Herramientas forenses digitales de código abierto

Herramientas forenses digitales de código abierto

El argumento legal

Este documento aborda las herramientas de análisis forense digital y su uso en un entorno legal. Para ingresar evidencia científica en una corte de los Estados Unidos, una herramienta debe ser confiable y relevante. La confiabilidad de la evidencia se prueba aplicando las pautas de “Daubert”. Hasta la fecha, ha habido pocos desafíos legales a la evidencia digital, pero a medida que el campo madure esto probablemente cambie. Este documento examina las pautas de Daubert y muestra que las herramientas de código abierto pueden cumplir las pautas de una forma más clara y comprensible que las herramientas de código cerrado.

1. INTRODUCCIÓN

El debate entre el software de fuente abierta y de código cerrado se ha librado históricamente en cuestiones tales como la filosofía [5], la seguridad [18], la fiabilidad [11] y el apoyo. Cada lado tiene argumentos que resuenan con diferentes poblaciones de usuarios y parece que no hay un ganador claro.

Este documento aborda el software que se utiliza para el análisis forense digital y examina el papel del código abierto. Estas herramientas se usan para analizar datos digitales y a menudo encuentran evidencia de que alguien cometió o no un delito. Como el resultado de la herramienta puede ser evidencia presentada en un juicio, debe cumplir con ciertos requisitos legales. Este documento examina los requisitos legales de las herramientas forenses digitales y aborda cómo las herramientas de código abierto las satisfacen.

El análisis forense digital ha existido mientras las computadoras hayan almacenado datos que podrían usarse como evidencia. Durante muchos años, el análisis forense digital fue realizado principalmente por agencias gubernamentales, pero se ha vuelto común en el sector comercial en los últimos años. Originalmente, gran parte del software de análisis era personalizado y patentado y, finalmente, el software de análisis especializado estaba disponible para los sectores público y privado. Recientemente, se han desarrollado alternativas de código abierto que proporcionan características comparables.

[1]. Herramientas forenses digitales de código abierto Brian Carrier

La primera parte de este documento proporciona una breve descripción de cómo se usan las herramientas forenses digitales, seguidas de las pautas legales para demostrar la confiabilidad de la evidencia científica. Esas pautas se abordan con respecto al software de código abierto. Finalmente, se propone una solución equilibrada que permite a las empresas de software comercial seguir siendo competitivas al mantener el código relacionado con la interfaz de código cerrado mientras que el código de extracción es de código abierto y está disponible para su publicación y revisión por pares. La solución permite a los usuarios tener soporte comercial y la libertad de elegir una herramienta basada en la interfaz y la facilidad de uso.

Como descargo de responsabilidad, soy un investigador y desarrollador de software y no un abogado. Por lo tanto, esto no debe tomarse como un consejo legal. Además, desarrollo herramientas de análisis forense digital de código abierto [3].

2 ANÁLISIS DIGITAL FORENSE

En general, el objetivo del análisis forense digital es identificar evidencia digital para una investigación. Una investigación generalmente usa evidencia física y digital con el método científico para sacar conclusiones. Entre los ejemplos de investigaciones que utilizan análisis forense digitales se incluyen la intrusión informática, el uso no autorizado de computadoras corporativas, la pornografía infantil y cualquier delito físico cuyo sospechoso tenga una computadora. En el nivel más básico, el análisis forense digital tiene tres fases principales:

  • Adquisición
  • Análisis
  • Presentación

La Fase de Adquisición guarda el estado de un sistema digital para que pueda ser analizado posteriormente. Esto es análogo a tomar fotografías, huellas dactilares, muestras de sangre o patrones de neumáticos de la escena del crimen. Como en el mundo físico, no se sabe qué datos se usarán como evidencia digital, por lo que el objetivo de esta fase es guardar todos los valores digitales. Como mínimo, se copian las áreas asignadas y no asignadas de un disco duro, lo que comúnmente se llama una imagen.

Las herramientas se utilizan en la fase de adquisición para copiar datos del dispositivo de almacenamiento sospechoso a un dispositivo confiable. Estas herramientas deben modificar el dispositivo sospechoso lo menos posible y copiar todos los datos.

La Fase de Análisis toma los datos adquiridos y los examina para identificar evidencias. Hay tres categorías principales de evidencia que estamos buscando:

– Evidencia Inculpatoria: Lo que apoya una teoría dada
– Evidencia exculpatoria: lo que contradice una teoría dada
– Evidencia de alteración: lo que no se puede relacionar con ninguna teoría, pero muestra que el sistema fue manipulado para evitar la identificación

Esta fase incluye examinar los contenidos de archivos y directorios y recuperar el contenido eliminado. El método científico se utiliza en esta fase para sacar conclusiones basadas en la evidencia que se encontró.

[2]. Herramientas forenses digitales de código abierto Brian Carrier

Las herramientas en esta fase analizarán un sistema de archivos.
Todos los  enumerar los contenidos del directorio y los nombres de los archivos eliminados, realizar la recuperación de archivos eliminados y presentar los datos en un formato que sea más útil. Esta fase debe usar una copia exacta del original, que se puede verificar calculando una suma de comprobación MD5. Es importante que estas herramientas muestren todos los datos que existen en una imagen. Independientemente de la configuración de la investigación (corporativa, federal o militar), los pasos realizados en las fases de adquisición y análisis son similares porque están dominados por problemas técnicos, en lugar de legal. La fase de presentación, sin embargo, se basa completamente en políticas y leyes, que son diferentes para cada entorno. Esta fase presenta las conclusiones y la evidencia correspondiente de la investigación. En una investigación corporativa, el público generalmente incluye el consejo general, los recursos humanos y los ejecutivos. Las leyes de privacidad y las políticas corporativas dictan lo que se presenta. En un entorno legal, el público suele ser un juez y un jurado, pero los abogados primero deben evaluar la evidencia antes de ingresarla. Para ser admisible en un procedimiento legal de los Estados Unidos, la evidencia científica debe pasar la llamada “Prueba Daubert”, que se deriva de la sentencia del Tribunal Supremo de los Estados Unidos en Daubert contra Merrell Dow Pharmaceuticals (1993) [17]. Este documento abordará los requisitos de la prueba Daubert.

3 ADMISIBILIDAD DE PRUEBAS FORENSES DIGITALES

3.1 Descripción general Para ser admisible en un tribunal de los Estados Unidos, la evidencia debe ser relevante y confiable. La fiabilidad de la evidencia científica, como el resultado de una herramienta forense digital, está determinada por el juez (a diferencia de un jurado) en una “Audiencia Daubert” previa al juicio. La responsabilidad del juez en la Audiencia de Daubert es determinar si la metodología y la técnica subyacentes utilizadas para identificar la evidencia eran sólidas y si, como resultado, la evidencia es confiable. El proceso Daubert identifica cuatro categorías generales que se usan como pautas al evaluar un procedimiento: – Prueba: ¿Se ha probado el procedimiento y se ha probado? – Tasa de error: ¿Existe una tasa de error conocida del procedimiento? – Publicación: ¿Se ha publicado el procedimiento? y sujeto a revisión por pares? – Aceptación: ¿El procedimiento es generalmente aceptado en la comunidad científica pertinente? La Prueba Daubert es una ampliación del enfoque anterior de la Corte sobre la admisibilidad de la evidencia científica. Anteriormente, bajo la “Prueba Frye”, los tribunales colocaban la responsabilidad de identificar procedimientos aceptables en la comunidad científica mediante el uso de revistas revisadas por pares. Sin embargo, dado que no todos los campos tienen revistas revisadas por pares, el Test de Daubert ofrece métodos adicionales para evaluar la calidad de la evidencia. Cada directriz se abordará ahora con más detalle con respecto a los análisis forenses digitales. Las directrices se examinarán para herramientas de adquisición de datos y herramientas de análisis. Actualmente, la mayoría de los análisis forenses digitales implican la adquisición de discos duros y el análisis de sistemas de archivos. Por lo tanto, se prestará especial atención a estas herramientas y los procedimientos de Brian Carrier para copiar datos desde un dispositivo de almacenamiento a otro y extraer archivos y otros datos de una imagen del sistema de archivos.

3.2 Pruebas La guía de pruebas identifica si un procedimiento puede ser probado para asegurar que proporciona resultados precisos y si es así, lo tiene. Este es un problema complejo con el análisis forense digital porque las computadoras mismas son complejas. Se deben realizar dos categorías principales de pruebas en la salida de la herramienta: – Negativos falsos – Positivos falsos. Las pruebas falsas negativas garantizarán que la herramienta proporcione todos los datos disponibles de la entrada. Por ejemplo, cuando una herramienta enumera el contenido de un directorio, se deben mostrar todos los archivos. Del mismo modo, si la herramienta es capaz de enumerar nombres de archivos borrados, se deben mostrar todos los nombres eliminados. Una herramienta de adquisición debe copiar todos los datos al destino. Con las herramientas forenses digitales, esta categoría es la más fácil de probar y la prueba más formalizada es de este tipo. Los datos conocidos se plantan en un sistema, se adquieren, se analizan y se verifica que se pueden encontrar los datos. Las pruebas de falsos positivos garantizarán que la herramienta no introduzca datos nuevos en la salida. Por ejemplo, cuando una herramienta enumera el contenido de un directorio, no agrega nuevos nombres de archivo. Esta categoría es más difícil de probar. Una técnica común utilizada para verificar que una herramienta no está introduciendo datos es validar los resultados con una segunda herramienta. Si bien esta es una buena práctica, no reemplaza la necesidad de una metodología de prueba formalizada. El Instituto Nacional de Estándares y Tecnología (NIST) tiene un grupo dedicado que trabaja en Pruebas de herramientas forenses informáticas (CFTT) [14]. Desarrollan metodologías de prueba para una categoría de herramientas y realizan pruebas usando casos de entrada específicos. La especificación para las herramientas de imágenes de disco se publicó [15] y las pruebas se llevaron a cabo en varias herramientas diferentes. Actualmente, los resultados no han sido revelados completamente. Además, todavía no han creado una metodología de prueba para las herramientas de análisis. Antes del resultado del NIST CFTT. Una de las únicas comparaciones públicas de herramientas forenses se publicó en SC Magazine [8]. La prueba plantó datos en diferentes ubicaciones de diferentes tipos de discos, adquirió el disco y trató de encontrar los datos plantados. Si bien estas evaluaciones son útiles al considerar qué herramienta comprar (e incluso encontraron varios errores), no deberían ser las únicas disponibles para un proceso legal. La forma correcta de probar las herramientas forenses es mediante el uso de un método abierto. Deben crearse requisitos para cada tipo de herramienta y las pruebas correspondientes deben diseñarse para hacer cumplir los requisitos. El uso de condiciones de prueba específicas para todas las herramientas solo puede llegar a detectar errores debido a la gran cantidad de pruebas posibles. Por ejemplo, diseñar un conjunto integral de requisitos de prueba para todas las herramientas de análisis del sistema de archivos NTFS es una tarea enorme, especialmente porque las estructuras del sistema de archivos no son públicas. En función de los requisitos de tiempo, es poco probable que se pueda desarrollar un conjunto de pruebas que pueda validar todas las configuraciones posibles del sistema de archivos. De hecho, es probable que los requisitos de prueba sean más estrictos para las herramientas de análisis forense digital que las pruebas originales de la aplicación o del sistema operativo. La herramienta de análisis debe manejar todas las condiciones posibles; de lo contrario, un sospechoso podría 4 Herramientas forenses digitales de código abierto Brian Carrier crea potencialmente una condición que ocultaría datos al investigador. En general, la aplicación original solo debe probar que puede manejar todas las condiciones que puede crear. Aunque no se ha creado una metodología de prueba estándar, los investigadores en el campo identifican fallas en las aplicaciones actuales de código abierto y abierto y reportaron al vendedor. Un argumento común contra las aplicaciones de código abierto es que las personas con intenciones maliciosas pueden encontrar defectos en el código fuente y explotarlos sin publicar los detalles. Si bien este escenario es posible, no es exclusivo de las aplicaciones de código abierto. Los defectos y errores se encuentran en aplicaciones de código abierto y abierto, por lo que es tan probable que una persona malintencionada pueda explotar una aplicación de código cerrado. La solución a largo plazo es contar con una metodología de prueba integral para disminuir el número total de fallas de manera que disminuyan las posibilidades de que una persona malintencionada las explote. Tener acceso al código fuente de una herramienta mejorará la calidad del proceso de prueba porque los errores pueden ser identificados a través de una revisión del código y mediante el diseño de pruebas basadas en el diseño y flujo del software. Los expertos experimentados e imparciales deben realizar estas pruebas y todos los detalles deben publicarse. Como mínimo, las herramientas de código cerrado deben publicar especificaciones de diseño para que terceros, como NIST CFTT, puedan probar de manera más efectiva los procedimientos de la herramienta.

