No sé cuándo leerás este articulo. Ahora mismo, mientras empiezo a teclear, son alrededor de las 5.30 de la mañana. Me he despertado a las 5.00. Mi hora habitual para acudir al trabajo, pero hoy tengo un día 'libre'. He decidido aparcar por un día mis quehaceres diarios.
Hace mucho tiempo, algo más de seis meses, que decidí, muy a mi pesar, dejar de escribir y de publicar mi material en @fwhibbit_blog. No es porque tuviera ganas de hacerlo. Es porque precisaban de mi compromiso, temporalmente, en otro entorno laboral. Un compromiso que tenía que dar al 100%.
Me considero una persona comprometida con lo que hago y cuando veo que no puedo cumplir con ello, no tengo ningún inconveniente en decirlo abiertamente, y de obrar en consecuencia.
¿Por qué tuve que decidir dejar de escribir? No fue fácil, pero necesitaba enfocar toda mi energía en otro entorno, en otro campo distinto. Emplear ese tiempo en otro tipo de investigaciones.
¿Y por qué escribir ahora? Porque llevo unos días leyendo, releyendo y pensando en algunos artículos de Brett Shavers y de Harlan Carvey relativos a las habilidades necesarias para DFIR.
Concretamente se tratan de estos, (creo que están puestos en orden cronológico):
- Veteran Skillz, (Harlan Carvey)
- Basic Skillz, (Harlan Carvey)
- Wax on. Wax off., (Brett Shavers)
- Basic Skillz, pt II, (Harlan Carvey)
- Digital Forensics is Really Easy, (Brett Shavers)
- A Proposal of Basic Foundational DFIR Knowledge, (Brett Shavers)
Artículos que, desde ya, te recomiendo que leas. Ciertamente, creo que ambos autores tratan temas muy, muy interesantes. No son ese tipo de artículos técnicos que todos estamos deseando leer para poner en práctica. Son de esos artículos que te hacen pensar y replantearte algunos asuntos. (Pero qué estoy diciendo. Seguro que no interesan).
No sé en qué demonios estaba pensando cuando publiqué un comentario en Linkedin, (Me he creado recientemente una cuenta en esa plataforma), y en Twitter, con mención a los dos autores.
La cuestión es que, tras más de mil visualizaciones de ese comentario que hice yo, únicamente he recibido una respuesta. (Me reafirmo en lo dicho anteriormente: seguro que es un tema que parece no importar nada).
En mi opinión, el tema que se trata en esos artículos es incluso más serio de lo que parece.
Seamos honestos: hay un montón de personas preguntándose qué hace falta para poder ejercer como DFIR.
La respuesta que recibí fue de Harlan, y en ella me invitaba a que le dijera, en mi opinión, qué habilidades básicas, mensurables, tiene que tener un DFIR. Qué habilidades básicas tiene que haber dentro de la industria.
Así pues, me he animado a escribir mi humilde opinión al respecto.
Me está costando escribir. No voy a negar lo evidente. No sé, aún, cómo formar este artículo. Tengo un montón de ideas rondando en mi cabeza.
Quizás debiera comenzar desde el principio... Diciendo que yo no pertenezco, muy a mi pesar, a la industria DFIR, puesto que tan sólo soy un curioso sobre todo lo concerniente al Digital Forensics & Incident Response. (Yo no voy a separarlo en dos campos distintos porque ambos requieren de analistas en materia digital forense). Tanto el DF como el IR, tienen que poseer los mismos conocimientos en materia técnica y en materia legal. Los dos pueden tener que realizar un triage, o una clonación de una unidad, o un análisis de la misma. Y los pueden tener que verse inmiscuidos dentro de un proceso legal o penal, o no llegar a ello, después de realizar sus respectivos informes. Además, ¿Para qué separarlos si estamos buscando una base común que deban tener?
A pesar de ello, Harlan quiere buscar opiniones, aunque sea fuera de la industria, puesto que no ha recibido los comentarios que él esperaba.
Sólo en una ocasión Harlan se dirigió a mí. Y fue para para decirme que yo hacía muchos likes y RTs a sus publicaciones, pero que rara vez respondía a alguna de sus preguntas, preguntándome que "¿Por qué es eso?". Mi respuesta... pues fue obvia. No soy un profesional en DFIR. ¡Cómo puedo yo responder a alguien como Harlan! Mis labores son otras bien distintas a las de todos estos grandes profesionales y autores.
Voy a cambiar esa actitud...
A continuación voy a resumir muy brevemente cada uno de los artículos, resaltando las partes que más han llamado mi atención, por distintas razones, (así también me servirá a mí para ordenar mis ideas), y luego expondré mi punto de vista respecto a todo este asunto, (Creo que esto me va a quedar un poco largo):
Veteran Skillz, (Harlan Carvey):
En este artículo, Harlan trata sobre las habilidades no técnicas que tienen los veteranos y que pueden poner en práctica en cualquier entorno.
