Informática Forense

Contenido Introducción Objetivos Objetivo Principal Objetivos específicos Desarrollo Generalidades Definición Importancia Usos Aspectos técnicos - Fases de un Análisis Forense Digital Identificación del incidente: búsqueda y recopilación de evidencias Descubrir las señales del ataque Recopilación de evidencias Preservación de la evidencia Análisis de la evidencia Preparación para el análisis: El entorno de trabajo Reconstrucción de la secuencia temporal del ataque Determinación de cómo se realizó el ataque Identificación del autor o autores del incidente Evaluación del impacto causado al sistema Documentación del incidente Utilización de formularios de registro del incidente El Informe Técnico El Informe Ejecutivo Herramientas Tipos de herramientas forenses Recolección de evidencias Monitoreo y/o control de computadoras Marcado de documentos Hardware Herramientas para realizar análisis forense Programas para informática forense Medidas adoptadas por Ecuador, realidad procesal El enfoque preventivo Valoración y gestión del riesgo Planificación Ahorro de costes y rendimientos óptimos en la respuesta forense Futuro Conclusiones y recomendaciones Conclusiones Recomendaciones Diccionario de términos Fuente de consulta Anexos Reforma Reglamento Ley de Comercio Electrónico Herramientas más conocidas para el análisis forense Esquema del proceso de respuesta a incidentes Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS INTRODUCCIÓN El uso y evolución de las Tecnologías de Información y la Comunicación (TICs), brinda nuevas oportunidades para que una institución esté innovada y pueda prevalecer frente a la competencia, transformando sustancialmente los procesos de intercambio y producción de información. Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques en contra de de la integridad de sistemas computacionales o redes ha causado ingentes pérdidas económicas especialmente en el sector comercial y bancario, debido a esto las empresas pierden credibilidad y se debilitan institucionalmente. Por esta razón se desarrollan herramientas que permite descubrir a los autores del delito y asegurar las pruebas del mismo. En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá combatir esta clase de transgresiones. Una de las herramientas es la informática forense, ciencia criminalística que sumada al impulso y utilización masiva de nuevas tecnologías en todos los ámbitos, está adquiriendo una gran importancia debido a la globalización de la sociedad de la información. La informática forense no ha sido totalmente conocida, razón por la cual su admisibilidad dentro de un proceso judicial podría ser cuestionada, pero esto no debe ser un obstáculo para dejar de lado esta importante clase de herramienta, debiendo ser manejada en base a rígidos principios científicos, normas legales y procedimientos. La aplicación de esto nos ayudará a resolver grandes crímenes apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales. El propósito de este documento es socializar sobre la informática forense, dando pautas para que se pueda manejar delitos informáticos con la debida recuperación de evidencia digital. Además la universidad debe aprovechar las bondades de la informática forense para realizar estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos. Informática Forense – Compilado por Quituisaca Samaniego Lilia 2 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS OBJETIVOS Objetivo Principal: Recolectar evidencia digital presente en toda clase de infracciones en los Delitos Informáticos. Objetivos específicos: Compensar de los daños causados por los criminales o intrusos. Perseguir y procesar judicialmente a los criminales informáticos. Aplicar medidas como un enfoque preventivo. Informática Forense – Compilado por Quituisaca Samaniego Lilia 3 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS DESARROLLO Generalidades Definición: “La informática forense es la ciencia que nos permite identificar, preservar, analizar y presentar, evidencia digital, que pueda ser usada como evidencia dentro de un proceso legal.” Según el FBI, la informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Importancia: La informática forense nace en vista de la necesidad del personal del derecho en poder afrontar nuevas tareas probatorias. Esta necesidad crea el nacimiento de los llamados detectives digitales o peritos informáticos. Los Informáticos forenses tienen la ardua labor de realizar investigaciones en busca de evidencia digital. Usos: Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia 4 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez que se tiene la orden judicial para hacer la búsqueda exhaustiva. Investigación científica: Academias y universidades aprovechan las bondades de la informática forense para realizar estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos, entre otros. Usuario final: Cada vez es más común que las personas usen herramientas de software para recuperar archivos borrados, encriptar documentos y rastrear el origen de un correo electrónico. Informática Forense – Compilado por Quituisaca Samaniego Lilia 5 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Aspectos técnicos - Fases de un Análisis Forense Digital Identificación del incidente: búsqueda y recopilación de evidencias Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva aparejado la búsqueda y recopilación de evidencias. Antes de comenzar una búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de forma metódica y profesional. Descubrir las señales del ataque Para iniciar una primera inspección del equipo deberá tener en mente la premisa de que debe conservar la evidencia, no haga nada que pueda modificarla. Deberá utilizar herramientas que no cambien los sellos de tiempo de acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto que no borren nada. Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad que incorpora el Sistema Operativo, o las que se hayan instalado se mantienen intactas deberemos utilizar otras alternativas. Piense que en muchos casos los atacantes dispondrán de herramientas capaces de modificar la información que el administrador verá tras la ejecución de ciertos comandos. Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Cuestione siempre la información que le proporcionen las aplicaciones instaladas en un sistema que crea comprometido. Recopilación de evidencias Si está seguro de que sus sistemas informáticos han sido atacados. En este punto deberá decidir cuál es su prioridad: A.- Tener nuevamente operativos sus sistemas rápidamente. B.- Realizar una investigación forense detallada. Piense que la primera reacción de la mayoría de los administradores será la de intentar devolver el sistema a su estado normal cuanto antes, pero esta actitud sólo hará que pierda casi todas las evidencias que los atacantes hayan podido dejar en “la escena del crimen”, eliminando la posibilidad de realizar un análisis forense de lo sucedido que le permita contestar a las preguntas de ¿qué?, ¿cómo?, ¿quién?, ¿de dónde? y ¿cuándo? se comprometió el sistema, e impidiendo incluso llevar a cabo acciones legales posteriores. Esto también puede llevarle a trabajar con un sistema vulnerable, exponiéndolo nuevamente a otro ataque. Informática Forense – Compilado por Quituisaca Samaniego Lilia 6 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Documentar detalladamente todas las operaciones que realice sobre los sistemas atacados. No escatime en la recopilación de datos incluso haga fotografías de los equipos y del entorno, cualquier evidencia puede ser definitiva. También sería recomendable que le acompañase otra persona durante el proceso de recopilación de evidencias, ésta actuaría como testigo de sus acciones, así que si es alguien imparcial mejor, y si puede permitirse que le acompañe un Notario mejor, recuerde los requisitos legales para que una evidencia pase a ser considerada como prueba en un juicio. Preservación de la evidencia Aunque el primer motivo que le habrá llevado a la recopilación de evidencias sobre el incidente sea la resolución del mismo, puede que las necesite posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación. En este proceso, es imprescindible definir métodos adecuados para el almacenamiento y etiquetado de las evidencias. Como primer paso deberá realizar dos copias de las evidencias obtenidas, genere una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Otro aspecto a tener en cuenta, y que está relacionado con el comentario anterior, es el proceso que se conoce como la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Deberá preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento. Informática Forense – Compilado por Quituisaca Samaniego Lilia 7 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Análisis de la evidencia Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de forma adecuada, el Análisis Forense reconstruirá con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando conozcamos cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. Preparación para el análisis: El entorno de trabajo Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de trabajo adecuado al estudio