tema 2. evidencia digital

Informatica ForenseTema 2. Evidencia digital

Francisco Medina Lopez —[email protected]

http://aulavirtual.capacitacionentics.com

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

2016-2

http://aulavirtual.capacitacionentics.com

1 Evidencia DigitalIntroduccionPrincipios de manejo y recoleccion de evidenciaMetodologıa para la adquisicion y tratamiento de evidenciadigitalCaptura de evidencia volatil en redRecoleccion de evidencia volatil (Live Response)Recoleccion de evidencia no volatilFijacion y embalaje de indiciosCadena de custodia

¿Que es la evidencia digital?

Una de las primeras fases del analisis forense comprende el procesode identificacion del incidente, que lleva de la mano la busqueda yrecopilacion de evidencias.

DefinicionLa evidencia es cualquier informacion contrastable encontrada enun sistema. Son los hechos encontrados, por lo tanto la evidenciadigital es toda aquella informacion electronica que pueda aportaralgun dato para el analisis forense digital posterior.

La Adquisicion de la evidencia digital inicia cuando la informaciony/o dispositivos relacionados son colectados y almacenados pararealizar un analisis forense.

Ejemplos de evidencia digital

• Fecha de ultimo acceso de un archivo o aplicacion.

• Un registro de acceso de un archivo.

• Una cookie de navegacion web almacenada en un disco duro.

• El uptime o tiempo que lleva sin apagarse un sistema.

• Un archivo almacenado en un disco duro.

• Un proceso en ejecucion.

• Archivos temporales.

• Restos de la instalacion de un programa.

• Un disco duro, una unidad USB de almacenamiento u otrodispositivo de almacenamiento.

RFC 3227 I

Al momento de recolectar las evidencias digitales hay que seguirciertos procedimientos para que este proceso sea eficiente y util. Eldocumento RFC 32271 recoge las recomendaciones sobre laspautas que un administrador debe seguir a la hora de obtener lasevidencias en un sistema. En el se tratan los siguientes aspectos:

• Principios para la recoleccion de evidencias. Realizar unanalisis forense debe ser tomado como un proyecto delicado ycomo tal deben ser cumplidos ciertos prerequisitos.

• Orden de volatilidad. Al momento de recolectar lasevidencias de un sistema no toda tienen el mismo orden devolatilidad. El concepto de volatilidad de evidenciaesta marcado por el marco temporal en el que es posibleacceder a una evidencia. Ası, el contenido de un DVDsera menos volatil que el contenido de la memoria RAM o losdatos almacenado en la memoria de una impresora.

RFC 3227 II

• Acciones que deben ser evitadas. Hay acciones queinvalidan un proceso de analisis forense tecnicamentehablando o para su utilizacion como prueba en una causalegal. Hay que tomar ciertas precauciones para que lasevidencias sigan siendo validas.

• Consideraciones relativas a la privacidad de los datos. Enun proceso de analisis forense pueden estar implicados datossujetos a otras leyes de privacidad que deben ser mantenidascon la seguridad y privacidad que exija el marco lega.

• Consideraciones legales. Para que un proceso de analisisforense sea util en un proceso legal deben tomarseprecauciones. Ademas, la legislacion es diferente dependiendodel paıs, ası que puede suceder que un proceso de analisisforense sea admitido como prueba en un juicio y no en otro.

RFC 3227 III• Procedimientos de recoleccion. Recolectar la informacion lo

mas puramente posible, con la menor perdida de informacion.La ejecucion de un comando en el sistema puede hacer que seborren paginas de memoria que contenıan informacion de unproceso de interes.

• Transparencia. Es recomendable utilizar tecnicas yherramientas transparentes que permitan conocerexactamente como se estan tratando las evidencias. Hay queevitar el uso de herramientas y procedimientos de los que nose conozcan completamente que estan haciendo con lainformacion. Podrıa llevar a conclusiones erroneas.

