GUIA RAPIDA DE PROCEDIMIENTOS

1 de Marzo de 2010

.

DEPARTAMENTOS DE SEGURIDAD DE LA INFORMACIÓN, RESPUESTA A INCIDENTES Y INFORMÁTICA FORENSE.

.

Recolección de la evidencia:

.

  • Identificar la posible evidencia, aislarla restringiendo el acceso y egreso de personas y equipos informáticos.
  • Mantener el estado de los equipos (on/off), relevar la red y sus dispositivos y desconectar la red, identificar y adquirir la evidencia considerada de importancia y volátil.
  • Comprobar la existencia de redes inalámbricas, relevarlas y desconectarlas, documentar fecha y hora de cada proceso antes de apagarlo, identificar cada dispositivo y documentar software y hardware.
  • Identificar los datos y como están almacenados, adquirirlos y documentar cada proceso realizado.
  • Mediante la obtención de imágenes forenses en el lugar de los hechos, se podrá al momento del análisis acceder a los datos lógicamente accesibles, a los datos eliminados, a los datos en ambient data y datos estenográficos.
  • Embalar y empaquetar identificando y describiendo cada dispositivo inequívocamente, dejando constancia de fecha y hora de incautación, tener en cuenta la preservación ante electricidad estática y condiciones ambientales adversas.
  • Analizar los datos identificando el sistema operativo, carpetas comunes de evidencias en carpetas personales, archivos temporales, bitácoras, historiales, redes cableadas e inalámbricas, dispositivos móviles y tarjetas de memoria.

.

.

Metodología de Preservación de la Evidencia Digital

.

Toda evidencia digital es y debe ser convincente ante un tribunal de justicia o en donde haya alguna disputa. Para asegurarla, es importante la homogeneidad del protocolo de admisibilidad de la prueba, además de una continua aproximación de lo que podría tratarse de un prueba encuadrándola en un marco de trabajo.

El proceso de instrucción cuando el delito o evento se haya consumado consta de las siguientes etapas:

.

  • Identificación de la Evidencia Digital
  • Preservación de la Evidencia Digital
  • Análisis de la Evidencia Digital
  • Presentación de la Evidencia Digital

.

En el proceso de investigación dada la complejidad de los procedimientos procesales a lo que se encuentran revistando en fuerzas policiales deben incluir una etapa previa, ya que en etapa de investigación de la comisión del delito o hecho se debe asegurar la potencial evidencia, resultando de ello etapas previas:

.

  • Asegurar la escena del presunto delito
  • Identificación de la Evidencia Digital
  • Preservación de la Evidencia Digital
  • Análisis y Resguardo de la Evidencia Digital
  • Presentación y generación de Informe Técnico o Informe Pericial

.

Para cada una de estas etapas se debe documentar minuciosamente cada una de las evidencias recolectadas y se debe mantener la cadena de custodia de la evidencia.

Las etapas de asegurar la escena, identificar la evidencia y preservarla correctamente, deben ser realizadas en la escena del “crimen”, es por tanto, que se deja constancia en las actas y se documenta la obtención de la evidencia digital, en caso de encontrar equipos en funcionamiento, se debe preservar la evidencia mediante la obtención de la memoria RAM y los procesos que se encuentran corriendo del sistema operativo, todo ello dejando constancia de las labores gestionadas ante los testigos de acta, además de ello de ser posible generar una imagen forense del/los disco/s rígido/s en la escena del crimen, para que la cadena de custodia permita reservar el ordenador y analizar directamente la imagen con software forense.

Es importante tener en cuenta que todo lo que no sea adquirido como evidencia en el lugar no podrá obtenerse posteriormente debido a la volatilidad de cierto tipo de evidencia digital.

Las últimas etapas de análisis, resguardo y generación del informe técnico, deberán realizarse en el laboratorio, teniendo en cuenta las condiciones de preservación y el equipo idóneo a utilizar.

Toda evidencia o posible prueba relevada por el idóneo en la materia deberá ser adecuadamente etiquetada y documentada, registrándose y documentándose en detalle en las actas realizadas por el personal interventor.

