Adquisición de evidencias

[3.1] ¿Cómo estudiar este tema?

[3.2] Tipos de evidencias y orden de volatilidad

[3.3] Acotando la escena del crimen

[3.4] Adquisición de las evidencias

[3.5] Preservación de la integridad e identidad de las

evidencias

TEMA
 Esquema

Adquisición de evidencias

TEMA 3 – Esquema
Tipos de Integridad e
Acotar la escena Adquisición
evidencias identidad

Equipos Toda la Proteger

Volátiles afectados información contra
directamente del original escritura

Equipos Volátiles
No volátiles Hash
relacionados • En caliente

No volátiles
• En frío
• En caliente
Análisis forense
 Análisis forense

Ideas clave

3.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee los siguientes documentos, además de las Ideas clave:

El artículo Best Practices In Digital Evidence Collection, publicado por Sans y

disponible en:
http://computer-forensics.sans.org/blog/2009/09/12/best-practices-in-digital-
evidence-collection/

Otro artículo que habría que leer, es el titulado como Collect evidence from a
running computer, publicado por Search y disponible en:
http://www.search.org/files/pdf/CollectEvidenceRunComputer.pdf

El documento titulado Forensic Images: For Your Viewing Pleasure explica los
conceptos básicos sobre qué es una imagen o un clonado, sus diferencias y los tipos
de formatos que se utilizan.
http://www.sans.org/reading-room/whitepapers/forensics/forensic-images-viewing-
pleasure-35447

Por último, es recomendable la lectura del artículo On the Use of Hash Functions in
Computer Forensics, publicado por CASED. En este texto se comenta sobre el uso de
las funciones hash en el ámbito de la informática forense. Está disponible en:
https://www.fbi.h-da.de/fileadmin/personal/h.baier/Lectures-winter-11/WS-11-
Forensics/vorlesung_forensik_ws11-12_kap08_hash-handout.pdf

En este tercer tema de la asignatura vamos a hablar de evidencias, qué tipos de

evidencias existen, cómo adquirirlas y cómo preservarlas. Las evidencias son la parte
fundamental de un análisis forense, pues sin ellas el resto del estudio no se podría
realizar. Es por ello, que durante el tratamiento de las mismas debemos de tener un
especial cuidado.

TEMA 3 – Ideas clave

 Análisis forense

Los objetivos de este tema son:

Conocer los tipos de evidencias que existen.

Saber discernir qué evidencias son de importancia para la investigación y cuáles no
lo son.
Saber cómo adquirir evidencias.
Conocer la importancia de tratar las evidencias con minuciosidad, asegurando su
integridad y preservación.

3.2. Tipos de evidencias y orden de volatilidad

Las evidencias digitales se pueden englobar dentro de dos grandes grupos:

Evidencias volátiles Evidencias no volátiles

Son aquellas que cambian con facilidad

como pueden ser las memorias caché,
tablas de enrutamiento, los procesos que
están en ejecución o la memoria RAM,
entre otros. Este tipo de evidencias son las
que primeramente tendremos que adquirir
puesto que nuestras acciones pueden
modificar su valor original y
desaparecen al apagar el equipo.
Como su mismo nombre indica, no
cambian con tanta facilidad, aunque
por supuesto nuestras acciones pueden
alterar su valor si no actuamos con
cuidado. Dentro de este tipo de evidencias
se engloban los discos duros, pendrives,
CDs, etc.

El orden de volatilidad (de mayor a menor) de las evidencias digitales es (Henry 2009):

1. La caché de la CPU (no lo vamos a poder capturar).

2. La tabla de enrutamiento, la caché ARP, la lista de usuarios que han iniciado sesión
en el equipo, la lista de procesos y en general cualquier otra evidencia volátil que
pueda desaparecer al apagar el equipo.
3. La memoria RAM.
4. Los archivos temporales y el espacio de intercambio.
5. Los datos del disco duro.
6. Datos almacenados remotamente.
7. Datos almacenados en dispositivos removibles.

TEMA 3 – Ideas clave

 Análisis forense

Basándonos en los tipos de evidencias antes descritos y en el orden de volatilidad de las

mismas, el procedimiento de adquisición de las evidencias sería (Henry 2009):

1. Fotografiar la pantalla del equipo (si se encuentra encendida).

2. Capturar la memoria RAM y cualquier otra información volátil que necesitemos
(procesos en ejecución, usuarios que han iniciado sesión en el equipo, etc.).
3. Si el disco duro se encuentra encriptado, o suponemos que puede estarlo, realizar
una adquisición en caliente del mismo.
4. Desconectar el equipo tirando del cable de alimentación. Si es un portátil, además se
quita la batería. Con este tipo de apagado evitamos el que se ejecute algún programa
preparado para lanzarse antes de apagar el equipo.
5. Recoger el resto de evidencias que se encuentren en la escena (dispositivos
removibles, CDs, etc.) y llevarnos el equipo.

