Libros sobre seguridad

Esta sección la dedicare a comentar sobre libros que tratan de seguridad de forma profunda o somera; pero que de una u otra forma aportan al desarrollo y conocimiento del tema.

Juegos de Guerra (David Bischoff) : Libro de los años 80. Es mas una novela dedicada a los temas informáticos aplicados a la seguridad nacional de los Estados Unidos y como un adolescente logra ingresar a este sistema, provocando un gran problema. Es en los tiempos de la guerra fría, esta intromisión estuvo a punto de desencadenar la tercera guerra mundial. Lo interesante es que para lograr tener acceso al sistema, el chico (David Lightman) examina, en primera instancia, los hábitos del creador del sistema; de esta forma halla la clave de acceso. Es de recordar que algo muy similar se usa en Ingeniería Social, herramienta muy usada por Kevin Mitnick

El huevo del cuco (Clifford Stoll): Su autor es considerado el padre de la Computación Forense. Es un libro que relata una historia real. Su temática se desarrolla al rededor de una intruso que esta intentado usar el servidor de una universidad de los Estados Unidos como plataforma para desarrollar un ataque a instalaciones militares. Un astrofísico, se da cuenta que hay un intruso en sus sistema e inicia todo el proceso de seguimiento de las acciones del individuo sobre el sistema informático. El relato esta salpicado de comando de UNIX lo cual lo hace más interesantes. Igualmente, se puede derivar una metodología para la investigación en computación forense y establecer estrategias de seguimiento, digital, sin ser percibido, lo cual es muy interesante. Es un libro super recomendado.

Diario de un Hacker. Confesiones de Hackers Adolescentes (Dan Verton) : Si se desea conocer acerca de hackers reales y como se han iniciado, este es el libro indicado. El factor común, en cada uno de los casos, es un profundo conocimiento técnico en computación. El libro contiene ocho historias; las cuales van desde como, cada uno de los protagonistas, se fueron convirtiendo en hackers; hasta contar las aventuras que afrontaron por hacer un uso intensivo de la computación y las comunicaciones electrónicas. Es una crónica histórica.

Seguridad Informática. Técnicas criptográficas (Pino Caballero): Es un libro orientado a presentar los principios de la criptografía, desde la perspectiva matemática. Desarrolla los temas de criptografía clásica, de clave secreta, de clave pública. En su capítulo final presenta algunas aplicaciones. Sus capítulos están desarrollados desde las perspectiva teórica y desarrolla demostraciones de diferentes teoremas y postulados que son aplicados en los procesos criptográfico. Adolece de ejemplo y de ejercicios. El libro esta dirigido para aquellos que ya tienen algún conocimiento sobre el tema y tienen bases en matemática modular.

El idioma de los Espías (Martin Gardner): El autor hace un recorrido por diversa técnicas para el envio de mensajes de ocultos; las cuales fueron usadas por los espías. No se desarrolla una línea del tiempo que desarrolle históricamente la génesis y perfeccionamiento de cada una de las metodología. Uno de los capítulos lo dedica a la criptografía clásica. Los otros acápites estas dedicados a otras estrategias que en su momento fueron usados por agentes secretos. Es un libro de carácter informativo, no técnico ni matemático. Considero que merece la lectura del mismo, por el manejo que le da a cada una de las metodologías expuestas y los conceptos que de allí se pueden derivar para efectos desarrollo y ajuste de prácticas de criptoanálisis.

Metodología para la Investigación Forense

La metodología para la recolección y análisis de evidencia digital, que se presenta a continuación, es un desarrollo propio. Esta constituida por cinco grandes etapas las cuales son: Autorización, preparación, recopilación de pruebas, análisis de información y documentación. En la gráfica se puede apreciar de forma esquemática.

En primera instancia, se debe notar que la metodología esta montada sobre el concepto de documentación, la cual debe ser constante y durante todo el proceso. Es más, se considera que una de las herramientas principales que debe tener un investigador forense es una libreta y un lápiz, que le permita tomar atenta nota de todo lo que logra ver, oír, percibir o relacionar.

A continuación se presenta una descripción de cada una de las cinco etapas que componen la metodología.

Autorización

Es de imperiosa necesidad logar los permisos y autorizaciones necesarias de las autoridades o instancias competentes, para proceder a realizar la investigación. El acopiar evidencias sin un permiso expreso pierde toda validez y admisibilidad en un proceso judicial. Otro problema que se puede presentar es que el usuario del equipo puede argumentar a su favor que se le esta violando su derecho a la intimidad o que se esta accediendo a datos confidenciales sin autorización.

Preparación

En esta etapa se realizan las actividades iniciales que permiten abordar en forma adecuada la investigación. La primera actividad a ejecutar es el aseguramiento del área. Esto implica que a partir de ese momento nadie tocará nada de lo que se encuentra en el área y dejaran todo tal y como esta. Este primer procedimiento es necesario para que no se alteren las posibles evidencias, dejadas por el agresor en la comisión del ilícito.

También hace parte de esta etapa actividades tales como el levantamiento de un acta. Dependiendo del objetivo y de la profundidad con que se vaya a desarrollar la investigación, puede ser necesario que antes de iniciar el proceso, se precise de algunos testigos idóneos que den fe de que todas las evidencias acopiadas proceden de las máquinas involucradas. Igualmente, hace parte de esta etapa las actividades de toma de fotografías, identificación de fuentes de evidencias y sanitización de medios. Con la penúltima actividad se pretende que el investigador, logre determinar que elementos son susceptibles de contener evidencias; dentro de estos puede encontrar CD´s, disquetes, memorias USB, Discos ZIP, asistentes personales, celulares o cualquier otro elemento.

