Fases y metodología del análisis forense
-
Upload
kmilo-zuluaga -
Category
Documents
-
view
571 -
download
0
Transcript of Fases y metodología del análisis forense
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 1/38
Metodología y
fases Daniel Cruz Allende XP07/92089/00002
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 2/38
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 3/38
© FUOC • XP07/92089/00002 Metodología y fases
Índice
Introducción ....................................................................................... 5 Objetivos .............................................................................................. 6
1. Identificación y estudio preliminar ........................................ 7
2. Adquisición de datos ................................................................... 9
2.1. Protección del sistema .............................................................. 11
2.2. Búsqueda ................................................................................... 13
2.3. Aseguramiento del sistema ....................................................... 132.4. Recogida de datos ..................................................................... 14
2.5. Transporte .................................................................................. 15
2.6. Almacenamiento ....................................................................... 16
2.7. Caso práctico ............................................................................. 16
2.7.1. Situación ........................................................................ 17
2.7.2. Material necesario: hardware y software utilizado en
el proceso de adquisición .............................................. 17
2.7.3. Preparación: formateo del disco duro USB 2.0 a
sistema de ficheros ext3 ................................................ 18
2.7.4. Creación de imagen del disco duro original al discoduro externo USB 2.0 .................................................... 19
2.7.5. Documentación del proceso de adquisición ................. 20
3. Análisis e investigación .............................................................. 21
3.1. Zona horaria .............................................................................. 24
3.2. Timeline o mac-time ................................................................... 25
3.3. Extracción de cadenas ............................................................... 27
3.4. Análisis de datos ocultos .......................................................... 27
3.5. Análisis de los archivos extraídos ............................................. 283.5.1. Sleunth Kit & Autopsy .................................................. 29
3.6. Cookies y archivos temporales de Internet ................................ 32
3.7. Identificación de registros ......................................................... 33
4. Análisis en vivo ............................................................................. 35
5. Documentación y presentación ................................................ 38
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 4/38
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 5/38
© FUOC • XP07/92089/00002 5 Metodología y fases
Introducción
El análisis forense, como cualquier actividad reactiva provocada por un hechodeterminado, es un proceso difícil de secuenciar en claros subprocesos que
lleven a la consecución final del objetivo buscado. En la mayoría de ocasiones
nos encontraremos con pequeñas incidencias y retos nuevos que deberemos
abordar por primera vez y, por tanto, al no haberlos tenido en cuenta al iniciar
la investigación, tendremos que echar mano de nuevas herramientas o bien
del ingenio para poder resolverlos con éxito.
No obstante, debemos tener en cuenta que los objetivos finales de un análisis
forense serán siempre de una importancia primordial para el cliente (particu-
lar, departamento de auditoría interna, gerencia, etc.), lo que lo convierte en
una actividad crítica que no puede ser abordada, de ningún modo, sin una
previa planificación de los pasos que deben seguirse.
Son varias las metodologías que existen hoy en día para ayudar a emprender
con éxito una investigación de evidencia digital. Destaquemos, como más re-
levante, la metodología CTOSE, que surge como resultado del proyecto homó-
nimo y que ha sido cofinanciado por la Unión Europea, diferentes universida-
des y empresas privadas relacionadas con las buenas prácticas de la seguridad
de la información. Es verdad que ésta es, con otras, una guía importante pa-ra la realización de buenas prácticas relacionadas con la actividad forense de
sistemas de información; no obstante, en el presente módulo, no se pretende
presentar con detalle dichas metodologías, sino más bien identificar las tareas
básicas en las que todas ellas están basadas:
• Identificación y estudio preliminar
• Adquisición de datos
• Análisis de los datos
• Documentación de los resultados
• Presentación y defensa de los resultados
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 6/38
© FUOC • XP07/92089/00002 6 Metodología y fases
Objetivos
Con los materiales de este módulo didáctico se pretende que alcancéis los ob-jetivos siguientes:
1. Identificar las actuaciones que se deben llevar a cabo tras sufrir un incidente
de seguridad en aras a recuperar la situación anterior al incidente y recoger
evidencias que permitan detectar sus causas.
2. Conocer las fases de que consta la investigación de evidencia digital, que
se pueden agrupar en los subprocesos siguientes: adquisición de datos y
análisis e investigación.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 7/38
© FUOC • XP07/92089/00002 7 Metodología y fases
1. Identificación y estudio preliminar
La identificación de una incidencia informática es, evidentemente, el primerproceso que se ha de realizar en un análisis forense. En esta fase se nos hace sa-
ber, ya sea mediante fuentes o mecanismos internos de nuestra organización,
ya sea por mecanismos externos, que un hecho determinado ha sucedido y
que dicho suceso podría estar sujeto a una investigación con el fin de recupe-
rar evidencias digitales que pudieran corroborarlo o bien desestimarlo.
La identificación de una incidencia, a no ser que seamos designados a poste-
riori como peritos en un proceso penal, no debe suponer siempre la realización
de una investigación; debemos tener en cuenta que esta decisión corresponde
a la gerencia de nuestra organización y/o cliente y dependerá, habitualmente,
de los siguientes aspectos:
• Impacto de la incidencia
– Valor económico de los activos dañados
– Pérdida de imagen
– Lucro cesante
• Oportunidad de identificar pruebas electrónicas
Pruebas electrónicas inútilesEn muchas ocasiones se inician procesos de investigación de una manera inadecuada,que comprometen el correcto mantenimiento de la cadena de custodia, de modo que lasevidencias que se llegan a recuperar no llegan a ser consideradas como pruebas electró-nicas en un marco judicial.
• Oportunidad de identificar responsabilidades directas
– Intrusos
– Empleados descontentos
• Oportunidad de identificar terceras responsabilidades
– Proveedor externo responsable de la gestión de los sistemas de infor-
mación– Proveedor externo responsable de la gestión de la seguridad de los sis-
temas de información
• Coste económico de la investigación frente a beneficio reportado
Que el perito no pueda decidir si un suceso determinado deber ser investigado
o no, no comporta que no sea responsabilidad suya realizar una investigación
preliminar de la contingencia para tratar de responder del modo más aproxi-
mado posible a algunas de las cuestiones que sin duda se planteará nuestro
cliente y que hemos citado con anterioridad. Los resultados de dicha investi-
gación podrán ser decisivos para inclinar la balanza hacia uno u otro lado.
Coste económico
Habitualmente el coste econó-mico es la motivación más de-cisiva para iniciar un procesode investigación.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 8/38
© FUOC • XP07/92089/00002 8 Metodología y fases
Primeramente, y como si de un caso de investigación policial o detectivesca
se tratara, debe identificarse con el mayor grado de detalle posible el marco de
trabajo en el que se desarrollará la investigación:
• En�cuanto�al�personal . Identificar y entrevistar a personal clave que pueda
disponer de información relevante para la investigación, teniendo siem-pre en cuenta que dicha entrevista no pondrá nunca en peligro la confi-
dencialidad de la pesquisa.
• En�cuanto�a�las�fuentes�de�información. Identificar la información, así
como los sistemas que la contienen, y que son susceptibles de contener
evidencias digitales.
• En�cuanto�a�la�oportunidad�de�evidencias. Reconocer, a partir de los
sistemas de información identificados, la posibilidad de hallar evidencias
digitales que a posteriori pudieran devenir en pruebas electrónicas.
• En�cuanto�a�la�oportunidad�de�responsabilidades. Reconocer, a partir
de los sistemas de monitorización (probables) identificados, la posibilidad
de designar responsabilidades directas o terceras.
