Metodología Básica de Análisis Forense – Parte 2 de 4

Continuamos con la segunda parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la primera parte, puedes verla aquí.

Adquisición:

En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la informacion de la evidencia sea igual a la original.

Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.

Iniciar una Bitácora, que nos permita documentar de manera precisa identificar y autenticar los datos que se recogen, tipo:

  • ¿Quién realiza la acción y por qué lo hicieron.
  • ¿Qué estaban tratando de lograr?
    ¿Cómo se realiza la acción, incluidas las herramientas que utilizaban y los procedimientos que siguieron.
    Cuando se realizó la acción (fecha y hora) y los resultados.

De igual forma, se toman otras fuentes de informacion de los sistemas vivos, los datos volatiles como:

  • Cache del Sistema
  • Archivos temporales
  • Registros de sucesos.
  • Registros de internos y externos que los dispositivos de red, tales como firewalls, routers, servidores proxy,etc.
  • Logs del sistema, Aplicaciones.
  • Tablas de enrutamiento (arp, cache de Netbios, lista de procesos, informacion de la memoria y el kernel)
  • Registros remotos e información de monitoreo relevante

Realizar copia imagen de los dispositivos (bit a bit), con una herramienta apropiada (ver anexo de herramientas), Y firmar su contenido con un hash de MD5 o SHA1, generando asi el segundo original, apartir de este se generaran las copias para el Analisis de datos, cada copia debe ser comprobada con firmas digitales nuevemente de MD5 o SHA1. Documente la evidencia con el documento del embalaje (y cadena de custodia) que puedan garantizar que se incluye información acerca de sus configuraciones. Por ejemplo, anote el fabricante y modelo, configuración de los puentes, y el tamaño del dispositivo. Además, tenga en cuenta el tipo de interfaz y de la condición de la unidad.

Importante considerar las buenas practicas para conservar la informacion y la evidencia.

  • Asegurar de manera fisica un lugar para almacenar los datos, evitando su manipulacion. No olvide documentarlo.
  • Proteger los equipos de almacenamiento de los campos magnéticos (estatica).
  • Realice minimo el segundo original y una copia del segundo original para el analisis y almacene el segundo original en un sitio seguro
  • Asegurar que la evidencia está protegido digital y físicamente (por ejemplo, en una caja fuerte, asignar una contraseña a los medios de almacenamiento).
    Nuevamente, no olvide actualizar el documento de Cadena de custodia (incluye información como el nombre de la persona que examina la evidencia, la fecha exacta y el tiempo que echa un vistazo a las pruebas, y la fecha exacta y hora en que lo devuelva).
  • Se pretende que esta informacion sea:
  • Autentica
  • Correcta
  • Completa
  • Convincente

Para que en caso de un proceso sea legal, admisible.

Subir