Ante los incidentes -...
7
74 Sistemas C uando nos enfrentamos a un incidente de seguridad 1 , debemos estar prepara- dos ante una eventual investigación. Hoy día es muy importante crear un grupo de res- puesta a incidentes 2 de seguridad, debido precisamente a que no se sabe con certeza el alcance que pueda tener este tipo de situaciones. En tal sentido, se debe pensar en lo que es necesario para llevar a cabo una investigación en el momento que esto ocurra. Al presentarse este tipo de incidentes de seguridad probablemente, depen- diendo de la seriedad y del alcance del problema, debemos recurrir a una investigación forense, la cual aporta en forma sustancial en este tipo de procesos al involucrar la pre- servación, identificación, extracción y documentación de la evidencia en un computador, la cual es guardada como datos o como información magnéticamente codificada [1]. Debemos tener claro que para reali- zar una investigación forense, es necesario que exista por lo menos una persona responsable en la orga- nización que sea la encargada de recibir directamente el caso, no puede existir otra persona que una vez ocurrido el incidente pueda ingresar, incluso llegar a tocar la maquina. Es claro que desde el momento del incidente se debe fijar la escena de tal manera que no pueda existir la más mínima posibilidad de contaminación de la evidencia. A continuación veremos un flujo de actividades que se debe tener presen- te y disponible para una posible investigación forense, teniendo en cuenta factores como la validez de la evidencia y como esta puede ser manejada a través de un sistema de cadena de custodia 3 . Ver Figura 1. Ante los incidentes Juan Diego Jiménez León M. Sc. ¿Como prepararse para realizar una investigación forense? tres
Transcript of Ante los incidentes -...
7744 Sistemas
Cuando nos enfrentamos aun incidente de seguridad1
, debemos estar prepara-dos ante una eventual
investigación. Hoy día es muyimportante crear un grupo de res-puesta a incidentes2 de seguridad,debido precisamente a que no sesabe con certeza el alcance quepueda tener este tipo de situaciones.En tal sentido, se debe pensar en loque es necesario para llevar a cabouna investigación en el momentoque esto ocurra.
Al presentarse este tipo de incidentesde seguridad probablemente, depen-diendo de la seriedad y del alcancedel problema, debemos recurrir auna investigación forense, la cualaporta en forma sustancial en estetipo de procesos al involucrar la pre-servación, identificación, extraccióny documentación de la evidencia enun computador, la cual es guardada
como datos o como informaciónmagnéticamente codificada [1].Debemos tener claro que para reali-zar una investigación forense, esnecesario que exista por lo menosuna persona responsable en la orga-nización que sea la encargada derecibir directamente el caso, nopuede existir otra persona que unavez ocurrido el incidente puedaingresar, incluso llegar a tocar lamaquina. Es claro que desde elmomento del incidente se debe fijarla escena de tal manera que no puedaexistir la más mínima posibilidad decontaminación de la evidencia.
A continuación veremos un flujo deactividades que se debe tener presen-te y disponible para una posibleinvestigación forense, teniendo encuenta factores como la validez de laevidencia y como esta puede sermanejada a través de un sistema decadena de custodia3 . Ver Figura 1.
Ante los incidentesJuan Diego Jiménez León M. Sc.
¿Como prepararse para realizar una investigaciónforense?
t r e s
Primer paso: la preparaciónRecurso Humano
Aunque puede sonar muy evidentees importante que la o las personasque van a ser los responsables derealizar las investigaciones en unaorganización deben tener algunasconsideraciones tanto de privacidadcomo de legalidad. Dentro de lasconsideraciones de privacidad seenmarcan las Políticas y Reglamen-tación con respecto al uso de losrecursos tecnológicos, la privacidadde la información de las personas(Archivos personales) influye al nopoder ser recolectados sin la sufi-ciente indicación que es un inciden-te real [2]. En Colombia el artículo236 del Código de ProcedimientoPenal Ley 906 de 2004 puede servircomo marco de legalidad frente aeste punto. Las políticas debenseguirse en el contexto de una inves-tigación para no infringir alguna
política y/o regla al momento de fijarla escena o recolectar la evidencia.
Con respecto a las consideracioneslegales un investigador forense debesaber que la evidencia debe seradmisible o aceptable, autentica,completa, confiable y creíble [2].
Se puede incluso pensar que estapersona debería estar en capacidadde realizar un levantamiento dacti-loscópico en la escena del incidente,este tipo de evidencia que en princi-pio puede ser vista como extrema,en algún momento se puede consti-tuir como elemento importante den-tro de la vinculación de la evidenciadigital4 con algún sospechoso.
Logística
Cuando se realiza la recolección dela evidencia digital generalmente lapreocupación es solo del espacio y
Sistemas 7755
Figura 1.
del dispositivo en donde vamos aguardar la información y como se vaa realizar; pero no se piensa que tanvalidas pueden ser esas pruebas5 sinose realizan los procedimientos ade-cuados para el manejo de los ele-mentos físicos (Disco Duro, CD,etc.). A continuación se enumeranalgunos componentes [3] que sedeben tener al alcance:
-Bolsas antiestáticas, que permitanla correcta manipulación de mediosde almacenamiento.
-Bolsas de seguridad, para guardarlos elementos físicos, que permitangarantizar que una vez guardados setenga la certeza que la bolsa no hasido abierta.
-Embalaje, para guardar los DiscosDuros y evitar que una eventualcaída o maltrato al elemento ocasio-ne una perdida de información, queen este caso seria perdida de la evi-dencia.
-Etiquetas o Rótulos, para marcar loselementos físicos, con el fin de iden-tificarlos. Esta etiqueta debe tener lainformación necesaria que identifi-que al elemento. Por ejemplo sihablamos de un Disco Duro, sedebería incluir por lo menos lasiguiente información:
o Un consecutivo
o Numero del incidente
o Descripción del elemento (Marca,Modelo, Serial, Capacidad, tipo deconector (IDE, SCSI, ATA), configu-
ración física, particiones, SistemaOperativo)
o Fecha y Hora
o Lugar
o Nombre y firma de quien recolectael elemento. Si es posible nombre yfirma de un testigo.
También se debe marcar el elementofísico directamente, siempre y cuan-do eso no altere la autenticidad de laevidencia teniendo en cuenta lascaracterísticas del elemento [3].
No realizar este tipo de procedimien-tos puede acarrear una desventajapara la defensa en un proceso legal,ya que sencillamente se puede llegara romper la cadena de custodia.
Dispositivos
Cuando se piensa en una investiga-ción forense, se debe tener conoci-miento de las características de losequipos con que se cuentan, es decirse debería tener un inventario com-pleto de todos los dispositivos de laorganización, resaltando aquellosque de alguna forma permitan algúntipo de almacenamiento como pue-den ser: memorias USB, TarjetasSD, CD, DVD, disquetes, PDA, etc.
"Los medios de almacenamiento quese vayan a utilizar en una investiga-ción forense deben estar libres decontaminación, lo cual se puedehacer con un proceso de saneaciónde datos"6
7766 Sistemas
De la misma manera es necesariopensar donde vamos a guardar laevidencia una vez se este recolectan-do, teniendo en cuenta que cualquiercambio que haga a la configuracióndel sistema afecta el estado originalde la evidencia. La mejor manera deextraer los datos de una maquinacomprometida es a través de la red,pero también se debe pensar quemuchas veces los incidentes ocurrenpor medio de las conexiones de red[3]. Se debe entonces pensar envarias estrategias y escenarios quepermitan recolectar la evidencia tra-tando de no contaminarla, a conti-nuación veremos dos escenarioscomunes:
Con acceso a la red.
Partimos de la idea que el destino dela recolección de la evidencia noesta contaminado, se debe tener unamaquina que tiene que configurarseen el mismo ambiente de la maquinaafectada, es necesario tener un discoduro adicional con la suficientecapacidad y libre de contaminación,en la maquina destino.
Sin acceso a la red
Si de alguna manera la cantidad dedatos que necesitamos recolectar espequeña, podemos utilizar disquetes,que es la forma más económica derecolección de evidencia. Peromuchas veces nos enfrentamos agrandes cantidades de datos que no
pueden ser almacenados en estosdispositivos; pensaríamos en variasestrategias que permitan realizar latransferencia de los datos recolecta-dos: [4]
Colocar un Disco Duro: Normalmente nose puede realizar sin apagar lamaquina, y se puede hacer siempre ycuando los datos volátiles7 del siste-ma han sido recuperados anterior-mente.
Colocar dispositivos de almacenamientoremovibles (USB o Firewire): No esrecomendable por que cambia elestado original del sistema. Pero sepuede pensar en utilizarlos si losdatos volátiles del sistema ya se tie-nen.
Teniendo en cuenta los comentariosanteriores se recomienda pensar enlos siguientes elementos o dispositi-vos básicos, al momento de unainvestigación forense:Un computador disponible para lasinvestigaciones forenses.- Un disco duro libre de contamina-ción.
- Medios de almacenamiento libresde contaminación (CDs, DVDs,Memorias USB, disquetes).
- Inventario de todo el hardware dela organización.
- Inventario de todo el software de laorganización.
En cualquiera de los casos es indis-pensable realizar la respectiva docu-
Sistemas 7777
mentación de lo que se tiene y de losprocedimientos que se han aplicadopara dejarlos libres de contamina-ción.
Herramientas
Se debe crear un perfil forense detodas las herramientas que se tenganprevistas a utilizar en un incidente deseguridad. Para cada herramientadebe identificar y documentar lassiguientes características: adquisi-ción, descripción, funcionabilidad,dependencias y en que afecta el sis-tema. [5]
Adquisición: Documente como seadquirió la herramienta, Si fue baja-da de Internet, desarrollada, o com-prada. Documente como se verificola integridad de la herramienta cuan-do la adquirió. (Verificando el hashMD58 para las herramientas bajadasde Internet, o las validaciones y/opruebas realizadas las herramientasdesarrolladas o compradas).
Descripción: Documente los detallesde la herramienta, incluyendo paraque tipo de sistema operativo escompatible, como se utiliza y si tieneinterfaz grafica o línea de comandos.
Funcionabilidad: Documente tantocomo pueda, si aplica, la salida espe-rada generada, la información volátilque pueda ser recolectada, paráme-tros de la línea de comandos o sinta-xis.
Dependencias y en que afecta el sis-tema: Estos dos puntos quizás sonlos más importantes dentro de lascaracterísticas de la herramienta y sedeben documentar. Para determinar-los se debe probar la herramienta yver el efecto que esta produce en elsistema.
Es preferible tener las herramientasforenses en diferentes dispositivosde almacenamiento: Memorias USB,CD, disquetes, etc.
DocumentosCuando utilizamos los procedimien-tos para hacer una investigaciónforense, debemos documentar abso-lutamente todo lo que se realice,desde el mismo momento en que elincidente es detectado hasta quefinaliza la investigación. Esto nosofrece una línea de tiempo que puedeser auditada y comprobada con cadauna de las acciones tomadas duranteel proceso.
Dentro de los documentos necesa-rios podemos destacar los siguientes:Procedimientos, bien documentadosy en lo posible probados.Inventarios de hardware y software,detallados.Formatos con la historia del caso,donde se registre cada movimientohecho en la investigación.Formatos de levantamiento de lainformación. (Recolección de datos) Formatos de entrega de custodia dela evidencia.
7788 Sistemas
Segundo paso: las pruebas
En este paso debemos ser concientesque para poder tener los dispositi-vos, las herramientas, los procedi-mientos y los investigadores apunto, se deben realizar pruebassobre cada uno de ellos. Cualquierfallo de alguno de ellos en unainvestigación puede dañar todo oparte del proceso. Por eso es impor-tante evaluarlos y tener en cuenta lossiguientes elementos:
Dispositivos: El estado de cada uno delos elementos debe ser óptimo, paracomprobarlo se deben realizar prue-bas, en el caso de los dispositivos dealmacenamiento deben quedar com-pletamente saneados para que que-den listos como medios dealmacenamiento de evidencia digi-tal.
