Metodologia del análisis forense

La gestión de evidencias digitales es un proceso crítico que varía según la legislación vigente en cada país. Aunque no siempre exista una obligatoriedad legal, es altamente recomendable seguir guías de buenas prácticas y estándares reconocidos en la metodología. A continuación, se presentan algunas normativas clave:

• RFC 3227: Directrices para la recolección y archivo de evidencias (2002).
• ISO 27037: Directrices para la identificación, recolección, adquisición y preservación de evidencias digitales (2016).
• NIST 800-66: Guía para integrar técnicas forenses en la respuesta a incidentes (2008).

Enfoque en ISO 27037

Utilizaremos la ISO 27037 como base para las técnicas y métodos aplicados en la gestión de evidencias respecto a la identificación, recopilación, adquisición y preservación de evidencias digitales, junto a la cadena de custodia.

La ISO 27037 está principalmente focalizada en la realización de un Forense Pericial, donde es probable que el informe realizado sea presentado ante la corte o juzgados.

Muchas veces, un Análisis Forense de Respuesta a Incidentes puede llegar a convertirse en un Análisis Forense Pericial, dado que el análisis forense realizado en la fase de identificación del ciclo de vida de un incidente ha identificado que se ha producido un perjuicio para la organización o compañía, y se quieren depurar responsabilidades. Es por esto que el análisis deberá conocer esta metodología y aplicar sus fases cuando correspondan.

La ISO 27037 describe que la evidencia digital es frágil por naturaleza y puede ser alterada, manipulada o destruida a través de una gestión incorrecta. El analista forense que gestione las evidencias digitales debe ser competente para identificar y gestionar los riesgos y consecuencias de posibles procedimientos a seguir al lidiar con evidencias digitales.

El analista forense necesita seguir procedimientos correctos para asegurar que se mantiene la integridad y la fiabilidad de la posible evidencia digital. Las reglas fundamentales en la gestión de fuentes de posibles evidencias digitales son:

• Minimizar la gestión de la evidencia original o de la posible evidencia digital.
• Justificar cualquier cambio y documentar las acciones realizadas (para que un experto pueda formar una opinión sobre la fiabilidad).
• Cumplir con la regulación local en cuanto a gestión de evidencias.
• El analista forense no debe tomar decisiones más allá de su competencia.

Las evidencias digitales se pueden presentar de manera física y lógica. La forma física incluye la representación de datos dentro de un dispositivo tangible. La forma lógica de una evidencia digital se refiere a la representación virtual de la información dentro de un dispositivo tangible.

El proceso de identificación involucra realizar un reconocimiento y documentación de posibles evidencias digitales. Este proceso debería identificar el medio de almacenamiento digital y los dispositivos de procesamiento que pueden contener posibles evidencias digitales relevantes para el incidente. Esta fase también incluye un proceso para priorizar la recopilación de evidencias basadas en su volatilidad.

La volatilidad de la información debe ser identificada para asegurar el correcto orden de recopilación y adquisición, minimizando el daño en las posibles evidencias digitales. El analista forense debería ser consciente de que no todos los tipos de almacenamiento pueden ser identificados y localizados, por ejemplo, el almacenamiento en la nube.

El analista forense debería llevar a cabo sistemáticamente una búsqueda exhaustiva de los elementos que puedan contener evidencias digitales, incluyendo diferentes tipos de dispositivos digitales que puedan tener posibles evidencias digitales y que pueden ser fácilmente ignorados.

Una vez que los dispositivos digitales que podrían contener evidencias digitales son identificados, el personal forense debe decidir si recopilar o adquirir en los siguientes pasos. Hay un número de factores de decisión para esto y está basado en las circunstancias.

La recopilación es un paso en el proceso de gestión de evidencias digitales, donde los dispositivos que posiblemente contengan evidencias digitales son obtenidos. Estos dispositivos deben ser movidos de su localización original a un laboratorio o a otro entorno controlado para más tarde realizar la adquisición y el análisis. Las posibles evidencias digitales pueden existir en al menos dos posibles estados: cuando el sistema está encendido o cuando el sistema está apagado. Cada estado necesita ser tratado de una manera diferente y distintas herramientas son utilizadas, dependiendo del estado.

Equipo encendido:

• Obtención de datos volátiles.
• Verificación de los sistemas de cifrado (Veracrypt, BitLocker, Lukus, Filevault).
• Documentarlo siempre todo, con objeto de minimizar el impacto.

Equipo apagado:

• Si está encendido, nunca apagar de manera ordenada; desconectar de la alimentación.
• Adquisición física de las evidencias.

El proceso de recopilación incluye la documentación del proceso completo y también el empaquetado de los dispositivos antes del transporte. Es importante para el analista forense que recopile cualquier material que podría estar relacionado con la posible evidencia digital, como, por ejemplo: contraseñas, cables de alimentación, etc. Las posibles evidencias digitales se pueden dañar si no se tienen en cuenta los cuidados necesarios para el transporte.

