Metodología Básica de Análisis Forense – Parte 2 de 4
Continuamos con la segunda parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la primera parte, puedes verla aquí.
Adquisición:
En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la informacion de la evidencia sea igual a la original.
Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.
Iniciar una Bitácora, que nos permita documentar de manera precisa identificar y autenticar los datos que se recogen, tipo:
- ¿Quién realiza la acción y por qué lo hicieron.
- ¿Qué estaban tratando de lograr?
¿Cómo se realiza la acción, incluidas las herramientas que utilizaban y los procedimientos que siguieron.
Cuando se realizó la acción (fecha y hora) y los resultados.
De igual forma, se toman otras fuentes de informacion de los sistemas vivos, los datos volatiles como:
- Cache del Sistema
- Archivos temporales
- Registros de sucesos.
- Registros de internos y externos que los dispositivos de red, tales como firewalls, routers, servidores proxy,etc.
- Logs del sistema, Aplicaciones.
- Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, informacion de la memoria y el kernel)
- Registros remotos e información de monitoreo relevante
Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada (ver anexo de herramientas), Y firmar su contenido con un hash de MD5 o SHA1, generando asi el segundo original, apartir de este se generaran las copias para el Analisis de datos, cada copia debe ser comprobada con firmas digitales nuevemente de MD5 o SHA1. Documente la evidencia con el documento del embalaje (y cadena de custodia) que puedan garantizar que se incluye información acerca de sus configuraciones. Por ejemplo, anote el fabricante y modelo, configuración de los puentes, y el tamaño del dispositivo. Además, tenga en cuenta el tipo de interfaz y de la condición de la unidad.
Importante considerar las buenas practicas para conservar la informacion y la evidencia.
- Asegurar de manera fisica un lugar para almacenar los datos, evitando su manipulacion. No olvide documentarlo.
- Proteger los equipos de almacenamiento de los campos magnéticos (estatica).
- Realice minimo el segundo original y una copia del segundo original para el analisis y almacene el segundo original en un sitio seguro
- Asegurar que la evidencia está protegido digital y físicamente (por ejemplo, en una caja fuerte, asignar una contraseña a los medios de almacenamiento).
Nuevamente, no olvide actualizar el documento de Cadena de custodia (incluye información como el nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que echa un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva). - Se pretende que esta informacion sea:
- Autentica
- Correcta
- Completa
- Convincente
Para que en caso de un proceso sea legal, admisible.