Forense en Babia. Parte 1

Como hoy he estado en el Cybersecurity Summer BootCamp, evento organizado por INCIBE en la ciudad de León y en el que he tenido el honor de ser el profesor del taller de tratamiento de evidencias digitales a jueces, aprovecho para escribir este nuevo artículo de GLIDER.es sobre Forense en Babia. Para los que no lo sepáis, Babia es una comarca con encanto situada en la provincia de León ;), así que hoy os voy a hablar de eso, de Forense en Babia, o lo que es lo mismo: Forense en las nubes (Cloud Forensic para los pro). Hace no muchos años, si a cualquier analista forense informático, o solo informático, le hablásemos de la nube, lo primero que haría es mirar al cielo por si llueve, yo incluido. Pero los tiempos cambian, y en informática más todavía. Actualmente estamos en el año 2018, posiblemente ahora mismo estés leyendo este artículo desde tu smartphone con pantalla HD de 5 pulgadas, o quizás lo estés leyendo en tu tablet último modelo. Otros quizás lo estéis leyendo en vuestro portátil ultraslim con una duración estimada de la batería de 8 horas. Pero de lo que estoy seguro es que ninguno de vosotros lo está leyendo en un Windows 98 con un Intel Pentium II y 512Mb de RAM. ¿Acaso me equivoco?, yo creo que no.

Fig. 1 Nubes de tormenta.

 

De un Windows 98 al actual Windows 10 solamente han pasado 17 años. Fijaros todo lo que ha cambiado la tecnología en tan poco tiempo. Entrando un poco más en el mundo de la informática forense, para quien se acuerde, allá por el año 2000 existían unos sistemas de almacenamiento llamados disquetes de 3 1/2. Unos prodigios de la tecnología que eran capaces de almacenar 1,44Mb en una superficie de menos de 8 centímetros cuadrados. Actualmente en esa misma superficie podemos disponer de discos duros que pueden llegar a almacenar 6Tb de información, lo que vienen siendo unos cuatro millones de disquetes de tres y medio. Así de rápido avanza la tecnología y así de rápido tiene que avanzar la informática forense. Nos guste o no, un analista forense se tiene que adaptar a los tiempos y sobre todo a las tecnologías. Imaginaros un analista que allá por 1998, cuando salió el primer Windows 98, dedicó dos años de su vida a especializarse en análisis de disquetes de 3 1/2 y artefactos forenses de Windows 98. ¿Alguien cree que si hoy en día ese analista no se ha actualizado a las nuevas técnicas forenses y tecnológicas podrá realizar su trabajo correctamente?. Lógicamente la respuesta es no.

Fig. 2 Diskette de 3 1/2

 

¿Entonces que futuro tendrá un analista forense que solamente sepa extraer la información que se encuentra físicamente almacenada en un disco duro, en un teléfono móvil, en una tablet, pero no sabe “analizar la nube”? Como ya os imaginareis, no mucho. La tendencia actual es que la información no se almacene en los dispositivos, si no que todo se suba a la nube, al cloud, y es trabajo del analista estar suficientemente entrenado y actualizado para poder llegar a obtener esa información de la forma adecuada. Por desgracia, esta no es precisamente una tarea fácil, pero si que es una tarea necesaria, ya que es hacía donde nos está llevando la tecnología, y como ya dije antes, el analista tiene que estar donde está la tecnología.

Fig. 3 Amazon Web Services

 

Entonces… ¿Qué es cloud computing?. Según AWS (Amazon Web Services), la informática en la nube es un método sencillo de obtener acceso a servidores, almacenamiento, bases de datos y una amplia gama de servicios de aplicaciones a través de Internet. Una plataforma de servicios en la nube es propietaria y responsable del mantenimiento del hardware conectado en red necesario para dichos servicios de aplicaciones, mientras que el usuario se dedica a aprovisionar lo que necesite por medio de una aplicación web.

En resumen, cloud computing consiste en la posibilidad de ofrecer servicios de todo tipo a través de Internet. El ejemplo más claro lo podemos encontrar en una PYME, una pequeña y mediana empresa. Para una empresa de mediano tamaño adquirir una infraestructura de servidores, switch, redes, firewall… Y sobre todo el espacio habilitado para albergar todo ese hardware (climatización, seguridad, potencia eléctrica, reparaciones…), le puede suponer una fuerte inversión, tanto humana como económica. Sin embargo, si lo que hace es subcontratar estos servicios a un tercero, que no es otra cosa que alquilar parte de los recursos para que la empresa los pueda utilizar de forma remota, ahí tenemos un claro ejemplo de computación en la nube. Esto es lo que hace por ejemplo AWS (entre otros). Amazon dispone de una serie de grandes datacenters (Centros de Procesos de Datos) distribuidos por todo el mundo. Estos datacenters están conectados a redes de comunicaciones de primer nivel, para garantizar que la conectividad con los nodos de los distintos países sea lo suficientemente rápida. Cuando un cliente necesita un servidor (normalmente virtualizado) para realizar cualquier tipo de tarea que requiere de grandes procesadores, almacenar bases de datos o incluso publicar su propia página web, Amazon Web Services (no confundir con la tienda online) alquila sus servicios. Es una especie de hosting web, pero a otro nivel. En vez de alquilar espacio en servidores para almacenar páginas web, directamente alquila los servidores para que cada usuario haga lo que le plazca con sus sistemas (dentro de una legalidad).

Fig. 4 Centro de Proceso de Datos típico.

 

Como todo, esto tiene sus ventajas y desventajas para el cliente:

 

VENTAJAS:

— Suele ser simple y de fácil uso, por lo que no requiere disponer de especialistas informáticos en plantilla.

— Es una inversión de bajo costo, ya que simplemente hay que pagar la factura mensual del alquiler de los equipos.

— Integra más de un servicio dentro de su estructura, lo que nos permite que no nos tengamos que preocupar de dimensionar nuestro CPD. Si necesitamos más recursos simplemente los alquilamos, sin tener que preocuparnos de nada más. Cuando hablo de recursos pueden ser de cualquier tipo: capacidad de almacenamiento, velocidad de los discos, procesadores, memoria RAM, tipos de sistemas operativos… Por decirlo de alguna manera, podemos montar nuestro CPD al gusto, y si algo no nos convence, lo podemos cambiar por otra cosa sin mayor complicación.

— La recuperación de datos e información ante errores o problemas es rápida, ya que no dependerá de nosotros. Esa misión le corresponderá a la empresa prestadora de servicios.

— Las actualizaciones no afectan a nuestra plataforma informática (en principio).

— Permiten el ahorro de energía, ya que los datacenter suelen estar especialmente diseñados para que sean lo más eficiente posibles.

— Se puede tener acceso desde cualquier punto del planeta. Por supuesto, esta es una de las principales ventajas de esta tecnología.

 

INCONVENIENTES::

Crea dependencia por parte de los usuarios hacia los proveedores de servicios, ya que gran cantidad de información almacenada en la nube está en “otro lugar”. Nube que en caso de fallo dejará a los usuarios sin servicio. No hay que olvidar que los sistemas en la nube no dejan de ser servidores físicos que están instalados en alguna parte del planeta. Eso sí, suelen tener certificaciones Tier III o IV, que en cierto modo garantizan un disponibilidad 24×7.

— Es un servicio que obliga a tener Internet. Esto es lógico: si la única forma de conectarnos a la nube es a través de Internet, deberemos tener contratado este servicio, y que sea lo suficientemente rápido para que nuestras comunicaciones con la nube sean rápidas.

— La información al no estar almacenada en nuestro equipo puede ser robada o puede sufrir fallas de seguridad. Si la información no la custodiamos nosotros, tendremos que confiar en el tercero al que le damos el poder de custodiar nuestra información, que lo hará de la forma correcta. La experiencia nos dice que para una empresa de mediano tamaño, es más seguro que almacenen su información en la nube que en sus propios CPD. Eso sí, tendrá que ser un proveedor de servicios en la nube debidamente certificado.

Fig. 5 Diagrama Office 365

 

Como comentaba al principio de este artículo, un sistema informático en la nube no deja de ser un sistema informático que está físicamente instalado en algún lugar del planeta. Esto exactamente es lo que ocurre con las redes sociales o sistemas de correo electrónico descentralizados, como puede ser Facebook, Twitter, Gmail, Office 365 o Outlook, claros ejemplos de computación en la nube.

Fig. 6 Apartado Sexy 😉 C del artículo 588 LECrim

 

Por otra parte, es conveniente recordar el amparo legal que ofrece el artículo 588 de la Ley de Enjuiciamiento Criminal, para el caso de acceso a servidores en la nube (siempre en el marco de un procedimiento penal o investigación criminal). Mas concretamente el apartado Sexies C de la LECrim, en el que nos dice que se podrá acceder a cualquier sistema remoto, siempre y cuando sea accesible desde una maquina local. Este apartado para los técnicos quizás sea de perogrullo, ya que si tenemos acceso, tenemos acceso. Pero una cosa es la posibildiad técnica del acceso y otra, la posibilidad legal de acceso, aunque técnicamente tengamos acceso a la máquina que nos conecta con el servicio en la nube, si no tenemos un autorización legal, no podremos acceder al mismo y si lo hacemos, podríamos estar cometiendo un delitos de Descubrimiento y Revelación de Secretos.

Fig. 7 Nube privada, híbrida y pública.

 

Por otra parte, lo que hay que tener claro a la hora de conceptualizar los sistemas de computación en la nube, es la diferenciación entre nube Privada y nube Pública. Aunque un usuario final no sea capaz de percibir esta diferencia, pues la forma de conectarse a los sistemas en la nube será la misma, el responsable de sistemas (o mejor dicho el CISO – Chief Information Security Officer de la empresa) tiene que saber que sistema en la nube ha contratado, ya sea público, privado o incluso híbrido. Recordemos que un sistema de computación en la nube no es otra cosa que una infraestructura de recursos informáticos, tanto físicos (servidores, switchs, routing, firewall...) como de Software (contabilidad, gestión, mensajería...) que en vez de proveerse desde la propia red informática de la compañía, se proveen de forma descentralizada desde una red externa o ajena a la compañía.

Fig. 8 Fácil dimensionado de un CPD

 

Lógicamente, si lo que queremos es montar o contratar nuestro propio sistema de computación en la nube, tendremos que tener en cuenta una serie de puntos para poder dimensionar correctamente nuestra infraestructura. Si bien es cierto que la gran ventaja que ofrecen los sistemas en la nube es la capacidad de dimensionarlos fácilmente a medida que vamos necesitando más recursos, no hay que olvidar que al fin y al cabo los sistemas (hardware) están físicamente instalados en el armario de un CPD (Centro de Proceso de Datos) situado en alguna parte del planeta, y por mucho que nosotros nos empeñemos, si el armario ya está lleno, poco más se va a poder dimensionar para arriba. Recordemos también, que no todos los sistemas en la nube son como AWS (Amazon Web Services), que parece que en cada uno de sus CPD tienen un agujero de gusano que les permite meter armarios y armarios de servidores casi hasta el infinito. La mayor parte de empresas que ofrecen sistemas en la nube disponen de un número limitado de armarios en los que instalar máquinas. Debemos tener cuidado a la hora de contratar un servicio de este tipo, y hacer una previsión suficientemente adaptada a nuestras necesidades. Por otra parte, a la hora de crear nuestro sistema en la nube, es muy importante no olvidarnos de que vamos a tener que integrar o migrar las aplicaciones que ya estamos utilizado actualmente en nuestra compañía. Por eso mismo es muy importante que el sistema que vamos a contratar sea compatible con nuestras aplicaciones. Un ejemplo de este último punto sería una empresa que quiere un sistema en la nube para gestionar la contabilidad de la compañía y actualmente están utilizado (por ejemplo) un software llamado “ContaWIN”, el cual solamente se puede instalar en un core central que disponga de un sistema Windows Server, pero nosotros hemos alquilado un servicio en la nube con servidores Linux, ya que era un poco más barato. Como os imaginaréis, acabamos de tirar a la basura los servicios en la nube que hemos contratado. Finalmente, otro de los puntos que también hay que tener en cuenta, son los requisitos normativos de protección de datos que tenemos que cumplir. Parecerá una tontería, pero si nuestra compañía radica en España y el sistema en la nube que buscamos contratar lo vamos a destinar a almacenar los datos confidenciales de nuestros clientes, no podremos utilizar servidores físicos que se encuentren fuera de Europa, o lo que es lo mismo, no podremos realizar una transferencia internacional de datos si no cumplimos con unas estrictas normas técnicas. A continuación, os cuento las características de cada uno de estos tres tipos de sistemas en la nube:

Fig. 9 Nube pública

 

— SISTEMAS DE NUBE PÚBLICA: Normalmente usado para gestionar datos de mensajería electrónica e intercambiar rápidamente ficheros ofimáticos.

