• No se han encontrado resultados

LA MEMORIA VOLÁTIL

4 Análisis de dispositivos

4.3 INFORMÁTICA FORENSE “EN VIVO”

4.3.1 LA MEMORIA VOLÁTIL

La memoria volátil se caracteriza por estar compuesta por datos que se consiguen cuando el dispositivo se encuentra encendido y se perderían en el momento del apagado. Se trata, por tanto, de datos de carácter temporal, que tendrá una duración temporal dependiendo del tipo de registro o dato, o su localización, etcétera. El tipo de Memorias actuales de varios Gigas de datos hace que sea una cantidad de datos que no se puede despreciar.

Diferenciar entre los tipos de datos volátiles, entre los procesos internos del equipo, con los que se producen con los sistemas de acceso remoto, conexiones a redes, diferentes tipologías de conexiones exteriores, caché, etcétera. También la memoria puede contener datos relevantes de encriptación, contraseñas, datos de navegación, certificados que han funcionado, programas en funcionamiento, un elevado número de información útil. Entre los fragmentos más destacados, enumeraremos los siguientes: *(lista extraída del documento GEE)

Procesos en funcionamiento Servicios en funcionamiento Información del Sistema Usuarios logueados

Puertos abiertos y de escucha

Caché del protocolo ARP (protocolo de resolución de direcciones) Cachés DNS

Información de reinicio

Información de registro no copiada en la memoria Documentos no guardados

Binarios de procesos y servicios, que incluyen aquellos de malware que residen en la memoria.

77

PFC Protocolo Peritaciones Informáticas

En este punto de la peritación debemos resaltar como guía para realizar consulta una extensa guía de software para realizar comprobaciones y extracción de información, que ha sido realizada por Kuhlee and Voelzow. Está diseñada para la obtención de fragmentos concretos de datos de memoria volátil.

Fragmento Volátil Herramientas

para Windows Herramientas para LINUX

Contenido de la memora RAM Dumpit, Winen, Mdd dd, fmem

Tablas de enrutamiento, cachés ARP, estadísticas Kernel Rúter PRINT, arp –a, netstat netstat –r –n route arp –a

DNS cachés Ipconfig /displaydns rndcdumpdb (ifinstalled)

Listas de procesos PsList, ListDLLs, CurrProcess, tasklist ps –ef, lsof

Conexiones abiertas de red (enchufes) netstat –a netstat –a, ifconfig

Programas y servicios que utilicen conexión de red scqueryex, netstat -ab netstat –tunp

Archivos abiertos Handle, PsFile,

Openfiles, net file lsof, fuser

Recursos compartidos de red Net share, Dumpsec showmount –e, showmount –a smbclient –L

Puertos abiertos OpenPorts, ports,

netstat –an netstat –an, lsof

Registro de usuarios conectados Psloggedon, whoami,

ntlast, netusers /l w, who -T, last

Sistema de archivos cifrado Manage-bde (Bitlocker),

efsinfo (EFS) mount -v, ls /media

Sistemas de archivo conectados temporalmente Fsinfo, reg

(MountedDevices) mount -v, ls /media

Accesos remotos y monitorización de datos Psloglist /etc/syslog.conf Port UDP 514

Configuración física, topología de red Systeminfo, msinfo32,

ipconfig /all ifconfig –a netstat –in

Dispositivos de almacenamiento reg (Mounted Devices),

Net share, netstat –a mount -v, ls /media

Sistema horario (para establecer el reloj de la radio) time /T, date /T, uptime time, date, uptime

Ámbitos variables cmd /c set env, set

Portapapeles Pclip

Contenido del disco FTK Imager, EnCase,

TableauImager Dc3dd, ewfacquire, Guymager

Luis M. Gómez A.

78

PFC Protocolo Peritaciones Informáticas

La gran mayoría de este software se encuentra en Sysinternals suite de Microsoft o en el repositorio CERT de Linux:

Windows Sysinternals Live

• http://technet.microsoft.com/en-gb/sysinternals Digital Intelligence and Investigation Tools

• http://www.cert.org/digital-intelligence/tools/index.cfm Debemos ser conscientes que uno de los puntos a analizar una vez estudiado los datos volátiles del dispositivo, es el tráfico del dispositivo en parado. Es decir, tenemos que observar si el elemento electrónico se encuentra transmitiendo datos, incluso cuando no hay aplicaciones o software del sistema en funcionamiento. Este tráfico de datos nos podría en la pista de una serie de malware o programas espía que nos indicaría que el dispositivo ha sido manipulado con la intención de mandar información a un tercero, o sin que este tuviera conocimiento o con conocimiento del mismo. Para este tipo de comprobaciones existe numeroso software en la actualidad, e incluso aplicaciones para realizarlas. Algunas de ellas expuestas en el apartado de herramientas forenses en este PFC. El malware o los programas espías son bastante más comunes de lo que la gente se piensa, son numerosos los casos de programas instalados en ordenadores de empresa que una vez al día o de manera semanal, lanzan informes de todo lo acontecido en el ordenador a un tercero, otras veces ocurre con los terminales de teléfono o Tablet. En estos casos son los propios terminales lo que envían, ya sea mensajes, intercambio de información de lo realizado, registros de llamadas, incluso una copia literal del sistema a una nube la cual controla un tercero. Ejemplos variados en jurisprudencia donde juzgan y penalizan estos comportamientos, o como en otros casos, ratifican la utilización por parte de la empresa de este tipo de software para el seguimiento de los terminales informáticos de los empleados. Sirva como ejemplo la STS 8876/2011 del Tribunal Supremo. Sala de lo Social, donde dicta sentencia en este asunto, permitiendo el uso de este tipo de software, en situaciones especiales.

No pensemos que sólo estos programas maliciosos se encuentran en ordenadores, en la actualidad, lo que está evolucionando con mayor intensidad son los malware en móviles, u otros dispositivos electrónicos conectados a internet, aquí ofrezco un listado de las numerosas Sandboxes, son herramientas para aislamiento de procesos, para el análisis de los mismos, para el tratamiento de archivos .apk

http://www.apk-analyzer.net http://mobilesandbox.org https://anubis.iseclab.org

https://code.google.com/p/droidbox

También introduciré una lista de herramientas de análisis de Malware en los móviles: Android SDK

Dex2Jar Dexter

79

PFC Protocolo Peritaciones Informáticas JD-GUI

Y la que requiere un apartado especial por su tipología, tratándose de una máquina virtual para en análisis de malware en móvil, la conocida Santoku, explicada en este proyecto en la parte de herramientas forenses.

Una vez plasmada la importancia del estudio en vivo de los dispositivos y como debemos para ello realizar el análisis de la memoria RAM, como siempre respaldaré mis comentarios con notas jurídicas sobre el tema, en este caso es de Estados Unidos en la que en marzo de 2007, la Corte del Distrito Central de California, Estados Unidos, determinó en el juicio de Columbia Pictures Industries contra Justin Bunneli, donde se exponía que la