1.

Analisis Forense y el cuidado se debe de tener en manejo evidencia

Parte 1

Análisis Forense

Se suele definir el análisis forense, en su acepción más general, como la

“aplicación de la ciencia a cuestiones de interés legal”. En el contexto de T.I y
la Seguridad de la Información, se define como “la inspección sistemática y
tecnológica de un sistema informático y sus contenidos para la obtención de
evidencia de un crimen o cualquier otro uso que sea investigado”.

El análisis forense es una pieza clave en los procesos de respuesta a

incidentes de seguridad, y sirve para establecer datos como el “qué”, “quién”,
“cuándo”, “cómo”, y en algunos casos, el “por qué” de un incidente.

En esta primera parte del artículo vamos a tratar de la adquisición de la

evidencia. En la segunda parte del artículo nos enfocaremos en el análisis de la
evidencia, la cadena de custodia y el método científico. En la tercera y última
parte del artículo examinaremos las limitaciones de la práctica forense en
entornos corporativos complejos.

Adquisición de evidencia

La adquisición de la evidencia electrónica se debe hacer siempre de forma que

el sistema examinado se vea impactado o modificado en su estado lo mínimo
posible.

En un entorno como el informático, en el que el estado (contenido de registros,

memoria, estado del procesador, etc) de los sistemas cambia continuamente,
esto es difícil, si no imposible, de cumplir en la práctica. Siempre que existe una
interacción (por leve y cuidadosa que sea) del investigador o sus herramientas
con el sistema examinado, se produce una alteración de este último.

En la práctica forense moderna, se considera que ciertos tipos de evidencia

son más útiles o importantes que otros, y se acepta la modificación del estado
de la evidencia siempre que esta alteración sea conocida y predecible.

Para ello es importante conocer las herramientas a utilizar. No sólo hay que
conocer el tipo de información que extrae o qué informes genera, sino saber,
con detalle, cual es la interacción de la herramienta con el sistema sobre el que
corre: cómo afecta a la memoria, qué ficheros modifica, a qué recursos del
sistema accede, etc.

Como regla general, se debe obtener la evidencia de la forma menos

destructiva posible, y siempre en orden de más volátil a menos volátil, en el
orden que se muestra a continuación.
2. Analisis Forense y el cuidado se debe de tener en manejo evidencia

Cuando la evidencia se compone de listados de cientos de conexiones,

decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de
gigabytes de disco duro, es necesario establecer un plan para la forma de
abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo
es, y en qué orden hacer las cosas.

Cierto es que la mayoría de los casos son muy estándar, y el procedimiento

siempre sigue las mismas pautas. Casos típicos son:

• Hacker accede a un sistema explotando una vulnerabilidad de un

servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel
de super-usuario, e instala un kit de herramientas que le permita volver a
acceder al sistema cuando desee, aunque la vulnerabilidad original se
haya solucionado.
• Usuario legítimo del sistema provoca una infección del ordenador
(software de dudosa procedencia, “drive-by downloads”, ficheros
adjuntos en correo electrónico, etc.) que instala un troyano que convierte
al sistema en un “zombie” parte de una “botnet”.
• Empleado desencantado sabotea los sistemas de su propia empresa.
• Se sospecha de la posesión por parte del usuario de material no
autorizado o ilegal (software pirata, propiedad intelectual, pornografía
infantil)
• Empleado roba documentación e información confidencial, o la envía a
la competencia.
• Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)

Ninguna investigación forense se inicia sin tener al menos una sospecha de la

conducta o incidente a investigar, y esto permite adaptar la metodología al caso
concreto.

¿Apagar o no apagar?

Un elemento de la metodología que es importante tener claro es la decisión de

apagar o no apagar la máquina, y en caso de no apagar, si mantenerla
conectada a la red o no.

Toda decisión que se toma desde el momento que se inicia la investigación

debe estar meditada, sopesada, y evaluada en relación a sus posibles
beneficios y posibles perjuicios.
3. Analisis Forense y el cuidado se debe de tener en manejo evidencia

En los casos donde la actividad maliciosa está clara, y en los que cada
segundo que pasa se hace más daño a la organización, puede ser buena
práctica tirar del cable de alimentación (mejor que apagar usando la función de
“shutdown” del sistema, que tiende a alterar más el estado de la evidencia). Por
supuesto, en este caso tenemos que haber decidido que el contenido de la
memoria no es importante, o haber obtenido previamente una imagen de
memoria o información útil sobre los procesos activos.