• En�cuanto�a�las�acciones�preinvestigación . Identificar todas y cada una
de las acciones realizadas sobre la información, así como sobre los sistemas
que la contienen, y que son susceptibles de contener evidencias digitales.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 9/38
© FUOC • XP07/92089/00002 9 Metodología y fases
2. Adquisición de datos
El proceso de adquisición de datos es una de las actividades más críticas encuanto a la futura legalidad de la prueba se refiere. En este sentido, se debe
tener en cuenta que tanto los procedimientos como las herramientas que se
han de utilizar deberían estar certificados por una entidad de confianza o, si
no lo están, se deberían seguir los estándares de facto que se están utilizando
en la actualidad. La presentación de la prueba, ya sea en una disputa o en un
juicio, debe hacer especial hincapié en cómo se ha realizado la adquisición de
los datos analizados y cómo ello ha influido en la veracidad de las conclusiones
extraídas del posterior análisis.
En el siguiente gráfico se presenta una posible metodología que ayudaría en
gran medida a obtener un grado de fiabilidad e integridad de las pruebas más
que suficiente en un eventual proceso judicial:
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 10/38
© FUOC • XP07/92089/00002 10 Metodología y fases
Adquisición datos: necesidad, legalidad, evidencia, proceso judicial
Técnicamente, aun cuando no hemos presentado ninguna de las herramientas
habitualmente utilizadas en un proceso de investigación de evidencia digital,
un posible proceso a seguir podría ser el que presentamos a continuación a
modo de ejemplo. En él se presenta un marco real, muy habitual en la actua-
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 11/38
© FUOC • XP07/92089/00002 11 Metodología y fases
lidad, donde se tiene en cuenta tanto la preparación del material necesario,
como los pasos a seguir para conseguir una correcta consecución en la adqui-
sición de los datos.
El proceso de adquisición de datos, a su vez, se puede dividir en múltiples
subfases, como pueden ser:
• Protección�del�sistema , así como del entorno, para evitar posibles modi-
ficaciones sobre la información digital que puedan contener.
• Búsqueda de sistemas y medios de almacenamiento susceptibles de con-
tener evidencias digitales.
• Aseguramiento�del�sistema , de forma que éste y todos los componentes
hardware y software queden perfectamente identificados.
• Recogida�de�datos, es el proceso en el que se obtiene una copia�idéntica
bit�a�bit de las fuentes de información susceptibles de contener evidencias
digitales.
• Transporte de las adquisiciones realizadas hasta las instalaciones donde
se va a llevar a cabo el análisis de los datos.
• Almacenamiento de las adquisiciones realizadas de manera que se evite
cualquier modificación "accidental".
2.1. Protección del sistema
El objetivo de la protecció8n del sistema es preservar la integridad de
los sistemas susceptibles de contener evidencias digitales.
Las tareas que se han de llevar a cabo contemplan:
• Mantener a los sospechosos y a otras personas lejos del sistema bajo inves-
tigación para evitar cualquier manipulación. Se debe tener especial cuida-
do con la tecnología inalámbrica, ya que se podrían lanzar procesos de
forma remota.
• Si un monitor muestra algún tipo de información, se debe registrar, por
ejemplo, tomando una fotografía.
• Si se detecta destrucción de información (por ejemplo, observando la sali-da por pantalla) se debe apagar el equipo; esta acción debe realizarse me-
diante la desconexión�de�la�corriente�eléctrica para evitar que el proceso
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 12/38
© FUOC • XP07/92089/00002 12 Metodología y fases
de apagado del sistema operativo puede lanzar algún proceso añadido por
el atacante que comprometa la integridad de los datos.
• Si el sistema está encendido, se puede determinar si se está ejecutando
algún proceso (sin interactuar con el sistema) observando si hay módems
encendidos, se está reproduciendo música, etc.
Uno de los primeros problemas del analista durante la recogida de datos con-
siste en decidir si hay que apagar o no el dispositivo, ya que encendido puede
realizarse un análisis en vivo, ver conexiones de red activas, los procesos en
ejecución, los usuarios conectados, etc. No obstante, el sistema puede estar
troyanizado y ocultar o enmascarar la información buscada.
Protección de datos
Para la recogida de informa-ción de carácter personal sedebe tener en consideración laLOPD.
Por otro lado, cada vez que se realiza una inspección sobre un sistema en pro-
ducción pueden sobreescribirse datos, por lo que cabría la posibilidad de per-
der información importante.
Por eso las metodologías o guías actuales contemplan como opción segura
y recomendable apagar el equipo (desconectándolo de la corriente eléctrica),
con el objetivo de evitar que las evidencias digitales que puedan encontrarse
durante un análisis en vivo o a posteriori puedan ser invalidadas en una even-
tual disputa judicial o proceso judicial.
Checklist para la fase de protección
1) Mantener a cualquier persona alejada del sistema bajo investigación2) No permitir el uso de ningún dispositivo con tecnología inalámbrica por ninguna de
las personas presentes.3) Pedir a las personas implicadas la información que permita rellenar el siguiente cues-
tionario sobre el sistema bajo investigación:a) Nombreb) DNIc) Descripción del sistemad) Modelo del sistemae) Dimensiones del sistemaf) Elementos identificativos del sistemag) Descripción del hardware del sistemah) Sistema operativo del sistemai) Software relevante que ejecutaba el sistemaj) Uso (proceso) del sistemak) Nombre y DNI del usuario del sistemal) Contraseñas del sistema tanto de usuarios de aplicacionesm) Acciones que se han llevado a cabo en el sistema desde el conocimiento del in-
cidente
4) Apagar el sistema encendido mediante la desconexión directa del cable de alimen-tación. Si el sistema se encuentra encendido y es visible que está ejecutando algúnproceso que pueda destruir la información que almacena se debe desconectar inme-diatamente de la corriente el dispositivo.
5) Descripción del sistema que ha llevado a la desconexión de éste.6) Si el sistema se encuentra encendido, identificar, documentar y fotografiar la salida
que esté generando (por ejemplo, mediante el monitor, impresiones, etc.).
Ejemplo
Se pueden eliminar archivosborrados y situados en el es-pacio vacío de un dispositivo,contaminando la "escena delcrimen".
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 13/38
© FUOC • XP07/92089/00002 13 Metodología y fases
2.2. Búsqueda
La búsqueda es el proceso durante el cual se localiza cualquier medio de
almacenamiento que pueda contener información susceptible de con-
tener evidencias digitales.
Por lo general los dispositivos que hay que buscar y localizar primeramente
son el disco o los discos duros del sistema objeto de estudio. Sin embargo,
para saber qué hay que buscar se debe tener en cuenta que la información
se almacena en memoria y, por lo tanto, cualquier memoria es susceptible
de contener evidencias digitales. Básicamente, hay dos tipos de soportes de
memoria:
• Soportes no volátiles: disco duro, DVD, memoria ROM.• Soportes volátiles: memoria RAM. En este caso la adquisición no siempre
es posible, precisamente por la naturaleza volátil de esta memoria.
Esto quiere decir que se pueden encontrar evidencias digitales en PDA, impre-
soras, escáneres, tarjetas magnéticas, etc.; no sólo en discos duros.
Checklist para la fase de búsqueda
• Descripción del sistema• Modelo del sistema
• Dimensiones del sistema• Identificador para el sistema• Conexiones del sistema para identificar cualquier medio de almacenamiento (disco
duro) que pueda contener evidencias• Descripción del disco duro• Modelo y dimensiones del disco duro• Elementos identificativos del disco duro• Elementos identificativos del disco duro
2.3. Aseguramiento del sistema
El aseguramiento del sistema es la fase durante la cual se registra (me-
diante fotografías, por ejemplo) cualquier sistema o dispositivo sospe-choso de contener evidencias digitales; se identifican y documentan, y,
en caso necesario, se preparan para su transporte.
Checklist para la fase de aseguramiento
• Retirar cualquier medio de almacenamiento como disquetes, CD, DVD, etc., que sepueda encontrar en las bahías del sistema.
• Desconectar cualquier cable telefónico o de red del sistema, así como cualquier dis-positivo inalámbrico.
• Tomar fotografías del lugar (habitación) donde se encuentra el sistema.• Tomar fotografías de los alrededores (mesa de trabajo, etc.) donde se encuentra el
sistema.• Descripción de los alrededores.• Tomar fotografías del sistema (por los cuatro costados). Asegurarse de que se vean
todos sus conectores y conexiones.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 14/38
© FUOC • XP07/92089/00002 14 Metodología y fases
• Tomar fotografías del disco duro. Por lo menos por las dos caras y por el lateral de losconectores, de modo que se muestre la configuración de los puentes ( jumpers).
2.4. Recogida de datos
La recogida de datos es la parte del proceso por el cual se obtiene unacopia bit�a�bit de la información susceptible de contener evidencias
digitales. El proceso de adquisición debe preservar la integridad de los
datos, es decir, los originales y la copia deben ser exactamente iguales.
Para llevar a cabo esta fase del proceso existen múltiples herramientas que se
dividen básicamente en dos corrientes:
• Aproximación�minimalista. Se utiliza un Live CD de Linux para arrancar
el sistema del que se quiere realizar la adquisición, se utiliza la herramientadd para obtener una copia bit a bit de los datos almacenados en el disco
duro (u otros dispositivos de almacenamiento) y la herramienta Netcat
para enviar los datos por red, si es necesario (siempre con un cable cruzado
y sin utilizar ningún medio compartido).
• Aproximación�moderna. Se utiliza una suite de herramienta para el aná-
lisis forense como Encase.
El proceso de recogida de datos precisa de la verificación de la información
adquirida, es decir, es necesario comprobar la integridad de la información
recogida. Para ello se utilizan matemáticas "unidireccionales" o funciones�de
dispersión�(de�hash), las cuales, dado un dato concreto, ofrecen siempre una
cadena resultante igual, aunque ésta cambiará cuando el dato se modifique (un
bit modificado es suficiente para que el resultado de la función de dispersión
sea distinto).
De este modo, si se le aplica una función de dispersión a un dato y a una copia
idéntica, el resultado será el mismo. Igualmente, si se aplica una función de
dispersión sobre un disco y su imagen, el resultado debe ser la misma cadenasi la copia se ha realizado correctamente.
SHA1
Actualmente se utiliza mayoritariamente SHA1 como función de dispersión debido a lasdebilidades encontradas en MD5. No obstante, en el año 2005 también se han descubier-to vulnerabilidades en SHA1, por lo que para aumentar la dificultad de un posible ataquees recomendable, en la medida de lo posible, usar las versiones de 256, 384 y 512 bits.
Ejemplo de proceso de verificación de integridad
Live CD de Linux
Una Live CD de Linux es unadistribución de Linux prepara-da para ser arrancada desde elCD-ROM sin necesidad de ins-talar el sistema operativo en eldisco duro. El sistema operati-vo se carga en memoria.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 15/38
© FUOC • XP07/92089/00002 15 Metodología y fases
Checklist para la fase de recogida
• Utilizar un disco recién formateado que tenga mayor capacidad que el disco del cualse va a hacer la adquisición de datos. Indicar:– Descripción del disco duro– Modelo del disco duro– Dimensiones del disco duro– Elementos identificativos del disco duro– Identificador para el disco duro
• Usar un conector USB para conectar el disco duro del analista al sistema bajo inves-tigación.
• Si el sistema no dispone de conector USB, utilizar un cable de red cruzado para co-nectar directamente el sistema bajo investigación con el sistema del analista. En esteúltimo se conectará el disco en el que se van a almacenar los datos de la adquisición.Indicar:– Descripción del sistema– Modelo del sistema– Dimensiones del sistema– Elementos identificativos del sistema– Identificador para el sistema
• Arrancar el sistema bajo investigación, permitiendo el arranque exclusivamente delLive CD del analista. Indicar:
– CD del analista– Contenido (y versión del Live CD)– Dimensiones del Live CD– Identificador para el Live CD
• Generar un hash SHA1 del disco duro del que se realiza la adquisición. Indicar:– Hash SHA1 del disco duro
• Llevar a cado la adquisición de datos mediante el uso de la herramienta dd. Si los datosse han de transferir mediante un cable de red cruzado hasta el equipo del analista,utilizar la herramienta Netcat. Indicar:– Hash SHA1�de la imagen
2.5. Transporte
El transporte es la fase en la que se van a desplazar, tanto los datos re-
cogidos como los dispositivos que contienen la información original,
hasta las instalaciones donde se va a realizar el análisis de datos.
Durante el transporte hay que evitar cualquier daño a los dispositivos que
almacenan la información. Por ejemplo, hay que evitar transportar los medios
de almacenamiento cerca de fuentes magnéticas.
Checklist para la fase de transporte
• El transporte del disco duro que contiene la adquisición de datos debe realizarse demanera cuidadosa, alejándolo de equipos de radio.
• Se han de indicar las observaciones sobre el proceso de transporte que se considerennecesarias.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 16/38
© FUOC • XP07/92089/00002 16 Metodología y fases
2.6. Almacenamiento
Tanto los dispositivos que guardan la adquisición de datos, como aquellos
otros que se hayan podido recoger para su análisis deben almacenarse en un
área de acceso restringido. Además, esta área debe cumplir otras condiciones
para asegurar la integridad de los datos que contiene. Por ejemplo, ha de estarlimpia, con temperatura regulada y aislada de fuentes magnéticas.
Lectura sugerida
En cuanto a la gestión de datos en dispositivos de almacenamiento y su transporte, sepuede tener en consideración algunas de las recomendaciones que se hacen en el apar-tado "10.7. Media Handling" de la ISO/IEC 17799:2005.
Igualmente, puede ser útil seguir las recomendaciones del apartado "9. Physical and en-viromental security" de la misma ISO/IEC 17799:2005 a la hora de adecuar el área que vaa almacenar los dispositivos que contienen los datos recogidos durante una adquisición.
Checklist para la fase de almacenamiento
• Almacenar los dispositivos que contienen la adquisición de datos en un área quecumpla los siguientes requisitos:– Área limpia– Área con temperatura regulada– Área de acceso restringido
• Descripción del lugar de almacenamiento
Ejemplo de adquisición de datos utilizando una aproximaciónminimalista
1) Arrancar el sistema en un entorno controlado, por ejemplo, mediante un Live CDde Linux. Para que el Live CD sea útil en un proceso de adquisición de datos, es ne-cesario que en ningún momento realice ningún acceso a disco (duro) si no es expre-
samente solicitado por el analista. El objetivo es preservar la integridad de los datosalmacenados en el disco duro.
2) Enviar imágenes de cada dispositivo por red. La orden disk dump (dd) permite copiarla información de entrada (if=) a una salida y redirigirla a otro equipo mediante laorden netcat (nc). Es importante que la transmisión por red no se haga punto a puntode las dos máquinas, origen y destino:dd if=/dev/hda | nc 192.168.1.190 12345
3) En el equipo de recogida, se almacena esa información. Para ello el equipo precisaabrir un puerto (por ejemplo, el 12345) y redirigir la información recibida hacia unarchivo:nc –l –p 12345 > /mnt/morgue/hda.dd
4) Por último se comprobará la validez de la prueba mediante verificación (hashes SHA-1
de origen y copia). Se ejecuta sha1sum /dev/hda en el equipo original y despuéssha1sum hda.dd en el equipo de recogida.