Por supuesto, si el equipo se encontrara apagado, solo realizaríamos el paso número

cinco de los descritos anteriormente.

3.3. Acotando la escena del crimen

Qué pasaría si lo que tenemos que analizar es el servidor de la empresa, un ordenador

que gestiona una cadena de suministro o cualquier otro sistema crítico para la empresa.
¿Qué hacemos?

En estos casos no queda más remedio que acotar la escena del crimen. Para ello
debemos de tener en cuenta:

1 ¿Qué equipos han sufrido de manera directa el incidente?

¿Qué otros equipos que sin haber sufrido el incidente pueden estar
2
relacionados con el mismo?

Una vez tengamos la respuesta a las anteriores preguntas podremos plantearnos si es

viable una adquisición en caliente de las evidencias, si tenemos que realizar análisis en
caliente de las mismas o si es posible llevarnos las evidencias y analizarlas en el
laboratorio.

TEMA 3 – Ideas clave

 Análisis forense

Así, por ejemplo, si nos encontramos con algún equipo crítico, es decir, equipos que son
elementales para el funcionamiento de la empresa y que no pueden ser retirados ni
apagados, será necesario realizar una adquisición «en caliente» del mismo y, por
norma general, contar con el asesoramiento del personal técnico de la empresa.

Para qué llevarme esto… …Si solo necesito esto

3.4. Adquisición de evidencias

En los apartados anteriores hemos visto cuál es el orden de volatilidad de las evidencias
digitales, el orden en que estas tienen que ser adquiridas y la necesidad de acortar la
escena del crimen. En este apartado vamos a ver, de manera práctica, cómo se realiza
dicha adquisición.

Pero antes de comenzar, es posible que os preguntéis: ¿qué es adquirir una evidencia? y
¿para qué las adquirimos?

Adquirir una evidencia es sencillamente crear un archivo que contenga toda la

información contenida en la evidencia original. Incluidos los espacios marcados
como vacíos o libres (si estamos hablando de dispositivos como un disco duro o un
pendrive).

El motivo por el que adquirimos una evidencia es que se trabaja de manera más
sencilla con un archivo que con un disco duro físico. El archivo puede ser utilizado
por varios analistas a la vez, puede ser fácilmente copiado y enviado, contener información
adicional de la evidencia, podemos marcar archivos de interés dentro de la evidencia y esa
información se queda almacenada en el propio archivo de la evidencia, etc.

TEMA 3 – Ideas clave

 Análisis forense

Los tipos de archivos de evidencia más comunes son:

EnCase image file format (*.Exx) De la suite de análisis forense EnCase.

Advanced Forensics Format (*.AFF) Un formato abierto de evidencias forenses.

Un formato en el que la información de la

evidencia se almacena tal cual está en la propia
RAW (*.*)
evidencia original, sin compresión ni metadatos
(como si tienen los anteriores formatos).

Adquisición de evidencias volátiles

Las evidencias volátiles, como la memoria RAM, tendremos que adquirirlas en

caliente, esto es, con el equipo a examinar encendido (pues como ya se ha dicho,
estas evidencias desaparecen al apagar el equipo). El principal problema de este tipo de
adquisición, es que las evidencias del equipo se degradan, pudiendo incluso llegar a
perderse evidencias si no tenemos cuidado con nuestras acciones.

La primera evidencia que hay que adquirir es la memoria RAM. La memoria RAM
es un tipo de memoria donde el ordenador almacena los datos que están siendo
usados en un determinado momento. Así pues, cualquier programa que
ejecutamos en nuestro equipo ha de ubicarse primeramente en la memoria RAM.

Para adquirir la memoria RAM, haremos uso de programas preparados a tal efecto
como DumpIt (para sistemas operativos Windows). El problema que existe a la hora de
adquirir la memoria RAM, es que como acabamos de comentar el propio programa
que utilicemos para adquirir la memoria RAM va a tener que cargarse en dicha
memoria, alterando parte de ella. Este tipo de modificación es inevitable.

