En el presente artículo se aborda un área de la seguridad con un gran nivel de  crecimiento denominada seguridad forense (ligada a la respuesta de incidentes y a la gestión de evidencias digitales), en ella se trata de recoger trazas y evidencias digitales de computador o red (datos abiertos, desconocidos, potencialmente desconocidos y ocultos) y utilizar dicha información digital tanto para procedimientos legales, administrativos como para mejorar la seguridad de una organización.

 

El lado oscuro del computer forensics son las técnicas antiforenses que persiguen todo lo contrario, es decir, la destrucción, la ocultación (por ejemplo con esteganografía) y la anticoncepción de datos, es decir, el utilizar por ejemplo opciones de no creación de datos, sería el caso de  una ejecución remota de binarios pero sin crear  fichero alguno en disco. La seguridad forense digital (computer forensics o forensic computing) va creciendo en interés día a día a nivel mundial. El mercado USA relacionado con la seguridad forense se espera que para 2009 sea de 630 millones de dólares. El eDiscovery consiste en responder rápidamente y de forma defensiva a peticiones legales y de investigación de evidencias electrónicas y reducir de forma significativa el riesgo y los costos asociados con los métodos reactivos, por su parte la seguridad forense digital implica la preservación, identificación, extracción, documentación e interpretación de medios de computador para analizar la causa raíz y/o evidencial. El eDiscovery y la seguridad forense digital constituyen actualmente dos pilares fundamentales de los programas de seguridad. Generalmente se necesitan como parte de una respuesta a incidentes en normativas de cumplimiento como PCI (Payment Card Industry data security standard), HIPAA (Health Insurance Portability Accountability Act), GLBA (Gramm-Leach-Bliley Act), SOX (Sarbanes-Oxley Act), FFIEC (Federal Financial Institutions Examination Council), DPA (Data Protection Act, UK), Basel II, LOPD-RMS (Ley Orgánica de Protección de Datos- Reglamento de Medidas de Seguridad), LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico), PIPEDA (Personal Information Protection and Electronic Documents Act, Canada), FISMA (Federal Information Security Management Act), etc. Una evidencia digital es cualquier dato almacenado o transmitido utilizando computadores que prueba o rebate una teoría de cómo un delito ocurrió o de los elementos críticos implicados del delito como coartada o intención. También puede definirse una evidencia digital como cualquier información, sujeto de intervención humana o no, que pueda extraerse de un computador. Debe estar en formato leíble por las personas o capaz de ser interpretada por una persona con experiencia en el tema.

Algunos ejemplos son: recuperar miles de correos electrónicos borrados, realizar investigación después del despido de un empleado, recuperar evidencias digitales después de formatear el disco duro, realizar investigación después de que varios usuarios hayan tomado el control del sistema.

Los sistemas operativos son cada vez más complejos en líneas de código y número de ficheros que utilizan. Por ejemplo un examen superficial de ficheros impide percatarse de nombres de ficheros que se han podido depositar de forma maliciosa. El fichero de Windows CMS32.dll (Console Messaging Subsystem Library) es verdadero, pero en cambio  wow32.dll (32 bit- wow subsystem library) es malicioso; el fichero kernel32.dll es correcto pero en cambio kerne132.dll es malicioso.

