"No temo a los ordenadores; lo que temo es quedarme sin ellos". Isaac Asimov
Autores : Prof(s) Ing(s) María Elena Darahuge y Luis Enrique Arellano González
3. Recolección y registro de evidencia virtual
a. Equipo encendido
En el caso de que se deba acceder a un equipo encendido, se debe considerar la obtención de los datos en tiempo real y de los dispositivos de almacenamiento volátil. Los dispositivos de almacenamiento volátil de datos pierden la información luego de interrumpirse la alimentación eléctrica, es decir al apagar la computadora la información almacenada se pierde.
Los datos que se encuentran en el almacenamiento volátil muestran la actividad actual del sistema operativo y de las aplicaciones, como por ejemplo: procesos en el estado de ejecución, en el estado de listo o bloqueado, actividad de la impresora (estado, cola de impresión), conexiones de red activas, puertos abiertos, (puerto es una estructura a la que los procesos pueden enviar mensajes o de la que pueden extraer mensajes, para comunicarse entre sí, siempre está asociado a un proceso o aplicación, por consiguiente sólo puede recibir de un puerto un proceso, recursos compartidos, estado de los dispositivos como discos rígidos, disqueteras, cintas, unidades ópticas.
Los datos volátiles están presentes en los registros de la unidad central de procesamiento del microprocesador, en la memoria caché, en la memoria RAM o en la memoria virtual.
Conjunto de tareas a realizar en el acceso a los dispositivos de almacena-miento volátil:
1. Ejecutar un intérprete de comandos confiable o verificado matemáticamente.
2. Registrar la fecha, hora del sistema, zona horaria.
3. Determinar quién o quienes se encuentran con una sesión abierta, ya sea usuarios locales o remotos.
4. Registrar los tiempos de creación, modificación y acceso de todos los archivos.
5. Verificar y registrar todos los puertos de comunicación abiertos.
6. Registrar las aplicaciones relacionadas con los puertos abiertos.
7. Registrar todos los procesos activos.
8. Verificar y registrar las conexiones de redes actuales y recientes.
9. Registrar la fecha y hora del sistema
10. Verificar la integridad de los datos.
11. Documentar todas las tareas y comandos efectuados durante la recolección.
Posteriormente, en lo posible, se debe realizar una recolección más detallada de los datos existentes en el almacenamiento volátil, efectuando las siguientes tareas:
1. Examinar y extraer los registros de eventos
2. Examinar la base de datos o los módulos del núcleo del sistema operativo
3. Verificar la legitimidad de los comandos del sistema operativo
4. Examinar y extraer los archivos de claves del sistema operativo
5. Obtener y examinar los archivos de configuración relevantes del sis-tema operativo
6. Obtener y examinar la información contenida en la memoria RAM del sistema
En la computadora, con el equipo encendido, acceder al recurso acorde al orden de volatilidad de la información, con las herramientas forenses almacenadas en diskette o cd-rom y de acceso de solo lectura:
a. Equipo encendido
En el caso de que se deba acceder a un equipo encendido, se debe considerar la obtención de los datos en tiempo real y de los dispositivos de almacenamiento volátil. Los dispositivos de almacenamiento volátil de datos pierden la información luego de interrumpirse la alimentación eléctrica, es decir al apagar la computadora la información almacenada se pierde.
Los datos que se encuentran en el almacenamiento volátil muestran la actividad actual del sistema operativo y de las aplicaciones, como por ejemplo: procesos en el estado de ejecución, en el estado de listo o bloqueado, actividad de la impresora (estado, cola de impresión), conexiones de red activas, puertos abiertos, (puerto es una estructura a la que los procesos pueden enviar mensajes o de la que pueden extraer mensajes, para comunicarse entre sí, siempre está asociado a un proceso o aplicación, por consiguiente sólo puede recibir de un puerto un proceso, recursos compartidos, estado de los dispositivos como discos rígidos, disqueteras, cintas, unidades ópticas.
Los datos volátiles están presentes en los registros de la unidad central de procesamiento del microprocesador, en la memoria caché, en la memoria RAM o en la memoria virtual.
