ANÁLISIS FORENSE INFORMÁTICO

ANÁLISIS FORENSE INFORMÁTICO

Informática Forense

La informática forense es una de las disciplinas que se encarga de detectar pistas sobre los ataques informáticos, robo de formación, conversaciones o pistas de chats. Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking, recuperación de información.

Propósito Forense

propósito 1

Antes de empezar la investigación de cualquier caso, se debe tener una comprensión suficiente del proceso forense, un entrenamiento técnico, y un laboratorio preparado de manera adecuada. Estos puntos son críticos para una investigación satisfactoria.
El investigador forense debe combinar técnicas forenses probadas, una estructura de trabajo legal, experiencia en investigación, y tecnología de vanguardia para determinar los hechos.
El investigador debe estar bien preparado. Entender el proceso, comprender lo que conoce y no conoce, además de crear un listado de las personas a las cuales llamar cuando la investigación exceda sus conocimientos en temas técnicos o legales.

propósito 2

La informática forense es una serie metódica de técnicas y procedimientos para obtener evidencia, desde equipos de cómputo hasta variados dispositivos de almacenamiento y medios digitales, ¿que pueden ser presentados en una corte de leyes con un formato significativo y coherente?
El investigador forense debe de aplicar dos tipos de pruebas a la evidencia, ya sea cómputo forense o forense físico para sobrevivir en una corte de leyes:

• Autenticidad
• Fiabilidad

El investigador forense en muchos casos debe dar respuesta a las siguientes interrogantes:
¿Quién?, ¿Qué?, ¿Cómo?, ¿Cuándo?, ¿Donde?

Principales tipos de Casos de Informática Forense

• Espionaje Industrial
• Fraude Electrónico
• Intrusiones de Hackers
• Uso inapropiado de Internet
• Explotación Infantil
• Investigaciones Corporativas
• Litigios Civiles y Penales
• Detección de Fuga de Información
• Descubrimiento Electrónico
• Descubrimiento de Metadatos

Evidencia Digital

La evidencia digital es: “Cualquier información que, sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático” (Salvador, 2015). En este sentido, la evidencia digital es un término utilizado de manera amplia para describir “cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal.

e-Discovery

Electronic Discovery (e-Discovery) es la etapa de descubrimiento electrónico en la que se busca, localiza y asegura información electrónica con el propósito de ser usada como evidencia, ya sea que se trate de un caso legal que tramite en el ámbito Civil o Penal, o bien de temas relacionados con el cumplimiento de regulaciones y normas.
En el proceso de “descubrimiento electrónico”, todos los tipos de datos pueden servir como evidencia. Esto puede incluir texto, imágenes, archivos calendarios, bases de datos, planillas de cálculo, archivos de audio, sitios Web, programas de computación, e-mails, entre otros.

Metodología Forense Digital

Modelo de Referencia de Descubrimiento Electrónico (Electronic Discovery Reference Model). EDRM es un grupo de trabajo creado en el 2005, para crear un proceso estándar de la industria para el análisis y producción de datos electrónicos. Además de ser lo suficientemente flexible para manejar los diversos requerimientos que se pueden observar como investigador:

• Identificación
• Recolección y Preservación
• Análisis
• Producción y Presentación

Cuando estos pasos son aplicados de una manera correcta y adecuada, pueden guiar una investigación completa y justificable. Esta metodología ha sido probada en cortes, y tiene muchos años de refinamiento. http://ednn.net

EDRM

Beneficios del e-Discovery

A continuación mencionaremos los beneficios que nos puede traer e-Discovery

Mayor capacidad de respuesta a requerimientos legales, rápida búsqueda y recuperación de datos.

Menores costos de descubrimiento legal, automatizando recopilaciones de datos.

Administración de contenido, optimizando las instancias de búsqueda de información mediante métodos de indexación o utilización de palabras claves.

Protección y resguardo de la información.

Base flexible, que permite adaptarse a nuevas regulaciones y tipo de contenido archivado.

Dado que la presentación de medios de prueba constituye uno de los elementos del proceso de litigio más costoso y exigente, en la actualidad se presenta una creciente demanda de formas para hacer que la presentación de dichos medios de prueba sea más segura, competente, precisa y rentable.

Adquisición de la Evidencia

El proceso recomendado de recolección de datos comprende; encontrar la evidencia, descubrir datos relevantes, preparar un orden de volatilidad, erradicar vectores externos de alteración, obtener la evidencia y preparar una “cadena de custodia”. Después de que se recolecten los datos, se debe generar un HASH (SHA-1, MD5, etc) de la evidencia.

