En las anteriores partes del artículo ya tratamos sobre la adquisición de la evidencia, su análisis, la cadena de custodia y el método científico.

• Parte I
• Parte II
• Parte III

Análisis forense en el mundo corporativo

Las técnicas y herramientas existentes para análisis forense tienen una cierta madurez, pero en general adolecen de un defecto: están orientadas al mundo del PC. Acceso físico al hardware, discos duros de tamaño razonable, posibilidad de desconectar el sistema y confiscarlo, etc.

En muchos casos es difícil, si no imposible, aplicar las técnicas de investigación forense en el mundo de la gran corporación. Esto puede ser debido a muchas causas:

• Tamaño del entorno tecnológico, distribución geográfica, gran número de sistemas, tamaño del almacenamiento implicado, etc.
• Complejidad tecnológica, y existencia de múltiples tecnologías.
• Complejidad organizativa, política o legal, incluyendo diferentes jurisdicciones o sistemas legales.
• Existencia de sistemas críticos en entornos controlados

Cosas tan básicas como la distancia, la posibilidad de acceso físico a sistemas remotos (a lo mejor al otro lado del mundo), diferencias culturales o de idioma, zonas horarias, etc. pueden limitar o dificultar la realización de una investigación forense.

Cuando se tiene que obtener la evidencia de forma remota, el ancho de banda disponible (a veces mínimo) y la proliferación de grandes medios de almacenamiento (discos de cientos de gigabytes), hacen difícil la obtención de imágenes de disco para su examen.

La existencia de sistemas de almacenamiento externo (NAS, SAN, etc.) y la difuminación entre lo físico y lo virtual (sistemas virtuales, almacenamiento distribuido, clusters geográficos) no hacen sino complicar aún más la tarea del investigador. El tamaño de los volúmenes actuales de disco, en el mejor de los casos, puede implicar varias horas para realizar una imagen bit-a-bit, de forma local.

Por último, no siempre es posible acceder a la evidencia en el caso de sistemas críticos, debiendo evaluar la conveniencia en base a:

• Coste de downtime contra coste del incidente
• Coste de reinstalación y puesta en marcha
• Coste de re-validación o re-certificación del sistema

Jugando con las configuraciones RAID es posible en ciertos casos utilizar uno de los discos en “espejo” para realizar la copia, pudiendo extraerlo “en caliente” sin afectar a la continuidad del servicio.

En el caso de que no haya acceso físico al sistema, puede ser necesario recurrir a operadores remotos (en cuyo caso el procedimiento a seguir debe estar muy detallado, para que cualquiera pueda ejecutarlo), o utilizar otros métodos como la transferencia a través de red de la imagen o el arranque del sistema desde un CD-ROM virtual mapeado a través de tarjetas de gestión remota tipo “Lights out”.

Una ventaja que tiene la gran corporación respecto a otros entornos es la estandarización de los sistemas. El plataformado de clientes y servidores de una forma común permite la creación de “bases de datos de hashes” de tamaño razonable que facilitan la investigación al descartar en seguida los archivos “conocidos”, y centrar el análisis en los archivos desconocidos. El uso de una base de datos de “hashes” de archivos permite descartar entre un 80% y 90% de los archivos de una partición de un PC o un servidor de forma rápida y cómoda.

Conclusiones

Existe cierta sensación de que es posible que la práctica forense esté pasando por un “bache de la desilusión” (“trough of disillusionment”) en terminología de Gartner. Esto es debido a la incapacidad de las técnicas y herramientas actuales para cubrir las necesidades de los entornos modernos. Esto hace que la práctica deje de ser “interesante” y parezca que ha “pasado de moda”.

El futuro de la práctica de investigación forense en sistemas informáticos pasa necesariamente por renovarse e incorporar técnicas maduras que hagan frente a:

• El desplazamiento del campo de batalla desde el disco duro a la memoria. Ciertas aplicaciones, troyanos y “rootkits” son capaces de residir en memoria sin tocar el disco. El análisis de la memoria y las herramientas para ello están en una fase muy temprana en la actualidad, aunque ya hay cosas prometedoras.
• El desarrollo de técnicas y herramientas para el análisis de dispositivos móviles.
• La entrada de la práctica forense en el mundo corporativo (sistemas críticos, grandes almacenamientos, falta de acceso físico a máquinas, virtualización, distancias geográficas, etc.)
• La proliferación y puesta a disposición del gran público de herramientas que dificulten la investigación forense.

