UD 3 - 1.1 Recopilación y almacenamiento de evidencias

Recopilación y almacenamiento de evidencias

RA3 a) Se han recopilado y almacenado de forma segura evidencias de incidentes de ciberseguridad que afectan a la organización.

1. Recopilación de evidencias

Evidencias: Las evidencias son información que, por sí misma, o en combinación con otra información, se utiliza para probar algo.

La recopilación de evidencias: es una fase inicial dentro de una gestión eficaz de un incidente que toda entidad debe tener lista y preparada para ejecutarla ante cualquier suceso que pudiera ocurrir.

Una buena anticipación y entrenamiento previo es clave para realizar una gestión eficaz de un incidente, para lo que hace falta tener en cuenta tres pilares fundamentales: las personas, los procedimientos y la tecnología.

2. Metodologías de Recopilación y Almacenamiento

En el día a día se dan gran diversidad de incidentes, y de muchos tipos… como hemos visto hasta ahora. No obstante, los pasos a seguir durante el proceso de recopilación y análisis de evidencias e investigación del incidente, equivalentes al análisis forense de un incidente, son los siguientes:

De las distintas guías que existen, la RFC 3227 es un estándar ampliamente usado.

• RFC 3227

• Preservación: mantener la integridad de la evidencia.
• Adquisición: recoger la evidencia de forma que sea admitida en un juicio.
• Documentación: documentar el proceso de recogida de evidencias.
• Análisis: analizar la evidencia de forma imparcial. an
• Presentación: presentar la evidencia de forma clara y comprensible.

Otras propuestas:

• Guidelines for the best practices in the forensic examination of digital technology
• Electronic Crime Scene Investigation: A Guide for First Responders
• Forensic Examination of Digital Evidence: A Guide for Law Enforcement
• UNE 71506 - Metodología para el análisis forense de las evidencias electrónicas
• Good Practice Guide for Computer-Based Electronic Evidence
• RFC 3227 «Guidelines for Evidence Collection and Archiving» o Directrices para la recopilación de evidencias y su almacenamiento

3 RFC 3227

El RFC 3227 es un documento que recoge las directrices para la recopilación de evidencias y su almacenamiento. Puede llegar a servir como estándar de facto para la recopilación de información en incidentes de seguridad.

3.1. Principios

Principios durante la recolección de evidencias:

• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario local o UTC (tiempo universal coordinado).
• Minimizar los cambios en la información que se está recolectando y eliminar los agentes externos que puedan hacerlo.
• En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y después análisis.
• Recoger la información según el orden de volatilidad (de mayor a menor).
• Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta manera.

3.1.1. Orden de volatilidad

Período de tiempo en el que está accesible cierta información. Recolectar la de mayor volatilidad, según este orden:

• Registros y contenido de la caché.
• Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
• Información temporal del sistema.
• Disco
• Logs del sistema.
• Configuración física y topología de la red.
• Documentos.

3.1.2. Acciones a evitarse

Deben evitarse las acciones que invaliden el proceso de recolección de información, los resultados deben poder ser utilizados en un juicio si fuera necesario:

• No apagar el ordenador hasta que se haya recopilado toda la información.
• No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema.
• No confiar en la información proporcionada por los programas del sistema ya que pueden haberse visto comprometidos.
• Recopilar la información mediante programas desde un medio protegido.

3.1.3. Consideraciones sobre la privacidad

• Es muy importante tener en consideración las pautas de la empresa en lo que a privacidad se refiere:
• Es habitual solicitar una autorización por escrito de quien corresponda para poder llevar a cabo la recolección de evidencias.

• Este es un aspecto fundamental ya que puede darse el caso de que se trabaje con información confidencial o de vital importancia para la empresa, o que la disponibilidad de los servicios se vea afectada.

• No hay que entrometerse en la privacidad de las personas sin una justificación.

• No se deben recopilar datos de lugares a los que normalmente no hay razón para acceder, como ficheros personales, a menos que haya suficientes indicios.

3.2. Procedimiento de recolección

Debe de ser lo más detallado posible, procurando que no sea ambiguo y reduciendo al mínimo la toma de decisiones. Y tener en cuenta que la información recopilada debe ser relevante y suficiente.

Trasnsparencia: Los métodos utilizados para recolectar evidencias deben de ser transparentes y reproducibles .Se debe estar preparado para reproducir con precisión los métodos usados, y que dichos métodos hayan sido testados por expertos independientes .

