UMDI un framework para investigaciones digitales en México Parte 1 de 6

Hace un par de semanas estuvimos en Segurinfo México, cuando se me presento la oportunidad pensé en presentar un framework de investigaciones digitales que eh estado utilizando y modificando de forma constante y continua.

Hace unos años cuando comencé a diseñar este framework y a unir ideas me di cuenta de que frameworks de investigación hay de sobra, así que decidí tomar fragmentos de cada uno de estos frameworks y armar algo específico para México.

¿Por qué para México? Para nuestros lectores de España, y LAM tienen que entender que aquí en México como en muchos lugares, existe una enorme burocracia para lograr cualquier cosa.  

Las investigaciones digitales no escapan de esto, nunca falta que tienes que hacer una extracción o investigación underground de madrugada y al llegar con todo listo  “el poli” (el vigilante) te tira el clásico UUUUYYYYY NO! Joven no lo puedo dejar pasar, a mí nadie me aviso que venían! O pasa que ya estas realizando la extracción y te apagan las luces! Por qué nadie aviso al área de seguridad que iban a trabajar y por cuestiones de ahorro te bajan la luz…. Estas y muchas otras historias de terror suceden cuando no tenemos o seguimos un framework de investigación.

Lo que a continuación explicare y postulare es algo que los lectores deben tomar como sugerencia, una sugerencia basada en mi experiencia y la utilización de este framework, quien guste puede tomar este framework e implementarlo en su grupo, sin embargo y debo dejar esto en claro, los frameworks son guías que deben ser adaptadas para cada grupo e institución ya que las necesidades varían, así que , esperaría que quien tome esto y lo implemente lo modificara de acuerdo a las necesidades particulares de sus casos.

Comencemos por definir que es un modelo o framework de investigación, la definición que a mí más me gusta es la siguiente: Es una secuencia de pasos que nos lleva desde la alerta del incidente original hasta el reportar los hallazgos. 

Como menciones al principio existen diversos modelos y han existido desde hace varios años aquí puedes leerun artículo bastante bueno en los diversos modelos ya existentes. Aunque un poco desactualizado el articulo está muy interesante y se los recomiendo.  

Sin embargo y en mi opinión ninguno de ellos alcanza a liderar con las barreras que se enfrentan aquí en México y algunos de ellos están muy enfocados a la procuración de justicia y pocos dejan espacio para la IP.

Estos son los frameworks que actualmente existen:

El framework que yo propongo para ser utilizado está dividido en 5 fases que a su vez están divididas en diferente sub fases. Las cuales conforman el framewrok UMDI o Unified Model for Digital Investigations.

Si entiendo la hipocresía de decir que arme un modelo de investigación para México y le pongo un nombre en inglés pero el nombre UMDI  suena mejor que MUPID :p

Las fases de UMDI son las siguientes: 

-          Preparación

-          Manejo y análisis del de la escena del crimen

-          De la escena del crimen al laboratorio

-          Investigación y análisis de la evidencia

-          Resultado y elaborar el reporte 

Analicemos cada una de las fases del proceso y su sub fases aquí pondré diversos ejemplos reales a los que me eh enfrentado y que este framework me ha ayudado a sortear.

Fase: Preparación

SUB FASE : Concientización

Esta fase habla acerca de la preparación que tu personal  tanto técnico como NO técnico debe tener, el entender que hay amenazas obvias y otras tan sutiles que pueden representar un riesgo enorme para un grupo. Entender conceptos como el phishing, malware, ingeniería social puede representar la diferencia entre tener un impacto económico, reputacional y operacional.  En BugBu5t3r5 ofrecemos cursos de concientización para personal NO técnico de una forma dinámica y profunda.

Para el personal técnico es imperante estar al día en capacitaciones de sus especialidades. Hay una gama bastante amplia en cuanto a que cursos se pueden tomar.

