Programación al Extremo

Buscar en este blog

sábado, 9 de mayo de 2015

Que hacer ante un posible fraude informático
Fecha de Publicación:
Publicado por:
Seguir Seguir en twitter
Seguir Seguir en facebook
Seguir Seguir en Google+

Programación al Extremo : informática forense
¿Qué se debe hacer?

Lo primero que debemos de realizar necesariamente, es cuidar los dispositivos que contienen la evidencia donde se realizo el ataque, por lo cual se es imprescindible conservar estos elementos al momento de realizar el análisis forense en el equipo atacado, y muy sigilosamente realizar los respectivos procedimiento con el fin de no adulterar la información contenida en este, para llevar a cabo esto hay que seguir una serie de instrucciones las cuales se describen a continuación:

Aislamiento del sistema informático.

Para evitar que las pruebas contenidas en los equipos no se pierdan ni sean adulteradas es de suma importancia aislar la maquina afectada en conjunto con todos los dispositivos de almacenamientos que se encuentren en el momento (Cinta Magnética, Disco Duro, Disquette,Dispositivos Ópticos, Pc - Cards,  Flash Cards, Pen Drive, etc.), así como también los apuntes escritos a mano, como también los documentos que se encuentren cerca de la maquina afectada, ya que estos elementos podrían servir de valiosa información para el desarrollo de la investigación. 

Se deben seguir los siguientes procedimientos para el aislamiento tanto del equipo como de los elementos:

  • El acceso a estos elementos debe ser completamente restringido, incluyendo especialmente a la persona sospechosa de cometer la violación siempre debe estar alejada del equipo.

  • No se debe permitir el contacto con los medios de almacenamiento o el computador implicado en el incidente de seguridad ya que individuos con extensa experiencia pueden destruir todos los datos magnéticos en un disco duro.


Hay que tener bien claro que la simple visualización de un archivo o manipulación equivocada en el equipo atacado puede dar lugar a la alteración de la evidencia, ya que se cambian fechas de apertura del archivo y estos en un litigio legal ya no serán tenidos como evidencia original, y se pueden considerar inadmitidas como pruebas fehacientes dentro de un proceso penal, civil o administrativo.

Es por ello que dentro de un caso de delito informático la mas conveniente en aislar el sistema informático, pero si no es posible llevar a cabo esta labor debido a requisitos de funcionalidad , es recomendable no intentar ni recuperar la información, ni tampoco intentar ver los archivos.

La claridad de la evidencia.

La ley 527 del 18 de agosto de 1999, define en su Art. 5º “Reconocimiento jurídico de los mensajes de datos. No se negarán efectos jurídicos validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos”.

De igual forma, en su Art. 6º define que: “Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación,

Pero que es evidencia digital cualquier representación en forma electrónica dirigida a conservar y transmitir informaciones mediante mensajes de datos.

Partiendo de lo anteriormente dicho la evidencia digital tiene carácter probatorio ante cualquier proceso jurídico, ya que que esta evidencia se encuentra constituida por campos magnéticos y pulsos electrónicos, que se pueden recuperar y analizar con herramientas técnicas especializadas, con el fin de ser valoradas como tal, este proceso debe ser avalado por las leyes propias del lugar y deben ser acreditadas como evidencias por una entidad oficial.
   
La evidencia digital hace parte de la evidencia física, pero tiene como características propias que puede ser duplicada y copiada sin alteraciones respecto a la original. Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como prueba legal. 

Para que la evidencia garantice su valides probatoria debe reunir las siguientes características:

Autenticidad
Precisión
Suficiencia

Cuidados de la evidencia en la escena.
Frente a los equipos atacados, se hace necesario tener en cuenta las siguientes observaciones:

Esterilidad de los medios informáticos de trabajo
Verificación de las copias en medios informáticos

Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados

El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. 

Mantenimiento de la cadena de custodia de las evidencias digitales

La norma es clara y establece la obligación que tiene el legislador de realizar la debida cadena de custodia de las evidencias digitales. El investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que  se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de las pruebas a su cargo.

Informe y presentación de resultados de los análisis de los medios informáticos

La inadecuada presentación de los resultados puede llevar a falsas expectativas o interpretación de los hechos que ponga en entredicho la idoneidad del investigador. Generalmente existen dos tipos de informes, los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias.

Administración del caso realizado

Los investigadores forenses, en informática deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después. 

Auditoria de los procedimientos realizados en la investigación

Es recomendable que el profesional investigador, mantenga un ejercicio de autoevaluación de sus procedimientos, para contar con la evidencia de una buena práctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA - Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina.

Los procedimientos llevados a cabo se dividen en las siguientes etapas:

Identificación
Validación y preservación de los datos adquiridos
Análisis y descubrimiento de evidencia
Informe
Fase de Identificación

Etapa 1: Levantamiento de información inicial para el Análisis Forense

La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis. 

