Introducción al Análisis Forense en Linux

1. Fundamentos del Análisis Forense en Linux

1.1 Principios Básicos

• Integridad: No modificar las evidencias originales.
• Reproducibilidad: Documentar cada paso para que otros puedan replicar el análisis.
• Cadena de custodia: Registrar quién, cuándo y cómo se accede a cada artefacto digital.

1.2 Entorno de Trabajo Forense

• Sistema Linux dedicado, preferiblemente instalado en modo Live o desde un dispositivo USB de solo lectura.
• Almacenamiento externo para copia forense (por ejemplo, discos duros write-blocked).
• Herramientas como dd, dcfldd, autopsy y volatility.

2. Preparación y Aseguramiento del Entorno

2.1 Herramientas Esenciales

2.2 Consideraciones de Integridad

• Utilizar write-blockers físicos o software para prevenir modificaciones.
• Generar hashes (MD5, SHA-256) antes y después de la adquisición.
• Almacenar metadatos en un registro forense detallado.

3. Recopilación de Evidencias

3.1 Sistemas de Archivos

Montar la imagen forense en modo de solo lectura y explorar:

• /var/log: archivos de registro de servicios y demonios.
• /home: documentos, configuraciones de usuario y posibles pistas de actividad.
• /etc: configuraciones de sistema y autorizaciones.

3.2 Registros del Sistema

Los logs aportan trazabilidad de eventos y pueden incluir:

• auth.log: registros de acceso y autenticación.
• syslog: eventos genéricos del sistema.
• secure (en distribuciones RPM): accesos privilegiados.

3.3 Volcado de Memoria

La memoria RAM puede contener:

• Credenciales en texto claro.
• Procesos maliciosos en ejecución.
• Conexiones de red activas.

Usa volatility o LiME para capturar la imagen de memoria:

sudo volatility -f memoria.raw --profile=LinuxUbuntu_4_15_0x64 pslist

3.4 Captura de Tráfico de Red

Para intercepciones en caliente, tcpdump o Wireshark son la opción:

sudo tcpdump -i eth0 -w captura.pcap

4. Examen y Análisis de Evidencias

4.1 Cálculo de Hashes

Mide la integridad de archivos o de la imagen completa:

sha256sum imagen.dd gt imagen.sha256

4.2 Análisis de Logs y Correlación de Eventos

• Buscar patrones de intentos de inicio de sesión fallidos.
• Correlacionar marcas de tiempo entre syslog y auth.log.
• Generar una línea de tiempo con log2timeline.

4.3 Recuperación y Carving de Datos

Si se han borrado archivos, emplea foremost o scalpel:

foremost -i imagen.dd -o /carving/output

4.4 Creación de un Timeline Forense

La reconstrucción temporal ayuda a entender la secuencia de eventos:

• Extraer timestamps de archivos, logs y registros de red.
• Ordenarlos cronológicamente.
• Visualizarlos con herramientas como Mactime.

5. Documentación y Reporte

5.1 Cadena de Custodia

• Registrar: quién recolectó la evidencia, cuándo y con qué herramienta.
• Etiquetar cada dispositivo o archivo con identificadores únicos.
• Conservar copias de seguridad en ubicaciones seguras.

5.2 Estructura del Informe Forense

1. Resumen ejecutivo: hallazgos clave y conclusiones.
2. Descripción del entorno y las herramientas empleadas.
3. Procedimiento paso a paso.
4. Análisis de resultados: hashes, logs, tablas de carving.
5. Apéndices con líneas de comandos y capturas de pantalla.

6. Mejores Prácticas y Recomendaciones

• Mantén tus herramientas y distribuciones actualizadas.
• Realiza simulaciones de incidentes para practicar.
• Emplea conexiones seguras y, de ser necesario, redes privadas virtuales:
• NordVPN
• ExpressVPN
• ProtonVPN
• Documenta cada acción en tiempo real para evitar omisiones.

Conclusión