Tema 3.2: Acotando la escena del crimen

Questions and Answers

Qu accin NO se considera una prctica estndar al acotar la escena de un crimen digital?

• Determinar qu equipos o dispositivos se usarn.
• Identificar qu elementos no son necesarios para la adquisicin.
• Instalar software de monitoreo en todos los dispositivos conectados a la red. (correct)
• Analizar qu dispositivos se deben adquirir.

En el contexto de la informtica forense, cul es la principal funcin de un algoritmo hash?

• Comprimir la informacin para facilitar el almacenamiento.
• Recuperar datos borrados o daados.
• Generar una huella digital nica de un conjunto de datos. (correct)
• Encriptar la informacin para protegerla contra accesos no autorizados.

Cul de las siguientes NO es una propiedad deseable de una funcin hash en el mbito forense?

• Resistencia a colisiones.
• Determinismo.
• Unidireccionalidad.
• Alto coste computacional. (correct)

En la preparacin para la adquisicin de evidencia digital, cul es el propsito principal de utilizar un bloqueador de escritura?

Prevenir la modificacin de la evidencia original durante el proceso de adquisicin. (C)

Cul es el objetivo principal del borrado seguro de un disco duro antes de ser utilizado en una adquisicin forense?

Eliminar cualquier dato preexistente, garantizar que no interfiera con la nueva evidencia. (D)

Cul es la diferencia fundamental entre una imagen forense y un clonado forense?

Una imagen forense es un archivo, mientras que un clonado es una copia fsica del dispositivo. (B)

En qu situacin sera ms apropiado realizar una adquisicin en caliente (Live Response Acquisition)?

Cuando se necesita preservar datos voltiles como la memoria RAM. (D)

Qu implica realizar una adquisicin fsica de un disco duro?

Copiar el disco duro sector por sector. (B)

Segn la norma ISO 27037, qu distingue la 'recoleccin' de la 'adquisicin' de evidencias digitales?

La recoleccin es el paso previo de identificacin y traslado de los dispositivos, mientras que la adquisicin es la obtencin de la informacin contenida en esos dispositivos. (D)

Qu paso NO forma parte de la recoleccin en fro de un dispositivo?

Realizar una imagen forense. (A)

En una recoleccin en caliente, qu se debe hacer si se sospecha que los datos se corrompern con un apagado abrupto?

Realizar un apagado limpio del sistema. (B)

Despus de realizar una copia de la evidencia digital, qu paso es crucial para mantener la cadena de custodia en una adquisicin en fro?

Calcular el hash de la evidencia original y de la copia, y comparar los resultados. (A)

Por qu el clculo de hash de la evidencia original es poco til en una adquisicin 'en caliente'?

Las adquisiciones en caliente siempre modifican la evidencia original. (B)

En qu escenarios la norma ISO 27037 considera apropiada una 'adquisicin parcial'?

Cuando el tamao del dispositivo es muy grande, el sistema es crtico o la informacin relevante es limitada. (A)

En la prctica de la informtica forense, cul es el papel de un fedatario pblico o notario durante la adquisicin de evidencia digital?

Supervisar y documentar el proceso de adquisicin para asegurar su validez legal. (B)

Qu implicacin tiene la 'inyectividad' de una funcin hash en el contexto forense?

Asegura que la funcin sea reproducible, generando el mismo hash para la misma entrada. (A)

Cul es la principal razn para evitar el uso de programas o scripts diseados para la limpieza de datos durante una adquisicin forense?

Pueden ejecutar funciones que alteren o borren evidencia relevante. (D)

Cul de las siguientes opciones representa una desventaja del uso de bloqueadores de escritura por software en comparacin con los bloqueadores de hardware?

Pueden no impedir la escritura a bajo nivel. (A)

En el contexto de la adquisicin de evidencia digital, qu significa que un disco duro ha sido 'sanitizado'?

Ha sido sometido a un proceso de borrado seguro. (D)

Al llevar a cabo una adquisicin forense 'en caliente', qu medida es crucial para garantizar la integridad de la evidencia?

Documentar el proceso mediante un tercero de confianza. (B)

Cul de las siguientes situaciones no justifica la realizacin de una adquisicin parcial segn la norma ISO 27037?

El tiempo disponible es limitado. (C)

Respecto a la preservacin de la evidencia digital, cul es la funcin de un 'tercero de confianza' durante una adquisicin forense en caliente?

Documentar el proceso para asegurar su validez al modificarse los datos originales. (D)

Por qu es importante documentar la ubicacin y datos identificativos de los dispositivos de almacenamiento encontrados en la escena de un incidente?