La información incluida en el documento debe ser la siguiente:

Descripción Del Delito Informático
Información General
Información Sobre El Equipo Afectado

Esto no está incluido dentro del análisis forense, pero es significativo en los siguientes pasos. Esta fase está dividida en dos procesos iníciales que son:

Etapa 2: Asegurar la escena

Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas, se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología.

Identificar las evidencias

El siguiente paso y muy importante es la identificación de la evidencia presentada en nuestra escena del “crimen”, la misma que estará sujeta a todos los procesos necesarios para la presentación de resultados finales, la evidencia se clasificara según:

  • Tipo de dispositivo
  • Modo de almacenamiento


Fase de Validación y preservación. 

En esta fase, es imprescindible definir los métodos adecuados para el almacenamiento y etiquetado de las evidencias.  Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas evidencias a toda costa. 

Para ello se sigue el siguiente proceso:

Etapa 1: Copias de la evidencia.

Etapa 2: Cadena de custodia

Fase de Análisis

Etapa 1: Preparación para el análisis

Antes de comenzar el análisis de las evidencias se deberá:

  • Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar.
  • Trabajar con las imágenes que se recopiló como evidencias, o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
  • Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
  • Instalar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo computador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.
  • En otro equipo instalar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros. 


Etapa 2: Reconstrucción del ataque

Cuando se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza, se procede con la ejecución de los siguientes pasos:

Crear una línea temporal o timeline de sucesos, para ello se debe recopilar la siguiente información sobre los ficheros:


- Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado).
- Ruta completa.
- Tamaño en bytes y tipo de fichero.
- Usuarios y grupos a quien pertenece.
- Permisos de acceso.
- Si fue borrado o no.
  • Ordenar los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros más antiguos.


A modo de guía centrarse en la siguiente búsqueda:

  • Los archivos de sistema modificados tras la instalación del sistema operativo.
  • Averiguar la ubicación de los archivos ocultos, de qué tipo son.
  • Identificar también los archivos borrados o fragmentos de éstos, pues pueden ser restos de logs y registros borrados por los atacantes, destacar la importancia de realizar imágenes de los discos pues se puede acceder al espacio residual que hay detrás de cada archivo, (recordar que los ficheros suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve.
  • Pensar que está buscando “una aguja en un pajar”, por lo que se deberá ser metódico, ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado y compararla con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque. 
  • Comenzar a examinar con más detalle los ficheros logs y registros que se examinaron durante la búsqueda de indicios del ataque, intentar buscar una correlación temporal entre eventos. Pensar que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones específicas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modificación de usuarios, estado del sistema, etc. Por lo que tendrá que buscar entradas extrañas y compararlas con la actividad de los ficheros. Editar también el archivo de contraseñas y buscar la creación de usuarios y cuentas extrañas sobre la hora que considere se inició el ataque del sistema.


Etapa 3: Determinación del ataque

Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha. El siguiente proceso permitirá conocer que acciones realizo el atacante:

  • Revisar los servicios y procesos abiertos que se recopilaron como evidencia volátil, así como los puertos TCP/UDP y conexiones que estaban abiertas cuando el sistema estaba aún funcionando. 
  • Si ya se tiene claro cuál fue la vulnerabilidad que dejó el sistema desprotegido, es necesario ir un paso más allá y buscar en Internet algún exploits7 anterior a la fecha del incidente, que utilice esa vulnerabilidad. 
  • Reforzar cada una de las hipótesis empleando una formulación causa - efecto, también es el momento de arrancar y comenzar a utilizar la máquina preparada como “conejillo de Indias”.
Etapa 4: Identificación del atacante.

Si ya se logró averiguar cómo entraron en el sistema, es hora de saber quién o quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones. Pero si se decide perseguir a los atacantes, se deberá:

  • Realizar algunas investigaciones como parte del proceso de identificación.


Al tener una IP sospechosa, comprobarla en el registro Ripe Ncc
(www.ripe.net) o la Icann a quién pertenece. 

  • Utilizar técnicas hacker pero solo de forma ética, para identificar al atacante, por si el atacante dejó en el equipo afectado una puerta trasera o un troyano, está claro que en el equipo del atacante deberán estar a la escucha esos programas y en los puertos correspondientes, bien esperando noticias o buscando nuevas víctimas.


Etapa 5: Perfil del atacante

Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos detalles se podrá encontrar los siguientes tipos:

Hackers

SciptKiddies

Profesionales

Etapa 6: Evaluación del impacto causado al sistema

Para poder evaluar el impacto causado al sistema, el análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitirá evaluar el compromiso de los equipos y realizar una estimación del impacto causado. Generalmente se pueden dar dos tipos de ataques:

Ataques pasivos
Ataques activos

Publicar un comentario