fases y metodología del análisis forense

5/16/2018 Fases y metodología del análisis forense - slidepdf.com

http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 1/38

Metodología y

fases Daniel Cruz Allende XP07/92089/00002



© FUOC • XP07/92089/00002 Metodología y fases

Índice

Introducción ....................................................................................... 5 Objetivos .............................................................................................. 6

1. Identificación y estudio preliminar ........................................ 7

2. Adquisición de datos ................................................................... 9

2.1. Protección del sistema .............................................................. 11

2.2. Búsqueda ................................................................................... 13

2.3. Aseguramiento del sistema ....................................................... 132.4. Recogida de datos ..................................................................... 14

2.5. Transporte .................................................................................. 15

2.6. Almacenamiento ....................................................................... 16

2.7. Caso práctico ............................................................................. 16

2.7.1. Situación ........................................................................ 17

2.7.2. Material necesario: hardware y software utilizado en

el proceso de adquisición .............................................. 17

2.7.3. Preparación: formateo del disco duro USB 2.0 a

sistema de ficheros ext3 ................................................ 18

2.7.4. Creación de imagen del disco duro original al discoduro externo USB 2.0 .................................................... 19

2.7.5. Documentación del proceso de adquisición ................. 20

3. Análisis e investigación .............................................................. 21

3.1. Zona horaria .............................................................................. 24

3.2. Timeline o mac-time ................................................................... 25

3.3. Extracción de cadenas ............................................................... 27

3.4. Análisis de datos ocultos .......................................................... 27

3.5. Análisis de los archivos extraídos ............................................. 283.5.1. Sleunth Kit & Autopsy .................................................. 29

3.6. Cookies y archivos temporales de Internet ................................ 32

3.7. Identificación de registros ......................................................... 33

4. Análisis en vivo ............................................................................. 35

5. Documentación y presentación ................................................ 38



© FUOC • XP07/92089/00002 5 Metodología y fases

Introducción

El análisis forense, como cualquier actividad reactiva provocada por un hechodeterminado, es un proceso difícil de secuenciar en claros subprocesos que

lleven a la consecución final del objetivo buscado. En la mayoría de ocasiones

nos encontraremos con pequeñas incidencias y retos nuevos que deberemos

abordar por primera vez y, por tanto, al no haberlos tenido en cuenta al iniciar

la investigación, tendremos que echar mano de nuevas herramientas o bien

del ingenio para poder resolverlos con éxito.

No obstante, debemos tener en cuenta que los objetivos finales de un análisis

forense serán siempre de una importancia primordial para el cliente (particu-

lar, departamento de auditoría interna, gerencia, etc.), lo que lo convierte en

una actividad crítica que no puede ser abordada, de ningún modo, sin una

previa planificación de los pasos que deben seguirse.

Son varias las metodologías que existen hoy en día para ayudar a emprender

con éxito una investigación de evidencia digital. Destaquemos, como más re-

levante, la metodología CTOSE, que surge como resultado del proyecto homó-

nimo y que ha sido cofinanciado por la Unión Europea, diferentes universida-

des y empresas privadas relacionadas con las buenas prácticas de la seguridad

de la información. Es verdad que ésta es, con otras, una guía importante pa-ra la realización de buenas prácticas relacionadas con la actividad forense de

sistemas de información; no obstante, en el presente módulo, no se pretende

presentar con detalle dichas metodologías, sino más bien identificar las tareas

básicas en las que todas ellas están basadas:

• Identificación y estudio preliminar

• Adquisición de datos

• Análisis de los datos

• Documentación de los resultados

• Presentación y defensa de los resultados




Objetivos

Con los materiales de este módulo didáctico se pretende que alcancéis los ob-jetivos siguientes:

1. Identificar las actuaciones que se deben llevar a cabo tras sufrir un incidente

de seguridad en aras a recuperar la situación anterior al incidente y recoger

evidencias que permitan detectar sus causas.

2. Conocer las fases de que consta la investigación de evidencia digital, que

se pueden agrupar en los subprocesos siguientes: adquisición de datos y

análisis e investigación.




1. Identificación y estudio preliminar

La identificación de una incidencia informática es, evidentemente, el primerproceso que se ha de realizar en un análisis forense. En esta fase se nos hace sa-

ber, ya sea mediante fuentes o mecanismos internos de nuestra organización,

ya sea por mecanismos externos, que un hecho determinado ha sucedido y

que dicho suceso podría estar sujeto a una investigación con el fin de recupe-

rar evidencias digitales que pudieran corroborarlo o bien desestimarlo.

La identificación de una incidencia, a no ser que seamos designados a poste-

riori como peritos en un proceso penal, no debe suponer siempre la realización

de una investigación; debemos tener en cuenta que esta decisión corresponde

a la gerencia de nuestra organización y/o cliente y dependerá, habitualmente,

de los siguientes aspectos:

• Impacto de la incidencia

– Valor económico de los activos dañados

– Pérdida de imagen

– Lucro cesante

• Oportunidad de identificar pruebas electrónicas

Pruebas electrónicas inútilesEn muchas ocasiones se inician procesos de investigación de una manera inadecuada,que comprometen el correcto mantenimiento de la cadena de custodia, de modo que lasevidencias que se llegan a recuperar no llegan a ser consideradas como pruebas electró-nicas en un marco judicial.

• Oportunidad de identificar responsabilidades directas

– Intrusos

– Empleados descontentos

• Oportunidad de identificar terceras responsabilidades

– Proveedor externo responsable de la gestión de los sistemas de infor-

mación– Proveedor externo responsable de la gestión de la seguridad de los sis-

temas de información

• Coste económico de la investigación frente a beneficio reportado

Que el perito no pueda decidir si un suceso determinado deber ser investigado

o no, no comporta que no sea responsabilidad suya realizar una investigación

preliminar de la contingencia para tratar de responder del modo más aproxi-

mado posible a algunas de las cuestiones que sin duda se planteará nuestro

cliente y que hemos citado con anterioridad. Los resultados de dicha investi-

gación podrán ser decisivos para inclinar la balanza hacia uno u otro lado.

Coste económico

Habitualmente el coste econó-mico es la motivación más de-cisiva para iniciar un procesode investigación.




Primeramente, y como si de un caso de investigación policial o detectivesca

se tratara, debe identificarse con el mayor grado de detalle posible el marco de

trabajo en el que se desarrollará la investigación:

• En�cuanto�al�personal . Identificar y entrevistar a personal clave que pueda

disponer de información relevante para la investigación, teniendo siem-pre en cuenta que dicha entrevista no pondrá nunca en peligro la confi-

dencialidad de la pesquisa.

• En�cuanto�a�las�fuentes�de�información. Identificar la información, así

como los sistemas que la contienen, y que son susceptibles de contener

evidencias digitales.

• En�cuanto�a�la�oportunidad�de�evidencias. Reconocer, a partir de los

sistemas de información identificados, la posibilidad de hallar evidencias

digitales que a posteriori pudieran devenir en pruebas electrónicas.

• En�cuanto�a�la�oportunidad�de�responsabilidades. Reconocer, a partir

de los sistemas de monitorización (probables) identificados, la posibilidad

de designar responsabilidades directas o terceras.

• En�cuanto�a�las�acciones�preinvestigación . Identificar todas y cada una

de las acciones realizadas sobre la información, así como sobre los sistemas

que la contienen, y que son susceptibles de contener evidencias digitales.




2. Adquisición de datos

El proceso de adquisición de datos es una de las actividades más críticas encuanto a la futura legalidad de la prueba se refiere. En este sentido, se debe

tener en cuenta que tanto los procedimientos como las herramientas que se

han de utilizar deberían estar certificados por una entidad de confianza o, si

no lo están, se deberían seguir los estándares de facto que se están utilizando

en la actualidad. La presentación de la prueba, ya sea en una disputa o en un

juicio, debe hacer especial hincapié en cómo se ha realizado la adquisición de

los datos analizados y cómo ello ha influido en la veracidad de las conclusiones

extraídas del posterior análisis.

En el siguiente gráfico se presenta una posible metodología que ayudaría en

gran medida a obtener un grado de fiabilidad e integridad de las pruebas más

que suficiente en un eventual proceso judicial:




Adquisición datos: necesidad, legalidad, evidencia, proceso judicial

Técnicamente, aun cuando no hemos presentado ninguna de las herramientas

habitualmente utilizadas en un proceso de investigación de evidencia digital,

un posible proceso a seguir podría ser el que presentamos a continuación a

modo de ejemplo. En él se presenta un marco real, muy habitual en la actua-




lidad, donde se tiene en cuenta tanto la preparación del material necesario,

como los pasos a seguir para conseguir una correcta consecución en la adqui-

sición de los datos.

El proceso de adquisición de datos, a su vez, se puede dividir en múltiples

subfases, como pueden ser:

• Protección�del�sistema , así como del entorno, para evitar posibles modi-

ficaciones sobre la información digital que puedan contener.

• Búsqueda de sistemas y medios de almacenamiento susceptibles de con-

tener evidencias digitales.

• Aseguramiento�del�sistema , de forma que éste y todos los componentes

hardware y software queden perfectamente identificados.

• Recogida�de�datos, es el proceso en el que se obtiene una copia�idéntica

bit�a�bit de las fuentes de información susceptibles de contener evidencias

digitales.

• Transporte de las adquisiciones realizadas hasta las instalaciones donde

se va a llevar a cabo el análisis de los datos.

• Almacenamiento de las adquisiciones realizadas de manera que se evite

cualquier modificación "accidental".

2.1. Protección del sistema

El objetivo de la protecció8n del sistema es preservar la integridad de

los sistemas susceptibles de contener evidencias digitales.

Las tareas que se han de llevar a cabo contemplan:

• Mantener a los sospechosos y a otras personas lejos del sistema bajo inves-

tigación para evitar cualquier manipulación. Se debe tener especial cuida-

do con la tecnología inalámbrica, ya que se podrían lanzar procesos de

forma remota.

• Si un monitor muestra algún tipo de información, se debe registrar, por

ejemplo, tomando una fotografía.

• Si se detecta destrucción de información (por ejemplo, observando la sali-da por pantalla) se debe apagar el equipo; esta acción debe realizarse me-

diante la desconexión�de�la�corriente�eléctrica para evitar que el proceso




de apagado del sistema operativo puede lanzar algún proceso añadido por

el atacante que comprometa la integridad de los datos.

• Si el sistema está encendido, se puede determinar si se está ejecutando

algún proceso (sin interactuar con el sistema) observando si hay módems

encendidos, se está reproduciendo música, etc.

Uno de los primeros problemas del analista durante la recogida de datos con-

siste en decidir si hay que apagar o no el dispositivo, ya que encendido puede

realizarse un análisis en vivo, ver conexiones de red activas, los procesos en

ejecución, los usuarios conectados, etc. No obstante, el sistema puede estar

troyanizado y ocultar o enmascarar la información buscada.

Protección de datos

Para la recogida de informa-ción de carácter personal sedebe tener en consideración laLOPD.

Por otro lado, cada vez que se realiza una inspección sobre un sistema en pro-

ducción pueden sobreescribirse datos, por lo que cabría la posibilidad de per-

der información importante.

Por eso las metodologías o guías actuales contemplan como opción segura

y recomendable apagar el equipo (desconectándolo de la corriente eléctrica),

con el objetivo de evitar que las evidencias digitales que puedan encontrarse

durante un análisis en vivo o a posteriori puedan ser invalidadas en una even-

tual disputa judicial o proceso judicial.

Checklist para la fase de protección

1) Mantener a cualquier persona alejada del sistema bajo investigación2) No permitir el uso de ningún dispositivo con tecnología inalámbrica por ninguna de

las personas presentes.3) Pedir a las personas implicadas la información que permita rellenar el siguiente cues-

tionario sobre el sistema bajo investigación:a) Nombreb) DNIc) Descripción del sistemad) Modelo del sistemae) Dimensiones del sistemaf) Elementos identificativos del sistemag) Descripción del hardware del sistemah) Sistema operativo del sistemai) Software relevante que ejecutaba el sistemaj) Uso (proceso) del sistemak) Nombre y DNI del usuario del sistemal) Contraseñas del sistema tanto de usuarios de aplicacionesm) Acciones que se han llevado a cabo en el sistema desde el conocimiento del in-

cidente

4) Apagar el sistema encendido mediante la desconexión directa del cable de alimen-tación. Si el sistema se encuentra encendido y es visible que está ejecutando algúnproceso que pueda destruir la información que almacena se debe desconectar inme-diatamente de la corriente el dispositivo.

5) Descripción del sistema que ha llevado a la desconexión de éste.6) Si el sistema se encuentra encendido, identificar, documentar y fotografiar la salida

que esté generando (por ejemplo, mediante el monitor, impresiones, etc.).

Ejemplo

Se pueden eliminar archivosborrados y situados en el es-pacio vacío de un dispositivo,contaminando la "escena delcrimen".




2.2. Búsqueda

La búsqueda es el proceso durante el cual se localiza cualquier medio de

almacenamiento que pueda contener información susceptible de con-

tener evidencias digitales.

Por lo general los dispositivos que hay que buscar y localizar primeramente

son el disco o los discos duros del sistema objeto de estudio. Sin embargo,

para saber qué hay que buscar se debe tener en cuenta que la información

se almacena en memoria y, por lo tanto, cualquier memoria es susceptible

de contener evidencias digitales. Básicamente, hay dos tipos de soportes de

memoria:

• Soportes no volátiles: disco duro, DVD, memoria ROM.• Soportes volátiles: memoria RAM. En este caso la adquisición no siempre

es posible, precisamente por la naturaleza volátil de esta memoria.

Esto quiere decir que se pueden encontrar evidencias digitales en PDA, impre-

soras, escáneres, tarjetas magnéticas, etc.; no sólo en discos duros.

Checklist para la fase de búsqueda

• Descripción del sistema• Modelo del sistema

• Dimensiones del sistema• Identificador para el sistema• Conexiones del sistema para identificar cualquier medio de almacenamiento (disco

duro) que pueda contener evidencias• Descripción del disco duro• Modelo y dimensiones del disco duro• Elementos identificativos del disco duro• Elementos identificativos del disco duro

2.3. Aseguramiento del sistema

El aseguramiento del sistema es la fase durante la cual se registra (me-

diante fotografías, por ejemplo) cualquier sistema o dispositivo sospe-choso de contener evidencias digitales; se identifican y documentan, y,

en caso necesario, se preparan para su transporte.

Checklist para la fase de aseguramiento

• Retirar cualquier medio de almacenamiento como disquetes, CD, DVD, etc., que sepueda encontrar en las bahías del sistema.

