lunes, 9 de junio de 2014

Otras aplicaciones para análisis forense


A continuación se enunciaran otras aplicaciones que no pueden ser tan robustas como las mencionadas en la entrada pasada pero que igualmente serán de mucha utilidad para recopilar todas las pruebas necesarias en un caso de delitos informáticos.


  • Historian 1.4. Analizador del Navegador 
Esta pequeña herramienta se puede utilizar para encontrar los archivos que tienen corrientes alternas                 ADS(Alternate Data Stream).  El ADS es una tecnología usada para almacenar los datos adicionales relacionados con archivos, y tiene muchas aplicaciones al lado del sistema.
Esta herramienta encontrará tan solamente esas entradas del ADS que sean del tipo de usuario; "alternate", que es utilizada a veces por el spyware, el malware y los virus. 

  • Disk Investigator. Analizador de archivos 
Disk Investigator le ayuda a descubrir todo lo que está ocultado en su disco duro. Puede también ayudarle a recuperar datos perdidos. Muestra el verdadero contenido del disco puenteando el sistema operativo y directamente leyendo los sectores crudos de la impulsión. Vea y busque los directorios, los archivos, los cluster, y los sectores del sistema. Verifique la eficacia del archivo. Recupere los archivos previamente suprimidos. 
  • Live View 0.6. Analisis del Sistema 
Live View es un instrumento forense gráfico basado en Java que crea una máquina virtual VMware de una materia prima (dd-estilo) imagen de disco o disco físico. 
Esto permite al examinador forense "boot up" la imagen o disco y ganar un interactivo, la perspectiva de nivel del usuario, todos sin modificar la imagen subyacente o disco. 
Como todos los cambios hechos al disco son escritos en un archivo separado, el examinador puede volver al instante todos su cambios en el estado prístino original del disco. 
  • Regripper 2.02 Analisis de Registro 
RegRipper fue creado y mantenido por Harlan Carvey. RegRipper, escrito en Perl, es el instrumento más rápido, más fácil, y mejor para el análisis de registro en exámenes forenses. RegRipper ha sido descargado más de 2000 veces y usado por examinadores en todas partes. 
  • Systemreport 2.54. Analisis de la PC 
Systemreport establece la información sobre el hardware, el sistema operativo y el software instalado. 
  • USB-History R1. Analisis del USB 
USB-History es una herramienta forense del commandline usada para remontar la evidencia de la actividad del USB en el registro de Windows. Puede ser utilizada para recopilar información tal como la última vezde su utilizacion o de su reproduccion mp3 así como la letra de su unidad designada. 
  • Windows File Analyzer 1.0.0. Analisador de Thumbnail
Esta aplicación descifra y analiza algunos archivos especiales usados por Windows OS. En estos archivos la información es interesante para el análisis forense. Cada resultados de análisis pueden ser imprimidos en una forma fácil de usar. Es diseñado en Interfaz de Documento Múltiple. 

en No hay comentarios:

Aplicaciones para hacer análisis forense


En esta ocasión se enunciaran una serie de aplicaciones que se utilizan para el análisis forense, todo con el fin que sirvan de apoyo para el estudio de casos que tengan que ver con delitos informáticos.

  • AUTOPSY

Autopsy® es una plataforma de análisis forense digital e interfaz gráfica para el Sleuth Kit® y                 otras herramientas de análisis forense digital. Puede ser utilizado por la policía, el ejército y los       examinadores corporativos para investigar lo ocurrido en un ordenador. 
Características de Autopsy

