Mòdul Professional 4: Anàlisi forense informàtic - Introducció

Índex

1 Introducció a la informàtica forense

La Informàtica Forense és la disciplina dins de la Ciberseguretat que té com objectius conèixer la història dels fets succeïts en un Sistema Informàtic tot realizant un anàlisis exhaustiu del mateix.

“L’anàlisis forense és el procés d’identificar, preservar, analitzar i presentar les evidències d’una forma legal i acceptable”.

– Rodney McKemmish.

Normalment aquest anàlisis es realitza amb la finalitat de conèixer els fets relacionats amb una intrusió o incident de ciberseguretat i el producte final serà un conjunt d'informes (tècnics, administratiu i pericial).

Aquesta és una disciplina amb alts requeriments tècnics, especialment en sistemes operatius (processos, sistema de fitxers, peculiaritats de cada sistema operatiu, etc), procedimentals (recollida i conservació d'evidències, anàlisis, etc) i legals (legislació vigent, bones pràctiques, etc). Tot plegat la converteix en una especialització dins la ciberseguretat amb una demanda o camp d'actuació molt específic i lligat amb processos judicials.

1.1 Objectius

Normalment es realitza l'anàlisi forense sobre un sistema "post-mortem", és a dir després de ser atacat, amb l'objectiu de contestar a les preguntes típiques de:

  • Què ha passat?
  • Qui ho ha fet?
  • Com ho ha fet?
  • Quan ho ha fet?

De fet, la investigació es realitza de forma focalitzada per confirmar o desmentir una hipòtesi o acusació. Això es fa per restringir l'abast de l'actuació, que recordem implica intrusió en espais privats, accés a dades personals, dades internes de l'empresa, etc. Per confirmar una acusació buscarem evidències que la confirmin i/o falta d'evidències contradictòries que la refutin.

Finalment, un cop recollides les evidències relacionades, s'el·labora una línia temporal on es relacionin els esdeveniments (i les evidències que els avalen) de manera que es reconstrueixin els fets succeïts i siguin fàcils d'entendre.

1.2 Casos típics

Els casos que acostumen a donar feina a un pèrid forense poden ser per exemple:

  • Ciberatacs.
  • Incompliment de contractes.
  • Propietat intel·lectual.
  • Ciberassetjament.
  • Competència deslleial.
  • Plagi de software.
  • Estafes.

En definitiva qualsevol delicte on s'hagi emprat un element tecnològic digital.

1.3 Conceptes principals i glossari

Per acabar d'entendre el marc de treball forense i formar-nos una idea del que implica treballar en informàtica forense, definirem alguns dels conceptes principals que aniran apareixent durant tot el mòdul.

1.3.1 Principi de Locard

El principi de Locard és la base sobre la que es fonamenta tota investigació forense i diu així:

"Sempre que dos objectes entren en contacte, transfereix una part del seu material en l'altre.

– Edmond Locard

Això té dues derivades en quant al procés forense:

Primerament implica que qualsevol acció del criminal ha deixat per força un rastre, i la nostra feina com a forenses és trobar-lo. Aquesta serà l'evidència digital probatòria que estem buscant.

Tanmateix aquest principi també implica que qualsevol acció del forense modifica l'entorn de l'evidència i per tant correm el risc de modificar-les involuntàriament i fins i tot eliminar-les. Aquesta és una de les principals raons per les quals el treball forense és tant delicat, especialment quan s'està realitzant en un litigi.

1.3.2 Fruits de l'arbre enverinat

La doctrina de "els fruit de l'arbre enverinat" fa referència a que en l'àmbit judicial, tota prova relacionada de forma directe o indirecte amb un altre que ha estat invalidada, queda també invalidada en el procés.

La invalidació d'una prova pot donar-se principalment per:

Obtenció il·lícita
En aquest apartat hi podem trobar moltes casuístiques, des de utilitzar mitjans delictius per obtenir proves, passant per invaïr l'espai privat o les comunicacions o arribant a saltar-se la política de seguretat de l'empresa estudiada. És per tot això que el procés de recollida d'evidències ha de ser molt i molt metòdic i també el procés d'anàlisi de les mateixes.
Trencament de la cadena de custòdia
Un altre dels factors que impliquen l'anul·lació d'una proba es dona quan no es garanteix la integritat de les proves durant el procés de recollida, anàlisis i custòdia.

1.3.3 Cadena de custòdia

La cadena de custòdia garanteix que les proves d’un cas no han estat modificades ni manipulades i per tant busca mantenir l’integritat física i lògica de les mateixes. Per fer-ho s'estipula un procés per mantenir-la, que anirem desgranant durant el mòdul, però per tenir una primera aproximació direm que cal:

  1. Identificar

    El primer pas és identificar el element que poden contenir evidències relatives al cas a estudiar. Durant aquest pas és important fer fotografies de l'estat dels elements, com s'han trobat, davant de fedetari.

  2. Recollir

    S'han de recollir aquestes evidències, sempre davant d'un fedetari, i de la forma més pulcre possible, garantint que no es modificara durant el procés de recollida.

  3. Registrar

    Es registrarà l'evidència tot anotant els seus paràmetres identificatius (número de sèrie, marca, model, pertinença a RAID, localització d'extracció, propietari, equip, etc) i també qualsevol observació sobre el seu estat (desperfectes, etc.).

