Herramientas para computación forense control y adquisición de evidencia digital (página 2)
Enviado por Franklin Contreras
Las actividades a desarrollar por el profesional de la informática forense deben servir para la correcta planificación preventiva de seguridad de una red corporativa. En la medida que la Internet crece, lo hace de igual manera el número de acciones incursivas ilegales contra la seguridad de las redes corporativas, por ello hay que preguntarse: ¿Quién lleva acabo éstos incidente?, ¿Qué los posibilita?, Qué, quién y por qué los provoca?, ¿Cómo se producen? y ¿Qué medidas se deben implementar?.- Por tal motivo, es necesario que las organizaciones concreten sus políticas de seguridad, con el objetivo de planificar, gestionar, y controlar aspectos tan básicos como:
. Definición de seguridad para los activos de información, responsabilidades y planes de contingencia: Se debe establecer que hay que proteger y como.
. Sistema de control de acceso: Se deben restringir y maximizar los permisos de acceso para que cierto personal pueda llegar a una determinada información, estableciendo quien puede acceder a una determinada información y de que modo.
. Respaldo de datos: Hacer copias de la información periódicamente para su posterior restauración en caso de pérdida o corrupción de los datos.
. Manejo de virus e intrusos: Establecer una política de actuación ante la presencia de malware, spyware y virus evitando los riegos para la seguridad.
Además, se debe realizar una reunión presencial del personal gerencial y/o directivo para instruirles en conceptos tan importante como:
a) Muchas veces el gasto en seguridad informática es considerado poco rentable. b) Se debe valorar el coste que les supondría una pérdida de información frente al coste de protegerla.
c) La inversión en las medidas de seguridad será más alta para aquellas aplicaciones que presenten mayor riesgo y un mayor impacto en el caso de ser suspendidas.d) Las medidas de seguridad tomadas racionalmente, provocaran en las organizaciones beneficios tales como aumento de la productividad, aumento en la motivación e implicación del personal.
Es importante la implicación de una dirección y su concienciación en la importancia que tienen las tecnologías y la protección de la seguridad en el éxito de las empresas. Otros requisitos previos a la implantación es establecer quien será el encargado de planificarla y aplicarla y la asignación de responsabilidades. El objetivo es conseguir que las medidas de seguridad den resultados a corto plazo pero con vigencia a largo plazo. El desarrollo de políticas de seguridad debe emprenderse después de una evaluación de las vulnerabilidades, amenazas y riesgos. Una vez analizado el campo de trabajo, se debe empezar a establecer las medidas de seguridad del sistema pertinentes. Se ha de conseguir sensibilizar a toda la organización de la importancia de las medidas que se deben tomar para facilitar la aceptación de las nuevas instrucciones, leyes internas y costumbres que una implantación de un sistema de seguridad podría acarrear. Es importante y necesario planificar, analizar e implantar sistemas y políticas de seguridad, establecer medidas de control, planes de contingencia y realizar auditorias sobre los sistemas implantados y su correcto cumplimiento. Auditar las políticas de seguridad instituidas en la empresa, tiene como objetivos analizar el nivel de cumplimiento de las políticas puestas en marcha, y detectar "agujeros" para evolucionar en las mismas.
Por último, es fundamental conocer las posibles incitaciones que pueden llevar a los usuarios del sistema a cometer "delitos" sobre la seguridad interna, para sugerir las soluciones a aplicar. La información es un bien muy valioso para cualquier empresa. Garantizar la seguridad de la información es por tanto un objetivo ineludible e inaplazable especialmente del departamento de tecnología de la información. Multitud de amenazas ponen en riesgo la integridad, confidencialidad y disponibilidad de la información. El análisis de riesgos es un estudio detallado de los bienes a proteger, "intangibles", las amenazas a las que están sometidos, posibles vulnerabilidades, contramedidas establecidas y el riesgo residual al que están expuestos.
Los objetivos principales consisten establecer una política de seguridad para reducir al mínimo los riegos posibles, implementando adecuadamente las diferentes medidas de seguridad. Cuando se establecen los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional total. Hay multitud de herramientas para llevar a cabo un análisis de riesgos. Una de las más importantes es MAGERIT ( "Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones Públicas"): método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. Existen otras herramientas como las siguientes: MARION, CRAMM, BDSS, RISK, ARES, BUDDY SYSTEM, MELISA, RISAN, etc.
Metodologías y estándares a nivel mundial
Las normas de Seguridad Standard establecen que todos los archivos deben estar protegidos con unas medidas de seguridad, cuya intensidad variará en función de la naturaleza de los datos que se almacena en ellos. Además, las empresas deberán tomar precauciones, control de acceso, asignación y cambio de contraseñas del personal, especificar las funciones y obligaciones del personal que accede al fichero, hacer copias Las técnicas y herramientas existentes para análisis forense tienen una cierta madurez, pero en general adolecen de un defecto: están orientadas al mundo del PC. Acceso físico al hardware, discos duros de tamaño razonable, posibilidad de desconectar el sistema y confiscarlo, etc.
En muchos casos es difícil, si no imposible, aplicar las técnicas de investigación forense en el mundo de la gran corporación. Esto puede ser debido a muchas causas:
Tamaño del entorno tecnológico, distribución geográfica, gran número de sistemas, tamaño del almacenamiento implicado, etc.
Complejidad tecnológica, y existencia de múltiples tecnologías.
Complejidad organizativa, política o legal, incluyendo diferentes jurisdicciones o sistemas legales.
Existencia de sistemas críticos en entornos controlados
Además, la distancia, la posibilidad de acceso físico a sistemas remotos, diferencias culturales o de idioma, zonas horarias, etc. pueden limitar o dificultar la realización de una investigación forense. Cuando se tiene que obtener la evidencia de forma remota, el ancho de banda disponible (a veces mínimo) y la proliferación de grandes medios de almacenamiento (discos de cientos de gigabytes), hacen difícil la obtención de imágenes de disco para su examen. La existencia de sistemas de almacenamiento externo (NAS, SAN, etc.) y la difuminación entre lo físico y lo virtual (sistemas virtuales, almacenamiento distribuido, clusters geográficos) no hacen sino complicar aún más la tarea del investigador. El tamaño de los volúmenes actuales de disco, en el mejor de los casos, puede implicar varias horas para la formación de una imagen bit-a-bit, de forma local.
Por último, no siempre es posible acceder a la evidencia en el caso de sistemas críticos, debiendo evaluar la conveniencia en base a:
Coste de downtime contra coste del incidente
Coste de reinstalación y puesta en marcha
Coste de re-validación o re-certificación del sistema
En las configuraciones RAID es posible en ciertos casos utilizar uno de los discos en espejo para realizar la copia, pudiendo extraerlo en caliente sin afectar a la continuidad del servicio. En el caso de que no haya acceso físico al sistema, puede ser necesario recurrir a operadores remotos o utilizar otros métodos como la transferencia a través de red de la imagen o el arranque del sistema desde un CD-ROM virtual mapeado a través de tarjetas de gestión remota tipo "Lights out".
Una ventaja que tiene la gran corporación respecto a otros entornos es la estandarización de los sistemas. La plataforma de clientes y servidores de una forma común permite la creación de "bases de datos de hashes" de tamaño razonable que facilitan la investigación al descartar en seguida los archivos "conocidos", y centrar el análisis en los archivos desconocidos. El uso de una base de datos de "hashes" de archivos permite descartar entre un 80% y 90% de los archivos de una partición de un PC o un servidor de forma rápida y cómoda.
Es posible que la práctica forense esté pasando por un bache de la desilusión en terminología de Gartner. Esto es debido a la incapacidad de las técnicas y herramientas actuales para cubrir las necesidades de los entornos modernos. Esto hace que la práctica deje de ser "interesante" y parezca que ha "pasado de moda". El futuro de la práctica de investigación forense en sistemas informáticos pasa necesariamente por renovarse e incorporar técnicas maduras que hagan frente a:
El desplazamiento del campo de batalla desde el disco duro a la memoria. Ciertas aplicaciones, troyanos y "rootkits" son capaces de residir en memoria sin tocar el disco.
El desarrollo de técnicas y herramientas para el análisis de dispositivos móviles.
La entrada de la práctica forense en el mundo corporativo (sistemas críticos, grandes almacenamientos, falta de acceso físico a máquinas, virtualización, distancias, etc.)
La proliferación y puesta a disposición del gran público de herramientas que dificulten la investigación forense.
El mantener parámetros o normas contra las nuevas técnicas y herramientas para realizar actividad maliciosa, y contra las herramientas anti-forenses, así como la madurez de la práctica para adecuarla al entorno corporativo, serán decisivas en el desarrollo de una de los campos más fascinantes de la Seguridad de la Información.