Caracterización del computer forensic. Respuesta a incidentes
Existen diversas definiciones de computer forensics: (1) El proceso de identificar, preservar, analizar y presentar las evidencias digitales de una manera que sea aceptable legalmente en cualquier vista judicial o administrativa. Es decir recupera datos utilizando las reglas de evidencia. (2) Implica obtener y analizar información digital para conseguir evidencias en casos administrativos, civiles o criminales. (3) Implica examinar y analizar científicamente datos de medios de almacenamiento de computadores para que dichos datos puedan utilizarse como evidencias digitales en los juzgados. (4) Aplicación de método científico para medios de almacenamiento digital para establecer información basada en los hechos para revisión judicial. (5) Implica preservar, identificar, extraer, documentar e interpretar medios de almacenamiento de computador en busca de evidencias y/o análisis de la causa raíz. Se utilizan diversos métodos como: (i) Descubrir datos en un sistema de computación. (ii) Recuperar información de ficheros borrados, cifrados o dañados. (iii) Monitorizar la actividad habida. (iv) Detectar violaciones de la política corporativa. La información recogida permite el arresto, la persecución, el despido del empleado y la prevención de actividad ilegal futura. Una evidencia digital es cualquier información que puede estar o no sujeta a intervención humana que puede extraerse de un computador, debe estar en formato leíble por las personas y capaz de ser interpretado por una persona con experiencia en el tema. Ejemplos de aplicación del computer forensics son: recuperar miles de correos electrónicos borrados, realizar investigación después de despedir un empleado, recuperar evidencias después de formatear un disco duro, realizar investigación después de que muchos usuarios hayan tomado control del computador. (6) El uso de técnicas especializadas para recuperar, autenticar y analizar datos electrónicos cuando un caso implica cuestiones relacionadas con la reconstrucción del uso del computador, examinar datos residuales, autenticar datos para análisis técnico o explicación de características técnicas de datos y uso del computador. El computer forensics requiere expertos especializados que vayan más allá de la recogida de datos normales y de técnicas de preservación disponibles para usuarios finales o personal de soporte del sistema. La respuesta a incidentes persigue los siguientes objetivos: identificar, designar o custodiar evidencias, revisar cualquier diario existente de lo que ya se ha hecho en el sistema y/o como se detectó la intrusión, empezar un nuevo diario o mantener el ya existente, instalar herramientas de monitorización (sniffers, detectores de puertos), sin re-arrancar el sistema o afectar los procesos en ejecución realizar una copia del disco físico, capturar información de red, capturar procesos y ficheros en uso (dll, exe, etc.), capturar información de configuración, recoger y firmar datos

Razones del antiforensics. Fubndamentos
El computer antiforensics es la aplicación de métodos científicos a medios de almacenamiento digitales para invalidar la información basada en hechos a utilizar en procedimientos judiciales. La anti-forensics es software que limita y/o modifica evidencias que un investigador forense podría recoger tras un incidente. Permite ocultar o distorsionar los datos de las evidencias digitales, explota las limitaciones de las herramientas forenses conocidas y utilizadas. Opera con distintos sistemas operativos Windows, Linux, Unix, etc. Se coloca en el computador antes o después de su adquisición.
Las razones del computer antiforensics son diversas, puede utilizarse para: (1) Validar herramientas y técnicas forenses. Puede mejorar procesos como JDFP. (2) Exonerar una parte culpable que borra o modifica datos para salvarse de ser expulsado del trabajo o en un proceso judicial. (3) Culpar a una parte inocente infiltrando datos falsos.
Los fundamentos del computer antiforensics (AF) son: (a) Suposiciones. Los datos son evidencias, confiamos en nuestras herramientas y nuestros analistas lo encontrarán todo. (b) Proceso. Entender el proceso mejor que los técnicos buenos. Teorizar sobre debilidades, Hacer test de la teoría. (c) Ataque. Se pueden distinguir tres áreas: (i) Atacar a los datos. Utilizar técnicas de anticoncepción, ocultación, destrucción de muy bajo nivel, manipulación y fabricación. (ii) Atacar a las herramientas. Encontrar gaps en la cobertura de las herramientas, hacer trucos para falsear el análisis de las herramientas. (iii) Atacar a los analistas. La información es poder y los atacantes fugan conocimiento. Los atacantes necesitan sólo un lugar para ocultar, los analistas tienen que comprobarlos todos los lugares.

Computer forensics. Lo que puede revelar. Donde buscar evidencias
Una investigación forense de hacking de computador es el proceso de detectar ataques de hacking y extraer adecuadamente evidencias para reportar el posible delito y realizar auditorías para prevenir ataques futuros. El computer forensics es la aplicación de técnicas de análisis e investigación de computador para determinar las evidencias digitales legales potenciales. El computer forensic puede revelar: (1) La forma en que el intruso entró en la red corporativa. (2) Muestra el camino. (3) Revela las técnicas de intrusión. (4) Permite recoger trazas y evidencias digitales. Un investigador forense no puede ni resolver el caso por sí sólo ni predecir lo que sospecha, tan sólo se limitará a proporcionar hipótesis.
Se pueden buscar evidencias en: (i) Computadores del entorno, en forma de log, ficheros, datos del ambiente, herramientas. (ii) Firewall, en forma de logs, tanto si es la víctima del ataque como si es un intermediario para la víctima. (iii) Dispositivos de interconexión de red (como switches, bridges, router, etc.), en forma de logs y buffers. (iv) Computador de la víctima, en forma de logs, ficheros, datos del ambiente, ficheros de configuración alterados, ficheros troyanos remanentes, ficheros que no coinciden sus hash, troyanos, virus, gusanos, ficheros robados almacenados, restos alterados de Web, etc.

