Análisis Forense

Digital

Ing. Darío González / Seguridad Computacional

¿Y cómo pasó?
INTRODUCCIÓN AL
ANÁLISIS FORENSE DIGITAL
Introducción

 El Análisis Forense Digital (Digital Forensics) está

adquiriendo una gran importancia dentro del área de la
información electrónica.

 Esto debido al aumento del valor de la información y al

uso que se le da a ésta, a la existencia de nuevos
medios de almacenamiento, y al extenso uso de
computadores por parte de todo tipo de
emprendimientos
Introducción

 Es por esto que cuando se realiza un crimen, muchas

veces la información queda almacenada en forma
digital.
–¿Es sólo para crímenes electrónicos? ¿En qué otro caso
puede requerirse un análisis forense digital?

 Los computadores guardan la información de forma tal

que no puede ser recolectada o usada como prueba
utilizando medios comunes, se deben utilizar
mecanismos diferentes a los tradicionales.
 Es de aquí que surge el estudio del Análisis Forense
Digital como una ciencia relativamente nueva.
Recientemente vistos juntos…

 Digital Forensics (DF)

–El Análisis Forense tradicional, realizado de manera post-
mortem
–Se hace después de que ocurra un problema

 Incident Response (IR)

–Examen de un sistema corriendo en vivo
–Orientado a analizar ataques de malware o intrusiones
–Generalmente no resulta en una acción legal

 Nosotros usaremos el término reducido DFIR para

hablar de los temas del curso
Investigaciones Civiles vs. Criminales

 Solamente los administradores de justicia oficiales

pueden realizar investigaciones criminales
–Así como aquellas personas o entidades que sean contactadas
para participar

 Generalmente la informática forense privada solamente

puede ser usada para investigaciones encargadas por
su empleador
–Faltas a las normas de conducta

 O para clientes a quienes represente en una corte civil

Definiciones

 Muy variadas:
–“La informática (o computación) forense es la ciencia de
adquirir, preservar, obtener y presentar datos que han sido
procesados electrónicamente y guardados en un medio
computacional”
–Conjunto de técnicas científicas y analíticas especializadas en
infraestructura tecnológica que permitan identificar, preservar,
analizar y mostrar datos que sean válidos dentro de un proceso
legal o cuando la situación lo requiera.
–La ciencia de adquirir, preservar, obtener y presentar datos que
han sido procesados electrónicamente y guardados en un
medio computacional
Artefactos

 Un archivo, configuración o cambio de sistema,

reproducible, que ocurre cada vez que una aplicación o
el sistema operativo ejecuta una acción específica.
 Ejemplo: detección del primer login en un sistema
Windows
–Revisar la fecha de creación del directorio home del usuario
–No cambia, sin importar cuántas veces entra
–La acción puede repetirse en varios sistemas para verificar su
confiabilidad.
Otros términos utilizados en DFIR

 Análisis Forense de Redes: campo de la informática

forense que se dedica a capturar, registrar, almacenar
y analizar los eventos de la red
 Análisis Forense Digital: forma de aplicar los
conceptos, estrategias y procedimientos de la
criminalística tradicional a los medios informáticos
especializados, con el fin de apoyar a la
administración de justicia en su lucha contra los
posibles delincuentes o como una disciplina
especializada que procura el esclarecimiento de los
hechos
Uso de la DFIR

 En un entorno corporativo, permite asegurar la

efectividad de las políticas de seguridad y la protección
de la información como de las tecnologías que facilitan
la administración de la misma.
 En el ámbito judicial, surge como respuesta al auge
delincuencial que utiliza como apoyo o medio cualquier
soporte electrónico.
 En el momento actual son muchos los casos en los que
se obtienen distintos medios de prueba, vitales para el
éxito de una investigación, de discos duros, teléfonos
móviles, PDAs ,sistemas GPS, etc
Objetivos de DFIR

 Crear y aplicar políticas para prevenir posibles ataques

y, de existir antecedentes, evitar casos similares.
 En casos criminales, perseguir y procesar judicialmente
a los criminales.
 En casos corporativos, dirimir responsabilidades en
faltas a los códigos de conducta o negocios
inapropiados.
 Compensar daños causados por el uso inapropiado de
recursos tecnológicos.
Usos de la DFIR

