03 Forense Tema 03

Respuesta a Incidentes y Análisis Forense
Cristina Muñoz-Aycuens
Adquisición de evidencias digitales
Universidad Internacional de La Rioja

Índice
Índice
1. Acotando la escena del crimen
2. Funciones hash en la cadena de custodia
3. Conceptos previos a la recolección / adquisición
4. Recolección de evidencias digitales
5. Adquisición de evidencias digitales
6. Procedimientos especiales de adquisición
Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Acotando la escena del crimen

Si únicamente tenemos que realizar la recolección / adquisición de un

ordenador o un pequeño número de equipos el proceso es bastante
sencillo. Ahora bien, ¿Qué ocurre cuando lo que tenemos que analizar
se encuentra en un CPD (Centro de procesamiento de datos o Data
Center)? ¿Y si el suceso ha ocurrido en una empresa con cientos de
trabajadores?
Es imposible recolectar o adquirir todos los equipos. Además, también
nos va a ser imposible analizar tal cantidad de información… Debemos
acotar la escena del crimen.

Equipos en
datacenters
Gran número
de enpoints
Grandes CPDs (ej. máquinas
de los
trabajadores)
Acotar la
escena
del
crimen

En contextos corporativos

Para acotar la escena del crimen debemos hacernos dos preguntas
¿Qué equipos Qué otros equipos

(no han sufrido el
han sufrido de
incidente) pueden
manera directa el estar relacionados
incidente? con el mismo

Ejemplo
En un delito de estafa bancaria, el juez nos pide que obtengamos la
fecha y hora en la que fueron creados una serie de archivos
ofimáticos.
Personados en la sede del banco nos encontramos con esto:

Ejemplo (continuación)
Se trata de una granja de servidores que se utilizan para virtualizar
diversos aspectos críticos del banco.
¿Qué hacemos? ¿Nos llevamos todo? ¿Nos

llevamos algunos al azar?
En estos casos debemos apoyarnos con el equipo de IT

responsable del mantenimiento de los servidores.
Normalmente accederíamos a la consola de administración de las
máquinas virtuales y buscaríamos cuál es la encargada de almacenar /
gestionar los archivos ofimáticos relacionados con la solicitud del juez.


Llegados a este punto, suponiendo que tenemos localizada la máquina virtual
que buscamos, tenemos dos opciones:
1. Nos llevamos el disco duro completo de la MV
• Tardaríamos mucho tiempo (suelen ocupar muchos Tb)
• Necesitaríamos mucho espacio
• Podríamos hacerlo en frío o en caliente en función de cómo
funcione el sistema gestor de las MV (snapshot de la MV)
2. Realizamos la adquisición en caliente únicamente de los datos que
nos interesan (ej. los archivos que nos solicitan)
• Tardaríamos menos tiempo y requeriría menos espacio
• Nos llevamos menos información, menos que analizar, pero
puede que nos dejemos algo relevante sin adquirir (¿y si se ha
cambiado la hora del sistema?)

Funciones hash en la cadena
de custodia

Cadena de custodia. Funciones hash
Una función de hash es una función matemática que mapea datos de

tamaño arbitrario (entrada) a una cadena de salida de tamaño fijo.
Esto es, son capaces de obtener la “huella digital” (ADN o resumen digital) de
la información de entrada (la información de la evidencia), de manera que si
dichos datos son modificados la “huella” también se modifica también.
Las funciones (o algoritmos) hash más utilizados comúnmente (hay muchos
más) son:
• MD5: Abreviatura de Message-Digest algorithm 5, genera salidas de
128 bits (32 caracteres hexadecimales).
• SHA o SHA1: Abreviatura de Secure Hash Algorithm, genera salidas
de 160 bits (40 caracteres hexadecimales)
• SHA2: Segunda versión del algoritmo SHA, genera salidas de 224,
256, 384 o 512 bits.
• SHA3: Tercera y última versión del algoritmo SHA. Al igual que SHA2,
genera salidas de 224, 256, 384 o 512 bits.

