Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cristina Muñoz-Aycuens
Índice
1. Acotando la escena del crimen
2. Funciones hash en la cadena de custodia
3. Conceptos previos a la recolección / adquisición
4. Recolección de evidencias digitales
5. Adquisición de evidencias digitales
6. Procedimientos especiales de adquisición
Equipos en
datacenters
Gran número
de enpoints
Grandes CPDs (ej. máquinas
de los
trabajadores)
Acotar la
escena
del
crimen
En contextos corporativos
Ejemplo
En un delito de estafa bancaria, el juez nos pide que obtengamos la
fecha y hora en la que fueron creados una serie de archivos
ofimáticos.
Personados en la sede del banco nos encontramos con esto:
Ejemplo (continuación)
Se trata de una granja de servidores que se utilizan para virtualizar
diversos aspectos críticos del banco.
Ejemplo (continuación)
Ejemplo (continuación)
Llegados a este punto, suponiendo que tenemos localizada la máquina virtual
que buscamos, tenemos dos opciones:
1. Nos llevamos el disco duro completo de la MV
• Tardaríamos mucho tiempo (suelen ocupar muchos Tb)
• Necesitaríamos mucho espacio
• Podríamos hacerlo en frío o en caliente en función de cómo
funcione el sistema gestor de las MV (snapshot de la MV)
2. Realizamos la adquisición en caliente únicamente de los datos que
nos interesan (ej. los archivos que nos solicitan)
• Tardaríamos menos tiempo y requeriría menos espacio
• Nos llevamos menos información, menos que analizar, pero
puede que nos dejemos algo relevante sin adquirir (¿y si se ha
cambiado la hora del sistema?)
En la práctica, que exista colisión significa admitir que dos archivos tienen la “misma
firma”, lo que equivaldría a decir que son iguales, cuando realmente no lo son.
A día de hoy, los algoritmos MD5 y SHA1 están, en la práctica, rotos de manera
individual. Aunque eso no significa que sea fácil generar una colisión (al menos, del
algoritmo SHA1).
Adquisición en frío:
Adquisición en caliente:
Borrado seguro
• Sobrescritura de la información original de forma que esta no
pueda ser recuperada.
• Con unos, ceros o caracteres aleatorios o combinando en varias
pasadas
• Sobre todo un dispositivo (con software específico), sobre una
partición concreta (con un simple formateo lento) o sobre el espacio
libre.
• Ver píldora
Clonado
Imagen
El dispositivo destino debe ser mayor que el El dispositivo destino debe ser del mismo
dispositivo origen tamaño o mayor que el dispositivo origen
Adquisición en caliente
Por otro lado, decimos que estamos realizando una adquisición en
caliente cuando el dispositivo a analizar se encuentra encendido y
lo adquirimos mientras se encuentra encendido.
Los ejemplos más típicos son la adquisición de la memoria RAM o la
adquisición del disco duro de un ordenador o servidor encendido.
Importante: ¡Las evidencias volátiles sólo las podemos adquirir en
caliente ya que se pierden al apagar el equipo!
Las evidencias no volátiles las podemos adquirir en frío (con el
equipo apagado) o en caliente (equipo encendido), dependerá de
cómo nos lo encontremos.
Elementos Evidencias
Recopilación
físicos Pueden contener
Tipos de recolección
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de recolección:
1. Recolección de dispositivos encendidos
2. Recolección de dispositivos apagados
Tipos de adquisición
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de adquisición:
1. Adquisición de dispositivos encendidos
2. Adquisición de dispositivos apagados
Adquisiciones especiales
Anteriormente hemos comentado que la normativa ISO/IEC 27037
diferencia entre dos tipos distintos de adquisición. Ahora bien, esta
norma también hace referencia a supuestos especiales, en los que
los procedimientos de adquisición y/o recolección, no tienen porqué
seguir las directrices indicadas.
Estos supuestos especiales son: Las adquisiciones parciales, los
dispositivos críticos (Ej. Servidores que no pueden ser apagados) y
los dispositivos de almacenamiento externos.