Inicio / Noticias / 3 métodos para preservar la evidencia digital para la informática forense
3 métodos para preservar la evidencia digital para la informática forense
octubre 14, 2020

3 métodos para preservar la evidencia digital para la informática forense

¿Te gustó este artículo?, Compártelo

por Michael K. Hamilton para CI Security

Imagínese una escena de un episodio de CSI o uno de sus muchos derivados, excepto que CI Security Forensics está en la escena. En lugar de cosas muertas, luces oscuras y policías vestidos de civil, ves un disco duro, un monitor y algunos otros objetos no identificables en un escritorio. Es una escena de aspecto bastante inocente.

Sin embargo, a medida que se desarrolla nuestra historia, los investigadores inevitablemente revelan evidencia de un crimen y la envían a las autoridades. Pueden hacer esto cuando ellos y la víctima evitan la destrucción de pruebas, abordan correctamente la integridad de los datos y garantizan la defensa legal a través de la documentación adecuada de la cadena de custodia.

Las investigaciones criminales y de recursos humanos que requieren análisis forense informático son más comunes de lo que se podría pensar. Los delitos cibernéticos y las violaciones de las políticas de uso aceptable pueden ocurrir en el lugar de trabajo, en el hogar o en cualquier otro lugar. Cuando ocurre un delito, las corporaciones, los clientes o los fiscales pueden solicitar una investigación completa. Los acusados ​​o los objetivos de la investigación pueden incluso solicitar acceso a pruebas forenses informáticas también, especialmente si pudiera exonerarlos. Las actividades que justifican una investigación pueden abarcar todo el espectro de actividades delictivas, desde piratería, fraude, correos electrónicos falsificados y pornografía infantil, hasta el robo de datos personales o la destrucción de la propiedad intelectual.

Algunos clientes que nos contratan para realizar investigaciones forenses han visto comprometidos sus sistemas críticos y necesitan recuperar archivos, imágenes, registros y correos electrónicos eliminados. Otros necesitan pruebas legalmente admisibles para presentar a los tribunales. Como investigador de informática forense en CI Security, mi trabajo consiste en proporcionar la cronología más completa de lo que sucedió cuando ocurrió un delito cibernético utilizando toda la información disponible. Un resultado exitoso descansa parcialmente sobre mis hombros, pero también depende de lo que hagas antes de mi llegada.

Inicio de la investigación

El hardware, software y otras herramientas necesarias para realizar análisis forenses informáticos son bastante costosos. Las empresas deben elegir entre crear su propio equipo forense o subcontratar cualquier trabajo forense. En general, es más barato para las organizaciones medianas y grandes colocar su propio equipo, ya que es probable que se encuentren con problemas que requieran análisis forense / IR con la frecuencia suficiente para que la inversión valga la pena.

Las organizaciones más pequeñas generalmente están bien sin un equipo dedicado, subcontratando cualquier trabajo crítico forense / IR. Para esas pequeñas empresas, la subcontratación suele ser mejor que pagar por las herramientas que necesita y reasignar a los empleados que ya están ocupados o pagar a alguien nuevo un salario de tiempo completo para hacer el trabajo. Para empresas de cualquier tamaño, es importante que protejan los datos para el análisis forense, y ahí es donde muchas tienen problemas.

Los métodos más efectivos para garantizar la admisibilidad legal mientras se prepara para contratar a un analista forense incluyen los siguientes:

  1. Drive Imaging
  2. Valores hash
  3. Cadena de custodia
  • Drive Imaging

Antes de que los investigadores puedan comenzar a analizar la evidencia de una fuente, primero deben visualizarla. La creación de imágenes de una unidad es un proceso forense en el que un analista crea un duplicado bit a bit de una unidad. Esta imagen forense de todos los medios digitales ayuda a retener evidencia para la investigación. Al analizar la imagen, los investigadores deben tener en cuenta que incluso las unidades borradas pueden retener importantes datos recuperables para identificar y catalogar. En el mejor de los casos, pueden recuperar todos los archivos eliminados mediante técnicas forenses.