Antes de la recolección, se debe de realizar una evaluación preliminar de búsqueda de la evidencia. Después de concluida la evaluación se debe recolectar e incautar el equipo involucrado (Unidades USB, CDs, DVDs, dispositivos externos, etc). Se debe tomar una fotografía de la escena del crimen, antes de remover cualquier ítem de evidencia.

Precaución, si no es necesaria la incautación de todo el sistema se debe identificar los datos relevantes y copiarlos, de otra manera todo esto puede derivar en una recolección innecesaria.

HASH

Hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc. Resume o identifica un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.

Una función de hash es una función para resumir o identificar probabilísticamente un gran conjunto de información, dando como resultado un conjunto imagen finito generalmente menor.

Hashs Criptográficos

Una función Hash criptográfica es un procedimiento determinista que toma un bloque arbitrario de datos y retornan una cadena de bits de longitud fija, de tal manera que un cambio intencional o accidental en los datos cambiará el valor hash. Los datos a ser codificados son llamados el “mensaje”, y el valor hash es algunas veces llamado un “digest” (relato corto). Una función ideal Hash tiene cuatro funciones:

• Es fácil computar el valor Hash para cualquier mensaje dado.
• No es viable encontrar el mensaje que tiene un hash dado.
• No es viable modificar el mensaje sin cambiar el hash.
• No es viable encontrar dos diferentes mensajes con el mismo hash.

Cuando se realizan procesos forenses, generalmente se utilizan algoritmos de hashing criptográficos como MD5, SHA-1 o SHA-256.

MD5

En criptografía, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado.

MD5 es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT. Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.

A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados en 1996, debido a una colisión de hash.

MD5 se utiliza extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores.

La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida:

MD5("Esto sí es una prueba de MD5") = e99008846853ff3b725c27315e469fbc

Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el «sí» por un «no».

MD5("Esto no es una prueba de MD5") = dd21 d99a468f3bb52a136ef5beef5034

http://md5-hash-online.waraxe.us

SHA-1

La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST).

El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA- 0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2 a todos ellos).

http://sha1-hash-online.waraxe.us

Utilización de bloqueo de Escritura

Los bloqueadores de escritura por software previenen cualquier operación de escritura del sistema operativo que ocasiona modificación en los medios. En esencia, el software bloqueador de escritura reside entre el sistema operativo y el controlador del dispositivo. Y se rechaza cualquier solicitud de escritura al medio. Los bloqueadores de escritura por hardware son dispositivos físicos que se sitúan entre la unidad por sí misma y la tarjeta controladora. El cable que transmite las instrucciones de escritura y datos es alterada físicamente para inhabilitar cualquier escritura. Entre estas 2 opciones, el bloqueador de escritura por hardware es más difícil de evadir y es más fácil de explicar su utilización en una corte.

Bloqueo de Escritura USB en Windows

Desde Windows XP SP2 se puede deshabilitar la escritura de los dispositivos USB, simplemente cambiando un registro de Windows.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] “WriteProtect” =dword:00000001

Habilitar nuevamente la escritura de un dispositivo USB:

ÍHKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\iStqraaeDevicePoliciesl “WriteProtect” =dword:00000000

Obtención de Evidencia de un Disco Duro

Para poder obtener adecuadamente una copia fiel sin alteraciones de un Disco Duro, se recomienda desconectar el disco duro de la computadora y conectarlo en forma secundaria vía una conexión USB (la cual este habilitado la protección de escritura) a otra computadora. Aquí se deberá realizar una copia Bit a Bit del disco duro utilizando alguna herramienta forense de adquisición de imágenes de disco duro.

Obtención de Evidencia de un USB

Al igual que el caso anterior se deberá conectar a una computadora que este protegida la conexión USB contra escritura. Luego de ello se procederá a la creación de la imagen Bit a Bit, utilizando alguna herramienta forense.
Tener presente la creación del archivo HASH.

Preservación de la Evidencia

Cadena de Custodia

Documentación de todas las fases que transita la evidencia desde el momento que fue recolectada en la escena del crimen hasta el momento en que fue introducida en una corte. Todas las fases incluyen, la recolección, transporte, análisis y proceso de almacenamiento. Todos los accesos a la evidencia deben de ser también documentados. Una adecuada cadena de custodia debe mostrar lo siguiente:

• Identificar a las personas que manejaron la evidencia en cada fase de investigación.


• Documentar que acciones / procedimientos realizados sobre la evidencia y como esta fue recolectada.


• Documentar el momento en que la evidencia fue recolectada y si la evidencia fue transferida a la custodia de un tercero.


• Mostrar donde fue recolectada la evidencia y donde es almacenada.


• Indicar la razón de la recolección de evidencia.

