Incident Response, Security and Forensics"

.

domingo, 2 de noviembre de 2008

¿Te gusta el análisis forense?. ¡¡Ponte a estudiar!!

Quiero hacer una critica constructiva sobre la profesión de analista de seguridad y más concretamente el de analista forense informático, ya que en España simplemente no existe esa figura.
En otros países de la comunidad europea te exigen que apruebes un examen de investigador privado a la par de sendos certificados en analista forense informática. ¡¡Casi na!!

En Londres por ejemplo cuando realizas un análisis forense (tras las pertinentes acreditaciones) es la propia policía de 'scoland yard' quien te pregunta que herramientas vas a utilizar para el análisis, proporcionándola ellos mismos de una suite que tienen homologada.

En Francia, para realizar un análisis forense se puede optar por tener el certificado ( o la titulación universitaria) de investigador privado, tener los diferentes cursos reconocidos como no oficiales o tener un currículum especializado en la materia, sin esto no puedes realizar un análisis forensico informático. (En España algunas universidades ofrecen graduados y postgrados en esta materia)

Si nos vamos a otros países como por ejemplo Colombia vemos que incluso disponen de jurisdisprudencia según su ley de 'Derecho Probatorio y Medios Electrónicos: Ley 527 de 1999' y en Estados Unidos disponen por el Departamento de Justicia un documento llamado "Forensic Examination on Digital Evidence: A Guide for Law Enforcement”.

Esta es una guía completa sobre cómo manejar la evidencia digital, bajo qué procedimientos y técnicas, etc., donde se resaltan, entre muchas otras cosas, tres principios esenciales en el manejo de la evidencia digital:

  • Las acciones tomadas para recoger la evidencia digital no deben afectar nunca la integridad de la misma.
  • Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal fin.
  • Las actividades dirigidas a examinar, conservar o transferir evidencia digital deben ser documentadas y reservadas para una futura revisión.
Volviendo a España, cualquiera puede realizar cualquier tipo de trabajo de analista forense o perito informático , sin disponer de ningún tipo de certificación al respecto.

Como ejemplo os diré que en el penúltimo juicio que asistí como parte contratada (contraperitaje) para realizar un análisis forense ante una posible intrusión, me quede estupefacto al escuchar al perito de la parte acusada explicarle al juez lo que 'para el era una vulnerabilidad', dijo 'lindeces' como:

"La empresa no dispone de el DNI Electrónico para asegurar la entrada por (y digo textualmente:) 'la red privada asegurada' (¿querria decir VPN?) que permitiera el acceso."

Otra

"Copiamos los logs y pudimos ver que la ip atacante no provenía del acusado puesto que el tenia contratada la ADSL con telefónica y la ip detectada no es de España (¡¡cagate lorito!!).

En fin como podéis imaginar fue pan comido, pero siempre me siembra la duda, ¿de donde salen estos? ¿han estudiado algo diferente al curso 'master informático' impartido por CCC?.

Ahora en serio. O nos tomamos la profesión con rigor, esfuerzo y transparencia o en España lo tienen muy crudo los jueces.

Volviendo al tema, os recomiendo que si queréis iniciaros o bien ya lo estáis, pensar en certificaros y estudiar.

De los posibles cursos destaco el CHFI de la prestigiosa firma 'e-council' y cuyos representantes en España (creo que los únicos) son la empresa Internet Security Auditors' que preparan estos cursos. Aunque también se pueden preparar por separado y presentarse solo al examen.

En fin, eso es todo por hoy. Simplemente un tema para reflexionar:

Pensemos que 'el trabajo es circunstancial, hoy estas aquí y mañana estás allí, el donde no importa, solo el como y lo que aprendas y hagas en tu profesión es tuyo y te lo podrás llevar a cualquier otra empresa o trabajo que realices'. Se un buen profesional en todo lo que hagas.

3 comentarios:

Hola Pedro:

Te pongo un link a este tema que se hablaba en la página de ha.ckers sobre el tema de analista forense, es muy divertido jaja (estos de Texas están locos).

Coñas aparte, me parece que se debería de legislar, al igual que la policía utiliza una serie de normativas, herramientas y pasos a seguir, la gente que hace forensics también tendría que seguir estos pasos y tener un título o una certificación.

Anda que no te tienes que despollar poco en los juicios esos jaja, seguro que pillas a los tecnicoless al vuelo. Claro que es gracioso hasta cierto punto, de todas maneras, si yo he tocado un equipo mirando logs y haciendo un analisis, ¿cómo demuestras en un juicio que sabes de que hablas y de que no has tocado nada de por medio para inculpar a otra persona?

Yo he estado a punto de apuntarme al CEH pero es que cuesta una pasta gansaaa!!!. Ya podrían los del CTA currarse unos cursos buenos de CHFI o CEH :)

@asfasfos:Muy bueno el link ese.Tienes razón estan como cabras.En cuanto a lo de los juicios decirte que el 'perito' era un electricista muy conocido en Zaragoza.

Para leer los logs hay que mantener lo que se llama la cadena de custodia, es decir hacer una copia integra (bien apagando el equipo y clonando o bien copiando en remoto) con integridad de firma para evitar la manipulación en origen. Yo suelo utilizar SHA-1.

Lo del curso CEH, tomo nota para comentarlo a los colegas del CTA. De todas formas estamos negociando para realizar un curso de certificación en Zaragoza con costes subencionados. Ya os dire.

Interesante artículo, si les interesa como trabaja un grupo de analista forenses visiten: lwg consulting