Licenciado en Informática por la Universidad Autónoma de Barcelona en 1991. Ha hecho
el trabajo de investigación en el Departamento de Ingeniería de la Información y de
las Comunicaciones (DEIC) de esta Universidad. Consultor en la UOC durante varios
años de asignaturas comoFundamentos de computadores I y II, ySistemas operativos I en informática.
Autor de diferentes cursos de administración de sistemas operativos (Solaris, Windows
NT, etc.), ha dirigido el departamento de informática de una empresa durante tres
años. Actualmente, forma parte de diferentes departamentos de la Universidad Autónoma,
donde trabaja en la gestión informática y la administración de los sistemas, siempre
con un trato directo y atención final a los usuarios.
PID_00146615
Ninguna parte de esta publicación, incluido el diseño general y la cubierta,
puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio,
sea éste eléctrico,
químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la
previa autorización escrita
de los titulares del copyright.
La generalización del uso de las tecnologías de la información en la sociedad ha incrementado
el valor de la información digital, creando a su vez la necesidad de protegerla ante
los ataques malintencionados o atribuibles al desconocimiento de estas nuevas tecnologías.
En ambos casos, los rastros o huellas que podrían revelar la ejecución de un hecho
(ya sea o no constitutivo de delito) se encuentran almacenados en soportes digitales
y se denominan genéricamente evidencias digitales.
La evidencia digital presenta, a grandes rasgos, las propiedades siguientes:
Se puede modificar o eliminar fácilmente.
Es posible obtener una copia exacta de un fichero sin dejar huella alguna.
La adquisición de la evidencia puede suponer la alteración de los soportes digitales
originales.
El análisis forense surgió a causa de la necesidad de poder aportar elementos relevantes en los procesos
judiciales en los que las nuevas tecnologías se hallaban presentes, ya sea como objetivo (por ejemplo, una intrusión que conlleve daños en un sistema informático), o bien
como medio (por ejemplo, el envío de correos electrónicos amenazadores a un personaje público).
En cualquier caso, la evidencia digital será esencial para hallar las respuestas a
las preguntas habituales que se plantean en cualquier investigación:
Preguntas claves
¿QUÉ se ha cometido?
¿CUÁNDO se ha realizado?
¿DÓNDE se ha cometido?
¿QUIÉN lo ha realizado?
¿CÓMO se ha llevado a cabo?
¿POR QUÉ se ha cometido?
Objetivos
Competencias
En este módulo, se trabajarán los siguientes aspectos:
Conocer el protocolo de metodología forense.
Saber aplicar dicha metodología.
Conocer la definición de terminología forense básica.
Saber el planteamiento y resolución de cuestiones forenses básicas (bajo entornos
Windows y Linux) y su secuenciación en el contexto de un análisis forense completo.
Conocer el uso de software diverso para responder los problemas planteados.
1.Informática forense y evidencia digital
De una manera más precisa que el concepto intuido en la introducción, el análisis
forense puede definirse de la forma siguiente:
Definición de análisis forense informático
Se denomina análisis forense informático al proceso resultante de aplicar métodos científicos a los sistemas informáticos con
la finalidad de asegurar, identificar, preservar, analizar y presentar la evidencia digital, de manera que ésta sea aceptada en un proceso judicial.
Existen otras muchas formas de describir las distintas subfases en las que se divide
el análisis forense. Todas ellas aluden al mismo procedimiento, aunque utilizando
distintos nombres (lo cual puede llegar a ser bastante confuso), o bien enfatizando
alguna subfase en función del tipo de análisis que se deba llevar a cabo.
Sin embargo, los analistas no siempre aportan evidencias en procesos judiciales. A
menudo, sus informes se elaboran con fines privados o empresariales. En este sentido,
la definición de análisis forense que hemos proporcionado posee un cierto tinte criminalístico,
lo cual no se ajusta afortunadamente, en la mayoría de las ocasiones, a la realidad
que debemos estudiar. El análisis, de una forma más genérica, simplemente nos permite
reconstruir lo que ha sucedido en un sistema informático tras un incidente de seguridad.
Por lo tanto, la finalidad del análisis puede ser, simplemente de aprendizaje, una
auditoria, la reconstrucción de un sistema dañado, o la adopción de medidas post-incidente
que minimicen la probabilidad de que el incidente vuelva a ocurrir. Sin embargo, consideramos
que el caso judicial es el más restrictivo y el que más medidas de preservación exige,
lo cual puede ser muy didáctico y fácilmente extensible a todo tipo de análisis forense
informático.
Siguiendo con el enfoque criminalístico, el informe del análisis forense, elaborado
por un perito, podrá responder en algunos casos a las preguntas más directamente relacionadas
con el ámbito técnico, como por ejemplo: qué se ha cometido, en qué fechas y horas (cuándo), y cómo se ha llevado a cabo. Sin embargo, especialmente en las investigaciones de actividades
delictivas, hallar el resto de respuestas requerirá de una investigación policial
y de los métodos que en ella se aplican. No obstante, como ya se ha advertido, no
todos los análisis tienen como destino la sede judicial. En muchas ocasiones, el receptor
será un cliente, normalmente una empresa. Sin embargo, en ambos casos el analista
debe ser consciente de que el receptor del informe quizás no disponga de formación
técnica suficiente, y que por lo tanto conviene no abusar de los tecnicismos en la
elaboración del informe a presentar.
A continuación, se detallan en la siguiente figura las etapas que conforman el análisis
forense (normalmente, se desarrollarán en orden secuencial):
Etapas del análisis forense
Existen multiplicidad de instituciones y manuales de buenas prácticas dedicados a
la práctica forense en el ámbito digital. Nosotros destacamos el manual de buenas
prácticas realizado por ENFSI (1) (European Network of Forensic Science Institute). Esta institución nació oficialmente
en 1995 (aunque su primer congreso se remonta a 1993) y, entre otros objetivos, procura
que todos los países miembros cumplan los estándares de calidad y sigan las recomendaciones
proporcionadas por los manuales de buenas prácticas. ENFSI dispone de muchos grupos
de trabajo, según el ámbito forense (ADN, explosivos, drogas, imagen digital, tecnología
digital, huellas, etc.). Además de promover el intercambio de información entre los
miembros, ENFSI realiza congresos, muchos de ellos de carácter anual (ordinarios y
según especialidad), en los que asiste el personal de los laboratorios de los países
miembros. España dispone de representantes en ENFSI de varios cuerpos policiales (Policía
Nacional, Guardia Civil, Mossos d'Esquadra y Ertzaintza), así como del Instituto Nacional
de Toxicología y Ciencias Forenses (órgano adscrito al Ministerio de Justicia).
2.Aseguramiento de la escena del suceso
Esta fase siempre es preceptiva en el curso de una actuación policial, aunque no siempre
aparecerá en los casos reales de análisis. Sin embargo, aunque en el ámbito real difícilmente
se tratarán cuestiones delictivas, las recomendaciones sobre medidas de protección
del sistema y definición del marco de trabajo pueden ser de vital importancia para
el correcto desarrollo del análisis. Con demasiada frecuencia, los analistas se circunscriben
a los detalles técnicos del caso, eludiendo otras cuestiones, como la protección del
sistema una vez acontecido el suceso, lo cual podría llegar a invalidar la prueba
digital ante un tribunal.
La finalidad de esta etapa consiste, básicamente, en asegurar la escena del suceso,
restringiendo su acceso para que nadie pueda alterarla. Además, en esta fase, los
actuantes también deberán garantizar que nadie haga nada de cuyas consecuencias no
esté seguro. El protocolo propuesto consta de los siguientes apartados:
Identificar la escena donde se ha producido el hecho a investigar y establecer un
perímetro de seguridad.
Restringir el acceso de personas y equipos informáticos al interior del perímetro
trazado.
No permitir el uso de ningún dispositivo con tecnología inalámbrica por ninguna de
las personas presentes.
Preservar las huellas digitales mediante el uso de guantes de látex.
Debe valorarse, en este momento, la posibilidad de desconectar las conexiones de red
del sistema (dispositivos inalámbricos, cables telefónicos, etc.). La desconexión
podría evitar que un determinado delito o suceso pueda seguir produciéndose (por ejemplo,
podría evitar la eliminación remota de las pruebas digitales), pero también cabe valorar
la utilización de la red para monitorizar las conexiones e investigar el origen del
suceso (aunque hay que tener en cuenta que la realización de estas operaciones sobre
el equipo a investigar podría implicar la pérdida de la validez de la prueba ante
un juez).
Si se hallan impresoras en funcionamiento, permitir que terminen la impresión.
Anotar hora y fecha del sistema (2) (timestamp) antes de apagarlo (siempre que aparezcan en el monitor, sin tener que manipular
el sistema), documentando estos valores e incluso fotografiándolos o grabándolos en
vídeo.
Igualmente, en caso que en el monitor aparezcan procesos relevantes (por ejemplo,
los archivos que se están compartiendo en una aplicación P2P), es importante fotografiar
o grabar en vídeo esta información. En general, debe documentarse cualquier salida
del sistema que se considere de interés.
Apagar (3) los dispositivos encendidos quitando la alimentación de la parte posterior del equipo (4) (especialmente, en aquellos casos en los que se detecte destrucción de información).
En caso de quitar el cable directamente del enchufe, hay que tener presente que el
sistema podría disponer de algún mecanismo de protección en caso de caída del fluido
eléctrico, y se podrían escribir datos en el disco duro del equipo. Asimismo, el apagado
"normal" del ordenador también podría ocasionar pérdidas graves de información en
caso de que el apagado active algún proceso de eliminación de evidencias (por ejemplo,
un hacker malicioso podría disponer de medidas de protección de este tipo). En general, no
existe un procedimiento ideal para resolver la cuestión del apagado de los dispositivos
y, en cada caso, el experto deberá valorar qué método utilizar en función del resultado
perseguido, el equipo a analizar, y el nivel de conocimientos que se le supone al
usuario del equipo.
En algunas ocasiones, el aseguramiento de la escena se produce durante la entrada
y registro en el lugar del suceso con la ayuda de los miembros de las Fuerzas y Cuerpos
de Seguridad del Estado. En este caso, la entrada contará con la presencia del secretario
judicial, y lo que en ella acontezca quedará registrado en acta. Por lo tanto, las
comprobaciones, como por ejemplo la hora y fecha que pueda aparecer en los monitores
de los ordenadores, quedarán registrados en acta por el secretario judicial, y no
será necesario documentar la comprobación mediante fotografías o grabaciones. Asimismo,
en algunas ocasiones puede ser pertinente, a pesar de contar con la presencia del
secretario judicial, aportar fotografías de la escena o de lo que acontezca en los
monitores. Por ejemplo, continuando con el caso ya descrito de las descargas de contenido
ilícito mediante aplicaciones peer-to-peer, podría resultar de interés realizar una captura del contenido de la pantalla, aunque
ello implicara la alteración del sistema objeto de análisis. En todo caso, el secretario
judicial deberá dar cuenta en acta de todo lo acontecido durante la entrada, especialmente
de aquellas acciones que hayan podido alterar la evidencia digital (5) .