que desee realizar. Es recomendable no tocar los discos duros originales y trabajar con las imágenes que recopiló como evidencias, o mejor aún con una copia de éstas, tenga en cuenta que necesitará montar esas imágenes tal cual estaban en el sistema comprometido. Prepare dos estaciones de trabajo, en una de ellas, que contendrá al menos dos discos duros, instale un sistema operativo que actuará de anfitrión y que le servirá para realizar el estudio de las evidencias. En ese mismo ordenador y sobre un segundo disco duro, vuelque las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado. En el otro equipo instale un sistema operativo configurado exactamente igual que el del equipo atacado, además mantenga nuevamente la misma estructura de particiones y ficheros en sus discos duros. Si no dispone de recursos, puede utilizar software como VMware, que le permitirá crear una plataforma de trabajo con varias máquinas virtuales (varios equipos lógicos independientes funcionando sobre un único equipo físico). Informática Forense – Compilado por Quituisaca Samaniego Lilia 8 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Reconstrucción de la secuencia temporal del ataque El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello recopile la siguiente información sobre los ficheros: • Inodos asociados. • Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado). • Ruta completa. • Tamaño en bytes y tipo de fichero. • Permisos de acceso. • Usuarios y grupos a quien pertenece. • Si fue borrado o no Sin duda esta será la información que más tiempo le llevará recopilar, pero será el punto de partida para su análisis, podría plantearse aquí dedicar un poco de tiempo a preparar un script que automatizase el proceso de creación del timeline. Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, inodos y fechas MAC muy distintas a las de los ficheros más antiguos. La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes. Piense que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar, como por ejemplo en los directorios temporales. Determinación de cómo se realizó el ataque Una vez que disponga de la cadena de acontecimientos que se han producido, deberá determinar cuál fue la vía de entrada a su sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha. Estos datos, deberá obtenerlos de forma metódica, empleando una combinación de consultas a archivos de logs, registro, claves, cuentas de usuarios, etc. Identificación del autor o autores del incidente La identificación de sus atacantes será de especial importancia si tiene pensado llevar a cabo acciones legales posteriores o investigaciones internas a su organización. Deberá realizar algunas pesquisas como parte del proceso de identificación. Primero intente averiguar la dirección IP de su atacante, para ello revise con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. Informática Forense – Compilado por Quituisaca Samaniego Lilia 9 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS También podría encontrar esta información en fragmentos de las evidencias volátiles, la memoria virtual o archivos temporales y borrados, como restos de e-mail, conexiones fallidas, etc. Otro aspecto que le interesaría averiguar es el perfil de sus atacantes, aunque sin entrar en detalles podrá encontrarse con los siguientes tipos de “tipos”: • • • Hackers: Son los más populares y tienen hasta su propia película (HACKERS de Iain Softley, 1995). Se trata de personas con conocimientos en técnicas de programación, redes, Internet y sistemas operativos. Sus ataque suelen tener motivaciones de tipo ideológico (pacifistas, ecologistas, anti-globalización, anti-Microsoft, etc.) o simplemente lo consideran como un” desafío intelectual”. SciptKiddies: Son una nueva especie que ha saltado a la escena de la delincuencia informática recientemente. Se trata de jóvenes que con unos conocimientos aceptables en Internet y programación emplean herramientas ya fabricadas por otros para realizar ataques y “ver que pasa”. Profesionales: Son personas con muchísimos conocimientos en lenguajes de programación, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques taques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparación del mismo, realizando un estudio meticuloso de todo el proceso que llevará a cabo, recopilando toda la información posible sobre sus objetivos, se posicionará estratégicamente cerca de ellos, realizará un tanteo con ataques en los que no modificará nada ni dejará huellas. Evaluación del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el análisis forense le ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Esto le permitirá evaluar el compromiso de sus equipos y realizar una estimación del impacto causado. Generalmente se pueden dar dos tipos de ataques: Ataques pasivos: en los que no se altera la información ni la operación normal de los sistemas, limitándose el atacante a fisgonear por ellos. Ataques activos: en los que se altera, y en ocasiones seriamente, tanto la información como la capacidad de operación del sistema. Además existen otros aspectos del ataque como los efectos negativos de tipo técnico que ha causado el incidente, tanto inmediato como potencial. Por ejemplo ataques al cortafuegos, el router de conexión a Internet o Intranet, el servidor Web corporativo, los servidores de bases de datos, tendrán diferente repercusión según el tipo de servicio o negocio que preste su organización y las relaciones de dependencia entre sus usuarios. Informática Forense – Compilado por Quituisaca Samaniego Lilia 10 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Documentación del incidente Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el incidente. Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá que mantener informados a las personas adecuadas de la organización, por lo que será interesante que disponga de diversos métodos de comunicación. Además, necesitará tener preparados una serie de formularios y presentar tras la resolución del incidente al menos dos tipos de informes uno Técnico y otro Ejecutivo. Utilización de formularios de registro del incidente El empleo de formularios puede ayudarle bastante en este propósito. Éstos deberán ser rellenados por los departamentos afectados por el compromiso o por el propio equipo que gestionará el incidente. Alguno de los formularios que debería preparar serán: • • • • • • Documento de custodia de la evidencia. Formulario de identificación de equipos y componentes. Formulario de incidencias tipificadas. Formulario de publicación del incidente. Formulario de recogida de evidencias. Formulario de discos duros. El Informe Técnico Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense. A modo de orientación, deberá contener, los siguientes puntos: • • • • • • Antecedentes del incidente. Recolección de los datos. Descripción de la evidencia. Entorno del análisis. o Descripción de las herramientas. Análisis de la evidencia. o Información del sistema analizado. ̇ Características del SO. ̇ Aplicaciones. ̇ Servicios. ̇ Vulnerabilidades. ̇ Metodología. Descripción de los hallazgos. o Huellas de la intrusión. Informática Forense – Compilado por Quituisaca Samaniego Lilia 11 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS • • • • o Herramientas usadas por el atacante. o Alcance de la intrusión. o El origen del ataque Cronología de la intrusión. Conclusiones. Recomendaciones específicas. Referencias. El Informe Ejecutivo Este informe consiste en un resumen del análisis efectuado, pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido a personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración, e incluso algunos directivos. En este informe deberá constar lo siguiente: • • • • Motivos de la intrusión. Desarrollo de la intrusión Resultados del análisis. Recomendaciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia 12 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Herramientas Tipos de herramientas forenses. Recolección de evidencias Existen un gran número de herramientas que se pueden utilizar para la recuperación de evidencia, la utilización de herramientas sofisticadas es necesaria. Esto se debe a la gran cantidad de datos que pueden estar guardados en la computadora, la gran cantidad de extensiones y formatos con los que nos podemos encontrar dentro de un mismo sistema operativo. Es necesario recopilar información que sea correcta y que sea comprobable, es decir verificar que no ha sufrido alteraciones o corrupción. Cabe aclarar que las herramientas sofisticadas nos ayudan a disminuir los tiempos para poder analizar toda la información recopilada. Por otro lado nos encontramos también la simplicidad con la que se pueden borrar los archivos de la computadora como así también las distintas herramientas de encriptación y contraseñas. Monitoreo y/o control de computadoras Hay ocasiones en las que necesitamos saber cual ah sido la utilización que se le ah dado a la computadora antes de que se le realice la pericia por lo tanto tenemos herramientas que controlan que se le da ah la computadora para poder recopilar la información. Dentro de las herramientas nos encontramos con algunas de mucha simpleza como lo es un