Algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado. Los procedimientos llevados a cabo se dividen en las siguientes etapas:
1. Identificación:
Estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.
2. Validación y preservación de los datos adquiridos
Se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada.
3. Análisis y descubrimiento de evidencia
Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles. El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información.
4. Informe
Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.
- Fase de Identificación
Etapa 1: Levantamiento de información inicial para el Análisis Forense
La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis.
Etapa 2: Asegurar la escena
Para asegurar que tanto los procesos como las herramientas a utilizar sean las
más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología.
- Fase de Validación y preservación
Es imprescindible definir
los métodos adecuados para el almacenamiento y etiquetado de las evidencias.
Una vez que se cuenta con todas las evidencias del incidente es necesario
conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas
evidencias a toda costa.
Etapa 1: Copias de la evidencia.
Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “Copia A”, “Copia B” para distinguirlas claramente del original.
Etapa 2: Cadena de custodia
Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento.
- Fase de Análisis
Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.
Etapa 1: Preparación para el análisis
Antes de comenzar el análisis de las evidencias se deberá:
- Acondicionar un entorno de trabajo adecuado al estudio que se desea
realizar.
- Trabajar con las imágenes que se recopiló como evidencias, o mejor aún
con una copia de éstas, tener en cuenta que es necesario montar las
imágenes tal cual estaban en el sistema comprometido.
- Preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
Etapa 2: Reconstrucción del ataque
Si ya se tienen montadas las imágenes del sistema atacado en una estación de
trabajo independiente y con un sistema operativo anfitrión de confianza, se
procede con la ejecución de los siguientes pasos:
- Crear una línea temporal o timeline de sucesos, para ello se debe recopilar
la siguiente información sobre los ficheros:
- Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y
borrado).
- Ruta completa.
- Tamaño en bytes y tipo de fichero.
- Usuarios y grupos a quien pertenece.
- Permisos de acceso.
- Si fue borrado o no.
Etapa 3: Determinación del ataque
Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.
Etapa 4: Identificación del atacante.
Si ya se logro averiguar cómo entraron en el sistema, es hora de saber quién quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente
algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones.
Etapa 5: Perfil del atacante
Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos detalles se podrá encontrar los siguientes tipos:
Hackers: Son los más populares y se trata de personas con conocimientos en
técnicas de programación, redes, Internet y sistemas operativos.
SciptKiddies: Son una nueva especie de delincuentes informáticos. Se trata de jóvenes que con unos conocimientos aceptables en Internet y programación emplean herramientas ya fabricadas por otros para realizar ataques y ver que pasa.
Profesionales: Son personas con muchísimos conocimientos en lenguajes de programación, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparación del mismo, realizando un estudio meticuloso de todo el proceso que llevará a cabo.
Etapa 6: Evaluación del impacto causado al sistema
Para poder evaluar el impacto causado al sistema, el análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitirá evaluar el compromiso de los equipos y
realizar una estimación del impacto causado.
- Fase de Documentación y Presentación de las pruebas
Etapa 1: Utilización de formularios de registro del incidente
Es importante que durante el proceso de análisis se mantenga informados a los
administradores de los equipos y que tras la resolución del incidente se presenten
los informes Técnico y Ejecutivo.
Etapa 2: Informe Técnico
Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense.
Etapa 3: Informe Ejecutivo
Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido al personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración e incluso algunos directivos.
No hay comentarios:
Publicar un comentario