Informatica FORENSE 1502-1458 - MazaAJ
Informatica FORENSE 1502-1458 - MazaAJ
Informatica FORENSE 1502-1458 - MazaAJ
Tema
Informática Forense
Título
- Normalización de la Práctica Forense -
Subtítulo
- Una mirada hacia un Sistema de Gestión de Evidencia Digital -
Agosto 2019
Cohorte: 2017
Trabajo Final de Especialización
LICENCIA
Esta obra está bajo una Licencia Creative Commons 4.0 Internacional.
Atribución – No Comercial – Sin Obra Derivada.
DECLARACION JURADA
Obtener una visión integral respecto de las reglas de buena práctica en torno
del análisis forense e investigación digital.
Palabras Clave
1 Introducción................................................................................................. 11
1.1 Planteamiento del problema ............................................................................... 13
1.2 Objetivo General .................................................................................................. 14
1.3 Objetivos Específicos............................................................................................ 14
1.4 Alcance y limitaciones.......................................................................................... 14
1.5 Criterio de selección de normas y estándares ..................................................... 15
1.6 Orígenes ............................................................................................................... 16
2 Materiales y métodos................................................................................... 17
2.1 Marco teórico conceptual .................................................................................... 17
2.1.1 Conceptos fundamentales básicos ...................................................................... 17
2.1.2 El Crimen Organizado 2.0 .................................................................................... 24
2.1.3 Principales amenazas en materia de cibercrimen ............................................... 27
2.1.4 Aspectos legales en nuestro país ........................................................................ 31
2.1.5 El convenio de Budapest ..................................................................................... 34
2.2 Marco Teórico Referencial ................................................................................... 36
2.2.1 La Evidencia Digital .............................................................................................. 37
2.2.2 La Informática Forense [14] ................................................................................ 40
2.2.3 Normas y estándares vinculados a la Informática Forense................................. 42
3 Resultados ................................................................................................... 51
3.1 Confronte de normas y estándares forenses ....................................................... 52
3.1.1 Etapa preparativa ................................................................................................ 53
3.1.2 Etapa de identificación ........................................................................................ 54
3.1.3 Etapa de preservación ......................................................................................... 55
3.1.4 Etapa de análisis .................................................................................................. 56
3.1.5 Etapa de presentación ......................................................................................... 57
3.1.6 Etapa de evaluación............................................................................................. 58
3.2 Identificación de roles y competencias requeridas .............................................. 59
3.2.1 El investigador ..................................................................................................... 60
3.2.2 El primer interviniente en manejo de evidencia digital ...................................... 61
3.2.3 El especialista en análisis de evidencia digital..................................................... 62
3.3 Metodología general para el análisis forense ..................................................... 63
3.4 Ciclo de vida y categorización de la evidencia digital.......................................... 63
4 Conclusiones ................................................................................................ 65
5 Bibliografía específica .................................................................................. 67
6 Anexos ......................................................................................................... 73
6.1 Equipamiento básico para el primer interviniente .............................................. 73
6.1.1 Elementos para resguardo .................................................................................. 73
1
Introducción
Si hiciéremos un paralelismo con el PIB de los países más ricos del mundo, el
cibercrimen ocuparía la onceava posición inmediatamente después de Canadá y antes
que Corea del Sur, con un ingreso que promedia los mil quinientos millones de dólares
americanos.
1
Acrónimo de Advanced Research Projects Agency Network, red creada por encargo del Departamento
de Defensa de los Estados Unidos.
Por tal motivo, en virtud del incremento de ataques informáticos y auge del
cibercrimen en la región, resulta imprescindible que las organizaciones empoderen a la
informática forense como parte integral de las políticas, normas y procedimientos
organizacionales, alineada con los intereses y continuidad del negocio, logrando de
esta manera mayor transparencia en la gestión de incidentes, aportando valor
Cabe destacar el esfuerzo que implicó llevar adelante tal actividad, en virtud de
la cantidad de documentación existente y variedad de autores, tanto de organismos
oficiales como entidades del sector privado a nivel nacional e internacional, a pesar de
la existencia de ciertos referentes y documentos con mayor reconocimiento en la
comunidad científica internacional.