Las formas de ocultar ficheros: (a) Utilizar el propio sistema operativo, por ejemplo Windows para ocultar ficheros. (b) Hacer que el texto tenga el mismo color del fondo de la pantalla. (c) Cambiar la extensión del fichero, por ejemplo pasar de .doc a .xls. (d) Borrar discos y utilizar una utilidad de recuperación. (e) Utilizar estaganografía. (f) Vaciar recycle bin. Algunos recursos para seguridad forense: (1) The Coroner`s Toolkit (gratuito) http://www.porcupine.org/forensics/tct.htm.
(2) Herramienta TASK (gratuita) http://atstake.com/research/tools/task. (3) Herramienta EnCase (comercializada) http://www.guidancesoftware.com. (4) Herramienta DriveSpy (comercializada) http://www.digitalintel.com.

Seguridad forense en negocios. Quién utiliz la seguridad forense. Fases de la seguridad forense
Existe un campo de aplicaciones creciente y de gran interés para el área de conocimiento de la seguridad de la información denominado computer forensic, por ejemplo en el ámbito de los negocios se utiliza para identificar y seguir la pista de: robos/destrucción de propiedad intelectual, actividad no autorizada, hábitos de navegación por Internet, reconstrucción de eventos, inferir intenciones, vender ancho de banda de una empresa, piratería software, acoso sexual, reclamación de despido injustificado.
La seguridad forense la utiliza un colectivo cada vez mayor de personas entre otros: (1) Las personas que persiguen a delincuentes y criminales. Se basa en las evidencias obtenidas del computador y redes que el investigador sospecha y utiliza como evidencia. (2) Litigios civiles y administrativos. Los datos de negocios y personas descubiertos en un computador se pueden utilizar en casos de acoso, discriminación, divorcio, fraude, etc. o para mejorar la seguridad. (3) Compañías de seguros. Las evidencias digitales descubiertas en computadores se pueden utilizar para compensar costos (fraude, compensación a trabajadores, incendio provocado, etc.). (4) Corporaciones privadas. Las evidencias obtenidas de los computadores de los empleados pueden utilizarse como evidencia en casos de acosos, fraude y desfalcos. (5) Policías que aplican las leyes. Se utilizan para respaldar órdenes de registro y manipulaciones post-incautación. (6) Ciudada-nos privados/individuos. Obtienen los servicios de especialistas profesionales forenses para soportar denuncias de acosos, abusos, despidos improcedentes de empleo, etc. o para mejorar la seguridad.

Las fases del computer forensic son: (1) Adquisición o recogida de datos de evidencias. Se trata de obtener posesión física o remota del computador, todas las correspondencias de red desde el sistema y dispositivos de almacenamiento físico externo. Se incluye la autenticación de evidencias, la cadena de custodia, la documentación y la preservación de evidencias. (2) Identificación y análisis de datos. Identificar qué datos pueden recuperarse y recuperarlos electrónicamente ejecutando diversas herramientas de computer forensic y suites software. Se realiza un análisis automatizado con herramientas. El análisis manual se realiza con experiencia y formación. (3) Evaluación. Evaluar la información/datos recuperados para determinar si pueden utilizarse o no y de que forma contra el sospechoso con vistas a despedir al empleado o llevarlo a juicio. (4) Presentación de los descubrimientos. Presentación de evidencias descubiertas de manera que sean entendidas por abogados y personal no técnico. Puede ser presentación oral o escrita. Algunas de las debilidades del proceso forense son: (1) En la fase de recogida de datos. Si se identifica una cadena de custodia o recogida de datos incompleta. (2) En la fase de análisis de datos. Si se utiliza una metodología, formación o herramientas inadecuadas. (3) En la fase de presentación de los descubrimientos. Si existe facilidad para sembrar la duda en los hallazgos presentados. Se trata pues de actuar y explotar vulnerabilidades en las tres áreas.

Retos de la seguridad forense. Gestion de evidencias
La información y datos que se busca después del incidente y se recoge en la investigación debe ser manejada adecuadamente. Esta puede ser: (1) Información volátil. Tanto: (i) Información de red. Comunicación entre el sistema y la red. (ii) Procesos activos. Programas actualmente activos en el sistema. (iii) Usuarios logeados. Usuarios y empleados que actualmente utilizan el sistema. (iv) Ficheros abiertos. Librerías en uso, ficheros ocultos, troyanos/rootkit cargados en el sistema. (2) Información no volátil. Se incluye información, datos de configuración, ficheros del sistema y datos del registro que son disponibles después del re-arranque.