Herramientas: Se deben realizar prue-bas de cada una de las herramientas,para saber el alcance de cada una, elnivel de confiabilidad, la estabilidad,el impacto que pueden causar al sis-tema, las dependencias que generan,el tipo de reporte que generan, el for-mato de salida de los datos, la porta-bilidad entre Sistemas operativos yel desempeño.
Procedimientos: Las pruebas de cadauno de los procedimientos deben serefectivas y bien documentadas, yaque de esto depende que se haga unacorrecta recolección de la evidencia
sin contaminarla y sobre todo dentrode los parámetros establecidos paraello. No se puede llegar a improvisara lo hora de manejar un incidente,aunque nunca podremos predecir deque manera será un incidente, sepueden tener procedimientos están-dares que nos ayuden a mitigar elimpacto.
Recurso Humano: Punto critico quedebe ser muy bien probado, pues lainexperiencia en la mayoría de loscasos, puede acabar con cualquierinvestigación; es por eso que esteelemento dentro de la cadena de unproceso de investigación es la partefundamental, pues de la capacidad,la experiencia y la recursividaddepende en gran medida una reco-lección valida y no contaminada dela evidencia digital. Por eso las prue-bas son muy importantes comoparte del conocimiento del investiga-dor, además sirven para afinar losprocedimientos.
Tercer paso: la documentación
Partamos de la siguiente premisa:Mientras más se pueda documentarcomo se procedió con el incidente,existen más posibilidades de demos-trar la validez de la evidencia digital.
En este paso se recolecta toda lainformación de lo que se preparo, sehizo, se dejo de hacer. Empezandodesde la preparación del hardware ylas herramientas a utilizar, pasando
Sistemas 7799
por como se detectó el incidente, queacciones se tomaron y por que. Mos-trar todos los detalles y acciones dela recolección de la evidencia digitaly posteriormente como se realizó lacustodia de la evidencia. No sepuede pasar por alto ningún detalle.Este paso es importante para lograrestablecer la línea de tiempo de lossucesos alrededor del incidente.
Los puntos que podemos destacar eneste paso son:Recolectar las pruebas realizadas alos dispositivos disponibles para unaposible investigación.
Las herramientas que se van a utili-zar se deben documentar completa-mente, incluso las pruebas realizadassobre cada una de las herramientas.
Cualquier procedimiento se debedocumentar, pues de ello depende lareutilización de procesos y técnicaslogradas con la experiencia.
Se deben documentar las pruebasrealizadas a los procedimientos yanotar observaciones al respecto. Detal forma que nos sirvan para afinarlos procedimientos.
REFERENCIAS
[1] Computer Forensics: ComputerCrime Scene Investigation.by John R. Vacca ISBN:1584500182Charles River Media © 2002[2] RFC 3227, Guidelines for EvidenceCollection and Archiving[3] Manual de Procedimientos ParaCadena de Custodia, Fiscalía Generalde la Nación. Colombia. [4] Preservation of Fragile DigitalEvidence by First Responders, SpecialAgent Jesse Kornblum Air Force Officeof Special Investigations[5] CMU/SEI-2005-HB-001 CarnegieMellon University, Software Enginee-ring Institute.Incident Response & Computer Foren-sicsChris Prosise, Kevin Mandia. McGraw-Hill/Osborne. Copyright © 2003
8800 Sistemas
Juan Diego Jiménez León M. Sc. Ingeniero de Sistemas, Escuela de Administraciónde Negocios (EAN). Magíster en Ingeniería de Sistemas, Universidad de Los Andes. Profe-sor de cátedra del Departamento de Sistemas y Computación de la Universidad de LosAndes. Administrador de Servicios Informáticos y Seguridad de los Recursos Tecnológicosdel Departamento de Sistemas y Computación de la Universidad de Los Andes. Ha reali-zado asesorías como consultor en aseguramiento de infraestructura tecnológica y pruebasde penetración.
