herramientas para el analisis informatico forense

Page 1

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA LICENCIATURA EN CRIMINOLOGIA Y POLITICA CRIMINAL SEDE JUTIAPA

CATEDRA. INFORMATICA Y CUIDADO DE LA EVIDENCIA DIGITAL CATEDFRATICO: ING. MARCELO CHINCHILLA

HERRAMIENTAS INFORMATICAS PARA EL ANALISIS FORENSE

KIMBERLY SUCELLY MAYLEM ALMARAZ CARLOS DANIEL MUÑOZ TOBAR UBALDO BARRERA DEL CID DÁMARIS ANTONIA MORALES ´LOPEZ

26 DE octubre de 2018

Introducción

3

Herramientas informáticas

4

Análisis de discos

4

Extracción de metadatos

4

Análisis de ficheros

5

Análisis de internet

5

Recuperación de datos

5

Recuperación de particiones

6

Adquisición de imágenes

8

Conclusión

9

Bibliografía

10

Titulo

pag.

2

INTRODUCCION Las herramientas para el anรกlisis de informaciรณn digital son de suma importancia para el esclarecimiento de hechos o incidentes informรกticos estas herramientas son programas de anรกlisis de datos o de archivos los cuales pueden ser o tener pistas del incidente informรกtico.

HERRAMIENTAS INFORMATICAS PARA EL ANALISIS FORENSE 3

En términos generales estas son un conjunto de herramientas o aplicaciones informáticas cuyo objetivo es ayudar al perito en informática forense a investigar los datos ocultos o eliminados en un dispositivo digital estos siempre que se tenga la sospecha de que han estado relacionados con un incidente de informática. ANALISIS DE DISCO Es para saber su estructura y contenido, es decir archivos, nombres, extensión, salud, archivos borrados (análisis forense), y saber de lo que se puede Un analizador de espacio de disco “SOFTWARE” de análisis de uso de disco. Es una utilidad de software para visualizar el espacio ocupado en el disco de almacenamiento. Obtiene un tamaño de cada carpeta (Incluyendo subcarpetas) y de los archivos de cada carpeta o unidad. La mayoría de estas aplicaciones analizan esta información para generar un gráfico que muestra la distribución de uso de disco en carpeta u otros criterios definidos por el usuario LAS CARACTERISTICA MÁS IMPORTANTES  Puede escanear el tamaño de archivos, carpetas y unidades completas.  Presenta la utilización del espacio en forma gráfica.  Enumera archivos y carpetas de acuerdo a unos criterios configurables.

Meta datos Se refiere a aquellos datos que hablan de los datos, es decir, describen el contenido de los archivos o la información de los mismos. Los metadatos se caracterizan por ser datos altamente estructurados que describen características de los datos, como el contenido, calidad, información y otras circunstancias o atributos. Por ejemplo, en una biblioteca se usan fichas que especifican autores, títulos, casas editoriales y lugares para buscar libros. Así, los metadatos ayudan a ubicar datos. Descriptivos: Para encontrar o entender una fuente de información. Administrativos: - Metadatos técnicos: Para decodificar y representar archivos. - Metadatos de preservación: Gestión a largo plazo de archivos. - Metadatos de derechos: Derechos de propiedad intelectual adjuntos al contenido. Estructurales: Relaciones de partes de recursos entre sí. Lenguajes de marcado: Integra metadatos y marcas para otras características estructurales o semánticas dentro del contenido

4

FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que examina. Estos documentos pueden estar en páginas web, y con FOCA se pueden descargar y analizar. Los documentos que es capaz de analizar son muy variados, siendo los más comunes los archivos de Microsoft Office, Open Office, o ficheros PDF, aunque también analiza ficheros de Adobe InDesign, o svg por ejemplo. Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y DuckDuckGo. La suma de los tres buscadores hace que se consigan un gran número de documentos. Análisis de ficheros Un archivo o fichero informático es un conjunto de bits que son almacenados en un dispositivo. Un archivo es identificado por un nombre y la descripción de la carpeta o directorio que lo contiene. A los archivos informáticos se les llama así porque son los equivalentes digitales de los archivos escritos en expedientes, tarjetas, libretas, papel o microfichas del entorno de oficina tradicional. En la mayoría de los casos, simplemente un flujo unidimensional de bits, que es tratado por el sistema operativo como una única unidad lógica. Un archivo de datos informático normalmente tiene un tamaño, que generalmente se expresa en bytes; en todos los sistemas operativos modernos, el tamaño puede ser cualquier número entero no negativo de bytes hasta un máximo dependiente del sistema. Depende del software que se ejecuta en la computadora el interpretar esta estructura básica como por ejemplo un programa, un texto o una imagen, basándose en su nombre y contenido.

