Tema 1 – Adopción de pautas de seguridad informáticaPunto 8 – Análisis Forense

Juan Luis Cano

El análisis forense de sistemas tiene como objetivo averiguar lo ocurrido durante un incidente de seguridad utilizando varios métodos.

Se busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente: el origen del problema, qué información ha sido afectada y en qué grado, y finalmente cuándo, dónde, cómo y por qué se originó el ataque.

¿Qué es el análisis forense?

El análisis forense pasa por varias fases, que abarcan desde el momento del ataque o desastre hasta obtener todos los detalles del mismo, analizados en un informe.

Funcionalidad y Fases

El análisis forense pasa por cuatro pasos o fases, detalladas en la siguiente imagen:

Se explicarán mas detalladamente:

Fases del análisis forense (I)

1) Identificación: Es muy importante conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación.

2) Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar, en el siguiente paso, toda la información contenida y borrada del disco duro.

Fases del análisis (I)

3) Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina.

4) Presentación: Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos.

Fases del análisis (II)

La respuesta a incidentes es la capacidad de reaccionar anta un problema informático y darle una solución rápida y eficaz.

Respuesta a incidentes

Para responder correctamente a cualquier incidente, se necesita lo siguiente:

Minimizar la cantidad y gravedad de los incidentes de seguridad.

Crear un CSIRT principal (Computer Security Incident Response Team, Equipo de respuesta a incidentes de seguridad informática).

Definir un plan de respuesta a incidentes. Contener los daños y minimizar los riesgos.

Elementos necesarios para una respuesta a incidentes eficaz

Al realizar la investigación y el análisis forense, es imprescindible obtener las diversas capturas de las evidencias que se detecten. 

Análisis de evidencias digitales

Por evidencia entendemos toda información que podamos procesar en un análisis. Por supuesto que el único fin del análisis de las evidencias es saber con la mayor exactitud qué fue lo que ocurrió.

Por evidencia digital se entiende:

Evidencias digitales

El último acceso a un fichero o aplicación (unidad de tiempo)

Un Log en un fichero Una cookie en un disco duro El uptime de un sistema (Time to live o tiempo

encendido) Un fichero en disco Un proceso en ejecución Archivos temporales Restos de instalación Un disco duro, pen-drive, etc...

Como el análisis forense es tan extenso, hay varias herramientas utilizables para cada una de sus fases y de cada uno de los comportamientos que pueda tomar la investigación.

Herramientas de análisis forense

Algunas de estas herramientas son:

EnCase: Esta herramienta tiene varias opciones para analizar y recuperar los archivos que puedan haber sido dañados, eliminados o sustraídos durante un ataque.

Keylogger: Bien usada, esta herramienta permite saber las actividades de un ordenador, ya que guarda y envía todo lo escrito por el teclado a una dirección conocida.

…

Algunas herramientas

Tema 2 – Seguridad Activo