AUDITORIA FORENSE: FILE CARVING SOBRE FUSE

Al realizar auditorías forenses, una de las labores principales consiste en la recolecta de información allí donde ha tenido lugar el incidente a investigar.

En ese lugar, llamado escenario, es donde deberían comenzar por lo general las labores de análisis postmortem. Es en este punto donde adquieren especial relevancia las técnicas para recuperar información en plaza, las cuales se conocen en el argot como técnicas de file carving.

Tal y como se puede comprobar en el documento In-Place File Carving, el file carving es el proceso cuya misión es recuperar ficheros en un escenario forense basando el análisis en contenidos y no en metadatos, con lo que este tipo de técnicas son especialmente útiles cuando se pretender recuperar estructuras corruptas. Los tipos usuales de carving son el basado en bloques, el de cabeceras y pies, el basado en características, los limitados en tamaño de fichero, el carving con validación, el carving semántico, el de recuperación de fragmentos y el basado en estructura de ficheros.

Si el sistema de ficheros emplea metadatos, generalmente se van a emplear para definir los tamaños de almacenamiento y para impedir la recuperación de ficheros dañados. No entraremos en este tipo de análisis.

El problema principal a la hora de aplicar técnicas de carving forense se debe a la parte automatizada del mismo. Las herramientas actuales provocan una cantidad de falsos positivos muy elevada, ya que hacen copias de los contenidos ficheros recuperados, con lo que el volumen se incrementa y así se incrementa el número de falsas detecciones.

El reto, por tanto, pasa por realizar carving sin hacer copias de contenidos, lo que hará más flexible el proceso, consumiendo menos recursos y evidentemente, menos tiempo de auditoría. Es por tanto que las técnicas modernas de carving en plaza están enfocadas precisamente a este objetivo reductor que hemos comentado.

En el documento citado, In-Place File Carving, podemos encontrar las respuestas a este reto, así como la arquitectura de un carver en plaza que trabaja sobre Filesystem in Userspace (FUSE). FUSE es un módulo de kernel UNIX libre, que permite que los usuarios no privilegiados puedan crear sus propios sistemas de ficheros sin escribir código de kernel. Está disponible para OpenSolaris, Mac OS X, Linux y FreeBSD. En el caso de NetBSD hay que emplear compatibilidad con PUFFS (Pass-to-Userspace Framework File System)

Todos estos detalles los podéis consultar en un extraordinario trabajo de investigación docente que nos ofrece una visión de la auditoría forense de alta especialización con sumo grado de detalle. Una lectura obligatoria para los profesionales/interesados en la materia.

Por cierto, a los que os pique el gusanillo por saber qué herramientas se suelen emplear para el carving, echad un ojo al File Carving Scalpel. Otra herramienta muy popular en este ambiente es Foremost, desarrollada originalmente por la Air Force Office of Special Investigations y el The Center for Information Systems Security Studies and Research norteamericanos.

También recomendable este trabajo de tesis doctorial, An analysis of disc carving techniques. Contiene un resumen y análisis de distintos tipois de carving.

Fuente: http://www.sahw.com