 Persecución Criminal: Evidencia incriminatoria que

puede ser usada para procesar una variedad de
crímenes, incluyendo homicidios, fraude financiero,
tráfico de drogas, evasión de impuestos o pornografía
infantil.
 Litigación Civil: En los procesos de investigación por
fraude, discriminación, acoso, divorcio, etc.
 Investigación de Seguros: La evidencia encontrada en
equipos tecnológicos puede ayudar a las compañías de
seguros a disminuir los costos de reclamos por
accidentes y compensaciones.
Usos de la DFIR

 Temas corporativos: En casos que tratan sobre acoso

sexual, robo, mal uso de recursos tecnológicos,
apropiación de información confidencial o de espionaje
industrial.
 Mantenimiento del orden público: Para la consecución
inicial de órdenes judiciales, y en la búsqueda de
información una vez que se cuenta con una orden
judicial para hacer la búsqueda exhaustiva.
Ejemplos de apoyo DFIR a procesos

 Recuperar archivos eliminados

 Descubrir qué dispositivos externos han sido
conectados
 Determinar qué programas han sido ejecutados
 Recuperar los websites visitados por usuarios
 Recuperar correos web leídos
 Determinar qué servidores de archivos se han usado
Ejemplos de apoyo DFIR a procesos

 Historial escondido de documentos

 Recuperar chats privados
 Recuperar registros de llamadas y mensajes SMS de
dispositivos móviles
 Encontrar quién ha leído el e-mail de otro usuario
 Encontrar si se ha instalado malware y determinar qué
se ha capturado
 Encontrar quién no está trabajando
 Etc…
Caminos de entrada al DFIR

 Operadores de justicia
 Militar
 Profesional de IT / Seguridad Informática
 Como Carrera Universitaria
Disciplinas DFIR

Militar/Inteligencia

Operadores de Respuesta
justicia Incidentes IT

Soporte a Digital
litigios Forensics
EVIDENCIA DIGITAL
¿Que es la Evidencia Digital?

 Es toda información que se extrae de un medio

electrónico, la cual debe cumplir con ciertas exigencias
para su autentificación, debido a que este tipo de
documentación digital no deja rastro alguno de ser
copiado y en el intervalo puede modificarse.
 Por tal razón los investigadores deben generar varias
copias y verificar durante el proceso de trabajo que no
haya ninguna alteración -> INTEGRIDAD
¿Qué es la Evidencia Digital?

 Es cualquier dato almacenado o transmitido utilizando

un computador que soporte o refute una teoría de
como ocurrió una actividad en un sistema digital.

 De igual manera, se puede considerar que es cualquier

dato que puede establecer que una actividad no
deseada ha sido cometida o que suministre una forma
de relacionar dicha actividad y el ente afectado o entre
un crimen y su perpetrador.
Evidencia Digital: Imágenes

 En lenguaje IT: imágenes capturadas con software

como Norton Ghost, Acronis, VMware o Microsoft
Virtual Machine Converter.
 En lenguaje DFIR: copia completa bit por bit de un
medio digital.
–Incluye todo el espacio libre o no asignado
–Se genera un hash de verificación (MD5 o SHA-1) para
asegurar que los contenidos no han sido alterados
•OJO: MD5 ya no debe ser usado
Ciclo de la Evidencia Digital

 Diseño de la evidencia
 Producción de la evidencia
 Recolección de la evidencia
 Análisis de la evidencia
 Reporte y presentación
 Determinación de la relevancia de la evidencia
Reglas de la Evidencia Digital

 Admisible: Debe ser capaz de ser utilizada en el

proceso y aceptado por el administrador del proceso.
 Auténtica: Debe ser capaz de demostrarse que la
evidencia se relaciona con el incidente de manera
relevante.
 Completa: Debe demostrar las acciones del acusado,
así como también puedan demostrar su inocencia. Si
se pude demostrar que el acusado fue identificado en
el momento del incidente, también es necesario
demostrar si existieron más participantes.
Reglas de la Evidencia Digital

 Segura y confiable: La recolección de evidencia y

procedimientos de análisis no deben poner en duda la
autenticidad de la evidencia y su veracidad.
 Creíble: Debe ser claramente comprensible y creíble al
administrador del proceso. No tiene sentido presentar
un volcado binario de memoria si resulta algo
incomprensible. Del mismo modo, si se traduce para
facilitar la comprensión, debe ser capaz de mostrarse
la relación con el binario original, para asegurar que no
fue alterado.
Clasíficación de la Evidencia Digital

 Registros generados por la computadora: Son aquellos

que resultan del uso del equipo, los cuales son
inalterables por el usuario y pueden ser usados como
prueba.
 Registros almacenados por o en computadores: Son
todos aquellos archivos creados por el usuario y
almacenado en la PC. En este tipo de registro, es
importante poder demostrar la identidad del creador, y
probar lo afirmado en dicha evidencia misma es
verídico.
 Registros híbridos: Están formados por los registros
generados y los almacenado por la PC.
¿Dónde encontramos Evidencia Digital?

 Discos magnéticos
 Memorias USB
 Organizadores Digitales
 Tabletas
 Celulares
 Cámaras digitales
 Fax
 ¿Discos de estádo sólido? - Atención
Tipos de Evidencia Digital

 Documentos de Office: Word, excel.

 Servicios de mensajería : E-mails, SMSs, etc.
 Imágenes digitales: fotos, videos, etc.
 Bases de datos
 Bitácoras o registros de actividad: logs
 Evidencias de equipo: memoria, conexiones de red,
procesos, usuarios conectados, configuraciones de
red, discos, etc.
Principales retos de la Evidencia Digital

 Volátil
 Anónima
 Duplicable
 Contaminable
 Modificable
 Eliminable
Manejo de la Evidencia Digital

 La evidencia digital, al momento de ser recolectada no

debe ser alterada por lo que se debe preservar la
integridad del medio original que la contiene.
 Las personas que deben estar a cargo de este tipo de
evidencias deben seguir procedimientos especializados
en el manejo de este tipo de información.
 Todas las actividades de recolección, almacenamiento
o traslado de la evidencia digital, debe ser
documentada, preservada y estar disponible para la
revisión.
 Las personas a cargo de la evidencia digital, son las
responsables de la misma.
Principales consideraciones de manejo

 No se debe trabajar con datos originales, evidencias,

dispositivos, etc.
 Se debe trabajar dentro del marco legal vigente y las
políticas de la Organización.
 Los resultados deben ser verificables y reproducibles.
Dificultades en la adquisición

 Necesidad de software especializado para buscar la

información en varios computadores.
 Gran probabilidad de contaminación inadvertida de las
pruebas, por ejemplo por sistemas de limpieza
automática, sobre escritura, etc.
 No contar con software y hardware para almacenar,
preservar y presentar los datos como evidencia.
 Falta de pericia para mostrar, reportar y documentar un
incidente informático.
Evidencia Digital fácilmente reconocible

 Documentos
 Bases de datos y registros contables
 Correos electrónicos
 Fotos digitales
 Archivos y carpetas eliminadas
 Grabaciones de audio
 Videos
Evidencia Digital compleja

 Registro de usuarios del sistema y contraseñas

 Logs
 Registros de hora y fecha (timestamps)
 Actividad realizada en Internet
 Ubicación geográfica de una computadora
 Impresiones realizadas
 Archivos eliminados
 Remanentes de archivos
 Medios removibles conectados
 Tráfico de red
Admisibilidad jurídica de la ED

 La Evidencia Digital deben cumplir con algunos

requerimientos para tener validez jurídica,
dependiendo de la legislación nacional:
–Autenticidad: La evidencia no ha sido modificada
–Precisión: Tanto las herramientas, como los
procedimientos no deben presentar dudas, además
debe estar relacionada con el incidente
–Suficiencia: Debe mostrar todo los eventos que
relacionan a un incidente
Otro concepto: E-Discovery