• Cadena de custodia de la informacion. En todo momentose debe poder constatar quien entrega la informacion y quienes el responsable de la custodia de la misma de manera quepueda ser posible conocer el flujo de la misma desde surecoleccion hasta su utilizacion como prueba.

RFC 3227 IV

• Metodologıa de almacenamiento de evidencias.Almacenar las evidencias es tambien una labor importante.Utilizar almacenamiento que puedan tener un tiempo de vidamenor al necesario para que termine el proceso judicial podrıallevar a un problema, pero tambien almacenar las evidenciasen sistemas de los que no se ha podido probar su seguridad, loque llevarıa a que fueran invalidadas las evidenciasencontradas.

1https://www.ietf.org/rfc/rfc3227.txt

https://www.ietf.org/rfc/rfc3227.txt

Forensic Examination of Digital Evidence I

Con fundamento el documento Forensic Examination of DigitalEvidence: A Guide for Law Enforcement 2 se desprenden losprincipales puntos que hay que observar para la recoleccion de laposible evidencia que sera presentada ante un juez:

1 En la recoleccion de indicios no se debe alterar bajo ningunacircunstancia la posible evidencia, salvo previa autorizacionpor parte del agente del Ministerio Publico de la Federacion,quien debera dar fe de todas y cada uno de los procedimientosrealizados por el personal pericial.

2 Solo un profesional forense acreditado tendra acceso a indiciosdigitales originales.

3 Toda la actividad relacionada con la recoleccion, acceso,almacenamiento y transferencia de la posible evidencia digitaldebera ser documentada, preservada y permanecer disponiblepara su revision.

Forensic Examination of Digital EvidenceII

4 Un individuo es responsable de todas las acciones conrespecto al tratamiento de la posible evidencia digital mientrasesta se encuentra bajo su resguardo.

5 Toda agencia responsable de recolectar posible evidenciadigital debera cumplir con los principios antes mencionados.

2https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Tipos de investigacion forense digital

Antes de proceder al analisis y tratamiento de manera directa conla posible evidencia, es necesario distinguir dos tipos de vertientesen relacion a la investigacion forense en TIC’s:

1 Trabajo de campo o investigacion en el lugar de los hechos.

2 Investigacion en ambiente controlado o trabajo de Laboratorio.

Trabajo de campo o investigacion en ellugar de los hechos

El Perito Criminalista en Tecnologıas de la Informacion yComunicaciones debe tomar en cuenta los siguientes puntos almomento de realizar una investigacion en el lugar de los hechos:

1 Antes de llevar a cabo una instruccion ministerial en ellugar de los hechos

2 Fijacion del lugar de los hechos.

3 Durante la busqueda de indicios ası como generacion yregistro de conjeturas

4 Embalaje de probables evidencias.

5 Aplicacion del formato de cadena de custodia.

Antes de llevar a cabo una instruccionministerial

• Una vez COMPRENDIDO el planteamiento del problema yante la posibilidad implıcita de la diversidad de elementos,dispositivos, computadoras y/o sistemas informaticos con losque el o los investigadores se pueden enfrentar y con lafinalidad de evitar en la medida de lo posible situacionesimprevistas, se deben preparar de manera metodica todos loselementos necesarios para llevar a cabo la diligencia en ellugar de los hechos.

Elementos, Herramienta y DispositivosNecesarios en una Investigacion I

Ante la dificultad de lograr una correcta recoleccion y preservacionde indicios en este tipo de investigaciones, es necesario prevercualquier dificultad de control y manejo de incidencias en el areafısica del lugar de los hechos y en cuanto a los dispositivosinformaticos y de comunicacion. La siguiente lista menciona loselementos mınimos necesarios para realizar una investigacion:

• Computadora personal (Laptop) con la mayor capacidadposible en Disco Duro, procesador de 2 o 4 nucleos, memoriaRAM de 8 GB, capacidad de comunicacion inalambrica (WiFi,bluetoot), por lo menos dos sistemas operativos instalados enla maquina (Linux, Windows) o en su caso tener instalado unemulador de maquinas virtuales (VMWare, Virtual Machine).Cabe mencionar que en caso de necesitar emular sistemasoperativos, sera necesario conocer previo a la inspeccion

Elementos, Herramienta y DispositivosNecesarios en una Investigacion II

ministerial, el tipo y versiones de los sistemas operativos queseran utilizados en la diligencia con la finalidad de evitarerrores y retrasos propios de la aplicacion correcta de esteprocedimiento. Se recomienda verificar el estado de la pilainterna de la maquina y de preferencia contar con una pilaadicional de larga duracion.

