Extra: Análisis forense digital

Definición de análisis forense digital

Es un uso científico derivado y proveen métodos hacia la preservación, colección, validación, identificación, análisis, interpretación, documentación y presentación de una evidencia digital derivada de una fuente digital con el propósito de facilitar la reconstrucción de eventos encontrados para ser un criminal o ayudando a anticipar acciones desautorizados mostrando que pueden ser perjudiciales a operaciones planeadas.

 Link de la imagen:http://seerpress.com/wp-content/uploads/2011/02/computer-forensics-service.jpg

Así es como lo define Digital Forensics Research Workshop (DFRWS) se dedica a compartir conocimientos e ideas acerca de la investigación forense digital. Para más información pueden visitar el sitio oficial.

http://www.dfrws.org/

Wietse Venema y Dan Farmer han hecho el argumento que algunas veces el examinador encuentra hechos como si fuera arqueología digital (Digital archaeology) y en otras veces geólogo digitales (Digital geology).

En la cual arqueología digital es acerca de los efectos directos de la actividad de usuario, como lo son el contenido de archivos,ultimo acceso, información desde archivos eliminados y los registros de flujo que hubo en la red. 

 Link:http://www.filetransit.com/images/screen/3e7c52f4aa6cda212b0bdf080960a174_VX_Search_Ultimate.jpg

Geólogo digital (Digital geology) es acerca de los procesos autónomos que los usuarios no pueden controlar de manera directa como lo son la asignación de memoria y reciclado de bloques de disco,número de ID de archivo, memoria de pagina o número de ID de proceso.

 Link de referencia:http://blog.icewolf.ch/images/blog_icewolf_ch/201010/NTFSAllocationUnitSize_02.jpg

El propósito de un análisis forense es encontrar los hechos y a partir de esos hechos recrear el evento. En otras palabras lo que se trata es de que el examinador revele la verdad de un evento resolviendo y exponiendo los restos de un evento que han sido dejados en el sistema. Y cuando lo revela el examinador la verdad, comúnmente a eso le llaman artefacto, que algunas veces es referenciado como evidencia.

 Link de referencia:http://thumbs.dreamstime.com/thumblarge_326/122482105812xnKP.jpg

Ahora referenciando con el principio de intercambio de Edmond Locard que dice lo siguiente "En el contacto de dos elementos,ahí habrá un intercambio." que en inglés es conocido como "With contact between two items, there will be an exchange".

Esto es un principio básico de el análisis forense, lo que significa que cualquier acción tomada por un usuario en un sistema informático dejará rastros de esa actividad en el sistema, por más sencillas que sea la acción que tome el usuario, dejará un registro de sus acciones.

El análisis forense puede ser dividida en tres procesos:

El primero proceso es la adquisición que se refiere a la colección de de los medios digitales que van a ser examinados, esto depende del tipo de examinación ya sea de disco duro,almacenamiento de datos (USB,SD,mini SD) de cámaras digitales, smartphones, teléfonos móviles, o como lo es un simple documento de word.

En cualquiera de los casos será examinado, tomando como consideración una replica exacta de bit por bit para tener poder examinarla replica y que la evidencia original quedé intacta.

Por medio de este tipo de dispositivos (imagen de abajo) es posible hacer una replica de la evidencia bit por bit, lo que se hace es evitar tocar la evidencia ya que si se toca ya no podra ser valida. Tal vez dirán por que recurir a este tipo de dispositivos si tenemos computadoras normales que pueden hacer dicha replica, y aquí hay una razón la primera es, cuando nosotros copiamos lo que hay en un disco duro, usb, mini SD entre otros nunca se copian exactamente como tales, la segunda es cuando nosotros conectamos cualquier dispositivo nuestro sistema operativo tratara de leerlo y guardara un log de uso, la cual hara que la evidencia sea invalida.

 Link de referencia:http://www.fulcrum.net.au/images/RoadMASSter%203.jpg

Si alguien tuvo interés en ver estos dispositivos para el análisis forense aquí les dejare un link de la página oficial.

 http://www.fulcrum.net.au/prod_app.php?app_id=2&pageID=app

El segundo proceso es el análisis que se refiere a la examinación de los medios digitales,de las cuales se pueden definir en 3 elementos según la DFRWS son la identificación, análisis y la interpretación. La identificación consiste en la localizacion de los elementos o elementos presentes en el medio,para luego reducir este conjunto de elementos o artefactos de interés.Una vez hecho la identificación se podrá someter al análisis.