2.7. Caso práctico
Hemos escogido el caso de un empleado descontento que utiliza incorrecta-
mente los recursos informáticos de la empresa, ya que en la actualidad se trata
de una de las incidencias más habituales en un entorno de sistemas de infor-
mación; es muy probable que os encontréis con ella.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 17/38
© FUOC • XP07/92089/00002 17 Metodología y fases
2.7.1. Situación
Un empleado descontento utiliza los recursos informáticos proporcionados
por la empresa de forma no autorizada, invirtiendo la mayor parte del tiempo
en navegar por Internet sin que esta acción esté relacionada en modo alguno
con la actividad principal de la compañía.
Por eso se decide realizar una investigación que trate de corroborar el problema
presentado por la gerencia de la compañía al equipo de auditoría encargado
de la investigación. Primero, este equipo realiza un estudio generalizado de la
utilización de Internet en la compañía para buscar indicios de uso indebido.
Los resultados del estudio indican una utilización superior a la media por par-
te del empleado. Una vez que el equipo ha recogido indicios suficientes que
permitan acceder al ordenador personal del empleado, se dispone a realizar
una imagen del disco duro correspondiente al ordenador de sobremesa que
utiliza habitualmente.
2.7.2. Material necesario: hardware y software utilizado en el
proceso de adquisición
Resulta fundamental conocer en detalle el entorno de recogida para identifi-
car de antemano todo el software, hardware y cableado necesario para poder
realizar la adquisición de datos. En el caso que analizamos, sabemos que los
sistemas objeto de estudio disponen de CD/DVD-ROM y de puertos USB 2.0.
Las herramientas que utilizaremos serán las siguientes:
• Sistema provisto de las herramientas necesarias para realizar el formateo
de los discos "destino".
• Un disco duro externo USB 2.0 de X GB, con su correspondiente cableado
y fuente de alimentación. En dicho disco se almacenará la información
que se ha de recoger.
• Software Open Source: un Live CD de Ubuntu Hoary que contendrá las
herramientas certificadas necesarias para realizar la recogida de los datos
(dd y sha1sum), así como la comprobación de la integridad de original y
copia.
• Documentación del proceso de recogida que se seguirá y que podrá utili-
zarse como acta de manifestaciones para ser depositada ante notario.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 18/38
© FUOC • XP07/92089/00002 18 Metodología y fases
2.7.3. Preparación: formateo del disco duro USB 2.0 a sistema de
ficheros ext3
Esta fase debe ser realizada con anterioridad al proceso de adquisición en sí,
que tendrá lugar en las instalaciones de la compañía.
1) Con la máquina apagada (equipo portátil) conectar el disco duro externo
USB 2.0 al puerto USB 2.0 correspondiente.
2) Comprobar, entrando en la BIOS de la máquina, que el modo de arranque
está configurado para iniciar desde CD. Se ha de configurar de este modo
en caso necesario.
3) Arrancar la máquina desde el Live CD de Ubuntu Hoary.
4) Desde la shell del usuario "ubuntu" entrar en modo "root". Para ello ejecutar
root.
5) Desde la shell de "root" listar dispositivos. Para ello ejecutar fdisk –l.
6) Comprobar visualmente que se puede ver el dispositivo disco duro exter-
no USB 2.0. Se verá, probablemente, y si no se dispone de algún otro dis-
positivo SCSE, una entrada /dev/sda.
7) Listar dispositivo externo USB 2.0. Para ello ejecutar fdisk/dev/sda.
8) Pulsar "p" para ver las actuales características del disco. El resultado os da-
rá por pantalla las particiones actuales del disco y el sistema de ficheros
utilizado.
9) Pulsar "m" para listar las posibilidades provistas.
10) Pulsar "d" para borrar la partición existente (seguramente solo habrá una).
11) Pulsar "n" para crear una partición nueva y escoger los valores por defecto:
partición primaria y tamaño por defecto (sector o cilindro 1 de "inicio") y
el que ofrezca también por defecto para el "fin" de la partición.
12) Pulsar "w" para escribir la tabla en el disco.
13) Salir del menú de fdisk pulsando "q".
14) Listar dispositivo externo USB 2.0. Para ello ejecutar fdisk/dev/sda.
15) Pulsar "p" para ver las actuales características del disco. El resultado ofrecerá
por pantalla las particiones actuales del disco y el sistema de ficheros utili-
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 19/38
© FUOC • XP07/92089/00002 19 Metodología y fases
zado. Se deberá ver tan sólo una partición (/dev/sda1) que ocupará todo
el disco. El sistema de ficheros utilizado será reconocido como "Linux".
16) Salir del menú de fdisk pulsando "q".
17) Una vez se tiene la partición definida, hay que formatearla ejecutandomkfs.ext3/dev/sda1.
2.7.4. Creación de imagen del disco duro original al disco duro
externo USB 2.0
Esta fase tendrá lugar en las instalaciones de la compañía, a ser posible con
la presencia de un notario, documentando al máximo cada uno de los pasos
realizados. Presentamos a continuación dichos pasos una vez identificados los
equipos fuente y arrancados éstos con el Live CD de Ubuntu Hoary:
• Ejecutar fdisk –l y comprobar visualmente que se pueden ver los dispo-
sitivos hd (discos duros locales) y los discos sd (SCSI o externos USB).
a) Se podrá ver un dispositivo llamado /dev/hda, que es el disco duro de
la máquina. Si hay más de un disco duro también aparecerá /dev/hdb
(en caso de haber dos), /dev/hdc (en caso de haber tres), etc.
b) Se podrá ver también un dispositivo llamado /dev/sda (que es el dis-
co duro externo USB 2.0). Si hay algún disco SCSI o más discos durosexternos, también aparecerá /dev/sdb (en caso de haber dos), /dev/
sdc (en caso de haber, etc.), etc.
• Una vez identificados "origen" (discos duros originales) y "destino" (dis-
cos duros externos), montar "destino" (/dev/sda) ejecutando: mount –t
ext3/dev/sda/mnt. Nunca se debe montar el dispositivo origen. Hacerlo
podría provocar una modificación del disco y no queremos que eso ocurra.
• Acceder al directorio /mnt/: cd /mnt/.
• Crear directorio IMAGEN en /mnt/, esto es, desde el directorio /mnt/ eje-
cutar: mkdir IMAGEN.
• Acceder al directorio /mnt/IMAGEN/, esto es, desde /mnt/: cd/IMAGEN".
En este directorio guardaremos toda la información referente a la imagen
que realicemos, así como a los resúmenes criptográficos (hash SHA-1), que
realizaremos de original y copia para comprobar que son idénticos.
• Calcular el hash del dispositivo origen y guardar el resultado en el dis-
positivo destino: desde /mnt/IMAGEN/ ejecutar sha1sum/dev/hda >
hda.sha1sum.
Directorio "mnt"
mnt es un directorio por de-fecto en cualquier distribuciónLinux, también en UNIX, quese utiliza para montar dispositi-vos, aunque se podría utilizar cualquier otro.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 20/38
© FUOC • XP07/92089/00002 20 Metodología y fases
• Cuando acabe el proceso, ver el resultado mediante cat hda.sha1sum.
• Iniciar el proceso de copia ejecutando (desde IMAGEN mismo) dd if=/
dev/hda of=imagen.dd conv=sync,notrunc,noerror bs=512.
• Cuando acabe la copia, calcular, desde /mnt/IMAGEN/, el resumen cripto-gráfico de imagen.dd: sha1sum imagen.dd > sha1sum.imagen.dd.
• Ver y comparar los resúmenes criptográficos de original y copia desde
/mnt/IMAGEN/: cat hda.sha1sum y cat imagen.dd.sha1sum.
• Si el proceso ha ido bien, los hash deben ser iguales. Si es así, se pasará al
punto 12; si no lo son, se debe volver al punto 6 y repetir el proceso. Com-
probaremos que disponemos de tres archivos en el directorio /mnt/IMA-
GEN/: imagen.dd, hda.sha1sum e imagen.dd.sha1sum.
• Saltar al directorio raíz "/" y desde allí desmontar el dispositivo "destino":
umount /mnt/.
• Apagar sistema: halt.
• Desconectar el disco duro externo USB 2.0 y depositarlo ante notario. Para
realizar el estudio, posteriormente se realizará otra imagen desde el dispo-
sitivo original o bien desde el que se deposite en la notaría.
• Abrir la carcasa del PC y desconectar el disco duro "origen". Dicho disco
podrá ser devuelto o no al sistema, siempre en función de la criticidad de
su disponibilidad.
2.7.5. Documentación del proceso de adquisición
El proceso de adquisición de datos debe estar debidamente documentado, de-
tallando al máximo las acciones, actores y material que intervienen. En el si-
guiente archivo pdf tenéis, a modo de ejemplo, la descripción del proceso de
recogida de datos que el equipo de auditoría realiza para identificar indicios
suficientes que le permitan acceder al ordenador personal del empleado de
forma controlada ( Estatuto de los trabajadores).
La acción que se describe no corresponde con el proceso de imagen de un disco
duro; se realiza previamente al proceso de imagen del disco y su resultado
permitirá conocer la utilización indebida o no, por parte del empleado, de los
recursos informáticos provistos por la compañía.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 21/38
© FUOC • XP07/92089/00002 21 Metodología y fases
3. Análisis e investigación
La fase de análisis de los datos que se han obtenido durante la fase de adqui-sición es el proceso de intentar encontrar evidencias digitales en ellos. El aná-
lisis puede tener múltiples objetivos dependiendo del caso y las fuentes de in-
formación. A continuación os mostramos algunas finalidades del análisis, sin
olvidar que un análisis puede tener como finalidad varios de estos objetivos:
• Contener un incidente y recuperar el sistema.
• Descubrir la procedencia del atacante.
• Identificar el punto de entrada utilizado.
• Averiguar el móvil del incidente.
• Detallar el alcance del incidente.
• Verificar o descartar la existencia de una evidencia.
• Rastrear la procedencia de una evidencia (por ejemplo, de un correo elec-
trónico).
• Indicar potenciales soluciones para que el incidente investigado no vuelva
a darse.
La fase de análisis en un caso de investigación de evidencia digital o análisis
forense es un proceso que requiere de un alto conocimiento de los sistemas
que van a ser estudiados.
Conocer los principales repositorios de documentación sobre un determinado
sistema operativo o aplicación; o tener acceso a los archivos de sistema, a los
archivos de registro de actividad (logs), o a la estructura de un determinado
sistema de ficheros, puede ayudar notablemente a realizar un análisis de modo
más eficiente.
Las fuentes de información del análisis de datos pueden ser variadas, inclu-
so cuando proceden de un mismo dispositivo. Podemos clasificarlas según su
contenido:
• Registros (del sistema analizado, de otros próximos o en su perímetro, etc.).
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 22/38
© FUOC • XP07/92089/00002 22 Metodología y fases
• Capturas del tráfico de red (de IDS, completas, etc.). Es muy importante
recoger los registros de dispositivos de red para esclarecer qué flujos de
información desde/hacia el exterior ha habido.
• Ficheros del sistema analizado.
Cuando se realiza el análisis de los datos, hay que tener en cuenta que se
debe trabajar con una copia de los datos recogidos, de modo que si reali-
zamos algún proceso que pueda vulnerar su integridad podamos volver
a obtener una copia de la adquisición original para seguir trabajando.
Igualmente, es importante destacar que si se quieren presentar los resultados
de un análisis en un proceso judicial, los procesos que se lancen sobre la ad-
quisición de datos no deberían modificarla. Ante la duda el analista siempredebe buscar el asesoramiento de un experto en temática legal, preferiblemente
especializado en delitos digitales.
Otro punto muy importante que hay que tener en cuenta es el relativo a toda
aquella información cuyo estudio pueda encontrarse sujeto a fuertes restric-
ciones legales debido al carácter personal de los datos. En el Estado español,
estas restricciones vienen determinadas fundamentalmente por el artículo 18
de la Constitución.
Artículo 18 de la Constitución española
"1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propiaimagen.[...]3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficasy telefónicas, salvo resolución judicial."
En este sentido, para proteger estos derechos, se definió hace unos años la Ley
Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), ley
que debe ser considerada como guía de referencia antes de realizar cualquier
acceso a información que pudiera ser considerada de carácter personal.
Esta información no debiera ser analizada de ningún modo a no ser que se
disponga de una resolución judicial que permita su acceso. La investigación,
por tanto, ha de estar siempre encaminada a encontrar evidencias en toda
aquella información que no contenga datos de carácter personal o que no esté
incluida en carpetas que puedan denotar dicho carácter.
Carpetas personales
Se puede tomar como ejemplo de carpetas que denotan un carácter personal aquellascuyo nombre sea el del propietario del sistema analizado.
No se consideran como personales todas aquellas carpetas que aun connotando un ca-rácter personal son creadas por defecto en la instalación de un sistema operativo o apli-cación, como por ejemplo la carpeta "Mis Documentos" de Windows.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 23/38
© FUOC • XP07/92089/00002 23 Metodología y fases
Cabe destacar que esta fase debe realizarse, en su mayor parte, atacando direc-
tamente la imagen del sistema objeto de estudio desde otro sistema o máquina
forense; es decir, en nuestro caso, atacando directamente el fichero .dd y no
mediante la restauración de éste en otro equipo.
El primer paso que ha de realizar un analista en esta fase de análisis forense espreparar y organizar el entorno de trabajo, es decir, poner a punto un entorno
controlado donde se van a copiar los datos que se han de analizar, e instalar y
configurar las herramientas que es posible que se necesiten durante el análisis,
crear un espacio para guardar los datos que se vayan obteniendo, etc.
El siguiente paso es extraer la información de la adquisición de datos que se
ha realizado. Una adquisición de datos es una copia bit a bit de los datos con-
tenidos en un dispositivo de almacenamiento; ahora bien, esos datos pueden
contener información de tipo muy variado, que se debe extraer para el análisis.
A la hora de realizar una extracción de datos de una adquisición, el analista
forense la puede realizar a dos niveles:
• A nivel�físico. Se busca información sin que ésta sea interpretada por el
sistema operativo o por el sistema de ficheros. Si las estructuras lógicas
del disco (básicamente el sistema de ficheros que organiza la información)
están dañadas, ésta puede ser la única forma de extraer la información útil
de la adquisición.
Ejemplos de extracción a nivel físico
Búsqueda de cadenas de texto que puedan indicar que algún tipo de información existeen el disco.
Obtención de la tabla de particiones que pueda tener un dispositivo de almacenamiento,para poder examinar luego este primer nivel de organización e identificar, por ejemplo,el sistema de ficheros utilizado en cada partición.
• A nivel�lógico. En este caso se busca información una vez que se puede
interpretar la organización lógica de la información, cosa que se consigue
gracias al sistema de ficheros. Cuando se trabaja a este nivel, el analista
puede extraer:– La estructura de directorios, ficheros contenidos, localización, atribu-
tos de los ficheros, fechas y horas de modificación de los ficheros, ta-
maño de los ficheros, etc.
– Utilizar hash para reconocer archivos conocidos en el sistema (incluso
archivos maliciosos conocidos como troyanos).
– Contenidos que habrían sido eliminados.
– Contenidos en sectores libres.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 24/38
© FUOC • XP07/92089/00002 24 Metodología y fases
Una vez se ha extraído la información, el analista tiene a su disposición un
gran abanico de técnicas según lo que se quiera descubrir o reconstruir. éste es
quizás el punto donde la habilidad y experiencia del analista forense es más
importante.
Por lo general, la metodología que se ha de seguir a partir de este punto delanálisis es la hipótesis y la aceptación o refutación de dichas hipótesis a partir
de las evidencias digitales que se localicen.
A continuación se presentan algunas de las técnicas de las que dispone el ana-
lista forense para llevar a cabo el análisis de la información.
3.1. Zona horaria
Para poder aseverar con total certeza la fecha en que se realizó cualquier acción
que se encuentre durante la investigación y que pueda derivar en prueba elec-
trónica, así como también para poder correlacionar diferentes acciones, una
de las primeras acciones que se debe realizar es establecer la zona horaria en la
que se encontraba configurado el sistema objeto de estudio. Si no se determina
esta información durante las primeras etapas de la investigación, la validez de
las fechas que pudieran ser identificadas podría llegar a ser cuestionada más
adelante.
Hay que resaltar que en algunos sistemas operativos, como por ejemplo Win-
dows, los valores de las fechas pueden encontrarse almacenados en ficherosbinarios, que están expuestos de forma directa a la alteración o modificación
de su valor por la configuración horaria del sistema utilizado para la realiza-
ción del análisis o máquina forense.
Determinación de la configuración horaria en Windows
Veamos las acciones que se han de realizar para determinar la configuración horaria delsistema objeto de análisis.
El valor de la configuración horaria en un sistema Windows XP se encuentra localizadoen la siguiente clave del registro:
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\TimeZoneInformation
Veámosla, ahora, accediendo directamente al registro de Windows:
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 25/38
© FUOC • XP07/92089/00002 25 Metodología y fases
Teniendo en cuenta que UTC = HORA LOCAL + Bias y que los valores indicados, repre-sentados en código hexadecimal, corresponden a enteros con signo (SIGNED Integer):
Bias
Bias es la diferencia en minutos respecto a UTC.
• Valor bias: 0xffffffc4• Valor bias en binario: 1111 1111 1111 1111 1111 1111 1100 0100
Mediante este valor podemos ver que el bit más significativo, reseñado en negrita, es "1",con lo que sabemos que el valor del número en decimal será negativo y su valor real enbinario se obtendrá aplicando la función complemento a 2, esto es, cambiando todos los"0" por "1" y viceversa. Por tanto, el valor real en binario será:
• Valor bias en binario: 0000 0000 0000 0000 0000 0000 00111011• Valor en decimal: 60, o más bien -60 (recordemos que se trataba de un número ne-
gativo).
Por tanto, la configuración horaria del sistema objeto de estudio es UTC + 60 min o UTC+ 1h.
3.2. Timeline o mac-time
Una de las acciones que nos puede ser de mayor ayuda durante la investiga-
ción de una determinada incidencia en la que hay implicados sistemas de in-
formación será la realización de una lista ordenada cronológicamente de las
fechas de modificación, acceso y cambio de todos y cada uno de los ficheros
contenidos en el dispositivo de almacenamiento objeto de estudio. Tened en
cuenta que dichas fechas son controladas por el sistema de ficheros existenteen el dispositivo de almacenamiento y no por el sistema operativo.
En la actualidad, la mayoría de los sistemas de ficheros guardan los últimos
tiempos de modificación (m) y acceso (a) de archivos y modificación de me-
tadatos (c) de los archivos: �mac-times�. A partir de estos tiempos es posible
reconstruir las últimas acciones que se han llevado a cabo en un sistema. Una
timeline� es una presentación de dichos tiempos ordenados temporalmente.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 26/38
© FUOC • XP07/92089/00002 26 Metodología y fases
Ahora bien, ¿cómo se pueden reconstruir las últimas acciones llevadas a cabo
en un sistema a partir de los mac-times? Por lo general una acción o proceso
en el sistema tiene un patrón de comportamiento respecto a los archivos a los
que accede y modifica. Gracias a estos patrones es posible reconstruir algunas
acciones que se han llevado a cabo en el sistema a partir de la timeline.
El estudio exhaustivo de la timeline puede darnos a conocer cuáles han sido
las acciones realizadas desde la instalación del sistema hasta el momento en
que se realizó la imagen de éste.
A continuación vemos un extracto de una timeline, donde se contemplan los
ficheros que se manejan al crear un usuario en un sistema Linux mediante la
orden adduser.
Ejemplo de timeline
En la siguiente imagen podéis ver la forma que tendrá una timeline extraída medianteSleuthkit & Autopsy:
Otro detalle a tener en cuenta dentro de la timeline es la entrada que corresponde alfichero:
D:/Archivos de programa/Archivos comunes/Microsoft Sha-
red/PROOF/MSWDS_EN.LEX (deleted-realloc)
En ella podemos ver que este fichero había sido borrado, pero ha podido ser "reallocated"o reubicado. Esto es porque las herramientas de análisis forense están capacitadas paraoperar a nivel de inodo y de bloque dentro de la estructura del sistema de ficheros. Lamayoría de sistemas operativos, Windows y Linux entre ellos, al borrar un archivo, noeliminan el nombre del fichero y el valor de su inodo asociado, así como tampoco lospunteros a los bloques de información que contienen los inodos.
De este modo, y según lo explicado, en un disco duro, por ejemplo, se podrá
encontrar información del tipo siguiente:
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 27/38
© FUOC • XP07/92089/00002 27 Metodología y fases
Tipo Descripción Comentario
Allocated Inodo y nombre de fichero intactos Se dispone del contenido íntegro de un archivo determi-nado así como de los datos aportados por la mac-time .
Deleted-Reallocated Inodo y nombre de fichero intactos (recuperados)
Se dispone del contenido íntegro de un archivo determi-nado así como de los datos aportados por la mac-time .
Además se sabe que el fichero fue eliminado.
Unallocated Inodo y nombre de fichero no disponibles No se dispone del contenido íntegro del archivo. Tan sólode bloques que en su día formaron parte de dicho archivo, y con tamaño determinado por el tamaño de bloque delsistema de archivos. No se dispone tampoco de los datoso meta-información aportada por la mac-time .
3.3. Extracción de cadenas
La extracción de cadenas (strings) es otra acción que puede resultar de gran
ayuda durante la fase de investigación de evidencia digital. Con ella podremos
determinar, a partir de un conjunto de palabras clave, todos aquellos ficheros
que, no estando comprimidos en cualquier formato de compresión o cifrado
determinado, contienen dichas cadenas. Esta acción también es de habitual
realización al inicio de una investigación que pueda requerir la búsqueda de
patrones en la ingente cantidad de información que hoy en día puede haber
contenida, por ejemplo, en un disco duro.
Como ya se ha mencionado, la extracción de cadenas no funciona de for-
ma correcta, evidentemente, sobre ficheros comprimidos. Por eso es preciso,
con anterioridad, localizar dichos ficheros mediante búsquedas por extensión(.zip, .tar, .rar, .gzip, .bzip, etc.) o bien por metainformación característica de
cada una de las formas de compresión que se intuya que puedan existir en el
sistema que estamos analizando. Una vez identificados, estos archivos debe-
rán ser extraídos del sistema y descomprimidos. A continuación, se les deberá
aplicar la extracción de cadenas para tratar de localizar en ellas la existencia
de las palabras clave identificadas.
3.4. Análisis de datos ocultos
Esta técnica se basa en buscar datos que se hayan podido ocultar en archivos
o en el sistema de ficheros mediante técnicas como las siguientes:
• Estenografía: técnica empleada para ocultar un texto dentro de otra in-
formación, generalmente imágenes o ficheros multimedia.