Manejo de la Evidencia

Se debe desarrollar un procedimiento y protocolo de la escena del posible crimen, el cual minimice las posibilidades de lesiones y contaminación de la evidencia. Se debe tener presente que el procedimiento no puede cubrir todas las eventualidades que pueden necesitar los individuos que manipulen la evidencia digital, para hacer frente a situaciones impredecibles. Sin embargo, todos los involucrados que manipulen la evidencia deben de tener el entrenamiento y experiencia suficiente para implementar procedimientos y hacer frente a situaciones que no están cubiertos por los procedimientos. Además, es conveniente dotar a las personas con artículos tales como herramientas y guantes quirúrgicos. El uso de herramientas adecuadas reduce el riesgo de lesiones. El uso de guantes ayuda a preservar huellas y otra evidencia mientras se protege a los individuos de materiales dañinos.

Antes del manejo de la evidencia, la escena del crimen debe ser asegurada, impidiendo que se toquen las computadoras e ítems relacionados.

La Integridad de la Evidencia

Integridad de la Evidencia – I

Se refiere que el estado de la evidencia no ha sido alterado. Cada fase en la cadena de custodia debe tener controles específicos para mantener la integridad de la evidencia. Por ejemplo:

• Prevenir la descarga electro estática.
• Proteger el lugar de trabajo para evitar choques físicos.
• Tomar nota de los requerimientos de energía, para protección de daños de este tipo.
• Implementar un bloqueador de escritura para prevenir escrituras accidentales.
• Utilizar herramientas de análisis que se ha comprobado su ejecución en modo de solo lectura.
• Generar una instantánea de los medios utilizando un hash antes del análisis.

En consecuencia, cuando se realiza una modificación sobre la evidencia, la integridad se pierde.

Integridad de la Evidencia – II

La evidencia digital puede ser duplicada exactamente y una copia puede ser examinada como si fuera el original. Es una práctica común cuando se trata con evidencia digital examinar una copia, evitando el riesgo de dañar el original.

Con las herramientas correctas es muy fácil determinar si la evidencia digital ha sido modificada o manipulada, por medio de una comparación con la copia original.

La evidencia digital es difícil de destruir. Cuando un archivo es eliminado o un disco duro es formateado, la evidencia digital puede ser recuperada.

Cuando los criminales intentan destruir la evidencia digital, copias y remanentes asociados pueden residir en algunos lugares que no tuvieron en consideración.

Minimizar la perdida de datos

Cuando se responde a un incidente se puede enfrentar las siguientes situaciones:

• Sistema Apagado. - En este caso se puede realizar la obtención de la evidencia para su posterior análisis en un entorno adecuado.
• Sistema Vivo. - En funcionamiento. Nos enfrentamos a las siguientes preguntas:

¿Se procede a obtener la evidencia del sistema vivo? - Esta acción implica la modificación del estado del sistema, pero se obtiene evidencia volátil que es de mucho valor (Ej.: Memoria RAM).

¿O Apagar el Sistema correctamente o Desconectarlo de manera violenta? - En este caso se pierde evidencia volátil, pero se evita la pérdida de más evidencia, debido a algún proceso en ejecución o a ejecutarse ante algún evento en el sistema.
“La decisión depende de la situación”.

Volatilidad de la Evidencia

Los datos que se mantienen en almacenamientos temporales en la memoria del sistema (incluyendo RAM, memoria cache y memorias de tarjeta de periféricos como de video y red), son denominados datos volátiles debido a que la memoria depende del suministro eléctrico para mantener estos contenidos. Cuando el sistema es apagado o el suministro falla, los datos desaparecen.

La evidencia más volátil debe ser recolectada primero. Esto se debe a que la evidencia más volátil es la que generalmente desaparece primero antes de que pueda ser documentada o recolectada. El orden de volatilidad es el siguiente:

• Registros y Caches
• Tablas de Rutas, ARP Cache, tablas de proceso, estadísticas de Kernel
• Contenido de la memoria del Sistema.
• Archivos Temporales del Sistema.
• Datos en el disco.

Evidencia Volátil

Es toda aquella información que se perderá al apagar el equipo. En algunos casos es importante poder capturar la evidencia volátil; ya que de esta manera se podrá analizar lo que está ocurriendo actualmente en el equipo. La decisión de apagar el equipo u obtener la evidencia volátil deberá ser tomada por el analista forense.

Análisis de Archivos

Los archivos también se denominan FILES (Ficheros). Estos contienen una colección de datos (información), que se encuentra almacenada en algún medio de almacenamiento.

Tipos de Archivo

Existen miles de tipos de archivo diferentes, cada uno de estos se clasifican de acuerdo al contenido del mismo. Un archivo contiene información y es de suma importancia conocer cuál es su estructura.

Analizando los Archivos

Para analizar un archivo, hay que ver su contenido y su estructura. Se puede Utilizar Editores Hexadecimales o alguna aplicación que permita analizar la estructura de un archivo.

• TrID :
  
  http://markO.net/onlinetrid.aspx

Tabla de Firma de Archivos

Búsqueda de Cabeceras y Pies

Una técnica para localizar archivos y/o recuperar archivos se basa en la búsqueda de cabeceras y pies.

Ejemplo:

JPEGJHEADER = "\xFF\xD8"

JPEG FOOTER = "\xFF\xD9“

Con esta información se puede realizar la búsqueda de estas cadenas con una herramienta forense o con un simple editor hexadecimal y extraer los datos que estas dos cadenas contienen.
Se debe considerar los escenarios que pueden presentarse con esta técnica.

Búsqueda de Cadenas

Una tarea muy importante para el análisis de un archivo es realizar la búsqueda de cadenas. Aquí la idea es comenzar a buscar palabras y/o frases que de alguna manera nos pueda servir para identificar, por ejemplo: en que lenguaje de programación fue desarrollado un archivo ejecutable, identificar rastros que nos pueda indicar quien lo diseño, y poder determinar cuál es la función específica del software para la que fue desarrollada.

Recordemos que en esta parte del análisis es fundamental reconocer los archivos por sus extensiones y también por sus cabeceras y estructuras internas, dado que las extensiones pueden haber sufrido modificación y parte del archivo puede haber sido sobrescrito.

Archivos Forense – Metadatos

El término metadatos no tiene una definición única. Según la definición más difundida metadatos son «datos sobre datos». Debido a que muchas veces no se tiene en cuenta la diferencia entre datos e informaciones también hay muchas declaraciones como «informaciones sobre datos», «datos sobre informaciones» y «informaciones sobre informaciones».

Los metadatos son datos altamente estructurados que describen información, describen el contenido, la calidad, la condición y otras características de los datos.

Tipos de Metadatos

1. Administrativos. - Auxilia en la gestión de documentos, la gestión de derechos y la gestión de la preservación. Registra características técnicas. (Ejemplo: Tipo de archivo, derechos de acceso, etc.).

2. Estructurales- Describen las relaciones entre documentos y la estructura interna de documentos complejos. (Ejemplo: Versiones de documentos, tabla de una base de datos, etc.).

3. Descriptivos. - Auxilia en la búsqueda de los documentos. (Ejemplo: Autor, destinado, fecha de creación, etc.).

Los Metadatos y la amenaza a la Privacidad

Imaginemos documentos confidenciales del gobierno, importantes contratos comerciales, fallos judiciales y documentos personales en los que quedan identificadas las personas y computadores utilizados en su redacción y revisión, donde quedan registrados y accesibles todos los cambios introducidos, así como las palabras borradas ¡intencionalmente del texto.

Aplicación Forense “Documentos Office”

El uso de MSOffice es algo normal en los negocios internacionales de la actualidad. Por lo tanto, los investigadores se encuentran con incidentes relacionados a documentos de Word, Excel, Powers Point. Esto puede ser un poco más difícil de lo que aparenta.

¿Cómo probar que un sospechoso ha escrito un documento?

Desde MSOffice 97 se ha hecho notorio el almacenamiento de información sensible sobre quien escribió el documento. El documento almacena quien realizo las modificaciones, además de información sobre los nombres de archivos y a quien fue enviado el documento por correo electrónico. Esto puede ser increíblemente útil en el proceso de recrear una cronología.

https://metashieldanalyzer.elevenpaths.com/

Meíaviewer

Datos EXIF

EXIF (Exchangeable Image File Format) es una especificación para el formato de archivo de imagen utilizado por cámaras digitales. Las etiquetas de metadatos definidos en el estándar EXIF abarcan un amplio espectro.

• Información de día y hora. Las cámaras digitales registran el día y hora actual y guardan esto en los metadatos.
• Configuración de la cámara digital. Incluye información estática, como modelo de la cámara y fabricante, e información variada de la imagen.
• Una miniatura de la previsualización de la imagen en el LCD de la cámara. En manejadores de archivos o en software de manipulación de fotos.
• Descripción e información de Copyright.

GPS en Archivos EXIF

El formato EXIF tiene unas etiquetas estándar para información de la ubicación. Actualmente solo algunas cámaras lo soportan, como Ricoh, Nikon, y algunos dispositivos móviles de gama alta, tienen un receptor GPS integrado y almacenan la información de ubicación en la cabecera EXIF cuando la fotografía es tomada. En otras cámaras puede ser añadido mediante una conexión USB un receptor GPS separado.

