Lectura 2
Lectura 2
Lectura 2
Recolección de Evidencia
Digital
1
2.1 Colección de
evidencias I
Ya hemos tocado el tema relacionado a la cadena de custodia en el
módulo anterior, sin embargo, la preservación de un elemento de
prueba digital incumbe tanto el resguardo del medio físico como el
entorno digital.
2
técnicos en consonancia con las reglas de buena práctica del análisis
forense digital.
3
Imagen forense embebida: imagen de disco que contiene
incrustados metadatos sobre la imagen, tales como nombre de
la herramienta utilizada, fecha de adquisición, datos
relacionados al caso, investigador, evidencia relevada y hash
criptográfico correspondiente.
4
estándar de facto para el análisis forense por parte de fuerzas
de seguridad y agentes de la ley (Bunting, 2008).
Generic Forensic Zip (Gfzip): formato abierto desarrollado por
Rob J. Meijer. Si bien utiliza estructuras similares a AFF, los
metadatos y el enfoque de almacenamiento son diferentes. Un
archivo gfzip puede ser compatible en bruto para que los
metadatos se almacenen después de los datos de evidencia y
también ofrece un modo empaquetado donde los bloques de
datos redundantes no se almacenan.
SMART: existen dos formatos definidos por ASR Data para sus
productos para almacenar datos del disco duro. El formato
predeterminado almacena los metadatos en un archivo de texto
separado donde los contenidos se pueden ver fácilmente. El
segundo formato, denominado formato SMART Expert Witness
Compression, se basa en el formato original de Expert Witness
5
Imágenes de disco físico y disco lógico
A modo de ejemplo se tomará el disco físico que se muestra en la
figura 1, el cual contiene un registro de inicio maestro (MBR) y una
partición con dos volúmenes lógicos, cada uno formateado con un
sistema de archivos.
El registro de inicio maestro contiene metadatos sobre el diseño del
disco, incluyendo donde comienzan y terminan las particiones.
Cuando todos los datos de un disco se duplican exactamente desde
el disco de origen y se almacenan en un archivo, la copia de bit por
bit resultante se denomina archivo de imagen forense.
El disco de origen puede ser un disco físico completo, que podría
contener uno o más volúmenes lógicos capturados por la imagen
forense 1, en la figura 1.
Del mismo modo, la fuente de la imagen también podría ser un
volumen lógico dentro de un disco físico, como el Volumen C:\ e
imagen forense 2.
En ambos casos, la imagen forense es un archivo o conjunto de
archivos que contendrá una copia exacta de los datos. Se representa
como una fotografía instantánea de la fuente en el momento en que
fue colectada la evidencia.
6
Figura 1: Volúmenes lógicos con sistemas de archivos dentro de un
disco físico
7
Cualquiera sea el caso, cuando una imagen forense está comprimida
o dividida, al momento de su montaje para análisis mediante software
forense la misma se recombina, cuyo resultado será un duplicado
exacto del dispositivo de origen.
8
recolección por parte de los investigadores forenses. Es probable,
además, que existan procesos escritos, registros técnicos asociados
y que se realicen de manera periódica.
Por otro lado, la mayoría de las empresas u organizaciones rotan sus
medios de respaldo a través de un cronograma de almacenamiento,
ya sea dentro o fuera de sus instalaciones. Dependiendo del período
de tiempo en el que se requieran los datos, será necesario que el
investigador forense tenga que recuperar copias de seguridad
externas.
9
Documentar lo actuado: los investigadores forenses deben
mantener registros detallados de las acciones que realizan durante
el proceso de adquisición y recopilación. Si bien los registros se
pueden crear y mantener, ya sea en papel o en formato electrónico
según la preferencia del investigador forense, cada opción tendrá
un impacto en el proceso. Los registros de papel son menos
susceptibles de ser manipulados o alterados, aun cuando es menos
probable que contengan información técnica detallada, ya que
debería ingresarse a mano. Los registros electrónicos pueden
contener información técnica detallada, pero son menos tangibles,
susceptibles de ser alterados, por lo cual resultan menos fiables.
Sin embargo, la integridad de los registros electrónicos debe
garantizarse mediante el cálculo hash correspondiente.
10
Remover el disco de un sistema evitará cualquier cambio que pudiera
ocasionarse debido a las operaciones normales del sistema o las
interacciones entre el proceso y el usuario.
Del mismo modo, el uso de un bloqueador de escritura durante la
adquisición de evidencias conservará la integridad de los metadatos
existentes, como por ejemplo las marcas de tiempo que puede tener
un papel preponderante en toda investigación digital.