Del análisis de la memoria RAM se puede obtener:

1 Contraseñas de acceso (en claro o el hash de las mismas)

2 Documentos abiertos por el usuario, aunque no se hubieran guardado

3 Imágenes que se estuvieran visualizando

Programas en ejecución (es posible extraer un ejecutable completo de la

4
captura de la memoria RAM)

5 Etcétera

TEMA 3 – Ideas clave

 Análisis forense

Al igual que es posible la captura de la memoria RAM, también se pueden capturar otro
tipo de evidencias volátiles como la lista de procesos en ejecución, lista de
usuarios que han iniciado sesión en el equipo, etc.

Para la adquisición de este tipo de evidencias haremos uso de programas específicos en

función de lo que se pretenda adquirir, como Process Monitor para la obtención de la
lista de procesos y subprocesos en ejecución o FileMon que muestra la actividad del
sistema de archivos en tiempo real, ambas pertenecientes al conjunto de herramientas
denominado Windows Sysinternals (http://technet.microsoft.com/es-es/sysinternals).

Eso sí, teniendo siempre en cuenta que los programas que utilicemos deben ser
independientes del equipo a examinar (no utilizaremos un programa que tenga
instalado el propio equipo). Esto es así, porque dichos programas pueden haber sido
alterados de manera que dificulten o directamente impidan el realizar nuestra labor.

Adquisición de evidencias no volátiles

Al contrario que las evidencias volátiles, las no volátiles podemos adquirirlas tanto en
frío, con el equipo apagado, como en caliente, con el equipo en funcionamiento. El
que nos decantemos por una forma u otra de adquisición dependerá de varios
factores.

Entre los factores más importantes a la hora de decantarnos por una adquisición en
caliente o en frío tenemos:

Que el equipo pertenezca o no a un sistema crítico que tenga que mantenerse

encendido de manera ininterrumpida.
Que el dispositivo que pretendemos adquirir se encuentre o no cifrado. Si lo está
puede ser imposible realizar la adquisición en frío.
Que el equipo se encuentre expuesto a ataques desde el exterior, lo que puede
hacer que las evidencias se alteren durante una adquisición en caliente.
Etcétera.

Para la adquisición de evidencias no volátiles en caliente utilizaremos programas como

AccessData FTK Imager, que permiten la adquisición física de los dispositivos
conectados al equipo.

TEMA 3 – Ideas clave

 Análisis forense

Durante una adquisición en caliente, todos los pasos que se realicen sobre el equipo
objeto del análisis deben estar concienzudamente documentados con el fin de
diferenciar las modificaciones realizadas por nosotros, de las realizadas por un tercero.

Para la adquisición de evidencias no volátiles en frío podemos utilizar los mismos

programas que para la adquisición en caliente, como AccessData FTK Imager,
teniendo además una especial precaución en que los dispositivos que pretendamos
adquirir se encuentren conectados como solo lectura, para evitar que podamos alterar
su contenido.

Así pues, al conectar a nuestro equipo de análisis el disco duro que pretendamos
adquirir, tenemos que asegurarnos la no escritura en el mismo utilizando hardware
como Forensics Ultradock, software como FastBloc SE o directamente montando el
dispositivo como solo lectura (para sistemas operativos Linux o Mac OS).

3.5. Preservación de la integridad e identidad de las evidencias

Como se ha comentado anteriormente, a la hora de realizar una adquisición en frío (en

caliente esto no es posible) debemos de proteger contra escritura el dispositivo
que se pretende adquirir con el fin de evitar la modificación del mismo.

Este aspecto, que si bien es de suma importancia a la hora de conseguir que las
evidencias adquiridas tengan validez en un proceso judicial, no es el único que debemos
de llevar a cabo, ya que aunque garantiza la no alteración de la evidencia original, no
nos asegura que lo que estemos analizando sea exactamente lo mismo que lo contenido
en la evidencia original.

Para verificar que lo analizado es una copia exacta de la evidencia original, o que
la integridad de dicha copia se mantiene a lo largo de todo el proceso de análisis
hacemos uso de las conocidas como funciones hash.

TEMA 3 – Ideas clave

 Análisis forense

Una función hash es un tipo de función que debe reunir como mínimo las siguientes
dos características:

Para cada entrada «E», la función generará siempre una salida «S» única. Lo que
implica que cualquiera alteración en la entrada, por mínima que sea, alterará la
salida.
A partir de la salida «S» de la función, es imposible obtener la entrada original
«E».

El proceso de la adquisición de una evidencia queda entonces de la siguiente manera:

Hash a la Hash a la evidencia

evidencia original Adquisición original (HA2) y a
(HA1) la copia (HB)

Para concluir que no hemos alterado la evidencia original y que la copia realizada es
exacta, el primer hash a la evidencia original (HA1) ha de ser igual al segundo
hash a la evidencia original (HA2) e igual al hash de la copia (HB).

Además, para verificar en cualquier momento del análisis que lo que se está analizando
es lo mismo que se obtuvo de la evidencia original, solo tenemos que realizar
nuevamente un hash a la evidencia objeto del análisis y compararlo con el primer hash
de la evidencia original (HA1). Si son idénticos estamos analizando una copia exacta de
la evidencia original, mientras que si son distintos, la evidencia que estamos analizando
ha sido alterada.

Este proceso de preservación de la integridad e identidad de las evidencias, programas

como las suite forense EnCase o Forensic ToolKit, lo realizan de manera transparente
al analista, mostrando una advertencia en el caso de que dichos valores no coincida.

Ahora bien, el proceso de preservación de la integridad de las evidencias varía cuando

realizamos adquisiciones «en caliente». El problema de este tipo de adquisiciones es
que, en la mayoría de los casos, no es posible bloquear contra escritura el origen
(por ejemplo, la memoria RAM), por lo que el hacer un Hash a la evidencia original
carecería de sentido.

TEMA 3 – Ideas clave

 Análisis forense

El proceso de adquisición y preservación de la integridad cuando se realiza una

adquisición en caliente sería: Adquisición de la evidencia y hash al resultado de la
adquisición. No realizamos el hash a la evidencia original.

Hash a la copia de
Adquisición
la evidencia

TEMA 3 – Ideas clave

 Análisis forense

Lo + recomendado

Lecciones magistrales

Adquisición de evidencias en caliente

En esta lección magistral se trata el tema de la adquisición de evidencias en caliente y

su creciente necesidad dado el aumento de dispositivos cifrados.

La clase magistral está disponible en el aula virtual.

No dejes de leer…

ISO 27034

La Organización Internacional de Normalización (ISO) es un organismo encargado de

promover estándares internacionales de distintos tipos. Esta organización ha
desarrollado la norma ISO 27037, la cual ha sido desarrollada con la intención de
proporcionar una serie de directrices para la identificación, recolección, adquisición y
preservación de evidencia digital.

TEMA 3 – Lo + recomendado
 Análisis forense

Acquiring forensic evidence from infrastructure-as-a-service cloud

computing

Este documento, publicado en la DFRWS (Digital Forensics Research Conference) de

2012, trata sobre las técnicas y las posibles formas de afrontar la adquisición de
evidencias en remoto.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.dfrws.org/2012/proceedings/DFRWS2012-10.pdf

A system for the proactive, continuous, and efficient collection of digital

forensic evidence

El artículo, propone un sistema de recolección continua de posibles evidencias, que

pudieran ser estudiadas en caso de necesidad.

El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.dfrws.org/2011/proceedings/06-338.pdf

No dejes de ver…

Computer forensics, evidence acquisition

El vídeo, publicado por el instituto de

investigación en seguridad
(SysAdmin, Audit, Network,
Security), aborda el tema de los
distintos métodos de adquisición de
evidencias.

El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.youtube.com/watch?v=9JoX4uxES7Q

TEMA 3 – Lo + recomendado
 Análisis forense

+ Información

Webgrafía

SANS: Evidence acquisition

SANS es una organización especializada en seguridad informática, con unos artículos

muy apreciados en el ámbito de la informática forense. Dentro de la categoría
«Evidence aqcuisition» encontraréis todo lo relacionado con la adquisición de
evidencias digitales.

http://computer-forensics.sans.org/blog/category/evidence-acquisition

Bibliografía

Brezinski, D., y Killalea, T. (2002). Guidelines for Evidence Collection and Archiving.
Extraído el día 12 de febrero de 2013 desde: http://www.ietf.org/rfc/rfc3227.txt

Henry, P. (2009). Best Practices. In Digital Evidence Collection. Extraído el día 12 de

febrero de 2013 desde:
http://computer-forensics.sans.org/blog/2009/09/12/best-practices-in-digital-
evidence-collection

TEMA 3 – + Información
 Análisis forense

Actividades

Trabajo: Análisis de un volcado de memoria RAM de un equipo

En esta actividad tendremos que realizar el análisis de un volcado de memoria RAM de

nuestro equipo.

Para realizar un análisis exhaustivo de un volcado de memoria RAM es necesario hacer uso
de frameworks como Volatility (http://www.volatilityfoundation.org/), que permiten
realizar multitud de acciones sobre el volcado obtenido. Aunque también es posible un
análisis más sencillo realizando búsquedas de cadenas de texto y recuperación de archivos
sobre el propio volcado.