El mantener la “carrera armamentística” contra las nuevas técnicas y herramientas para realizar actividad maliciosa, y contra las herramientas anti-forenses, así como la madurez de la práctica para adecuarla al entorno corporativo, serán decisivas en el desarrollo de una de los campos más fascinantes de la Seguridad de la Información.

En la primera parte del artículo ya tratamos sobre la adquisición de la evidencia. En la tercera y última parte del artículo examinaremos las limitaciones de la práctica forense en entornos corporativos complejos.

• Parte I
• Parte II
• Parte III

Cadena de custodia

Un elemento importante en cualquier investigación de tipo forense es el mantenimiento de la “cadena de custodia”.

Esta expresión es un término legal que se refiere a la capacidad de garantizar la identidad e integridad de un espécimen o evidencia desde su obtención, durante su análisis y hasta el final del proceso.

En la práctica consiste en salvaguardar la evidencia, de forma documentada, de forma que se eviten alegaciones de que la evidencia ha sido modificada o alterada durante el proceso de la investigación.

Con los objetos físicos que constituyen evidencia, la práctica es almacenarlos en bolsas o sobres sellados, con un formulario que especifica quién ha recogido la evidencia y cada persona que la haya usado para algo, de forma que no quede duda sobre quién ha tenido acceso a ella y cuándo.

Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos y ejecutables, etc.) la práctica consiste en obtener “hashes” de la información en el momento de su recolección, de forma que se pueda comprobar en cualquier momento si la evidencia ha sido modificada.

Los algoritmos de “hashing” aceptados como estándar son el MD5 y el SHA-1. A pesar de que se han descubierto vulnerabilidades en ambos , y que pueden tener los años contados, sigue siendo buena idea tomar dos “hashes” (MD5 y SHA-1) de cada pieza de evidencia ya que la posibilidad de obtener una colisión de ambos sigue siendo infinitesimal.

El método científico

Un aspecto crucial del análisis forense, tal y como se desprende de la definición general descrita en el primer párrafo, es la aplicación del método científico.

Esto supone la adquisición de nuevo conocimiento, mediante el estudio de evidencia observable y medible, aplicando el razonamiento lógico, elaborando modelos e hipótesis, y corrigiendo o mejorando estas últimas según se obtiene más evidencia.

Además, los resultados deben ser objetivos e imparciales. La metodología aplicada debe ser conocida, de forma que otros investigadores, utilizando los mismos métodos, puedan llegar a conclusiones similares.

Los resultados de la investigación deben explicar de forma clara las relaciones de causa y efecto, eliminar en la medida de lo posible alternativas plausibles, y evitar las conclusiones no falsables. Que una afirmación sea falsable, significa que sería posible, al menos de forma teórica, demostrar su falsedad mediante la observación y descubrimiento de nueva evidencia.

Los estrictos requisitos del método científico no excluyen elementos de la experiencia humana como son las “corazonadas” y la intuición. Éstas son de gran utilidad a la hora de proponer hipótesis y modelos, que luego deben ser corroborados por la fría evidencia, de una forma estricta y objetiva.

Análisis de la evidencia

El objetivo del análisis es establecer, desde el principio hasta el final, qué ha pasado, quién lo ha hecho, cuándo ha ocurrido, cómo ha sucedido.

El procedimiento específico dependerá del tipo de incidente o caso que estemos investigando. Por ejemplo, en el caso de una intrusión de un sistema, la información sobre conexiones, procesos y puertos puede indicar el tipo de software malicioso utilizado, confirmándolo después mediante análisis del sistema de ficheros. Esto incluye recuperación de archivos y establecimiento de la secuencia temporal (el “cuándo”).

En muchos casos, cuando el interés está enfocado a la existencia de archivos no autorizados (secretos industriales, material multimedia pirateado, pornografía, software pirata, etc.), el análisis del sistema de ficheros suele ser suficiente.

