2 APLICANDO LA CIENCIA FORENSE A LAS COMPUTADORAS

El análisis de evidencias digitales es un proceso similar al corte de un diamante. Al quitar el material áspero innecesario, se puede ver el cristal puro debajo. El diamante es esculpido y pulido para permitir a otros apreciar sus facetas. De manera similar, un examinador de evidencias digitales extrae bits relevantes de grandes masas de datos y los presenta de manera que los pueda comprender el que tomará las decisiones. En ambos casos, las imperfecciones en el material subyacente reducen el valor final del producto.

Continuando con la analogía, excavar diamantes en bruto de la tierra requiere un conjunto de habilidades, mientras que un cortador de diamantes requiere otro conjunto completo de habilidades. Un joyero que examina gemas para certificar su pureza y que las combina para obtener una pieza más grande, requiere otro conjunto de habilidades. Los investigadores digitales a menudo realizan todas las tareas requeridas de recolección, documentación y conservación de evidencias digitales para extraer datos útiles y combinarlos para crear una imagen más clara de lo que ocurrió en general. Los investigadores digitales necesitan una metodología para ayudarles a realizar estas tareas correctamente, encontrarla verdad científica, y en último caso, ser admitido como prueba en un juicio.

Aquí es donde la ciencia forense es útil, ofreciendo métodos probados para procesar y analizar evidencias y alcanzar conclusiones. Los conceptos de la ciencia forense pueden ayudar a los investigadores a obtener más y mejores datos que podrían escapar si se examinara todo a simple vista.

Sin embargo, la informática forense es una ciencia relativamente nueva, por lo que si buscamos un método único y aceptado que nos guíe paso apaso en este proceso, no lo encontraremos. Existen en la literatura diferentes aproximaciones a un modelo que nos permita diferenciar las distintas fases por las que pasa un análisis de evidencias digitales. A continuación veremos una recopilación de losdistintos modelos presentados en orden cronológico:

2.1 Modelo de Casey (2000)

Eoghan Casey, en el año 2000 presenta un modelo [2] para procesar y examinar evidencias digitales. Este modelo ha ido evolucionando en las siguientes Tiene los siguientes pasos principales:

  1. La Identificación

  2. La Conservación, la Adquisición, y la documentación

  3. La clasificación, la comparación, y la individualización

  4. La reconstrucción

En los últimos dos pasos es cuando la prueba es analizada. Casey señala que éste es un ciclo de procesamiento de prueba, porque al hacer la reconstrucción pueden hallarse pruebas adicionales que provoquen que el ciclo comience. El modelo se replantea primero en términos de sistemas de cómputo sin tener en cuenta la red, y luego ejercido para las distintas capas de red (desde la capa física hasta la capa de aplicación, e incluyendo la infraestructura de la red) para describir investigaciones en redes de computadoras. El modelo de Casey es muy general y se aplica exitosamente para ambos sistemas, las computadoras aisladas y con entornos de red.

2.2 Modelo publicado por el U.S. Dep. of Justice(2001)

Este modelo [3] se publicó en el año 2001 y quizás sea el más sencillo.

Básicamente existen cuatro elementos clave en un análisis forense de computadoras, que son:

  1. Identificación

  2. Conservación

  3. Análisis

  4. Presentación

Este modelo supuso una de las grandes bases en este campo ya que a partir de estos conceptos clave, varios autores han desarrollado sus modelos para englobar todos los pasos de una investigación forense de computadoras.

2.3 Modelo de Lee(2001)

Lee et. al [2] propone la investigación como un proceso. Este modelo se ocupa sólo de investigación de la escena de delito, y no del proceso investigador completo. Identifica cuatro pasos dentro del proceso:

  • Reconocimiento

  • Identificación

  • Individualización

  • Reconstrucción

Elreconocimientoes el primer paso, en el cual se buscan ítems o patrones como pruebas potenciales. El investigador debe saber qué partes mirar y dónde puede ser encontrado. El reconocimiento deriva en dos subactividades: La documentación y la adquisición/preservación.

Laidentificaciónde los tipos diversos de prueba es el siguiente paso. Esto implica la clasificación de la prueba, y una subactividad, la comparación. Físicas, biológicas, químicas, y otras propiedades de los artículos de prueba son comparadas según los estándares conocidos.

Laindividualizaciónse refiere a determinar si los ítems de prueba posible son únicos a fin de que puedan ser conectados con un acontecimiento o individuo particular. Dentro de esto, los ítems deben ser evaluados e interpretados.