• Desconectar cualquier cable telefónico o de red del sistema, así como cualquier dis-positivo inalámbrico.

• Tomar fotografías del lugar (habitación) donde se encuentra el sistema.• Tomar fotografías de los alrededores (mesa de trabajo, etc.) donde se encuentra el

sistema.• Descripción de los alrededores.• Tomar fotografías del sistema (por los cuatro costados). Asegurarse de que se vean

todos sus conectores y conexiones.




• Tomar fotografías del disco duro. Por lo menos por las dos caras y por el lateral de losconectores, de modo que se muestre la configuración de los puentes ( jumpers).

2.4. Recogida de datos

La recogida de datos es la parte del proceso por el cual se obtiene unacopia bit�a�bit de la información susceptible de contener evidencias

digitales. El proceso de adquisición debe preservar la integridad de los

datos, es decir, los originales y la copia deben ser exactamente iguales.

Para llevar a cabo esta fase del proceso existen múltiples herramientas que se

dividen básicamente en dos corrientes:

• Aproximación�minimalista. Se utiliza un Live CD de Linux para arrancar

el sistema del que se quiere realizar la adquisición, se utiliza la herramientadd para obtener una copia bit a bit de los datos almacenados en el disco

duro (u otros dispositivos de almacenamiento) y la herramienta Netcat

para enviar los datos por red, si es necesario (siempre con un cable cruzado

y sin utilizar ningún medio compartido).

• Aproximación�moderna. Se utiliza una suite de herramienta para el aná-

lisis forense como Encase.

El proceso de recogida de datos precisa de la verificación de la información

adquirida, es decir, es necesario comprobar la integridad de la información

recogida. Para ello se utilizan matemáticas "unidireccionales" o funciones�de

dispersión�(de�hash), las cuales, dado un dato concreto, ofrecen siempre una

cadena resultante igual, aunque ésta cambiará cuando el dato se modifique (un

bit modificado es suficiente para que el resultado de la función de dispersión

sea distinto).

De este modo, si se le aplica una función de dispersión a un dato y a una copia

idéntica, el resultado será el mismo. Igualmente, si se aplica una función de

dispersión sobre un disco y su imagen, el resultado debe ser la misma cadenasi la copia se ha realizado correctamente.

SHA1

Actualmente se utiliza mayoritariamente SHA1 como función de dispersión debido a lasdebilidades encontradas en MD5. No obstante, en el año 2005 también se han descubier-to vulnerabilidades en SHA1, por lo que para aumentar la dificultad de un posible ataquees recomendable, en la medida de lo posible, usar las versiones de 256, 384 y 512 bits.

Ejemplo de proceso de verificación de integridad

Live CD de Linux

Una Live CD de Linux es unadistribución de Linux prepara-da para ser arrancada desde elCD-ROM sin necesidad de ins-talar el sistema operativo en eldisco duro. El sistema operati-vo se carga en memoria.




Checklist para la fase de recogida

• Utilizar un disco recién formateado que tenga mayor capacidad que el disco del cualse va a hacer la adquisición de datos. Indicar:– Descripción del disco duro– Modelo del disco duro– Dimensiones del disco duro– Elementos identificativos del disco duro– Identificador para el disco duro

• Usar un conector USB para conectar el disco duro del analista al sistema bajo inves-tigación.

• Si el sistema no dispone de conector USB, utilizar un cable de red cruzado para co-nectar directamente el sistema bajo investigación con el sistema del analista. En esteúltimo se conectará el disco en el que se van a almacenar los datos de la adquisición.Indicar:– Descripción del sistema– Modelo del sistema– Dimensiones del sistema– Elementos identificativos del sistema– Identificador para el sistema

• Arrancar el sistema bajo investigación, permitiendo el arranque exclusivamente delLive CD del analista. Indicar:

– CD del analista– Contenido (y versión del Live CD)– Dimensiones del Live CD– Identificador para el Live CD

• Generar un hash SHA1 del disco duro del que se realiza la adquisición. Indicar:– Hash SHA1 del disco duro

• Llevar a cado la adquisición de datos mediante el uso de la herramienta dd. Si los datosse han de transferir mediante un cable de red cruzado hasta el equipo del analista,utilizar la herramienta Netcat. Indicar:– Hash SHA1�de la imagen

2.5. Transporte

El transporte es la fase en la que se van a desplazar, tanto los datos re-

cogidos como los dispositivos que contienen la información original,

hasta las instalaciones donde se va a realizar el análisis de datos.

Durante el transporte hay que evitar cualquier daño a los dispositivos que

almacenan la información. Por ejemplo, hay que evitar transportar los medios

de almacenamiento cerca de fuentes magnéticas.

Checklist para la fase de transporte

• El transporte del disco duro que contiene la adquisición de datos debe realizarse demanera cuidadosa, alejándolo de equipos de radio.

• Se han de indicar las observaciones sobre el proceso de transporte que se considerennecesarias.




2.6. Almacenamiento

Tanto los dispositivos que guardan la adquisición de datos, como aquellos

otros que se hayan podido recoger para su análisis deben almacenarse en un

área de acceso restringido. Además, esta área debe cumplir otras condiciones

para asegurar la integridad de los datos que contiene. Por ejemplo, ha de estarlimpia, con temperatura regulada y aislada de fuentes magnéticas.

Lectura sugerida

En cuanto a la gestión de datos en dispositivos de almacenamiento y su transporte, sepuede tener en consideración algunas de las recomendaciones que se hacen en el apar-tado "10.7. Media Handling" de la ISO/IEC 17799:2005.

Igualmente, puede ser útil seguir las recomendaciones del apartado "9. Physical and en-viromental security" de la misma ISO/IEC 17799:2005 a la hora de adecuar el área que vaa almacenar los dispositivos que contienen los datos recogidos durante una adquisición.

Checklist para la fase de almacenamiento

• Almacenar los dispositivos que contienen la adquisición de datos en un área quecumpla los siguientes requisitos:– Área limpia– Área con temperatura regulada– Área de acceso restringido

• Descripción del lugar de almacenamiento

Ejemplo de adquisición de datos utilizando una aproximaciónminimalista

1) Arrancar el sistema en un entorno controlado, por ejemplo, mediante un Live CDde Linux. Para que el Live CD sea útil en un proceso de adquisición de datos, es ne-cesario que en ningún momento realice ningún acceso a disco (duro) si no es expre-

samente solicitado por el analista. El objetivo es preservar la integridad de los datosalmacenados en el disco duro.

2) Enviar imágenes de cada dispositivo por red. La orden disk dump (dd) permite copiarla información de entrada (if=) a una salida y redirigirla a otro equipo mediante laorden netcat (nc). Es importante que la transmisión por red no se haga punto a puntode las dos máquinas, origen y destino:dd if=/dev/hda | nc 192.168.1.190 12345

3) En el equipo de recogida, se almacena esa información. Para ello el equipo precisaabrir un puerto (por ejemplo, el 12345) y redirigir la información recibida hacia unarchivo:nc –l –p 12345 > /mnt/morgue/hda.dd

4) Por último se comprobará la validez de la prueba mediante verificación (hashes SHA-1

de origen y copia). Se ejecuta sha1sum /dev/hda en el equipo original y despuéssha1sum hda.dd en el equipo de recogida.

2.7. Caso práctico

Hemos escogido el caso de un empleado descontento que utiliza incorrecta-

mente los recursos informáticos de la empresa, ya que en la actualidad se trata

de una de las incidencias más habituales en un entorno de sistemas de infor-

mación; es muy probable que os encontréis con ella.




