[+/-] Ver / Ocultar
Aquí va el contenido que se ocultará
Recolección de evidencias
El primer paso en todo análisis forense comprende la captura de la evidencia. La evidencia será la prueba del delito, la que delatará al intruso. A la hora de capturar la evidencia, se debe proceder con cautela para no modificar pista alguna. La modificación de la prueba varía la evidencia, por lo que puede hacer inútil el análisis posterior, así como su validez en un juicio. Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en sí, salvaguardando su integridad. A este proceso se le conoce con el nombre de cadena de custodia. Si se desea que las pruebas obtenidas tengan validez jurídica, habrá que demostrar la integridad de la cadena de custodia.
Suelen distinguirse dos tipos de evidencia. La primera, conocida como volátil, comprende la información que desaparece cuando un sistema informático pierde la alimentación eléctrica. Por consiguiente, en esta categoría se incluye tanto la memoria RAM , los procesos activos y usuarios conectados, así como la información de la red y aplicaciones a la escucha en todos los puertos en el momento de la interrupción. El segundo tipo de evidencia es la de disco, que puede ser capturada sin necesidad de tener la máquina encendida, simplemente con acceso físico al disco.
Captura de la evidencia volátil
Dada su fragilidad, y que puede perderse con mucha facilidad, este tipo de evidencia es la primera que debe ser recogida. Por tanto, en la medida de lo posible, la máquina objeto del análisis no debería ser apagada o reiniciada hasta que se haya completado el proceso. Si se ha ensayado con anterioridad o es realizado por un especialista, no debería llevar más de unos pocos minutos.
La teoría señala que la herramienta perfecta para esta tarea no debería apoyarse en absoluto en el sistema operativo objeto del análisis, pues éste podría haber sido fácilmente manipulado para devolver resultados erróneos. Sin embargo, a pesar de que tales herramientas existen, como la tarjeta PCI Tribble, son herramientas hardware, que necesitan estar instaladas en la máquina antes de la intrusión, ataque o análisis de la misma. Evidentemente, este escenario sólo es factible para máquinas que procesan información especialmente sensible, cuyo hardware puede ser fácilmente controlado.
En el resto de casos, la inmensa mayoría, hay que conformarse con utilizar herramientas software y limitar el proceso de recolección de información a los mínimos pasos posibles, con el fin de generar el menor impacto posible sobre la máquina analizada.
Lo ideal sería hacer uso de un dispositivo de sólo lectura, como una unidad de CD-ROM, que contenga las herramientas necesarias para el análisis. Existen varias distribuciones especializadas en análisis forense, pero quizá las más adecuadas sean Helix, de la empresa e-fense, especializada en análisis forense (www.e-fense.com) y Back–Track, orientada también a pruebas de intrusión (www.remote-exploit.org/backtrack.html). Ambas son de libre distribución y directamente utilizables tanto en entornos Windows como Unix, por lo que sólo es necesario introducir el CD en la unidad y comenzar a trabajar. Se distribuyen en forma de CD autoarrancable (Live CD), de forma que también es posible cargar un Sistema Operativo nuevo, absolutamente confiable, para realizar la segunda parte del proceso de recogida de evidencias.
Otra opción, exclusiva para entornos Microsoft, es el kit gratuito Forensic Acquisition Utilities (FAU) disponible en www.gmgsystemsinc.com/fau. FAU contiene binarios compilados estáticamente, de forma que hagan el mínimo uso posible del sistema, el cual, debe recordarse, ha sido comprometido y no es fiable.
Para almacenar las evidencias recogidas será necesario añadir al sistema analizado algún tipo de almacenamiento externo. Teniendo en cuenta que se está realizando la fase de análisis en vivo y que, por tanto, no es posible apagar el ordenador todavía, existen básicamente dos opciones. La primera consiste en utilizar una unidad externa, como un disco duro o una memoria USB de suficiente capacidad. Por otro lado, la segunda opción implica añadir a la red de la máquina analizada un nuevo sistema, habitualmente un ordenador portátil, en el que poder copiar los datos recogidos.
El primer método sea quizás el más sencillo y rápido de los dos, pero deja más trazas en el sistema analizado. Por supuesto, también necesita que el sistema cuente con un interfaz USB disponible. Utilizar otra máquina como almacén, por el contrario, tendría el mínimo impacto sobre el sistema analizado. A cambio, complica y ralentiza ligeramente el proceso de toma de datos. En función del tipo de conexión que la máquina analizada tenga a Internet, a través de un módem o de un enrutador, este método podría necesitar cortar la conexión de la misma momentáneamente, lo que provocaría la pérdida de las conexiones activas en el momento del análisis, que, como se verá, es una información de sumo interés.
El primer tipo de evidencia a recoger es la memoria RAM, a pesar de que es habitual que, en muchos procesos forenses, ésta reciba poca o ninguna atención. Sin embargo, este tipo de memoria es una fuente muy importante de información, que será irremediablemente perdida en cuanto la máquina sea apagada o reiniciada.
De hecho, existen evidencias que en ocasiones sólo podrán ser encontradas en RAM, como los nuevos y sofisticados métodos de infección de ordenadores, utilizados por herramientas como el rootkit FU o el gusano SQL Slammer, los cuales residen únicamente en memoria y no escriben nunca nada al disco duro.
El siguiente paso consistiría en obtener información sobre todos los procesos activos en el sistema, junto con los puertos y ficheros que cada uno de ellos tienen abiertos. Es muy probable que, como resultado del ataque y posterior intrusión, se hayan creado uno o varios procesos nuevos en el sistema o, al menos, modificado algunos de los existentes. Por tanto, la captura de los mismos permitirá determinar con posterioridad el tipo de ataque sufrido y, lo que suele ser más importante, qué objetivo se perseguía.
Como ejemplo, puede citarse el espectacular aumento de los casos de espionaje industrial en los últimos años, hasta el punto de que se está convirtiendo en una práctica muy extendida. En este caso, lo habitual es llevar a cabo el ataque utilizando un malware, normalmente en forma de troyano, específicamente diseñado y codificado para el objetivo escogido. Suponiendo que el ataque haya tenido éxito, el interés en el análisis forense del mismo radica en capturar el binario del troyano, pues habitualmente contendrá información muy importante, que permitirá determinar qué tipo de información estaba diseñado para capturar y a dónde se pretendía enviar.
Por razones similares, el siguiente conjunto de información interesante son las conexiones de red activas y puertos TCP/UDP abiertos, además del entorno de red de la máquina, como su tabla de rutas y ARP. En el escenario anterior, conocer las conexiones activas posibilitaría conocer si el troyano ha podido enviar finalmente la información robada.
Afortunadamente, las dos distribuciones forenses mencionadas cuentan con herramientas que recolectan estos datos de forma automática, reduciendo la posibilidad de cometer errores y acelerando el proceso, ya que el tiempo es un factor crítico durante una intrusión. Es importante señalar que este proceso de recolección se apoya en las herramientas proporcionadas por el sistema operativo, como las funciones para listar procesos o las conexiones activas. Como se ha comentado, estas funciones no son fiables, pues es muy habitual que hayan sido manipuladas durante el ataque para proporcionar datos falsos o parciales, con el fin de ocultar la intrusión. Sin embargo, también llevan a cabo un volcado completo de la memoria RAM, donde sí podrán encontrarse estos binarios, aunque hayan sido ocultados por un rootkit , lo que demuestra la importancia de este tipo de evidencia.
