Evidencia Digital
El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos.
Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignación de archivos del soporte.
Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyes referentes a ello, cada juez lo valora subjetivamente como prueba válida o no .Herramientas para la Recolección de Evidencia
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de
Herramientas sofisticadas se hace necesario debido a:
1. La gran cantidad de datos que pueden estar almacenados en un computador.
2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.
3. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
4. Limitaciones de tiempo para analizar toda la información.
5. Facilidad para borrar archivos de computadores.
6. Mecanismos de encripción, o de contraseñas.
- EnCase
ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de encase se relacionan a Continuación:
Copiado Comprimido de Discos Fuente.
Encase emplea un estándar sin pérdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo.
Búsqueda y Análisis de Múltiples partes de archivos adquiridos.
EnCase permite al examinador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de almacenamiento de la información. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro
y ser examinada en paralelo por el especialista.
Diferente capacidad de Almacenamiento.
Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD-ROM evitando costos, recursos y tiempo de los especialistas.
Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo. EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones.
Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.
- Herramientas para el Monitoreo y/o Control de Computadores
Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente .
- KeyLogger
“KeyLogger” es un ejemplo de herramientas que caen en esta categoría. Es una herramienta que puede ser útil cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones.
Existen dos versiones: la registrada y la de demostración. La principal diferencia es que en la versión registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la máquina no notará que sus acciones están siendo registradas.
- Herramientas de Marcado de documentos
Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente. El foco de la seguridad está centrado en la prevención de ataques. Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes.
Técnicas forenses en una máquina individual
Esta es probablemente la parte más común en las técnicas de forense digital. El examinador forense puede estar buscando evidencia de fraude, como hojas financieras dispersas, evidencia de comunicación con alguien más, e-mail o libretas de direcciones o evidencia de una naturaleza particular, como imágenes pornográficas. En los discos duros, se puede buscar tanto en los archivos del usuario como en archivos temporales y en caches. Esto permite al examinador forense reconstruir las acciones que el usuario ha llevado a cabo, que archivos ha accesado, y más.
Hay muchos niveles a los que puede ser examinado un disco duro, existen utilidades que por ejemplo, observar que contenía un disco antes de una formateada. Muchos de los archivos que se detectan no pueden ser leídos inmediatamente, muchos programas tienen sus propios formatos de archivo; sin embargo, también existen utilidades que permiten saber cual tipo de archivo es.
Técnicas forenses en una red
Las técnicas forenses en una red se usan para saber donde se localiza un computador y para probar si un archivo particular fue enviado desde un computador particular. Estas técnicas son muy complicadas, pero se puede investigar utilizando dos herramientas básicas:
- Registros de firewalls
- Encabezados de correo
Post-Mortem
He aquí la palabra que encauza el título de nuestro artículo, el análisis post-mortem se realiza mayoritariamente para la recuperación de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a éste recurso se aconsejan la copias de seguridad periódicas.
Se puede decir que un disco duro ha "muerto" cuando su parte mecánica interna no funciona correctamente o cuando se quema, moja, deforma, rompe, etc. Es decir, deja de ser operativo.
Cuando esto sucede no hay más que una solución posible, y esa es el análisis post-mortem. Para ello se lleva a cabo un volcado completo del soporte digital en una "cámara blanca". Los platos del disco antiguo se extraen y se insertan en un nuevo conjunto mecánico para su correcta lectura de datos.
Hay que tener claro que un volcado no es lo mismo que una simple transferencia de ficheros, si no que es una copia EXACTA de un soporte en otro, los mismos bits uno tras otro desde el principio hasta el fin. Para comprobar, una vez finalizado el volcado, de que las copias son idénticas, se pasa el algoritmo de hash MD5 de 128 bits cuyo resultado es un valor hexadecimal de 32 dígitos; si éste es el mismo en los dos podemos asegurar que el proceso ha sido completado con éxito, y de esta forma trabajar como si se tratara del mismo sistema justo antes de sufrir daños.
No hay comentarios.:
Publicar un comentario