Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Técnicas de Informática Forense en la investigación de Delitos de Alta Tecnología Daniel Andrés Torres Falkonert Proyecto de Grado Universidad de los Andes Facultad de Ingeniería Departamento de Ingeniería de Sistemas y Computación Bogotá D.C. 2003 Agradecimientos A la profesora Sandra Julieta Rueda por su asesoría y colaboración incondicional con este proyecto. Al profesor Rafael García por sus grandes aportes tanto académicos como personales y por aguantarme en 4 cursos diferentes. Al profesor Jeimy José Cano por abrirme los ojos al mundo de la informática forense, sin los cuales nunca se hubiera realizado este trabajo. Al profesor Jaime Enrique Gómez por confiar en mis conocimientos. Al grupo de profesores que llegue a conocer de la Universidad y en especial del departamento de Ingeniería de Sistemas y Computación por sus contribuciones a mi formación profesional. Dedicatoria A mis amigos y amigas, que me han acompañado tanto en los buenos momentos como en los tiempos difíciles. A Los Ramones y David Bowie por la inspiración. A mi papá, mamá, hermanos, abuelas y el resto de mi familia por todo el amor y apoyo que me han brindado. Finalmente, quiero dedicarle especialmente éste trabajo a Martha Cristina Cortés (Churrita) por su paciencia, consejos y principalmente por hacerme creer en mi. Gracias y los quiero. Tabla de Contenidos Introducción ____________________________________________________________ 1 Objetivos _______________________________________________________________ 4 Objetivo General________________________________________________________ 4 Objetivos Específicos_____________________________________________________ 4 El Proceso Forense y la Respuesta a Incidentes________________________________ 5 La Evidencia Digital _____________________________________________________ 13 Características de la Evidencia Digital ______________________________________ 19 Planeación de la Investigación_____________________________________________ 22 La Recolección de la Evidencia Digital______________________________________ 28 Herramientas para la recolección __________________________________________ 32 Características de las Herramientas Forenses_________________________________ 33 Preservación y Aseguramiento de la Evidencia Digital_________________________ 36 “Message Digest” y Firmas digitales ________________________________________ 36 La Cadena de custodia___________________________________________________ 37 El Análisis de la Evidencia Digital _________________________________________ 40 La Presentación de la Evidencia Digital _____________________________________ 48 Conclusiones ___________________________________________________________ 50 Anexo 1 _______________________________________________________________ 54 Glosario _______________________________________________________________ 70 Referencias y Lecturas Recomendadas _____________________________________ 74 ISC-2003-1-55 1 Introducción Con la evolución de las tecnologías informáticas en las últimas décadas, cada vez más se ven involucrados equipos de cómputo en una gran cantidad de delitos, donde, o bien fueron utilizados directamente para cometer el hecho (robo de información de una organización), o bien, jugaron algún papel durante el desarrollo de éste (Chantaje o difamación por correo electrónico). Como consecuencia de haberse convertido en una de las herramientas más usadas dentro de la vida cotidiana de las personas, los computadores tienen almacenada información que permite conocer a fondo aspectos del comportamiento tanto personal como laboral de éstas. Información como los programas que ejecutaron, el correo electrónico que han recibido y enviado, los sitios de Internet que ha visitado, entre otros, se pueden convertir en hechos de importancia dentro de una investigación que puede ser clave al esclarecer los hechos dentro de un proceso legal, ya que pueden relacionar a uno o varios usuarios con algún hecho punible. Con el crecimiento de este nuevo estilo de criminalidad, se ha hecho necesario que varios países incluyan dentro de su legislación, normas y leyes para tratar este tipo de delitos, y que las agencias de seguridad del estado y grupos de atención de incidentes, tengan como prioridad la utilización de una metodología adecuada y herramientas jurídicas robustas para el proceso de investigación y posterior condena de un delito informático. Esto se debe a que ISC-2003-1-55 2 en muchas ocasiones, por falta de una legislación adecuada, autores de conductas punibles no han sido castigados de una manera proporcional al daño que causaron. Un buen ejemplo de un incidente informático1 que no pudo ser castigado satisfactoriamente es el de José Omar Olaya, un colombiano de 24 años, que provocó con la simple ayuda del correo electrónico un serio problema al Banco Davivienda. Desde un buzón de correo de Hotmail se dedicó a enviar mensajes a empleados y clientes del banco anunciando una falsa crisis económica de la institución. El aviso se extendió en pocos minutos. El resultado: aproximadamente 34.000 millones de pesos salieron en pocas horas de las cajas fuertes del banco y provocaron una de sus mayores crisis. El presunto responsable fue identificado y arrestado por la policía colombiana, que lo acusó de incitar al pánico económico, delito penado en el país y por el que hubiera podido enfrentarse a una condena de ocho años de prisión, pero debido a que la tipificación de este delito no incluye medios electrónicos, esta condena no pudo llevarse a cabo y José Omar Olaya fue puesto en libertad. Basándose en la premisa de que el acceso a la información es un derecho que puede ejercerse libremente por cualquier persona, salvo cuando con él puedan afectarse otros como la intimidad, el patrimonio económico, la propiedad intelectual, la libre competencia o la seguridad de un estado entre otros[11], apenas ahora se están implementando algunos elementos a las leyes vigentes en el país, aunque lo que se hace actualmente en la mayoría 1 Fuente: El Tiempo (http://www.eltiempo.com.co) ISC-2003-1-55 3 de los casos es asociar el uso de tecnología a otros delitos que sí se encuentran contemplados en los diferentes códigos. Según testimonios del personal de la unidad de delitos informáticos del Departamento Administrativo de Seguridad (DAS), a la fecha no cuentan con presupuesto suficiente para mejorar su infraestructura tecnológica, especialmente en hardware, y gran parte de lo poco que tiene ha sido donado por diferentes empresas, o incautado durante la investigación de un caso. Adicionalmente, el perfil requerido para ser parte de la unidad no es muy exigente en cuanto a la parte tecnológica, esto se debe en parte, a que actualmente en nuestro país no existe la suficiente cantidad de personas capacitadas para realizar este tipo de trabajo. Como consecuencia, el personal de la unidad no posee suficiente capacitación formal en el área de la informática forense y la atención de incidentes, ya que en la mayoría de los casos el aprendizaje ha sido empírico y es por esto, que muchas veces no se da el manejo adecuado al evidencia digital, tanto en la recolección, como en la preservación, análisis y presentación. A pesar de que ha habido acercamientos con agencias de seguridad internacionales, especialmente en la parte de capacitación, éstos no han sido suficientes, debido en parte al hermetismo que existe, principalmente en las agencias norteamericanas, con respecto a temas de seguridad. Como consecuencia del acelerado desarrollo tecnológico de las organizaciones criminales, es evidente que el desarrollo de la informática forense tiene una importancia muy marcada dentro de la actividad de las fuerzas de seguridad del estado. ISC-2003-1-55 4 Objetivos Objetivo GeneralEl presente proyecto de grado tiene por objeto ser una guía básica de capacitación para las agencias de seguridad del estado, con el fin de que ellas mismas definan políticas y procedimientos estándar de operación para ser utilizados cada vez que se requiera recolectar y examinar evidencia digital dentro de una investigación, en especial se pretende concientizar al personal administrativo de estas instituciones de la implicaciones que puede tener dar un mal manejo a este tipo de evidencia, no solo por la pérdida de validez ante una corte, sino también por la utilidad que puede tener el uso de técnicas forenses en labores de inteligencia y contrainteligencia en la lucha con los grupos al margen de la ley que atentan actualmente contra la constitucionalidad del país. Objetivos Específicos • Definir con un lenguaje claro, pero sin perder formalidad, los conceptos básicos de la informática forense, enfatizando en el concepto de evidencia digital. • Definir las características necesarias para darle un valor legal como prueba a la información recolectada en una investigación a la hora de llevar un caso a la corte. • Determinar el capital tecnológico y humano requerido en un equipo de atención de incidentes ISC-2003-1-55 5 El Proceso Forense y la Respuesta a Incidentes Cuando en una organización ocurre un delito, o un acontecimiento que merezca ser investigado, donde se vean involucrados equipos informáticos, realizar una investigación de lo sucedido y especialmente determinar quién o quiénes fueron sus autores es una tarea que requiere el máximo cuidado y atención por parte de los investigadores, ya que, si se desea emprender algún tipo de acción legal, la validez de la información recolectada de estos equipos como evidencia depende directamente de la rigurosidad con que se lleven a cabo los procedimientos utilizados para recolectarla, preservarla