Idiomas
Páginas
Jurídico
POTENCIALIDADES DEL SOFTWARE ENCASE
PARA EL ANÁLISIS FORENSE.
MAGDA LILIANA MALDONADO
CARLOS ALBERTO MORENO
EMERSON CÁCERES HERRERA
UNIVERSIDAD DE INVESTIGACIÓN Y DESARROLLO “UDI”
ESPECIALIZACIÓN SEGURIDAD INFORMÁTICA
BUCARAMANGA
2012
1
POTENCIALIDADES DEL SOFTWARE ENCASE
PARA EL ANÁLISIS FORENSE.
MAGDA LILIANA MALDONADO
CARLOS ALBERTO MORENO
EMERSON CÁCERES HERRERA
Trabajo de Monografía para optar al título de
Especialista en Seguridad Informática
Director:
INGENIERO FERNANDO BARAJAS
UNIVERSIDAD DE INVESTIGACIÓN Y DESARROLLO “UDI”
ESPECIALIZACIÓN SEGURIDAD INFORMÁTICA
BUCARAMANGA
2012
2
Nota de Aceptación .
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
Firma Presidente del Jurado .
______________________________________
Firma del Jurado .
______________________________________
Firma del Jurado .
Bucaramanga, Julio de 2012
3
Contenido
1. INTRODUCCIÓN 15
2. PLANTEAMIENTO DEL PROBLEMA 17
3. OBJETIVOS 19
3.1. Objetivo General 19
3.2. Objetivos Específicos 19
4. JUSTIFICACIÓN 20
5. MARCO DE REFERENCIA 22
5.1. ANTECEDENTES 22
5.2. MARCO TEÓRICO 30
5.2.1.Evidencia Digital…………………………………………………... 31
5.2.2. Clasificación de la evidencia digital……………………………. 32
5.2.3. Manipulación de la evidencia digital…………………………….. 35
5.2.4. Gestión de la Evidencia digital…………………………………....36
5.3 MARCO TECNOLÓGICO 39
5.4 MODELOS 42
5.4.1. CARACTERÍSTICAS DE EnCase………………………………..44
6. METODOLOGÍA 48
6.1 PLANEACIÓN DEL TRABAJO 48
6.2 APLICACIÓN DE TÉCNICAS DE INVESTIGACIÓN 49
6.3 ANÁLISIS DE LA INFORMACIÓN 50
6.4 ESTRUCTURACIÓN DEL MANUAL 50
6.5 VALIDACIÓN DE LA INFORMACIÓN 51
6.6 AUTORIZACIÓN DEL MANUAL 51
4
6.7 DESARROLLO 51
6.7.1. Configuración de encase. 52
6.7.2. Encase en red 56
6.7.3.Caracteristicas de EnCase 58
6.7.4. Archivos de copias de seguridad. 63
6.7.5. Creación de un nuevo caso. 65
6.7.6. Guardar el caso. 67
6.7.7. Agregar dispositivos de evidencia. 68
6.7.8. Atributos del dispositivo de evidencia. 70
6.7.9. Inicio de la verificación de la información comprometida. 71
6.7.10. Creación de la imagen forense 72
6.7.11. Adicionar la imagen al caso 73
6.7.12. Cálculo de sumas de verificación (Hashing) 79
6.7.13. Recuperación de archivos eliminados 84
6.7.14. Técnicas avanzadas de búsqueda 90
6.7.15. Crear palabras claves a partir del encabezado. 94
6.7.16. Reportes 98
6.7.17. Personalizar la presentación de los valores del reporte 102
6.7.18.Exportando Reportes en formato RTF y HTML 104
6.7.19. Condiciones y consultas 106
7 CONCLUSIONES Y RECOMENDACIONES 112
8 REFERENCIAS 113
5
Lista de figuras
Figura 1. EnCase Forensic 39
Figura 2. Disco duro 40
Figura 3. Tableau TDA5-ZIF 41
Figura 4. Bloqueo de discos duros 41
Figura 5. Adaptador puentes Tableau - Bloqueo de discos duros 42
Figura 6. EnCase – Modo Acquisition 52
Figura 7. Ubicación del archivo de seguridad Default.nas 53
Figura 8. Ubicación del archivo de seguridad SAFE.SAFE 53
Figura 9. Herramienta opciones 54
Figura 10. Archivos correspondientes a los certificados de EnCase 55
Figura 11. Direccionar un equipo al servidor de EnCase 56
Figura 12. Acerca de EnCase 58
Figura 13. Interfaz gráfica de EnCase 59
Figura 15. Panel de reportes o Report Panel 60
Figura 14. Panel de directorios o árbol de evidencia 60
Figura 16. Panel vista o Panel View 62
Figura 17. Panel de filtros 62
Figura 18. Control de Backups 63
Figura 19. Crear la estructura de directorio 65
Figura 20. Confirmar los directorios de las carpetas para el caso 66
Figura 21. Guarde el nuevo archivo de caso 67
Figura 22. Agregar dispositivo para adicionar un archivo de evidencia 68
Figura 23. Seleccionar dispositivo que se adicionará al caso 69
Figura 24. Editar el nombre de la evidencia. 69
Figura 25. Indicar atributos 70
Figura 26. El archivo de evidencia se agrega al caso 71
Figura 27. Información contenida en el dispositivo de evidencia 72
Figura 28. Creación de Imagen 73
Figura 29. Propiedades de la imagen forense 74
6
Figura 30. Progreso de adquisición de la imagen 75
Figura 31. Ventana de estado 76
Figura 32. Ventana de verificación 77
Figura 33. Vista Reporte 78
Figura 34. Seleccionar todo los archivos para el hash 80
Figura 35. Calculando los valores hash 81
Figura 36. Ventana de estado de generación de Hash 82
Figura 37. Visualizando archivos analizados mediante hashing 83
Figura 38. Modificar la información de zona horaria 85
Figura 39. Configurar el archivo de evidencia en Hora Local 86
Figura 40. Recuperación de archivos 87
Figura 41. Exportar los archivos seleccionados 88
Figura 42. Características de la exportación 88
Figura 43. Ubicación de los archivos exportados 89
Figura 44. Informe final del destino de los archivos exportados 89
Figura 45. Informe de exportación de archivos 90
Figura 46. Encabezado de una imagen en los clúster no asignados 94
Figura 47. Creación de palabras claves. 95
Figura 48. Términos de búsqueda 96
Figura 49. Opciones de búsqueda 97
Figura 50. Palabra clave creada 97
Figura 51. Resultados de la búsqueda avanzada 98
Figura 52. Marcador al disco físico 99
Figura 53. Creación de la carpeta con la información del dispositivo. 100
Figura 54. Información del dispositivo Físico 101
Figura 55. Informe del caso 102
Figura 56. Modificación de la presentación de los archivos 103
Figura 57. Reporte de la investigación 104
Figura 58. Almacenamiento del reporte exportado 105
Figura 59. Creando nueva carpeta para almacenar condiciones 107
Figura 60. Creando una nueva condición en la nueva carpeta 108
7
Figura 61. Cuadro de dialogo nueva condición 108
Figura 62. Crear criterio de condición 109
Figura 63. Filtro para archivos con extensión jpeg 110
Figura 64. Nueva condición creada 110
Figura 65. Ejecución de la condición de búsqueda 111
8
Lista de Tablas
Tabla 1. Antecedentes - fraude empresarial..................................................23
Tabla 2. Antecedentes - Denuncia en el departamento de sistemas.............24
Tabla 3. Antecedentes - Recuperación y análisis de información................26
Tabla 4. Antecedentes - Manipulación de material probatorio.......................27
Tabla 5. Antecedentes - Peritaje en Paraguay..............................................29
Tabla 6. Símbolos para búsqueda de palabras de forma avanzada..............92
9
RESUMEN
El software EnCase es una sistema de computación forense reconocido a
nivel mundial producido y licenciado por Guidance Software, es por esta
razón que no es sencillo para el estudiante encontrar información en internet
o en medios impresos que le permitan avanzar de forma ágil en el
aprendizaje acerca del uso de éste.
Este trabajo proporciona al estudiante un panorama amplio de las principales
potencialidades de EnCase dejando a disposición de estos un material
sencillo, de fácil acceso y uso, con ejemplos prácticos que se realizaron
usando como evidencia un dispositivo Usb en el cual se desarrolla desde la
creación de un hash que le permitirá darle validez jurídica a la evidencia
hasta la recuperación de archivos eliminados que son claves para la
investigación, esta información es fundamental para llevar a cabo el manejo
de este software y le dará un panorama amplio de conocimiento que le
permita realizar sus propios avances.
La recopilación de la información acerca de EnCase ha sido tomada de
diversas fuentes incluyendo fuentes en Internet que permiten conocer la
importancia que tiene este software en el ámbito jurídico a nivel mundial y la
confianza que representa para los investigadores trabajar con ésta
herramienta, fuentes impresas de carácter especializado y tres fuentes
humanas que nos han compartido sus conocimientos adquiridos a través de
muchos años de experiencia profesional en el ámbito de la investigación y la
informática forense pertenecientes específicamente como peritos
informáticos, el actual jefe de delitos informáticos de la DIJIN y el actual jefe
de delitos informáticos de CTI seccional Bucaramanga pertenecientes a la
policía nacional y la fiscalía general de la nación respectivamente.
10
GLOSARIO
Algoritmo MD5, Búsqueda en datos electrónicos, Clonación de Discos Duros,
Cadena de Custodia, Delito informático, Evidencia, Evidencia Digital,
Función Hash, Imagen Forense, Sistema de archivos. : Un sistema de
archivos define cómo se organizan los datos (archivos con sus metadatos,
carpetas y sus metadatos, espacio libre) en una partición. Hay varios tipos
diferentes de sistemas de archivos, unos procedentes del mundillo
Unix/Linux y otros no. Ejemplos de sistemas de archivos comúnmente
utilizados en Unix/Linux son ext2, ext3, reiserfs y xfs.
Su función es decirle al ordenador el tipo de fichero que es y qué se debe
hacer con él cuando es abierto o ejecutado. Cuando el sistema operativo
detecta que un archivo es ejecutado, el registro es consultado donde
están almacenados una lista de tipos de fichero con sus extensiones.
Esta lista contiene las acciones posibles para ese archivo en particular, el
software que se supone que tiene que abrir el fichero, y donde está
localizado ese software en el ordenador.
11
1 INTRODUCCIÓN
El avance de la tecnología y la llegada de la era de información han
generado un gran impacto a nivel mundial penetrando tanto en nuestras
vidas que esta se ha convertido en un producto fundamental de consumo.