(5) Otro aspecto muy interesante, que puede encontrarse en el artículo "Pruebas electrónicas
ante los tribunales en la lucha contra la cibercriminalidad. Un proyecto europeo",
es el papel del notario en el proceso de obtención y custodia de la evidencia. Evidentemente,
en la mayoría de casos, no se contará con la presencia del secretario judicial, sino
a lo sumo de notario.
3.Identificación de la evidencia digital
Se denomina así al proceso de identificación y localización de las evidencias que
deben recogerse para ser posteriormente analizadas. Este proceso no es trivial porque,
en muchas ocasiones, el analista se hallará en disposición de empaquetar una ingente
cantidad de material heterogéneo: una red entera de ordenadores, miles de CD-Rom,
etc. Por lo tanto, el analista debe hallar una solución de compromiso entre la calidad,
validez de la prueba y tiempo invertido.
Identificación y localización de la evidencia digital
Para más información sobre este tema, ved la RFC 3227 (request for comments) "Guidelines for Evidence Collection and Archiving". Las RFC son emitidas por la
Internet Society y la ETF (Internet Engineering Task Force).
En primer lugar, el analista tendrá que identificar el sistema informático o dispositivo
a analizar con la finalidad de saber dónde se almacenan las evidencias digitales que
puedan resultar útiles para la investigación. Asimismo, también deberá diferenciar
entre las evidencias volátiles, y las que no lo son.
El segundo paso consiste en valorar la necesidad de obtener las evidencias volátiles.
Si fuera el caso, deben ser grabadas como un fichero en un dispositivo de almacenamiento
externo al dispositivo a analizar, convirtiéndose en este momento en evidencias no
volátiles (lo cual implica la obligatoriedad de acceder al sistema). Cualquier técnica
que implique la manipulación del sistema original puede significar la invalidación
de la prueba en un procedimiento judicial (por ejemplo, basta abrir un archivo para
modificar la fecha de su último acceso). En el caso de que sea imprescindible acceder
a un disco duro original, existen soluciones hardware y software (profundizaremos
en ellas en próximos apartados) para realizar los accesos evitando la escritura en
el disco duro. Finalmente, hay que tener en cuenta que, en algunas ocasiones, los
sistemas informáticos susceptibles de ser analizados no pueden ser interrumpidos (por
ejemplo, detener un sistema informático podría implicar el cese de actividad de una
fábrica), de forma que los datos deberán ser obtenidos al instante, por ejemplo, mediante
su solicitud al administrador del sistema.
Obtención de evidencias
En otras ocasiones, las evidencias de interés se obtendrán, por ejemplo, al monitorizar
una red, lo cual puede significar, de nuevo, la invalidación de la prueba ante un
tribunal. Como ya se ha mencionado, en caso de disponer de secretario judicial, será
imprescindible documentar en acta todas las manipulaciones que se hayan producido
para llegar a obtener la evidencia.
En general, el analista debe tener en cuenta que las evidencias no sólo pueden localizarse
en los discos duros, y que prácticamente cualquier dispositivo electrónico es susceptible,
en la actualidad, de almacenar información relevante.
Ejemplo de dispositivos electrónicos susceptibles de almacenar información relevante
Ordenadores y periféricos conectados a ellos (desde impresoras hasta grabadores de
tarjetas magnéticas).
Discos duros, CD o DVD.
Dispositivos en desuso, como unidades ZIP o JAZ, disquetes de 5 1/4", etc.
Componentes de red, como por ejemplo un router o un switch.
Puntos de acceso de las redes inalámbricas.
Dispositivos móviles (teléfonos, PDA, etc.).
Memory sticks y memory cards.
Impresoras, escáneres y fotocopiadoras.
Tarjetas magnéticas, buscapersonas, etc.
Dongles (mochilas).
Cintas de backup (en este caso, cabe valorar la posibilidad de recoger también el dispositivo lector
de las cintas, manuales y cableado específico del dispositivo).
Dispositivos GPS.
Sistemas de videovigilancia (normalmente, disponen de formatos de sistema de ficheros
propios, lo cual dificulta o imposibilita su análisis).
Cámaras fotográficas y de vídeo digitales.
Manuales, notas, papel impreso, etc.
Además de discriminar los elementos que van a ser analizados, deben documentarse aspectos
generales del sistema, incluso de aquellos dispositivos o terminales que no vayan
a ser transportados al laboratorio:
Realizar una lista con los sistemas (y su descripción) involucrados en el suceso.
En cuanto a las personas implicadas, solicitar aquellos datos que se consideren relevantes,
como por ejemplo: nombre, DNI, contraseñas del sistema y de usuarios, acciones que
se hayan llevado a cabo desde el conocimiento del incidente, etc.
Fotografiar y/o grabar en vídeo la escena del suceso (6) . En muchas ocasiones, también es deseable representar esquemáticamente el sistema
a estudiar (por ejemplo, dibujar la topografía de una red, identificando cada uno
de los ordenadores que la constituyen).
Etiquetar los cables y componentes. Muchos dispositivos, como los periféricos lectores/grabadores
de tarjetas magnéticas, pueden necesitar de un cableado específico sin el cual el
dispositivo no podrá funcionar y no podrá ser analizado posteriormente en el laboratorio.
Por lo tanto, además de los dispositivos que vayan a ser analizados, debemos empaquetar
también todos aquellos elementos y cableado que, posteriormente, nos permitirán utilizar
los dispositivos en el laboratorio, tanto para conectarlos a un sistema informático
como para proveerlos de electricidad. Los cables deben ser etiquetados, de forma que
pueda identificarse inequívocamente el puerto del sistema informático en el cual estaban
conectados.
Mención aparte merecen los discos duros, principales objetos de análisis en la mayoría
de los casos. En estas circunstancias, deben documentarse todos los elementos identificativos
del disco duro (marca, modelo, número de serie, capacidad, etc.). También pueden tomarse
fotografías del disco duro, mostrando la configuración de los jumpers. Asimismo, hemos de extraer de las ranuras de las unidades lectoras de CD, DVD o
cualquier otro dispositivo, los soportes digitales que pudieran contener, identificarlos
y documentarlos adecuadamente.
Fotografiar y grabar en vídeo los dispositivos con las etiquetas colocadas. Estas
etiquetas también se pueden anotar en los esquemas creados en el punto número 3 de
este protocolo.
4.Adquisición de evidencias digitales
La facilidad con la que las evidencias digitales pueden ser modificadas (7) , e incluso eliminadas, determina un cuidadoso procedimiento de preservación de la
evidencia según las leyes vigentes. Este apartado es el más crítico de toda la secuencia,
puesto que un error en este punto podría llegar a invalidar una prueba en el tribunal.
No es posible obtener una imagen "congelada" de un sistema en un instante concreto
(es decir, capturar la totalidad del sistema), si bien en muchas ocasiones, los datos
más relevantes para la investigación se hallan, simplemente, en el sistema de ficheros
del equipo intervenido, con lo cual la pérdida inevitable de una parte mínima de la
información (debida a la imposibilidad mencionada) es un mal menor. Por otro lado,
en el caso de que no sea posible evitar la alteración del sistema (es decir, deba
realizarse un análisis en caliente), será necesario documentar lo acaecido mediante
actas, fotografías o grabación de vídeo. Afortunadamente para nosotros, en muchas
ocasiones no es necesario actuar con presteza; tampoco se requieren medidas excepcionales
para proteger el acceso al sistema, ni se precisa de la obtención de las evidencias
volátiles, ya que con los datos del sistema de archivos es suficiente para desarrollar
el análisis. En definitiva, en muchos casos el analista podrá dedicar su tiempo, con
toda tranquilidad, a la tarea de duplicar la información contenida en los soportes
objeto de estudio.
El procedimiento a observar para preservar las evidencias digitales consta de los
siguientes pasos:
1) Realización de una copia de bits de los soportes originales. Cualquier evidencia digital identificada como relevante para la investigación deberá
ser copiada mediante software o hardware (8) que no altere su integridad y que permita su admisión en un tribunal de justicia.
La copia o clon debe realizarse en el ámbito de los bits, es decir, su contenido debe ser exactamente
el mismo que el del dispositivo original, incluyendo los ficheros ocultos, temporales,
eliminados aún no sobrescritos, e incluso debe incluir el denominado slack file (se denomina así al espacio entre el final lógico de un fichero y el final físico
del mismo; este concepto se profundizará posteriormente), así como la información
contenida en el espacio no asignado del disco duro (en definitiva, una copia exacta).
El proceso se realizará sobre un dispositivo normalmente aportado por el grupo actuante:
disco duro, CD-Rom, DVD, etc. La elección de uno u otro medio dependerá de la cantidad
de información contenida en los soportes originales. El uso de CD-Rom o DVD presenta
la ventaja adicional de que la información contenida en ellos no puede ser modificada
y, por lo tanto, con su uso se garantiza la integridad de la prueba. En cuanto al
clon o copia, se pueden emplear métodos hardware o software, o una combinación de
ambos. En la siguiente imagen, podemos apreciar un duplicador hardware:
Duplicador hardware
Este tipo de dispositivo nos permite generar un clon de un disco duro sobre otro aportado
por los actuantes. El original se coloca en el exterior del duplicador y el receptor
(al cual se le habrá eliminado previamente cualquier rastro de información que pudiera
contener mediante técnicas de borrado seguro) en el interior. Este tipo de dispositivos
poseen todo tipo de conectores para poder adaptar cualquier tipo de disco duro (IDE
1.8", IDE 2.5", SATA 3.5", etc.). Por supuesto, debemos extremar la precaución en
el momento de efectuar el conexionado de los discos duros, ya que el intercambio del
disco origen por el destino provocaría la pérdida irrecuperable de la información
original. La duplicación se efectuará de forma automática y transparente al operador (9) . Además, incluso es posible realizar la búsqueda automatizada de cadenas de caracteres
(por ejemplo, la cadena literal "bomba") a la par que se realiza el duplicado.
Borrado seguro
Existen distintas herramientas, tanto software como hardware (por ejemplo, los propios
clonadores suelen disponer de estas funciones) para realizar el borrado seguro de
información (wipe). Se basan en la escritura de un determinado carácter (efectuando varias pasadas)
en todos los sectores de un disco duro.
Los dispositivos duplicadores también pueden generar archivos imagen, normalmente de tamaño mucho menor que el soporte original, los cuales también contienen
toda la información del original y permiten su reconstrucción, e incluso su análisis
mediante el empleo de herramientas software especializadas.
Ejemplo de generación de archivos de imagen
Utilizando el duplicador de la fotografía, es posible generar un archivo imagen (volcado
o dump "dd") sobre el disco duro de destino, el cual podría ser analizado directamente, por ejemplo,
mediante la aplicación, entre otras posibilidades, de Encase o ILook (se verán ejemplos de estas aplicaciones en próximos apartados).
Además de las soluciones hardware, también podemos emplear herramientas software para
obtener el clon o un archivo imagen del contenido de un soporte digital. En una aproximación
minimalista, es suficiente la utilización de un Live CD de Linux para arrancar el sistema que se desea adquirir y emplear el comando dd para obtener una copia bit a bit de la información contenida en el disco duro, conjuntamente
con el comando netcat para enviar la imagen a través de la red1. También resulta de sumo interés la aplicación LinEn (versión Linux de la herramienta de adquisición Encase sobre DOS).
No sólo los discos duros son susceptibles de ser duplicados, también lo es, por ejemplo,
la información contenida en los terminales de telefonía móvil (10) . Así, tanto la tarjeta que alojan, como los datos de la memoria, pueden ser duplicados
y almacenados, por ejemplo, en otra tarjeta de memoria aportada por el analista forense
(o volcados directamente sobre el disco duro de análisis). En la figura "Volcado de
información de un móvil a un dispositivo USB", podemos ver un dispositivo utilizado
para extraer la información contenida en un teléfono móvil. Este tipo de dispositivos
necesitan una gran diversidad de cables para garantizar la conexión con el mayor número
posible de móviles. Naturalmente, la colección de cables debe ampliarse frecuentemente
para poder acceder a los nuevos terminales de telefonía que vayan surgiendo en el
mercado, y su coste económico de mantenimiento es muy elevado (11) .
Evidencias en la telefonía móvil
Algunas evidencias que se pueden localizar en un teléfono móvil:
SIM (subscriber identity module)
Número IMEI (international mobile equipment identity)
Maleta de cableado del dispositivo de la siguiente figura
Volcado de información de un móvil a un dispositivo USB
También existen otro tipo de dispositivos hardware, denominados genéricamente flashers (porque permiten la manipulación de las memorias flash contenidas en los terminales de telefonía), con los cuales es posible obtener un
volcado hexadecimal de la memoria del teléfono. La interpretación o análisis de este
volcado no es una tarea sencilla y depende, incluso, del fabricante del terminal de
telefonía.
Flasher conectado a un teléfono móvil y a un portátil
Además de estas soluciones generalistas, la mayoría de móviles disponen de sus propias
aplicaciones para descargar contenidos y realizar copias de seguridad para uso de
los propios usuarios. Dichos programas pueden encontrarse en las páginas web de los
fabricantes, aunque no suelen ofrecer muchas prestaciones como herramientas forenses.
Por supuesto, hay otros muchos dispositivos tecnológicos susceptibles de almacenar
información en su interior. Por ejemplo, un dispositivo lector de tarjetas de banda
magnética. En este caso, al no existir un dispositivo específico de duplicación, una
posible estrategia a seguir consiste en extraer la memoria del lector, efectuar un
volcado e interpretar el resultado (de manera semejante a los terminales de telefonía
móvil). Esta operación puede revestir una gran complejidad, ya que la memoria puede
estar protegida por una contraseña, e incluso su contenido cifrado mediante algún
algoritmo.
Finalmente, cabe señalar que una de las diferencias más importantes existentes entre
las distintas prácticas forenses es que, en el ámbito de las ciencias forenses habituales
(ADN, drogas, explosivos, etc.), la prueba, aunque en ocasiones divisible, no puede
ser duplicada, mientras que en el ámbito de la tecnología digital sí puede duplicarse,
lo cual sin duda es ventajoso, aunque ello pueda implicar problemas de verificación
y preservación de la integridad de la prueba.
2) Verificación de la integridad de la copia o imagen. Una vez generada la copia o clon del soporte original, el programa o el dispositivo
hardware empleado en este proceso realiza el cálculo del CRC o del valor hash1 del soporte original y del destino, con la finalidad de garantizar que los dos son
idénticos y que la copia se ha producido sin ningún error. Este cálculo puede realizarse
sobre todo el conjunto de información contenida en el soporte original, o bien emplear
solamente un conjunto de ficheros del total.
La siguiente figura muestra el protocolo de actuación que debe seguir el analista
para adquirir los datos preservando la integridad de la evidencia:
Protocolo de adquisición y preservación de la evidencia
En general, siempre deberemos mantener las siguientes precauciones:
El análisis siempre debe realizarse a partir de una segunda copia (o imagen) del soporte
a analizar. Es decir, en el caso de que esta segunda copia o imagen sufra algún daño,
siempre se podrá reiniciar el análisis a partir de la primera copia que obra en nuestro
poder, obteniendo un nuevo clon o una nueva imagen.
En el caso de que el soporte a analizar sea extraíble, es necesario que el original
(una vez realizadas las copias pertinentes) sea entregado a la tercera parte del proceso,
es decir, al fedatario del origen del soporte. Además, con esta acción permitimos
que pueda producirse un contraperitaje y garantizamos que nuestras hipótesis puedan
reproducirse, mediante otro analista, a partir de una copia del original custodiado.
En cuanto a la presencia del secretario judicial durante el proceso de clonación,
existe una sentencia que determina que su presencia no es preceptiva, puesto que el
secretario judicial no puede dar fe de un proceso técnico que no está obligado a conocer
en el ejercicio de sus funciones.
3) Retención de tiempos y fechas. Las fechas y horas de creación, acceso y modificación de un fichero pueden resultar
de mucha utilidad a la hora de elaborar un informe pericial. Estos datos se hallan
vinculados a la fecha y hora del reloj del sistema y deben ser documentados según
el procedimiento descrito en la primera etapa, ya que podría existir un desfase entre
la fecha y hora del sistema y la real (o simplemente se podría haber modificado de
forma premeditada la hora y fecha del sistema). Siempre que sea posible, es necesario
trabajar con zonas de tiempo GMT, ya que el hecho que se investiga puede involucrar
distintos husos horarios y es necesario un tratamiento uniforme para poder contrastar
todos los datos del análisis. La fecha y hora de los ficheros analizados puede ser
muy relevante en algunas investigaciones, como por ejemplo las intrusiones en los
sistemas informáticos. En este tipo de análisis es muy importante poder relacionar
los datos horarios proporcionados por los ficheros log de conexión con la información localizada en los dispositivos incautados. Finalmente,
siempre que sea posible (por ejemplo, en el caso del análisis de un ordenador aislado
en un domicilio particular), es interesante comprobar la hora y fecha almacenada en
la BIOS del sistema.
4) Documentar quién preservó la evidencia, dónde la preservó, cómo lo hizo, cuándo y por qué. Esta información documental da inicio a lo que se denomina cadena de custodia, cuya finalidad no es otra que la de permitir la traza de las evidencias adquiridas.
5) Embalar los dispositivos que contienen las evidencias. La información anotada en cada paquete, como mínimo, debe ser la siguiente:
Identificador único.
Nombre del técnico responsable del material incautado.
Descripción del material (marca, número de serie, etc.).
Propietario o usuario del material incautado y lugar donde se incautó (por ejemplo,
puede indicarse la habitación del domicilio donde se halló la evidencia).
Día y hora de la incautación.
Información relacionada con la causa que se investiga (por ejemplo, las diligencias
previas de la causa).
6) Los soportes magnéticos u ópticos (cintas de backup, CD, discos duros, disquetes, discos ZIP y JAZ), e incluso otros dispositivos (como
por ejemplo, una tarjeta de programación de PIC), deben ser introducidos en bolsas
antiestáticas y posteriormente acondicionados con material protector que los proteja
de posibles golpes durante el transporte (12) .
7) Los técnicos involucrados en este tipo de análisis deberán tomar precauciones para
preservar la evidencia de factores externos, como por ejemplo la lluvia o el paso
de los embalajes a través de un arco magnético de un juzgado.
8) Transporte de las evidencias a un lugar seguro y cuyos factores ambientales permitan conservar la integridad de
la prueba. El embalaje y transporte de los dispositivos también forma parte de la
cadena de custodia, la cual permite garantizar la integridad de las evidencias desde su obtención hasta
su disposición a la autoridad judicial (o su llegada al laboratorio). La documentación
de la cadena de custodia registrará todos los eslabones por los cuales circulan las
evidencias, permitiéndonos saber dónde se encuentran almacenadas y quién accedió a
ellas en cualquier momento.
5.Análisis de la evidencia digital e investigación
En esta fase, el experto deberá responder a las preguntas expuestas en la introducción
de este módulo, estudiando la evidencia digital recogida en las fases anteriores.
Este estudio se basará en el análisis del contenido de los ficheros (datos) y de la información sobre estos ficheros (metadatos).
En primer lugar, debe revisarse el embalaje que contiene las evidencias con la finalidad
de asegurar la integridad de la cadena de custodia, documentando cualquier anomalía
que pudiera apreciarse.
Normalmente, las evidencias se analizan en función de los extremos que ha de responder
el perito, ya que un análisis exhaustivo requiere, en la mayor parte de los casos,
un esfuerzo desproporcionado en relación al objeto del análisis. Asimismo, en el caso
de peritajes relacionados con delitos, deberán analizarse un tipo concreto de evidencias
y en un orden determinado en función del delito que deba investigarse. Finalmente,
los parámetros del análisis también deberán ajustarse al sistema operativo (Mac OS,
Windows, Linux, etc.) del dispositivo a analizar.
Precisamente, una de las máximas del análisis forense tiene que ver con el funcionamiento
intrínseco de los sistemas operativos y aplicaciones que corren sobre él:
Por muy experto y conocedor que sea un usuario de un sistema operativo o aplicación,
jamás podrá controlar y eliminar todas las trazas provocadas por el propio funcionamiento
de dichos elementos.
En la fase de análisis, pueden aparecer distintas categorías de datos a analizar:
A) Datos lógicamente accesibles. La mayor parte de los datos a analizar serán de este tipo. En su análisis, pueden
aparecer las dificultades siguientes:
Demasiada información. Dispositivos con muchos gigas de información a analizar y dificultad para discernir
los ficheros cuyo contenido pueda ser relevante. Las herramientas de análisis disponen
de muchas posibilidades para discriminar la información relevante (búsqueda de cadenas,
exclusión de ficheros cuyo valor hash sea conocido, etc.).
Ficheros troyanizados. Es decir, ficheros que contengan código oculto cuya ejecución puede tener consecuencias
imprevisibles. Para detectar este tipo de ficheros, se pueden utilizar herramientas
de comprobación de la integridad y programas detectores de virus y malware.
Ficheros cifrados o protegidos. Los ficheros con métodos fuertes de cifrado (por ejemplo, PGP) no podrán ser analizados
(salvo excepciones puntuales). Sin embargo, otros métodos de protección, como las
contraseñas de acceso a ficheros de texto (por ejemplo Microsoft Office), o ficheros
comprimidos, podrán ser analizados utilizando aplicaciones desarrolladas por terceras
partes y con un coste de computación relativamente bajo para contraseñas relativamente
cortas.