y analizarla. De lo contrario, ésta podrá ser fácilmente desvirtuada por la contraparte. La informática forense es un instrumento de conflicto, a grandes rasgos, es la aplicación de las ciencias de la computación a la investigación criminal. Ésta provee, a partir de principios y/o técnicas científicas, la posibilidad de, metodológicamente identificar, recuperar, reconstruir, o analizar evidencia digital dentro de una investigación de un incidente informático, o un caso en el que se encuentren computadores involucrados [6]. En términos generales, los incidentes informáticos son eventos que interrumpen el proceso normal de operación de uno o más equipos de cómputo y que conllevan un cierto nivel de crisis, esto incluye ataques de negación de servicios, intrusiones y accesos no autorizados entre otros [5]. Sin embargo, es importante tener en cuenta que las técnicas y metodologías utilizadas en la informática forense no solo son utilizadas para investigar hechos relacionados con la seguridad informática (Hackers/Cracker, virus, etc.), por el contrario, en la mayoría de los casos son utilizadas para investigar otro tipo de delitos tales como ISC-2003-1-55 6 extorsiones, fraudes, amenazas, pornografía infantil, suplantaciones de identidad, piratería de software, entre otros. Adicionalmente, estas técnicas pueden ser de bastante utilidad como fuentes de información de inteligencia1, como por ejemplo, si se utilizan para analizar equipos incautados a grupos al margen de la ley. Independientemente de la finalidad con que se utilicen, los procedimientos forenses a seguir son similares, al igual que las herramientas que se utilizan pueden usarse en diferentes escenarios. Debido a que cada investigación es diferente, es imposible conocer a priori todos los aspectos posibles de cómo llevar a cabo un análisis forense. Sin embargo, es importante contar con una aproximación metodológica general para la recuperación, organización y análisis de grandes cantidades de información, típicamente encontradas en equipos de cómputo. Lo que se busca básicamente con esto, es que se minimicen al máximo los errores humanos cometidos, al igual que la toma de decisiones dentro de la investigación. Adicionalmente, asegurar que se están utilizando los mejores métodos y herramientas disponibles y que los procedimientos seguidos puedan reproducirse, es decir, que 2 investigadores puedan llegar a las mismas conclusiones al examinar independientemente la evidencia [10]. Los Procedimientos Estándar de Operación2 son una serie de pasos que deben ser seguidos cada vez que se requiera recolectar y/o examinar un computador o componente de este. Estos procedimientos aseguran que la evidencia fue recolectada, preservada y analizada de una manera consistente y minuciosa [10]. En la guía “The Good Practices Guide for 1 El personal de contrainteligencia también debe estar al tanto de estas técnicas y de cómo pueden ser contrarrestadas para no ser víctimas de las operaciones de inteligencia del adversario. 2 Del inglés “Standard Operating Procedures” (SOP) ISC-2003-1-55 7 Computer Based Evidence” publicado por la Asociación de Oficiales jefes de Policía del Reino Unido, basan estos procedimientos en 4 principios básicos: • Principio 1: Ninguna medida tomada por la policía o sus agentes deberá alterar datos almacenados en un computador o cualquier otro medio que pueda ser eventualmente confiado ante una corte. • Principio 2: Bajo circunstancias excepcionales, en donde se considere necesario acceder a los datos originales en un computador, la persona encargada de realizar dicha acción, deberá ser competente para hacerlo, adicionalmente debe dar evidencia de sus acciones, documentando y explicando la relevancia y las implicaciones de éstas. • Principio 3: Se deberá crear y preservar un registro de secuencia de eventos u otro tipo de registro de todos los procesos aplicados a la evidencia digital. Una tercera parte independiente deberá estar en condiciones de examinar esos procesos y lograr el mismo resultado. • Principio 4: El oficial a cargo del caso es responsable de asegurarse que la ley y estos principios sean cumplidos. Esto con respecto a la posesión de la información contenida en el computador, y el acceso a la misma. Se deberá satisfacer que cualquiera que acceda al computador, o cualquier uso que se haga sobre éste de un dispositivo de copiado, cumpla con estas leyes y principios. Es importante mencionar que esta y otras guías se enfocan principalmente en el proceso de recolección y preservación de la evidencia digital, y proveen poca información sobre la estandarización del proceso de análisis forense, esto se debe principalmente a la acelerada ISC-2003-1-55 8 evolución de las tecnologías informáticas, lo que hace que casi cualquier procedimiento técnico o herramienta se vuelva obsoleto en muy poco tiempo. Se podría decir que el proceso forense a seguir en la investigación de un incidente, en términos generales, puede ser visto como un proceso de 5 etapas1 [10,5], el cual podría realizarse de manera cíclica dependiendo de la complejidad de la investigación (Fig. 2). Las etapas mencionadas se podrían enumerar de la siguiente manera: 1. Planeación: Se refiere principalmente al reconocimiento del escenario donde sucedieron los hechos a investigar, en este punto es donde se debe definir una posición sobre como adaptar los Procedimientos Estándar de Operación definidos, a la investigación en particular. 2. Desarrollo: Es la aplicación práctica de los procedimientos de operación, en este punto se realiza la recolección de la evidencia digital. 3. Análisis: Consiste en la correlación e interpretación de la información recolectada, con el fin de realizar la reconstrucción de los hechos. En este punto pueden surgir nuevos elementos relacionados con el hecho en cuestión, los cuales no fueron tenidosen cuenta inicialmente en la etapa de planeación, por lo tanto es necesario realizar de nuevo un análisis (planeación) de cómo incorporar y recolectar la información que se encuentre almacenada en éstos. 1Se explicarán con mayor profundidad a lo largo de este escrito ISC-2003-1-55 9 4. Aseguramiento: Aunque directamente no hace parte de la investigación, es un punto fundamental que debe encontrarse siempre presente dentro del desarrollo y el análisis de la evidencia recolectada, ya que, con esto se asegura la integridad del material recolectado durante la investigación. Consiste básicamente en la documentación de los procedimientos seguidos y de la utilización de herramientas tecnológicas que permitan preservar la integridad de la evidencia durante el proceso forense. 5. Presentación: Consiste en la síntesis de los pasos mencionados anteriormente, en este punto el investigador debe presentar las conclusiones de la investigación, sustentadas a partir de la información recolectada y la reconstrucción del escenario donde se llevó a cabo el hecho investigado y adicionalmente la transparencia con que se llevo a cabo todo el proceso de investigación. Planeación Desarrollo (recolección) Análisis Aseguramiento Presentación Fig. 1 El ciclo de una investigación ISC-2003-1-55 10 En la actualidad, la mayoría de las investigaciones de delitos informáticos en Colombia son realizadas sin la utilización de ningún tipo de metodologías para asegurar la integridad y la validez de la información recolectada, adicionalmente no se utilizan la herramientas adecuadas para la recolección y análisis, lo que trae como consecuencia que muchas veces se pase por alto, y en el peor de los casos que se elimine o modifique, información relevante para la investigación. Esto se debe principalmente a la falta de recursos tecnológicos, legales y a la falta de personal capacitado para realizar este tipo de labores. Adicionalmente esto también puede ser causado por la no adaptación de las metodologías al entorno colombiano que presenta características, seguramente, muy distintas a las que podríamos encontrar en los entornos y escenarios que se presenta en la bibliografía escrita actualmente sobre el tema. Entonces, se ve la importancia de la cultura en este tipo de sistemas, convirtiéndose en un punto crítico y de cuidado, que en un momento dado puede determinar el éxito en la aplicación de metodologías de investigación que integran tantas variables, pero que a fin de cuentas es manejado por personas que se comportan de acuerdo a ciertos patrones que encuentran su origen en sus costumbres autóctonas y que se salen del alcance de cualquier método foráneo. Por esta razón, los administradores y el personal de los equipos de atención de incidentes deben ser concientes de los riesgos que implica no tener una metodología formal y personal capacitado para realizar investigaciones de delitos informáticos, por supuesto adaptados al marco legal y tecnológico colombiano, ya que en el peor de los casos esto puede conllevar a que, en el momento en que ocurra un incidente, la validez de ésta ISC-2003-1-55 11 información sea cuestionada en un juicio debido a que no se documentaron con precisión, ni de acuerdo a la ley, las acciones tomadas para informar, detectar y reaccionar ante estos casos. Antes de un iniciar la investigación de un incidente, como primera medida se deben estimar las operaciones críticas de la investigación, en especial el proceso de recolección de la evidencia digital. Es decir, el investigador debe darse una idea inicial del estado en que se encuentra la escena del crimen, indagando que tanto contacto han tenido con ella los usuarios del sistema o sistemas implicados, que tanto afectó el incidente al sistema y a la organización (si éste quedo inutilizado, con comportamientos