Conjunto de tareas a realizar en el acceso a los dispositivos de almacena-miento volátil:
1. Ejecutar un intérprete de comandos confiable o verificado matemáticamente.
2. Registrar la fecha, hora del sistema, zona horaria.
3. Determinar quién o quienes se encuentran con una sesión abierta, ya sea usuarios locales o remotos.
4. Registrar los tiempos de creación, modificación y acceso de todos los archivos.
5. Verificar y registrar todos los puertos de comunicación abiertos.
6. Registrar las aplicaciones relacionadas con los puertos abiertos.
7. Registrar todos los procesos activos.
8. Verificar y registrar las conexiones de redes actuales y recientes.
9. Registrar la fecha y hora del sistema
10. Verificar la integridad de los datos.
11. Documentar todas las tareas y comandos efectuados durante la recolección.
Posteriormente, en lo posible, se debe realizar una recolección más detallada de los datos existentes en el almacenamiento volátil, efectuando las siguientes tareas:
1. Examinar y extraer los registros de eventos
2. Examinar la base de datos o los módulos del núcleo del sistema operativo
3. Verificar la legitimidad de los comandos del sistema operativo
4. Examinar y extraer los archivos de claves del sistema operativo
5. Obtener y examinar los archivos de configuración relevantes del sis-tema operativo
6. Obtener y examinar la información contenida en la memoria RAM del sistema
En la computadora, con el equipo encendido, acceder al recurso acorde al orden de volatilidad de la información, con las herramientas forenses almacenadas en diskette o cd-rom y de acceso de solo lectura:
1. Ejecutar un intérprete de comandos legítimo
2. Obtener y transferir el listado de comandos utilizados en la computadora, antes de la recolección de datos.
3. Registrar fecha y hora del sistema
4. Recolectar, transferir a la estación forense o medio de recolección forense y documentar
a. Fecha y hora del sistema
b. Memoria Principal
c. Usuarios conectados al sistema
d. Registro de modificación, creación y tiempos de acceso de todos los ar-chivos.
e. Listado de puertos abiertos y de aplicaciones escuchando en dichos puertos.
f. Listado de las aplicaciones asociadas con los puertos abiertos
g. Tabla de procesos activos
h. Conexiones de red actuales o recientes
i. Recursos compartidos
j. Tablas de ruteo
k. Tabla de ARP
l. Registros de eventos de seguridad, del sistema, de las aplicaciones, ser-vicios activos
m. Configuración de las políticas de auditoria del sistema operativo
n. Estadísticas del núcleo del sistema operativo
o. Archivos de usuarios y contraseñas del sistema operativo
p. Archivos de configuración relevantes del sistema operativo
q. Archivos temporales
r. Enlaces rotos
s. Archivos de correo electrónico
t. Archivos de navegación en Internet
u. Certificación matemática de la integridad de los datos.
v. Listado de los comandos utilizados en la computadora, durante la recolección de datos.
w. Recolectar la topología de la red
4. Si es factible, apagar el equipo.
b. Equipo apagado
En el caso que el Perito Informático Forense efectúe la recolección de la evidencia a partir del equipo apagado, deberá previamente asegurarse que el dispositivo de inicio del equipo no se realice a través del disco rígido o dispositivo de almacenamiento secundario dubitado.
Deberá utilizar dispositivos de arranque en el modo solo lectura, con herramientas informáticas forenses para realizar la detección, recolección y registro de indicios probatorios.
1. Apagar el equipo desconectando el cable de alimentación eléctrica
2. Retirar diskettes, PenDirve, Zip.
3. Descargar la propia electricidad estática, tocando alguna parte metálica y abrir el gabinete
4. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI
5. Desconectar la alimentación eléctrica del dispositivo de disco rígido
6. Ingresar al CMOS (Complementary Metal Oxide Semiconductor) o Configuración del BIOS (Sistema de entrada y salida de la computadora):
a. Encender la computadora
b. Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia la computadora para acceder al CMOS
c. Verificar la fecha y hora del CMOS y registrarla en el formulario de recolección de evidencia. y documentar todo tipo de dato que el Perito Informático Forense considere relevante y documentarlo con fotografía, filmadora o en la lista de control.
d. Modificar la unidad de inicio o arranque del sistema operativo, es decir seleccionar la unidad de diskette, cd-rom/dvd o zip de solo lectura con las herramientas informáticas forenses.
e. Guardar los cambios al salir
8. Colocar la unidad de arranque, diskette, cd-rom/dvd o zip en el dispositivo de hardware pertinente
9. Verificar el inicio desde la unidad seleccionada.
10. Apagar el equipo
11. Acorde a la decisión del perito informático forense o a lo solicitado en la requisitoria pericial, se podrá realizar el Procedimiento de duplicación y autenticación de la prueba, explicado anteriormente o continuar con la lectura del dispositivo original, configurando el mismo con los jumpers que el fabricante indique como solo lectura o colocando un dispositivo de hardware de bloqueo de escritura.