Antes de comenzar la actividad, es recomendable la lectura del manual publicado en

Google Code, el cual está disponible en:
https://code.google.com/p/volatility/source/browse/branches/scudette/docs/tutorial.txt?r=2594

También es recomendable la visualización del siguiente vídeo:

https://www.youtube.com/watch?v=6dTEtPb5eAo

Para realizar la actividad de este tema tienes que:

1. Realizar un volcado de la memoria RAM de tu ordenador realizando las menores

modificaciones posibles sobre la misma y sobre el disco duro de tu equipo. Antes de realizar
el volcado, asegúrate de abrir al menos un navegador web y acceder a varias páginas.

2. Realizar un hash al volcado de la memoria RAM que has realizado.

3. Obtener mediante Volatility (u otro software) los siguientes datos:

a. Formato del volcado (En Volatility hacemos uso del plugin imageinfo).
b. Software utilizado para realizar la adquisición de la memoria RAM.
c. Historial de comandos ejecutados en la consola (CMD en Windows).
d. Listado de navegadores web en ejecución.
e. Listado de conexiones abiertas por dichos navegadores.
f. Historial de navegación de los navegadores web en ejecución.

TEMA 3 – Actividades
 Análisis forense

4. Documentar todo el proceso de volcado, hash y obtención de la información

solicitada y entregarlo como resultado de la actividad. No hay que entregar el
volcado de la memoria RAM generado.

TEMA 3 – Actividades
 Análisis forense

Test

1. ¿Qué dos grandes grupos de evidencias digitales existen?

A. Volátiles y cambiantes.
B. Cambiantes y no volátiles.
C. Volátiles y no volátiles.
D. Cambiantes y no cambiantes.

2. En cuanto a las evidencias…

A. Las evidencias no volátiles son aquellas que cambian con facilidad.
B. La memoria RAM es una evidencia no volátil.
C. Las evidencias no volátiles son aquellas que no cambian con facilidad.
D. Un disco duro es un tipo de evidencia cambiante.

3. En cuanto al orden de volatilidad de las evidencias…

A. Un disco duro es más volátil que la memoria RAM.
B. Los datos almacenados en dispositivos removibles son más volátiles que la
caché de la CPU.
C. La memoria RAM es más volátil que los datos almacenados remotamente.
D. Ninguna de las anteriores es correcta.

4. A la hora de acotar la escena del crimen debemos de tener en cuenta…

A. Los equipos que no tienen que ver con el incidente.
B. Los equipos que han sufrido de manera directa el incidente.
C. Todos los equipos son importantes.
D. Ninguna de las anteriores es correcta.

5. Cuando adquirimos la memoria RAM:

A. El programa que utilicemos para su adquisición modificará la propia memoria
RAM.
B. La memoria RAM no se adquiere, pues es una evidencia volátil.
C. La memoria RAM no se adquiere, pues es una evidencia no volátil.
D. El programa que utilicemos para su adquisición no la modificará.

TEMA 3 – Test
 Análisis forense

6. Del análisis de la memoria RAM podemos obtener:

A. Contraseñas de acceso (en claro o el hash de las mismas).
B. Documentos abiertos por el usuario, aunque no se hubieran guardado.
C. Imágenes que se estuvieran visualizando.
D. Todas las anteriores son correctas.

7. Durante la adquisición de evidencias volátiles…

A. Podemos utilizar los propios programas instalados en el equipo.
B. Debemos de tener cuidado al utilizar programas instalados, pero podemos
utilizarlos.
C. Utilizaremos programas independientes del equipo a examinar.
D. No hace falta utilizar ningún programa para adquirir las evidencias volátiles.

8. La adquisición de evidencias no volátiles…

A. Se hace siempre en frío.
B. Se hace siempre en caliente.
C. Se hace en frío o en caliente en función de diversos factores.
D. No importa si se realiza en frío o en caliente, el resultado es el mismo.

9. Una función hash…

A. Para cada entrada generará una salida única.
B. Cualquier mínima alteración en la entrada, hará que la salida cambie.
C. A partir de la salida, es imposible obtener la entrada.
D. Todas las anteriores son correctas.

10. El proceso de adquisición de una evidencia es:

A. Hash a la evidencia original, adquisición, hash a la evidencia original y a la
copia.
B. Hash a la evidencia original, adquisición, hash a la evidencia original.
C. Hash a la evidencia original, adquisición, hash a la copia.
D. Adquisición, hash a la evidencia original y a la copia.

TEMA 3 – Test