International conference on Signal Processing, Communication, Power and Embedded System (SCOPES)-2016

Modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital Saul Yasaca Pucuna

Byron Hidalgo Cajo

Escuela Superior Politécnica de Chimborazo ESPOCH Riobamba, Ecuador [email protected]

Universidad Nacional de Chimborazo UNACH Riobamba, Ecuador [email protected]

Ivan Hidalgo Cajo

Diego Hidalgo Cajo

Escuela Superior Politécnica de Chimborazo ESPOCH Riobamba, Ecuador [email protected]

Universidad Nacional de Chimborazo UNACH Riobamba, Ecuador [email protected]

Abstract—Los delitos informáticos ponen en riesgo la infraestructura tecnológica y/o reputación de personas, empresas y gobiernos, por lo que en procesos legales donde se pretenden esclarecer estos incidentes informáticos delictivos, la evidencia se recolecta con el uso herramientas de análisis forense debe ser confiable y manejarse bajo políticas basadas en un estándar internacional para que sea considerada como válida en un juicio. Actualmente no existe un modelo de análisis forense que facilite la toma de decisiones, ni que contenga protocolos de actuación detallados con ejemplos que guíe a los investigadores, por lo se ha propuesto un modelo que se basa en la normativa española UNE 71506: 2013 que pretende ser un soporte en el análisis forense de dispositivos de almacenamiento digital. Este modelo se implementó en un prototipo simple de aplicación web basado en HTML y CSS, desarrollado con DreamWeaver para que se pueda acceder a través de la web, la aplicación web del modelo indica cómo realizar la adquisición y análisis de evidencia que sigue un diagrama de toma de decisiones, con acciones a seguir dependiendo de los escenarios con los que se pueda encontrar el investigador forense informático, también se detalla un protocolo de actuación con su respectivo ejemplo que indica la forma correcta de cómo se recolecta la evidencia e indica una herramienta recomendada para esta tarea. Para comprobar la facilidad en la toma de decisiones, adquisición y análisis de información mediante la aplicación del modelo con el uso de la interfaz web, se aplicó CHI CUADRADO. Se determinó que en un 80% se facilita la adquisición y análisis de información recolectada con el uso del modelo. Keywords— Informática forense; toma de decisiones; delito informátic; protocolo de actuació; evidencia forense.

I.

INTRODUCTION

Con el crecimiento de la ciberdelicuencia [1] las empresas y gobiernos buscan estar preparados para neutralizar

incidentes informáticos. Una manera de contrarrestar estos incidentes informáticos es crear un plan o modelo multicriterio como soporte para el análisis forense, con el que se identifique la mejor alternativa para el problema de manejo de evidencias digitales, las cuales son definidas como cualquier información que ha sido generada, almacenada o enviada en un sistema informático y se encuentra directa o indirectamente comprometida con el delito [2]. El manejo incorrecto de estas evidencias haría que los resultados obtenidos no fueran admisibles [3] tanto para demostrar delitos a la interna de una empresa o en un juicio legal. En Ecuador no existe un modelo de análisis forense que facilite la toma de decisiones ni que contenga protocolos de actuación detallados con ejemplos como soporte para análisis forense, por lo que la presente investigación propone la creación de un modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital en base a protocolos de actuación detallados de cada parte de las fases de adquisición de evidencia en dispositivos de almacenamiento digital y un ejemplo práctico para el análisis de evidencia de información, se desea que el modelo sea una guía que permita a investigadores forenses experimentados o novatos, seguir políticas definidas por un estándar internacional para que la evidencia recolectada sea confiable y tenga validez jurídica, también ayudar a la toma de decisiones y a la recolección y análisis de información. Para la creación del modelo se eligió la normativa española UNE 71506: 2013 [4] que es la que mejor se adapta las necesidades de la investigación, ya que cuenta con una descripción exacta de todas las etapas de una investigación forense, además esta normativa se puede aplicar en cualquier organización con independencia de su tamaño o de la actividad a la que se dedique, así como también puede ser

usada por cualquier persona con conocimientos en informática e investigación forense. El modelo propuesto se implementó en un prototipo simple de aplicación web en el que se muestra un diagrama de toma de decisiones que se deduce del análisis de la Normativa UNE 71506: 2013, donde cada una de las acciones a seguir detallan un protocolo de actuación con su respectivo ejemplo, que indica la forma correcta de cómo se recolecta la información [5] con el uso de comandos que no sean los que vienen en el propio sistema ya que pueden estar comprometidos [6] una herramienta recomendada la cual fue seleccionada previo a un análisis de un conjunto de herramientas de software forense gratuitas disponibles portables para Windows [7] y Linux.

Fig. 1. Metodología Análisis Forense

Fuente: www.drangonjar.org

II. TRABAJOS RELACIONADOS La tesis de doctorado “The advanced data acquisition model (adam): a process model for digital forensic practice” [8] presenta un modelo genérico para la actividad de adquisición de evidencia digital, identificando los procesos clave de alto nivel dejando la implementación de políticas detalladas y procesos de bajo nivel a los expertos en forense digital. Como ventaja de ADAM es que hace uso de diagramas UML para la descripción de procesos dentro de la etapa de adquisición, los autores indican que los diagramas permiten estandarizar y entender mejor estos procesos. Además, el modelo pone bastante énfasis en la parte de documentación de todas las etapas del análisis forense digital. La investigación “Getting Physical with the Digital Investigation Process” [9] define un modelo para los diferentes análisis forense usando la teoría y técnicas del mundo investigación forense física, considera al computador como la escena del crimen en sí y no solo como una evidencia física más. Este modelo identifica los requerimientos técnicos por cada fase que deben ser desarrollados y la interacción entre la investigación física y digital. Los autores exponen que con el uso de modelos y procedimientos del mundo forense físico añadirá credibilidad al análisis realizado en el mundo de análisis forense digital. A nivel nacional existe un trabajo realizado por estudiantes de la ESPOL titulado “Diseño y plan de implementación de un Laboratorio de Ciencias Forenses” [10] que propone la implementación de un laboratorio forense digital en la Universidad, además hace un resumen de la metodología usada para un análisis forense. III. METODOLOGÍA La normativa UNE 71506 consta de cuatro fases principales: Preservación, Adquisición, Análisis y Presentación de Resultados. En la Figura 1 (Fig. 1), se presentan las fases de la metodología.

La presente investigación realizó la fase de adquisición donde se recolecta la evidencia como: Información de red, información volátil e información no volátil. A. Diagrama de toma de decisiones El desarrollo de los diagramas de flujo para la toma de decisiones correspondiente a la fase de adquisición en un análisis forense, se basó en el análisis a la normativa española UNE 71506: 2013 que describe las etapas de una investigación forense, por lo que después de haber analizado la parte correspondiente a adquisición, se sintetizó en un diagrama de flujo. El diagrama muestra diferentes caminos y acciones que pueden tomar los investigadores dependiendo del escenario que se encuentren, al momento de realizar la adquisición de información a dispositivos de almacenamiento digital; facilitará el proceso de toma de decisiones contemplando dos escenarios: cuando el computador se encuentra conectado a una red y para cuando no lo está, a su vez toma en cuenta parámetros como si está encendido o apagado, si el tipo de disco duro es IDE/SATA o RAID, sistema operativo, si el PC se puede trasladar a otra localidad. B. Análisis de herramientas Existen actualmente un gran número de herramientas para investigación forense informática, se analizó varias herramientas de software forense gratuitas disponibles para los sistemas operativos Windows [11] que sean portables ya que no alteran el registro del sistema y Linux; considerando parámetros e indicadores como: idioma en que se encuentra disponible la herramienta, si es multiplataforma, dificultad de uso y otros indicadores dependiendo de la función que cumple. C. Protocolos de actuación y análisis de imagen forense Los protocolos de actuación son una serie de pasos a seguir para adquirir y/o analizar de manera adecuada la información contenida en una unidad de almacenamiento digital, estos protocolos están contenidos dentro de acciones que llevan por nombre el proceso que se debe realizar, dependiendo del escenario y la decisión que debe tomar el investigador forense. Se analizó cada escenario y se determinó los pasos a seguir para la adquisición y análisis de

