Sistema experto portátil para la Adquisición Segura y Semiautomática de Evidencias Digitales

Sistema expert portàtil per a l'Adquisició Segura i Semiautomàtica d'Evidències Digitals

16 octubre de 2023 Celia Catalán

Avui us presentem una anàlisi, potser massa lleugera, d'un problema actual per al qual proposem una solució segurament no tan lleugera.

On som?

Segons el portal Estadístic de Criminalitat del Ministeri de l'Interior de Espanya, el nombre de fets coneguts relacionats amb ciberdelictes no ha deixat d'augmentar des del 2011. El grup penal que més creix, i que té més incidència, és el de frau informàtic, que el Codi Penal espanyol defineix com el delicte d'estafa mitjançant la manipulació il·lícita de dades i/o programes amb ànim de lucre.

Gráfico representativo del incremento año sobre año de delitos cibernéticos

A més, en l'actualitat, no només els delictes tipificats com a cibercrims tenen una component tecnològica en què cal fer alguna investigació sobre algun mitjà digital com un mòbil, un portàtil o un servidor.

D'altra banda, el nombre de fets esclarits és molt inferior al dels coneguts i la tendència de creixement no s'acosta a la dels primers:

Gráfico comparativo entre delitos conocidos y delitos esclarecidos

Per tant, el nombre de casos en què és necessària l'ajuda d'una anàlisi informàtica forense dins d'un procés judicial és cada vegada més gran.

Però en realitat no cal l'existència d'un litigi perquè sigui convenient fer un estudi forense d'una infraestructura informàtica. Moltes empreses, a nivell intern, fan servir metodologies d'anàlisi forense per resoldre, prevenir, reduir i controlar l'ocurrència del frau dins de l'organització. Sovint es prenen mostres o evidències per al seu ús futur en possibles processos de control intern o judicials.

Gairebé totes les metodologies d'anàlisi forense resumeixen la seva operativa en les cinc fases molt conegudes que ens permetem recordar:

1r Adquisició. On es fa una còpia de la informació susceptible de poder ser presentada com a prova en un procés. Aquestes evidències han de ser recollides sense alterar els originals, utilitzant dispositius o procediments de només lectura que garanteixin que no se sobreescriu el mitjà demmagatzematge dorigen. Cal respectar la volatilitat de les mostres i prioritzar-ne la recollida. I cal etiquetar i emmagatzemar tots els dispositius originals de forma segura.

2n Preservació. En aquesta fase es garanteix la perdurabilitat en el temps i la cadena de custòdia de la informació recollida.

3r Anàlisi. S'utilitzen tècniques que, juntament amb l'experiència i la intel·ligència de l'analista, ajudaran a resoldre el què, el com i el qui del cas analitzat.

4t Documentació. Fase en què s'assegura que tot el procés (informació i procediments aplicats) queda correctament documentat i datat.

5è Presentació. On es generen almenys un informe executiu i un altre tècnic recollint les conclusions de tota l'anàlisi.

Els jutges tenen molt en compte com són recollides i emmagatzemades les evidències digitals, depenent de la validesa dels mètodes triats. Per tant, és evident que les fases d'adquisició i de preservació són fonamentals per a tot el procés. Si en aquestes fases es comet algun error, tota investigació, juntament amb totes les anàlisis posteriors, deixarà de ser vàlides.

Quin és el problema?

A Electronic evidence - A basic guide for First Responders - ENISA es proposen els principis següents que cal assegurar en la gestió d'evidències digitals:

Integritat de les dades. No s'ha de modificar cap dada que s'hagi de fer servir en la resolució d'un cas per un jutjat. La persona encarregada de l'escena del crim o de la recol·lecció és la responsable que això no passi. A més, si el dispositiu recollit està encès, l'adquisició s'ha de fer de manera que es modifiqui el mínim possible.

Registre. S'ha de crear i actualitzar un registre amb totes les accions realitzades sobre les evidències recollides, des de la seva adquisició fins a qualsevol consulta posterior.

Suport d'especialistes. En qualsevol moment durant l'adquisició ha de ser possible la intervenció d'un especialista format degudament en tècniques forenses digitals. Aquest especialista ha de tenir prou coneixement tècnic i legal, així com l'experiència i l'autorització necessàries.

Formació. Qualsevol persona que manegi evidències digitals ha de tenir una formació bàsica tècnica i legal.

Legalitat. S'ha d'assegurar la legalitat corresponent al llarg de tot el procés.

Sempre amb aquests principis al cap, en la fase d'adquisició cal prendre decisions i respondre preguntes complicades com:

On és físicament la informació?

Quins dispositius demmagatzematge copiar.

S'ha d'apagar un dispositiu per fer l'adquisició?

Ordre per fer les còpies, tenint en compte la volatilitat de les dades implicades.

És necessari cercar i copiar dispositius ocults, no visibles o remots?

S'han fet servir tècniques antiforenses per ocultar informació?

Necessitat de suport d´un especialista forense.

Necessitat dun fedatari.

A l'escena del crim poden concórrer diversos perfils de professionals amb diferents nivells de responsabilitat, formació i experiència. No tots poden contestar amb èxit les preguntes anteriors.

