Blog Informática Forense

Este es mi blog personal relacionado con Informática Forense, encuentran mis apreciaciones y temas principales teniendo como base la Especialización en Seguridad Informática de la UNAD.

Qué es la Informática Forense?

forense

Es una nueva disciplina ligada a la tecnología e informática y dedicada a la recolección de pruebas digitales par afines judiciales, cumpliendo algunos pasos y procedimientos.

El FBI la define como una ciencia para adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en medio computacional.

Fases de la Informática Forense.

Existen las siguientes fases catalogadas para emprender un caso de informática forense, es conveniente seguir estos pasos que mostramos de manera simplificada, pues no cumplir con uno de ellos, implica el riesgo de no llegar a los objetivos del caso real, se deben seguir en forma ordenada.

1. Identificación

Se trata de ubicarse en el lugar de la escena de los hechos, previa autorización del propietario o de un organismo legal, debemos rotular o marcar los elementos que se van a analizar, estos pueden ser memorias USB o pendrive, discos rígidos, Cds, Dvds, etc. Aquí surgen algunas etapas:

1.1 Levantamiento de información inicial: Comprende obtener información sobre el o los equipos informáticos afectados como sistema operativo, datos técnicos, fecha, tipo de incidente, características de configuración como dirección IP, etc.

1.2 Asegurar la escena: No dejar que ninguna persona ajena al personal experto manipule los equipos o la escena.

1.3 Identificar la evidencia: Se trata de resaltar a qué dispositivos le vamos a extraer la información y cuáles sirven para resolver el caso, tratar de minimizar la información cuando es posible para disminuir el tiempo de análisis, como tipo de dispositivos, marcas, ubicación, etc.

1.4 Identificar información volátil: Como información de la Ram que se puede llegar a perder en cualquier momento, es importante trabajar sobre ella antes de que se pierda.

2. Validación y preservación.

Se hace una copia o réplica exacta bit a bit del contenido de la evidencia seleccionada, aplicando técnicas de validación para mantener la originalidad de la misma, es necesario documentar este proceso para cualquier caso legal.

2.1 Copia de la evidencia: Se utiliza software especializado y reconocido para este proceso, que permita hacer una suma de comprobación mediante MD5 o SHA1, incluyendo esta firma en cada etiqueta.

2.2 Cadena de custodia: Hace referencia a la identificación y control por escrito de las personas que manipulan la evidencia, documentando quién la hizo, cuándo y dónde.

3. Análisis.

Se trata de buscar dentro de las imágenes obtenidas en el paso anterior, toda la evidencia probatoria del caso, con el fin de reconstruir el ataque, revisando los últimos archivos utilizados, navegación, archivos sospechosos de contener información relevante, entre otros, esto se efectúa según el caso, es recomendable los siguientes pasos:

3.1 Preparación para el análisis: Se debe adecuar un lugar propicio para analizar el caso, montar las imágenes y trabajar con copias de éstas, contar con un computador con las herramientas necesarias para trabajar en Forense, si es el caso es posible trabajar en máquina virtual con Kali Linux o Caine.

3.2 Reconstrucción del ataque: Obtener información para crear una línea de tiempo sobre el ataque o sobre el objetivo que se persigue con el análisis forense.

3.3 Determinación del ataque: Con los archivos obtenidos y línea de tiempo se debe trabajar en buscar la manera cómo ingresó el ataque o qué vulnerabilidad atacó, o en otros casos encontrar la información relevante que se necesite.

3.4 Identificación del atacante: Cuando las pruebas lo ameriten, s posible encontrar esta información para sustentarla.

3.5 Perfil del atacante: Igualmente se busca la manera cómo pudo atacar para poder conocer si es un Hacker, Cracker, profesional, entre otros.

4. Documentación y presentación de pruebas.

Se considera una fase importante cuando se trata de comprobar un delito o ataque, sin esta fase queda imposible colaborar con la justicia, por ello es conveniente documentar todo y realizar dos informes al final.

4.1 Utilización de formularios de registro: Son formatos que nos ayudan a evidenciar y comprobar todo el proceso, estos pueden ser: documento de custodia de la evidencia, formularios de identificación de equipos y componentes, incidencias tipificadas, publicación del incidente, recogida de evidencias, discos duros.

4.2 Informe técnico: Información detallada del análisis efectuado en el paso anterior, describiendo técnicamente la metodología y técnicas para los hallazgos encontrados, este debe contener de forma general lo siguiente: Introducción, Antecedentes del incidente,
Recolección de los datos, Descripción de la evidencia, Entorno del análisis, Descripción de las herramientas, Análisis de la evidencia, Información del sistema analizado,  Características del SO, Aplicaciones,  Servicios, Vulnerabilidades, Metodología, Descripción de hallazgos, Huellas de intrusión, Herramientas usadas por el atacante, Alcance de la intrusión, Conclusiones, Recomendaciones, Referencias y Anexos.

Estos puntos pueden variar según el caso, pero recordemos que forma parte del informe técnico.

4.3 Informe Ejecutivo: Contiene un resumen del análisis que realizamos pero en un lenguaje claro y sencillo, para que cualquier persona del común lo pueda leer y entender, es corto y claro, orientado especialmente a oficinas de la entidad que no conozcan de sistemas. Este documento puede contener: Introducción, análisis, resumen del incidente, principales conclusiones del análisis, solución al incidente, recomendaciones finales.

Software Utilizado

El uso de software en informática forense es indispensable, si trabajamos con imágenes de discos y evidencia digital.