Existen casos en los que apagar o desconectar de la red un sistema,

particularmente servidores de aplicaciones críticas de línea de negocio, no es
una opción. Ya sea por el impacto que puede tener en el negocio, o por
motivos regulatorios o de procesos estrictos de gestión del cambio, una caida
no planificada de un sistema crítico puede ser peor que la incidencia que se
está investigando.

¿Apagar dispositivos móviles?

Con la incorporación de sistemas móviles a la

infraestructura de nuestros sistemas aparece un
problema nuevo. ¿Qué hacer cuando se investiga un
teléfono móvil, Blackberry, o PDA?
Es importante evitar comunicaciones salientes o
entrantes del dispositivo cuando se obtiene como
evidencia, para evitar la modificación del estado en el
que se encuentra, y evitar tráfico entrante que pudiera
sobreescribir registros históricos o mensajes existentes.
Existen dos opciones cuando se incauta un dispositivo de comunicaciones
móvil:

• Apagar el dispositivo
• Mantenerlo encendido pero aislado de la red

Muchas veces estos dispositivos están protegidos mediante contraseñas o

códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar
averiguar estas contraseñas o buscar una manera de obviarlas. Si no los
apagamos, el dispositivo sigue funcionando, consumiendo batería.

Con la opción de mantenerlo encendido, pero en una bolsa aislante,

conseguimos que el dispositivo deje de estar conectado a la red. Pero en
general, estos dispositivos, al no encontrar portadora para comunicaciones,
aumentan su potencia de emisión y la frecuencia con la que intentan buscar
red, de forma que la vida de la batería se acorta considerablemente.

Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y
esperar a que siga encendido varios días después cuando se va a realizar la
investigación de la evidencia.

La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías)

que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento
puede ser interesante en ciertos casos.
4. Analisis Forense y el cuidado se debe de tener en manejo evidencia

En cualquier caso, mientras la metodología esté documentada y justificada,

queda a la discreción del investigador el método exacto a seguir.

Cadena de custodia

Un elemento importante en cualquier

investigación de tipo forense es el mantenimiento
de la “cadena de custodia”.

Esta expresión es un término legal que se refiere

a la capacidad de garantizar la identidad e
integridad de un espécimen o evidencia desde su
obtención, durante su análisis y hasta el final del
proceso.

En la práctica consiste en salvaguardar la

evidencia, de forma documentada, de forma que
se eviten alegaciones de que la evidencia ha sido
modificada o alterada durante el proceso de la
investigación.

Con los objetos físicos que constituyen evidencia, la práctica es almacenarlos

en bolsas o sobres sellados, con un formulario que especifica quién ha
recogido la evidencia y cada persona que la haya usado para algo, de forma
que no quede duda sobre quién ha tenido acceso a ella y cuándo.

Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos

y ejecutables, etc.) la práctica consiste en obtener “hashes” de la información
en el momento de su recolección, de forma que se pueda comprobar en
cualquier momento si la evidencia ha sido modificada.

Los algoritmos de “hashing” aceptados como estándar son el MD5 y el SHA-1.

A pesar de que se han descubierto vulnerabilidades en ambos , y que pueden
tener los años contados, sigue siendo buena idea tomar dos “hashes” (MD5 y
SHA-1) de cada pieza de evidencia ya que la posibilidad de obtener una
colisión de ambos sigue siendo infinitesimal.

El método científico

Un aspecto crucial del análisis forense, tal y como se desprende de la

definición general descrita en el primer párrafo, es la aplicación del método
científico.

Esto supone la adquisición de nuevo conocimiento, mediante el estudio de

evidencia observable y medible, aplicando el razonamiento lógico, elaborando
modelos e hipótesis, y corrigiendo o mejorando estas últimas según se obtiene
más evidencia.
5. Analisis Forense y el cuidado se debe de tener en manejo evidencia

Además, los resultados deben ser objetivos e imparciales. La metodología

aplicada debe ser conocida, de forma que otros investigadores, utilizando los
mismos métodos, puedan llegar a conclusiones similares.

Los resultados de la investigación deben explicar de forma clara las relaciones

de causa y efecto, eliminar en la medida de lo posible alternativas plausibles, y
evitar las conclusiones no falsables. Que una afirmación sea falsable, significa
que sería posible, al menos de forma teórica, demostrar su falsedad mediante
la observación y descubrimiento de nueva evidencia.

Los estrictos requisitos del método científico no excluyen elementos de la

experiencia humana como son las “corazonadas” y la intuición. Éstas son de
gran utilidad a la hora de proponer hipótesis y modelos, que luego deben ser
corroborados por la fría evidencia, de una forma estricta y objetiva.

