PDF de programación - Proceso Unificado de Recuperación de Información (PURI) en Redes informáticas

Proceso Unificado de Recuperación de Información

(PURI) en Redes Informáticas



Ana Haydée Di Iorio¹, Hugo Curti2, Fernando Greco3, Juan Ignacio Iturriaga4, Gonzalo Ruiz

De Angeli5, Ariel Podestá6, Martín Castellote7, Bruno Constanzo8

1 Ingeniera en Informática, Docente e Investigadora en Universidad FASTA,

[email protected]

2 Ingeniero en Informática, Docente e Investigador en Universidad FASTA y Universidad Na-

3 Ingeniero en Informática, Docente e Investigador en Universidad FASTA,

cional del Centro, [email protected]

4 Ingeniero en Informática, Docente e Investigador en Universidad FASTA,

[email protected]

[email protected]

5 Estudiante en Ingeniería Informática, Investigador en Universidad FASTA,

6 Ingeniero en Informática, Docente e Investigador en Universidad FASTA,

[email protected]

[email protected]

7 Ingeniero en Informática, Docente e Investigador en Universidad FASTA,

[email protected]

8 Ingeniero en Informática, Investigador en Universidad FASTA,

[email protected]

Resumen: Este trabajo presenta el estudio de la práctica de la informática fo-
rense en el ámbito de las redes de computadoras y otros dispositivos. El contex-
to es significativamente complejo, por lo que idealmente debería seguir un pro-
cedimiento ordenado y preciso que garantice el éxito de la labor del investiga-
dor. Aquí se introduce una metodología en desarrollo que viene a cubrir esta
necesidad.

1. Introducción

La Informática Forense es la rama de la Forensia que trabaja con datos procesados
y guardados electrónicamente en un medio computacional, enfocada en la obtención
de evidencia digital que ayude a esclarecer diversos sucesos como ser delitos informá-
ticos. Esta evidencia es concebida como aquella que está construida de campos
magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herra-
mientas y técnicas especiales.

En el ámbito de la informática existen dos contextos temporales claramente visibles
para el proceso de obtención de evidencia. Uno de ellos se ubica en el momento en el
que el dispositivo se encuentra en funcionamiento y el otro en el que se encuentra
apagado. Ambas situaciones presentan diferentes oportunidades de extracción de in-

SID 2015, 15º Simposio Argentino de Informática y Derecho. 44 JAIIO - SID 2015 - ISSN: 2451-7526117 formación significativa. Por consiguiente, la operación de extracción debe contemplar
ambas etapas aunando sus resultados que naturalmente se complementan.

El motivo de esta distinción surge a partir del concepto de datos volátiles y datos

persistentes.

Datos volátiles son todos aquellos cuya permanencia máxima en el sistema se limi-
ta al tiempo en el que el dispositivo se encuentra encendido. Ejemplos de este tipo de
datos pueden ser el contenido de la memoria RAM de una PC, el tráfico de red circu-
lando entre routers, las tablas CAM (“Content Addressable Memory” o “Memoria de
Contenido Direccionable”) de un switch, etc. Por el contrario, el concepto de datos
persistentes aplica a todo aquella información almacenada en un dispositivo que por la
naturaleza de su tecnología no requiere el suministro permanente de energía para con-
servar sus datos.

Desde un punto de vista simplificado podría considerarse que los datos volátiles
corresponden a las acciones en curso y los persistentes al histórico de las mismas. De
esta manera es clara la necesidad de complementar ambos resultados.

Según el ámbito en el cual se desarrolle la actividad será la factibilidad de hallar
datos volátiles o persistentes. Por ejemplo, cuando el universo de estudio se reduce a
un equipo de PC, datos persistentes existen en abundancia, y volátiles son extraíbles
operando antes del apagado del equipo. Pero en cambio cuando el ambiente de estudio
se ubica sobre una red informática, la riqueza de los datos volátiles es significativa-
mente alta e inversamente proporcional a la oportunidad de recuperarlos.

En un análisis informático forense sobre una red, el valor más elevado lo tiene el
tráfico en curso que es altamente volátil debido a la naturaleza de los dispositivos que
se ocupan de transmitirlo. Estos dispositivos (por ejemplo: routers y switches) nor-
malmente operan con buffers de memoria relativamente pequeños cuya finalidad es
simplemente la de encolar los paquetes que se envían y reciben. Así la información
permanecerá en el dispositivo hasta que finalmente los paquetes puedan re-
transmitirse. Siendo que habitualmente estas operaciones toman fracciones de segun-
do, la oportunidad de recuperar el tráfico de red es considerablemente pequeña si no
se previó la necesidad de hacerlo.

En este trabajo se aborda la informática forense haciendo foco en este último esce-

nario.

