1INTRODUCCIÓN

1.1 Contexto

ElAnálisis Forensees la aplicación de métodos científicos en investigaciones criminales. Es un campo único de estudio que deriva de todas las áreas de la ciencia, desde la entomología a la genética, desde la geología a las matemáticas, con el único objetivo de resolver unmisterio. Esto levanta una gran expectación para el público en general. Gracias a las series de TV, millones de personas están familiarizadas con cómo una marca de rifle en una bala puede identificar el arma de un asesinato y como el “luminol” se usa pararevelar manchas de sangre en el baño.

ElAnálisis Forense de Ordenadoresestudia como éstos están involucrados en la realización de un crimen. Entre estos podemos citar el fraude de contabilidad, chantaje, robos de identidad, pornografía infantil o las intrusiones de un hacker black-hat en un sistema. En todos estos casos, los contenidos de un disco duro pueden contener evidencias críticas de un crimen. El análisis de discos y el rastreo de e-mails entre varias personas se han convertido en herramientas comunes para las fuerzas de la ley en todo el mundo. Una definición de “Computer Forensics” tambien llamado Análisis forense de computadores, Informática forense, Análisis de computadores, Recuperación de datos, etc., es la que encontramos en [1]:

“El análisis forense de computadoras es el proceso de examinar dispositivos metódicamente (discos duros, disquetes, etc.) en busca de evidencias.

Después de que ha ocurrido un crimen o incidente que implique una computadora, un especialista adiestrado en informática forense puede examinar la misma para encontrar pistas de lo que ha pasado. Este es el papel del examinador forense de computadoras. Este especialista podría trabajar para el estado como agente de la ley, o para una empresa privada en algunos casos, como los incidentes de seguridad en un sistema. Aunque en cada uno de los dos casos la ley es diferente, la estrategia de investigación para el especialista es más o menos la misma.

En los últimos años ha habido una explosión del interés sobre el estudio de evidencias digitales. Este crecimiento ha provocado acalorados debates sobre herramientas, terminología, definiciones, estándares, ética, yotros muchos aspectos de este campo en desarrollo. Según la bibliografía que se consulte se obtendrá la opinión subjetiva del autor en su obra, ya que no existe un método exacto que nos permita obtener la “verdad científica” para todos los casos. Existenen todo caso recomendaciones y “buenas prácticas” que generalmente son aceptadas y que todo examinador debería conocer.

1.2 Un poco de historia

Las pruebas extraídas de las computadoras se admiten como prueba en un juicio desde los años 70, pero en su fase más temprana las computadoras no se consideraban más que un dispositivo para almacenar y reproducir registros de papel, que constituían la evidencia real. Las versiones impresas de registros de contabilidad eran aceptadas como el equivalente de expedientes de negocio conservados en mano o escritos a máquina, pero no se contaba con los datos almacenados en la computadora.

El análisis forense de computadoras (Computer Forensics) es una ciencia relativamente nueva, por lo que aún no hay estándares aceptados. Sus orígenes se remontan a los Estados unidos a mediados de los años 80. Respondiendo al crecimiento de crímenes relacionados con las computadoras, los Estados Unidos comenzaron a desarrollar programas de adiestramiento y a construir su propia infraestructura para ocuparse del problema. Estas iniciativas derivaron en centros como SEARCH, Federal Law Enforcement Center (FLETC), y el National White Collar Crime Center (NW3C).

En1985se crea el FBI Magnetic Media Program, que más tarde pasará a serel Computer Analysis and Response Team (CART)

En1990, el Laboratorio de Inspección Postal de los Estados Unidos se traslada a una nueva instalación en Dulles, Virginia, y entre 1996 y 1997 establece una unidad de Informática Forense. Trabaja junto con elFBI durante muchos años en el desarrollo de sus habilidades en informática forense.

En1993se celebra la primera conferencia anual sobre evidencias de computadoras (First International Conference on Computer Evidence).

En1994, el juicio de O.J. Simpson expuso muchas de las debilidades de la investigación criminal y la ciencia forense. La investigación fue entorpecida desde el inicio con colecciones de evidencias, documentación y preservación de la escena del crimen incompletas. Como resultado de estos errores iniciales, científicos forenses especializados estaban confundidos y sus interpretaciones solo incrementaron la duda de los miembros del jurado. La controversia que rondaba este caso puso de manifiesto que investigadores y científicos forenses noeran fiables como previamente se creía, socavando no solo su credibilidad sino también su profesión. Esta crisis motivó a muchos laboratorios y agencias de investigación a revisar sus procedimientos, mejorar su entrenamiento y hacer otros cambios para evitar situaciones similares en el futuro.