información, se listó herramientas de software gratuito necesario para llevar a cabo la acción, una herramienta o comando recomendado y un ejemplo basado en protocolo de actuación que detalla paso a paso la forma correcta de adquirir y/o analizar información y evidencia, ya sea con el uso de comandos de sistema y/o herramientas de software, tanto para plataformas Linux como Windows, los comandos de sistema para Linux se sugiere que sean binarios compilados por el investigador. Para el análisis de imagen forense utilizó el software Autopsy, y para ejemplificar se tomó una imagen de un sistema operativo Linux con el propósito de mostrar los pasos que se deberían seguir para obtener evidencia y concluir posibles ataques o vulnerabilidades. D. Prototipo de aplicación web del “Modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital” Se desarrolló un prototipo simple de aplicación web basado en su mayoría en HTML y CSS, utilizando la herramienta DreamWeaver, contiene diagramas de flujo para la toma de decisiones cuando un computador se encuentra o no conectado a una red, protocolos de actuación dependiendo del escenario que se encuentre, ejemplos de las acciones a realizar para las plataformas Windows y Linux por medio de comandos y/o herramientas de software, herramienta de software y/o comando recomendado para la realización de la tarea indicada y además un ejemplo de un análisis forense a la imagen de un disco duro, con el propósito de que esté disponible para ser usado por cualquier investigador forense en cualquier momento y en cualquier lugar. E. Prueba del “Modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital” El desarrollo de la prueba de la hipótesis planteada consiste en dos partes: la primera en la revisión y análisis del “modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital”, que se encuentra implementado en una aplicación web la cual se pone en consideración a una población con las siguientes características: deben tener conocimientos sólidos en informática sobre todo: redes, sistemas operativos y conocimientos sobre informática forense, la segunda parte consiste en realizar la acción correcta dependiendo del escenario que se plantee donde pasarán solamente los sujetos que una vez presentado el escenario tomen la decisión correcta de que acción realizar. Los sujetos de prueban tendrán 15 minutos para revisar la aplicación web donde se encuentra implementado el modelo, una vez que han revisado el modelo deben elegir que acción realizar para el escenario propuesto, que consta de una máquina conectada a una red privada donde se tiene solo acceso a los computadores y no a otros dispositivos como: switches, routers u otros computadores, tiene sistema operativo instalado Linux, en su distribución Fedora y tanto el computador como monitor están encendidos, dependiendo de su elección podrán o no seguir a la siguiente fase, para este

caso la respuesta correcta es la acción número 5 (Adquisición de información volátil), ya que no se cuentan con los permisos necesarios para poder extraer información de switches o routers ni tampoco se cuenta con otra máquina que tenga una tarjeta de red, ni el software necesario para realizar una captura de tráfico en tiempo real. Para la comprobación de la hipótesis se aplica CHI cuadrado (Ecuación 1.) a los resultados de la evaluación de la acción 5, esta acción se toma como ejemplo por la facilidad de ejecución y que no requiere herramientas externas, la acción consta de 7 pasos, y los parámetros de evaluación son los siguientes: 

Excelente, de 6 a 7 pasos completados.



Regular, de 4 a 5 pasos completados.



Malo, 3 o menos pasos completados.

También se evaluó el grado de dificultad en la realización de la tarea por medio de una pregunta de selección entre fácil, medio y difícil, contaron con 20 minutos para desarrollar la tarea. Ecuación 1. Prueba CHI Cuadrado

2 

( f0  fe )2 fe

(1)

IV. DESARROLLO Y RESULTADOS A. Diagrama de toma de decisiones Se sintetizó en un diagrama de flujo que contempla dos escenarios: el primero cuando el computador se encuentra conectado a una red mostrando los diferentes caminos que puede seguir y acciones a realizar (Fig. 2.), y el segundo cuando no está en red (Fig. 3).

Fig. 2. Diagrama para el escenario computador en red

B. Análisis de herramientas Del análisis de varias herramientas de software gratuitas en el ámbito forense para una actividad específica se seleccionó la herramienta que brinde mejores prestaciones (Tabla I). TABLE I.

PROTOCOLOS DE ACTUACIÓN Y HERRAMIENTAS RECOMENDADAS

Fig. 3. Diagrama del escenario del computador no conectado a red

No.

Actividad

1

Captura de tráfico de red

2

Adquisición de información volátil

Win – UFO

3

Adquisición de información no volátil

FTK imager

4

Montaje y análisis de discos duros

Autopsy

5

Distribuciones Linux para seguridad informática

Kali Linux

Herramienta seleccionada Wireshark

Principales características Multiplataforma, multiformato, filtrado de paquetes, dificultad de uso medio, interfaz gráfica. S.O. Windows, dificultad de uso baja, cantidad de información adquirida media, funcionamiento de utilidades incluidas, interfaz gráfica. Multiplataforma, dificultad de uso baja, versión portable para Windows, interfaz gráfica. Multiplataforma, dificultad de uso media, mayor documentación disponible, personalizable. Dificultad de uso media, comunidad de soporte, varias herramientas preinstaladas, actualización frecuentes, programa de recompensa.

C. Protocolos de actuación resultantes Luego de haber analizado cada escenario se determinó las acciones a realizar con los protocolos de actuación específica para dicha acción, los cuales mediante un ejemplo se especifican y se recomienda las herramientas óptimas para ejecutarlas (Tabla II).

TABLE II.