• Disco Compacto y/o Memoria USB con capacidad debooteo. Hay que tomar en cuenta que no siempre el Perito seenfrentara a equipos de ultima generacion, por lo que siempresera preferible prever cualquier eventualidad.

Elementos, Herramienta y DispositivosNecesarios en una Investigacion III

Elementos, Herramienta y DispositivosNecesarios en una Investigacion IV

• Camara Digital, de la mayor resolucion posible concapacidad de realizar acercamientos y con capacidad derecarga sin necesidad de uso de baterıas. Se recomienda lautilizacion de una memoria de almacenamiento adicional depor lo menos 512 MB la cual tendra una capacidad dealmacenamiento de imagenes de buena calidad aproximado de100. Se recomienda complementar con eltripie correspondiente en caso de necesitar precision en algunafijacion y no contar con el Perito en Fotografıa.

• Grabadora Digital o Analogica. La tecnologıa nos permitehacer uso de este tipo de dispositivos con la finalidad degrabar en el momento de llevar a cabo la diligencia,conjeturas, comentarios y entrevistas realizadas con elpersonal responsable del sistema a investigar.

Elementos, Herramienta y DispositivosNecesarios en una Investigacion V

• Interfaces varias. Esta parte es delicada a consecuencia delos avances tecnologicos y la variedad de dispositivos quepueden ser sujetos a analisis forense, sin embargo se sugiereincluir en el maletın cables de red con conectores RJ-45,interfaces para conectar Discos Duros (PC’s y Laptops),interfaces de lectura de memorias, interfaces de lectura deDiscos Compactos y DVD’s, entre otros.

• Estuche de pinzas, desarmadores y multımetro digital.Disco Duro externo con conectores. Se recomienda la mayorcapacidad tecnologicamente posible.

• Dispositivo bloqueador contra escritura para dispositivosde almacenamiento.

Elementos, Herramienta y DispositivosNecesarios en una Investigacion VI

Elementos, Herramienta y DispositivosNecesarios en una Investigacion VII

• Software de analisis, copiado y recuperacion de datos.Elementos necesarios para cumplir de manera estandarizadacon las mejores practicas en el tratado de evidencia digital.

• Guantes de latex. El contacto directo con la piel debe serevitado con la finalidad de no contaminar las huellas presentesen el lugar de los hechos con las del propio Perito investigador.

• Tapabocas. El interior del gabinete de los equipos decomputo suele en el mejor de los casos contener cantidadesimportantes de polvo el cual puede ser danino para la saluddel investigador por lo que se recomienda que siempre que selleven a cabo acciones de desensamblado de equipo decomputo se recomienda el uso de tapabocas

Elementos, Herramienta y DispositivosNecesarios en una Investigacion VIII

• Lentes protectores. Con la finalidad de proteger los ojos delinvestigador contra cualquier eventualidad al momento dellevar a cabo la revision de equipo electronico se recomienda eluso de lentes protectores

• Pincel o brocha de cerdas finas y/o aire comprimido. Elpolvo acumulado a consecuencia de la estatica natural que seforma en el interior de los equipos electronicos, puede generarproblemas de vision y electricos al momento de llevar a cabola revision y desmontaje de algun dispositivo, por lo que serecomienda remover el exceso del mismo con la ayuda de umpincel, brocha o aire comprimido.

• Libreta de apuntes, Lapiz y Goma. Cuando no se cuentacon los dispositivos tecnologicos mencionados conanterioridad, siempre sera importante tener donde apuntar yaplicar las tecnicas antes mencionadas al estilo clasico.

