5. RECUPERACIÓN DE INFORMACIÓN EN MEMORIA RAM A
5.4 Ejemplos
5.4.9 Ejemplo 9: Prueba electromagnética en smartcards
Similar a las pruebas ópticas se pueden utilizar técnicas con pruebas electromagnéticas para obtener datos de la memoria de un CI. Investigadores de la Universidad Católica de Louvain en Bélgica en 2002 trabajaron con un análisis electromagnético, utilizando inducción electromagnética para escanear un semiconductor. En esta técnica se utiliza un pequeño probador en la superficie baja del CI y se mide la corriente inducida en él por un campo magnético en su superficie. En algunas circunstancias esto da información similar a la obtenida en mediciones de consumo de energía por el CI (power analysis). Este análisis mostró más información de la requerida ya que el campo magnético obtenía otros campos magnéticos generados por señales locales que no eran presentadas fuera del CI.
En los experimentos que llevó a cabo el equipo de investigadores se construyó un inductor miniatura, colocando cientos de vueltas de alambre alrededor de la punta de la aguja en un equipo de microprueba. Al inductor se le inyectó una corriente en el espiral que generó un campo magnético donde las líneas del campo se dibujaron sobre la aguja.
La punta de prueba se colocó algunos micrómetros (microns) sobre la superficie del procesador de prueba y se conectó el espiral al bulbo del flash de una cámara donde la corriente de remolino creada por el campo magnético se sensó permitiendo construir un mapa del CI, como se muestra en la figura 5.3.
Fig. 5.4 Mapa construído usando la corriente de eddy en una fotografía de la misma área.
Se observó que esta técnica de inducción, también podía ser usada para leer datos en forma no destructiva. Con el mismo sensor se escaneó un chip creando una pequeña perturbación en la celda de memoria. La idea fue mover por un corto tiempo el punto de polarización del transistor. Cuando el punto de polarización es movido de su estado original, la velocidad o el tiempo que tarda en regresar a ese estado original refleja el dato guardado en el transistor pudiendo ser un “0” o un “1”. Con el equipo utilizado fue difícil crear la suficiente corriente en el chip sin alterar el contenido de las celdas de memoria, pero mejorando los equipos, técnicas de laboratorio y con un procesamiento de señal más sofisticado se puede poner en práctica el uso de técnicas electromagnéticas para leer memorias con mayor eficacia [33].
CONCLUSIONES
Uno de los problemas a los que se enfrenta un investigador forense a la hora de capturar información, es obtener información volátil y de memoria que puede ser borrada o sobrescrita al querer obtenerla.
La memoria guarda información importante que puede ser la única fuente de información que el atacante haya dejado en una violación a un sistema y puede convertirse en evidencia crucial para detectar las causas del incidente.
Pero el análisis vivo no es ideal para un proceso de investigación forense porque se trabaja directamente sobre el sistema sospechoso, esto puede alterar la información recolectada y si esta información es llevada a un juicio ante una corte, puede que no sea aprobado como evidencia porque no es una copia fiel de la escena del crimen, por lo que considerando esta situación el investigador deberá conocer muy bien las herramientas de captura que utilice, por si llega a modificar algo, sepa exactamente que cambia en el sistema una vez ejecutado cada comando.
No cabe duda que una metodología es aplicada por un atacante para llevar a cabo una intrusión, por lo que tener una metodología para realizar la investigación forense también es necesaria y sobre todo en el primer paso de recolección de información volátil. Con los pasos bien definidos a seguir durante la recolección podremos capturar mayor y de mejor manera información volátil que pueda complementar la información estática y así obtener mayor evidencia para asistir al investigador en determinar las causas del incidente, hasta llegar al culpable.
La respuesta a incidentes en investigaciones, se centra en el primer intento del investigador por verificar el incidente, quien atiende un incidente puede verse forzado a elegir una acción que podría modificar la evidencia. En el proceso de investigación forense se aplican técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal para reconstruir los hechos pasados con base en la evidencia que se recolecta.
Es en la respuesta inicial donde será incluido el procedimiento propuesto, ya que se debe obtener la información volátil que nos pueda ayudar a obtener datos importantes de la verificación de un incidente y así mismo la evidencia necesaria para llegar a ese objetivo.
La aplicación de una metodología para el sólo paso de la recolección de información es de extrema utilidad ya que puede servir como una guía para que el investigador pueda recolectar la información volátil con la menor alteración posible, esta metodología se realizó en base al orden de volatilidad considerando que independientemente del sistema operativo con el que cuente el equipo bajo análisis los registros del procesador, el contenido de la memoria y el estado de las conexiones y los procesos es perdido cuando el sistema es apagado. Por lo que se puede aplicar en diferentes sistemas operativos.
En la metodología planteada expone siete pasos de recolección de información volátil sobre equipos de cómputo; el primer paso establece una línea de conexión segura al sistema donde podamos aplicar las herramientas de nuestro conjunto en forma confiable, una vez establecida esta comunicación se realiza un registro de tiempo de todo el sistema y se procede a obtener los datos del sistema (en base a la volatilidad), una vez finalizadas estas tareas se realiza un nuevo registro de tiempo y una copia de la memoria que muchas veces causa la reinicialización de la máquina. El paso final se refiere a la documentación de la información, que es tan importante como cada uno de los pasos anteriores.
Esta metodología se aplicó sobre los sistemas operativos Windows y Linux ya que son los de uso más común, y se consideraron dos tipos de accesos, en forma local y a través de la red, pudiéndose observar la utilidad de las herramientas existentes en cada una de las versiones de los
sistemas operativos elegidos ya que éstos son una excelente plataforma que permite flexibilidad para ejecutar comandos de recolección de información volátil.
Varias herramientas y procedimientos puede que no trabajen como se describe en la investigación, debido a que Windows y Linux parchan sus sistemas continuamente protegiéndolos contra ataques y por lo tanto contra la recolección forense. Cada situación requerirá quizá de una herramienta nueva que se tendrá que adecuar al caso, por lo que el investigador forense tiene que saber muy bien el uso de cada herramienta, ya que el orden en que se pueden o deben usar depende de los efectos que tienen.
En el caso del uso de las herramientas forenses como grave-robber se observó que este tipo de software aplica una metodología planteada por el desarrollador, la cual se ejecuta con comandos internos de los cuales solo observamos el resultado, sin tener la flexibilidad de profundizar sobre un punto, modificarlo o quizá saltarnos algunas acciones. Por lo que la creación del propio conjunto de herramientas es importante para la recolección.
Las herramientas utilizadas para la recolección de información volátil en los primeros casos no fueron especializadas o forenses, se utilizaron herramientas del administrador del sistema, esto porque la recolección de información volátil muchas veces requiere que el investigador utilice lo que tienen a primera mano, además de que el sistema operativo tiene los comandos necesarios para aplicarlos donde el investigador exactamente lo requiere, más que aplicar un solo comando para realizar toda la captura como lo ejecutan las herramientas forense.
Finalmente la elección del conjunto de herramientas dependerá completamente del investigador, en este trabajo solo se exponen las ventajas y desventajas que se pudieran tener en caso de decidirse por una u otra herramienta.
El objetivo del análisis forense es una actividad orientada a respuesta, es decir, determinar qué sucedió, quién fue el culpable y cuál es el impacto de los eventos. Las herramientas descritas y la metodologías es útil, pero la habilidad del investigador es la que determina si el caso será resuelto o no.
Dentro del alcance de este trabajo no se plantea una metodología para la recuperación de información sobre un sistema muerto, ya que lleva un proceso y herramientas muy diferentes a un sistema vivo, pero se expusieron varios ejemplos realizados por Universidades dedicadas a semiconductores y seguridad que muestran que todavía es posible obtener algo de información de la memoria RAM aunque el equipo esté desconectado de energía.
El concepto en que se basa esta serie de experimentos es la retención de datos en dispositivos de memoria (remanencia), causado principalmente por los problemas que se generan en el proceso de miniaturización de los dispositivos de memoria. Estos problemas pueden no estar contemplados en la construcción y generar defectos que pueden aprovecharse para la recuperación de información en estos dispositivos.