2. Seguridad Informática y Forensia en Redes

La aplicación de la Seguridad Informática podría concebirse como “Incident Res-

ponse” (Respuesta ante Incidente).

Un Incident Response comprende las siguientes etapas:

a) Preparación
b) Detección y análisis
c) Contención, erradicación y recuperación

SID 2015, 15º Simposio Argentino de Informática y Derecho. 44 JAIIO - SID 2015 - ISSN: 2451-7526118 d) Actividades post incidente (preparar infraestructura para que no

vuelva a pasar)


Relación/complementación entre ambas:

a) Preparación: condicionar infraestructura para la detección de inci-

dentes (ejemplo: sniffers, mecanismos de log)

b) Actividades post incidente: investigación sobre la información reco-

lectada.


Por qué es necesaria la Informática Forense en redes:

a) Cuando el rastro de la evidencia termina en una IP y esa dirección
corresponde a una empresa con una estructura de red montada se requiere un
análisis de red puertas adentro que nos permita completar la ruta de la comu-
nicación.

b) La tendencia de los dispositivos modernos es brindar la mayor co-
nectividad posible, lo que hace que mucha información quede almacenada en
los nodos de la red.

c) Permite detectar el nodo en el que un dato fue alterado.

3. Proyecto PURI en Redes Informáticas

El Proyecto PURI, llevado a cabo por el “Grupo de Investigación en Sistemas Ope-
rativos e Informática Forense” de la Facultad de Ingeniería de la Universidad FASTA,
trabaja en la generación y formalización de un proceso único de recuperación de in-
formación digital que sirva como guía y forma de validar la labor del informático fo-
rense. Durante la evolución de este proyecto se identificaron las siguientes sub-ramas
de esta ciencia:



 Forensia en Equipos (Computer Forensics)
 Forensia en Dispositivos Móviles (Mobile Devices Forensics)
 Forensia en Redes (Networking Forensics)
 Forensia en Análisis de Datos (Forensic Data Analysis)
 Forensia en Bases de Datos (Database Forensics)

Al momento de la publicación de este paper, el proyecto se halla abordando la in-

vestigación sobre la sub-rama “Forensia en Redes (Network Forensics)”.

La forensia en redes, es un campo de la informática forense cuyo objeto es captu-
rar, registrar, almacenar y analizar los eventos de la red, con el fin de determinar la
fuente de uno o varios ataques a la red. O las posibles vulnerabilidades existentes en
ella.

SID 2015, 15º Simposio Argentino de Informática y Derecho. 44 JAIIO - SID 2015 - ISSN: 2451-7526119 Los propósitos principales de la Forensia en Redes son la investigación de una ac-
tividad delictiva y la extracción de evidencia a partir de la reconstrucción de una se-
sión de datos, de los eventos pasados de redes y el análisis tráfico cifrado u oculto.

3.1. Actividades de la Forensia en Redes

De acuerdo a Simon Garfinkel, se cuenta con dos tipos de análisis forense de red:

“Catch-it-as-you-can System” y “Stop, look and listen”.

En el análisis forense de red del tipo Catch-it-as-you-can System: Todos los pa-
quetes que pasan a través de un punto de tráfico son capturados y escritos en un medio
de almacenamiento. El análisis se lleva a cabo posteriormente por lotes. Este tipo de
enfoque requiere de grandes cantidades de espacio de almacenamiento, usualmente
involucra un sistema RAID.

En el análisis forense de red del tipo Stop, look and listen: Cada paquete es anali-
zado de forma rudimentaria en memoria y solo cierta información se almacena para un
análisis futuro. Este enfoque requiere menos capacidad de almacenamiento pero pue-
de requerir un procesador más rápido para no perder paquetes y la escucha permanen-
te lo que ocurre en la red.

Si bien un ataque a una red involucra una complejidad adicional comparado a un
ataque a un único dispositivo, en términos de cantidad de información que puede reco-
lectar y equipos que puede vulnerar, un atacante preferiría siempre la primera opción.
Esto no solo se basa en la cantidad de computadoras que pueden ser objetivo del ata-
que sino también en los nodos intermedios que conforman la red.

Una estrategia común para un ataque es intentar esconder toda evidencia de la pre-
sencia de un determinado malware. Una desventaja en un entorno de red para el ata-
cante y una oportunidad para el encargado del análisis forense es justamente la canti-
dad de dispositivos involucrados.

De todas formas, la posible falta de capacidad de almacenamiento de algunos no-
dos de la red le da un carácter volátil a los datos haciendo que no sea siempre una
ventaja la presencia de una mayor cantidad de equipos conectados. Un ejemplo de
este caso son algunos routers domiciliarios (SOHO) en los cuales, si la adquisición no
se lleva a cabo en un corto tiempo se corre el riesgo de pérdida de información valio-
sa.

3.2. Esquema propuesto

La extracción de