Blog - Seguridad | Forense

Usar puntuación: / 8
MaloBueno 

¿Usted sabe cómo colectar y preservar evidencias digitales satisfactoriamente?  Un método efectivo y recomendado por las regulaciones y leyes internacionales es el uso de los procedimientos aplicados por los Computer Forensics.

Este nuevo agregado de la ciencia forense tiene procedimientos análogos al forense físico convencional que conocemos (CSI – Crime Scene Investigation).

En este momento no hablaremos de la serie de TV, eso lo dejaremos para otro momento, aunque es de envidiar con la simplicidad que resuelven casos que en la vida real se acercarían más a la película Misión Imposible.

Tratar de homologar el estilo de Hollywood con los procedimientos convencionales con que contamos hoy día  en un caso real, requeriría que todas las partes involucradas en el crimen tengan implementadas las mejores prácticas de seguridad de la industria, si esto ocurre, antes de ser un caso para llevar a la justicia, estaríamos frente a un guión de una película titulada algo así como “La quimera de los CIOs y CISOs”.

¿Qué es CyberForensics o “Computer Forensics” o “Digital Forensic” o “Computación Forense” o “Informática Forense”?

En todos los artículos, estándares, procedimientos y mejores prácticas de recolección de evidencias electrónicas publicadas por universidades, ISACA (Information System Audit and Control Association), Departamento de Seguridad Nacional de EEUU, Departamento de Justicia de EEUU y el Servicio Secreto de los EEUU utilizan estas palabras como sinónimos, usted también considérelo indistinto a través de esta nota.

Computer Forensic puede ser definido como el proceso de extraer datos e informaciones de medios de almacenamientos de computadoras utilizando herramientas y tecnologías válidas para la justicia, debiendo ser reconocidas como la mejor práctica forense a fin de establecer precisión y confiabilidad para el propósito del reporte, de igual manera que la evidencia. Provee pruebas indisputables de todas las actividades para el propósito de una completa verificación de ataques para luego restaurar la empresa e infraestructuras críticas de información.  Correlacionar, interpretar y predecir acciones adversas, junto a sus efectos sobre operaciones planeadas.

Computer Forensic es una ciencia. También es un arte de extraer y colectar datos de una computadora determinando si y cómo ocurrió el abuso o intrusión, cuando ocurrió y quién fue el intruso. Las organizaciones que emplean  buenas prácticas de seguridad y mantienen los registros de los sistemas; alcanzarán con facilidad el objetivo del Informático Forense. Sin embargo, con los conocimientos y las herramientas correctas, se podrá extraer evidencias de una computadora quemada, sumergida en agua o físicamente dañada.

Como vemos la Informática Forense involucra capturar, preservar, identificar, extraer, analizar, documentar como también permite la preparación de casos relacionados a eventos y datos digitales. Capturar es el primer paso y existen puntos clave en esta primera pisada, si uno comete equivocaciones durante este paso, es posible que dificulte un resultado legal satisfactorio. Preservar es parte del proceso de capturar, dentro del proceso de captura de evidencias y manteniendo la custodia de las evidencias digitales.

La computación forense existe porque la inseguridad materializada existe, tales como; eliminación de información, alteraciones de datos, inadecuados procedimientos de disposición de medios, personal descontento y otros. La computación forense permite a las organizaciones identificar y valorar lo sucedido de manera científica, explicando lo ocurrido o lo que pudo ocurrir, siempre basado en hechos y evidencias verificables.

Una investigación satisfactoria requiere de alguien formado adecuadamente en sistemas y tecnologías computacionales, con conocimientos de los sistemas e investigaciones legales. Existen metodologías y procedimientos establecidos que el informático forense debe seguir. Básicamente estos pasos son:

1. Adquirir la evidencia digital sin alterar o dañar el original.
2. Autenticar la evidencia digital para su análisis (duplicar donde sea posible).
3. Analizar la evidencia digital sin modificarlo. Existen herramientas especiales para realizar estos pasos, tales como EnCase y software de hashing.
4. Establecer y mantener una continua cadena de custodia.
5. Documentar absolutamente todo.

En una empresa este especialista en Informática Forense forma parte del Incident Response Team o Equipo de Respuesta en Casos de Incidentes, pudiendo pertenecer también a un equipo de la fiscalía, fuerzas armadas, fuerzas policiales o civiles.  La demanda de profesionales que sepan cómo buscar y encontrar fraudes en entornos computarizados crecerá de acuerdo a la transición de la economía de servicios a la era de la información.

Las evidencias digitales como cualquier otra evidencia, deben ser autenticas, precisas, completas, y estar en conformidad con las leyes y reglas legislativas, debiendo ser las evidencias mencionadas, admisibles.