Análisis de internet Esta tarea consiste en el análisis de páginas, datos o documentos de internet, se basa en la prevención de piratería informática, podría decirse que los programas encargados de estas tareas deben de determinar si hay códigos maliciosos ocultos o bien si los datos que sean requeridos en estas páginas están siendo trasladados a terceras personas. O bien deberá de encargarse de verificar los certificados de seguridad de las paginas, esto podría tratar de evitar en su mayor parte la usurpación de datos personales, o bien de cuentas o datos que tengan un carácter monetario para la víctima. Recuperación de datos: la recuperación de datos es el conjunto de técnicas y procedimientos utilizados para acceder y extraer la información almacenada en medios de almacenamiento digital que por daño o avería no pueden ser accesibles de manera usual. Los procedimientos de recuperación de datos pueden ser utilizados para recuperar información de diversos tipos de medios como discos duros, memorias USB, servidores, cámaras digitales, CD, DVD, entre otros. 5

El programa para recuperación de datos, archivos borrados que se han eliminado de la Papelera de reciclaje o que se han perdido por dar formato al disco duro, por corrupción del mismo, por infección mediante un virus o un trojan, por un bloqueo inesperado del sistema o por un fallo de software. Recuperación de particiones Qué es una Partición Un disco duro está dividido es una o más divisiones lógicas para un mejor manejo de recursos y para mantener los datos distribuidos en diferentes ubicaciones de acuerdo a los requerimientos del usuario. Estas divisiones lógicas son conocidas como particiones y da la ilusión de varios discos duros independientes trabajando en armonía. Típicamente, éstas son llamadas unidades “C”,”D”, “E” y “F”. La unidad C usualmente contiene el sistema operativo y todos sus datos y archivos correspondientes. La unidad F corresponde a ROM CD/DVD. Las particiones D y E podrían o no, estar presentes en el ordenador o laptop. Una partición es el nombre que se le da a cada división presente en una sola unidad física de almacenamiento de datos. Para que se entienda, tener varias particiones es como tener varios discos duros en un solo disco duro físico, cada uno con su sistema de archivos y funcionando de manera diferente. Las particiones pueden utilizarse para varios fines. Por una parte, puedes tener una dedicada a guardar datos sensibles con medidas de seguridad que no interfieran en el resto del sistema, así como copias de seguridad, aunque también puedes utilizarla para instalar diferentes sistemas operativos. En algunos de ellos, como los basados en GNU/Linux, también podrás estructurar el disco en particiones para los diferentes tipos de archivo que utilice el sistema operativo. Existen tres tipos de particiones, las primarias, las extendidas o secundarias, y las lógicas. A continuación tienes una descripción sobre cómo es cada una de ellas. Partición primaria: Son las divisiones primarias del disco que dependen de una tabla de particiones, y son las que detecta el ordenador al arrancar, por lo que es en ellas donde se instalan los sistemas operativos. Puede haber un máximo de cuatro, y prácticamente cualquier sistema operativo las detectará y asignará una unidad siempre y cuando utilicen un sistema de archivo compatible. Un disco duro completamente formateado contiene en realidad una partición primaria ocupando todo su espacio. Partición extendida o secundaria: Fue ideada para poder tener más de cuatro particiones en un disco duro, aunque en ella no se puede instalar un sistema operativo. Esto quiere decir que sólo la podremos usar para almacenar datos. Sólo puede haber una de ellas, aunque dentro podremos hacer tantas otras particiones como queramos. Si utilizas esta partición, el disco sólo podrá tener tres primarias, siendo la extendida la que actúe como cuarta. 6

Partición lógica: Son las particiones que se hacen dentro de una partición extendida. Lo único que necesitarás es asignarle un tamaño, un tipo de sistema de archivos (FAT32, NTFS, ext2,...), y ya estará lista para ser utilizada. Funcionan como si fueran dispositivos independientes, y puedes utilizarla para almacenar cualqueir archivo. Cuando no se puede ver una partición del disco duro en Administración de discos de Windows, eso significa que se ha perdido la partición y los datos almacenados en ella se hacen inaccesibles. La pérdida de partición de disco duro podrá ser causada por la reinstalación del sistema operativo, eliminación accidental, operación incorrecta o infección por virus. Afortunadamente. Problemas con las Particiones del ordenador Hay una lista completa de cosas que pueden ir mal con una partición del disco duro de un ordenador ya sea accidentalmente o de otra manera. Algunos de los problemas más comunes se listan debajo: Partición Eliminada: Las particiones muy rara vez se eliminan a ellas mismas a menos que algo realmente serio este mal con el disco duro. Muchas de las particiones se eliminan accidentalmente. Partición Formateada: La eliminación, formateo de una partición es en su mayoría responsabilidad del usuario. Aunque a veces éstas se formatean debido a problemas severos de software. Particiones dañadas por Virus: Los virus son repugnantes; éstos pueden hacer que una partición se vuelva completamente inútil y que la recuperación de datos sea imposible, lo que puede ser un real desastre si los datos son importantes y no ha realizado un respaldo de los mismos. Recuperar Datos de Particiones Eliminadas, Perdidas Se ocupa un conjunto de herramientas potente y eficaz que se puede utilizar para recuperar la partición perdida de disco duro. Análisis forense informático para investigar problemas en un ordenador y recuperar datos. Se creó con el objetivo de recuperar particiones, que es el nombre genérico que recibe cada división presente en una sola unidad física de almacenamiento de datos. Toda partición tiene su propio sistema de archivos (formato); generalmente, casi cualquier sistema operativo interpreta, utiliza y manipula cada partición como un disco físico independiente, a pesar de que dichas particiones estén en un solo disco físico también recupera una partición perdida o reparar el sistema de archivos de: USB, tarjeta inteligente, etc. Varios programas son utilizados por gobiernos y entidades públicas y privadas, por fuerzas de seguridad como policiales y militares, además de profesionales y peritos informáticos para investigar lo que ocurrió en un ordenador.

7

Recupera archivos perdidos o suprimidos; fotos, audio, música y correos electrónicos de cualquier dispositivo de almacenamiento con eficacia, seguridad y en su totalidad. Soporta la recuperación de datos de la papelera de reciclaje, disco duro, tarjeta de memoria, unidad flash, cámara digital y videocámaras. Soporta la recuperación de datos que sufrieron una supresión repentina, formateo, corrupción del disco duro, ataque de virus o caídas del sistema en diversas situaciones. La vista previa antes de la recuperación te permite realizar una recuperación selectiva. Sistemas Operativos Compatibles: Windows 10/8/7/XP/Vista, Mac OS X (Mac OS X 10.6, 10.7 y 10.8, 10.9, 10.10 Yosemite, 10.10, 10.11 El Capitan, 10.12 Sierra) en iMac, MacBook, Mac Pro, etc.

Adquisición de imágenes La obtención de imágenes forenses podemos definirla, sencillamente, como la copia de la información contenida en dispositivos físicos de almacenamiento, sin alterar su contenido algunas alternativas disponibles a la hora de realizar imágenes forenses de discos rígidos, ya sea en una investigación que maneje evidencia, o en cualquier situación en que se desee preservar la información. la copia de archivos individuales, sino de discos o particiones enteras, obteniendo una imagen o instantánea de un disco en un momento determinado. Si bien estas ideas encontraron sus primeras aplicaciones en el área de la Informática Forense, para garantizar la preservación y posterior análisis de la evidencia digital, en la actualidad puede encontrarse una gran cantidad de herramientas disponibles para el usuario hogareño. Así, el mismo tiene a su merced un abanico de posibilidades, desde una pequeña suite forense para adquisición de imágenes, verificación y análisis, hasta la utilización de soluciones menos robustas para tareas específicas, como realizar copias de seguridad o cifrado de los datos. Garantizar la autenticidad y mismidad de las evidencias digitales, desde el instante en que se recolectan hasta el momento que son presentados en una audiencia de juicio oral, es un requisito procesal a nivel nacional e internacional. Contamos con herramientas forenses que nos permiten obtener información, incluso borrada, bit a bit, salvaguardando la integridad de la misma a través de diversas técnicas físicas y digitales de aseguramiento

8

CONCLUSION Los programas de análisis son de suma importancia para la averiguación de lo ocurrido en el ámbito de delitos informáticos estas herramientas son vitales pues sin ellas resultaría muy difícil lograr establecer los hechos ocurridos.

9

Bibliografía EASUES. (2018) ¿Cómo restaurar partición perdida de disco duro? Recuperado de: https://es.easeus.com/partition-recovery/restore-lost-hard-disk-drive-partition.html Porolli, M. (3 de julio de 2013) Alternativas en la adquisición de imágenes forenses. Recuperado de: https://www.welivesecurity.com/la-es/2013/07/03/alternativas-adquisicionimagenes-forenses/

Powerdata. (2018) ¿Qué son los metadatos? Recuperado de: https://blog.powerdata.es/elvalor-de-la-gestion-de-datos/que-son-los-metadatos-y-cual-es-su-utilidad Elevenpaths (2018) foca. Recuperado de: https://www.elevenpaths.com/es/labstools/foca2/index.html Wikipedia. (2018) archivo o fichero. https://es.wikipedia.org/wiki/Archivo_(inform%C3%A1tica)

10

Recuperado

de

:

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.