"Security & Pure Forensics"

.

miércoles, 26 de mayo de 2010

Recolección de evidencias (Parte I)

Hola lectores,

Muchos sois los que llevais pidiendo información de que métodos son los empleados para la recolección de evidencias. 

Voy a tratar de poner en dos post más o menos los pasos que sigo para  que de alguna forma sea valido ante el juez, el primer post trata de la parte física y el segundo de un pequeño cuestionario que es interesante cuando no se obtiene toda la información o es parcial.


Aquí os dejo mis reglas de oro que hasta ahora son admitidas por los juzgados

EQUIPOS

  • Realizar una sesión fotográfica de la sala antes de comenzar la tarea, la entrada y distintas salidas (si las hubiera) como por ejemplo ventanas. Las fotos deben de tener sobreimpresa digitalmente la fecha y hora.
  • Fotografíe el ordenador de frente con los cables y por detrás, así como dispositivos conectados tal y como se encuentran. Haga más de una foto si es preciso
  • No utilice el ordenador ni intente buscar pruebas.
  • Si el equipo está "apagado", no "encender".
  • Si el equipo está "encendido" y se muestran los mensajes en el monitor, realizar una fotografía de la pantalla.
  • Si el equipo está "encendido" y la pantalla está en blanco, mueva el ratón o la barra de espacio (esto mostrará la imagen activa en la pantalla). Realice a continuación la fotografía.
  • Desconecte la fuente de alimentación del router.
  • Desconecte el cable de alimentación de la parte posterior del equipo (No hacer un apagado ordenado)
  • Realice un diagrama si es una red y empiece a crear las etiquetas (ver mi etiquetadora profesional) de los dispositivos conectados.
  • Desconecte todos los demás cables y los dispositivos del equipo.
  • Tenga preparada bolsas etiquetadas o en su defectos paquetes para el transporte de los dispositivos
  • Haga lo mismo con los dispositivos extraibles (pendrives)
  •  Mantenga todos los medios de comunicación, incluido el equipo, lejos de los imanes, radiotransmisores y otros elementos potencialmente dañinos.
  • Recopile manuales de instrucciones, documentación y posible notas que hubiera en el lugar (es recomendable proceder a su etiquetado).
  • Documentar todos los pasos implicados en la adquisición del ordenador y sus componentes.
Mi etiquetadora:


DISPOSITIVOS MOVILES

  • Si el dispositivo está apagado "no" encender ".
  • Con una PDA o teléfonos móviles, si el dispositivo está encendido, NO LO APAGUE. Si se apaga el dispositivo podría habilitar el password de inicio, por lo tanto impediría el acceso a las pruebas.
  • Fotografíe el dispositivo y la pantalla (si está disponible).
  • Etiquetar y recoger todos los cables (incluyendo la fuente de alimentación)
  • Intentar que el dispositivo mantenga la batería en la medida de lo posible
  • Etiquete el almacenamiento adicional de los dispositivos (Sticks de memoria, compact flash, etc).
  • Documentar todos los pasos implicados en la adquisición del móvil y sus componentes.

8 comentarios:

Muy interesante, grácias :D

Buenos días,
Despues de leer tu post me asaltan dos dudas ya que dices textualmente, al encontrarnos un equipo encendido "Desconecte el cable de alimentación de la parte posterior del equipo (No hacer un apagado ordenado)" y a este respecto pregunto: ¿no es mejor mantener el ordenador encendido para asi poder acceder a la RAM y lograr claves (de cifrado incluso)entre otras cosas?, y ¿que diferencia hay a nivel forense entre hacer un apagado ordenado o quitar el cable de alimentación? Gracias de antemano

Yo no recomiendo usar la barra de espacio para reactivar la actividad de un ordenador, ya que si hay una ventana de diálogo, la que tiene las opciones de Si/No/Cancelar, imagina que justo esa ventana apareció despues de darle a cerrar al Word y está marcada la opción No, llegas tú y le das al espacio y por lo tanto adios archivo. Puede que a lo mejor pueda recuperarse el contenido con archvos temporales, pero esas ventanas pueden salir en multitud de casos muy distintos.

Hola Pedro

Muy enriquecedor el mensaje, a ver si algun dia puedo ponerlo en practica.

Estoy con @infosegurnet con el tema de la captura de la RAM. No tengo idea de si a dia de hoy seria un elemento valido como prueba en un juicio, pero en mi opinion puede resultar muy util su analisis.

@Santiago
Yo tomaria el tema de la barra espaciadora simplemente como indicativo, aunque haces muy bien en resaltarlo.

Saludos

@a todos: 1000 Gracias

@infosegurmet: El análisis de la memoria RAM en algunos países no es admitido (Ej: EEUU) dado que es volatil y aleatoria.

El apagado ordenado puede llevar una secuencia de comandos que por ejemplo altere el sistema, borre ficheros o vacie el log del sistema. El quitar el enchufe hace que los ficheros que estan abiertos queden depositados en el disco como ficheros abiertos. En contra efectivamente se pierde la RAM

@Santiago: Tomo nota!!

Gracias a todos!!

Hay muchos cuadros de díalogo en los SO que con space/enter/s/n /y sus diferencias dependiendo el idioma del SO nos puede quitar alguna prueba, en cambio mover el ratón no cierra nada (normalmente)

NaCl u2

@Rigolox: Tomo nota y actualizo mi lista.

Gracias

Al hilo de lo que viene comentando Pedro sobre la memoria RAM, en algunos países, incluyendo EEUU, aceptan este tipo de pruebas, pero bajo una serie de circunstancias. Para muestra un botón

TorrentSpy

Esta lectura también es muy interesante... ;-)

US-Ruling-Makes-Server-RAM-a-Document

Saludetes