La sanitización de medios, es una actividad netamente preventiva, que evita que los medios que se van a usar para la recopilación de pruebas y la copia de imágenes de los medios contengan información de procesos anteriores. El proceso de sanitización debe de efectuarse así los medios sean totalmente nuevos.

Recopilación de pruebas

Dependiendo del momento en el cual el investigador inicie el proceso, en esta etapa puede ser necesario tomar una decisión. Si la investigación se inicia en el momento en el que el ataque se esta sucediendo, es necesario decidir si se apaga o no el computador que esta sufriendo el ataque. Si se decide no apagar, se logra recopilar las evidencias de tipo volátil y es posible que se le haga un seguimiento al atacante y sus acciones. Pero este accionar genera algunos problemas tales como posibilitar que el atacante continué con la comisión de sus actos; lo cual puede dar como resultado daños y perdidas más grandes. Pero si se decide apagar el computador, se pierde la oportunidad de acopiar las evidencias volátiles. Esta decisión la puede tomar el investigador, haciendo usos de su experiencia, para reconocer de forma rápida la gravedad del ataque.

De la forma en la cual se recopilen las evidencias, depende en gran medida la completitud y fiabilidad de las pruebas. Cuando se están recopilando las diferentes pruebas, no se debe olvidar la necesidad de que toda prueba recopilada tenga la siguiente información adicional: fecha, hora y firma digital. La firma digital se puede obtener a través de algoritmos tales como MD5 o SH1. Estos son elementos básicos para que una evidencia digital tenga la característica de fiabilidad.

En cuanto a las copias de los medios, esta debe ser tomada con herramientas que hagan copia byte a byte. Lo que se quiere obtener es una imagen fiel del medio comprometido. Con este tipo de copia no solo se logra copiar todos y cada uno de los archivos si no también la información que se encuentra en los intersectores, en las interparticiones, en parte de los sectores no usados y la información que aun subsiste de los archivos borrados.

Análisis de información

Esta etapa es una de las más complejas; la cual, como toda investigación debe tener un objetivo bien definido, y donde se requiere que el investigador tenga un pensamiento que sea capaz de conjugar la deducción con la inducción. El investigador después de hacer un primer análisis, estable sus primeras hipótesis y teorías y luego inicia un proceso de análisis que le permita llegar a establecer dos elementos: la reconstrucción de los hechos y el establecimiento de la línea del tiempo.

Con el fin de bajarle el nivel de complejidad a esta etapa, se dividido en cinco subetapas, las cuales son: caracterización de los medios, recuperación de información, filtración de información, reconstrucción de los hechos y generación de la línea de tiempo.

Se llama la atención sobre algunas actividades que pueden generar o presentar algunos inconvenientes. Cuando se esta examinado la información de los log´s, se puede presentar el hecho de que el sistema no este sincronizado a nivel de relojes. Esto hace que la información consignada en los log’s no correspondan con una hora real de ocurrencia de los hechos. Por ejemplo, en una empresa los empleados de un área saben que cierto proceso se corre todos los días a las 7:00 A.M., pero en el sistema aparece que el proceso es ejecutado a las 7:00 P.M. Este cambio ya hace que la prueba no sea admisible o que sea refutada muy fácilmente.

Otro caso que se puede presentar, es que el investigador no pueda hacer la reconstrucción total de los hechos o que no pueda establecer la línea de tiempo. Esto puede suceder por que no se logro detectar todas las evidencias, por que no se efectúo de forma apropiada la recolección de la evidencia, porque cuando se efectúo el proceso ya había pasado mucho tiempo y la mayoría de evidencias ya habían desaparecido o por que el atacante durante el ataque utilizo herramientas antiforenses que eliminaron las evidencias.

Documentación

Como se comento en un párrafo anterior, esta metodología esta cimentada sobre el proceso de documentación. En esta etapa de la metodología lo que se busca es poder escribir el informe de acuerdo a quien vaya dirigido. Este informe debe ser lo mas claro y completo posible. No se debe de omitir ninguna información. Su redacción no debe ser ambigua ni prestarse para interpretaciones erróneas, ya que esto permitirá que la defensa le de un giro al proceso. Todo lo consignado en el informe debe poderse probar y esta prueba debe poderse repetir en el momento que sea necesario.

Propuesta de investigaciones a desarrollar

Esta sección del blog tiene como objetivo presentar y recoger algunas investigaciones que se pueden adelantar en el área de la Computación Forense.

En primera instancia se presentara un listado el cual se irá nutriendo en la medida en que los visitantes del blog efectúen propuestas. Es posible que trabajemos en alguno de estos ítems; en tal caso se alimentara el blog con los resultados obtenidos. Pero también es posible que nos enteremos de desarrollos en alguna de las áreas de interés, lo cual informaremos. En cualquiera de las dos opciones se creara una sección que permita un desarrollo cooperativo del tema. Estos son:

• Algoritmos bioinspirados aplicados a la seguridad
• Seguridad y computación forense en buses de campo
• Seguridad y computación forense en los sistemas operativos de equipos MAC
• Seguridad y computación forense en dispositivos móviles
  

Fundamentos de Computación Forense

Este blog es creado con la finalidad de desarrollar una construcción colectiva de conocimiento en el tema de computación forense.

Se le ha dado el nombre de Fundamentos en Computación forense, con el fin de que todos aquellos interesados (principiantes, iniciados o expertos) en el tema, puedan encontrar información , pero igualmente puedan participar en los temas aquí expuestos.

Para los principiantes, se presenta una información inicial, la cual les proporcionara los conceptos básicos iniciales para iniciar estudios posteriores. Esta se encuentra a continuación:

Computación Forense

View more presentations from joseber.