Habla también sobre la transición de la vida militar a la vida civil de estos veteranos y del síndrome del impostor. Hace mención en este artículo a las habilidades específicas que han adquirido y a las experiencias vividas de los veteranos.
Hace referencia al hecho de ser parte de un equipo, citando una conversación que mantuvo con uno de esos veteranos:
¿Qué significa esto? "...un fuerte sentido de no ser el tipo que jode a mis compañeros."En esa misma conversación cita que:
"...Hará lo que sea necesario para asegurarse de no hacer el trabajo de otra persona más duro o innecesariamente oneroso."También nombra un término que me gusta mucho y que tiene mucho que ver con todo este tema: la retroalimentación.
Comenta que los veteranos han pasado por experiencias en las que han desarrollado habilidades básicas en las que muchos de nosotros realmente no pensamos, pero que tienen un impacto bastante significado en cuanto a su valor. Experiencias que suman.
Se refiere a una conversación que mantuvo con otra persona que le dijo que:
"Los militares no podían pensar como la gente civil".Finalmente, termina ofreciendo su punto de vista al respecto, en el que dice:
"No pongas a alguien en un pedestal debido a algún sentido minimizado de autoestima, o algún sentido autoinfligido de temor en ellos."o,
"Esas habilidades que has adquirido, basadas simplemente en lo que has experimentado te convertirán en un activo increíblemente valioso para alguien."Finalmente, en su último párrafo, habla de la actitud y de la concentración. Incluso del desarrollo de la paciencia.
En ese mismo párrafo, en su última línea, dicta:
"...Ayuda al siguiente veterano a tratar de hacer lo mismo que tú hiciste."
Basic Skillz, (Harlan Carvey):
En este breve artículo, Harlan se interesa por lo que constituye las habilidades básicas en el campo DFIR, reduciéndolo un poco más, preguntándose:
"¿Qué son las habilidades básicas en el campo de la ciencia forense digital?"
Nos enseña un lema de los Marines, que dice "Cada Marine es un fusilero", y nos explica que ese lema establece, esencialmente, que cada Marine debe saber cómo coger y operar efectivamente con un rifle de asalto.
Y nos empieza a lanzar, de nuevo, una serie de interesantes preguntas:
"¿Es algo como eso un modelo eficaz para el DF? En caso afirmativo, ¿Qué son las "competencias básicas"? ¿Cuál es el punto en el que alguien con esas habilidades básicas hace la transición a un área de especialidad, como, por ejemplo, Windows forensics, o Mac o forensics móviles?"
"¿Pensamientos?"
Wax on. Wax off., (Brett Shavers):
En este artículo, escrito por Brett, se nos habla sobre algunas 'discusiones' y fundamentos de DFIR, bajo el tema de las "Habilidades básicas". Se nos hace referencia la misma pregunta que hizo anteriormente Harlan:
"....¿Qué son las "habilidades básicas" en forense digital?"
Y, directamente, nos ofrece su visión sobre este aspecto, en el que manifiesta que las habilidades básicas son
"...Aquellas que son comunes en todo el amplio espectro del campo del DFIR".Nos introduce en algunos aspectos básicos, como la creación de imágenes forenses de una unidad, o la adquisición de la memoria, o conocer los componentes de un ordenador básico, o los protocoloes de red, o los distintos Sistemas Operativos con sus relativos sistemas de ficheros, o la recuperación de ficheros eliminados, ...
Dice también que estas son las cosas que se deben saber a través de la formación o la experiencia.
Indica que muchas de las habilidades básicas, son realmente muy básicas para algunos.
Expone que:
"...Los conceptos básicos, por muy simples que parezcan, tienen un impacto mucho más importante en las habilidades futuras de lo que puede parecer en ese momento."Enuncia quién, en su punto de vista, lo está haciendo bien, haciendo referencia a algunas organizaciones, (privadas), separando los campos de DF y de IR. Uno enfocado más al aspecto legal y otro enfocado más al aspecto técnico. Y en ese mismo punto menciona a algunos proveedores de formación forense, que ofrecen cursos con fundamentos básicos.
Igual que enuncia quién, en su opinión, lo está haciendo bien, también enuncia quién, en su opinión, lo está haciendo mal. Y nos expone que:
"...Los proveedores ofrecen formación sin preocuparse de lo básico."
Muestra una opinión muy clara, donde dice que:
"...No hay un requisito de nivel de habilidad básico."
Dado que podemos hacer cuantos cursos queramos, sin tener un mínimo conocimiento sobre los procedimientos de evidencias o de ética.
Como solución a este problema, enuncia que:
"...Depende del practicante obtener una base elemental."
Dado que no existe ningún estándar en materia DFIR.
Brett termina el artículo planteando las mismas preguntas que Harlan:
"¿Qué constituyen las "habilidades básicas del DFIR" y cuáles son los temas comunes que deben conocerse en todo el campo del DFIR?""Y si existe la creencia de que DFIR no necesita lo básico para trabajar en este campo, ¿por qué no?"