Análisis de la evidencia

El objetivo del análisis es establecer, desde el principio hasta el final, qué ha

pasado, quién lo ha hecho, cuándo ha ocurrido, cómo ha sucedido.

El procedimiento específico dependerá del tipo de

incidente o caso que estemos investigando. Por
ejemplo, en el caso de una intrusión de un
sistema, la información sobre conexiones,
procesos y puertos puede indicar el tipo de
software malicioso utilizado, confirmándolo
después mediante análisis del sistema de
ficheros. Esto incluye recuperación de archivos y
establecimiento de la secuencia temporal (el
“cuándo”).

En muchos casos, cuando el interés está

enfocado a la existencia de archivos no autorizados (secretos industriales,
material multimedia pirateado, pornografía, software pirata, etc.), el análisis del
sistema de ficheros suele ser suficiente.

En otros casos, sobre todo cuando se sospecha del uso de sistemas

criptográficos para cifrar archivos o correo, puede ser fundamental obtener
información de la memoria del sistema (mediante una imagen completa de la
memoria, o mediante el volcado de los espacios de memoria asignados a
procesos sospechosos). En muchos casos, documentos cifrados o sus
contraseñas pueden estar de forma temporal en la memoria del sistema.

En cualquier caso, el establecer una serie de hechos a partir del análisis de la

evidencia, que confirmen de forma total o parcial la hipótesis o modelo, es el
objetivo de la investigación. El establecimiento de hechos que contradigan el
modelo puede hacer necesaria la reformulación de de la hipótesis de trabajo.

Protección de la intimidad
6. Analisis Forense y el cuidado se debe de tener en manejo evidencia

Un aspecto a tener en cuenta, sobre todo en casos con implicaciones legales,

es la posible existencia de información confidencial o personal, ajena al caso,
entre la evidencia recolectada.

¿Qué medidas se toman para proteger esa información? ¿Quién tiene acceso a
ella? La comisión de una infracción o delito no implica la suspensión de las
leyes y normas sobre protección a la intimidad y la privacidad de datos de
carácter personal.

Un juicio en Michigan (EEUU) ha puesto este tema de actualidad. Una de las

partes litigantes había solicitado al juez una orden para examinar el disco duro
de un PC de otra de las partes.

El juez dictaminó que un experto investigador forense realizase la investigación

del disco duro sin participación de ninguna de las partes litigantes. El perito
elaboraría un inventario de los elementos de evidencia que sería presentado al
propietario del disco. Este tendría un tiempo determinado para indicar los
elementos a ser excluidos del caso, mediante una solicitud al juez. La parte
demandante debería cubrir los gastos del procedimiento.

Sistemas Anti-Forense

En los últimos tiempos se ha observado la existencia cada vez más

preocupante de herramientas que buscan impedir o dificultar la actividad
forense.

La idea se puede resumir en la siguiente frase: “Haz difícil que te encuentren, y

si te encuentran, haz imposible que lo puedan probar” .

Estas herramientas han existido siempre en una forma u otra. La diferencia es

que ahora son más fáciles de usar para usuarios no técnicos, como ya sucede
con las herramientas de “hacking” que no requieren grandes conocimientos
técnicos para ser utilizadas.

Existen herramientas que alteran los atributos de fecha (creación, acceso y

modificación) de los archivos de un sistema de ficheros, haciendo imposible el
análisis clásico de secuencia temporal. Otras herramientas esteganográficas
permiten ocultar información en partes no asignadas del sistema de ficheros, o
camufladas en otros archivos (imágenes, sonido, etc.) Y por supuesto, la
existencia de sistemas criptográficos de alta calidad y facilidad de uso
(Truecrypt, PGP, etc.), dificulta aún más la obtención de evidencia en el
transcurso de una investigación.

En esta tercera y última parte del artículo sobre la práctica de análisis forense
examinaremos las limitaciones de la práctica forense en entornos corporativos
complejos, terminando con unas conclusiones generales.

En las anteriores partes del artículo ya tratamos sobre la adquisición de la

evidencia, su análisis, la cadena de custodia y el método científico.
7. Analisis Forense y el cuidado se debe de tener en manejo evidencia

Análisis forense en el mundo corporativo

Las técnicas y herramientas existentes para análisis forense tienen una cierta
madurez, pero en general adolecen de un defecto: están orientadas al mundo
del PC. Acceso físico al hardware, discos duros de tamaño razonable,
posibilidad de desconectar el sistema y confiscarlo, etc.