extraños, etc.), en fin, la información que el investigador considere necesaria para familiarizarse con el personal y el entorno informático en donde ocurrió el hecho en cuestión. Para esto, Es necesario valorar y analizar los posibles riesgos a los cuales está y ha estado expuesta la evidencia. Sin embargo, hay que tener en cuenta que a pesar de que estos riesgos pueden ser previsibles en la mayoría de los casos, puede haber eventos sorpresivos que no se pueden identificar fácilmente con anterioridad. Es muy importante contar con un sistema de capacitación y entrenamiento para afrontar crisis en todos los niveles, con el fin de que los investigadores estén preparados para enfrentarla y el tiempo que dure la contingencia sea el mínimo posible. Una encuesta realizada por la asociación Colombiana de Ingenieros de Sistemas (ACIS) en el año 2002 [12], revela que en la mayoría de las organizaciones no se encuentra formalmente establecida la función de seguridad informática, adicionalmente se muestra ISC-2003-1-55 12 que tan solo el 27,18% de los encuestados posee políticas de seguridad formalmente escritas e informadas a todo el personal de la organización, como consecuencia de esto, en el momento en que ocurre un incidente informático no se sabe como proceder y generalmente prima la inmediata recuperación operativa del sistema y no se le da prioridad a la investigación de las causas del incidente en cuestión. Como se explicará más adelante, la evidencia digital es extremadamente sensible y volátil, razón por la cual una previa preparación forense de los sistemas en las organizaciones y la formalización de políticas adecuadas para la atención de incidentes, ayudarían en gran medida a las labores de investigación de delitos informáticos. Se debe capacitar al personal elegido para realizar la investigación, por medio de la creación de espacios simulados, con el fin de evaluar su comportamiento y procedimientos en medio de ella. Para esto es recomendable la creación un comité de crisis, un grupo de funcionarios estratégicos de varios niveles de la institución, que pueda determinar y/o valorar los puntos débiles de las metodologías utilizadas [13]. Por lo tanto, el observar con detenimiento las condiciones bajo las cuales se desarrollarán acciones y se tomarán decisiones, es un aspecto crítico para encontrar amenazas futuras de riesgo y para diseñar un sistema de control que permita evacuar sin dificultad cualquier tipo de crisis que se desarrolle a partir del estado en que se encuentra el ambiente informático a analizar. ISC-2003-1-55 13 La Evidencia Digital “En todas las ciencias reconstructivas, la evidencia tiene una importancia fundamental, pues permite conocer el pasado; pero en el campo del derecho este aspecto es vital para saber quien tiene la razón” [7], ya que ella es la que le permite al investigador determinar cuáles fueron los hechos que ocurrieron antes, durante y después del incidente. Con esta información a la mano, el investigador debe estar en capacidad de reconstruir total o parcialmente el escenario en el que sucedió el incidente, con el fin de formular hipótesis sobre quien, como y por qué se llevo a cabo el hecho en cuestión y a la vez comprobarlas y/o descartarlas. Un principio fundamental en las ciencias forenses, que es extremadamente útil al momento de reconstruir y relacionar a un sospechoso con un delito, es el principio de intercambio de Locard (Fig 1.). De acuerdo a este principio, cuando se comente un hecho punible toda persona o cosa que haya estado presente en la escena del crimen, sin tenerlo presente, toma algo de ella (ej. una fibra de una alfombra) o deja algo en ella cuando se marcha (ej. un cabello). Con una de estas piezas de evidencia, un investigador puede demostrar que tan probable es que un sospechoso haya estado presente en la escena del crimen o haya tenido contacto con la víctima o en el mejor de los casosla evidencia encontrada relaciona al sospechoso tanto con la víctima como con la escena del crimen. ISC-2003-1-55 14 Fig. 2 Principio de Intercambio de Locard [6] De la misma manera que en el mundo físico, en el caso de los delitos informáticos el principio de intercambio de Locard se puede aplicar de igual manera en las investigaciones de este tipo de hechos, debido a que, aunque el autor no se encuentre físicamente en la escena del crimen ni tenga contacto directo con la víctima, los registros y datos que quedan en un computador cuando ha sido utilizado y/o cuando se ha tenido acceso remoto o local a él, son los equivalentes a los rastros físicos dejados en el mundo real cuando se ha cometido un hecho punible. A partir de esta similitud, se puede decir que el término evidencia digital abarca cualquiera o toda información en formato digital que pueda establecer que un delito ha sido cometido o que pueda proveer una relación entre un delito y su víctima o un delito y su autor [6]. De acuerdo al documento del departamento de justicia de los Estados Unidos, “Computer Records and the Federal Rules of Evidence” [1], la evidencia digital puede ser clasificada en 2 grupos, la generada por un computador (computer generated) y la información que es almacenada en un computador (computer stored). Cuya principal diferencia es quién ISC-2003-1-55 15 produjo la información, un computador o una persona. En el primer grupo se encuentran elementos tales como los registros de acceso a un sistema, registros (logs) generados por un firewall, un sistema de detección de intrusos, etc., del segundo son ejemplos comunes documentos de un procesador de palabra, correos electrónicos, etc., o una mezcla de los dos grupos incluye información como reportes de una hoja electrónica, donde parte de su contenido fue insertado por manos humanas y otra parte fue generada por el computador. Por lo general, en las investigaciones de delitos tradicionales la evidencia se refiere a todos los rastros físicos dejados por el o los actores involucrados en el incidente, al igual que los testimonios dados por personas que directa o indirectamente se encuentran relacionados con el hecho punible en cuestión. En contraste, en las investigaciones de delitos informáticos, la evidencia digital debe ser tratada y recolectada de manera diferente, ya que, a pesar de compartir varias características con la evidencia física, ésta posee características especiales que no pueden ser pasadas por alto1. Como se mencionó anteriormente, la evidencia digital “abarca cualquiera o toda información en formato digital”, lo cual, desde el punto de vista del derecho probatorio, puede ser relacionado directamente con “los documentos” como prueba legal, ya que estos “representan un hecho cualquiera o una manifestación del pensamiento, ya que si el objeto se muestra a si mismo, sin representar algo distinto, no es documento. La representación de otro hecho debe emanar o surgir del objeto y no de la mente del intérprete” [7]. Con el fin de garantizar su validez probatoria, los documentos deben cumplir con algunos requerimientos [9], estos son: 1 Estas caracteristicas se enunciarán en la siguiente sección. ISC-2003-1-55 16 • Admisibilidad: Debe estar conforme con la ley. Es decir, las pruebas que se presenten durante el desarrollo del proceso penal deben ajustarse a los medios de pruebas, en el caso colombiano, los consagrados en el artículo 233 del Código de Procedimiento Penal dentro de los que se mencionan, la inspección judicial, la peritación, el documento, el testimonio, la confesión y el indicio. Al respecto debemos hacer especial énfasis en la institución jurídica del documento toda vez que la mayoría de las pruebas que se pretender aportar son de este tipo, para lo cual es necesario remitirse a la definición que trae el Código de Procedimiento Civil en su artículo 251 que reza: “Son documentos los escritos, impresos, planos, dibujos, cuadros, fotografías, cintas cinematográficas, discos, grabaciones magnetofónicas, radiografías, talones, contraseñas, cupones, etiquetas, sellos y, en general, todo objeto mueble que tenga carácter representativo o declarativo, y las inscripciones en lápidas, monumentos, edificios o similares” . En este orden de ideas, lo importante es que el medio de prueba ilustre la existencia de un hecho del obrar humano, independientemente de la forma en el que se encuentre exteriorizado para que pueda ser considerado como un documento. • Precisión: Debe ser posible relacionarla positivamente con el incidente. No debe haber ninguna duda sobre los procedimientos seguidos y las herramientas utilizadas para su recolección, manejo, análisis y posterior presentación en una corte. Adicionalmente, estos procedimientos seguidos deben ser producidos por alguien ISC-2003-1-55 17 que pueda explicar, en términos “entendibles”, como fueron realizados y con que tipo de herramientas se llevaron a cabo. • Completitud: Debe por si misma y en sus propios términos, dar el escenario completo, y no una perspectiva particular, de un conjunto particular de circunstancias o eventos. Sin embargo, el desarrollo de la informática ha provocado un cambio radical en cuanto a la forma como se producen actualmente los escritos y a pesar de que la evidencia digital puede representar un hecho, como por ejemplo la firma de un ataque en los logs de un sistema de detección de intrusos (IDS), o representar una manifestación del pensamiento, como lo puede ser un correo electrónico o un documento de un procesador de palabra, es necesario que cambie la forma como las reglas formalistas del derecho de la prueba deben ser interpretadas, o en el peor de los casos reformuladas[8], ya que actualmente en Colombia es muy poco lo que se