Otras herramientas usadas en la computación forense
OpenBSD: El sistema operativo preventivamente seguro.
TCP Wrappers: Un mecanismo de control de acceso y registro clásico basado en IP.
pwdump3: Permite recuperar las hashes de passwords de Windows localmente o a través de la red aunque syskey no esté habilitado.
LibNet: Una API (toolkit) de alto nivel permitiendo al programador de aplicaciones construir e inyectar paquetes de red.
IpTraf: Software para el monitoreo de redes de IP.
Fping: Un programa para el escaneo con ping en paralelo.
Bastille: Un script de fortalecimiento de seguridad Para Linux, Max Os X, y HP-UX.
Winfingerprint: Un escáner de enumeración de Hosts/Redes para Win32.
TCPTraceroute: Una implementación de traceroute que utiliza paquetes de TCP.
Shadow Security Scanner: Una herramienta de evaluación de seguridad no-libre.
pf: El filtro de paquetes innovador de OpenBSD.
LIDS: Un sistema de detección/defensa de intrusiones para el kernel Linux.
hfnetchk: Herramienta de Microsoft para evaluar el estado de los parches de todas la máquinas con Windows en una red desde una ubicación central.
etherape: Un monitor de red gráfico para Unix basado en etherman.
dig: Una útil herramienta de consulta de DNS que viene de la mano con Bind.
Crack / Cracklib: El clásico cracker de passwords locales de Alec Muffett.
cheops / cheops–ng: Nos provee de una interfaz simple a muchas utilidades de red, mapea redes locales o remotas e identifica los sistemas operativos de las máquinas.
zone alarm: El firewall personal para Windows. Ofrecen una versión gratuita limitada.
Visual Route: Obtiene información de traceroute/whois y la grafica sobre un mapa del mundo.
The Coroner's Toolkit (TCT): Una colección de herramientas orientadas tanto a la recolección como al análisis de información forenese en un sistema Unix.
tcpreplay: una herramienta para reproducir {replay} archivos guardados con tcpdump o con snoop a velocidades arbitrarias.
snoop: ?Un cantante de rap bastante conocido (Snoop Dogg)! También es un sniffer de redes que viene con Solaris.
putty: Un excelente cliente de SSH para Windows.
pstools: Un set de herramientas de línea de comandos gratuito para administrar sistemas Windows (procesar listados, ejecución de comandos, etc).
arpwatch: Se mantiente al tanto de las equivalencias entre direcciones ethernet e IP y puede detectar ciertos trabajos sucios.
Exploración de herramientas de hardware
Una herramienta: Es una máquina simple o compuesta diseñada para ayudarnos a construir o reparar herramientas o máquinas.
Una herramienta de Hardware es una herramienta física como un destornillador o martillo, no necesitan mucho entrenamiento o conocimiento técnico para usarla, su uso se basa principalmente en la experiencia empírica, principalmente se necesita fuerza motriz para usarla y se daña (desgasta) con el uso.
Una herramienta para Software es una herramienta Lógica o intangible, nos permite depurar, o diseñar nuevo software, se necesita cierto entrenamiento para poder usarla ya que generalmente se utiliza para tareas complicadas. No se daña con el uso, y se puede mejorar sin necesidad de adquirir otra
El procedimiento forense digital
Al hablar de un manual de procedimientos en delitos informáticos no solamente se hace referencia a definir cuál será el paso a paso que deberá seguir el investigador al llegar a la escena del delito. Definir este procedimiento en términos de "el investigador debe abrir el explorador de Windows, ubicarse en la carpeta de Archivos de programa. buscar los archivos ejecutables que existan en la máquina." sería caer en un simplismo casuístico que no aportaría nada nuevo a la valoración que sobre la prueba deben hacer el fiscal y el juez.
Se trata de dar a los jueces y fiscales elementos que deban tomar en consideración cuando un investigador les presente evidencia de naturaleza digital, de manera que estén en capacidad de decidir si la aceptan o la rechazan, dependiendo del nivel de certeza que alcancen respecto de si esa prueba ha sido modificada de alguna forma, en algún momento. El procedimiento forense digital busca, precisamente, evitar esas modificaciones de los datos contenidos en el medio magnético a analizar, que se pueden presentar en cualquier instante, desde el mismo momento en el que haya ocurrido el presunto hecho punible por razones tan diversas el simple paso del tiempo, porque alguien haya decidido apagar la máquina, por que se haya ejecutado en ella una aplicación que sobre escribió en la memoria, en fin. También pueden presentarse como consecuencia de la intervención directa del investigador, cuya tarea inicial es "congelar" la evidencia y asegurarla, para posteriormente presentarla para su análisis. El aseguramiento se hace, única y exclusivamente, mediante la utilización de herramientas de software y hardware que, a su vez, utilizan métodos matemáticos bastantes complejos para copiar cada medio magnético en forma idéntica; es decir, que les permiten obtener clones idénticos (copias iguales, bit a bit) al original. Cuando se presenta un delito informático, antes de analizar el hecho el investigador debe, inmediatamente, acordonar la escena, que puede no tener más de cinco centímetros de largo, si se trata de una memoria flash (del tipo USB).Y este acordonamiento de la escena no es otra cosa que clonar bit a bit los datos contenidos en ella. Obtener una copia judicialmente aceptable no es tarea fácil. Sin embargo, la industria, y la práctica legal en otros países, han definido estándares que, entre otros, se refieren a la necesidad de esterilizar el medio magnético en el que la copia será guardada; al paso a paso que debe seguir el investigador; a la aceptación que la comunidad científica da a los métodos matemáticos que están detrás de las herramientas de hardware y software usadas por él; y, a la rata de error de esas herramientas.
Identificación de la evidencia digital
Una investigación forense de hacking de computador es el proceso de detectar ataques de hacking y extraer adecuadamente evidencias para reportar el posible delito y realizar auditorias para prevenir ataques futuros. La computación forense es la aplicación de técnicas de análisis e investigación de computador para determinar las evidencias digitales legales potenciales. La computación forense puede revelar: La forma en que el intruso entró en la red corporativa. Muestra el camino. Revela las técnicas de intrusión. Permite recoger trazas y evidencias digitales. Un investigador forense no puede ni resolver el caso por sí sólo ni predecir lo que sospecha, tan sólo se limitará a proporcionar hipótesis
Se pueden buscar evidencias en: Computadores del entorno, en forma de logs, ficheros, datos del ambiente, herramientas. Firewall, en forma de logs, tanto si es la víctima del ataque como si es un intermediario para la víctima. Dispositivos de interconexión de red (switches, bridges, router, etc.), en forma de logs y buffers. Computador de la víctima, en forma de logs, ficheros, datos del ambiente, ficheros de configuración alterados, ficheros troyanos remanentes, ficheros que no coinciden sus hash, troyanos, virus, gusanos, ficheros robados almacenados, restos alterados de Web, etc. Las formas de ocultar ficheros se emplean para: Utilizar el propio sistema operativo, por ejemplo Windows para ocultar ficheros. Hacer que el texto tenga el mismo color del fondo de la pantalla. Cambiar la extensión del fichero, ejemplo pasar de .doc a .xls. Borrar discos y utilizar una utilidad de recuperación. Utilizar estaganografía. Vaciar recycle bin.
Resguardo de la evidencia digital en la escena del incidente
La información que constituye evidencia debe ser desde el momento mismo de la copia, una imagen fidedigna de la información original, y debe seguirlo siendo durante toda la investigación. La evidencia digital debe ser preservada en su estado original. Esto implica que la información no debe poder ser alterada, disminuida o aumentada de ninguna forma por ningún proceso intencional o accidental que haga parte de la investigación, o por ninguna de las herramientas, de manera intencional o accidental utilizadas en ella. Cuando estas premisas se cumplen a lo largo de una investigación, se puede asegurar que se ha mantenido la integridad evidencial. Existe un campo de aplicaciones creciente y de gran interés para el área de conocimiento de la seguridad de la información denominado computer forensic, por ejemplo se utiliza para identificar y seguir la pista de: robos/destrucción de propiedad intelectual, actividad no autorizada, hábitos de navegación por Internet, reconstrucción de eventos, inferir intenciones, vender ancho de banda de una empresa, piratería software, acoso sexual, reclamación de despido injustificado.