Al momento de realizar la generación de la etapa de presentación e informe técnico se debe presentar lo documentado como cadena de custodia y asimismo tener en cuenta que debe ser reproducible proporcionando los mismos resultados siempre y el licenciamiento del software utilizado para tal fin.

.

En la Escena del crimen se deben desarrollar las siguientes labores:

.

  • Identificar la posible evidencia digital, aislarla estableciendo un perímetro.
  • Restringir el acceso y egreso de personas y equipos informáticos.
  • Mantener el estado de los equipos (apagado, encendido, hibernación, realizando impresiones)
  • Desconectar de la Red, luego de realizar todo tipo de relevamiento de equipos conectados.
  • Identificar y obtener todo tipo de evidencias volátiles.
  • Comprobar, relevar y desconectar las conexiones inalámbricas y conexiones remotas.
  • Documentar fecha y hora del sistema antes de apagarlo.

.

  • Documentar las identificaciones de cada dispositivo.
  • Documentar tanto hardware como software presente en la escena del “crimen”.

.

Etapa de Identificación:

.

Consta del proceso de identificar los datos relevantes a los hechos investigados en autos y como están almacenados.

Existen los datos volátiles que deberán ser adquiridos in situ rápidamente y correctamente documentados.

Como por ejemplo: Registros y cache del procesador, memoria RAM, tablas de ruteo, cache ARP, procesos, estadísticas del kernel y sus módulos, archivos temporales, estado de la red, archivos en uso, constancias de modificación, acceso y creación de los archivos en uso.

Las mismas deben ser resguardadas en un medio de almacenamiento externo y resguardado con su correspondiente constancia en actas y documentación de la cadena de custodia.

A nivel de no-volátiles, recabar información de todo dispositivo que permita el resguardo de información o de configuraciones que sean considerados de importancia para la investigación de los hechos.

Además del hardware y software, es necesario tener en cuenta, que en ciertos casos es recomendable resguardar manuales de hardware y software, documentación de los sistemas (trashing) llaves electrónicas.

.

Etapa de preservación:

.

Obtención y resguardo de los datos volátiles y no volátiles, embalaje y empaque único identificable, dejando constancia de:

Identificación del objeto, ubicación, breve descripción, día y hora de la incautación.

Teniendo en cuenta la preservación de los mismos de la electricidad estática, condiciones ambientales adversas y dejar constancia en lo documentado del hecho.

.

Etapa de Análisis:

.

El perito ad-hoc que realiza el análisis deberá tener en cuenta:

Datos lógicamente accesibles, datos eliminados, datos en “ambient data” (non-allocated space, ficheros de paginado, espacio entre sectores, entre particiones, etc.), datos estenográficos,

Analizar los datos específicos según sea necesario en el informe técnico, del sistema operativo, localización común de evidencias (carpetas personales de usuarios del sistema, correo electrónico en

caso de autorizarse o solicitarse, archivos temporales de los navegadores web, cookies, favoritos, historiales, bitácoras (logs), archivos de texto, planillas de cálculo, ficheros gráficos, etc.).

Analizar las redes, redes cableadas e inalámbricas, dispositivos móviles, tarjetas de memoria, etc).

.

.

Etapa de generación de Reporte e Informe Técnico:

.

Basándose en lo documentado en etapas anteriores y la correcta cadena de custodia se sustentara la validez de la evidencia digital y la generación del informe técnico irrefutable, dejando constancia de el marco de la causa, a solicitud de quien se realiza, la evidencia digital aportada, la descripción detallada de las operaciones técnicas realizadas y las conclusiones que se obtengan del análisis de la información como idóneo en la materia, sin calificar o valorar de modo alguno la evidencia, manteniendo así la objetividad del perito.

Es decisivo que el perito presente la evidencia y las operaciones realizadas en un formato sencillo de entender, acompañado de explicaciones que eviten la jerga o terminología técnica.

Las operaciones realizadas deben ser sencillas de manera tal que puedan ser reproducidas de una manera lógica teniendo en cuenta que la sustentación de la evidencia está supeditada a la cadena de custodia y a las operaciones realizadas.

.

Programas Asociados a las distintas tareas forenses:

.

Adquisición de memoria RAM

.

  • Memdump
  • Win32dd
  • MoonSols Windows Memory Toolkit
  • Ramdump
  • Winen
  • Mandd

.

