Metodología para la recolección de datos volátiles aplicados a un proceso de investigación forense-Edición Única

En un incidente de seguridad, donde se ha realizado una intrusión no permitida a un equipo de cómputo y se requiere buscar la causa y/o al culpable para que se haga justicia sobre los daños que fueron hechos, se utilizan los conocimientos y experiencia de los investigadores forenses en cómputo. Uno de los primeros pasos que realiza el forense en una investigación, es congelar la escena del crimen con el fin de adquirir la información que pueda llevarlo a encontrar las claves necesarias para identificar las causas del incidente. En los crímenes digitales la captura de información se convierte en un paso importante durante la investigación, ya que si no se siguen los pasos adecuados es fácil perder la información volátil del sistema. Cuando un investigador llega a la escena del crimen puede encontrar el sistema “vivo” (corriendo sus procesos en forma “normal”) o el sistema “muerto” (apagado). En el caso de un sistema vivo, es difícil congelar la escena del crimen, ya que la evidencia es sensitiva al tiempo y además de frágil, puede ser fácilmente alterada, dañada o destruida, además al realizar la captura de información volátil y de memoria es fácil cometer errores que traigan consecuencias graves ya que si se desconecta el equipo antes de capturarla, se puede destruir la poca evidencia existente. En el caso de encontrar el sistema muerto, podemos decir que la información volátil se ha perdido. Es por eso que la captura de información volátil de un equipo de cómputo se vuelve un problema en el proceso de recolección de información en una investigación forense. Otro problema que se presenta a la hora de recolectar información es el conjunto de herramientas que se utilizará para obtener la información. El investigador forense tiene que saber el uso de las herramientas que están a su alcance, ya que el orden en que se pueden o deben usar depende de los efectos que tienen. Para afrontar este problema en este trabajo de investigación se propone una metodología de recolección de datos volátiles y de memoria con el fin de asistir al investigador en el proceso de captura, la metodología consiste en siete pasos que se realizarán en base a la volatilidad de la información de un sistema de cómputo. Para comprobar su utilidad la metodología se aplicará a cinco casos con dos sistemas operativos diferentes, donde se accederá en forma local y remota y se utilizará un conjunto de herramientas en base al análisis de las utilerías existentes para las versiones de los sistemas operativos planteados en esta investigación. Dentro del alcance de este trabajo no se plantea una metodología para la recuperación de información sobre un sistema muerto, ya que lleva un proceso y herramientas muy diferentes a un sistema vivo, para este caso se exponen varios ejemplos realizados por universidades dedicadas a semiconductores y seguridad que muestran que todavía es posible obtener algo de información de la memoria RAM aunque el equipo esté desconectado de energía. El presente trabajo se encuentra organizado de la siguiente forma: en el primer capítulo se introduce al lector a la investigación forense, sus pasos y la respuesta a incidentes; en el segundo capítulo se plantea la problemática de recolección de información con respecto a la volatilidad de los datos; en el tercer capítulo se muestran las herramientas útiles para crear el conjunto de herramientas que permitirán al investigador realizar la recolección de datos volátiles; en el cuarto capítulo se plantea la metodología a seguir para la recolección de información volátil, aplicándose a cinco casos con diferentes sistemas operativos; finalmente en el quinto capítulo se muestran ejemplos de recuperación de información utilizando métodos físicos. Al final del documento se exponen las conclusiones del trabajo de investigación