El analista forense debe adoptar el mejor método de recopilación posible, basado en la situación, coste y tiempo; y siempre documentando la decisión tomada en caso de usar un método en particular.

El proceso de adquisición produce una imagen de la fuente original (por ejemplo, de un disco duro junto con su partición y los archivos contenidos dentro de la partición), siendo necesario documentar los pasos realizados para realizar dicha imagen. El analista forense deberá adoptar un método de adquisición apropiado basado en la situación, coste y tiempo, y nuevamente debe documentar la decisión de usar un método en particular o herramienta.

El método de adquisición usado debería producir una imagen copia de la fuente original o de la posible evidencia digital o del dispositivo digital. Tanto la fuente original como la imagen copia deberían ser verificadas con una función de verificación demostrada, que sea aceptable por el individuo o persona que utilice dicha evidencia. La fuente original y cada imagen copia de la fuente original deben de producir la misma función de verificación. (Si se utilizan funciones de verificación criptográficas, tales como SHA256, ambas deben producir el mismo hash).

Cada imagen copia, copia forense o imagen forense, debe ser verificada como copia de la fuente original. Habrá casos donde el proceso de verificación no se pueda realizar, por ejemplo, cuando el sistema está funcionando, cuando la fuente original tenga errores, cuando la fuente original sea un disco de estado sólido con el TRIM activado o cuando haya una limitación de tiempo. Si la imagen copia no puede ser verificada, este hecho debe ser documentado y justificado. Siempre que se pueda, se debe realizar una imagen copia, donde se obtendrá el espacio libre y el espacio utilizado.

Podría haber casos en los cuales no sea factible o esté permitido hacer una imagen copia de la evidencia original, como cuando esta sea muy grande. En estos casos, el analista forense puede realizar una adquisición lógica de la información específica o de directorios. Este tipo de adquisición, generalmente se realiza a nivel de sistema de archivos. Durante una adquisición lógica, solo los archivos visibles, es decir, los no borrados serán copiados. Los ficheros borrados y el espacio libre no serán copiados. Este método es muy útil para realizar sobre sistemas críticos que no pueden ser apagados. Las adquisiciones pueden ser presenciales o remotas. En función de cómo se encuentre la fuente original o dispositivo, se podrán realizar distintos tipos de adquisición.

La evidencia original debe mantenerse inalterable, siempre que se pueda y el estado de la técnica lo permita. Si fuese necesario ejecutar algo sobre el sistema, para que este permita realizar la adquisición, se deberá documentar todos los pasos realizados y plasmarlos en el informe. Este tipo de conducta de ejecutar algo sobre el sistema se produce en la adquisición denominada Triaje.

Las posibles evidencias digitales deben ser preservadas para asegurar su utilidad en la investigación. Es importante proteger la integridad de la evidencia. El proceso de preservación, como dice el propio nombre, debe preservar las posibles evidencias digitales y los dispositivos que las contengan, de posibles manipulaciones o modificaciones.

El proceso de preservación debe ser iniciado y mantenido a lo largo de la gestión de las evidencias, empezando desde la fase de identificación. Se podrán utilizar funciones resumen criptográficas para verificar su no alterabilidad. También se debe tener en cuenta el espacio a utilizar, donde debiese tener las medidas de seguridad necesarias, así como un control de acceso al mismo.

El registro de cadena de custodia es un documento que identifica la cronología de localización y gestión de la posible evidencia digital. Para cumplimentar este registro, típicamente, traza la historia del dispositivo en tiempo, por la persona que lo recibe, la persona que lo entrega, y el motivo de la entrega. Esta fase empieza cuando se recibe el sistema para analizar.

El registro de cadena de custodia es un documento o documentos que detallan quién es el responsable de la gestión de dicha evidencia en un periodo de tiempo determinado. El propósito de mantener la cadena de custodia es saber en un tiempo concreto, dónde estaba y quién lo gestionaba. El registro de cadena de custodia debería llevar la siguiente información como mínimo:

• Identificador único de la evidencia.
• Quién accedió a la evidencia detallando tiempo y sitio donde se accedió.
• Quién chequeó si la evidencia estaba fuera o dentro de las instalaciones de preservación y qué ocurrió.
• El motivo de que la evidencia saliese (caso y propósito) y la autoridad si fuese.

La cadena de custodia debe ser mantenida a lo largo de la vida de la evidencia y preservada durante cierto periodo de tiempo después de finalizar el caso. Este periodo puede ser establecido en concordancia con las leyes locales y debe ser establecido desde el momento de la adquisición. Un método para verificar si la cadena de custodia se mantiene es mediante los hashes de adquisición.

Podemos tener dos cadenas de custodia: una para la evidencia y otra para la copia/imagen forense.

El procedimiento natural para este tipo de custodia es realizar una adquisición de la evidencia original y que genere dos copias forenses. La evidencia original se custodia y no se trabaja con ella. La primera imagen forense es la utilizada para trabajar con ella y la segunda se almacena como backup por si fallase la primera.