PROTOCOLOS DE ACTUACIÓN Y HERRAMIENTAS RECOMENDADAS

No

Acción

1

Identificar entorno de red Recolectar información de router Recolectar información de Switch Capturar tráfico de red en tiempo real Adquisición de información volátil Adquisición de

2

3

4

5

6

No. Pasos protocolo 4

Herramienta /comando Linux

Herramienta Windows

Ejem.

2

Si

2

Si

4

Wireshark

Wireshark

Si

10

dd

Win-UFO

Si

6

mdadm

Si

7

8

9

10

11

información no volátil en RAID Adquisición remota de información no volátil Adquisición de información no volátil Adquisición de información no volátil en Discos RAID con computador apagado. Adquisición de información no volátil en un lugar diferente Adquisición de información no volátil con el computador apagado

Fig. 5. Interface acción 4 8

netcat

Robocopy

Si

7

dd

FTK imager

Si

6

mdadm

14

Kali Linux

Kali Linux

Si

8

Kali Linux

Kali Linux

Si

Si

Para el análisis de imagen forense utilizó el software Autopsy, para ejemplificar se tomó una imagen de un sistema operativo Linux con el propósito de mostrar los pasos que se deberían seguir para obtener evidencia y concluir posibles ataques o vulnerabilidades. D. Prototipo de aplicación web del modelo Se desarrolló el prototipo de la aplicación web de fácil comprensión del modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital, que nos permitirá tener acceso dentro de la web, (Fig. 4), muestra la interface del diagrama de flujo de toma de decisiones cuando un computador se encuentra conectado a una red, cada elemento en el diagrama es un enlace a las posibles decisiones a tomar y las acciones a realizar con sus respectivos protocolo de actuación, ejemplos y herramientas recomendadas (Fig.5).

E. Validación del modelo Para la investigación se consideró una población (N), de un grupo de 25 estudiantes de 4to semestre de la Facultad de Informática y Electrónica de la Escuela Superior Politécnica de Chimborazo, ya que se entiende que ellos tienen conocimientos sólidos de informática, y además conocimientos básicos sobre informática forense ya que recibieron un módulo de este tema en la materia de Sistemas Operativos que fue dictada por el director de esta investigación. De los 25 participantes de la primera fase, se observa en la (Fig. 6), que el 80% de los sujetos que revisaron la aplicación tomaron la decisión correcta de realizar la acción número 5, por lo que la segunda parte la realizaron solamente 20 personas. Fig. 6. Porcentaje de sujetos que tomaron la decisión correcta

Fig. 4. Interface diagrama de flujo toma de decisiones red

De los 20 participantes podemos observar en la (Fig. 7), que 16 personas que equivale al 80% completaron la acción 5 con una calificación de excelente y 3 que equivale al 15% una calificación de regular.

Fig. 7. Calificación obtenida en la realización de la prueba

Grados de libertad, df = (k-1)= (3-1)= 2

f e  Pi n 

1 * 20  6.6 3

( f  f )2   0 e  0.030 fe

(3)

(4)

2

Según el valor CHI calculado   0.030 es menor que, el valor critico (5.99) y p = 0.10 es mayor que 2

  0.05 , por lo que se acepta la hipótesis nula.

Los resultados del grado de dificultad en la realización de la tarea con el uso del modelo, se puede observar en la (Fig. 8), donde 17 personas calificaron como fácil usabilidad y solamente 3 personas opinaron que tenía una complejidad media. Fig. 8. Dificultad en la realización de la tarea

V.

CONCLUSIONES

La aplicación del modelo para la toma de decisiones multicriterio como soporte para el análisis forense en dispositivos de almacenamiento digital, permitió que el 80% de los participantes completen las tareas que se les fueron asignadas, y el 85% calificó como de fácil uso la guía proporcionada. Emplear una metodología como la UNE 71506:2013 (Metodología para el análisis forense de las evidencias electrónicas) permite tener una referencia de trabajo estándar que facilita las tareas de análisis y adquisición de elementos informáticos dentro de un sistema de computación, que en lo posterior pueden ser usados como elementos en un peritaje. El desarrollo de una herramienta web como soporte al proceso de toma de decisiones en un análisis forense, ayuda asegurar que se aplique una correcta metodología al momento de recolectar información, por la que los resultados obtenidos después del análisis tendrán una gran solidez, esto de gran importancia ya que en un caso judicial estas pruebas deberán ser técnicamente validadas y sustentadas.

