ANÁLISIS DE EVIDENCIAS DE NATURALEZA INFORMÁTICA MEDIANTE EL USO DE LA

HERRAMIENTA ENCASE FORENSIC

EDWARD HERRERA BIUR

INVESTIGADOR CRIMINALISTA IV DIRECCIÓN DE ASESORÍA TÉCNICO CIENTÍFICA E INVESTIGACIONES DEL

MINISTERIO PÚBLICO

DAVID CASTILLO

INGENIERO ExPERTO EN PERITAJE INFORMÁTICO

DIVISIÓN DE ANÁLISIS DE TECNOLOGÍAS DE INFORMACIÓN

DIRECCIÓN DE ASESORÍA TÉCNICO CIENTÍFICA E INVESTIGACIONES DEL

MINISTERIO PÚBLICO

OSWALD FALCÓN

INGENIERO DE SISTEMAS

DIVISIÓN DE ANÁLISIS DE TECNOLOGÍAS DE INFORMACIÓN

DIRECCIÓN DE ASESORÍA TÉCNICO CIENTÍFICA E INVESTIGACIONES DEL

MINISTERIO PÚBLICO

REsUMEN

En la actualidad, el auge de delitos informáticos ha hecho necesario adoptar nuevas estrategias para su investigación y, muy especialmente, para el análisis de las evidencias que se pudieran hallar en un momento determinado. Este auge, debe ser analizado tomando en consideración diversos aspectos, como por ejemplo, la motivación, origen y desarro­llo de los distintos tipos de manipulaciones, modificaciones, ataques que configuran una amplia variedad de los tipos penales previstos en la ley sustantiva que rige la materia; también se debe mencionar como aspecto a ser evaluado, la diversidad de tecnologías existentes en diversos campos de la informática y la computación, que si bien, en un principio nacieron con un objetivo específico y determinado, se observa como esta orienta­ción se desvirtúa antes, durante o después de su implementación.

Dentro de esta vorágine tecnológica, también se incluyen aquellas he­rramientas que nacen con orientación forense, pensando precisamente en las aristas y ramificaciones operacionales que se verifican al momento de abordar la investigación de un delito informático.

Una de estas herramientas es Encase Forensic, diseñada para realizar el análisis de aquellas evidencias que resultaron tener un interés criminalís­tico en la investigación y que contempla procedimientos estandarizados desde el punto de vista de la protección, integridad, originalidad y no repudio de los datos e información que se evalúan.

DESCRIPTORES:

Tecnología, aplicación forense, computación, minería de datos, esta­dísticas.

RJM STA DEL MI NISTERIO P ÚBLlc o ll REVISTA C IENTfPlCA ARBITRADtJl V ETAI'A N° 14 [15J

ABSTRACf

At present, [he rise of co mpurer crime has made ir necessary ro adopr

new suaregies for ir investigation and especially for me anal is of me evi­

dence mar could be found in a given rime.

This rise, mu t be analyzed raking into con ideration various aspectS such as for example, morivation, origin and development of me diJferent

rypes of manipulation mi boom musr be analyzed raking into con ide­

ration various aspect , uch a for example, motivado n, origin and deve­lopmenr of the differenr rype of manipulado n , modificadon , arracks

thar shape a wide variery of criminal offen es under m e ub randve law governing the manero hould al o be mentioned as an aspecr ro be eva­

luared , the diversiry of exi ting technologies in various field of ompurer

science and compurin g rhar while in a principie were born \Vi(h a pe ifi

objecrive and determined , you can ee ho\ thi guidan e i being under­mined befo re during or after ir implementation.

Within mi Univer e f rechnology, are al o included tho e tool mat

are born \Vith ~ ren i orien tation minking pr i el in me edg and ope­ratio nal ramification m at are verified ar (h ti me to tan me inv tÍ!!ati n of a ompurer rime.

One of mese ro I i • n ase F ren i , d igned r p rform m anal i

of those eviden es thar rurned out t ha e a inte t in iminali ti re-

earch that involv randardized pr edur fr m me p inr f vi w f (h

protection, inregriry, origi naliry and non- r pudiati n f data and in rma­rion thar are evaluated .