Por esa época hubo muchos desarrollos notables hacia la estandarización en estecampo. Se fundó la Organización Internacional de Evidencias de Computadoras

a mediados de los 90 que anunció “asegurar la armonización de métodos y prácticas entre naciones y garantizar el uso de evidencias digitales de un estado en las cortes de otro estado”.

En España se crea en 1995 la Brigada de Investigación Tecnológica, perteneciente al Cuerpo Nacional de Policía. Comenzaron con 3 agentes de policía.

En1997, los países del G8 declararon que “la policía debe estar adiestrada para hacer frente a delitos de alta tecnología” en el Comunicado de Moscú de diciembre. En Marzo del año siguiente, el G8 designa al IOCE para crear principios internacionales para los procedimientos relacionados con la evidencia digital.

Ese mismo año se crea el Grupo de Delincuencia Informática de la Guardia Civil, que pasó a llamarse Grupo de Investigación de Delitos de Alta Tecnología antes de tomar su nombre actual de Grupo de Delitos Telemáticos.

Los directores del Laboratorio Federal de Crímen en Washington, DC, se reunieron dos veces en1998para discutir asuntos de interés mutuo. Se formó loque es ahora conocido como el Scientific Working Group Digital Evidence (SWGDE). El concepto de encontrar “evidencias latentes en una computadora” se pasó a llamar infomática forense. El concepto de evidencia digital, que incluye audio y video digital sellevó ante los directores del laboratorio federal el 2 de Marzo de 1998, en un encuentro albergado por Servicio de Inspección Postal de los Estados Unidos y la División de Servicios Técnicos. La primera discusión se centraba principalmente en la fotografíadigital. El resultado de esa reunión fue que se necesitaba personal experto para abordar el tema, por lo que e12 de Mayo de ese año se reunieron de nuevo con expertos del FBI y de otros grupos especializados en el tema. De ese encuentro surgió la formación de otro Grupo de trabajo técnico para tratar los asuntos relacionados con la evidencia digital.

El 17 de Junio de 1998, el SWGDE celebra su primer encuentro, dirigido por Mark Pollitt, agente especial del FBI y Carrie Morgan Whitcomb, del departamento forense del Servicio de Inspección Postal de los Estados Unidos. Como laboratorios forenses invitados estuvieron los del Departamento de Alcohol, Tabaco y Armas de Fuego(ATF), el Departamento de Control de Drogas(DEA), Inmigración(INS), Hacienda(IRS), la NASA, los Servicios Secretos(USSS) y el servicio de Inspección Postal. Decidieron algunos procedimientos administrativos y desarrollaron documentos relevantes. Se establece que “La evidencia digital es cualquier información de valor probatorio que es almacenada o transmitida en formato binario”. Más tarde “binario” cambió a “digital”. La evidencia digital incluye hardware, audio, video, teléfonos móviles, impresoras, etc.

Ese mismo año se celebra el primer Simpósium de ciencia forense de la INTERPOL.

En19**99**, la carga de casos del FBI CART excede los 2000 casos, habiendo examinado 17 terabytes de datos. El IOCE presenta un borrador con estándares sobre informática forense al G8.

En el año2000se establece el primero laboratorio de informática forense regional del FBI.

The FBI Laboratory Seal

En2001, se realizó el primer taller de investigación forense digital -Digital Forensics Research Work Shop (www.dfrws.org)-, reuniendo a los expertos de universidades, militares y el sector privado para discutir los retos principales y buscar las necesidades de este campo. Este taller también impulsó una idea propuesta muchos años atrás, provocando la creación de la Publicación Internacional de Evidencias Digitales -International Journal of Digital Evidence(www.ijde.org)-.

El rápido desarrollo de la tecnología y los crímenes relacionados con computadoras crean la necesidad de especialización:

• “First Responders” (Técnicosde escena de crimen digital): expertos en recogida de datos de una escena del crimen. Deberían tener entrenamiento básico en manejo de evidencias y documentación, así como en reconstrucción básica del crimen para ayudarles a ubicar todas las fuentes posibles de evidencias.