Pasos para una recolección de evidencias efectiva:

• ¿Dónde está la evidencia? Listar qué sistemas están involucrados en el incidente y de cuáles de ellos se deben tomar evidencias .
• Establecer qué es relevante . En caso de duda es mejor recopilar mucha información que poca.
• Fijar el orden de volatilidad para cada sistema.
• Obtener la información de acuerdo al orden establecido
• Comprobar el grado de sincronización del reloj del sistema .
• Según se vayan realizando los pasos de recolección preguntarse qué más puede ser una evidencia .
• Documentar cada paso, el no encontrar una evidencia puede ser una evidencia en sí misma. Por tanto, hay que documentar también lo que no se ha encontrado.
• No olvidar a la gente involucrada. Tomar notas sobre qué gente estaba allí, qué estaban haciendo, qué observaron y cómo reaccionaron .

3.3. Procedimiento de almacenado

3.3.1. Cadena de custodia

Debe estar claramente documentada y se deben detallar los siguientes puntos:

• ¿Dónde?, ¿cuándo? y ¿quién? descubrió y recolectó la evidencia .
• ¿Dónde?, ¿cuándo? y ¿quién? manejó la evidencia .
• ¿Quién ha custodiado la evidencia?, ¿cuánto tiempo? y ¿cómo la ha almacenado?
• En el caso de que la evidencia cambie de custodia indicar cuándo y cómo se realizó el intercambio, incluyendo número de albarán, etc.

3.3.2. Dónde y cómo almacenarlo

Se debe almacenar la información en dispositivos:

• cuya seguridad haya sido demostrada
• que permitan detectar intentos de acceso no autorizados .

3.4. Herramientas

Más que una lista de herramientas, la RFC 3227 proporciona una serie de pautas para la selección de herramientas, para la recolección:

• herramientas externas al sistema, para evitar que hayan podido ser comprometidas.
• herramientas que alteren lo mínimo posible el escenario (no GUI, evitar uso excesivo de memoria)
• deben estar ubicados en un dispositivo de solo lectura. (CDROM, USB)
• tener un kit básico de herramientas según S.O, que incluyan:
• listar y examinar procesos
• examinar el estado del sistema
• realizar copias bit a bit.

4. Ejemplo de recopilación de evidencias

A continuación se muestra un ejemplo muy básico de recopilación de evidencias. Supongamos que se ha detectado un ataque a un servidor web, relacionado con un ataque de denegación de servicio (DoS). Se ha detectado que el servidor web ha dejado de responder y se ha detectado un tráfico anómalo en la red.

Tras detectar el ataque, se ha procedido a la recopilación de evidencias, para ello se ha utilizado: - La herramienta volatility para la recopilación de evidencias que se encuentran en la memoria. - También se ha utilizado wireshark para la recopilación de tráfico de red. - Por último, para la recopilación de evidencias del disco duro se ha utilizado dd, creando una imagen del disco duro.

En cuanto al almacenamiento de evidencias, se ha almacenado la evidencia de la memoria en un fichero llamado memoria.img, la evidencia del tráfico de red en un fichero llamado trafico.pcap y la evidencia del disco duro en un fichero llamado disco.img. Estos ficheros se han almacenado en un dispositivo de almacenamiento seguro, con un sistema de detección de intentos de acceso no autorizados.

Se ha documentado la cadena de custodia, indicando quién ha descubierto y recolectado la evidencia, quién ha manejado la evidencia y quién ha custodiado la evidencia.

De esta forma se ha recopilado evidencia de la memoria, del tráfico de red y del disco duro junto con la documentación de los pasos seguidos y la cadena de custodia, se ha recopilado evidencia de forma efectiva.

5. Conclusiones

Como hemos visto, la recopilación de evidencias es un proceso fundamental en la gestión de incidentes de seguridad. La RFC 3227 proporciona una serie de pautas para la recopilación de evidencias, que deben ser seguidas para garantizar que la recopilación de evidencias se realiza de forma efectiva. El almacenamiento de evidencias también es un proceso fundamental, y la RFC 3227 proporciona una serie de pautas para el almacenamiento de evidencias, que deben ser seguidas para garantizar que las evidencias se almacenan de forma segura. La cadena de custodia es un aspecto fundamental en la recopilación y almacenamiento de evidencias, y debe ser documentada de forma detallada. Por último, es importante tener en cuenta que la recopilación y almacenamiento de evidencias debe ser realizada por personal cualificado, que siga las pautas proporcionadas por la RFC 3227.

Bibliografía

https://www.incibe-cert.es/blog/rfc3227 https://www.ietf.org/rfc/rfc3227.txt