valora a las tecnologías informáticas en disposiciones legales. Esto se debe, principalmente al desconocimiento técnico de éstas por parte de los jueces y fiscales, ya que los documentos generados por medios computacionales presentan dificultades para ser valorados por estos, debido a que en la mayoría de los casos no vienen identificados por su firma, o algo que identifique plenamente a su autor o dueño, o en el caso de estar presente algún tipo de firma digital, “se pone en duda la identidad, la voluntad del impreso y del compromiso” [8]. ISC-2003-1-55 18 “Frente a estos hechos, no queda la menor duda de que el derecho probatorio se encuentra ante un enorme desafío generado por el desarrollo informático y lamentablemente el legislador tampoco en sus disposiciones se ha referido al mismo” [8]. Características de la Evidencia Digital A pesar de compartir muchas similitudes con la definición legal de “documento”, existen otras características que hacen que la evidencia digital deba ser tratada de manera especial. Como primera instancia, la característica más significativa de este tipo de evidencia es la volatilidad, es decir, su poco tiempo de vida, esto se debe principalmente a que existe mucha información que es almacenada temporalmente en dispositivos de almacenamiento no permanentes (Memoria RAM y virtual, registros del procesador, etc.) y además a que la mayoría de los sistemas operativos y paquetes de software actuales son diseñados y desarrollados con un esquema multi-usuario y multi-proceso, que hace que su actividad interna sea bastante alta, bien sea con procesos que son ejecutados automáticamente por el sistema operativo, por un usuario o con cualquier otra actividad que represente un alto consumo de procesamiento, memoria y escritura en disco. Esto conlleva que los datos almacenados estén cambiando constantemente, y adicionalmente al apagar el computador se pierde toda la información que se encontraba almacenado en estos dispositivos.Otra característica importante de la evidencia digital se atribuye a la actual evolución de las redes de computadores, ya que muchos de delitos informáticos son llevados a cabo a través de ella. La escena del crimen puede encontrarse en uno o más computadores localizados en jurisdicciones diferentes, esto presenta un gran problema para los investigadores en el momento de recolectar la evidencia, ya que como se encuentra en sitios físicos distantes, en muchos casos será demasiado tarde cuando se logre conseguir el acceso a los registros de este sistema. De aquí yace la importancia de tener una buena infraestructura y metodología ISC-2003-1-55 20 que permita, en el caso de un incidente, recolectar la mayor información posible relacionada con él. Otras características inherentes a la evidencia digital son las siguientes: • Los datos almacenados en dispositivos informáticos de lectura y escritura pueden ser alterados fácilmente sin dejar un rastro evidente, no solo por el autor de un delito evitando ser identificado sino también en el proceso de recolección de la evidencia se puede cambiar accidentalmente la información. • No toda la evidencia digital recolectada puede ser leída directamente por humanos, en muchos casos se trata de código de máquina o formatos que solo pueden ser leídos e interpretados con la ayuda de aplicaciones especificas. • Con el debido cuidado, la evidencia digital puede ser duplicada, copiada y examinada como si se estuviera trabajando con el original. • Con las herramientas apropiadas se puede verificar fácilmente si la evidencia ha sido alterada. • En muchos casos es posible recuperar información de dispositivos de almacenamiento que previamente había sido borrada. Debido a las características recién mencionadas y a las grandes diferencias que se han mencionado entre “los documentos” tradicionales y la evidencia digital obligan al investigador a seguir procedimientos que en la mayoría de los casos deben ser más rigurosos que los tradicionales, es por esto que la preparación tanto técnica como ISC-2003-1-55 21 metodológica es fundamental para toda persona que planee trabajar en el área de la informática forense. ISC-2003-1-55 22 Planeación de la Investigación El primer paso en una investigación donde se encuentren involucrados equipos informáticos es la detección, o sospecha, del incidente en cuestión. Los incidentes pueden ser detectados utilizando diferentes técnicas y procedimientos, tales como, sistemas de detección de intrusos (SDI), firewalls, informes de inteligencia, comportamientos inusuales de los sistemas (lentitud excesiva, aparición sin explicación de nuevos programas, etc.) e incluso de los usuarios de estos. Cabe anotar, que la mayoría de las veces los incidentes informáticos no ocurrirán en la institución a la que pertenece el investigador, razón por la cual, la detección y denuncia de este serán llevados a cabo por terceras personas. Una vez detectado el incidente, es necesario que el investigador realice una preinvestigación a partir de la aplicación de todos los procesos anteriormente planeados, adicionalmente, a partir de este punto, es fundamental que se documente de manera detallada y rigurosa la forma como todos los procedimientos forenses se están llevando a cabo, ya que de esta documentación depende gran parte del éxito de la investigación. Por otro lado, se busca determinar cuales son los presuntos actores involucrados en el incidente (tanto máquinas como usuarios), identificar el problema aparente, para así desembocar en una etapa final, durante la cual se producen los pasos a seguir en la investigación y se indaga sobre cual puede ser el problema realmente. Con esto se busca, por un lado determinar si realmente se trata de un incidente informático, y por otro, reconocer el escenario donde ocurrieron los hechos. Es importante que el investigador indague qué tanto contacto tuvieron los usuarios con el sistema involucrado en el incidente, en especial si el ISC-2003-1-55 23 incidente fue detectado por ellos, ya que esto le permite darse una idea de que tan contaminada puede estar en ese momento la escena del crimen. Para preparar la investigación, el investigador debe determinar qué información requiere, con el propósito de determinar cómo se afrontará el problema. Primero es necesario determinar con que tipo de incidente se está enfrentando. A continuación se presenta un ejemplo de cómo se podrían clasificar y tratar los diferentes tipos de incidentes [14]. Es importante recalcar que con ésta clasificación solo se pretende dar un ejemplo de cómo podría manejarse un incidente informático, ya que la última palabra de cómo se debe atender el incidente la tiene el investigador a cargo del caso en cuestión.. Nivel Incidente Posible Respuesta M uy a lto • Incidente con aplicaciones de comercio electrónico • Incidente con Servidor de autenticación • Incidente con el servidor de cobros/pagos electrónicos • Sospecha de apropiación de información sensible de clientes o personal de la organización A lto • Incidente con el servidor de Nombres (DNS) • Incidente con el servidor de correo electrónico • Incidente con servidor WWW • Violación de Perímetro (Incidente con enrutadores) • Hallazgo de una máquina comprometida. Debido a que puede estar comprometida información MUY sensible de la organización y de terceras personas, se recomienda, que físicamente se aíslen de la red los sistemas involucrados (sin apagarlos), y que se inicie inmediatamente la investigación y se recolecte la evidencia más volátil. Si se tiene la certeza de que no se ha comprometido información sensible, se podría realizar una investigación pasiva y encubierta, utilizando dispositivos de monitoreo como sniffers y honeypots, con el fin de conseguir mejor evidencia para descubrir al autor. Es muy posible que esté involucrado personal de la organización. ISC-2003-1-55 24 M ed io • Ataques llevándose a cabo desde equipos fuera del dominio de la organización. • Sobrecarga inusual de la red o de los equipos de cómputo. • Envío de correo no deseado (SPAM) desde equipos dentro de la organización. Se recomienda realizar una investigación pasiva y realizar la recolección de la evidencia sin aislar los sistemas involucrados, utilizando dispositivos de monitoreo como sniffers y honeypots, con el fin de conseguir mejor evidencia para descubrir al autor. B aj o • Pruebas de red (port Scanning, pruebas de vulnerabilidades) • Detección de firmas de ataques conocidos (Code Red, Nimda) Aunque en este caso, no se encuentren sistemas comprometidos, no debe ser tomado a la ligera, ya que puede ser un aviso de que puede acercarse un incidente con mayores consecuencias. Se recomienda, por un lado estar alerta, y por otro proteger el sistema, con el fin de evitar que ocurra un incidente informático. Como segunda instancia, se debe complementar con una “mezcla” de preguntas puntuales y legales, con el propósito de familiarizarse con el entorno informático y con el incidente en cuestión. Estas entrevistas deben realizarse al personal de la organización que tenga algún tipo de relación con el entorno informático. A continuación se presentan algunas preguntas que pueden servir de guía [10]: • ¿Qué tipo de registros producen los diferentes departamentos dentro su organización? • ¿Sé utilizan computadores para producirlos? • Describa los sistemas de cómputo utilizados para las siguientes funciones dentro de su organización: correo electrónico; contabilidad; conectividad a redes; trabajo en ISC-2003-1-55 25 grupo; recuperación de desastres, copias de seguridad y almacenamiento; bases de datos; administración de proyectos; manejo de tiempos; procesadores de palabras, hojas