Zerolynx Cybersecurity Blog

Sistema experto portátil para la Adquisición Segura y Semiautomática de Evidencias Digitales

representación de ciberdelincuencia

Hoy os presentamos un análisis, quizá demasiado ligero, de un problema actual para el que proponemos una solución seguramente no tan ligera.

¿Dónde estamos?

Según el Portal Estadístico de Criminalidad del Ministerio del Interior de España, el número de hechos conocidos relacionados con ciberdelitos no ha dejado de aumentar desde 2011. El grupo penal que más crece, y que más incidencia tiene, es el de fraude informático, que el Código Penal español define como el delito de estafa a través de la manipulación ilícita de datos y/o programas con ánimo de lucro.


Gráfico representativo del incremento año sobre año de delitos cibernéticos



Además, en la actualidad, no sólo los delitos tipificados como cibercrímenes tienen una componente tecnológica en la que es necesario hacer alguna investigación sobre algún medio digital como un móvil, un portátil o un servidor.

Por otro lado, el número de hechos esclarecidos es muy inferior al de los conocidos y su tendencia de crecimiento no se acerca a la de los primeros:


Gráfico comparativo entre delitos conocidos y delitos esclarecidos


Por lo tanto, el número de casos en los que es necesaria la ayuda de un análisis informático forense dentro de un proceso judicial es cada vez mayor.

Pero en realidad no es necesaria la existencia de un litigio para que sea conveniente realizar un estudio forense de una infraestructura informática. Muchas empresas, a nivel interno, emplean metodologías de análisis forense para resolver, prevenir, reducir y controlar la ocurrencia del fraude dentro de la organización. A menudo se toman muestras o evidencias para su uso futuro en posibles procesos de control interno o judiciales.

Casi todas las metodologías de análisis forense resumen su operativa en las muy conocidas cinco fases que nos permitimos recordar:

Adquisición. Donde se realiza una copia de la información susceptible de poder ser presentada como prueba en un proceso. Estas evidencias deben ser recogidas sin alterar los originales, utilizando dispositivos o procedimiento de sólo lectura que garanticen que no se sobrescribe el medio de almacenamiento de origen. Se debe respetar la volatilidad de las muestras y priorizar su recogida. Y se deben etiquetar y almacenar todos los dispositivos originales de forma segura.

Preservación. En esta fase se garantiza la perdurabilidad en el tiempo y la cadena de custodia de la información recogida.

Análisis. Se emplean técnicas que, junto con la experiencia y la inteligencia del analista, ayudarán a resolver el qué, el cómo y el quién del caso analizado.

Documentación. Fase en la que se asegura que todo el proceso (información y procedimientos aplicados) queda correctamente documentado y fechado.

Presentación. Donde se generan al menos un informe ejecutivo y otro técnico recogiendo las conclusiones de todo el análisis.

Los jueces tienen muy en cuenta cómo son recogidas y almacenadas las evidencias digitales, dependiendo su validez de los métodos elegidos. Por lo tanto, es evidente que las fases de adquisición y preservación son fundamentales para todo el proceso. Si en estas fases se comete algún error, toda investigación, junto con todos los análisis posteriores, dejará de ser válidos.

¿Cuál es el problema?


En Electronic evidence - A basic guide for First Responders - ENISA se proponen los siguientes principios que deben asegurarse en la gestión de evidencias digitales:

  • Integridad de los datos. No se debe modificar ningún dato que deba usarse en la resolución de un caso por un juzgado. La persona encargada de la escena del crimen o de la recolección es la responsable de que eso no ocurra. Además, si el dispositivo recogido está encendido, la adquisición debe hacerse de forma que se modifique lo mínimo posible.
  • Registro. Se debe crear y actualizar un registro con todas las acciones realizadas sobre las evidencias recogidas, desde su adquisición hasta cualquier consulta posterior.
  • Soporte de especialistas. En cualquier momento durante la adquisición debe ser posible la intervención de un especialista debidamente formado en técnicas forenses digitales. Dicho especialista debe tener el suficiente conocimiento técnico y legal, así como la experiencia y autorización necesarias.
  • Formación. Cualquier persona que maneje evidencias digitales debe tener una formación básica técnica y legal.
  •  Legalidad. Se debe asegurar la legalidad correspondiente a lo largo de todo el proceso.

Siempre con estos principios en mente, en la fase de adquisición hay que tomar decisiones y responder preguntas complicadas como:

  •  ¿Dónde se encuentra físicamente la información?
  •  Qué dispositivos de almacenamiento copiar.
  •  ¿Se debe apagar un dispositivo para realizar la adquisición?
  •  Orden para realizar las copias, teniendo en cuenta la volatilidad de los datos implicados.
  •  ¿Es necesario buscar y copiar dispositivos ocultos, no visibles o remotos?
  •  ¿Se han empleado técnicas anti forenses para ocultar información?
  •  Necesidad de soporte de un especialista forense.
  •  Necesidad de un fedatario.

En la escena del crimen pueden concurrir varios perfiles de profesionales con diferentes niveles de responsabilidad, formación y experiencia. No todos ellos pueden contestar exitosamente las preguntas anteriores.

