ANÁLISIS DE LAS EVIDENCIAS

  1. METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA FORENSE

Las metodologías que se usen en la Informática Forense pueden ser diversas e independientemente de las plataformas o sistema operacional donde se efectúen las actividades de los investigadores forenses en informática se debe cumplir los siguientes requisitos con la información o evidencia identificada.

  • Para las copias de la información se debe utilizar medios forenses estériles
  • Mantener la integridad del medio original
  • Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultado de la investigación.

De esta forma la evidencia no será rebatida y tampoco descartada como medio probatorio.

  1. ANÁLISIS DE SOPORTES Y DISPOSITIVOS ELECTRÓNICOS

Los soportes de almacenamiento, como los discos, almacenamientos removibles (disquetes, discos ZIP, CD-ROM, DVD, etc.). Para su análisis se requiere una comprensión completa tanto de la estructura física y del funcionamiento de los medios de almacenamiento como la forma y la estructura lógica de cómo se almacenan los datos.

Los dispositivos electrónicos se refieren a cualquier dispositivo capaz de guardar información que posea valor como evidencia.

Dentro de éstos se puede incluir a los teléfonos celulares, agendas y organizadores electrónicos, dispositivos de comunicaciones de red como routers, hubs, etc. El análisis de estos dispositivos es más complejo que recuperar los datos de los soportes, inclusive el hardware requerido es generalmente más especializado.

Por tanto por el amplio alcance de la informática forense, están involucradas varias ciencias y disciplinas como ingeniería electrónica, criptografía, ingeniería de software, comunicaciones, derecho, son áreas que en conjunto hacen posible el análisis de los soportes de almacenamiento y dispositivos electrónicos.

  1. ANÁLISIS DE LA COMUNICACIÓN DE DATOS

Para realizar el análisis de la comunicación de datos, es importante abarcar dos aspectos:

  • Intrusión en una red de computadoras o el mal uso de la misma.
  • Interceptación de datos.

El análisis sobre estructuras de esta naturaleza, consiste en las funciones siguientes:

  • Detección de la intrusión o interceptación.
  • Detectar la evidencia, capturarla y preservarla.
  • Reconstruir de la actividad específica o del hecho en sí.
  1. METODOLOGÍAS Y ESTRATEGIAS

Para realizar un análisis forense se requiere de una metodología científica probada, y del uso de la tecnología disponible para encontrar, recolectar, procesar e interpretar datos, así como de una cuidadosa cautela y de buenos conocimientos.

Los componentes principales que debe cumplir una metodología para un análisis forense es:

  • Marco Científico
  • Marco Criminalístico
  • Marco Informático general
  • Marco Informático específico
  • Marco Legal
  1. RECOLECCION DE EVIDENCIA DIGITAL

Estrategias para la recolección de pruebas electrónicas:

  • Llevar un orden de recopilación de información
  • Buscar la evidencia
  • Determinar la relevancia de los datos
  • Determinar la volatilidad de la información
  • Eliminar la interferencia exterior
  • Recoger la evidencia
  • Documentar todas las acciones realizadas
  • Orientaciones para Recolección de Evidencias
  • Cantidad de Información recolectada
  • Cuidados al Hardware
  • Volatilidad de la evidencia

Recomendaciones Generales

El proceso de recolección de evidencia electrónica puede ser costoso en términos de horas – hombre y del tiempo de inactividad del sistema, ya que los procesos de recolección pueden consumir mucho tiempo y los sistemas afectados pueden no estar disponibles para un uso normal durante un tiempo prolongado mientras se llevan a cabo la recopilación y análisis de los datos.

Cuando llegue el momento de comenzar la recolección de pruebas la primera regla que se debe seguirse es la de no apresurarse. Es común que la víctima desee saber rápidamente que información fue vulnerada y ejerce mucha ansiedad sobre el investigador, sin embargo, si el investigador se apresura en los procedimientos de recolección de datos, la evidencia puede ser pasada por alto, recuerde que un error en la recolección y preservación de la evidencia a menudo es irreversible.

