Guido Rosales Uriona / Inmediaciones
Por diferentes motivos los eventos deben dejar huella de su ocurrencia. Esta huella generalmente tiene ciertas características como autor, lugar, hora y fecha que en un contexto digital se traducen en usuario, IP origen, IP destino, hora y fecha por decirlo en términos simples. De los mas básicos y esenciales tenemos los registros del sistema operativo windows. Con el tiempo no han cambiado mucho. Tenemos los eventos de seguridad, aplicaciones, sistema y otros. Traen un detalle muy exquisito.
Existen diferentes niveles de REGISTROS de eventos o bitácoras por así llamarlas. Reciben nombres como Audit Trail o pistas de auditoria, también es muy popular el nombre de LOGs.
Son para un dispositivo computacional como la Caja negra de un avión, donde se guardan los registros e muchos sensores y dicen de la actividad tanto en el avión como en la cabina.
En síntesis, gran parte de los eventos que ocurren en un dispositivo computacional dejan huella. Desde el sistema operativo, las diferentes aplicaciones y utilitarios. Estas huellas incluyen también acciones del sistema operativo y sobre todo lo que nos interesa, acciones de los usuarios.
Por ejemplo el historial de navegacion:
Los registros de antivirus:
Una instalación y uso normal de un equipo, llega a acumular gran cantidad de estos registros. Por supuesto que son muy malos desde el punto de vista de la PRIVACIDAD en caso de caer en manos ajenas al dueño de equipo., pero son una mina de oro para investigaciones forenses y análisis de evidencia digital.
Sin embargo, estas facilidades pueden ser bloqueadas, inutilizadas, corrompidas o eliminadas. De manera parcial o total, de manera directa o indirecta.
EFECTO ANTIFORENSE
Eliminan la posibilidad de identificar los eventos con precisión. Pueden confundir la investigación si han sido corrompidos o adulterados.
Su ausencia puede ser sintomática y sospechosa, pero eso no ayuda mucho.
RECOMENDACIONES
La protección de logs y eventos de auditoria deben estar normados en el negocio. Tocarlos de alguna manera para afectar su funcionalidad debe ser una decisión Gerencial con todos los respaldos.
Tenemos casos donde aduciendo su interferencia a la funcionalidad del sistema han sido apagados, lastimosamente en fechas donde se han cometido ilícitos.
Les recomiendo leer el post sobre la Seguridad Shakira. Sin Logs los sistemas se vuelven Ciegos, sordos y mudos.
Para los colegas forenses, se debe validar la integridad de estos archivos. Su ausencia es sintomática.