Claramente, el número de profesionales debidamente cualificados para realizar estas adquisiciones forenses no es suficiente. Otros factores que complican la situación son las restricciones de movimiento, el teletrabajo, la necesidad de operar en entornos hostiles o los límites presupuestarios.

En este escenario, sería de gran ayuda un sistema autónomo y portable, que pudiera ser operado por una persona sin entrenamiento específico, que asistiera en la adquisición, almacenamiento y documentado seguros de evidencias digitales.

¿Qué tenemos?

Existen en el mercado múltiples herramientas específicas para la adquisición de evidencias. Algunas son comerciales y otras de uso libre. A continuación, os dejamos una lista con algunas de las más representativas y utilizadas comparando sus principales características:



Todas tienen en común que son complejas de utilizar, que necesitan formación específica para su uso y, sobre todo, que pueden ser peligrosas si no se utilizan correctamente, es fácil incurrir en una pérdida irrecuperable de datos.

Por otro lado, existen multitud de distribuciones Linux con orientación a la informática forense que proporcionan herramientas específicas para la adquisición de evidencias. Entre todas, destacamos las siguientes por su grado de actualización y especialización en el proceso forense:





Todos sabemos que existen otras distribuciones muy completas que cubren no sólo el proceso de análisis forense sino cualquier parcela relacionada con la ciberseguridad. Entre ellas cabe destacar Kali Linux, BlackArch Linux, Matriux, BackBox Linux o Parrot.

Todas ellas disponen de las mejores herramientas para el análisis forense y con todas es posible realizar una adquisición de evidencias digitales segura. Todas tienen indudable valor para el profesional de la ciberseguridad. Pero en el contexto de este análisis, todas tienen algunos inconvenientes:

  •  Pueden ser complejas de poner en marcha si no se tienen los conocimientos suficientes.
  •  Necesitan formación técnica específica para utilizar sus herramientas forenses.
  •  No están diseñadas específicamente para la adquisición de evidencias digitales.


¿Qué proponemos?


Un sistema que permita eliminar todas estas deficiencias, ofreciendo una solución específica para la adquisición de evidencias digitales, que permita a un operador sin demasiados conocimientos recoger, de forma segura y en cualquier lugar, datos e información que podría ser utilizada en un proceso judicial.

A continuación, nos permitimos imaginar una lista de características deseables durante las fases de adquisición, preservación y documentación y no encontradas juntas en ninguna de las distribuciones anteriores:
  •  Sistema integrado portátil, dedicado y autocontenido.
  •  Interfaz de usuario intuitiva, sencilla y simple de utilizar, que no requiera casi aprendizaje.
  •  Interfaz de usuario que evite o minimice errores por desconocimiento o malintencionados.
  • Guiado de actividades para usuarios sin experiencia a través de un sistema experto que implemente la inteligencia y experiencia de un analista forense.
  •  Ayuda en la identificación de evidencias. A menudo poco o nada visibles.
  •  Adquisición segura (en integridad y disponibilidad) de dispositivos de almacenamiento.
  • Uso de la técnica correcta según el tipo de evidencia.
  •  Asistencia en el almacenado físico y etiquetado de las adquisiciones.
  • Configuración de la cadena de custodia de evidencias digitales.
  •  Generación del registro de actividades.
  •  Generación de documentación.

Además, podríamos imaginar que integrara funciones de utilidad en las fases de análisis y presentación del proceso forense, pudiendo así cubrir todo el proceso forense. Incluso añadir inteligencia específica para el análisis de nuevos casos de fraude, industria e IoT, infraestructuras críticas, etc.

Imaginemos un caso de uso genérico:

Esquema sobre cómo funcionan las diferentes fases del análisis y proceso de análisis forense en ciberseguridad



O el flujo general de nuestro sistema:




Imaginemos el modelo de datos necesario:




O incluso cómo podría ser su interfaz:






Concluyendo

Existen todas las herramientas de diseño, implementación e integración de sistemas necesarias para desarrollar un sistema como el que ahora hemos imaginado. Es posible desarrollar un sistema experto que ayude a personal sin formación específica en informática forense a realizar una adquisición guiada y segura de las evidencias necesarias para resolver un incidente de seguridad.

Es posible integrar técnicas, procedimientos y herramientas específicas con un sistema experto que implementa la inteligencia de un analista forense en un software que puede ser utilizado por usuarios con pocos conocimientos en un entorno que requiere metodología, integridad y documentación muy exhaustivos.

Equipos de respuesta inmediata como cuerpos y fuerzas de seguridad, peritos forenses junior y profesionales de la informática y las comunicaciones podrían ser sus principales usuarios. Los principios de seguridad e integridad bajo los que estaría desarrollado permitirían su uso en investigaciones y procedimientos judiciales o en auditorías internas dentro de organizaciones privadas o públicas.

Esperamos que este artículo haya servido de inspiración para muchos. Imaginar y soñar es gratis y algunos incluso llegan a hacerlo realidad. Si eres de esos acompáñanos.