Por tal motivo, se determinó la necesidad de contar con un criterio que permita
seleccionar aquellos documentos que serían añadidos al presente trabajo, el que
consistió en incorporar normas cuyo contenido se encuentre estrechamente vinculado
con el análisis forense digital y etapas del mismo desde una perspectiva amplia,
excluyendo todo aquel documento con predominancia de cuestiones técnicas,
herramientas y/o acotadas únicamente a la fase de investigación digital.
1.6 Orígenes
2
Materiales y métodos
2.1.1.1 Informática
2.1.1.2 Forense
Rama del análisis forense digital que tiene como finalidad examinar datos
estructurados con el objetivo de descubrir y determinar patrones de actividades
fraudulentas [15].
Análisis Computación
forense de forense
base de datos
Análisis
Análisis
forense de
forense de
dispositivos
datos
móviles
Análisis forense
de redes
Los registros electrónicos no deben ser pasados por alto como fuentes de
datos relevantes, archivar es el proceso de mover datos de sistemas, como el correo
electrónico, a otro sistema, como a un servidor de archivos, paquetes de datos, tablas
de conexión, etc.
Del mismo modo, las copias de seguridad de sistemas y datos generadas como
parte de las operaciones regulares de una empresa u organización, son una fuente de
datos para preservación y recolección por parte de los investigadores forenses. Es
probable, además, que existan procesos escritos, registros técnicos asociados y que se
realicen de manera periódica.
Por otro lado, la mayoría de las empresas u organizaciones rotan sus medios
de respaldo a través de un cronograma de almacenamiento, ya sea dentro o fuera de
sus instalaciones. Dependiendo del período de tiempo en el que se requieran los
datos, será necesario que el investigador forense tenga que recuperar copias de
seguridad externas.
Copia bit a bit: réplica exacta de los bits de un volumen lógico o de una unidad
física. Cuando la copia se realiza en otro disco, se la denomina duplicado
forense. Cuando la copia se realiza en uno o varios archivos, se la denomina
imagen forense.
Imagen forense sin formato (RAW): imagen sin formato que no contiene
metadatos y no está comprimida. Puede adjuntarse por separado un archivo
que contiene metadatos sobre la imagen, como fecha en que fue adquirida,
nombre de la herramienta utilizada y hash criptográfico.
Expert Witness (EWF): formato abierto desarrollado por ASR Data. Las
imágenes de disco como EWF incluyen metadatos integrados, como la fecha
de creación, datos proporcionados por el usuario y otros elementos
necesarios para una correcta cadena de custodia y auditoría.
EnCase2 (EF): formato propietario definido por Guidance Software para su uso
por intermedio de la herramienta forense EnCase. Su formato predecesor es
el formato Expert Witness, al que agregó nuevos metadatos. Podría decirse
que es el estándar de facto para el análisis forense por parte de fuerzas de
2
EnCase es una plataforma de informática forense desarrollada por la firma “GUIDANCE SOFTWARE”,
que posee un conjunto de funcionalidades específicas destinadas a la identificación, análisis,
preservación y presentación de evidencia digital.
Generic Forensic Zip (Gfzip): formato abierto que si bien utiliza estructuras
similares a AFF, los metadatos y el enfoque de almacenamiento son
diferentes. Un archivo gfzip puede ser compatible en bruto para que los
metadatos se almacenen después de los datos de evidencia y también ofrece
un modo empaquetado donde los bloques de datos redundantes no se
almacenan.
RAW (DD, RAW, IMG): formato sin procesar compuesto simplemente por un
archivo que contiene los datos exactos que se deben almacenar. El archivo
podría contener cualquier tipo de datos, incluidos sectores de disco duro,
archivos y paquetes de red. Los archivos brutos pueden ser fácilmente
creados y leídos por cualquier herramienta, pero no almacenan ningún
metadato y no se comprimen.
3 El algoritmo HASH es una función algebraica unidireccional que permite representar datos de longitud
variable como un dato de longitud fija, tiene como objetivo garantizar la integridad de los registros
informáticos.
