Unidad 24 Forensics LO1: Adquisición Forense I - Conceptos Adquisición • Formalmente, la adquisición puede ser definida como el proceso ejecutado para recolectar e identificar toda la información almacenada en los sistemas identificados como sospechosos o bajo alcance (documentos, memoria, procesos, conexiones de red, almacenamiento, código malicioso, etc.). • El proceso de adquisición debe ser realizado de manera estricta siguiendo los procedimientos forenses, de tal manera que el investigador pueda probar de manera irrefutable, llegado el momento, que no ha sido modificado o perdido durante el proceso, asegurando la integridad de todos los artefactos. • Todos los procedimientos anteriormente descritos son válidos y pueden ser presentados en cualquier momento en un procedimiento judicial si se requiere. • Durante el proceso de adquisición forense, todas las acciones realizadas deben ser coordinadas y bien documentadas. LO1: Adquisición Forense I - Conceptos Preservación y Custodia • Permite asegurar que la evidencia se recolecto de manera adecuada, y está siendo preservada y guardada bajo unos mecanismos de custodia apropiada. • En este proceso se preserva la cadena de custodia que se refiere a una documentación cronológica, mostrando registros de los momentos de adquisición, custodia, control, transferencia, análisis y disposición de la evidencia, sea electrónica o física. LO1: Adquisición Forense I - Procedimiento Paso 1: Preparación • En esta parte del proceso se personan todas las partes implicadas en la recogida de evidencias electrónicas y se procede a verificar la autorización de usuario y propietarios, además de dejar constancia del proceso por una tercera parte confiable. LO1: Adquisición Forense I - Procedimiento Paso 1: Preparación 1.1 Descripción: Dejar anotación del lugar, fecha, técnico, asistente y cualquier información relevante al entorno del proceso de adquisición. Fecha: DD/MM/YYYY Hora: HH:MM Perito: Mikel Want Ubicación: Avenida de los Castillos 22, Madrid (Aranjuez) Presentes: Notario: Joaquín Sánchez Cliente: Jesús Pérez Cliente: Jessica Estévez LO1: Adquisición Forense I - Procedimiento Paso 1: Preparación 1.2 Autorización: Dejar anotación de que tanto el cliente como el usuario del dispositivo han dado consentimiento expreso a la realización del proceso de adquisición. “Constatar que tanto el cliente “BrainCorp” como los usuarios de los dispositivos electrónicos adquiridos han dado su consentimiento expreso, como usuarios y propietarios, a este proceso de adquisición de evidencias electrónicas.” LO1: Adquisición Forense I - Procedimiento Paso 1: Preparación 1.3 Fedatario: Dejar anotación de que todo el proceso es realizado ante notario quien finalmente dará fe de que todo el proceso se ha realizado tal cual se describe en este documento mediante un Acta Notarial. “Todo el proceso es realizado ante notario quien finalmente dará fe de que todo el proceso se ha realizado tal cual se describe en este documento mediante un Acta Notarial.” LO1: Adquisición Forense I - Procedimiento Paso 2: Identificación Durante el proceso de identificación se anotan las características técnicas del dispositivo tales como el número de serie y se etiqueta con un código identificativo temporal (habitualmente de color rojo para identificar evidencia original). El proceso de identificación suele ir acompañado de fotografías para mitigar erratas en las anotaciones. El proceso de identificación garantiza la correlación de evidencia física (el dispositivo) y la evidencia electrónica (el contenido adquirido). LO1: Adquisición Forense I - Procedimiento Paso 2: Identificación (Ejemplo) Doña Jessica Estévez proporciona un ordenador portátil identificado con el número de serie 5CF6062X3P (el perito, a efectos documentales, etiqueta físicamente el dispositivo siendo identificado como <COMP001 >.), según consta en fotografías del anexo 1. Este dispositivo es propiedad de “BrainCorp” Doña Jessica Estévez constata que el dispositivo contiene correos electrónicos descargados durante el ejercicio de sus actividades laborales mediante la aplicación Microsoft Outlook, queriendo aportar como evidencia electrónica una selección o conjunto de éstos ubicados en la carpeta c:\COMP001. LO1: Adquisición Forense I - Procedimiento Paso 3: Copia de evidencia • Durante el proceso de adquisición forense es fundamental la generación de firmas digitales para cada uno de los ficheros a adquirir, esto garantiza que durante el proceso de verificación podamos constatar que la evidencia no ha sufrido ningún tipo de corrupción o modificación en el proceso de copia. • A modo de ejemplo, el fichero hola.txt con el contenido “HOLA MUNDO” tiene la firma 301186c604e14a7db0b5b7ec7149aadc. Este fichero, aun copiándolo mil veces o usando 1000 nombres diferentes, la firma siempre será la misma siempre y cuando el contenido no se modifique o corrompa. • Para procesos judiciales se utilizaran los algoritmos de reducción criptográfica MD5 y SHA1 generados por la herramienta software como "fciv" o “md5sum” o los generados por las propios sistemas hardware