Consideraciones Forenses para la Adquisición en Vivo

En el lado positivo de la adquisición forense en vivo, desconectar o interrumpir el fluido electrónico de una computadora, laptop, servidor u otro, elimina la necesidad de interactuar con la máquina en funcionamiento. Interactuar con una computadora en funcionamiento, de cualquier manera causa cambios hacia el sistema. Cualquier cambio en una pieza de evidencia es inadecuado, y puede causar problemas mayores desde el punto de vista legal. Estas alteraciones pueden poner en duda la integridad de la evidencia contenida en un sistema en funcionamiento, comparado con el sistema en reposo o apagado. Incluso cuando una máquina está solo funcionando, las cosas están cambiando. Cuando una persona interactúa con la máquina funcionando, incluso más cosas cambian. Estos cambios no son buenos desde la perspectiva forense, consecuentemente es fácil percibir la razón de lo atractivo de cortar o interrumpir el fluido eléctrico. De otro lado, estos cambios pueden no tener ningún tipo de impacto en los artefactos relevantes al caso. No obstante el sistema está cambiando en cada momento.

Pero el escenario donde se desconecta el enchufe, o interrumpe el fluido eléctrico tiene desventajas significativas.

Para empezar, desconectar el enchufe implica cualquier evidencia en la memoria RAM estará bajo una amenaza real de destrucción. Los datos en la RAM comienzan a disiparse o desaparecer cuando se retira el suministro eléctrico. Existe una técnica para preservar los datos en memoria después de cortar el suministro electrónico, pero no es algo ampliamente aceptado.

En lo referente a la encriptación. El sistema o archivos pueden estar encriptados mientras la máquina está en funcionamiento. El desconectar abruptamente el suministro electrónico, podría devolver el sistema al estado de encriptación, poniendo potencialmente la evidencia fuera del alcance del profesional forense. Evitar la encriptación, es una buena idea en cualquier momento y escenario.

En otro escenario, una perdida repentina de fluido eléctrico, podría dañar los datos, o dejarlos imposibilitados de ser leídos.

También es factible; ante una perdida de fluido eléctrico, alguna evidencia importante no se haya grabado en el disco, a menos que o hasta la computadora se apague correctamente.

La “vieja” solución de desconectar el enchufe o cortar el fluido eléctrico, no es la única opción viable en la actualidad. Ahora las herramientas y técnicas forenses capturan la memoria volátil desde un sistema en funcionamiento, respetando las buenas práctica forenses. Con estos avances, actualmente se debe reconocer las ventajas de una recolección de evidencia desde un sistema en funcionamiento.

Fuentes:

https://en.wikibooks.org/wiki/Introduction_to_Digital_Forensics/Acquisition
https://ijcsit.com/docs/Volume%208/vol8issue3/ijcsit2017080331.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1