2.7.1. Situación

Un empleado descontento utiliza los recursos informáticos proporcionados

por la empresa de forma no autorizada, invirtiendo la mayor parte del tiempo

en navegar por Internet sin que esta acción esté relacionada en modo alguno

con la actividad principal de la compañía.

Por eso se decide realizar una investigación que trate de corroborar el problema

presentado por la gerencia de la compañía al equipo de auditoría encargado

de la investigación. Primero, este equipo realiza un estudio generalizado de la

utilización de Internet en la compañía para buscar indicios de uso indebido.

Los resultados del estudio indican una utilización superior a la media por par-

te del empleado. Una vez que el equipo ha recogido indicios suficientes que

permitan acceder al ordenador personal del empleado, se dispone a realizar

una imagen del disco duro correspondiente al ordenador de sobremesa que

utiliza habitualmente.

2.7.2. Material necesario: hardware y software utilizado en el

proceso de adquisición

Resulta fundamental conocer en detalle el entorno de recogida para identifi-

car de antemano todo el software, hardware y cableado necesario para poder

realizar la adquisición de datos. En el caso que analizamos, sabemos que los

sistemas objeto de estudio disponen de CD/DVD-ROM y de puertos USB 2.0.

Las herramientas que utilizaremos serán las siguientes:

• Sistema provisto de las herramientas necesarias para realizar el formateo

de los discos "destino".

• Un disco duro externo USB 2.0 de X GB, con su correspondiente cableado

y fuente de alimentación. En dicho disco se almacenará la información

que se ha de recoger.

• Software Open Source: un Live CD de Ubuntu Hoary que contendrá las

herramientas certificadas necesarias para realizar la recogida de los datos

(dd y sha1sum), así como la comprobación de la integridad de original y

copia.

• Documentación del proceso de recogida que se seguirá y que podrá utili-

zarse como acta de manifestaciones para ser depositada ante notario.




2.7.3. Preparación: formateo del disco duro USB 2.0 a sistema de

ficheros ext3

Esta fase debe ser realizada con anterioridad al proceso de adquisición en sí,

que tendrá lugar en las instalaciones de la compañía.

1) Con la máquina apagada (equipo portátil) conectar el disco duro externo

USB 2.0 al puerto USB 2.0 correspondiente.

2) Comprobar, entrando en la BIOS de la máquina, que el modo de arranque

está configurado para iniciar desde CD. Se ha de configurar de este modo

en caso necesario.

3) Arrancar la máquina desde el Live CD de Ubuntu Hoary.

4) Desde la shell del usuario "ubuntu" entrar en modo "root". Para ello ejecutar

root.

5) Desde la shell de "root" listar dispositivos. Para ello ejecutar fdisk –l.

6) Comprobar visualmente que se puede ver el dispositivo disco duro exter-

no USB 2.0. Se verá, probablemente, y si no se dispone de algún otro dis-

positivo SCSE, una entrada /dev/sda.

7) Listar dispositivo externo USB 2.0. Para ello ejecutar fdisk/dev/sda.

8) Pulsar "p" para ver las actuales características del disco. El resultado os da-

rá por pantalla las particiones actuales del disco y el sistema de ficheros

utilizado.

9) Pulsar "m" para listar las posibilidades provistas.

10) Pulsar "d" para borrar la partición existente (seguramente solo habrá una).

11) Pulsar "n" para crear una partición nueva y escoger los valores por defecto:

partición primaria y tamaño por defecto (sector o cilindro 1 de "inicio") y

el que ofrezca también por defecto para el "fin" de la partición.

12) Pulsar "w" para escribir la tabla en el disco.

13) Salir del menú de fdisk pulsando "q".

14) Listar dispositivo externo USB 2.0. Para ello ejecutar fdisk/dev/sda.

15) Pulsar "p" para ver las actuales características del disco. El resultado ofrecerá

por pantalla las particiones actuales del disco y el sistema de ficheros utili-




zado. Se deberá ver tan sólo una partición (/dev/sda1) que ocupará todo

el disco. El sistema de ficheros utilizado será reconocido como "Linux".

16) Salir del menú de fdisk pulsando "q".

17) Una vez se tiene la partición definida, hay que formatearla ejecutandomkfs.ext3/dev/sda1.

2.7.4. Creación de imagen del disco duro original al disco duro

externo USB 2.0

Esta fase tendrá lugar en las instalaciones de la compañía, a ser posible con

la presencia de un notario, documentando al máximo cada uno de los pasos

realizados. Presentamos a continuación dichos pasos una vez identificados los

equipos fuente y arrancados éstos con el Live CD de Ubuntu Hoary:

• Ejecutar fdisk –l y comprobar visualmente que se pueden ver los dispo-

sitivos hd (discos duros locales) y los discos sd (SCSI o externos USB).

a) Se podrá ver un dispositivo llamado /dev/hda, que es el disco duro de

la máquina. Si hay más de un disco duro también aparecerá /dev/hdb

(en caso de haber dos), /dev/hdc (en caso de haber tres), etc.

b) Se podrá ver también un dispositivo llamado /dev/sda (que es el dis-

co duro externo USB 2.0). Si hay algún disco SCSI o más discos durosexternos, también aparecerá /dev/sdb (en caso de haber dos), /dev/

sdc (en caso de haber, etc.), etc.

• Una vez identificados "origen" (discos duros originales) y "destino" (dis-

cos duros externos), montar "destino" (/dev/sda) ejecutando: mount –t

ext3/dev/sda/mnt. Nunca se debe montar el dispositivo origen. Hacerlo

podría provocar una modificación del disco y no queremos que eso ocurra.

• Acceder al directorio /mnt/: cd /mnt/.

• Crear directorio IMAGEN en /mnt/, esto es, desde el directorio /mnt/ eje-

cutar: mkdir IMAGEN.

• Acceder al directorio /mnt/IMAGEN/, esto es, desde /mnt/: cd/IMAGEN".

En este directorio guardaremos toda la información referente a la imagen

que realicemos, así como a los resúmenes criptográficos (hash SHA-1), que

realizaremos de original y copia para comprobar que son idénticos.

• Calcular el hash del dispositivo origen y guardar el resultado en el dis-

positivo destino: desde /mnt/IMAGEN/ ejecutar sha1sum/dev/hda >

hda.sha1sum.

Directorio "mnt"

mnt es un directorio por de-fecto en cualquier distribuciónLinux, también en UNIX, quese utiliza para montar dispositi-vos, aunque se podría utilizar cualquier otro.




• Cuando acabe el proceso, ver el resultado mediante cat hda.sha1sum.

• Iniciar el proceso de copia ejecutando (desde IMAGEN mismo) dd if=/

dev/hda of=imagen.dd conv=sync,notrunc,noerror bs=512.

• Cuando acabe la copia, calcular, desde /mnt/IMAGEN/, el resumen cripto-gráfico de imagen.dd: sha1sum imagen.dd > sha1sum.imagen.dd.

• Ver y comparar los resúmenes criptográficos de original y copia desde

/mnt/IMAGEN/: cat hda.sha1sum y cat imagen.dd.sha1sum.

• Si el proceso ha ido bien, los hash deben ser iguales. Si es así, se pasará al

punto 12; si no lo son, se debe volver al punto 6 y repetir el proceso. Com-

probaremos que disponemos de tres archivos en el directorio /mnt/IMA-

GEN/: imagen.dd, hda.sha1sum e imagen.dd.sha1sum.

