“INFORMÁTICA FORENSE”CONALEP VERACRUZ IGRUPO 3104

EQUIPO 3

ELÍAS RAMÍREZ MARTÍNEZMANUEL ANGEL MUÑOZ SOLANOJORGE EDUARDORUBEN PEÑA COELLO

Ciencia digital forense

La ciencia digital forense es una rama de la ciencia forense que abarca la recopilación y recuperación de información que se encuentra en dispositivos digitales, usualmente relacionada con un crimen o proceso legal.

El termino fue originalmente usado como sinónimo de la computación forense pero se ha ampliado para abarcar otros dispositivos capaces de almacenar datos digitales.

La disciplina evoluciono desde los 90 y no fue hasta la década del 2000 que las policías nacionales fueron creadas.

HISTORIAAntes de la década de los ochenta, los crímenes que involucraban computadoras eran tratados con las leyes existentes. Los primeros crímenes informáticos fueron reconocidos como tales en el acta de crímenes computacionales florida (Florida Computer Crimes Act) en el año 1978que incluye la legislación contra la modificación o supresión no autorizada de datos en un sistema informático. Con el transcurso del tiempo, otros países como Canadá, Australia y gran Bretaña fueron adquiriendo estas leyes.

Debido al crecimiento de la delincuencia informática la swgde (Scientific Working Group onDigital Evidence) publico “Best practices forComputer Forensics” y empresas comerciales comenzaron a ofrecer programas de certificación y formación.

Durante los 80’s existían muy pocas herramientas especializadas para la informática. Forense y los investigadores tenían que usar las herramientas de administración que el sistema operativo ofrecía para extraer pruebas. En la década de 1990 una serie de herramientas (como Safe Back ) fueron creados para permitir que las investigaciones a llevarse a cabo sin el riesgo de alterar los datos.

Como la demanda de pruebas digitales creció, se desarrollaron herramientas comerciales más avanzadas (En Case, FTK, etc)

Más recientemente, la misma progresión del desarrollo de herramientas se ha producido para dispositivos móviles, inicialmente los investigadores accedían a los datos directamente en el dispositivo, estos fueron reemplazados con herramientas especiales (tales como XRY o Radio Tactics Aceso)

APLICACIÓN

La principal aplicación de la informática forense es de recuperar la evidencia de un crimen. No obstante la diversidad de los datos almacenados en dispositivos digitales pueden ayudar con otras áreas de investigación .

Los siguientes son sus principales usos:

●Reconocimiento: los metadatos y registros pueden utilizarse para atribuir acciones a un individuo. Por ejemplo los documentos personales de una computadora pueden identificar a su propietario.

●Intención: además de encontrar evidencia de un crimen, la investigación también puede revelar sus intenciones Por ejemplo, la historia de Internet del asesino convicto Neil Entwistle incluyen las referencias a un sitio de discusión Cómo matar a la gente.

●Evaluación de fuente: archivos artefactos y meta-datos pueden usarse para identificar el origen de una pieza en particular de los datos; por ejemplo versiones anteriores de Microsoft Word incrustaban un identificador único global en los archivos que identifican el ordenador había sido creado. También se puede probar si el archivo se produjo en el dispositivo o fue obtenido de otra fuente

●Autenticación de documentos: relacionado con “evaluación de fuente”, los metadatos asociados con los documentos son fácilmente modificables( por ejemplo al cambiar la fecha del sistema se cambia la fecha de creación del archivo) autenticación de documentos se refiere a la detección y la identificación de la falsificación de esos detalles.

Evidencia digital

La evidencia digital es cualquier prueba o información almacenada o transmitida en forma digital.Antes de que el tribunal acepte la evidencia digital se determinara si esta es relevante, si es autentica, y si es aceptable una copia o se requiere la original.

Cuando esta evidencia se presenta ante un tribunal, esta sigue las mismas normas legales que los demás tipos de pruebas, las cortes no suelen requerir normas mas estrictas.

La facilidad con la que la evidencia digital puede ser cambiada es motivo de que esta disciplina haga uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La evidencia digital es todo aquel dispositivo que tenga una memoria, por lo que se pueden analizar, los siguientes dispositivos

* Disco duro de una Computadora o Servidor

* Documentación referida del caso.* Logs de seguridad.* Credenciales de autentificación* Trazo de paquetes de red.* Teléfono Móvil o Celular, parte de la

telefonía celular,* Agendas Electrónicas (PDA)* Dispositivos de GPS.* Impresora* Memoria USB

Proceso forense

El proceso consta de tres partes:

● 1.-Adquisición de evidencia

● 2.-Análisis

● 3.-Reporte

1.-Análisis

Durante la fase de análisis el investigador reúne la evidencia con diferentes metodologías y herramientas (Encase, FTK, etc.) .

Una vez que la evidencia es recolectada, esta se utiliza para construir eventos o acciones y llegar a conclusiones, trabajo que puede ser realizado por personal menos especializado en el ámbito.

Reporte

Cuando se finaliza la investigación, normalmente es presentada de una forma adecuada para las personas sin conocimientos técnicos.

Cuando los informes están listos son presentados ante los que pusieron en marcha la investigación, tales como la aplicación de la ley (por penales) o la empresa donde trabaja (en los casos civiles), que decidirá entonces si desea utilizar la prueba en los tribunales.

Herramientas usadas

•Sleuth Kit (Forensics Kit)•Py-Flag (Forensics Browser)•Autopsy (Forensics Browser for Sleuth Kit)•dcfldd (DD Imaging Tool command line tool and also works with AIR)•foremost (Data Carver command line tool)•Air (Forensics Imaging GUI)•md5deep (MD5 Hashing Program)•netcat (Command Line)•cryptcat (Command Line)•NTFS-Tools•qtparted (GUI Partitioning Tool)•regviewer (Windows Registry)•Viewer•X-Ways WinTrace•X-Ways WinHex•X-Ways Forensics

•R-Studio Emergency (Bootable Recovery media Maker)

•R-Studio Network Edtion

•R-Studio RS Agent

•Net resident

•Faces

•Encase

•Snort

•Helix

Herramientas para el análisis de discos

duros

•AccessData Forensic ToolKit (FTK)•Guidance Software EnCase

Herramientas para el análisis de correos electrónicos

•Paraben

Herramientas para el análisis de USB

•USBDeview

Ciencia forense

Ciencias fisiológicas forenses

Patología F.

odontología F.

Antropología F.

Entomología F.

Arqueología F

Ciencias sociales

Psicología F.

Psiquiatría F.

Ciencia digital Forense

-Computación

forense

-Dispositivos

móviles

-Análisis de redes

-Estudio de base

de datos

Criminalística F.

-Análisis de huellas dactilares

-Toma de huellas dactilares

Balística

-Identificación de cuerpos

-Perfiles de ADN

Artes F.

-Pruebas de calzado

Toxicología F.

Nota

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no se encarga de prevenir delitos, para ello que encarga la seguridad informática, es importante tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.