Ficheros cifrados y protegidos
Frecuentemente, los usuarios cifran sus archivos sin eliminar los originales, cuyo
contenido está en claro. En todo análisis con archivos cifrados es, por lo tanto,
aconsejable localizar los nombres de archivos iguales a los cifrados. Asimismo, los
archivos temporales generados por algunas aplicaciones permiten acceder, de forma
indirecta, al contenido (parcial o total) de los archivos cifrados.
Para tratar ficheros protegidos con contraseña, existen programas que las rompen a
la fuerza bruta utilizando el cálculo distribuido entre varios ordenadores.
Datos ocultos mediante esteganografía. A diferencia de la criptografía, la esteganografía esconde los datos entre otros tipos
de datos (por ejemplo, un fichero de texto dentro de una fotografía). Así, el fichero
que contiene la fotografía será lógicamente accesible, pero su visualización no nos
permite ni siquiera intuir que contiene un mensaje oculto en su interior.
Datos que han sido eliminados y aún no han sido sobrescritos.
Datos localizados en ambient data. Se denomina así a los datos que aparecen en localizaciones no directamente visibles
y que requieren de un software específico para ser recuperados o visualizados. Por
ejemplo:
Slack file: Se denomina así al espacio que existe entre el final lógico de un fichero y el final
físico del mismo.
Unallocated cluster. Cluster que, a pesar de no estar asignado a ningún fichero en concreto, a menudo puede contener
información, de carácter residual (por ejemplo, partes de un documento de texto que
ya ha sido eliminado del disco duro, o una versión antigua de un fichero ya existente,
etc.).
Representación gráfica del slack file de un archivo
Los unallocated clusters y el file slack
Tanto los denominados unallocated clusters como el file slack son susceptibles de contener información residual, procedente de fragmentos de antiguos
archivos. Además, el espacio de slack file es una ubicación excelente para almacenar información deliberadamente oculta. Si se
hallan evidencias en un slack file, debe extraerse el fichero atendiendo a su límite físico, o de lo contrario perderemos
la información en el proceso de extracción. Si los datos relevantes aparecen en los unallocated clusters, claramente no están asignados a ningún fichero accesible; no obstante, las herramientas
de análisis nos permiten situar los datos en un sector físico determinado del disco
duro (este dato es importante ya que nos permitirá ubicar, como si se tratara de una
ruta en el sistema de ficheros, la evidencia en el soporte digital).
B) Archivos eliminados y no sobrescritos. Este tipo de ficheros se describirán en el apartado relativo al funcionamiento de
la papelera de reciclaje.
5.1.Write blockers
En algunas ocasiones, será necesario manipular el disco duro original (o bien trabajar
directamente sobre el clon, sin generar el archivo imagen), conectándolo directamente
al ordenador de análisis. Existen soluciones, tanto software como hardware, que permiten
filtrar las peticiones de escritura sobre el disco duro de forma que el examen del
soporte no altere la evidencia.
En las imágenes que aparecen a continuación, podemos observar un dispositivo de este
tipo (concretamente el modelo FastBloc 3 de Guidance Software). Estos dispositivos requieren de una gran cantidad de interfaces distintos para
poderse conectar con cualquier tipo de disco duro susceptible de ser analizado. Tal
y como podemos ver en las imágenes, el disco duro se colocaría en la ranura de la
tarjeta y, mediante un cable USB, el dispositivo write blocker se conectaría al ordenador de análisis, (es decir, entre el ordenador y el disco
duro), filtrando cualquier petición de escritura sobre el disco duro.
Write blocker (FastBloc3, de Guidance Software)
Write blocker (FastBloc 3, de Guidance Software) con el cable USB de conexión al ordenador de análisis
Maletín de tarjetas del dispositivo FastBloc
En definitiva, estos dispositivos pueden ser de gran utilidad en los siguientes casos:
Realización de preanálisis urgentes, en los que no se dispone del tiempo necesario
para realizar una clonación y su posterior análisis en el laboratorio.
Adquisición de datos no invasiva en un entorno de sistema operativo: Mediante estos
dispositivos, también se pueden adquirir los datos de los soportes enteros examinados,
o parte de ellos (por ejemplo, aquellos considerados relevantes después del preanálisis
efectuado).
5.2.Virtualización y análisis en vivo
Frecuentemente, los analistas sólo disponen de los clones o ficheros imagen que deben
ser analizados y no tienen acceso a los ordenadores que alojaban los contenidos originales.
Así pues, en ocasiones, a pesar de tener acceso lógico a los ficheros del soporte
a analizar, no podremos examinar su contenido porque dichos ficheros tienen un formato
propio, sólo accesible desde la aplicación que los ha generado. En lugar de adquirir
la aplicación específica, se puede intentar ejecutar el sistema a analizar por medio
de una máquina virtual.
Esta técnica nos puede resultar también de mucha utilidad, por ejemplo, para analizar
un disco duro que contiene algún programa troyano. La ejecución del sistema mediante
una máquina virtual nos podría permitir, por ejemplo, averiguar qué tipo de acciones
realiza el troyano y a qué direcciones IP envía la información del ordenador local
(análisis en vivo).
5.3.Herramientas de análisis
Algunas de las herramientas mencionadas, como Encase (13) 1, permiten gestionar todas las fases del análisis forense, desde la adquisición de
los soportes originales y el análisis, hasta la generación automática del informe
final. Muchas de estas herramientas se basan en código propietario y, a pesar de ofrecer
muchas garantías y ser muy amigables, en ocasiones es preferible la flexibilidad que
nos permiten las aplicaciones basadas en open source. Quizás una de las herramientas más conocidas sea la distribución de Linux CAINE (o, entre otras, Backtrack, Helix, etc.). Este tipo de distribuciones se ejecutan, directamente, desde el CD-Rom e incluyen
un gran número de herramientas en torno al mundo de la seguridad informática.
También cabe destacar el conjunto de herramientas Sleuth Kit, creadas por Dan Farmer y Wiene Venema, derivadas de The Coroner's Toolkit (TCT).
Esta aplicación funciona sobre UNIX/Linux y es capaz de analizar sistemas FAT, NTFS
o ext2/3. Sleuth Kit también cuenta con un frontend gráfico, basado en web, el cual permite gestionar vía web la investigación de diferentes
imágenes.
Finalmente, otra suite muy importante y que goza de mucha popularidad es Ilook Investigator, una herramienta con un entorno gráfico semejante (en cuanto a facilidad de uso)
a Encase y que es gratuita para instituciones gubernamentales y policiales (también
funciona sobre entornos Windows).
No existe ninguna aplicación que pueda abarcar todos los aspectos de un análisis forense.
Normalmente, aquellas aplicaciones que sean más generales y con interfaces amigables,
serán de mucha utilidad para un porcentaje elevado de casos; no obstante, en determinadas
operaciones (por ejemplo, en la recuperación de archivos eliminados u otras muy específicas),
pueden ser menos eficaces que las aplicaciones específicamente diseñadas para una
finalidad concreta. En otras ocasiones, como por ejemplo la gestión de los archivos
criptográficos, siempre se deberá recurrir a programas específicos o diseñados por
el propio analista. En definitiva, los laboratorios de informática forense deben disponer
necesariamente de una gran variedad de aplicaciones, generales y específicas, de código
abierto y propietario, adecuadas a distintos tipos de sistemas operativos y a sus
respectivos sistemas de ficheros.
5.4.Análisis e investigación
5.4.1.El marco legal
No sólo los aspectos técnicos son relevantes en todo proceso de análisis informático.
También hay que tener muy en cuenta que no todo aquello que es técnicamente posible,
es legal. Supongamos, por ejemplo, que en una empresa se sospecha que un trabajador
envía y recibe muchos correos electrónicos, relacionados con temas de ocio personal,
que además ocupan un volumen de disco duro considerable. Técnicamente, lo más sencillo
consistiría en examinar los contenidos del correo electrónico del trabajador; sin
embargo, tal y como ya nos podemos imaginar, estaríamos incurriendo en un delito de
graves consecuencias, inimaginables a tenor de la sencillez técnica con la que un
administrador del sistema podría efectuar estas comprobaciones. De la misma forma,
existen otros problemas, ya no tan evidentes, que pueden llegar a tener consecuencias
desastrosas. Como en el caso que nos ocupa, frecuentemente deberemos investigar los
hechos mediante técnicas indirectas (constatando, por ejemplo, un consumo desproporcionado
de ancho de banda).
Por lo tanto, aunque no es el objetivo de este módulo, siempre tenemos que tener en
cuenta el marco legal que nos constriñe y que, frecuentemente, lo importante no es
la obtención de una prueba, sino conseguir presentarla como prueba en un juicio.
5.4.2.Análisis de correos electrónicos
El análisis de correos electrónicos es uno de los temas de investigación más recurrentes.
Nuestra intención no es explicar cómo realizar una investigación de las cabeceras
de un correo electrónico para descubrir la IP de origen, sino más bien describir los
problemas que conlleva su análisis desde el punto de vista legal.
La apertura de los correos electrónicos no abiertos debe realizarse frecuentemente
ante el juez. Esto es debido a que, en el marco legal, se ha asimilado el correo postal
al correo electrónico. Desde el punto de vista estrictamente técnico, las diferencias
entre ambos son apreciables y, en todo caso, el correo electrónico más bien debería
asimilarse a una postal (es decir, a una carta "sin sobre", con los datos y el remitente
a la vista). La apertura de los correos ante el juez conlleva innumerables problemas:
Puede existir un gran número de correos, quizás miles, pendientes de abrir.
La apertura se realiza sobre un ordenador de análisis, preferentemente portátil, aportado
por el perito. Dada la gran diversidad de programas cliente de correo electrónico,
es posible que la apertura no sea una tarea nada fácil, en especial si no ha podido
ser preparada de antemano.
Técnicamente, es muy difícil determinar si un correo ha sido o no abierto.
Mención aparte merecen los correos electrónicos de webmail. En este caso, los correos aparecen, residualmente, en los directorios temporales
de Internet, de donde podrán ser recuperados con relativa facilidad (el usuario desconoce
la existencia de estos documentos, ya que se almacenan involuntariamente en los directorios
temporales). A diferencia de los anteriores, en este caso no hay la menor duda de
que los correos han sido previamente abiertos por el usuario y su análisis, probablemente,
no debería comportar problema alguno (no debemos olvidar que el juez será quien decida,
finalmente, si la apertura, a pesar de tratarse de correos webmail, se realice o no en su presencia).
5.4.3.Los ficheros log y la investigación de los delitos informáticos
La información contenida en los ficheros log (ya sean locales a nuestro sistema, como aquellos remotos, alojados, por ejemplo,
en los proveedores de servicio de Internet, u otros sistemas) es sumamente importante
para la investigación de cualquier incidente de seguridad. Los proveedores de servicio
de Internet, según la Ley de Servicios de la Sociedad de la Información y Comercio
Electrónico (LSSICE), tienen la obligación de mantener los ficheros de log durante un tiempo máximo de doce meses. Sin embargo, la LSSICE no determina ningún
mínimo exigible, motivo por el cual es necesario actuar rápidamente en caso de presunto
delito. Además, también hay que tener muy presente que la IP tiene la consideración
de dato personal y, en consecuencia, los logs de conexión de los proveedores de servicio de Internet no pueden solicitarse si no
es bajo mandamiento judicial.
