ANALISIS DE LA EVIDENCIA DIGITAL
ANALISIS DE LA EVIDENCIA DIGITAL
Siguiendo los procedimientos internacionales se realizaran sobre la evidencia física los siguientes análisis:
§ Análisis de Datosde la Red
§ Análisis de los Datos del Host
§ Análisis de los Medios de Almacenamiento
Laevidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundooriginal, así también como los ficheros (datos)e información sobre ficheros (metadatos) recolectados y preservados en las etapasanteriores, en este momentoes donde realmente se analizan y recreanla cadena de eventos sucedidos, ¡que buscar y donde ubicarlo!, al iniciar el análisis se debe observarque la información conserva su integridad, que no ha sido alterada,si durante la sesión se recuperó información, se debe documentarcada acción que se realice con sus respectivos testigos, además es necesario firmar actas al inicio y al terminar,todo lo anteriorpara llegar a los resultados y en ultimas a los reportesque se presentaran a la autoridad competente.
El investigador debe contestarlos cuestionamientos como:
¿Quién?Reunir la información sobre el/losindividuo/s involucrados en el compromiso.
· ¿Qué? Determinar la naturaleza exacta de los eventos ocurridos.
· ¿Cuándo?Reconstruir la secuencia temporal de los hechos.
¿Cómo?Descubrir que herramientas o exploits se han usado para cometer el delito
Existen cuatros categorías de datos:
1. Datos lógicamente accesibles Son los datos más comunes.Las dificultades que se pueden encontrar en estos datosson:
· Que haya una gran cantidadde información a analizar (los actuales dispositivos de almacenamiento puedencontener una cantidadde ficheros).
· Que estén cifrados.Si están cifrados con programas como puede ser al usar PGP, es virtualmente imposibleromperlo.
· Que esténcorruptos o que tengan trampa(por ejemplo código hostilque al producirse ciertasituación puede hacer que se formatee el disco duro, etc.). Se debe usar buscadores de virus para encontrar una clave maliciosa metidaen archivos de evidencias, antes de que puedan crear estragos aprovechando las vulnerabilidades de algunosS.O y aplicaciones.
2. Datos que han sido eliminados(si no han sido sobrescritos se pueden volver a recuperar).
3. Datos en “ambientdata” (espacio no asignado,ficheros de swap/page file, espacio entre sectores, espacioentre particiones, datastreams alternativos, etc).
4. Datos en estenografía (proceso por el cual se puede ocultar datos dentro ficheros). Existen varios programas “anti estenografía” que permiten detectar la presencia de datos que estánocultos dentro de ficherosusando técnicas de estenografía.
Elementos a analizar en funcióndel tipo de sistema:
SISTEMAS INFORMATICOS
a) Sistemas Windows
· Registro del sistema
· Contenido de Sistema de FicheroCifrados (EFS)
· FAT o MTF (Tablasde Metadatos de sistemasde ficheros Windows)
· Fichero BITMAP(Fichero creadodurante el formateode volúmenes NTFS para Windows NT y superiores)
· Papelera de reciclaje
· Ficheros de acceso directo
· Active Directory (Windows 2000 y superiores)
· Log de visor de eventos
· Archivos Temporales y Cookies
b) Sistemas Unix/Linux
· Listado descriptores de ficheros
· Ficheros SUID/SGID
· Trabajos planificados (ScheduleJobs)
· Ficherosdel historial de la Shell En ambos sistemas, se puede analizar:
· Evidencias volátiles.
· Mensajes de correo electrónico.
· Ficherosde trabajo de impresión.
· Archivos temporales de los browsers.
· Cache de los browsers.
· Historiales de los browsers.
· Favoritos de los browsers.
· Ficheros de cookies de los browsers.
· Logs del sistema operativo.
· Logs de aplicaciones.
· Logs de clientes de chat.
· Documentos de texto (cuyas extensiones pueden ser doc, wpd, wps, rtf, txt, etc.).
· Hojas de cálculo (cuyas extensiones pueden ser xls, wgl, wkl, etc.).
· Ficheros gráficos (cuyasextensiones pueden jpg, gif, tif, bmp, etc.).
REDES
· Información proporcionada por la tarjetade red (dirección MAC, dirección IP, entre otros).