Adquisición de Imágenes Forenses

.

  • Helix
  • EnCase
  • DD
  • Scalpel
  • AccessData
  • ASR
  • DIBS
  • FTK Imager by AccessData
  • Ghost
  • iLook
  • Paraben
  • ProDiscovery
  • X-Ways Forensics
  • X-Ways Replica

.

Herramientas de Análisis Forense

.

  • Blackthorn GPS Forensics
  • HBGary Responder Professional – Windows Physical Memory Forensic Platform
  • BringBack by Tech Assist, Inc.
  • EMail Detective – Forensic Software Tool by Hot Pepper Technology, Inc
  • EnCase by Guidance Software
  • fbi by Nuix Pty Ltd
  • Forensic Toolkit (FTK) by AccessData
  • ILook Investigator by Elliot Spencer and U.S. Dept of Treasury, Internal Revenue Service – Criminal Investigation (IRS)
  • Mercury Indexer by MicroForensics, Inc.
  • OnLineDFS by Cyber Security Technologies
  • P2 Power Pack by Paraben
  • Safeback by NTI and Armor Forensics
  • X-Ways Forensics by X-Ways AG
  • Prodiscover by Techpathways

.

.

.

.

Pablo Gabriel Fidalgo
Manager of the Information Security Department at CIMASIX S.A.
pablo.fidalgo@cimasix.com
Tel. 054 11-4372-2379
Buenos Aires, Argentina

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Publicado en CimaSix S.A. | No hay comentarios »

AUDITORIA- PORQUE?

12 de Enero de 2010

Auditoría

La auditoría es un examen critico que se realiza a fin de evaluar la eficacia de una empresa, parcial o totalmente.

Proviene de la palabra latina auditorius y deviene en el “auditor”, que es aquel que posee la “capacidad de oír”

Existen dos tipos de auditorías a realizar:

.

AUDITORIA INTERNA – AUDITORIA EXTERNA

En la Rama de la Informática se realizan las tareas de Auditoría en las siguientes áreas:

  • Auditoría de Sistemas Informáticos.-
  • Auditoría de Comunicaciones y Redes.-
  • Auditoría de Seguridad Informática.-

.

Auditoría Informática de Sistemas:

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Verificándose en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

.

Software Básico:

Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costos, por si hubiera alternativas más económicas.

.

Software de Teleproceso (Tiempo Real):

No se incluye en Software Básico por su especialidad e importancia. Las consideraciones anteriores son válidas para éste también.

.

Auditoría de Tunning:

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal del Departamento de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar:

  • Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
  • De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano.

El auditor deberá conocer el número de Tunning realizados en el último año, así como sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de confianza de las observaciones.

.

Optimización de los Sistemas y Subsistemas:

El Departamento de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunning preprogramados o específicos. El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crítico de producción diaria. Realización de un análisis de performance de aplicaciones, para luego optimizarla, mejorar el rendimiento de dicha Aplicación.

.

Administración de Base de Datos:

El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito del Departamento de Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer el diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su administración. Los auditores de Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Sistemas tiene sobre la problemática general de los usuarios de Bases de Datos.

La administración tendría que estar a cargo de Sistemas. El auditor de Base de Datos debería asegurarse que Sistemas conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de resguardo existentes, que competen igualmente a Sistemas. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.

.

Investigación y Desarrollo:

Como empresas que utilizan y necesitan de sistemas informáticos desarrollados, saben que sus propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas. La auditoría informática deberá cuidar de que la actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.

.

Auditoría Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Inalámbricas, Líneas, Concentradores, Multiplexores, Switches, Routers, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. La auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales.

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.

.

Auditoría de la Seguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad informática o de comunicaciones de la Empresa damnificada. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan  “virus” o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso a bases de datos a fin de modificar la información con propósitos fraudulentos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la de ordenar y autorizar el acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Desarrollo, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

.

El sistema integral de seguridad debe comprender:

  • Elementos administrativos
  • Definición de una política de seguridad
  • Organización y división de responsabilidades
  • Seguridad física y contra catástrofes (incendios, terremotos, etc.)
  • Prácticas de seguridad del personal
  • Elementos técnicos y procedimientos
  • Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
  • Aplicación de los sistemas de seguridad, incluyendo datos y archivos
  • El papel de los auditores, tanto internos como externos
  • Planeación de programas de contingencia a desastres, tolerancia a fallos y su prueba

.