Actualmente en nuestro país que es considerado un país en desarrollo
existen 3,2 millones de conexiones a internet según un informe presentado
por el Ministerio de Tecnologías de la Información y las Comunicaciones
(TIC), a nivel mundial las cifras son mucho más grandes, según las
estadísticas de la Comisión de Regulación de Telecomunicaciones (CRT),
estas conexiones en Colombia para el 2009 representan el 7,3 por ciento de
las conexiones de América Latina y el 0,46 por ciento del mundo. Teniendo
en cuenta que una conexión puede ser usada en un hogar por varias
personas esta cifra nos muestra la gran cantidad de personas que hay
conectadas a la red de internet enviando y recibiendo información a través de
computadoras o dispositivos móviles
Internet se ha convertido en una fuente de información elemental para todas
las personas por su disposición y fácil accesibilidad, pero a su vez se ha
convertido en un universo de información y un espacio que brinda datos
valiosos de los usuarios a los delincuentes haciendo que las cifras de
Cibercrimen asciendan diariamente, en el ámbito tecnológico se puede
cometer delitos que van desde actos terroristas hasta pornografía infantil o el
acoso conocido comúnmente en este medio como ciberbullying. En el ámbito
de la seguridad informática estas crecientes cifras permiten a los
investigadores tener un amplio campo de exploración, pues al igual que las
grandes cifras de dispositivos usados para conexión a internet también
existen gran cantidad de dispositivos de almacenamiento de información
como Usb, discos duros portátiles, cámaras fotográficas, etc, todos estos con
12
grandes cantidades de información de los usuarios que pueden arrojar
información clave para resolver un caso delictivo.
Teniendo en cuenta las cifras anteriores podemos entender la necesidad de
herramientas que les permitan a los investigadores la toma de evidencia
digital que les permita llevar a cabo sus investigaciones de forma segura, con
la confianza de encontrar evidencia suficiente para esclarecer un caso
delictivo, para ello se han desarrollado herramientas como EnCase, un
software que permiten a los profesionales de la seguridad informática
ejecutar exámenes informáticos delicados y conclusivos. El programa
EnCase soporta un amplio rango herramientas que permiten dar solución a
casos que son un reto constante para los investigadores forenses.
Teniendo en cuenta los altos índices de delitos informáticos cometidos a
diario, el trabajo que esto implica para los investigadores informáticos y la
importancia que tiene el software en este medio a nivel mundial, se considera
de vital importancia el conocimiento de la herramienta EnCase lo que motiva
el desarrollo de una herramienta desarrollada con el objetivo de entregar una
base fundamental en el conocimiento de EnCase y sus potencialidades al
momento de evaluar una evidencia.
13
2 PLANTEAMIENTO DEL PROBLEMA
La Universitaria de Investigación y Desarrollo -UDI-, es una institución que
tiene como propósito formar profesionales integrales con pensamiento
universal y crítico, profesionales que a través de la ciencia y la tecnología,
aporten valor agregado al desarrollo humano, económico y social de la
región y del país, soportados en los objetivos establecidos por la ley y
enmarcados dentro de los estándares de calidad de la Educación Superior.
La UDI en su programa de Especialización en Seguridad Informática busca
ofrecer a los estudiantes escenarios de casos reales que busquen construir
un contexto de aprendizaje práctico alrededor de la inseguridad propia de los
sistemas, para desarrollar un marco de gestión adecuado y coherente con la
información crítica de la organización; de esta manera y con el fin de llevar a
cabo estos propósitos la Universitaria de Investigación y Desarrollo ha
adquirido equipo tecnológico de análisis forenses para el desarrollo de
actividades que mejoren la calidad en el contenido de la misma, por este
motivo y con el propósito de lograr el mayor beneficio posible a este material
es preciso llevar a cabo estudios de los mismos que permitan conocer su
funcionamiento y manejo de forma detallada y de esta forma poder darle un
uso óptimo a estas herramientas.
Una de las herramientas adquiridas por la Universitaria de Investigación y
Desarrollo UDI es el software ENCASE que permite la visibilidad completa de
la red para investigaciones internas, seguridad de la red, descubrimiento
electrónico y cumplimiento de políticas en las empresas y/o en instituciones
gubernamentales; esta herramienta es de última generación pero solo es
manejada por personal especializado, esto se debe a la falta de
14
documentación, información y complejidad que implica el manejo de las
mismas.
La solución que se plantea en este trabajo es el desarrollo de una
investigación que se enfocará en las principales potencialidades que ofrece
el software Encase de forma que se pueda conocer su uso óptimo, indagar a
fondo en las diferentes fuentes de información que proporciona la internet y
los medios impresos a fin de obtener su máxima potencialidad.
Con el objetivo de dar un buen uso de la información recolectada a partir de
la investigación y de acuerdo con los datos recolectados se definen los
parámetros para mejorar la presentación de la información.
Es necesaria la clara documentación y presentación de la información sobre
el uso del software ENCASE adquirido por la Universitaria de Investigación y
Desarrollo, con el propósito de ponerlo a disposición de los estudiantes.
15
3 OBJETIVOS
3.1 OBJETIVO GENERAL
Documentar las potencialidades que ofrece el software ENCASE para el
análisis forense, a partir de una revisión en las diferentes fuentes de
información que proporciona la internet y los medios impresos de sus
características y la formulación de actividades de uso, ofreciendo a las
siguientes cohortes de la Especialización en Seguridad Informática,
información adecuada y pertinente para facilitar el uso de estas
herramientas.
3.2 OBJETIVOS ESPECÍFICOS
Recopilar información acerca de los procedimientos de análisis forense y
el software que los apoya, a partir de una revisión en diferentes fuentes
documentales y entrevistas con personal especializado y capacitado en
su uso.
Organizar la información de manera que sea de fácil acceso a los
usuarios, de acuerdo al material recolectado, con parámetros que faciliten
la consulta de la información.
Documentar el uso del software ENCASE adquirido por la Universitaria de
Investigación y Desarrollo, en la realización de procedimientos forenses,
planteando un conjunto de por lo menos 3 actividades de uso que
muestren sus características.
16
4 JUSTIFICACIÓN
Es una realidad que en nuestra sociedad es necesario adquirir en poco
tiempo ciertas competencias acordes a la alta exigencia competitiva de las
empresas y las condiciones cambiantes del contexto en el cual se
desenvuelven. Para el logro de esto el aprendizaje por medio de la
experiencia es una herramienta muy útil1. En definitiva, el experimento es
una instancia clave del aprendizaje, ya que otorga el conocimiento requerido
para comprender los mecanismos lógicos y empíricos2.
Basados en lo anterior la UDI en su programa de Especialización en
Seguridad Informática busca ofrecer a los estudiantes escenarios de casos
reales sobre el tema por medio de la obtención de herramientas informáticas
de última tecnología como el software EnCase.
EnCase actualmente es el estándar a nivel mundial en computación forense,
es el software más utilizado por investigadores y profesionales de la
seguridad. La policía, el gobierno, los militares y los investigadores
corporativos confían en EnCase para ejecutar exámenes informáticos
delicados y conclusivos. El programa EnCase soporta un amplio rango de
sistemas operativos, archivos y periféricos que son el desafío de los
investigadores forenses diariamente. Como una herramienta seleccionada
por la policía, el programa EnCase ha soportado numerosos desafíos en las
cortes de justicia, demostrando su confiabilidad y exactitud3.
1 Ing. Raúl Santamarina y Lic. Laura Llull. Director y Gerente de Gestión del Aprendizaje de Distance Educational Network Argentina. Revista: Learning review Latinoamérica2 EXPERIENCIA Y SU IMPORTANCIA EN EL PROCESO DE APRENDIZAJE DOMINGUEZ, Federico Daniel Colegio Nuestra Señora de Loreto, Córdoba Profesor Guía: POLO, Sergio Antonio3 http://www.internet-solutions.com.co/EnCase.php Internet solutions
17
EnCase software fue premiado con el prestigioso premio eWEEK por la
excelencia y un grado de 5 estrellas en SC Magazine.
Conociendo la importancia de este software para los estudiantes de la
especialización en seguridad informática de la Universitaria de Investigación
y Desarrollo – UDI - es claro también la importancia del conocimiento y el
buen manejo que se le debe dar a este software para obtener su máximo
potencial y un aprendizaje óptimo.
Debido a la trascendencia que da la Universitaria de Investigación y
Desarrollo –UDI- al uso de herramientas que permitan el desarrollo de
habilidades investigativas a partir del conocimiento adquirido de manera
práctica y teniendo en cuenta la adquisición para este fin de la herramienta
EnCase, es de gran importancia ofrecer documentación precisa de por lo
menos sus principales funcionalidades para entregar una base a los
estudiantes y permitirles de esta manera un avance mucho más eficiente y
eficaz en el proceso de aprendizaje del manejo de esta importante
herramienta. Es necesario recalcar que el uso de este tipo de herramientas
en Colombia aún no es de conocimiento general, es decir, solo personas
especializadas conocen el manejo de estas herramientas debido a la falta de
documentación, información y complejidad que implica el manejo de EnCase,
lo que hace muy difícil el acceso a esta información, siendo este el principal
inconveniente para los principiantes en informática forense realizada con
EnCase.
18
5 MARCO DE REFERENCIA
En el mundo actual la tecnología juega un papel de gran importancia; pues
permite obtener la información necesaria en el lugar y el momento que se
desee. Hoy en día las empresas reconocen la información como su principal
recurso, han comenzado a comprender que ésta no es sólo un subproducto
de la conducción empresarial sino que es la que genera negocios, siendo un
factor crítico para la determinación del éxito o fracaso de las organizaciones.
La capacidad competitiva de las empresas dada la importancia que tiene la
información dentro de los negocios hace prioritario para ellas tomar medidas
para proteger su información estratégica tanto de ataques internos como
externos y a todos los niveles, acoplándose a las tecnologías de seguridad
de la información disponibles y herramientas tecnológicas que permitan la
disponibilidad, integridad y confidencialidad de la misma con el fin de obtener
su mayor provecho.
5.1 ANTECEDENTES
A continuación se presentan antecedentes relacionados con la seguridad
informática y con el uso del software EnCase como medio de ayuda y
solución del casos en informatica forense.
19
ANTECEDENTE – CASO 1
TITULO: Investigación de fraude empresarial
PAÍS: Estados Unidos
AÑO: 2009
EMPRESA: --
DESCRIPCIÓN: Dado que en una investigación, la recuperación de documentos borrados conlleva a despido laboral y
proceso penal.
Una gran empresa multinacional fue acusada de generar informes financieros cuestionables por la Comisión Estadounidense de
Valores y Mercado (Securities and Exchange Commission) y, como consecuencia, una importante firma consultora independiente
realizó una investigación. El objetivo de la investigación consistía en determinar si el Director General de Finanzas (CFO) le
había ordenado al personal que alterara o destruyera ciertas transacciones para que la posición financiera de la compañía pareciera
más favorable. Se empleó EnCase Enterprise para realizar una búsqueda exhaustiva de todos los registros de las computadoras en
la amplia división financiera de la compañía.
