Anàlisi Forense

De Wiki Eduard Lafitte
Jump to navigationJump to search

Introducció

Què és l'Anàlisi Forense?

L'anàlisi forense és un anàlisi en profunditat, l'objectiu del qual és identificar i documentar objectivament els culpables, les raons, el camí i les conseqüències d'un incident de seguretat o violació de les lleis o regles d'una organització.

Bàsicament, l'anàlisi forense investiga un delicte o crim (mostra qui, com i quan alguna cosa es va produir). Sovint es vincula amb l'evidència en un judici, especialment en matèria penal. Això implica l'ús d'un ampli espectre de tecnologies i procediments d'investigació i mètodes.

Els especialistes forenses recullen diferents tipus d'informació, treballen tant amb dispositius electrònics com amb la forma tradicional amb la informació sobre paper. L'Anàlisi Forense es basa en la Ciència Forense.

El resultat de l'Anàlisi Forense és una prova pericial que té valor probatori en processos judicials.

L'anàlisi forense s'utilitza en una gran varietat de camps, des de la criminologia a investigacions internes d'incidents dins d'una organització. Cadascun d'ells té els seus propis mètodes d'investigació forense.

L'anàlisi forense es porta a terme ja sigui per investigadors interns o subcontractant una empresa especialitzada per part de les organitzacions que porten a terme una anàlisi exhaustiu o auditoria forense. Auditoria és més intensa tot i que en la pràctica la diferència entre els dos termes és molt petita.

Quan s'està realitzant una anàlisi forense s'intenta respondre a les següents preguntes:

  • Qui ha realitzat l'atac?
  • Com es va realitzar?
  • Quines vulnerabilitats s'han explotat?
  • Què va fer l'intrús una vegada que va accedir al sistema?
  • Etc.

Hem de tenir en compte uns principis bàsics:


Pasos Inicials

El procediment utilitzat per dur a terme una anàlisi forense és el següent:

  • Estudi preliminar: En aquesta fase es realitza un estudi inicial mitjançant entrevistes i documentació lliurada pel client amb l'objectiu de tenir una idea inicial del problema que ens anem a trobar.
  • Adquisició de dades: Es realitza una obtenció de les dades i informacions essencials per a la recerca. Es dupliquen o clonen els dispositius implicats per a una posterior anàlisi. En aquesta fase caldrà tenir molta cura en l'adquisició de les dades posat que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
  • Anàlisi i recerca: Es realitza un estudi amb les dades adquirides en la fase anterior. En aquesta fase també caldrà tenir molta cura posada que cap la possibilitat d'incomplir els drets fonamentals de l'atacant.
  • Realització de l'informe: En aquesta fase s'elabora l'informe que serà remès a l'adreça de l'organització o empresa. Posteriorment, es podrà usar per acompanyar la denúncia que realitzem a l'autoritat competent.


Es pot crear una classificació de tipus d'anàlisi forense sobre la base de quina estiguin orientats a analitzar. Tenint en compte aquest aspecte es poden identificar diversos tipus d'anàlisis:

  • Anàlisi forense de sistemes: tant sistemes operatius Windows, com OSX, GNU/Linux, etc.
  • Anàlisi forense de xarxes.
  • Anàlisi forense de sistemes embeguts.
  • Anàlisi forense de memòria volàtil.

Tot i que cadascun té les seves pròpies característiques des d'un punt de vista global són similars per a cadascun dels tipus:


Fases de l'Anàlisi Forense

Fitxer:Etapes informàtica forense.png

Adquisició de dades

L'adquisició de dades és una de les activitats més crítiques en l'anàlisi forense. Aquesta criticidad és deguda al fet que, si es realitzés malament, tota l'anàlisi i recerca posterior no seria vàlid a causa que la informació sortiria amb impureses, és a dir, la informació que creiem que és de l'origen no ho és realment.

Una vegada que s'ha detectat un incident de seguretat, un dels primers problemes de l'analista en la recollida de dades es resumeix a dir si l'equip cal apagar-ho o no.

Si pensem una mica, la resposta és evident: NO!!


Per què no?

Perquè les conseqüències poden ser vàries:

  • perdre evidències que estiguin en la memòria volàtil
  • no poder veure els usuaris connectats
  • no poder veure els processos en execució
  • no poder conèixer les connexions existents
  • etc.

A continuació s'han de localitzar els dispositius d'emmagatzematge que estan sent utilitzats pel sistema: discos durs, memòries (USB, RAM, etc.).

Una vegada que s'han localitzat, s'ha de recaptar la següent informació:

  • marca,
  • model,
  • nombre de sèrie,
  • tipus de connexió (IDE, SCSI, USB, etc.),
  • connexió en el sistema (si està connectat en la IDE1 i si és el primari o el secundari, etc.).

Una vegada localitzades totes les parts del sistema, és recomanable fer fotografies de tot el sistema així com de la seva ubicació a més de fotografiar els dispositius d'emmagatzematge.

Quan s'hagin fet les fotos es continua amb la clonació bit a bit dels dispositius d'emmagatzematge del sistema. Aquesta clonació ha de ser realitzada en un dispositiu que hagi estat prèviament formatat a baix nivell, ja que aquest procés garanteix que no quedin impureses d'una altra anàlisi anterior. Per tant, la realització d'aquesta clonació haurà de fer-se mitjançant un LIVECD. 

Exemple de còpia:

$ sudo mkdir /mnt/disc_a_copiar
$ sudo mount -o ro /dev/sda1 /mnt/disc_a_copiar
$ sudo dd if=/mnt/disc_a_copiar of=/dev/sdb1

En l'exemple anterior veiem que primer creem el directori on muntarem la partició 1 del disc que volem copiar.

Una de les coses principals que hem de tenir en compte es que ens hem d'assegurar que al disc original NO es modifica ni un sol bit. Per tant, abans de fer qualsevol cosa el muntem com només lectura (read-only).

Per últim utilitzem una eina potent, lliure i fàcil d'utilitzar que incorporen la majoria de distribucions linux com és: dd (podem utilitzar qualsevol aplicació o dispositiu físic, però no sempre son assequibles).

Aquesta eina ens copia bit a bit tota la informació assegurant que tindrem una còpia exacte.

Quan tinguem la partició que volem analitzar copiada, hem d'asegurar-nos que són exactes. 

Per fer això utilitzarem les funcions HASH basades en SHA1 i/o MD5

sha1sum /dev/sda1 /dev/sdb1

Això ens comprobarà que el valor HASH és idèntic i que per tant, no s'ha modificat la integritat de la partició.

Un cop garantitzat això podrem treballar amb la còpia. Es recomana per una còpia de la còpia i treballar amb aquesta segona (després de garantir la integritat també), ja que si tenim qualsevol problema tirarem de la primera còpia de nou i no haurem de tornar a tocar l'original.


Anàlisi i investigació

La fase d'anàlisi i recerca de les evidències digitals és un procés que requereix òbviament un gran coneixement dels sistemes a estudiar.

Les fonts de recollida d'informació en aquesta fase són vàries:

  • registres dels sistemes analitzats,
  • registre dels detectors d'intrusió,
  • registre dels tallafocs,
  • fitxers del sistema analitzat,
  • ...

En el cas dels fitxers del sistema analitzat, cal anar amb compte amb les carpetes personals dels usuaris. Aquestes carpetes estan situades habitualment en el directori /home en sistemes GNU/Linux i en c:\documents and settings\ en sistemes Windows.

Cal tenir en compte que no es consideren personals aquelles carpetes que han estat creades per defecte en la instal·lació del sistema operatiu, per exemple, els comptes d'administrador. De totes maneres, sempre és recomanable assessorar-se amb un jurista davant la realització d'un anàlisi forense per prevenir possibles situacions desagradables (per exemple: ser nosaltres els denunciats per incomplir la legislació).

En aquests casos cal tenir en compte l'article 18 de la Constitució espanyola, que garanteix el dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge, a més de garantir per exemple el secret de les comunicacions excepte resolució judicial. Per tant, tota la recerca ha d'anar sempre encaminada a trobar les evidències en totes aquelles dades que no continguin informació personal. Solament es pot accedir a aquesta informació disposant d'una resolució judicial que ho autoritzi.