Entrada Algoritmo Hash Salida
forense MD5 e1576f172c3b126ae7a6026e8995da85
Forense MD5 f0128cf087fa49732bf066306d5f4a6f
forense SHA1 12fce1fcce8913c12c37e925500af2e03016289a
Forense SHA1 da984d2a2eaa8acf2289ccbc388c812ef21c97ed
forense SHA2-256 936eadf290e12e795165cae5486a24a97b9009303287704f4f6242d439d1e0ea
Forense SHA2-256 d83dbbd04ed9d7272cd8548206794df45403fbfc7246f16273ae09c38152196a
forense SHA3-256 9acebe86ba16f103ab20adf5b0fe9d9ee3b87b2d4dcd57b8b352abc5dd3ca413
Forense SHA3-256 a76266d05884ff50fa0106c82efe72b72ebe4cb8902f363aea40ab5647573407

La colisión de hashes se produce cuando dos conjuntos de información diferentes (dos

archivos distintos, por ejemplo) dan como resultado el mismo valor hash.
En la práctica, que exista colisión significa admitir que dos archivos tienen la “misma
firma”, lo que equivaldría a decir que son iguales, cuando realmente no lo son.

La búsqueda de métodos para conseguir colisiones de hashes, ha sido un arduo trabajo

desde que comenzaran a utilizarse estos algoritmos.
A día de hoy, los algoritmos MD5 y SHA1 están, en la práctica, rotos de manera
individual. Aunque eso no significa que sea fácil generar una colisión (al menos, del
algoritmo SHA1).
Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD

https://eprint.iacr.org/2004/199.pdf
The first collision for full SHA-1

https://shattered.io/

Como ya sabéis, la cadena de custodia se mantiene mediante la

documentación de nuestras acciones y el uso de funciones hash.
El número de hashes y el momento en que se calculan, va a depender
de si la adquisición es en frío o en caliente.
Adquisición en frío:
Hash a la Hash a la evidencia

evidencia original Adquisición original (HA2) y a
(HA1) la copia (HB)
Adquisición en caliente:

En muchos casos, las propias herramientas de adquisición nos calculan determinados

hashes. En otras ocasiones podemos necesitar trabajar con herramientas externas.
Algunas de las herramientas que nos permiten trabajar con hashes son
Adquisición Cálculo de hashes

• Windows • Windows
• FTK Imager • HashMyFiles
• Magnet Acquire • fciv (Microsoft Checksum)
• Linux • Hashcalc
• FTK Imager CLI • Bitser
• Guymager • Linux
• DC3DD • Md5Sum / SHA1Sum
• Mac OS • Mac OS
• FTK Imager CLI • MD5 / SHA1

Conceptos previos a la
recolección / adquisición de
evidencias digitales

Conceptos previos
Bloqueadores contra escritura

• Adquisición en frío (para poder conectarlo)
• Impiden modificar la evidencia accidentalmente
• Ver píldora

Conceptos previos
Borrado seguro
• Sobrescritura de la información original de forma que esta no
pueda ser recuperada.
• Con unos, ceros o caracteres aleatorios o combinando en varias
pasadas
• Sobre todo un dispositivo (con software específico), sobre una
partición concreta (con un simple formateo lento) o sobre el espacio
libre.
• Ver píldora
Al desechar Al reutilizar Al hacer un

un dispositivo un dispositivo clonado

Conceptos previos
Imagen forense / clonado

Una imagen forense es una copia exacta de un dispositivo físico
que es almacenada en un archivo, el cual puede ser almacenado en
cualquier tipo de dispositivo capaz de almacenar archivos.
Por su parte, un clonado es una copia exacta (en ocasiones lo veréis
escrito como copia “bit a bit”) de un dispositivo físico en otro
dispositivo físico similar. De esta forma, el dispositivo original y el
dispositivo clonado son idénticos en cuanto a contenido.
Clonado
Imagen

Conceptos previos
Imagen forense / clonado
Imagen forense Clonado

La copia del dispositivo origen es almacenada En un dispositivo clon, la información es
en un archivo almacenada exactamente igual que en el
original
Pueden almacenarse en un único dispositivo Cada dispositivo destino solo puede ser el clon
destino archivos de imagen correspondientes a de un único dispositivo origen
varios dispositivos origen
El dispositivo destino debe ser mayor que el El dispositivo destino debe ser del mismo
dispositivo origen tamaño o mayor que el dispositivo origen
Es necesario el uso de software específico para No es necesario el uso de ningún software

visualizar el contenido de la imagen generada específico para visualizar el contenido del
dispositivo clon

Conceptos previos
Adquisición “en frío”

Decimos que estamos realizando una adquisición en frío (post-
mortem) cuando el dispositivo a analizar se encuentra apagado o
desconectado y lo adquirimos “manteniendo ese estado”.
Se ve más claro con unos ejemplos:
• Un dispositivo de almacenamiento externo desconectado que
conectamos a nuestro equipo bloqueando la escritura.
• El disco duro de un ordenador que hemos extraído y adquirimos
conectándolo a nuestro equipo bloqueando la escritura.
• El disco duro de un ordenador que se encontraba apagado (o
que hemos apagado) y que iniciamos con una distribución Linux
forense.