  4. Depositar

    Tota evidència s'emmagatzemarà, junt amb el full de registre i seguiment de la cadena de custòdia, en una balisa que garanteixi la seva integritat. Aquesta balisa doncs garanteix que no es pot accedir a l'evidència sense fer-ne registre i alhora que l'evidència quedarà immutable (conservarà la seva integritat).

    En cas que sigui possible es poden generar ja en aquest pas còpies o clonatges de l'evidència, tot verificant la seva integritat i fidelitat amb l'original. En qualsevol cas l'original sempre quedarà en depòsit del fedetari per la seva custòdia.

  5. Traslladar

    Qualsevol trasllat de l'evidència ha de quedar registrat en el full de seguiment de la prova i s'ha de realitzar l'entrada/sortida davant fedetari. Durant el trasllat s'ha de garantir la integritat de l'evidència.

  6. Analitzar

    Un cop en laboratori, s'analitzarà l'evidència, tot registrant l'actuació en el full de seguiment de la cadena de custòdia, intentant per tots els mitjanç possibles que aquesta sigui alterada i pugui quedar invalidada.

  7. Destruir

    Finalment, en acabar el procés judicial o litigi, es procedirà en fer una destrucció segura de la proba.

1.3.4 L'evidència digital

Una evidència digital és qualsevol informació contrastable i significativa trobada en el sistema estudiat durant un procés forense.

La propietat de contrastable significa que es pot tornar a repetir el procés d'obtenció i aconseguir els mateixos resultats, per tant un pèrit de la part contrària podria verificar i contrastar que l'evidència és real.

Significativa vol dir que té valor dins el cas a estudiar per a reforçar l'acusació o refutar-la. Aquest valor probatori no ha de ser definitiu sinó que pot aportar petits valors que, junt amb altres evidències i per acumulació, provin o refutin l'acusació. Això s'anomena càrrega probatòria.

Finalment també cal remarcar que, tot i no constituir una proba com a tal, es pot defensar que la falta d'evidències que validin una hipòtesi el que fan és refutar-la (si per exemple en el registres no es troben evidències d'una determinada connexió, la inexistència d'aquestes evidències pot refutar l'acusació).

1.3.5 Càrrega de la probatòria

Aquest concepte implica que les probes i evidències trobades en l'anàlisi forense no han de perquè ser definitives i concloents en si mateixes, sinó que poden contribuir aportant de forma individual una petita contribució a la conclusió final.

Per tant la conclusió final pot basar-se en una acumulació d'evidències que senyalin totes en una mateixa direcció.

1.3.6 Fedetari

S’anomena fedetari públic a la persona que dona fe de forma pública d'un fet o procediment en el que està present i aixeca acte. En informàtica forense aquesta figura és crucial per donar credibilitat en el procés D'identificació, recollida, registre, dipòsit i destrucció de probes.

Aquesta figura pot ser judicial (policía, secretari judicial), notarial (notari) o mercantil (agent de borsa), tot i que aquesta última no intervé en el procés forense.

1.3.7 Codi deontològic forense

El codi deontològic és el cós ètic de la professió, que cal respectar en tot moment per mantenir la credibilitat i professionalitat. Consta bàsicament de:

  • Obrar segons ciencia i consciencia.
  • Guardar secret professional.
  • Informar de delictes detectats.
  • Independència.
  • Llibertat.
  • Lleialtat.
  • Integritat.
  • Dignitat.
  • Professionalitat.
  • Objectivitat.
  • Imparcialitat.
  • Veracitat.
  • Capacitació.
  • Formació.
  • Confidencialitat.

2 Responsabilitats de l'informàtic forense

Com hem vist fins ara, la feina de l'informàtic forense té una gran càrrega legal, ètica i moral que hem de vetllar en tot moment, tant per a que el nostre testimoni a judici sigui considerat com a vàlid com alhora de realitzar de forma correcte la nostra tasca i preservar la nostre reputació.

Bàsicament tenim les responsabilitats següents:

Responsabilitat civil
Inclou danys patrimonials, falta al secret professional, falsetat en documents privats, responsabilitats contractuals, etc.
Responsabilitat penal
En aquest cas hem de prestar atenció a fals testimoni, prejudici, "coecho" o suborn, denegació d'auxili a la justícia, desobeir al jutge o tribunal, pertorbació de l'ordre al jutjat o tribunal, etc.
Responsabilitat disciplinaria
És motiu de falta disciplinària no comparèixer al judici o vista on s'ha estat convocat.
Responsabilitat professional
Bàsicament aquí hem de tenir en compte i adherir-nos en tot moment al codi deontològic forense.

3 Fases d'un anàlisi forense

Per aprofundir en l'estudi de la informàtica forense descriurem les fases per les quals passa l'anàlisi forense i en descriurem tant els procediments, els aspectes legals i els tècnics.

Remarcar que, com que la major part de fases contenen punts crítics, s'acostuma a fer un ús molt intensiu de checklist per a que un cop enmig del proces puguem centrar-nos en els aspectes importants i no haguem de patir per no deixar-nos d'executar algun pas o recollir alguna evidència.

Les fases seran les següents:

  1. Estudi preliminar.
  2. Captura d'evidències.
  3. Anàlisis d'evidències.
  4. Generació d'informes (tècnic i executiu).
  5. Defensa de l'informe (testificar en judici).

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-17 ds. 11:04