El pasado día 1 de marzo de 2008, las autoridades colombianas llevaron a cabo una operación en el campamento de las Fuerzas Armadas Revolucionarias de Colombia (FARC) situado en Ecuador, en una zona fronteriza con Colombia, consecuencia de la cual resultó muerto el portavoz internacional de las FARC, Raúl Reyes, y al menos otros 16 rebeldes. En esa operación, las autoridades colombianas decomisaron en el campamento una serie de pruebas instrumentales de carácter informático, a saber, tres ordenadores 
portátiles, dos discos duros externos y tres llaves USB. Dichos ordenadores constituían unas pruebas importantísimas, dado que eran susceptibles de contener una información muy valiosa sobre las FARC, sus campamentos, agentes, planes, etc.
En un primer momento, debido al desconocimiento y a cierta precipitación, los agentes arrancaron dichos ordenadores e insertaron las llaves USB y discos duros externos, con los que estuvieron trabajando durante unos días en busca de información que pudiera resultar de interés. Al cabo de tres días, las autoridades colombianas se dieron cuenta de que no estaban gestionando correctamente las pruebas y pidieron ayuda independiente a Interpol para que se ocupase correctamente del tratamiento de dichas evidencias electrónicas y determinar si se habían introducido nuevos archivos de usuario o se habían modificado o eliminado los ya existentes, después del decomiso efectuado por las autoridades colombianas realizado unos días atras.
Interpol envió al lugar a dos agentes expertos en informática forense, que es como se denomina a una de las disciplinas menos conocidas de la informática, que se ocupa principalmente de estudiar las pruebas informáticas para responder a las preguntas de cómo y quién hizo qué, a partir del estudio de los rastros digitales que toda actividad deja en los sistemas informáticos.
¿Qué hicieron dichos agentes? Lo primero de todo, hacerse cargo de la cadena de custodia de dichas evidencias electrónicas, es decir, identificar y registrar todos los elementos, tanto a nivel externo o físico (marca, modelo y números de serie de los ordenadores y sus discos duros) así como a nivel interno o lógico, identificando de manera inequívoca la información contenida en todos los soportes digitales mediante el cálculo de hashes.
El primer paso de todo proceso forense es la adquisición de la información, es decir, la realización de copias exactas de todos los dispositivos. A este proceso se le llama copia espejo (o "imaging") y es diferente de una copia selectiva de archivos o de una clásica copia de respaldo (backup), ya que la copia espejo se realiza a bajo nivel (bit a bit), sin tener en cuenta el sistema de ficheros del disco.
portátiles, dos discos duros externos y tres llaves USB. Dichos ordenadores constituían unas pruebas importantísimas, dado que eran susceptibles de contener una información muy valiosa sobre las FARC, sus campamentos, agentes, planes, etc.En un primer momento, debido al desconocimiento y a cierta precipitación, los agentes arrancaron dichos ordenadores e insertaron las llaves USB y discos duros externos, con los que estuvieron trabajando durante unos días en busca de información que pudiera resultar de interés. Al cabo de tres días, las autoridades colombianas se dieron cuenta de que no estaban gestionando correctamente las pruebas y pidieron ayuda independiente a Interpol para que se ocupase correctamente del tratamiento de dichas evidencias electrónicas y determinar si se habían introducido nuevos archivos de usuario o se habían modificado o eliminado los ya existentes, después del decomiso efectuado por las autoridades colombianas realizado unos días atras.
Interpol envió al lugar a dos agentes expertos en informática forense, que es como se denomina a una de las disciplinas menos conocidas de la informática, que se ocupa principalmente de estudiar las pruebas informáticas para responder a las preguntas de cómo y quién hizo qué, a partir del estudio de los rastros digitales que toda actividad deja en los sistemas informáticos.
¿Qué hicieron dichos agentes? Lo primero de todo, hacerse cargo de la cadena de custodia de dichas evidencias electrónicas, es decir, identificar y registrar todos los elementos, tanto a nivel externo o físico (marca, modelo y números de serie de los ordenadores y sus discos duros) así como a nivel interno o lógico, identificando de manera inequívoca la información contenida en todos los soportes digitales mediante el cálculo de hashes.
