A lo largo de los próximos días iré publicando partes de un articulo sobre un tema que me apasiona: la informática forense.

Aunque se que muchos de los lectores habituales (que no son muchos, todo sea dicho) son de “perfil técnico”, mi idea no es profundizar el los detalles escabrosos de la práctica forense, sino dar unas pinceladas, a modo de introducción, sobre el tema.

• Parte I
• Parte II
• Parte III

Análisis Forense

Se suele definir el análisis forense, en su acepción más general, como la “aplicación de la ciencia a cuestiones de interés legal”. En el contexto de T.I y la Seguridad de la Información, se define como “la inspección sistemática y tecnológica de un sistema informático y sus contenidos para la obtención de evidencia de un crimen o cualquier otro uso que sea investigado”.

El análisis forense es una pieza clave en los procesos de respuesta a incidentes de seguridad, y sirve para establecer datos como el “qué”, “quién”, “cuándo”, “cómo”, y en algunos casos, el “por qué” de un incidente.

En esta primera parte del artículo vamos a tratar de la adquisición de la evidencia. En la segunda parte del artículo nos enfocaremos en el análisis de la evidencia, la cadena de custodia y el método científico. En la tercera y última parte del artículo examinaremos las limitaciones de la práctica forense en entornos corporativos complejos.

Adquisición de evidencia

La adquisición de la evidencia electrónica se debe hacer siempre de forma que el sistema examinado se vea impactado o modificado en su estado lo mínimo posible.

En un entorno como el informático, en el que el estado (contenido de registros, memoria, estado del procesador, etc) de los sistemas cambia continuamente, esto es díficil, si no imposible, de cumplir en la práctica. Siempre que existe una interacción (por leve y cuidadosa que sea) del investigador o sus herramientas con el sistema examinado, se produce una alteración de este último.

En la práctica forense moderna, se considera que ciertos tipos de evidencia son más útiles o importantes que otros, y se acepta la modificación del estado de la evidencia siempre que esta alteración sea conocida y predecible.

Para ello es importante conocer las herramientas a utilizar. No sólo hay que conocer el tipo de información que extrae o qué informes genera, sino saber, con detalle, cual es la interacción de la herramienta con el sistema sobre el que corre: cómo afecta a la memoria, qué ficheros modifica, a qué recursos del sistema accede, etc.

Como regla general, se debe obtener la evidencia de la forma menos destructiva posible, y siempre en orden de más volátil a menos volátil, en el orden que se muestra a continuación.

Cuando la evidencia se compone de listados de cientos de conexiones, decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de gigabytes de disco duro, es necesario establecer un plan para la forma de abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo es, y en qué orden hacer las cosas.

Cierto es que la mayoría de los casos son muy estándar, y el procedimiento siempre sigue las mismas pautas. Casos típicos son:

• Hacker accede a un sistema explotando una vulnerabilidad de un servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel de super-usuario, e instala un kit de herramientas que le permita volver a acceder al sistema cuando desee, aunque la vulnerabilidad original se haya solucionado.
• Usuario legítimo del sistema provoca una infección del ordenador (software de dudosa procedencia, “drive-by downloads”, ficheros adjuntos en correo electrónico, etc.) que instala un troyano que convierte al sistema en un “zombie” parte de una “botnet”.
• Empleado desencantado sabotea los sistemas de su propia empresa.
• Se sospecha de la posesión por parte del usuario de material no autorizado o ilegal (software pirata, propiedad intelectual, pornografía infantil)
• Empleado roba documentación e información confidencial, o la envía a la competencia.
• Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)

Ninguna investigación forense se inicia sin tener al menos una sospecha de la conducta o incidente a investigar, y esto permite adaptar la metodología al caso concreto.

¿Apagar o no apagar?

Un elemento de la metodología que es importante tener claro es la decisión de apagar o no apagar la máquina, y en caso de no apagar, si mantenerla conectada a la red o no.

Toda decisión que se toma desde el momento que se inicia la investigación debe estar meditada, sopesada, y evaluada en relación a sus posibles beneficios y posibles perjuicios.

En los casos donde la actividad maliciosa está clara, y en los que cada segundo que pasa se hace más daño a la organización, puede ser buena práctica tirar del cable de alimentación (mejor que apagar usando la función de “shutdown” del sistema, que tiende a alterar más el estado de la evidencia). Por supuesto, en este caso tenemos que haber decidido que el contenido de la memoria no es importante, o haber obtenido previamente una imagen de memoria o información útil sobre los procesos activos.

Existen casos en los que apagar o desconectar de la red un sistema, particularmente servidores de aplicaciones críticas de línea de negocio, no es una opción. Ya sea por el impacto que puede tener en el negocio, o por motivos regulatorios o de procesos estrictos de gestión del cambio, una caida no planificada de un sistema crítico puede ser peor que la incidencia que se está investigando.

¿Apagar dispositivos móviles?

Con la incorporación de sistemas móviles a la infraestructura de nuestros sistemas aparece un problema nuevo. ¿Qué hacer cuando se investiga un teléfono móvil, Blackberry, o PDA?
Es importante evitar comunicaciones salientes o entrantes del dispositivo cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes. Existen dos opciones cuando se incauta un dispositivo de comunicaciones móvil:

• Apagar el dispositivo
• Mantenerlo encendido pero aislado de la red

Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas contraseñas o buscar una manera de obviarlas. Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería.

Con la opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red. Pero en general, estos dispositivos, al no encontrar portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente.

Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y esperar a que siga encendido varios días después cuando se va a realizar la investigación de la evidencia.

La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías) que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento puede ser interesante en ciertos casos.

En cualquier caso, mientras la metodología esté documentada y justificada, queda a la discreción del investigador el método exacto a seguir.