La seguridad forense la utiliza un colectivo cada vez mayor, entre otros:
a) Las personas que persiguen a delincuentes y criminales. Se basa en las evidencias obtenidas del computador y redes que el investigador utiliza como evidencia.
b) Litigios civiles y administrativos. Los datos de negocios y personas descubiertos en un computador se utilizan en de acoso, discriminación, divorcio, fraude o para mejorar la seguridad.
c) Compañías de seguros. Las evidencias digitales descubiertas en computadores se utilizan para compensar costos (fraude, compensación a trabajadores, incendio, etc.).
d) Corporaciones privadas. Las evidencias obtenidas de los computadores de los empleados pueden utilizarse como evidencia en casos de acosos, fraude y desfalcos.
e) Policías que aplican las leyes. Se utilizan para respaldar órdenes de registro y manipulaciones post – incautación.
f) Ciudadanos privados / individuos. Obtienen los servicios de especialistas profesionales forenses para soportar denuncias de acosos, abusos, despidos improcedentes de empleo, etc. o para mejorar la seguridad.
Aunque en algunas investigaciones es posible decomisar la máquina en la que se encuentra la evidencia, esto es difícil de realizar cuando la máquina es irreemplazable debido a su costo, a que no hay otras máquinas disponibles para reemplazarla, a que la máquina no puede ser apagada, a que la gravedad del crimen no lo amerita o a que simplemente el marco legal no lo permite. En estos casos, se debe hacer una copia fidedigna de la información a través de procedimientos que mantengan el invariante de integridad evidencial, lo cual garantiza que la copia es idéntica al original. Pero, debido a que la máquina va a seguir funcionando, y la información que contiene va a cambiar, es necesario garantizar que dicha copia, que va a ser la única evidencia disponible de que se cometió un delito, no ha sido alterada de ninguna manera. La principal forma de garantizar esto es mantener la cadena de custodia de la evidencia.
Es necesario partir del supuesto de que cualquier acción que se tome durante el proceso de la investigación va a ser escrutado por individuos que van a buscar desacreditar las técnicas usadas en la investigación, el testimonio del investigador, y sus habilidades para hallar la evidencia [MAN2001]. Es necesario mantener una lista detallada de las personas que han tenido contacto con la evidencia a lo largo de la investigación, desde su recopilación hasta su destrucción final, de manera que se pueda establecer en cada momento de la investigación quién ha manipulado la evidencia. Así mismo, se debe documentar detalladamente cualquier acción que se realice con la evidencia, así como las personas y las herramientas involucradas. Esto permite aseverar que si se cumple el primer invariante en el momento de la recopilación de la evidencia y posteriormente el original es destruido y/o modificado, aún así podemos garantizar que la copia no ha sido modificada, pues podemos determinar a cada paso de la investigación quién ha estado en contacto con la evidencia, y que acciones se han realizado sobre ésta.
Pauta a seguir para recolectar la evidencia de un computador encendido
Un laboratorio de informática forense necesita tener la capacidad de recopilar evidencia utilizando un método que garantice la integridad evidencial del original en el momento de la copia, utilizando medios de almacenamiento que permitan garantizar la de la copia a lo largo del tiempo, y con un desempeño razonable. Como forma de satisfacer dichos requerimientos, se proponen las siguientes alternativas de solución:
Dispositivo de hardware de una sola vía, para realizar copias forenses de disco a disco. Requiere abrir el computador y manipular el disco sospechoso.
Dispositivo de hardware para realizar copias forenses en cartuchos ópticos, que permite hacer copias sin necesidad de conectar directamente el disco sospechoso al dispositivo (ejemplo a través de un cable paralelo). No requiere abrir el computador ni manipular el disco duro sospechoso.
PC estándar con software de generación de imágenes forense que permita hacer copias sin necesidad de conectar directamente el disco sospechoso a la máquina forense (ejemplo a través de un cable paralelo). No requiere abrir el computador ni manipular el disco duro sospechoso.
PC con modificaciones de hardware para permitir únicamente la lectura de discos a través de un bus de datos para análisis forense, al que se deberá conectar el disco duro sospechoso a ser analizado, y un bus de datos normal al que se deberá conectar el disco en el que se va a generar la imagen, y con cualquier software de generación de imágenes forenses. Requiere abrir le computador y manipular el disco duro sospechoso.
Las fases del computer forensic son:
a) Adquisición de datos de evidencias. Se trata de obtener posesión física o remota del computador, todas las correspondencias de red desde el sistema y dispositivos de almacenamiento físico externo. Se incluye la autenticación de evidencias, la cadena de custodia, la documentación y la preservación de evidencias.
b) Identificación y análisis de datos. Identificar qué datos pueden recuperarse y recuperarlos electrónicamente ejecutando diversas herramientas de computer forensic y suites software. Se realiza un análisis automatizado con herramientas. El análisis manual se realiza con experiencia y formación.
c) Evaluación. Evaluar la información o datos recuperados para determinar si pueden utilizarse o no y de que forma contra el sospechoso con vistas a despedir al empleado o llevarlo a juicio.
d) Presentación de los descubrimientos. Presentación de evidencias descubiertas de manera que sean entendidas por abogados y personal no técnico. Puede ser presentación oral o escrita.
Procesamiento y manipulación de la evidencia digital
Una evidencia digital es cualquier dato almacenado o transmitido utilizando computadores que prueba o rebate una teoría de cómo un delito ocurrió o de los elementos críticos implicados del delito como coartada o intención. También puede definirse una evidencia digital como cualquier información, sujeto de intervención humana o no, que pueda extraerse de un computador. Debe estar en formato leíble por las personas o capaz de ser interpretada por una persona con experiencia en el tema. Algunos ejemplos son: recuperar miles de correos electrónicos borrados, realizar investigación después del despido de un empleado, recuperar evidencias digitales después de formatear el disco duro, realizar investigación después de que varios usuarios Hayan tomado el control del sistema. Los sistemas operativos son cada vez más complejos en líneas de código y número de ficheros que utilizan. Por ejemplo un examen superficial de ficheros impide percatarse de nombres de ficheros que se han podido depositar de forma maliciosa. El fichero de Windows CMS32.dll (Console Messaging Subsystem Library) es verdadero, pero en cambio wow32.dll (32 bit- wow subsystem library) es malicioso; el fichero kernel32.dll es correcto pero en cambio kerne132.dll es malicioso.
La información y datos que se busca después del incidente y se recoge en la investigación debe ser manejada adecuadamente. Esta puede ser:
1.- Información volátil: Información de red. Comunicación entre el sistema y la red. Procesos activos. Programas actualmente activos en el sistema. Usuarios logeados. Usuarios y empleados que actualmente utilizan el sistema. Ficheros abiertos. Librerías en uso, ficheros ocultos, troyanos cargados en el sistema.
2.- Información no volátil. Se incluye información, datos de configuración, ficheros del sistema y datos del registro que son disponibles después del re-arranque. Esta información se investiga y revisa a partir de una copia de backup. Los discos duros fijos pueden ser con conexión S-ATA a velocidad de 5400 rpm y capacidad de 320 GB, los discos extraíbles pueden ser Seagate de capacidad 140 GB y velocidad 15K rpm con conexión SCSI.
Es un aspecto mi portante en toda investigación forense. Existen procedimientos y políticas estrictas respecto del tratamiento de las evidencias. Todo esto para asegurar que no se rompa la cadena de custodia, y por lo tanto se preserve la integridad de las evidencias. El manejo de evidencias incluye items como:
. Estar capacitado para determinar que evidencia proviene de que trozo de HW.
. De donde se obtuvo tal pieza de HW.
. Proveer almacenamiento seguro de las evidencias, manteniendo un acceso restringido a estas.
. Documentar cada proceso utilizado para extraer información.
. Asegurar que los procesos son reproducibles, y que producirán los mismos resultados.
Las opciones de investigación ante un incidente son normalmente 3:
. Investigación Interna: corresponde a conducir una investigación al interior de la organización, utilizando al personal de IT interno puede ser la opción menos costosa, sin embargo, dependiendo del tipo de incidente, puede ser la menos efectiva.
. Investigación Policial: puede no siempre poseer los recursos para manejar la investigación, y es posible necesitar proveer de evidencias a los investigadores antes de que puedan comenzar con su investigación. Varias organizaciones se presentan opuestas a reportar sus incidentes ante la policía, ya que a veces el costo de la investigación sobrepasa el consto de las consecuencias del incidente.
. Investigación por parte de Especialistas Privados: en el caso de Australia, un gran número de policías se retira y comienzan a trabajar de manera particular, con la ventaja de que conocen sobre las reglas del manejo de evidencias, y poseen experiencia que pueden poner a disposición de sus clientes en el momento que estos la necesiten.