• Analistas de Evidencias Digitales: procesan la evidencia adquirida por los anteriores para extraer todos los datos posibles sobre la investigación.

• Investigadores digitales: analizan todas las evidencias presentadas por los dos anteriores para construir un caso y presentarlo ante los encargados de tomar las decisiones.

Estas especializaciones no estan limitadas solamente a los agentes de la ley y se han desarrollado también en el mundo empresarial. Aún cuando una sola persona sea responsable de recopilar, procesar y analizar las evidencias digitales, es útil considerar estas tareas por separado. Cada área de especialización requiere diferentes habilidades y procedimientos; tratándolos por separado hace más fácil definir el adiestramiento y los estándares en cada área. Entendiendo la necesidad de estandarización, en2002, el Scientific Working Group for Digital Evidence (SWGDE) publicó unas lineas generales para el adiestramiento y buenas prácticas. Como resultado de estos esfuerzos, la American Society of Crime Laboratory Directors (ASCLD) propuso requerimientos para los analistas forenses de evidencias digitales en los laboratorios. Hay además algunos intentos de establecer estándares internacionales (ISO 17025; ENFSI 2003).

A finales del año2003y respondiendo al creciente interés del análisis forense de intrusiones en computadoras, se propone el primer Reto de Análisis Forense por parte de Rediris, en el cual se publica la imagen de un disco duro que ha sufrido un incidente de seguridad y se reta a responder a las siguientes preguntas:

• ¿Quién ha realizado el ataque ?, (dirección IP de los equipos implicados en el ataque )

• ¿Comó se realizo el ataque ? (Vulnerabilidad o fallo empleado para acceder al sistema )

• ¿Qué hizo el atacante? (Que acciones realizo el atacante una vez que accedío al sistema, ¿por qué accedió al sistema ?).

Al final 14 personas enviaron el informe a Rediris de los casi 500 que se presentaron, y los ganadores se llevaron licencias y manuales de software de Análisis Forense (valorados en miles de dólares).

En2004los Servicios de Ciencia Forense del Reino Unido planean desarrollar un registro de expertos cualificados, y muchas organizaciones Europeas, incluyendo la Red Europea de Institutos de Ciencia Forense publicaron líneas básicas para investigadores digitales. Además, Elsevier comenzó la publicación de una nueva revista llamada “Digital Investigation: The International Journal of Digital Forensics and Incident Response” (http://www.compseconline.com/digitalinvestigation/).

A comienzos del2005se celebra el Reto Rediris v2.0, junto con la Universidad Autónoma de México. Se presentaron casi 1000 participantes y los premios fueron cursos de análisis forense y licencias de software. El segundo premio fue para uno de los ingenieros de la universidad de Granada.

A mediados del2006se celebra el III Reto Rediris, en el cual había 3 premios para los mejores de España y 3 para los mejores de Iberoamérica.

1.3 Objetivo y Metodología

Objetivo

Realización de una aplicación “asistente” que sirva para el aprendizaje de las técnicas de análisis forense.

Metodología

Para alcanzar el objetivo del proyecto se van a seguir los siguientes pasos:

• Revisión bibliográfica sobre la metodología del análisis forense de computadores.

• Revisión y evaluación de las herramientas empleadas en los análisis forenses de computadoras.

• Elegir un SSOO y un lenguaje de programación que nos permita realizar interfaces gráficas.

• Seleccionar las herramientas más adecuadas para poder realizar un análisis forense.

• Análisis, diseño e implementación de la aplicación asistente, que mostrará de manera gráfica el funcionamiento de estas herramientas.

• Masterización de un CD autoarrancable que integre el asistente.•Realización de pruebas.

1.4 Motivación del alumno

Entre las motivaciones que me han llevado a elegir este proyecto las principales son:

• Trabajar sobre el campo de la seguridad informática, tan de moda hoy en día debido a la expansión de Internet.

• Investigar un área novedosa en la seguridad informática, poco documentada en español y sobre la que apenas existen estándares como es el análisis forense de computadoras.

• Contribuir con una aplicación de utilidad para los alumnos de la asignatura Seguridad en Sistemas Informáticos y para el que desee usarla.

• Utilizar un lenguaje de programación de alto nivel que supera en sencillez a Java: Python.

• Expandir mis conocimientos sobre Linux.

• Aumentar mi vocabulario cientifico/tecnico en inglés.