23 abr 2012

Un Forense llevado a juicio (III de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


En el anterior post hablaba de la importancia de establecer un buen procedimiento para la adquisición de evidencias. Aunque lo idóneo sería contar con un equipamiento hardware para ello, existe la posibilidad de utilizar soluciones software para la realización del mismo. Prácticamente la mayor parte de ellas,  se basan en el empleo de DD para la copia de un número especificado de bytes o de bloques. Citaremos y mostraremos en esta serie de post las que proporcionan las suites forenses Helix y Caine.

La suite Helix de e-fense (http://www.e-fense.com/) nació con una inspiración diferente a la que puede encontrarse a día hoy (en lo que se refiere fundamentalmente al aspecto económico). Era de libre distribución y ofrecía funcionalidades para realizar análisis Live Forensics sobre sistemas Microsoft y Post Mortem a través de un arranque sobre distribución Linux. Totalmente gratuito tanto en el análisis Live Forensics como Post Mortem proporcionaba mecanismos para la realización de copias de evidencias digitales que podrían ser utilizadas en los casos forenses.

Aunque a día de hoy las distribuciones de este producto presentan un coste, todavía pueden encontrarse en Internet versiones de la misma que como la 1.9 o la 2008 R1 pueden ser utilizadas para la adquisición de evidencias. Basada en Knoppix puede ser utilizada su funcionalidad de live-cd para la adquisición de discos con múltiples funcionalidades.

La versión 1.9 aportaba una funcionalidad adicional para la adquisición de evidencias, con la incorporación de la aplicación Air. Aunque es cierto que ambas versiones traigan quizás mi favorita para la realización de la actividad que hoy os muestro: Adepto.

 

Img.- Helix versión 1.9

Img. Helix versión 2008 R1

Adepto permite dos formas diferentes de emplear el sistema DD para la adquisición de evidencias:

  • Adquisición en un único fichero dd volcando todo el contenido del disco seleccionado.
  • Realizando una clonación del disco, generando una copia idéntica del disco seleccionado.

La siguiente imagen muestra la operación de la adquisición de disco con Adepto. Dentro de las opciones significativas los comprenden la ruta de destino donde volcar la información, que podrá ser local o una ruta de red tipo Netbios o utilizar la salida de datos a través de  Netcat sobre la dirección IP y puerto indicado donde estará escuchando el sistema de almacenamiento destino.

 

Img.- Adquisición de disco.

También resulta sumamente importante la decisión de uso del Hash que verificará que el origen y destino son idénticos y por lo tanto que las copias son idénticas y válidas para la presentación de conclusiones partiendo de las evidencias adquiridas. Se recomienda modificar el tipo predeterminado de MD5 al menos a SHA1, por lógicas razones de seguridad (http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html). Al menos garantizan que el analista forense no ha hecho manipulación de las pruebas desde el momento de su adquisición.

Los tipos DCFLDD y AFF representan diferentes metodologías avanzadas para el uso de la aplicación dd en el campo forense. El primero fue desarrollado por el departamento de de los EEUU Defense Computer Forensics Lab. El segundo de los formatos: Advance Forensics Format, fue diseñado como un mecanismo más avanzado que el formato dd extandar siendo más flexible y permitiendo el almacenamiento de extensivo de metadatos requiriendo menos espacio de disco que otros formatos existentes en el mercado (como el de EnCase). Por el tipo de implementación suelo decantarme por el primero de ellos.

El segundo de los métodos de adquisición que proporciona Adepto se basa en la posibilidad de clonar un disco completamente, manteniendo tanto la información como la estructura física, de tal forma que será un espejo del disco origen. En esta circunstancia también se realizará una función hash del mismo, mostrado a través del sistema Log que proporciona la herramienta. También a través de este menú de restauración/clonado, se nos ofrece la alternativa para restaurar un fichero de tipo dd sobre un disco o sobre otro fichero imagen de tal forma que se verifique nuevamente la idoneidad del procedimiento mediante función hash del origen y del destino.

 

Img.- Clonación de un disco.