Elementos, Herramienta y DispositivosNecesarios en una Investigacion IX

• Lupa. Herramienta indispensable al momento de obtenerdatos relacionados con dispositivos electronicos como numerosde serie, identificador de dispositivo, entre otros.

• Lampara. Herramienta necesaria al momento de buscarindicios en cites y dentro de gabinetes de computadoras,conmutadores, entre otros.

• Cinta adhesiva. Aditamento util para embalaje eidentificacion de indicios.

• Etiquetas. Aditamento util para identificacion de indicios almomento de su embalaje.

• Plastico polietileno con burbujas para embalar. Materialnecesario para embalaje de indicios.

En caso de tratarse de recuperacion y traslado de telefonoscelulares, anadir:

Elementos, Herramienta y DispositivosNecesarios en una Investigacion X

• Bolsas o contenedores aislantes. Necesarias para embalartelefonos celulares y dispositivos electronicos varios.

• Software de analisis forense de PDA’s y Celulares.

• Fuente de voltaje ajustable. Necesaria en caso de realizarpruebas a dispositivos electronicos y recarga de pilas decelulares.

• Interfaces de conexion.

• Multımetro digital. Herramienta indispensable para pruebasa dispositivos electronicos.

En caso de tratarse de la identificacion de dispositivos electronicosy/o sistemas de telecomunicaciones:

• Equipos de medicion propios del caso.

• Herramientas necesarias dependiendo el planteamiento delproblema.

Fijacion del lugar de los hechos I

Permite a las personas (que necesitan saberlo):

• Entender lo que sucedio,

• reconstruir el lugar de los hechos,

• reconstruir la cadena de sucesos y

• saber quien proceso los indicios.

La fijacion empieza con:

• una evaluacion visual general,

• un recorrido de inspeccion cuidadoso,

• una conversacion del investigador con sus colegas.

Las preguntas basicas que se deben de responder al investigador demanera general antes de proceder a realizar la investigacion:

1 Fecha y hora en la que se realiza la intervencion oinvestigacion

2 Domicilio del lugar de los hechos.

Fijacion del lugar de los hechos II3 Persona responsable de la administracion de los recursos

informaticos. (nombre y cargo)

4 Recursos en tecnologıas de la informacion y comunicacionescon los que cuenta el lugar de los hechos. (numero decomputadoras, aplicaciones y configuraciones de seguridad,bases de datos)

5 Accesos fısicos a los recursos informaticos.

6 Accesos Logicos

7 Infraestructura de comunicaciones (telecomunicaciones, redesinformaticas y su tecnologıa)

8 Verificar si existe control de acceso a los recursos en TIC’s atraves del uso de usuario y contrasena sı como e perfil de losusuarios (Administrador o limitados).

9 Rango de direcciones IP e inventario de las mismas.

10 Bitacoras activas.

Fijacion del lugar de los hechos III

11 Proveedores de Servicios de Comunicaciones.

Fijar fotograficamente el estado fısico del equipo ası como cables ydispositivos conectados a el.

Busqueda de indicios ası como generaciony registro de conjeturas I

Durante la busqueda de indicios ası como generacion y registrode conjeturas:

1 En caso de encontrarse personal laborando y manipulando losequipo que seran sujeto a estudio, evitar que dicho personal selevante de su asiento y asegurarse de que este retire las manosde los teclados y escritorio, colocandolas sobre sus muslos.

2 Localizacion e identificacion del equipo o equipos sujetos aestudio.

3 Estado del equipo al momento de realizar la diligencia(apagado, encendido).

4 En caso de encontrarse en estado de apagado el o los equiposy/o dispositivos sujetos a estudio, se debe proceder a embalary etiquetar de forma individual cada elemento con la finalidadde ser trasladado para su analisis en el Laboratorio.