Desde sus inicios, este tipo de organizaciones han tenido como único objetivo
adquirir un mayor rédito económico, adoptando diferentes técnicas y/o maniobras
criminales.
Sin embargo, el uso intensivo de esta tecnología en pos del desarrollo de las
actividades económico-sociales, en un mundo donde cada día estamos mas
interconectados, ha permitido el surgimiento de conductas delictivas que con el pasar
del tiempo han mutado hasta alcanzar un alto grado de sofisticación, convirtiéndose
en verdaderas amenazas para esta comunidad digital en la que hoy nos encontramos
inmersos.
Según este punto de vista podríamos decir que el cibercrimen versa sobre
aquellas actividades delictivas contempladas dentro del marco legal vigente.
Phishing.
Sextorsion.
La dificultad para recolectar datos que permitan para auditar las actividades
involucradas en un incidente.
2.1.3.1 Ransomware
2.1.3.3 Botnets
Por lo general, este tipo de servicios puede ser rentado por una cantidad de
tiempo o volumen de datos determinados.
Aun cuando las medidas de seguridad en torno a los medios de pago se han
robustecido durante los últimos años, continúan los ataques contra las tarjetas de
crédito y débito.
Por otro lado, técnicas mas avanzadas como el jackpotting han logrado
vulnerar los sistemas instalados en los cajeros automáticos mediante técnicas de
malware que se aprovechan de diferentes vulnerabilidades, ya sea de hardware como
de software.
2.1.3.5 Criptoactivos
2.1.3.7 Cryptojacking
Sin embargo, a fin de suplir este vacío legal, surgieron ciertas figuras penales
que relacionaban esta temática con ciertas leyes especiales.
Ley 22362 de Registros Marcarios, ampara los delitos que atentan contra las
designaciones marcarias [22].
Daños informáticos.
Fraudes informáticos.
Alteración de pruebas.
Pornografía infantil.
Comunicaciones electrónicas.
Telecomunicaciones.
Establece aquellas medidas que los estados parte deben adoptar en relación a
los Ciberdelitos, teniendo como precepto la necesidad de criminalizar determinadas
conductas establece las figuras de acceso ilícito a sistemas informáticos, fraude
informático, abuso de dispositivos, interceptación ilícita de datos, pornografía infantil y
propiedad intelectual.
Resulta difícil enunciar una definición universal, sin embargo se puede señalar
que la evidencia digital es un tipo de evidencia física construida de campos magnéticos
y pulsos electrónicos, que por sus características deben ser recolectados y analizados
con herramientas y técnicas especiales [40].
2.2.1.1 Características
En tal sentido, resulta pertinente hacer notar que primeros cuatro apéndices
representan datos de carácter volátil, es decir que se perderán o modificarán si apaga
o reinicia el sistema, resultando es por tanto muy fácil eliminar evidencias de forma
inadvertida.
Otros
dispositivos
Sistema de
archivos y discos
duros
Procesos en ejecución
Memoria RAM
Documentación
2.2.2.1 Identificación
2.2.2.2 Preservación
En tal sentido, se aplican DOS (2) Algoritmos HASH distintos: MD5 y SHA1. El
cálculo de los mismos garantiza, en todo momento, la integridad y autenticidad de las
evidencias digitales recolectadas. Es dable de mencionar, que se calculan DOS (2)
algoritmos de manera simultánea, ya que de esa manera se garantiza que los mismos,
de manera conjunta, resultan ser otra forma de identificar UNÍVOCAMENTE a tales
registros.
2.2.2.3 Análisis
8 Situación que se produce cuando se aplica una misma función hash sobre dos entradas diferentes y se
produce el mismo resultado.
2.2.2.4 Presentación
Por tal motivo y a fin de realizar el presente trabajo, conforme los criterios de
selección señalados con antelación, se procederá a listar aquella documentación
incorporada, en tenor de su alcance y estrecha vinculación con el análisis forense
digital, brindándose además una somera descripción de su contenido, que luego será
Esta guía fue elaborada en el año 2002 por Internet Society, la cual provee
reglas de buena práctica para determinar la volatilidad de la evidencia digital, decidir
qué y cómo recolectarla, y determinar su almacenamiento y documentación. Dentro
de estructura se aprecian:
Introducción.
