Informatica Forense, entrevista recogida del diario peru21:
Entrevista a Mario Chilo de Laboratorio Virus
¿Cuándo nace el cómputo forense y qué necesidades tiende a resolver?
La computación forense nace en los 80s con la aparición de la primeras computadoras personales, como una necesidad para resolver crímenes computarizados; y poco a poco la ciencia forense ha ido evolucionando, hasta convertirse en una metodología científica que busca identificar, preservar, recuperar, analizar y presentar evidencias de un dispositivo electrónico (computarizado).
Entrevista a Mario Chilo de Laboratorio Virus
¿Cuándo nace el cómputo forense y qué necesidades tiende a resolver?
La computación forense nace en los 80s con la aparición de la primeras computadoras personales, como una necesidad para resolver crímenes computarizados; y poco a poco la ciencia forense ha ido evolucionando, hasta convertirse en una metodología científica que busca identificar, preservar, recuperar, analizar y presentar evidencias de un dispositivo electrónico (computarizado).
• ¿Qué usuario borro un archivo de la computadora?
• ¿Cómo ingreso un virus a la computadora?
• ¿Cuál fue el último usuario que estuvo en la computadora?
• ¿Cuándo se grabó un determinado archivo?
• ¿En qué momento fue tomada una fotografía?
• ¿Cuál es nombre del usuario que creó un archivo de Word?
• ¿Cómo un Hacker ingreso a la red de la organización?
• ¿Qué páginas Web visitó un usuario en el navegador?
• ¿Qué archivos ocultos había en el disco duro?
• ¿Qué información fue filtrada de la organización?
Entre los Principales casos que se aplica la Computación Forense tenemos:
• Espionaje Industrial.
• Fraude Electrónico (Ciberdelitos).
• En Procesos judiciales Civiles y Penales.
• Pornografía Infantil (Explotación Infantil).
• Uso Inapropiado de Internet dentro de una organización.
• Intrusión de Hackers o criminales cibernéticos.
• Detección de Fuga de Información.
• Descubrimiento de Data Oculta.
• Descubrimiento de MetaDatos
Sé que usó el análisis forense en el caso Ciro Castillo ¿Analizaron la cámara involucrada? ¿Qué tan difícil resultó y cuánto tiempo tomó?
En realidad nosotros no analizamos la cámara del caso Ciro Castillo, lo que analizamos fue algunas fotografías que la prensa nos proporcionó. Hay que tener en cuenta algo muy importante, cuando se toma una foto con una cámara digital, adicionalmente (en la fotografía) se almacena en forma automática unos Metadatos; y todo esto es guardado en el archivo fotográfico (por lo general un archivo JPG), y no en la cámara digital. Entonces con los archivos fotográficos se puede determinar si se utilizó o no el temporizador, a qué hora exactamente se tomó la fotografía, si se utilizó el flash, si se usó el zoom, etc. Algunas fotos demoraron varias horas en ser analizadas y otras solo algunos minutos, esto varía dependiendo de la manipulación que pudo haber sufrido la imagen fotográfica.
Un caso que se pudo hacer esclarecido fue la foto de Paolo Guerrero en el caso de Magaly Medina, allí no era necesario la cámara fotográfica, lo más importante era la foto (el archivo JPG o TIFF). Ahora último con la aparición de una fotografía de Antauro Humala, también se puede realizar un análisis forense informático a la foto, y de esta manera determinar con que cámara o celular fue tomada, así como la fecha y hora exacta.
¿Qué dispositivos se suelen examinar en un análisis forense? ¿Cómo se desarrollan las investigaciones?
Se examina por lo general diversos medios de almacenamiento. Tenemos las memorias digitales, USB, discos duros. Se puede examinar cualquier dispositivo electrónico que almacene información, como los celulares, una Tablet, un Ipad, etc. El primer paso fundamental en todo análisis forense, es poder identificar la evidencia. Aquí es muy importante el criterio y experiencia del investigador forense. Es crucial aplicar una metodología forense, para esto tenemos que tener presente que debemos asegurar que la evidencia fue correctamente recolectada y preservada, analizada de una manera consistente y minuciosa; y finalmente se utilizaron las mejores prácticas para asegurar la integridad de la evidencia.
¿En un análisis forense se puede rescatar información borrada de un dispositivo? Se puede conseguir información de correos y contraseñas de algún usuario. ¿Se necesita alguna orden de las autoridades?
Parte de un análisis forense informático es realizar un proceso de Data Recovery (Recuperación de Datos), y de esta manera encontrar evidencia para una investigación. En muchos casos las empresas realizan procesos de Recuperación de Datos pero se trata de información de la propia empresa y no habría inconvenientes. Pero el problema surge si se aplica métodos de análisis forense para conseguir datos confidenciales de un usuario, como su contraseña personal o correos electrónicos personales, eso sería un delito. Uno de los puntos importantes de la informática forense es conocer cuál era la data original antes de un incidente, y esto es aplicado cotidianamente y por lo general no requiere ninguna autorización.
¿Cuáles son las dificultades que encuentran a la hora de realizar un análisis forense?
Una de las principales dificultades al momento de realizar un análisis forense informático es que la evidencia no haya sido alterada, en muy importante capturar inmediatamente la evidencia luego de un incidente; para luego preservarla adecuadamente y que esta no sufra alteraciones. También en muchos casos cuando se trata de investigar algún fraude o delito informático, se requiere contar con la colaboración de instituciones del Estado como la policía y la fiscalía; y esto en muchos casos termina en procesos legales que pueden durar muchos años.
¿Qué tipos de programas utilizan para realizar un análisis forense?
Existen programas para diversos tipos para análisis de dispositivos de almacenamiento, archivos fotográficos, análisis de la memoria del computador, análisis de los paquetes de los datos de una red de computadoras, etc. Uno de los más conocidos es el programa EnCase, también existen algunas herramientas de software libre como CAINE y DEFT. Para el proceso de Data Recovery se recomienda utilizar programas exclusivos para este proceso, tenemos algunos software como EasyRecovery y Get Data Back.
¿Alguna experiencia o reto que hayan vivido en Laboratorio Virus que puedan compartir con el público?
Puedo mencionarte el caso de una empresa, en el cual la computadora del Gerente General presentaba algunas anomalías sospechosas como el movimiento arbitrario del Mouse. Aquí se procedió a realizar un análisis forense informático a fin de poder detectar algún software de control remoto, ya que se tenía la sospecha que un ex-trabajador del área de sistema había estado supuestamente manipulando la computadora de la gerencia. Para esto se hizo en primer lugar un descarte de software malicioso, para luego proceder a un análisis detallado del sistema operativo en busca de algún archivo o proceso desconocido que se haya ejecutado en la computadora. Finalmente se pudo encontrar que existía un software interno que ya no estaba en uso en la organización y que se comunicaba continuamente con esta PC. Se entregó el informe respectivo y se procedió a la desactivación de la aplicación para que no se pueda conectar con el equipo, finalmente se realizó un proceso de "Hardening" para impedir que alguna persona o software pueda conectarse remotamente a esa computadora.
¿Qué penas establece la legislación peruana ante los delitos informáticos?
Actualmente la legislación peruana contempla casi todos los delitos informáticos como la extorsión, publicidad engañosa, pornografía infantil, terrorismo cibernético, fraude bancario, etc. Y todos estos delitos tienen una pena de acuerdo a lo que estable la ley. Algunos piensan que no existe una ley exclusiva para los delitos informáticos, pero si una persona comete un fraude bancario por internet, se aplicarían las mismas penas que indica la ley para un fraude bancario.
¿Cómo las empresas y público pueden proteger su seguridad?
El público en general puede proteger su información con Antivirus y un Firewall. Pero lo más importante es el sentido común, y entender cómo pueden ingresar virus informáticos y hackers, es fundamental tener cuidado con las páginas web que se visita; ya que en muchos casos los ciberdelincuentes colocan diversas clases de troyanos para robar información confidencial.
Un dato importante es nunca realizar transacciones financieras desde una cabina de internet (cibercafé), y solo realizarlo desde una computadora que esté debidamente protegida. Con respecto a los USB que actualmente es uno de los medios de almacenamiento más usados, no deben ser el único medio para almacenar información; ya que guardar documentos importantes en el USB, podrían perder toda su información. Asimismo, es primordial realizar en forma periódica copia de seguridad de nuestra información más importante.
Con respecto a las empresas existen diversos software y hardware que suelen utilizarse, están los Antivirus, Firewall, Web Reputation, IDS, IPS, DLP, etc. Pero todo esto queda relegado si es que el personal de la organización no conoce los peligros a los que está expuesto; aquí es importante la capacitación de todo el personal de la empresa. Establecer políticas de seguridad informática y monitorear que estas se cumplan adecuadamente.
Un proceso que toda empresa debe realizar es un Ethical Hacking (Hacking Ético) en forma periódica para poder establecer que tan protegidos están ante un ataque malintencionado. Un punto muy importante que actualmente las empresas no están considerando seriamente es la propagación de software malicioso, y están viviendo en una completa desinformación. Para esto las organizaciones utilizan principalmente a los antivirus como arma principal para detectar y eliminar software malicioso, originando una falsa protección. La realidad es que existen cientos de miles de software maliciosos (Virus, Gusanos, Troyanos, etc.) que no son detectados por los antivirus.
Actualmente los malware utilizan técnicas avanzadas que se ocultan y actualizan originando que las empresas no perciban que sus computadoras se encuentran infectadas con códigos maliciosos. Para solucionar esta gran brecha en la seguridad es importante realizar periódicamente un descarte de malware en los equipos de cómputo de forma manual y analizado por personal debidamente entrenado.
¿Qué recomendación le daría a los jóvenes interesados por la tecnología que pueden llegar a cometer actos delictivos?
Existen dos lados, el bien y el mal. Muchas veces los jóvenes ven que es más fácil irse al lado del mal y realizar actos ilícitos, y en la mayoría de los casos lo ven como algo normal, que muchas personas hacen; pero la realidad es que están cometiendo un delito.
Piensan que al hackear son mejores que otras personas, y es verdad que en muchos casos se necesita conocimientos avanzados en computación para poder vulnerar un sistema. Pero existe el lado del bien que también está requiriendo personas con conocimientos avanzados en seguridad informática. Lo importante es canalizar estos conocimientos para ayudar a las empresas en procesos de Ethical Hacking y mejorar la seguridad informática de las organizaciones.
Mayor informacion en http://blogs.peru21.pe/atajosweb/2012/04/laboratorio-virus-y-la-informatica-forense.html
No hay comentarios:
Publicar un comentario