Método o protocolo para la adquisición de evidencias
Un laboratorio de informática forense necesita tener la capacidad de buscar evidencia en grandes universos de búsqueda, de manera precisa y exacta, y con un desempeño razonable, manteniendo siempre la integridad evidencial. Como forma de satisfacer dichos requerimientos, se proponen las siguientes alternativas de solución:- Software de búsqueda de evidencia en diskette forense. No requiere abrir el computador ni manipular el disco duro sospechoso. – PC estándar con software de análisis forense que permita hacer búsquedas sin necesidad de realizar una copia del disco sospechoso, y sin necesidad de conectar directamente el disco sospechoso a la máquina forense. No requiere abrir el computador ni manipular el disco duro sospechoso. – PC con modificaciones de hardware para permitir únicamente la lectura de discos a través de un bus de datos para análisis forense, al que se deberá conectar el disco duro sospechoso a ser analizado, y con cualquier software de análisis forense. Requiere abrir le computador y manipular el disco duro sospechoso.
La gestión de evidencias tiene los mismos objetivos, métodos o procedimientos que la seguridad forense, estos son: (a) Admisibilidad de evidencias. Existen reglas legales que determinan si las evidencias potenciales pueden o no ser consideradas por un tribunal. Las evidencias deben obtenerse de manera que se asegure la autenticidad y validez y no debe haber alteración alguna. (b) Los procedimientos de búsqueda de computador no deben dañar, destruir o comprometer las evidencias. Prevenir que se introduzcan virus en el computador durante el proceso de análisis. (c) Debe protegerse de posibles daños mecánicos o electromagnéticos las evidencias extraídas / reveladas y mantener una continua cadena de custodia. Se debe limitar la cantidad de veces que las operaciones de negocios se vean afectadas. d No se debe divulgar y se debe respetar cualquier información del cliente (desde el punto de vista ético y legal) que inadvertidamente se pueda haber adquirido durante una exploración forense.
Por otra parte, es de tenerse muy en cuenta, que todo procedimiento relacionado con la evidencia digital debe estar relacionada con los siguientes conceptos:
a) Descripción general de servicios de informática forense: ofrece a los operadores judiciales –Jueces y Fiscales- servicios de informática forense: . Pericia sobre Infracción a la ley de Propiedad Intelectual del Software. Actualización y adquisición de licencias de software. . Pericia sobre robo, hurto, borrado intencional o accesos no autorizados a la información de una determinada empresa o institución, procesada y/o generada por los sistemas de informáticos. . Pericia sobre duplicación no autorizada de datos procesados y/o generados por los sistemas informáticos. Métodos y normas a seguir en cuestión de seguridad y privacidad de la información procesada y/o generada por los sistemas informáticos. . Pericia sobre la realización de auditorias de áreas de sistemas y centros de cómputos así como de los sistemas informáticos utilizados. Recuperar de datos borrados y rastreo de información en los distintos medios informáticos. . Pericia sobre métodos y normas a seguir en cuestión de salvaguarda y control de los recursos físicos y lógicos de un sistema informático. Manejo e implementación de proyectos informáticos. . Pericia sobre contratos en los que la informática se encuentre involucrada. Aspectos laborales vinculados con la informática. Uso de Internet en el trabajo, uso indebido de las facilidades de la organización otorgadas a los empleados.
El procedimiento general de investigación judicial utilizando servicios de informática forense, consta de dos fases principales: a) Incautación confiable de la prueba y mantenimiento de la Cadena de Custodia. Debe ser llevada a cabo por personal policial junto a los operadores judiciales encargados de conducir el procedimiento, siguiendo una Guía de Procedimientos para el Secuestro de Tecnología Informática b) Análisis de la información disponible con arreglo al incidente investigado y redacción del informe pericial. Efectuada en el laboratorio por un Perito Informático, siguiendo los estándares de la ciencia forense para el manejo de evidencia digital, en función a los puntos de pericias que sean indicados por los operadores judiciales.
Uno de los pasos a tener en cuenta en toda investigación, sea la que sea, consiste en la captura de la/s evidencia/s. Por evidencia entendemos toda información que podamos procesar en un análisis. El único fin del análisis de las evidencias es saber con la mayor exactitud qué fue lo que ocurrió. Podemos obtener evidencia como: El último acceso a un fichero o aplicación (unidad de tiempo) .Un Log en un fichero y Una cookie en un disco duro. El uptime de un sistema. Un fichero en disco; Un proceso en ejecución y Archivos temporales, Restos de instalación y Un disco duro, pen-drive.
Almacenamiento, identificación y preservación de evidencia digital
Tan importante como el método de copia, es el medio en el cual se está generando dicha copia. No solo es importante garantizar que no se va a modificar la evidencia existente en el disco original en el momento de la copia. Debido a que en la mayoría de los casos el computador en el cual se cometió el delito sigue funcionando después de que se realiza la copia, con la consiguiente degradación de la evidencia presente en el disco, y debido a que en la mayoría de los casos no es posible decomisar el disco original, es vital garantizar también que la integridad evidencial de la copia se mantiene, pues la copia se convierte en la única evidencia de que se cometió un delito.
Autores recomiendan realizar la recopilación de la evidencia utilizando herramientas de software forense, usando computadores personales corrientes para realizar la copia, no tienen problemas a la hora de usar discos duros comunes para almacenar la copia de la evidencia. La aproximación de dichos autores a la solución de la problemática de la informática forense es totalmente errónea. Una vez más, el invariante de integridad evidencial especifica que las herramientas utilizadas en el proceso de la investigación nunca deberían estar en capacidad de poner en peligro la integridad de la evidencia, de manera intencional o accidental.
Los discos duros no son un medio confiable para el almacenamiento de evidencias forense y no permiten garantizar el invariable de integridad evidencial de manera razonable. La superficie de un disco duro se empieza a deteriorar en el momento en el que sale de la planta de producción. Además, los discos duros son extremadamente sensibles a los impactos, que usualmente hacen que el brazo de lecto-escritura roce la superficie del disco, dañando la capa magnética, y destruyendo la integridad de la información almacenada Entonces, se hace necesario contar con una solución que permita realizar la copia de la evidencia en un medio adecuado para almacenar evidencia digital, por largos períodos de tiempo, de manera íntegra, y que sea de bajo costo para que su "pérdida" no sea de gran impacto para el presupuesto de funcionamiento del laboratorio de informática forense. El almacenamiento de material informático y su correspondiente identificación para el peritaje por parte del personal policial debe ser efectuado conforme a las pautas elaboradas por los Procedimientos Tecnología Informática. Es de especial importancia la utilización de precinto de seguridad desde el momento del secuestro del material, y todos aquellos medios tendientes a garantizar la autenticidad e integridad de la evidencia digital. El requerimiento judicial deberá ser efectuado completando la información del Formulario para Requerimiento de Servicios estándar y aprobado a nivel institucional, el que estará disponible para su descarga en los repositorios digitales de documentos oficiales del Poder Judicial. El material informático deberá ser enviado al organismo pericial informático, donde se cotejará la existencia de los precintos sobre los secuestros y la correcta identificación de los elementos enviados a peritaje.
En caso de detectarse la alteración o ausencia de precintos, se dejará constancia en un acta de recepción que deberá ser suscripto por el responsable del traslado. Es responsabilidad del personal policial el traslado del material secuestrado hasta los organismos judiciales. Cada una de las personas que haya trasladado la evidencia digital deberá dejar registrada su intervención con los medios que se establezcan.
Luego, de realizar una inspección al material informático secuestrado, el Perito podrá indicar si requiere de elementos específicos al organismo jurisdiccional, para que este último arbitre los medios necesarios para su adquisición a través del organismo administrativo que se encargue de adquirir bienes e insumos. El dictamen será presentado siguiendo los estándares utilizados para la presentación de reportes informáticos forenses. Se intentará minimizar el volumen de información en soporte papel, suministrando toda la información complementaria que sea necesaria para el objeto de la pericia en soporte digital. Los elementos probatorios originales que almacenen evidencia digital deberán resguardarse hasta finalizar el proceso judicial, si se pretende que sean utilizados como prueba. Los elementos analizados deberán ser resguardados con los medios adecuados para preservar la integridad y la autenticidad de la evidencia digital.
