1. Libros y videos
  2. Seguridad informática
  3. Forensic
Extrait - Seguridad informática Ethical Hacking : Conocer el ataque para una mejor defensa (6ª edición)
Extractos del libro
Seguridad informática Ethical Hacking : Conocer el ataque para una mejor defensa (6ª edición) Volver a la página de compra del libro

Forensic

Introducción

En la terminología de la seguridad informática, muchos términos se distorsionan por el uso comercial o periodístico.

Por ejemplo, aquí está la definición tomada de un artículo publicado en junio de 2024 (fuente: https://www.unir.net/revista/ingenieria/analista-forense-digital/):

El análisis forense digital es un campo de la ciencia forense. Se utiliza para investigar ciberdelitos, pero también puede ayudar en investigaciones penales y civiles. Los equipos de ciberseguridad pueden utilizar el análisis forense digital para identificar a los ciberdelincuentes detrás de un ataque de malware, mientras que las fuerzas del orden podrían utilizarlo para analizar los datos de los dispositivos de un sospechoso de asesinato.

Aunque la definición es generalmente aceptable, merece cierta aclaración.

En inglés, la palabra "Forensic" se refiere a la aplicación de métodos científicos dedicados a la investigación criminal. Una definición más amplia es "relacionado con los tribunales" o simplemente "legal". Por tanto, el término se puede aplicar de forma muy amplia a un patólogo forense, un experto en balística, un experto en incendios, así como a una inmensa variedad de otros especialistas.

El análisis de sistemas informatizados es obviamente útil...

Artefactos y metodología

Edmond Locard, un eminente criminólogo, democratizó la idea de que

"Cada contacto deja una huella"

Dentro del área forense, un artefacto es simplemente la huella que deja una interacción. Estos artefactos pueden ser a todos los niveles, lógico o físico.

La vida útil de cada artefacto varía según la naturaleza de los materiales utilizados y las elecciones de diseño del sistema. Cuanto más fácil es hacer desaparecer un artefacto, más volátil se dice que es.

Es muy fácil manipular un artefacto por descuido o intentando recoger otro segundo artefacto. Por eso es necesario un buen conocimiento de los diferentes tipos de artefactos y su volatilidad.

1. Artefactos Windows

Para evitar convertir este libro en una guía forense completa o duplicar obras de referencia, solo repasaremos los artefactos más comunes de los sistemas Windows.

  • Bases de registro (colmenas)

  • Archivos (.dat, .sqlite)

  • Alternate Data Stream

  • Prefetch

  • Enlaces (.lnk)

  • Sistema de archivos

  • Espacio en disco no asignado

  • Archivos de eventos (.evtx)

  • Miniaturas

Para conocer:

  • Descargas

  • Ejecución

  • Apertura de archivos

  • Eliminación de archivos

  • Ubicación física (Wi-Fi, GPS, TimeZone, etc.)

  • Dispositivo USB externo

  • Historial de cuentas de usuario

  • Uso de un navegador web

2. Buenas prácticas y marco legal

El documento de referencia, RFC3227 (https://www.ietf.org/rfc/rfc3227.txt), se puede encontrar en la página web del IETF. Este documento define las mejores prácticas y comportamientos a evitar en la adquisición, transmisión y procesamiento de pruebas electrónicas.

Veamos primero las precauciones que hay que tomar:

  • no apague la máquina hasta que haya recopilado completamente las pruebas,

  • no confiar en los programas del sistema,

  • no utilice programas que cambien los tiempos de acceso en el sistema de archivos.

Para evitar suprimir algunas pruebas recopilando otras, seguiremos el orden de la volatilidad. En otras palabras, primero recopilaremos la evidencia que el sistema tiende a suprimir.

El orden de volatilidad aceptado convencionalmente es el siguiente:

1. registros y caché de la CPU,

2. tablas de enrutamiento, tablas ARP, tablas de procesos, estadísticas del núcleo y RAM,

3. sistemas de archivos temporales,

4. discos,

5. logs almacenados...

Los métodos

1. Preparación y entorno

Es importante señalar que, como parte de nuestro aprendizaje a través de este capítulo, no necesitaremos un laboratorio con estándares antiestáticos, ni bloqueadores de escritura ni otros equipos sofisticados orientados a un uso profesional.

Antes de lanzarse precipitadamente a la búsqueda de elementos, en el mejor de los casos el analista debe "preparar el terreno". Es importante comenzar con un análisis macroscópico (global) antes de descender gradualmente al análisis microscópico (sistema).

Tener una visión general de un sistema le permite determinar mejor los elementos más adelante. Tomemos un ejemplo. Imagine que le llama una empresa internacional que acaba de sufrir un ataque de tipo DoS y desea encontrar el motivo (este sí que es un análisis que podemos calificar de forense, porque está buscando pruebas, aunque no sea para inculpar directamente al autor del delito) y posiblemente encontrar la fuente. En este caso concreto, comprenderá fácilmente que el análisis directo del servidor web que el ataque dejó indisponible no le dará suficientes elementos para llevar a cabo su investigación.

Además, le será útil comenzar con "la fuente", muy a menudo los logs del firewall, que le permitirán establecer qué tipo de DoS se ha utilizado para llevar a cabo el ataque (SYN flood, DNS amplification) o bien, para darse cuenta rápidamente de si el servidor ha sido víctima de un ataque local (fork bomb, saturación de inodos).

Si se trata de un ataque en la red, los cortafuegos y los rúters deben ser el foco principal de sus investigaciones. A continuación, determinará el protocolo y el puerto que se utilizó. Una vez hecho esto, si es posible, puede estudiar los logs relacionados con esta información y también se puede realizar un análisis de una captura "pcap". Puede ver que este ejemplo ilustra perfectamente el "descenso a lo más profundo" del análisis.

2. Búsqueda y análisis de archivos

Veamos ahora más de cerca ciertos métodos para analizar archivos de todo tipo. Hemos optado por concentrar nuestros esfuerzos en los archivos porque los análisis de la red sobre todo requieren...

Distribuciones y herramientas

Algunas distribuciones de sistemas operativos y otros proyectos de código abierto, reúnen las herramientas más utilizadas. Existen muchas distribuciones GNU/Linux, incluyendo CAINE, Tsurugi, Kaisen... pero también existe el proyecto SIFT Workstation para los fans de la marca con el logo de cuatro colores.

CAINE

https://www.caine-live.net/

Tsurugi

https://tsurugi-linux.org

Kaisen

https://kaisenlinux.org/documentation/live.html

SIFT

https://www.sans.org/tools/sift-workstation

Eric Zimmerman’s Tools

https://ericzimmerman.github.io/#!index.md

dcfldd

https://dcfldd.sourceforge.net/

DFIR-ORC

https://dfir-orc.github.io/

Volatility

https://github.com/volatilityfoundation/volatility3

Conclusión

Este capítulo no puede sustituir el estudio de los libros de referencia, con una extensión que en algunas ocasiones supera las mil páginas, para cada una de las subdisciplinas mencionadas, pero sí cubre lo básico.

Es importante recordar una vez más que los aspectos legales son constitutivos de un análisis forense; sin ellos, esta disciplina consiste únicamente en el análisis de los artefactos pero pierde su valor probatorio (valor de prueba).