El proceso de recolección.
El proceso de archivo.
Herramientas necesarias.
Diseño de la evidencia.
Producción de la evidencia.
Recolección de la evidencia.
Análisis de la evidencia.
9
Estándares Internacionales de Australia, es un organismo que tiene como finalidad el desarrollo y
aplicación de estándares técnicos y productos y servicios relacionados.
Reporte y presentación.
2.2.3.3 Guía para integrar técnicas forenses en respuesta a incidentes (NIST 800-86-
2006) [4]
Introducción.
10
Instituto Nacional de Estándares y Tecnología, agencia de la Administración de Tecnología del
Departamento de Comercio de Estados Unidos que promueve la innovación y competitividad industrial
mediante el avance de la ciencia, los estándares y la tecnología.
2.2.3.4 Investigación en la Escena del Crimen Electrónico: una guía para primeros
intervinientes (US DoJ NCJ 219941 /2008) [5]
Esta guía fue concebida en el seno del United States Department of Justice11,
centra su enfoque en la identificación y recolección de evidencia. Contempla los
siguientes aspectos:
Esta guía de buenas prácticas fue redactada por Information Security and
Forensic Society12, contemplando procedimientos y requerimientos involucrados en el
análisis forense de la evidencia digital, desde el examen de la escena del delito hasta la
presentación de los correspondientes reportes. Su estructura se encuentra
conformada por:
11
Departamento de Justicia de los Estados Unidos, Ministerio del gobierno de Estados Unidos,
encargado de la administración de la justicia.
12
Sociedad de Seguridad de la Información y Computación Forense, organismo de Hong Kong cuya
misión es abogar y hacer cumplir el profesionalismo, integridad e innovación en tal materia.
Evidencia digital.
Recolección de evidencia.
Consideraciones legales.
Anexos.
Este documento fue elaborado por Asociation of Chief Police Officers13, tiene
por finalidad ser empleado como guía de buenas prácticas para casos con equipos de
computación y diferentes dispositivos electrónicos que puedan ser considerados como
evidencia. Enumera los siguientes aspectos:
Testigos.
La guía se redactó por European Network and Information Security Agency 14,
la misma provee principios de calidad para la detección, la prevención, la recuperación
13
Asociación de Jefes de Policía de Inglaterra, Gales e Irlanda del Norte, es una sociedad limitada sin
fines de lucro que lidera el desarrollo de prácticas policiales en diferentes temáticas.
14
Agencia Europea de Seguridad de las Redes y de la Información, agencia de la Unión Europea que tiene
como finalidad contribuir al desarrollo de una cultura de red y seguridad de la información para el
beneficio de los ciudadanos, consumidores, empresas y organizaciones de la región.
Objetivos.
Alcance.
Fondo.
Introducción.
Al llegar a la escena.
Implementación.
Memoria forense.
Examen de pruebas.
Extracción.
Análisis.
Observaciones finales.
Anexos.
Introducción.
Alcance.
Referencia normativa.
Términos y definiciones.
Términos abreviados.
Visión de conjunto.
15
Organización Internacional de Normalización, organización con sede en Suiza que tiene como finalidad
crear y promover estándares propietarios, industriales y comerciales a nivel mundial.
16
Comisión Electrotécnica Internacional, organización de normalización en los campos eléctrico,
electrónico y tecnologías relacionadas en Estados Unidos.
Introducción.
La evidencia digital.
Presupuestos Generales.
Principios especiales.
17
Fiscalía especializada en materia de ciberdelincuencia, que tiene como finalidad la lucha contra el
cibercrimen de manera articulada con otras áreas de la Procuración General de la Nación que se dedican
a la investigación del crimen organizado.
Capacitaciones.
3
Resultados
Del mismo modo, a medida que los procedimientos ejecutados avanzan entre
una fase y otra del análisis forense digital, el riesgo decrece, dado que se reduce la
posibilidad de alteración, modificación, daño o pérdida de evidencia digital, todo ello
en virtud de las múltiples medidas preventivas que deben ser adoptadas para su
correcta preservación y resguardo, garantizando además la integridad de tales
elementos de prueba en todo momento.
