El Maletín Del Investigador Forense.

 

En la actualidad existen una serie de maletines que facilitan las tareas para los investigadores, se trata de un completo y auténtico laboratorio forense portátil.

En las investigaciones forenses se requieren precauciones extremas y un alto grado de pericia. Un investigador debe estar capacitado para preservar las evidencias digitales, analizar los datos y proveer un testimonio que podría determinar un veredicto en un juicio. Esto de forma reducida, ya que la metodología dicta los siguientes 7 pasos:

  1. Identificación de la evidencia

  2. Preservación de la evidencia

    *Esterilidad (láser, bandas magnéticas)

  3. Extracción

    *Verificar copia (Imagen forense, hash, firma digital, software validado)

  4. Análisis

  5. Interpretación

  6. Documentación

    *versiones de software usado (para poder ser reproducido por un tercero) *cadena de custodia (custodia de todos los elementos llegados al caso. ¿Quién la entregó, ¿Cómo, ¿Dónde, ¿Quién ha accesado?)

  7. Presentación de los hechos

    *Informe y presentación de análisis (hay que hablar sin tecnicismos)
    *Administración del caso realizado (Los forenses declaran ante juez y pueden ser llamados a declarar mucho tiempo después)
    *Auditoría de los procedimientos realizados en la investigación (PHVA)

Para realizar este tipo de análisis, el investigador debe valerse del hardware y el software necesario para analizar todo tipo de plataformas y aplicaciones, trabajando a partir de duplicados de la evidencia original (conocidos como imagen forense) y proporcionando resultados repetibles.

Como es de esperares, hacerse de una de estas estaciones forenses no es nada económico y elegirlas correctamente puede llegar a ser un auténtico reto.

Requisitos de hardware

Primero es imprescindible que la estación de trabajo forense sea ampliable y que el investigador sea capaz de reconfigurar el sistema esto con el fin de abastecer las necesidades adicionales.

Los nuevos procesadores Intel o AMD será más que suficiente para la mayoría de las investigaciones. Aunque en algunas ocasiones será necesario comparar los hashes de una gran cantidad de ficheros o buscar palabras clave en el disco duro, la velocidad de proceso dependerá de la velocidad de acceso a la unidad, por lo que en lugar de invertir en un procesador muy potente será necesario centrarse en conseguir la velocidad más alta posible de bus I/O para que el sistema puede acceder rápidamente a los datos almacenados en el disco. Poco a poco vemos implementaciones de nuevos puertos como USB 3.0 o el más reciente ThunderBolt de Apple que promete velocidades de hasta 10 Gbps.

En cuanto a la capacidad de almacenamiento de las evidencias dependerá del nivel y la periodicidad de los análisis forenses que se realicen. Por ejemplo es muy probable que con 4 unidades de 400 GB en RAID cinco podamos llegar a almacenar los datos de al menos 15 investigaciones. Respecto a las capacidades para clonado de discos, es importante tener duplicados de disco con varias interfaces ATA, IDE, SSCSI e incluso USB y Firewire. Algunos duplicadores funcionan en modo ‘espejo’, permitiendo a un investigador escribir copias de 2 unidades simultáneamente y teniendo una redundancia tan importante hoy en día en los análisis forenses.

Otro aspecto importante que debe incluir todo buen maletín son los write blockers o protectores de escritura. Debido a que muchos sistemas operativos escriben datos en el disco nada más encender el equipo, muchos investigadores optan por el uso de bloqueadores hardware para prohibir cualquier modificación durante el duplicado. Un write blocker no es más (ni menos) que una herramienta diseñada para interceptar las comunicaciones entre el sistema operativo y el medio de almacenamiento (por lo general un disco duro ATAPI) filtrando las E/S que solicitan la modificación de los datos.

Requisitos de Software

Ahora pasando al lado del software, no hay un entorno definitivamente mejor que otro para nuestra estación de trabajo forense. Sin embargo hay que tener en cuenta también una serie de consideraciones.

  • Un sistema operativo estable, multiusuario, con capacidad para loggear (registrar) los eventos de hardware relevantes y datos de las sesiones. Debe ser un sistema modular, que soporte diferentes periféricos y sistemas de ficheros.
  • Necesario tener control absoluto de los servicios y de cómo de montan las particiones y dispositivos para preservar la evidencia durante el análisis.
  • De preferencia instalar un sistema multiarranque o virtualizar.
Algunos maletines en el mercado


Logicube Portable Forensic Lab: incluye conectividad a dispositivos IDE/UDMA, SCSI, SATA, acceso PCMCIA para dispositivos portátiles, acceso USB, dispositivos de 1.8″ y 2.5″ con adaptadores opcionales, medios Compact Flash y la mayoría de las tarjetas de memoria. Permite autenticación MD5 o SHA-256 para asegurar que la integridad de las evidencias y opcionalmente se puede adquirir el capturador de datos Forensic Talon capaz de capturar imágenes DD a una velocidad de 4Gb/min con SHA-256.

DIBS Mobile Forensic Workstation: destaca un interfaz de protección contra escritura con conexión IEEE 1394 (Firewire). Su maletín es resistente al agua y los impactos e incluye cámara digital para grabar “la escena del crimen” y los detalles del equipo e incluso una impresora a color. Viene preinstalado con Windows XP y algunas utilidades forenses como Forensic Toolkit y Registry Viewer.

RoadMASSter 3 Mobile Forensics Data Acquisition and Analysis Computer Lab: posee una amplia variedad de interfaces para dispositivos (IDE, SATA, SCSI, SAS, USB, 1394A/B), permite hashing MD5, CRC32, SHA1 y SHA2, múltiples métodos de captura y copiado simultáneo. Uno de los más completos (y caros) del mercado.

a poco no son el sueño de todo investigador .. saludos

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: