UOC – Universitat Oberta de Catalunya

2012-13

Informàtica forense Informe d’aprofundiment

Aurora Lara Marin

AXSO – Aula 2

2

Índex 1. Introducció ...................................................................................................................3

2. La informàtica forense...................................................................................................3

2.1. Què és la informàtica forense? ...............................................................................3

2.2. Objectius i finalitat .............................................................................................4

2.3. Principis de la informàtica forense ..........................................................................4

2.4. Les evidències digitals ............................................................................................5

3. Aspectes legals..............................................................................................................6

4. Metodologia i fases de l'anàlisi forense ..........................................................................7

4.1. Assegurament de l'escenari....................................................................................7

4.2. Identificació de les evidències digitals .....................................................................8

4.3. Preservació d'evidències ........................................................................................8

4.4. Anàlisi de les evidències .......................................................................................10

4.5. Presentació i informe ...........................................................................................10

5. Informàtica forense en les organitzacions .....................................................................11

6. Conclusió ....................................................................................................................11

3

1. Introducció

Unes de les eines que més poden ajudar a l'hora de la seguretat dels sistemes informàtics és la

ciència forense, aleshores en aquest treball és tractarà de donar una visió el més fidedigna

possible sobre quina es la finalitat de la ciència forense i quins són els pilars sobre el que es

suporta per portar a terme la seva tasca.

Fins fa poc, el coneixement que es tenia a nivell d'usuari sobre aquesta ciència era molt

restringit, però l'evolució dels mitjans de comunicació, la proliferació en la televisió de sèries

relacionades amb la investigació criminal i sobretot Internet, s'han apropat el coneixements que

es tenen sobre la informàtica forense, encara que aquesta visió sigui parcial; però la tasca de la

informàtica forense va més enllà de participar en investigació criminal o processament judicial,

també permet l'estudi de la seguretat dels sistemes informàtics i la prevenció.

2. La informàtica forense

En aquest primer apartat es tractarà de donar una definició correcta sobre la informàtica forense

fent un incís sobre els aspectes tecnològics i els legals, però a més s'explicarà quins són els

objectius i finalitats d'aquesta ciència. A més, a l'hora de l'anàlisi forense s'han de tindre en

compte una sèrie de principis o bones practiques on algunes es detallaran en el subapartat dels

principis de la informàtica forense. Per últim, es parlarà sobre les proves que s'obtindran gràcies

a aquesta ciència.

2.1. Què és la informàtica forense?

La informàtica forense és una ciència forense que tracta d'obtenir les proves o evidències

digitals, que després podran ser utilitzades en un procés legal, per tant podríem dir que és tracta

d'una disciplina científic-legal; però la informàtica forense va més enllà, ja que permetria

analitzar sistemes d'informació amb la intenció de trobar vulnerabilitats en aquest sistema.

El fet que la informàtica forense sigui en part una ciència amb una vessant científica, implica

que per obtindre les proves digitals s'ha de recórrer a un conjunt de tècniques, procediments i

eines formals i precises que permetran la identificació, preservació, extracció, anàlisi,

interpretació, documentació i presentació de les evidències en el context que s'ha sotmès a

estudi; però per altra banda, té una part legal en la s'ha de garantir que les proves digitals podran

4

ser utilitzades en cas d'ésser necessari en un procés legal, actuant com a disciplina auxiliar de la

justícia moderna.

2.2. Objectius i finalitat

Bàsicament la finalitat de la informàtica forense és respondre a les preguntes de què, quan, on,

qui, com i per què i per respondre a aquestes preguntes s'utilitzen les evidències digitals

obtingudes mitjançant els procediments i eines adequades. Els àmbits d'actuació de la

informàtica forense, poden per tant ser molt diversos encara que el més conegut seria el judicial,

però entre ells podem trobar la persecució criminal (prova incriminatòria), litigació civil, temes

corporatius, data recovery, network forensics...

A partir de les definicions anterior es pot deduir que l'obtenció d'evidències no té perquè

finalitzar sempre en un procés legal, sinó que també poden ser utilitzades per la prevenció de

possibles atacs al sistema, i també que l'anàlisi forense no té perquè realitzar-se després que es

produeixi un esdeveniment, sinó que també es pot realitzar abans per evitar i prevenir.

Així, els objectius de la informàtica forense es poden dividir en dos categories: correctius i

preventius, segons si ja s'ha produït un incident o no, respectivament; en quant a la finalitat

podem diferenciar la finalitat de monitoratge i auditoria, i la finalitat probatòria. Solament en el

cas que la informàtica forense tingui una finalitat probatòria no podríem parlar d'objectius

preventius, la resta de combinacions entre objectius i finalitat sí que serien possibles.

2.3. Principis de la informàtica forense

Els informàtics forenses han de tenir molta cura a l'hora de treballar, per tal de no perdre proves

o alterar-les, per això han d'extremar les mesures de seguretat i control en la manipulació. Per

tant en el moment de l'extracció o manipulació ha de tindre present una sèrie de consideracions:

Evitar la contaminació: els analistes forenses han de manipular les dades contingudes en

ordinadors o dispositius d'emmagatzematge, però ha de fer-ho de manera que les

actuacions que facin sobre ella no puguin afectar a les proves obtingudes i que les

evidències siguin garants de la veritat i precises. Per això es poden emprar funcions de hash

abans de manipular la informació i una vegada fetes les actuacions garantiran que no s'han

modificat.

5

Actuació metòdica: els informàtics forenses han d'ésser responsables dels procediments

utilitzats, llavors en aquest punt és importantíssima la documentació de tots els processos,

eines i anàlisi que s'han portat a terme.

Control sobre les proves : aquest punt fa referència a la garantia de la custòdia de les

proves que s'ha de mantenir al llarg de tot el procés, que garantirà la fiabilitat de les proves;

per aquest motiu, s'ha de documentar qualsevol esdeveniment que afecti a la seva

manipulació, com pot ser qui ha tingut accés a aquestes proves, com s'ha manipulat o

traslladat, dates en que es produeix qualsevol actuació... Tota aquesta informació permetrà

que qualsevol altre analista pugui arribar al mateix resultat.

Circumstàncies excepcionals : a vegades el analista ha de prendre la decisió de fer

actuacions que no serien recomanables en altres circumstàncies, com pot ser l'actuació

directament sobre la informació original en lloc d'utilitzar còpies; aleshores l'analista

forense ha de tindre la suficient competència professional per prendre aquesta decisió i

raonar el motiu.

2.4. Les evidències digitals

Les proves obtingudes al llarg de l'anàlisi forense reben el nom de evidències digitals i

correspondran a les empremtes que s'han deixat a un sistema informàtic que després permetran

la reconstrucció d'un esdeveniment i donaran resposta a les preguntes de què, quan, on, qui, com

i perquè. Normalment aquestes evidències es poden emprar per un procés judicial, però també

poden ser utilitzades per altres necessitats com per trobar vulnerabilitats o per demostrar el

nivell de seguretat del sistema.

Els atacs o intrusions als sistemes informàtics poden ésser molt diversos, es llavors tasca de

l'analista informàtic trobar les proves o evidències que demostrin els fets i responguin a les

preguntes de què ha passat, qui, quan i com ho ha fet i quins motius ha tingut, ja no solament

per presentar les proves davant l'autoritat policial o judicial, si no perquè les persones o

organitzacions que s'hagin pogut veure afectades prenguin les mesures per evitar possibles

incidents en el futur. Però trobar aquestes evidències digitals pot arribar a ser difícil degut a la

gran diversitat dels atacs al sistema informàtic, sobretot per la diversitat motivacions i la

experiència o perícia de la persona que l'ha portat a terme, fins i tot dels sistemes informàtics

sotmesos a anàlisi, aquí aleshores intervé la professionalitat, experiència i àdhuc el que l'analista

pugui adoptar la mentalitat de l'atacant per trobar on buscar les evidències, ja que per molt que

un atacant tracti d'eliminar la seva intrusió sempre deixa un rastre en el sistema.

6

Les evidències digitals reuneixen una sèrie de característiques comuns com poden ésser, que és

volàtil, anònima, duplicable, alterable, modificable o eliminable. Les evidències poden es poden

modificar o eliminar fàcilment, fins i tot involuntàriament, fent que el forense informàtic hagi de

tenir molta cura en la manipulació del sistema per tal de no alterar o corrompre les proves fent

que després no puguin ésser utilitzades sobretot si han de presentar-se en un procés legal; també

s'ha de tindre en compte que la manipulació del sistema pot no deixar empremtes com en el cas

de la còpia exacta d'arxius. Per últim, l'analista forense a l'hora d'obtenir les proves es possible

que alteri els suports digitals que les contenen, qüestió que s'ha de tenir en compte en la

manipulació.

3. Aspectes legals

En la definició de la ciència forense ja es va comentar que era una ciència amb una component

legal, per això, en el moment de realitzar un anàlisi forense, l'analista ha de tindre molt present

la legislació aplicable a les evidències digitals, ja que qualsevol errada en l'obtenció d'aquestes

proves poden impedir que puguin ésser presentades en un procés judicial per molt vàlides que

siguin, ja que la manera en que s'han obtingut aquestes evidències no és legal.

Les lleis de la legislació espanyola que s'han de tindre en compte a l'hora de fer l'anàlisi d'un

sistema informàtic serien la Llei d'Enjudiciament Civil, els drets fonamental que contempla la

Constitució, la Llei de Protecció de Dades de Caràcter Personal (LOPD), la Llei de Serveis de la

Societat de la Informació i del Comerç Electrònic, la Llei de conservació de dades relatives a les

comunicacions i les xarxes públiques i el Codi Penal.

Per una banda un punt principal serien els drets i llibertats fonamentals que contempla la

Constitució, tots aquests drets són importants però s'ha de fer destacar el dret al secret de les

comunicacions, dret a la vida privada i dret a la protecció de dades...; i per altra banda, el

contingut de LOPD que determina el nivell de seguretat que han de tindre les dades contingudes

en fitxers, en referència a les dades de caràcter personal i on les dades que han de tindre un

nivell més alt de protecció serien les que donarien informació sobre creences, ideologia, religió,

raça, sexualitat, salut, violència de gènere o dades policials.

Aleshores l'analista forense en el moment de fer l'anàlisi ha de tindre molt presents els aspectes

legals que el poden afectar, ja que la vulneració de cap dret o llibertat d'un individu implica que

la prova quedi invalidada i no es pugui presentar en un procés judicial per molt que demostri la

seva culpabilitat, degut a que en la seva extracció o manipulació no s'han tingut en compte; per

això, davant de dubte s'hauria de consultar abans de fer cap actuació per comprovar que és

7

correcta, i si és necessari accedir a determinada informació per poder obtenir una evidència

s'hauria d'obtindre la corresponent autorització judicial.

4. Metodologia i fases de l'anàlisi forense

L'analista forense recorrerà a un conjunt de tècniques, procediments i eines per portar a terme la

seva tasca tal i com es va comentar en la definició del terme informàtica forense, però ha de

tindre un mètode a l'hora de fer l'anàlisi, per tal que les proves o evidències digitals mantinguin

la seva integritat i després en cas d'ésser necessari puguin utilitzar-se en un procés policial i

judicial. Aquest mètode consisteix en una sèrie de fases, com són: l'assegurament de l'escenari,

la identificació de les evidències digitals, la preservació de les evidències, l'anàlisi de les

evidències, i per últim la presentació de l'informe.

4.1. Assegurament de l'escenari

Aquesta fase de l'anàlisi forense no és sempre obligada, però si en els casos que requereixen

actuació policial, per possibilitar la presentació de les evidències davant l'autoritat judicial en

qualsevol procés legal, ja que amb aquesta fase garantirà la integritat de les proves obtingudes.

Per assegurar l'escenari s'han de seguir una sèrie de passos; en primer lloc s'ha d'establir quin és

l'escenari que s'ha de sotmetre a estudi i una vegada s'ha identificat l'escenari s'establirà un

perímetre de seguretat amb restricció d'accés on solament podran accedir les persones

autoritzades, que com tots el passos donats en aquesta fase, garantirà que una vegada s'ha iniciat

l'anàlisi forense s'ha controlat en tot moment l'accés i es manté l'estat del sistema informàtic.

A més s'hauran de prendre un conjunt de mesures com la desconnexió de la xarxa i les

connexions inalàmbriques per impedir els accessos remots, i abans de fer cap actuació s'ha

d'anotar la data i hora del sistema documentant tot si és possible amb fotografies, apagar els

dispositius i etiquetar tots els components. Aquestes mesures que s'han indicat pot donar-se el

cas que es prescindeixin d'alguna d'elles per suposar un avantatge per l'anàlisi, com per

exemple, decidir no desconnectar la xarxa ja que podria donar informació sobre connexions o

origen del succés, o no apagar el sistema per la possible pèrdua d'informació i obtenir proves

digitals on s'ha produït l'esdeveniment en lloc del laboratori.

8

4.2. Identificació de les evidències digitals

El trobar les evidències digitals pot comportar l'anàlisi d'un elevat volum d'informació i dades,

això també implica un temps considerable, fent que en molts casos sigui impossible per part de

l'analista forense fer l'anàlisi de tota la informació, fins i tot pot ser infringir la legalitat l'accés a

determinada informació que contingui el sistema sense una autorització judicial que després

podria invalidar les proves obtingudes. Aleshores és tasca de l'analista informàtic trobar un

compromís entre la qualitat, la validesa i el temps a l'hora de l'identificació de les evidències.

En aquesta fase es tractarà de localitzar i identificar les evidències, per això el primer que

s'hauria de fer és identificar els sistemes objecte d'estudi, ja que poden ser molt diversos i amb

aquesta identificació ja ens ajudaria molt a acotar on buscar les evidències degut que cada

sistema emmagatzema la informació en llocs diferents; també amb la identificació del sistema

pot aclarir on s'emmagatzema la informació volàtil i que es perdria en cas de treure el corrent

elèctric als equips, aleshores amb aquesta informació l'analista pot després decidir si extreure

evidències en el lloc de l'esdeveniment i sense apagar el sistema, encara que aquesta decisió pot

suposar la pèrdua d'altres evidències.

4.3. Preservació d'evidències

Les proves digitals són altament modificables, aleshores correspon a l'analista assegurar

aquestes evidències perquè després puguin ésser presentades en un procés judicial en cas de ser

necessari; això fa que aquesta fase sigui part principal del procés d'anàlisi forense, ja qualsevol

error pot suposar la invalidació de les proves i que no puguin ésser presentades per no conservar

la seva integritat.

En aquest punt l'analista ha de decidir si fer una cerca de les proves “en calent” o apagar

sistema, llavors ha de basar-se en la seva experiència i professionalitat per decidir quines proves

es volen conservar, la localització de les mateixes. En aquest punt hi ha localitzacions on és més

probable trobar les evidències, com pot ser el sistema de fitxers del sistema. Per tant, s'haurien

de fer còpies o clons exactes dels dispositius que s'hagin d'analitzar i treballar amb aquestes

còpies i no sobre la informació original, i altre decisió que s'ha de prendre en aquest moment és

si fer les còpies en l'escenari o en el laboratori on es realitzarà l'anàlisi de les evidències.

Al llarg de la fase es seguirà un conjunt de passos que tenen com a missió l'obtenció de les

proves i assegurar-se que en cap moment es pot posar en dubte la integritat de les evidències

obtingudes, entre aquests passos tenim:

9

- La còpia bit a bit dels suports originals ja sigui mitjançant programari o maquinari, però

sempre fent incís en que s'ha de mantindre la integritat, aleshores aquesta còpia s'ha

d'emmagatzemar i depenent de la quantitat de la informació amb la que es treballa el suport

que el contindrà serà d'un tipus o altre, però es recomana utilitzar si és possible suports que

després no es puguin modificar o alterar, per exemple es recomanable l'ús de CD o DVD,

però a vegades degut al gran volum d'informació no és possible. Els suports on

s'emmagatzemaran les còpies es recomana que siguin aportats pel mateix analista i si és

possible que siguin nous i no reutilitzats, per així donar més garanties a la integritat

d'aquestes còpies. La clonació no té perquè ser sobre dispositius d'emmagatzematge, també

es pot realitzar sobre dispositius mòbils, memòries flaix..., i per fer aquesta tasca es poden

emprar duplicadors de maquinari o programari que clonen des de dispositius fins generar

còpies d'arxius d'imatges, les eines de programari a més permeten manipular la informació,

o també es poden utilitzar flashers.

- A continuació s'ha de fer la verificació de la integritat de la còpia o imatge, això es pot fer

mitjançant la verificació de CRC o del hash del fitxer i garantirà que la informació amb la

que es treballa es exactament igual a l'original; en aquest apartat és interessant comentar

que es recomanable un seguit de bones pràctiques com per exemple, crear una segona còpia

que serà sobre la que es farà l'estudi o anàlisi, o en els casos més extrems on el dispositiu

que emmagatzema la informació és extraïble i és imprescindible conservar la integritat de

l'original llavors s'entrega l'original al fedatari.

- Altres pas que s'haurà de fer és anotar el temps i les dades , sobretot en els casos en que

pugui haver diferències horàries per implicar diferents ubicacions i horaris, per establir una

línia temporal adequada es recomana treballar amb zones de temps GMT. Haurem d'anotar

les hores, dates de creació, accés, modificació dels fitxers implicats, per tindre tota aquesta

informació a l'abast; a més s'hauria de comprovar els fitxers o logs on s'emmagatzemen els

possibles canvis de data i hora del sistema per tal de garantir que la línia de temps és

correspon a la realitat.

- S'haurà de documentar tota la informació rellevant que faci referència a qui ha

manipulat les evidències, on i quan ho ha fet, així com ho ha fet; encara que pugui semblar

que aquest punt no és rellevant, és molt important degut que aquí s'inicia la cadena de

custòdia de les proves, i en cas que no es garanteixi aquesta cadena de custodia poden

resultat invalidades les evidències obtingudes perquè es pot qüestionar la seva integritat.

10

- També s'ha de produir l'embalatge dels dispositius sobre els que es faran les proves, i

aquest embalatge ha ser adequat per tal que els dispositius no puguin ser danyats en la seva

manipulació o transport, i externament en l'embalatge s'ha d'etiquetar correctament.

- Per últim s'haurà de fer el transport de tots els dispositius i informació que s'ha de

traslladar a un lloc segur i que reuneixi les condicions pel seu emmagatzemament.

4.4. Anàlisi de les evidències

En aquesta fase l'analista analitzarà les proves per tal de donar resposta a les preguntes que ha

de respondre i que es van plantejar en els objectius i finalitats de la informàtica forense; també

tal com es va dir en la fase d'identificació de les evidències normalment degut al volum de dades

no podrà fer un anàlisi complert, sinó que haurà de decidir on buscar les proves i en quin lloc fer

la recerca.

Les fonts de recollida de informació poden ser molt diverses, però entre elles trobem els

registres que proporcionen els sistemes en estudi, el programari com són els antivirus, detectors

d'intrusions, tallafocs, i fins i tot en fitxers del sistema. A més s'han d'analitzar son dades

lògicament accessibles i fitxers eliminats i no sobreescrits, encara que en alguns casos ens

podem trobar algun tipus de fitxers que dificulten el seu anàlisi com poden ser fitxers amb un

elevat volum d'informació, troianitzats, xifrats o protegits, fins i tot dades ocultes mitjançant

l'esteganografia. En els fitxers en estudi aparta de les dades que contenen, també s'hauria

d'examinar la informació del fitxer i que s'anomenen metadades.