Los datos GPS registrados pueden también ser añadidos a cualquier fotografía en una computadora, ya sea relacionando las marcas de tiempo del fotógrafo con un registro GPS desde de un receptor de mano o manualmente utilizando un mapa o un software de mapeo. Este proceso de añadir información geográfica a una fotografía se conoce como “geocoding”.

EXIF – Online

http://camerasummarv.com


http://reqex.info/exif.cqi


http://www.exifviewer.org


http://www.findexif.com

Registros de Windows

Registro de Windows I

El registro de Windows es la base de datos que contiene el registro de miles de configuraciones de Windows. Entre otras cosas contiene: la información de la apariencia del Escritorio, un registro de los periféricos instalados en el sistema y sus controladores y la configuración de la mayoría de los programas de la computadora.

Cualquier error en esta base de datos tendrá serias consecuencias en el funcionamiento del sistema, incluyendo el que Windows sencillamente no arranque. Por esta razón, Windows hizo difícil de encontrar el Editor del Registro, el cual permite hacer cambios manuales al Registro. En caso de querer hacer algún ajuste al sistema, preferentemente hay que hacerlo en el Panel de control, esa es la manera más segura. El editar el Registro manualmente es solo para aquellos que están seguros de lo que están haciendo.

Registro de Windows II

El registro de Windows contiene una importante cantidad de información valiosa como evidencia y que apoya a los examinadores forenses sobre otros aspectos del análisis forense. Almacena configuraciones y opciones del SO Windows. Contiene configuraciones a bajo nivel de componentes del SO como también de las aplicaciones ejecutándose en la plataforma: el kernel, controladores, servicios, SAM, interface de usuario y aplicaciones de terceros, todos ellos utilizan el registro.

>Existen 5 llaves raíz en el registro de Windows. Cada llave tiene uno o más valores.

>Existen tres partes en un valor: Nombre, tipo y dato.

Registro de Windows III

Al Abril el Editor del Registro que es semejante a la ventana del Explorador de Windows, y está dividida en dos ventanas más pequeñas. La ventana de la izquierda muestra el icono de Mi PC, al hacer un doble clic sobre él nos mostrará las carpetas que Windows llama las Claves H (HKEYS), la otra ventana está en blanco, pero se usa para ver el contenido de las claves. Las Claves son semejantes a directorios ya que contienen otras claves o carpetas.

Registro de Windows IV

HKEY_CLASSES_ROOT: contiene configuraciones que afectan a todo el sistema. Si hay múltiples usuarios registrados en el sistema, cualquier cambio en esta Clave afectaría a cada usuario. Sus configuraciones incluyen información acerca de los tipos de archivos y la extensión de sus archivos. También contiene información acerca de OLE (Object Linking and Embedding). Esto permite crear un objeto en un programa, como una gráfica en Microsoft Excel y colocarla en otro programa como Microsoft Word.

HKEY_CURRENT_USER: es más bien un icono que una Clave, tiene que ver con la carpeta de la Clave USERS de quien esté usando la computadora. Contiene información más detallada de la configuración del usuario actual.

Registro de Windows V

HKEY_LOCAL_MACHINE: mantiene un registro e información de todo lo que se halla instalado en la computadora. Es una base de datos maestra con la información de cómo usar cada programa o dispositivo y la configuración de cada componente. Contiene la configuración completa de todo el sistema.

HKEY_USERS: tiene la información acerca de cómo Windows y cada programa individual del sistema está personalizado para cada usuario. Mantiene un registro de absolutamente todo, desde el fondo de pantalla preferido hasta la página de inicio del Explorador de Internet. La mayoría de las computadoras tienen un solo usuario para lo cual sus configuraciones estarán en la carpeta default. Si, por otra parte, hay varios usuarios registrados en la computadora, cada uno de ellos tendrá su propia carpeta. Conteniendo sus propias preferencias de configuración.

Registro de Windows VI

HKEY_CURRENT_CONFIG: esta Clave tiene que ver con la información de la Clave MACHINE, en lo que tiene que ver con la configuración de pantalla (resolución, color, etc.), también cuál de las impresoras instaladas es la impresora de inicio. Mantiene el registro de la configuración actual.

Registro de Windows VII

Una sección del Registro es un grupo de claves, subclaves y valores del Registro que cuentan con un conjunto de archivos auxiliares que contienen copias de seguridad de sus datos. Los archivos auxiliares de todas las secciones excepto HKEY_CURRENT_USER están en la carpeta %SystemRoot%\System32\Config en Windows NT 4.0, 2000, XP, Windows Server 2003, Vista, Windows 7 y Windows 8.

Ubicaciones del Registro de Windows

HKEY_CURRENTJJSER: Ubicado bajo el directorio del perfil del Usuario: (Documents and Settings\Profilename\NTUser.dat)
HKEY_LOCAL_MACHINE:

HARDWARE: Una llave dinámica construida por Windows al inicio.