ETAPA PREPARATIVA
Recepción del requerimiento
Revisión de capacidades
Equipamiento básico18
Definición del alcance
Planificación y diseño
RFC 3227/2002
SAI HB 171/2003
NIST 800-86-2006
US DoJ NCJ
219941/2008
ISFS/2009
ACPO/2012
ENISA/2014
ISO/IEC 27037/2016
PGN 756/2016
MINSEG RES 234/2016
18
El listado de equipamiento básico se encuentra detallado en el Anexo “Equipamiento básico” del
presente Trabajo Final de Especialización.
ETAPA DE IDENTIFICACIÓN
Categorización de posibles
Tipos de infraestructura
Requisitos previos a la
Tipos de dispositivos
adquisición
evidencias
RFC 3227/2002
SAI HB 171/2003
NIST 800-86-2006
US DoJ NCJ
219941/2008
ISFS/2009
ACPO/2012
ENISA/2014
ISO/IEC 27037/2016
PGN 756/2016
MINSEG RES 234/2016
ETAPA DE PRESERVACIÓN19
Algoritmos de seguridad
Consideraciones legales
Cadena de custodia20
Orden de volatilidad
RFC 3227/2002
SAI HB 171/2003
NIST 800-86-2006
US DoJ NCJ
219941/2008
ISFS/2009
ACPO/2012
ENISA/2014
ISO/IEC 27037/2016
PGN 756/2016
MINSEG RES 234/2016
Tabla 3: Etapa de Preservación.
19
Las consideraciones relacionadas con la obtención de imágenes forenses se plasman en el Anexo
“Adquisición de imágenes Forenses” del presente Trabajo Final de Especialización.
20
Los requisitos mínimos para garantizar la cadena de custodia y trazabilidad de las evidencias
recolectadas se plasman en el Anexo “Cadena de custodia” del presente Trabajo Final de Especialización.
ETAPA DE ANÁLISIS21
Técnicas y herramientas
para procesamiento
Firmas de archivo22
Lista de artefactos
Línea de tiempo
Palabras clave
forenses
RFC 3227/2002
SAI HB 171/2003
NIST 800-86-2006
US DoJ NCJ
219941/2008
ISFS/2009
ACPO/2012
ENISA/2014
ISO/IEC 27037/2016
PGN 756/2016
MINSEG RES 234/2016
21
Una reseña sobre las herramientas forenses de amplio reconocimiento por los investigadores digitales
se enumeran en el Anexo “Herramientas Forenses” del presente Trabajo Final de Especialización.
22
El listado conteniendo aquellas firmas de archivo consideradas como convencionales se enumeran en
el Anexo “Firmas de Archivo” del presente Trabajo Final de Especialización.
ETAPA DE PRESENTACIÓN
Reporte de resultados
Remisión de hallazgos
Mecanismos para su
Modelos de trabajo
Recomendaciones
preservación
RFC 3227/2002
SAI HB 171/2003
NIST 800-86-2006
US DoJ NCJ
219941/2008
ISFS/2009
ACPO/2012
ENISA/2014
ISO/IEC 27037/2016
PGN 756/2016
ETAPA DE EVALUACIÓN
interrogantes adicionales
Análisis de los resultados
Identificación de
obtenidos
obtenidos
aplicadas
RFC 3227/2002
SAI HB 171/2003
NIST 800-86-2006
US DoJ NCJ
219941/2008
ISFS/2009
ACPO/2012
ENISA/2014
ISO/IEC 27037/2016
PGN 756/2016
3.2.1 El investigador
DESCRIPCIÓN
ACTIVIDADES
Trabajo en equipo.
CONOCIMIENTO Comunicación.
Resolución de problemas.
DESCRIPCIÓN
ACTIVIDADES
DESCRIPCIÓN
ACTIVIDADES
Artefactos forenses.
CONOCIMIENTO Técnicas antiforenses.
Metodologías de trabajo y reglas de buena práctica.
