6. Análisis forense informático

Contenidos

• Conceptos generales y objetivos del análisis forense
• Exposición del Principio de Locard
• Guía para la recogida de evidencias electrónicas:
  • Evidencias volátiles y no volátiles
  • Etiquetado de evidencias
  • Cadena de custodia
  • Ficheros y directorios ocultos
  • Información oculta del sistema
  • Recuperación de ficheros borrados
• Guía para el análisis de las evidencias electrónicas recogidas, incluyendo el estudio de ficheros y directorios ocultos, información oculta del sistema y la recuperación de ficheros borrados
• Guía para la selección de las herramientas de análisis forense

Conceptos generales y objetivos del análisis forense

Exposición del Principio de Locard

El Principio de Locard es una teoría fundamental en el análisis forense que establece que cuando dos objetos entran en contacto, se produce una transferencia de materiales entre ellos. Esta transferencia se conoce como "Principio de Intercambio de Locard" y es la base para la investigación forense.

En otras palabras, cuando alguien comete un crimen, deja rastros físicos en la escena del crimen y, a su vez, también lleva consigo rastros de la escena del crimen. Por ejemplo, el sospechoso podría dejar huellas dactilares en un objeto en la escena del crimen, mientras que también podría llevarse consigo pequeñas partículas de polvo, tierra o cabello de la escena del crimen en su ropa o zapatos.

El análisis forense utiliza el Principio de Locard para buscar y examinar estas transferencias de materiales en el lugar del crimen y en los sospechosos. La evidencia física obtenida de la escena del crimen se compara con la evidencia obtenida de los sospechosos, lo que permite a los investigadores establecer conexiones entre el delito y las personas involucradas en el mismo.

El Principio de Locard es especialmente importante en el análisis forense moderno, ya que la tecnología forense ha avanzado significativamente en las últimas décadas. Los científicos forenses pueden examinar una amplia variedad de evidencia física, incluyendo huellas digitales, ADN, restos de fibras y tejidos, entre otros, para ayudar a resolver crímenes y llevar a los responsables ante la justicia.

El Principio de Locard en la análisis forense informático

En la era digital en la que vivimos, la mayoría de nuestras actividades diarias están conectadas a algún tipo de dispositivo o sistema. La analítica forense digital se encarga de analizar los datos digitales para resolver crímenes o investigar fraudes y actividades ilegales. En este contexto, el Principio de Locard juega un papel importante en el proceso de investigación.

En este campo, la transferencia de materiales se refiere a la transferencia de datos digitales y metadatos entre dispositivos y sistemas. Por ejemplo, cuando un usuario copia un archivo de un dispositivo a otro, se produce una transferencia de datos. Del mismo modo, cuando un usuario visita un sitio web o envía un correo electrónico, se crean registros digitales que se pueden rastrear.

En la analítica forense digital, los expertos buscan rastros digitales que puedan proporcionar pistas sobre la actividad de los usuarios en los dispositivos y sistemas involucrados. Esto incluye examinar los registros de eventos del sistema, los archivos temporales, los registros de red y los metadatos de los archivos, entre otros. Los datos encontrados se comparan con otros datos en la escena digital, como otros dispositivos o cuentas, para establecer conexiones entre los sospechosos y los crímenes.

Además, la analítica forense digital también utiliza técnicas avanzadas de recuperación de datos para buscar y examinar los datos borrados y fragmentados. A través de la recuperación de datos, los expertos en analítica forense digital pueden encontrar pruebas importantes que podrían haber sido borradas o eliminadas de manera intencional. De esta forma, pueden seguir la pista digital y establecer conexiones entre los sospechosos y los crímenes.

En resumen, el Principio de Locard es un concepto clave en la analítica forense digital, ya que ayuda a los investigadores a encontrar y examinar las transferencias de datos digitales entre dispositivos y sistemas involucrados en el crimen. A través del análisis de datos y técnicas avanzadas de recuperación de datos, los expertos pueden encontrar pruebas importantes y ayudar a resolver crímenes digitales.

Guía para la recogida de evidencias electrónicas

Evidencias volátiles y no volátiles

En el contexto de la auditoría informática, las "evidencias" son los registros y documentos que los auditores utilizan para respaldar sus hallazgos y conclusiones. Estas evidencias se pueden clasificar en dos tipos: volátiles y no volátiles.