5.4.4.Ejemplos de ficheros log de interés
A) Registros del sistema operativo. Por ejemplo, UNIX/Linux presenta una gran variedad
de comandos y ficheros relacionados con las tareas de loggin (14) :
syslog: fichero de texto que almacena (según un fichero de configuración denominado syslog.conf) información relativa a la seguridad del sistema, como los accesos a determinados
servicios, la dirección IP de origen, etc. Es el fichero log más importante del sistema UNIX.
lastlog: este comando informa del último inicio de sesión (login) de los usuarios contenidos en /etc/passwd. Esta información se halla en el fichero /var/log/lastlog. Los intrusos utilizan aplicaciones especiales para eliminar sus huellas en este fichero
(es un fichero binario y, por lo tanto, no se puede modificar fácilmente).
last: el comando last proporciona información relativa a cada conexión y desconexión del sistema. Esta
información se encuentra almacenada en el fichero /var/log/wtmp (también es un fichero binario).
utmp: fichero que almacena los usuarios que se hallan conectados al sistema informático
en un momento determinado. El comando who busca los usuarios en este fichero (también es un fichero binario).
messages: fichero que almacena actividades del sistema (usuarios conectados, su dirección
IP, etc.; es posible configurar la información que se desea almacenar). Es un fichero
de texto y, por lo tanto, se puede visualizar utilizando el comando cat o modificarlo, de forma muy sencilla, con el comando grep o un editor de texto cualquiera.
Una posible estrategia para evitar que los intrusos puedan eliminar sus huellas en
los ficheros log consiste en el uso de programas de logging distintos de las proporcionados por el sistema operativo, que dispongan de sus propios
registros de actividad, independientemente de los que pueda utilizar por defecto el
sistema operativo.
No son los únicos comandos y ficheros de que dispone UNIX/Linux para realizar las
tareas de logging. Por otro lado, el volumen de información que puede generar la actividad de un sistema
informático es tan enorme que es necesario el uso de programas especializados para
poder auditar estos registros. Por ejemplo, logrotate se utiliza para establecer sistemas de rotación de logs (configurable a partir del fichero /etc/logrotate.conf), operación que consiste en comprimir cada cierto tiempo los ficheros log que sean objeto de interés y almacenarlos sólo hasta una antigüedad determinada.
B) Registros de aplicaciones
Sistemas de detección de intrusos (IDS) locales
Firewalls personales
Antivirus
C) Registros de impresoras, faxes y dispositivos similares. Además de los ficheros almacenados
en la propia impresora, hay que tener en cuenta que algunos modelos imprimen marcas
de agua que pueden ser de gran ayuda para identificar su utilización. A menudo, en
el curso de una entrada y registro, se tiende a obviar estos dispositivos, pero en
algunos casos pueden ser esenciales y siempre hay que valorar la incautación de estos
elementos. Por ejemplo, si una víctima ha recibido una amenaza escrita mediante una
impresora, podría resultar vital relacionar el documento impreso con una impresora
concreta.
Otro concepto muy relacionado con las impresoras es el denominado print spooler. En sistemas operativos Windows, hay dos ficheros que contienen información muy relevante
acerca de los ficheros enviados a imprimir (15) :
Archivo SHD: contiene información sobre el fichero impreso (propietario, impresora,
nombre del fichero impreso, etc.).
Archivo SPL: contiene, en formato RAW y EMF, el trabajo enviado a imprimir.
Estos ficheros son temporales y se eliminan después de la impresión. Gracias a estos
ficheros, algunas aplicaciones, por ejemplo Encase, permiten visualizar casi de forma automática, el contenido de los trabajos enviados
a la impresora.
D) Registros de firewall de red.
E) Registros de servidores.
F) Registros de proxies.
G) Registros de IDS host y net based.
H) Registros de servidores de correo.
I) Registros de PSI (proveedores de servicio de Internet).
6.Presentación e informe
En el informe realizado por el experto se presentarán las evidencias relacionadas
con el caso, las conclusiones, así como la justificación del procedimiento empleado.
En muchas ocasiones, este informe será ratificado en presencia del juez, aunque a
menudo las pericias irán destinadas a empresas. Sin embargo, en ambos casos el lector
del informe no necesariamente tiene que poseer el suficiente bagaje técnico como para
comprender un análisis forense en profundidad. Por lo tanto, en general no debe emplearse
el lenguaje técnico de forma abusiva y siempre que sea necesario utilizarlo, convendrá
utilizar notas aclaratorias al pie de página, e incluso en forma de anexos y glosarios.
Dado que muchos de estos informes deben ser presentados ante un tribunal, el analista
debe tener en cuenta que, además del rigor técnico, debe poseer suficiente habilidad
para comunicar el resultado de su análisis de forma concisa y clara.
7.El laboratorio de informática forense
Una de las aspiraciones de todo laboratorio de informática forense consiste en obtener
algún tipo de certificación que avale su calidad y corrección con respecto a la normativa
vigente. Desde el punto de vista institucional, organizaciones como ENFSI promueven
la certificación de todos los laboratorios pertenecientes a los países adscritos.
El abanico de certificaciones es tan enorme que es causa de una gran confusión de
todos los actores implicados; no obstante, el camino hacia la normalización es algo
que, en nuestra opinión, es inevitable y que marcará el futuro de los que decidan
hacer de este trabajo su profesión.
A nuestro entender, cualquier proceso de certificación se basa en los cuatro pilares
siguientes:
Pilares del proceso de certificación
Normalización de las instalaciones.
Obtención de los medios materiales.
Normalización de los procedimientos de trabajo.
Formación certificada de los analistas.
Las certificaciones del laboratorio forense
Los medios materiales necesarios y las metodologías de trabajo ya se han estudiado
en apartados anteriores, y la normalización de las instalaciones seguramente excedería
el propósito de estos materiales (16) . Sin embargo, creemos que es necesario aportar alguna información en cuanto a la
certificación profesional.
7.1.Formación certificada de los analistas en forenses
En primer lugar, cabe señalar que muchas herramientas forenses disponen de sus propias
certificaciones, lo cual ya nos puede orientar acerca de la formación que nos interesa.
También existen otras certificaciones de carácter generalista que pueden ser de interés
para iniciarse en la materia, o para acreditar los conocimientos del analista. En
cuanto a las universidades, dado lo reciente de esta materia y su carácter multidisplicinar,
la informática forense todavía no aparece reflejada en la mayoría de planes de estudio.
De entre el aluvión de certificaciones y cursos forenses, creemos oportuno destacar
las siguientes certificaciones (17) :
AccessData Certified Examiner (ACE). Dirigida al sector privado y público. Entre otras herramientas, proporciona
una certificación en el uso de The Forensic Toolkit (FTK).
Guidance Sotware (EnCe). También dirigida al sector privado y público. En este caso, la aplicación
es Encase.
IACIS Certified Forensic Computer Examiner (CFCE). IACIS (International Association of Computer Investigative Specialists) es
una corporación sin ánimo de lucro, formada por profesionales policiales, dedicados
a la formación en el campo de la informática forense. Se encuentran ubicados en Estados
Unidos.
Certified Computer Examiner (CCE). Certificación ofrecida por la ISCFE (International Society of Computer Forensic
Examiners) y dirigida tanto al sector policial como al privado.
SANS Certifications. El SANS (SysAdmin, Audit, Network and Security) Intitute, creado en 1989, ofrece
multitud de certificaciones y certificados, basados en la superación de cursos de
5-6 días y 1-2 días (respectivamente). Su ámbito de actuación es enorme y una opción
a tener en cuenta.
8.Ejemplos
8.1.Adquisición de evidencias con herramientas Linux
8.1.1.Uso de los comandos dd y netcat
Una de las situaciones más desfavorables con las que nos podemos encontrar es tener
que realizar un clon de un disco duro que no puede extraerse. En este caso, gracias
a los comandos dd y netcat de UNIX, podremos realizar la copia y enviarla a través de la red:
Arrancar el sistema, por ejemplo, mediante un Live CD, procurando no acceder al disco duro objeto de interés.
El comando dd (disk dump) permite generar una imagen del disco duro y redirigirla a otro equipo mediante el
comando netcat (nc).
dd if=/dev/hda | nc 192.168.1.190 12345
Para que la máquina destino pueda recoger la información, el equipo precisa abrir
un puerto (por ejemplo, el 12345) y redirigir la información recibida hacia un archivo:
nc - l - p 12345 > /mnt/destino/hda.dd
Por último, se comprobará la validez de la prueba mediante verificación (hashes SHA-1 de origen y copia). Se ejecuta sha1sum /dev/hda en el equipo original y después sha1sum hda.dd en el equipo de recogida. Si coinciden, la integridad quedará confirmada.
8.1.2.Adquisición de un disco duro IDE con LinEn
En caso de utilizar la aplicación LinEn (18) , deberemos tener especial cuidado con la identificación de los discos duros, origen
y destino, del proceso. Un error en dicha identificación provocaría la pérdida irrecuperable
de la información contenida en el disco duro de origen.
Para empezar, deberemos tener en cuenta la siguiente observación: en Linux los discos
duros IDE se identifican (19) como hda, hdb, hdc, hdd, donde hda y hdc son los discos duros configurados como master, y hdb y hdc son los discos duros configurados como slave.
Como se verá en las capturas de pantalla siguientes, esta no es una cuestión trivial,
ya que la única manera que va a tener el analista para identificar los discos duros
se basa en esta descripción.
Una vez iniciado el ordenador con un disco duro externo de boot (o con el CD), se seguirá el procedimiento siguiente (este ejemplo se ha realizado
sobre una distribución SLAX):
1) Iniciar en modo texto o gráfico, según desee el usuario.
2) Una vez haya aparecido el prompt del sistema, se ejecuta la aplicación mediante los comandos "cd" y ".\linen".
3) Una vez iniciada la aplicación, aparecerá una pantalla como la siguiente:
Captura de la pantalla de inicio de la aplicación LinEn
En la parte izquierda de la imagen, pueden apreciarse los tres discos duros que reconoce
la aplicación (hda, hdb, sda).
4) Si se escoge la opción ACQUIRE, que es la nos permitirá generar el archivo imagen (20) , aparecerá una pantalla como la mostrada en la siguiente figura.
Selección del disco duro que se desea adquirir
En esta pantalla, hay que escoger el disco duro que se desea adquirir. Recordemos,
una vez más, que el analista sólo dispone de la información que aparece en esta pantalla.
Por consiguiente, debe saber exactamente la descripción que tiene cada uno de los
discos duros conectados a su ordenador. Vamos a suponer, en este ejemplo, que el disco
duro original se encuentre configurado como slave, es decir, aparece identificado como hdb, y el disco duro master del bus IDE sea el disco duro de destino (hda).
5) Por lo tanto, se escoge la opción hdb y aparece la pantalla mostrada en la siguiente imagen. La ruta (del destino) y nombre
del archivo imagen se introducen tal y como se muestra en la ventana de la aplicación:
"/mnt/hda1/nombre_de_fichero" (donde "nombre_de_fichero" indica el nombre que asignamos al fichero imagen (21) ).
Selección del disco duro destino
6) A continuación, la aplicación muestra más ventanas en las que el analista introduce
una serie de parámetros que describen el proceso que se está realizando:
Número de caso.
Identificación de la persona que realiza la clonación.
Número de evidencia: una identificación de la evidencia, como por ejemplo, INDICIO-1.
Fecha y hora: por defecto, aparece la hora y fecha del sistema.
Observaciones: cualquier observación que el actuante considere de interés (por ejemplo,
una descripción del ordenador que contenía el disco duro original).
Compresión: permite optimizar el espacio del disco duro de destino, aunque el proceso
de clonación se torna más lento.
Generación del valor hash MD5: su activación permite generar un valor hash del proceso de adquisición efectuado.
Tamaño de cada fragmento (chunk) del archivo evidencial: su valor por defecto es de 640 MB. Es decir, el archivo
evidencial se dividirá en subarchivos de 640 MB (nombre_archivo.01, nombre_archivo.02,
etc.). De esta forma se facilita su almacenamiento, por ejemplo, en soporte CD (o
DVD, escogiendo un tamaño de chunk superior).
8.2.Ejemplos de adquisición y análisis mediante la plicación Encase
Encase es una herramienta, de código propietario, que abarca todas las fases del análisis
forense. Su interface es muy intuitiva y, gracias a la posibilidad de desarrollar
scripts (en un lenguaje de programación orientado a objetos denominado Enscript), es posible personalizar su uso y adaptarlo a las necesidades de cada analista.
Esta herramienta se ha desarrollado para entornos Windows, aunque puede analizar distintos
sistemas de ficheros, como los de los sistemas operativos Linux y Mac OS.
Los ejemplos que se muestran a continuación, además de describir brevemente algunos
de los usos de Encase, ofrecen una guía sobre cómo deben tratarse en el laboratorio algunos de los problemas
descritos en el apartado relativo a la fase de análisis.
8.2.1.Timeline
En muchos análisis, como por ejemplo una intrusión, es de vital importancia poder
reconstruir la secuencia de lo acontecido en el sistema. La mayoría de sistemas de
ficheros registran las últimas fechas y horas de acceso y modificación de los ficheros.
La representación cronológica de estos registros es lo que se denomina timeline (22) .
Encase realiza esta operación de forma automática, tal y como podemos observar en
las siguientes capturas de pantalla. El nivel de granularidad de la representación
también puede ajustarse según las necesidades del analista. Gracias a la representación
gráfica de la línea temporal, es posible identificar muy rápidamente las franjas de
actividad del sistema.
Timeline anual de un sistema informático (columnas: meses, filas: días)
Timeline semanal (semana del 09/02/09-15/02/09 y semana del 16/02/09-22/02/09). Las filas
representan las horas (de 0 a 23)
En este ejemplo, el disco duro analizado alojaba un sistema operativo Windows. Tal
y como se puede apreciar en la parte superior de la imagen, los datos representados
en el gráfico son los siguientes: (fecha y hora) de creación, edición, acceso y borrado.
Timeline de los días 03/02/09 y 04/02/09
La interpretación de la línea temporal no es una tarea sencilla. Tal y como se ha
señalado en anteriores apartados, depende del sistema de ficheros (no del sistema
operativo). Por ejemplo, en la siguiente tabla, podemos ver que si se copia un fichero
(en un sistema FAT) de un subdirectorio a otro (también FAT), la fecha de creación
cambia a la actual. Sin embargo, el comando "Move" mantiene la fecha de creación del archivo. Esta cuestión no es trivial, ya que una
interpretación descuidada de estos atributos puede comportar la deducción de conclusiones
completamente erróneas.
Acción realizada
La fecha de creación cambia a la actual
La fecha de creación se mantiene
Copy C:\FAT a C:\FAT\sub
X
Move C:\FAT a C:\FAT\sub
X
Copy C:\FAT a D:\NTFS
X
Move C:\FAT a D:\NTFS
X
Copy D:\NTFS a D:\NTFS\sub
X
Move D:\NTFS a D:\NTFS\sub
X
8.2.2.Aquisición e un dispositivo USB
Para adquirir el soporte a analizar (23) (en este caso, un dispositivo USB de una capacidad de 1.8Gb, convenientemente protegido
de escritura para evitar su alteración accidental), debe crearse un nuevo caso ("case"). Estos ficheros, propios de la aplicación Encase, almacenan el estado actual de
nuestro análisis. Además de información relativa a la configuración de la aplicación,
también almacenan el resultado de las búsquedas y la selección de archivos efectuada.
Por lo tanto, su pérdida puede comportar graves retardos en el análisis e incluso
provocar que deba inicializarse el análisis de nuevo.
Adquisición de un dispositivo en Encase
Una vez iniciado el nuevo caso, deberemos añadir un dispositivo al caso:
Añadir dispositivo al nuevo caso
Y ya podremos ver los distintos paneles de la aplicación:
Paneles de la aplicación Encase
El panel de la izquierda corresponde al árbol de directorios del dispositivo USB que
se desea adquirir, y el panel de la derecha contiene la descripción detallada de todos
los ficheros que contiene dicho dispositivo. En este momento, podemos efectuar una
previsualización del contenido del dispositivo USB.
Ahora ya podemos generar el fichero evidencial. Para ello, disponemos de las opciones
que se pueden apreciar en la figura siguiente:
Opciones de la adquisición de evidencias en Encase
Normalmente, sólo se configuran los siguientes campos (24) :
Nombre con que se designará el fichero evidencial.
Identificación del caso.
Tamaño de cada fragmento (640 MB por defecto).
Ruta en la cual se almacenará el fichero evidencial.
Algoritmo de compresión (MD5 o SHA-1).
Al final del proceso de adquisición, Encase responde con el mensaje siguiente:
Mensaje de estatus del proceso de adquisición
Este mensaje contiene, entre otras informaciones, el valor hash de adquisición (que se utilizará posteriormente para verificar la integridad de la
prueba), la fecha y hora de inicio (y la de finalización), la ruta del fichero evidencial,
etc.
8.2.3.Análisis de un CD-Rom
Se utilizará este ejemplo para profundizar en algunos de los conceptos explicados
en el apartado de la fase de análisis:
Selección de archivos relevantes y elaboración automática de informes.
Localización de palabras clave en archivos y en el slack file.
Análisis de firma (signature analysis).
Cálculo y desarrollo de librerías hash.
Localización de ficheros esteganografiados.
El dispositivo se adquiriría de forma semejante a la descrita en el apartado anterior.
Selección de archivos relevantes y elaboración automática de informes
Una vez adquirido el CD-Rom, el panel Gallery mostraría todos los archivos de imagen localizados en el dispositivo:
Aspecto del panel Gallery
Supongamos en este caso que las imágenes de interés sean, por ejemplo, las de los
clonadores de discos duros que aparecen en el panel. Aunque sea difícil de apreciar
en la imagen, para añadirlos al caso simplemente tendrían que seleccionarse e incluirse
en el panel "Bookmarks". De forma similar, durante el análisis se cribarían todos aquellos contenidos (archivos,
evidencias en ambient data, unallocated clusters, etc.) que resultaran de interés, los cuales también se almacenarían en el panel
"Bookmarks", hasta completar todo el proceso de examen. Finalmente, desde el panel "Bookmarks" es posible extraer del fichero evidencial al disco duro de análisis todos los contenidos
registrados en dicho panel, junto a sus características relevantes (nombre del fichero,
ruta en el soporte original, fecha y hora de creación, etc.). El informe o report se genera de forma automática (en formato RTF o HTML) y puede personalizarse de manera
muy sencilla (podemos ver un ejemplo de este tipo de informe en uno de los apartados
de este ejemplo: análisis de firma).
Ventajas de encase
Encase dispone de filtros y condiciones predeterminadas que permiten discriminar muy
rápidamente los ficheros del soporte analizado; por ejemplo, con la aplicación de
una de estas condiciones podríamos obtener muy rápidamente todos los ficheros .DOC
contenidos en el soporte analizado.
Localización de palabras clave en archivos y en el slack file
Una de las prácticas más frecuentes en el análisis forense consiste en la búsqueda
automatizada de información relacionada con el caso. La gestión de este tipo de búsqueda
se realiza en Encase mediante la sintaxis del comando grep de UNIX.
Supongamos que el caso que nos ocupa sea una causa relacionada con el terrorismo y
que el término clave a buscar sea "bomb". Por medio del panel "Keywords" se pueden introducir los términos que se deseen (utilizando la sintaxis del comando
grep).
Introducción de palabras clave en Encase
A continuación, la opción Search nos permitiría iniciar la búsqueda automatizada (incluyendo el slack file, unallocated clusters, etc.), tal y como podemos apreciar en la siguiente figura.
Búsqueda de palabras clave en Encase
Los resultados de esta búsqueda (la cual puede prolongarse durante horas e incluso
días) se recogen en el panel Search Hits, desde donde podrán almacenarse, tras ser analizados, en el panel Bookmarks. Cabe destacar el elevado número de falsos positivos que pueden producirse si las
palabras clave no se escogen adecuadamente (o no se restringe adecuadamente su definición
o ámbito), aunque en ocasiones es imposible evitar su aparición y deberán ser discriminados
por el propio analista.
Resultados de la búsqueda de la palabra clave bomb
Por ejemplo, en este caso, los archivos de imagen hidden.bmp y DSCN0185.bmp han producido falsos positivos.
La sintaxis del comando grep permite realizar búsquedas de forma muy flexible, como la localización de una numeración
compatible con el formato de una tarjeta de crédito bancaria.
Búsqueda de numeraciones de tarjetas de crédito
El símbolo "#" identifica cualquier número del rango [0-9]; el símbolo "-" actúa de
valor literal (es el separador habitual en una numeración bancaria) y el símbolo "?"
identifica una o ninguna ocurrencia del separador "-" (por lo tanto, cualquier secuencia
de dieciséis dígitos sería discriminada en esta búsqueda, generándose muchísimos falsos
positivos).
Resultados de la búsqueda de numeraciones de tarjetas
La figura anterior muestra únicamente el resultado de interés (el número 23), pero
en el ejemplo se produjeron 22 falsos positivos. Si esta búsqueda se hubiera realizado
sobre un disco duro en lugar de un CD-Rom, probablemente habría generado millones
de ocurrencias y habría sido imposible que el analista las hubiera discriminado manualmente.
Análisis de firma
Este tipo de análisis consiste en verificar que la extensión de un archivo coincida
realmente con el tipo de datos contenido en él. Por ejemplo, todo fichero JPEG (o
cualquier otro que contenga tipos estándares de datos), posee una cabecera que identifica
el formato, la cual precede a los datos de la imagen, y que es posible utilizar para
comparar con la extensión del fichero y determinar si hay o no coincidencia. De esta
forma, si un usuario cambia deliberadamente la extensión de un fichero (con la pretensión
de ocultar su contenido), se podrá detectar de forma automática mediante un análisis
de firma (siempre y cuando se trate de tipos de datos estándares y su firma o cabecera
aparezca en la base de datos del programa de análisis).
En el ejemplo del CD-Rom, los ficheros text1.txt, text2.txt y text3.txt contienen, en realidad, sendas fotografías.
Después del análisis mediante la opción Search (25) (figura "Búsqueda de palabras clave en Encase"), el resultado que obtenemos es el siguiente (expresado en forma de report, extraído del panel "Bookmarks"):
1)Acquiring CD\CD\(1) CAS\text1.txt
File Created: 21/02/09 19:43:14
Logical Size: 1.556.742 bytes
Hash Value: 249f5e2aaa3ab2008cbcc039134df8c0
Signature: * JPEG Image Non-Standard
2)Acquiring CD\CD\(1) CAS\text2.txt
File Created: 21/02/09 19:43:16
Logical Size: 1.585.856 bytes
Hash Value: 5809581e337668f2ec8eaa81b18985b8
Signature: * JPEG Image Non-Standard
3)Acquiring CD\CD\(1) CAS\text3.txt
File Created: 21/02/09 19:43:18
Logical Size: 1.659.024 bytes
Hash Value: f1d9f47aa30b88f8fdb8f6d2df825f0b
Signature: * JPEG Image Non-Standard
Tal y como podemos comprobar en el informe anterior, los tres ficheros poseen extensión
TXT, aunque el análisis de firma ha detectado que se trata en realidad de archivos
de imagen. Después de finalizar un análisis de firma sobre un soporte entero, es posible
discriminar o seleccionar (de entre todos los miles de ficheros contenidos en el soporte
analizado) todos aquellos que tienen firmas no coincidentes mediante la aplicación de un sencillo filtro; a partir de este resultado, el analista
podrá concentrarse en seleccionar los resultados que busca.
Cálculo y desarrollo de librerías hash
El cálculo del valor hash se realiza de la misma forma que el análisis de firma y la búsqueda de palabras clave,
es decir, mediante la ventana Search (tal y como puede apreciarse en la figura "Búsqueda de palabras clave en Encase"). En el report o informe generado en el ejemplo anterior, además del análisis de firma, pueden observarse
los valores hash asociados a los tres ficheros analizados.
Estos valores pueden organizarse en librerías y utilizarse de la forma siguiente:
Los valores hash
Para discriminar archivos conocidos. Por ejemplo, a partir de una librería que contenga
todos los valores hash de un sistema operativo, podemos confrontar esta librería con el contenido de un disco
duro a analizar y eliminar, automáticamente, todos aquellos archivos que sabemos que
no son de interés para la investigación, puesto que forman parte del sistema operativo.
Para localizar archivos de interés para la investigación. En algunas ocasiones, interesará
localizar archivos concretos en el soporte a analizar (por ejemplo, un caso de contenidos
ilícitos en Internet o de pornografía infantil). En este caso, una búsqueda por nombre
es claramente insuficiente y deberá realizarse mediante el valor hash.
Para localizar archivos esteganografiados. Este ejemplo se describirá en el siguiente
apartado.
Localización de ficheros esteganografiados
En primer lugar, veremos cómo se puede ocultar información (un fichero de texto en
este caso) en el interior de una fotografía. Para ello, utilizaremos un sencillo programa
denominado S-Tools.
La fotografía receptora de la información se halla almacenada en el fichero DSCN0185.bmp. En primer lugar, simplemente hay que arrastrar dicho archivo a la ventana de la aplicación
S-Tools, tal y como muestra la siguiente figura:
Fotografía original
En segundo lugar, se incluye al texto a ocultar.
Texto a ocultar en el archivo DSCN0185.bmp
Tal y como podemos comprobar en la imagen siguiente, la información se almacenará
mediante técnicas criptográficas, que empeora la situación del analista. Por un lado,
en primer lugar deberá detectar la existencia de contenidos esteganografiados (lo
cual no es evidente) y, en segundo lugar, deberá extraer el contenido oculto (normalmente,
se habrán utilizado técnicas de criptografía para la ocultación).
Algoritmo de encriptación (Triple DES) y protección mediante contraseña
El resultado final será el que nos muestra la siguiente imagen: un fichero (denominado
hidden), visualmente idéntico al original y que, además, ocupa el mismo número de bytes
que la fotografía no manipulada.
Archivo esteganografiado con el nombre hidden data
Para determinar contenidos esteganografiados en un análisis necesitaremos, por desgracia,
disponer del valor hash de los archivos originales. De esta forma, se podrán contrastar con los hallados en
el dispositivo a analizar y, en caso de que sean distintos, podríamos pensar (aunque
no es necesariamente así) que se ha utilizado la esteganografía para ocultar algún
dato. El siguiente paso consistiría en descubrir cómo se puede extraer la información
oculta, lo cual no es trivial y puede ser muy complejo.
El siguiente report muestra los resultados obtenidos para este ejemplo.
1)Acquiring CD\CD\(1) CASE\DSCN0185.bmp
File Created: 23/05/09 15:59:35
Logical Size: 1.498.230
Hash Value: 2d91e1db96ab527f23bed990c37007ea
Signature: Match
2)Acquiring CD\CD\(1) CASE\hidden.bmp
File Created: 23/05/09 16:08:05
Logical Size: 1.498.230
Hash Value: 547e994809269f79353193ab4502811c
Signature: Match
Tal y como podemos observar en el campo Hash value del informe, los valores hash son distintos, aunque visualmente ambas imágenes parecen idénticas. El hecho de que
los dos valores sean distintos no significa, necesariamente, que se hayan utilizado
técnicas de ocultación de datos. Por ejemplo, sólo por el hecho de abrir uno de estos
ficheros con una aplicación de tratamiento de imágenes y volver a guardarlo con la
opción Save, aún sin haber modificado un solo bit de la imagen, puede comportar el cambio del
valor hash del archivo (y sin haber utilizado ninguna técnica esteganográfica). En definitiva,
el análisis de ficheros esteganografiados es sumamente complejo y, antes de iniciarlo,
hay que valorar si efectivamente merece la pena realizarlo (26) .
8.3.La papelera de reciclaje en sistemas Windows
La gestión de los ficheros que se encuentran en la papelerera de reciclaje es un ejemplo
didáctico que introduciremos para poder diferenciar entre los archivos eliminados
(pero recuperables) y aquellos que ya han sido sobreescritos y cuyo contenido no puede
ser recuperado (al menos no de forma fácil).
Los ficheros eliminados por el usuario son trasladados a la papelera de reciclaje
del sistema operativo (cada disco duro posee una). El fichero permanecerá en esta
localización hasta que sea definitivamente eliminado, o hasta que el usuario lo restaure
a su ubicación original.
Cuando un usuario envía un archivo a la papelera (27) , Windows registra la fecha y hora en la que se ha efectuado esta operación (esta
no es la fecha y hora de la eliminación real del fichero). Esta información se añade a un fichero oculto, sin extensión, denominado
INFO2 (INFO en Windows 95). Este archivo contiene las rutas y los nombres de los ficheros
de la papelera con la finalidad de que, si el usuario desea recuperarlos con la opción
"Restaurar todos los elementos", el sistema pueda devolverlos a sus localizaciones
originales.
La aplicación Encase puede visualizar el contenido del fichero INFO2, como se puede
apreciar en la siguiente figura:
Visualización del fichero INFO2 en Encase
La presencia de un fichero en eI archivo NFO2 indica que el usuario del sistema conocía
su existencia y que lo eliminó conscientemente en una fecha y hora concreta.
8.3.1.Ficheros eliminados recuperables y ficheros sobreescritos
Siguiendo con las explicaciones relativas a los ficheros eliminados (28) , cabe diferenciar entre aquellos que, si bien han sido eliminados, pueden recuperarse,
de aquellos que han sido eliminados y sobrescritos y que, por lo tanto, su contenido
no podrá recuperarse. En este último caso, el cluster inicial del fichero ha sido ocupado por otro fichero y, por lo tanto, es muy importante
no confundir el contenido mostrado por la herramienta forense (es decir, el contenido
sobrescrito) con el contenido del fichero eliminado (no determinable).
8.4.Análisis forense en Windows Vista
Aunque el sistema de ficheros de Windows Vista sigue siendo NTFS, algunas ubicaciones
han cambiado de lugar:
My Documents--->Documents
My Pictures--->Pictures
My Music--->Music
También el funcionamento de la papelera de reciclaje ha cambiado notablemente: los
directorios \Recycle o \Recycler (según el sistema operativo), han sido reemplazados en Windows Vista por el directorio
\$Recycle.Bin. El archivo INFO2, descrito en el apartado anterior, ha sido eliminado en esta nueva
implementación de Windows. Cuando un fichero es trasladado a la papelera de reciclaje,
es renombrado de forma aleatoria con un nombre que empieza por los caracteres $R (su
extensión se mantiene intacta). Además, se crea un fichero con el mismo nombre y extensión,
pero con los caracteres iniciales $I, que contiene el nombre original del fichero
eliminado y su ubicación.
Los ficheros link (.lnk) y los ficheros spool de impresión mantienen el mismo significado que en las anteriores versiones, y se
encuentran ubicados, respectivamente, en:
8.5.Recolección de evidencias en sistemas UNIX/Linux
Los comandos que se mostrarán a continuación son muy útiles para recoger las evidencias
volátiles en un sistema UNIX/Linux en funcionamiento.
FreeBSD
Solaris
HP-UX
AIX
Linux
Obtener fecha y hora
date + uptime
date + uptime
date + uptime
date + uptime
date + uptime
Obtener el listado de usuarios conectados
w
who
last -10
w
who
last -10
w
who
last -10
w
who
last -10
w
who
last -10
Obtener el listado de todos los procesos en ejecución
ps -auxwh
ps -efly
ps -ef
ps -efl
ps -auxwh
Obtener el listado de todos los módulos que estén corriendo en el núcleo
kldestat -v
modinfo -v
kmadmin -s
genkex -v
lsmod –v
Obtener todas las variables del kernel
sysctl -a
sysdef -l
sysdef
kmtune
kmsystem
lsattr –E –l sys 0
sysctl –a
Obtener un listado de las conexiones de red
netstat -anv
netstat –a
netstat -a
netstat –a
netstat –a
Obtener un listado completo de todos los ficheros abiertos en la máquina
fstat
lsof
fstat
lsof
pfiles
lsof
lsof
fstat
lsof
8.6.Virtualización
En este ejemplo, veremos cómo se puede ejecutar un disco duro del cual no se dispone del ordenador original que lo contenía. Los
analistas disponen solamente de un fichero imagen.