En muchos casos es difícil, si no imposible, aplicar las técnicas de investigación

forense en el mundo de la gran corporación. Esto puede ser debido a muchas
causas:

• Tamaño del entorno tecnológico, distribución geográfica, gran número

de sistemas, tamaño del almacenamiento implicado, etc.
• Complejidad tecnológica, y existencia de múltiples tecnologías.
• Complejidad organizativa, política o legal, incluyendo diferentes
jurisdicciones o sistemas legales.
• Existencia de sistemas críticos en entornos controlados

Cosas tan básicas como la distancia, la posibilidad de acceso físico a sistemas

remotos (a lo mejor al otro lado del mundo), diferencias culturales o de idioma,
zonas horarias, etc. pueden limitar o dificultar la realización de una
investigación forense.

Cuando se tiene que obtener la evidencia de forma remota, el ancho de banda

disponible (a veces mínimo) y la proliferación de grandes medios de
almacenamiento (discos de cientos de gigabytes), hacen difícil la obtención de
imágenes de disco para su examen.

La existencia de sistemas de almacenamiento externo (NAS, SAN, etc.) y la

difuminación entre lo físico y lo virtual (sistemas virtuales, almacenamiento
distribuido, clusters geográficos) no hacen sino complicar aún más la tarea del
investigador. El tamaño de los volúmenes actuales de disco, en el mejor de los
casos, puede implicar varias horas para realizar una imagen bit-a-bit, de forma
local.
8. Analisis Forense y el cuidado se debe de tener en manejo evidencia

Por último, no siempre es posible acceder a la evidencia en el caso de

sistemas críticos, debiendo evaluar la conveniencia en base a:

• Coste de downtime contra coste del incidente

• Coste de reinstalación y puesta en marcha
• Coste de re-validación o re-certificación del sistema

Jugando con las configuraciones RAID es posible en ciertos casos utilizar uno
de los discos en “espejo” para realizar la copia, pudiendo extraerlo “en caliente”
sin afectar a la continuidad del servicio.

En el caso de que no haya acceso físico al sistema, puede ser necesario

recurrir a operadores remotos (en cuyo caso el procedimiento a seguir debe
estar muy detallado, para que cualquiera pueda ejecutarlo), o utilizar otros
métodos como la transferencia a través de red de la imagen o el arranque del
sistema desde un CD-ROM virtual mapeado a través de tarjetas de gestión
remota tipo “Lights out”.

Una ventaja que tiene la gran corporación respecto a otros entornos es la

estandarización de los sistemas. El plataformado de clientes y servidores de
una forma común permite la creación de “bases de datos de hashes” de
tamaño razonable que facilitan la investigación al descartar en seguida los
archivos “conocidos”, y centrar el análisis en los archivos desconocidos. El uso
de una base de datos de “hashes” de archivos permite descartar entre un 80%
y 90% de los archivos de una partición de un PC o un servidor de forma rápida
y cómoda.

Conclusiones

Existe cierta sensación de que es posible que la práctica forense esté pasando
por un “bache de la desilusión” (“trough of disillusionment”) en terminología de
Gartner. Esto es debido a la incapacidad de las técnicas y herramientas
9. Analisis Forense y el cuidado se debe de tener en manejo evidencia

actuales para cubrir las necesidades de los entornos modernos. Esto hace que
la práctica deje de ser “interesante” y parezca que ha “pasado de moda”.

El futuro de la práctica de investigación forense en sistemas informáticos pasa

necesariamente por renovarse e incorporar técnicas maduras que hagan frente
a:

• El desplazamiento del campo de batalla desde el disco duro a la

memoria. Ciertas aplicaciones, troyanos y “rootkits” son capaces de
residir en memoria sin tocar el disco. El análisis de la memoria y las
herramientas para ello están en una fase muy temprana en la actualidad,
aunque ya hay cosas prometedoras.
• El desarrollo de técnicas y herramientas para el análisis de dispositivos
móviles.
• La entrada de la práctica forense en el mundo corporativo (sistemas
críticos, grandes almacenamientos, falta de acceso físico a máquinas,
virtualización, distancias geográficas, etc.)
• La proliferación y puesta a disposición del gran público de herramientas
que dificulten la investigación forense.

El mantener la “carrera armamentística” contra las nuevas técnicas y

herramientas para realizar actividad maliciosa, y contra las herramientas anti-
forenses, así como la madurez de la práctica para adecuarla al entorno
corporativo, serán decisivas en el desarrollo de una de los campos más
fascinantes de la Seguridad de la Información.

Tomado del blog de Informática Forense de Alfredo

Reino