 Término legal para la recolección, procesamiento y

revisión de documentos en papel creados de
documentos electrónicos.
 Se recolecta información de imágenes forenses, cintas
de respaldo, y otras fuentes para revisión de equipos
legales.
 E-Discovery comienza con la recolección de evidencias
y termina con la revisión y producción de documentos
específicos de esa colección para uso legal.
¿DONDE SE MANEJA LA
EVIDENCIA DIGITAL?
Laboratorio de DFIR

 Control de accesos
–Físicos y de Red

 Energía eléctrica
 Aire Acondicionado
 Privacidad
Laboratorio de DFIR

 Se necesita mantener Cadena de Custodia

–Un documento donde se establece quién tenía posesión de la
evidencia, y dónde se ha almacenado
–Debe ser almacenado de forma segura todas las veces, desde
la recolección hasta el tribunal, o pierde su valor como
evidencia
–Debe documentarse:
•Dónde se recibió la evidencia
•De quien se recibió la evidencia
•Cuando se recibió la evidencia
•Que hizo con la evidencia
•Dónde se guardó la evidencia
Información para documentar la CdC

 Información sobre el sistema del cual se extrajo la

evidencia
–PC, laptop, DVD, drive USB, teléfono, etc.
–Marca, modelo, número de serie

 Donde se guarda la imagen forense

–Marca, modelo, número de serie

 La imagen forense
–Con un valor hash para verificar la integridad (SHA-1 de
preferencia, provee autenticación)
Algoritmos Hash

 MD5 es el más común

–Viejo, no tan confiable
–128 bits

 SHA-1 es más reciente y mejor

–160 bits

 En la práctica, ambos son funcionales para verificación

de imágenes forenses, porque solamente se está
tratando de detectar errores en la copia, no falsificación
 Sin embargo, es preferible usar SHA-1
Control de accesos físicos

 Guardia humano, candado, sensor de proximidad, etc.

 No debe permitirse que el personal de limpieza tenga
acceso al laboratorio forense
 Se debe registrar en bitácora toda entrada y salida
 Debe ser posible testificar que se aseguró que nadie
alteró la evidencia
Control de accesos de red

 Debe asegurarse que nadie puede alterar con sus

imágenes a través de la red (recuerden Metasploit,
etc.)
 Ejemplo de un buen procedimiento:
–Trabajar en aislamiento (Air Gap)
–Sin conexión a Internet en sus dispositivos forenses
–Se mueven archivos por medio de dispositivos USB portátiles
Tu estación DFIR: preguntas

 ¿Tiene acceso administrativo a su estación?

 ¿Puede evitar que otro personal de TI tenga acceso a su
estación?
 ¿Puede su estación tener su propio dominio o workgroup?
 ¿Puede instalar un firewall en su estación para evitar conexiones
externas?
 ¿Puede controlar la instalación y aplicación de políticas de
dominio en su estación?
 ¿Se le permite instalar y controlar su propio software de seguridad
y antivirus?

 Si respondió “No” a alguna de estas preguntas, considere remover

la estación de la red empresarial.
Energía Eléctrica y AC

 Mientras el laboratorio crece, se necesita más energía

 Los laboratorios forenses necesitan mucho
almacenamiento para imágenes
 Se requiere un UPS para no perder el trabajo, por el
tiempo que consume analizar una imagen
 Tener la capacidad de respuesta para detener el
trabajo limpiamente
 Gran cantidad de equipo requiere buena capacidad de
aire acondicionado.
Privacidad

 Se estará viendo materiales que son importantes, pero

que a veces pueden ser ofensivos
 Se necesita tener una puerta, y debe trabajar a puerta
cerrada
 ¿Por qué? Puede acusársele de crear un ambiente de
trabajo hostil por desplegar imágenes no apropiadas en
su estación de trabajo

 Es decir…prepárese para ver lo peor D:

Privacidad
HERRAMIENTAS PARA EL
LABORATORIO
Bloqueadores de escritura

 Dispositivo de hardware que permite leer un disco sin

escribir en él
 Caro…en las versiones de alta velocidad
 No está disponible para todo hardware
–Para móviles, se usan estaciones especiales de extracción
como Cellebrite

 Sofware empresarial forense corriendo como agente en

las estaciones de los usuarios puede ser una
alternativa válida
 Debe documentarse si no se usa en caso de servidores
que no se deben apagar, o
Bloqueadores de escritura
Evidencia original

 En situaciones legales, el dispositivo físico que se

obtuvo en el evento a investigar (escena del crimen)
–Laptop
–Disco duro
–Teléfono
–CDs, USBs, DVD, etc.