12. Conectar el cable plano al disco rígido, puede ser IDE o SCSI
13. Conectar la alimentación eléctrica del dispositivo de disco rígido
14. Encender la computadora iniciando desde la unidad de arranque configurada en el CMOS.
15. Colocar el dispositivo de almacenamiento forense.
16. Efectuar la certificación matemática del dispositivo dubitado.
17. Guardar el resultado en un dispositivo de almacenamiento forense.
18. Registrar el resultado en el formulario de recolección de la evidencia.
19. Por medio del conjunto de herramientas informático forense, obtener la siguiente información del disco dubitado, documentarla y almacenarla en dispositivos de almacenamiento forense, para su posterior análisis, ya sea en el lugar del hecho o en el laboratorio:
a) Tipo de Sistema Operativo
b) Fecha, hora y zona horaria del Sistema Operativo
c) Versión del Sistema Operativo
d) Número de particiones
e) Tipo de particiones
f) Esquema de la tabla de particiones
g) Listado de todos los nombre de archivos, fecha y hora
h) Registro del espacio descuidado o desperdiciado.
i. Incluido el MBR
ii. Incluida la tabla de particiones
iii. Incluida la partición de inicio del sistema y los archivos de comandos
i) Registro del espacio no asignado
j) Registro del espacio de intercambio
k) Recuperación de archivos eliminados
l) Búsqueda de archivos ocultos con las palabras claves en el:
i. espacio desperdiciado
ii. espacio no asignado
iii. espacio de intercambio
iv. MBR y tabla de particiones
m) Listado de todas las aplicaciones existentes en el sistema
n) Búsqueda de programas ejecutables sospechosos
o) Identificación de extensiones de archivos sospechosas.
p) Listado de todos los archivos protegidos con claves.
q) Listado del contenido de los archivos de cada usuario en el directorio raíz y si existen, en los subdirectorios
r) Verificación del comportamiento del sistema operativo:
i. Integridad de los comandos
ii. Integridad de los módulos
iii. Captura de pantallas
20. Generar la autenticación matemática de los datos a través del algoritmo de hash al finalizar la detección, recolección y registro.
21. Conservar las copias del software utilizado
22. Apagar o dejar funcionando el equipo, esto dependerá de la requisitoria pericial.
4. Procedimiento para el resguardo de la prueba y preparación para su traslado
1. Disponer, según sea el caso, las pruebas obtenidas en una zona despeja-da, para su posterior rotulado y registro.
2. Registrar en el formulario de registro de la evidencia cada uno de los elementos dubitados, acorde a lo especificado en dicho formulario y agregando cualquier otra información que considere pertinente el perito informático forense.
3. Proteger:
a. en bolsas antiestáticas los elementos informáticos de almacenamiento secundario, registrando: Fecha y hora del secuestro, Tipo, Nro de serie del elemento si se puede obtener, Capacidad de almacenamiento, Apellido, Nombre y DNI del Perito Informático Forense, Firma del Perito Informático Forense.– Rótulos de Evidencia
b. en bolsas manufacturadas con filamentos de cobre y níquel para prevenir la interferencia de señales inalámbricas celulares, gps, etc.-
4. Proteger con plástico y/o con bolsas estériles cualquier otro elemento que considere relevante el Perito Informático Forense y rotularlos con los datos pertinentes al elemento, Apellido, Nombre y DNI del Perito Informático Forense, Firma del Perito Informático Forense.
5. Elaborar el acta de secuestro acorde al formulario del Recibo de Efectos
6. Colocar los elementos identificados y registrados en una caja o recipiente de traslado que asegure la suficiente rigidez, aislamiento térmico, electro-magnético y protección para evitar daños accidentales en el traslado de los elementos probatorios.
7. Trasladar, en lo posible, los elementos secuestrados reunidos en un único recipiente, evitando la confusión, separación o pérdida durante su almacenamiento posterior.– Formulario Cadena de Custodia
5. Traslado de la evidencia de informática forense
El traslado de la evidencia tendrá como destino el Laboratorio de Informática Forense correspondiente al organismo establecido en la requisitoria pericial. La permanencia en este laboratorio puede ser temporal, pero será necesario mantener la cadena de custodia mientras la prueba sea analizada por las entidades involucradas. Formulario de responsables de la cadena de custodia.
Acorde a la evolución del proceso judicial en donde se encuentra involucrada la prueba de informática forense, la prueba podrá ser posteriormente entregada y resguardada en un lugar o destino específico para su resguardo y depósito final o definitivo.
No hay comentarios:
Publicar un comentario