MS-DOS: Microsoft Disk Operating System
Herramientas de adquisición en MS-DOS
MS-DOS son las signas de MicroSoft Disk Operating System, Sistema operativo de disco de Microsoft. Es un sistema operativo comercializado por Microsoft perteneciente a la familia DOS. Fue un sistema operativo para el IBM PC que alcanzó gran difusión., es un sistema patentado por Microsoft Corporation para ordenadores personales PC's. El Sistema Operativo más difundido con diferencia es MS-DOS, este al estar diseñado para 16 bits y con la reciente aparición de Windows 95 de Microsoft, de 32 bits y con posibilidades de multitarea, ve peligrar su supremacía como rey indiscutible del entorno PC. Este sistema operativo fue patentado por las empresas Microsoft Corporation e IBM, utilizándose dos versiones similares llamadas MS-DOS y PC-DOS. A MS-DOS le acompañan unos números que indican la versión. Si la diferencia entre dos versiones es la última cifra representa pequeñas variaciones. Sin embargo, si es en la primera cifra representa cambios fundamentales. Las versiones comenzaron a numerar por 1.0 en agosto de 1981. En mayo de 1982 se lanzó la versión 1.1 con soporte de disquetes de dos caras. La versión 2.0 se creó en marzo de 1983 para gestionar el PC-XT, que incorporaba disco duro de 10 Mb, siendo su principal novedad el soporte de estructura de directorios y subdirectorios.
BREVE DESCRIPCIÓN DEL MS-DOS.
El MS-DOS es un sistema operativo monousuario y monotarea. Al cumplir las dos condiciones arriba mencionadas el procesador está en cada momento está dedicado en exclusividad a la ejecución de un proceso, por lo que la planificación del procesador es simple y se dedica al único proceso activo que pueda existir en un momento dado.
Para instalar MS-DOS bastará con ejecutar el programa de instalación que está situado en el disquete número uno de MS-DOS. No es posible ejecutar MS-DOS desde los disquetes de instalación ya que dichos archivos están comprimidos. Al Instalar, este sistema, detecta el tipo de hardware y de software que contiene el PC y le comunica a este si no cumple con los requisitos mínimos o si existen características incompatibles con MS-DOS. El sistema operativo MS-DOS tiene una estructura arborescente donde existen unidades, dentro de ellas directorios y a su vez dentro de ellos tenemos los ficheros. Las unidades son las disqueteras y los discos duros. Los directorios son, dentro de las unidades, carpetas donde se guardan los ficheros. Los ficheros son conjuntos de datos y programas. El DOS tiene unos cien comandos, que para poder ser ejecutados necesitan tres ficheros: a) El IBMBIOS.COM se encarga de las comunicaciones de entrada y salida. b) El IBMDOS.COM es el centro de los servicios del ordenador, es conocido también como kernel o núcleo y c) El COMMAND.COM carga y permite ejecutar todos los comandos.
ESTRUCTURA BÁSICA DEL SISTEMA.
El MS-DOS contiene cinco elementos fundamentales:
La ROM-BIOS.- Programas de gestión de entrada y salida entre el Sistema Operativo y los dispositivos básicos del ordenador.
La IO.SYS.- Son un conjunto de instrucciones para la transferencia de entrada/salida desde periféricos a memoria. Prepara el sistema en el arranque y contiene drivers de dispositivo residentes.
MSDOS.SYS.- Es el kernel de MS-DOS, en que figuran instrucciones para control de los disquetes.
DBLSPACE.BIN.- Es el controlador del Kernel del compresor del disco duro que sirve para aumentar la capacidad de almacenamiento del disco, disponible a partir de la versión 6 del MS-DOS. Este controlador se ocupa de toda la compresión y descompresión de ficheros y se puede trasladar desde la memoria convencional a la memoria superior.
COMMAND.COM.- Es el intérprete de comandos, mediante los cuales el usuario se comunica con el ordenador, a través del prompt >. Interpreta los comandos tecleados y contiene los comandos internos de MS-DOS que no se visualizan en el directorio del sistema.
Herramientas de adquisición en Windows
Windows es una familia de sistemas operativos desarrollados y comercializados por Microsoft. Existen versiones para hogares, empresas, servidores y dispositivos móviles, como computadores de bolsillo y teléfonos inteligentes. Hay variantes para procesadores de 16, 32 y 64 bits. Incorpora diversas aplicaciones como Internet Explorer, el Reproductor de Windows Media, Windows Movie Maker, Windows Mail, Windows Messenger, Windows Defender, entre otros.
Análisis de computación forense: uso de encase x-ways para analizar data
Las dos características principales que hacen de EnCase una herramienta software única son la variedad de sistemas operativos y sistemas de archivos que admite. Para cada sistema operativo existen varios sistemas de archivos que pueden utilizarse en un equipo. El sistema operativo y el sistema de archivos son elementos distintos pero tienen una estrecha relación en cuanto a cómo almacenan la información y cómo el sistema operativo interactúa con el sistema de archivos. La capacidad de analizar con profundidad un amplio rango de sistemas operativos y sistemas de ficheros es un componente crítico en las investigaciones. EnCase tiene la capacidad de analizar todos los sistemas de archivos, para los cuales se ha desarrollado un Servlet (actualmente Windows, Linux, Solaris, AIX y OSX; está en camino el soporte de más sistemas). Además, EnCase puede interpretar otros sistemas de archivos para los cuales actualmente no existe un Servlet desarrollado.
· Sistemas Operativos: Windows 95/98/NT/2000/XP/2003 Server, Linux Kernel 2.4 y superiors, Solaris 8/9 en 32 y 64 bits, AIX, OSX.
· Sistemas de archivos: FAT12/16/32, NTFS, EXT2/3 (Linux), Reiser(Linux), UFS (Sun Solaris), AIX Journaling File System, LVM8, FFS (OpenBSD, NetBSD y FreeBSD), Palm, HFS, HFS+ (Macintosh), CDFS, ISO 9660, UDF, DVD y TiVo 1 y 2. · En exclusiva soporta la realización de imágenes y el análisis de RAID, de tipo software y hardware. El análisis forense de RAID es casi imposible fuera del entorno De EnCase.
·Soporte para discos dinámicos de Windows 2000/XP/2003 Server.·Capacidad para previsualizar dispositivos Palm.
· Capacidad para interpretar y analizar VMware, Microsoft Virtual PC, e imágenes de DD y Safeback
El proceso de adquisición de EnCase comienza con la creación de una imagen completa (bitstream) del dispositivo a analizar de una forma no invasiva. El archivo de evidencia que genera EnCase es un duplicado exacto de los datos en el momento de la adquisición. Durante el proceso de adquisición, los bits de la imagen son verificados de forma continua con bloques de CRCs, que son calculados simultáneamente a la adquisición. Cuando el proceso de adquisición se ha completado se realiza un segundo tipo de verificación mediante un hash MD5 sobre todo el conjunto de datos, y se presenta como parte de la validación del archivo de evidencia del dispositivo analizado.
· Adquisición granulada: se tiene un mayor control sobre la forma en la que se realiza la adquisición de datos o Errores: Normalmente, cuando se encuentra un error al leer un disco duro, el bloque entero de datos que contenía el error se ponía a cero. Con la herramienta EnCase Forensic se puede especificar el número de sectores que se ponen a cero cuando se encuentra un error o Bloques adquiridos: Se puede definir la cantidad de datos que se obtienen durante el proceso de adquisición, asegurando la rapidez de dicho proceso.
· Interrupción del proceso: se puede continuar con la adquisición de un sistema basado en Windows desde el punto en el que se interrumpió, no teniendo que volver a realizar el proceso de adquisición desde el principio.
· Archivos lógicos de evidencias: Se puede hacer una adquisición selectiva de los archivos y carpetas que se deseen, sin realizar una adquisición completa del disco. Las evidencias lógicas preservan los archivos originales en la misma forma en la que existían en el dispositivo e incluyen una rica variedad de información adicional como el nombre del archivo, la extensión, la fecha de último acceso, creación, fecha de última modificación, tamaño lógico, tamaño físico, hash MD5, permisos, comienzo y ubicación original del archivo.
La herramienta LinEn es una versión Linux de la herramienta de adquisición de EnCase basada en DOS. A la vez que realiza las mismas funciones básicas que la herramienta DOS, admite sistemas que no son Windows, discos duros extremadamente grandes y mejora la velocidad de adquisición.
ANALISIS DE COMPUTACION FORENSE
Los investigadores forenses de la informática descubren, analizan y recopilan evidencias digitales que incriminan a los atacantes virtuales, quienes hace más de dos décadas vienen afectando desde el universo computacional el mundo real. En muchos casos se piensa que la informática forense tiene que ver con los programas o aplicaciones que se utilizan en la medicina forense, aquella especialidad que se encarga de la investigación penal en sus aspectos médicos con el fin de resolver problemas civiles, penales o administrativos y para cooperar en la formulación de leyes; pero la realidad es que la informática forense realiza las mismas funciones que esta medicina pero en otros "cadáveres" y en otros delitos, no físicos sino on line.
Con el auge de los computadores y la TI, la seguridad informática se ha visto afectada. Durante la última década los ataques virtuales han crecido inimaginablemente estableciendo un escenario oscuro sobre la seguridad de la infraestructura informática en todo el mundo, lo que ha suscitado una serie de acciones que favorecen y refuerzan la seguridad, sin embargo, los hackers y delincuentes informáticos cada vez encuentran nuevas formas para continuar con su accionar.
Debido a los ataques y delitos informáticos que se presentan hace más de dos décadas, las autoridades en el mundo tomaron cartas en el asunto, creando laboratorios informáticos para apoyar las investigaciones judiciales, creando departamentos de computación forense para analizar las informaciones de la red y sus comportamientos, y poder atrapar a los delincuentes.
Así, puede definirse la computación forense como una rama de la informática que se encarga de recolectar y/o recopilar información valiosa desde sistemas informáticos con distintos fines, sirviendo de apoyo a otras disciplinas o actividades, como son las labores de criminalística e investigaciones. Estas evidencias que permite descubrir diferentes datos sirven, por ejemplo, para condenar o absolver a algún imputado. La idea principal de este tipo de informática es colaborar con la criminalística, ya que, la computación forense trabaja como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso.
El análisis forense involucra aspectos como la preservación, descubrimiento, identificación, extracción, documentación y la interpretación de datos informáticos, analizando, a partir de esto, los elementos que sean evidencia digital, la cual no es más que un tipo de evidencia física, menos tangible que otras formas de pruebas (DNA, huellas digitales, componentes de computadores), que puede ser duplicada de manera exacta y copiada tal como si fuese el original, como explica Cano.
Este tipo de evidencia es la que brinda a los investigadores la materia prima para trabajar, sin embargo cuenta con algunas desventajas ya que ésta es volátil, anónima, duplicable, alterable, modificable y eliminable. Por esto, los investigadores deben estar al tanto de procedimientos, técnicas y herramientas tecnológicas para obtener, custodiar, analizar, revisar y presentar esta evidencia. Asimismo deben tener conocimiento de las normas, derecho procesal y procedimientos legales para que dichas pruebas sean confiables y den los elementos necesarios para poder inculpar a alguien. Al realizar una investigación, existen algunos componentes que todo investigador forense debe tener en cuenta al manipular las pruebas, ya que dependiendo del buen uso que se le dé a la evidencia y de los conocimientos de los peritos es que la justicia puede tomar decisiones.
COMPONENTES DEL ANÁLISIS FORENSE
. Identificación de la evidencia: los investigadores deben conocer muy bien los formatos que tiene la información con el fin de saber cómo extraerla, dónde y cómo almacenarla y preservarla.. Preservación de la evidencia: es importante que no se generen cambios en la evidencia al analizarse, sin embargo en algunos casos donde deba presentarse esos cambios deben ser explicados ya que toda alteración debe ser registrada y justificada.
. Análisis de la evidencia: cada uno de los datos recopilados como prueba deben ser examinados por expertos en el tema.
. Presentación: las metodologías que se utilicen para la presentación de los datos analizados deben ser serias, probadas y confiables.
Estos componentes y procedimientos no son únicos, existen otros como: la esterilidad de los medios informáticos de trabajo, que, al igual que en la medicina forense, si existe un material contaminado puede causar una interpretación o un análisis erróneo; y la verificación de las copias en medios informáticos; deben ser idénticas al original. Sin embargo, y con el fin de continuar luchando contra estos casos, las autoridades han implementado laboratorios de informática forense y capacitado a los diversos cuerpos para combatir los delitos y manejar sin riesgo información clasificada en computadoras. A raíz de los ataques a las Torres Gemelas, las organizaciones públicas y privadas se dieron cuenta de las múltiples falencias que poseían en seguridad informática, por lo que han tratado de desarrollar mejores estrategias, sin embargo éstas no han podido contrarrestar a los ataques on line que se presentan en la actualidad. La situación latina frente a la norte americana es totalmente diferente.
Configuración de la estación de trabajo forense
El Almacenamiento en línea de más de 40 terabytes (40,000 GB) en un arreglo de discos RAID-5 de alta velocidad – como opción adicional, permite un sistema que incluye una Red Ethernet Forense completa en un rack de 2 por 3 pies. A objeto de tener conexión a una red de estaciones forenses previamente establecidas en un laboratorio, permitiendo así, que el sistema pueda brindar todos los servicios de almacenamiento y de red necesarios. Un módulo integrado y retráctil que cuenta con un monitor y teclado con un switch KV, permitiendo el acceso y monitoreo de cualquier estación de trabajo o servidor de archivos desde un punto central. El sistema incluye: Servidor de archives forense, arreglo de discos duros RAID-5 con 6.0 terabyte, switch Ethernet Gigabit, UPS integrado, FRED para rack y un switch con KVM con pantalla LCD y teclado retráctil. La configuración permite tener un sistema personalizado para satisfacer casi cualquier requerimiento forense. Así, puede implementación de forma simple un servidor Forense con un arreglo de discos de alta capacidad, para ser utilizado como punto de almacenamiento central de imágenes forenses. El sistema funciona como una estación de trabajo forense. Una configuración típica puede ser utilizada como punto central de adquisición de imágenes para todo el sistema.
Todos los módulos de procesamiento y servidores de archivos deben ir conectados a través de un backbone Gigabit Ethernet. Este backbone es 10 veces más rápido que la conexión estándar 10/100, la función principal de estas instalación permite mover imágenes forenses hacia o desde el servidor, o procesando imágenes ya almacenados en el servidor, de esta manera el mecanismo de transporte contará con la tecnología de punta que le ayudara a terminar su trabajo en tiempo record. Una configuración de trabajo no debe ser limitada a los dispositivos. Los switches Ethernet y los paneles patch ldeben permiter integrar las estaciones y equipo forense existentes.
Análisis a sistemas de archivos Microsoft
Las barreras de protección erigidas para salvaguardar los activos de información, los incidentes de seguridad /se siguen produciendo. Estar preparado para reaccionar ante un ataque es fundamental. Una de las fases más importantes de la respuesta a incidentes consiste en la investigación del incidente para saber por qué se produjo la intrusión, quién la perpetró y sobre qué sistemas. Esta investigación se conoce como análisis forense y sus características más destacadas serán explicadas en este artículo.
Un plan de respuesta a incidentes ayuda a estar preparado y a saber cómo se debe actuar una vez se haya identificado un ataque. Constituye un punto clave dentro de los planes de seguridad de la información, ya que mientras que la detección del incidente es el punto que afecta a la seguridad del sistema, la respuesta define cómo debe reaccionar el equipo de seguridad para minimizar los daños y recuperar los sistemas, todo ello garantizando la integridad del conjunto.
El plan de respuesta a incidentes suele dividirse en varias fases, entre las que destacan: 1) respuesta inmediata, para evitar males mayores, como reconfigurar automáticamente las reglas de los cortafuegos o inyectar paquetes de RESET sobre conexiones establecidas; 2) investigación, para recolectar evidencias del ataque que permitan reconstruirlo con la mayor fidelidad posible; 3) recuperación, para volver a la normalidad en el menor tiempo posible y evitar que el incidente se repita de nuevo; y 4) creación de informes, para documentar los datos sobre los incidentes y que sirvan como base de conocimiento con posterioridad, para posibles puntos de mejora y como información para todos los integrantes de la organización. De manera adicional, se hacen necesarios los informes por posibles responsabilidades legales que pudieran derivarse.
El análisis forense de sistemas pretende averiguar lo ocurrido durante una intrusión. Busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente: quién realizó el ataque, qué activos de información se vieron afectados y en qué grado, cuándo tuvo lugar, dónde se originó y contra qué blancos se dirigió, cómo fue llevado a cabo y por qué.- El análisis forense comprende dos fases: la primera, la captura de las evidencias y su protección; la segunda, el análisis de las mismas. Sin embargo, debido a que en los crímenes digitales cada vez resulta más difícil dar respuesta a los seis interrogantes, especialmente quién realizó el ataque, la investigación forense suele centrarse en averiguar qué fue dañado, cómo fue dañado y cómo arreglarlo.