Integridad de la evidencia
La integridad de la evidencia puede ser definida como aquella
condición aplicable a la información para que sus modificaciones sean
realizadas de manera específica y autorizada. La alteración no
autorizada de los datos pueden ocurrir intencionalmente o no,
cualquiera de las variantes puede afectar el peso de la evidencia
digital en el tribunal.
Concepto de hash
Se define al hash como el proceso de tomar una cantidad de datos
determinada (como un archivo o el flujo de bits de un disco duro) y
aplicar un algoritmo matemático complejo para generar un
identificador numérico relativamente compacto (el valor hash)
exclusivo de esos datos (Salgado, 2005).
Como ejemplo, un valor hash generado respecto de un documento
será único; si se modificara, alterara o destruyere parcialmente dicho
documento, el valor hash resultante será diferente.
Existen varios puntos relevantes sobre los algoritmos hash.
11
Baja probabilidad de colisiones: las probabilidades de que dos
datos no idénticos generen el mismo algoritmo es ínfima y se
encuentra limitada por formato del algoritmo empleado. A modo de
ejemplo, se pueden citar el formato MD5 (acrónimo de Message-
Digest Algorithm 5) el cuál se trata de un algoritmo de reducción
criptográfico de 128 bits cuya longitud es de 32 caracteres, o el
formato SHA-1 (acrónimo de Secure Hash Algorithm 1), el cuál se
trata de un algoritmo de reducción criptográfico de 256 bits cuya
longitud es de 40 caracteres.
12
2.1.4 Utilización de software freeware y open
source, para adquirir y analizar
En el mercado existen gran variedad de herramientas para análisis
forense digital, sin embargo, debido al costo elevado de las
aplicaciones comerciales, resulta de vital importancia posar la mirada
en soluciones bajo licencia freeware o distribuciones de código
abierto.
En tal sentido, a continuación, se nombrarán algunas opciones a tener
en cuenta:
Autopsy
Plataforma forense digital con interfaz gráfica de la firma The Sleuth
Kit. Es utilizado por los encargados de hacer cumplir la ley, militares
e investigadores forenses corporativos. A continuación, se listan sus
principales características:
13
Visor de miniaturas: muestra miniaturas de las imágenes para una
visualización rápida.
Análisis del sistema de archivos robusto: soporte para sistemas de
archivo comunes, incluyendo NTFS, FAT12 / FAT16 / FAT32 /
ExFAT, HFS +, ISO9660 (CD-ROM), Ext2 / Ext3 / Ext4, yaffs2 y
UFS del kit de detective.
Filtro de conjunto de hash: permite eliminar los archivos buenos
conocidos. Utiliza NSRL y marca archivos maliciosos conocidos.
Para ello usa hashsets personalizados en los formatos
HashKeeper, md5sum y EnCase.
Etiquetas: facilita el etiquetado de archivos con nombres arbitrarios,
como 'favoritos' o 'sospechosos', y agregar comentarios.
Extracción de cadenas Unicode: permite extraer cadenas de
espacios no asignados y tipos de archivos desconocidos en
diferentes idiomas (árabe, chino, japonés, etc.).
Soporta la detección de tipos de archivo mediante firmas digitales
y detección de desajuste de extensión.
Compatibilidad con Android: extrae datos de SMS, registros de
llamadas, contactos, diccionario y más.
14
Figura 2: Autopsy
15
Visores: imágenes, videos, texto, web, estadísticas de sistemas
de archivos.
Análisis de línea de tiempo: vista gráfica, extracción virtual y
reducción, filtros de metadatos.
Visor hexadecimal: compatibilidad con archivos grandes,
navegación de página, navegación y visualización de píxeles,
búsqueda, etc.
Volúmenes: particiones, VMDK (VMware).
Manipulación de ficheros: corte, fusión, extracción, reducción de
repuestos.
Metadatos: EXIF, día y fecha, estructuras de datos, etc.
Memoria volátil: Windows XP (Volatility).
Sistemas de archivos: FAT 12/16/32, NTFS, EXTFS 2/3/4.
Recuperación de datos: algoritmos de sistemas de archivos,
tallado de archivos.
Registro de Windows: reconstrucción y análisis.
Otro: dispositivos locales, hash (md5, sha *), zip, unxor.
16
Figura 3: Digital Forensics Framework (DFF)
Bulk Extractor
Software forense que extrae funciones tales como direcciones de
correo electrónico, números de tarjetas de crédito, URL y otros tipos
de información de archivos de pruebas digitales. A continuación, se
listan sus principales características:
17
Después del análisis, crea un histograma con la información
relevada.
