Unidad 24
Forensics
LO1: Adquisición Forense I - Conceptos
Adquisición
•
Formalmente, la adquisición puede ser definida como el proceso ejecutado para
recolectar e identificar toda la información almacenada en los sistemas identificados como
sospechosos o bajo alcance (documentos, memoria, procesos, conexiones de red,
almacenamiento, código malicioso, etc.).
•
El proceso de adquisición debe ser realizado de manera estricta siguiendo los
procedimientos forenses, de tal manera que el investigador pueda probar de manera
irrefutable, llegado el momento, que no ha sido modificado o perdido durante el proceso,
asegurando la integridad de todos los artefactos.
•
Todos los procedimientos anteriormente descritos son válidos y pueden ser presentados
en cualquier momento en un procedimiento judicial si se requiere.
•
Durante el proceso de adquisición forense, todas las acciones realizadas deben ser
coordinadas y bien documentadas.
LO1: Adquisición Forense I - Conceptos
Preservación y Custodia
•
Permite asegurar que la evidencia se recolecto de manera adecuada, y está siendo
preservada y guardada bajo unos mecanismos de custodia apropiada.
•
En este proceso se preserva la cadena de custodia que se refiere a una documentación
cronológica, mostrando registros de los momentos de adquisición, custodia, control,
transferencia, análisis y disposición de la evidencia, sea electrónica o física.
LO1: Adquisición Forense I - Procedimiento
Paso 1: Preparación
•
En esta parte del proceso se personan todas las partes implicadas en la recogida de
evidencias electrónicas y se procede a verificar la autorización de usuario y propietarios,
además de dejar constancia del proceso por una tercera parte confiable.
LO1: Adquisición Forense I - Procedimiento
Paso 1: Preparación
1.1 Descripción: Dejar anotación del lugar, fecha, técnico, asistente y cualquier información
relevante al entorno del proceso de adquisición.
Fecha: DD/MM/YYYY
Hora: HH:MM
Perito: Mikel Want
Ubicación: Avenida de los Castillos 22, Madrid (Aranjuez)
Presentes:
Notario: Joaquín Sánchez
Cliente: Jesús Pérez
Cliente: Jessica Estévez
LO1: Adquisición Forense I - Procedimiento
Paso 1: Preparación
1.2 Autorización: Dejar anotación de que tanto el cliente como el usuario del dispositivo han
dado consentimiento expreso a la realización del proceso de adquisición.
“Constatar que tanto el cliente “BrainCorp” como los usuarios de los dispositivos electrónicos
adquiridos han dado su consentimiento expreso, como usuarios y propietarios, a este proceso
de adquisición de evidencias electrónicas.”
LO1: Adquisición Forense I - Procedimiento
Paso 1: Preparación
1.3 Fedatario: Dejar anotación de que todo el proceso es realizado ante notario quien
finalmente dará fe de que todo el proceso se ha realizado tal cual se describe en este
documento mediante un Acta Notarial.
“Todo el proceso es realizado ante notario quien finalmente dará fe de que todo el proceso se
ha realizado tal cual se describe en este documento mediante un Acta Notarial.”
LO1: Adquisición Forense I - Procedimiento
Paso 2: Identificación
Durante el proceso de identificación se anotan las características técnicas del dispositivo
tales como el número de serie y se etiqueta con un código identificativo temporal
(habitualmente de color rojo para identificar evidencia original).
El proceso de identificación suele ir acompañado de fotografías para mitigar erratas en las
anotaciones.
El proceso de identificación garantiza la correlación de evidencia física (el dispositivo) y la
evidencia electrónica (el contenido adquirido).
LO1: Adquisición Forense I - Procedimiento
Paso 2: Identificación (Ejemplo)
Doña Jessica Estévez proporciona un ordenador portátil identificado con el número de serie
5CF6062X3P (el perito, a efectos documentales, etiqueta físicamente el dispositivo siendo
identificado como <COMP001 >.), según consta en fotografías del anexo 1. Este dispositivo
es propiedad de “BrainCorp”
Doña Jessica Estévez constata que el dispositivo contiene correos electrónicos descargados
durante el ejercicio de sus actividades laborales mediante la aplicación Microsoft Outlook,
queriendo aportar como evidencia electrónica una selección o conjunto de éstos ubicados en
la carpeta c:\COMP001.
LO1: Adquisición Forense I - Procedimiento
Paso 3: Copia de evidencia
•
Durante el proceso de adquisición forense es fundamental la generación de firmas
digitales para cada uno de los ficheros a adquirir, esto garantiza que durante el proceso
de verificación podamos constatar que la evidencia no ha sufrido ningún tipo de
corrupción o modificación en el proceso de copia.
•
A modo de ejemplo, el fichero hola.txt con el contenido “HOLA MUNDO” tiene la firma
301186c604e14a7db0b5b7ec7149aadc. Este fichero, aun copiándolo mil veces o usando
1000 nombres diferentes, la firma siempre será la misma siempre y cuando el
contenido no se modifique o corrompa.
•
Para procesos judiciales se utilizaran los algoritmos de reducción criptográfica MD5 y
SHA1 generados por la herramienta software como "fciv" o “md5sum” o los generados
por las propios sistemas hardware de clonación.
•
Existen otros algoritmos de reducción criptográfica en la actualidad, pero el uso extendido
de estos, su uso combinado, las garantías de la herramienta usada y el procedimiento
forense seguido asegura al 100% la confiabilidad.
