2. Introducción

La ciencia forense es metódica y se basa en acciones premeditadas para reunir pruebas y analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel importante en reunir la información y pruebas necesarias. La escena del crimen es el ordenador y la red a la cual éste está conectado.

[Subir]

a. Objetivos

El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada para reconstruir a través de todos los medios el log de acontecimientos que tuvieron lugar desde el momento cuando el sistema estuvo en su estado integro hasta el momento de detección de un compromiso.

Esa tarea debe ser llevada acabo con máxima cautela, asegurándose que se conserva intacta, a la mayor medida posible, la información contenida en el disco de un sistema comprometido, de forma similar que los investigadores policiales intentan mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles.

El trabajo de un investigador forense es necesario para ofrecer un punto de partida fundamental para que los investigadores policiales, ofreciéndoles pistas sólidas, así como pruebas para su utilización posterior.

[Subir]

b. Alcance y Supuestos

Cada uno de los incidentes es único, por lo tanto, la involucraron de un investigador forense externo es diferente en cada caso. Algunas veces el trabajo puede estar limitado a colaborar con las agencias del gobierno como Departamento de Delitos Telemáticos de Guardia Civil y/o Brigada Investigación Tecnológica, proporcionándoles el equipo íntegro para que sea analizado en sus instalaciones y por sus expertos.

Otras veces será necesario previamente realizar una recolección de información del sistema informático: analizar ficheros log, estudiar el sistema de ficheros (FS) del equipo comprometido y reconstruir la secuencia de eventos para tener una imagen clara y global del incidente.

El análisis termina cuando el forense tiene conocimiento de como se produjo el compromiso (1), bajo que circunstancias (2), la identidad de posible/s atacador/es (3), su procedencia y origen (4), fechas de compromiso (5), objetivos del/los atacador/es (6) así como, cuando ha sido reconstruida completamente la línea temporal de los eventos (7).

Cuando un investigador forense empieza el análisis de la situación nunca sabe con lo que va a enfrentarse. Al principio puede ser que no encuentre a simple vista ninguna huella ni prueba de que el equipo ha sido comprometido, especialmente si hay un "rootkit" [1] instalado en la máquina. Puede encontrar procesos extraños ejecutándose con puertos abiertos. También es frecuente que vea una partición ocupada 100% de su capacidad, pero cuando la verifica a través de du, el sistema muestra otro porcentaje de ocupación. Puede encontrar una saturación de tráfico de red desde un host específico. Es posible encontrar aplicaciones que están consumiendo un porcentaje elevado de del CPU pero no haya ningún indicio de un programa con ese nombre en el sistema de ficheros.

Los pasos para empezar la investigación de un incidente son diferentes en cada caso. El investigador debe tomar decisiones basándose en su experiencia y el "sexto sentido" para llegar al fondo del asunto. No es necesario seguir pasos determinados, ni su orden es importante a veces.

Puede que algunos pasos básicos sean más de lo que hace falta y también puede ser que estos sean insuficientes para solucionar el problema. Los pasos básicos pueden concluir en localizar todas las huellas y eventos que se produjeron.

Y en supuestos los pasos básicos no han desvelado la situación, se debe recurrir a llevar acabo un análisis profundo o de-compilación de las aplicaciones encontradas durante la búsqueda. Estas aplicaciones pueden ser escritas totalmente desde cero y protegidas, pero en la mayoría de los casos son aplicaciones utilizadas de forma común, que circulan por la red, estén o no estén protegidas. Cuando hablamos de protección de ficheros podemos hablar sobre técnicas de confusión, ofuscación y compresión (Ver apéndice A para detalles).

[Subir]

c. Indicaciones

En vez de utilizar "a rajatabla" el orden de los procedimientos que fueron establecidos por otros analistas forenses, se debe considerarlos como recursos y el orden necesario en cada caso puede variar. Una vez aprendidas técnicas generales, se podrá combinarlos con la experiencia y crear sus propios trucos en un futuro. Es como ser un cocinero que utiliza el libro de recetas para preparar sus platos, y con experiencia modifica las recetas para obtener un plato único.

La persona que ha descubierto el incidente debe asegurarse que hay máxima información intacta posible para que el investigador forense pueda realizar su trabajo con éxito, ya que la información encontrada dentro del sistema registra la historia real de lo que ha sucedido.

Hay solo única cosa que es común para cada investigación forense, y no es suficiente repetirla siempre. Se debe tener a mano un cuaderno y un bolígrafo para apuntar inmediatamente todos los pasos que efectúa durante el proceso de investigación. También se debe recordar (y apuntar) que los pasos para preservar y reunir las evidencias deben ser efectuadas con lentitud, precaución, metódica y pensándolo dos veces antes de hacer cualquier cosa ya que cualquier error puede llevar consigo consecuencias como pérdida de pruebas.

Tener el cuaderno a mano puede ser necesario para refrescarle la memoria varios meses después de la investigación cuando llegue la hora de testificar en una sala de juicio (si el caso llega a estos extremos).

Las notas también ayudarán a calcular de forma más precisa las pérdidas sufridas por la empresa, evitando estimaciones exageradas que suelen producirse durante los casos criminales por parte de empresas afectadas, abogados e otros terceros.

[Subir]

d. Equipo Necesario

Referente a las técnicas de análisis forense descritas a continuación asumo que utiliza un sistema operativo Red Hat Linux i386 sobre cualquier motherboard compatible con Intel. Estas técnicas son casi idénticas para cualquiera de las versiones o distribuciones de GNU/Linux ó Unix, pero algunas características de i386 pueden variar de un servidor a otro (ejemplo: utilización de controladores IDE, limitaciones de PC BIOS, etc...). Consulte manuales de administración y seguridad de sistema de su distribución de GNU/Linux.

Equipo Principal - Es preciso tener un sistema dedicado, propio para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los "ataques de limpieza" [2]. Un ejemplo de configuración de un laboratorio forense puede ser siguiente:

Equipo Móvil - Otro sistema de análisis es un nuevo portátil. El buen método de llevar el laboratorio hasta el sistema accidentado es un portátil con tarjeta eth 10/100, disco duro de más de 18 Gb - suficiente espacio que permitirá almacenar toda la información de imágenes del sistema de ficheros (estas imágenes deberían luego almacenarse en cintas) para luego analizarlas, visualizar los resultados, craquear las contraseñas crypt() del intruso que puede posiblemente encontrar, y una mochila.

Un cable 10Base-T normal y uno cruzado le permitirá conectarse con un hub, switch directamente al "cadaver" y todavía utilizar la red para comunicarse con el sistema víctima sobre una mini-red aislada de 2 estaciones de trabajo. Para ello necesitará establecer una ruta estática en la tabla de rutas para que eso funcione.

Un equipo de análisis funcionando bajo GNU/Linux será suficiente para analizar sistemas de ficheros diferentes pero soportados como por ejemplo Sun UFS. Se podrá simplemente montar el sistema de fichero emitiendo el comando mount con la opción particular (ver página man del mount).

Ejemplo:

[root@quest.activalink.com]# mount -r -t ufs -o ufstype=sun /dev/hdd2 /mnt

Otra ventaja de GNU/Linux para investigadores forenses es capacidad de "loopback", que permite montar un fichero que contiene una imagen del disco (obtenida con dd) dentro del sistema de ficheros de la estación de análisis (Ver el apéndice B para detalles).

[Subir]


[Anterior] [Menu Principal] [Siguiente]