Aunque para los desarrolladores de software y los constructores de circuitos integrados los defectos en los sistemas representan problemas, para el investigador forense estos defectos son una forma que pueden emplear para recuperar u obtener evidencia. Pero la utilización de equipo especializado y pruebas experimentales hace difícil que los dueños de los equipos puedan acceder a estas acciones en el caso de una investigación judicial. Tal vez no se pueda incluir como evidencia en una corte, pero es una buena noticia saber que existe una forma de obtener información de memoria aunque el sistema esté completamente muerto.
Los pasos de la metodología general propuesta puede que no sean apropiados en todas las jurisdicciones, por lo que se debe realizar un procedimiento de recolección de información volátil para cada sitio en específico, y la metodología propuesta puede ser de gran utilidad.
Hemos hablado de llevar la información recolectada a una corte, pero en México son pocas las leyes establecidas para delitos informáticos, por lo que esta metodología general se adecuará a cada sitio en específico, es por eso que una metodología puede ayudar a hacer el proceso más formal y obtener un punto más a favor en la lucha contra los crímenes digitales.
REFERENCIAS BIBLIOGRÁFICAS
[1] Gottfried, Grant. ”Emerging Technology: Taking a Byte Out Of Crime”. Itarchitect
Network Magazine [en línea]. Mayo 2001. [ref. Marzo 2003]. Disponible en WWW :
<http://www.networkmagazine.com/article/NMG20010125S0001>
[2] Kruse, Warren G., y Heiser, Jay G. “Computer Forensics (Incident Response Essentials)”. Editorial Addison Wesley, Septiembre 2001.
[3] Dittrich, Dave. “Basic Steps in Forensic Analysis of Unix Systems”. Computer Forensics
[en línea]. [ref. Marzo 2003]. Disponible en WWW: <http://staff.washington.edu/dittrich/>
[4] Grego, Adolfo. “Presentación Computación Forense” ALAPSI/ITESM 2001
[5] Department of Energy, Computer Forensics Laboratory.”First Responder´s Manual”. [en línea] . [ref. Marzo 2003]. Disponible en pdf en Internet: <http://www.linuxsecurity.com/resource_files/documentation/firstres.pdf>
[6] Brezinski, D. y Killalea, T. “Guidelines for Evidence Collection and Archiving”. Request for Comments[en línea]. RFC 3227, categoría: Best Current Practice. Febrero 2002. [ref. Abril 2003]. Disponible en Internet: <http://www.rfc-archive.org/getrfc.php?rfc=3227> [7] Aquino Luna, Rubén. “Análisis forenses en sistemas Windows/Unix.”
Cómputo Académico UNAM. Marzo 2003.
[8] Write, Timothy E. “The Field Guide for Investigating Computer Crime: Overview of a Methodology for the”. Security Focus [en linea]. Mayo 26 2002 [ref. Jul 2003].
Disponible en WWW: <http://www.securityfocus.com/infocus/1245>
[9] International Organization on Computer Evidence. “G8 proposed principles for forensic evidence”. International Organization on Computer Evidence IOCE [en línea]. 2002.
[ref. Ago 2003]. Disponible en pdf en Internet. <http://www.ioce.org/ >
[10] Russinovich, Mark. “Ps Tools”. Sysinternals [en línea]. 2005. [ref. Octubre 2005].
Conjunto de herramientas disponible en
Internet:<http://www.sysinternals.com/Utilities/PsTools.html>
[11] Robinson, Matt D. y Morano, Tom. “Linux Kernel Crash Dump”. Sourceforge [en línea].