Las certificaciones se pueden clasificar en 2 Vendor specific y vendor neutral es decir los vendedores de software forense ofrecen las certificaciones de su herramienta que son excelentes y bastantes reconocidas en el mercado de las  certificaciones más populares y con más renombre  están:

EnCe: probablemente de las certificaciones más aceptadas y reconocidas del mercado esta certificación está enfocada en EnCase herramienta líder en el análisis forense y el poseedor comprueba el conocimiento y dominio de la herramienta durante la examinación y análisis de un caso. https://www.guidancesoftware.com/training/Pages/ence-certification-program.aspx

ACE: Otra de las herramientas líderes en el mundo FTK de AccessData ofrece esta certificación, el poseedor comprueba el conocimiento y dominio de la herramienta durante la examinación y análisis de un caso. http://accessdata.com/training

Las certificaciones de vendor neutral más importantes del mercado son las siguientes:

CCE – Certified computer examiner es una muy buena certificación que toca temas relevantes y fortalece las habilidades necesarias que un examinador forense debe tener https://www.isfce.com/certification.htm

GCFA -  GIAC Certified Forensic Analyst una de las más codiciadas certificaciones del mercado tomado de su página esta certificación establece que “los candidatos a esta certificación  deben comprobar su conocimiento y habilidad para conducir investigación formal e incidentes de seguridad, manejo avanzado incidentes los cuales incluyen brechas internas y externas de seguridad, amenazas persistentes avanzadas, técnicas anti forenses utilizadas por los atacantes y casos complejos de computo forense.” Quieres probar realmente tu conocimiento adelante prepárate y ahorra para esta certificación vale la pena! http://www.giac.org/certification/certified-forensic-analyst-gcfa

GCFE – GIAC Certified Forensic Examiner es en mi opinión el antecesor del ya mencionado GCFA aquí los candidatos afrontan escenarios típicos de conducción e investigación de brechas de seguridad, se les enseña métodos de adquisición de la evidencia, forense en artefactos de internet y como rastrear la actividad de un usuario en su sistema.  http://www.giac.org/certification/certified-forensic-examiner-gcfe

PCFRI – Esta certificación esta cocinada en casa, es nuestra propia certificación la cual pretende enseñar al candidato las técnicas y métodos necesarios para llevar un caso con herramientas libres desde el decomiso, adquisición, análisis y reporte de la evidencia. Puedes encontrar en este blog fechas y requisitos para este curso.

Sub fase Documentación Forense 

En mi laboratorio forense la documentación es parte crucial del éxito o el fracaso de mis casos. La documentación ayuda a los examinadores a proteger su trabajo y a probar la veracidad y fiabilidad de sus procesos. La principal documentación forense que yo utilizo es la siguiente:

-          Cadena de custodia (CoC)

-          Hoja de adquisición de evidencia digital

En primer lugar la CoC nos da la capacidad de controlar cada elemento de evidencia que encontremos y nos dispongamos a analizar. Este documento debe llevar ciertos elementos clave a continuación presento un machote de la CoC que yo utilizo OJO esto no significa que ustedes deban recrear de forma exacta este documento recuerden AJUSTENLO, ADAPTENLO a las necesidades de su grupo. 

Les voy a pedir que revisen la imagen, esta es una copia casi fiel de lo que yo actualmente utilizo en mi laboratorio, voy a enfocarme en los puntos que considero más relevantes sin embargo si tienen alguna duda extra dejen un comentario y tratare de aclararlo.

¿Quién es el que recolecta la evidencia? Aquí debe ir el nombre de la persona que de primera mano recibió la evidencia, en un mundo corporativo más real, por lo general llega alguien del área involucrada y se la da a tu jefe y ya tu jefe te habla y te la da a ti. TU JEFE es quien recolecta la evidencia y hay que hacer que firme la CoC.

Se pone la hora y fecha en que se recibe o recolecta esa evidencia, el número de caso se llena en base a una nomenclatura que cada uno debe de desarrollar.

En cuanto a la información de la evidencia  el número de evidencia igual se llena con la nomenclatura propia desarrollada en cada grupo, en mi caso utilizo la fecha, con un carácter consecutivo y un identificador de dispositivo. Por ejemplo si el día de hoy levantara 2 elementos de evidencia una laptop y un USB mis números de evidencia quedarían de la siguiente forma:

En esta imagen también se ejemplifica el llenado del resto de esta parte de la CoC, ahora pasemos a la parte del control de la evidencia, esta es la parte medular de la CoC aquí nosotros controlamos cada elemento de evidencia, ¿en dónde está? ¿Quién lo tiene? 