D · ruPTOR:

Teclll1 lo ,foren i , ppli ti n, mputati n, dura minin , ·mrLti

ENCASE FORENSIC

Es una solución estandarizada para la investigación en el área de la informática y la computación, diseñada para operadores forenses, que requieren conducir eficientemente la investigación y el análisis de evi­dencias con procesos respetables y reproducibles. La probada, confiable y poderosa herramienta EnCase permite a los analistas obtener data a partir de una amplia variedad de dispositivos aunado a la identificación de potencial evidencia con análisis forense a nivel de disco, generando los respectivos reportes de hallazgos y manteniendo la integridad de la evidencia. Cabe destacar, que la referida herramienta tecnológica, está siendo adquirida para su implementación en la Coordinación de Peritaje del Ministerio Público.

CARACTERÍSTICAS

El poder y la efectividad de la herramienta EnCase Forensic, la han hecho muy popular entre diversas organizaciones gubernamentales a ni­vel mundial, así como en organizaciones privadas y entre sus principales características encontramos las siguientes:

•

•

Extracción de data e información desde casi cualquier

dispositivo. Adquisición desde disco o memoria RAM ,

documentos, imágenes, correos electrónicos, correo web,

páginas web, historial y caché web, sesiones de chat, archivos

comprimidos, archivos de respaldo, archivos encriptados,

arreglos de disco RAI D ' s, estaciones de trabajo, servidores y a partir de la versión 7, teléfonos inteligentes y tableras.

Extracción Forense. EnCase Forensic permite realizar

un duplicado binario exacto del dispositivo original,

verificándolo posteriormente por medio de la generación

REVISTA DEL M'N,~rP.R10 Pú8ucoll REVI STA C IBNTIFl CA AruI'TAAOAf¡ V ETAPA N° '4 [171

de un valor HASH en a1goriuno MD5 , para archivos de

imágenes relacionados asignándole un valor de comprobación

a la data.

• Análisis avanzado. Recupera archivos y particiones, detección

de archivos eliminados, análisis de firmas de archivos y

análisis de HASH.

• Los analistas pueden previsualizar los resultados miencras se

adquiere la data o información , y una va.. que son creados

los archivos de imagen, pueden realizar búsquedas y analizar

múltiples d.ispositivos imulcáneamence.

METODOLOGlAs y EsTÁNDARES A Nrva MUNDIAL

• Las normas de eguridad tandard establecen que todos

los archivos deben estar protegido con unas medidas de

eguridad, cuya incen idad variará en función de la naruraleza

de los datos que se almacena en ello . Además, las empresas

deberán tomar precauciones, conaol de a ceso, asignación y

cambio de concraseilas del personal, especificar las funcion

•

•

•

y obligacio nes del per onal que ac ede al fichero, r ha er

copias. Las técnicas y herramientas exi rene para análisi

foren e tienen una ci rta madurez, pero en general adolecen

de un defecto: cán o rientadas al mundo del P . o

Rico al hardware, di o duro de tamaño raz nable,

po ibilidad de d oneccar el i tema confi cario, r .

En mucho ca o diR iI , i no impo ible, aplicar l. t ni

de investiga i n forense en el mundo de la gran orpora i ' n .

. to puede er debido a mu has u

Talllañodelencornote n I gi o,di tribu i ng g.fi .. gran

número de si tema , talllañ del alma enamient impli d , etc.

olllplcjidad

t nologr •. xi ten ia d múltipl

1181 RIN1 ~r" I)F,I. MlfIIlSTI1 RI O t~U (\U II R I'1STA 'JlNT1n itA! Il I V t:, \ ,, \ ''''

• Complejidad organizariva, po((tica o legal, inclu)'endo

diferentes jurisdi ciones o istema legales.

• Existen ia de sistemas crítico en entornos ontrolados

• Además, la distancia, la posibilidad de a eso flsi o a

sistemas remoto , diferencias ulturales o de idioma, zona

horarias, et . pueden limitar o difi ultar la rea lización de

una investigación foren e. uando se tiene que obtener la

evidencia de forma remota, el an ho de banda disponible

(a veces mfnimo) )' la proliferación de grande medio de

almacenamiento (discos de ciento de gigab)'tes), hacen

dificil la obtención de imágenes de disco para su examen.

La existencia de sistema de almacenamiento e.'( terno ( A ,

SAN, etc.) )' la difuminación entre lo fl i o )' lo virtual

(sistemas virtuales, almacenamiento di tribuido, e/I/SIU!

geográficos) no hacen sino complicar aún más la tarea del

investigador. El tamaño de los volúmenes actuales de di co,

en el mejor de los casos, puede implicar varia horas para la

formación de una imagen bit-a-bit, de forma local.