Pronto se descubrió que la gerencia le había ordenado al personal que destruyera ciertos documentos clave. No obstante, algunos
empleados no cumplieron totalmente con la orden, lo que permitió una fácil recuperación de los archivos. Todo el proceso se
realizó en secreto, sin afectar las operaciones comerciales ni la productividad. Se recuperó suficiente información para reconstruir
los eventos reales y probar que varios gerentes de alto nivel habían tramado alterar los registros de la compañía. Los empleados
bajo sospecha quedaron cesantes y se iniciaron querellas penales contra ellos. La compañía resultó ilesa.
Tabla 1. Antecedentes - fraude empresarial
20
ANTECEDENTE – CASO 2
TITULO: Investigación de Recursos Humanos. El equipo de investigación utiliza EnCase Enterprise para verificar las denuncias presentadas.
AÑO: 2010
EMPRESA--
DESCRIPCIÓN:
Una gran institución financiera utiliza EnCase Enterprise diariamente para investigar infracciones a las normas de uso de las
computadoras de la empresa. EnCase Enterprise es parte de un proceso utilizado para investigar discretamente y verificar
denuncias de infracciones a las normas de uso de las computadoras, problemas de desempeño y otras infracciones a las normas.
Según cada caso particular, el departamento de Recursos Humanos comunica las denuncias presentadas al equipo de investigación
de la compañía. Luego, los investigadores utilizan EnCase Enterprise para investigar y analizar material inadecuado, abuso de
correo electrónico, mensajería instantánea y otra actividad no relacionada con asuntos comerciales.
EnCase Enterprise captura evidencia, documenta los hallazgos y genera informes con evidencia de respaldo que se envían a las
partes relevantes. Esta información es fundamental para verificar o refutar las denuncias contra los empleados. La solución no sólo
brinda un respaldo verificable de las denuncias, sino que también permite que el proceso de investigación de los empleados sea
discreto y exhaustivo, minimizando la posibilidad de crear una relación hostil con los empleados durante las investigaciones.
Tabla 2. Antecedentes - Denuncia en el departamento de sistemas.
21
ANTECEDENTE – CASO 3
TITULO: Recuperación y análisis de información. El equipo de investigación
de la POLICÍA NACIONAL utiliza EnCase para analizar los equipos
encontrados en un operativo en campamentos de las FARC.
AÑO: 2008
EMPRESA - POLICÍA NACIONAL
DESCRIPCIÓN:
La policía nacional de Colombia recibe los computadores encontrados en el
campamento del guerrillero de las FARC Raúl Reyes, los computadores
fueron extraídos de la zona donde se ubicaba el campamento durante un
operativo llamado Operación FENIX realizado por el EJERCITO NACIONAL,
los computadores detallan información histórica relacionada a las
actividades del grupo guerrillero, incluyendo información que relaciona a las
FARC con el gobierno venezolano de Hugo Chávez y el gobierno ecuatoriano
de Rafael Correa, además de una extensa red de cooperantes en varios
países de Latinoamérica.
Posterior a la entrega de estos computadores la Policía Nacional procede a
realizar las imágenes de los computadores y su respectivo hash para asegurar la
integridad de esta información a partir del momento en que se reciben estas
máquinas. Ante la problemática que se presenta debido a la situación de conflicto
por la que atraviesa el país y con el objetivo de hacer del proceso de investigación
y obtención de la información de forma clara los equipos con sus respectivos
códigos hash son puestos a disposición de la INTERPOL. Los códigos hash, la
investigación y/o análisis de la información contenida en las computadoras de
Raúl Reyes son analizados con el programa EnCase. Cabe resaltar la importancia
de éste durante la investigación no solo por el hecho de ser utilizado como
22
herramienta de investigación por parte de la policía sino además como
herramienta común entre los diferentes investigadores encargados de INTERPOL,
ya que los investigadores de este caso son un equipo conformado por un
investigador proveniente de Corea, un investigador proveniente de Australia y un
investigador proveniente de Singapur. Los investigadores de cada uno de estos
países coinciden en la preferencia de EnCase como herramienta de investigación
y seguridad informática.
Tabla 3. Antecedentes - Recuperación y análisis de información
23
ANTECEDENTE – CASO 4
TITULO: Investigación de manipulación de material probatorio. El equipo de investigación de la FISCALÍA PERUANA utiliza EnCase para analizar material probatorio que se sospecha fue manipulado por un fiscal.
AÑO: 2009
EMPRESA – Fiscalía Peruana
DESCRIPCIÓN:
La Oficina de Control Interno de la Fiscalía, oficina que investigaba la
sustracción y suplantación de los dos USB de la procesada Giselle Giannotti
en el caso Business Track, teniendo como sospechosa a la fiscal adjunta de
la Tercera Fiscalía Anticorrupción, Vanessa Araníbar, debido a supuestas
irregularidades en el control y cuidado del material incautado el 8 de enero de
2009 a la citada acusada.
Uno de los puntos controversiales tomados en cuenta en las pesquisas es que
precisamente ese día, luego de producida la incautación de los bienes y su
traslado a la Dirandro, acción en la que estuvo la fiscal adjunta Araníbar, se
manipuló una de las computadoras confiscadas. Esto se pudo saber por el
sistema informático ENCASE FORENSE, que detalló que ese CPU fue
manipulado desde las 6 hasta las 8 p.m. del día de la incautación. Otra
presunta irregularidad es que Araníbar llevó adelante el visionado de los USB
y otros dispositivos el día 12 de enero de 2009 en la Dirandro, a pesar de que
el juez Elmer Yarico, a cargo del caso en ese momento, ordenó expresamente
no visionar los materiales hasta que él lo dispusiera.
Este último punto es delicado para Araníbar debido a que la sustracción y
suplantación de los USB originales de Giannotti pudo haberse producido el
mismo 12 de enero de 2009 en la Dirandro, antes del lacrado del material.
Tabla 4. Antecedentes - Manipulación de material probatorio24
ANTECEDENTE – CASO 5
TITULO: Peritaje sin precedentes. El equipo de peritos informáticos
perteneciente a la fiscalía de Paraguay analiza información para investigar el
secuestro y posterior asesinato de la hija del ex presidente Raúl Cubas
utilizan EnCase, esta información permite la captura y condena de los
involucrados.
AÑO: 2004 -2005
EMPRESA - POLICÍA NACIONAL
DESCRIPCIÓN:
La investigación realizada por el caso de Cecilia Cubas fue uno de los
primeros, en Paraguay, en utilizar evidencia informática en el juicio oral y
público, la que fue considerada válida y posibilitó altas condenas para los
responsables del secuestro y homicidio de la hija de ex presidente de la
república, ingeniero Raúl Cubas, el secuestro fue llevado a cabo el 21 de
diciembre de 2004. Los investigadores fiscales hallaron evidencia de tarjetas
de COPACO, en correo electrónico tras el cruce de llamadas registradas en
las zonas involucradas al secuestro. Los secuestradores determinaron en
ese momento que el medio de comunicación con la familia Cubas sería el
correo electrónico [email protected] y la contraseña “amenezien2”.
A partir de aquí se inicia la negociación de manera intercalada entre
comunicados y correo electrónico.
Con la utilización del software EnCase Forensic, los peritos informáticos
analizaron la comunicación existente a partir de esta dirección
[email protected], utilizada por los secuestradores. El peritaje
permitió descubrir que el mismo pertenecía a Omar Martínez. Con esta
evidencia, se allana su vivienda en enero de 2005 en Caaguazú donde se
25
encontraron documentos relacionados a correos electrónicos, entre ellos
una tarjeta personal con una anotación del correo
[email protected]. Llamó la atención del Ministerio Publico que ese
correo electrónico utilizaba un vocabulario de la región andina. Con esta
inquietud se oficia a los Ministerios Públicos de Venezuela, Colombia y
Ecuador solicitando datos. La fiscalía de Colombia informa que
[email protected] estaba siendo investigado por pertenecer a las
filas de las FARC. Éste pertenecía a Rodrigo Granda Escobar.
Tabla 5. Antecedentes - Peritaje en Paraguay
26
5.2 MARCO TEÓRICO
Según estudios sobre delitos relacionados con la informática, basados en el
número de incidentes reportados por las entidades estatales y privadas y el
sector bancario colombiano, los crímenes informáticos, su prevención y
procesamiento se vuelven cada vez más importantes.
Es importante saber y conocer que es la informática forense dentro de la
seguridad de una empresa o institución, mostrando para ello, algunas
herramientas vitales en el área. Pero, la informática forense va mucho más
allá de verificar e identificar la intrusión o ataque en los sistemas informáticos
de una empresa, una labor importante es concientizar al personal
involucrado dentro de la red organizativa indicando las medidas preventivas
a seguir para evitar que la información de la empresa sea vulnerable.
La informática forense ha adquirido gran importancia debido al creciente
valor de la información y al uso que se le da a ésta. Cuando se realiza un
crimen, muchas veces la información queda almacenada en forma digital. Sin
embargo, existe un gran problema, debido a que los computadores guardan
la información forma tal que no puede ser recolectada o usada como prueba
utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales. Es de aquí que surge el estudio de la computación forense
como una ciencia relativamente nueva.
Resaltando su carácter científico, tiene sus fundamentos en las leyes de la
física, de la electricidad y el magnetismo. Es gracias a fenómenos
electromagnéticos que la información se puede almacenar, leer e incluso
recuperar cuando se creía eliminada. La informática forense, aplicando
procedimientos estrictos y rigurosos puede ayudar a resolver grandes
27
crímenes apoyándose en el método científico, aplicado a la recolección,
análisis y validación de todo tipo de pruebas digitales.
5.2.1 Evidencia Digital
Casey define la evidencia de digital como “cualquier dato que puede
establecer que un crimen se ha ejecutado (commit) o puede proporcionar un
enlace (link) entre un crimen y su víctima o un crimen y su autor”4.
“Cualquier información, que sujeta a una intervención humana u otra
semejante, ha sido extraída de un medio informático”5. [HBIT03]. A diferencia
de la documentación en papel, la evidencia computacional es frágil y una
copia de un documento almacenado en un archivo es idéntica al original.
Otro aspecto único de la evidencia computacional es el potencial de realizar
copias no autorizadas de archivos, sin dejar rastro de que se realizó una
copia6 [ComEvi01]. Esta situación crea problemas concernientes a la
investigación del robo de secretos comerciales, como listas de clientes,
material de investigación, archivos de diseño asistidos por computador,
fórmulas y software propietario.
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se
deben alterar de los originales del disco, porque esto invalidaría la evidencia;
por esto los investigadores deben revisar con frecuencia que sus copias sean
exactas a las del disco del sospechoso, para esto se utilizan varias
tecnologías, como por ejemplo checksums o hash MD5. [DaVa01]7.
4 [Casey04] CASEY, Eoghan. “Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet”. 20045 HB171:2003 Handbook Guidelines for the management of IT evidence Disponible en: http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf6 http://www.forensics-intl.com/def3.html7 Brian Deering. Data Validation Using The Md5 Hash http://www.forensics-intl.com/art12.html
28
Cuando ha sucedido un incidente, generalmente, las personas involucradas
en el crimen intentan manipular y alterar la evidencia digital, tratando de
borrar cualquier rastro que pueda dar muestras del daño. Sin embargo, este
problema es mitigado con algunas características que posee la evidencia
digital.