• Saltar al directorio raíz "/" y desde allí desmontar el dispositivo "destino":

umount /mnt/.

• Apagar sistema: halt.

• Desconectar el disco duro externo USB 2.0 y depositarlo ante notario. Para

realizar el estudio, posteriormente se realizará otra imagen desde el dispo-

sitivo original o bien desde el que se deposite en la notaría.

• Abrir la carcasa del PC y desconectar el disco duro "origen". Dicho disco

podrá ser devuelto o no al sistema, siempre en función de la criticidad de

su disponibilidad.

2.7.5. Documentación del proceso de adquisición

El proceso de adquisición de datos debe estar debidamente documentado, de-

tallando al máximo las acciones, actores y material que intervienen. En el si-

guiente archivo pdf tenéis, a modo de ejemplo, la descripción del proceso de

recogida de datos que el equipo de auditoría realiza para identificar indicios

suficientes que le permitan acceder al ordenador personal del empleado de

forma controlada ( Estatuto de los trabajadores).

La acción que se describe no corresponde con el proceso de imagen de un disco

duro; se realiza previamente al proceso de imagen del disco y su resultado

permitirá conocer la utilización indebida o no, por parte del empleado, de los

recursos informáticos provistos por la compañía.




3. Análisis e investigación

La fase de análisis de los datos que se han obtenido durante la fase de adqui-sición es el proceso de intentar encontrar evidencias digitales en ellos. El aná-

lisis puede tener múltiples objetivos dependiendo del caso y las fuentes de in-

formación. A continuación os mostramos algunas finalidades del análisis, sin

olvidar que un análisis puede tener como finalidad varios de estos objetivos:

• Contener un incidente y recuperar el sistema.

• Descubrir la procedencia del atacante.

• Identificar el punto de entrada utilizado.

• Averiguar el móvil del incidente.

• Detallar el alcance del incidente.

• Verificar o descartar la existencia de una evidencia.

• Rastrear la procedencia de una evidencia (por ejemplo, de un correo elec-

trónico).

• Indicar potenciales soluciones para que el incidente investigado no vuelva

a darse.

La fase de análisis en un caso de investigación de evidencia digital o análisis

forense es un proceso que requiere de un alto conocimiento de los sistemas

que van a ser estudiados.

Conocer los principales repositorios de documentación sobre un determinado

sistema operativo o aplicación; o tener acceso a los archivos de sistema, a los

archivos de registro de actividad (logs), o a la estructura de un determinado

sistema de ficheros, puede ayudar notablemente a realizar un análisis de modo

más eficiente.

Las fuentes de información del análisis de datos pueden ser variadas, inclu-

so cuando proceden de un mismo dispositivo. Podemos clasificarlas según su

contenido:

• Registros (del sistema analizado, de otros próximos o en su perímetro, etc.).




• Capturas del tráfico de red (de IDS, completas, etc.). Es muy importante

recoger los registros de dispositivos de red para esclarecer qué flujos de

información desde/hacia el exterior ha habido.

• Ficheros del sistema analizado.

Cuando se realiza el análisis de los datos, hay que tener en cuenta que se

debe trabajar con una copia de los datos recogidos, de modo que si reali-

zamos algún proceso que pueda vulnerar su integridad podamos volver

a obtener una copia de la adquisición original para seguir trabajando.

Igualmente, es importante destacar que si se quieren presentar los resultados

de un análisis en un proceso judicial, los procesos que se lancen sobre la ad-

quisición de datos no deberían modificarla. Ante la duda el analista siempredebe buscar el asesoramiento de un experto en temática legal, preferiblemente

especializado en delitos digitales.

Otro punto muy importante que hay que tener en cuenta es el relativo a toda

aquella información cuyo estudio pueda encontrarse sujeto a fuertes restric-

ciones legales debido al carácter personal de los datos. En el Estado español,

estas restricciones vienen determinadas fundamentalmente por el artículo 18

de la Constitución.

Artículo 18 de la Constitución española

"1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propiaimagen.[...]3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficasy telefónicas, salvo resolución judicial."

En este sentido, para proteger estos derechos, se definió hace unos años la Ley

Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), ley

que debe ser considerada como guía de referencia antes de realizar cualquier

acceso a información que pudiera ser considerada de carácter personal.

Esta información no debiera ser analizada de ningún modo a no ser que se

disponga de una resolución judicial que permita su acceso. La investigación,

por tanto, ha de estar siempre encaminada a encontrar evidencias en toda

aquella información que no contenga datos de carácter personal o que no esté

incluida en carpetas que puedan denotar dicho carácter.

Carpetas personales

Se puede tomar como ejemplo de carpetas que denotan un carácter personal aquellascuyo nombre sea el del propietario del sistema analizado.

No se consideran como personales todas aquellas carpetas que aun connotando un ca-rácter personal son creadas por defecto en la instalación de un sistema operativo o apli-cación, como por ejemplo la carpeta "Mis Documentos" de Windows.




Cabe destacar que esta fase debe realizarse, en su mayor parte, atacando direc-

tamente la imagen del sistema objeto de estudio desde otro sistema o máquina

forense; es decir, en nuestro caso, atacando directamente el fichero .dd y no

mediante la restauración de éste en otro equipo.

El primer paso que ha de realizar un analista en esta fase de análisis forense espreparar y organizar el entorno de trabajo, es decir, poner a punto un entorno

controlado donde se van a copiar los datos que se han de analizar, e instalar y

configurar las herramientas que es posible que se necesiten durante el análisis,

crear un espacio para guardar los datos que se vayan obteniendo, etc.

El siguiente paso es extraer la información de la adquisición de datos que se

ha realizado. Una adquisición de datos es una copia bit a bit de los datos con-

tenidos en un dispositivo de almacenamiento; ahora bien, esos datos pueden

contener información de tipo muy variado, que se debe extraer para el análisis.

A la hora de realizar una extracción de datos de una adquisición, el analista

forense la puede realizar a dos niveles:

• A nivel�físico. Se busca información sin que ésta sea interpretada por el

sistema operativo o por el sistema de ficheros. Si las estructuras lógicas

del disco (básicamente el sistema de ficheros que organiza la información)

están dañadas, ésta puede ser la única forma de extraer la información útil

de la adquisición.

Ejemplos de extracción a nivel físico

Búsqueda de cadenas de texto que puedan indicar que algún tipo de información existeen el disco.

Obtención de la tabla de particiones que pueda tener un dispositivo de almacenamiento,para poder examinar luego este primer nivel de organización e identificar, por ejemplo,el sistema de ficheros utilizado en cada partición.

• A nivel�lógico. En este caso se busca información una vez que se puede

interpretar la organización lógica de la información, cosa que se consigue

gracias al sistema de ficheros. Cuando se trabaja a este nivel, el analista

puede extraer:– La estructura de directorios, ficheros contenidos, localización, atribu-

tos de los ficheros, fechas y horas de modificación de los ficheros, ta-

maño de los ficheros, etc.

– Utilizar hash para reconocer archivos conocidos en el sistema (incluso

archivos maliciosos conocidos como troyanos).

– Contenidos que habrían sido eliminados.

– Contenidos en sectores libres.




Una vez se ha extraído la información, el analista tiene a su disposición un

gran abanico de técnicas según lo que se quiera descubrir o reconstruir. éste es

quizás el punto donde la habilidad y experiencia del analista forense es más

importante.