Lareconstrucciónimplica unificar el significado de las salidas de las anteriores partes del proceso, y cualquier otra información pertinente que los investigadores pudieron haber obtenido, para proveer una detallada relación de los acontecimientos y las acciones en la escena de delito. Esto deriva en las fases de información y la presentación.

Basado en los pasos citados anteriormente, Lee Et Al . describe árboles lógicos para varios tipos diferentes de escenas según el tipo de delito, es decir, una serie de acciones relatadas que el investigador puede usar para asegurar la probabilidad más alta de que toda prueba pertinente será reconocida, identificada e individualizada, conduciendo a una reconstitución útil.

2.4 Modelo del DFRWS (2001)

El primer Forensics Digital Research Workshop (Palmer, 2001) produjo un modelo [4] que muestra los pasos para el análisis forense digital en un proceso lineal. Los pasos son los siguientes:

  1. La identificación

  2. La preservación

  3. La colección

  4. El examen

  5. El análisis

  6. La presentación

  7. La decisión

El modelo no pretende ser el definitivo, sino más bien como una base para el trabajo futuro que definirá un modelo completo, y también comouna armazón para la investigación de futuro. El modelo DFRWS se replantea como lineal, pero la posibilidad de retroalimentación de un paso para los previos es mencionada. El informe DFRWS no discute los pasos del modelo con todo lujo de detalles sino porcada paso se listan un número de asuntos pendientes.

2.5 Modelo de Reith, Carr y Gunsch (2002)

Reith, Carr y Gunsch (2002) [5] describen un modelo que hasta cierto punto deriva del modelo DFRWS. Los pasos en su modelo son:

  1. La identificación

  2. La preparación

  3. La estrategia de acercamiento

  4. La preservación

  5. La colección

  6. El examen

  7. El análisis

  8. La presentación

  9. Devolviendo la evidencia

Este modelo es notable en cuanto a que explícitamente pretende ser un modelo abstracto aplicable para cualquier tecnología o cualquier tipo de ciberdelito. Se pretende que el modelo pueda ser utilizado como base otros métodos más detallados para cada tipo específico de investigación.

2.6 Modelo integrado de Brian Carrier y EugeneSpafford (2003)

Brian Carrier y Eugene Spafford [6] han propuesto otro modelo que organiza el proceso en cinco grupos, cada uno dividido en 17 fases.

Fases de Preparación

El objetivo de esta fase esasegurar que las operaciones e infraestructuras están preparadas para soportar una investigación completa. Incluye dos fases:

  • Fase de preparación de operaciones: que asegura que los investigadores están adiestrados y equipados para tratar con un incidente cuando este ocurre.

  • Fase de preparación de infraestructuras: que asegura que la infraestructura subyacente es suficiente para tratar con incidentes. Por ejemplo, cámaras fotográficas, material de conservación y transporte de hardware, etc.

Fases de Despliegue

El propósito es proporcionar un mecanismo para que un incidente sea detectado y confirmado. Incluye dos fases:

  1. Fase de Detección y Notificación: donde el incidente es detectado y y notificado a las personas apropiadas.

  2. Fase de Confirmación y Autorización: en la cual se confirma el incidente y se obtiene la aprovación legal para llevar a cabo la búsqueda.

Fases de Investigación Física de la escena del crimen

La meta de estas fases es recopilar y analizar las evidencias físicas yreconstruir las acciones que ocurrieron durante el incidente. Incluye seis fases:

  1. Fase de Conservación: que busca conservar la escena del crimen de modo que la evidencia pueda ser identificada más tarde y recolectada por personal adiestrado en identificación de evidencias digitales.

  2. Fase de Inspección: que requiere que un investigador recorra la escena física del delito e identifique elementos de evidencia física.

  3. Fase de Documentación: que incluye tomar fotografías y videos de la escena del delito yde la evidencia física. El objetivo es capturar tanta información como sea posible de modo que el esquema y los detalles importantes de la escena del crimen son conservados y grabados.

  4. Fase de búsqueda y recolección: que entraña una búsqueda y recolecolección en profundidad de la escena de modo que se identifican evidencias físicas adicionales y se establecen vías para comenzar la investigación digital.

  5. Fase de Reconstrucción: que incluye organizar los resultados del análisis hecho usandolos para desarrollar una teoría del incidente.

