Download
1 / 14
140 likes | 317 Vues
TÉCNICAS DE REINICIO EN FRÃO: INFLUENCIA EN LA PRÃCTICA DE DILIGENCIAS DE ENTRADA Y REGISTRO. JoaquÃn Anguas Balsera Perito Ingeniero en Informática joaquim@anguas.com. Desarrollo Diligencias de entrada y registro Técnicas de reinicio en frÃo Aplicación. Diligencias de Entrada y Registro
E N D
TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA DE DILIGENCIAS DE ENTRADA Y REGISTRO Joaquín Anguas Balsera Perito Ingeniero en Informática joaquim@anguas.com
Desarrollo Diligencias de entrada y registro Técnicas de reinicio en frío Aplicación
Diligencias de Entrada y Registro ¿Cuántos de Uds. se han visto expuestos? También aplica a las diligencias previas (de comprobación de hechos y de aseguramiento de prueba). Acto de investigación ordenado por un juez consistente en el acceso a un local con el objeto de buscar y recoger fuentes de investigación y prueba. Comisión judicial constituida por secretario judicial, fuerzas del orden y/o peritos en el local objeto de la diligencia. Se lleva a cabo ante testigos y el imputado o demandado, o su legal representante.
Diligencias de Entrada y Registro El secretario judicial levanta acta de la diligencia, por tanto todo lo que se realice debe ser lo más atómico y fácil de documentar posible. Se debe minimizar el perjuicio para el que soporta la diligencia. Es una actuación en la que no cabe “volveré mañana” por razones obvias y cualquier error puede comprometer la prueba en su origen.
Operativa: en frío y en caliente En el caso de las diligencias en las que interviene la informática, durante tiempo se ha optado por desenchufar los equipos para evitar que cualquier evento interno o externo pueda comprometer la prueba. Una vez desenchufado, se copia bit a bit el contenido de los discos. La necesidad de comprobar circunstancias que requieren que el sistema esté funcionando han dirigido las diligencias hacia la captación en caliente. La captación en caliente abre la puerta a discutir herramientas y métodos, ya que es más intrusiva.
Técnicas de Reinicio en Frío Propuestas por Halderman et al **. Se basan en la persistencia de la memoria DRAM. Se plantean como vulnerabilidad de los sistemas de encriptación de disco. Halderman et al. demuestran que efectivamente se puede capturar la memoria volátil de forma similar al contenido de un disco duro. Consiguen además capturar claves de encriptación de la memoria y desencriptan discos encriptados en varios sistemas. ** http://citp.princeton.edu/memory/
¿En qué consisten? La memoria DRAM no pierde sus valores instantáneamente. Se trata de apagar de forma abrupta el sistema objeto para encenderlo inmediatamente, de forma que la memoria mantiene su valor original. Dada la influencia de la temperatura en la pérdida de la información, se propone enfriar los módulos de memoria con una lata de gas comprimido invertida.
Escenarios Halderman et al. han desarrollado un pequeño sistema de arranque que incluye una aplicación de copia. Inicio desde USB, en el mismo soporte se arranca se deposita la copia. Es necesario un soporte por captura. El soporte debe tener la misma capacidad que la memoria a capturar. Inicio desde red, el arranque y la copia se realiza por red. Se conecta un ordenador al objeto de registro con un cable de red cruzado. El ordenador está configurado para servir una dirección IP y una imagen de arranque PXE. Dicha imagen arranca y copia la memoria. Inicio desde CD-ROM, se arrancaría desde CD-ROM y se copiaría a un dispositivo extraíble.
¿Cuándo utilizarlas? Cuando sea materialmente posible. Cuando se sospeche que se está utilizando alguna forma de encriptación de disco. Cuando se precise capturar el estado de ejecución del sistema a registrar. Ejemplos: intentos de intrusión, control de redes de BOTs, malware, etc.
A tener en cuenta… Es preciso que el sistema se encuentre en funcionamiento. Debe ser posible acceder a los módulos de memoria. Debe ser posible verificar en el BIOS que no se realiza comprobación de memoria en el arranque. Si el tipo de memoria es ECC, debe disponerse de otro equipo que acepte el mismo tipo de memoria no ECC. Debe ser posible arrancar el sistema de arranque y copia (usb, cd-rom o red) Debe ser posible copiar la imagen de la memoria a un dispositivo externo.
A tener en cuenta… El procedimiento se debe ensayar, tanto para el caso canónico como para las posibles diferentes variaciones, ya que puede tener efectos adversos si no se ejecuta correctamente. Debe identificarse adecuadamente cada elemento que se utilice. Todas las acciones deben documentarse, referenciarse y practicarse a la vista del denunciado / imputado o testigos y la comisión judicial. Deben identificarse claramente los medios en los que se deposite la copia. Es recomendable calcular un resumen (hash) y añadirlo como listado en el informe asociado a la diligencia.
Conclusiones Debidamente ejecutadas, las técnicas de reinicio en frío pueden ofrecen una nueva forma de capturar el conjunto de evidencias residentes en memoria volátil en aquellos casos en los que esto sea necesario. Siendo una práctica de riesgo, se debe restringir su uso a aquellos casos en los que se sospeche que la eficacia de la medida está comprometida.
¡Gracias! joaquim@anguas.com http://www.anguas.com
