Este post es la continuación de analisis forense, asi que la metodologia y fases del análisis forense no cambia en nada.
Solo lo que se modificaria según en la parte del planeta en donde te encontras, e el apartado legal. Yo tomé en cueta las de mi pais (Argentina).
En el análisis forense nos vamos a encontrar con 3 fases bien diferenciadas a pesar de que, dependiendo del enfoque y del tipo que sea, dicho análisis se podrá dividir en más fases.
Adquisición de datos
La adquisición de datos es una de las actividades más críticas en el análisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación posterior no sería válido debido a que la información saldría con impurezas, es decir, la información que creemos que es del origen no lo es realmente.
Una vez que se ha detectado un incidente de seguridad, uno de los primeros problemas del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o no.
¿Apagar o no el equipo?
Esta decisión, aunque pueda parecer trivial, no lo es tanto, porque las consecuencias pueden ser varias: perder evidencias que estén en la memoria volátil, ver los usuarios conectados, ver los procesos en ejecución, conocer las conexiones existentes, etc.
Otro de los problemas que nos encontraremos a veces y dependiendo del tipo de organización es la obtención de los siguientes datos: nombre y apellidos del responsable del equipo y usuario del sistema. Otros datos que se deben obtener como mínimo serían: modelo y descripción del sistema, número de serie, sistema operativo que está corriendo, así como el coste económico aproximado que tiene dicho incidente (por ejemplo, si ha sido atacado el sistemade gestión de un láser y para su equilibrado se precisa de técnicos que tienen que desplazarse, sería un coste axial como el tiempo de estar parado).
A continuación se deben localizar los dispositivos de almacenamiento que están siendo utilizados por el sistema: discos duros, memorias (USB, RAM, etc.).
Una vez que se han localizado, se debe recabar la siguiente información: marca, modelo, número de serie, tipo de conexión (IDE, SCSI, USB, etc.), conexión en el sistema (si está conectado en la IDE1 y si es el primario o el secundario, etc.).
Una vez localizadas todas las partes del sistema, es recomendable hacer fotografías de todo el sistema así como de su ubicación además de fotografiar los dispositivos de almacenamiento.
Cuando se hayan hecho las fotos se continúa con la clonación bit a bit de los dispositivos de almacenamiento del sistema. Dicha clonación tiene que ser realizada en un dispositivo que haya sido previamente formateado a bajo nivel, ya que este proceso garantiza que no queden impurezas de otro análisisanterior.
Por tanto, la realización de dicha clonación deberá hacerse mediante un LIVECD. Por ejemplo, si se realiza con el propio hardware, se introducirá un disco duro con la misma capacidad o mayor que el original y se ejecutará dicho comando (el disco duro original está ubicado en la IDE 1 como máster y el disco duro virgen estará en la IDE 1 como esclavo).
d. if=/dev/hda of=/dev/hdb conv=sync,notrunc,noerror bs=512
También se podría realizar mediante la red arrancando previamente el sistema con un LIVECD y después ejecutando las siguientes instrucciones.
dd if=/dev/hda | nc 192.168.1.10 8888
nc –l –p 8888 > /mnt/clonacion/hda_con_incidencias.dd
Una vez realizada dicha clonación, es recomendable realizar una verificación de que el dispositivo de almacenamiento de origen y destino son idénticos, así comprobamos la integridad de los datos. Para ello se utilizan funciones HASH basadas en SHA1 y/o MD5.
ssh1sum /dev/hda
ssh1sum /dev/hdb ó ssh1sum hda_con_incidencias.dd
Finalmente, se tienen que transportar dichos dispositivos a nuestro centro, donde realizaremos el análisis y la investigación. Dependiendo de si existe información con datos de carácter personal, hay que tener en cuenta la LOPD, así como su RDLOPD. De todas maneras es obvio que las leyes se deben tener en cuenta siempre, ya que su desconocimiento no exime de su cumplimiento.
Datos de carácter personal
Por ejemplo, si somos de una empresa externa y en dicho sistema hay datos de carácter personal, habría que realizar un contrato de encargado de tratamiento, rellenar el registro de dispositivos así como el de E/S y el de incidencias, cumplir con las medidas técnicas que requiere la Ley. Por tanto, siempre se debe tener en cuenta la LOPD, sólo que si no existen datos de carácter personal no nos afecta.
Análisis e investigación
La fase de análisis e investigación de las evidencias digitales es un proceso que requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de información en esta fase son varias:
• registros de los sistemas analizados,
• registro de los detectores de intrusión,
• registro de los cortafuegos,
• ficheros del sistema analizado.
En el caso de los ficheros del sistema analizado, hay que tener cuidado con las carpetas personales de los usuarios. Dichas carpetas están ubicadas en el directorio /home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas Windows con tecnología NT (Windows 2000, XP, etc.).
Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalación del sistema operativo, por ejemplo, las cuentas de administrador. De todas formas, siempre es recomendable asesorarse con un jurista ante la realización de un análisis forense para prevenir posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por incumplir la legislación).
Cuando se accede a la información podemos encontrar dos tipos de análisis:
• Físico: información que no es interpretada por el sistema operativo ni por el de ficheros.
• Lógico: información que sí que es interpretada por el sistema operativo. En este nivel, por tanto, podremos obtener: estructura de directorios, ficheros que se siguen almacenando así como los que han sido eliminados, horas y fechas de creación y modificación de los ficheros, tamaños, utilización de los HASH para reconocer los tipos de archivos, contenido en los sectores libres, etc.
Hash
Una función de hash es una función para resumir o identificar probabilísticamente un gran conjunto de información, dando como resultado un conjunto imagen finito, generalmente menor (un subconjunto de los números naturales por ejemplo). Una propiedad fundamental del hashing es la que dicta que si dos resultados de una misma función son diferentes, entonces las dos entradas que generaron dichos resultados también lo son.
En un dispositivo de almacenamiento nos encontraremos con tres tipos de datos recuperados:
• Allocated: inodo y nombre del fichero intactos, con lo que dispondremos del contenido integro.
• Deleted/Reallocated: inodo y nombre del fichero intactos aunque han sido recuperados porque habían sido borrados, con lo que dispondremos del contenido íntegro.
• Unallocated: inodo y nombre de fichero no disponibles, con lo que no tendremos el contenido integro del archivo aunque sí algunas partes. A veces, realizando una labor muy laboriosa se puede obtener parte de la in- formación e incluso unir las partes y obtener casi toda la información del archivo.
Una de las primeras acciones que vamos a tener que efectuar es determinar la configuración horaria del sistema. Con dicha opción podremos validar las fechas y las horas que podemos identificar para que no sean cuestionadas ante otro peritaje por ejemplo.
Después de identificar la configuración horaria, podremos realizar el estudio de la línea de tiempo también conocida como timeline y conocer cuáles han sido las acciones realizadas desde la instalación hasta el momento que se ha clonado el disco.
Las herramientas por excelencia para esta fase de análisis e investigación son el EnCase y el Sleunth kit & Autopsy. El EnCase es una aplicación propietaria para la realización de análisis forense mientras que Sleunth kit & Autopsy es un conjunto de herramientas de software libre creadas por Dan Farmer y Wietse Venema. Estas aplicaciones funcionan sobre Windows y GNU/Linux respec- tivamente, pero son capaces de analizar sistemas Unix, Linux, Mac OS X y Microsoft.
Redacción del informe
La redacción del informe es una tarea ardua a la par que compleja, porque no sólo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, además, hay que explicarlos de una manera clara y sencilla. Hay que tener en cuenta que muchas veces dichos informes van a ser leídos por personas sin conocimientos técnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habrá que explicar minuciosamente cada punto.
Todo informe deberá tener perfectamente identificada la fecha de finalización de éste, así como a las personas involucradas en su desarrollo.
Aunque a continuación explicaremos los dos tipos de informes que hemos mencionado anteriormente (informe ejecutivo e informe técnico) en ciertas situaciones se pueden unificar en uno dependiendo del caso y de la situación, aunque no es recomendable.
Informe ejecutivo
Los principales lectores de los informes ejecutivos son la alta dirección de las empresas, organismos, etc.; es decir, personas que no tienen un perfil técnico.
Por tanto, el lenguaje del informe no debe ser muy técnico y, si se utiliza alguna jerga técnica, tiene que ser explicada de una manera clara.
Este informe consta de los siguientes puntos:
• Introducción: se describe el objeto del informe así como el coste del incidente acaecido.
• Descripción: se detalla que ha pasado en el sistema de una manera clara y concisa sin entrar en cuestiones muy técnicas. Hay que pensar que dicho informe será leído por personal sin conocimientos técnicos o con muy escasos conocimientos.
• Recomendaciones: se describen las acciones que se deben realizar una vez comprobado que se ha sufrido una incidencia para evitar otra incidencia del mismo tipo, así como si debe ser denunciado.
• Descripción: se detalla que ha pasado en el sistema de una manera clara y concisa sin entrar en cuestiones muy técnicas. Hay que pensar que dicho informe será leído por personal sin conocimientos técnicos o con muy escasos conocimientos.
• Recomendaciones: se describen las acciones que se deben realizar una vez comprobado que se ha sufrido una incidencia para evitar otra incidencia del mismo tipo, así como si debe ser denunciado.
Informe técnico
En este tipo de informe sus principales lectores son personas con un perfil técnico (ingenieros, técnicos superiores, etc.), siendo el objetivo del informe describir qué ha ocurrido en el sistema. El informe debe contener al menos los siguientes puntos:
• Introducción: donde se describe el objeto principal del informe y se detallan los puntos fundamentales en que se disecciona el informe.
• Preparación del entorno y recogida de datos: se describen los pasos a seguir para la preparación del entorno forense, la adquisición y verificación de las imágenes del equipo afectado, etc.
• Estudio forense de las evidencias: en este punto se describe la obtención de las evidencias así como de su significado.
• Conclusiones: donde se describen de una manera detallada las conclusiones a las que se han llegado después de haber realizado el análisis.
Denuncia a la policía judicial
Esta parte es la más importante ya que despues de recoletar la evidencia y armar un informe, debemos realizar la denuncia a las autoridades correspondientes. Ya sea porque quebrantaron la ley de proteccion de datos personales o la norma de delitos informaticos (ambas de Argentina).
No hay comentarios.:
Publicar un comentario