.

.

.

Pablo Gabriel Fidalgo
Manager of the Information Security Department at CIMASIX S.A.
pablo.fidalgo@cimasix.com
Tel. 054 11 4372 2379
Buenos Aires, Argentina

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Publicado en CimaSix S.A. | 1 comentario »

Spam a móviles via Bluetooth

6 de Diciembre de 2009

Recuerde los peligros que puede llegar a mantener el Bluetooth activado en nuestros dispositivos móviles mencionando algunos programas que permiten enviar mensajes de texto y archivos multimedia a modo de spam (Btopush, BT Spammer, BlueSpam).

.

Basta con activar el bluetooth del celular en algún lugar con gran cantidad de personas (ejemplo clásico el shopping) para comprobar que muchas personas lo tendrán activado aunque no lo estén utilizando.

Esta tecnología permite que los dispositivos puedan comunicarse de forma inalámbrica en un rango de distancia bastante amplio, normalmente cuando uno intenta comunicarse con otro el receptor es advertido, pero existen programas que permiten acceder al aparato sin advertencia para el usuario.

Existen varios metodos para bombardear de spam un telefono celular de una persona que tenga el bluetooth activado.

.

Asi que tengan mucho CUIDADO!!!

.
Para evitar estos problemas y mantener su información a salvo de estos ataques (agenda, contactos, mensajes, fotos, etc), deberá mantener el bluetooth apagado y en lo posible utilizarlo siempre en “modo oculto”, de esta forma podrá mantener su informacion a salvo y que no sea enviada o capturada por otros aparatos ya que los mismos pueden ser capturados durante las transferencias.

.

.

.

.

Rafael Marcelo Carmona
Manager of the Incident Response Department at CIMASIX S.A.
rafael.carmona@cimasix.com
Tel. 054 11 4372 2379
Buenos Aires, Argentina

Etiquetas: , , , , , , , , , , , , , , , , ,
Publicado en CimaSix S.A. | No hay comentarios »

Campaña de Difusión sobre Delitos Informáticos e Informática Forense en la UTN Regional Buenos Aires

11 de Noviembre de 2009

El día 11 de Noviembre continuamos con un aspecto más que importante en lo que respecta a nuestra empresa y es la realización de charlas de capacitación y asesoramiento en el ámbito universitario.

Es así como nuestra empresa impartió una charla en la cátedra de pericias informáticas del Ingeniero Darío Américo Piccirilli, persona de renombre mundial en lo que respecta a la materia mencionada, a futuros ingenieros en sistemas.

Esta conferencia se realizó en la Universidad Tecnológica Nacional Regional Buenos Aires, donde se conto con una gran participación e interés de estudiantes de esa institución. La conferencia estuvo impartida por Marcelo Miceli, Rafael Carmona, Pablo Gabriel Fidalgo y Víctor Aquino, quienes conforman la dirección de CimaSix.

El fin de esta exposición fue trasmitir conceptos básicos en cuanto a la realización de una pericia informática, como así también debatir sobre nuevas formas de obtener evidencia digital. Es así como lo que se había planteado como una exposición se transformo en un debate abierto donde se produjo un intercambio interesante de puntos de vista.

Otro punto que se abarco en la charla fue la utilización de software específico para realizar esta tarea haciendo una comparación de las herramientas de mayor renombre del mercado dejando ver sus beneficios al momento de aplicarlas.

A demás de esto se mencionaron anécdotas vividas a lo largo de nuestra experiencia, las cuales sirvieron para poder enmarcar y ejemplificar los conceptos expuestos en la charla.

Como conclusión por parte de nuestra empresa se menciona que si bien habíamos pensado tener una charla o exposición con un pequeño debate, se podría decir que el resultado fue un debate con una pequeña exposición, lo que a nuestro criterio resulto mucho más interesante y útil para los participantes y para nosotros. Ya que si bien los principales oradores fueron nuestros representantes, el intercambio de opiniones resulto más que interesante dado que se obtuvieron otros puntos de vista que no se habían considerado antes de realizar este evento.