Quan s'accedeix a la informació podem trobar dos tipus d'anàlisis:

  • Físic: informació que no és interpretada pel sistema operatiu ni pel de fitxers.
  • Lògic: informació que sí que és interpretada pel sistema operatiu. En aquest nivell, per tant, podrem obtenir:
    • estructura de directoris,
    • fitxers que se segueixen emmagatzemant així com els que han estat eliminats,
    • hores i dates de creació i modificació dels fitxers,
    • grandàries,
    • utilització dels HASH[1] per reconèixer els tipus d'arxius,
    • contingut en els sectors lliures,
    • etc.


En un dispositiu d'emmagatzematge ens trobarem amb tres tipus de dades recuperades:

  • Allocated: inode[2] i nom del fitxer intactes, amb el que disposarem del contingut íntegre.
  • Deleted/Reallocated: inode i nom del fitxer intactes encara que han estat recuperats perquè havien estat esborrats, amb el que disposarem del contingut íntegre.
  • Unallocated: inode i nom de fitxer no disponibles, amb el que no tindrem el contingut integro de l'arxiu encara que sí algunes parts. De vegades, realitzant una feina molt laboriosa es pot obtenir part de la informació i fins i tot unir les parts i obtenir gairebé tota la informació de l'arxiu.

Una de les primeres accions que haurem d'efectuar és determinar la configuració horària del sistema. Amb aquesta opció podrem validar les dates i les hores que podem identificar perquè no siguin qüestionades davant un altre peritatge per exemple.

Després d'identificar la configuració horària, podrem realitzar l'estudi de la línia de temps també coneguda com timeline i conèixer quins han estat les accions realitzades des de la instal·lació fins al moment que s'ha clonat el disc.


Una eina que funciona molt bé per fer aquest tipus d'anàlisi es [[Autopsy[3]|http://www.sleuthkit.org/autopsy]]


Cadena de Custòdia

La cadena de custòdia (també anomenat CdC) no és quelcom únic en el món de l'anàlisi forense informàtic, sinó que està lligat amb l'àmbit judicial i que fa referència a la recopilació de proves i els seu tractament per assegurar que no han sofert cap modificació o contaminació i que per tant la prova es totalment vàlida.

Fitxa Cadena de Custòdia
Fitxa identificació cas
Fitxa Identificació Evidència

Segur que em vist en moltes pel·lícules o series de televisió o casos de la vida real, on en un judici, per el simple fet que no es pot garantir aquesta cadena de custòdia i per tant la fiabilitat de les proves, s'absol al processat.

Per tant la cadena de custòdia estableix un mecanisme o procediment, que assegura a les persones que han de jutjar que els elements probatoris (indicis, evidències o proves) no han patit cap alteració o contaminació des de la seva recol·lecció, examen i custòdia, fins al moment en el qual es presenten com a prova davant el Tribunal.

Aquest procediment ha de controlar certs aspectes de la prova (de forma no hi hagi cap motiu per dubtar de la seva validesa), com:

  • On s'ha obtingut.
  • Com s'ha obtingut.
  • Què s'ha fet i quan amb ella.
  • Qui hi ha tingut accés.
  • On es troba.
  • Qui la té.
  • En cas de destrucció (pel motiu que sigui):
    • Com?
    • Quan?
    • Qui?
    • Per què?
    • On?

Aquestes evidències digitals, tenen certes característiques respecte altres tipus, ja que la informació que es presenta com a prova, es pot trobar en diferents estats:

  • En trànsit o desplaçament: Paquets d'informació que es troben viatjant per la xarxa i que poden ser capturats i/o emmagatzemats.
  • Emmagatzemada dinàmicament o que estigui en procés: Informació emmagatzemada de forma temporal (volàtil) i que es perdrà quan no arribi corrent.
  • Emmagatzemada estàticament: Informació emmagatzemada de forma persistent.

Amb això veiem que per exemple la informació continguda en la memòria RAM, no la podrem tractar com una prova qualsevol, sinó que haurem de de fer un volcat d'aquesta en un dispositiu físic per analitzar-la posteriorment. Per això és important tenir l'autorització judicial, o de l'empresa (depen quin tipus d'anàlisi forense estiguem realitzant) i assegurar que la informació resultant serà vàlida. Un altre exemple el podríem trobar en un router per exemple, si el desconnectem de la xarxa elèctrica perdrem tota la informació actual d'equips connectats, etc.