Para garantizar la integridad de la evidencia y permitir su identificacin y trazabilidad. (B)

Cuando se realiza una adquisicin forense de un disco duro, qu se entiende por 'estructura lgica'?

La forma en que el sistema operativo organiza y gestiona los archivos y directorios en el disco. (D)

Cul de los siguientes no es un programa utilizado para borrado seguro?

Photorec. (C)

En el contexto de la informtica forense, si se obtiene el mismo hash para dos archivos diferentes, qu se puede concluir?

Hay una colisin en el algoritmo hash. (D)

Cul es el principal objetivo de acordonar la escena digital del crimen?

Todas las anteriores. (D)

En qu situaciones es recomendable el uso de distribuciones Linux forenses para bloquear la escritura de un disco?

Para realizar la lectura sin riesgo de modificacin. (B)

Durante la fase de preparacin para la recoleccin en fro de un dispositivo qu accin NO se considera apropiada?

Ejecucin de un programa para la creacin de una imgen forense. (A)

Durante el procedimiento de recoleccin en caliente, qu accin debemos considerar en caso de no requerir datos voltiles del equipo?

Podemos proceder directamente a un apagado forense. (C)

En los procedimientos especiales de adquisicin de datos, qu tipo de adquisicin se llevara a cabo en un servidor de base de datos que presenta informacin relevante para nuestra investigacin, pero no se puede apagar debido a su criticidad?

Adquisicin en caliente. (D)

Un analista forense se enfrenta a un disco duro de gran capacidad, pero solo necesita analizar los correos electrnicos de un usuario especfico. Qu tipo de adquisicin sera la ms adecuada segn la norma ISO 27037?

Adquisicin parcial. (C)

Qu accin contradice las directrices de la recoleccin de evidencia en fro?

Conectar el disco duro a un sistema operativo sin proteccin de escritura para examinar archivos. (A)

Un tcnico forense requiere generar el hash de una evidencia, pero su equipo tiene limitados recursos. Qu algoritmo hash sera el ms adecuado?

MD5 (B)

Estamos realizando un anlisis forense, donde por error encendemos el equipo. Qu pasos se deben considerar para evitar la alteracin de la informacin?

Documentar inmediatamente la accin para dejar constancia de la posible alteracin de la evidencia. (A)

Selecciona la opcin donde los pasos para preservar la evidencia durante adquisicin en fro estn ordenados correctamente.

Realizar un hash a la informacin a adquirir (HA1), realizar un hash a la informacin adquirida (HA2), realizar un tercer hash a la informacin adquirida (HB). (D)

Se esta realizando un anlisis sobre un caso donde se requiere realizar la adquisicin de la memoria RAM. Seleccione la opcin correcta.

Es recomendable la presencia de un tercero de confianza para documentar el proceso y realizar una adquisicin en caliente. (B)

Para prevenir la manipulacin de la informacin, durante la adquisicin fsica de la evidencia, qu medida NO se debe emplear?

Utilizar un equipo 'puente' sin proteccin contra escritura. (D)

Qu algoritmo hash se podra utilizar para garantizar la integridad de la transferencia de un archivo?

Cualquiera de los anteriores. (C)

Cul de estas opciones describe de mejor forma el uso de un bloqueador de escritura?

Hardware o software que impide la modificacin de la informacin original. (B)

Flashcards

¿Qué significa acotar la escena del crimen?

Determinar sobre qué equipos o dispositivos se debe actuar durante una adquisición.

¿Qué es una función hash?

Función matemática que transforma datos de entrada en una cadena de longitud fija.

Bajo coste computacional

No consume muchos recursos y se puede realizar con cualquier equipo.

Compresión (hash)

La salida es una cadena de pocos caracteres, más manejable que la entrada original.

Inyectividad (hash)

Para cada entrada se genera un hash diferente.

Unidireccionalidad (hash)

De una entrada A se obtiene un resultado B, pero de B no se puede inferir A.

Determinista (hash)

Con la misma entrada A, la salida siempre será el mismo conjunto de caracteres B.

Resistencia a colisiones (hash)

Encontrar dos entradas diferentes con la misma salida.

Uso forense de funciones hash

Comparar archivos y verificar si son exactamente iguales.

¿Qué es MD5?

Abreviatura de Message-Digest algorithm 5, genera salidas de 128 bits.

¿Qué es SHA1?

Abreviatura de Secure Hash Algorithm, genera salidas de 160 bits.

¿Qué es SHA2?

Versión del algoritmo SHA, genera salidas de 224, 256, 384 o 512 bits.