Sin más para mencionar lo que nos queda por decir es que el objetivo, al menos para nosotros, se cumplió con creces y dejo abierta la posibilidad de continuar con estos eventos en un futuro no muy lejano.

.

.

.

.

Rafael Marcelo Carmona
Incident Response Manager at CimaSix S.A.
rafael.carmona@cimasix.com
Tel. 054 11 4372 2379
Buenos Aires, Argentina

Etiquetas: , , , , , , ,
Publicado en Difusión | No hay comentarios »

LA MEMORIA RAM, su Adquisición como Medio Probatorio

2 de Noviembre de 2009

Introducción

La toma de evidencias que implican evaluar determinados aspectos legales para comprobar su validez.

Se plantea un inconveniente legal al presentar la adquisición de memoria RAM como evidencia digital en la legislación nacional, debido a los vacíos legislativos y contemplando que la misma es irreproducible, es correcto no admitirla?, ya que la misma contiene datos únicos al momento de la adquisición, que permiten obtener datos de fundamental valor probatorio que de otra manera no pueden ser obtenidos, que podrían ser válidos realizando la operación delante de los testigos del acto y cerrando la evidencia obtenida con sus firmas y así, procediendo a apagar el ordenador luego de haber realizado la simple tarea de volcar la memoria.
Es tarea del presente presentar las posibilidades del mañana, con el auge de los sistemas operativos “live” que corren desde un pen-drive y la posibilidad de que al reiniciar el ordenador no quede rastro de ellos, es fundamental la posibilidad que ante la flagrancia de un actuar delictivo que sea comprobable en el momento y avalado con la evidencia probatoria de la adquisición de memoria RAM se encuentre contemplado en el código procesal de las distintas fuerzas de seguridad para asegurar el valor probatorio de la evidencia digital.

Planteo del problema

Sistemas operativos live, conversaciones de mensajería instantánea, contraseñas, unidades y particiones ocultas, encriptadas con contraseñas, todo ello plantea la necesidad de nuevas técnicas de informática forense y ante el desafio de poder obtener evidencia digital se han desarrollado nuevas técnicas dependientes de la adquisición de la memoria RAM, tanto por software como por hardware, distintas técnicas que aunque no se encuentran todavía estandarizadas permiten obtener dicho datos y la posibilidad de plantear su admisión como evidencia digital ya que no modifican dato alguno.

Herramientas

Existen herramientas que permiten la adquisición de la memoria RAM por medio de software diseñado para tal fin, desprendiéndose de esta rama dos tendencias marcadas por los resultados, aquellas que obtienen la adquisición de la memoria mediante la ejecución de un programa en la memoria RAM (usualmente se alojan en el espacio no utilizado), aquellas que adquieren la memoria post booteo del ordenador donde obtienen parcialmente datos que quedan en la memoria RAM (en este caso es instantáneo al booteo que se debe hacer la adquisición).

Por ultimo desarrollos en lenguajes programación de bajo nivel que permiten acceder directamente a la memoria (sin ocupar procesador, ni sistema operativo) que realizan la adquisición a través del puerto FireWire desde otro ordenador y acceden directamente a la DMA y permiten volcar completamente la memoria y no modificar la evidencia digital obtenida, siendo esta ultima técnica la mas positiva al momento de adquirir evidencia digital, aunque plantea la dificultad de que los ordenadores de los cuales se realiza la adquisición deben tener puerto firewire.

Informática Forense

La informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en medio computacional (Evidencia Digital).

Sus objetivos son:

• La compensación de los daños causados por los criminales o intrusos.
• La persecución y procesamiento judicial de los criminales.
• La creación y aplicación de medidas para prevenir casos similares.

Metodologías de trabajo

Si bien se contempla la adquisición de datos de relevancia mientras la computadora se encuentra encendida, mediante gran cantidad de técnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el análisis computacional, es necesario destacar el propósito de este articulo que consta de destacar la importancia que reviste hoy día, realizar procedimientos que permitan la adquisición de los datos contenidos en la memoria RAM (random access memory, una memoria del tipo “volátil”).
Uno de los temas más controvertidos, siempre suele surgir cuando se estima, la posible validez de los datos presentados en un Juicio a partir de una evidencia como pudiera ser la RAM. Un correcto análisis de esta puede revelar datos muy relevantes de la información y procesos existentes en un ordenador, pero implica la toma de estos datos en caliente.