En ambas circunstancias es importante tener en cuenta una serie de detalles:

  • El tamaño de disco es relativamente importante. Los discos origen y destino no deben ser ni de las mismas características, ni tener idénticos en tamaño, pero sí el segundo en espacio ser superior al primero.
  • Tampoco deben ser idénticos en formato. Un disco tipo  IDE puede volcarse sobre un SATA o este sobre un USB. Venden para ello unos componentes que permiten la conversión y conexión de diferentes tipos de unidades de disco a  USB. Aunque es un método bastante más lento e inseguro que el uso de una clonadora convencional, resulta un proceso más económico. Permiten tratar todos los discos como de tipo externos y controlar así la identificación de unidades.
  • Sobre todo en el proceso de clonación es absolutamente imprescindible cerciorarse de cual es el disco origen y cual el destino. No sea que al final sobre el disco de las evidencias se acaben volcando ceros, y entonces más vale coger las maletas y salir corriendo.
  • También sería indispensable que el disco destino no tenga ningún dato, no sea que en el espacio no copiado se encuentren datos de otros casos y puedan llegar a mezclarse las evidencias. El consiguiente lío que tendría el analista sería interesante, sobre todo intentando desentramar la relación entre los casos. Se tratará en el siguiente post este proceso que puede ser llevado a cabo con la herramienta Air.

Utilizar un método u otro, dependerá fundamentalmente del tipo de escenario al que nos enfrentemos, el tipo análisis a efectuar y las herramientas con las que se cuente. Pero dejaremos esto para el siguiente post.

El tiempo de adquisición dependerá de varios factores: espacio a copiar/clonar, velocidad de los discos, soporte, tipo de hash a realizar, verificación de copias, etc. Si tenéis pensado utilizar este procedimiento no penséis ni mucho menos que el algo rápido. Puede llegar a tardar unas cuantas horas en concluir completamente todo el proceso sobre un disco duro convencional, si no hay errores…

Un detalle importante que proporciona la herramienta Adepto es que finalizado el proceso, aportará un fichero de suma importancia para un proceso forense: el fichero de cadena de custodia. También será objeto de tratamiento posterior la información que deberá acompañar cualquier evidencia digital de cara a la posible judicialización del caso.

La semana que viene trataremos las funcionalidades de la suite Caine para la adquisición de evidencias e iremos resolviendo algunas de las incógnitas que hemos dejado en el aire en este post.

Juan Luis García Rambla

8 comentarios:

  1. Gracias, excelente suite y tutorial, saludos

    ResponderEliminar
  2. Saludos,Dos cosas importantes q tal vez te falto mencionar. y es el uso de bloqueadores de disco o en su defecto montar las unidades de solo lectura para evitar sobreescribir la evidencia digital, lo otro es q se pueden utilizar las opciones avanzadas para aumentar el ablocamiento permitiendonos ganar tiempo, saltar errores y sectores defectuosos sin dañar el segundo original. Importante anotacion que hiciste es el proceso de sanitizacion (esterilizacion del contenedor del medio digital de la evidencia).Thank por su contribuccion,BytesDino

    ResponderEliminar
  3. Muy buenas Dino.De forma predeterminada helix, incorpora los discos en modalidad de solo lectura. Solamente con el disco destino a través de las aplicaciones correspondientes inicia el montaje en modo escritura.Con respecto al ablocamiento es cierto que ofrece esa ventaja y en determinadas circusntancias es perfecto, pero nos encontramos con el problema de que la firma hash final de origen y destino es discrepante y por lo tanto la evidencia puede quedar en entredicho. No obstante en determinadas circunstancias es lo único factible cuando el disco de origen está dañado.Muchas gracias a ti por tus buenas apreciaciones.Saludos.

    ResponderEliminar
  4. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a [...]

    ResponderEliminar
  5. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a [...]

    ResponderEliminar
  6. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a [...]

    ResponderEliminar
  7. [...] Forense llevado a juicio (I de X) Un Forense llevado a juicio (II de X) Un Forense llevado a juicio (III de X) Un Forense llevado a juicio (IV de X) Un Forense llevado a juicio (V de X) Un Forense llevado a [...]

    ResponderEliminar
  8. Buenas tardesMe gustaria saber que caracteristicas deberia tener el computador para extraer las evidencias una vez que tenga la imagen del disco a investigar? ya que me cuesta mucho extraer un archivo de 7 gb. tendra eso que ver con el rendimiento del computador?

    ResponderEliminar