‘Dead imaging’ with write blockers

Boot ISO Imaging

Conceptos previos
Adquisición en caliente
Por otro lado, decimos que estamos realizando una adquisición en
caliente cuando el dispositivo a analizar se encuentra encendido y
lo adquirimos mientras se encuentra encendido.
Los ejemplos más típicos son la adquisición de la memoria RAM o la
adquisición del disco duro de un ordenador o servidor encendido.
Importante: ¡Las evidencias volátiles sólo las podemos adquirir en
caliente ya que se pierden al apagar el equipo!
Las evidencias no volátiles las podemos adquirir en frío (con el
equipo apagado) o en caliente (equipo encendido), dependerá de
cómo nos lo encontremos.

‘Live imaging’

Recolección de evidencias
digitales

Recolección de evidencias digitales
La norma ISO/IEC 27037 proporciona una serie de directrices para la

identificación, recolección, adquisición y preservaciones de
evidencias digitales. Ahora bien ¿Qué entendemos por recolección?
Según la propia norma, la recolección es “El proceso de recopilación
de los elementos físicos que pueden contener una potencial
evidencia digital”
Elementos Evidencias
Recopilación
físicos Pueden contener

Tipos de recolección
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de recolección:
1. Recolección de dispositivos encendidos
2. Recolección de dispositivos apagados
En función de cómo encontremos los dispositivos deberemos actuar

siguiendo un procedimiento u otro.

Tipos de recolección: Disp. encendidos

Tal y como se indica en la ISO/IEC 27037 el esquema básico para la
recolección de dispositivos encendidos es:
Figure 2 – Guidelines for collection of powered on digital device

Tipos de recolección: Disp. apagados

Siguiendo las indicaciones de la ISO/IEC 27037 el esquema básico
para la recolección de dispositivos apagados es:
Figure 3 – Guidelines for collection of powered off digital device

Adquisición de evidencias
digitales

Como ya hemos mencionado, la norma ISO/IEC 27037 proporciona

una serie de directrices. Ahora bien ¿Qué entendemos por
adquisición?
Según la propia norma, la adquisición es “Es el proceso de creación
de una copia de datos dentro de un conjunto definido… El resultado
de una adquisición es la copia de una evidencia digital.”
El proceso de adquisición implica la creación de una copia de la
evidencia digital (Ej. Un disco duro completo, una partición, un
conjunto de archivos, etc.) y la documentación de los métodos
utilizados y las actividades realizadas.

Tipos de adquisición
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de adquisición:
1. Adquisición de dispositivos encendidos
2. Adquisición de dispositivos apagados
En función de cómo encontremos los dispositivos deberemos actuar

siguiendo un procedimiento u otro.

Tipos de adquisición: Disp. encendidos

Tal y como se indica en la ISO/IEC 27037 el esquema básico para la
adquisición de dispositivos encendidos es:
Figure 4 – Guidelines for acquisition on powered on digital device

Tipos de adquisición: Disp. apagados

Siguiendo las indicaciones de la ISO/IEC 27037 el esquema básico
para la adquisición de dispositivos apagados es:
Figure 5 – Guidelines for acquisition off powered on digital device

Adquisiciones especiales

Anteriormente hemos comentado que la normativa ISO/IEC 27037
diferencia entre dos tipos distintos de adquisición. Ahora bien, esta
norma también hace referencia a supuestos especiales, en los que
los procedimientos de adquisición y/o recolección, no tienen porqué
seguir las directrices indicadas.
Estos supuestos especiales son: Las adquisiciones parciales, los
dispositivos críticos (Ej. Servidores que no pueden ser apagados) y
los dispositivos de almacenamiento externos.

Adquisiciones especiales. Adquisición parcial

La normativa ISO/IEC 27037 identifica la adquisición parcial de
información como un supuesto especial dentro de los tipos de
adquisición. Una adquisición parcial puede ser necesaria en diversos
casos:
• Cuando el tamaño (almacenamiento) del dispositivo a adquirir
es muy elevado haciendo imposible adquirirlo completamente.
• Cuando el sistema es crítico y no puede ser apagado.
• Cuando sólo una parte de la información es relevante para la
investigación.
• Cuando legalmente (Ej. Un juez) se nos limita el alcance de la
adquisición.

