Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
U���������� �� ���� � �� ��� ��� �� �������� � ���������� 9 Evidencia forense digital en equipos de cómputo, redes y computación en la nube*1 [Digital forensic evidence in computing, networking and cloud computing] JOSÉ JAVIER TRIANA FUENTES2, JAVIER ANTONIO BALLESTEROS RICAURTE3 RECIBO: 20.02.2014 – APROBACIÓN: 04.11.2015 Resumen La informática forense se encarga de investigar los antecedentes por los cuales se pudo haber realizado un crimen utilizando dispositivos electrónicos con el objeto de descubrir y analizar la información disponible para que pueda servir como evidencia en un asunto legal. Hoy en día, con la posibilidad de almacenar y procesar la información a nivel local, remoto y en la nube, las empresas necesitan cada día mayor seguridad. Por medio de la informática forense y diferentes técnicas que han sido desarrolladas, aplicables según la ubicación y manejo de los datos, se puede llegar a los procesos y eventos que hicieron que se presentará tal situación y así reconstruir los sucesos que la originaron. Las distintas metodologías forenses incluyen la captura de evidencias digitales, sin alterar la información de origen. Gracias a los avances tecnológicos, en el presente artículo se * Modelo para la citación de este artículo: Informática No. 34 (ene-jun). Manizales (Colombia): Facultad de Ciencias e Ingeniería, Universidad de Manizales. p. 9-24. ISSN: 0123-9678 Desarrollo de una guía metodológica para la realización de un análisis forense en la nube, como referencia en la evaluación de propuestas para proyectos de desarrollo tecnológico, ejecutado en el periodo 06/2013-09/2014, e inscrito en el grupo de investigación INFELCOM de la Universidad Pedagógica y Tecnológica de Colombia. con dirección del segundo]. Colombia). Correo electrónico: javier.ballesteros@uptc.edu.co 1� � �� � ����� � ����� � !"#$ p%&'&()& )*% * +,(,+&% - *(*./0*% +23, 4& %&*./0* .* *)56/4/+/2( )& las evidencias y herramientas que se utilizan para luego analizarla, haciendo énfasis en la captura forense computacional, en redes y en computación en la nube. Palabras claves: Computación en la nube, evidencia digital, Análisis Forense en la nube. Abstract Computer forensics is responsible for investigating records by which a crime may have made using electronic devices, in order to discover and analysis available information so it can serve as evidence in a legal matter. Today, with the ability to store and process information at local, remote and cloud level, companies need a greater security level. Through computer forensics and different techniques that have been developed, applicable by location and data management, you can get to the processes and events that led to such a situation and thus reconstruct the events that led to it. Various forensic methods include capturing digital evidence without altering the source information. Thanks to technological advances, this article aims to present and analyze how to acquire evidence and the tools used to it, in order to made an analysis later on, emphasizing the computational forensic capture in networks and cloud computing. Keywords: Cloud computing, digital evidence, Cloud Forensic. Introducción Para el estándar ISO/IEC 27001, la Seguridad de la Información se no puede considerarse la seguridad informática en términos absolutos, considerar procesos para recolectar evidencia de dicho incidente de ser necesario, por lo tanto, es necesario establecer, junto con las buenas caso de ser necesario efectuar un análisis forense digital, para lo cual, 789:;<=9>?> >; @?89A?B;= C?DEBF?> >; G9;8D9?= ; H8I;89;<J? 11 ante los tribunales. digitales ha tomado mucha relevancia. En los últimos años, el análisis están físicamente disponibles para los analistas, como en el caso de la computación forense. Por el contrario, el análisis forense en la red (Forensics Network el análisis forense en la nube (Cloud forensics), todavía necesitan forense nace como una disciplina auxiliar de la justicia moderna, para aportar en un proceso. de la evidencia digital para luego analizarla, los conceptos de informática 1. Una aproximación a la Informática Forense conjunto de conocimientos la información por medio de ordenadores». Por otro lado, Universidad la apasionante campo de estudio, complejo y multidisciplinar. En ellas así como de ciencias sociales y jurídicas para la resolución de casos legales. Constituyen una disciplina en rápida evolución que adquiere ». KL MN OP Q RSRTV Q WXSYV Z [\]^ s_`abc sds ef_ag_ehi`s cjk`l_mcsn s`oqa rte`u `l hiv wxyyxz{ | rh compensación de los daños causados por los criminales o intrusos, - La Dentro del