Análise Forense

A adquisición é a fase máis crítica, xa que garante que a información se recolle de forma intacta. É común utilizar ferramentas forenses que permiten clonar discos duros, capturar memoria volátil, ou analizar redes sen modificar os datos orixinais. Exemplos de ferramentas inclúen EnCase, FTK (Forensic Toolkit), e WireShark.

Se debe establecer un plan de adquisición sistemáticos que indique os métodos e procedementos de recolección de datos empregados e documentalo exhaustivamente. E particularmente importante que o método de  adquisición non modifique o sistema que se está examinando, polo que a miudo se recurre a facer copias (imaxes de disco) para preservar a integridade dos datos orixinais.

E necesario indicar a tecnoloxía e recursos empregados no análise, o contorno de traballo utilizado e anotar os procedementos seguidos.

Se debe establecer unha cadea de custodia das evidencias obtidas con etapas ben redactadas e documentas:

• Identificación, extracción e rexistro da evidencia
• Medidas de preservación e almacenamento da evidencia
• Traslados da evidencia

Orixes típicos das evidencias dixitais son:

• Contido dos discos (ficheiros, e-mails, ...)
• Arquivos borrados (recuva, testdisk ... etc)
• Historial de conexións a redes (logs)
• Cachés do navegador
• Información de configuración da rede
• Arquivos temporais do sistema e swap
• Contactos, axenda e mensaxería
• Aplicacións instaladas
• Ficheiros descargados e compartidos... etc

Os procesos de adquisición son delicados, e requiren moitas veces de equipamento especial. En particular os análises en quente (co equipo en funcionamento) son os que máis información facilitan, pero son moito máis difíciles de levar a cabo con eficacia. O hardware necesario debe cumplir certos requisitos:

• Debe ser compatible a nivel de conexións con gran cantidade de dispositivos para poder analizar distintos sistemas
• Debe dispoñer de gran espazo de almacenamento para poder gardar as evidencias e facer copias de seguridade
• Se debe valorar o uso de bolsas antiestáticas, xaulas de faraday, cámaras de fotos..
• Se debe dispoñer de softeare de análise de datos

Existen "Suites" de aplicacións especializadas que proporcionan numerosas ferramentas, entre elas Autopsy/Sleuthkit, Digital Forensics Framework, Encase...) e aplicacións de uso común de gran utilidade como dd, editores hexadecimais ... etc.

A adquisición de datos que se debe realizar depende do incidente a analizar. É importante identificar o incidente e notificar aos afectados si a regulación legal o require (LOPD) garantindo a coservación das evidencias:

• Os datos non se adquiren sobre o os dispositivos orixinais que deben preservarse no posible no seu estado orixinal.
• As accións deben axustarse a un plan meditado e previsto. 
• As actuacións son moi diferentes si os equipos están encendidos ou apagados. 
• A actuación sobre equipos apagados se chama análise post-mortem. Nestes casos é máis fácil preservar as evidencias, pero se perde a información volátil. 
• A actuación sobre equipos encendidos se chama análise en vivo. Nestes casos é posible moitas veces acceder a dispositivos cifrados ou ao contido da memoria RAM e os arquivos temporais, pero é moito máis complexa a preservación de evidencias polo que non sempre é posible. 
• A adquisición de datos máis común é a adquisición estática mediante extracción de información de discos fixos, tarxetas SD, memorias USB... xerando unha imaxe que se analizará posteriormente.
• Se debe garantizar que os datos orixinais non son modificados para o que se debe acceder a eles en modo so de lectura, incluso utilizando dispositivos hardware protectores contra escritura. 
• No caso de captura de datos en vivo e importante que tanto o software instalado como o dispositivo destino da captura sexa externo (USB)

A información típica que se recopila é:

• Data e hora do sistema
• Instantánea dos dispositivos de almacenamento e busca de arquivos borrados  (dd, FTK Imager, Caine Linux,GuyManager).
• Portos TCP/UDP activos e aplicacións conectadas ou en espera de conexión.
• Usuarios activos no sistema
• Procesos en funcionamento no sistema
• Configuración de rede (ip, rutas e caché ARP)
• Logs do sistema
• Análise do tráfico de rede
• Copias de memoria: /dev/mem, LIME (lime-forensics-dkms, FTK Imager)

E común o uso de harware especializado, como Clonadores de disco, bloqueadores de escritura ou  estacións forenses. ( https://ondatashop.com/equipo-forense-velociraptor-7) 

E moi importante evitar a escritura no disco orixinal, para o que e imprescindible montalo en so lectura utilizando si é necesario bloqueadores de escritura hardware / Clonadoras de disco. Unha firma hash MD5 ou SHA-1 pode garantizar a integridade das imaxes obtidas.