4
Conclusiones
Del mismo modo, por medio del presente estudio, se diseñó y elaboró una
metodología general de trabajo, sobre la base de cada una de las etapas del análisis
forense digital, identificándose tareas y/o actividades propias de cada una de ellas, lo
que permite:
Los resultados del presente trabajo, sientan las bases para tomar como
posible línea de investigación, desarrollo e innovación, el diseño y elaboración de un
Sistema de Gestión de Evidencia Digital, haciendo foco en procesos operativos como
por ejemplo la recolección, adquisición, preservación, análisis, recuperación de
información y servicio de asesoría en materia de análisis forense digital.
5
Bibliografía específica
http://servicios.infoleg.gob.ar/infolegInternet/anexos/220000-
224999/223586/norma.htm. [Último acceso: 01 Abril 2019].
[40] E. Casey, Digital Evidence and Computer Crime: Forensic Science, Computers,
and the Internet, 3ra ed., San Diego (CA): Academic Press, 2011.
6
Anexos
Un reloj digital: para utilizar como referencia, de modo que las marcas de
tiempo sean visibles también como imagen y no solo como metadatos.
Cabe destacar que todo el equipo utilizado durante el trabajo forense debe
ser apropiado para tal propósito y mantenido periódica y adecuadamente por
consideraciones operativas, donde solo las herramientas, técnicas y procedimientos
evaluados adecuadamente deben utilizarse para un examen forense, además que
todos los medios utilizados para hacer copias forenses deben ser estériles.
25
Elementos de resguardo especialmente diseñados para la recolección, preservación, transporte y
análisis de dispositivos móviles e inalámbricos, para aislarlos de la red de comunicaciones y protegerlos
contra descargas electrostáticas.
Realizar copias: una vez que la evidencia lógica es recolectada, la misma debe
duplicarse y almacenarse en medios limpios, preferiblemente inalterables,
como soportes ópticos en formato CD-R o DVD-R. A tal efecto, cada archivo de
evidencia lógica debe ser hasheado de forma individual, para garantizar que
dichas copias sean idénticas al original y se reflejen en la cadena de custodia. Se
debe contar con al menos dos copias de la evidencia lógica recolectada, una
para resguardo y otra para el análisis.
Si bien los puertos USB pueden configurarse de forma manual, por ejemplo
mediante la herramienta Regedit27, existen diferentes soluciones que realizan esta
maniobra de forma automática.
26
Bloqueador de escritura por hardware desarrollado por la firma Guidance Software.
27
Regedit es el nombre de la herramienta que permite editar el registro del sistema operativo Windows.
Este registro es la base de datos donde se guardan las preferencias del usuario en materia de
configuraciones.
técnicas.
Posee indicaciones visuales de la función a través de
VENTAJAS luces e interruptores físicos.
Por lo general proporciona interfaces para diferentes
HARDWARE
28
Bloqueador de escritura por software freeare desarrollado por la firma Phrozen.
Para realizar una imagen forense a partir de FTK Imager se deben seguir los
siguientes pasos:
29
FTK Imager es una herramienta forense desarrollada por AccessData empleada, entre otras
actividades, para la adquisición imágenes forenses.
30
Guymager es una herramienta forense de fuente abierta para adquisición de imágenes forenses.
forenses en formato DD y EWF (E01), además cuenta con la opción de duplicar discos.
Para realizar una imagen forense a partir de Guymager se deben realizar los siguientes
pasos:
31
Divisiones según capacidades preconfigurables por el usuario y generadas de forma automática por la
herramienta forense.
Abrir una nueva consola y obtener la imagen del medio de origen mediante la
herramienta “dd”, utilizar el comando “sudo dd if=/dev/sdX of=/tmp/sdZ.dd
conv=noerror,sync”. Donde “if” indica la unidad de origen (sdX) y “of” la de
destino (sdZ). Asimismo, el parámetro “conv” convierte el archivo de acuerdo a
la lista de símbolos delimitados por comas, el parámetro “noerror” garantiza la
continuidad de la operación aun cuando existan errores de lectura y por último
“sync” se emplea para rellenar bloques con ceros en caso de error.