• Compresión: las técnicas de compresión se utilizan para reducir el tama-
ño de un archivo. Para conseguirlo, cambian la representación de la in-
formación por un conjunto de códigos que ocupa menos espacio, con lo
que se transforma el contenido. Una técnica común es comprimir el archi-vo múltiples veces usando compresores lo más desconocidos posible (ARJ,
Metainformación
La metainformación propia decada fichero puede ser identifi-cada habitualmente en los pri-meros bytes del archivo, por ejemplo, mediante un editor hexadecimal.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 28/38
© FUOC • XP07/92089/00002 28 Metodología y fases
ZIP, RAR, LHA, etc.), de forma que sea complicado descomprimir el fichero
y así ocultar la información original.
• Criptografía: conjunto de técnicas para transformar la información de
forma que sólo se pueda obtener el original si se conoce la clave.
• Protección�con�contraseña: existen múltiples programas que permiten
almacenar información dentro de un fichero de datos cifrado o compri-
mido y que para volver al estado original, además de conocer el algoritmo
usado, requiere conocer la contraseña que se utilizó. En estos casos, para
poder acceder a la información protegida es necesario conseguir la contra-
seña utilizada usando ataques de fuerza bruta.
• Aprovechamiento�de�espacio�para�metadatos�libre:en las zonas no ocu-
padas por datos es posible ocultar información, también puede ocultar in-
formación en los flujos de datos alternativos de NTFS. Además, se deberá
buscar en las zonas libres ficheros borrados que pudieran aportar informa-
ción al caso.
3.5. Análisis de los archivos extraídos
Si se ha conseguido acceder a nivel lógico (sistema de ficheros) a los datos al-
macenados en la adquisición, es posible utilizar técnicas como las que a con-
tinuación se describen para el análisis:
• Búsqueda de patrones en los contenidos de los archivos.
• Búsqueda de nombres de archivos por patrones.
• Considerar relaciones entre archivos (por ejemplo, archivos adjuntos a un
correo).
• Identificar los tipos de archivos desconocidos y examinar sus contenidos.
• Examinar las localizaciones de los usuarios (los "homes" de los usuarios en
entornos Linux o "Mis Documentos" en entornos Windows).
• Examinar las configuraciones de usuarios y del sistema.
Ficheros con protección
Algunos ejemplos de fiche-ros que se pueden proteger con contraseña son los docu-mentos de Microsoft Word,los ficheros comprimidos ZIP oRAR, o ficheros generados por programas de gestión de con-traseñas.
Enlace recomendado
Sobre la ocultación de infor-mación en los flujos de datosalternativos de NTFS podéisvisitar la web deWindowSecurity.com
• Examinar los metadatos de los archivos.
• Análisis de registros, para intentar detectar accesos al sistema, peticiones
extrañas a algún servicio (como la web), etc.
Metadatos en Word
En archivos Microsoft Word losmetadatos pueden contener información sobre el autor u
origen de los contenidos.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 29/38
© FUOC • XP07/92089/00002 29 Metodología y fases
Las técnicas que se han comentado hasta ahora son técnicas que corresponden
a una metodología más "tradicional" dentro del análisis forense.
Actualmente es posible complementar las técnicas empleadas con ingeniería
de binarios o bien emulación del entorno adquirido mediante máquinas vir-
tuales.
A la hora de llevar a cabo el análisis de la información, el analista tiene a su
disposición un gran abanico de herramientas, algunas más generalistas (suites
de análisis forense) y otras más específicas según tipos de ficheros a examinar
o funcionalidades (máquina virtuales).
El uso de las herramientas adecuadas, por supuesto, puede suponer el éxito de
un análisis forense. Sleunth Kit &Autopsy es un entorno de análisis forense
open source muy utilizado.
3.5.1. Sleunth Kit & Autopsy
Sleunth Kit es un conjunto de herramientas creados por Dan Farmer y Wietse
Venema y derivadas de The Coroner's Toolkit (TCT). La aplicación funciona
sobre Unix y es capaz de analizar sistemas FAT, NTFS o ext2/3.
Autopsy es el fontend gráfico, basado en web, para Sleunth Kit, y permite ges-
tionar vía web la investigación de diversas imágenes. Al tratarse de una apli-cación web, mediante un navegador puede trabajarse de forma remota con
Autopsy.
Los ejemplos que se muestran a continuación se basan en la versión 2.04 de
Autopsy.
Creación de un nuevo caso
Opción "New Case". Primeramente debe describirse el caso. éste puede contener uno ovarios anfitriones (hosts), los cuales se añadirán al mismo caso mediante la opción "Add
Host". Cada nuevo anfitrión debe incluir:• Nombre.
• Texto descriptivo.
• Zona horaria, para poder correlacionar información de máquinas en diferentes zonas.
• Desfase del reloj. La introducción de la zona horaria es importante para correlacionardatos de diferentes dispositivos en un momento dado.
Observación
Es recomendable que insta-léis las herramientas SleunthKit &Autopsy para el correctoentendimiento de este suba-partado. Es posible descargar la aplicación desde su páginaweb .
Pantalla�principal�de�la�herramienta�Autopsy2.04
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 30/38
© FUOC • XP07/92089/00002 30 Metodología y fases
"New Case": creación de un nuevo caso
"New Host": inclusión de un nuevo anfitrión
Imágenes
Cada anfitrión puede contener varias imágenes fruto de la fase de adquisición de datos,las cuales pueden ser de una partición o un disco entero. Autopsy es capaz de discernirlas particiones en el caso de que se incluya una imagen de disco bit a bit.
Para cada imagen es necesario añadir los siguientes datos:
• Ruta a la imagen que proporciona el analista.
• Modo de importarla: copiar, mover, enlazar. Lo recomendable, si estamos importán-dola desde la adquisición de datos "original", es copiarla para trabajar sobre una copiade la adquisición.
• Sistema de archivos que contiene la/s partición/es.
• Punto de montaje de cada partición en el sistema original. De esta manera se puedenorganizar los datos según la estructura de directorios original.
• Opciones para asegurar la integridad, mediante la realización de un hash.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 31/38
© FUOC • XP07/92089/00002 31 Metodología y fases
"Add New Image": adición de una imagen
Detalle de la imagen y del sistema de archivos
Análisis
Una vez hemos introducido las imágenes en el caso, podemos analizar cada una de lasparticiones. Autopsy proporciona diferentes tipos de análisis, a partir de la extracción deinformación a nivel físico y lógico. Es posible realizar las siguientes acciones:
• "File Analysis": examina la estructura de directorios y ficheros. También muestra fi-cheros borrados que Autopsy ha podido recuperar.
• "Keyword Search": busca cadenas en la partición.
• "File Type": analiza los ficheros según su tipo, realizando clasificaciones y ordenacio-nes. Permite previsualizar las imágenes, detectar estenografía débil, etc.
• "Image details": muestra detalles sobre la imagen.
• "Meta Data": explora por metadatos (del sistema de ficheros), por i-nodo, por entradaFAT, por entrada MFT, etc.
• "Data Unit": explora por cluster .
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 32/38
© FUOC • XP07/92089/00002 32 Metodología y fases
Pantalla de análisis del caso
Los métodos de análisis "File Analysis", "File Type" y "Meta Data" precisan de acceso alsistema de ficheros. Es decir, es necesario realizar una extracción a nivel lógico de loscontenidos de la adquisición de datos.
Timeline (correlación de mac-time )
Aparte de los métodos de análisis comentados, Autopsy también proporciona al analistala posibilidad de crear timelines de forma visual y sencilla para su examen.
Mediante la opción "Create Data-files" y "Create Timeline" (ordenación de los datos),es posible obtener una secuencia de acciones sobre el disco basada en las mac-times, esdecir, según las últimas fechas de acceso, modificación y modificación de metadatos dearchivos, ordenadas por tiempo. Como se ha comentado anteriormente, el análisis de las
timelines puede acercarnos al final de una investigación mediante la reconstrucción deacciones que se han realizado en el sistema.
Para poder generar las timelines, es necesario poder extraer el disco a nivel lógico, esdecir, es necesario poder acceder a nivel de sistema de ficheros. Igualmente, es importanteconocer el sistema de ficheros con el que se está trabajando para interpretar qué significacada uno de los tiempos exactamente.
3.6. Cookies y archivos temporales de Internet
La localización e identificación de cookies y de archivos temporales de Internet,
o bien del histórico registrado por un determinado navegador, puede ayudar-
nos a localizar, por ejemplo, las fuentes de información o sites desde los queun intruso se ha descargado otros programas, mediante un determinado tro-
yano, que ha podido considerar necesarios para completar sus acciones.
Así, también pueden ser de gran ayuda para determinar si desde el sistema
analizado se ha estado utilizando algún servicio de correo web alternativo al
proporcionado, por ejemplo, por la empresa propietaria del sistema. Dicha in-
formación podría ser analizada, recordemos, tras la obtención de una autori-
zación judicial. Antes de dicha autorización, la información encontrada tan
sólo podría ser utilizada como indicio de posible filtrado de datos mediante un
sistema de correo ajeno al proporcionado por la empresa (si éste fuera el caso).
Localización en"index.dat"
Para el caso de análisis de sis-temas Windows, los ficherostemporales de Internet Ex-plorer y su histórico puedenser localizados en archivos"index.dat".
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 33/38
© FUOC • XP07/92089/00002 33 Metodología y fases
3.7. Identificación de registros
Otra ubicación interesante en la que buscar son los registros propios del siste-
ma operativo y de las aplicaciones que hayan sido identificadas en el conjunto
completo del sistema objeto de estudio. Los registros localizados en el propio
equipo analizado no son los únicos que pueden contener información de va-lor: los registros (logs) que hayan podido ser capturados y almacenados por
otro u otros sistemas que se encuentren en el mismo entorno lógico también
deben ser estudiados. Los siguientes registros pueden ser valiosos:
1) Registros del sistema operativo
a) Para el caso de los más actuales sistemas operativos de Microsoft, en el
trayecto ( path) "\Windows\System32\config".
• registros de seguridad: SecEvent.Evt
• registros de aplicaciones: AppEvent.Evt
• registros de sistema: SysEvent.Evt
b) Para el caso de distribuciones Linux, habitualmente en el trayecto ( path)
"/var/log"
• Archivos con extensión ".log"
2) registros de aplicaciones
a) Sistemas de detección de intrusos (locales) basados en anfitriones
b) Sistemas de detección de intrusos (locales) basados en redc) Firewalls personales
d) Antivirus
3) Registros de impresoras
a) Además de los posibles registros (logs) almacenados en la propia impresora,
debe tenerse en cuenta que algunos modelos imprimen marcas de agua que
pueden ser de gran ayuda para identificar su utilización, así como la fecha
en que fueron utilizadas. En casos, por ejemplo, de fuga de información
es de especial interés tratar de averiguar si las impresoras localizadas en el
entorno lógico del sistema objeto de estudio disponen de las mencionadas
funcionalidades.
4) Registros de firewalls de red
5) Registros de servidores
6) Registros de proxies
7) Registros de sistemas de detección de intrusos (host y net based )
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 34/38
© FUOC • XP07/92089/00002 34 Metodología y fases
8) Registros de servidores de correo
9) Registros en ISP/ASP
Información disponible por los ISP y ASP
La identificación de posibles registros que pudieran ser recogidos por los proveedores deservicios del entorno en el que se encontraba el sistema objeto de estudio es una tareaque debe realizarse con absoluta diligencia. Los proveedores de servicios, si bien estánobligados por ley a mantener registro de todas las actividades proporcionadas a sus clien-tes y soportadas por sus sistemas, no disponen de políticas comunes sobre el período detiempo durante el cual deben mantenerlos almacenados. Así, mientras algunos provee-dores mantienen registro de la asociación "dirección_IP – cliente"durante meses, otrostan sólo la almacenan durante unos días.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 35/38
© FUOC • XP07/92089/00002 35 Metodología y fases
4. Análisis en vivo
Para el caso en que nuestra investigación estuviera orientada a la obtención deevidencias de una posible intrusión, la imagen ".dd" (en nuestro caso) podría
ser restaurada en un ordenador o equipo de análisis de tal modo que pudiése-
mos ver cuál era el comportamiento del sistema objeto de estudio justo antes
de realizar una imagen de él.
Algunas de las pruebas que podemos realizar para tratar de agilizar el estudio
del sistema podrían ser:
Herramientas troyanizadas
Es importante que las pruebas que realicemos se hagan sobre una imagen del sistema parano modificar posibles evidencias y siempre mediante herramientas distintas a las dispo-nibles por defecto. Las herramientas propias del sistema podrían encontrarse troyaniza-das y por tanto no mostrarían un resultado real. Aun así, podríamos encontrarnos conuna posible troyanización a nivel del kernel del sistema operativo (de determinadas lla-madas de sistema) que impediría, también, la obtención de un resultado fiable mediantela utilización de herramientas ajenas al sistema.
• Barrido del sistema mediante un antivirus actualizado con el fin de tratar
de localizar software malicioso (virus, troyanos, keystrokes, rootkits, etc.),
que pudiera haber instalado de forma no autorizada.
• Análisis local del sistema para comprobar el estado de los puertos de red
abiertos tras el arranque del sistema. Se pueden emplear diversas herra-
mientas destinadas a ello (Fport o TCPView).
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 36/38
© FUOC • XP07/92089/00002 36 Metodología y fases
Fport propociona información sobre el estado de puertos y aplicaciones asociadas a ellos. Fport está disponiblepara Windows.
• Análisis local de toda la actividad del sistema de ficheros para identificar
archivos o librerías utilizadas durante el normal comportamiento del sis-
tema mediante herramientas del estilo lsof o Filemon.
lsof proporciona información sobre procesos en ejecución y ficheros abiertos asociados a ellos. lsof está disponiblepara Unix.
• Análisis remoto mediante herramientas de escaneado de puertos, como
nmap o nmapWin, con el fin de comprobar el estado real de los puertos
abiertos en el sistema objeto de estudio.
• Análisis remoto mediante herramientas de escaneado de vulnerabilidades,
como por ejemplo Nessus, para tratar de comprobar si los servicios abiertos
han podido ser comprometidos debido a alguna vulnerabilidad existente.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 37/38
© FUOC • XP07/92089/00002 37 Metodología y fases
• Captura de tráfico de red mediante herramientas de sniffing , como por
ejemplo Windump, tcpdump o Ethereal, para tratar de localizar, de modo
fiable, el destino de la información enviada desde el sistema objeto de
estudio.
5/16/2018 Fases y metodología del análisis forense - slidepdf.com
http://slidepdf.com/reader/full/fases-y-metodologia-del-analisis-forense 38/38
© FUOC • XP07/92089/00002 38 Metodología y fases
5. Documentación y presentación
Tan importante como realizar un buen trabajo técnico es poder redactar susconclusiones de manera que no se omita ningún detalle ni ningún punto im-
portante que tenga que ver con la investigación (estudio preliminar, adquisi-
ción de datos y análisis, si cabe). No obstante, se ha de tener en cuenta que
muy probablemente el resultado de la investigación podrá servir como prueba
pericial en un eventual juicio; allí, aparte del perito de la otra parte, segura-
mente nadie comprenderá los resultados técnicos que puedan identificarse en
la peritación. Cabe decir que, afortunadamente, son ya bastantes los miembros
de las distintas fuerzas de seguridad, así como abogados, que se encuentran
ampliamente versados en las nuevas tecnologías y en la identificación y ob-
tención de evidencias digitales, que en un futuro substituirán a la tradicional
prueba documental.
Ejemplo
Veamos, mediante un ejemploreal, un posible formato a se-guir al documentar una inves-tigación de evidencia digital.