Desde hace muchos años el campo de la informática forense se ha expandido con técnicas novedosas o nuevas herramientas. En varias agencias de investigación, en especial analistas en México, prefieren el uso de software con licencia, privativo porque según ellos es más potente y cómodo de usar; sin duda tiene beneficios, pero también acarrea problemas administrativos y técnicos varios. Solo presentaré lo básico.

lets export volatility

Vamos a hablar de algunas herramientas (y como contrarrestar el análisis en algunos casos) útiles, pero sobre todo libres, porque están al alcance de todos, son relativamente fáciles de usar y cumplen su propósito. Porque al ser software libre sabemos qué hacen y como lo hacen. Aun así hay limitaciones al usarlas, puedes no tener el soporte adecuado o simplemente ser tan sofisticadas que causan solamente confusión al analista, que solamente quiere tener una interfaz gráfica para realizar su trabajo. Para los interesados pueden profundizar esta lectura con:
https://digital-forensics.sans.org/summit-archives/DFIR_Summit/Open-Source-Threat-Intelligence-Kyle-Maxwell.pdf

Las herramientas usuales de un analista son: Un sistema GNU/Linux ejecutando software de análisis forense, un kit de conexiones, cables y adaptadores necesarios para acceder a las maquinas a analizar, afectadas  o comprometidas. Obviamente el disco a analizar. Podemos optar por usar un disco duro formateado con ext3para montarlo y volcar toda la información del disco duro con evidencias. Es importante llevar reportes y fotografías de lo que se hace, lleva una bitácora con información como el nombre de tu organización o tu nombre solamente, el número de caso u otra información como folio, la fecha e información general acerca del caso.
Otra información útil es llevar un registro de todos los elementos involucrados.

Por ejemplo rotular el disco duro con evidencia llenando una bitácora con: nombre de la organización o tu nombre, número de evidencia para el disco duro, fecha y hora cuando creaste la imagen bit a bit del disco con evidencia, fabricante, modelo y numero de serie del disco  o computadora analizados, dirección IP si es una computadora analizada, de donde vino y qué buscas en la evidencia.
Identifica el disco de otros montados usando: dmesg | grep hd y listamos sus particiones: sfdisk –luS /dev/hda | tee sfdisk.txt. Obtener el hash de los archivos que vamos creando y del disco es necesario:

Podemos obtener el hash del disco mientras realizamos una copia de su contenido con:

Este comando tiene parámetros como: conv, donde noerror hace que dd no se detenga si hay algún error en el disco y sync, si hay error de lectura, lo marca con 0x00, sino usaramos sync, estos errores no serían leídos y quedaría evidencia faltante en la copia del disco. Una vez terminado, apaga el sistema con shutdown –h now. Desconecta todo y guarda la evidencia.

Software

Vamos a instalar ahora The Sleuth Kit, una colección de comando útiles y Autopsy es un servidor web. Ahora instalamos foremost, que extrae archivos y datos buscando cabeceras, indices y datos relacionados con los archivos que buscamos.

Contra análisis.

OJO: Si el disco ha sido borrado usando el comando shred -n 5 -vz /dev/sda, será casi imposible recuperar los datos y por lo tanto la imagen que hicimos con dd no ha copiado ningún dato; mientras si solamente varios archivos han sido borrados con shred, esos no serán recuperados. Si en algún caso quieres que un análisis forense básico no encuentre datos en un disco borralo usando este comando: dd if=/dev/urandom of=/dev/sda bs=4096, útil si vas a tirar o vender tu disco duro.
Otras herramientas que los sistemas GNU/Linux nos proveen también pueden servir para borrar los datos de un disco que puede ser analizado, como ejemplo en uso de OpenSSL, que puede ser usado para borrar de manera segura un disco con datos aleatorios generados con el algoritmo AES.
Para usarlo, primero debes obtener el tamaño total de tu disco en bits, usando # blockdev –getsize64 /dev/sda, el número que se obtiene es: 399717171200, difiere según el tamaño de tu disco duro. Este número será usado para el siguiente comando:

Hemos terminado lo básico, muy básica introducción que puedes profundizar con solo buscar el procedimiento usual de un análisis forense, las herramientas libres y gratuitas están disponibles y puedes poner en práctica casi todo esto. Hay una genial referencia de software aquí: www.opensourceforensics.org y en muchos otros sitios.
Recuerda que conocer esta información te hace más consiente de los datos que tu disco guarda casi para siempre y que puedes limitar este almacenamiento o incluso hace que nada ha pasado en tu disco, así que los métodos empleados para obtener evidencias en casos. Espero sea de su agrado este rápido vistazo al mundo del análisis forense y les pique la curiosidad de aprender más.

7
Deja una respuesta

avatar
4 Hilos de comentario
3 Respuestas de hilo
0 Seguidores
 
Comentario más reaccionado
El hilo de comentarios más caliente
3 Autores de comentarios
Aspectos básicos del análisis for...NoelDenisseRafaQuietMan Autores de comentarios recientes
  Suscribirse  
Los más recientes Los más antiguos Más votados
Notificarme las
trackback

[…] Desde hace muchos años el campo de la informática forense se ha expandido con técnicas novedosas o nuevas herramientas. En varias agencias d  […]

Rafa
Miembro

Muy interesante gracias!!

cuando dices: “Si en algún caso quieres que un análisis forense básico no encuentre datos en un disco borralo usando este comando: dd if=/dev/urandom of=/dev/sda bs=4096, útil si vas a tirar o vender tu disco duro.”

Hasta donde es fiable eso? lo sabes? Me refiero a usar técnicas avanzadas tipo NSA. Analizando las huellas magnéticas residuales de la superficie de los platos o alguna técnica física. ¿o eso es peliculero?

Denisse
Invitado
Denisse

Usualmente no respondo a ningún comentario, pero el suyo es bastante bueno para no dejarlo pasar.
Si su modelo de amenaza arroja que es potencial blanco de alguna agencia, digamos es disidente de su gobierno o un periodista muy atrevido, lo usual es tomar en cuenta software más potente para borrar datos. De hecho el simple comando shred puede ser útil al forzarlo a sobreescribir más veces un archivo y ocultar que ha sido borrado. Otra herramienta es secure-delete, con el comando srm sobre algun archivo logra hacer esto:
1 pass with 0xff

* 5 random passes. /dev/urandom is used for a secure RNG if avail‐
able.

* 27 passes with special values defined by Peter Gutmann.

* 5 random passes. /dev/urandom is used for a secure RNG if avail‐
able.

* Rename the file to a random value

* Truncate the file

Es algo exagerado, incluso no es tan necesario y es una perdida de tiempo. Si solo se preocupa de un disco que va a vender o una memoria usb que regale, los comandos del tutorial son más que suficientes.

QuietMan
Invitado
QuietMan

Hola, ni el PDF adjuntado ni la web http://www.opensourceforensics.org están disponibles.

Denisse
Invitado
Denisse

Oops, funcionaban hace dias, que mal.
Si necesita saber más detalles:
nuevos links: http://www.sleuthkit.org/
https://digital-forensics.sans.org/summit-archives/DFIR_Summit/Open-Source-Threat-Intelligence-Kyle-Maxwell.pdf
Respuesta corta: Duckduckgoealo! (en lugar de decir Googlealo)

Noel
Admin

Enlace actualizado 🙂

trackback

Información Bitacoras.com

Valora en Bitacoras.com: Desde hace muchos años el campo de la informática forense se ha expandido con técnicas novedosas o nuevas herramientas. En varias agencias de investigación, en especial analistas en México, prefieren el uso de software c…