de clonación. • Existen otros algoritmos de reducción criptográfica en la actualidad, pero el uso extendido de estos, su uso combinado, las garantías de la herramienta usada y el procedimiento forense seguido asegura al 100% la confiabilidad. LO1: Adquisición Forense I - Procedimiento Paso 3: Copia de evidencia (Ejemplo) Doña Jessica Estévez enciende el dispositivo e introduce su contraseña personal para acceder al sistema, a continuación, abre la carpeta que contiene los correos a aportar contenidos en el fichero c:\COMP001\archivo-jessica.pst. El perito Don Mikel Want conecta una llave USB al sistema COMP001 a través de un bloqueador de escritura marca Tableau modelo T8-R2 y con número de serie 040823312, a la que el sistema COMP001 asigna la letra de unidad “E:”. Este USB contiene una herramienta designada por el perito como generador/verificador de firmas digitales (hash), llamada "fciv" y perteneciente al fabricante Microsoft A continuación ejecuta la herramienta en cuestión sobre el archivo evidencia objeto del proceso obteniendo las siguientes firmas digitales: MD5 2e3a8f9d55d0c9be896e53e78fec6a91 SHA-1 7cb2ffdaa29166cdc92aa61ae87950dbcf1dd899. LO1: Adquisición Forense I - Procedimiento Paso 3: Copia de evidencia (Ejemplo) El perito procede a conectar el multiconector insertando, esta vez secuencialmente, (para identificar las unidades asignadas por el sistema COMP001) las llaves IMG001, IMG002, a las que se le asignan las unidades I, H respectivamente y, con la finalidad de copiar el archivo “archivo-jessica.pst” desde el sistema <COMP001 > hacia los soportes conectados <IMG001>, <IMG002> Se procede a indicar a Doña Jessica Estévez que teclee, desde la ruta “c:\COMP001”, los siguientes comandos: copy archivo-jessica.pst i:\COMP001 copy archivo-jessica.pst h:\COMP001 LO1: Adquisición Forense I - Procedimiento Paso 3: Verificación • Para verificar que la información copiada no ha sufrido ningún cambio o corrupción, se vuelve a calcular la firma digital la copia del fichero en destino. • Si la firma en destino coincide con la firma en origen, la integridad de la información copiada esta verificada. LO1: Adquisición Forense I - Procedimiento Paso 3: Verificación (Ejemplo) El perito Don Mikel Want procede a verificar que las firmas digitales del archivo almacenado en cada llave son idénticas solicitando a Doña Jessica Estévez teclear desde la ruta “I:\COMP001” los comandos siguientes: E:\fciv.exe –md5 –sha1 archivo-jessica.pst E:\fciv.exe –md5 –sha1 h:\COMP001\archivo-jessica.pst Siendo el resultado coincidente con el fichero origen. LO1: Adquisición Forense I - Procedimiento Paso 4: Precintado y custodia • Permite asegurar que la evidencia se recolecto de manera adecuada, y está siendo preservada y guardada bajo unos mecanismos de custodia apropiada. • En este proceso se preserva la cadena de custodia que se refiere a una documentación cronológica, mostrando registros de los momentos de adquisición, custodia, control, transferencia, análisis y disposición de la evidencia, sea electrónica o física. • Para ello la evidencia electrónica es embolsada en bolsas de evidencia diseñadas para tal efecto: Cada bolsa de evidencia está identificada con un identificador único. Cada bolsa es rellenada con datos sobre su contenido, fechas, identificadores de caso… La propia bolsa permite rellenar los cambios en la cadena de custodia. El desprecintado de la bolsa o la extracción del contenido conlleva la destrucción de la propia bolsa, no siendo posible volver a cerrarla ni extraer su contenido. LO1: Adquisición Forense I - Procedimiento Paso 4: Precintado y custodia (Ejemplo) El perito Don Mikel Want embolsa los soportes copia generados con identificador <IMG001 >, <IMG002> en bolsas de evidencia quedando estas convenientemente selladas firmando, el Notario, dichos precintos: IMG001 --- Bolsa 159702 IMG002 --- Bolsa 159703 Las bolsa etiquetada 159702 se entregan a Don Jesús Pérez para su presentación en el juzgado. La bolsa etiquetada 159703 se entrega al Notario para su custodia. LO1: Adquisición Forense I - Ejercicio Ejercicio de Clase I Realizar una adquisición de un disco propiedad de la empresa M57. Como representante de la empresa se encuentra: Alison Smith Como notario: John Ridick Como propietario del disco: Jean La adquisición será del disco completo y utilizaremos una de estas dos herramientas: • • Dc3dd Ewfacquire La verificación la realizaremos dependiendo del método utilizado con md5sum o con ewfverify. Presentar un borrador de informe de la adquisición formal. LO1: Adquisición Forense I - Ejercicio Ejercicio de Clase II Realizar una adquisición de un disco propiedad de la empresa M57. Como representante de la empresa se encuentra: Alison Smith Como notario: John Ridick Como propietario del disco: Jean La adquisición será del fichero m57biz.xls y usaremos bloqueadora para realizar esta copia. La verificación la realizaremos dependiendo del método utilizado con md5sum o con fciv. Presentar un borrador de informe de la adquisición formal. ¡Muchas gracias! MIGUEL QUERO miguel.quero.rodriguez@gmail.com