32
El comando DD, acrónimo de (Dataset Definition) es una herramienta provista por distribuciones Linux
que, entre otras actividades, puede ser empleada para la adquisición imágenes forenses.
La conexión puede ser realizada por un medio físico (Cable USB) o inalámbrico
(WiFi), solicitando al sistema operativo del dispositivo móvil que envíe la información
requerida por el examinador.
Como ventaja podríamos citar que a partir de esta técnica resulta factible
recuperar elementos eliminados, pero en contrapartida es un procedimiento complejo
en relación con otros métodos, al igual que su procesamiento conlleva una mayor
inversión de tiempo.
6.2.4.3 Chip-OFF33
6.2.4.4 JTAG34
JTAG ofrece a los especialistas otra vía para obtener la imagen de dispositivos
bloqueados, con daños menores o que no pueden interconectarse adecuadamente de
otra manera.
Las extracciones de JTAG son invasivas, dado que para su acceso y conexiones
de cableado se requiere desmontar parte de un dispositivo móvil.
33
Los métodos de chip-off se refieren a la adquisición de datos directamente desde la memoria flash de
un dispositivo móvil.
34
La mayoría de los fabricantes admiten el estándar JTAG (Joint Test Action Group), que define una
interfaz de prueba común para procesadores, memorias y otros tipos de chips semiconductores.
A pesar de estas limitaciones, el uso de Flash Boxs es una opción viable para
muchos casos forenses, donde la capacitación adecuada, experiencia y comprensión
de su funcionamiento son claves de éxito.
6.3.1 Anverso
UNIDAD INTERVINIENTE:
JUZGADO/FISCALÍA:
SECRETARIA:
CARÁTULA:
SUMARIO/CAUSA NRO:
OBSERVACIONES:
ELEMENTOS SECUESTRADOS
DESCRIPCIÓN:
ELEMENTOS
LUGAR DE RECOLECCIÓN:
MODO DE CONSERVACIÓN:
SOBRE DE PAPEL CAJA CARTÓN BOLSA PLÁSTICA
OTROS:
MODO DE TRASLADO:
DESTINO:
CARGO:
6.3.2 Reverso
6.4.1 Autopsy
Plataforma forense digital con interfaz gráfica de la firma The Sleuth Kit. Es
utilizado por los encargados de hacer cumplir la ley, militares e investigadores forenses
corporativos, cuyas principales características se listan a continuación:
Múltiples sistemas operativos: posee versiones tanto para Windows como para
Linux.
Análisis de línea de tiempo: muestra los eventos del sistema mediante una
interfaz gráfica que facilita la identificación de actividad en disco.
Clasificación de tipo de archivo: permite agrupar los archivos por tipo para
separar rápidamente imágenes o documentos.
Puede manejar datos comprimidos (como archivos ZIP, PDF y GZIP), así como
datos incompletos o parcialmente corruptos, relevar archivos JPEG,
documentos de ofimática y otros tipos de archivos a partir de fragmentos de
datos comprimidos. Puede detectar y extraer automáticamente archivos RAR
encriptados.
6.4.4 DEFT
6.4.5 CAINE
6.4.7 EnCase
6.4.9 UFED 4 PC
Línea de tiempo.
Estadísticas de comunicación.
* 30 37 30 37 30 cpio archive
* 7F 45 4C 46 ELF executable
Extended tcpdump (libpcap)
* A1 B2 CD 34
capture file
* 04 00 00 00 INFO2 Windows recycle bin_1
* EF BB BF UTF8 file
* FE FF UTF-16|UCS-2 file
* FF FE 00 00 UTF-32|UCS-4 file
* 62 65 67 69 6E UUencoded file
AW 8A 01 09 00 00 00 E1 08 MS Answer Wizard
AX 4D 5A 90 00 03 00 00 00 DirectShow filter
BDR 58 54 MS Publisher
FM 3C 4D 61 6B 65 72 46 69 Adobe FrameMaker
RA 2E 52 4D 46 00 00 00 12 RealAudio file
VCF 42 45 47 49 4E 3A 56 43 vCard