Por lo general, la metodología que se ha de seguir a partir de este punto delanálisis es la hipótesis y la aceptación o refutación de dichas hipótesis a partir

de las evidencias digitales que se localicen.

A continuación se presentan algunas de las técnicas de las que dispone el ana-

lista forense para llevar a cabo el análisis de la información.

3.1. Zona horaria

Para poder aseverar con total certeza la fecha en que se realizó cualquier acción

que se encuentre durante la investigación y que pueda derivar en prueba elec-

trónica, así como también para poder correlacionar diferentes acciones, una

de las primeras acciones que se debe realizar es establecer la zona horaria en la

que se encontraba configurado el sistema objeto de estudio. Si no se determina

esta información durante las primeras etapas de la investigación, la validez de

las fechas que pudieran ser identificadas podría llegar a ser cuestionada más

adelante.

Hay que resaltar que en algunos sistemas operativos, como por ejemplo Win-

dows, los valores de las fechas pueden encontrarse almacenados en ficherosbinarios, que están expuestos de forma directa a la alteración o modificación

de su valor por la configuración horaria del sistema utilizado para la realiza-

ción del análisis o máquina forense.

Determinación de la configuración horaria en Windows

Veamos las acciones que se han de realizar para determinar la configuración horaria delsistema objeto de análisis.

El valor de la configuración horaria en un sistema Windows XP se encuentra localizadoen la siguiente clave del registro:

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\TimeZoneInformation

Veámosla, ahora, accediendo directamente al registro de Windows:




Teniendo en cuenta que UTC = HORA LOCAL + Bias y que los valores indicados, repre-sentados en código hexadecimal, corresponden a enteros con signo (SIGNED Integer):

Bias

Bias es la diferencia en minutos respecto a UTC.

• Valor bias: 0xffffffc4• Valor bias en binario: 1111 1111 1111 1111 1111 1111 1100 0100

Mediante este valor podemos ver que el bit más significativo, reseñado en negrita, es "1",con lo que sabemos que el valor del número en decimal será negativo y su valor real enbinario se obtendrá aplicando la función complemento a 2, esto es, cambiando todos los"0" por "1" y viceversa. Por tanto, el valor real en binario será:

• Valor bias en binario: 0000 0000 0000 0000 0000 0000 00111011• Valor en decimal: 60, o más bien -60 (recordemos que se trataba de un número ne-

gativo).

Por tanto, la configuración horaria del sistema objeto de estudio es UTC + 60 min o UTC+ 1h.

3.2. Timeline o mac-time

Una de las acciones que nos puede ser de mayor ayuda durante la investiga-

ción de una determinada incidencia en la que hay implicados sistemas de in-

formación será la realización de una lista ordenada cronológicamente de las

fechas de modificación, acceso y cambio de todos y cada uno de los ficheros

contenidos en el dispositivo de almacenamiento objeto de estudio. Tened en

cuenta que dichas fechas son controladas por el sistema de ficheros existenteen el dispositivo de almacenamiento y no por el sistema operativo.

En la actualidad, la mayoría de los sistemas de ficheros guardan los últimos

tiempos de modificación (m) y acceso (a) de archivos y modificación de me-

tadatos (c) de los archivos: �mac-times�. A partir de estos tiempos es posible

reconstruir las últimas acciones que se han llevado a cabo en un sistema. Una

timeline� es una presentación de dichos tiempos ordenados temporalmente.




Ahora bien, ¿cómo se pueden reconstruir las últimas acciones llevadas a cabo

en un sistema a partir de los mac-times? Por lo general una acción o proceso

en el sistema tiene un patrón de comportamiento respecto a los archivos a los

que accede y modifica. Gracias a estos patrones es posible reconstruir algunas

acciones que se han llevado a cabo en el sistema a partir de la timeline.

El estudio exhaustivo de la timeline puede darnos a conocer cuáles han sido

las acciones realizadas desde la instalación del sistema hasta el momento en

que se realizó la imagen de éste.

A continuación vemos un extracto de una timeline, donde se contemplan los

ficheros que se manejan al crear un usuario en un sistema Linux mediante la

orden adduser.

Ejemplo de timeline

En la siguiente imagen podéis ver la forma que tendrá una timeline extraída medianteSleuthkit & Autopsy:

Otro detalle a tener en cuenta dentro de la timeline es la entrada que corresponde alfichero:

D:/Archivos de programa/Archivos comunes/Microsoft Sha-

red/PROOF/MSWDS_EN.LEX (deleted-realloc)

En ella podemos ver que este fichero había sido borrado, pero ha podido ser "reallocated"o reubicado. Esto es porque las herramientas de análisis forense están capacitadas paraoperar a nivel de inodo y de bloque dentro de la estructura del sistema de ficheros. Lamayoría de sistemas operativos, Windows y Linux entre ellos, al borrar un archivo, noeliminan el nombre del fichero y el valor de su inodo asociado, así como tampoco lospunteros a los bloques de información que contienen los inodos.

De este modo, y según lo explicado, en un disco duro, por ejemplo, se podrá

encontrar información del tipo siguiente:




Tipo Descripción Comentario

Allocated Inodo y nombre de fichero intactos Se dispone del contenido íntegro de un archivo determi-nado así como de los datos aportados por la mac-time .

Deleted-Reallocated Inodo y nombre de fichero intactos (recuperados)

Se dispone del contenido íntegro de un archivo determi-nado así como de los datos aportados por la mac-time .

Además se sabe que el fichero fue eliminado.

Unallocated Inodo y nombre de fichero no disponibles No se dispone del contenido íntegro del archivo. Tan sólode bloques que en su día formaron parte de dicho archivo, y con tamaño determinado por el tamaño de bloque delsistema de archivos. No se dispone tampoco de los datoso meta-información aportada por la mac-time .

3.3. Extracción de cadenas

La extracción de cadenas (strings) es otra acción que puede resultar de gran

ayuda durante la fase de investigación de evidencia digital. Con ella podremos

determinar, a partir de un conjunto de palabras clave, todos aquellos ficheros

que, no estando comprimidos en cualquier formato de compresión o cifrado

determinado, contienen dichas cadenas. Esta acción también es de habitual

realización al inicio de una investigación que pueda requerir la búsqueda de

patrones en la ingente cantidad de información que hoy en día puede haber

contenida, por ejemplo, en un disco duro.

Como ya se ha mencionado, la extracción de cadenas no funciona de for-

ma correcta, evidentemente, sobre ficheros comprimidos. Por eso es preciso,

con anterioridad, localizar dichos ficheros mediante búsquedas por extensión(.zip, .tar, .rar, .gzip, .bzip, etc.) o bien por metainformación característica de

cada una de las formas de compresión que se intuya que puedan existir en el

sistema que estamos analizando. Una vez identificados, estos archivos debe-

rán ser extraídos del sistema y descomprimidos. A continuación, se les deberá

aplicar la extracción de cadenas para tratar de localizar en ellas la existencia

de las palabras clave identificadas.

3.4. Análisis de datos ocultos

Esta técnica se basa en buscar datos que se hayan podido ocultar en archivos

o en el sistema de ficheros mediante técnicas como las siguientes:

• Estenografía: técnica empleada para ocultar un texto dentro de otra in-

formación, generalmente imágenes o ficheros multimedia.