• Por último, no siempre es posible acceder a la evidencia en

el caso de istema críticos, debiendo evaluar la co nveniencia

en base a:

» Coste de dOI/Jllrim contra coste del incidente

» Coste de reinstalación y puesta en marcha

» Coste de re-validación o re-certificación del sistema

» En las configuraciones RAID es po ible en ciertos casos

utilizar uno de los di cos en espejo para realizar la copia,

pudiendo extrae rlo en caHente in afectar a la continuidad

del servicio. En el caso de que no haya acceso físico al

sistema, puede ser necesa rio recurrir a operadores remoto

o utilizar OtrOS métodos como la transferencia a través

de red de la imagen o el arranque del sistema desde un

CD-ROM virtual mapeado a través de tarjetas de gestión

remota tipo "Lights oue".

ReVISTA .) EL MINI STERIO I)únl.lcoll R I:."V ISTA l ENTIFICA ARlIITRAOAl/ V ETAPA N° 1.1 1191

• Una ventaja que tiene la gran corporación respecto a otros

entornos es la estandarización de los sistemas. La plataforma

de dientes y servidores de una forma común permite la

creación de "bases de datos de hashes" de tamaño razonable

que facilitan la investigación al descartar en seguida los

archivos "conocidos", y centrar el análisis en los archivos

desconocidos. El uso de una base de datos de "hashes" de

archivos permite descartar entre un 80% y 90% de los

archivos de una partición de un pe o un ervidor de forma

rápida y cómoda.

• Es po ible que la práctica forense esté pasando por un bache

de la desilusión en terminolog(a de Gartner. Esto es debido

a la incapacidad de las técnicas y herramientas actuales para

cubrir las nec idades de los entornos modernos. Esto hace

que la práctica deje de er "interesante" y parezca que ha

"pasado de moda". 1 futuro de 13 práctica de investigación

roren e en sistemas inform:í tico pasa necesariamente por

renovarse e incorporar técnicas maduras que hagan frente a:

•

•

•

•

•

El desplazamiento dd campo de batalla d de el di o

duro a la memoria. icrras aplicaciones, troyano y roolkits

on capaces de residi r en memoria in tocar el di o.

El desarrollo de técnicas , herramientas para el an:ili i de

di po itivo m vil .

La mrada de la prá ti aforen

(sistemas ríti os. grand a1m3 en el mundo orporati\'O

cnanllem • falta de a o

I i a máquinas. virtualiza i n. di tan i •• Cl .)

La pr lircra in)' pue ca a di p

herrami 11t:IS quc difi ullen la in n d I gran público de

ren .

El m3nt ncr parámctros o n rmJ one . l. nueva 1 ni u,

hcrr.lIl1i ' \HJS para realizar a lividJd m.Ji i .1. Y ntra

la, hcrrami nt.l~ anli -ror n •• 1 ¡ omo 1.\ m.ldure? dI.}

pd ti • p.trol ade lIarla.tl \\lomo I pOr.llivo. r. 11 d i h-.u

en el desarrollo de uno de los ampo m:\s fas inam de la

seguridad de la información.

ANÁLISIS DE INFORMÁTICA FORENSE MEDIANTE EL USO DE ENCASE

• Una de la principales caracrerf rica que ha en de n a e

una herramienra de ofnvare práctica y úril es la variedad de

sisremas de archivos y de sisremas operarivos oporrado . Para

cada sisrema operarivo exi ren vario i rema de ar hivo

que pueden coexisri r en un equipo. El sisrema operari o y el

sisrema de archivos son elementos disrinto pero rienen una

estrecha relación en cuantO a cómo almacenan la información

y cómo el sistema operarivo interactúa con el istema de

archivos. La capacidad de anali:mr con profundidad un

amplio rango de istemas operativo y i tema de fichero e

un componente cdtico en las investigaciones. En a e riene la

capacidad de anal izar rodos los i tema de archivo , para lo

cuales se ha desarrollado un ervler (actualmente Windows,

Linux, Solaris, AIX y O X; esrá en camino el oporte de má

sistemas) . Además, EnCase puede interprerar orro istemas

de archivos para los cuales actualmente no existe un ervlet

desarrollado.

• Sistemas Operativos: Window 95 /98/ NT/2000/XP/2003

Server, Linux Kernel 2.4 y superior, olaris 8/9 en 32 y 64

bits, AIX, OSX.