Soporta el análisis de imágenes de disco, archivos o directorios
de archivos y recolección de información sin analizar el sistema
de archivos o la estructura del sistema de archivos.
Posee un visualizador con funciones de exploración e interfaz
gráfica.
Contiene una suite de programas en Python para análisis
adicional.
DEFT
Acrónimo de Digital Evidence and Forensics Toolkit, es una
distribución Linux basada en Ubuntu. Desarrollada para el análisis
forense digital, con el propósito de analizar sistemas en vivo sin alterar
o contaminar los dispositivos de almacenamiento conectados a la PC
donde se lleva a cabo el proceso de arranque. Actualmente es
utilizado por personal militar, oficiales del gobierno, fuerzas del orden,
investigadores forenses corporativos, auditores de TI, universidades,
entre otros. A continuación se listan sus principales características:
18
Figura 4: Digital Evidence and Forensics Toolkit (DEFT)
CAINE
Acrónimo de Computer Aided Investigative Environment, es una
distribución Linux basada en Ubuntu, desarrollada para el análisis
forense digital con el propósito de ofrecer un entorno forense completo
y organizado para integrar herramientas y módulos de software.
Proporciona una interfaz gráfica amigable. Actualmente es utilizado
por personal militar, fuerzas del orden, investigadores forenses
corporativos, auditores de TI, entre otros. A continuación se listan sus
principales características:
19
Figura 5: Computer Aided Investigative Environment (CAINE)
FTK Imager
Acrónimo de Forensic Toolkit Imager, es un software informático
forense desarrollado por AccessData. A continuación, se listan sus
principales características:
20
Permite la visualización y navegación por la estructura de
directorios.
Posee herramientas para la visualización en formato
hexadecimal, vistas previas de documentos y ANSI latino.
Permite la búsqueda mediante palabras clave.
21
2.2 Colección de
evidencias II
Luego de realizar la introducción respecto de las herramientas
disponibles para los investigadores forenses, resulta imprescindible
familiarizarse con el empleo de las mismas.
Conocer las capacidades y limitaciones de las herramientas forenses
empleadas, constituye uno de los principales puntos a tener en cuenta
para su correcta elección, en función de las tareas periciales
encomendadas o incidente de seguridad detectado.
Sin duda el éxito de la investigación forense dependerá en gran parte
de las habilidades y conocimientos del perito interviniente, sin
embargo, desconocer los alcances de las herramientas empleadas
puede ocasionar errores de interpretación.
Del mismo modo, vale la pena recordar, que la integridad de las
evidencias recolectadas debe encontrarse sustentada mediante el
cálculo de algoritmos digitales hash correspondientes. Además,
garantizar en todo momento la posibilidad de verificar su integridad
mediante su correspondiente comprobación.
22
Lives CD/DVD/USB, CAINE, DEFT
Como ya se hubiera señalado, CAINE y DEFT se tratan de
distribuciones Linux basadas en Ubuntu y desarrolladas netamente
para el análisis forense digital.
A fin de identificar posibles entornos de trabajo, resulta factible dividir
los procedimientos para adquisición de imágenes forenses de la
siguiente manera:
23
Posee una interfaz gráfica amigable. Se pueden obtener imágenes
forenses en formato (DD, SMART, E01 y AFF).
Para realizar una imagen forense a partir de FTK Imager se deben
seguir los siguientes pasos:
1) Iniciar la aplicación, seleccionar la opción Archivo y luego,
Crear Imagen de Disco.
2) Seleccionar la unidad de origen (Disco físico/Disco
lógico/Archivo de imagen/Contenido de una carpeta/Unidades
ópticas tipo CD/DVD).
3) Escoger el formato de la imagen forense
(DD/SMART/E01/AFF).
4) Completar datos relacionados al caso, evidencia e
investigador.
5) Acto seguido, se debe escoger la ruta de destino de la imagen
forense, nombre de la misma, si se obtendrá un archivo único
o la misma será spliteada en segmentos de determinado
tamaño.
6) A continuación, se debe chequear el origen y destino de la
imagen forense, como así también seleccionar la verificación
de la misma, para luego iniciar su obtención.
7) Finalizado el proceso de obtención y comprobación, se aprecia
un reporte con los algoritmos de seguridad hash (MD5/SHA1).
8) Como resultado, en la ruta de destino se aprecian los archivos
correspondientes a la imagen forense obtenida y su respectivo
reporte.