El ejemplo se ha desarrollado utilizando la aplicación VMware, con un sistema operativo "Windows XP Professional" instalado en el disco duro que
se desea analizar.
1) Averiguar el sistema operativo, analizando el fichero imagen.
2) Restaurar el disco duro a partir del fichero imagen y conectarlo al ordenador de
análisis.
3) Generar la máquina virtual según el sistema operativo determinado en el paso número
1 (supongamos una máquina "Windows XP Professional" en el caso que nos ocupa).
Generación de una máquina virtual "Windows XP Professional"
4) Editar la configuración de la máquina virtual y eliminar el disco duro de la máquina
virtual.
Eliminación de los discos duros de la m. virtual (remove)
5) Añadir (add) el disco duro físico restaurado (es decir, el disco duro que se desea analizar).
Este paso es sumamente delicado y, si escogemos erróneamente el disco duro físico,
existe la posibilidad de sobrescribir el disco duro del ordenador de análisis. En
caso de duda, la opción "Use individual partitions" nos servirá a efectos de identificación
del disco duro objeto de análisis (una vez identificado, volveremos a la opción anterior
y escogeremos "Use entire disk" sin temor a equivocarnos).
Añadir el disco duro a analizar (add)
Escoger el disco duro entero
6) Al ejecutar la máquina virtual es muy posible que se produzcan múltipes errores,
debido a que el hardware del ordenador de análisis es distinto al del ordenador original
que contenía el disco duro que estamos analizando. En este caso, deberemos configurar
la BIOS de la máquina virtual para que arranque desde CD. A continuación, introducimos
un CD (o la ISO correspondiente) en el CD-Rom virtual para que la máquina virtual
arranque desde el CD e instale los componentes necesarios para que la máquina pueda
iniciar con el hardware subyacente del ordenador de análisis.
Cargar la ISO del sistema operativo "Windows XP Professional" (opción "Use ISO image")
7) Una vez arrancado el CD de instalación de Windows, no se escogerá la opción de RECUPERAR,
sinó la de INSTALAR el sistema operativo, con lo cual se detectará que ya existe una
versión de Windows instalada, y se escogerá la opción de REPARAR (no la opción de
INSTALAR). De esta forma, conseguiremos, en bastantes ocasiones, arrancar el disco
duro que se desea analizar sobre una máquina virtual, de forma que podamos ejecutar
las aplicaciones originales sin tener que instalarlas en nuestro ordenador de análisis.
Resumen
Después de situar la informática forense en el marco de la gestión de incidentes,
hemos estudiado en este módulo las distintas etapas que conforman un análisis forense.
Estos materiales no pretenden constituirse en un compendio de fórmulas para gestionar
cualquier tipo de análisis, sino ofrecer una imagen muy generalista de la materia,
en la que se ha procurado dibujar una parte importante de todo el abanico de posibilidades
que ofrece esta nueva ciencia multidisciplinar.
Finalmente, se han mostrados ejemplos que pueden ser de mucha utilidad para encauzar
los primeros pasos en el complejo mundo de la informática forense. Desde luego, hay
muchas más posibilidades que las vistas en el apartado de ejemplos, pero sin lugar
a dudas, gran parte de las mostradas suelen ser muy comunes (por lo menos, a tenor
de nuestra experiencia).
Actividades
1. En los procesos judiciales, frecuentemente, se le solicita al analista que realice,
en presencia del juez, la apertura de los correos electrónicos no abiertos por el
usuario del ordenador objeto de interés.
¿Qué tipos de problemas creéis que puede implicar esta práctica?
Este protocolo es debido a que, cuando se trata de correo postal "tradicional", las
cartas que aún no han sido abiertas sólo pueden serlo en presencia del juez. ¿Creéis
que es posible realizar una analogía entre el correo postal y el electrónico?
¿Y entre el correo electrónico y una postal?
En el caso que los correos localizados se hallen como archivos HTML residuales, producto
de la gestión del correo por webmail, ¿pueden considerarse abiertos?; ¿qué tratamiento creéis que deberían de tener?
2. Generad una imagen dd de un dispositivo de almacenamiento y verificad la integridad del original y la copia.
Utilizad, por ejemplo, una distribución de Linux para realizar el ejercicio.
3. Ejecutad un Live CD de cualquiera de las distribuciones de Linux comentadas en el apartado de análisis
y comprobad el funcionamiento de las aplicaciones que contiene.
4. Buscad en Internet información sobre las certificaciones propuestas en el apartado
7 de este módulo, y localizad vuestras áreas de interés.
¿Requieren algún grado de experiencia previa en el sector?
¿La certificación tiene fecha de caducidad?
¿Cuántos niveles ofrece?
5. Interpretad las diferencias del protocolo de adquisición y preservación de la evidencia,
según si el soporte a analizar es o no extraíble.
6. Realizad una lista de software, hardware transportable, y otros dispositivos y materiales
que os permitan abordar técnicamente una entrada y un registro.
7. Se dispone de un presupuesto de 12.000 euros para montar un laboratorio de análisis
forense (hardware y software). Sobre la base de dicho presupuesto, identificad el
material que debe adquirirse.
Realizad el mismo ejercicio para un presupuesto de 30.000 euros.
Ejercicios de autoevaluación
1. Supongamos que queremos ocultar un texto de 100 bytes en un archivo fotográfico de
4.000 bytes mediante técnicas esteganográficas. El archivo final resultante tendrá
un tamaño de:
2. Sea un fichero de texto denominado CRIPTOGRAFIA.TXT, del cual calculamos su valor
hash mediante la función MD5. Supongamos que cambiamos su nombre por el de CRIPTO.TXT
y calculamos nuevamente su valor hash. ¿Cuál creéis que será el resultado?
3. Dada la expresión grep siguiente: ###a|b, ¿cuál de las siguientes cadenas no será reconocida por la expresión
indicada?
4. Determinad si los siguientes enunciados son falsos o verdaderos:
Ejercicios de autoevaluación
1. a 2. c 3. c 4.
Falso
Falso
Falso
Verdadero
Glosario
ambient data
n
Se denominan así los datos que aparecen en localizaciones no directamente visibles
y que requieren de un software específico para ser recuperados o visualizados.
análisis forense informático m
Proceso resultante de aplicar métodos científicos a los sistemas informáticos con
la finalidad de asegurar, identificar, preservar, analizar y presentar la evidencia
digital, de manera que ésta sea aceptada en un proceso judicial.
clon m
Copia de bits del soporte original. Por lo tanto, deberá contener, al igual que el
original, los archivos ocultos, los eliminados y no sobrescritos, el denominado slack file, etc.
cluster
m
Unidad mínima de asignación de un disco duro. Un cluster puede contener varios sectores, según el sistema de ficheros.
CRC f
La comprobación de redundancia cíclica (CRC) es un código de detección de errores
que puede utilizarse para comprobar la integridad de una transmisión de datos. Aunque
no tiene ninguna relación con las funciones hash (procedentes del ámbito de la criptografía), ambas pueden utilizarse para verificar
que, durante el proceso de adquisición de evidencias, no se hayan producido errores.
esteganografía f
Conjunto de técnicas que permiten la ocultación de cualquier tipo de datos. A diferencia
de la criptografía, la esteganografía esconde los datos entre otro tipo de datos,
pero no los modifica para que no sean legibles.
evidencia f
Es todo aquel elemento que proporcione información que conduzca a alguna conclusión
o hallazgo relacionado con el hecho que se investiga.
evidencia digital f
Evidencia almacenada en soportes digitales.
evidencias volátiles f pl
Aquellas que desaparecen en ausencia de alimentación eléctrica.
hash (función)
n
Es una función matemática unidireccional que resume un mensaje de tamaño variable
(por ejemplo, un archivo), en una representación de tamaño fijo. Es poco probable
que dos ficheros distintos tengan la misma representación hash, lo cual significa que este valor puede utilizarse a efectos de comprobación de la
integridad de un archivo (o de un sistema entero). Las funciones hash más conocidas son MD5 y SHA-1.
logging
n
Se denomina así al procedimiento mediante el que se registran, en un fichero, las
actividades que acontecen en un sistema operativo o en una aplicación. Este fichero,
denominado genéricamente log, almacena las "huellas" de todo lo que ha sucedido en el sistema (por ejemplo, un
ataque del que haya podido ser objeto).
mac-time
n
Tiempos de modificación (m) y acceso (a) de archivos y modificación de metadatos (c)
de los archivos.
slack file
n
Se denomina así al espacio entre el final lógico de un fichero y el final físico del
mismo.
timeline
n
Presentación de los mac-time en orden temporal.
timestamp
n
Se denomina así a la secuencia de caracteres que denota la fecha y/u hora en la que
ha sucedido un evento determinado.
timestamp
n
Cluster que, a pesar de no estar asignado a ningún fichero en concreto, puede contener información,
a menudo de carácter residual.
Bibliografía
Barbara, J.(ed.) (2008). Handbook of Digital and Multimedia Forensic Evidence. Humana Press Inc.
Canelada Oset, J. M. (2004). Análisis forense de sistemas Linux Curso de verano 2004: Linux un Entorno Abierto. Universidad Autónoma de Madrid.
Casey, E. (2004). Digital Evidence and Computer Crime. Elsevier.
Colobran, M.; Arqués, J. M.; Marco, E. (2008). Administració de Sistemes Operatius en Xarxa. EdiUOC.
Colobran, M.; Morón, E. (2004). Introducción a la Seguridad Informática. Planeta UOC.
Cruz Allende, D. (2007). Análisis forense de sistemas de información. FUOC.
Insa, F.; Lázaro, C.; García, N. (2008). "Pruebas electrónicas ante los tribunales en la lucha contra la cibercriminalidad.
Un proyecto europeo".Revista Venezolana de Información, Tecnología y Conocimento(vol. 2, núm. 5, pág. 139-152).
Jimeno García, M. T.; Míguez Pérez, C.; Matas García, A. M.; Pérez Agudín, J. (2008). Guía práctica hacker. Anaya Multimedia.
Morón, E. (2002). Internet y Derecho Penal: Hacking y otras Conductas Delictivas en la Red. Aranzadi.
Serra Ruiz, J.; Colobran, M.; Arqués, J. M.; Marco E. (2009). Administració de xarxes i sistemes operatius. FUOC.
Licenciado en Informática por la Universidad Autónoma de Barcelona en 1991. Ha hecho el trabajo de investigación en el Departamento de Ingeniería de la Información y de las Comunicaciones (DEIC) de esta Universidad. Consultor en la UOC durante varios años de asignaturas comoFundamentos de computadores I y II, ySistemas operativos I en informática.Autor de diferentes cursos de administración de sistemas operativos (Solaris, Windows NT, etc.), ha dirigido el departamento de informática de una empresa durante tres años. Actualmente, forma parte de diferentes departamentos de la Universidad Autónoma, donde trabaja en la gestión informática y la administración de los sistemas, siempre con un trato directo y atención final a los usuarios.