campo de la informática forense se encuentran varias Computación Forense ( , Informática Forense en redes (Network forensics Cloud forensic, CF - de seguridad importante para un sistema en el cual las políticas de seguridad han sido evadidas. En este caso, un incidente genera un estar preparado para su control, de lo contrario se compromete la se- - evolucionado en relación directa con el incremento de los incidentes 1.1 Evidencia Digital (ED) evidencia en un proceso legal. Uno de los aspectos más importantes dentro de una investigación de informática forense, es la recopilación Cano (2006, 67), la evidencia digital es anónima, frágil, fácilmente puede }~��������� �� ��~������ �������� �� ���~���� � �~��~����� 13 en ciertas ocasiones su ingreso dentro de procesos de investigación. transmitir o almacenar datos. Malware (software malicioso), el deterioro electromagnético o mecánico e incluso la presencia de trampas dejadas por los delincuentes con la si fueron generados por una persona o por un componente electrónico. sus características, la colocan en un constante desafío para los investigadores. 1.2 Manipulación y Gestión de la evidencia digital procedimientos a seguir deben ser idóneos, recolectar información de forma adecuada con perspectiva forense, procedimientos manipulación de registros originales o copias de los mismos. Existen reconstrucción de eventos: - - delos se desarrollaron antes de la llegada de las tecnologías en la investigar una actividad en un entorno de computación en la nube. �� �� �� � ����� � ����� � ¡¢£ - - Electronic Crime Scene Investigation (NIJ, 2008, 1-62), enfocada principalmente en - sentación de la evidencia digital, de acuerdo con Mckemmish (1999, 4). 2. Computación forense Guamán (2008, 66). Otro punto importante es tomar una decisión crítica: para determinar las acciones a seguir. Cuando la evidencia está en formato digital, el objetivo de la investigación debe ser el contenido del la información necesaria. computación forense se The Coroner’s Toolkit Macintosh Forensic Software Autopsy EnCase 3. Informática forense en redes de información a través de una red, sea interna o externa a una ¤¥¦§¨©ª¦«¬« «¨ ¬¥¦®¬¯¨ª °¬±²¯³¬« «¨ ´¦¨¥±¦¬ª ¨ µ¥¶¨¥¦¨©·¬ 15 intercambio de información ilegal a través de internet o cometidos con un esfuerzo explícito para capturarla mediante el uso de sniffers4. 3.1 Captura de evidencia en una red La capacidad de investigar un delito en la red representa un desafío para Intrusos, IDS, en muchas de ellas. 3.1.1 Registros DHCP. para el período de tiempo a examinar. Wireshark un concentrador6 hubs routers, un sniffer del dispositivo (Figura 1a), pero si el hub falla, todas las conexiones a través del hub equipo servidor para administrar de forma centralizada las direcciones IP y otros detalles de el cual se usa para realizar asignaciones de direcciones de multidifusión. Si se asignan dinámicamente direcciones IP mediante MADCAP a los clientes registrados, éstos pueden (Microsoft, s.f.). ¸¹ º» ¼½ ¾ ¿À¿Á ¾ ÃÄÀÅÂ Æ ÇÈÉÊ ËÌ ÍÎÌÏÐÑÒÏÓÔ ÕÑÒ ÍÎÌÓÖ×ÎÌÓÒ ÍÎÌØÙÏÑÚÑÒ ÚÓ ÐÓÚ ÒÎÌ ÛÙÌÏÎ Ñ ÛÙÌÏÎ (Figura 1b). Un sniffer adjunto en una red conmutada solo verá el sniffer Spano un grifo de la red, solo si el sniffer se encuentra en el host de interés, todo comprometidos. a extremo de las conexiones en lugar de dejar todos los sistemas puerto Span sniffer es capaz de ver el ÜÝÞßàá âã äåæåç èéê ëßìí çîÝïèð ñ òóáê 3.2 Herramientas para la Informática Forense en redes 3.2.1 Fiddler. Desarrollado por Microsoft, permite recolectar formatos malware de la sesión. 3.2.2 Firewalls. Los registros de cortafuegos son una fuente primaria recogen información acerca de las comunicaciones. Los empresariales suelen proporcionar información sobre dirección IP de ôõö÷øùúöûüû ûø ýüõöþüÿøú Uü��ÿ�üû ûø �öøõ�öüú ø �õ�øõöøù�ü 17 Otras herramientas son: Colocación de sensores, NetFlow Net Witness Investigator. 4. Análisis forense en la nube control de un investigador al operar a través de diferentes jurisdicciones. pueden ser borrados antes de lograr su disponibilidad. La posibilidad de la evidencia digital potencial, por lo cual es conveniente crear un proveedores de servicios de nube (Cloud Service Provider, CSP). Ruan, manejo de incidentes. cuentas. Lo anterior, va en contradicción con la capacidad clave del de un análisis forense en la nube. 4.1 Antecedentes técnicos Cloud Computing (CC) es un modelo para permitir convenientemente la red por demanda, el acceso de gestión o servicio interacción con el proveedor, con características los sistemas de nubes son implementados en sistemas de archivos mejores características frente a sistemas no distribuidos, respecto a la 1� � � � ��� � �� �� � ���� ���� �� ������! "#$�%��& '(�#�# ) "�$���! *+,-+.