El primer paso de todo proceso forense es la adquisición de la información, es decir, la realización de copias exactas de todos los dispositivos. A este proceso se le llama copia espejo (o "imaging") y es diferente de una copia selectiva de archivos o de una clásica copia de respaldo (backup), ya que la copia espejo se realiza a bajo nivel (bit a bit), sin tener en cuenta el sistema de ficheros del disco.
Es muy habitual utilizar software especializados (no necesitan instalar, se ejecutan desde el CD o DVD) no utilizan el espacio de disco escenario del crimen. Tan sólo leen datos, garantizándose la asepsia en la recogida de pruebas. 
Sea como fuere, son todas bastante parecidas, y casi todas tienen las mismas herramientas:
En este proceso hay que tratar de evitar, para no violar las prescripciones ITIL ni las de cualquier otro código de buenas prácticas al respecto, que la máquina esté sin servicio más tiempo del estrictamente necesario. Es imperativo que el personal al cargo de la máquina esté informado de la interrupción del servicio y la duración de la interrupción con carácter previo a la actuación.
La recolección de pruebas se centrará en los servicios que sospechemos estén o hayan sido comprometidos. No está de más recoger pruebas genéricas y de servicios aparentemente no comprometidos, todo dependerá de la ventana de tiempo asignada para la recuperación de la máquina analizada. Para estos menesteres, las distribuciones forenses están repletas de herramientas libres de análisis.
Reanimación cautelar
Una vez detectadas las fuentes de problemas, se procede a subsanar y a reanimar los servicios. A veces es necesario reactivar la máquina antes de subsanar, por cuestiones de tiempo. Sea como fuere, el análisis de campo debe concluir con la puesta en servicio de la máquina comprometida habiéndose aplicado las medidas cautelares de prevención estimadas como necesarias para garantizar que la máquina puede entrar en operación de un modo seguro.
El trabajo de gabinete
Con los registros y las evidencias, pasamos al trabajo de gabinete, eso sí, mirando de reojo la máquina reactivada, para verificar que las medidas de prevención funcionan y para ver si la actividad sospechosa ha finalizado o no. El trabajo de despacho concluye con el informe o análisis forense, un documento que debe contener, al menos:
Descripción detallada de las condiciones de contorno antemortem
Descripción de la situación del sistema postmortem
Descripción de los datos recolectados, metodologías y herramientas aplicadas
Descripción de las medidas cautelares de recuperación y garantías obtenidas
Informe final de incidencias, causas y medidas de corrección
Análisis completo de servicios y estado de vulnerabilidad global
Proposición de mejoras y conclusiones
Sea como fuere, son todas bastante parecidas, y casi todas tienen las mismas herramientas:
En este proceso hay que tratar de evitar, para no violar las prescripciones ITIL ni las de cualquier otro código de buenas prácticas al respecto, que la máquina esté sin servicio más tiempo del estrictamente necesario. Es imperativo que el personal al cargo de la máquina esté informado de la interrupción del servicio y la duración de la interrupción con carácter previo a la actuación.
La recolección de pruebas se centrará en los servicios que sospechemos estén o hayan sido comprometidos. No está de más recoger pruebas genéricas y de servicios aparentemente no comprometidos, todo dependerá de la ventana de tiempo asignada para la recuperación de la máquina analizada. Para estos menesteres, las distribuciones forenses están repletas de herramientas libres de análisis.
Reanimación cautelar
Una vez detectadas las fuentes de problemas, se procede a subsanar y a reanimar los servicios. A veces es necesario reactivar la máquina antes de subsanar, por cuestiones de tiempo. Sea como fuere, el análisis de campo debe concluir con la puesta en servicio de la máquina comprometida habiéndose aplicado las medidas cautelares de prevención estimadas como necesarias para garantizar que la máquina puede entrar en operación de un modo seguro.
El trabajo de gabinete
Con los registros y las evidencias, pasamos al trabajo de gabinete, eso sí, mirando de reojo la máquina reactivada, para verificar que las medidas de prevención funcionan y para ver si la actividad sospechosa ha finalizado o no. El trabajo de despacho concluye con el informe o análisis forense, un documento que debe contener, al menos:
Descripción detallada de las condiciones de contorno antemortem
Descripción de la situación del sistema postmortem
Descripción de los datos recolectados, metodologías y herramientas aplicadas
Descripción de las medidas cautelares de recuperación y garantías obtenidas
Informe final de incidencias, causas y medidas de corrección
Análisis completo de servicios y estado de vulnerabilidad global
Proposición de mejoras y conclusiones
Tras la copia espejo, se calculan los hashes, que permiten saber si la copia realizada es exacta al original y, al mismo tiempo, identifica la información contenida en cada uno de los dispositivos. De manera que, a partir del momento en que se ha calculado el hash, siempre se podrá saber si la información original o cualquiera de sus copias es idéntica y si ha sido alterada.