key logger, el cual almacena en un archivo de texto todo lo que ingresamos por el teclado. De esta misma forma tenemos los intermedios que guardan screenshots de la pantalla que ve el usuario observado y los de mayor complejidad que nos permiten tomar el control de la computadora en su totalidad además de observar lo que hace el usuario. Marcado de documentos Una herramienta interesante es aquella que permite hacerle una marca a un documento importante, esto es de gran utilidad si nos encontramos con un caso en el que se esta sustrayendo información, ya que al marcar el documento se lo puede seguir y detectarlo con facilidad. La intención principal de la seguridad está centrada en prevenir los ataques. Nos encontramos con algunos sitios los cuales tienen información confidencial o de mucho valor los cuales intentan protegerse a través de mecanismos de validación. Pero lo cierto es que nada es seguro en su totalidad siempre hay algo que se nos escapa por lo tanto debemos estar preparados para saber actuar ante algún posible ataque. Hardware Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas como DIBS las cuales son las que nos permiten poder recuperar la información sin alterar los datos. Pero seguimos teniendo el inconveniente de que cuando encendemos la computadora se modifican los registros de la misma. Informática Forense – Compilado por Quituisaca Samaniego Lilia 13 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Herramientas para realizar análisis forense Herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos borrados o recolección de evidencia digital. Outport: Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por con Outlook 2000 y Evolution 1.0.x y 1.2.x. AIRT (Advanced incident response tool): Conjunto de herramientas para el análisis y respuesta ante incidentes, útiles para localizar puertas traseras. Foremost: Utilidad para Linux que permite realizar análisis forenses. Lee de un fichero de imagen o una partición de disco y permite extraer ficheros. WebJob: Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operación. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. HashDig: Automatiza el proceso de cálculo de los hashes MD5 y comprobación de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia. Md5deep: Conjunto de programas que permiten calcular resúmenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Automated Foresic Análisis: Herramienta para análisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan información interesante para un análisis forense. Gpart: Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo. TestDisk: Programa que permite chequear y recuperar una partición eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI’s Journaled File System. Dump Event Log: Herramienta de línea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. Fccu-docprop: Utilidad de línea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la librería libgsf para obtener los meta datos. Fccu.evtreader: Permite analizar ficheros de log de eventos de Windows. GrokEVT: Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Event Log Parser: Script PHP que, pasándole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII. Informática Forense – Compilado por Quituisaca Samaniego Lilia 14 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Programas para informática forense Herramientas que permiten la recuperación de datos como así también el análisis de los navegadores. Los programas son lo siguientes. Srprint: Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauración del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de creación y borrado de ficheros que ya no estén presentes en el sistema. iDetect Toolkit: Utilidad que asiste a un investigador forense en el análisis de la memoria de un sistema comprometido. Pasco: Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la información de un fichero index.dat obteniendo como resultado campos separados por tabuladores que pueden importarse fácilmente a una hoja de cálculo. Web Historian: Asiste en la recuperación de las URLs de los sitios almacenados en los ficheros históricos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla Firefox, Netscape, Opera y Safari. Rifuiti: Herramienta para el análisis forense de la información almacenada en la Papelera de Reciclaje de un sistema Windows. Reg Viewer: GUI en GTK 2.2 para la navegación de ficheros de registro de Windows. Es independiente de la plataforma en que se ejecute. RegParse: Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. Abre el fichero en modo binario y parsea la información registro a registro. Regutils: Herramientas para la manipulación de ficheros ini y de registro de sistemas Windows 9x desde UNIX. Allimage: Esta herramienta para Windows nos permitirá crear imágenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos. ProDiscover Basic Edition: Completo entorno grafico para el análisis forense de sistemas bajo entornos Windows. Permite realizar imágenes, preservar, analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del análisis. FTK Imagen: Herramienta que nos permitirá realizar imágenes de un dispositivo comprometido. Entre sus características también esta la conversión entre diferentes formatos de imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita. También existe una versión lite, cuya funcionalidad es más reducida. PyFlag: Avanzada herramienta para el análisis forense de grandes volúmenes o imágenes de log. Desarrollada en python posee una interfaz accesible mediante el navegador web. Entre sus características posee la de integrar volatility, facilitando de esta forma el análisis de ficheros de imagen de la memoria física de un sistema Windows. PlainSight: Completo entorno para el análisis forense de sistemas. Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavía se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista. Informática Forense – Compilado por Quituisaca Samaniego Lilia 15 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Medidas adoptadas por Ecuador, realidad procesal Desde 1999 se puso en el tapete de la discusión el proyecto de Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas. Se conformaron comisiones para la discusión de la Ley. Cuando la ley se presentó en un principio, tenía una serie de falencias, que con el tiempo se fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la misma, es decir los llamados Delitos Informáticos, como se les conoce, se sancionarían de conformidad a lo dispuesto en nuestro Código Penal por lo que no se tomaba en cuenta los adelantos de la informática y la telemática presentando inseguridad en el comercio telemático ante el posible asedio de la criminalidad informática. Pero en el año 2002 se aprobó un texto definitivo de la Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas, y en consecuencia las reformas al Código Penal que emitía frente a los Delitos Informáticos. De acuerdo a la Constitución Política del Ecuador y la reciente Reforma señala que “El Ministerio Público prevendrá en el conocimiento de las causas, dirigirá y promoverá la investigación pre - procesal y procesal penal”. Ahora el problema que se advierte por parte de las instituciones llamadas a perseguir las llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto del Miniterio Público como de la Policía Judicial, esto en razón de la falta por un lado de la infraestructura necesaria, como centros de vigilancia computarizada, las modernas herramientas de software y todos los demás implementos tecnológicos necesarios para la persecución de los Delitos Informáticos, de igual manera falta la suficiente formación tanto de los Fiscales que dirigirán la investigación como del cuerpo policial que lo auxiliara en dicha tarea, dado que no existe hasta ahora en nuestra policía una Unidad Especializada, como existe en otro países. Por tanto es esencial que se formen unidades Investigativas tanto policiales como del Ministerio Público especializadas en abordar cuestiones de la delincuencia informática e informática forense. Estas unidades pueden servir también de base tanto para una cooperación internacional formal o una cooperación informal basada en redes transnacionales de confianza entre agentes de aplicación de la ley. La masificación de virus informáticos globales, la difusión de pornografía infantil e incluso actividades terroristas son algunos ejemplos de los nuevos delitos informáticos y sus fronteras que presentan una realidad difícil de controlar. Con el avance de la tecnología digital, ha surgido una nueva generación de delincuentes que expone a los gobiernos, las empresas y los individuos a estos peligros. Debemos exigir entonces contar no solo con leyes e instrumentos eficaces y compatibles que permitan una cooperación idónea entre los estados para luchar contra la Delincuencia Informática, sino también con la infraestructura tanto técnica como con el recurso humano calificado para hacerle frente a este nuevo tipo de delitos transnacionales. Es por eso que el Ministerio Público tiene la obligación jurídica en cumplimiento de su mandato constitucional de poseer un cuerpo especializado para combatir esta clase de criminalidad a fin