& /! �$�(��� 0� �� �� demandas de los clientes mediante el uso especial de un software, llamado middleware - virtual proporcionada por el CSP para instalar su propio sistema, físico con algunas limitaciones. - Plataforma como servicio (PaaS): Proporcionan la capacidad de im- de desarrollo virtual admitida por el CSP. - Software como Servicio (SaaS): El cliente hace uso de un servicio gestionado por la CSP en una infraestructura de cloud - cliente ligero como un navegador web. 4.2 Recolección de Evidencia en la Nube complejo, debido a la naturaleza de la operación de los sistemas de cuanto a los aspectos técnicos de las investigaciones forenses, la cantidad de evidencia disponible depende de los modelos de servicios 4.2.1 Instancia Virtual en la Nube 7 (MV) dentro acceder a través del hipervisor, el Proveedor de Servicios en la nube proporcionan una técnica para el cliente congelando los estados la posibilidad de acceder a la instancia virtual para la recopilación de información probatoria está altamente limitada. procesos. 234567849:9 96 ;:34<:=68 >:?@=A:9 96 B463?4:8 6 C3D63467E: 19 4.2.2 Capa de red. Según lo establecen Lillard et al. (2010, 282–288), las diferentes capas del modelo OSI proporcionan información sobre como con instancias fuera de la nube. Desafortunadamente, una CSP actualmente no proporciona ningún dato de registro de los componentes malware de un VM IaaS, será PaaS o SaaS. 4.2.3 Sistema Cliente. evidencia potencial podría ser extraído, el navegador en el sistema nube, especialmente en las aplicaciones SaaS. Por lo tanto, en una investigación forense, los datos de las pruebas reunidas en el entorno del navegador no deben ser omitidos. 4.2.4. Entornos SaaS. En el modelo SaaS, el cliente no obtiene ningún tipo de control de la infraestructura operativa entregada, como redes, de modelos SaaS tengan oportunidad de analizar las incidencias potenciales. 4.2.5 Entornos PaaS. Una de las principales ventajas de este modelo es dictar cómo la interactúa con otras dependencias (bases de datos, las entidades de almacenamiento, etc.), así como, dependiendo del tiempo de ejecución del medio ambiente, implementar mecanismos de parte de almacenamiento. Un ejemplo es la Plataforma de Microsoft Diagnósticos de Windows Azure, permite a los 4.2.6 Entornos IaaS. mucha más información utilizable como pruebas forenses en el caso de un incidente, dependiendo de la capacidad del cliente para instalar registro e información de pruebas podrían ser transferidos a otras una investigación si fuese necesario. FG HI JK L MNMOP L QRNSP T VWXY Z[ \]^_`abc]^db tradicionales, debido a la complejidad de esta tecnología, por lo a las tradicionales. Los investigadores comúnmente tienen la posibilidad de reconstruir por lo tanto, los resultados preliminares de la comunidad informática cloud computing. volátil, falta de servicios en la nube para almacenar pruebas, normas región, o un determinado centro de datos, así como de asignación de adicional de recursos en relación con la capacidad de almacenamiento, . ef ghijklmnlo pqo rmf ohikofmf sofmkkjrron tqonmf ikuvlgvmf on de un investigador forense. wxyz{|}y~�~ ~{ ��xy���{} �������~ ~{ �y{x�y�} { �x�{xy{|�� 21 herramientas de la informática forense aplicables para la Dirección Nacional de Comunicación ietf.org/rfc/rfc3227.txt> [consult: 16/09/2013]. 09/04/2014] �� �� �� � ����� � ����� � ���� ��� ¡¢£ ¤¥ ¦§¨¨©ª¥ ¡« ¬®¯°±²³¬´« ®¯°µ¶µ · µ¸ ´¹µ¶³¬¯«±¬µ³¯ ºµ ¸«¶ µ»¬ºµ´¬«¶ º¬¼¬³«¸µ¶ ½µ 13/09/2013]. En: Revista Democracia Digital e Governo Eletrônico, No. 8 th 23/11/2013] computing in digital forensics [online]. In: International Journal of Digital Crime and Forensics, 21/07/2014] ISO27000.ES (2012). Serie 27000 [en línea]. Madrid (España): ISO27000.ES: El portal de ISO appleexaminer.com/Downloads/MacForensics.pdf> [consult: 18/07/2014] docs/user-guide-us.pdf> [consult: 20/01/2014]. network, Internet, and cloud computing: a forensic evidence guide for moving targets and data. ¾¿ÀÁÂÃÄÀÅÆÅ Å ÇÆ¿ÀÈÆÉÂÄ ÊÆËÌÉÍÆÅ Å ÎÀ¿ËÀÆÄ Â Ï¿Ð¿ÀÂÃÑÆ 23 pdf> [consulta: 8/01/2014]. pdf> [consult: 18/10/2013]. aspx> [consulta: 23/02/2016] Digital: contexto, situación e implicaciones nacionales [en línea]. En: Revista de Derecho, forensic-science communications/fsc/oct2000/computer.htm> [consult: 23/10/2014]. 13/10/2013]. [consulta: 10/03/2014]. agreements to support cloud forensics [online]. In: 8th IFIP WG 11.9 International Conference Revistas Profesionales, S.L. p. 72-73. ISSN 1134-4792. ÒÓ ÔÕ Ö× Ø ÙÚÙÛÜ Ø ÝÞÚßÜ à áâãä åæçèéêëæ ìíêéêçîïæðñ òëïóôõöï÷æ÷ ÷ô åæçèéêëæø ùæúûéüæ÷ ÷ô ýëþôëïôõÿæö � �õ�ûïüôúüûõæ� è� 23/06/2013].
Compartir