Posteriormente al proceso de imaging y cálculo de los hashes, se comienza a trabajar en el análisis de las copias espejo (imágenes) realizadas. Siempre se trabaja tomando la precaución de no escribir sobre dichas imágenes, ya que no deben alterarse nunca. Para este tipo de análisis se utiliza software especializado que, por una parte, permite trabajar sin que se altere la información de partida y, por otra parte, proporciona un conjunto de herramientas para realizar el análisis forense correspondiente.
Un análisis forense suele ser un proceso técnicamente muy complejo, que requiere de unos conocimientos informáticos muy avanzados, principalmente de los sistema de ficheros y funcionamiento a bajo nivel del sistema operativo. En el análisis forense llevado a cabo por los expertos de Interpol, se realizó en primer lugar un estudio de la línea de actividad de los dispositivos, la denominada en el argot forense "timeline", con el objeto de conocer si se había producido una alteración significativa de la información contenida en los discos duros y memorias USB, causada por el uso de los mismos por parte de los agentes que intervinieron el material en los días posteriores a la incautación.
El simple hecho de que los ordenadores fueran arrancados sin utilizar ninguna precaución de bloqueo de escritura es suficiente para que se haya producido una alteración de los ficheros del sistema, habiéndose creado, copiado y movido diferentes ficheros del sistema y de las aplicaciones arrancadas. Con el estudio, siempre complejo y delicado, de la "timeline", los expertos forenses pudieron conocer qué había sucedido en los días posteriores a la intervención con los ficheros del ordenador. De este modo, pudieron determinar, si además de algunos ficheros del sistema y de aplicación, los ficheros de usuario (ficheros de texto, hojas de cálculo, etc.) habían sido alterados, llegando a la conclusión de que no hubo ninguna alteración de este tipo de ficheros en los días posteriores a la intervención y que ningún archivo de usuario había sido eliminado o añadido.
Posteriormente al proceso de imaging y cálculo de los hashes, se comienza a trabajar en el análisis de las copias espejo (imágenes) realizadas. Siempre se trabaja tomando la precaución de no escribir sobre dichas imágenes, ya que no deben alterarse nunca. Para este tipo de análisis se utiliza software especializado que, por una parte, permite trabajar sin que se altere la información de partida y, por otra parte, proporciona un conjunto de herramientas para realizar el análisis forense correspondiente.
Un análisis forense suele ser un proceso técnicamente muy complejo, que requiere de unos conocimientos informáticos muy avanzados, principalmente de los sistema de ficheros y funcionamiento a bajo nivel del sistema operativo. En el análisis forense llevado a cabo por los expertos de Interpol, se realizó en primer lugar un estudio de la línea de actividad de los dispositivos, la denominada en el argot forense "timeline", con el objeto de conocer si se había producido una alteración significativa de la información contenida en los discos duros y memorias USB, causada por el uso de los mismos por parte de los agentes que intervinieron el material en los días posteriores a la incautación.
El simple hecho de que los ordenadores fueran arrancados sin utilizar ninguna precaución de bloqueo de escritura es suficiente para que se haya producido una alteración de los ficheros del sistema, habiéndose creado, copiado y movido diferentes ficheros del sistema y de las aplicaciones arrancadas. Con el estudio, siempre complejo y delicado, de la "timeline", los expertos forenses pudieron conocer qué había sucedido en los días posteriores a la intervención con los ficheros del ordenador. De este modo, pudieron determinar, si además de algunos ficheros del sistema y de aplicación, los ficheros de usuario (ficheros de texto, hojas de cálculo, etc.) habían sido alterados, llegando a la conclusión de que no hubo ninguna alteración de este tipo de ficheros en los días posteriores a la intervención y que ningún archivo de usuario había sido eliminado o añadido.
Entradas
1 comentario:
Inga, que decepción que hayas copiado el post de http://seguinfo.blogspot.com/2008/06/anlisis-forense-de-los-ordenadores.html
Espero, no lo vuelvas a hacer.
Ing. Fernando Flores
Publicar un comentario