· Tabla de direcciones IP asignadaspor el servidorDHCP (Protocolo de
Configuración de Host Dinámico).
· Cache de ARP (Protocolo de Resolución de Direcciones).
· Logs del IDS (Sistema de detecciónde intrusos).
· Memoria del IDS.
· Logs del firewall.
· Memoria del firewall.
· Logs de servidores (Web, FTP, de correo electrónico).
· Mensajes de correo electrónico almacenados en el servidor.
· Logs de módems.
Información de routers:
· RAM con información de configuración.
· Cache ARP.
· Logs del router.
· Datagramas almacenados cuandoel tráfico es alto.
· Información de servidores DIAL-UP (Servidores ISP).
· Logs del servidor DIAL-UP.
· Memoria del servidor DIAL-UP.
· Logs del servidor de autentificación.
· Memoria del servidor de autentificación.
· Logs del servidor VPN
· Memoria del servidor VPN
REDES INALAMBRICAS
a) RedesLAN Inalámbricas (WirelessLAN): Información proporcionada por las tarjetas inalámbricas de red (direcciones MAC, direcciones IP, etc.).
· Puntos de acceso.
· Logs de módemswireless.
b) Redes inalámbricasbasadas en conmutación de circuitos (por ejemplode telefoníamóvil):
· Registros de facturación CDR (Charging Detail Records). Registros que contienen información para cada llamada realizada, como número,el día, duración, entre otros, organizados por clientes para efectos de facturación.
· HLR (Home Location Register).Contiene información del subscriptor, como clase de servicio, la identificación de la unidad móvil, laubicación ya sea en
el área de cubrimientode la red proveedora o de otrasredes celulares
(roaming), la información de autenticación, el nombre de la cuentay la direcciónde facturación.
· VLR (VisitorLocation Register). Almacena información física,electrónica y de radio,de los usuarios que están actualmente autenticados dentro de una red particular del MSC (Mobile Switching Center o centro de conmutación
· OMC (Operation and Maintenance Center o Centro de operación y administración).Realiza tareas administrativas como obtener datos de la MSC para propósitos de facturación y administra los datos de la HLR.
Además, proporciona una visión del estatus de operación de la red, la actividad de red y las alarmas.A través de éste, es posible examinar una o rastrear una llamadamóvil particularen progreso.
DISPOSITIVOS MOVILES
a) Teléfonos móviles
· Ficheros con distinta información almacenada en la tarjetadel móvil (SIM: Subscriber IdentityModule, código PIN, código PUK).
· Chips de memoria Flash(Estas memorias contieneninformación sobre el teléfono así como software internodel mismo).
· Numero IMEI (International MobileEquipment Identity)
· Números de teléfonos almacenados
· Mensajes de texto
· Configuraciones (lenguaje, día/hora, tono/volumen, etc.)
· Grabaciones de audio almacenadas.
· Programas ejecutables almacenados
· Configuraciones de Internet, GPRS, WAP
· Log de llamadas (llamadasrealizadas, recibidas, perdidas).
· Datos (logs de sesiones, númerosmarcados, etc.) contenidos en dispositivos a los que se haya conectado el teléfono móvil (computadores de escritorio, computadores portátiles, entre otros).
b) Organizadoresde mano (PDAs,Pockets PC, etc.)
· RAM.
· ROM.
· FLASH-ROM. Memoriaguardan aplicaciones y datos que no se pierden por un reseteo del dispositivo.
· Datos(de sincronización, contactos, tareas,etc.) contenidos en dispositivos a los que se haya conectado.
SISTEMAS EMBEBIDOS
a) Memory sticks y memory cards (SmartsCard y Compact Flash)
Su recolección de datos esigual que la de un disco duro, porque se basan en sistemas de ficherostipo FAT (normalmente).
Lasestructuras de datos en las que se pueden analizarevidencias son:
· CIS (Card Information System) Área oculta que contiene información del fabricante.
· MBR (MasterBoot Record) En las tarjetas este sector está presentepor razones de compatibilidad y raramentese usará como arranquede un disco duro (aunque los delincuentes, podría ocultar aquí información).
· Sectorde arranque. Se usa junto al MBR para establecer la geometría del dispositivo.
· FAT. Contienela lista que describelos clúster ocupadospor los ficheros.
· El área de datos que contiene los datos de los ficheros actuales.
