En esta segunda parte del artículo sobre la práctica de análisis forense trataremos sobre el análisis de la evidencia, la cadena de custodia y el método científico.

En la primera parte del artículo ya tratamos sobre la adquisición de la evidencia. En la tercera y última parte del artículo examinaremos las limitaciones de la práctica forense en entornos corporativos complejos.

• Parte I
• Parte II
• Parte III

Cadena de custodia

Un elemento importante en cualquier investigación de tipo forense es el mantenimiento de la “cadena de custodia”.

Esta expresión es un término legal que se refiere a la capacidad de garantizar la identidad e integridad de un espécimen o evidencia desde su obtención, durante su análisis y hasta el final del proceso.

En la práctica consiste en salvaguardar la evidencia, de forma documentada, de forma que se eviten alegaciones de que la evidencia ha sido modificada o alterada durante el proceso de la investigación.

Con los objetos físicos que constituyen evidencia, la práctica es almacenarlos en bolsas o sobres sellados, con un formulario que especifica quién ha recogido la evidencia y cada persona que la haya usado para algo, de forma que no quede duda sobre quién ha tenido acceso a ella y cuándo.

Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos y ejecutables, etc.) la práctica consiste en obtener “hashes” de la información en el momento de su recolección, de forma que se pueda comprobar en cualquier momento si la evidencia ha sido modificada.

Los algoritmos de “hashing” aceptados como estándar son el MD5 y el SHA-1. A pesar de que se han descubierto vulnerabilidades en ambos , y que pueden tener los años contados, sigue siendo buena idea tomar dos “hashes” (MD5 y SHA-1) de cada pieza de evidencia ya que la posibilidad de obtener una colisión de ambos sigue siendo infinitesimal.

El método científico

Un aspecto crucial del análisis forense, tal y como se desprende de la definición general descrita en el primer párrafo, es la aplicación del método científico.

Esto supone la adquisición de nuevo conocimiento, mediante el estudio de evidencia observable y medible, aplicando el razonamiento lógico, elaborando modelos e hipótesis, y corrigiendo o mejorando estas últimas según se obtiene más evidencia.

Además, los resultados deben ser objetivos e imparciales. La metodología aplicada debe ser conocida, de forma que otros investigadores, utilizando los mismos métodos, puedan llegar a conclusiones similares.

Los resultados de la investigación deben explicar de forma clara las relaciones de causa y efecto, eliminar en la medida de lo posible alternativas plausibles, y evitar las conclusiones no falsables. Que una afirmación sea falsable, significa que sería posible, al menos de forma teórica, demostrar su falsedad mediante la observación y descubrimiento de nueva evidencia.

Los estrictos requisitos del método científico no excluyen elementos de la experiencia humana como son las “corazonadas” y la intuición. Éstas son de gran utilidad a la hora de proponer hipótesis y modelos, que luego deben ser corroborados por la fría evidencia, de una forma estricta y objetiva.

Análisis de la evidencia

El objetivo del análisis es establecer, desde el principio hasta el final, qué ha pasado, quién lo ha hecho, cuándo ha ocurrido, cómo ha sucedido.

El procedimiento específico dependerá del tipo de incidente o caso que estemos investigando. Por ejemplo, en el caso de una intrusión de un sistema, la información sobre conexiones, procesos y puertos puede indicar el tipo de software malicioso utilizado, confirmándolo después mediante análisis del sistema de ficheros. Esto incluye recuperación de archivos y establecimiento de la secuencia temporal (el “cuándo”).

En muchos casos, cuando el interés está enfocado a la existencia de archivos no autorizados (secretos industriales, material multimedia pirateado, pornografía, software pirata, etc.), el análisis del sistema de ficheros suele ser suficiente.

En otros casos, sobre todo cuando se sospecha del uso de sistemas criptográficos para encriptar archivos o correo, puede ser fundamental obtener información de la memoria del sistema (mediante una imagen completa de la memoria, o mediante el volcado de los espacios de memoria asignados a procesos sospechosos). En muchos casos, documentos cifrados o sus contraseñas pueden estar de forma temporal en la memoria del sistema.

En cualquier caso, el establecer una serie de hechos a partir del análisis de la evidencia, que confirmen de forma total o parcial la hipótesis o modelo, es el objetivo de la investigación. El establecimiento de hechos que contradigan el modelo puede hacer necesaria la reformulación de de la hipótesis de trabajo.

Protección de la intimidad

Un aspecto a tener en cuenta, sobre todo en casos con implicaciones legales, es la posible existencia de información confidencial o personal, ajena al caso, entre la evidencia recolectada.

¿Qué medidas se toman para proteger esa información? ¿Quién tiene acceso a ella? La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la intimidad y la privacidad de datos de carácter personal.

Un juicio en Michigan (EEUU) ha puesto este tema de actualidad. Una de las partes litigantes había solicitado al juez una orden para examinar el disco duro de un PC de otra de las partes .

El juez dictaminó que un experto investigador forense realizase la investigación del disco duro sin participación de ninguna de las partes litigantes. El perito elaboraría un inventario de los elementos de evidencia que sería presentado al propietario del disco. Este tendría un tiempo determinado para indicar los elementos a ser excluidos del caso, mediante una solicitud al juez. La parte demandante debería cubrir los gastos del procedimiento.

Sistemas Anti-Forense

En los últimos tiempos se ha observado la existencia cada vez más preocupante de herramientas que buscan impedir o dificultar la actividad forense.

La idea se puede resumir en la siguiente frase: “Haz difícil que te encuentren, y si te encuentran, haz imposible que lo puedan probar” .

Estas herramientas han existido siempre en una forma u otra. La diferencia es que ahora son más fáciles de usar para usuarios no técnicos, como ya sucede con las herramientas de “hacking” que no requieren grandes conocimientos técnicos para ser utilizadas.

Existen herramientas que alteran los atributos de fecha (creación, acceso y modificación) de los archivos de un sistema de ficheros, haciendo imposible el análisis clásico de secuencia temporal. Otras herramientas esteganográficas permiten ocultar información en partes no asignadas del sistema de ficheros, o camufladas en otros archivos (imágenes, sonido, etc.) Y por supuesto, la existencia de sistemas criptográficos de alta calidad y facilidad de uso (Truecrypt, PGP, etc.), dificulta aún más la obtención de evidencia en el transcurso de una investigación.

Trackback URI | Comentarios RSS