electrónicas, etc. • ¿Dispone depolíticas de buen uso y seguridad para todos los servicios informáticos que se prestan en su organización? • ¿Son conocidas estas políticas por el personal de la organización? • ¿Cómo utilizan estos sistemas el personal de la organización? • ¿Cómo utilizan el correo electrónico sus empleados? • ¿Cuales son las personas responsables por la operación, control, mantenimiento, expansión y seguridad de los equipos informáticos y/o la red de la organización? • ¿Están definidas estas funciones dentro del organigrama la organización? • ¿Cómo se reasignan las estaciones de trabajo cuando un empleado deja la organización? • ¿Utilizan contratistas externos para realizar el mantenimiento, tanto de software como de hardware, los sistemas de la organización? En esta etapa es importante que el investigador pueda realizar una descripción detallada de la escena del crimen, dando descripciones sobre qué usuarios utilizan qué máquinas y que papel desempeñan dentro de la organización, a qué puntos de red se encuentran conectadas, etc., si es posible, también se deben tomar fotografías o grabar videos del lugar, ya que muchas veces en ellos se encontrarán detalles que posteriormente pueden ser de mucha utilidad dentro de la investigación, el sentido común es a menudo una herramienta muy efectiva, pero por supuesto no debe ser la única utilizada por el investigador. ISC-2003-1-55 26 Al estar familiarizado con el escenario y el incidente en cuestión, el investigador debe determinar de que manera se llevara a cabo la recolección de la evidencia digital, para esto debe decidir que camino debe seguir, esto basado en el impacto que pueda causar para la organización está etapa de la investigación. Para esto, se puede afirmar, que existen 2 enfoques para responder a incidentes informáticos y realizar la recolección de la evidencia [3], y a criterio y conveniencia del investigador se debe determinar que camino seguir. El primero de ellos consiste en proteger el sistema o los sistemas involucrados inmediatamente después de que suceda un incidente, es decir, cortar todos los accesos locales y remotos al sistema en cuestión, con el fin de realizar la recolección de los registros dejados por el autor del hecho. Esto con el fin de identificar cuál fue el ataque utilizado y cuál fue la falla que permitió que el incidente sucediera. Una vez se haya recolectado la información se debe reestablecer el estado normal del sistema lo más pronto posible para que los usuarios puedan seguir utilizando sus servicios. A pesar de que esta estrategia permite reestablecer rápidamente la utilización del sistema comprometido, minimizando así el impacto que puede tener en una organización la suspensión de este servicio, no siempre es el mejor camino a tomar desde el punto de vista de la investigación forense, ya que no se toma el tiempo suficiente para recolectar lo necesario y además se puede cambiar el estado del sistema al tomar estas medidas, implicando que la evidencia no cumpla con alguno(s) de los requerimientos descritos en el numeral 2 (Admisibilidad, precisión, completitud). Otro problema presentado por esta estrategia es que los autores del hecho pueden percatarse rápidamente que han sido detectados y tomarán acciones para borrar sus rastros y evitar ser identificados. Sin embargo, en muchas investigaciones éste es ISC-2003-1-55 27 el único camino a seguir, ya que el sistema que se este investigando puede ser de misión crítica dentro de la organización (Servidor de salida a Internet) y sea imperativo tenerlo disponible en el menor tiempo posible. La segunda opción a considerar, luego de identificar el o los sistemas a investigar, consiste en dejar inicialmente los computadores implicados intactos y tomar medidas pasivas que, aunque no corrigen los problemas inmediatamente, permiten hacer un análisis certero del estado del sistema y de sus componentes en el momento de la recolección. Adicionalmente, este esquema permite al investigador utilizar otros dispositivos o herramientas, tales como sniffers, sistemas de detección de intrusos, etc., que le ayuden a recolectar nuevas pruebas que le permitan o bien identificar al autor del delito o tener más argumentos para enjuiciarlo y condenarlo. Al realizar la planeación puede determinarse que, a pesar de existir un incidente informático, el impacto de realizar una investigación al respecto puede ser muy costoso con respecto al causado por el incidente en cuestión. Por lo tanto, a criterio del personal administrativo de la organización afectada, se debe decidir si se sigue adelante o no, por supuesto con la guía y el consejo del investigador. ISC-2003-1-55 28 La Recolección de la Evidencia Digital Una vez entendida las características de la evidencia digital, es fundamental conocer cuáles son los procedimientos a seguir y qué cosas se deben evitar en el momento de realizar la recolección de ésta. Debido a que muchas veces no es posible tener los sistemas involucrados en una audiencia o en su análisis durante la investigación y, como se mencionó anteriormente, como consecuencia de la naturaleza volátil de los medios de almacenamiento digital, se recomienda cuando sea posible tomar una copia idéntica (Bit a Bit) de su contenido, la cual pueda representar al sistema en cuestión y que además sea sobre la cual se trabaje durante toda la investigación. A este tipo de copia se le denomina "duplicado forense"[5] y es realizada por medio de herramientas especiales que permiten no solo copiar el contenido “visible” del dispositivo de almacenamiento, es decir, la información que un usuario común podría ver con las herramientas estándar del sistema operativo, sino también recolectar la información de las áreas del disco que no están siendo utilizadas, esto incluye los sectores que se encuentran disponibles para escritura, los que no están siendo utilizados por ninguna partición y el espacio sobrante de cuando la información que se escribe en un bloque1 es menor que el tamaño de este, a esto se le denomina espacio “Slack” y es comparable a cuando se esta llenando con agua una cubeta de hielo y el agua no es suficiente para llenar todos los compartimientos totalmente, el espacio “slack” es análogo al espacio no utilizado dentro del compartimiento que se lleno parcialmente. 1 Un bloque es la unidad mínima de almacenamiento que poseen los dispositivos de almacenamiento. ISC-2003-1-55 29 Por otra parte, no siempre es posible o necesario realizar un duplicado forense de todos los dispositivos, ya que, o bien la cantidad de información que se encuentra en los medios de almacenamiento involucrados en el incidente supera considerablemente a la capacidad que poseen los investigadores (La base de datos de los afiliados del seguro social), o simplemente por que no es necesario realizar una copia tan rigurosa debido a que la evidencia puede ser recolectada inclusive utilizando la herramientas de búsqueda estándar del sistema operativo. La cantidad de información que se debe recolectar deber ser decidida por el investigador durante la etapa de planeación. Es importante mencionar, que no toda la información que se examine y/o recolecte necesita ser admisible como evidencia, por el contrario, mucha de esta información es utilizada para, a través de ella, descubrir evidencia admisible [10]. Independientemente del camino que se tome para realizar el proceso de recolección, la evidencia siempre debe ser recolectada de lo más a lo menos volátil. A continuación se presenta una posible clasificación según el orden de volatilidad [14]: Tiempo de vida Categoría Tipo de almacenamiento Importancia forense Registros De mínima utilidad. Con solo analizarlos cambia su estado. Almacenamiento del CPU Cache De poca utilidad si se capturacomo una entidad independiente pero debe ser capturada como parte de la imagen de la memoria del sistema. A lg un os c ic lo s de re lo j Video RAM Se pueden capturar lo último que se desplegó en la pantalla. ISC-2003-1-55 30 Almacenamiento del sistema RAM Incluye información sobre los procesos en ejecución y del estado del kernel. Fácil de capturar pero el hecho de hacerlo hace que cambie. Requiere conocimiento especializado para poder reconstruirla completamente, pero no se requiere mucho conocimiento para hacer una búsqueda de palabras clave. Estado de la Red Ayuda a determinar si se instaló y se encuentra activa una puerta trasera. También debe analizado para analizar la actividad de la red. H as ta q ue s e ap ag ue e l e qu ip o Tablas del Kernel Procesos en ejecución Algunos procesos pueden ser evidencia de actividades no autorizadas. Deben examinarse los archivos binarios correspondientes apara asegurarse que no son caballos de Troya Espacio de intercambio (Swap) Es la parte de la memoria virtual que se encuentra en el disco duro. Esta información es tan importante como la memoria RAM para analizar qué está sucediendo en un punto del tiempo particular. Directorios de Cola (Queue) Incluye información sobre los procesos que se están ejecutando y las actividades que no se han completado. Puede incluir el correo saliente y trabajos de impresión que se encuentran en espera. Directorios Temporales Por lo general sirven como directorios de trabajo para todo el sistema. Se espera que periódicamente sean limpiados por lo que son un lugar apropiado para dejar información que no se necesitará en el futuro. Por lo tanto, pueden ser una fuente de información que no se encuentra en ninguna otro parte del sistema. H as ta q ue s e so br es cr ib o o se b or ra fí si ca m en te Medios Fijos (Discos duros) Directorios de registros (Logs) Crucial para reconstruir eventos. La información más