¿Qué es SHA3?

Última versión del algoritmo SHA. Al igual que SHA2, genera salidas de 224, 256, 384 o 512 bits.

¿Qué es un bloqueador de escritura?

Herramienta (hardware o software) que impide la escritura sobre un dispositivo de almacenamiento.

¿Qué es el borrado seguro?

Sobrescribe la información original para que no pueda ser recuperada.

¿Cuándo se realiza el borrado seguro?

Cuando se va a desechar un dispositivo o reutilizarlo para otro caso.

¿Qué es una imagen forense?

Copia exacta de un dispositivo físico almacenada en un archivo.

¿Qué es un clonado forense?

Copia exacta bit a bit de un dispositivo físico en otro dispositivo físico similar.

Adquisición en frío

Cuando el dispositivo a analizar se encuentra apagado o desconectado.

Adquisición en caliente

Cuando el dispositivo a analizar se encuentra encendido.

Adquisición física

Se copia toda la información contenida en el dispositivo, igual del origen al destino.

Adquisición lógica

La copia se limita a un volumen o parte de este.

¿Qué es ISO 27037:2016?

Norma para la identificación, recolección, adquisición y preservación de evidencias digitales.

¿Qué es la recolección de evidencias?

El proceso de recopilación de los elementos físicos que pueden contener una potencial evidencia digital.

¿Qué es la adquisición de evidencias?

La obtención de la información contenida en los dispositivos que contienen evidencias digitales.

Supuestos especiales en la adquisición

Dispositivos críticos, adquisiciones parciales y dispositivos de almacenamiento.

Study Notes

Tema 3. Adquisición de evidencias digitales

• El tema trata sobre la adquisición de evidencias, uno de los puntos más importantes dentro del análisis forense.
• La invalidación de una prueba es el principal problema, debido a cuestiones de procedimiento.
• Las notas se basan en la recomendación ISO/IEC 27037:2016.
• Los alumnos deberán comprender el procedimiento de adquisición de evidencias según la norma, entender la casuística específica en los diferentes tipos de adquisición, realizar la adquisición de manera práctica con herramientas forenses, iniciar una cadena de custodia, y acotar debidamente la escena del crimen.

3.2. Acotando la escena del crimen

• Lo primero es determinar sobre qué equipos o dispositivos se debe actuar.
• El modo de trabajo es apersonarse en las instalaciones, acompañados de un fedatario público o testigos.
• Se debe analizar exactamente qué se va a tener que adquirir y qué elementos no son necesarios; esto se denomina "acotar la escena del crimen".
• En los casos vinculados a empresas, un escenario habitual de trabajo es el puesto de un empleado relacionado con el caso y su equipo (ordenador personal, pendrives USB o discos duros).
• El ordenador está conectado a un servidor corporativo que se utiliza para almacenar ficheros o, incluso, para acceder a algún tipo de aplicación corporativa que centraliza su información en un servidor de bases de datos.
• El correo probablemente esté en un servicio de la nube como Google Workspace o Microsoft Office 365.
• Para acotar la escena del crimen, se debe responder a dos preguntas: ¿qué equipos han sufrido de manera directa el incidente? y ¿qué otros equipos sin haber sufrido el incidente pueden estar relacionados?
• En un incidente por la infección por algún tipo de malware en una organización, los equipos infectados serían los que han sufrido directamente el incidente, así como los dispositivos externos infectados; otros equipos relacionados serían el servidor de correo electrónico y los equipos de seguridad.

3.3. Funciones hash

• Una función o algoritmo hash es una función matemática computable mediante un algoritmo que tiene como entrada un conjunto de elementos y que genera como salida un conjunto de elementos de longitud finita.
• A nivel práctico, se aplica la función hash a una cierta cantidad de información digital (un archivo, el contenido de un disco duro, una cadena de texto, etc.) y se obtiene una cadena hexadecimal con una longitud fija.
• Las principales propiedades de una función hash a nivel forense son: bajo coste computacional, compresión, inyectividad, unidireccionalidad, determinista y resistente (o casi) a colisiones.
• Las funciones hash se utilizan en análisis forense para comparar dos archivos u otros elementos de información y ver si son exactamente iguales.
• Comparando hashes se puede descartar/señalar archivos conocidos, señalar archivos relevantes, buscar archivos duplicados, y garantizar la no modificación de la evidencia o de las muestras obtenidas.
• Algunos de los algoritmos de hashing más comunes son MD5 (128 bits), SHA-1 (160 bits), SHA-2 (224, 256, 384 o 512 bits) y SHA-3 (224, 256, 384 o 512 bits).