Durante mucho tiempo fue de creencia que teóricamente luego de reiniciar el ordenador se perdería la información alojada en la RAM, teoría que fue demostrada como errónea por la universidad del MIT, quienes realizando técnicas de “cold boot attack”, pudieron congelar un modulo de memoria y obtener los datos de esta en otro ordenador.

Cual seria el propósito de esto a nivel informática forense, es preciso indicar con el crecimiento de las distribuciones de sistemas operativos GNU/Linux, los cuales en sus versiones mas actuales gestionan y administran el sistema operativo desde un “LIVE CD” alojado en memoria, que en caso de no realizar la adquisición de estos datos perderíamos gran cantidad de información, particiones encriptadas, que en el caso de poseer una partición oculta encriptada y con contraseña, seria un gran ahorro técnico, de recursos y horas de trabajo/hombre poder obtener la contraseña y datos de relevancia por haber realizado un volcado de memoria previo al secuestro del ordenador.

Planteando por ello una operación, que de visu no resulta practica, pero puede aportar beneficios importantes al momento de realizar análisis forense, que al momento de secuestrar un ordenador que se encuentra encendido como paso previo a su correcto apagado y franjado se realice un volcado de la memoria RAM en un dispositivo de almacenamiento masivo (pendrive, memory stick, etc.) y así obtener el volcado de memoria constando en acta como evidencia digital, para sus posterior análisis.

El problema por lo tanto surge, cuando tenemos que conseguir dichos datos, sin alterar la información que pudieran llevar (claro sin instalar ninguna aplicación o iniciarla y que esta no quede registrada en la misma RAM). La disyuntiva en sí no radica en la toma de esta memoria, si no que en un Juicio la otra parte pueda alegar que se ha podido producir una posible alteración o manipulación de todas las evidencias, por haber hecho uso o instalación de una aplicación antes de haberse producido la toma de las evidencias.

En los procedimientos habituales la toma de evidencias se toma de forma off-line, y validándolas mediante la firma digital, asegurando por lo tanto, que no se va a producir una alteración de estas evidencias. Este procedimiento no puede ser utilizado por la RAM, por lo que dudosamente pueda presentarse conclusiones en un juicio partiendo de la RAM como evidencia.

Y si perdemos esa información, la parte donde podemos encontrar información relevante es en el Archivo de Paginación.

Conclusiones

La capacidad de entender el problema de vital importancia para la comprobación de delitos mediante evidencia digital del orden volátil es fundamental, comprender que por que sea volátil no sugiere adulteración o que fuera realizada en pos de inventar/fabricar un prueba, es por ello que con una correcta cadena de custodia y teniendo en cuenta el hecho de realizar la adquisición en presencia de testigos de acta, que se podría plantear la posibilidad de ser admitida como prueba valida.

Es necesario tener en cuenta la calidad y normas procedimientos de obtención de la RAM, no contemplando la posibilidad de “cargar” un programa en memoria para la adquisición de la misma, si existe métodos que permiten a través de puertos definidos acceder a la memoria, sin modificar los procesos ni el contenido de la RAM, lo cual aseguraría que es una copia espejo de la memoria del ordenador a secuestrar.

Asimismo es fundamental entender la capacidad de obtención de evidencia digital que permitiría el hecho de tener datos concretos de la actividad desarrollada por el ordenador en el momento en que se secuestro, y además de la importancia que reviste la obtención de datos que permitan acceder a unidades ocultas, encriptadas y con contraseña que no se podrían obtener de otra manera o implicaría meses de procesamiento con ordenadores especializados dedicados a esos procedimientos.

.

.

.

.

Rafael Marcelo Carmona
Incident Response Manager at CimaSix S.A.
rafael.carmona@cimasix.com
Tel. 054 11 4372 2379
Buenos Aires, Argentina

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Publicado en CimaSix S.A. | No hay comentarios »

« Entradas anteriores