HERRAMIENTAS USADAS EN LA INFORMÁTICA FORENSE

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.

pd Proccess Dumper – Convierte un proceso de la memoria a fichero.
FTK Imager – Permite entre otras cosas adquirir la memoria.
DumpIt – Realiza volcados de memoria a fichero.
Responder CE – Captura la memoria y permite analizarla.
Volatility – Analiza procesos y extrae información util para el analista.
RedLine – Captura la memoria y permite analizarla. Dispone de entrono gráfico.
Memorize – Captura la ram (Windows y OSX).

MONTAJE DE DISCOS

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla.

ImDisk – Controlador de disco virtual.
OSFMount – Permite montar imágenes de discos locales en Windows asignando una letra de unidad.
raw2vmdk – Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager – Comentada anteriormente, permite realizar montaje de discos.
vhdtool – Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
LiveView – Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
MountImagePro – Permite montar imágenes de discos locales en Windows asignando una letra de unidad.

CARVING Y HERRAMIENTAS DE DISCO 

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.

PhotoRec – Muy útil, permite la recuperación de imágenes y vídeo.
Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
RecoverRS – Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco. 
NTFS Recovery – Permite recuperar datos y discos aún habiendo formateado el disco.
Recuva – Utilidad para la recuperación de ficheros borrados.
Raid Reconstructor – Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
CNWrecovery – Recupera sectores corruptos e incorpora utilidades de carving.
Restoration – Utilidad para la recuperación de ficheros borrados.
Rstudio – Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
Freerecover – Utilidad para la recuperación de ficheros borrados.
DMDE – Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF – Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.

Bulk_extractor – Permite extraer datos desde una imagen, carpeta o ficheros.

 

 

 

 

 

 

UTILIDADES PARA EL SISTEMA DE FICHEROS 

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.

analyzeMFT – David Kovar’s utilidad en python que permite extraer la MFT
MFT Extractor– Otra utilidad para la extracción de la MFT 
INDXParse – Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT 
MFT_Parser – Extrae y analiza la MFT
Prefetch Parser – Extrae y analiza el directorio prefetch
Winprefectchview – Extrae y analiza el directorio prefetch 

Fileassassin – Desbloquea ficheros bloqueados por los programas

ANÁLISIS DE MALWARE 

PDF Tools de Didier Stevens.
PDFStreamDumper – Esta es una herramienta gratuita para el análisis PDFs maliciosos.
SWF Mastah – Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer – Muestra información de los procesos.
Captura BAT – Permite la monitorización de la actividad del sistema o de un ejecutable.
Regshot – Crea snapshots del registro pudiendo comparar los cambios entre ellos
Bintext – Extrae el formato ASCII de un ejecutable o fichero.
LordPE – Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
Firebug – Analisis de aplicaciones web.
IDA Pro – Depurador de aplicaciones.
OllyDbg – Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n – Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
OfficeMalScanner – Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
Radare – Framework para el uso de ingeniería inversa.
FileInsight – Framework para el uso de ingeniería inversa.
Volatility Framework con los plugins malfind2 y apihooks.
shellcode2exe – Conversor de shellcodes en binarios.

FRAMEWORKS 

Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.

PTK – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
Log2timeline – Es un marco para la creación automática de un super línea de tiempo.
Plaso – Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.
OSForensics – Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
DFF – Framework con entorno gráfico para el análisis.
SANS SIFT Workstation – Magnifico Appliance de SANS. Lo utilizo muy a menudo.
Autopsy – Muy completo. Reescrito en java totalmente para Windows. Muy útil.

 

REFERENCIAS

  Documentación:

  1. La informática forense, una herramienta para combatir la ciberdelincuencia
  2. Metodologías y Estrategias en la Informática Forense
  3. Cómo Obtener y Presentar Evidencia Digital
  4. Forensics PowerTools (Lisado de herramientas forenses)

Vídeos:

  1. Herramientas para la Recolección de Datos
  2. Análisis Forense de una Evidencia Digital
  3. Herramientas Forenses de Código Abierto ¿Cómo ganar un juicio?