En esta tercera y última parte del artículo sobre la práctica de análisis forense examinaremos las limitaciones de la práctica forense en entornos corporativos complejos, terminando con unas conclusiones generales.

En las anteriores partes del artículo ya tratamos sobre la adquisición de la evidencia, su análisis, la cadena de custodia y el método científico.

• Parte I
• Parte II
• Parte III

Análisis forense en el mundo corporativo

Las técnicas y herramientas existentes para análisis forense tienen una cierta madurez, pero en general adolecen de un defecto: están orientadas al mundo del PC. Acceso físico al hardware, discos duros de tamaño razonable, posibilidad de desconectar el sistema y confiscarlo, etc.

En muchos casos es difícil, si no imposible, aplicar las técnicas de investigación forense en el mundo de la gran corporación. Esto puede ser debido a muchas causas:

• Tamaño del entorno tecnológico, distribución geográfica, gran número de sistemas, tamaño del almacenamiento implicado, etc.
• Complejidad tecnológica, y existencia de múltiples tecnologías.
• Complejidad organizativa, política o legal, incluyendo diferentes jurisdicciones o sistemas legales.
• Existencia de sistemas críticos en entornos controlados

Cosas tan básicas como la distancia, la posibilidad de acceso físico a sistemas remotos (a lo mejor al otro lado del mundo), diferencias culturales o de idioma, zonas horarias, etc. pueden limitar o dificultar la realización de una investigación forense.

Cuando se tiene que obtener la evidencia de forma remota, el ancho de banda disponible (a veces mínimo) y la proliferación de grandes medios de almacenamiento (discos de cientos de gigabytes), hacen difícil la obtención de imágenes de disco para su examen.

La existencia de sistemas de almacenamiento externo (NAS, SAN, etc.) y la difuminación entre lo físico y lo virtual (sistemas virtuales, almacenamiento distribuido, clusters geográficos) no hacen sino complicar aún más la tarea del investigador. El tamaño de los volúmenes actuales de disco, en el mejor de los casos, puede implicar varias horas para realizar una imagen bit-a-bit, de forma local.

Por último, no siempre es posible acceder a la evidencia en el caso de sistemas críticos, debiendo evaluar la conveniencia en base a:

• Coste de downtime contra coste del incidente
• Coste de reinstalación y puesta en marcha
• Coste de re-validación o re-certificación del sistema

Jugando con las configuraciones RAID es posible en ciertos casos utilizar uno de los discos en “espejo” para realizar la copia, pudiendo extraerlo “en caliente” sin afectar a la continuidad del servicio.

En el caso de que no haya acceso físico al sistema, puede ser necesario recurrir a operadores remotos (en cuyo caso el procedimiento a seguir debe estar muy detallado, para que cualquiera pueda ejecutarlo), o utilizar otros métodos como la transferencia a través de red de la imagen o el arranque del sistema desde un CD-ROM virtual mapeado a través de tarjetas de gestión remota tipo “Lights out”.

Una ventaja que tiene la gran corporación respecto a otros entornos es la estandarización de los sistemas. El plataformado de clientes y servidores de una forma común permite la creación de “bases de datos de hashes” de tamaño razonable que facilitan la investigación al descartar en seguida los archivos “conocidos”, y centrar el análisis en los archivos desconocidos. El uso de una base de datos de “hashes” de archivos permite descartar entre un 80% y 90% de los archivos de una partición de un PC o un servidor de forma rápida y cómoda.

Conclusiones

Existe cierta sensación de que es posible que la práctica forense esté pasando por un “bache de la desilusión” (“trough of disillusionment”) en terminología de Gartner. Esto es debido a la incapacidad de las técnicas y herramientas actuales para cubrir las necesidades de los entornos modernos. Esto hace que la práctica deje de ser “interesante” y parezca que ha “pasado de moda”.

El futuro de la práctica de investigación forense en sistemas informáticos pasa necesariamente por renovarse e incorporar técnicas maduras que hagan frente a:

• El desplazamiento del campo de batalla desde el disco duro a la memoria. Ciertas aplicaciones, troyanos y “rootkits” son capaces de residir en memoria sin tocar el disco. El análisis de la memoria y las herramientas para ello están en una fase muy temprana en la actualidad, aunque ya hay cosas prometedoras.
• El desarrollo de técnicas y herramientas para el análisis de dispositivos móviles.
• La entrada de la práctica forense en el mundo corporativo (sistemas críticos, grandes almacenamientos, falta de acceso físico a máquinas, virtualización, distancias geográficas, etc.)
• La proliferación y puesta a disposición del gran público de herramientas que dificulten la investigación forense.

El mantener la “carrera armamentística” contra las nuevas técnicas y herramientas para realizar actividad maliciosa, y contra las herramientas anti-forenses, así como la madurez de la práctica para adecuarla al entorno corporativo, serán decisivas en el desarrollo de una de los campos más fascinantes de la Seguridad de la Información.