A continuación se muestra la lista de características de la autopsy.
  • Análisis de la línea de tiempo: muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad.
  • Búsqueda por Palabra: módulos de extracción de texto e índice de búsquedas que permiten encontrar archivos mencionando términos específicos o patrones de expresiones regulares.
  • Artefactos Web: Extrae la actividad web de los navegadores más habituales para ayudar a identificar la actividad del usuario.
  • Análisis del Registro: Usos RegRipper para identificar los documentos usados ​​recientemente y dispositivos USB.
  • Análisis de archivos LNK: Identifica atajos y accesos a documentos
  • Análisis de correo electrónico: Analiza los mensajes de formato MBOX, como Thunderbird.
  • EXIF: Extractos de geo ubicación y la información de los archivos JPEG de la cámara.
  • Clasificación de tipo de Archivo: agrupa los ficheros por su tipo para encontrar todas las imágenes o documentos.
  • Soporte para reproducción: Ver vídeos e imágenes en la aplicación y no requiere un visor externo.
  • Visor de miniaturas: muestra miniaturas de las imágenes que te ayudarán ver rápidamente las imágenes.
  • Análisis del sistema de archivos robusto: Soporte para sistemas de archivos comunes, incluyendo NTFS , FAT12 , FAT16 , FAT32, HFS + , ISO9660 (CD- ROM) , Ext2 , Ext3 y UFS de el Sleuth Kit .
  • Filtrado de Hash Set: Filtrado de archivos buenos conocidos usando NSRL y la bandera de los archivos malos conocidos usando hashsets personalizados en HashKeeper , md5sum y formatos EnCase .
  • Etiquetas: Archivos de etiquetas con los nombres de etiquetas arbitrarias, tales como ” marcador ” o ” sospechoso”, y añadir comentarios.
  • Extracción de Cadenas Unicode: cuerdas Extractos de espacio no asignado y los tipos de archivos desconocidos en muchos idiomas ( árabe, chino, japonés , etc.

  • OSFORENSICS
OSForensics de PassMark es una aplicación que incluye un conjunto de utilidades para hacer análisis forenses. Se distribuye como versión gratuita o comercial (499$). La primera tiene algunas limitaciones, como el número de casos (3) que puede gestionar o el número de ficheros (200.000), que puede indexar, además de no estar permitido su uso para fines comerciales.

Las características más interesantes son:

1.- Búsqueda de avanzada de ficheros en base atributos, fecha de creación o modificación y tamaños, que son mostrados en un listado o en imágenes en miniatura. También permite hacer una línea de tiempo, que más bien es una gráfica de barras por fechas a la que no veo demasiada utilidad.

2.- Creación y búsqueda en un índice, para optimizar la búsqueda de cadenas de texto en el disco duro analizado. Es una buena aproximación pero es realmente lento.
3.- Actividad reciente, consultando MRU, USB conectados, conexiones Wifi y páginas vistas, pese que a que conceptualmente sería lo ideal en general existen tantos datos que resulta prácticamente imposible trabajar con la información adquirida. La línea de tiempo "gráfico de barras", tampoco sirve de nada en este caso.
4.- Ficheros eliminados, que son consultados de la tabla $MFT,  permite técnicas de carving, pero no deja seleccionar por extensión o crear nuevos tipos de fichero en base a cabeceras, por lo que se queda algo corto.
5.- Búsqueda de ficheros sin extensión o con cabeceras que no corresponden a la extensión, que en algún caso en concreto puede ser útil y en la gran mayoría y en las pruebas que he hecho, genera demasiados falsos positivos.
6.- Visor de memoria con el que hacer volcados de un proceso en concreto, en caso de que la herramienta sea ejecutada en un sistema arrancado. No soporta el análisis de memoria sobre un fichero volcada con otra aplicación.
7.- Visor raw de un disco/imagen y navegador de archivos, que permiten la búsqueda manual de cadenas y añadir marcadores, o por el contrario con "File System Browser", es posible recorrer la estructura de directorios de una imagen o una partición.
8.- Obtención de contraseñas del navegador, hashes ntlm/lm, búsqueda en una unidad y uso de tablas rainbow. También se queda algo pobre en comparación a otras utilidades de este estilo, como el clásico Cain&Abel.
9.- Información del sistema, ya sea usando las propias herramientas de Windows (net, at, getmac, ipconfig, route, sc...) o sus propias funcionas, obtiene los típicos datos de hardware y servicios, procesos, puertos, rutas, etcétera. 
10.- Verificación y creación de los hashes más conocidos para una imagen de un disco, unidad o texto.
11.- Permite el uso de base de datos NSRL de hashes para verificar la integridad de un sistema, aunque la versión gratuita no permite importar de un tercero.
12.- Creación de firmas de un directorio que posteriormente puede ser comparado para verificar su integridad.
13.- Reinicio de unidad para propósito forense, que elimina los datos que contenga de forma segura y verifica que no contiene errores.
14.- Creación de imagen forense, no permite especificar demasiadas opciones: que hacer en caso de error o si se crearán en varios directorios a la vez, hashes en el vuelo o el formato de la imagen.
15.- Montaje de imágenes de disco en unidades para su análisis. 
16.- Copia de directorios "forense", es decir manteniendo sus atributos y fechas como en el original.
17.- Instalación en un pendrive para su uso de forma portable.



