Respuesta a Incidentes y Análisis Forense

Juan José Delgado

Adquisición de evidencias digitales

Universidad Internacional de La
Rioja
 Índice

Índice
1.Acotando la escena del crimen
2.Funciones hash
3.Fase de preparación
4.Conceptos previos
5.Recolección y adquisición de evidencias digitales
6.Procedimientos especiales de adquisición
7.Cadena de custodia

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

• En contextos corporativos

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

Para acotar la escena del crimen debemos hacernos dos preguntas

¿Qué equipos Qué otros equipos

(no han sufrido el
han sufrido de incidente) pueden
manera directa el estar relacionados
incidente? con el mismo

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

Ejemplo
En un delito de estafa bancaria, el juez nos pide que obtengamos la
fecha y hora en la que fueron creados una serie de archivos
ofimáticos.
Personados en la sede del banco nos encontramos con esto:

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

Ejemplo (continuación)
Se trata de una granja de servidores que se utilizan para virtualizar
diversos aspectos críticos del banco.

¿Qué hacemos?

En estos casos podemos apoyarnos con el equipo de IT

responsable del mantenimiento de los servidores.
Normalmente accederíamos a la consola de administración de las
máquinas virtuales y buscaríamos cuál es la encargada de almacenar /
gestionar los archivos ofimáticos relacionados con la solicitud del juez.

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

Ejemplo (continuación)

Análisis de evidencias digitales– Juan José Delgado

 Acotando la escena del crimen

Ejemplo (continuación)
Llegados a este punto, suponiendo que tenemos localizada la máquina virtual
que buscamos, tenemos dos opciones:
1. Nos llevamos el disco duro completo de la MV
• Tardaríamos mucho tiempo (suelen ocupar muchos Tb)
• Necesitaríamos mucho espacio
• Podríamos hacerlo en frío o en caliente en función de cómo
funcione el sistema gestor de las MV (snapshot de la MV)
2. Realizamos la adquisición en caliente únicamente de los datos que
nos interesan (ej. los archivos que nos solicitan)
• Tardaríamos menos tiempo y requeriría menos espacio
• Nos llevamos menos información, menos que analizar, pero
puede que nos dejemos algo relevante sin adquirir (¿y si se ha
cambiado la hora del sistema?)

Análisis de evidencias digitales– Juan José Delgado

 Cadena de custodia. Funciones hash

Una función de hash es una función matemática que se puede utilizar para mapear
datos digitales de tamaño arbitrario a los datos digitales de tamaño fijo. Esto es, son
capaces de obtener la “huella digital” de todos los datos contenidos en una evidencia
de manera que si dichos datos son modificados la “huella” también se modifica también.

Las funciones (o algoritmos) hash más utilizados comúnmente son:

• MD5 (128 bits)
• SHA1 (160)
• SHA2(224, 256, 384, 512)
• SHA3 (sin demasiado uso)
• Aunque hay muchísimos más.

MD5 SHA1
016bd140eb0dd2e9e0eca3
UNIR f715ca0eb5123f36b66ca3fc7f94fc71
e6af1b00cd8408c852
fb88033fd6af0c6e06ab9c7
UnIR 1b881a2f48c823009450bda327f32a88
b492c8932b52c22e4

Análisis de evidencias digitales– Juan José Delgado

 Cadena de custodia. Funciones hash

La colisión de hashes se produce cuando dos conjuntos de información diferentes (dos

archivos distintos, por ejemplo) dan como resultado el mismo valor hash.

En la práctica, que exista colisión significa admitir que dos archivos tienen la “misma
firma”

Análisis de evidencias digitales– Juan José Delgado

 Cadena de custodia. Funciones hash

La búsqueda de métodos para conseguir colisiones de hashes, ha sido un arduo trabajo

desde que comenzaran a utilizarse estos algoritmos.

A día de hoy, los algoritmos MD5 y SHA1 están, en la práctica, rotos de manera
individual. Aunque eso no significa que sea fácil generar una colisión (al menos, del
algoritmo SHA1).

Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD

https://eprint.iacr.org/2004/199.pdf

The first collision for full SHA-1

https://shattered.io/

Análisis de evidencias digitales– Juan José Delgado

 Cadena de custodia. Funciones hash

En muchos casos, las propias herramientas de adquisición nos calculan determinados

hashes. En otras ocasiones podemos necesitar trabajar con herramientas externas.
Algunas de las herramientas que nos permiten trabajar con hashes son

Análisis de evidencias digitales– Juan José Delgado

 Conceptos previos

Bloqueadores contra escritura

•Adquisición en frío (para poder conectarlo)
•Impiden modificar la evidencia accidentalmente
•Ver píldora

Análisis de evidencias digitales– Juan José Delgado

 Conceptos previos

Borrado seguro
•Sobrescritura de la información original de forma que esta no
pueda ser recuperada.
•Con unos, ceros o caracteres aleatorios o combinando en varias
pasadas
•Sobretodo un dispositivo (con software específico), sobre una
partición concreta (con un simple formateo lento) o sobre el espacio
libre.
•Ver píldora

Al desechar Al reutilizar Al hacer un

un dispositivo un dispositivo clonado

Análisis de evidencias digitales– Juan José Delgado

 Conceptos previos

Imagen forense / clonado

Una imagen forense es una copia exacta de un dispositivo físico
que es almacenada en un archivo, el cual puede ser almacenado en
cualquier tipo de dispositivo capaz de almacenar archivos.
Por su parte, un clonado es una copia exacta (en ocasiones lo veréis
escrito como copia “bit a bit”) de un dispositivo físico en otro
dispositivo físico similar. De esta forma, el dispositivo original y el
dispositivo clonado son idénticos en cuanto a contenido.