 Una copia no tiene tanta validez porque no es la

evidencia original
Problema: destrucción de evidencia

 Si se confunde la fuente y el destino, se puede borrar

el disco original en vez de copiarlo
 En un ambiente profesional, se usan write-blockers de
alto costo
 De igual manera, se pueden usar duplicadores de
disco con write-blockers incorporados, de alta
velocidad
Bloqueo de escritura por software

 Es posible usar bloqueo de escritura por software

–Característica común de los LiveCDs basados en Linux, como
DEFT
–En Windows, por medio de llaves de registro (Registry Keys) se
puede bloquear la escritura a discos USB

 Se hace uso de un drive kit para conectar otras

tecnologías de disco por medio de USB
SOFTWARE DE ANÁLISIS
FORENSE
Estación forense

 Es posible usar una computadora estándar buena

 Gran poder de procesamiento, RAM y almacenamiento
 Casos grandes requieren servidores más grandes
 Procesar un caso en una laptop puede tomar todo un
día

 La estación forense es usada principalmente para crear

imágenes, indexar contenidos o descrifrar/crackear
 La herramienta más importante es el conocimiento del
sistema analizado
Software de Análisis Forense

 SIFT (SANS Investigative Forensics Toolkit)

–Código libre, basado en Linux

 EnCase Forensic
–Caro, propietario, corre en Windows
–¿Líder de la industria?

 FTK
–Caro, propietario, corre en Windows
–Herramienta gratis: FTK Imager

 El consenso es: usar múltiples herramientas, que

deben llegar al mismo resultado
SIFT y DEFT

 SIFT es de SANS, una institución muy respetada en

temas de seguridad informática, prepara certificados al
más alto nivel.
–Para este curso se ha preparado una versión adecuada de
Ubuntu al curso, bajo las especificaciones de SANS

 DEFT es un Live CD creado en Italia, puede hacer

imágenes de equipos Apple Macintosh
–Disponible en www.deftlinux.net
Otras herramientas

 ProDiscover – recientemente fue vendido

 SMART Forensics
 X-Ways, bastante completo y popular
 Paladin

 Hay muchos otros productos, pero todos deben

encontrar la misma evidencia si se usan de manera
competente
ALMACENAMIENTO DE
EVIDENCIA
Asegurando la evidencia

 Archivador con llave, caja de seguridad, cuarto de

evidencias
–Desde el punto de vista legal, lo que importa es “¿Quién tiene
acceso?”
–Si el archivador tiene una llave maestra, debe agregarse una
llave secundaria
–Archivadores son fáciles de falsear
•Es uno de los “artes” de las personas que les gusta el tema
de seguridad: lock picking
–Caja fuerte es mejor, pero se puede llenar rápidamente
Cuartos de Evidencia

 Paredes deben llegar hasta el techo

–No debe existir forma de escalar la pared e ingresar por cielo
falso
–Especial cuidado con el cielo falso

 Control de accesos al cuarto

–Con cerradura digital de preferencia

 Personal de limpieza no debe ingresar sin supervisión

 Supresión de incendios por método seco para no dañar
evidencia
Organización de la Evidencia

 Establecer un estándar para codificar evidencia

 Llevar un inventario de evidencia
–Hoja electrónica, Google worksheet, etc.
–Registrar marca, modelo, # serie de los discos
–Localización exacta,
Destrucción de Evidencia

 Debe consultarse previamente, no destruir sin

autorización
 Registrar las autorizaciones y conservarlas
 Es posible limpiar y reutilizar discos donde se conserva
la evidencia, luego de autorizada la destrucción