de precautelar los derechos de las víctimas y llevar a los responsables a juicio, terminando así con una cantidad considerable de esta clase de infracciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia 16 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS El enfoque preventivo Este enfoque nace, precisamente, como sistematización del proceso forense antes de que el incidente ocurra, es decir, a priori, cuando podemos planificar con calma y con recursos los pasos que vamos a dar en el tratamiento de cada tipo de incidente. Las probabilidades de conseguir evidencias de calidad cuando establecemos una relación con el cliente anterior al incidente aumentan de forma exponencial; porque la estructura organizativa, las plataformas e infraestructuras de una organización se adapten para obtener las mejores evidencias forenses. Cabe mencionar las consecuencias en el ahorro de costos cuando la planificación de la respuesta ha sido preventiva y no responde a necesidades de urgencia en el tratamiento de un incidente que ya ha ocurrido y, por supuesto, es extremadamente importante poder documentar y hacer seguimiento de todos los procesos de negocio y de sus infraestructuras asociadas. Valoración y gestión del riesgo La prevención forense parte de la gestión de riesgos de la organización. Contando con un correcto mapa de activos y riesgos valorados sobre estos, podemos determinar recursos que necesitan especial atención desde la perspectiva de seguridad. De las matrices de valoración de activos, amenazas y vulnerabilidades, controles de mitigación y riesgos efectivos podemos deducir tecnologías aplicables y una aproximación de costeinversión para una organización en particular; toda esta información puede obtenerse de la gestión de riesgos, ya sea cuantitativa (donde aproximas impactos por costes y pérdidas económicas) o cualitativa (con una aproximación subjetiva y no cuantificable de forma económica). Por ejemplo, identificar un activo con un gran peso, alto impacto en la organización y escasos controles de mitigación podría llevarnos a valorar la implantación de sistemas avanzados de vigilancia de éste con herramientas de detección de intrusos. Planificación De acuerdo con el mapa de activos y riesgos podemos tomar una serie de decisiones que hagan óptima la distribución de recursos dedicados a la práctica forense. Así, podemos incidir en las ventajas de contar con un procedimiento detallado de respuesta a incidentes que nos ayude a coordinar cómo queremos gestionar y responder a las situaciones de crisis que puedan darse en el futuro. Por supuesto, planes de continuidad, contingencia y gabinetes de crisis son también imprescindibles en tanto que establecen los protocolos y las estrategias de recuperación en caso de fallo. Todos estos proyectos que cubren las necesidades principales planteadas por la organización pueden ser limitados en lo que se refiere a la recuperación de evidencias. Lo habitual es plantear procedimientos que garanticen la continuidad de la operación y que ayuden a responder a un incidente desde la perspectiva de la disponibilidad. ¿Qué ocurre con la preservación de la evidencia? ¿Y con la protección de los activos frente a futuras amenazas del mismo tipo? Debemos tener presente las consecuencias derivadas de cualquier tipo de incidente relacionado con nuestra organización. Dedicando un esfuerzo dentro de la planificación de la respuesta a incidentes o dentro de la gestión de la continuidad de negocio, podemos mejorar en muchos niveles nuestra dinámica de Informática Forense – Compilado por Quituisaca Samaniego Lilia 17 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS documentación y protección de la evidencia. Con una buena política de uso de estas evidencias podemos obtener resultados directos en la prevención de acciones dañinas para la organización (malas prácticas, tiempos de parada, etc.) e incluso podemos llegar a hablar de prevención de ciertos tipos de fraude detectables mediante estas evidencias. Ahorro de costes y rendimientos óptimos en la respuesta forense Los presupuestos en materia seguridad cada vez son mayores en todas las organizaciones. En empresas consideradas de baja inversión como pueden ser las tradicionales PYMES, la orientación ha cambiado y se estima que a lo largo de los años próximos la inversión, en este tipo de empresas va a aumentar. En la mayor parte de los casos dedicar un leve esfuerzo en materia de prevención forense puede reducir la potencialidad del incidente de seguridad de forma drástica. La mejor formación de los equipos de respuesta trabajando antes de una situación de emergencia ayuda, con un coste de inversión mínimo, a evitar situaciones de pánico, a asegurar el correcto tratamiento de un incidente, a garantizar la calidad de las evidencias recopiladas, a conseguir una respuesta óptima frente a todas las situaciones conocidas o previstas, y a mejorar la respuesta frente a situaciones nuevas. Con todo lo antes mencionado podemos hablar con cifras reales de reducción de casos de fraude o de incidentes en función a prácticas de mejora de la respuesta forense. Si un proceso de negocio es gestionado correctamente desde la prevención en materia forense estamos hablando de la posibilidad de realizar un seguimiento estricto que pueda llevar a la detección de patrones de malas prácticas, problemas que estén en marcha y a la utilización de evidencias de calidad que previamente hemos obtenido, protegido y puesto a disposición de los responsables pertinentes. Futuro Los diversos fabricantes e integradores que trabajan en el mercado tecnológico ya incluyen dentro de sus soluciones herramientas y soluciones diversas en materia de protección de evidencias. Incluso fabricantes especializados en herramientas forenses han desarrollado soluciones preventivas que permiten la vigilancia ante-mortem. Existen soluciones con altas capacidades de correlación de eventos de diferentes fuentes, integración con diferentes soluciones de SIEM, sistemas de alerta temprana (con notificaciones de incidentes que ocurren en otras zonas geográficas), técnicas de gestión de evidencias y todo tipo de mejoras en infraestructuras que, hasta ahora, se planteaban como “valor añadido” pero que, la evolución natural de los mercados, ha llevado a considerar como necesidades particulares. El auge de las tecnologías de virtualización que permiten, entre otras cosas, obtener copias “en caliente” del sistema en funcionamiento o interceptar determinadas operaciones a nivel de núcleo abren otra puerta en materia de prevención forense. Incluso con la emergencia de aplicaciones derivadas de la filosofía del “Trusted Computing” podemos hablar de interceptar problemas detectados por vulneraciones de la política específica de un proceso de negocio determinado o del uso indebido de algún tipo de recurso. Podríamos hablar de sistemas de control que mediante las trazas de auditoria y el conocimiento forense adquirido nos permitieran bloquear intentos de fraude antes o durante de su ejecución. Informática Forense – Compilado por Quituisaca Samaniego Lilia 18 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES • • • • • La informática forense es una herramienta indispensable que toda organización debe contemplar dentro de su política de seguridad y enmarcarla dentro del proceso de respuesta a incidentes en los sistemas informáticos. Las herramientas que el mercado maneja ya están muy consolidadas y los procedimientos en uso son aplicados por todas las empresas y expertos de estas. En el ámbito preventivo existen acciones dispersas dentro de otros proyectos de mayor entidad como los planes de continuidad, contingencia y respuesta a incidentes, pero que adolecen de cierta seguridad en lo que a requisitos forenses se refiere. La protección de las evidencias, firma digital de estas, controles de acceso, vigilancia y las implicaciones legales asociadas; llevan a plantear nuevos modelos de gestión de la seguridad. Incidir en el enfoque preventivo de la práctica forense para: • • • Garantizar la calidad de las evidencias. Dar mejor gestión y control de los procesos de negocios. Asegurar el menor costo en la gestión anterior a un incidente sin la presión de una situación de emergencia. RECOMENDACIONES • • • En la era de la información, en la que las tecnologías avanzan a paso agigantado, nos encontramos con profesionales capacitados y de gran utilidad en la resolución de problemas informáticos, pero no han sido reconocidos en muchos ámbitos de nuestra sociedad y sin embargo son de gran utilidad, estos profesionales deben especializarse es este tipo de herramientas que permitirán generar confianza en los juicios por Delitos Informáticos. La Informática forense aporta soluciones, tanto a grandes empresas como a PYMES, por lo que éstas deben gestionar para que se realicen estudios científicos, especialmente en centros de investigación como las Universidades. Se debe destacar la necesidad de aplicar metodologías y procedimientos específicos con el fin de asegurar la garantía de calidad de las evidencias durante todo el proceso forense, haciendo hincapié en la recopilación y custodia de las evidencias digitales. Informática Forense – Compilado por Quituisaca Samaniego Lilia 19 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS DICCIONARIO DE TÉRMINOS Trusted Computing.