En otros casos, sobre todo cuando se sospecha del uso de sistemas criptográficos para cifrar archivos o correo, puede ser fundamental obtener información de la memoria del sistema (mediante una imagen completa de la memoria, o mediante el volcado de los espacios de memoria asignados a procesos sospechosos). En muchos casos, documentos cifrados o sus contraseñas pueden estar de forma temporal en la memoria del sistema.

En cualquier caso, el establecer una serie de hechos a partir del análisis de la evidencia, que confirmen de forma total o parcial la hipótesis o modelo, es el objetivo de la investigación. El establecimiento de hechos que contradigan el modelo puede hacer necesaria la reformulación de de la hipótesis de trabajo.

Protección de la intimidad

Un aspecto a tener en cuenta, sobre todo en casos con implicaciones legales, es la posible existencia de información confidencial o personal, ajena al caso, entre la evidencia recolectada.

¿Qué medidas se toman para proteger esa información? ¿Quién tiene acceso a ella? La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la intimidad y la privacidad de datos de carácter personal.

Un juicio en Michigan (EEUU) ha puesto este tema de actualidad. Una de las partes litigantes había solicitado al juez una orden para examinar el disco duro de un PC de otra de las partes .

El juez dictaminó que un experto investigador forense realizase la investigación del disco duro sin participación de ninguna de las partes litigantes. El perito elaboraría un inventario de los elementos de evidencia que sería presentado al propietario del disco. Este tendría un tiempo determinado para indicar los elementos a ser excluidos del caso, mediante una solicitud al juez. La parte demandante debería cubrir los gastos del procedimiento.

Sistemas Anti-Forense

En los últimos tiempos se ha observado la existencia cada vez más preocupante de herramientas que buscan impedir o dificultar la actividad forense.

La idea se puede resumir en la siguiente frase: “Haz difícil que te encuentren, y si te encuentran, haz imposible que lo puedan probar” .

Estas herramientas han existido siempre en una forma u otra. La diferencia es que ahora son más fáciles de usar para usuarios no técnicos, como ya sucede con las herramientas de “hacking” que no requieren grandes conocimientos técnicos para ser utilizadas.

Existen herramientas que alteran los atributos de fecha (creación, acceso y modificación) de los archivos de un sistema de ficheros, haciendo imposible el análisis clásico de secuencia temporal. Otras herramientas esteganográficas permiten ocultar información en partes no asignadas del sistema de ficheros, o camufladas en otros archivos (imágenes, sonido, etc.) Y por supuesto, la existencia de sistemas criptográficos de alta calidad y facilidad de uso (Truecrypt, PGP, etc.), dificulta aún más la obtención de evidencia en el transcurso de una investigación.

Aunque se que muchos de los lectores habituales (que no son muchos, todo sea dicho) son de “perfil técnico”, mi idea no es profundizar el los detalles escabrosos de la práctica forense, sino dar unas pinceladas, a modo de introducción, sobre el tema.

• Parte I
• Parte II
• Parte III

Análisis Forense

Se suele definir el análisis forense, en su acepción más general, como la “aplicación de la ciencia a cuestiones de interés legal”. En el contexto de T.I y la Seguridad de la Información, se define como “la inspección sistemática y tecnológica de un sistema informático y sus contenidos para la obtención de evidencia de un crimen o cualquier otro uso que sea investigado”.

El análisis forense es una pieza clave en los procesos de respuesta a incidentes de seguridad, y sirve para establecer datos como el “qué”, “quién”, “cuándo”, “cómo”, y en algunos casos, el “por qué” de un incidente.

En esta primera parte del artículo vamos a tratar de la adquisición de la evidencia. En la segunda parte del artículo nos enfocaremos en el análisis de la evidencia, la cadena de custodia y el método científico. En la tercera y última parte del artículo examinaremos las limitaciones de la práctica forense en entornos corporativos complejos.

Adquisición de evidencia

La adquisición de la evidencia electrónica se debe hacer siempre de forma que el sistema examinado se vea impactado o modificado en su estado lo mínimo posible.