 Link de referencia:http://www.dragonjar.org/analisis-de-memoria-ram-recogida-de-evidencias.xhtml

El análisis puede ser del sistema de archivos, análisis de contenido de archivos, análisis de registros, análisis estadístico, o cualquier número de otros tipos de revisión. Por último tenemos la interpretación donde el examinador interpreta los resultados de el analisis basandose en la formación del examinador, la experiencia, la experimentación y la experiencia.

El tercer proceso es la presentación la cual se refiere al proceso en el cual un examinador comparte los resultados de la fase de análisis de las cuales fueron mayormente relevantes. Esto consiste generando reportes de las acciones tomadas por el examinador, como los artefactos descubiertos y el significado el mismo,de igual manera tendrá que defender el examinador lo encontrado.

A continuación verán un ejemplo de un log de todas las acciones tomadas, aunque en este tengo que destacar que lo hace un software.

Link de referencia:http://www.cnwrecovery.com/html/forensic_report.html

Ahora hablemos de los conceptos de análisis del medio digital (Media Analysis Concepts). Todos los archivos borrados, en carpetas, en carpetas de carpetas estan almacenados en algún contenedor, y el objectivo de análisis del medio digital es identificar, extraer y analizar esos archivos.

Identificación es donde se determina cual archivo se encuentra como activo o eliminado en un volumen.

Extracción es la recuperación de archivos de datos y metadatos pertinentes.

Analización es el proceso en el cual el examinador aplica su inteligencia al conjunto de datos, por lo cual el objetivo ideal sería encontrar buenos resultados.

Ahora presentaremos la progresión lógica de cualquier sistema de archivos desde el nivel bajo al nivel mas alto:

• Disco se refiere a un dispositivo de almacenamiento físico como lo podría ser un disco duro SCSI o SATA o una memoria SD de una cámara digital, etc. El análisis de los elementos a este nivel se necesita de un gran entrenamiento y conocimiento fuerte ya que es algo muy extenso, hay que destacar que también se necesita de alguna herramienta cara.
• Volumen se refiere alguna parte o conjunto de partes de uno mas discos, por lo cual un disco puede contener demasiados volúmenes o puede ocurrir de manera inversa. El término de partición es usado mayormente al intercambio de volumen,el volumen describe un numero de sectores en un disco o discos dados en un sistema.
• Sistema de archivos estos están establecidos en el volúmen y describen la disposición de los archivos y los metadatos asociados.
• Unidad de datos es la más pequeña unidad independiente disponible de almacenamiento de datos disponibles en un sistema de archivo dado.
• Metadatos son datos altamente estructurados que describen información, describen el contenido, la calidad, la condición y otras características de los datos. En los derivados de Unix también son llamados inodes.
• Nombre de archivo es donde un usuario opera y es donde los artefactos están disponibles,en la cual cada nombre de archivo contiene su propia estructura de metadatos.

Herramientas de Cómputo Forense

• Sleuth Kit (Forensics Kit) 
• Py-Flag (Forensics Browser) 
• Autopsy (Forensics Browser for Sleuth Kit) 
• dcfldd (DD Imaging Tool command line tool and also works with AIR) 
• foremost (Data Carver command line tool) 
• Air (Forensics Imaging GUI) 
• md5deep (MD5 Hashing Program) 
• netcat (Command Line) 
• cryptcat (Command Line) 
• NTFS-Tools 
• qtparted (GUI Partitioning Tool) 
• regviewer (Windows Registry) 
• Viewer 
• X-Ways WinTrace 
• X-Ways WinHex 
• X-Ways Forensics 
• R-Studio Emergency (Bootable Recovery media Maker) 
• R-Studio Network Edtion 
• R-Studio RS Agent 
• Net resident 
• Faces 
• Encase 
• Snort 
• Helix

Buscando en la wikipedia encontre estas herrmientas de código forense pero basandome en un libro les recomiendo el llamado Sleuth Kit el cual lo pueden descargar de esta página.

http://www.sleuthkit.org/

Sleuth Kit soporta imágenes de disco sin procesar, despliega el tipo de volumen herramientas de código abierto digital de investigación (también conocido como herramientas digitales forenses) que se ejecutan en sistemas Windows y Unix (como Linux , OS X, Cygwin, FreeBS, OpenBSD y Solaris). 

Se pueden utilizar para analizar NTFS, FAT, HFS +, Ext2, Ext3, UFS1 y UFS2 sistemas de archivos y varios tipos de sistemas de volumen. 

Videotutoriales para usar Sleuth Kit

En este video muestra como hacer la instalación de Sleuth Kit.

En este video muestra como recuperar datos de una memoria USB con la misma herramienta.

Enlaces de referencia:
Definición de forense digital
Presentación de un especialista en la materia.
Argumentos de Wietse Venema y Dan Farmer
Información general de forense digital
Definición metadato
Sleuth kit