• Sistemas de archivos: FAT 12/ 16/32, NTF , EXT2/3

(Linux), Reiser (Linux), UFS ( un olari ), AlX Journaling

File System, LVM8, FFS (OpenB O, NerBSO y FreeBSO),

Palm, HFS, HFS+ (Macinto h), COFS, I O 9660,

UOF, OVD Y TiVo 1 y 2 . . En exclusiva soporta la realización

de imágenes y el análisis de RAID, de tipo sofrware y

hardware. El análi is forense de RAID es casi imposible fuera

del entorno de EnCase.

• Soporte para discos dinámico de Window 20001XP12003 Server. Capacidad para previsualizar dispositivos Palm.

ItEvJ STA DEL MI NISTE RI O Pú8L1coll R EVISTA l ENTIFI CA ARUI TRAoAiI V ETAPA N° 14 [211

• Capacidad para interprerar y analizar VMware, Microsoft

Virrual PC, e imágenes de DO y Safeback.

• El proceso de adquisición de EnCase comienza con la creación

de una imagen complera (bilStr~am) del dispositivo a analizar

de una forma no invasiva. El archivo de evidencia que genera

EnCase es un duplicado exacro de lo daros en el momenro de

la adquisición. Durante el proceso de adquisición, los bits de

la imagen so n verificado de forma continua con bloques de

C RCs, que son calculados imultáneamente a la adqu isición.

C uando el proceso de adquisició n se ha complerado e

realiza un egundo tipo de veri ficación medianre un hash

M05 obre rodo el conjunto de daros , y e presenta como

parte de la validación del archivo de evidencia del di po itivo

analizado.

• Adquisición granulada: se riene un ma or control obre la

fo rma en la que e realiza la adquisición de daro o error

ormalmente, cuando e encuentra un error al leer un di o

duro , el bloque encero de daro que ontenía el error e

ponía a cero. on la herramienta En e Foren i e puede

•

•

pecificar e! número de ecror que e ponen a ero cuando

e encuentra un error o bloques adquirido: e puede definir

la cantidad de daro que se obrienen durante el pro o de

adquisición , a egurando la rapidez de dicho pro o.

Illlerrup i n de! pro eso: e puede ominuar o n la

adqui i i n de un i rema basado en '\ mdo\\ d de e!

punro en e! que e interrumpi • no teniend que v h'er a

realizar I pr ceso de adqui i i n d de e! prin ipio.

Ar h iv sI gi . decviden ias: epuedeha erunaadqui i ión

se!e tiva de I ar hi s r arpe. que den. in reaIi~lr una adquisi i n omllera de! di O. L'l e\'id n i. I gi ~ pr erva n lo ar hivo riginal ' en la mi ma f¡ rnla n la

que cxis¡(an en e! disp iti e inclu . n un.! ri .1 \~Iri d.ld

de informa i n adi ional om e! n mbre dd .Irchh'o.

la ' lensi 11 , la r. h'l de último.1 e • re.1 i n , fech.1 d

li lt imtl modifi '1 i n, ram.lIio I gi o, l.un.lIio fhi , Iu: h

105, penni o. omiel17o ubi 1 i n ori in.11 J I.l hh l .

122} IlIYI\l UIl ¡\hNI\lJ1.RI(lI~li "ll\ 11 Rl~11\1" "'" ,flh: \ "".,,, 1\ 1 1'r\ ,'" '"

• La herramienra LinEn es una ver ión Linw( de la herramienra

de adqui ición de EnCase ba ada en DO . A la vez que realiza

la mismas funciones bási as que la herramienra DO , admi(e

sis(emas que no son \Xlindo\Vs, discos duros eJ((remadamenre

grandes y mejora la velocidad de adquisición .

REvISTA DEL MINISTERIO Pónuco/l R.V""A IE",.!" CA AlulITRADAl' V ETAPA N° 14 1231

BIBLIOGRAFÍA

Delgado o. y ÁJvarez G ., Grupo de Investigación en C riprología y e-guridad de la Inform ación del le. En: hrrp://www.alfa- recli .o rgl rdi-arciculo.sh unl

D urán Sánchez, E. Universidad Cacólica del Táchi ra, Faculcad de Cien­cias Penales y C riminalís ticas an C riscóbal , abril 2009. Escuela de Derecho. an C ristóbal , Escado Táchira. En: hrrp://www. monogra­fi as.com

Guidance ofnvare - Encase. En : herp://www.guidanc ofrware. oml defauJc.aspx