Recolección de evidencia digital



Estrategias para la recolección de pruebas electrónicas


Llevar un orden de recopilación de información, si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos:
  • Buscar la evidencia.
  • Determinar la relevancia de los datos.
  • Determinar la volatilidad de la información.
  • Eliminar la interferencia exterior.
  • Recoger la evidencia.
  • Documentar todas las acciones realizadas.

Orientaciones para Recolección de Evidencias

El procedimiento para la recolección de evidencia varía de país a país, sin embargo, existen unas guías básicas que pueden ayudar a cualquier investigador forense.

El aspecto más importante a la hora de recolectar evidencia, es la preservación de la integridad de ésta; en el caso particular de la información almacenada en medios magnéticos, la naturaleza volátil de ésta hace que dicha labor sea particularmente difícil.

- Cantidad de Información recolectada.

La primera gran decisión que se debe tomar a la hora de recolectar evidencias, es la cantidad. Un investigador podría estar tentado a llevarse todo el equipo computacional que encuentre en la escena, con el fin de no arriesgarse a dejar piezas de información potencialmente importantes. Sin embargo, esta alternativa tiene sus inconvenientes, ya que el investigador podría terminar siendo demandado por dañar o alterar el sistema informático, desde este punto de vista, quizás lo indicado sería incautar sólo lo mínimo necesario para efectuar una investigación.

-C uidados al Hardware.

El hardware es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto del crimen. Generalmente, es necesario recolectar elementos de almacenamiento cd, dvd, cintas magnéticas, diskettes,
memorias flash que puedan contener evidencia. En este punto se debe tomar otra decisión crítica: ¿los equipos involucrados en una investigación deben ser apagados o deben permanecer prendidos?, muchas agencias de investigación recomiendan apagar los equipos en todas las situaciones y algunos expertos insisten en que es la mejor alternativa debido a la posibilidad de que la evidencia sea destruida mientras el computador permanece encendido.

Volatilidad de la evidencia


Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos, por lo cual se debe tener en consideración las siguientes apreciaciones:


  • La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios.
  • Cada paso podrá destruir la información, por lo que todas las medidas que tome deben ser bien aplicadas la primera vez o se puede perder mucha información valiosa.
  • Es importante que no se busque información en áreas que normalmente no tienen razón alguna para ser accedida (como archivos personales) a menos que se haya notificado al usuario (por ejemplo, a través de un banner de inicio de sesión) que toda la información almacenada en el equipo es objeto de embargo o si se tiene razones suficientes para creer que un incidente de seguridad está ocurriendo o ha ocurrido.

  • En general, la evidencia informática debe ser:

    • Admisible
    • Auténtica
    • Completa
    • Confiable
    • Creíble y comprensible


    La evidencia volátil es evidencia la que rápidamente puede desaparecer o es sólo de carácter temporal, este tipo de pruebas tiene que ser recogida antes de que la máquina sea desconectada de la red y sea apagada, recuerde tomar las siguientes precauciones:

    • No apague el sistema hasta que haya completado todos los procedimientos de recolección de pruebas para pruebas volátiles. Muchas pruebas se pueden perder cuando un sistema está apagado y el atacante puede haber alterado la puesta en marcha, apagado y servicios para destruir la evidencia.
    •   No confiar en los programas activos en el sistema.
    • Ejecutar los programas de obtención de pruebas (software forense) en los medios de comunicación debidamente protegidos.
    •  No ejecute programas que modifican el tiempo de acceso de todos los archivos en el sistema (por ejemplo tar o xcopy).

    Análisis de la Evidencia Recolectada


    Recolección

    La recolección de evidencia informática es un aspecto frágil del la informática forense porque requiere de prácticas y cuidados adicionales que no se tienen en la recolección de evidencia convencional. Es por esto que:

    - Se debe proteger los equipos del daño.
    - Se debe proteger la información contenida dentro de los sistemas de almacenamiento de información (muchas veces, estos pueden ser alterados fácilmente por causas ambientales, o por un simple campo magnético).
    - Algunas veces, será imposible reconstruir la evidencia (o el equipo que la contiene), si no se tiene cuidado de recolectar todas las piezas que se necesiten.

    Análisis

    Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque y qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se
    prepararon en la fase de extracción y preparación.
    • Preparación para el análisis

    Antes de comenzar el análisis de las evidencias se deberá:
    1) Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar.
    2) Trabajar con las imágenes que se recopiló como evidencias o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
    3) Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
    4) Instar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.
    5) En otro equipo instar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros., la idea es utilizar este segundo ordenador como “conejillo de Indias” y realizar sobre él pruebas y verificaciones conforme se vayan surgiendo hipótesis sobre el ataque.
    • Reconstrucción de la secuencia temporal del ataque

    Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza, se procede con la ejecución de los siguientes pasos:

    1. Crear una línea temporal o timeline de sucesos.
    2. Ordenar los archivos por sus fechas MAC.
    3.Comenzar a examinar con más detalle los ficheros logs y registros que se examinaron durante la búsqueda de indicios del ataque, intentar buscar una correlación temporal entre eventos.
    4. Examinar los fragmentos del archivo donde se detectan y registran los accesos FTP.


    No hay comentarios:

    Publicar un comentario