En este caso, es el proveedor de servicios contratado quien se encarga de gestionar el servicio de tal manera que funcione correctamente. Es decir: el cliente final no puede gestionar directamente los servicios contratados, por lo que el margen de personalización será menor y las opciones de seguridad las impondrá el proveedor de servicios y no el cliente final. En este caso, tenemos que confiar plenamente en nuestro proveedor de servicios, ya que será este quien pase a tomar el control de todos nuestros datos. Sin embargo en caso de ciberataque o incidente de ciberseguridad, tendremos que estar seguros que nuestro proveedor esté en disposición de podernos dar acceso a las “pruebas” (logs, registros, dumpeados…) que nos permitan determinar el vector de ataque o incluso la identificación de los ciber delincuentes. Esto parece baladí, pero en algunos casos, los proveedores de  servicios en la nube, no han contemplado esta situación y por lo tanto no disponen de un registro detallado de actividades (logs) o tampoco pueden entregarnos una imagen completa del disco duro del servidor afectado.

Fig. 10 Outsourcing TI

 

Una de las ventajas de estos servicios es que son perfectamente accesibles desde internet, por lo que al usuario final le resultará muy sencillo operar con este tipo de sistemas. Este tipo de servicios suelen ser los más económicos, pues se reduce altamente los costes de puesta en producción de los servicios. Normalmente suelen ser plantillas predefinidas a la espera de ser puestas en producción. Sin duda, es uno de los sistemas más escalables. Es ideal para empresas que necesiten poner en producción servicios más o menos sencillos y en plazos de tiempo muy ajustados. Otra de las grandes ventajas de estos servicios es la posibilidad que ofrecen a la hora de externalizar servicios de TI (Tecnología de la Información) a costes inferiores, a tenerlo desplegados dentro de la propia infraestructura empresarial.

Por todo lo arriba comentado, los sistemas de nube pública son los más extendidos últimamente. Cierto es que grandes empresas se están decantando más por migrar sus servicios a sistemas de nube privada que a nube pública, normalmente por razones legales y de confidencialidad de sus activos.

Fig. 11 Nube privada

 

— SISTEMAS DE NUBE PRIVADA: Este tipo de infraestructuras, suelen implicar un mayor despliegue de recursos técnicos por parte del proveedor de servicios que nos ofrece el servicio de nube privada. Normalmente estos sistemas se despliegan exclusivamente para una única empresa y tienen que estar gestionados por el departamento de TI de la propia compañía. Por este motivo, el precio de disponer de una nube privada es muy superior a la contratación de una nube pública, pero a cambio de esta mayor inversión, la empresa contratante puede disfrutar de unos servicios más potentes y personalizados, además, en caso de incidente de ciberseguridad podremos ser nosotros mismos los que obtengamos las evidencias digitales que nos permitan realizar el análisis del ataque.

Este tipo de sistemas cuentan con servidores propios, es decir, es la propia empresa contratante quien instala su propio hardware en los proveedores externos, lo que implica que se puedan aplicar técnicas de balanceo de cargas más eficientes en caso de sobrecarga del sistema. Normalmente este tipo de servicios no disponen de recursos compartidos: solamente se puede acceder desde la Intranet de la compañía, ya sea a través de VPN (Virtual Private Network) o incluso redes de punto a punto. Esto permite disponer de soluciones de seguridad tan avanzadas como las que empresa esté dispuesta a costear. Además, la propia empresa contratante podrá incluir sistemas de alta disponibilidad, tolerancia a fallos que permitan mantener el servicio en funcionamiento, prácticamente los 365 días del año.

Los sistemas de nube privada son ideales para usar en empresas que tenga que cumplir férreas políticas legales o para mantener en producción aplicaciones imprescindibles para el correcto funcionamiento de la empresa.

Fig. 12 Y tú… ¿Cual prefieres?.

 

Hasta aquí, la primera parte teórica de este conjunto de artículos sobre forense en la nube que iré publicando durante este verano que se antoja de momento, cuanto menos nublado.

 

Continúa leyendo la Segunda parte de: Forense en Babia 2.  PULSANDO AQUÍ.

 

¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándome a un café a través de mi perfil en Ko-fi.com

 

Pulsa Aquí para invitarme a un café con hielo.

  Salu2.

Manuel Guerra

Manuel Guerra

Mi nombre es Manuel Guerra. Investigador especializado en: [eCrime] | [Forensic] && [Hacking]. Editor de GLIDER.es

Navegación de la entrada


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar las siguientes etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>