La evidencia de Digital puede ser duplicada de forma exacta y se puede
sacar una copia para ser examinada como si fuera la original. Esto se
hace comúnmente para no manejar los originales y evitar el riesgo de
dañarlos.
Actualmente, con las herramientas existentes, es muy fácil comparar la
evidencia digital con su original, y determinar si la evidencia digital ha sido
alterada.
La evidencia de Digital es muy difícil de eliminar. Aun cuando un registro
es borrado del disco duro del computador, y éste ha sido formateado, es
posible recuperarlo.
Cuando los individuos involucrados en un crimen tratan de destruir la
evidencia, existen copias que permanecen en otros sitios.
5.2.2 Clasificación de la evidencia digital
Cano clasifica la evidencia digital que contiene texto en 3 categorías8
[EviDig05]:
8 Cano Martines Jeimy José, Mosquera González José Alejandro, Certain Jaramillo Andrés Felipe. Evidencia Digital: contexto, situación e implicaciones nacionales. Abril de 2005. http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnologias6.pdf
29
Registros generados por computador: Estos registros son aquellos, que
como dice su nombre, son generados como efecto de la programación de un
computador. Los registros generados por computador son inalterables por
una persona. Estos registros son llamados registros de eventos de seguridad
(logs) y sirven como prueba tras demostrar el correcto y adecuado
funcionamiento del sistema o computador que generó el registro.
Registros no generados sino simplemente almacenados por o en
computadores: Estos registros son aquellos generados por una persona, y
que son almacenados en el computador, por ejemplo, un documento
realizado con un procesador de palabras. En estos registros es importante
lograr demostrar la identidad del generador, y probar hechos o afirmaciones
contenidas en la evidencia misma. Para lo anterior se debe demostrar
sucesos que muestren que las afirmaciones humanas contenidas en la
evidencia son reales.
Registros híbridos que incluyen tanto registros generados por computador
como almacenados en los mismos: Los registros híbridos son aquellos que
combinan afirmaciones humanas y logs. Para que estos registros sirvan
como prueba deben cumplir los dos requisitos anteriores.
Criterios de admisibilidad: En legislaciones modernas existen cuatro criterios
que se deben tener en cuenta para analizar al momento de decidir sobre la
admisibilidad de la evidencia: la autenticidad, la confiabilidad, la completitud
o suficiencia, y el apego y respeto por las leyes y reglas del poder judicial
[AdmEvi03]9.
9 Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y Análisis. Agosto de 2003. http://www.alfa-redi.org/rdi-articulo.shtml?x=1304
30
Autenticidad: Una evidencia digital será autentica siempre y cuando se
cumplan dos elementos:
Demostrar que dicha evidencia ha sido generada y registrada en el lugar
de los hechos
la evidencia digital debe mostrar que los medios originales no han sido
modificados, es decir, que la los registros corresponden efectivamente a
la realidad y que son un fiel reflejo de la misma.
A diferencia de los medios no digitales, en los digitales se presenta gran
volatilidad y alta capacidad de manipulación. Por esta razón es importante
aclarar que es indispensable verificar la autenticidad de las pruebas
presentadas en medios digitales contrario a los no digitales, en las que aplica
que la autenticidad de las pruebas aportadas no será refutada, de acuerdo
por lo dispuesto por el artículo 11 de la ley 446 de 1998: “Autenticidad de
documentos. En todos los procesos, los documentos privados presentados
por las partes para ser incorporados a un expediente judicial con fines
probatorios, se reputarán auténticos, sin necesidad de presentación personal
ni autenticación. Todo ello sin perjuicio de lo dispuesto en relación con los
documentos emanados de terceros” [Ley 446].
Para asegurar el cumplimiento de la autenticidad se requiere que una
arquitectura exhiba mecanismos que certifiquen la integridad de los archivos
y el control de cambios de los mismos.
Confiabilidad: Se dice que los registros de eventos de seguridad son
confiables si provienen de fuentes que son “creíbles y verificable
[AdmEvi03]10. Para probar esto, se debe contar con una arquitectura de
10 Cano Martínez Jeimy José. Admisibilidad de la Evidencia Digital: Algunos Elementos de Revisión y Análisis. Agosto de 2003. http://www.alfa-redi.org/rdi-
31
computación en correcto funcionamiento, la cual demuestre que los logs
que genera tiene una forma confiable de ser identificados, recolectados,
almacenados y verificados.
Una prueba digital es confiable si el “sistema que lo produjo no ha sido
violado y estaba en correcto funcionamiento al momento de recibir,
almacenar o generar la prueba” [EviDig05]. La arquitectura de
computación del sistema logrará tener un funcionamiento correcto
siempre que tenga algún mecanismo de sincronización del registro de las
acciones de los usuarios del sistema y que a posea con un registro
centralizado e íntegro de los mismos registros.
Suficiencia o completitud de las pruebas: Para que una prueba esté
considerada dentro del criterio de la suficiencia debe estar completa. Para
asegurar esto es necesario “contar con mecanismos que proporcionen
integridad, sincronización y centralización” [AdmEvi03] para lograr tener
una vista completa de la situación. Para lograr lo anterior es necesario
hacer una verdadera correlación de eventos, la cual puede ser manual o
sistematizada.
Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio se
refiere a que la evidencia digital debe cumplir con los códigos de
procedimientos y disposiciones legales del ordenamiento del país. Es
decir, debe respetar y cumplir las normas legales vigentes en el sistema
jurídico.
5.2.3 Manipulación de la evidencia digital
Es importante tener presente los siguientes requisitos que se deben cumplir
en cuanto a la manipulación de la evidencia digital.
articulo.shtml?x=130432
Hacer uso de medios forenses estériles (para copias de información)
Mantener y controlar la integridad del medio original. Esto significa, que a
la hora de recolectar la evidencia digital, las acciones realizadas no deben
cambiar nunca esta evidencia.
Cuando sea necesario que una persona tenga acceso a evidencia digital
forense, esa persona debe ser un profesional forense.
Las copias de los datos obtenidas, deben estar correctamente marcadas,
controladas y preservadas. Y al igual que los resultados de la
investigación, deben estar disponibles para su revisión.
Siempre que la evidencia digital este en poder de algún individuo, éste
será responsable de todas la acciones tomadas con respecto a ella,
mientras esté en su poder.
Las agencias responsables de llevar el proceso de recolección y análisis
de la evidencia digital, serán quienes deben garantizar el cumplimiento de
los principios anteriores.
5.2.4 Gestión de la Evidencia digital
Existen gran cantidad de guías y buenas prácticas que muestran como llevar
a cabo la gestión de la evidencia digital.
Las guías que se utilizan tienen como objetivo identificar evidencia digital con
el fin de que pueda ser usada dentro de una investigación. Estas guías se
basan en el método científico para concluir o deducir algo acerca de la
información. Presentan una serie de etapas para recuperar la mayor cantidad
33
de fuentes digitales con el fin de asistir en la reconstrucción posterior de
eventos. Existen diferentes tipos de planteamientos, estos varían
dependiendo del criterio de la institución y/o personas que definen la guía,
como se define a continuación.
I. Guías Mejores Prácticas
A continuación se enuncian algunas guías existentes a nivel mundial de
mejores prácticas en computación forense.
RFC 3227. El “RFC 3227: Guía Para Recolectar y Archivar Evidencia”
(Guidelines for Evidence Collection and Archiving) [GuEvCo02], escrito en
febrero de 2002 por Dominique Brezinski y Tom Killalea, ingenieros del
Network Working Group. Es un documento que provee una guía de alto
nivel para recolectar y archivar datos relacionados con intrusiones.
Muestra las mejores prácticas para determinar la volatilidad de los datos,
decidir que recolectar, desarrollar la recolección y determinar cómo
almacenar y documentar los datos. También explica algunos conceptos
relacionados a la parte legal. Su estructura es:
a) Principios durante la recolección de evidencia: orden de volatilidad de los
datos, cosas para evitar, consideraciones de privacidad y legales.
b) El proceso de recolección: transparencia y pasos de recolección.
c) El proceso de archivo: la cadena de custodia y donde y como archivar.
Guía de la IOCE. La IOCE público “Guía para las mejores prácticas en el
examen forense de tecnología digital” (Guidelines for the best practices in
the forensic examination of digital technology) [IOCE06]11. El documento
11 IOCE, International Organization of Computer Evidence. Disponible: http://www.ioce.org
34
provee una serie de estándares, principios de calidad y aproximaciones
para la detección prevención, recuperación, evaluación y uso de la
evidencia digital para fines forenses. Cubre los sistemas, procedimientos,
personal, equipo y requerimientos de comodidad que se necesitan para
todo el proceso forense de evidencia digital, desde examinar la escena
del crimen hasta la presentación en la corte. Su estructura es:
a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas
de aptitud del personal, documentación, herramientas y validación de las
mismas y espacio de trabajo).
b) Determinación de los requisitos de examen del caso.
c) Principios generales que se aplican a la recuperación de la evidencia
digital (recomendaciones generales, documentación y responsabilidad).
d) Prácticas aplicables al examen de la evidencia de digital.
e) Localización y recuperación de la evidencia de digital en la escena:
precauciones, búsqueda en la escena, recolección de la evidencia y
empaquetado, etiquetando y documentación.
f) Priorización de la evidencia.
g) Examinar la evidencia: protocolos de análisis y expedientes de caso.
h) Evaluación e interpretación de la evidencia
i) Presentación de resultados (informe escrito).
j) Revisión del archivo del caso: Revisión técnica y revisión administrativa.
k) Presentación oral de la evidencia.
l) Procedimientos de seguridad y quejas.
35
5.3 MARCO TECNOLÓGICO
Software EnCase: EnCase es una herramienta desarrollada por Guidance
Software Inc. [ENC-03], permite asistir al especialista forense durante el
análisis de un crimen digital12.
Se escogió mostrar esta herramienta por tratarse del software líder en el
mercado, el producto más ampliamente difundido y de mayor uso en el
campo del análisis forense.
EnCase es un software que permite el análisis de medios de
almacenamiento de información tales como de discos duros, memorias USB,
memorias de cámaras fotográficas que son analizados utilizando dispositivos
bloqueadores que evitan la modificación de la evidencia en un posible error
humano.
Como elementos de ayuda y fuentes de seguridad en la protección de
evidencias es necesario conocer algunas de las herramientas anteriormente
mencionadas, para ello hacemos referencia a estos a continuación:
12 http://www.EnCase.com/html/how_EnCase_works.html36
Figura 1. EnCase Forensic
DISCO DURO: (de prueba para realizar la documentación de cómo se
obtiene la evidencia) En informática, un disco duro o disco rígido (en inglés
Hard Disk Drive, HDD) es un dispositivo de almacenamiento de datos no
volátil que emplea un sistema de grabación magnética para almacenar datos
digitales. Se compone de uno o más platos o discos rígidos, unidos por un
mismo eje que gira a gran velocidad dentro de una caja metálica sellada.
