//RFC3227

Directrices para la recolección de evidencias y su almacenamiento

Los RFC «Request For Comments» son documentos que recopilan propuestas de expertos en una materia concreta, con el objetivo de establecer pautas para procesos, estándares o la implementación de protocolos. El RFC 3227 es un documento que recopila directrices para la recolección y almacenamiento de evidencias, y puede servir como estándar de facto para la recopilación de información en incidentes de seguridad.

//Recolección de evidencias

Principios durante la recolección de evidencias

  • Capturar una imagen del sistema precisa.
  • Tomar notas detalladas, incluyendo fechas y horas en horario local o UTC.
  • Minimizar los cambios en la información recolectada y eliminar agentes externos.
  • Priorizar la recolección sobre el análisis en caso de dilema.
  • Recoger la información siguiendo el orden de volatilidad, de mayor a menor.
  • Adaptar la recopilación a cada dispositivo según sea necesario.

Orden de volatilidad:

  1. Registros y contenido de la caché.
  2. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
  3. Información temporal del sistema.
  4. Disco.
  5. Logs del sistema.
  6. Configuración física y topología de la red.
  7. Documentos.

Acciones que deben evitarse:

  • No apagar el ordenador hasta recopilar toda la información.
  • No confiar en los programas del sistema, recopilar la información desde un medio protegido.
  • No ejecutar programas que modifiquen fechas y horas de acceso de los archivos.

Consideraciones sobre la privacidad:

  • Respetar las políticas de privacidad de la empresa.
  • Obtener autorización por escrito para la recolección de evidencias.
  • Evitar intromisiones sin justificación y recopilar datos de lugares a los que no se tenga razón para acceder.

Procedimiento de recolección:

  • Detallar el procedimiento de manera precisa y sin ambigüedades.
  • Ser transparente y reproducible en los métodos utilizados.
  • Documentar cada paso.
  • Registrar a las personas involucradas.

//Almacenamiento de evidencias

Procedimiento de almacenamiento de evidencias


Cadena de custodia:

  • Documentar el descubrimiento, recolección y manejo de la evidencia.
  • Registrar quién custodió la evidencia y cómo se almacenó.
  • Registrar los intercambios de custodia.

Almacenamiento:

  • Utilizar dispositivos seguros y capaces de detectar accesos no autorizados.

Herramientas necesarias:

  • Seleccionar herramientas externas al sistema.
  • Utilizar herramientas que minimicen la alteración del escenario y el uso de memoria.
  • Utilizar programas ubicados en dispositivos de solo lectura.
  • Preparar un conjunto de utilidades adecuadas para los sistemas operativos.

Conclusiones:

  • Realizar acciones meticulosas y detalladas durante un incidente de seguridad.
  • Preservar el sistema en su estado original.
  • Seguir metodologías como el RFC 3227 para un proceso riguroso.

Es importante tener en cuenta que los requisitos y pautas pueden variar según el país para un análisis forense digital con implicaciones legales, ya que no existe una legislación común. Sin embargo, se debe seguir las indicaciones de metodologías como el RFC 3227.