Durante la fase de recolección de evidencias se captura todo aquello que resulte susceptible de posible análisis posterior y que pueda arrojar luz sobre detalles de muestras de un delito. El análisis de la evidencia es la fase más extensa y delicada, ya que requiere poseer conocimientos avanzados para poder interpretar las pruebas incautadas, cuyo volumen puede llegar a ser inmenso. Dependiendo de la calidad de los datos de registro se podrá realizar de forma más o menos sencilla el análisis de la evidencia. Igualmente, dependiendo de la información existente se procederá a obtener unos resultados más o menos satisfactorios. Dada su fragilidad, y que puede perderse con mucha facilidad, este tipo de evidencia es la primera que debe ser recogida. Por tanto, en la medida de lo posible, la máquina objeto del análisis no debería ser apagada o reiniciada hasta que se haya completado el proceso. Si se ha ensayado con anterioridad o es realizado por un especialista, no debería llevar más de unos pocos minutos.
La teoría señala que la herramienta perfecta para esta tarea no debería apoyarse en absoluto en el sistema operativo objeto del análisis, pues éste podría haber sido fácilmente manipulado para devolver resultados erróneos. Sin embargo, a pesar de que tales herramientas existen, como la tarjeta PCI Tribble, son herramientas hardware, que necesitan estar instaladas en la máquina antes de la intrusión, ataque o análisis de la misma. Evidentemente, este escenario sólo es factible para máquinas que procesan información especialmente sensible, cuyo hardware puede ser fácilmente controlado.
En el resto de casos, la inmensa mayoría, hay que conformarse con utilizar herramientas software y limitar el proceso de recolección de información a los mínimos pasos posibles, con el fin de generar el menor impacto posible sobre la máquina analizada. Lo ideal sería hacer uso de un dispositivo de sólo lectura, como una unidad de CD-ROM, que contenga las herramientas necesarias para el análisis. Para almacenar las evidencias recogidas será necesario añadir al sistema analizado algún tipo de almacenamiento externo. Teniendo en cuenta que se está realizando la fase de análisis en vivo y que, por tanto, no es posible apagar el ordenador todavía, existen básicamente dos opciones. La primera consiste en utilizar una unidad externa, como un disco duro o una memoria USB de suficiente capacidad. La segunda opción implica añadir a la red de la máquina analizada un nuevo sistema, habitualmente un ordenador portátil, en el que poder copiar los datos recogidos.
El método sea quizás el más sencillo y rápido de los dos, pero deja más trazas en el sistema analizado. Por supuesto, también necesita que el sistema cuente con un interfaz USB disponible. Utilizar otra máquina como almacén, por el contrario, tendría el mínimo impacto sobre el sistema analizado. A cambio, complica y ralentiza ligeramente el proceso de toma de datos. En función del tipo de conexión que la máquina analizada tenga a Internet, a través de un módem o de un enrutador, este método podría necesitar cortar la conexión de la misma momentáneamente, lo que provocaría la pérdida de las conexiones activas en el momento del análisis, que, como se verá, es una información de sumo interés.
El primer tipo de evidencia a recoger es la memoria RAM, a pesar de que es habitual que, en muchos procesos forenses, ésta reciba poca o ninguna atención. Sin embargo, este tipo de memoria es una fuente muy importante de información, que será irremediablemente perdida en cuanto la máquina sea apagada o reiniciada. El siguiente paso consistiría en obtener información sobre todos los procesos activos en el sistema, junto con los puertos y ficheros que cada uno de ellos tienen abiertos. Es muy probable que, como resultado del ataque y posterior intrusión, se hayan creado uno o varios procesos nuevos en el sistema o, al menos, modificado algunos de los existentes. Por tanto, la captura de los mismos permitirá determinar con posterioridad el tipo de ataque sufrido y, lo que suele ser más importante, qué objetivo se perseguía. Es importante que este proceso de recolección se apoye en las herramientas proporcionadas por el sistema las funciones para listar procesos o las conexiones activas. Como se ha comentado, estas funciones no son fiables, pues es muy habitual que hayan sido manipuladas durante el ataque para proporcionar datos falsos o parciales, con el fin de ocultar la intrusión. Sin embargo, también llevan a cabo un volcado completo de la memoria RAM, donde sí podrán encontrarse estos binarios, lo que demuestra la importancia de este tipo de evidencia.
Análisis a sistemas de archivos Unix /Linux
La mayor de las investigaciones de casos similares, está realizadas por parte de las empresas especializadas o por parte de las agencias gubernamentales, precisan un estudio forense previo para recoger todas las pruebas encontradas en los equipos y determinar los factores claves para reconstruir los hechos transcurridos, antes, durante y a posteriori del posible acceso no autorizado al sistema. Todo ese trabajo puede ser complicado por miles razones, siendo una analogía directa la ciencia forense tradicional en los casos criminales, de la escena del crimen es el servidor comprometido y cualquier equivocación descuido puede causar la perdida de información digital que podrá desvelar algún hecho importante sobre el "la víctima", el "criminal", el "objetivo. Los intrusos permanentemente mejoran sus técnicas, sean de acceso, ocultación de pruebas o de eliminación de huellas, siendo difícil, o en algunos casos imposibles de reconstruir el 100% de los eventos ocurridos. Los forenses desde hace varios años tienen dificultades adaptarse a las nuevas técnicas ya que no sólo son necesarios los conocimientos de la materia sino la experiencia en campos que tienen bastante poco que ver con la ciencia forense.
La ciencia forense se basa en acciones premeditadas para reunir pruebas y analizarlas. La tecnología en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel importante en reunir la información y pruebas necesarias. La escena del crimen es el ordenador y la red a la cual se esta conectado.
El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada para reconstruir a través de todos los medios el logro de acontecimientos que tuvieron lugar desde el momento cuando el sistema estuvo en su estado integro hasta el momento de detección de un acceso no autorizado; debe ser llevada acabo con mucha cautela, asegurándose que se conserve intacta, a la mayor medida posible, la información obtenida en el disco de un sistema comprometido y de manera similar a los investigadores policiales intentan mantener la escena del crimen sin variar, hasta que se recogen todas las pruebas posibles.
El trabajo de un investigador forense es necesario para ofrecer un punto de partida fundamental para los investigadores policiales, ofreciéndoles pistas, así como pruebas para su uso posterior. En cada uno de los incidentes está involucrado un investigador forense externo, diferente en cada caso. Algunas veces el trabajo puede estar limitado a colaborar con las agencias del gobierno, proporcionándoles el equipo negro para que sea analizado en sus instalaciones y por sus expertos. Es necesario realizar una recolección de información: analizar ficheros, logos, estudiar el sistema de ficheros (FS) del equipo comprometido y reconstruir la secuencia de eventos para tener una imagen clara y global del incidente.
El análisis termina cuando el forense tiene conocimiento de como se produjo el compromiso, bajo que circunstancias, la identidad de posible/s atacador/es, su procedencia y origen, fechas de compromiso, objetivos del/los atacador/es; así como, cuando ha sido reconstruida completamente la secuencia temporal de los eventos. Cuando un investigador forense empieza el análisis de la situación nunca sabe con lo que va a enfrentarse. Al principio puede ser que no encuentre a simple vista ninguna huella ni prueba de que el equipo ha sido violado, especialmente si hay un "rootkit" instalado en la memoria. Puede encontrar procesos extra ejecutándose con puertos abiertos. También es frecuente que vea una partición ocupada 100% de su capacidad, pero cuando la verifica a través de dispositivo, el sistema muestra otro porcentaje de ocupación. Puede encontrar una saturación en el entorno de red desde un host específico.
Los pasos para empezar la investigación de un incidente son diferentes en cada caso. El investigador debe tomar decisiones basándose en su experiencia y el "sexto sentido" para llegar al fondo del asunto. No es necesario seguir pasos determinados, ni su orden es importante a veces. Puede que algunos pasos básicos sean molde lo que hace falta y también puede ser que estos sean insuficientes para solucionar el problema. Los pasos básicos pueden concluir en localizar todas las huellas y eventos que se produjeron. Y en supuestos, esos pasos no han desvelado la situación, se debe recurrir un análisis profundo de las aplicaciones encontradas durante la búsqueda.
Un equipo de análisis, funcionando bajo GNU/LINUX puede ser suficiente para analizar sistemas de ficheros diferentes pero soportados como por ejemplo Sun UFS. Se podrá simplemente montar el sistema de fichero emitiendo el comando mount con la opción articular.