Sobre cada plato, y en cada una de sus caras, se sitúa un cabezal de
lectura/escritura que flota sobre una delgada lámina de aire generada por la
rotación de los discos.
Figura 2. Disco duro
Adaptador de puertos: Es un tipo especializado de Hardware que permite
adaptar diferentes tipos de puertos, este dispositivo permite a un usuario
recuperar información de los diferentes tipos de dispositivos que en muchos
casos pueden generar inconvenientes en la recolección de información.
37
Figura 3. Tableau TDA5-ZIF
Bloqueador de discos: Es un tipo especializado de controlador de disco o
dispositivo de hardware forense de escritura de bloque cuyo propósito es
obtener acceso de sólo lectura al (los) disco(s) duro(s) del computador, sin el
riesgo de dañar el contenido de la unidad. El dispositivo se
llama forense porque su aplicación más común es para uso en
investigaciones en las que una unidad de disco duro del computador puede
contener pruebas. Este controlador se coloca entre un ordenador y un disco
duro IDE o SCSI, pero con la llegada de USB y SATA.
Figura 4. Bloqueo de discos duros
38
Adaptador puente: Las familias de puentes clásicos y mejorados ofrecen
soluciones para imágenes forenses portátiles para unidades de discos duros
SATA, IDE y SCSI nativos.
Figura 5. Adaptador puentes Tableau - Bloqueo de discos duros
5.4 MODELOS
1. Puente T35es: El puente forense T35es eSATA ofrece más opciones de
conexión nativa del equipo host y del dispositivo que cualquier otro
bloqueador de escritura que se encuentra hoy disponible. Gracias al T35es
de su kit de herramientas forenses, podrá disponer de un puente forense
sólido y fiable con cuatro conexiones diferentes de la interfaz de host
(eSATA, FireWire 800, FireWire 400 y USB) y de dos conexiones para
dispositivos (SATA e IDE).
El T35es es el primer puente de Tableau con una conexión eSATA del host.
La interfaz eSATA permitirá que los profesionales forenses adquieran
imágenes de las unidades objeto de análisis SATA e IDE a una velocidad
superior a FireWire 800.
39
Eche un vistazo al T35es visualizando las imágenes que aparecen abajo o
navegando por los vínculos del producto de la columna de la izquierda.
Póngase en contacto con el distribuidor de Tableau para añadir un kit forense
de T35es eSATA a su colección de productos de Tableau.
2. Puente T35es-RW: La carcasa AMARILLA del modelo T35es-RW es
idéntica a la NEGRA habitual del T35es, exceptuando que el T35es-RW está
previamente configurado de fábrica para un funcionamiento de lectura-
escritura.
Como ocurre con otros productos de Tableau, los profesionales de análisis
forenses nos comunicaron la necesidad de un puente exclusivo para utilizarlo
cuando realizaban copias de una evidencia forense. La carcasa AMARILLA
destaca el hecho de que se puede escribir en el T35es-RW y eliminar así un
posible uso incorrecto durante los exámenes forenses.
A menudo, un kit completo de análisis forense incluirá tanto el puente forense
bloqueado contra escritura (NEGRO) como el de lectura-escritura
(AMARILLO) y observar que muchos distribuidores de Tableau comercializan
kits configurados de este modo.
3. Puente T35e: Durante los cuatro últimos años, la línea clásica de puentes
forenses de Tableau se ha convertido en el punto de referencia de facto para
las adquisiciones de datos basadas en bloqueadores de escritura de
hardware. El bloqueador de escritura más moderno de Tableau, el puente
forense SATA/IDE T35e proporciona un rendimiento y funciones sólidas, lo
que le convierte en la nueva norma por la que se medirán el resto de
dispositivos de bloqueo de escritura.
40
Diseñado para admitir las imágenes de las unidades SATA e IDE de un único
paquete clásico, T35e proporciona el rendimiento con el que no pueden
competir otros bloqueadores de escritura de hardware. Se han medido los
aumentos de los índices de transferencia de datos SATA de hasta un 60 %
(frente a los productos clásicos actuales) con una interfaz de host FireWire
800 y las herramientas de imágenes disponibles de otros fabricantes. T35e
reduce los tiempos de adquisición de datos.
5.4.1 CARACTERÍSTICAS DE EnCase
Algunas de las características más importantes de EnCase se relacionan a
continuación:
Copiado Comprimido de Discos Fuente. EnCase emplea un estándar
sin pérdida (loss-less) para crear copias comprimidas de los discos
origen. Los archivos comprimidos resultantes, pueden ser analizados,
buscados y verificados, de manera semejante a los normales (originales).
Esta característica ahorra cantidades importantes de espacio en el disco
del computador del laboratorio forense, permitiendo trabajar en una gran
diversidad de casos al mismo tiempo, examinando la evidencia y
buscando en paralelo.
Búsqueda y Análisis de Múltiples partes de archivos adquiridos.
EnCase permite al examinador buscar y analizar múltiples partes de la
evidencia. Muchos investigadores involucran una gran cantidad de discos
duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de
almacenamiento de la información. Con EnCase, el examinador puede
buscar todos los datos involucrados en un caso en un solo paso. La
evidencia se clasifica, si esta comprimida o no, y puede ser colocada en
un disco duro y ser examinada en paralelo por el especialista. En varios
41
casos la evidencia puede ser ensamblada en un disco duro grande o un
servidor de red y también buscada mediante EnCase en un solo paso.
Diferente capacidad de Almacenamiento. Los datos pueden ser
colocados en diferentes unidades, como Discos duros IDE o SCSI, drives
ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser
comprimidos o guardados en CD-ROM manteniendo su integridad forense
intacta, estos archivos pueden ser utilizados directamente desde el CD-
ROM evitando costos, recursos y tiempo de los especialistas.
Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
EnCase permite al especialista ordenar los archivos de la evidencia de
acuerdo a diferentes campos, incluyendo campos como las tres
estampillas de tiempo (cuando se creó, último acceso, última escritura),
nombres de los archivos, firma de los archivos y extensiones.
Análisis Compuesto del Documento. EnCase permite la recuperación
de archivos internos y meta-datos con la opción de montar directorios
como un sistema virtual para la visualización de la estructura de estos
directorios y sus archivos, incluyendo el slack interno y los datos del
espacio unallocated.
Búsqueda Automática y Análisis de archivos de tipo Zip y
Attachments de E-Mail. Firmas de archivos, Identificación y Análisis.
La mayoría de las graficas y de los archivos de texto comunes contiene
una pequeña cantidad de bytes en el comienzo del sector los cuales
constituyen una firma del archivo. EnCase verifica esta firma para cada
archivo contra una lista de firmas conocida de extensiones de archivos. Si
existe alguna discrepancia, como en el caso de que un sospechoso haya
escondido un archivo o simplemente lo haya renombrado, EnCase
42
detecta automáticamente la identidad del archivo, e incluye en sus
resultados un nuevo ítem con la bandera de firma descubierta,
permitiendo al investigador darse cuenta de este detalle.
Análisis Electrónico Del Rastro De Intervención. Sellos de fecha, sellos de
hora, registro de accesos y la actividad de comportamiento reciclado son
a menudo puntos críticos de una investigación por computador. EnCase
proporciona los únicos medios prácticos de recuperar y de documentar
esta información de una manera no invasora y eficiente. Con la
característica de ordenamiento, el análisis del contenido de archivos y la
interfaz de EnCase, virtualmente toda la información necesitada para un
análisis de rastros se puede proporcionar en segundos.
Soporte de Múltiples Sistemas de Archivo. EnCase reconstruye los
sistemas de archivos forenses en DOS, Windows (todas las versiones),
Macintosh (MFS, HFS, HFS+), Linux, UNIX (Sun, Open BSD), CD-ROM,
y los sistemas de archivos DVDR. Con EnCase un investigador va a ser
capaz de ver, buscar y ordenar archivos desde estos discos concurridos
con otros formatos en la misma investigación de una manera totalmente
limpia y clara.
Vista de archivos y otros datos en el espacio Unallocated. EnCase provee
una interfaz tipo Explorador de Windows y una vista del Disco Duro de
origen, también permite ver los archivos borrados y todos los datos en el
espacio Unallocated. También muestra el Slack File con un color rojo
después de terminar el espacio ocupado por el archivo dentro del clúster,
permitiendo al investigador examinar inmediatamente y determinar
cuándo el archivo reescrito fue creado. Los archivos Swap y Print Spooler
son mostrados con sus estampillas de datos para ordenar y revisar.
43
Integración de Reportes. EnCase genera el reporte del proceso de la
investigación forense como un estimado. En este documento realiza un
análisis y una búsqueda de resultados, en donde se muestra el caso
incluido, la evidencia relevante, los comentarios del investigador,
favoritos, imágenes recuperadas, criterios de búsqueda y tiempo en el
que se realizaron las búsquedas.
Visualizador Integrado de imágenes con Galería. EnCase ofrece una vista
completamente integrada que localiza automáticamente, extrae y
despliega muchos archivos de imágenes como .gif y .jpg del disco.
Seleccionando la "Vista de Galería" se despliega muchos formatos de
imágenes conocidas, incluyendo imágenes eliminadas, en el caso de una
vista pequeña. El examinador puede después escoger las imágenes
relevantes al caso e inmediatamente integrar todas las imágenes en el
reporte de EnCase. No es necesario ver los archivos gráficos usando
software de terceros, a menos que el formato de archivo no sea muy
conocido y todavía no sea soportado por EnCase.
44
6 METODOLOGÍA
Para la elaboración de la Monografía se consideraran las siguientes
etapas:
Planeación del Trabajo
Aplicación de Técnicas de Investigación
Análisis de la Información
Estructuración del Manual
Validación de la Información
Autorización del Manual
Distribución y Difusión
6.1 PLANEACIÓN DEL TRABAJO
Se nombró un coordinador como responsable de conducir las acciones para
homogeneizar el contenido y la presentación de la información.
Se llevó a cabo un estudio preliminar que nos dieron conocer las funciones y
actividades que se realizaran en las áreas a trabajar, para definir la
estrategia general de levantamiento de información, a través de fuentes más
representativas como son:
Fuentes de información variadas.
45
Personas capacitadas.
Material disponible en internet
Fuentes escritas.
6.2 APLICACIÓN DE TÉCNICAS DE INVESTIGACIÓN
Simultáneamente a la elaboración del programa de trabajo, se establecerá y
diseñará las técnicas de investigación a utilizarse, entre las principales se
encuentran las documentales, la entrevista, el cuestionario y la observación
directa.
Investigación documental: Consiste en seleccionar y analizar los
documentos que contienen datos importantes relacionados con el
funcionamiento, manejo y aplicabilidad del Software EnCase.
Entrevista: Se refiere a obtener información verbal del personal que tiene
experiencia en el manejo del Software.