SAM: %SYSTEMROOT%\System32\Config\SAM SECURITY:
%SYSTEMROOT%\System32\Config\SECURITY SOFTWARE:
%SYSTEMROOT%\System32\Config\SOFTWARE SYSTEM:
%SYSTEMROOT%\System32\Config\SYSTEM HKEY_USERS:

Construida de los archivos de perfil de usuario NTUser.dat

Verificar Escritorio Remoto

Es importante verificar que la computadora no este comprometida desde un acceso remoto. Para esto tendremos que buscar en el registro de Windows.
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

fDenyTSConnections = 1

Valor 1 = No permitir las conexiones a este equipo.
Valor O = Permitir conexiones de escritorio remoto

Verificar Recursos Administrativos

Es importante verificar si la computadora tiene los recursos administrativos habilitados o deshabilitados. Por defecto estos recursos administrativos se encuentran habilitados, pero en muchas empresas se configura el sistema operativo para que no pueda ser acceso remotamente a los recursos administrativos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Nombre: AutoShareServer (Para Servidores)

Nombre: AutoShareWks (Para Estaciones)

Valor 0 = Habilitada la protección

Valor 1 = Deshabilitada la protección

Descubriendo nombres de Usuarios y SID mapeados a ellos

Cada Usuario, grupo, y maquina en un entorno Windows tiene asignado un SID (Security Identifier). El SID es un identificador único y no hay dos SID que sean iguales. Windows permite o niega acceso y privilegios a objetos del sistema basado en ACLs, el cual utiliza los SID como mecanismo para identificar usuarios, grupos y maquinas, ya que cada uno de ellos tiene un propio SID.

Para ver cual SID es de un usuario específico se busca en la cadena del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\ProfileList

Bajo la llave ProfileList se pueden ser los SIDs, seleccionándolos, se puede ver las entradas de los valores, y ver que nombre de usuario asociado con un SID particular.

Ultimo Login

Es importante determinar quién se logueó por última vez en el sistema, se puede encontrar esta información en la siguiente llave:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

El valor de nombre DefaultUserName almacena el último usuario logueado.

Registry Viewer de Access Data permite decodificar estos valores, pero primero se debe extraer el archivo de registro en bruto (en este caso el archivo SAM) de la Imagen bit a bit y copiarla a otra ubicación.

Información del Núcleo del Sistema -1

Nombre del Sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName

Zona Horaria:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZonelnformation

Información de la dirección IP Local:
HKLM\SYSTEM\GontrolSetOOX\Services\TCPIP\Parameters\Interfaces
HKLM\SYSTEM\ControlSet\Services\Tcpip\Parameters\lnterfaces\GUID

Información del Núcleo del Sistema – II

Redes Inalámbricas / con Cable / redes 3G

H KEY_LOCAL_MACHIN E\SOFTWARE\M icrosoft\Windows NT\ CurrentVersion\NetworkCards

Wireless SSID:

Esta clave contiene la información de las redes inalámbricas del adaptador. Bajo la subllave GUID, existe un valor de registro binario Static#0000, etc. (Dependiendo del número de SSID listado) el cual corresponde a la lista respectiva de SSID de “Redes Preferidas” en la configuración de conexiones de red inalámbricas. La configuración del valor del registro activo contiene el nombre SSID, y la última conexión.

HKLM\SOFTWARE\Microsoft\WZCSVC\Parámetros\interfaces {GUID}

Información del Núcleo del Sistema – III

Tiempo del ultimo Apagado:

La clave donde se encuentra el tiempo en que el sistema fue apagado por última vez se ubica en:

HKEY LOCAL MACHINE\SYSTEM\ControlSetOOX\Control\Windows

Datos Forense del Usuario -1

Historial de Búsquedas:

La llave HKEY_USERS\**\Software\Microsoft\Windows\Search Assistant\ ACMru, contiene dos sub llaves que almacenan las búsquedas realizadas en Windows Explorer, lo cual es muy útil para determinar si un usuario/intruso estuvo realizando búsquedas por archivos o directorios en las unidades locales o de Red. Se almacenan en una llave 5603 y las anteriores en la llave 5604.

Por Ejemplo:

HKEY_USERS\S-1 -5-21 -2052111302-1682526488-842925246\Software\ Microsoft\Search Assistant

Datos Forense del Usuario – II

URL Tipeadas:

Esta clave contiene las URL recientes ( o ruta de archivo) que es tipeado en Internet Explorer o barra de direcciones de Windows Explorer.