• Compresión: las técnicas de compresión se utilizan para reducir el tama-

ño de un archivo. Para conseguirlo, cambian la representación de la in-

formación por un conjunto de códigos que ocupa menos espacio, con lo

que se transforma el contenido. Una técnica común es comprimir el archi-vo múltiples veces usando compresores lo más desconocidos posible (ARJ,

Metainformación

La metainformación propia decada fichero puede ser identifi-cada habitualmente en los pri-meros bytes del archivo, por ejemplo, mediante un editor hexadecimal.




ZIP, RAR, LHA, etc.), de forma que sea complicado descomprimir el fichero

y así ocultar la información original.

• Criptografía: conjunto de técnicas para transformar la información de

forma que sólo se pueda obtener el original si se conoce la clave.

• Protección�con�contraseña: existen múltiples programas que permiten

almacenar información dentro de un fichero de datos cifrado o compri-

mido y que para volver al estado original, además de conocer el algoritmo

usado, requiere conocer la contraseña que se utilizó. En estos casos, para

poder acceder a la información protegida es necesario conseguir la contra-

seña utilizada usando ataques de fuerza bruta.

• Aprovechamiento�de�espacio�para�metadatos�libre:en las zonas no ocu-

padas por datos es posible ocultar información, también puede ocultar in-

formación en los flujos de datos alternativos de NTFS. Además, se deberá

buscar en las zonas libres ficheros borrados que pudieran aportar informa-

ción al caso.

3.5. Análisis de los archivos extraídos

Si se ha conseguido acceder a nivel lógico (sistema de ficheros) a los datos al-

macenados en la adquisición, es posible utilizar técnicas como las que a con-

tinuación se describen para el análisis:

• Búsqueda de patrones en los contenidos de los archivos.

• Búsqueda de nombres de archivos por patrones.

• Considerar relaciones entre archivos (por ejemplo, archivos adjuntos a un

correo).

• Identificar los tipos de archivos desconocidos y examinar sus contenidos.

• Examinar las localizaciones de los usuarios (los "homes" de los usuarios en

entornos Linux o "Mis Documentos" en entornos Windows).

• Examinar las configuraciones de usuarios y del sistema.

Ficheros con protección

Algunos ejemplos de fiche-ros que se pueden proteger con contraseña son los docu-mentos de Microsoft Word,los ficheros comprimidos ZIP oRAR, o ficheros generados por programas de gestión de con-traseñas.

Enlace recomendado

Sobre la ocultación de infor-mación en los flujos de datosalternativos de NTFS podéisvisitar la web deWindowSecurity.com

• Examinar los metadatos de los archivos.

• Análisis de registros, para intentar detectar accesos al sistema, peticiones

extrañas a algún servicio (como la web), etc.

Metadatos en Word

En archivos Microsoft Word losmetadatos pueden contener información sobre el autor u

origen de los contenidos.




Las técnicas que se han comentado hasta ahora son técnicas que corresponden

a una metodología más "tradicional" dentro del análisis forense.

Actualmente es posible complementar las técnicas empleadas con ingeniería

de binarios o bien emulación del entorno adquirido mediante máquinas vir-

tuales.

A la hora de llevar a cabo el análisis de la información, el analista tiene a su

disposición un gran abanico de herramientas, algunas más generalistas (suites

de análisis forense) y otras más específicas según tipos de ficheros a examinar

o funcionalidades (máquina virtuales).

El uso de las herramientas adecuadas, por supuesto, puede suponer el éxito de

un análisis forense. Sleunth Kit &Autopsy es un entorno de análisis forense

open source muy utilizado.

3.5.1. Sleunth Kit & Autopsy

Sleunth Kit es un conjunto de herramientas creados por Dan Farmer y Wietse

Venema y derivadas de The Coroner's Toolkit (TCT). La aplicación funciona

sobre Unix y es capaz de analizar sistemas FAT, NTFS o ext2/3.

Autopsy es el fontend gráfico, basado en web, para Sleunth Kit, y permite ges-

tionar vía web la investigación de diversas imágenes. Al tratarse de una apli-cación web, mediante un navegador puede trabajarse de forma remota con

Autopsy.

Los ejemplos que se muestran a continuación se basan en la versión 2.04 de

Autopsy.

Creación de un nuevo caso

Opción "New Case". Primeramente debe describirse el caso. éste puede contener uno ovarios anfitriones (hosts), los cuales se añadirán al mismo caso mediante la opción "Add

Host". Cada nuevo anfitrión debe incluir:• Nombre.

• Texto descriptivo.

• Zona horaria, para poder correlacionar información de máquinas en diferentes zonas.

• Desfase del reloj. La introducción de la zona horaria es importante para correlacionardatos de diferentes dispositivos en un momento dado.

Observación

Es recomendable que insta-léis las herramientas SleunthKit &Autopsy para el correctoentendimiento de este suba-partado. Es posible descargar la aplicación desde su páginaweb .

Pantalla�principal�de�la�herramienta�Autopsy2.04




"New Case": creación de un nuevo caso

"New Host": inclusión de un nuevo anfitrión

Imágenes

Cada anfitrión puede contener varias imágenes fruto de la fase de adquisición de datos,las cuales pueden ser de una partición o un disco entero. Autopsy es capaz de discernirlas particiones en el caso de que se incluya una imagen de disco bit a bit.

Para cada imagen es necesario añadir los siguientes datos:

• Ruta a la imagen que proporciona el analista.

• Modo de importarla: copiar, mover, enlazar. Lo recomendable, si estamos importán-dola desde la adquisición de datos "original", es copiarla para trabajar sobre una copiade la adquisición.

• Sistema de archivos que contiene la/s partición/es.

• Punto de montaje de cada partición en el sistema original. De esta manera se puedenorganizar los datos según la estructura de directorios original.

• Opciones para asegurar la integridad, mediante la realización de un hash.




"Add New Image": adición de una imagen

Detalle de la imagen y del sistema de archivos

Análisis

Una vez hemos introducido las imágenes en el caso, podemos analizar cada una de lasparticiones. Autopsy proporciona diferentes tipos de análisis, a partir de la extracción deinformación a nivel físico y lógico. Es posible realizar las siguientes acciones:

• "File Analysis": examina la estructura de directorios y ficheros. También muestra fi-cheros borrados que Autopsy ha podido recuperar.

• "Keyword Search": busca cadenas en la partición.

• "File Type": analiza los ficheros según su tipo, realizando clasificaciones y ordenacio-nes. Permite previsualizar las imágenes, detectar estenografía débil, etc.

• "Image details": muestra detalles sobre la imagen.

• "Meta Data": explora por metadatos (del sistema de ficheros), por i-nodo, por entradaFAT, por entrada MFT, etc.

• "Data Unit": explora por cluster .




Pantalla de análisis del caso

Los métodos de análisis "File Analysis", "File Type" y "Meta Data" precisan de acceso alsistema de ficheros. Es decir, es necesario realizar una extracción a nivel lógico de loscontenidos de la adquisición de datos.

Timeline (correlación de mac-time )

Aparte de los métodos de análisis comentados, Autopsy también proporciona al analistala posibilidad de crear timelines de forma visual y sencilla para su examen.

Mediante la opción "Create Data-files" y "Create Timeline" (ordenación de los datos),es posible obtener una secuencia de acciones sobre el disco basada en las mac-times, esdecir, según las últimas fechas de acceso, modificación y modificación de metadatos dearchivos, ordenadas por tiempo. Como se ha comentado anteriormente, el análisis de las

timelines puede acercarnos al final de una investigación mediante la reconstrucción deacciones que se han realizado en el sistema.