Este medio proporciona información completa y precisa, debido a la
interacción que se da con el personal entrevistado, permitiendo la percepción
de actitudes.
Para que esta técnica se desarrolle con éxito es conveniente observar lo
siguiente:
Utilizar las entrevistas libres, dirigidas o ambas.
Tener claro el objetivo de la entrevista.
Concertar previamente cita con el personal capacitado.
Escuchar con atención y objetividad para evitar el desvío del enfoque
de la entrevista.
46
Realizar las preguntas necesarias a efecto de entender
completamente las actividades que desarrolla el personal o esclarecer
toda duda.
Cuestionario: Diseñar una serie de preguntas escritas, predefinidas,
procurando que sean claras y concisas, con un orden lógico, redacción
comprensible y facilidad de respuesta.
Observación Directa: Examinar visualmente las actividades específicas que
realiza cada herramienta del Software y anotar todas las acciones en la
secuencia correcta con la finalidad de completar, confrontar y verificar datos
obtenidos en la investigación documental.
6.3 ANÁLISIS DE LA INFORMACIÓN
Después de reunir todos los datos, el siguiente paso es organizarlos en
forma lógica mediante el desarrollo de un esquema de trabajo.
Lo primero que se hará es un análisis de la información, con la finalidad de
facilitar el manejo y ordenamiento de lo que debe incluirse en el contenido
del manual.
6.4 ESTRUCTURACIÓN DEL MANUAL
En esta etapa se establece el diseño y la presentación que se utilizará para
la elaboración de los Manuales y la documentación de las actividades de uso
propuestas.
47
6.5 VALIDACIÓN DE LA INFORMACIÓN
La validación la llevaran a cabo los responsables de las áreas a las que
corresponden los manuales, con la finalidad de que la información que se
presenta en ellos, sea acorde con las atribuciones y las actividades que
realizan.
6.6 AUTORIZACIÓN DEL MANUAL
Una vez llevada a cabo la validación, se dará formalidad al documento
solicitando la autorización del Director del Proyecto, con el propósito de
poder iniciar la reproducción del mismo y posteriormente su distribución.
6.7 DESARROLLO
Una vez obtenida la información necesaria precedemos a organizar y
plasmar el contenido desarrollado a continuación.
48
6.7.1 Configuración de encase.
Al iniciar trabajos forenses e investigativos utilizando el Software EnCase
primero se debe verificar que este tenga todas las funciones habilitadas, en
la siguiente imagen se muestra la barra de titulo que informa que Encase se
encuentra en modo Acquisition, en este modo EnCase solo permite la opción
de crear imágenes forenses, esta modalidad nos indica que EnCase no se
encuentra registrado, para ello debe adquirir las licencias y llaves necesarias
para su utilización.
Figura 6. EnCase – Modo Acquisition
Verificación y habilitación con la llave “Dongle”.
Cuando se han adquirido los servicios del Software EnCase se otorga una
llave o Dongle contenido en un dispositivo USB que contiene las licencias y
certificados que permite la habilitación de todas las opciones o herramientas
que nos otorga el Software.
Una vez se inserta la llave debe reiniciar EnCase y verificar nuevamente en
la barra de titulo que Encase se encuentre en modo Training, si aun se
encuentra en modo Acquisition se debe terminar el proceso SAFE.exe en el
administrador de tareas y abrir nuevamente EnCase.
49
Si se han realizado los pasos anteriores correctamente y EnCase continua
en el modo Acquisition, debe verificar que las llaves se encuentren ubicadas
y debidamente vinculadas con las llaves default.nas y SAFE.SAFE.
Las llaves deben encontrarse en la carpeta raíz donde se encuentran todos
los archivos de Encase como se especifican a continuación.
Figura 7. Ubicación del archivo de seguridad Default.nas
Figura 8. Ubicación del archivo de seguridad SAFE.SAFE
Se debe proceder a seleccionar herramientas “Tools” y posteriormente
selecciona Tools Opciones “Option”.
50
Figura 9. Herramienta opciones
En la pestaña NAS se encuentran los campos User Key Path y Server Key
Path a los cuales se les debe indicar donde se encuentra alojadas las llaves
default.nas y SAFE.SAFE como se muestra a continuación.
51
Figura 10. Archivos correspondientes a los certificados de EnCase
52
6.7.2 Encase en red
Para poder utilizar EnCase en red, todas las maquinas deben encontrarse en
red y con el software EnCase instalado en cada una de ellas, la maquina que
se utiliza como servidor debe tener conectado el Dongle y con el FireWall
inactivo.
Figura 11. Direccionar un equipo al servidor de EnCase
53
Para que EnCase funcione en cada maquina correctamente se debe seguir
con las instrucciones que se encuentran en el capitulo anterior a excepción
del ultimo paso, en la pestaña NAS se deben tambien seleccionar las
opciones de Network Authetication Server y en la opcion de Server Addres
se debe insertar la direccion IP del SERVIDOR.
54
6.7.3 Caracteristicas de EnCase
EnCase es un software que permite asistir al especialista forense durante el
análisis de un crimen el análisis de medios de almacenamiento de
información tales como discos duros, memorias USB, memorias de cámaras
fotográficas que son analizados utilizando dispositivos bloqueadores que
evitan la modificación de la evidencia en un posible error humano.
Figura 12. Acerca de EnCase
55
Tree Panel Report Panel
View Panel Filter Panel
La interfaz gráfica de EnCase
Consta de una interfaz gráfica (GUI) de cuatro paneles que se dividen en
Tree Panel, Report Panel, View Panel, Filter Panel.
Tree Panel: Este panel corresponde al espacio donde el investigador
tiene acceso al árbol o directorio correspondiente a los archivos
almacenados en la evidencia. Éste muestra los dispositivos en el caso
junto con su jerarquía. Los archivos contenidos en cualquier nivel se
mostrarán en el panel de la tabla, junto con las carpetas en ese mismo
nivel que los archivos que se muestran.
56
Figura 13. Interfaz gráfica de EnCase
Report Panel: la pestaña por defecto del panel de reportes es la vista de
tabla en la que los objetos aparecen en una vista de hoja de cálculo con los
diversos atributos o propiedades de los objetos que aparecen en las
columnas.
Figura 15. Panel de reportes o Report Panel
57
Figura 14. Panel de directorios o árbol de evidencia
En el panel de reportes se puede ordenar, ocultar, mover, bloquear y
configurar columnas para agilizar su examen, el investigador debe organizar
las columnas para que la información más significativa se pueda visualizar de
forma fácil y rápida.
Una de las características más útiles es la capacidad para bloquear una
columna. Cuando una columna está bloqueado, puede desplazarse a través
de las columnas y el nombre del objeto permanece visible durante todo el
proceso. Para bloquear una columna selecciónela y haga clic derecho sobre
la selección, a continuación, seleccione la opción Lock Set, cuando se
desplace a través de las columnas, la columna bloqueada permanece visible.
View Panel
En el panel vista el investigador tendrá la opción “Hex” que permitirá
visualizar la notación Hexadecimal y los metadatos correspondientes a los
archivos que se encuentran seleccionados, la opción “Text” que le permitirá
visualizar el texto correspondiente a un archivo seleccionado de este tipo, al
igual que la opción “Doc” y “Picture” EnCase le permite al investigador
visualizar los archivos seleccionados que se encuentran en dichos formatos.
58
Figura 16. Panel vista o Panel View
Filter Panel
Permite al investigador revisar el resultado de la búsqueda en un archivo con
facilidad y rapidez, sin salir de la pestaña entradas del panel Árbol.
En versiones anteriores, los filtros y las consultas estaban en el panel de
vista con el texto, Hex, Informe, y los espectadores de imagen.
59
Figura 17. Panel de filtros
6.7.4 Archivos de copias de seguridad.
Esta opción controla el número de copias de seguridad que puede tener un
archivo almacenados en cada los casos en la opción “Backup files” y la
frecuencia en minutos con la que el sistema creará cada copia de seguridad
en la opción “Auto Save Minutes”.
60
Figura 18. Control de Backups
El investigador podrá cambiar la ruta de la carpeta de copias de seguridad
utilizando la opción ubicada dentro de la pestaña “Storage Paths” en el
cuadro de dialogo Opciones Generales.
61
6.7.5 Creación de un nuevo caso.
Una de las herramientas más poderosas en EnCase es la capacidad de
organizar diferentes tipos de dispositivos para que el usuario pueda
localizarlos como una unidad y no de forma individual. Este proceso ahorra
una gran cantidad de tiempo y permite al examinador concentrarse en el
análisis de la evidencia.
Éste método de organización consiste en crear una carpeta por cada caso,
ubicar en ella el archivo de caso y los archivos de evidencia
correspondientes. Es necesario crear 4 carpetas, 3 de ellas son
predeterminadas para EnCase (Export, Index y Temp), la cuarta carpeta
debe crearla el usuario, para realizar este el ejemplo creamos la carpeta con
nombre Evidencia, estas carpetas se utiliza para almacenar el caso, los
reportes y copias de la evidencias que se van exportando en cada caso.
Figura 19. Crear la estructura de directorio
62
Una vez creadas las carpetas para el caso, debe iniciar EnCase y
seleccionar la opción crear un nuevo caso en la opción New (Nuevo) de la
barra de herramientas para acceder el cuadro de diálogo Opciones del caso.
En este cuadro se podrá seleccionar los directorios Export, Temp e Index
para el nuevo caso. Buscar los directorios creados para este caso y hacer
clic en Finalizar.
Figura 20. Confirmar los directorios de las carpetas para el caso
63
6.7.6 Guardar el caso.
Para guardar el caso debe hacer clic en el botón Save o Guardar de la barra
de herramientas
Por tratarse de un caso nuevo, se mostrará el cuadro de diálogo Guardar,
debe ingresar al directorio o carpeta para el encontrar la ubicación de un
nuevo caso en la unidad de evidencia y escribir un nombre para el caso.
En este punto, se podrá generar una vista preliminar de un nuevo dispositivo
o adicionar al caso un dispositivo adquirido con anterioridad, utilizando el
botón Agregar dispositivo.
64
Figura 21. Guarde el nuevo archivo de caso
6.7.7 Agregar dispositivos de evidencia.
Para iniciar el proceso de investigación en un caso el investigador debe
agregar el dispositivo fuente de la evidencia a EnCase para poder realizar la
inspección de los todos los archivos existentes en el disco incluyendo lo que
han sido eliminados, incluso después de haber sido formateado el
dispositivo.
Archivos de la evidencia.
Inicialmente debemos agregar un dispositivo, para ello debe seleccionar la
opción Agregar Dispositivo (Add device) ubicado en la barra de herramientas
como se muestra a continuación.
Figura 22. Agregar dispositivo para adicionar un archivo de evidencia
65
Al acceder a la unidad lógica de la cual se va a obtener la imagen, se
muestra el tamaño y el número total de sectores del archivo de evidencia.
