Saludos bugbu5t3r5!
Estamos de regreso con la serie de UMDI en la cual estoy
presentando un framework para las investigaciones digitales en México.
Continuemos con la
fase de preparación y ahora hablemos de la infraestructura y personal.
Este es un tema increíblemente extenso, esta fase habla
acerca de las instalaciones que debemos tener como parte de nuestro
laboratorio. Aquí quiero hacer una anotación. Un laboratorio forense…. Si
estuviéramos con nuestros vecinos del norte estaríamos hablando de un lugar
cerrado, con controles biométricos, pisos, paredes y mesas anti estáticas,
estaciones con 2 o 3 monitores.
Sin embargo aterrizándolo a mi experiencia de mi actual y
pasados trabajos y lo que estoy seguro muchos de ustedes estarán de acuerdo eso
por lo general no pasa aquí… conozco en México un par de empresas privadas y
del sector público que tienen laboratorios que no le piden nada a otros
laboratorios internacionales, sin
embargo la norma es que tu laboratorio es tu lugar de trabajo.
Si tienes suerte
será un lugar cerrado con una puerta convencional, pero por lo general es tu
lugar de trabajo rodeado de tus compañero de otras áreas, ¿es lo ideal? No,
pero tampoco es una razón para no poder llevar a cabo una excelente
investigación déjenme compartir con ustedes lo que a lo largo de estos años eh
aprendido en cuanto a mi infraestructura para realizar mis investigaciones.
Déjenme ser un poco presumido y decirles que actualmente
cuento con un FRED de DI sin embargo no siempre ha sido así, así que aquí les
dejo los requerimientos MINIMOS probados que su máquina de análisis debe tener:
Memoria RAM: 4GB
Disco duro: 80 GB
Procesador: Core i3 o similar
Puertos de USB 2 o más
Con dificultad al correr ciertos procesos pero yo eh logrado
terminar casos con una máquina de estas características, así que cualquier
sistema de análisis que utilicen que sobrepasen estas características pude ser
su máquina de análisis.
Ahora que hemos aclarado esa parte del sistema en el que
haremos nuestros análisis quiero tocar otro tema de nuestra infraestructura
forense que son los bloqueadores de escritura. Parte de las reglas de oro es
mantener la integridad tanto de nuestra evidencia original como de nuestras imágenes.
Para esto utilizamos un bloqueador de escritura, este puede ser de hardware o
de software. Aquí pueden ver los bloqueadores de escritura de hardware
Entre otras cosas que deben tener en su arsenal forense se
encuentras las siguientes cosas:
-
Desarmadores de puntas de precisión
-
Linterna
-
Clips
-
Ligas
-
Adaptadores de SATA o SAS a USB
-
Adaptador de IDE a USB
-
Bolígrafo! No hay nada más lamentable que
alguien que tiene que pedir prestado un bolígrafo al momento de estar haciendo
un caso!
-
Cables de repuesto
-
Etiquetas o etiquetadora
-
Bolsas antiestáticas
-
Marcadores
Ahora veamos cuales son los roles que deberíamos en teoría tener
dentro de nuestros equipos forenses, aquí nuevamente en mi experiencia es
sumamente complicado que existan todos estos roles en nuestros equipo y a veces
una o dos personas deben asumir todos los roles.
Tabla de
roles
|
|
Rol
|
Descripción del rol
|
Examinador Forense
|
- Procesa la evidencia recolectada de las escenas
del crimen
- Genera imágenes forenses
- Genera líneas de tiempo
- Ayuda a la redacción del reporte
2 – 3 años de experiencia
|
Analista Forense
|
- Revisa la evidencia ya procesada
- Emite opinión experta cuando sea necesario
- Ataca los casos de complejidad técnica más
elevada
- Generación de reportes técnicos y ejecutivos
- < 5 años de experiencia
|
Gerente de Lab Forense
|
- Asignación de casos
- Revisión y verificación de los reportes emitidos
por el examinador y el analista forense
- Participación activa en la resolución de casos
complejos
- Contacto directo y presentación de hallazgos a
la alta gerencia
|
First Responder
|
- El primero en llegar a la escena del crimen
- Asegura la integridad de la evidencia en sitio
- Documentación de la escena del crimen
- Etiquetación y embalaje de la evidencia
decomisada
- Generación de la cadena de custodia
|
Control de Accesos y permisos
Ahora hablemos de las últimas dos sub fases de esta primera
fase, el control de accesos y permisos
hace referencia a todo lo que tenga que ver con los documentos que nos
certifican para estar en un determinado tiempo en un determinado lugar.
Por ejemplo cuando tengo que extraer un disco duro de
madrugada tengo que tener diversos documentos como por ejemplo un correo electrónico
impreso de un director o gerente quien autoriza la extracción del disco en
horas no estándares, y la cadena de correos y comentarios que esto pueda
generar, un correo de la persona encargada del área donde se realizara la extracción
y por ultimo una confirmación por parte de seguridad física de que estaremos trabajando
de noche y se dará el apoyo.
Así el poli
que está en la madrugada que seguramente no es el mismo que esta durante el día
te pida ver autorización y te diga que “a el nadie le aviso que habría gente
trabajando de noche”, pueda ver que todo está en orden y no sea un obstáculo
que represente un atrasa en nuestro trabajo.
Es también necesario contar con los accesos necesarios, en
la actualidad la mayoría de los edificios dan accesos restringidos a diferentes
áreas del mismo. Es decir mi credencial solo funciona con el lector de mi área si
yo intento ir a un piso diferente no abra forma de abrir esa puerta. Es importante
contar con estos permisos actualizados o bien con algún personal del área involucrada
que te de acceso libre a los controles de seguridad de las puertas.
Preparación de hardware y software
La preparación de hardware y software se refiere
a mantener todas nuestras herramientas actualizadas, los fabricantes actualizan
su firmware con nuevas características, con parches de seguridad, con arreglos de
algunas fallas. Estas actualizaciones
son críticas para el buen funcionamiento de todas las herramientas, en mi
laboratorio el último jueves de cada mes se revisa cada pieza de software y
hardware por nuevas actualizaciones. 3
En caso de usar software comercial es importante revisar el
estado de nuestras licencias, hace un par de meses me llamaron a dar una asesoría
ya que había diversas inconsistencias en el proceso, al revisar el proceso me
di cuenta que el problema real residía en que su hardware llevaba más de 5 años
sin actualizar y que sus licencias estaban vencidas, horas de trabajo se
perdieron en tratar de solucionar los problemas aunque la solución realmente
era mucho más sencilla.
Este es el final de la primera fase de UMDI recuerden que
esto que posteo es en base a lo que yo eh experimentado a lo que yo eh probado,
si alguien de nuestros lectores tiene una opinión diferente o quisiera agregar
algo, bienvenido!
Sigan pendiente para la siguiente fase en la que aprenderemos
a identificar y levantar evidencia de nuestra escena del crimen.
No hay comentarios.:
Publicar un comentario
Déjanos tu opinion