Todos los derechos reservados BITTIN 2015
Tel. (601) 7425944 - (+57) 305 7309799 – Dirección: Cr 7 # 29-34 Bogotá Colombia
Bogotá D.C., abril 05 de 2016.
En España han decidido realizar cursos constantes sobre los casos de peritaje forense, logrando explicar el pasado, presente y futuro del análisis forense, donde expertos tratan cada uno de los temas relacionados con el ciberespacio. A continuación una explicación del manejo del curso y los temas a tratar.
El mundo del peritaje forense ha cambiado mucho en estos años. Todavía recuerdo cuando en los primeros juicios a los que me presentaba comentaba en el informe que las evidencias se habían extraído con un Hélix y marcaba la integridad de las evidencias con MD5. Por aquel entonces no había mucho escrito sobre forense, y era muy complicado explicar las cosas a alto nivel.
Después, y como todo en esta profesión, se fue actualizando más y más el campo del peritaje hasta el día de hoy, en el que existen numerosas herramientas, procedimientos y aproximaciones para extraer una evidencia.
Y aquí es donde surgen nuevos problemas. Ya no vale con marcar las evidencias con MD5, porque tanto jueces como abogados te pueden tirar las mismas alegando colisiones. Con las herramientas pasa un poco lo mismo. Personalmente he visto cómo en determinados juicios, se han tirado evidencias porque han logrado demostrar que la solución utilizada para la extracción de las mismas no lo hacía correctamente.
Del peritaje forense nació el contra peritaje, que consiste básicamente en desmontar de una manera técnica y a bajo nivel las evidencias presentadas en un caso. Y para desmontar las evidencias no suele valer un “Le pasamos esta herramienta gratuita y cómo puedes comprobar….”, porque en ciertos escenarios, esa evidencia no valdrá nada ante un abogado que realmente sepa de lo que está hablando.
Cualquier perito decente recomendará sin duda la utilización de herramientas como Encase o FTK, y no porque sean más o menos caras, sino porque en determinados escenarios, gracias a la sola utilización de la misma tendrá el caso ganado. Pensar por un momento un caso en donde tenga que extraer información de determinados ficheros alojados en un disco duro con un sistema operativo de cualquier tipo, en el que no sólo residen esos ficheros, sino que también se encontrarán ficheros de carácter personal como fotografías o vídeos.
Gracias a estas herramientas y/o frameworks, los peritos se pueden concentrar en la búsqueda sin importar el tipo de dato que se encuentre en el sistema operativo. Más de un caso se ha caído debido a que en la búsqueda de esa información, el perito se topó con directorios que se encontraban fuera del ámbito de actuación y que no debería ver y/o analizar.
Hay que aplicar la medida justa para extraer la evidencia, ni más, ni menos. El conocimiento del entorno tanto a alto como a bajo nivel, así como la elección o la fabricación de la herramienta determinarán una buena actuación, así sea de la profesionalidad del perito a la hora de llevar el caso. Porque no hay que olvidar que se citará como experto en la materia.
También es importante tener amigos. En este caso, y dado la fragilidad de este campo, se recomienda que los peritos pertenezcan a algún tipo de asociación. Y por asociación quiero decir algo serio que resuelva las dudas puntuales que pueda tener un profesional. Para el caso que nos ocupa, en España tienen ANCITE, que brinda muchos servicios y ayudas a los profesionales que día a día se enfrentan a juicios.
Y después tener a gente como Pedro Sánchez, Lorenzo Martínez o un servidor para lanzar un cable siempre que se necesite y esté dentro de nuestra mano. Como sabe, Securízame organiza todos los años un curso de análisis forense para profesionales del sector. Gracias a estos cursos se han podido ver y estudiar escenarios nunca vistos como por ejemplo análisis de servicios basados en SQL Server, Exchange o Active Directory, por citar algunos en los que he sido invitado como profesor.
Como cada año, y anticipándonos a nuevos escenarios, el curso de este año está liderado por grandes profesionales del sector como por ejemplo Sergi Álvarez (@trufae), el cual es uno de los desarrolladores principales de radare, herramienta ampliamente utilizada en forenses de tipo avanzado y en donde se requiere un nivel de detalle importante en cuanto a la presentación de evidencias.
También estará José Antonio Guasch (@secbydefault), el cual es uno de los editores de este blog y reconocido profesional que ha sido invitado por Securizame para hablar a bajo nivel de navegadores, así como las buenas prácticas a la hora de montar un laboratorio forense, junto con Lorenzo Martínez (@lawwait).
El incombustible Pedro Sánchez (@conexioninversa) participará esta vez enseñándonos todo lo relacionado con Incident Response, disciplina que cada vez más se está demandando en clientes finales.
El gran Toni de la Fuente (@ToniBlyx) ha sido invitado para que nos enseñe cómo enfrentarnos a casos forenses en donde la información resida en la nube, algo que ya forma parte de nuestra rutina diaria.
La parte de Yago (@YJesus), editor también de este blog y creador de herramientas como unhide, es la de Backdooring, ocultación y búsqueda de tramas, no sólo en el sistema, sino también en red. Por mi parte (@tr1ana) yo he sido invitado para dar la parte de OS en Windows.
Pero no me voy a centrar este año en registro o ficheros. Este año toca centrarnos en servicios como Cortana (Sí, Cortana!), la interfaz Metro o la integración de aplicaciones con el escritorio. También dedicaré un apartado especial al análisis de memoria RAM, pero esta vez Volatility se quedará en el cajón y lo haremos mediante herramientas nativas de Microsoft, como son WinDBG o SysInternals.
En la URL del curso se tiene tanto el temario como horarios y profesores implicados en el mismo. https://cursos.securizame.com/cursos/analisis-forense-en-profundidad-2-0/.
La oportunidad de conocer más sobre ciberseguridad, análisis forense y temas del ciberespacio es brindada por cada uno de los expertos para que los usuarios tomen las medidas adecuadas en el uso de la red. Es por esto que no se debe perder oportunidad de aprender cada recomendación sobre el tema.
Fuente: SBD SecurityByDefault.com