3.3 Tasas de error La guía de índice de error identifica si existe una tasa de error conocida del procedimiento. Las herramientas forenses digitales generalmente procesan datos a través de una serie de reglas. Los desarrolladores de la aplicación original que se analiza diseñaron estas reglas. Por ejemplo, una herramienta de análisis de sistema de archivos utiliza las especificaciones de un sistema de archivos. Si la especificación es pública, no debería haber errores en la herramienta, salvo errores de programación. Si la especificación no es pública, NTFS por ejemplo, entonces podría haber errores porque la especificación no se entiende completamente. Esto es similar a las técnicas de prueba asociadas con sistemas naturales como pruebas de ADN o huellas dactilares, que tienen una tasa de error que se basa en cómo se realizó la prueba. Como se discutió en [1] [2], pueden existir dos categorías de errores en herramientas forenses digitales, error de implementación de la herramienta y error de abstracción. El error de implementación de la herramienta proviene de errores en el código o de usar la especificación incorrecta. Un error de abstracción proviene de la herramienta que toma decisiones que no tienen una certeza del 100%. Esto normalmente ocurre a partir de técnicas de reducción de datos o procesando datos de una manera que no fue diseñada originalmente. Es relativamente fácil dar a cada procedimiento un valor de Error de abstracción y, como en otras áreas de la ciencia, este valor mejorará con la investigación. Es más difícil asignar un valor para Error de implementación de herramienta. Como se recomendó en [1] [2], se puede calcular una tasa de error para cada herramienta en función del número y la gravedad de los errores. Para mantener dicho valor, se requiere acceso al historial de errores de una herramienta. Esto es relativamente fácil para las herramientas de código abierto porque incluso si el error no está documentado, la última versión de la fuente se puede comparar con la anterior para averiguar qué código ha cambiado. La tasa de error sería muy difícil de mantener con las aplicaciones de código cerrado porque si el error nunca se hizo público, podría corregirse silenciosamente y no agregarse a la tasa de error. Además, la tasa de error también sería difícil de calcular porque las herramientas comerciales son impulsadas 5 Ingresos y volumen de ventas de Brian Carrierby Herramientas forenses digitales de código abierto. Publicar tasas de error sería un tema reservado para aquellos que temen la pérdida de ventas debido a

La aceptación de una herramienta es diferente a la aceptación de un procedimiento. Si hay pocas opciones de herramientas que realizan un procedimiento y ninguna de ellas ha publicado detalles de procedimientos o fallas importantes, entonces la elección de selección probablemente se basará en factores no relacionados con el procedimiento, como la interfaz y el soporte. Hasta que los detalles del procedimiento se publiquen y se conviertan en Al adquirir herramientas de análisis forense digital, el tamaño de la comunidad de usuarios no es una medida válida de aceptación de procedimientos. Las herramientas de código abierto documentan los procedimientos que utilizan al proporcionar el código fuente, lo que permite a la comunidad aceptarlas o rechazarlas.

3.6 Reglas federales de evidencia Como se documenta en [7], existe debate sobre si la evidencia digital cae bajo las pautas de Daubert como evidencia científica o las Reglas Federales de Evidencia como testimonio técnico no científico. La Regla 901 (b) (9) [4] ilustra que un proceso puede ser autenticado con “evidencia que describe un proceso o sistema usado para producir un resultado y que muestra que el proceso o sistema produce un resultado preciso”. Esta regla aborda directamente el mismo temas como la publicación y las pautas de tasa de error de Daubert. Indirectamente, la regla aborda la guía de prueba porque se debe desarrollar una metodología de prueba antes de poder calcular una tasa de error. Además, cuando los tribunales evalúan la “evidencia que describe un proceso”, es probable que evalúen si el proceso es legítimo. 7 Herramientas forenses digitales de código abierto Brian Carrier consideró válido al usar su aceptación en el campo. Por lo tanto, los conceptos subyacentes de las directrices de Daubert se aplicarán a la evidencia digital, independientemente de si se considera testimonio técnico no científico o evidencia científica.

4 UNA SOLUCIÓN EQUILIBRADA

Como muchas de las herramientas de análisis forense digital común se desarrollan con intereses comerciales, es poco probable que los vendedores estarían dispuestos a publicar todo su código fuente. Sin embargo, el uso de las definiciones de herramientas de [1] [2] puede proporcionar una solución más práctica que el 100% de código abierto. Los documentos describen dos categorías de herramientas: extracción y presentación. Las herramientas de extracción son aquellas que procesan datos para extraer un subconjunto de ellas. Por ejemplo, una herramienta de extracción procesaría una imagen del sistema de archivos y generaría el contenido del archivo y los datos descriptivos, como la última hora de acceso. Las herramientas de presentación son aquellas que organizan los datos de una herramienta de extracción en un formato útil. Una herramienta puede asumir ambos roles o pueden estar separados. Por ejemplo, una herramienta de extracción puede analizar una imagen del sistema de archivos y generar el nombre y las horas de cada archivo. Una herramienta de presentación podría mostrar esos datos ordenados por directorios, que es la forma en que la mayoría de las personas ven un sistema de archivos. Otra herramienta de presentación podría mostrar los mismos datos, pero ordenados por los tiempos Modificados, de Acceso y de Cambio (MAC) para crear una línea de tiempo de actividad de archivos. Se muestran los mismos datos, pero en un orden diferente. Si las herramientas de extracción son de código abierto y el investigador tiene acceso a la salida de esta capa, entonces él / ella puede verificar el resultado de la herramienta de presentación. Por lo tanto, las herramientas de presentación podrían permanecer cerradas, pero con un diseño publicado. Además, muchas características nuevas en las herramientas de análisis forense digital del sistema de archivos se basan en la presentación. Por ejemplo, buscar un hash en una base de datos, soluciones empresariales en una red, comparar el tipo de archivo con la extensión y buscar palabras clave son todas las acciones que ocurren después de que los datos se extraen de la imagen del sistema de archivos. Por lo tanto, la creación de técnicas estándar de extracción de datos no limitaría la capacidad de una compañía de software para seguir siendo competitiva. La interfaz de usuario, las funciones y el soporte serán los diferenciadores entre los proveedores. De hecho, esto permitiría a los proveedores enfocarse en técnicas de presentación innovadoras para análisis de sistemas de archivos y mejorar las herramientas de extracción y presentación de áreas menos maduras, como redes y reducción de registros. Al publicar código fuente a través de herramientas de extracción de código abierto, la comunidad forense digital puede examinar y validar los procedimientos utilizados para producir evidencia digital. Este modelo permite calcular una tasa de error precisa porque todas las correcciones de errores relacionadas con la extracción de datos se harían públicas. Si varias herramientas utilizan la misma base de código para la extracción de datos, se podría desarrollar una base de código estable y una metodología de prueba con bastante rapidez. Además, las herramientas tendrían una tasa de error similar porque la única diferencia sería debido a errores en su interfaz y presentación de datos. Por lo tanto, los proveedores pueden estar más dispuestos a participar en un esfuerzo por calcular las tasas de error. Este modelo de código abierto es diferente al que está más familiarizado. El objetivo de muchos proyectos de código abierto es tener una gran cantidad de desarrolladores que puedan acceder y actualizar el código. El objetivo de este proyecto sería facilitar el acceso al código para su revisión, pero el acceso limitado para la actualización. Los desarrolladores serían un grupo limitado de personas y 8 Open Source Digital Forensics Tools Brian Carriera panel de auditores validaría de todas las actualizaciones de código Cuando se lanza el software y el código, una firma criptográfica del grupo lo acompañaría.

5 CONCLUSIÓN

Usando las pautas de las pruebas de Daubert, hemos demostrado que las herramientas de código abierto pueden cumplir los requisitos de la directriz de manera más clara y comprensible que las herramientas de código cerrado. Para promover la aceptación de herramientas de análisis en un entorno legal, se deben seguir los siguientes pasos: – Desarrollo de pruebas integrales para el sistema de archivos (y otras) herramientas de análisis además de las que el NIST ya ha desarrollado para herramientas de imágenes de disco – Publicación del diseño de herramientas para ayudar a crear pruebas más efectivas. – Creación de un estándar para calcular las tasas de error para herramientas y procedimientos específicos. Publicación de procedimientos específicos que utiliza una herramienta. Mientras que las herramientas de código abierto ya publican su código fuente, también deben describir el procedimiento en palabras.- Debate público sobre los detalles de procedimiento publicados para garantizar que se acuerden. Las herramientas forenses digitales se usan para despedir empleados, condenar criminales y demostrar inocencia. Todos son problemas serios y el mercado de aplicaciones forenses digitales no debe enfocarse de la misma manera que otros mercados de software. El objetivo de una herramienta forense digital no debe ser la dominación del mercado al mantener en secreto las técnicas de procedimiento. La ciencia forense digital es una ciencia en proceso de madurez que debe mantenerse continuamente bajo estándares más altos. Los procedimientos utilizados deben ser claramente publicados, revisados ​​y debatidos. La disponibilidad de herramientas de análisis para el público en general probablemente haya aumentado su calidad y usabilidad. El siguiente paso es aumentar la confianza en las herramientas a través de la publicación, revisión y pruebas formales.

Juan Carlos Osorio

Ingeniero del laboratorio de E--‐Evidence forense informático , Tiene más de 20 años de experiencia en consultoría en investigación. Administra y complejas investigaciones de fraude corporativo que involucran aspectos financieros, Especialista En Seguridad Informática de la Universidad Autónoma del Occidente, certificada como primer respondiente de incidentes informáticos en manejo de Evidencias digitales – Department of states united states of america , Certificado en Auditoría Interna ISO 27001 , Certificado en criminalidad Informática Universidad de los andes , Certificado ENCASE , FTK – Guidance . Certification Wet Stone Technologies, Certification The Investigation of Transnational and Organized Intellectual Property (IP) Crime INTERPOL, Certification HBgary. Certificado Ethical Pentester , Certificado en entrenamiento Evaluación, de seguridad con la implementación de un CSIRI, Certifies Consultation on Computer Forensic Equipment - Department of states united states of america, Docente y Conferencista nacional e internacional etc.

Publicaciones Similares

Herramientas Para análisis de Metadatos Y Direcciones IP

RFC3227 GUIA RECOLECCION DE EIVDENCIA Dirreciones Ip http://www.ipaddresslocation.org/ https://www.iplocation.net/ https://ip8.com/ https://www.robtex.com/ https://ipalyzer.com/ https://sites.google.com/a/dmcingenieria.net/knowledbase/correo_electronico/extraer-encabezados-de-correo-desde-un-cliente-de-correo https://www.verifyemailaddress.org/#result https://haveibeenpwned.com/…

Back To Top