24
Figura 6: FTK Imager - Creación de imagen de disco
25
Figura 8: FTK Imager - Selección de disco de origen
26
Figura 10: FTK Imager - Información de la evidencia
27
Figura 12: FTK Imager - Chequeo de parámetros y selección de
verificación de la imagen
28
Figura 14: FTK Imager – Verificación de la imagen
29
Figura 16: FTK Imager – Reporte correspondiente
30
obtención de la imagen y se muestra en pantalla que se
encuentra en ejecución.
3) Finalizado el proceso, dicha actividad se visualiza en pantalla.
4) Como resultado, en la ruta de destino se aprecian los archivos
correspondientes a la imagen forense obtenida y su respectivo
reporte.
31
Figura 18: Guymager - Configuración de la Imagen
32
Figura 20: Guymager - Finalización de la adquisición
33
Entorno Linux - Comando DD.
El comando DD, acrónimo de (Dataset Definition) es una herramienta
provista por distribuciones Linux que, entre otras actividades, puede
ser empleada para la adquisición imágenes forenses. Para ello, se
ingresa código mediante consola. Se pueden obtener imágenes
forenses en formato ISO, RAW (DD).
Para realizar una imagen forense a partir del comando DD se deben
realizar los siguientes pasos:
1) Abrir una consola de comando.
2) Identificar el dispositivo de origen y sus respectivas tablas de
partición mediante el comando “fdisk-l”.
3) Calcular el algoritmo de seguridad hash del medio de origen
(sdX) mediante el comando “sudo sha1sum /dev/sdc >
/tmp/hash_sdc.sha1” y chequearlo mediante el comando “cat
/hash_sdc.sha1”.
4) Abrir una nueva consola y obtener la imagen del medio de
origen mediante la herramienta “dd”, utilizar el comando “sudo
dd if=/dev/sdX of=/tmp/sdZ.dd conv=noerror,sync”. Donde “if”
indica la unidad de origen (sdX) y “of” la de destino (sdZ).
Asimismo, el parámetro “conv” convierte el archivo de acuerdo
a la lista de símbolos delimitados por comas, el parámetro
“noerror” garantiza la continuidad de la operación aun cuando
existan errores de lectura y por último “sync” se emplea para
rellenar bloques con ceros en caso de error.
5) Finalizado el proceso se aprecia un resumen con información
de la actividad, como por ejemplo registros de ingreso y salida,
bytes copiados, tiempo transcurrido para la obtención y
promedio de la velocidad de copiado.
6) A fin de realizar la comprobación de la imagen forense
obtenida, se procede a calcular su algoritmo de seguridad hash
mediante el comando “sha1sum /dev/sdZ.dd”.
34
Figura 22: Comando DD - Identificación del medio de origen
35
Figura 24: Comando DD - Obtención de la imagen forense y resumen
36
Figura 26: Comando DD – Comprobación de la imagen forense
Ejemplos de hashing
Como ya se adelantó, el cálculo de firmas digitales garantiza la
integridad de las evidencias forenses, aunque a lo largo del tiempo
han existido diferentes formatos que quedaron en desuso ya que los
algoritmos empleados para sus cálculos fueron quebrados, como lo
es el caso del formato MD5 y sus predecesores.
Sin embargo, en la actualidad muchas herramientas forenses lo
emplean en combinación con otro tipo de formatos, como por ejemplo
37
SHA1, en virtud que ambos algoritmos incrementan la dificultad
computacional para vulnerar dicho conjunto criptográfico.
Cabe destacar que, el cálculo de firmas digitales no contempla los
metadatos externos de los archivos, tales como nombre, fecha de
creación o programas utilizados. Toma únicamente como datos de
entrada el contenido binario de los mismos.
A fin de brindar ejemplos prácticos, se procederá a calcular firmas
digitales hash en diferentes formatos sobre los vocablos “hola” y
“Hola”, para posteriormente realizar una comparación de los
resultados obtenidos.
Texto Valores
hola 4d186321c1a7f0f354b297e8914ab240
Hola f688ae26e9cfa3ba6235477831d5122e
Texto Valores
hola 99800b85d3383e3a2fb45eb7d0066a4879a9dad0
Hola 4e46dc0969e6621f2d61d2228e3cd91b75cd9edc
Texto Valores
b221d9dbb083a7f33428d7c2a3c3198ae925614d70210e2
hola
8716ccaa7cd4ddb79
e633f4fc79badea1dc5db970cf397c8248bac47cc3acf9915
Hola
ba60b5d76b0e88f
38
Nótese que aun cuando los vocablos empleados en los ejemplos son
muy similares, la diferencia de un carácter ocasiona una discrepancia
entre los valores hash respectivos.