Figura 23. Seleccionar dispositivo que se adicionará al caso
Una vez se haya seleccionado la opción siguiente, el usuario tiene la opción
de editar el nombre y el número de la evidencia.
Figura 24. Editar el nombre de la evidencia.
66
6.7.8 Atributos del dispositivo de evidencia.
Los atributos de la evidencia nos permitirán distinguir la evidencia dentro del
caso, es importante recordar que cada uno de estos atributos hace parte del
informe que permite que una evidencia sea válida legalmente.
Figura 25. Indicar atributos
El archivo de evidencia se agrega correctamente al caso una vez seleccione
la opción Ok, debe guardar y confirmar la ubicación del archivo.
67
6.7.9 Inicio de la verificación de la información comprometida.
En este punto podemos iniciar el desarrollo de la investigación, pero teniendo
en cuenta la importancia de la integridad que se debe mantener en la
evidencia original, se crea una imagen forense que nos permite garantizar
una copia bit a bit del dispositivo analizado para trabajar en la búsqueda de
la información en la imagen forense y no directamente sobre la evidencia con
el objetivo de garantizar dicha integridad.
Figura 26. El archivo de evidencia se agrega al caso
68
6.7.10 Creación de la imagen forense
En esta ventana se puede ver toda la información contenida en el dispositivo
de evidencia. Se debe seleccionar la imagen y dar clic en la opción Adquirir
(Acquire).
Figura 27. Información contenida en el dispositivo de evidencia
69
6.7.11 Adicionar la imagen al caso
Inicialmente debe señalarse que debemos agregar la nueva imagen al caso.
Figura 28. Creación de Imagen
70
Una vez iniciado el proceso de adquisición de la imagen forense, se continúa
con el proceso de registro sus características incluyendo datos importantes
como nombre, número de la evidencia y el directorio donde se guardará la
evidencia.
Figura 29. Propiedades de la imagen forense
71
Posterior al registro de las propiedades o características de la nueva imagen
forense EnCase inicia su proceso interno creación de la imagen forense.
Figura 30. Progreso de adquisición de la imagen
La ventana de estado ubicada en la parte inferir derecha mostrará el avance
de la adquisición y además los algoritmos hash MD5 y SHA1.
Finalizado el proceso de adquisición de la imagen forense, EnCase permite
visualizar que la creación fue exitosa, recuerde que es posible que una
imagen forense contenga errores debido a problemas de alteraciones en el
72
flujo eléctrico que no permiten al equipo forense realizar sus proceso de
forma correcta.
Figura 31. Ventana de estado
El proceso es verificado y se consta que no ocurrieron errores durante la
adquisición de la imagen forense.
73
Figura 32. Ventana de verificación
Al terminar el proceso se incluyen en la vista reporte del Panel Tabla y
muestra toda la información del caso donde además se puede verificar que
los valores hash MD5 y SHA1 coinciden.
74
Figura 33. Vista Reporte
75
6.7.12 Cálculo de sumas de verificación (Hashing)
El componente Hash en EnCase permite crear valores hash o “huella digital”
para cada archivo, es decir una identificación única. Sólo una copia exacta
de un mismo archivo tendrá el mismo hash lo que la hace válida
jurídicamente (EnCase utiliza el algoritmo MD5 para crear los valores hash,
la probabilidad de encontrar dos archivos con el mismo hash es del orden de
2128).
Calculo de hash o análisis de firmas
El siguiente procedimiento sirve para establecer un análisis de hash que se
ejecutará para cada archivo de la evidencia.
Al ingresar en la opción Entries, se podrá visualizar la siguiente pantalla. En
esta el investigador tiene la opción de seleccionar uno a varios archivos para
calcular el valor hash haciendo clic en los check box o cajas de selección de
cada archivo, asimismo para seleccionar todos los archivos de la evidencia
debe seleccionar el check box la imagen y el ícono Incluir todos como se
señala a continuación
76
Figura 34. Seleccionar todo los archivos para el hash
Una vez seleccionados los archivos a trabajar haga clic en la opción Buscar,
la primera opción de selección “Selected ítem only” permite elegir
únicamente los archivos seleccionados, para este ejemplo se encuentran
seleccionados 127 archivos, para continuar marque la opción Calcular hash
para generar un valor MD5 para cada uno de los archivos asignados.
77
Figura 35. Calculando los valores hash
Si un selecciona la opción recompute hash values, EnCase se volverá a
calcular los valores hash de todos los archivos en el dispositivo. Para una
adquisición local, esto no es necesario, para la adquisición de la red, esta
opción se utiliza a menudo para volver a calcular los valores hash de la
maquina vivo cuando hayan sido previamente sometidos a un análisis de
hash.
Una vez seleccionadas estas opciones haga clic en la opción Iniciar o Start.
La ventana de estado le indicara el estatus completado, debe marcar las
opciones Consola y Nota si se desea guardar los resultados.
78
Figura 36. Ventana de estado de generación de Hash
EnCase confirmará el número de objetos que tiene un valor hash. En el panel
derecho se encuentra la columna Hash Values que contiene las sumas de
verificación correspondiente a cada archivo como se puede ver en la imagen
a continuación.
79
Figura 37. Visualizando archivos analizados mediante hashing
80
6.7.13 Recuperación de archivos eliminados
Un elemento importante de cualquier investigación en EnCase es la
configuración de la zona horaria para los equipos que funcionan bajo el
sistema operativo Windows. Cuando EnCase consulta la información de la
fecha y la hora de Windows, la hora en formato GMT es convertida al formato
de hora local correspondiente basada en el reloj del computador donde se
visualiza la información.
Esta conversión es vital ya que si el dispositivo es confiscado en una zona
horaria determinada y luego se envía para que sea examinado en una zona
horaria diferente puede afectar diversas herramientas de investigación,
incluyendo la conversión y visualización en EnCase de las fechas y horas de
Windows.
Para evitar esto se debe configurar la zona horaria para cada archivo de
evidencia dentro del caso en forma individual. Seleccione la opción Cases o
Casos Entries o Entradas Home o Inicio y haga clic derecho sobre la
imagen forense y seleccione la opción Modify time zone setings como se
muestra a continuación.
81
Figura 38. Modificar la información de zona horaria
82
Seleccionar la configuración de zona horaria apropiada para este dispositivo
y hacer clic en Aceptar.
Figura 39. Configurar el archivo de evidencia en Hora Local
Recuperando archivos
Los archivos eliminados de la papelera de reciclaje, incluso cuando el disco
duro ha sido sometido a formateo no se borran del todo del disco duro, lo que
sucede es que el espacio del disco duro donde se encuentra este archivo es
catalogado como disponible y será utilizado por cualquier otro archivo que se
cree posteriormente, entre tanto el espacio donde se encuentre el archivo
que se elimino no sea sobre-escrito por un archivo nuevo este podrá ser
recuperado todo o en parte, para ello el software EnCase nos proporciona la
herramienta para realizar búsqueda y recuperación de archivos eliminados.
Inicialmente EnCase nos muestra el listado de todos los archivos incluyendo
los eliminados, estos se distinguen por una marca circular roja, para proceder
83
con la exportación de estos archivos debe ubicarse sobre ellos, hacer clic
derecho y seleccionar la opción Copy/UnErase.
Figura 40. Recuperación de archivos
84
Seleccione en el panel From la opción “All selectd files” y el panel To
seleccione “Separate files”.
Figura 41. Exportar los archivos seleccionados
Seleccione en el panel Copy la opción “Logical File Only” y el panel
Character Mask seleccione “None”.
Figura 42. Características de la exportación
85
Posterior a la definición de las características de la exportación procedemos
a determinar la ubicación del directorio donde se ubicaran los archivos
exportados
Figura 43. Ubicación de los archivos exportados
Figura 44. Informe final del destino de los archivos exportados
86
Finalmente EnCase genera un reporte de la exportación. Debe marcar las
opciones Consola y Nota si se desea guardar los resultados.
Figura 45. Informe de exportación de archivos
Al finalizar los archivos recuperados y exportados se encuentran en la
ubicación o directorio seleccionado.
6.7.14 Técnicas avanzadas de búsqueda
Búsqueda de expresiones GREP es una utilidad de búsqueda de UNIX que
permite al investigador el manejo de una sintaxis poderosa y flexible en la
generación de términos de búsqueda, cuando se requiere tener sumo
cuidado con la naturaleza de un texto que produce una coincidencia.
Adicionalmente el uso de GREP hace innecesario definir demasiados
términos redundantes en una expresión de búsqueda.
87
Símbolo Significado
. Un punto indica cualquier carácter simple. Por ejemplo si se
utiliza m.r, el resultado puede ser
\x Un carácter representado por su valor ASCII en Hex. Por
ejemplo, \x09 es un tabulador, \x0A es un cambio de línea, deben
incluirse los dígitos hex. Aún cuando sean cero.
? Un signo de interrogación después de un carácter o grupo de
caracteres indica una o ninguna ocurrencia de dicho carácter o
grupo de caracteres. Por ejemplo, "##?/##?/##" podría indicar
"1/1/98" o "01/01/89" pero no indicaría "123/01/98".
* Un asterisco después de un carácter indica cualquier número de
ocurrencias de dicho carácter, incluyendo ninguna ocurrencia.
Por ejemplo "Juan,*Peña" podría indicar "Juan ,Peña" o
"Juan,,Peña" y "JuanPeña"
+ Un signo + después de un carácter indica cualquier numero de
ocurrencias de dicho carácter, excepto cero ocurrencias. Por
ejemplo, "Juan,+Peña" podría indicar "Juan,Peña" o "Juan,,Peña"
pero No indicaría "JuanPeña"
# Un signo número indicad cualquier carácter numérico [0-9]. Por
ejemplo, ### #### indica cualquier numero de la forma 327-4323
si se tratara de un número telefónico, por ejemplo.
88
[ ] Los caracteres entre paréntesis cuadrados o llaves relacionan
cualquier carácter que aparezca dentro de estos últimos. Por
ejemplo, "Peña[lo]" podrían indicar "Peñal" ó "Peñao".
[-] Un guion entre paréntesis cuadrados indica un rango de
caracteres. Por ejemplo, [a-e] indica cualquier carácter desde "a"
hasta "e".
value[x,y
]
Repetir valor X-Y veces. Por ejemplo, *{3,7} repetiría * 3 hasta 7
veces.
() Funciona como un paréntesis en una expresión matemática: el
agrupamiento tiene prioridad.
Tabla 6. Símbolos para búsqueda de palabras de forma avanzada
89
Ejemplos de expresiones GREP.
Los siguientes ejemplos muestran el poder de las expresiones GREP al
realizar búsquedas de texto.
Ejemplo 1: Magda[ ,;] Maldonado
Los caracteres dentro del paréntesis se denominan un grupo y son tratados
como un único carácter individual esta expresión encuentra la palabra Magda
seguida por un espacio o una coma o un punto y coma seguido por
Maldonado.
