-->
Portada del sitio » Nacional » Procedimientos Forenses: La adquisición y preservacion (...)

Procedimientos Forenses: La adquisición y preservacion de evidencia digital

Sábado 20 de agosto de 2011, por Guido Rosales Uriona - GRU


Entendemos que las fases generales de la Informatica Forense son: Adquirir, preservar, analizar y presentar. Ahora en el presente articulo vamos a ocuparnos de las 2 primeras que en términos reales se dan casi al mismo tiempo dejando la 3era como la posiblemente mas larga y según puntos periciales específicos. Para los Puntos periciales recomiendo la lectura del articulo: http://www.rosalesuriona.com/spip.php?article724.

Vamos a saltar los procedimientos legales para la intervención, secuestro de objetos, allanamiento de morada o domicilio que es mas un proceso legal y policial saltando directo a la fase donde de alguna manera legal tenemos acceso a los dispositivos o al lugar donde se encuentran dispositivos con indicios de contener evidencia digital. En este momento podemos no tener puntos periciales definidos y lo único que buscamos es asegurar la evidencia digital. Puede darse el caso de que a esta altura de la investigación ya se tengan definidos puntos periciales y se deba adquirir solo la evidencia digital relacionada. Sin embargo dadas algunas particularidades como el cifrado, la esteganografia, los virus, el enmascaramiento de evidencia que podría darse, es recomendable que esta fase comprenda la mayor cantidad posible de fuentes posibles de evidencia digital. Ya en la fase de análisis se determina cual es relevante, pertinente y adecuada a la investigación.

Una fase previa a la adquisición y que debería ser practica habitual como parte del procedimiento operativo del perito es la adecuada preparación de sus herramientas de software, hardware y medios de almacenamiento destino. La fase de adquisición que puede ser realizada mediante la clonacion de unidades físicas de almacenamiento o de forma mas general mediante la imagen forense es mejor que sea realizada con herramientas forenses de software o de hardware. Entonces el perito deberá contar con ambas opciones en algunos casos las herramientas de software nos permiten bootear el equipo investigado para no destapar y quitar sus discos, este procedimiento también se aplica en servidores con o sin arreglos raid, donde unos de los contratiempos básicos pueden ser los conectores de los servidores SAS, SCSI u otra variedad que puede complicarnos. Es esos casos es recomendable utilizar el mismo equipo servidor para hacer la extracción de sus datos. Evidentemente previo a esto haremos la caracterización del equipo relevando datos del BIOS básicamente, o si el equipo no puede ser apagado podríamos hacer la extracción también de la RAM. La adquisición por software o hardware puede incidir en la velocidad de copia, por hardware puede ser significativamente mas rapido y hasta mas seguro en términos de error en la manipulación lógica, pero tiene la complicación de manipulación física delos medios de almacenamiento.

De cualquier forma que se haga la adquisición es de suma importancia tener listos los medios de destino para los datos de origen. Preparar los medios de almacenamiento implica generalmente haber zanitizado los mismos. Este proceso se realiza con wipeo de hasta 3 pasadas donde aseguraremos que el medio destino no contenga datos previos y ademas garantizaremos que no tiene sectores, bytes o bits defectuosos. El proceso de wipeo deberia concluir con 0% de errores. Entendamos que wipear significa sobreescribir aleatoriamente cada bit del medio procesado. Cuando la herramienta no puede sobreescribir normalmente se debe a un error físico por cuanto en esta fase no existe el formato de la unidad y no podemos hablar de errores lógicos. Existen unidades de almacenamiento con su rack usb para ser conectados a los unidades analizadas, pero estos dispositivos generalmente tienen controladores de hardware y hasta de software por cuanto han sido pensados para backups. Estos sus controladores permiten al usuario por ejemplo colocar contraseña de acceso. Cuando se usa de estos dispositivos se debe tener en cuenta que cuando hagamos el procedimiento de zanitizacion o wipeo, todos los controladores lógicos o drivers que permitían colocar contraseñas o alguna otra prestacion van a ser también wipeados.

Por consecuencia esas unidades no podrán ser más utilizadas con su rack original mediante su puerto usb, deberán ser leídas mediante una conexión directa al bus ide, sata, sas, scsi u otro o mediante un conector usb básico sin las prestaciones adicionales originales.

Una vez zanitizados las unidades de almacenamiento, se procederá a la clonación o imagen forense de los medios origen. Se debe tener en cuenta que una unidad clonada podrá ser leída directamente después de ser conectada, recomendable con bloqueadores de escritura. Pero una imagen forense normalmente viene en un formato dd, e01 u otro lo cual indica que primero tiene que ser “levantada” con una herramienta que entienda estos formatos o montada como unidad lógica o virtualizada.

Cuando se hace la clonación o imagen forense normalmente la herramienta forense genera el hash de origen sea en md5 o sha1 este dato ya es parte de la preservación de integridad de la evidencia digital. Deberá tener cuidado el perito de tener activada esta opción y luego conservar este hash. Se debe tener en cuenta que el hash puede variar en función del medio o soporte, el tiempo y otros. Si esto llegase a ocurrir habrá que determinar donde está la variación y si esta afecto evidencia relevante. Por tanto se puede procesar el hash de la unidad entera y además el hash de cada archivo interno. De esta manera podemos minimizar el efecto de un daño lógico o físico que pueda sufrir con el tiempo la unidad destino u origen.

Cuando el proceso de adquisición genera errores de lectura estos deben ser registrados. Cuando el % es demasiado elevado es probable que no sea recomendable tomar como relevante esa fuete u origen de datos, lo mismo que los hashes recibidos. Lo esperado debería ser 0% de error en el proceso de adquisición o clonación forense.

El proceso puede ser realizado con herramientas forenses libres como hélix, caine, deft u otra, pero también consideremos la existencia de herramientas lógicas y físicas propietarias como ENCASE, FTK y en hardware toda la línea tableau y otras que existen en el mercado forense. La cantidad de herramientas especializadas deberán tomarse en cuenta al momento de efectuar estas tareas por cuanto no debería ser una limitante para aplicar un procedimiento transparente y documentado.

Efectuada la adquisición se efectua la preservación lógica y física de originales dando por concluida ambas fases. La preservación física cumple cuidados relativos a la naturaleza física de los medios de almacenamiento usados. Cuidados antimagnéticos, antishock, antiestáticos, etc.

Cualquier pregunta puede ser dirigida de forma abierta en este articulo o los foros donde se publique el mismo.


P.-S.

Autor: Guido Rosales Uriona

Ultimos Artículos