Evidencias volátiles

En el contexto de la auditoría informática, las evidencias volátiles son registros o datos que pueden cambiar o desaparecer rápidamente, lo que dificulta su recolección y preservación. Estas evidencias se generan en tiempo real y son temporales, lo que las hace críticas para el proceso de auditoría, ya que su pérdida o alteración podría afectar los resultados y conclusiones obtenidos.

Entre las evidencias volátiles más comunes en la auditoría informática se encuentran los registros de actividad en tiempo real, los datos de memoria caché y los registros de transacciones en línea. Los registros de actividad en tiempo real son aquellos que se generan mientras un sistema o aplicación se encuentra en funcionamiento. Estos registros pueden incluir información sobre el uso de la red, la actividad del usuario, los procesos en ejecución y otros datos que son importantes para la auditoría.

Los datos de memoria caché son registros temporales que se almacenan en la memoria de un dispositivo mientras se está navegando por la web o utilizando una aplicación. Estos datos pueden incluir información como las páginas web visitadas, los datos de formularios ingresados, entre otros. Los datos de memoria caché son importantes en la auditoría informática porque pueden proporcionar información valiosa sobre las actividades realizadas en un dispositivo, incluso si los datos no se han guardado de manera permanente.

Los registros de transacciones en línea son registros que se generan durante el proceso de transacciones en línea, como compras en línea, transferencias de dinero, entre otros. Estos registros contienen información detallada sobre la transacción, como la fecha, la hora, el monto y otros datos relevantes. Los registros de transacciones en línea son importantes en la auditoría informática porque pueden ayudar a detectar posibles fraudes o errores en el proceso de transacción.

Para recolectar y preservar adecuadamente las evidencias volátiles, los auditores informáticos deben utilizar herramientas y técnicas especializadas que les permitan capturar y almacenar los datos de manera precisa y eficiente.

Evidencias no volátiles

En el contexto de la auditoría informática, las evidencias no volátiles son documentos y registros que se encuentran en soportes físicos o electrónicos que no cambian fácilmente o que pueden ser recuperados de manera precisa. Estas evidencias pueden incluir informes impresos, facturas, contratos, correos electrónicos, registros de bases de datos, archivos de texto, archivos de audio y video, entre otros.

Las evidencias no volátiles se caracterizan por ser relativamente fáciles de recolectar y preservar, ya que se pueden almacenar en medios físicos o electrónicos que permiten su acceso posterior. Estas evidencias son importantes en la auditoría informática porque proporcionan un respaldo documental y permiten la verificación y validación de los hallazgos encontrados durante la auditoría.

Algunos ejemplos de evidencias no volátiles que pueden ser utilizadas en la auditoría informática incluyen los contratos y acuerdos que se hayan celebrado entre las partes involucradas, las facturas y comprobantes de pago que se hayan emitido y recibido, los registros de actividad de las aplicaciones y sistemas informáticos, las políticas y procedimientos de seguridad informática, entre otros.

Orden de Preservación de las evidencias digitales

1. Registros, memoria caché, memoria de periféricos
2. Memoria física
3. Estado de las conexiones de red
4. Ficheros temporales del sistema
5. Procesos que se están ejecutando en ese momento
6. Discos duros, rígidos
7. Copias de Seguridad
8. Datos y registros remotos
9. Configuración física y topología de red
10. Medios ópticos, permanentes y documentos impresos.

Etiquetado de evidencias

Cadena de custodia

Ficheros y directorios ocultos

Información oculta del sistema

• https://github.com/AndrewRathbun/Awesome-KAPE

Recuperación de ficheros borrados

• https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
• https://www.geeksforgeeks.org/recovering-deleted-digital-evidence/
• https://www.lifewire.com/data-sanitization-methods-2626133
• https://www.stellarinfo.co.in/blog/how-many-times-should-you-overwrite-a-hard-drive/

Guía para el análisis de las evidencias electrónicas recogidas

ISO/IEC 27037:2012

ISO/IEC 27037:2012 Técnicas de seguridad. Directrices para la identificación, recogida, adquisición y conservación de pruebas digitales.

• https://ciberseguridad.com/normativa/espana/iso-iec-27037-evidencia-digital/
• https://peritoit.com/2012/10/23/isoiec-270372012-nueva-norma-para-la-recopilacion-de-evidencias/

Guía para la selección de las herramientas de análisis forense

FireEye

https://fireeye.market/

FTK - Forensic ToolKit

Forensic Toolkit (FTK) es un software informático forense de Exterro/AccessData, está diseñado para escanear un disco duro en busca de diversos tipos de información. Entre sus capacidades, FTK puede localizar potencialmente correos electrónicos eliminados y realizar un escaneo de cadenas de texto de un disco con el fin de utilizarlas como diccionario de contraseñas para fines de descifrado de cifrado.

FTK se utiliza a menudo junto con un programa de imágenes de disco llamado FTK Imager. Esta herramienta permite a los usuarios guardar una imagen de un disco duro en uno o varios segmentos que pueden reconstruirse posteriormente. Además, puede calcular valores hash MD5 y SHA1 y verificar la integridad de los datos de la imagen para garantizar su coherencia con la imagen forense. La imagen forense puede guardarse en varios formatos, como DD/raw, E01 y AD1.

• https://www.exterro.com/forensic-toolkit

• https://www.reydes.com/d/?q=Crear_la_Imagen_Forense_desde_una_Unidad_utilizando_FTK_Imager

Volatility

https://www.volatilityfoundation.org/

Cursos de Análisis Forense Informático

• WikiSET

• Un Curso de Forense Digital

• Encase

Enlaces

• CFReDS - Computer Forensic Reference DataSet Portal
• Forensic focus
• LinuxForensicsScenario
• https://soji256.medium.com/where-can-you-find-images-that-you-can-use-to-learn-forensics-141c6c8cdc9e
• https://cfreds-archive.nist.gov/data_leakage_case/leakage-answers.pdf

Collect Memory Dump

Collect-MemoryDump: creación automatizada de instantáneas de memoria de Windows para Digital Forensics and Incident Response (DFIR).

Collect-MemoryDump.ps1 es un script de PowerShell que se utiliza para recopilar una instantánea de la memoria de un sistema Windows en vivo (de una manera sólida desde el punto de vista forense).

Características

• Comprueba el nombre de host y el tamaño de la memoria física antes de iniciar la adquisición de memoria
• Comprueba si tiene suficiente espacio libre en disco para guardar el archivo de volcado de memoria
• Recopila un volcado de memoria física sin formato con DumpIt, Magnet RamCapture y WinPMEM
• Recopila un volcado de bloqueo de Microsoft con DumpIt para Comae Beta de Magnet Idea Lab
• Comprueba los volúmenes cifrados con Magnet Forensics Encrypted Disk Detector
• Recopila la clave de recuperación de BitLocker
• Comprueba las herramientas de seguridad de punto final instaladas (AntiVirus y EDR)
• Enumera toda la información necesaria del host de destino para enriquecer su flujo de trabajo DFIR

Enlaces Collect Memory Dump

• https://github.com/evild3ad/Collect-MemoryDump
• https://noticiasseguridad.com/tutoriales/collect-memorydump-una-gran-herramienta-para-el-analisis-forense-digital-para-crear-automaticamente-instantaneas-de-memoria-de-windows/

Recursos

• https://dftt.sourceforge.net/test8/index.html
• https://www.ojp.gov/pdffiles1/nij/187736.pdf
• https://sroberts.medium.com/introduction-to-dfir-d35d5de4c180
• https://zeltser.com/digital-forensics-and-infosec-career-advice-from-across/
• https://dfirdiva.com/getting-into-dfir/
• https://www.mandiant.com/resources/blog/mandiant-dfir-framework-ot
• https://github.com/meirwah/awesome-incident-response
• https://github.com/topics/digital-forensics
• https://github.com/cugu/awesome-forensics
• https://github.com/AndrewRathbun/DFIRMindMaps/tree/main/CrowdsourcedDFIRBook
• https://www.amanhardikar.com/mindmaps/ForensicChallenges.html
• https://ctf.unizar.es/
• https://atenea.ccn-cert.cni.es/home
• https://www.sans.org/posters/windows-forensic-analysis/
• https://twitter.com/i/lists/204732552/members
• https://github.com/paulveillard/cybersecurity-digital-forensics