lunes, 4 de febrero de 2008

Todas las evidencias válidas???

La semana pasada estuve con la gente de IIR Portugal (aprovecho para saludar tanto a los organizadores como a los asistentes, por la acogida y el discurrir del evento), dando un seminario de Forense Digital. Como suele ocurrir en este tipo de evento, surgen siempre una serie de incertidumbres relativas a la toma de Evidencias que implican evaluar determinados aspectos legales para comprobar su validez.

Uno de los temas más controvertidos, siempre suele surgir cuando se estima, la posible validez de los datos presentados en un Juicio a partir de una evidencia como pudiera ser la RAM. Un correcto análisis de esta puede revelar datos muy relevantes de la información y procesos existentes en un ordenador, pero implica la toma de estos datos en caliente.

El problema por lo tanto surge, cuando tenemos que conseguir dichos datos, sin alterar la información que pudieran llevar (claro sin instalar ninguna aplicación o iniciarla y que esta no quede registrada en la misma RAM). Las disyuntiva en sí no radica en la toma de esta memoria, si no que en un Juicio la otra parte pueda alegar que se ha podido producir una posible alteración o manipulación de todas las evidencias, por haber hecho uso o instalación de una aplicación antes de haberse producido la toma de las evidencias.

En los procedimientos habituales la toma de evidencias se toma de forma off-line, y validándolas mediante la firma digital, asegurando por lo tanto, que no se va a producir una alteración de estas evidencias. Este procedimiento no puede ser utilizado por la RAM, por lo que dudosamente pueda presentarse conclusiones en un juicio partiendo de la RAM como evidencia.

Y si perdemos esa información, donde podemos encontrar información relevante... pues en el Fichero de Paginación.

En el caso de no querer judicializar el caso la información presente en la RAM, puede ser determinante, especialmente en escenarios de Malware. Si queréis conocer como se realizan los procedimientos de análisis en RAM, os recomiendo le echéis un vistazo al Diario de Juanito, donde entre otras cosas y a un gran nivel técnico nos revela procedimientos y metodologías para el análisis de memoria RAM.

3 comentarios:

sparrowise dijo...

Ola que tal estas JuanLuis??
Me pongo en contacto contigo una vez más, a pesar de que tu apenas te acordaras de mí.
Hace como un par de años me distes clases de seguridad infmormatica fueron muy breves tan solo duro una semna, pero me dejastes bokiabierto.(eurocolegio Casvi)
Despues de dos años, hice el MCSA gracias a vuetsras magistrales clases.
Y monte mi propia WEB, primeramente la aloje en wordpress.com
Pero aora la pase a un dominio propio.
Pasete y echale un vistazo. Megustaria que pudieramos colavorar juntos y aprender.
Un saludo!!!

Undercoder dijo...

Muy buenas.

Me alegro que aquellas cosas que pudiera enseñaros sirvieran.

Pásame el nombre de tu dominio para verla.

sparrowise dijo...

HOla qutal ! de nuevo!
siento tardar en contestar :)
el dominio es www.4hacking.net
Esta muy reciente. Y mis conocimiento no son todos lo ke me gustaria pblicar en la pagina, pero espero con con el paso del tiempo, yo sepa mas de informatica, y tb tener colaboradores :P ijijij
Saludos!