Para poder generar las timelines, es necesario poder extraer el disco a nivel lógico, esdecir, es necesario poder acceder a nivel de sistema de ficheros. Igualmente, es importanteconocer el sistema de ficheros con el que se está trabajando para interpretar qué significacada uno de los tiempos exactamente.

3.6. Cookies y archivos temporales de Internet

La localización e identificación de cookies y de archivos temporales de Internet,

o bien del histórico registrado por un determinado navegador, puede ayudar-

nos a localizar, por ejemplo, las fuentes de información o sites desde los queun intruso se ha descargado otros programas, mediante un determinado tro-

yano, que ha podido considerar necesarios para completar sus acciones.

Así, también pueden ser de gran ayuda para determinar si desde el sistema

analizado se ha estado utilizando algún servicio de correo web alternativo al

proporcionado, por ejemplo, por la empresa propietaria del sistema. Dicha in-

formación podría ser analizada, recordemos, tras la obtención de una autori-

zación judicial. Antes de dicha autorización, la información encontrada tan

sólo podría ser utilizada como indicio de posible filtrado de datos mediante un

sistema de correo ajeno al proporcionado por la empresa (si éste fuera el caso).

Localización en"index.dat"

Para el caso de análisis de sis-temas Windows, los ficherostemporales de Internet Ex-plorer y su histórico puedenser localizados en archivos"index.dat".




3.7. Identificación de registros

Otra ubicación interesante en la que buscar son los registros propios del siste-

ma operativo y de las aplicaciones que hayan sido identificadas en el conjunto

completo del sistema objeto de estudio. Los registros localizados en el propio

equipo analizado no son los únicos que pueden contener información de va-lor: los registros (logs) que hayan podido ser capturados y almacenados por

otro u otros sistemas que se encuentren en el mismo entorno lógico también

deben ser estudiados. Los siguientes registros pueden ser valiosos:

1) Registros del sistema operativo

a) Para el caso de los más actuales sistemas operativos de Microsoft, en el

trayecto ( path) "\Windows\System32\config".

• registros de seguridad: SecEvent.Evt

• registros de aplicaciones: AppEvent.Evt

• registros de sistema: SysEvent.Evt

b) Para el caso de distribuciones Linux, habitualmente en el trayecto ( path)

"/var/log"

• Archivos con extensión ".log"

2) registros de aplicaciones

a) Sistemas de detección de intrusos (locales) basados en anfitriones

b) Sistemas de detección de intrusos (locales) basados en redc) Firewalls personales

d) Antivirus

3) Registros de impresoras

a) Además de los posibles registros (logs) almacenados en la propia impresora,

debe tenerse en cuenta que algunos modelos imprimen marcas de agua que

pueden ser de gran ayuda para identificar su utilización, así como la fecha

en que fueron utilizadas. En casos, por ejemplo, de fuga de información

es de especial interés tratar de averiguar si las impresoras localizadas en el

entorno lógico del sistema objeto de estudio disponen de las mencionadas

funcionalidades.

4) Registros de firewalls de red

5) Registros de servidores

6) Registros de proxies

7) Registros de sistemas de detección de intrusos (host y net based )




8) Registros de servidores de correo

9) Registros en ISP/ASP

Información disponible por los ISP y ASP

La identificación de posibles registros que pudieran ser recogidos por los proveedores deservicios del entorno en el que se encontraba el sistema objeto de estudio es una tareaque debe realizarse con absoluta diligencia. Los proveedores de servicios, si bien estánobligados por ley a mantener registro de todas las actividades proporcionadas a sus clien-tes y soportadas por sus sistemas, no disponen de políticas comunes sobre el período detiempo durante el cual deben mantenerlos almacenados. Así, mientras algunos provee-dores mantienen registro de la asociación "dirección_IP – cliente"durante meses, otrostan sólo la almacenan durante unos días.




4. Análisis en vivo

Para el caso en que nuestra investigación estuviera orientada a la obtención deevidencias de una posible intrusión, la imagen ".dd" (en nuestro caso) podría

ser restaurada en un ordenador o equipo de análisis de tal modo que pudiése-

mos ver cuál era el comportamiento del sistema objeto de estudio justo antes

de realizar una imagen de él.

Algunas de las pruebas que podemos realizar para tratar de agilizar el estudio

del sistema podrían ser:

Herramientas troyanizadas

Es importante que las pruebas que realicemos se hagan sobre una imagen del sistema parano modificar posibles evidencias y siempre mediante herramientas distintas a las dispo-nibles por defecto. Las herramientas propias del sistema podrían encontrarse troyaniza-das y por tanto no mostrarían un resultado real. Aun así, podríamos encontrarnos conuna posible troyanización a nivel del kernel del sistema operativo (de determinadas lla-madas de sistema) que impediría, también, la obtención de un resultado fiable mediantela utilización de herramientas ajenas al sistema.

• Barrido del sistema mediante un antivirus actualizado con el fin de tratar

de localizar software malicioso (virus, troyanos, keystrokes, rootkits, etc.),

que pudiera haber instalado de forma no autorizada.

• Análisis local del sistema para comprobar el estado de los puertos de red

abiertos tras el arranque del sistema. Se pueden emplear diversas herra-

mientas destinadas a ello (Fport o TCPView).




Fport propociona información sobre el estado de puertos y aplicaciones asociadas a ellos. Fport está disponiblepara Windows.

• Análisis local de toda la actividad del sistema de ficheros para identificar

archivos o librerías utilizadas durante el normal comportamiento del sis-

tema mediante herramientas del estilo lsof o Filemon.

lsof proporciona información sobre procesos en ejecución y ficheros abiertos asociados a ellos. lsof está disponiblepara Unix.

• Análisis remoto mediante herramientas de escaneado de puertos, como

nmap o nmapWin, con el fin de comprobar el estado real de los puertos

abiertos en el sistema objeto de estudio.

• Análisis remoto mediante herramientas de escaneado de vulnerabilidades,

como por ejemplo Nessus, para tratar de comprobar si los servicios abiertos

han podido ser comprometidos debido a alguna vulnerabilidad existente.




• Captura de tráfico de red mediante herramientas de sniffing , como por

ejemplo Windump, tcpdump o Ethereal, para tratar de localizar, de modo

fiable, el destino de la información enviada desde el sistema objeto de

estudio.




5. Documentación y presentación

Tan importante como realizar un buen trabajo técnico es poder redactar susconclusiones de manera que no se omita ningún detalle ni ningún punto im-

portante que tenga que ver con la investigación (estudio preliminar, adquisi-

ción de datos y análisis, si cabe). No obstante, se ha de tener en cuenta que

muy probablemente el resultado de la investigación podrá servir como prueba

pericial en un eventual juicio; allí, aparte del perito de la otra parte, segura-

mente nadie comprenderá los resultados técnicos que puedan identificarse en

la peritación. Cabe decir que, afortunadamente, son ya bastantes los miembros

de las distintas fuerzas de seguridad, así como abogados, que se encuentran

ampliamente versados en las nuevas tecnologías y en la identificación y ob-

tención de evidencias digitales, que en un futuro substituirán a la tradicional

prueba documental.

Ejemplo

Veamos, mediante un ejemploreal, un posible formato a se-guir al documentar una inves-tigación de evidencia digital.

fases y metodología del análisis forense

Documents