No importa si la evidencia pasa de una área a otra o de un compadre a otro, TODO MOVIMEINTO DEBE QUEDAR REGSITRADO. Hay tres actividades principales a registrar: recibir, transferir y entregar, se registra el número de evidencia quien realiza la acción y quien la recibe y la hora y fecha en que se ejecutan las acciones.

Es una mejor práctica dejar o proporcionar una copia de la CoC a nuestros clientes o a nuestras áreas involucradas. Esto nos dara una garantia de que todas las partes estan en la misma página. 

Una vez que ya tenemos el control de nuestra evidencia y estamos listos para adquirirla debemos también tener un control de nuestros procesos de adquisición, saber ¿qué tipo de dispositivo estamos adquiriendo?  ¿Qué estamos utilizando para adquirir esa evidencia? ¿Fue exitoso el proceso de adquisición?

Aquí repetimos información ya registrada en nuestra CoC, sin embargo se hace una clasificación de nuestros dispositivos. El host debe entenderse por el dispositivo en el que reside quien almacena la información.  Es decir una laptop en si no almacena la información sino que es el host para el disco dura que contiene la información.  Y después documentamos el dispositivo que almacena los datos.

En la información del proceso de adquisición se registra el momento en el que el proceso arranca, se registra si se hizo un volcado de la memoria o de los procesos del sistema. Y por último en esta sección se registra si la configuración de zona horaria está configurada correctamente. No voy a tocar aquí la importancia grandísima que tener una configuración correcta tiene sobre el caso ya que ya escribimos un post acerca de ello que pueden checar aquí.

Posteriormente se registra quien está a punto de comenzar el proceso de adquisición, se indica si se utilizó algún hardware como un TD3 o un FALCON o un software como FTK Imager se debe indicar el modelo en el caso del hardware y la versión en el caso del software. Se indica la hora y la fecha en la que se arranca el proceso de adquisición, si esta fue exitosa o no, aquí puede haber varias razones para que una imagen falle sin embargo es importante registrar si se muestra algún error.

Por último en esta sección se registra el valor HASH que es el algoritmo de verificación y validación de la integridad de nuestra imagen. Este valor puede ser escrito a mano (no recomendado) o agregar el log de adquisición que la herramienta arroje.

La última sección de este formato de adquisición es la preservación de la evidencia aquí nos referimos a ¿en dónde va a vivir la imagen una vez creada? Las mejores prácticas dicen que debemos crear 2 copias una copia de trabajo Working Copy (WC) y una copia de preservación Preservation Copy (PC) en esta parte pueden registrar una o dos copias. 

La etiqueta del disco es en caso de que utilicen un sistema de etiquetación en mi caso mis discos duros se llaman FORENSIC01, FORENSIC02 etc… así puedo saber que por ejemplo mi_imagen_E01 esta almacenada en el disco duro FORENSIC01 y se registran los datos de ese disco duro. Y por último se registra que nombre se le da a la imagen, para esto yo también utilizo una nomenclatura propia, ustedes son libres de registrar el nombre de su imagen como deseen. 

Hay otros documentos que yo utilizo durante mis casos sin embargo estos no tienen un formato especifico. 

Como por ejemplo Lista de contactos, bitácora de actividades en la cual registramos hora y minuto de cada actividad que realizamos, desde que llegamos a la escena del crimen todos los procesos que ejecutamos, de si tuviste alguna reunión con el cliente o las áreas involucradas etc. Sin embargo esto puede ser una hoja de Excel o una hoja de papel.

Sé que este post ha sido largo y eh decido dejar esta primera parte aquí, aún nos quedan 3 sub fases más a la primer fase de preparación que son: Infraestructura y personal, control de accesos y permisos, preparación de hardware y software. Estas sub fases las tocaremos en la siguiente parte de esta serie de posts.

Espero les haya gustado y sobre todo podamos juntos ir viendo que partes necesitamos mejorar en nuestros procesos y en nuestros modelos creo que todos juntos podemos armar algo muy solido para ser implementado como un stardar nacido en Mexico y no depender tanto de lo que nuestros vecinos diseñen para nosotros.

Si tienen algún comentario o duda extra favor de ponerlo en los comentarios. Y a seguir la cacería Happy Bu5ting!.

-Bu5t3R