39
Figura 29: Bloqueador de escritura Tableau T35u (SATA/IDE)
40
Figura 27: Bloqueador de escritura Phrozen Safe USB v1.0
Fuente: Captura de pantalla del software Phrozen Safe USB (PhrozenSAS, 2018)
Ventajas Desventajas
No depende del sistema operativo Constituye un dispositivo adicional
subyacente. para transportar.
41
Por lo general proporciona
interfaces para diferentes
dispositivos de almacenamiento
(IDE, SATA, etc.).
Ventajas Desventajas
Se instala directamente en su Podría necesitar adaptadores
estación de trabajo del externos para interfaces nuevas.
investigador. Puede ser más difícil de explicar a
personas no técnicas.
42
Cabe destacar que esta herramienta forense emplea diferentes
módulos para realizar la búsqueda de distintos artefactos forenses,
cuyos resultados deben ser ponderados por el investigador forense
basado en los principios de relevancia, confiabilidad y suficiencia.
Figura 28: Módulos de la herramienta forense Autopsy - Versión 4.9.1
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
43
Figura 29: Resultados del módulo Email Parser
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
44
También se encuentran predefinidas expresiones regulares que
permiten buscar números de teléfono, direcciones IP, URL y
direcciones de correo electrónico. Sin embargo, la búsqueda
mediante estas expresiones regulares incrementa sustancialmente el
tiempo de procesamiento.
45
Figura 30: Pestaña Listas
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
46
Figura 31: Pestaña Extracción en cadena
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
47
Figura 32: Pestaña General
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
48
Figura 33: Resultados del módulo Keyword Search
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
49
Figura 34: Resultados del módulo Recent Activity
Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)
50
Creación de un Live USB
En primera instancia se deben descargar los archivos de imágenes
ISO de la última distribución de Caine (https://www.caine-live.net/) o
Deft (www.deftlinux.net/), según corresponda. Cabe destacar que la
misma debe realizarse desde los sitios web oficiales, a fin de evitar
posibles incidentes relacionados con archivos maliciosos.
Luego se deben comprobar los archivos descargados mediante el
cálculo de firmas de seguridad hash, las cuales deberán coincidir con
las publicadas en las páginas web.
A continuación, se detallarán una serie de pasos necesarios para la
creación de dispositivos USB booteables mediante la herramienta
open source YUMI (Your Universal Multiboot Integrator).
51
Figura 35: Herramienta YUMI - Selección del USB destino
52
Figura 36: Herramienta YUMI - Selección de la distribución a instalar
53
Figura 37: Herramienta YUMI - Selección de la imagen ISO
54
Figura 39: Herramienta YUMI - Creación del USB booteable
55
A tal efecto, cuenta con un procesador central configurable, que
permite seleccionar diferentes opciones, entre ellas la búsqueda de
correo electrónico, artefactos de Internet, búsqueda por medio de
palabras clave, módulos para análisis de información y eventos del
sistema.
Por otro lado, los resultados procesados se aprecian en la vista de
registros para el caso de elementos procesados y buscar cuando se
realizó el indexado de la evidencia o se efectuó una búsqueda
mediante palabras clave.
Asimismo, los resultados obtenidos se presentan mediante un
reporte que puede ser exportado en diferentes formatos (TXT,
RTF, HTML, XML, PDF).
Figura 40: Encase - Vistas de árbol de directorios, tablas y
previsualizaciones de archivos
56
Figura 41: Encase - Opciones de procesamiento
57
Figura 42: Encase - Vista de registros
58
Figura 43: Encase - Vista de búsquedas
59
Figura 44: Encase - Plantillas de informe
Tabla 6: Autopsy
Ventajas Desventajas
Gratis para uso comercial. Función limitada.
60
Tabla 7: Encase
Ventajas Desventajas
Interfaz de usuario fácil de usar. Alto costo.
61
Referencias
62
Rob Lee (2018). SIFT Workstation (Versión 3.0) [Software para
análisis forense]. Boston, MA: Sans Institute.
PhrozenSAS (2018). Phrozen Safe USB (Versión 1.0) [Software para
análisis forense]. Maisons Laffitte, FR: PhrozenSAS.
The Sleuth (2018). Autopsy (Versión 4.9.1) [Software para análisis
forense]. Cambridge, MA: The Sleuth.
Pendrivelinux (2016). “YUMI” (Versión 2.0.2.9) [Software para
generar pendrives booteables]. Cambridge, MA: Pendrivelinux.
Guidance Software (2014). Encase (Versión 7.09) [Software para
análisis forense]. Waterloo, CA: The Sleuth.
63