Existen muchas herramientas para  utilizar en esta disciplina, encontramos programas independientes para tareas comunes y suites completas como Caine, Kali Linux, ForensicToolkit, OsForensics, Encase, entre otros. con la diferencia que algunos son con licencia de pago y otros son libres. Según la experiencia que he obtenido en el manejo de linux y en la Especialización en Seguridad Informática de la Unad, me permito escribir este análisis de cada uno de ellos:

Caine: http://www.caine-live.net. Es de Licencia Libre, un software completo con sistema operativo bajo Linux y muy potente por tener varios programas que permiten hacer y cumplir con todas las fases de la Informática Forense, corre en Live Cd, instalándolo en el computador, en una USB o en máquina virtual.

Kali Linux: www.kali.org. Software libre muy completo, trae su propio sistema operativo bajo Linux, tiene un grupo de herramientas para seguridad en distintos campos como redes, sistemas operativos, bases de datos, forense entre otros, permite también cumplir con todas las fases forenses e instalarlo en el computador, Live Cd y en máquina virtual, es necesario instalar el programa completo para acceder a cualquiera de sus herramientas.

OSForensics: http://www.osforensics.com. Se lo puede utilizar de forma gratuita o adquirir la licencia de pago, tiene varias herramientas incorporadas que permiten trabajar bajo Windows de forma muy simple, es muy liviana para descargar de internet e instalar, cumple con todos los requerimientos de las fases Forenses, se instala en máquina virtual en Windows o en el computador directamente.

Forensic Toolkit (FTK): http://www.accessdata.com. También es una herramienta muy poderosa y reconocida mundialmente por la corte internacional, se utiliza para el análisis de información digital, trae también otra herramienta adicional llamada FTK imager que permite crear imágenes tanto de discos almacenamiento como imágenes de la memoria Ram del computador investigado, el cual recomiendo porque es información volátil que puede servir para resolver un caso.

OTRAS HERRAMIENTAS DE UTILIDADES ESPECÍFICAS

Como se mencionó anteriormente, existen programas útiles y efectivos pero que tienen una utilidad, bien sea para crear imágenes, extraer cierta información específica, o cualquier otra función para la informática forense, algunos de ellos son:

Clonezilla: http://clonezilla.org. Software que se puede instalar en una USB o utilizar como live-cd, permite hacer copias bit a bit de cualquier disco duro u otro medio de almacenamiento, está bajo linux, dejo este link que me ha parecido excelente tutorial para instalar y sacar imágenes con este programa:  http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=524

UsbDeview: http://www.nirsoft.net/utils/usb_devices_view.html, Es libre, una herramienta sencilla y liviana, corre sin instalación ya que es portable, permite revisar dentro de un computador qué dispositivos USB con su número de serial ha sido conectado en los últimos meses, esta información puede resultar trascendente en algún momento del análisis forense y además las suites generalmente no la traen.

Snort: www.snort.org. Es un IDS (Sistema de Detección de Intrusos), pero tiene utilidades internas que sirven para un análisis forense, permite hacer sniffing y escaneo de equipos, es capaz de realizar análisis en tiempo real del tráfico y paquetes en las redes IP, también puede ser utilizado como un analizador de paquetes, funciona bajo Windows y Linux, debe ser instalado en el computador.

Recomiendo especializarse en algunos programas como estos y tener a la mano un computador ya configurado para proceder, esto ahorrará tiempo y posibilidades de obtener información clave.

CONCLUSIONES DEL CURSO INFORMÁTICA FORENSE

1. Generalmente no existe un método lineal que permite realizar un proceso completo de informática forense, ya que las condiciones pueden cambiar bien sea por el sistema operativo de la máquina afectada, sistema de ataque, tipo de información encontrada como evidencia, etc., por eso siempre manejamos los pasos descritos anteriormente para llevar un orden que nos lleva a feliz término, pero también es necesario tener conocimientos avanzados para poder efectuar un completo análisis cuando el caso lo amerita, en otros casos es posible que no se requieran conocimientos muy avanzados.

2. Es conveniente contar con una máquina ya lista para efectuar los análisis, sobre todo con el software necesario.

3. Recomiendo por experiencia, primero aprender hackeo ético, pentesting y conocer herramientas software de búsqueda de vulnerabilidades, con estos conocimientos podemos analizar más fácilmente lo que un atacante posiblemente haya efectuado y se hará más fácil conseguir los resultados, para ello la suite Kali Linux es muy completa y actualizada, también en internet podemos conseguir mucha información.

4. Algo que no debemos olvidar de analizar en servidores son los logs, estos contienen mucha información útil a la hora de analizar un caso forense.

5. Agradecimientos a la Unad y al tutor Ing. Harold Cabrera por sus orientaciones en esta materia, logré aprender mucho y afianzar mis conocimientos.

 

Acerca de JAIRO QUINTERO

Docente de Informática a nivel de educación Media, Docente de Telemática y otras materias en educación Superior, Ingeniero de Sistemas con Maestría en Software Libre y Redes bajo sistemas libres, Especialista en Administración de la Informática Educativa, Especialista en Seguridad Informática, con conocimientos avanzados en Linux y Servidores. Coinvestigador del grupo VirtuaLab del ITP - Putumayo. Soy seguidor de software educativo, especialmente libre. Actualmente trabajo en mi proyecto de investigación para mi tesis doctoral en ingeniería con la UPB - Medellin - Colombia.
Esta entrada fue publicada en TECNOLOGIA. Guarda el enlace permanente.

Deja un comentario