LO1: Adquisición Forense I - Procedimiento
Paso 3: Copia de evidencia (Ejemplo)
Doña Jessica Estévez enciende el dispositivo e introduce su contraseña personal para
acceder al sistema, a continuación, abre la carpeta que contiene los correos a aportar
contenidos en el fichero c:\COMP001\archivo-jessica.pst.
El perito Don Mikel Want conecta una llave USB al sistema COMP001 a través de un
bloqueador de escritura marca Tableau modelo T8-R2 y con número de serie 040823312, a la
que el sistema COMP001 asigna la letra de unidad “E:”.
Este USB contiene una herramienta designada por el perito como generador/verificador de
firmas digitales (hash), llamada "fciv" y perteneciente al fabricante Microsoft
A continuación ejecuta la herramienta en cuestión sobre el archivo evidencia objeto del
proceso obteniendo las siguientes firmas digitales:
MD5 2e3a8f9d55d0c9be896e53e78fec6a91
SHA-1 7cb2ffdaa29166cdc92aa61ae87950dbcf1dd899.
LO1: Adquisición Forense I - Procedimiento
Paso 3: Copia de evidencia (Ejemplo)
El perito procede a conectar el multiconector insertando, esta vez secuencialmente, (para
identificar las unidades asignadas por el sistema COMP001) las llaves IMG001, IMG002, a
las que se le asignan las unidades I, H respectivamente y, con la finalidad de copiar el
archivo “archivo-jessica.pst” desde el sistema <COMP001 > hacia los soportes conectados
<IMG001>, <IMG002>
Se procede a indicar a Doña Jessica Estévez que teclee, desde la ruta “c:\COMP001”, los
siguientes comandos:
copy archivo-jessica.pst i:\COMP001
copy archivo-jessica.pst h:\COMP001
LO1: Adquisición Forense I - Procedimiento
Paso 3: Verificación
•
Para verificar que la información copiada no ha sufrido ningún cambio o corrupción, se
vuelve a calcular la firma digital la copia del fichero en destino.
•
Si la firma en destino coincide con la firma en origen, la integridad de la información
copiada esta verificada.
LO1: Adquisición Forense I - Procedimiento
Paso 3: Verificación (Ejemplo)
El perito Don Mikel Want procede a verificar que las firmas digitales del archivo almacenado
en cada llave son idénticas solicitando a Doña Jessica Estévez teclear desde la ruta
“I:\COMP001” los comandos siguientes:
E:\fciv.exe –md5 –sha1 archivo-jessica.pst
E:\fciv.exe –md5 –sha1 h:\COMP001\archivo-jessica.pst
Siendo el resultado coincidente con el fichero origen.
LO1: Adquisición Forense I - Procedimiento
Paso 4: Precintado y custodia
•
Permite asegurar que la evidencia se recolecto de manera adecuada, y está siendo
preservada y guardada bajo unos mecanismos de custodia apropiada.
•
En este proceso se preserva la cadena de custodia que se refiere a una documentación
cronológica, mostrando registros de los momentos de adquisición, custodia, control,
transferencia, análisis y disposición de la evidencia, sea electrónica o física.
•
Para ello la evidencia electrónica es embolsada en bolsas de evidencia diseñadas para tal
efecto:




Cada bolsa de evidencia está identificada con un identificador único.
Cada bolsa es rellenada con datos sobre su contenido, fechas, identificadores de caso…
La propia bolsa permite rellenar los cambios en la cadena de custodia.
El desprecintado de la bolsa o la extracción del contenido conlleva la destrucción de la
propia bolsa, no siendo posible volver a cerrarla ni extraer su contenido.
LO1: Adquisición Forense I - Procedimiento
Paso 4: Precintado y custodia (Ejemplo)
El perito Don Mikel Want embolsa los soportes copia generados con identificador <IMG001 >,
<IMG002> en bolsas de evidencia quedando estas convenientemente selladas firmando, el
Notario, dichos precintos:
IMG001 --- Bolsa 159702
IMG002 --- Bolsa 159703
Las bolsa etiquetada 159702 se entregan a Don Jesús Pérez para su presentación en el
juzgado.
La bolsa etiquetada 159703 se entrega al Notario para su custodia.
LO1: Adquisición Forense I - Ejercicio
Ejercicio de Clase I
Realizar una adquisición de un disco propiedad de la empresa M57.
Como representante de la empresa se encuentra: Alison Smith
Como notario: John Ridick
Como propietario del disco: Jean
La adquisición será del disco completo y utilizaremos una de estas dos herramientas:
•
•
Dc3dd
Ewfacquire
La verificación la realizaremos dependiendo del método utilizado con md5sum o con
ewfverify.
Presentar un borrador de informe de la adquisición formal.
LO1: Adquisición Forense I - Ejercicio
Ejercicio de Clase II
Realizar una adquisición de un disco propiedad de la empresa M57.
Como representante de la empresa se encuentra: Alison Smith
Como notario: John Ridick
Como propietario del disco: Jean
La adquisición será del fichero m57biz.xls y usaremos bloqueadora para realizar esta copia.
La verificación la realizaremos dependiendo del método utilizado con md5sum o con fciv.
Presentar un borrador de informe de la adquisición formal.
¡Muchas gracias!
MIGUEL QUERO
miguel.quero.rodriguez@gmail.com