Créditos de la información a: securitybydefault, welivesecuritysolis.





en No hay comentarios:

ESTRATEGIAS PARA LA RECOLECCIÓN DE PRUEBAS


En esta ocasión se procederá a dar unos tips y estrategias para la recolección de las pruebas en una escena de delito informático.

ESTRATEGIAS PARA LA RECOLECCIÓN DE PRUEBAS ELECTRÓNICAS

Llevar un orden de recopilación de información

Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos:

• Buscar la evidencia.

Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado de verificación que puede ayudar en el proceso de recolección, comprobando que todo lo que se está buscando este en el sistema.

• Determinar la relevancia de los datos.

Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso, para estar seguro, se debe recopilar toda la información necesaria y no excluir ninguna prueba que tenga afinidad con el caso reportado, es necesario trabajar rápido y no perder tiempo recogiendo información que no será de utilidad
para el caso.

• Determinar la volatilidad de la información.

Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información (un dispositivo volátil es el que funciona en un instante determinado), por lo cual se debe actuar de manera ágil mientras el dispositivo este funcionando, por lo cual se recomienda hacer una lista de elementos con prioridad de apagado para conservarlos activos mientras dure la indagación.

• Eliminar la interferencia exterior.

Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación, en algunos casos los atacantes pueden instalar un interruptor que puede borrar evidencia una vez el equipo se desconecta de la red o de Internet.

• Recoger la evidencia.

Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea, recuerde que existen programas libres y propietarios que ayudan a esta tarea. Examine los elementos que ya ha recogido anteriormente y revise que elementos en su listado pueden faltar para que inspeccione nuevamente la escena.

• Documentar todas las acciones realizadas.

En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el proceso de recolección de evidencia, incluir toda la justificación que comente los procesos de recolección.

Información tomada de la unidad 2.1. Informática Forense. UNAD.
en No hay comentarios:

Fases informática forense 2


Continuamos con las fases de la informática forense:

Fase de Validación y preservación.

Aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación. En esta fase, es imprescindible definir los métodos adecuados para el almacenamiento y etiquetado de las evidencias.

Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso:

Etapa 1: Copias de la evidencia.

Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de
almacenamiento como CD o DVD etiquetando la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “Copia A”, “Copia B” para distinguirlas claramente del original.

Etapa 2: Cadena de custodia

Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias 
desde que se tomaron hasta su almacenamiento.



Información tomada de la unidad 1.1. Informática Forense. UNAD.

en No hay comentarios:

Etapas de la Informática Forense.


Ahora se hablara de las etapas que tiene la informática forense, para así conocer  mejor el procedimiento de la informática forense en un caso de estudio.

Etapas de la Informática Forense.

Identificación

Estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disquette o un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.

Validación y preservación de los datos adquiridos

Con el elemento identificado se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación.

Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada, es decir, crear un código que solamente personal calificado y legalmente autorizado pueda
manipular para proteger el elemento a ser analizado; esto con el fin de establecer una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.

Análisis y descubrimiento de evidencia

Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles.

El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información. Una actividad ilícita reportada puede ser el borrado la información que puede comprometer a una persona o información que pudo haber sido ocultada o
almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash drive. El análisis forense está orientado por un caso en particular y aquí es necesaria la información que provee quien solicita la investigación forense.

En el análisis forense se pueden buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, imágenes, mensajes de correo electrónico, actividad desarrollada en internet, a diferentes niveles palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.

En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo electrónico, etc.

Informe

Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.

Información tomada de la unidad 1.1. Informática Forense. UNAD.
en No hay comentarios:

Qué es el delito informático



Hoy se hablara sobre los delitos informáticos y su clasificación para ir conociendo de mejor manera porque la informática forense es una parte fundamental en el estudio de casos de delitos a nivel de informática.

Qué es el delito informático

Para comprender porque la informática forense ha adquirido importancia en la actualidad debemos comprender donde se origina el delito.

Definición de Delito Informático

“Delincuencia informática es todo Acto o conducta ilícita e ilegal que pueda ser considerada como Criminal, dirigida a alterar, socavar, destruir, o manipular, cualquier sistema informático o alguna de sus partes componentes, que tenga como finalidad causar una lesión o poner en peligro un bien jurídico Cualquiera”

Los delitos informáticos son “toda conducta que revista características delictivas, es decir, sea típica, antijurídica y culpable, y atente contra el soporte lógico de un sistema de procesamiento de información, sea sobre programas o datos relevantes, a través del empleo de las tecnologías de la información, y el cual se
distingue de los delitos computacionales o tradicionales informatizados”.

Clasificaciones del delito informático

Los delitos informáticos se pueden clasificar en los siguientes grupos de delitos:

Fraudes cometidos mediante manipulación de computadores: Entre estos se encuentran la manipulación de datos de entrada y salida y la manipulación de programas. En cada caso, lo que se trata es de colocar datos falsos en un sistema u obtener los datos del sistema en forma ilegal.

Falsificaciones Informáticas: En este punto se trata de usar los computadores como elemento para falsificar entradas, dinero, tickets o cuentas bancarias. 

Daños a Datos Computarizados: Aquí se ubican los virus, las bombas lógicas, los gusanos, accesos no autorizados, etc. Se trata, en general, de programas o acciones que de una u otra forma dañan la información de un sistema determinado.

Información tomada de la unidad 1.1. Informática Forense. UNAD.

en No hay comentarios:

Qué es la Informática forense


Buenos días en el día de hoy se hablara sobre la informática forense, para que se tenga una mayor comprensión del tema es conveniente empezar con su definición.

Qué es la Informática forense 

La Informática forense es una nueva disciplina dedicada a la recolección de pruebas digitales desde una maquina computacional para fines judiciales mediante la aplicación de técnicas de análisis y de investigación. La aparición de la informática forense como una disciplina se remonta a 1989 con la creación de la primera "ciencia de la computación forense" en la Ley Federal de los EE.UU.

La utilidad de la informática forense para las investigaciones judiciales son:

         • Litigios civiles en los casos de divorcio y el acoso.
         • Evidencia de malversación de fondos, fraude o robo sobre propiedad intelectual.
         • Pruebas en la discriminación por edad, sexo, raza o por despido injustificado
         • Investigaciones de compañías de seguros cuando se exijan pruebas relativas al seguro
         • Fraude, homicidio culposo
         • Casos relacionados con seguros y reclamaciones
         • se utiliza en la recuperación de información que haya sido borrada, cifrada o dañado.

Información tomada de la unidad 1.1. Informática Forense. UNAD.
en No hay comentarios:
Suscribirse a: Entradas (Atom)