Esta información se investiga y revisa a partir de una copia de backup. Los discos duros fijos pueden ser con conexión S-ATA a velocidad de 5400 rpm y capacidad de 320 GB, los discos extraíbles pueden ser Seagate de capacidad 140 GB y velocidad 15K rpm con conexión SCSI.

La gestión de evidencias tiene los mismos objetivos que la seguridad forense, estos son: (a) Admisibilidad de evidencias. Existen reglas legales que determinan si las evidencias potenciales pueden o no ser consideradas por un tribunal. Las evidencias deben obtenerse de manera que se asegure la autenticidad y validez y no debe haber alteración alguna. (b) Los procedimientos de búsqueda de computador no deben dañar, destruir o comprometer las evidencias. (c) Prevenir que se introduzcan virus en el computador durante el proceso de análisis. (d) Debe protegerse de posibles daños mecánicos o electromagnéticos las evidencias extraídas / reveladas. (e) Se debe establecer y mantener una continua cadena de custodia. (f) Se debe limitar la cantidad de veces que las operaciones de negocios se vean afectadas. (g) No se debe divulgar y se debe respetar cualquier información del cliente (desde el punto de vista ético y legal) que inadvertidamente se pueda haber adquirido durante una exploración forense. 


Aspectos finales
Nuestro grupo de investigación lleva trabajando hace más de quince años en el campo de la seguridad forense y de sus áreas relacionadas como la antiforensia, la gestión de evidencias y la respuesta a incidentes. Se han evaluado despliegues hardware y software en red. Es evidente la conexión entre la seguridad forense y los test de penetración para mejorar la seguridad de una organización.

 

Más información o presupuesto

 

Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates 2005-2007. European Commission).

Bibliografía

- Areitio, J. “Integración sólida entre la gestión de incidentes y el análisis forense de seguridad de la información”. Revista Conectrónica. Nº 103. Enero 2007.
- Areitio, J. “Análisis en torno a las tecnologías para el encubrimiento de información”. Revista Conectrónica. Nº 109. Julio 2007.
- Areitio, J. “Identificación y análisis de los sistemas de detección y prevención de intrusiones”. Revista Conectrónica. Nº 112. Noviembre 2007.
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning Paraninfo. 2008.
- Kruse, W.G. and Heiser, J.G. “Computer Forensic: Incident Response Essentials”. Addison Wesley. 2009.
- Carr, H., Snyder, C. and Bailey, B. “Management of Network Security”. Prentice-Hall. 2008.
- NcNab, C. “Network Security Assessment”. O’Reilly. 2007.
- Foreman, P. “Vulnerability Management”. Auerbach Publications. 2009.
- Hoopes, J. “Virtualization for Security: Including Sandboxing, Disaster Recovery, High Availability, Forensic Analysis and Honeypotting”. Syngress. 2008.
- Mandia, K. and Prosise, C. “Incident Response and Computer Forensics”. 2nd Edition. McGraw-Hill. 2003.
- Jones, K.J., Bejtlich, R. and Rose, C.W. “Real Digital Forensics: Computer Security and Incident Response”. Addison-Wesley. 2005.
- Carrier, B. “File System Forensics Analysis”. Addison-Wesley. 2005.
- Jones, R. “Internet Forensics”. O’Reilly Media, Inc. 2005.
- Casey, E. “Digital Evidence and Computer Crime”. Academic Press. 2nd Edition. 2004.
- Solomon, M., Barrett, D. and Broom, N. “Computer Forensics JumpStart”. John Wiley and Sons. 2004.
- Malin, C.H., Casey, E. and Aguilina, J.M. “Malware Forensics: Investigating and Analyzing Malicious Code”. Syngress. 2008.
- Srihari, S.N. and Franke, K. “Computational Forensics”. Springer. 2008.
- Newman, R.C. “Computer Forensics: Evidence, Collection and Management”. Auerbach Publications. 1st Edition. 2007.
- Singh, A. “Vulnerability Analysis and Defence for the Internet”. Springer. 2007.
- Sammes, A.J. and Jenkinson, B. “Forensic Computing”. Springer. 2007.
- Dowd, M., McDonald, J. and Schuh, J. “The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities”. Addison-Wesley. 2006.
- Buchanan, W.J. “Introduction to Network Forensic”. Auerbach Publications. 2009.
- Lee, W., Wang, C. and Dagon, D. “Botnet Detection: Countering the Largest Security Threat”. Springer. 2007.

Autor:
Prof. Dr. Javier Areitio Bertolín Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo."> Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla
Catedrático de la Facultad de Ingeniería. ESIDE.
Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .