La adquisición de datos es una de las actividades más críticas en el análisis
forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis
e investigación posterior no sería válido debido a que la información saldría
con impurezas, es decir, la información que creemos que es del origen no lo
es realmente.
Una vez que se ha detectado un incidente de seguridad, uno de los primeros
problemas del analista en la recogida de datos se resume en decir si el equipo
hay que apagarlo o no.
¿Apagar o no el equipo?
Esta decisión, aunque pueda parecer trivial, no lo es tanto, porque las consecuencias
pueden ser varias: perder evidencias que estén en la memoria volátil, ver los usuarios
conectados, ver los procesos en ejecución, conocer las conexiones existentes, etc.
Otro de los problemas que nos encontraremos a veces y dependiendo del tipo
de organización es la obtención de los siguientes datos: nombre y apellidos
del responsable del equipo y usuario del sistema. Otros datos que se deben
obtener como mínimo serían: modelo y descripción del sistema, número de
serie, sistema operativo que está corriendo, así como el coste económico aproximado
que tiene dicho incidente (por ejemplo, si ha sido atacado el sistema
de gestión de un láser y para su equilibrado se precisa de técnicos que tienen
que desplazarse, sería un coste axial como el tiempo de estar parado).
A continuación se deben localizar los dispositivos de almacenamiento que están
siendo utilizados por el sistema: discos duros, memorias (USB, RAM, etc.).
Una vez que se han localizado, se debe recabar la siguiente información: marca,
modelo, número de serie, tipo de conexión (IDE, SCSI, USB, etc.), conexión
en el sistema (si está conectado en la IDE1 y si es el primario o el secundario,
etc.).
Una vez localizadas todas las partes del sistema, es recomendable hacer fotografías
de todo el sistema así como de su ubicación además de fotografiar los
dispositivos de almacenamiento.
Cuando se hayan hecho las fotos se continúa con la clonación bit a bit de
los dispositivos de almacenamiento del sistema. Dicha clonación tiene que
ser realizada en un dispositivo que haya sido previamente formateado a bajo
nivel, ya que este proceso garantiza que no queden impurezas de otro análisis
anterior. Por tanto, la realización de dicha clonación deberá hacerse mediante
un LIVECD. Por ejemplo, si se realiza con el propio hardware, se introducirá
un disco duro con la misma capacidad o mayor que el original y se ejecutará
dicho comando (el disco duro original está ubicado en la IDE 1 como máster
y el disco duro virgen estará en la IDE 1 como esclavo).
d. if=/dev/hda of=/dev/hdb conv=sync,notrunc,noerror bs=512
También se podría realizar mediante la red arrancando previamente el sistema
con un LIVECD y después ejecutando las siguientes instrucciones.
dd if=/dev/hda | nc 192.168.1.10 8888
nc –l –p 8888 > /mnt/clonacion/hda_con_incidencias.dd
Una vez realizada dicha clonación, es recomendable realizar una verificación
de que el dispositivo de almacenamiento de origen y destino son idénticos, así
comprobamos la integridad de los datos. Para ello se utilizan funciones HASH
basadas en SHA1 y/o MD5.
ssh1sum /dev/hda
ssh1sum /dev/hdb ó ssh1sum hda_con_incidencias.dd
Finalmente, se tienen que transportar dichos dispositivos a nuestro centro,
donde realizaremos el análisis y la investigación. Dependiendo de si existe
información con datos de carácter personal, hay que tener en cuenta la LOPD,
así como su RDLOPD. De todas maneras es obvio que las leyes se deben tener
en cuenta siempre, ya que su desconocimiento no exime de su cumplimiento.
Datos de carácter personal
Por ejemplo, si somos de una empresa externa y en dicho sistema hay datos de carácter
personal, habría que realizar un contrato de encargado de tratamiento, rellenar el registro
de dispositivos así como el de E/S y el de incidencias, cumplir con las medidas técnicas
que requiere la Ley. Por tanto, siempre se debe tener en cuenta la LOPD, sólo que si no
existen datos de carácter personal no nos afecta.
Deja tus Comentarios Dudas y Aportes !
Sign up here with your email
Déjame tus dudas y comentarios: Conversion Conversion Emoticon Emoticon