Ingeniería Forense

1. Objetivo

Identificar la terminología usada en Análisis Forense para hacer un peritaje.

Realizar una copia bit a bit de un disco para posterior revisión; como evidencia de un Análisis Forense.

2. Preparando Medios

En esta sección, preparamos la USB o el Disco Duro del cual queremos obtener la recopilación de datos, debido a que estamos obteniendo dicha recopilación desde una maquina virtual, es necesario montar la unidad en dicha máquina como se muestra a continuación.

Crear la carpeta donde se montaran los archivos de la USB.

Montar la unidad USB en la carpeta creada anteriormente.

En la siguiente imagen logramos ver los archivos que contenía la USB.

En el laboratorio se menciona que debemos formatear el disco donde vamos a guardar la imagen que obtendremos más adelante, sin embargo, como no es posible conectar dos dispositivos al tiempo en la maquina virtual, lo que hacemos es crear una carpeta donde guardaremos el resultado de recopilar los datos y más adelante la pasamos a un disco externo.

3. Creando la Imagen del Disco

La imagen bit a bit es la practica más usual para crear una imagen que servirá como un activo en un proceso de investigación forense. Para ello usamos el comando que se muestra a continuación tanto en Windows como en Linux.

Este comando muestra las particiones del disco y el nombre que esta asociado a ellas.

Podemos ver que el el nombre asignado a nuestra partición de USB.

Creamos un directorio donde almacenaremos el archivo de recopilación de datos.

Ahora realizamos la recopilación de datos desde la dirección donde se encuentran esos datos hasta la carpeta que destinamos para ellos. En Linux se crea un archivo con extensión .dump y es equivalente al volcado de datos.

Es importante realizar tres copias, una para dejarla sellada en registro y sirva como elemento probatorio ante el Estado o una entidad acusadora, las otras dos servirán para ser manipuladas y hacer todo el proceso forense que me lleve a reconstruir el ataque y encontrar a el culpable.

4. Verificando el correcto funcionamiento de la Imagen

Con el objetivo de verificar que la imagen haya sido correctamente creada y pueda ser usada en un futuro, la montamos en un dispositivo diferente, puede ser en el mismo, pero deberíamos formatearlo para comprobar que desde un disco vació es posible recrear la imagen creada y trabajar con los datos que se encuentran allí almacenados. A continuación vemos las imágenes de como lo hacemos.

Lo primero que hacemos es montar la USB o disco duro en el cual queremos recrear la imagen que contiene la recopilación de datos.

Ahora montamos la imagen que contiene la recopilación de los datos hasta el dispositivo que hemos decidido usar para efectuar dicho procedimiento. Desde este momento podemos empezar a manipular el dispositivo, pues es una replica exacta del disco inicial.

5. Verificando el Hash de los archivos

Es importante dejar un registro del Hash de los archivos, para de tal manera poder verificar que su contenido no ha sido modificado, así, de tal forma, cuando se desee hacer una investigación seria, se asegura que se hace sobre un archivo que es una fiel copia del estado del disco después del ataque; por otro lado, para hacer una imputación de cargos, es importante demostrar que la imagen no ha sido modificada parcial o totalmente.

Como podemos ver, el resultado de hallar el Hash de cada uno de los archivos es una combinación alfanumérica que solo se genera con los datos almacenados en cada una de las tres copias y que además entre ellos son exactamente iguales; si alguna de las copias es modificada parcial o totalmente será fácil averiguarlo. El código hash nos corroborará la integridad de las imágenes.

6. Conclusiones

Cuando ocurre un ataque lo primero que se debe hacer es sacar tres imágenes que contengan la recopilación de datos del dispositivo atacado, con el fin de no destruir la escena del crimen y así en un futuro poder reconstruir el ataque e intentar encontrar el responsable; de tal forma que la organización entienda cual fue la fuga de seguridad y quien se aprovecho de esta y por qué.

El delito informático está reconocido por la ley y por lo tanto es posible emprender acciones legales en contra de quien ejecuta este tipo de ataques; luego es importante tener elementos probatorios para llevar a cabo las demandas, la imagen que contiene la recopilación de datos del dispositivo es uno de esos elementos probatorios.

El código Hash como una herramienta para asegurar la integridad de los datos, es una importante herramienta también para asegurar que una prueba de un proceso judicial se mantiene integra.

La ingeniería forense como un proceso para reconstruir el ataque, también tiene la posibilidad de mejorar la experiencia de la organización en cuanto a su defensa contra los delitos informáticos.

...