2000. [ref. Sep 2004]. Disponible en WWW: <http://lkcd.sourceforge.net/>
[12] Linux Education. “LKCD Installation and Configuration”. IBM Global Services [en
línea]. 2000.[ref. Sep 2004]. Disponible en pdf en Internet: <http://lkcd.sourceforge.net/doc/lkcd_tutorial.pdf>
[13] Winchell, Dave, Moyer, Jeff y Huber, Josh. “Mission Critical Linux”. Mission Critical
Linux [en línea]. Inc. 2000. [ref. Oct 2004]. Disponible en WWW:
<http://oss.missioncriticallinux.com/projects/mcore/>
[14] The GNU Project Debugger. “GDB”. The GNU Project Debugger [en línea]. Enero 2002. [ref Sep 2004]. Disponible en Internet: <http://sources.redhat.com/gdb/>
[15] Johnson, Michael K. “Netdump Rationale”. Red Hat, Inc.'s Network Console and Crash
Dump Facility [en línea]. 2002. [ref. Ago 2003]. Disponible en WWW:
<http://www.redhat.com/support/wpapers/redhat/netdump/>
[16] Carrier, Brian. “ Sleuth Kit” y “Autopsy Browser”. Sleuthkit.org [en línea]. [ref. Mayo
2005]. Disponible en WWW: <http://www.sleuthkit.org/>
[17] Venema, Wietse. “The Coronoer´s Toolkit (TCT). Porcupine.org [en línea]. [ref. Mayo
2005].Disponible en WWW:< http://www.porcupine.org/forensics/tct.html>
[18] Venema, Wietse. “Memdump”. Porcupine.org [en línea]. [ref. Mayo 2005].Disponible en
WWW:<http://www.porcupine.org/forensics/memdump-1.0.README>
[19] Gutman, Peter. “ Secure Deletion of Data from Magnetic and Solid-State Memory”. Department of Computer Science, University of Auckland [en linea]. 6o. Simposio de Seguridad USENIX, Julio 1996. [ref. Enero 2005]. Disponible en formato pdf en Internet: <http://www.cs.auckland.ac.nz/~pgut001/>
[20] Gutman, Peter. “ Data Remanence in Semiconductor Devices.”. IBM T.J. Watson Research Center [en línea].10 Simposio de Seguridad USENIX, Agosto 2001. [ref. Enero 2005]. Disponible en Internet: <http://www.cs.auckland.ac.nz/~pgut001/>
[21] Schweitzer, Douglas. “Incident Response: Computer Forensics Toolkit”. HNS [en línea].
Octubre 2003. Capitulo 1. [ref. Dic 2004]. Disponible en formato pdf en Internet: <http://www.net-security.org/dl/reviews/0764526367.pdf>
[22] Barish, Stephen. “Windows Forensics: A Case Study”. SecurityFocus [en línea].
Diciembre 2002 [ref. Mayo 2005]. Disponible en WWW: <http://www.securityfocus.com/infocus/1653>
[23] Microsoft. “Windows 2000 Resource Kits”. Microsoft Corporation [en línea]. 2004. [ref.
Mayo 2005]. Disponible en WWW:
<http://www.microsoft.com/windows2000/techinfo/reskit/default.asp>
[24] Microsoft. “How to configure system failure and recovery options in Windows”.
Microsoft Corporation [en línea]. 2003. [ref. Agosto 2005]. Disponible en WWW:
<http://support.microsoft.com/kb/307973>
[25] Microsoft Support. “How to Use Dumpchk.exe to Check a Memory Dump File”.
Microsoft Corporation [en línea]. 2003. [ref. Agosto 2005]. Versión en español Id. del
artículo 241215 Disponible en WWW:
<http://support.microsoft.com/kb/315271/EN-US/> inglés
<http://support.microsoft.com/default.aspx?scid=kb;es;241215 > español
[26] Microsoft. “Debugging Tools for Windows”. Microsoft Corporation [en línea]. 2003.
[ref. Agosto 2005]. Disponible en WWW:
<http://www.microsoft.com/whdc/devtools/debugging/default.mspx>
[27] Russinovich, Mark. “PsTools”. Sysinternals [en línea]. 2004. [ref. Mayo 2005].
Disponible en WWW: <http://www.sysinternals.com/ntw2k/freeware/pstools.shtml> [28] Nacional Computer Security Center. “A Guide to Understanding Data Remanence in
Automated Information Systems”. Department of Defense Trusted Computer System
Evaluation Criteria [en línea]. Rainbow Series. Library No. 5-236,082, version 2,
Septiembre 1991. [ref. Febrero 2005]. Disponible en WWW: <http://www.fas.org/irp/nsa/rainbow/tg025-2.htm>
[29] Skorobogatov, Sergei P. “Semi-Invasive Attacks (definition). University of Cambridge
[en línea]. Octubre 2001. [ref. Febrero 2005]. Disponible en WWW: <http://www.cl.cam.ac.uk/~sps32/semi-inv_def.html>
[30] Skorobogatov, Sergei P. “Copy Protection in Modern Microcontrollers”. University of
Cambridge [en línea]. Noviembre 2001. [ref. Febrero 2005]. Disponible en WWW:
<http://www.cl.cam.ac.uk/~sps32/mcu_lock.html>
[31] Skorobogatov, Sergei. “Low Temperature Data Remanence in Static RAM”. University of
Cambridge Computer Laboratory. Junio 2002. [ref. Febrero 2005]. Disponible en pdf en
Internet: < http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-536.html>
[32] Skorobogatov, Sergei y Anderson Ross. “Optical Fault Induction Attacks” University of
Cambridge [en línea]. Mayo 2002. [ref. Marzo 2005]. Disponible en WWW:
<http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/faultpap3.pdf>
[33] Moore, Simon. 3rd Generation Smart Card Project [en línea]. G3Card IST-1999-13515. Enero 2003. [ref. Marzo 2005]. Disponible en WWW: <http://www.g3card.com/>
[34] Skorobogatov, Sergei y Anderson Ross. “On a New Way to Read Data from Memory”.
University of Cambridge [en línea]. Diciembre 2002. [ref. Marzo 2005]. Disponible en
formato pdf en Internet: <http://www.cl.cam.ac.uk/~sps32/>
[35] Chakraborty, Kanad y Mazumder, Pinaki. “Reliability and Fault Tolerance of RAMs”.
Pearson Education, Informit [en línea]. Ejemplo de Capítulo cortesía de Prentice Hall.
Octubre 2002. [ref. Abril 2005]. Disponible en WWW: <http://www.informit.com/articles/article.asp?p=29732>
[36] Mandia, Kevin y Prosise, Chris. “Incident Response: Investigating Computer Crime”. Editorial: Osborne/McGraw Hill. 2001.
[37] Wreski, Dave. “Biatchux Booteable CD Forensics Toolkit”. Linux Security.com [en línea]
Febrero 2002. [ref. Agosto 2005]. Disponible en Internet: <http://www.linuxsecurity.com/content/view/111308/65/>
[38] Salusky, William. “Forensic and Incident Response Environment”. Source Forge [en
línea] 2004.[ref. Septiembre 2005]. Disponible la herramienta y documentación en Internet: <http://fire.dmzs.com/>
[39] Knopper, Klaus. “Knoppix”. Knopper.net [en línea]. [ref. Septiembre 2005]. Disponible la
herramienta y documentación en Internet: < http://www.knoppix.org/>
[40] Baca Ernest. Penguin Sleuth Booteable CD”. Linux-Forensics.com [en línea] 2003. [ref. Septiembre 2005]. Disponible herramienta y documentación en Internet:
< http://www.linux-forensics.com/downloads.html>
[41] ASR Data. “Smart Linux”. ASR Data [en línea] 2005. [ref. Septiembre 2005]. Disponible
la herramienta y documentación en Internet: <http://www.asrdata2.com/>
[42] Sánchez Franco, Alfredo. “Delitos Informáticos y su prueba - Algunas Consideraciones sobre la Ley Penal Mexicana, con base en la Legislación Penal Internacional”. Delitos
Informáticos [en línea]. Enero 2004. [ref Octubre 2005]. Disponible en WWW:
<http://www.delitosinformaticos.com/delitos/ensayomexico.shtml>
[43] Semiconfareast.com. “Microprobing”. Semiconfareast.com [en línea]. [ref. Octubre 2005].
Disponible en Internet: http://www.semiconfareast.com/microprobing.htm
[44] Gómez, Roberto. “Mejores Prácticas para confiscar evidencia electrónica”. [ref. Mayo 2006].Apuntes de la MCC ITESM Campus Estado de México.
[45] Peikaru, Cyrus y Chuvakin, Antón. “Security Warrior”. Editorial: O´Reilly&Associates. 2004
ANEXO A
ARTICULO 211 bis CODIGO PENAL FEDERAL
ARTICULO 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días de multa.
ARTICULO 211 bis 2.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días de multa.
ARTICULO 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días de multa.
Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días de multa.
ARTICULO 211 bis 4.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el
sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días de multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días de multa.
ARTICULO 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.