HKEY_CURRENT_USER\Software\Microsoft\internet Explorer\TypedURLs
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\WordPad\ Recent File List

HKCU\Software\M¡crosoft\Windows\CurrentVersion\Applets\Paint\Recent File List

Documentos Recientes:
Esta clave mantiene una lista de archivos recientemente abiertos o ejecutados a través de Windows Explorer.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Datos Forense del Usuario – III

Cajas de Diálogo Open -> Save / Run:
MRU es la abreviación de “Usados más Recientemente”. Esta llave mantiene una lista de archivos guardados o abiertos por medio de la caja de diálogo Windows Explorer.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\OpenSaveMRU

Historial de ejecución de Aplicaciones (UserAssit):

Esta llave contiene dos sub llaves GUID. Cada sub llave contiene una lista de objetos del sistema tales como programas, atajos, y applets del panel de control que el usuario ha accedido.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ ExplorerMJserAssist

Datos Forense del Usuario – IV

Esta clave contiene una lista de entradas (Ejemplo: Ruta completa de archivos o comandos como CMD, REGEDIT, etc.) ejecutados utilizando los comandos ->lnicio -> Ejecutar.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\RunMRU

El valor MRUList mantiene un listado alfabético el cual referencia al respectivo valor. El alfabeto está arreglado de acuerdo al orden de las entradas. Las más recientes adiciones no implican que sean los comandos más recientemente utilizados por el sospechoso. Pues puede haber vuelto a ejecutar comandos anteriores.

Ejecución de Aplicaciones y Servicios al Inicio de Windows

Existen varios registros de Windows que permiten la ejecución automática de procesos al iniciar el Sistema Operativo, entre los principales tenemos:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

También es importante verificar en los registros de Windows:
HKEY_CURRENT_USER

Registro Forense a un Dispositivo USB -1

El sistema operativo utiliza controladores hub USB para detectar dispositivos USB adjuntos o instalados recientemente a un puerto, Windows encuentra el controlador adecuado para leer y recolectar sus descriptores. Entonces el sistema operativo utiliza los descriptores para construir un perfil único para el dispositivo. La información recolectada es utilizada entonces por el sistema operativo para encontrar el controlador adecuado para el dispositivo. Para lograr esto el SO intenta ubicar el ID del dispositivo en USBSTOR.INF para aquellos dispositivos explícitamente soportados. Si el controlador hub del USB enumera uno de estos dispositivos, el sistema cargará automáticamente el puerto controlador de almacenamiento del USB.

Registro Forense a un Dispositivo USB – II

El historial de las conexiones USB en el registro es mantenido bajo la siguiente llave:

HKEY_LOCAL_MACHINE\System\ControlSetOOx\Enum\USBSTOR

Cuando un dispositivo de almacenamiento compatible es conectado a un sistema Windows en la llave del registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USB

Otra llave importante es:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBStor

Los valores en esta clave pueden ser comprendidos por un ser humano, mientras que los de la clave anterior no lo son, pues están en formato hexadecimal.
br> En la siguiente llave se almacenan las letras de unidades asociadas a los dispositivos.

HKEY_LOCAL_MACHINE\SYSTEM\MountDevices

Técnicas de Rastreo de la Actividad del Usuario

Para poder rastrear que actividades realizo un usuario en una PC, podemos enfocarlo desde 2 puntos de vista.

1.Analizando los archivos del disco. - Aquí podemos resaltar que archivos el usuario modifico, creo o elimino. Así como también que aplicaciones fueron ejecutadas. Esto básicamente se puede observar mediante la visualización de las fechas de los archivos.

2.Analizando los registros de Windows. - Igualmente se puede encontrar información muy importante de ciertas acciones que se llevaron a cabo en un tiempo dado, y que estas son registradas en los registros del Sistema Operativo.

Actividad del Usuario – Keylogger

En muchos casos se puede aplicar técnicas de rastreo de la actividad del usuario utilizando previamente software de captura de las pulsaciones de teclado. En muchos casos esto invade la privacidad del usuario, se recomienda que existan políticas que expliquen bien el uso de esta clase de aplicaciones, ya que podría considerarse una invasión a la privacidad y finalmente no podría ser admitido en una corte. Esta técnica de rastreo de la actividad del usuario solo es factible si previamente se ha instalado un software de captura las pulsaciones del teclado.

Archivo Thumb.db

Es un archivo creado por Windows cuando se utiliza la característica de la visualización de miniaturas. Es un archivo oculto para la mayoría de usuarios y no es actualizado cuando los archivos son movidos de una carpeta con imágenes. Esta proporcionada una segunda posibilidad de que se deje evidencia parcial de una imagen en su carpeta de Windows.
Las miniaturas en Thumb.db son almacenados en el formato de archivo compuesto OLE, que es el mismo formato que Microsoft Office utiliza.

