PDF de programación - Código de prácticas para digital forensics

CÓDIGO DE PRÁCTICAS PARA DIGITAL FORENSICS

CODE OF PRACTICES FO R DIGITAL FORENSICS

CP4DF



AVANCE DE LA METODOLOGÍA



David González
dgonz AT sourceforge.net
Versión: 1.3 - Fecha: 07.Noviembre.2003
rcarhuatocto AT sourceforge.net



COMENTARIOS


Versión 1.3 del documento creado.

Revisión 1.2 del documento







INDICE



INTRODUCCION............................................................................................................ 2
FASE 1: ASEGURAMIENTO DE LA ESCENA....................................................... 5
FASE 2: IDENTIFICACION DE LAS EVIDENCIAS DIGITALES...................... 7
FASE 3: PRESERVACION DE LAS EVIDENCIAS DIGITALES ......................10
FASE 4: ANALISIS DE LAS EVIDENCIAS DIGITALES...................................13
FASE 5: PRESENTACION Y REPORTES..............................................................21



Código de Practicas para Digital Forensics
http://cp4df.sourceforge.net
Avance de la metodología


INTRODUCCION



Versión 1.3
7 Noviembre 2003
Página 2 de 22

En la medida que crece y se diversifica el uso de Infraestructuras Tecnológicas,
se incrementan también los riesgos http://www.csi.map.es/csi/pg5m20.htm (Guía
Magerit) de que los equipos de cómputo, dispositivos electrónicos y sistemas
informáticos, conectados o no a Internet, sean vulnerables a ataques o incidentes que
ponen en peligro la integridad, disponibilidad y autenticidad de lo s datos que en ellos
se procesa, almacena o transfiere. Y más allá de los datos, el daño a dichas
infraestructuras es latente.


Con el incremento del número de incidentes de seguridad, es cada vez más
frecuente el tener que analizar las acciones realizadas por los atacantes en los
equipos; por un lado para conocer y aprender del modus operando, averiguar el
alcance del mismo y, llegado el momento, poder tomar las medidas oportunas para
denunciar el ataque a las autoridades competentes. Pero por otro lado, para llevar a
cabo la actualización o recuperación parcial o completa del equipo atacado, ya que
conociendo lo dañado es posible intentar recuperarlo, ello con el fin de asegurar la
continuidad del negocio.. Cada vez es más costoso el parar un servicio para efectuar la
reinstalación de los sistemas informáticos y aplicaciones; además es conveniente
evaluar en profundidad las implicaciones que ha tenido el problema de seguridad
mediante las herramientas de análisis forense.


En este trabajo se plantean las bases de una metodología de análisis forense en
las Infraestructuras Tecnológicas que cubra
los pasos necesarios desde el
aseguramiento de la escena del delito hasta la presentación de evidencias ante un
Tribunal de Justicia, si fuese el caso, o simplemente aprender del incidente.


Esta metodología pretende ser la base para el desarrollo del Código de Prácticas
para Digital Forensics – CP4DF, se crea con la idea de que sea lo más abierta posible,
como lo define CP4DF en sus objetivos [http://cp4df.sourceforge.net]. Esto es
evidentemente necesario puesto que el mundo de la tecnología informática avanza
rápidamente, existen nuevas herramientas y técnicas para la investigación de
incidentes de seguridad y cada vez es más urgente constituir grupos de profesionales
en el tema que deberán enfrentarse a escenarios nuevos y nuevos desafíos que hacen
que se realicen tareas de investigación cada vez más complejas y sin un marco
coherente de trabajo la labor se ve duplicada y a veces cuestionada. Por otro lado, el
código de prácticas para digital forensics servirá no sólo como guía de trabajo, sino
como lista de tareas que hay que hacer en un proceso de investigación, esto sirve
mucho a profesionales que se inician en esta nueva labor.


Toda evidencia digital es y debe ser convincente ante un Tribunal de Justicia o
en donde haya alguna disputa. Para asegurarla, es importante la homogenización del
protocolo de admisibilidad de la prueba, además de un continua aproximación de lo
que podría tratarse de una prueba. Esta labor se hace muy difícil en circunstancia en
donde no exista una metodología, menos aún, cuando no exista un marco de trabajo.


El proceso tradicional de investigación cuando el delito o evento se haya
consumado, consta [según los diversos expertos en la materia (como Dan Farmer,
Wietse Venema, Brian Carrier), empresas (como Guidance Software, LC Technology
International, NTI New Technologies) e instituciones (como Scientific Working Group

1er Flash mob sobre Digital Forensics {14.Nov.2003-Barcelona}



Versión 1.3
7 Noviembre 2003
Página 3 de 22

Código de Practicas para Digital Forensics
http://cp4df.sourceforge.net
Avance de la metodología


on Digital Evidence (SWGDE), International Organization on Digital Evidence (IOCE))]
de las siguientes etapas:

a) Identificación de la evidencia digital.
b) Preservación de la evidencia digital.
c) Análisis de la evidencia digital.
d) Presentación de la evidencia digital.

[Qué pasa cuando el delito se está produciendo?, existen las mismas etapas o fases?,
explicar]



Basándonos en estas etapas básicas, planteamos la inclusión de una etapa previa,
también importante en el proceso de investigación, creemos más importante para
quienes se encuentran en el lado policial ya que dentro de su labor, al margen de ser
investigadores, está el asegurar la potencial evidencia. Finalmente las fases o etapas
serían:

FASE 1: Asegurar la escena del delito.
FASE 2: Identificación de las evidencias.
FASE 3: Preservación de las evidencias.
FASE 4: Análisis de las evidencias.
FASE 5: Presentación y reporte.


Paralelamente a estas fases se debe realizar en todas y cada una de ellas una

documentación profunda y mantenimiento de la cadena de custodia de la evidencia.


Las tres primeras fases normalmente se deberían hacer en la escena del crimen
sobre todo por obtener toda evidencia “in-situ” que pueda ayudar al caso, pues una
vez levantada la escena del crimen no será posible obtenerlas.

La fase de análisis se debería realizar en el laboratorio forense, donde

tendremos las condiciones y el equipo idóneo para dicho proceso.

La presentación y reporte se hará en un tribunal de justicia o delante de un

cliente.


El personal que responda al incidente debería llevar consigo todo lo necesario
para asegurar la escena del delito y aplicar el procedimiento de gestión de incidencias.
Las herramientas básicas podrían ser los siguientes:


- Destornilladores.
- Alicates.
- Cinta aislante y cinta de embalaje.
- Cortador de cables.
- Etiquetas.
- Folios o PDA para realizar la documentación de evidencias y documentación

de la cadena de custodia.

- Rotuladores de colores.
- Cámara digital de fotografías.
- Cámara digital de vídeo.
- Sistemas de creación de imágenes de dispositivos de almacenamiento.
(Ordenadores portátiles con grabadores CD o DVS, sistemas de copia rápida
RAID, etc).

- Disquetes y CDs con sistemas operativos autoarrancables.

1er Flash mob sobre Digital Forensics {14.Nov.2003-Barcelona}

Código de Practicas para Digital Forensics
http://cp4df.sourceforge.net
Avance de la metodología



Versión 1.3
7 Noviembre 2003
Página 4 de 22

- Bolsas antiestáticas.
- Plásticos con sistema de “burbujas de aire”.
- Caja de cartón.
- Copias backup de los sistemas que se requieran reconstituir siempre cuando

se trate de un equipo crítico.


Toda posible prueba debe ser adecuadamente etiquetada y documentada,
además cada paso realizado debe ser registrado y documentado en detalle. A ello le
llamamos la Bitácora del Investigador.


Como veremos en la fase de presentación y reporte, el proceso de
documentación es fundamental. Cada paso que se hace hay que asegurarse que es
reproducible y de proporcionar siempre los mismos resultados.


Se debe tener en cuenta la cadena de custodia desde el momento que se llega a
la escena del crimen o lugar de los hechos, se fijan fotográficamente o se graban en
vídeo evidencias, se levantan y embalan los indicios o evidencias identificadas obrando
registro de día, hora, condiciones especiales (estos datos estarán recogidos del proceso
de documentación), pero sobre todo, de las personas que participan y tienen cualquier
tipo de contacto o control de la evidencia hasta que se muestran en proceso judicial.


El documento de la cadena de custodia debe estar disponible en cualquier
momento y su objetivo es determinar quien accedió a una evidencia, cuando y para
qué. Este documento debe ser válido desde el momento de incautación de una
evidencia digital hasta su presentación en un proceso judicial.


Estas cinco fases serán secuenciales, aunque dependiendo del tipo de
evidencias que tengamos en escena (volátiles o no volátiles) habrá un tratamiento
distinto (esencialmente en cuestión de rapidez de la recolección de las evidencias
digitales) en las dos primeras fases.


A continuación se describe en profundidad cada una de las fases, en cada una
de los cuales se intentará ser lo más genérico posible para poder abarcar el mayor
número de tipos de evidencias posibles (debido a que existen sistemas, software y
hardware muy heterogéneos).


El receptor de esta metodología sabrá que, dependiendo del tipo de delito
informático, de los si