Otra ventaja de GNU/Linux para investigadores forenses es la capacidad del interfaz "loopback", que permite montar un fichero que contiene una imagen del disco dentro del sistema de ficheros de la estación de análisis. Independientemente del tipo de investigación que se esté llevando a cabo, es importante no confiar demasiado en la memoria y llevar un registro claro de la fecha y hora en la que se recogen las diferentes evidencias. Si se va a analizar un sistema comprometido en producción desde su propia consola, es recomendable ejecutar el comando script, el cual captura y almacena en un fichero toda la actividad tecleada desde la consola. Su sintaxis es: # script –a fichero
Posteriormente, es necesario disponer de un lugar en el cual almacenar los datos del sistema comprometido. Si no se dispone de un dispositivo de almacenamiento removible de gran capacidad o no se puede realizar una clonación del disco afectado, el comando netcat constituye una herramienta de gran valor pues permite transferir vía red la información del servidor afectado a otro sistema en el cual realizar el análisis. Para ello en el sistema de análisis se ejecutará el comando: # nc –l –p puerto > fichero de salida En el sistema comprometido se ejecutará por ejemplo el comando. En el sistema comprometido se ejecutará por ejemplo el comando: # cat /etc/passwd | nc maquina de análisis puerto -w 2.
El proceso nc en la máquina de análisis se ejecutará hasta que la conexión se rompa, cerrándose el fichero de salida. La opción –w 2 indica el número de segundos que espera una vez recibido el fin de fichero para terminar la conexión. La facilidad de acceso a Internet, así como el desarrollo y avance en el mercado de las tecnologías de la información han cambiado no sólo la forma en que se llevan a cabo los negocios y las actividades comunes, sino que también la forma en que los delincuentes desarrollan sus actividades. Tanto los computadores como las redes de computadores pueden verse involucrados en un incidente o crimen informático siendo estos las víctimas del incidente o bien las herramientas utilizadas para el desarrollo de estos.
Se comprende por análisis Forense de Sistemas Computacionales a los procesos de extracción, conservación, identificación, documentación, interpretación y presentación de las evidencias digitales de forma que sean legalmente aceptadas en un proceso legal, proporcionando las técnicas y principios que facilitan la investigación del delito. El inmenso crecimiento de las redes de computadores y sistemas informáticos ha movido al mundo a un entorno en el cual se vive globalmente conectado, pudiéndose mantener conversaciones o negocios con personas en casi cualquier parte del mundo de manera rápida y de bajo costo. Pero, sin embargo, esta accesibilidad digital abre nuevas oportunidades también a los delincuentes, quienes encuentran nuevas formas de delitos, así como herramientas potentes que les permiten desarrollar ahora sus delitos de manera más sencilla y efectiva.
El comando xwd de X Window permite capturar tanto ventanas de forma individual como la pantalla completa desde un servidor remoto. Para ello se ejecutará el comando: # xwd –display direccionIP:0 –root > pantalla.xwd. En Linux todo se trata como un fichero, esto hace muy sencillo copiar y analizar el contenido tanto de la memoria principal analizando el fichero /dev/mem como del área de swap analizando la partición correspondiente. Sobre estos dispositivos se pueden utilizar comandos como strings o grep. El estado de la red proporciona información tanto de las conexiones existentes como de los procesos en ejecución.
Copia de discos duros y sistemas de archivos
Todas las distribuciones de Linux proporcionan un conjunto de herramientas que permiten copiar los sistemas de ficheros de forma que es posible examinarlos en una estación segura cuando no es posible apagar el sistema o quitar el disco para su clonación. Si no se dispone de un dispositivo de almacenamiento de gran capacidad, es posible copiar discos enteros, particiones o sistemas de archivos completos a un sistema remoto utilizando la herramienta netcat (nc). El comando mount muestra los sistemas de archivos que se encuentran montados, el comando fdisk muestra las particiones existentes en cada unidad de disco estén o no montadas en ese momento. # fdisk –l /dev/hd. El comando dd permite crear imágenes (copias bit a bit) de los sistemas de archivos. Para ello se ejecuta por ejemplo el comando: # dd if=/dev/fd0 of=/tmp/disco.img. La ejecución del comando # dd if=/dev/zero of=/dev/fd0 permite inicializar completamente el dispositivo sobre el que se va a almacenar la imagen. La combinación de los comandos dd y netcat permite transferir imágenes completas de sistemas de archivos a través de la red y supone una herramienta vital en la recogida de evidencias que supone la primera fase del análisis forense de un sistema. Una vez generada la copia es de vital importancia garantizar la autenticidad de la misma para ello es necesario realizar la comprobación, para ello se utiliza el comando md5sum.
OBJETIVO PRINCIPAL
El objetivo principal de un investigador forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, los objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido. La información obtenida tiene que ser compartida con el resto de los miembros del equipo forense, a fin de evitar la pérdida de información También el objetivo del investigador es la protección del estado de sitio contra modificaciones para evitar pérdidas de información o pruebas.
Linux es un entorno ideal en el cual realizar tareas de análisis forense pues está dotado de gran variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la realización de un análisis exhaustivo de un sistema comprometido. El sistema Linux presenta algunas características que le dotan de grandes ventajas a la hora de ser utilizado como herramienta de análisis forense de sistemas. Estas características son: · Todo, incluido el hardware se trata y representa como un fichero. · Soporta numerosos tipos de sistemas de archivos, mucho no reconocidos por Windows · Permite montar los sistemas de archivos; analizar un sistema en funcionamiento de forma segura y poco invasiva¸ dirigir la salida de un comando a la entrada de otros (múltiples comandos en una línea); revisar el código fuente de la mayoría de sus utilidades y generar dispositivos de arranque.
Conclusión
La contaminación de la prueba es un punto crítico en cualquier investigación judicial, por lo que deben establecerse los mecanismos necesarios para garantizar la integridad y autenticidad de la evidencia. Es así, como los diferentes países han optado medidas urgentes a las necesidades del caso señalando procedimientos aplicables a los delitos de la tecnología informática; contribuyendo al mantenimiento de la Cadena de Custodia; los formularios para requerimiento de servicios periciales son herramientas valiosas para aumentar la precisión en la comunicación de requerimientos y puntos de pericias desde los organismos jurisdiccionales. Finalmente, un protocolo de actuación permite unificar el ciclo de vida de la evidencia durante todo el proceso judicial y facilita la interacción entre el personal policial, magistrados, funcionarios, y especialistas de informática forense.
Los tópicos abordados permitieron analizar y obtener una mejor comprensión del ámbito de actuación de un perito en materia de informática forense. Es de esperar que con el surgimiento de legislaciones específica en materia de delitos informáticos intensifique el trabajo interdisciplinario entre operadores judiciales y profesionales informáticos. Sin embargo, es importante que institucionalmente se apoye la formalización de un protocolo de actuación en pericias informáticas para un mayor aprovechamiento de las prestaciones forenses y la calidad de los servicios profesionales brindados a los organismos jurisdiccionales.
Bibliografía
CRIMINALISTICAS. Richard Saferstein, PrenticeHall, 1998
COMPUTER FORENSIC. Incident Response Essentials. Warren Kruse. AddisonWesley, 2002
DIGITAL INVESTIGATION: THE INTERNATIONAL JOURNAL OF DIGITAL FORENSICS & INCIDENT RESPONSE. Elsevier. Febrero 2004.
FERNÁNDEZ, C.; "PRUEBA PERICIAL. DELITOS Y TECNOLOGÍA DE LA INFORMACIÓN. CARACTERÍSTICAS Y VALORACIÓN EN EL PROCESO PENAL", en Delitos Informáticos.com, 2002.
GÓMEZ, L., "GUÍA OPERATIVA PARA PROCEDIMIENTOS JUDICIALES CON SECUESTRO DE TECNOLOGÍA INFORMÁTICA", Alfa-Redi – Revista de Derecho Informático, ISSN 1681-5726, 2006.
JUAN MANUEL CANELADA OSET ANÁLISIS FORENSE DE SISTEMAS LINUX Página 3/7 UNIVERSIDAD AUTÓNOMA DE MADRID Curso de Verano 2004: Linux un Entorno Abierto
REYES, A., BRITTSON, R., O"SHEA, K., STEEL, J., "CYBER CRIME INVESTIGATIONS", ISBN: 1597491330, Syngress Publishing, 2007.
ÓSCAR DELGADO MOHATAR Y GONZALO ÁLVAREZ MARAÑÓN, Grupo de Investigación en Criptología y Seguridad de la Información del CSIC." le en: http://www.alfa-redi.org/rdi-articulo.shtml.
Autor:
Franklin Contreras
Edixón Gilberto Durán Sánchez
2do. Año Sección "D"
San Cristóbal, abril 2009
UNIVERSIDAD CATÓLICA DEL TÁCHIRA
FACULTAD DE CIENCIAS PENALES Y CRIMINALÍSTICAS
ESCUELA DE DERECHO
SAN CRISTÓBAL – ESTADO TÁCHIRA
Página anterior | Volver al principio del trabajo | Página siguiente |