Esto arrojaría:
Magda ,Maldonado
Magda Maldonado
MagdaMaldonado
Magda,Maldonado
Magda;Maldonado
Magda ,;Maldonado
Magda Maldonado
Ejemplo 2: http://www.\[a-z]+\.org
esta expresión indica http://www. seguido por cualquier carácter alfabético
seguido por “.com”, ésta es una buena táctica para hacer referencia a sitios
en internet.
Esto arrojaría:http://www.sitioconunnombremuylargo.org/index.htmhttp://www.bozo.orghttp://www.sitiodenombre.orghttp://www.fifa.org
90
6.7.15 Crear palabras claves a partir del encabezado.
El formato de imagen JPEG es probablemente el más ampliamente utilizado
formato de imagen comprimida. Cuando nos fijamos en un encabezado
JPEG hay varias partes que podemos utilizar para identificar el tipo de
imagen y formatos utilizados.
Lo primero que se debe verificar son los dos primeros bytes del archivo. Los
valores hexadecimales FF D8 identificará el comienzo del archivo de imagen.
Esto es a menudo suficiente para saber que es un verdadero archivo JPEG,
pues debemos recordar que un archivo se le pudo haber modificado su
extensión. Los siguientes dos bytes son el marcador de aplicación general,
FF E0. Este marcador puede cambiar dependiendo de la aplicación utilizada
para modificar o guardar la imagen. He visto este marcador como FF E1
cuando las imágenes fueron creadas por las cámaras digitales Canon o
Sony.
Podrá crear un palabra clave a partir del encabezado que se ha identificado,
y utilizarla para ejecutar una búsqueda sobre los clústeres no asignados.
Figura 46. Encabezado de una imagen en los clúster no asignados
91
Debe hacer clic derecho sobre la opción Keywords New.
Figura 47. Creación de palabras claves.
Asignar un nombre a la palabra clave en el campo Name para identificarla en
el futuro. En el campo de texto “Search expression” debe ingresar el
encabezado hexadecimal correspondiente a jpeg utilizando la expresión
GREP \x que denota un tabulador hexadecimal. Asegúrese de seleccionar
GREP Aceptar
92
Figura 48. Términos de búsqueda
Asegúrese que sea la única palabra clave seleccionada, seleccione
búsqueda y marque las opciones indicadas en la siguiente imagen, a
continuación haga clic en la opción Iniciar o Start.
93
Figura 49. Opciones de búsqueda
Figura 50. Palabra clave creada
94
Figura 51. Resultados de la búsqueda avanzada
6.7.16 Reportes
La fase final en una investigación forense es la generación de un reporte de
resultados, de forma organizada y un formato comprensible para el
examinador. EnCase se encarga de generar marcadores y exportar la
evidencia de la forma más ordenada.
La información contenida en el archivo de evidencia es muy importante para
la generación del reporte final, ya que documenta la cadena de custodia y las
características del dispositivo físico. En la vista Casos/Entradas/Inicio hacer
clic en el botón derecho sobre el disco físico y seleccionar Marcador
Estructura de directorio para incluir estos datos en el reporte.
95
Figura 52. Marcador al disco físico
Marque la opción para incluir la información del dispositivo “Include Device
Information”. Haga clic derecho sobre el Marcador en la ventana Ruta
Destino y cree una carpeta de nombre.
96
Figura 53. Creación de la carpeta con la información del dispositivo.
97
Figura 54. Información del dispositivo Físico
98
6.7.17 Personalizar la presentación de los valores del reporte
La presentación del reporte se puede personalizar. Para cambiar los
atributos que se muestran para cada una de las características de la carpeta
haga clic derecho sobre la carpeta y seleccione la opción modificar.
Figura 55. Informe del caso
99
En la ventana campos “Fields”, busque el atributo deseado y haga doble clic
para moverlo a la ventana formato. Los datos entre paréntesis cuadrados
corresponden a los identificadores internos utilizados por EnCase para el
atributo seleccionado, y los datos libres de paréntesis corresponden a los
encabezados para variables que pueden modificarse.
Figura 56. Modificación de la presentación de los archivos
100
6.7.18 Exportando Reportes en formato RTF y HTML
Una vez se ha generado el reporte para la investigación y con la información
organizada adecuadamente es posible exportar los reportes desde EnCase.
Figura 57. Reporte de la investigación
101
Los reportes pueden ser exportados en formato de texto enriquecido
estándar (RTF), que pueden imprimirse en Microsoft Word o bien en HTML
como formato de páginas de Internet para la generación de un reporte no
impreso.
Figura 58. Almacenamiento del reporte exportado
102
6.7.19 Condiciones y consultas
Esta lección resume el pode y la eficacia de los programas en EnScript, las
condiciones, los filtros y las consultas. Las condiciones y los filtros son
utilizados para disminuir las listas de archivos, ayudando así a que el
investigador encuentre con facilidad la información que busca. Tanto las
condiciones como las consultas realizan una búsqueda en todo el caso,
filtrando las entradas con base con uno o más parámetros.
Una condición permite filtrar los objetos en el caso con base en uno o más
atributos. EnCase proporciona una amplia variedad de condiciones
predeterminadas, a la vez que permite al investigador crear nuevas
condiciones predeterminadas requiriendo muy pocos conocimientos, un
investigador podría por ejemplo optar por una condición para ver solo
imágenes, documentos de texto, archivos Zip, páginas de internet, archivos o
carpetas que se encuentran ocultos.
Es necesario crear una carpeta para almacenar las condiciones
predeterminadas, lo que ayudara de exportar estas condiciones en llegado el
caso de que el investigador requiera moverlas o exportarlas. Es primordial
indicar el nombre de la pestaña dentro de la cual funcionara cada condición
en el correspondiente nombre de la carpeta, ya que las condiciones activas
dependerán del nombre de la carpeta.
103
Figura 59. Creando nueva carpeta para almacenar condiciones
Haga clic en el botón derecho sobre la carpeta nueva y selección la opción
new (nueva) para crear una nueva condición.
104
Figura 60. Creando una nueva condición en la nueva carpeta
Se ha optado por crear una nueva condición, EnCase mostrara el cuadro de
dialogo nueva condición. A manera de ejemplo creamos una condición para
encontrar todos los archivos con la extensión en JPEG, asignándole el
nombre IMÁGENES JPEG a la nueva condición.
Figura 61. Cuadro de dialogo nueva condición
105
Haga clic derecho en el elemento de la función principal Fx()Main y
seleccione nuevo para agregar criterios a la condición
Figura 62. Crear criterio de condición
Las propiedades muestran los atributos disponibles para configurar la
ejecución de cada condición. En este ejemplo utilizaremos el atributo
extensión para filtrar por la extensión JPEG.
La función operador se ejecuta sobre el atributo seleccionado, para este
ejemplo utilizaremos la función igual a para filtrar y que nos muestre
solamente los archivos cuya extensión solo sea JPEG.
El filtro puede distinguir entre mayúsculas y minúsculas si lo desea, para este
ejemplo la extensión se incluyen en minúsculas, si se utilizara “Case
106
Sensitive” el resultado no incluiría los objetos con una extensión jpeg en la
que cualquiera de los tres caracteres estuviera en mayúsculas.
Figura 63. Filtro para archivos con extensión jpeg
Selección Aceptar en el cuadro de dialogo y en el cuadro nueva condición
para insertar la condición en la carpeta recién creada.
Figura 64. Nueva condición creada
107
Existen dos formas de ejecutar la condición de búsqueda, al hacer clic sobre
la condición o clic derecho sobre la condición y selección la opción Run o
Correr.
Figura 65. Ejecución de la condición de búsqueda
Una vez realizado el paso anterior obtendrá un resultado con todos los
archivos de imagen con extensión JPEG.
108
7 CONCLUSIONES Y RECOMENDACIONES
En este proyecto se ha desarrollado una investigación de las potencialidades
de EnCase teniendo en cuenta diversas fuentes de información. Esto se
llevo a cabo con el fin de realizar una de la guía metodológica presentada en
este trabajo, basándola en los conceptos y procedimientos investigados, y
refinándola para el uso y conocimiento de forma sencilla de EnCase.
Es importante tener en cuenta otros aspectos importantes de este trabajo, los
cuales son:
La documentación encontrada en las diferentes fuentes de información ha
sido organizada de forma que su uso sea sencillo, sin embrago es
fundamental para quienes hagan de esta una herramienta de uso
educativo trabajar directamente con el software y puedan conocer el
espacio de trabajo y los procedimientos que les permitirán aprender de
forma práctica e intuitiva.
La adquisición de información teniendo como base fuentes de internet fue
complejo debido a que siendo un software licenciado las fuentes públicas
son escasas y con información muy básica de EnCase.
Actualmente el software encase es una de las herramientas más
reconocidas en el medio de la seguridad informática.
Una de las herramientas más poderosas de encase es la capacidad de
organizar de forma conjunta diferentes tipos de dispositivos para que el
usuario pueda localizarlos como una unidad y no de forma individual. Este
proceso ahorra una gran cantidad de tiempo y permite al examinador
concentrarse en el análisis de la evidencia.
109
8 REFERENCIAS
CASEY, EOGHAN. “Digital evidence and computer crime: forensic
science, computers, and the internet”. 2004
CANO MARTINES JEIMY JOSÉ, MOSQUERA GONZÁLEZ JOSÉ
ALEJANDRO, CERTAIN JARAMILLO ANDRÉS FELIPE. Evidencia
digital: contexto, situación e implicaciones nacionales. abril de 2005.
Fecha de consulta, 28 de noviembre de 2011,
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/te
xto/nastecnologias6.pdf
CANO MARTINES JEIMY JOSÉ. Admisibilidad de la evidencia digital:
algunos elementos de revisión y análisis. Agosto de 2003. Fecha de
consulta: 29 de noviembre de 2011. http://www.alfa-redi.org/rdi-
articulo.shtml?x=1304
DOMINGUEZ FEDERICO DANIEL, Experiencia y su importancia en
el proceso de aprendizaje colegio nuestra señora de Loreto, córdoba
profesor guía: polo, Sergio Antonio.
FBI, FEDERAL BUREAU OF INVESTIGATION, (En línea) fecha de
consulta: 20 de noviembre de 2011 httpfbi-10].
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
GUIDANCE SOFTWARE, manual de usuario y guía EnCase, fecha
de consulta: 10 de octubre de 2011,
http://www.encase.com/html/how_encase_works.html.
110
INTERNATION ORGANIZATION ON COMPUTER EVIDENCE, ioce,
international organization of computer evidence. (En línea) Fecha de
consulta: 15 de octubre de 2011. Disponible en: http://www.ioce.org
HANDBOOK GUIDELINES FOR THE MANAGEMENT OF IT
EVIDENCE (En línea), Fecha de consulta: 15 de octubre de 2011.
Disponible en:
http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan01
6411.pdf
http://www.forensics-intl.com/def3.html
SANTAMARINA, RAÚL y LLULL, LAURA. Director y gerente de
gestión del aprendizaje de distance educational network argentina.
revista: learning review Latinoamérica.
111
Top Related