vieja es eventualmente sobrescrita o borrada. De lo contrario crecerían hasta ocupar todo el espacio disponible en el dispositivo. ISC-2003-1-55 31 Directorios de usuario, aplicaciones, librerías y configuración Toda parte del sistema que no sea considerada Directorio de Logs, Cola o Temporal incluye archivos que pueden estar indefinidamente en el sistema. Sin embargo, alguien con permisos de escritura puede borrarlos o cambiarlos en cualquier momento. Discos Flexibles (Floppy) Cada vez su utilización es menor, sin embargo pueden ser fuentes de información útil para la investigación. Los discos de alta capacidad (ZIP, Jazz, etc.) también son utilizados para hacer copias de respaldo. Cintas Son fuentes confiables de almacenamiento, en especial de contenidos históricos del sistema archivos. Si las cintas existen previamente a un incidente, pueden ser utilizadas para acotar el periodo de tiempo durante el cual sucedió. CD-ROM/RW Son un buen medio para almacenar copias de seguridad que serán actualizadas periódicamente o para transportar archivos relativamente grandes. Medios removibles CD-ROM/R Son un excelente lugar para almacenar archivos de Log ya que solo están limitados a ser escritos una sola vez, sin embargo pueden tener varias sesiones, lo que permite que el espacio no utilizado pueda serlo en otro momento. H as ta q ue s e de st ru ye n fís ic am en te Salida Papeles Impresos Difíciles de analizar cuando hay muchos, ya que no se pueden realizar búsquedas automáticas sobre ellos. Son el mecanismo de almacenamiento con más tiempo de vida. ISC-2003-1-55 32 Herramientas para la recolección Las herramientas utilizadas en una investigación forense juegan un papel clave en el proceso de recolección de evidencia, ya que de ellas dependerá en parte la calidad y validez de ésta, como consecuencia, estas deben ser escogidas con igual o mayor rigurosidad que los procedimientos que se aplicarán al utilizarlas. Por esta razón, deben estar debidamente certificadas y reconocidas, ya que de ellas también depende la validez de la evidencia recolectada. También es importante que el conjunto de herramientas tenga la posibilidad de trabajar sobre la mayor cantidad de sistemas operativos que sea posible, debido a que el investigador debe estar preparado a realizar su análisis prácticamente en cualquier escenario. Adicionalmente, los medios (Discos duros, CDs, etc.) que se utilicen para almacenar la información recolectada deben tener en cuenta el tipo de formato (geometría) de los medios fuentes, con el fin de alinear correctamente la información en el medio recolector y así no sea afectado el resultado. Además es relevante en el proceso que los medios recolectores sean estériles, es decir, en un estado tal que no contenga ningún tipo información (ni fragmentos de ella) anterior a la recolección, esto con el fin de garantizar su integridad y carácter original. No es necesario que sean nuevos pero si deben tener las mismas características de un medio que no haya sido utilizado, con el fin de que la evidencia no sea contaminada con datos que se encuentren de escrituras anteriores. ISC-2003-1-55 33 Características de las Herramientas Forenses Las características mínimas que deben cumplir las aplicaciones (herramientas) forenses para que la evidencia recolectada y/o analizada por ellas sea confiable son las siguientes [5]: • Deben tener la capacidad de extraer una imagen bit a bit de la información en el medio de almacenamiento. Todo byte debe ser copiado de la fuente, desde el comienzo hasta el final de ella sin importar si hay fragmentos en blanco. • Deben tener un manejo robusto de errores de lectura. Si el proceso de copia falla al leer un sector del medio fuente, este puede ser pasado por alto siempre y cuando se utilice en medio destino una marca del mismo tamaño y en la misma ubicación que identifique el sector que no pudo leerse, adicionalmente estas fallas deben ser documentadas. • La aplicación no debe cambiar de ninguna manera el medio original. • La aplicación debe tener la habilidad de realizar pruebas y análisis de una manera científica. Estos resultados deben poder ser reproducibles y verificables por una tercera persona. Teniendo en cuenta estas consideraciones, se debe entonces definir las funcionalidades necesarias para realizar la recolección. Con el conjunto de herramientas el investigador debe estar en capacidad de [5]: ISC-2003-1-55 34 • Examinar la memoria (gdb, memstat): La memoria RAM de un computador puede mostrar al investigador toda la información que estaba siendo utilizada y procesada en el momento del incidente. • Examinar procesos (ps, top): Esto muestra los programas que se estaban ejecutando después del incidente, esto le puede dar una idea al investigador de qué tareas se encontraba realizando el implicado durante el incidente. • Examinar el estado del sistema y de la red (showrev, lsof, fuser, ifconfig, route, arp, netstat): Al revisar las conexiones de red, se pueden encontrar pistas del origen del incidente y con esto determinar si fue realizado por alguien externo, si se envió información confidencial, etc. • Realizar duplicados forenses (dd, SafeBack,): Esto consiste en hacer una replica exacta de los dispositivos de almacenamiento permanente del computador implicado. • Scripts y aplicaciones para automatizar la recolección. (Coroner Toolkit, EnCase, Dibs): Esto se hace con el fin de que siempre se siga el mismo procedimiento en las tareas que se realizan recurrentemente en las investigaciones (copias bit a bit, transferencias de información, etc.) Como se mencionó anteriormente, el procedimiento de recolección de la evidencia debe hacerse con un orden estricto partiendo de la información con mayor grado a la de menor grado de volatilidad.Algo que debe quedar a criterio del investigador es si es correcto apagar/reiniciar el sistema relacionado con el delito que se investiga, ya que, al hacer esto se perderá información que puede ser valiosa en el momento de correlacionar la evidencia ISC-2003-1-55 35 recolectada (el contenido de la memoria, que archivos están abiertos, el estado de las conexiones de red, los procesos que se están ejecutando, los usuarios que están dentro del sistema, etc.), por esta razón se recomienda, mientras sea posible, generar una imagen del estado del sistema previa a que este sea apagado. ISC-2003-1-55 36 Preservación y Aseguramiento de la Evidencia Digital “Una vez reconocida, la evidencia digital debe ser preservada en su estado original. Se debe tener en mente, que la ley requiere que la evidencia sea auténtica y sin alteraciones” [6]. Es de vital importancia que el investigador documente detalladamente todos los procedimientos y describa herramientas que utilice, debido a que la evidencia puede perder totalmente su validez en un proceso legal. Ya que, si existen dudas, vacíos y/o inconsistencias debidas a una mala documentación, la contraparte podría alegar que pudo existir mal manejo de la evidencia y con esto declararla inexequible durante el proceso legal. Durante el proceso de recolección y de análisis de la evidencia digital, es deber del investigador utilizar algún método para mantener y verificar su integridad, ya que un punto clave en la preservación de evidencia digital es que se recolecte sin alterarla. Adicionalmente, se busca que ésta se mantenga libre de cambios durante el proceso legal e investigativo, ya que, de esto depende en gran parte el rumbo que tomen éstos. “Message Digest” y Firmas digitales Una forma utilizada para garantizar la integridad de la evidencia es a través del uso de algoritmos conocidos como “Message Digest Algorithms”, como por ejemplo md51 y sha1, a grandes rasgos, son algoritmos a los que se les da como argumento una entrada digital arbitraria (típicamente un archivo), con la cual producen una salida numérica única para 1 http://www.rsasecurity.com/rsalabs/faq/3-6-6.html ISC-2003-1-55 37 ésta, es decir, un buen algoritmo de este tipo debe producir la misma salida para una entrada dada, y adicionalmente producir salidas diferentes para entradas diferentes, por lo tanto, una copia exacta producirá la misma salida que el mensaje original, pero si éste tiene la más mínima modificación, la respuesta será notablemente diferente. Este tipo de algoritmos, proveen un método cercano a la individualización, por consiguiente se pueden considerar el análogo informático de las huellas digitales y/o el ADN. A pesar que los algoritmos recién mencionados garantizan que la evidencia se mantenga integra y libre de cambios, ¿Quién garantiza la autenticidad de la respuesta de éstos?, es decir, es necesario poder identificar plenamente a la persona responsable de la generación de los códigos de integridad de la evidencia, para esto se debe realizar un proceso de firmado digital, el cual esencialmente indica que cierto individuo (confiable) fue el que realizó la acción de calcular el código único para cada trozo de evidencia. En resumen, un algoritmo de “Message Digest” garantiza integridad, mientras que uno de firma digital garantiza la autenticidad de la información [6]. La Cadena de custodia Como se ha mencionado a lo largo del artículo, el proceso de recolección, análisis y presentación de la evidencia digital es algo muy delicado, que debe ser llevado a cabo dentro de un ámbito legal. Con el propósito de que la evidencia recolectada sea válida en una corte, es necesario garantizar que ésta no sufra modificación alguna durante el tiempo que dure el proceso forense de la información. ISC-2003-1-55 38 Para este fin se utiliza una documentación conocida como la cadena de custodia, la cual tiene como objetivo llevar registro