Español | English
rss facebook linkedin Twitter

Análisis forense

Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar la investigación.

En el ámbito de los sistemas informáticos, a la Ciencia Forense se le llama Análisis Forense Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos "tradicionales" (homicidios, fraude financiero, narcotráfico...), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, intrusiones, "hacking", spam, phishing... . Dicho de otra manera, se define el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.

Un incidente de seguridad informática puede considerarse como un violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos, como por ejemplo: Incidentes de denegación de servicios, de código malicioso, de acceso no autorizado, por uso inapropiado, incidente múltiple....
Los incidentes en la realidad pueden enmarcarse en varias categorías de las anteriormente mencionadas, por lo que una buena forma de identificarlos puede ser el mecanismo de transmisión empleado.


En el análisis forense digital pueden diferenciarse las siguientes fases:

  1. Identificación del incidente: descubrir las señales de ataque.
  2. Recopilación de evidencias: registros y contenidos de la caché, contenidos de la memoria, estado de las conexiones de red, tablas de rutas, estado de los procesos en ejecución, contenido de archivos y discos duros...
  3. Preservación de la evidencia: realizar copias, métodos adecuados para el almacenamiento y etiquetado de las evidencias.
  4. Análisis de la evidencia: acondicionar un entorno de trabajo adecuado, reconstrucción de la secuencia temporal del ataque, determinación de cómo se realizó el ataque, identificación del autor del incidente y evaluación del impacto causado al sistema.
  5. Documentación y presentación de los resultados: utilización de formularios de registro de incidente, informe técnico e informe ejecución.

Una vez que hemos pasado la primera fase del análisis y estamos seguros de que nuestro sistema informático ha sido atacado, debemos decidir qué es más importante para nosotros: tener nuevamente operativo nuestro sistema o realizar una investigación forense detallada.

Los administradores lo primero que suelen hacer es devolver a la normalidad el sistema, aunque así puedan perder casi todas las evidencias del ataque, y ello impida llevar a cabo acciones legales posteriores si fuera necesario. En sistemas SCADA, una vez identificado el incidente la única opción que tenemos es la de restablecer el sistema, ya que sería impensable dejar de suministrar gas, agua.... y comenzar con un análisis forense, ya que son sistemas críticos. Por ello, una posible solución sería registrar todo tipo de evento que pueda suceder en cualquier dispositivo de nuestro sistema.

En las redes SCADA hay dispositivos que son capaces de registrar eventos, sin embargo, existen otros que no lo son (PLC, RTU...), así una buena solución sería establecer soluciones de software que puedan registrar dichos eventos de estos dispositivos SCADA. Los PLC y RTU´s suelen utilizar protocolos concretos (ModbusTCP, DNP3, IEC104, ...) que tendrán que ser interpretados por este software, de tal modo que permita determinar que información es la que se desea registrar.

En ocasiones esto no es suficiente y es necesario además incluir una ultima interpretación de lo que está sucediendo en la red para crear el registro necesario de estos eventos, como por ejemplo, se está actualizando un firmware en un dispositivo y esta actualización NO se ha completado con éxito, todo ello con el fin de disponer de toda la información suficiente para realizar un análisis forense más completo.

Iker Berriozabal
S21Sec labs

3 comentarios:

Txalin dijo...

Aquel que quiera aprender sobre analisis forense no puede dejar de visitar esta pagina (No es spam, solo informacion :) ):
http://conexioninversa.blogspot.com/

De Pedro Sanchez, un guru en estos temas que va mostrando distintos casos de analisis forense a distintos elementos, moviles, windows, etc...

Asfasfos dijo...

Recomiendo también el blog de Pedro Sanchez, un auténtico experto en análisis forense!!!

Anónimo dijo...

Que alguien le diga a Pedro Sanchez que mantenga a sus perros atados

:)


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login