Clonado

Imagen

Análisis de evidencias digitales– Juan José Delgado


Imagen forense / clonado
Imagen forense
La copia del dispositivo origen es
almacenada en un archivo
Pueden almacenarse en un único
dispositivo destino archivos de imagen
correspondientes a varios dispositivos
origen
Es necesario el uso de software específico
para visualizar el contenido de la imagen
generada
Análisis de evidencias digitales– Juan José Delgado
Conceptos previos
Clonado
En un dispositivo clon, la información es
almacenada exactamente igual que en el
original
Cada dispositivo destino solo puede ser el
clon de un único dispositivo origen
El dispositivo destino debe ser del mismo
tamaño o mayor que el dispositivo origen
No es necesario el uso de ningún software
específico para visualizar el contenido del
dispositivo clon
 Conceptos previos

Adquisición en frío / caliente

Decimos que estamos realizando una adquisición en frio (post-
mortem) cuando el dispositivo a analizar se encuentra apagado o
desconectado y lo adquirimos “manteniendo ese estado”.
Se ve más claro con unos ejemplos:
• Un dispositivo de almacenamiento externo desconectado que
conectamos a nuestro equipo bloqueando la escritura.
• El disco duro de un ordenador que hemos extraído y
adquirimos conectándolo a nuestro equipo bloqueando la
escritura.
• El disco duro de un ordenador que se encontraba apagado (o
que hemos apagado) y que iniciamos con una distribución
Linux forense.

Análisis de evidencias digitales– Juan José Delgado

 Conceptos previos

Adquisición en frío / caliente

Por otro lado, decimos que estamos realizando una adquisición en
caliente cuando el dispositivo a analizar se encuentra encendido y
lo adquirimos mientras se encuentra encendido.
Los ejemplos más típicos son la adquisición de la memoria RAM o la
adquisición del disco duro de un ordenador o servidor encendido.
Importante: ¡Las evidencias volátiles sólo las podemos adquirir en
caliente ya que se pierden al apagar el equipo!
Las evidencias no volátiles las podemos adquirir en frío (con el
equipo apagado) o en caliente (equipo encendido), dependerá de
cómo nos lo encontremos.

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

La norma ISO/IEC 27037 proporciona una serie de directrices para la

identificación, recolección, adquisición y preservaciones de
evidencias digitales. Ahora bien ¿Qué entendemos por recolección?
Según la propia norma, la recolección es “El proceso de recopilación
de los elementos físicos que pueden contener una potencial
evidencia digital”

Elementos Evidencias
Recopilación
físicos Pueden contener

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Tipos de recolección
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de recolección:
1. Recolección de dispositivos encendidos
2. Recolección de dispositivos apagados

En función de cómo encontremos los dispositivos deberemos actuar

siguiendo un procedimiento u otro.

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Tipos de recolección: Disp. encendidos

Tal y como se indica en la ISO/IEC 27037 el esquema básico para la
recolección de dispositivos encendidos es:

Figure 2 – Guidelines for collection of powered on digital device

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Tipos de recolección: Disp. apagados

Siguiendo las indicaciones de la ISO/IEC 27037 el esquema básico
para la recolección de dispositivos apagados es:

Figure 3 – Guidelines for collection of powered off digital device

Análisis de evidencias digitales– Juan José Delgado

 Adquisición de evidencias digitales

Como ya hemos mencionado, la norma ISO/IEC 27037 proporciona

una serie de directrices. Ahora bien ¿Qué entendemos por
adquisición?
Según la propia norma, la adquisición es “Es el proceso de creación
de una copia de datos dentro de un conjunto definido… El resultado
de una adquisición es la copia de una evidencia digital.”
El proceso de adquisición implica la creación de una copia de la
evidencia digital (Ej. Un disco duro completo, una partición, un
conjunto de archivos, etc.) y la documentación de los métodos
utilizados y las actividades realizadas.

Análisis de evidencias digitales– Juan José Delgado

 Adquisición de evidencias digitales

Tipos de adquisición
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de adquisición:
1. Adquisición de dispositivos encendidos
2. Adquisición de dispositivos apagados

En función de cómo encontremos los dispositivos deberemos actuar

siguiendo un procedimiento u otro.

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Tipos de adquisición: Disp. encendidos

Tal y como se indica en la ISO/IEC 27037 el esquema básico para la
adquisición de dispositivos encendidos es:

Figure 4 – Guidelines for acquisition on powered on digital device

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Tipos de recolección: Disp. apagados

Siguiendo las indicaciones de la ISO/IEC 27037 el esquema básico
para la adquisición de dispositivos apagados es:

Figure 5 – Guidelines for acquisition off powered on digital device

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Recolección y adquisición

Recolección de Recolección de
dispositivos dispositivos
encendidos apagados

Adquisición de Adquisición de
dispositivos dispositivos
encendidos apagados

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Supuestos especiales
•Dispositivos críticos
•Adquisiciones parciales
•Dispositivos de almacenamiento.

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Cadena de custodia
•Dos herramientas:
• Documentación
• Hash
• En frío
H a s h a la H a sh a la e v id e n c ia
e v id e n c ia o rig in a l A d q u is ic ió n o rig in a l (H A 2 ) y a
(H A 1) la c o p ia (H B )

• En caliente

Análisis de evidencias digitales– Juan José Delgado

 Recolección de evidencias digitales

Cadena de custodia
Garantizamos

Documentación Hash
Autenticidad  (en caliente)*  (en frío)
Integridad 
Accesibilidad 
Trazabilidad 
Conservación 

* Mediante fedatario público

Análisis de evidencias digitales– Juan José Delgado

www.unir.net