  6. Fase de Presentación: que presenta la evidencia digital y física en un juicio o ante la dirección de una empresa.

Fases de Investigación de la Escena Digital del Delito

El objetivo es recolectar y analizar la evidencia digital que se obtuvo de la fase de investigación física y a través de otras fuentes. Incluye fases similares a las de la investigación física, aunque en este caso el objetivo principal es la evidencia digital. Las seis fases son:

  1. Fase de conservación: que conserva la escena digital del delito de modo que la evidencia pueda ser después analizada.

  2. Fase de Inspección: por la que el investigador transfiere los datos relevantes de una jurisdicción que está fuera del control físico o administrativo del investigador, a una posición controlada.

  3. Fase de Documentación: que incluye documentar la evidencia digital cuando es encontrada. Esta información es útil en la fase de presentación.

  4. Fase de Búsqueda y Recolección: se realiza un análisis en profundidad de la evidencia digital. Se usan herramientas software para revelar ficheros ocultos, borrados, corruptos, etc. Además se suelen usar lineas de tiempo para ver la actividad de los ficheros y usuarios en un instante o periodo dado.

  5. Fase de reconstrucción: que incluye ubicar las piezas del puzle y desarrollar una hipótesis investigativa..

  6. Fase de Presentación: que consiste en presentar la evidencia encontrada y unirla a la evidencia física encontrada.

Fase de r**evisión**

Esto conlleva una revisión de la investigación entera e identifica áreas de mejora.

2.7 Modelo mejorado propuesto por VenansiusBaryamureeba y Florence Tushabe (2004)

Este modelo [2] se basa en el anterior e intenta mejorar algunos aspectos, aunque básicamente son muy similares. Este modelo consiste en cinco fases principales:

Fases de Preparación

Las mismas que para el modelo anterior

Fases de despliegue

Proporcionan un mecanismo para detectar y confirmar un delito. Se realizan en el mismo lugar donde se detectó el delito y consisten en cinco fasees:

  1. Fase de Detección y Notificación: cuando se detecta un incidente y se notifica a las personas apropiadas.

  2. Fase de Investigación Física de la escena del delito: cuando se examina la escena física del delito y se identifican evidencias digitales potenciales.

  3. Fase de investigación Digital de la escena del delito: cuando se realiza una examinación de la escena y se obtienen evidencias con la consecuente estimación del impacto o daño causado al manipular el sistema en búsqueda de evidencias digitales.

  4. Fase de Confirmación: cuando el incidente es confirmado y se obtienen autorización legal para realizar una investigación en profundidad.

  5. Fase de informe; que supone presentar las pruebas físicas y digitales a personas jurídicas o a dirección corporativa.

Fases de Hipótesis

Dentro de estas fases se intentan reconstruir los hechos cometidos en la escena físicadel delito de forma que podamos identificar los dispositivos que se usaron para cometer el acto. Consiste en dos fases:

  1. Investigación digital de la escena del delito: se elabora una primera hipótesis con las pistas obtenidas en fases anteriores. Por ejemplo, si tenemos una dirección IP sospechosa en nuesto sistema podemos rastrear su origen buscando por internet.

  2. Fase deAutorización: cuando se obtiene autorización de las entidades locales para permitir investigaciones más exaustivas y acceder a más información.

Fases Dinamita

Estas fases investigan la hipótesis elaborada en el paso anterior. El objetivo de recopilar yanalizar los elementos que se encontraron en la fase anterior es obtener más evidencias y poder asegurar que el delito ocurrió allí y/o encontrar posibles culpables. Consiste en cuatro fases:

  • Fase de Investigación Física de la escena del delito: se examina de nuevo la escena física bajo el punto de vista de la hipótesis inicial buscando nuevas evidencias digitales.

  • Fase de Investigación Digital de la escena del delito: se examina la evidencia digital en busca de pruebas del incidente y permitir una estimación del momento en que ocurrió el incidente.

  • Fase de Reconstrucción: reconstruir todas las piezas del puzle digital e identificar las hipótesis más probables.

  • Fase de Comunicación: que consiste en elaborar la presentación de las interpretaciones yconclusiones finales sobre la evidencia física y digital que han sido investigadas por un juicio o por una empresa.

  • Fase de Revisión

La investigación entera es revisada y se buscan áreas de mejora.

