01 abril 2016

Análisis forense: Lo que había, lo que hay,... y lo que habrá

El mundo del peritaje forense ha cambiado mucho en estos años. Todavía recuerdo cuando en los primeros juicios a los que me presentaba comentaba en el informe que las evidencias se habían extraído con un Helix y marcaba la integridad de las evidencias con MD5. Por aquel entonces no había mucho escrito sobre forense, y era muy complicado explicar las cosas a alto nivel.

Después, y como todo en esta profesión, se fue actualizando más y más el campo del peritaje hasta el día de hoy, en el que existen numerosas herramientas, procedimientos y aproximaciones para extraer una evidencia.

Y aquí es donde surgen nuevos problemas. Ya no vale con marcar las evidencias con MD5, porque tanto jueces como abogados te pueden tirar las mismas alegando colisiones. Con las herramientas pasa un poco lo mismo. Personalmente he visto cómo en determinados juicios, se han tirado evidencias porque han logrado demostrar que la solución utilizada para la extracción de las mismas no lo hacía correctamente.

Del peritaje forense nació el contra-peritaje, que consiste básicamente en desmontar – de una manera técnica y a bajo nivel– las evidencias presentadas en un caso. Y para desmontar las evidencias no suele valer un “Le pasamos esta herramienta gratuita y como podéis comprobar….”, porque en ciertos escenarios, esa evidencia no valdrá nada ante un abogado que realmente sepa de lo que está hablando.

Cualquier perito decente os recomendará sin duda la utilización de herramientas como Encase o FTK, y no porque sean más o menos caras, sino porque en determinados escenarios, gracias a la mera utilización de la misma tendréis el caso ganado. Pensad por un momento un caso en donde tengáis que extraer información de determinados ficheros alojados en un disco duro con un sistema operativo de cualquier tipo, en el que no sólo residen esos ficheros, sino que también se encontrarán ficheros de carácter personal como fotografías o vídeos.

Gracias a estas herramientas y/o frameworks, los peritos se pueden concentrar en la búsqueda sin importar el tipo de dato que se encuentre en el sistema operativo. Más de un caso se ha caído debido a que en la búsqueda de esa información, el perito se topó con directorios que se encontraban fuera del ámbito de actuación y que no debería ver y/o analizar.

Hay que aplicar la medida justa para extraer la evidencia, ni más, ni menos. El conocimiento del entorno tanto a alto como a bajo nivel, así como la elección – o la fabricación - de la herramienta determinarán una buena actuación, amén de la profesionalidad del perito a la hora de llevar el caso. Porque no olvidéis que os citarán como experto en la materia.

También es importante tener amigos. En este caso, y dado la fragilidad de este campo, se recomienda que los peritos pertenezcan a algún tipo de asociación. Y por asociación quiero decir algo serio que resuelva las dudas puntuales que pueda tener un profesional. Para el caso que nos ocupa, y aquí en España tenemos ANCITE, que brinda muchos servicios y ayudas a los profesionales que día a día se enfrentan a juicios.

Y después tenéis a gente como Pedro Sánchez, Lorenzo Martínez o un servidor para echaros un cable siempre que lo necesitéis y esté dentro de nuestra mano. Como sabéis, Securízame organiza todos los años un curso de análisis forense para profesionales del sector. Gracias a estos cursos se han podido ver y estudiar escenarios nunca vistos como por ejemplo análisis de servicios basados en SQL Server, Exchange o Active Directory, por citar algunos en los que he sido invitado como profesor.

Como cada año, y anticipándonos a nuevos escenarios, el curso de este año está liderado por grandes profesionales del sector como por ejemplo Sergi Alvarez (@trufae), el cual es uno de los desarrolladores principales de radare, herramienta ampliamente utilizada en forenses de tipo avanzado y en donde se requiere un nivel de detalle importante en cuando a la presentación de evidencias.

También estará José Antonio Guasch (@secbydefault), el cual es uno de los editores de este humilde blog y reconocido profesional que ha sido invitado por Securizame para hablar a bajo nivel de navegadores, así como las buenas prácticas a la hora de montar un laboratorio forense, junto con Lorenzo Martínez (@lawwait).

El incombustible Pedro Sánchez (@conexioninversa) participará esta vez enseñándonos todo lo relacionado con Incident Response, disciplina que cada vez más se está demandando en clientes finales.

El gran Toni de la Fuente (@ToniBlyx) ha sido invitado para que nos enseñe cómo enfrentarnos a casos forenses en donde la información resida en la nube, algo que ya forma parte de nuestra rutina diaria.

La parte de Yago (@YJesus), editor también de este blog y creador de herramientas como unhide, es la de Backdooring, ocultación y búsqueda de tramas, no sólo en el sistema, sino también en red.

Por mi parte (@tr1ana) yo he sido invitado para dar la parte de OS en Windows. Pero no me voy a centrar este año en registro o ficheros. Este año toca centrarnos en servicios como Cortana (Sí, Cortana!), la interfaz Metro o la integración de aplicaciones con el escritorio. También dedicaré un apartado especial al análisis de memoria RAM, pero esta vez Volatility se quedará en el cajón y lo haremos mediante herramientas nativas de Microsoft, como son WinDBG o SysInternals.

En la URL del curso tenéis tanto el temario como horarios y profesores implicados en el mismo. Por mi parte, deciros que os veo en unas semanas para seguir explorando esta maravillosa disciplina.


Juan Garrido
MVP Enterprise Security