- Permitir solo la ejecución de programas firmados o validados por la organización. Inodo.- En informática, un inodo o (i-node en inglés) es una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el caso de Linux. Un inodo contiene las características (permisos, fechas, ubicación, pero NO el nombre) de un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros. El término "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que almacenan archivos regulares, directorios, y enlaces simbólicos. El concepto es particular-mente importante para la recuperación de los sistemas de archivos dañados. Cada inodo queda identificado por un número entero, único dentro del sistema de ficheros, y los directorios recogen una lista de parejas formadas por un número de inodo y nombre identiticativo que permite acceder al archivo en cuestión: cada archivo tiene un único inodo, pero puede tener más de un nombre en distintos o incluso en el mismo directorio para facilitar su localización. Vigilancia ante-mortem.- Vigilancia realizada antes de que ocurra el incidente. Vigilancia post-mortem.- Vigilancia realizada después de que ocurra el incidente. Exploit.- Es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa. El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas para su ataque. Informática Forense – Compilado por Quituisaca Samaniego Lilia 20 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS FUENTE DE CONSULTA Pablo Román Ramírez G. (2008). “Informática forense: un enfoque preventivo”. Revista ALI Base informática ALI® ASOCIACION DE INGENIEROS E INGENIEROS TECNICOS EN INFORMATICA • Nº 43 • 2008 Miguel López Delgado. “Análisis Forense Digital”. http://www.codemaster.es Equipo de Investigación de Incidentes y Delitos Informáticos. “Investigaciones Digitales”. http://www.eiidi.com Sitios web: • • • • • • • • • www.auditoresdesistemas.com www.criptored.upm.es www.ioce.org www.dfrws.org www.isaca.org www.e-fense.com www.opensourceforensics.org www.forensics-es.org www.securityfocus.com Descarga de programas-herramientas: • • • FTK http://www.foundstone.com HELIX CD http://www.e-fense.com/helix/ F.I.R.E. Linux http://biatchux.dmzs.com Informática Forense – Compilado por Quituisaca Samaniego Lilia 21 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS ANEXOS A.1 Reforma Reglamento ley de comercio electrónico A.2 Descripción de algunas herramientas reconocidas para el análisis forense A.3 Esquema del proceso de respuesta a incidentes. Informática Forense – Compilado por Quituisaca Samaniego Lilia 22 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS A.1 Reforma Reglamento ley de comercio electrónico REGI STRO OFI CI AL Añ o I I - - Qu i t o , Lu n es 6 d e Oct u b r e d el 2 0 0 8 - - Nr o . 4 4 0 FUNCI ON EJECUTI VA DECRETO: 1356 Expídase las reform as al Reglam ent o General a la Ley de Com ercio Elect r ónico, Firm as Elect rónicas y Mensaj es de Dat os. N" 1356 Ra fa e l Cor r e a D e lga do PRESI D EN TE CON STI TUCI ON AL D E LA REPUBLI CA Con side r a n do: Que, m ediant e Ley No. 67, publicada en el Suplem ent ó del Regist ro Oficial No. 577 de 17 de abril del 2002 se expidió la Ley de Com ercio Elect rónico, Fir m as Elect rónicas y Mensaj es de Dat os; Que, m ediant e Decr et o No. 3496, publicado en el Regist r o Oficial 735 de 31 de j ulio del 2002 se ex pidió el Reglam ent o Gener al a la Ley de Com er cio Elect r ónico, Fir m as Elect r ónicas y Mensaj es de Dat os; Que, de confor m idad con lo dispuest o en el ar t ículo 37 de la Ley de Com er cio Elect r ónico, Fir m as Elect r ónicas y Mensaj es de Dat os, el Consej o Nacional de Telecom unicaciones " CONATEL" , es el or ganism o de aut or ización, r egist r o y r egulación de las Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acr edit adas; Que, de confor m idad con lo dispuest o en el ar t ículo innum er ado 4 del ar t ículo 10 de la Ley Especial de Telecom unicaciones r efor m ada, la Secr et ar ía Nacional de Telecom unicaciones " SENATEL" , es el or ganism o de ej ecución del CONATEL; Que, la Disposición Gener al Sépt im a de la Ley No. 67, señala que: " La pr est ación de ser v icios de cer t ificación de infor m ación por par t e de Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acr edit adas, r equer ir á de aut or ización pr ev ia y r egist r o: Que, la Disposición Gener al Oct av a de la Ley No. 67 señala que " El ej er cicio de act iv idades est ablecidas en est a ley , por par t e de inst it uciones públicas o pr iv adas, no r equer ir á de nuev os r equisit os o r equisit os adicionales a los va est ablecidos, par a gar ant izar la eficiencia t écnica y segur idad j ur ídica de los pr ocedim ient o e inst r um ent os em pleados. " ; Que. es necesar io ar m onizar el r égim en de acr edit ación de Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados a fin de que guar den concor dancia con lo dispuest o en la Ley No. 67; Que, es pr ior idad del Est ado Ecuat or iano que em pr esas uniper sonales o per sonas j ur ídicas de der echo público o pr iv ado, pr ev ia acr edit ación del CONATEL, en calidad de Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acr edit adas, em it an cer t ificados de fir m a elect r ónica y puedan pr est ar ot r os ser v icios r elacionados, per m it iendo así el ej er cicio de las act iv idades pr ev ist as en la Ley No. 67; y , Que. es necesar io pr om ov er polít icas que suscit en y for t alezcan el desar r ollo y aplicación efect iv a del com er cio elect r ónico. En ej er cicio de la facult ad pr ev ist a en el ar t ículo 171 num er al 5 de la Const it ución Polít ica de la República, Decr et a: Ex pedir las siguient es REFORMAS AL REGLAMENTO GENERAL A LA LEY DE COMERCI O ELECTRÓNI CO, FI RMAS ELECTRONI CAS Y MENSAJES DE DATOS. Informática Forense – Compilado por Quituisaca Samaniego Lilia 23 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS Ar t . 1.- Reem plazar en el segundo inciso del apar t ado b) del ar t ículo 15 las palabr as " o la Ent idad de r egist r o" por " o el t er cer o v inculado" . Ar t . 2. - Sust it uir el ar t ículo 16 por el siguient e: " Sin per j uicio de la r eglam ent ación que em it a el CONATEL, par a la aplicación del ar t ículo 28 de la Ley No. 67, los cer t ificados de fir m a elect r ónica em it idos en el ex t r anj er o t endr án v alidez legal en el Ecuador una v ez obt enida la . r ev alidación r espect iv a por una En t id a d de Cer t ificación de I nfo r m ación y Ser v icios Relacionados Acr edit ada ant e el CONATEL, la cual deber á com pr obar el gr ado de fiabilidad de dichos cer t ificados y de quien los em it e " . Ar t . 3.- Sust it uir el inciso segundo del ar t ículo 17 por el sig u ien t e: " Los cer t ificados de fir m a elect r ónica em it idos y r ev alidados por las Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acr edit adas por el CONATEL, t ienen car áct er pr obat or io" . Ar t . 4. - Agr egar a cont inuación del ar t ículo 17, los siguient es ar t ículos: " Ar t . ... Regist r o Pú b lico N a cion a l d e En t id a d e s d e Ce r t ifica ción de I n for m a ción y Se r vicios Re la cion a dos Acr e dit a da s y t e r ce r os vin cu la dos: " Se crea el Regist ro Público Nacional de Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acr edit adas y t er cer os v inculados, a car go de la Secr et ar ía Nacional de Telecom unicaciones. El CONATEL em it ir á la r eglam ent ación que per m it a su or ganización y funcionam ient o." " Ar t . . .. Acr edit ación: La acr edit ación com o Ent idad de Cer t ificación de I nfor m ación y Ser v icios Relacionados, consist ir á en un act o adm inist r at iv o em it ido por el CONATE! . a t r av és de una r esolución la que ser á inscr it a en el Regist r o Público Nacional de Ent idades de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acr edit adas y t er cer os v inculados. El plazo de duración de la acredit ación ser á de 10 años r enov ables por igual per íodo, pr ev ia solicit ud escr it a pr esent ada a la Secr et ar ia Nacional de Telecom unicaciones con t r es m eses de ant icipación al v encim ient o del plazo, siem pr e y cuando la Ent idad de Cer t ificación de I nfor m ación y Ser v icios Relacionados Acredit ada haya cum plido con sus obligaciones legales y r eglam ent ar ias, así com o las que const en en la r esolución de acr edit ación. La acr edit ación com o Ent idad de Cer t ificación de I nfor m ación y Ser v icios Relacionados com pr ende el der echo par a la inst alación, m odificación am pliación y oper ación de la infr aest r uct ur a r equer ida par a t al fin y est ar á suj et a al pago de v alor es, los que ser án fij ados por el CONATEL. " Ar t . ... Re q u isit os p a r a la Acr e d it a ción : El pet icionar io de una acr edit ación com o Ent idad de Cer t ificación de I nfor m ación y Ser v icios Relacionados, deber á pr esent ar los siguient es docum ent os: a) Solicit ud dir igida a la Secr et ar ia Nacional de Telecom unicaciones, det allando nom br es y apellidos com plet os del r epr esent ant e legal, dir ección dom iciliar ia de la em pr esa uniper sonal o com pañía; b) Copia de la cédula de ciudadanía del r epr esent ant e legal o pasapor t e según cor r esponda; c) Copia del cer t ificado de v ot ación del últ im o pr oceso eleccionar io ( cor r espondient e al r epr esent ant e legal, ex cept o cuando se t r at e de ciudadanos ex t r anj er os) ; d) Copia cert ificada e inscr it a en el Regist ro Mercant il ( except o las inst it uciones públicas) del nom bram ient o del repr esent ant e legal; e) Copia cert ificada debidam ent e regist rada en el Regist ro Mercant il, de la escrit ura de const it ución de la em pr esa uniper sonal o com pañía y r eform as en caso de haber / as ( ex cept o las inst it uciones públicas) ; f) Original del cert ificado de cum plim ient o de , obligaciones em it ido por la Super int endencia de Com pañías o Bancos y Segur os según corresponda, a excepción de las inst it uciones del Est ado; g) Diagram a esquem át ico y descr ipción t écnica det allada de la infraest ruct ura a ser ut ilizada, indicando las caract er íst icas t écnicas de la m ism a; Informática Forense – Compilado por Quituisaca Samaniego Lilia 24 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS h) Descr ipción det allada de cada servicio propuest o y de los recur sos e infraest r uct ura disponibles para su prest ación. La SENATEL podrá ordenar inspecciones o verificaciones a las inst alaciones del pet icionar io cuando lo considere necesario; i) Docum ent os de soport e que confir m en que se disponen de m ecanism os de seguridad para evit ar la falsificación de cer t ificados, precaut elar la int egr idad, resguardo de docum ent os, prot ección cont ra siniest ros, cont rol de acceso y confidencialidad durant e la generación de claves, descripción de sist em as de seguridad, est ándares de segur idad, sist em as de respaldo; j) Ubicación geográfica inicial, especificando la dirección de cada nodo o sit io seguro; k) Diagram a t écnico det allado de cada " Nodo" o "Sit io Seguro" det allando especificaciones t écnicas de los equipos; l) I nform ación que dem uest r e la capacidad económ ica y financiera par a la pr est ación de serv icios de cert ificación de inform ación y servicios relacionados; m ) En caso de solicit ud de renovación de la acredit ación y de acuerdo con los procedim ient os que señale el CONATEL, deberán incluir se los r equisit os de caráct er t écnico, la cert ificación de cum plim ient o de obligaciones por part e de la Superint endencia de Telecom unicaciones, en la que const ará el det alle de im posición de sanciones, en caso de haber/ as y el inform e de cum plim ient o de obligaciones por part e de la Secret aria Nacional de Telecom unicaciones" " Art . ... Pr oce dim ie n t o de Acr e dit a ción : La solicit ud acom pañada de t odos los requisit os est ablecidos será present ada ant e la Secr et ar ía Nacional de Telecom unicaciones, la que dent ro del t ér m ino de t r es días procederá a publicar un extracto de la m ism a en su página WEB inst it ucional. Dent ro del t ér m ino de 15 días contados desde la fecha de present ación de la solicit ud, la SENATEL rem it irá al CONATEL los infor m es t écnico, legal y económ ico- - financiero en base a la docum ent ación present ada. El CONATEL, dent ro del t ér m ino dé 15 días r esolverá el ot orgam ient o de la acredit ación. Copia cert ificada de la resolución de acredit ación será rem it ida a la Secret ar ía Nacional de Telecom unicaciones dent ro del t ér m ino de dos días, a fin de que ést a dent ro del t ér m ino de cinco días, previo el pago por part e del solicit ant e, de los valores que el CONATEL haya est ablecido para el efect o, realice la inscripción en el Regist ro Público Nacional de Ent idades de Cert ificación de I nform ación y Servicios Relacionados Acredit adas y t erceros vinculados y efect úe la not ificación al pet icionario. En el event o de que el pet icionario no cancele los valor es correspondient es por la acr edit ación dent ro del t ér m ino de 15 días, el act o adm inist rat ivo quedará sin efect o aut om át icam ent e y la Secret ar ía Nacional de Telecom unicaciones procederá al archivo del t rám it e" . " Art . ... Con t e n ido m ín im o de la Acr e dit a ción : La resolución de acredit ación para la prest ación e servicios de cert ificación de I nform ación cont endrá al m enos lo siguient e: a) Descr ipción de los servicios aut orizados; b) Caract eríst icas t écnicas y legales relat iv as a la operación de los servicios de cert ificación de inform ación y servicios relacionados aut orizados; c) Obligaciones y responsabilidades de las Ent idades de Cert ificación de I nfor m ación y Servicios Relacionados de acuerdo a lo est ablecido en la Ley de Com er cio Elect rónico, Fir m as Elect rónicas y Mensaj es de Dat os; d) Procedim ient os para garant izar la prot ección de los usuarios aún en caso de ext inción de la acredit ación; y , e) Causales de ex t inción de la acredit ación" . " Art . ... Operación: Una vez ot orgada y r egist rada la acredit ación, la Ent idad de Cert ificación de I nform ación y Servicios relacionados dispondrá del plazo de seis ( 6) m eses para iniciar la operación. Vencido dicho plazo la Superint endencia de Telecom unicaciones infor m ará a la Secret aría Nacional de Telecom unicaciones si el t it ular de la acr edit ación ha incum plido con est a disposición, en cuyo caso se ext inguirá la resolución de acredit ación. La Ent idad de Cert ificación de I nfor m ación y Servicios Relacionados podrá pedir, por una sola vez, la am pliación del plazo para iniciar operaciones m ediant e solicit ud m ot iv ada. Dicha am pliación, de concederse, no podrá exceder de 90 días calendario." Art . ... Ext inción de la acredit ación: La acr edit ación se ext inguirá por las siguient es causas: Informática Forense – Compilado por Quituisaca Samaniego Lilia 25 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS a) Term inación del plazo para la cual fue em it ida: b) I ncum plim ient o de las obligaciones por part e de la Entidad de Cert ificación de I nform ación y Servicios Relacionados Acredit ada; c) Por resolución m ot ivada del CONATEL, por causas t écnicas o legales debidam ent e com probadas, incluy endo la present ación de inform ación falsa o alt eraciones par a aparent ar cum plir los requisit os exigidos, así com o la prest ación de servicios o realizar act ividades dist int as a las señaladas en la acredit ación; d) Cese t em poral o definit ivo de operaciones de la Ent idad Acr edit ada por cualquier causa; y, e) Por las causas previst as en el Est at ut o del Régim en Jur ídico Adm inist rat iv o de la Función Ej ecut iva. Una v ez ex t inguida la acredit ación el CONATEL podrá adopt ar las m edidas adm inist rat ivas, j udiciales y ext raj udiciales que considere necesarias para garant izar la prot ección de la infor m ación de los usuar ios y el ej ercicio de los derechos adquir idos por est os." " Art ... Te r ce r os Vin cu la dos: Con suj eción al ar t ículo 33 de la Ley . No. 67, la Prest ación de Servicios ele Cert ificación de inform ación podrá ser proporcionada por un t ercer o vinculado cont ract ualm ent e con una Ent idad de Cert ificación de infor m ación v Servicios Relacionados Acr edit ada ant e el CONATEL: para lo cual el t ercero vinculado deberá present ar la docum ent ación que j ust ifique la vinculación. La Secr et aria Nacional de Telecom unicaciones analizará que la docum ent ación que present e el pet icionario corresponda a la que est ablece el present e Reglam ent o y si cum ple con t odos los requisit os proceder á con el regist ro correspondient e. El plazo de duración del regist ro será igual al plazo de duración de la relación cont r act ual del t ercero vinculado con la Ent idad de Cert ificación de I nform ación y Servicios Relacionados. En t odos los casos, la responsabilidad en la prest ación de los servicios, será de la Ent idad de Cert ificación de I nform ación y Servicios Relacionados Acredit ada ant e el CONATEL" " Art . Pr oce dim ie n t o de Re gist r o de los t e r ce r os vin cu la dos.