Adquisiciones especiales. Adquisición parcial

Cuando es necesario realizar una adquisición parcial, el procedimiento
a seguir (de manera simplificada) sería:
• Identificar los archivos, carpetas o demás elementos que
contienen la información relevante.
• Realizar una adquisición lógica de estos elementos (más
adelante veremos como)

Adquisiciones especiales. Dispositivos críticos

La normativa ISO/IEC 27037 identifica la adquisición de dispositivos
críticos como un supuesto especial dentro de los tipos de adquisición.
En algunos casos, los dispositivos no pueden ser apagados dada su
criticidad. Estos sistemas, como servidores de centros de datos que
pueden dar servicio a clientes no relacionados con la investigación,
sistemas de apoyo médicos, etc. deben mantenerse operativos todo el
tiempo con el objetivo de evitar un daño mayor.
En estos casos seguiremos las directrices explicadas para la
adquisición de dispositivos encendidos o la adquisición parcial de
información.

Adquisiciones especiales. Dispositivos de almacenamiento externos

La normativa ISO/IEC 27037 identifica la adquisición de los
dispositivos de almacenamiento externos como un supuesto
especial dentro de los tipos de adquisición.
En la escena de un incidente es normal encontrar distintos tipos de
dispositivos de almacenamiento como Pendrives, Tarjetas de memoria,
discos duros externos, etc.
Normalmente estos dispositivos son los menos volátiles y, por lo
tanto, son los de menor prioridad a la hora de su recolección y
adquisición, aunque esto no significa que no sean importantes de cara
a la investigación.

Adquisiciones especiales. Dispositivos de almacenamiento externos

Para el tratamiento de este tipo de dispositivos debemos:
1. Documentar su ubicación (conectado por USB, en una bahía
extraíble, etc.) y los datos identificativos del mismo (marca,
modelo y número de serie principalmente).
2. Decidir si recolectar o adquirir en el momento el dispositivo.
3. Etiquetar el dispositivo y los distintos elementos que pudieran
estar asociados al mismo como carcasas o cables.

www.unir.net

03 Forense Tema 03

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

03 Forense Tema 03

Cargado por

Copyright:

Formatos disponibles

Respuesta a Incidentes y Análisis Forense

Adquisición de evidencias digitales

Universidad Internacional de La Rioja

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Si únicamente tenemos que realizar la recolección / adquisición de un

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Para acotar la escena del crimen debemos hacernos dos preguntas

¿Qué equipos Qué otros equipos

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

¿Qué hacemos? ¿Nos llevamos todo? ¿Nos

En estos casos debemos apoyarnos con el equipo de IT

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Una función de hash es una función matemática que mapea datos de

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Entrada Algoritmo Hash Salida

forense MD5 e1576f172c3b126ae7a6026e8995da85

Forense MD5 f0128cf087fa49732bf066306d5f4a6f

forense SHA1 12fce1fcce8913c12c37e925500af2e03016289a

Forense SHA1 da984d2a2eaa8acf2289ccbc388c812ef21c97ed

forense SHA2-256 936eadf290e12e795165cae5486a24a97b9009303287704f4f6242d439d1e0ea

Forense SHA2-256 d83dbbd04ed9d7272cd8548206794df45403fbfc7246f16273ae09c38152196a

forense SHA3-256 9acebe86ba16f103ab20adf5b0fe9d9ee3b87b2d4dcd57b8b352abc5dd3ca413

Forense SHA3-256 a76266d05884ff50fa0106c82efe72b72ebe4cb8902f363aea40ab5647573407

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

La colisión de hashes se produce cuando dos conjuntos de información diferentes (dos

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

La búsqueda de métodos para conseguir colisiones de hashes, ha sido un arduo trabajo

Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD

The first collision for full SHA-1

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Como ya sabéis, la cadena de custodia se mantiene mediante la

Hash a la Hash a la evidencia

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

En muchos casos, las propias herramientas de adquisición nos calculan determinados

Adquisición Cálculo de hashes

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Bloqueadores contra escritura

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Al desechar Al reutilizar Al hacer un

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Imagen forense / clonado

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Imagen forense / clonado

Imagen forense Clonado

Es necesario el uso de software específico para No es necesario el uso de ningún software

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Adquisición “en frío”

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

Análisis de evidencias digitales – Cristina Muñoz-Aycuens

La norma ISO/IEC 27037 proporciona una serie de directrices para la