Como regla general, los investigadores deben operar exclusivamente en la imagen duplicada y nunca realizar análisis forenses en el medio original. De hecho, una vez que un sistema se ha visto comprometido, es importante hacer lo menos posible, e idealmente nada, en el sistema en sí más que aislarlo para evitar conexiones dentro o fuera del sistema y capturar el contenido de la memoria en vivo (RAM ), si es necesario. Es importante limitar las acciones en la computadora original, especialmente si es necesario llevar pruebas a los tribunales, porque los investigadores forenses deben poder demostrar que no han alterado la evidencia en absoluto mediante la presentación de valores hash criptográficos, marcas de tiempo digitales, procedimientos legales seguidos, etc. Una pieza de hardware que ayuda a facilitar la defensa legal de una imagen forense es un «bloqueador de escritura», que los investigadores deben utilizar para crear la imagen para su análisis siempre que haya una disponible.

  • Valores hash

Cuando un investigador crea una imagen de una máquina para su análisis, el proceso genera valores hash criptográficos (MD5, SHA-1). El propósito de un valor hash es verificar la autenticidad e integridad de la imagen como un duplicado exacto del medio original.

Los valores hash son fundamentales, especialmente cuando se admiten pruebas en el tribunal, porque alterar incluso el bit de datos más pequeño generará un valor hash completamente nuevo. Cuando crea un archivo nuevo o edita un archivo existente en su computadora, genera un nuevo valor hash para ese archivo. Este valor hash y otros metadatos de archivos no son visibles en una ventana normal del explorador de archivos, pero los analistas pueden acceder a ellos mediante un software especial. Si los valores hash no coinciden con los valores esperados, puede plantear preocupaciones en la corte de que la evidencia ha sido alterada.

Abordaré cómo se utilizan los metadatos en el análisis en un artículo posterior.

  • Cadena de custodia

A medida que los investigadores recopilan los medios de comunicación de su cliente y los transfieren cuando es necesario, deben documentar todas las transferencias de medios y pruebas en los formularios de Cadena de Custodia (CoC) y capturar firmas y fechas en el momento de la transferencia de los medios.

Es esencial recordar el papeleo de la cadena de custodia. Este artefacto demuestra que la imagen ha estado bajo posesión conocida desde el momento en que se creó. Cualquier lapso en la cadena de custodia anula el valor legal de la imagen y, por tanto, el análisis.

Cualquier laguna en el registro de posesión, incluido el momento en que la evidencia pudo haber estado en un lugar no seguro, es problemático. Los investigadores aún pueden analizar la información, pero es probable que los resultados no se sostengan en la corte contra un abogado razonablemente experto en tecnología. Los formularios que utilizan los investigadores para documentar clara y fácilmente todos los registros de cambio de posesión son fáciles de encontrar en Internet; utilizamos el CoC de muestra del NIST para mantener la pista de auditoría de la cadena de custodia.

Un esfuerzo de equipo

¿Qué sucede si una organización no conoce los requisitos legales de la informática forense?

El mayor riesgo es la inadmisibilidad legal cuando se trata de un litigio. Si se sospecha de evidencia de un crimen en un medio digital, los medios deben ser puestos en cuarentena inmediatamente y puestos bajo cadena de custodia; un investigador puede crear una imagen más tarde. La destrucción de pruebas también es un problema común. Si los actores de amenazas instalaron aplicaciones en un servidor, el análisis forense futuro dependerá de que la aplicación esté disponible y no se elimine del sistema. Además, si los medios permanecen en servicio, el riesgo de destrucción de evidencia vital aumenta con la cantidad de tiempo que ha transcurrido desde que ocurrió el incidente.

La informática forense es un mecanismo importante que, en última instancia, puede conducir a descubrir la verdad, pero solo con la colaboración entre investigadores y clientes. Conserve los datos, recopile copias digitales de los medios con validez forense, cree valores hash y gestione el papeleo de la cadena de custodia para mantener su investigación en el camino correcto.

Ingresa aquí para leer este artículo completo en https://ci.security/