informática forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado obtenido del análisis es el correcto. Es decir: Se debe extraer la información, procesarla e interpretarla. Extraerla producirá archivos binarios. Procesarla generará información entendible. Interpretarla es la parte más importante del proceso. El proceso debe poder rehacerse y producir el mismo resultado.
6.- Presentación y documentación de los resultados. Está enfocada a la creación final de un documento o un reporte para presentar la evidencia final obtenida, debe contener las conclusiones a detalle de la investigación y análisis. La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a manera de que sea entendible para cualquier lector, conteniendo anexos a manera de ilustrar a la autoridad competente. Lo anterior se resume como:
En esta etapa se presentan los resultados obtenidos a la empresa, abogados, autoridad competente, etc. 17
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La aceptación de la misma dependerá de: Forma de presentación. Antecedentes y calificación de la persona que realizó el análisis. La credibilidad del proceso que fue utilizado para la preservación y análisis de la evidencia. Con el propósito de obtener la mayor cantidad de información necesaria para realizar el proceso forense y dar pie a la integración de una metodología se realizó un análisis del modelo de informática forense, el cual se muestra en las figuras 1.5 y 1.6.
Etapa de Identificación.
Etapa de Obtención.
Etapa de Análisis.
Etapa de Presentación.
Figura 1.5 Modelo básico de la informática forense [Fuente propia].
Etapa de Identificación.
Etapa de Análisis.
Etapa de Obtención.
Etapa de Presentación.
Etapa de Documentación.
Figura 1.6 Modelo de informática forense complementario [Fuente propia].
18
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Considerando lo anterior, ahora se presentará un panorama general de los subsistemas a obtener, con el fin de que el lector pueda identificar los elementos esenciales que componen un Sistema de Análisis Forense Informático en Redes y Equipos de Cómputo Personal.
Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes y Equipo de Cómputo [Fuente propia].
De la figura anterior, se observa que el primer elemento a obtener, es el contar con una ―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖, de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o Dictamen Informático. 19
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Resumen del Capítulo: En este capítulo, se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis; además, de describir los conceptos principalmente usados en el desarrollo del trabajo de Tesis, marcando la diferencia entre Perito, Peritaje e Informática Forense, el primer concepto hace referencia a un experto en una ciencia o arte cuya actividad es vital en la resolución de conflictos judiciales, el segundo concepto nos habla del estudio en sí, que realiza un perito bajo un planteamiento especifico y el tercer concepto nos refiere que se trata de una disciplina de las Ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso bajo estudio, como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. Por último, se presenta un modelo del Sistema de ―Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal‖, que se desea obtener.
Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis, para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente referido, para establecer sus ventajas y desventajas, para de esta manera hacer un diagnóstico de las mismas y entonces definir la posible necesidad de proponer una metodología, así como la justificación de la misma.
20
Ing. Arturo Palacios Ugalde. Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 2.Identificación y Análisis de la Situación Actual.
21
Ing. Arturo Palacios Ugalde. Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 2. Identificación y Análisis de la Situación Actual. En el capítulo anterior, se presentó el marco conceptual y contextual que se manejará en el Proyecto de Tesis, también se dió una descripción del procedimiento básico en informática forense, por último se mostro, el modelo del Sistema de Análisis Forense Informático, en Sistemas de Redes y Equipos de Cómputo Personal que se desea obtener, ahora se presentará un riguroso análisis de la situación actual, considerando las metodologías y estándares actuales.
2.1 Antecedentes. En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto al desarrollo y aplicación de metodologías al m
Related documents
Metodologia para el analisis forense informatico en sistemas de redes y equipos de computo
275 Pages • 54,036 Words • PDF • 5 MB
Gane - Searson - Analisis Estructurado de Sistemas
123 Pages • PDF • 14.5 MB
Tesis UAI en el area de la Psicop. Forense
80 Pages • 15,446 Words • PDF • 2.2 MB
Metodologia de la Investigacion para el area de la salud
190 Pages • 78,123 Words • PDF • 4.4 MB
Schlemenson - Analisis organizacional en Pymes y empresas de familia
47 Pages • 15,619 Words • PDF • 1.2 MB
temario cómputo forense y estaganografía
4 Pages • 450 Words • PDF • 4.1 MB
Estrategias de Redes Sociais para Freelancers
39 Pages • 4,860 Words • PDF • 1.7 MB
archmodels computadores y equipos de sonidos
20 Pages • 2,145 Words • PDF • 3.4 MB
11 Especificación y Selección de Equipos
111 Pages • 6,151 Words • PDF • 5.3 MB
los sistemas de escritura en el desarrollo del niño
192 Pages • PDF • 21.5 MB
00_MANUAL EQUIPOS de 10
7 Pages • 1,508 Words • PDF • 277.9 KB
Metodologia de Exegese Biblica - Sandra
44 Pages • 11,440 Words • PDF • 315.6 KB