Segons aquestes dades anteriors és ens atrevim a dir que, en alguns casos, la cadena de custòdia no s'aplicarà només “a l'indici material relacionat amb el delicte”, sinó que,a més a més, caldria ampliar aquesta definició, de forma que cobreixi i empari igualment aquelles dades obtingudes de dispositius amb informació volàtil que hagin estat obtinguts sobre el terreny. En aquests casos són molt importants les proves fotogràfiques del procés i de les pantalles on es vegi questa informació que després perdrem.

A més, el fet que mai acudeixi un sol agent al lloc dels fets permet que els altres assistents donin fe de les dades que s'han salvaguardat, com s'han recuperat i el lloc en el qual han estat obtinguts.

Hem de recalcar que el contingut original d'un dispositiu d'emmagatzematge (o el dispositiu mateix), podria veure's alterat en qualsevol moment, fins i tot de forma intencionada, per la qual cosa la possibilitat de treballar amb “còpies idèntiques” (i en aquest cas la prova informàtica té un gran avantatge sobre altres proves de diferent índole) allunya el temor que una prova pugui ser contaminada. I en el cas que això es produeixi (pel motiu que sigui), podrà tornar a clonar-se l'original per personal especialitzat designat per a tal efecte, permetent començar de zero, si això fos necessari.

Per tot això podríem definir la cadena de custòdia (CdC) com el protocol d'actuació relatiu a la seguretat i manipulació que ha de seguir-se durant el període de vida d'una prova, des que aquesta s'aconsegueix o es genera, fins que es destrueix o deixa de ser necessària.


Eines per l'Anàlisi Forense

Caine

Imatge Logo CAINE

CAINE Linux, acrònim de Computer Aided Investigative Enviroment (Entorn de Recerca Assistit Per Computadora), és una Distribució GNU/Linux creada com un Projecte Forense Digital.

Aquesta eina la podem utilitzar tant en versió LIVE com intal·lada en una màquina (utilitzant l'eina SystemBack que porta incorporada). És una distribució Distribució GNU/Linux basada en Ubuntu 64 bits i que conté moltes eines que podem utilitzar per realitzar un anàlisi informàtic forense.



Deft Zero

Imatge Logo DEFT Zero

DEFT Zero és una versió molt més lleugera i reduïda de DEFT dissenyada, igual que la seva predecessora, per realitzar anàlisi forenses de dades, xarxes i dispositius. Aquesta nova distribució funciona amb tan sols 400 MB de memòria RAM i està basada en Lubuntu 14.04 LTS (el que garanteix un suport estès a llarg termini). A més, també és compatible amb sistemes de 32 bits, 64 bits i fins i tot amb sistemes UEFI. A més, aquest nou sistema és compatible amb memòries del tipus NVM Express (NVMe) i eMMC.



FTK Imager

Imatge Logo FTK Imager



Referències

  1. Una funció de hash és una funció per resumir o identificar probabilísticament un gran conjunt d'informació, donant com resultat un conjunt imatge finit, generalment menor (un subconjunt dels nombres naturals per exemple). Una propietat fonamental del hashing és la que dicta que si dos resultats d'una mateixa funció són diferents, llavors les dues entrades que van generar dits resultats també ho són.
  2. És una estructura de dades pròpia dels sistemes d'arxius tradicionalment emprats en els sistemes operatius tipus UNIX que conté les característiques (permisos, dates, ubicació, però NO el nom) d'un arxiu regular, directori, o qualsevol altre objecte que pugui contenir el sistema de fitxers.
  3. És una estructura de dades pròpia dels sistemes d'arxius tradicionalment emprats en els sistemes operatius tipus UNIX que conté les característiques (permisos, dates, ubicació, però NO el nom) d'un arxiu regular, directori, o qualsevol altre objecte que pugui contenir el sistema de fitxers.


Webs d'interès


Webgrafia

Obtingut de «https://wiki.portaledu.es/index.php?title=Anàlisi_Forense&oldid=76784»