2.8 Modelo extendido de Séamus Ó Ciardhuáin(2004)

En el año 2004, el IJCE (International Journal of Digital Evidence) publica un modelo extendido [2] para investigaciones de ciberdelitos, cuyo autor fue Séamus Ó Ciardhuáin. Vamos a profundizar en este modelo para comprender el proceso completode un análisis forense de computadoras. Según este artículo, los modelos existentes no cubren todos los aspectos de investigación de ciberdelito; enfocan principalmente la atención en el procesamiento de prueba digital. Aunque son valiosos, no son lo suficientemente generales para describir completamente el proceso investigador para ayudar al desarrollo de nuevas técnicas y herramientas investigadoras.

El mayor fallo en los modelos existentes es que explícitamente no identifican la información que fluyeen las investigaciones. Por ejemplo, Reith Et Al. (2002) no menciona explícitamente la cadena de custodia en su modelo. Éste es un fallo primoridal cuándo uno considera las diferentes leyes, las prácticas, los lenguajes, etcétera que deben ser correctamente distribuido en investigaciones reales.

Otro asunto con los modelos existentes es que han tendido a concentrarse en la parte central del proceso de investigación, o sea la colección y el examen de la prueba digital. Sin embargo, las etapas anterioresy posteriores deben ser tomadas en consideración si desean lograr un modelo integral, y en particular si todos los flujos pertinentes de información a través de una investigación deben ser identificados.

Las actividades en una investigación se mencionan a continuación:

  1. La conciencia

  2. Autorización

  3. Planificación

  4. La notificación

  5. Buscar e identificar pruebas

  6. La colección de prueba

  7. Transporte de prueba

  8. El almacenamiento de prueba

  9. El examen de prueba

  10. La hipótesis

  11. La presentación de hipótesis

  12. La prueba /defensa de hipótesis

  13. La diseminación de información

Este modelo tiene forma de cascada y las actividades se suceden unas a otras. Los flujos de información de una actividad a la siguiente pasan hasta el final del proceso de investigación. Por ejemplo, lacadena de custodiase forma por la lista de aquellos que han manipulado una evidencia digital y debe pasar de una etapa a la siguiente agregando los nombres en cada paso.

La conciencia: alerta de incidente

El primer paso en una investigación es la creación de una conciencia de que la investigación es necesaria. Esta conciencia es típicamente creada por acontecimientos externos a la organización que llevará a cabo lainvestigación, por ejemplo un delito se dice a la policía o un auditor recibe instrucciones de realizar una auditoría. También puede resultar de acontecimientos internos, por ejemplo un sistema de detección de intrusión alerta a un administrador de sistema de que la seguridad de un sistema ha sido comprometida.

La conciencia existe en este modelo porque hace más clara la investigación, estableciendo un punto de partida en el que basarnos. La mayoría de anteriores modelos explícitamente no muestran estaactividad y tampoco incluyen una relación visible para los acontecimientos causativos. Ésta es una debilidad de algunos modelos semejantes porque los acontecimientos que provocan la investigación pueden influenciar el tipo de investigación. Es vital teneren cuenta tales diferencias para asegurar que el planteamiento correcto es llevado a una investigación en un contexto particular.

Autorización

Después de que la necesidad de una investigación es identificada, la siguiente actividad es obtenerautorización. Esto puede ser muy complicado y puede requerir interacción con ambas entidades externas e internas para obtener la autorización necesaria. En un extremo, un administrador de sistema puede requerir sólo una aprobación verbal simple de su compañía para que lleve a cabo una investigación detallada de los sistemas de cómputo; en el otro extremo, las instituciones para la aplicación de la ley usualmente requieren autorizaciones legales formales alegando en detalle lo que está permitido en una investigación.

La planificación

La actividad planificadora es fuertemente influenciada por información del interior y de fuera de la organización investigativa. De fuera, los planes serán influenciados por reglas y legislación que establecen el contexto general de la investigación y queno está bajo el control de los investigadores. También habrá información obtenida por los investigadores de otras fuentes externas. Desde dentro de la organización, allí estarán las propias estrategias de la organización, las políticas, y la información acerca de investigaciones previas.

La actividad planificadora puede dar lugar a la necesidad de volver hacia atrás y obtener más autorización, por ejemplo cuando el alcance de la investigación es mayor que la información que se puede obtener.

La notificación

La notificación en este modelo se refiere a informar al objetivo de la investigación o a otras partes concernientes que la investigación está teniendo lugar. Esta actividad puede no ser apropiada en algunas investigaciones, por ejemplo,cuando se requiere la sorpresa para prevenir la destrucción de la evidencia. Sin embargo, puede ser necesaria la notificación, o puede que otras organizaciones deban estar al tanto de la investigación.

