Introducció

Què és l'Anàlisi Forense?

L'anàlisi forense és un anàlisi en profunditat, l'objectiu del qual és identificar i documentar objectivament els culpables, les raons, el camí i les conseqüències d'un incident de seguretat o violació de les lleis o regles d'una organització.

Bàsicament, l'anàlisi forense investiga un delicte o crim (mostra qui, com i quan alguna cosa es va produir). Sovint es vincula amb l'evidència en un judici, especialment en matèria penal. Això implica l'ús d'un ampli espectre de tecnologies i procediments d'investigació i mètodes.

Els especialistes forenses recullen diferents tipus d'informació, treballen tant amb dispositius electrònics com amb la forma tradicional amb la informació sobre paper. L'Anàlisi Forense es basa en la Ciència Forense.

El resultat de l'Anàlisi Forense és una prova pericial que té valor probatori en processos judicials.

L'anàlisi forense s'utilitza en una gran varietat de camps, des de la criminologia a investigacions internes d'incidents dins d'una organització. Cadascun d'ells té els seus propis mètodes d'investigació forense.

L'anàlisi forense es porta a terme ja sigui per investigadors interns o subcontractant una empresa especialitzada per part de les organitzacions que porten a terme una anàlisi exhaustiu o auditoria forense. Auditoria és més intensa tot i que en la pràctica la diferència entre els dos termes és molt petita.

Quan s'està realitzant una anàlisi forense s'intenta respondre a les següents preguntes: • Qui ha realitzat l'atac? • Com es va realitzar? • Quines vulnerabilitats s'han explotat? • Què va fer l'intrús una vegada que va accedir al sistema? • Etc.

Pasos Inicials

El procediment utilitzat per dur a terme una anàlisi forense és el següent:

• Estudi preliminar: En aquesta fase es realitza un estudi inicial mitjançant entrevistes i documentació lliurada pel client amb l'objectiu de tenir una idea inicial del problema que ens anem a trobar.
• Adquisició de dades: Es realitza una obtenció de les dades i informacions essencials per a la recerca. Es dupliquen o clonen els dispositius implicats per a una posterior anàlisi. En aquesta fase caldrà tenir molta cura en l'adquisició de les dades posat que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
• Anàlisi i recerca: Es realitza un estudi amb les dades adquirides en la fase anterior. En aquesta fase també caldrà tenir molta cura posada que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
• Realització de l'informe: En aquesta fase s'elabora l'informe que serà remès a l'adreça de l'organització o empresa. Posteriorment, es podrà usar per acompanyar la denúncia que realitzem a l'autoritat competent.

Adquisició de dades

L'adquisició de dades és una de les activitats més crítiques en l'anàlisi forense. Aquesta criticidad és deguda al fet que, si es realitzés malament, tota l'anàlisi i recerca posterior no seria vàlid a causa que la informació sortiria amb impureses, és a dir, la informació que creiem que és de l'origen no ho és realment.

Una vegada que s'ha detectat un incident de seguretat, un dels primers problemes de l'analista en la recollida de dades es resumeix a dir si l'equip cal apagar-ho o no.

Si pensem una mica, la resposta és evident: NO!!

Per què no?

Perquè les conseqüències poden ser vàries:

• perdre evidències que estiguin en la memòria volàtil
• no poder veure els usuaris connectats
• no poder veure els processos en execució
• no poder conèixer les connexions existents
• etc.

A continuació s'han de localitzar els dispositius d'emmagatzematge que estan sent utilitzats pel sistema: discos durs, memòries (USB, RAM, etc.).

Una vegada que s'han localitzat, s'ha de recaptar la següent informació:

• marca,
• model,
• nombre de sèrie,
• tipus de connexió (IDE, SCSI, USB, etc.),
• connexió en el sistema (si està connectat en la IDE1 i si és el primari o el secundari, etc.).

Una vegada localitzades totes les parts del sistema, és recomanable fer fotografies de tot el sistema així com de la seva ubicació a més de fotografiar els dispositius d'emmagatzematge.

Quan s'hagin fet les fotos es continua amb la clonació bit a bit dels dispositius d'emmagatzematge del sistema. Aquesta clonació ha de ser realitzada en un dispositiu que hagi estat prèviament formatat a baix nivell, ja que aquest procés garanteix que no quedin impureses d'una altra anàlisi anterior. Per tant, la realització d'aquesta clonació haurà de fer-se mitjançant un LIVECD.

Exemple de còpia:

$ sudo mkdir /mnt/disc_a_copiar
$ sudo mount -o ro /dev/sda1 /mnt/disc_a_copiar
$ sudo dd if=/mnt/disc_a_copiar of=/dev/sdb1

En l'exemple anterior veiem que primer creem el directori on muntarem la partició 1 del disc que volem copiar.

Una de les coses principals que hem de tenir en compte es que ens hem d'assegurar que al disc original '''NO''' es modifica ni un sol bitText en cursiva. Per tant, abans de fer qualsevol cosa el muntem com només lectura (read-only).

Per últim utilitzem una eina potent, lliure i fàcil d'utilitzar que incorporen la majoria de distribucions linux com és: dd

Aquesta eina ens copia bit a bit tota la informació assegurant que tindrem una còpia exacte.

Quan tinguem la partició que volem analitzar copiada, hem d'asegurar-nos que són exactes.

Per fer això utilitzarem les funcions HASH basades en SHA1 i/o MD5

sha1sum /dev/sda1 /dev/sdb1

Això ens comprobarà que el valor HASH és idèntic i que per tant, no s'ha modificat la integritat de la partició.

Un cop garantitzat això podrem treballar amb la còpia. Es recomana per una còpia de la còpia i treballar amb aquesta segona (després de garantir la integritat també), ja que si tenim qualsevol problema tirarem de la primera còpia de nou i no haurem de tornar a tocar l'original.