Se requirió comprobar la hipótesis para: “La implementación de un modelo como soporte para el análisis forense facilitará la toma de decisiones multicriterio en la recolección y análisis en dispositivos de almacenamiento digital”. H_0: La implementación de un modelo como soporte para el análisis forense facilitará la toma de decisiones multicriterio en la recolección y análisis en dispositivos de almacenamiento digital. H_1: La implementación de un modelo como soporte para el análisis forense no facilitará la toma de decisiones multicriterio en la recolección y análisis en dispositivos de almacenamiento digital. Se aplicó el Chi Cuadrado a los resultados obtenidos de la prueba aplicada a los estudiantes de la Facultad de Informática y Electrónica de la ESPOCH, se probó para un nivel de significancia del 5%,

  0.05

(2)

Utilizar herramientas de software forense gratuitas que hagan solamente las funciones que deberían hacer, ya que al ser desarrolladas normalmente por otros investigadores y no empresas especializadas o dedicadas a la seguridad informática y/o forense, existe la posibilidad que realicen otro tipo de funciones que pueden perjudicar a la investigación.

VI.

RECOMENDACIONES Y TRABAJO FUTURO



Se recomienda utilizar metodologías estándares y herramientas flexibles, que se adapten al continuo cambio y actualización al que está sujeta la computación forense.



Para tener acceso constante al modelo aquí propuesto se recomienda subir la aplicación web a un servicio de hosting al que se pueda acceder desde cualquier lugar de la web.



Es recomendable no utilizar herramientas de software de dudosa procedencia ya que pueden contener virus e

infectar la máquina que se está investigando y que cuando se esté adquiriendo información de un sistema Windows tratar de usar herramientas ejecutables que no alteran el registro del sistema, en el caso de Linux procurar usar binarios compilados por el mismo autor y no los del mismo sistema. 

Se propone como trabajo futuro la creación de una herramienta de software que soporte la toma de decisiones basada en el uso de un motor de workflows como BONITA BPM (http://es.bonitasoft.com/), para aumentar la efectividad y fiabilidad de una herramienta de este tipo, se podría complementarla con un sistema de análisis de decisión multicriterio, que facilite la optimización del proceso de análisis en función del valor potencial de la información obtenida así como del costo asociado a su obtención.

Referencias Fiscalía General del Estado, “Los delitos informáticos van desde el fraude hasta el espionaje”, 2015. [En línea]. Disponible en: http://www.fiscalia.gob.ec/index.php/sala-de-prensa/3630-los-delitosinform%C3%A1ticos-van-desde-el-fraude-hasta-el-espionaje.html. [Consultado: 07-ago-2015]. [2] G. Ajoy, “Guidelines for the Management of IT Evidence”, 2003. [En línea]. Disponible en: http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPA N016411.pdf. [Consultado: 07-ago-2015]. [3] S. Acurio, “Perfil Sobre los Delitos Informáticos en el Ecuador - Perfil de los Delitos Informáticos Ecuador”. [En línea]. Disponible en: http://app.ute.edu.ec/content/3254-42-10-1-67/Perfil%20de%20los%20Delitos%20Informaricos%20%20Ecuador%2 0-%20Fiscalia.pdf. [Consultado: 20-ago-2015]. [4] UNE:71506, “Metodología para el análisis forense de las evidencias electrónicas”. AENOR, 2013. [5] EC- Council, “Computer Hacking Forensic Investigator”. Version 8. [6] Symantec, “Forensic Analysis of a Live Linux System”, 2004. [En línea]. Disponible en: http://www.symantec.com/connect/articles/forensic-analysis-live-linuxsystem-pt-1. [Consultado: 10-feb-2016]. [7] D. Gupta y B. Mehtre, “Recent Trends in Collection of Software Forensics Artifacts: Issues and Challenges”, en Security in Computing and Communications, vol. 377, Springer Berlin Heidelberg, 2013, pp. 303–312. [8] R. Adams, V. Hobbs, y G. Mann, “The advanced data acquisition model (adam): a process model for digital forensic practice”, Journal of Digital Forensics, Security and Law, pp. 25–48, 2014. [9] B. Carrier y E. Spafford, “Getting Physical with the Digital Investigation Process”, International Journal of Digital Evidence, pp. 1–20, 2013. [10] R. Calderón, G. Guzmán, J. Margarita, y A. Aranda, “Diseño y plan de implementación de un Laboratorio de Ciencias Forenses”, ESPOL, Guayaquil, 2012. [11] P. Sánchez, “Forensics PowerTools (Listado de herramientas forenses)”, 2013. [En línea]. Disponible en: http://conexioninversa.blogspot.com/2013/09/forensics-powertoolslistado-de.html. [Consultado: 24-abr-2016]. [1]