La Búsqueda e Identificación De Evidencias

Esta actividad se ocupa de localizar la evidencia e identificar lo que es para la siguiente actividad. En el caso más simple, esto puede implicar encontrar la computadora usada por un sospechoso y confirmar que es de interés para los investigadores. Sin embargo, en más ambientes complicados esta actividad no puede ser franca; por ejemplo puede requerir rastrear computadoras a través de ISPs múltiples y posiblemente en otros países basándonos en el conocimiento de una dirección IP.

La adquisición

La adquisición es la actividad en la cual la organización investigativa toma posesión de la prueba en una forma que puede ser conservada y analizada, por ejemplo las imágenes de de discos duros o la recolección de computadoras enteras. Esta actividad es el foco de la mayoría de debate en la literatura por su importancia para el resto de la investigación. Los errores o las escasa práctica a estas alturas pueden inutilizar la prueba, particularmente en investigaciones que están sujetas a las normas legales estrictas.

Transporte

Después de colección, la prueba debe ser transportada a una ubicación adecuada para su posterior examen. Ésta podría ser simplemente la transferencia física de computadoras a una posición segura; sin embargo, también podría ser la transmisión de datos a través de redes. Es importante para asegurar durante el transporte que la prueba permanece válida para el posterior uso.

El almacenamiento

Las evidencias adquiridas en la mayoría de los casos necesitará ser almacenada porque la inspección no puede tener lugar inmediatamente. El almacenamiento debe tener en cuenta la necesidad de conservar la integridad de la prueba.

El examen

El examen de la prueba implicará el uso de un número potencialmente grande de técnicas para encontrar e interpretar datos significativos. Puede precisar reparación de datos dañados de forma que conservan su integridad. Según los resultados de la búsqueda /identificación y las actividades de adquisición, pueden haber volúmenes muy grandes de datos para ser examinados así es que se requieren las técnicas automatizadas para ayudar al investigador.

La hipótesis

Basados en el examen de la prueba, losinvestigadores deben construir una hipótesis de qué ocurrido. El grado de formalidad de esta hipótesis depende del tipo de investigación. Por ejemplo, una investigación de policía resultará en la preparación de una hipótesis detallada con material cuidadosamente documentado del examen, adecuado para el uso en los tribunales. Una investigación interna por el administrador de sistemas de una compañía resultará en al menos un informe formal para la gestión. Una vez que se tiene una hipótesis, puede volverse ala fase de examen, de forma que los investigadores desarrollen una comprensión mayor de los acontecimientos.

La presentación

La hipótesis debe presentarse a otras personas aparte de los investigadores. Para una investigación de policía la hipótesisserá antepuesta a un jurado, mientras que para una compañía interna, se tomará en cuenta la hipótesis antes de tomar una decisión.

La Prueba /defensa

En general la hipótesis no será indiscutible; una hipótesis contraria y una evidencia comprobatoria serán antepuestas ante un jurado, por ejemplo. Los investigadores tendrán que probar la validez de su hipótesis y defenderla en contra de las críticas de la defensa o el acusación. Los mejores resultados pueden obtenerse si se usa el retroceso para obtener más pruebas y construir una mejor hipótesis.

La difusión

La actividad final en el modelo es la difusión de información de la investigación.

Alguna información puede estar disponible solamente dentro de la organización investigativa, mientras otra información puede ser más ampliamente difundida. La información influenciará investigaciones futuras y también puede influenciar las políticas y losprocedimientos. La recopilación y mantenimiento de esta información son, por consiguiente, un aspecto clave para dar soporte al trabajo de investigadores y es propensa a ser un área provechosa para el desarrollo de aplicaciones avanzadas que incorporen técnicas como el “data mining” y los sistemas expertos.

Un ejemplo de la actividad de diseminación está descrito por Hauck Et Al. (2002). Describen un sistema llamado Coplink que provee soporte de tiempo real para investigadores policiales en forma deuna herramienta de análisis basada en una gran colección de información de investigaciones previas. Un ejemplo más está descrito por Harrison Et Al. (2002). Su sistema del prototipo no es de tiempo real, pero en lugar de eso provee una función de archivo para la experiencia y el conocimiento de investigadores.

results matching ""

    No results matching ""