En un entorno como el informático, en el que el estado (contenido de registros, memoria, estado del procesador, etc) de los sistemas cambia continuamente, esto es díficil, si no imposible, de cumplir en la práctica. Siempre que existe una interacción (por leve y cuidadosa que sea) del investigador o sus herramientas con el sistema examinado, se produce una alteración de este último.

En la práctica forense moderna, se considera que ciertos tipos de evidencia son más útiles o importantes que otros, y se acepta la modificación del estado de la evidencia siempre que esta alteración sea conocida y predecible.

Para ello es importante conocer las herramientas a utilizar. No sólo hay que conocer el tipo de información que extrae o qué informes genera, sino saber, con detalle, cual es la interacción de la herramienta con el sistema sobre el que corre: cómo afecta a la memoria, qué ficheros modifica, a qué recursos del sistema accede, etc.

Como regla general, se debe obtener la evidencia de la forma menos destructiva posible, y siempre en orden de más volátil a menos volátil, en el orden que se muestra a continuación.

Cuando la evidencia se compone de listados de cientos de conexiones, decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de gigabytes de disco duro, es necesario establecer un plan para la forma de abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo es, y en qué orden hacer las cosas.

Cierto es que la mayoría de los casos son muy estándar, y el procedimiento siempre sigue las mismas pautas. Casos típicos son:

• Hacker accede a un sistema explotando una vulnerabilidad de un servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel de super-usuario, e instala un kit de herramientas que le permita volver a acceder al sistema cuando desee, aunque la vulnerabilidad original se haya solucionado.
• Usuario legítimo del sistema provoca una infección del ordenador (software de dudosa procedencia, “drive-by downloads”, ficheros adjuntos en correo electrónico, etc.) que instala un troyano que convierte al sistema en un “zombie” parte de una “botnet”.
• Empleado desencantado sabotea los sistemas de su propia empresa.
• Se sospecha de la posesión por parte del usuario de material no autorizado o ilegal (software pirata, propiedad intelectual, pornografía infantil)
• Empleado roba documentación e información confidencial, o la envía a la competencia.
• Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)

Ninguna investigación forense se inicia sin tener al menos una sospecha de la conducta o incidente a investigar, y esto permite adaptar la metodología al caso concreto.

¿Apagar o no apagar?

Un elemento de la metodología que es importante tener claro es la decisión de apagar o no apagar la máquina, y en caso de no apagar, si mantenerla conectada a la red o no.

Toda decisión que se toma desde el momento que se inicia la investigación debe estar meditada, sopesada, y evaluada en relación a sus posibles beneficios y posibles perjuicios.

En los casos donde la actividad maliciosa está clara, y en los que cada segundo que pasa se hace más daño a la organización, puede ser buena práctica tirar del cable de alimentación (mejor que apagar usando la función de “shutdown” del sistema, que tiende a alterar más el estado de la evidencia). Por supuesto, en este caso tenemos que haber decidido que el contenido de la memoria no es importante, o haber obtenido previamente una imagen de memoria o información útil sobre los procesos activos.

Existen casos en los que apagar o desconectar de la red un sistema, particularmente servidores de aplicaciones críticas de línea de negocio, no es una opción. Ya sea por el impacto que puede tener en el negocio, o por motivos regulatorios o de procesos estrictos de gestión del cambio, una caida no planificada de un sistema crítico puede ser peor que la incidencia que se está investigando.

¿Apagar dispositivos móviles?

Con la incorporación de sistemas móviles a la infraestructura de nuestros sistemas aparece un problema nuevo. ¿Qué hacer cuando se investiga un teléfono móvil, Blackberry, o PDA?
Es importante evitar comunicaciones salientes o entrantes del dispositivo cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes. Existen dos opciones cuando se incauta un dispositivo de comunicaciones móvil:

• Apagar el dispositivo
• Mantenerlo encendido pero aislado de la red

Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas contraseñas o buscar una manera de obviarlas. Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería.

Con la opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red. Pero en general, estos dispositivos, al no encontrar portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente.

Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y esperar a que siga encendido varios días después cuando se va a realizar la investigación de la evidencia.

La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías) que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento puede ser interesante en ciertos casos.

En cualquier caso, mientras la metodología esté documentada y justificada, queda a la discreción del investigador el método exacto a seguir.