Del curso: Seguridad informática: Informática forense

Adquisición en vivo de pruebas

Del curso: Seguridad informática: Informática forense

Comenzar mi mes de prueba gratis Comprar para mi equipo

Adquisición en vivo de pruebas

La adquisición en vivo es un método cada vez más habitual en informática forense, y aquí hay muchos equipos que podemos encontrarnos encendidos a la hora de atender un incidente. Podemos hacer adquisiciones en vivo según la necesidad. Un caso más que plausible es el de una empresa en la que se ha detectado un ataque por "malware". Dado que el equipo afectado es propiedad de la empresa y está operativo, cabe la posibilidad de que hagamos una adquisición en vivo en el equipo. Otro caso en el que es necesario hacer la adquisición de esta forma es cuando tenemos equipos cuyo disco duro está cifrado. Mientras está apagado nos será imposible acceder a los datos almacenados, así que lo ideal es que esté encendido y que el usuario haya introducido la contraseña de descifrado para que cargue el sistema operativo. Por lo tanto, los objetivos de practicar este tipo de adquisición son: poder generar imágenes de particiones cifradas mientras el equipo aún está encendido; recuperar los datos más volátiles, esencialmente estamos hablando de la memoria RAM que se borra al apagar el equipo y cuyo contenido cambia con el uso de las aplicaciones y del propio sistema, aunque también hay datos de la CPU –archivos temporales, cachés, conexiones de red, etc.– que también son volátiles. Pero ¿qué tipo de información podemos localizar en la memoria RAM? Pues una lista de los procesos en ejecución en el momento de la captura, conexiones de red del momento –e incluso anteriores–, nombres de usuario y contraseñas, el contenido de algunas ventanas que estén abiertas, los "drivers" operativos cargados en memoria, otros ficheros abiertos asociados a procesos en ejecución, contenido descifrado o desempaquetado de algún programa, e incluso "malware" propiamente dicho. Los volcados de memoria son complicados de hacer en investigaciones con equipos ajenos porque difícilmente nos darán acceso sin poner pegas, contando con el hecho indudable de que lo haríamos siempre y en todo momento de forma legal. Sin embargo, son muy prácticos en casos de resolución de incidentes como ciberataques en empresas, organizaciones... En estos casos es recomendable que exista una política de manos fuera para evitar que alguien nervioso o un atacante interno pueda apagar su equipo y sabotear nuestro proceso de investigación. Para hacer un volcado de memoria que pueda resultar medianamente efectivo debemos cumplir un par de normas básicas. Debemos disponer de un espacio de almacenamiento preferiblemente externo con capacidad para toda la memoria del equipo. Sea la RAM de 4 o de 16 GB, siempre necesitaremos un poco más de espacio en nuestro soporte de almacenamiento. Otra cosa que debemos tener siempre en cuenta es la regla de oro y es que debemos interactuar lo menos posible con el equipo del que queramos hacer un volcado de la memoria RAM. Hay que lanzar el proceso con el menor número de pasos posible y, una vez iniciado, no debemos tocar nada hasta que acabe, o estaremos capturando nuestra propia actividad que a su vez estará sobrescribiendo información volátil. Y por último debemos documentar todo el proceso con mucha precisión, ya que solo será efectivo una vez, y debemos poder demostrar que lo hemos hecho de forma correcta para que la evidencia obtenida sea válida en cualquier circunstancia.

Contenido