Un informático forense puede ser llamado a que explique a un jurado el funcionamiento de una computadora, no solamente requiere que conozca desde el punto de vista técnico, debe también traducir los términos técnicos al mundo real, es decir, fácil de entender. También puede estar sujeto a un horrible examen por parte del abogado defensor, desafiando su competencia a testificar. Imagínese que le requieran explicar el funcionamiento del BIOS, POST, RAM, SCSI y CMOS. Por más que sean términos comunes, podría quedar su mente en blanco y esta imagen afectaría su credibilidad.

¿Por qué usar Informática Forense?

El especialista en informática forense es importante para la organización, ya que es convocado a asistir cuando ocurrió un incidente o es necesaria la pericia de este experto.  Por ejemplo, un empleado de una compañía está usando la computadora de la anterior para propósitos personales en horas de trabajo. En años recientes, estas actividades han sido consideradas ilegales, aunque todavía es un área gris, muchas compañías no permiten que sus empleados tengan estas actividades. Si el empleado es sospechado de esta actividad, y con el afán de mantener su trabajo y cubrir sus huellas, borra toda la información comprometida. Aquí es donde se involucra el especialista forense. La empresa puede contratar al experto para colectar toda información de las estaciones de trabajo de los empleados. El especialista puede recuperar los archivos borrados, hacer seguimientos de la actividad de la red y crear reportes que contengan un resumen de todas las actividades de los empleados. Esto es muy importante para la organización porque contará con evidencias legales contra el empleado, pudiendo despedirlo o tomar otras acciones legales. Una vez que la evidencia haya sido colectada el empleado no tendrá cómo sostenerse en caso que haya tenido actividades prohibidas por la compañía. Cabe mencionar que un empleado enfadado es más peligroso que un cracker independiente y un competidor entregados a cometer un crimen contra la organización.

Algunas compañías han empezado a tomar la iniciativa de realizar una copia del contenido de la computadora del empleado que está dejando la corporación. Se toma una copia del disco duro de la computadora del empleado que ha renunciado o ha sido despedido o ha sido transferido internamente. El archivo de estas imágenes de discos es importante, resuelve problemas tales como; robo de secreto comercial o propiedad intelectual, acoso y reclamo de despido no justificado. Es importante para la organización archivar estas informaciones en casos de eventos de este tipo o en caso que surjan necesidades de investigación.

También existen crímenes computacionales; las computadoras también son objetos de crímenes o son usadas por los criminales para perpetrar el crimen. Los crímenes computaciones incluyen fraude computacional, pornografía o abuso infantil, intrusión de redes, homicidio, violencia domestica, falsificación o fraude financiero, espiar o acosar o amenazar vía email, narcóticos, piratería de software, fraude telecomunicacional, cartas de amenaza, fraude o robo de propiedades intelectuales, robo de identidades y secuestros, por citar algunos.

¿Cómo responder a un incidente o crimen que involucra computadoras?

La respuesta a un incidente no viene encapsulada como una vacuna. Cada incidente es diferente. De todas maneras siempre es mejor tener un plan antes que no tenerlo; uno debe entallar su plan al incidente actual. Una vez en la escena o incidente, es importante identificar las plataformas y manejar apropiadamente cada prueba a fin de asegurar la evidencia y no dañar los sistemas críticos en el proceso. Es más importante cómo se maneja la evidencia en la escena que el análisis que se realice después en el laboratorio. La recuperación y análisis de datos depende en la apropiada toma y manejo de la evidencia en la escena.

Como procedimiento de mejora continua de la seguridad, una vez que el incidente terminó, generalmente se realiza una reunión donde se analiza qué se hizo bien y qué se hizo mal, con el fin de modificar los planes y procedimientos para futuros incidentes. La implementación satisfactoria de respuesta a incidentes descansa sobre las políticas,  procedimientos, planes, ejercicios, capacitación del personal y adecuado equipamiento.

La seguridad física del forense está por encima de todo…

Si debe responder a la llamada de un incidente, y debe ir a la escena del crimen, las personas que usan la computadora para cometer crímenes pueden lastimarlo como una persona que no usa computadoras para cometer sus crímenes; más aún cuando la persona puede perder su trabajo por mal uso del equipo de la oficina o arriesga  perder su libertad por distribuir pornografía infantil con sus computadoras, estas personas se pueden volver impredecibles y violentas.

Por esta razón es recomendable hacer una intervención con la mayor presencia de personas posibles, y especialmente en presencia de la persona afectada sin que esta pueda intervenir en el proceso. Para el efecto se cuenta con dos equipos, un equipo de ingreso o seguridad, el trabajo de ellos es establecer un perímetro de control, asegurando el área para el equipo de búsqueda, proveyendo de esta manera seguridad y control perimetral. El segundo equipo realiza las operaciones de búsqueda y colección.

Registrando y fotografiando la escena…

Después de que el área sea segura, antes que cualquier cosa sea tocada o removida, la escena es registrada a través de notas, dibujos, videos o imágenes; una vez que el área fue registrada, se muestran cómo fueron encontrándose las cosas.

Las computadoras…

Las computadoras a menudo contienen muchas informaciones, huellas digitales en el teclado, mouse, CDs, entre otros, pudiendo encontrarse también pelos y fibras. El forense debe evitar dejar sus pelos o huellas, para ello debe contar con guantes como una práctica estándar. El objetivo del forense es proteger las evidencias digitales como las tradicionales de contaminaciones.

E-mail, Internet, notebooks, USBs, MP3 players, celulares, PDAs, equipos de videos, hoy día casi cada crimen deja una huella digital. La ley debe incorporar la colección, preservación y análisis de evidencias digitales en sus rutinas de investigación.

La seguridad y privacidad versus la facultad de la Informática Forense…

En muchas partes del mundo, las computadoras se han convertido en una herramienta de comunicación indispensable tanto para las personas como para las empresas. A este respecto, se utilizan diversas aplicaciones para generar y almacenar documentos. Estos documentos contienen datos vitales para el usuario y para el investigador en caso que la computadora haya sido utilizada para un crimen. Dado este escenario, se deben desarrollar políticas que contemplen la privacidad de las personas. El objetivo principal de este protocolo debiera ser proteger la privacidad de los usuarios.

Para que las evidencias presentadas sean aceptables en la corte, es importante considerar Políticas de Protección de Privacidad desde la perspectiva del usuario y el investigador. En caso de tratarse de una estación de trabajo son las siguientes:

1. Realizar dos idénticas copias del disco duro y dejar una copia en un entorno de confianza por la parte afectada. Esta política es para que el investigador se gane la confianza de la parte afectada.
2. Remover cualquier dato innecesario utilizando herramientas especializadas, como eliminador de evidencias. Esta política es para el usuario, para que en caso que ya no se requieran los datos almacenados sean eliminados en forma efectiva.
3. Limitar la búsqueda de evidencias al objetivo de la investigación. Esta política hace referencia al investigador, es para no abrir documentos que estén relacionados a otras personas que no forman parte de la investigación.
4. Manejar los tiempos de los eventos en estricta confidencia. Esta política hace referencia al investigador, es para enfatizar la confidencialidad y para no develar datos que no se encuentran debidamente verificados.
5. Obtener reconocimientos de paquetes a través de token en vez de direcciones IP. Esta política hace referencia a la privacidad del usuario, a fin de proteger las direcciones IP que se utilizan para transmitir los paquetes, de otra forma se estaría proveyendo información a un intruso.
6. Almacenar en forma segura todos los registros de transacciones internas. Esta política hace referencia al investigador, es para preservar los registros tomados en un determinado tiempo del status de la red, no pudiendo ser recreados, como el caso de un registro de transacciones de una red.
7. Almacenar en nodos externos todos los registros de los eventos. Esta política hace referencia al investigador y al usuario.  Es vital para lograr una confianza en todas las transacciones de la red.
8. Asegurarse que la política de la organización describa acciones relativas a ataques. Esta política hace referencia al investigador, donde el mismo debe corroborar que se ha implementado en forma uniforme la política de recuperación en casos de ataque.
9. Establecer políticas para salvaguardar las copias de seguridad de datos relevantes a una investigación. Esta política hace referencia al investigador y al usuario, el propósito es proteger del acceso a informaciones relevantes de las partes involucradas, violando así la privacidad de la información.
10. Administrar la eliminación de datos de una manera segura. Esta política hace referencia al investigador y al usuario. Evidencias que fueron recolectadas y no fueron eliminadas en forma adecuada podrían conllevar a una violación de la confidencialidad.

Finalmente vemos que la respuesta a los incidentes de seguridad informática se ha convertido en un importante componente del programa de la tecnología de la información. Las amenazas relacionadas a la seguridad no solo son numerosas y diversas también más dañinas y desmembradas. Frecuentemente emergen nuevos tipos de incidentes relacionados con la seguridad. Actividades preventivas basadas en los resultados de los Análisis de Riesgos pueden reducir el número de incidentes pero no todos los incidentes pueden ser prevenidos. Por lo tanto, es necesario contar con la capacidad de responder en caso de incidentes, así detectar un incidente en tiempo, minimizando perdidas y destrucciones, reduciendo las debilidades que pudieran ser explotadas, y restaurando los servicios computacionales.

Implementar un efectivo equipo de respuesta en caso de incidentes, es un emprendimiento complejo, requiere de recursos y de una planificación importante. Es vital establecer procedimientos claros para evaluar el impacto potencial o actual al negocio en caso de incidentes, como también, implementar un método efectivo de colección, análisis, y reporte de datos. También es vital construir y establecer una relación de comunicación fluida con grupos internos de Recursos Humanos, Legales y otros grupos externos como Fiscalía u otros equipos de respuesta en caso de incidentes.  

“Es una equivocación garrafal el sentar teorías antes de disponer de todos los elementos de juicio” - Sir Conan Doyle en Sherlock Holmes.