3.4. Fase de preparación

• Previo a la adquisición, se deben analizar los pasos previos a tener en cuenta, como el bloqueo contra escritura del equipo a adquirir y el borrado seguro del dispositivo sobre el que se va a adquirir.
• Un bloqueador contra escritura es una herramienta (hardware o software) que impide la escritura sobre un dispositivo de almacenamiento.
• Los bloqueadores contra escritura por hardware son dispositivos que se conectan al equipo mediante USB, Firewire o algún otro tipo de conexionado de alta velocidad, y que hacen de puente entre el elemento a bloquear y el equipo.
• Ejemplos de bloqueadores contra escritura por software son WiebeTech - CRU (https://www.cru-inc.com/products/wiebetech/) y Tableau (https://www.guidancesoftware.com/tableau).
• Los bloqueadores contra escritura por software son programas o pequeños scripts que impiden al sistema operativo escribir sobre un determinado dispositivo o puerto.
• Las distribuciones Linux forenses incluyen un modo de arranque en el que el sistema operativo no monta los dispositivos conectados al equipo y, por lo tanto, no puede escribir sobre ellos.
• Ejemplos de distribuciones Linux que se pueden utilizar para bloquear la escritura son Kali Linux (https://www.kali.org/), Parrot Security OS (https://www.parrotsec.org/) y Tsurugi Linux (https://tsurugi-linux.org/).
• El borrado seguro es un método que sobrescribe la información original de forma que no pueda ser recuperada.
• El método más común consiste en la sobreescritura de la información original con ceros, aunque también es posible sobrescribirla con cualquier otro valor o valores aleatorios.
• Se puede realizar un borrado seguro sobre todo un dispositivo (con software específico), sobre una partición concreta (con un simple formateo lento) o sobre el espacio libre.
• Como forenses se realiza un borrado seguro cuando se desecha un dispositivo, cuando un dispositivo utilizado para almacenar información sobre un caso va a ser reutilizado en un nuevo caso, y cuando se vaya a utilizar un dispositivo como destino de un clonado.
• Programas para realizar borrado seguro: Encase Forensics Imager (Windows), dd / dc3dd (Linux y MacOS), R-Wipe & Clean (Windows y MacOS), y HDShredder (Windows).

3.5. Conceptos previos

• La adquisición de evidencias digitales consiste en la copia de estas, esta copia se puede obtener en dos formatos diferentes: la imagen forense y el clonado forense.
• Una imagen forense es una copia exacta de un dispositivo físico que es almacenada en un archivo, el cual puede ser guardado en cualquier tipo de dispositivo capaz de almacenar archivos.
• Un clonado es una copia exacta (“bit a bit”) de un dispositivo físico en otro dispositivo físico similar.
• Una imagen forense es más versátil que un clonado ya que es más fácil de distribuir, copiar, etcétera.
• Además, la imagen forense permite añadir metadatos y es posible almacenar imágenes en un solo dispositivo.
• Se necesitan dispositivos individuales para cada clonado que se quiera realizar, además el tamaño de dicho dispositivo deberá ser mayor o igual que el original, y deber encontrarse borrado mediante borrado seguro.
• El clonado no necesita ningún tipo de programa para cargarlo, y se puede utilizar exactamente el mismo hardware original en la investigación si fuera necesario.
• Los clonados se suelen utilizar cuando se trata de hardware muy específico como, por ejemplo, sistemas de CCTV (circuito cerrado de televisión).
• La adquisición en frío (post-mortem o Traditional Acquisition) se realiza cuando el dispositivo a analizar se encuentra apagado o desconectado.
• La adquisición en caliente (Live Response Acquisition) se realiza cuando el dispositivo a analizar se encuentra encendido.
• Las evidencias volátiles, por su propia naturaleza, solo se pueden adquirir en caliente.
• Si se atiende a la estructura lógica del dispositivo a adquirir, se puede realizar una adquisición física o una adquisición lógica.
• Cuando se mantiene la estructura lógica completa, se copia exactamente igual del origen al destino, decimos que hemos realizado una adquisición física.
• En una adquisición a nivel físico del primer al último bit almacenado en el dispositivo serán copiados.
• Cuando la copia realizada se limita a un volumen o a una parte de este, decimos que hemos realizado una adquisición lógica.
• Una adquisición lógica únicamente se puede hacer en formato imagen forense, nunca clonado.

3.6. Recolección y adquisición de evidencias digitales

• Para todo el procedimiento de recolección y adquisición, se debe trabajar según la normativa ISO 27037:2016.
• La ISO 27037 proporciona una serie de directrices para la identificación, recolección, adquisición y preservaciones de evidencias digitales.
• La recolección es el proceso de recopilación de los elementos físicos que pueden contener una potencial evidencia digital.
• La adquisición es la obtención de la información contenida en esos contendores de evidencias digitales.
• La norma analiza cinco escenarios diferentes: recolección en frío y en caliente, adquisición en frío y en caliente, y supuestos especiales.
• Para cada uno de ellos marca un flujo de trabajo distinto en función de las circunstancias que nos encontremos.
• La recolección en frío se dará cuando encontremos un equipo apagado; si el dispositivo funciona con batería, esta se debe desconectar para mantener el estado, así como desconectar el cable de alimentación del dispositivo.
• Se debe analizar a continuación si existen otros medios relacionados y, si ya hemos terminado la recolección, pasaremos al momento de la adquisición.
• Los procedimientos de recolección en caliente son más complejos que los de recolección en frío, ya que ahora deberemos tener en cuenta, además, las evidencias volátiles.
• Primero hay que ver si existen datos volátiles que se deban recopilar; si no hay datos volátiles se procede a un apagado forense, que consiste en desconectar directamente la batería o el cable de alimentación.
• Se desconectan el resto de los cables, etiquetando y fotografiando todo convenientemente para poder recuperar todas las conexiones si fuera necesario y documentando todo el proceso realizado.
• La adquisición es una copia exacta del contenido de un medio de almacenamiento, en el caso de tener que adquirir dispositivos apagados, se extrae el dispositivo de almacenamiento del equipo contenedor, se prepara el disco destino, y se realiza la imagen o clonado.
• En la adquisición en caliente y en el caso de que no existan datos que queramos adquirir, se mira si existen datos encriptados y en este caso se debe realizar adquisición en vivo primero de datos encriptados volátiles y, luego, de los datos encriptados no volátiles.
• Si los datos no se encuentran encriptados, buscaremos información volátil para adquirir y la adquirimos, y posteriormente se adquieren los datos no volátiles o se analiza si queremos llevarnos el dispositivo.
• Una vez tenidas todas las evidencias necesarias extraídas, se sellan los dispositivos usados para la adquisición, se documenta todo el proceso, se adjunta de nuevo la documentación a dichos dispositivos y se custodia el conjunto.
• Para preservar las evidencias hay que garantizar que aquello que vamos a analizar sea exactamente igual a lo que nos encontramos en origen y que no haya sufrido ninguna alteración desde el punto de la adquisición hasta el del análisis.
• Para verificar que lo analizado es una copia exacta de la evidencia original se utilizan las funciones hash.
• En frío, la información a adquirir permanece inalterada tras la adquisición, ya que podemos utilizar dispositivos para proteger contra escritura.
• En caliente, se debe realizar hash al resultado de la adquisición y utilizar dicho hash como referencia para compararlo y evitar futuras alteraciones.

3.7. Procedimientos especiales de adquisición

• La normativa ISO/IEC 27037 diferencia entre dos tipos distintos de adquisición y también hace referencia a supuestos especiales en los que los procedimientos de adquisición y/o recolección no tienen por qué seguir las directrices indicadas.
• Los supuestos especiales son: los dispositivos críticos, las adquisiciones parciales y los dispositivos de almacenamiento.
• La ISO/IEC 27037 identifica la adquisición parcial de información como un supuesto especial dentro de los tipos de adquisición, esta puede ser necesaria cuando el tamaño (almacenamiento) del dispositivo a adquirir es muy elevado, cuando el sistema es crítico, cuando solo parte de la información es relevante para la investigación, y cuando legalmente se limita el alcance de la adquisición.
• Cuando es necesario realizar una adquisición parcial, se identifican los archivos, las carpetas o demás elementos que contienen la información relevante y se realiza una adquisición lógica de estos elementos.
• La norma identifica la adquisición de dispositivos críticos como un supuesto especial dentro de los tipos de adquisición; en algunos casos los dispositivos no pueden ser apagados dada su criticidad, por lo que se siguen las directrices explicadas para la adquisición de dispositivos encendidos o la adquisición parcial de información.
• Por último, identifica la adquisición de los dispositivos de almacenamiento como un supuesto especial dentro de los tipos de adquisición; para el tratamiento de este tipo de dispositivos se debe documentar la ubicación del dispositivo, los datos identificativos de este, decidir si recolectar o adquirir en el momento el dispositivo, y etiquetar el dispositivo y los distintos elementos que pudieran estar asociados a él.