de donde y en qué condiciones se encuentra la evidencia. Parte de este procedimiento de documentación son las marcas de evidencia (evidence tags) [5], que son, en pocas palabras, los registros de las personas por las que ha pasado la evidencia. Por cada medio que sea investigado se crea una marca que contiene la siguiente información: • Hora y fecha de la acción. • Numero de caso. • Numero de la marca de evidencia. • Firma de la persona que posee la información. • Información de quien tenía la información anteriormente, o por quien fue provista. • Número de Serie, modelo y marca (en caso de tratarse de hardware) • Exhaustiva descripción de la evidencia • Información de quien recibe • Localización de donde fue la evidencia recogida. • La fecha de recibo. • Razón por la cual fue la evidencia dada a otra persona. Adicionalmente, cada vez que se realice una transacción con la evidencia, ésta debe quedar registrada dentro de las marcas de evidencia. Esto con el propósito de garantizar que a lo largo del proceso de investigación la evidencia no sea modificada o en dado caso que se descubra algún tipo de alteración, se pueda determinar su causa y su autor. Es importante ISC-2003-1-55 39 resaltar que si se pasa por alto algún paso de la cadena de custodia, la evidencia se puede hacer inexequible ante una corte. ISC-2003-1-55 40 El Análisis de la Evidencia Digital Una vez se ha realizado la recolección de la evidencia digital y el investigador se ha familiarizado con el incidente, el entorno informático y organizacional en donde ocurrieron los hechos, el paso a seguir consiste en la reconstrucción del incidente en cuestión. Al igual que en el proceso de recolección, es de vital importancia contar con los recursos tecnológicos y humanos adecuados para realizar el análisis. Es utópico pretender que el investigador sea un experto técnico en todos los sistemas operativos, aplicaciones, protocolos de comunicaciones, dispositivos de hardware, etc. Por el contrario, el valor del investigador yace en su conocimiento y percepción del entorno tecnológico actual, incluyendo su funcionamiento, sus límites y sus áreas vulnerables [15]. A partir de este conocimiento, debe apoyarse en especialistas experimentados y confiables, que lo asistan en las labores técnicas especificas, como por ejemplo la recuperación de archivos de un dispositivo con un formato determinado, el análisis por medio de la utilización de técnicas de ingeniería reversa de un virus informático, o la recuperación de información de un dispositivo móvil como un celular o un PDA. Una regla de oro en la informática forense que siempre se debe tener en mente, es que en la medida de lo posible no se debe trabajar sobre los medios originales [6], ya que se corre el riesgo de alterar o eliminar los datos que se encuentra en ellos, teniendo como consecuencia la posible pérdida de información valiosa para la investigación, y adicionalmente la pérdida de integridad y validez legal de la evidencia recolectada. Por esta razón se recomienda, ISC-2003-1-55 41 realizar por lo menos 2 copias de seguridad (Backups) de los medios originales y trabajar sobre una de ellas, y así, si se comete un error que altere la información, se pueda minimizar el impacto en la investigación realizando de nuevo un duplicado a partir de la otra copia [14]. Como se ha mencionado varias veces a lo largo de este escrito, debido a que cada investigación es diferente, no es posible definir una metodología específica para realizar el análisis de la evidencia digital, ya que es muy diferente el enfoque que se da a una investigación de un fraude por medio de correo electrónico, de un caso de pornografía infantil o de una intrusión no autorizada a un sistema de información a través de Internet. Sin embargo, se puede afirmar,que el proceso de análisis podría dividirse en 4 etapas (Fig. 3) [5, 6, 14], que van desde a recuperación de la información, que en gran medida está relacionada con el proceso de recolección, hasta la correlación de los diferentes elementos recolectados con la finalidad de reconstruir el escenario donde ocurrieron los hechos, por supuesto esto último no siempre es posible debido a la volatilidad de este tipo de evidencia y a que la escena del crimen puede encontrase distribuida en diferentes jurisdicciones. Recuperación y reconstrucción Filtrado Clasificación, comparación e individualización Correlación Fig. 3 Como ejemplo práctico del proceso de análisis, en el anexo, al final de este documento se presenta un caso de estudio en el que se analiza una serie de accesos no autorizados a la red ISC-2003-1-55 42 de una organización, éste análisis fue realizado durante el curso de Introducción a la Informática Forense, dictado en la Universidad de los Andes por el Dr. Jeimy Cano. Se recomienda al lector complementar la lectura actual con este anexo, en especial la sección actual, con el fin de aclarar posibles vacíos en la parte de análisis de la evidencia digital. Uno de los aspectos más desafiantes en la informática forense, es la recuperación y reconstrucción de la evidencia digital, ya que este proceso requiere que eficientemente se busque el contenido de diferentes medios de almacenamiento, con el fin de identificar evidencia relevante que éstos puedan contener [15], como por ejemplo archivos, fragmentos de estos, información eliminada, espacio no utilizado, etc. Debido a que puede existir la posibilidad de encontrarse información oculta en el sistema examinado, la cual puede haber sido escondida intencionalmente, el investigador siempre debe asumir que puede existir información no visible dentro del medio [14], pero teniendo en cuenta que este no es siempre el caso1, por lo tanto, es necesario contar con las herramientas tecnológicas y humanas adecuadas para realizar este tipo de procedimientos, ya que, de lo contrario se podría pasar por alto información relevante para la investigación. Los detalles y la complejidad de la recuperación y reconstrucción de la evidencia digital dependen principalmente del tipo de evidencia que se haya recolectado, el tipo de sistema involucrado, y la configuración del hardware y software que éste posea. Por ejemplo, es diferente realizar el procedimiento de recuperación en una estación de trabajo o un 1 El caso que se estudia en el anexo no requirió de la búsqueda de información oculta en el sistema afectado, ya que la investigación se centro en el análisis del acceso no autorizado al sistema a partir de los logs producidos por diferentes aplicaciones y sistemas de seguridad y monitoreo que se encontraban instaladas en ese computador. ISC-2003-1-55 43 computador casero con el sistema operativo Windows, que en un sistema multiusuario (i.e. un servidor de correo electrónico) que utilice alguna variante de Unix, esto se debe principalmente a que, por un lado la actividad en el sistema multiusuario es mucho mayor, lo que conlleva a que se realicen permanentemente operaciones de entrada/salida en los dispositivos de almacenamiento, cosa que aumenta el grado de volatilidad de la evidencia; por otro lado, dependiendo del sistema operativo que utilice el computador las operaciones de borrado, creación y de manejo y formato de los dispositivos de almacenamiento puede cambiar sustancialmente entre uno y otro. Otro gran obstáculo que se puede presentar durante la investigación, es encontrarse con información cifrada, ya que en muchos de los casos sólo será posible tener acceso a ella si se dispone de la contraseña o llave que permite visualizarla. A pesar de que muchas veces la protección con encripción y contraseñas de la información se llevó a cabo con la utilización de algoritmos débiles, los cuales pueden ser "rotos" de una manera relativamente sencilla, actualmente la tecnología de cifrado posee algoritmos con un alto grado de confiabilidad que para ser vencidos requerirían de muchos años o incluso siglos de cálculos en un computador. Una vez se ha recuperado o se ha encontrado información que podría ser relevante, es necesario realizar un proceso de filtrado que permita extraer la información directamente relacionada con el incidente, ya que en muchos casos el volumen y el formato de la información puedan superar ampliamente su relevancia, por lo tanto, se debe realizar un procedimiento de limpieza que por una parte conserve la integridad de la información recolectada y por otro que represente en su totalidad el escenario analizado. Un buen ejemplo de la necesidad de realizar este procedimiento, es el caso de análisis que se presenta como anexo a este documento, ya que, debido a que se trató de un ataque a un ISC-2003-1-55 44 sistema que prestaba servicios varios en Internet (WWW y correo electrónico especialmente), el tamaño de los archivos de registro (logs) analizados era considerablemente grande, cada log presenta cientos de líneas, la lectura de cada una de ellas en busca de información relevante es una tarea muy difícil para un ser humano y contenía en su mayor parte información sobre conexiones autenticas a sus servicios, por esta razón fue necesario primero identificar los actores que participaron en el incidente, los cuales son direcciones IP, esto se realizó, a partir de una revisión superficial de los logs, en especial los de la aplicación de detección de intrusos SNORT, ya que esta se limita a registrar los eventos sospechosos en la red. Con base en esta identificación, posteriormente se llevo a cabo un proceso de filtrado que extrajo únicamente la información relacionada con el incidente, en este caso las entradas en las que aparecían las direcciones IP de los equipos involucrados, a pesar de que existen aplicaciones especiales para