4.5. Presentació i informe

L'analista forense ha de presentar un informe on ha de fer constar les evidències aconseguides,

les conclusions a les que s'ha arribat a partir d'aquestes proves i per últim quin ha sigut el procés

que ha seguit per arribar a aquestes conclusions. L'informe s'ha de tindre en compte a qui s'ha de

presentar, ja que els lectors de l'informe no tenen perquè ésser persones que coneguin la

tecnologia, i en aquest cas no es necessari que puguin entendre un anàlisi forense en profunditat,

aleshores es realitzarà un informe que expliqui l'anàlisi amb un idioma entendible i en el que

s'usaran tecnicismes solament en els cassos que no quedi més remei.

Per tant, és recomanable elaborar dos informes, un informe executiu que estarà destinat a l'alta

direcció d'empreses, organismes... és a dir persones sense un perfil tècnic, i per altre un informe

11

tècnic on els lectors són persones amb un perfil tècnic. En el cas de l' informe executiu, es

desenvoluparan tres punts: introducció on es descriu l'objecte de l'informe i el cost de l'incident,

la descripció on es detallarà que ha passat en el sistema, i per últim les recomanacions en les que

es descriuran les accions a portar a terme per tal d'evitar que es torni a produir l' incident i si el

fet és denunciable. En els informes tècnics, al menys contindrà els punts de introducció,

preparació de l'entorn i recollida de dades, l'estudi forense de les evidències i les conclusions.

5. Informàtica forense en les organitzacions

Aquesta branca de la informàtica té molta importància dins de les organitzacions ja que es troba

íntimament lligada amb la seguretat de la mateixa i concretament amb la seguretat dels seus

sistemes informàtics i la informació que contenen; aleshores la informàtica forense no té perquè

tindre com a finalitat el presentar proves en un judici, també pot ser utilitzada per comprovar la

seguretat dels sistemes informàtics que es troben en organitzacions o empreses. Entre les

mesures que s'han de prendre tindríem: de preparació i prevenció, de detecció, de contenció i de

recuperació.

Les mesures de preparació i prevenció tenen com a tasca principal evitar que es produeixin

incidents en el sistema i es poden portar a terme utilitzant eines d'auditoria, tests de penetració,

black box i white box. Les mesures de detecció tracten de detectar els possibles incidents o

intrusions que s'hagin pogut portar a terme en el sistema utilitzant eines com poden ser els

analitzadors de transit, esquers i honeynets, IDS. Les mesures de contenció tenen com a missió

una vegada s'ha produït l'incident restringir els seus efectes, en aquest cas resulten molt útils les

eines de network forensic que permetrien detectar l'origen de l' incident. I per últim, les mesures

de recuperació que permetrien recuperar el sistema a l'estat inicial en que es trobava abans de

l'atac i on aquest punt estaria molt relacionat amb el sistema de còpies de seguretat del sistema i

en el que recorreríem al pla de contingència.

6. Conclusió

Al llarg de l' informe s'ha tractar de donar una visió el més professional possible de la

informàtica forense, i s'ha pres constància de la rellevància que poden tindre les evidències

digitals en el procés policial i judicial, però també s'ha pogut comprovar que aquesta no és

l'única tasca d'aquesta ciència, també la seva utilitat per les empreses i organitzacions per

testejar el nivell de seguretat dels seus sistemes informàtics.

12

Degut a la gran varietat de tipus d'atacs i les diferents motivacions que poden tindre els

individus que porten a terme els atacs o intrusions sobre els sistemes informàtics, el trobar

evidències digitals és una tasca difícil, aleshores aquí intervindran tant la perícia i la

professionalitat de l'analista forense, però també la seva habilitat i la intuïció. En el moment de

buscar les proves o evidències digitals en l'anàlisi forense s'ha de tindre present en tot moment

que no s'hi val qualsevol cosa per tal d'arribar a obtindre-les, l'analista ha de respectar en tot

moment la legislació vigent per no vulnerar els drets i llibertats d'altres individus, fet que faria

que les proves quedin invalidades perquè l'analista les ha obtingut ilegalment.