- El regist ro de t erceros vinculados consist e en una razón o m ar ginación realizada por la Secr et ar ía Nacional de Telecom unicaciones. Las solicit udes de regist ro de t erceros vinculados con las Ent idades de Cert ificación de I nform ación y Servicios Relacionados Acr edit adas, deber án est ar acom pañadas de los siguient es docum ent os y requisit os: a) Solicit ud dir igida a la Secret aria Nacional de Telecom unicaciones, det allando nom br es y apellidos com plet os del represent ant e legal, dirección dom iciliaria de la em presa unipersonal o com pañía; b) Copia de la cédula de ciudadanía del repr esent ant e legal o pasaport e según corresponda; c) Copia del cer t ificado de vot ación del últ im o proceso eleccionario ( correspondiente al represent ant e legal, ex cept o cuando se t rat e de ciudadanos ext ranj eros) , d) Copia cer t ificada e inscr it a en el Regist ro Mercant il ( ex cept o inst it uciones públicas) del nom bram ient o del repr esent ant e legal; e) Copia cert ificada debidam ent e inscr it a en el Regist ro Mercant il, de la escrit ura de const it ución de la em presa unipersonal o com pañía y reform as en caso de haber las, except o para inst it uciones públicas; f) Original del cer t ificado de cum plim ient o de obligaciones em it ido por la Superint endencia de Com pañías o Bancos y Segur os según corresponda, a excepción de inst it uciones del Est ado; g) h) Docum ent os que cert ifiquen la r elación cont ract ual con la Ent idad de Cer t ificación de I nform ación y Servicios Relacionados Acredit ada; Descr ipción de los servicios a prest ar en calidad de t er cero vinculado. En t odos los casos, el docum ent o de relación cont ract ual deber á est ablecer claram ent e las responsabilidades legales de cada una de las part es ant e los usuarios y aut oridades com pet ent es. La Secr et ar ía Nacional de Telecom unicaciones, ent regará al pet icionarlo el cert ificado de regist r o dent ro del t ér m ino de 15 días cont ados desde la fecha de present ación de la solicit ud, previo el pago de los valores est ablecidos por el CONA TEL." Informática Forense – Compilado por Quituisaca Samaniego Lilia 26 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS " Art . ... M odifica cion e s: Las m odificaciones de las caract eríst icas t écnicas de operación o prest ación de los serv icios, así com o de la variedad o m odalidad de los m ism os, que no alt er en el obj et o de la acredit ación, r equer irán de not ificación escr it a a la Secret aría Nacional de Telecom unicaciones y de la aprobación de est a. Cuando la m odificación incluya la prest ación de serv icios adicionales a los aut or izados, la Ent idad de Cert ificación de I nform ación y Servicios Relacionados deberá cancelar el valor est ablecido para t al efect o." " Art . ... Re cu r sos Adm in ist r a t ivos: Los act os adm inist r at ivos que em it an el CONATEL y la SE.NATEL, est án som et idos a las nor m as, recur sos y reclam aciones del Est at ut o del Régim en Jur ídico Adm inist rat ivo de la Función Ej ecut iva. " " .Art . ... Acr e dit a ción pa r a En t ida de s de l Est a do: Las inst it uciones del Est ado señaladas en el art ículo 118 de la Const it ución Polít ica de la República, de acuerdo a lo señalado en la disposición general Oct ava de la Ley 67, podrán prest ar servicios com o Ent idades de Cert ificación de I nform ación y Servicios Relacionados, pr evia Resolución em it ida por el CONATEL. Las inst it uciones públicas obt endrán cer t ificados de firm a elect rónica, únicam ent e de las Ent idades de Cert ificación de I nform ación y Servicios Relacionados Acr edit adas, de der echo público." " Art .... Ga r a n t ía de Re spon sa bilida d: De confor m idad con lo dispuest o en el apart ado h) del art ículo 30 de la Ley No. 67, las Ent idades de Cer t ificación de inform ación y, Servicios Relacionados Acr edit adas deberán cont ar con una garant ía de responsabilidad para asegurar a los usuarios el pago de los daños y perj uicios ocasionados por el incum plim ient o de las obligaciones. Est a garant ía será incondicional, irrevocable y de cobro inm ediat o y podrá consist ir en pólizas de seguro de responsabilidad previst as en el art ículo 43 de la Codificación de la Ley General de Segur os u ot ro t ipo de garant ías que est án aut orizadas confor m e lo dispuest o en el ar t ículo 51, let ra c) de la Ley General de I nst it uciones del Sist em a Financiero. Com o parám et ros iniciales se est ablecen: a) Para el pr im er año de operaciones, la Ent idad de Cert ificación de I nform ación y Servicios Relacionados Acredit ada, deberá cont rat ar y m ant ener, a favor de la Secr et ar ía Nacional de Telecom unicaciones, una ga r ant ía de responsabilidad par a asegurar a los usuar ios el pago de los daños y perj uicios ocasionados por el posible incum plim ient o de las obligaciones, cuy o m ont o será igual o m ayor a cuat rocient os m il dólar es de los Est ados Unidos de Am érica ( U.SD $ 400.000,00) . En el cont rat o de prest ación de servicios que suscr iba la Ent idad de Cert ificación de infor m ación con los usuar ios, se deberá incluir una cláusula relacionada con los aspect os de est a garant ía, t ales com o: m ont o asignado a cada usuario, m ecanism os de reclam ación y rest it ución de valores" . b) Para el segundo año de oper aciones y hast a la finalización del plazo de la acr edit ación, la Ent idad de Cert ificación de I nfor m ación y Servicios Relacionados Acredit ada deberá cont rat ar a favor de la Secret aría Nacional de Telecom unicaciones, una garant ía, cuyo m ont o est ará en función de un valor base de garant ía por cer t ificado y qu e será det er m inado por el CONATEL. En la regulación que em it a el CONATEL pa r a est ablecer el valor base de garant ía de responsabilidad por cert ificado, se considera r á la evolución del m er cado y la prot ección de los derechos de los usuar ios, observando lo dispuest o en el art ículo 31 de la Ley. No. 67. La Ent idad de Cert ificación de I nfor m ación y Servicios Relacionados Acredit ada quedará ex ent a de responsabilidad por daños y perj uicios cuando el usuario exceda los lím it es de uso indicados en el cert ificado. La Ent idad de Cert ificación de I nform ación y Servicios Relacionados Acr edit ada, pr evio al inicio de las operaciones, r em it irán a la Secret aría Nacional de Telecom unicaciones, a sat isfacción de ést a, el original de la garant ía. Asim ism o, durant e el plazo de vigencia de la acredit ación dichas Ent idades rem it irán a la Secret aría Nacional de Telecom unicaciones, hast a el 31 de enero de cada año, el original de la garant ía m encionada en el apart ado b) del present e art ículo. " Art .... Pr oce dim ie n t o de e j e cu ción de la Ga r a n t ía de Re spon sa bilida d: Cuando el usuario de una Ent idad de Cer t ificación de I nform ación y Servicios Relacionados Acr edit ada consider e que ha ex ist ido incum plim ient o en la prest ación del servicio que le haya ocasionado daños y perj uicios, est e podrá present ar a la Secret aría Nacional de Telecom unicaciones, hast a en el t ér m ino de 15 días cont ados desde que se produj o el incum plim ient o, una solicit ud m ot ivada a fin de que est a: a) A l am paro de lo dispuest o en el art ículo 31 de la Ley No. 67, ponga en conocim ient o de la Ent idad de Cert ificación de I nfor m ación y Servicios Relacionados el reclam o form ulado y solicit e que Informática Forense – Compilado por Quituisaca Samaniego Lilia 27 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS dent ro del t ér m ino perent or io de 5 días, pr esent e sus descargos o en su defect o reconozca el incum plim ient o. b) Vencido el t ér m ino señalado en el num eral ant er ior, la Secret aría Nacional de Telecom unicaciones con o sin la present ación de los descargos respect ivos por part e de la Ent idad de Cert ificación y Servicios Relacionados Acr edit ada, dent ro del t ér m ino de cinco días, resolverá sobr e la procedencia del reclam o form ulado por el usuario, el que de ser est im ado tot al o parcialm ente dará lugar a que disponga a la com pañía aseguradora o inst it ución financiera la ej ecución parcial de la garant ía de responsabilidad por el m ont o de los daños y perj uicios causados, los que no podrán reconocer se por un valor superior al pact ado en el cont rat o del usua r io. Sin perj uicio de lo ant er ior, el usua r io podrá considerar el inicio de las acciones que est im e pert inent es en contra de la Ent idad de Cert ificación de I nform ación y Servicios Relacionados, por los daños y perj uicios no cubiert os por la garant ía de r esponsabilidad. " Art . ... Con t r ol: La Superint endencia de Telecom unicaciones realiza r á los cont roles necesa r ios a las Ent idades de Cert ificación de I nfor m ación y Servicios Relacionados así com o a los Ter ceros Vinculados, con el obj eto de garant izar el cum plim ient o de la nor m at iva vigent e y de los t ér m inos y condiciones de aut orización y regist ro. Supervisará e inspecciona r á en cualquier m om ent o las inst alaciones de los prest adores de dichos servicios, para lo cual deberán brindar t odas las facilidades y proporcionar la inform ación necesar ia para cum plir con t al fin; de no hacer lo est ar án suj et os a las sanciones de ley. Art . 5 .- Sust it uir en el prim er y segundo inciso del ar t ículo 18, las palabras " o de la Ent idad de regist ro" por " o del t ercero vinculado" y " de la Ent idad de regist ro" por " del t ercer o vinculado" y agregar a cont inuación del m ism o lo siguient e: " La Ent idad de Cert ificación de I nfor m ación y Servicios Relacionados Acredit ada no podrá ceder o t ransferir t ot al ni parcialm ent e los derechos o deberes derivados de la acr edit ación. Es responsabilidad de las Ent idades de Cert ificación de I nform ación y Servicios Relacionados Acredit adas em it ir cer t ificados únicos. Cada cert ificado deberá cont ener un ident ificador exclusiv o que lo dist inga de form a unívoca ant e el rest o y solo podrán em it ir cert ificados vinculados a personas nat u r ales m ayores de edad, con plena capacidad de obrar . Est á prohibida la em isión de cert ificados de prueba o dem ost ración. El form at o de los cont rat os que las Ent idades .de Cer t ificación de I nfor m ación y Servicios Relacionados suscr iban con los usuarios, deberán ser rem it idos a la Secret aría Nacional de Telecom unicaciones, previo al inicio de oper aciones o cuando dicho for m at o sea m odificado" . D isposición Tr a n sit or ia : Los t rám it es pendient es relacionados con la acredit ación com o Ent idades de Cert ificación de I nform ación y Servicios Relacionados deberán adecuarse a lo dispuest o en est e decret o. Art ículo Fin a l.- Las refor m as al pr esent e reglam ent o ent r arán en vigencia a par t ir de su publicación en el Regist ro Oficial. Dado en el Palacio Nacional, en San Francisco de Quit o, el día de hoy 29 de sept iem bre del 2008. f.) Rafael Correa Delgado, Pr esident e Const it ucional de la República. Es fiel copia del original.- Lo cert ifico. f.) Abg. Oscar Pico Solórzano, Subsecr et ar io General de la Adm inist ración Pública. Informática Forense – Compilado por Quituisaca Samaniego Lilia 28 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS A. 2 Herramientas más conocidas para el análisis forense Autopsy Forensic Browser Es una herramienta que esta basada en línea de comandos del Sleuth Kit. La unión de estas herramientas las cuales están instaladas en un servidor utilizando un sistema basado en una plataforma Unix los cuales conformar una completa herramienta forense la solamente necesita de un sistema operativo y un browser para poder hacer uso de la misma. Otro punto destacable es que puede analizarse tanto una computadora con Windows como con Unix ya que soporta sistemas de archivos como NTFS, FAT, UFS1/2 y Ext2/3. El funcionamiento esta basado principalmente en una buena práctica forense basándose en un análisis muerto y uno vivo. En el caso del muerto se hace la investigación desde otro sistema operativo y con el sistema en cuestión a investigar sin cargar. Por lo tanto los datos que obtendremos serán referidos a la integridad de los archivos, logs del sistema, la estructura que tienen los ficheros y los elementos que han sido borrados. En el caso del vivo se analiza el sistema en cuestión cuando éste esta en funcionamiento por lo que se analizan ficheros, procesos, memoria, etc luego de que se confirma que hay evidencia se puede adquirir el sistema a través de una imagen por lo que se puede realizar a posteriori un análisis de sistema muerto. Esta herramienta forense puede brindarnos evidencia a través de: Listado del archivo: Nos ofrece un análisis de los archivos, los directorios e incluye los nombres de archivos que se han eliminado. El contenido de archivos: Nos permite observar el formato raw, hex y/o ASCII. Una vez que se descifran los datos, se procede a desinfectar la autopsia para evitar que los datos se corrompan. Bases de datos de Hash: Los archivos son catalogados como benignos o malignos para el sistema apoyándose en la biblioteca de referencia del software NIST y las bases de datos que fueron creadas por el usuario. Clasificación de tipos de archivo por extensiones: Agrupa los archivos basándose en sus firmas internas para reconocer extensiones conocidas. La autopsia también puede extraer solamente imágenes gráficas y comparar el tipo de archivo para poder identificar si en los archivos se han modificado las extensiones para ocultarlos. Línea de tiempo de la actividad del archivo: Esto es bastante útil para poder tener en cuenta que es lo que se ah hecho con el archivo es decir cuando ah sido movido, modificado o incluso borrado. Esto resulta de gran ayuda cuando se tienen muchos archivos y no se sabe bien que es lo que se esta buscando debido a que si notamos un gran interés por el usuario sobre un archivo es por que algo tiene que tener de importancia y que puede servir de evidencia. Búsqueda de palabra clave: a través de la secuencia de ASCII y expresiones regulares se pueden realizar la búsqueda de palabras que sirvan para encontrar evidencia en la computadora. Esta búsqueda se puede efectuar sobre una imagen completa del sistema de archivos. Análisis de los meta datos: Los meta datos tienen la información sobre los archivos y directorios. Esta herramienta nos permite tener una visión de los detalles de cualquier estructura Informática Forense – Compilado por Quituisaca Samaniego Lilia 29 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS de los meta datos de los ficheros. Lo cual es de suma importancia a la hora de recuperar los datos que fueron eliminados. Detalles de la imagen: Con esta opción podemos observar con detenimiento los ficheros llegando al punto de poder conocer cual era la ubicación en el disco y las fechas de actividad. Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o más anfitriones. Cada anfitrión se configura para tener su propia posición, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada anfitrión puede contener unas o más imágenes del sistema de ficheros para analizar. Secuenciador de acontecimientos: Los ataques se pueden obtener desde el log de un IDS. Esta herramienta califica los ataques para poder identificar de manera más simple como ocurrió la secuencia de los ataques. Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrión y investigador. Esto permite hacer notas rápidas sobre archivos y estructuras. Integridad de imagen: Es vital corroborar que los datos que estamos analizando no están corruptos ni han sido modificados para que tengan veracidad las evidencias encontradas. Informes: La herramienta puede crear los informes para los archivos y otras estructuras del sistema de ficheros. Registros: Los registros de la intervención se crean en un caso, un anfitrión, y un nivel del investigador para poder recordar fácilmente las acciones y los comandos ejecutados. The Forensic ToolKit Se trata de una colección de herramientas forenses para plataformas Windows, creado por el equipo de Foundstone. Este ToolKit le permitirá recopilar información sobre el ataque, y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd.exe. Comando Función afind Realiza búsqueda de archivos por su tiempo de acceso, sin modificar la información de acceso al mismo. hfind Busca archivos ocultos en el Sistema Operativo. sfind filestat hunt Busca flujos de datos ocultos en el disco duro, éstos son distintos de los archivos ocultos y no aparecerán con herramientas normales del sistema operativo. Su importancia radica en que pueden usarse para ocultar datos o software dañino. Ofrece una lista completa de los atributos del archivo que se le pase como argumento (uno cada vez). Permite obtener información sobre un sistema que utiliza las opciones de sesión NULL, tal como usuarios, recursos compartidos y servicios. Informática Forense – Compilado por Quituisaca Samaniego Lilia 30 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitirá elegir entre arrancar un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos de un entorno con un conjunto de herramientas, casi 90 Mb, que nos permitirá principalmente interactuar con sistemas “vivos”, pudiendo recuperar la información volátil del sistema. En el arranque Linux, disponemos de un Sistema Operativo completo, con un núcleo modificado para conseguir una excelente detección de hardware, no realiza el montaje de particiones swap, ni ninguna otra operación sobre el disco duro del equipo sobre el que se arranque. Es ideal para el análisis de equipos “muertos”, sin que se modifiquen las evidencias pues montará los discos que encuentre en el sistema en modo sólo lectura. Además de los comandos de análisis propios de los entornos UNIX/Linux, se han incorporado una lista realmente interesante de herramientas y ToolKits, alguno de ellos comentados anteriormente como el Sleuth Kit y Autopsy. F.I.R.E. Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificación sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad. Este live CD está creado y mantenido por William Salusky y puede descargarse gratuitamente desde la dirección http://biatchux.dmzs.com. En esta distribución podrá disponer de una serie de funcionalidades que le aportará muchas ventajas en su análisis, entre las que cabe destacar: • • • Recolección de datos de un sistema informático comprometido y hacer un análisis forense. Chequear la existencia de virus o malware en general desde un entorno fiable. Posibilidad de realización de test de penetración y vulnerabilidad. Recuperación datos de particiones dañadas. Las herramientas que posee F.I.R.E son conocidas y muy recomendables, aunque sin entrar en detalles sobre cada una de ellas, podrá encontrar las siguientes: • • • • • Nessus, nmap, whisker, hping2, hunt, fragrouter. Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort. Chkrootkit, F-Prot. TCT, Autopsy. Testdisk, fdisk, gpart. SSH (cliente y servidor), VNC (cliente y servido) Mozilla, ircII, mc, Perl, biew, fenris, pgp. Informática Forense – Compilado por Quituisaca Samaniego Lilia 31 Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS A.3 Esquema del proceso de respuesta a incidentes. Fuente: “Una Propuesta Metodológica y su Aplicación en The Sleuth Kit y EnCase Descargar en disco”. Octubre de 2005. Informática Forense – Compilado por Quituisaca Samaniego Lilia 32