realizar análisis de logs, tales como Webtrends y Analog, en este caso se utilizó una hoja de cálculo para realizar el procedimiento. Una vez se han descartado los datos que no tienen ninguna relevancia con la investigación, se debe iniciar el proceso de clasificación, comparación e individualización de la evidencia. “La clasificación de la evidencia digital, es el proceso por el cual se buscan características que pueden ser utilizadas para describirla en términos generales y distinguirla de especimenes similares” [6]. La clasificación de la evidencia digital es útil al reconstruir un delito porque puede proveer detalles adicionales, es decir, cuando se combinan estos detalles pueden guiar al investigador hacia evidencia adicional, e inclusive hacia el mismo sospechoso del hecho en cuestión. La evidencia digital puede ser clasificada, comparada e ISC-2003-1-55 45 individualizada de diferentes maneras, las cuales deben ser utilizadas a criterio del investigador basado en la evidencia que se haya recolectado hasta el momento [6]: • Contenido: Un e-mail, por ejemplo, puede ser clasificado por su contenido como SPAM, y puede ser invidualizado a partir del contenido de sus encabezados, información que por lo general no es visible para el usuario. Por ejemplo, por su dirección de origen. • Función: El investigador puede examinar cómo funciona un programa para clasificarlo y algunas veces individualizarlo. Por ejemplo, un programa que inesperadamente transfiere información valiosa desde un computador confiable a una locación remota podría ser clasificado como un caballo de Troya y puede ser individualizado por la localización remota a la que transfiere la información. • Características: los nombres de archivo, extensiones e inclusive los encabezados internos que identifican los diferentes formatos de archivo que existen pueden ser de utilidad en la clasificaciónde la evidencia digital. La comparación también es un aspecto clave en el proceso de análisis, ya que, comparar la evidencia con un espécimen de control puede resaltar aspectos únicos de esta (características individuales) [6]. Por ejemplo, cuando surge un nuevo virus informático y se ha propagado lo suficiente, al poco tiempo empiezan a surgir variantes del mismo, las cuales, a pesar de contener la esencia del programa original, añaden nuevas características que dificultan su detección. Es por esto, que el realizar un buen proceso de clasificación y comparación se facilita el análisis de éste tipo de programas, de la misma manera los ISC-2003-1-55 46 nuevos ataques y vulnerabilidades que se explotan en las diferentes aplicaciones existentes generalmente se basan en técnicas previamente publicadas. De aquí yace la importancia dentro de las investigaciones forenses, de realizar un proceso riguroso de clasificación, comparación e individualización de la evidencia digital. Para finalizar, es necesario reconstruir el escenario en el que ocurrieron los hechos a partir de la correlación de los diferentes elementos recolectados como evidencia. No solo basta con establecer que un sistema fue comprometido o fue utilizado para cometer un delito, por el contrario es necesario conocer a fondo los detalles del incidente, ya que con una reconstrucción imprecisa es muy difícil determinar que fue lo que ocurrió realmente y muy seguramente nunca se puedan esclarecer los hechos. Es importante que el investigador no sea totalmente dependiente de la evidencia digital, ya que esta puede no corresponder totalmente con la realidad, por ejemplo, que una persona diga en un correo electrónico que es el autor de un asesinato, no quiere decir que realmente lo haya cometido [6]. Como se mencionó anteriormente, una de las características de los delitos informáticos es que la escena del crimen puede estar distribuida en diferentes sistemas, que por supuesto, pueden estar localizados físicamente en jurisdicciones diferentes, lo que en muchos casos dificulta y/o termina prematuramente una investigación ya que no es posible tener acceso a evidencia que podría ser clave para conocer el cuando, como, donde y por qué del incidente. Según algunos investigadores de la unidad de delitos informáticos del DAS, éste es uno de los mayores obstáculos que se presentan al realizar una investigación, adicionalmente, ISC-2003-1-55 47 muchos de los delitos de alta tecnología, a pesar de ser cometidos desde sistemas localizados en Colombia, se realizan desde “Cafés Internet”, en los cuales, debido a la falta de regulación, el alto grado de anonimato y la alta actividad que presentan estos sistemas hacen que la evidencia digital que se encuentra en éstos tenga un tiempo de vida muy corto y por consiguiente la investigación solo pueda llegar hasta ese punto. Como en el caso que se presenta en el anexo 1, la mayoría de las veces los relojes de los sistemas involucrados en un hecho punible no se encuentran sincronizados, teniendo como consecuencia, dificultar la identificación los eventos que ocurrieron simultáneamente en ellos. Para aminorar el impacto que puede presentar esté problema en la investigación, es necesario tomar el tiempo de uno de los sistemas involucrados como referencia y a partir de éste calcular las diferencias temporales que posean los demás. ISC-2003-1-55 48 La Presentación de la Evidencia Digital Hasta este punto se ha tratado a la evidencia digital en su forma natural electrónica, sin embargo, es necesario convertirla en algo que pueda ser revisado e interpretado en una corte, lo cual típicamente es una impresión en papel. Pero, ¿cómo se puede garantizar la neutralidad de este tipo de presentación?, a pesar de que no existe una respuesta única a esta pregunta, debido a las enormes diferencias que existen entre cada incidente, Sommers [9], en el documento “Downloads, Logs and Captures: Evidence from Cyberspace”, especifica que en la mayoría de los casos puede ser apropiado ofrecer 2 posibilidades. Una “de bajo nivel” en la que se muestre la información tal como es sin ningún tipo de anotación y modificación. Y otra “editada”, en la que se encuentre solo la información relevante y que explique que se hizo con ella y por que. Con este enfoque, es posible realizar una inspección cruzada en la que la copia de bajo nivel es la encargada de sustentar técnicamente los argumentos presentados en la parte editada y comentada. Actualmente la legislación colombiana, no da unas pautas generales en los códigos de procedimientos de cómo debe ser presentada la evidencia recolectada de un sistema de cómputo, lo cual es una de las razones que dificultan condenar las conductas relacionadas con incidentes informáticos y/o relacionados con la informática, adicionalmente, el desconocimiento de los aspectos técnicos básicos y del lenguaje utilizado en este tipo de casos por parte de los funcionarios judiciales, dificulta aún mas la penalización de estos hechos. Por lo tanto, es de vital importancia que en el informe de análisis de la evidencia que se presenta ante la ley, se explique cuáles son los datos importantes, aclarar los informes oscuros, evitar al máximo los tecnicismos y hacer que las conclusiones sacadas ISC-2003-1-55 49 quepan en un cuadro significativo que simultáneamente presente completamente el escenario y, que por si mismo (en la medida de lo posible), responda a las preguntas que puedan surgir durante el juicio. ISC-2003-1-55 50 Conclusiones A pesar de que a la fecha, en Colombia los delitos informático no han sido un tema de especial atención por parte de las instituciones gubernamentales y de las fuerzas de seguridad del estado, es de conocimiento general que los delitos informáticos o relacionados con la informática han ido aumentado poco a poco (en Colombia) a medida que se ha popularizado Internet, sin embargo, no existe una estadística oficial que demuestre estos hechos. Esto se debe principalmente, a que las organizaciones que se ven afectadas por estos incidentes no presentan ningún tipo de acción legal, entre otras cosas, por temor a que su imagen ante el mercado se vea afectada, y adicionalmente no se cuenta con las herramientas jurídicas necesarias, ni con el conocimiento necesario por parte de los jueces y fiscales para llevar cualquiera de estos casos exitosamente a un tribunal para su posterior condena. Por estas razones, “es necesario que el gobierno tome las medidas legales y técnicas necesarias para incluir en los actuales códigos conceptos tales como documento informático, firma electrónica, delitos informáticos, normas que protejan el derecho a la intimidad, etc. Tal como se comenzó a hacer con la ley de comercio electrónico (L. 527 \ 99), que acogió algunas de estas nociones”. [8]. El uso de la tecnología puede jugar un papel fundamental en el sistema judicial. Cómo se mencionó anteriormente, las características que posee la evidencia en los crímenes de alta tecnología, obliga a los investigadores a utilizar procedimientos y metodologías muchas veces más rigurosos que los de los crímenes tradicionales. Adicionalmente, se requiere de ISC-2003-1-55 51 una preparación técnica especializada para realizar éstos procedimientos. Según Kruse y Heiser [14], todo investigador de delitos informáticos debe recordar los siguientes consejos: • No apresurarse. • No alterar el original. • Realizar una buena imagen bit a bit. • Autenticar la copia. • Realizar el análisis en la copia cuando se posible. • Preservar el original. Por lo tanto, se debe fomentar en las agencias de seguridad del estado la creación de equipos de investigaciones de delitos de alta tecnología, con el conocimiento técnico necesario, para, de manera competente, examinar los equipos de cómputo
Compartir