Clarament, el nombre de professionals degudament qualificats per fer aquestes adquisicions forenses no és suficient. Altres factors que compliquen la situació són les restriccions de moviment, el teletreball, la necessitat d'operar en entorns hostils o els límits pressupostaris.

En aquest escenari, seria de gran ajuda un sistema autònom i portable, que pogués ser operat per una persona sense entrenament específic, que assistís en l'adquisició, emmagatzematge i documentat assegurances d'evidències digitals.

Què tenim?

Al mercat hi ha múltiples eines específiques per a l'adquisició d'evidències. Algunes són comercials i d'altres de lliure ús. A continuació, us deixem una llista amb algunes de les més representatives i utilitzades comparant-ne les principals característiques:

Totes tenen en comú que són complexes dutilitzar, que necessiten formació específica per al seu ús i, sobretot, que poden ser perilloses si no sutilitzen correctament, és fàcil incórrer en una pèrdua irrecuperable de dades.

D'altra banda, hi ha multitud de distribucions Linux amb orientació a la informàtica forense que proporcionen eines específiques per a l'adquisició d'evidències. Entre totes, destaquem les següents pel grau d'actualització i especialització en el procés forense:

Tots sabem que hi ha altres distribucions molt completes que cobreixen no només el procés d'anàlisi forense sinó qualsevol parcel·la relacionada amb la ciberseguretat. Entre elles cal destacar Kali Linux, BlackArch Linux, Matriux, BackBox Linux o Parrot.

Totes elles disposen de les millors eines per a l'anàlisi forense i amb totes és possible fer una adquisició d'evidències digitals segura. Totes tenen indubtable valor per al professional de la ciberseguretat. Però en el context d'aquesta anàlisi totes tenen alguns inconvenients:

Poden ser complexes de posar en marxa si no se'n tenen prou coneixements.

Necessiten formació tècnica específica per utilitzar les eines forenses.

No estan dissenyades específicament per adquirir evidències digitals.

Què proposem?

Un sistema que permeti eliminar totes aquestes deficiències, oferint una solució específica per a l'adquisició d'evidències digitals, que permeti a un operador sense gaires coneixements recollir, de manera segura i en qualsevol lloc, dades i informació que es podria utilitzar en un procés judicial.

A continuació, ens permetem imaginar una llista de característiques desitjables durant les fases d'adquisició, preservació i documentació i no trobades juntes a cap de les distribucions anteriors:

Sistema integrat portàtil, dedicat i autocontingut.

Interfície dusuari intuïtiva, senzilla i simple dutilitzar, que no requereixi gairebé aprenentatge.

Interfície d'usuari que eviti o minimitzi errors per desconeixement o malintencionats.

Guiat d'activitats per a usuaris sense experiència mitjançant un sistema expert que implementi la intel·ligència i l'experiència d'un analista forense.

Ajuda a la identificació d'evidències. Sovint poc o gens visibles.

Adquisició segura (en integritat i disponibilitat) de dispositius demmagatzematge.

Ús de la tècnica correcta segons tipus d'evidència.

Assistència a l'emmagatzematge físic i etiquetatge de les adquisicions.

Configuració de la cadena de custòdia d‟evidències digitals.

Generació del registre dactivitats.

Generació de documentació.

A més, podríem imaginar que integrés funcions d'utilitat a les fases d'anàlisi i presentació del procés forense, i així es podrà cobrir tot el procés forense. Fins i tot afegir intel·ligència específica per a l'anàlisi de nous casos de frau, indústria i IoT, infraestructures crítiques, etc.

Imaginem-nos un cas d'ús genèric:

Esquema sobre com funcionen les diferents fases de l'anàlisi i el procés d'anàlisi forense en ciberseguretat

O el flux general del nostre sistema:

Imaginem el model de dades necessari:

O fins i tot com podria ser la seva interfície:

Concloent

Hi ha totes les eines de disseny, implementació i integració de sistemes necessàries per desenvolupar un sistema com el que ara hem imaginat. És possible desenvolupar un sistema expert que ajudi personal sense formació específica en informàtica forense a realitzar una adquisició guiada i segura de les evidències necessàries per resoldre un incident de seguretat.

És possible integrar tècniques, procediments i eines específiques amb un sistema expert que implementa la intel·ligència d'un analista forense a un programari que pot ser utilitzat per usuaris amb pocs coneixements en un entorn que requereix metodologia, integritat i documentació molt exhaustius.

Equips de resposta immediata com a cossos i forces de seguretat, pèrits forenses júnior i professionals de la informàtica i les comunicacions podrien ser els seus principals usuaris. Els principis de seguretat i integritat sota els quals estaria desenvolupat en permetrien l'ús en investigacions i procediments judicials o en auditories internes dins d'organitzacions privades o públiques.

Esperem que aquest article hagi servit d'inspiració per a molts. Imaginar i somiar és gratis i alguns fins i tot arriben a fer-ho realitat. Si sou d'aquests acompanya'ns.

Iván Paniagua Barrilero, Teachnical Lead at Zerolynx.

Tornar al bloc