Busqueda de indicios ası como generaciony registro de conjeturas II

5 En caso de encontrarse encendido el o los equipos y/odispositivos sujetos a estudio se debe:

1 Identificar la hora del sistema y en su caso, el desfasamientocon el horario oficial.

2 Identificar las caracterısticas del sistema (RAM, discos duros,version, etc.)

3 Obtener informacion volatil (primera muestra).4 Identificar y fijar escritorio, documentos recientes y

aplicaciones.5 Identificar y fijar procesos.6 Identificar y fijar informacion de conexiones a Internet.7 Previsualizacion de las unidades de almacenamiento.8 Obtener informacion volatil (segunda muestra).

6 Si se trata de evidencia digital contenida en telefonoscelulares:

Busqueda de indicios ası como generaciony registro de conjeturas III

7 Durante la busqueda de indicios ası como generacion yregistro de conjeturas

1 Aislamiento: En caso de no contar con dispositivos deaislamiento y manejo de telefonos celulares los cuales cumplencon la funcion de evitar que el dispositivo sujeto a estudioreciba o envıe llamadas o informacion, se debera de buscar enla medida de lo posible un lugar aislado entre muros o sotanosque eviten la recepcion o envıo de senales las cuales puedenprovocar la alteracion de manera remota de la informacioncontenida en el o los dispositivos sujetos a estudio.

2 Fijacion: En este punto se reconoce el dispositivo en cuanto amarca, modelo, numero de serie y caracterısticas particulares,ası como el estado fısico y los dispositivos de almacenamientoque lo componen (memorias). Cabe aclarar en este punto queel investigador debera de tomar las mayores precauciones paraevitar toda manipulacion del dispositivo sometido a estudio sinel uso de guantes de latex.

Busqueda de indicios ası como generaciony registro de conjeturas IV

8 En caso de ser necesario y con la autorizacion del Agente delMinisterio Publico o responsable del area, recolectar:

• Dispositivos de comunicacion (telefonos celulares, agendaselectronicas)

• Dispositivos de almacenamiento (memorias USB, CD’s,Disquetes, memorias SIMS, entre otros).

Dada la complejidad y diversidad de escenarios y variantesrelacionadas a conductas delictivas relacionadas con TIC’s en ellugar de los hechos, entre los cuestionamientos basicos que elinvestigador debe de plantearse para la generacion de conjeturassugerimos las siguientes:

• Acceso no autorizado.

• Fallos a consecuencia de virus maliciosos.

• Correos electronicos.

Busqueda de indicios ası como generaciony registro de conjeturas V

• Intervencion de sistemas de comunicacion.

• Negacion de servicios.

• Fallos a consecuencia de errores humanos.

• Sabotaje (interna o externa).

• Identificacion de dispositivos electronicos.

Embalaje de probables evidencias ICuando el equipo de computo se encuentra apagado y no es posibleincautarlo se procede a realizar una imagen forense del disco duro:

1 Preparar medio destino.

2 Identificar tecla de acceso al BIOS.

Embalaje de probables evidencias II

3 Accesar al BIOS.

4 Identificar fecha del sistema.

5 Identificar desfasamiento entre el horario del sistema y elhorario oficial.

6 Identificar orden de arranque del sistema.

7 Asegurase que el sistema arranque desde el medio forense(CAINE).

8 En caso de ser necesario previsualizar las unidades dealmacenamiento conectadas al equipo de computo (discosduros, memorias)

9 Realizar imagen o imagenes forenses.

Cadena de custodia

DefinicionProcedimiento controlado que se aplica a los indicios relacionadoscon el delito, desde su localizacion hasta su valoracion por losencargados de su analisis, normalmente peritos, y que tiene fin noviciar el manejo que de ellos se haga y ası evitar alteraciones,sustituciones, contaminaciones o destrucciones.

Investigacion en ambiente controlado otrabajo de Laboratorio.

• Seguir los procedimientos de recepcion de indicios.

• Ejecutar los procedimientos de investigacion.

• Elaborar el dictamen pericial.

Referencias bibliograficas I

Oscar. Lira Arteaga.Cibercriminalidad. Fundamentos de investigacion en Mexico..

tema 2. evidencia digital

Education