Análisis del archivo Prefetch en Windows

Windows Prefetch fue introducido en Windows XP, está diseñado para acelerar el proceso de inicio de aplicaciones. Los archivos Prefetch contienen el nombre del ejecutable, una lista Unicode de los DLLs utilizados por los ejecutables, un contador de las veces que el ejecutable ha sido ejecutado, y una marca de tiempo que indica la última vez que el programa fue ejecutado. Se almacenan hasta 128 archivos Prefetch en:

%SystemRoot%\Prefetch

Descubrimiento de Data Oculta

Es muy importante poder revisar toda la data obtenida de un disco, es decir revisar minuciosamente la evidencia a analizar. Ya que en muchos casos es posible que el usuario haya ocultado cierta información sensible.

Las formas más comunes de ocultamiento de información:

• Comprimir y encriptar información.
• Archivos Ocultos.
• Particiones ocultas.
• Maquina Virtuales.

Técnicas Avanzadas:
• Esteganografía.
• USB no registrados
• Discos Duros deshabilitados.

Forense del Navegador -1

Historial
Cuando se quiere reconstruir la actividad web de un usuario, en primer lugar, se tiene que mirar en los sitios que el usuario ha visitado mientras utiliza el navegador. Esta información puede ser obtenida del archivo de historial, el cual almacena información de cada URL que el usuario ha cargado, pudiendo retroceder algunos meses. Aunque el usuario haya intentado borrar el historial, puede ser recuperado y es de suma utilidad en una investigación.

Caché
Para acelerar la navegación en Internet, los navegadores mantienen un cache de las páginas que se visitan en el disco duro en caso se desee regresar nuevamente.

Forense del Navegador – II

Búsquedas
Es posible realizar un análisis forense de las búsquedas realizadas o tipeadas por el usuario o sospechoso; en motores de búsqueda como Yahoo, Google, MSN, etc.; desde el navegador.

Descargas
Las descargas realizadas con el navegador no son la excepción, y es factible obtener la siguiente información:

• Ubicación de descarga por defecto.
• Ubicaciones de descarga definida por el usuario.
• Archivos descargados a la ubicación por defecto y movidos o copiados a la ubicación que es definida por el usuario.

Archivos Temporales de Internet Explorer

El archivo lndex.dat almacena el índice histórico de las páginas visitadas en el Internet Explorer.

En Windows XP:

\Documents and Settings\[Usuario]\Configuración Local\Archivos temporales de internet\Content, IE5

En Windows Vista y Windows 7:

\Users\[Usuario]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.lE5

En Windows 8 y 8.1:

\Users\[Usuario]\AppData\Local\Microsoft\Windows\INetCache

Data Recovery en Informática Forense

Parte de la Informática Forense es poder recuperar la evidencia que ha sido eliminada. Cabe señalar que hay que ser mucho más metódicos y cuidadosos al realizar este proceso. Ya que todo lo que hagamos tiene que estar documentado, y no podemos alterar ni un byte de la información capturada.

Se deberá realizar la recuperación de datos en lo posible desde la imagen capturada. En algunos casos que se necesite realizar ese proceso desde un medio físico se recurrirá a la copia bit a bit de la imagen capturada hacia un medio físico de iguales características. En muchos casos se recomienda utilizar una unidad de almacenamiento virgen o en su defecto que haya pasado por un proceso de Wiping.

Reporte y Presentación de un Análisis Forense

El profesional a cargo de la investigación es responsable de la precisión y la completitud del reporte, sus hallazgos y resultados luego del análisis de la evidencia digital o de los registros electrónicos. En este sentido, toda la documentación debe ser completa, precisa, comprensiva y auditable.

Debemos de tener en cuenta las siguientes practicas:

• Documentar los procedimientos efectuados por el profesional a cargo.
• Mantener una bitácora de uso y aplicación de los procedimientos técnicos utilizados.
• Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia.
• Se deberá realizar un informe técnico y un informe ejecutivo.

Conclusiones

>Un análisis forense informático implica la identificación de la evidencia encontrada, el análisis de esta evidencia y finalmente la presentación del reporte.

>Para llegar a ser un buen Analista Forense Informático es muy importante adquirir la mayor cantidad de experiencia manejando los diversos sistemas operativos, diversas clases de archivos, así mismo la forma como interactúan con diversos dispositivos de almacenamiento. Enfatizando la estructura de archivos y entender en profundidad el sistema de archivos.

>Documentar cada paso que se lleve a cabo en la investigación.

>Es muy importante tomar las medidas necesarias en caso de algún percance (Es mejor prevenir que lamentar). Se recomienda realizar copias de seguridad de las imágenes a analizar.