Basic Skillz, pt II, (Harlan Carvey):
En este artículo, Harlan comienza con una referencia directa al post de Brett, diciendo que:
"Debería ser lo suficientemente fácil determinar lo que constituirían las habilidades básicas, comenzando con la recopilación de las habilidades comunes necesarias en cada especialidad, (las "cosas básicas"). Cosas, como la obtención de pruebas, la creación de imágenes, el hash, etc."
Harlan expone que ese es un buen comienzo. Que hay que averiguar lo que es común en todas las especialidades y crear un conjunto básico de habilidades que sean independientes de cada especialidad. Indica también, en ese mismo párrafo, que las habilidades tendrán que:
"...Ser probadas y verificadas."
Y, relativo a esto, hace referencia a las conocidas como "habilidades blandas".
Después, Harlan pasa a razonar lo que sería un procedimiento correcto, pasando por:
- La recolección de pruebas de una forma adecuada. Pero, "¿Qué es lo que se considera correctamente? Para ello sugiere inclinarse por "Cómo se puede recolectar la evidencia y que el proceso de recolección debe ser documentado a fondo."
- La imagen del disco duro. Pero, "¿Qué ocurre si el problema no es el disco duro, si no la memoria, o una tarjeta?"
- La verificación de la herramienta, en cuanto a la creación de la imagen, y la propia verificación de la imagen forense adquirida. Pero, "¿Qué ocurre si sólo podemos adquirir una única imagen idéntica?" En este punto recalca la importancia de la documentación y de la comprensión.
- Saber qué tipo de análisis se requiere. Pero, para ello, hay que saber qué datos, qué evidencias buscar y adquirir.
- Documentarlo todo.
- Escribir un informe y presentarlo a dos partes: a un interesado con perfil técnico y a un interesado con perfil no técnico.
Todo esto, cumplirían con las habilidades básicas para un profesional DFIR. A partir de ahí, habría que separar las diferentes especialidades y los diferentes niveles.
Harlan también presenta sus pensamientos sobre la identificación y el desarrollo de habilidades básicas en los profesionales, que incluyen:
- Conceptos básicos, donde incluye, por ejemplo, la documentación, la retroalimentación, o asistir a algún evento.
- Comprensión de los sistemas y estructuras de archivos, que consiste en comprender cómo se gestionan los datos en los sistemas de almacenamiento, en todas sus opciones. Pero ello puede suponer una alta especialización, una división en niveles de conocimiento. Pero estos conocimientos necesitan ser demostrados.
- Técnicas de análisis. En este punto se nos dice que es un tema muy importante, puesto que es un buen paso hacia las distintas áreas de especialización, y que es un buen punto para reiterar conceptos fundamentales, determinar metas, desarrollar un plan, documentarlo todo y realizar una revisión.
"...Lecciones aprendidas."En este punto de 'Técnicas de análisis', Harlan menciona que:
"...Todos aprendemos de diferentes maneras. Algunos aprendemos a través de medios auditivos, otros visualmente y otros practicando."Se nos dice que, comenzamos aprendiendo una nueva habilidad, desarrollando un entendimiento fundamental y practicando esa habilidad en base a la repetición. Que así es como se desarrolla nuestro entendimiento y así es como nos interesamos en evolucionar.
En su último párrafo, Harlan habla de la:
"...Particularidad del idioma. Las cosas se denominan con nombres específicos, y esto nos permite comunicarnos claramente con otros analistas, así como con personas no técnicas."
Digital Forensics is Really Easy, (Brett Shavers)
En este artículo, Brett señala que:
"...La técnica DFIR es bastante fácil."Y llama a las cosas por su nombre. Es decir, un ordenador es un ordenador; recolectar datoses recolectar datos; y un artefacto es un artefacto. Sugiere que:
"...Siempre y cuando se sigan los principios y conceptos fundamentales, se podrá realizar el trabajo sin obstáculos imposibles."Pero también avisa de que en DFIR:
"...Es realmente muy fácil cagarla."Después, muestra un par de ejemplos personales, donde menciona esos errores que se pueden cometer por carecer de los fundamentos básico. Porque:
"...Una base fundamental es precisamente eso. Base. Esencial."Expone que en el campo DFIR, no se trabaja únicamente con datos. Que hay no hay que olvidarse del aspecto legal.
Menciona la capacidad del analista y la necesidad de delegar en otros especialistas.
Termina planteando una pregunta y dando su visión:
"...¿Cómo es una base fundamental?"
"...Lo que tienes que conocer legalmente."
"...Lo que tienes que saber técnicamente."Termina expresando que cualquier otra cosa es específica y no forma parte de lo común.
A Proposal of Basic Foundational DFIR Knowledge, (Brett Shavers)
En este artículo, Brett, primeramente, define el término básico:
"...Básico = fundamento, fundamental, punto de partida."Un conocimiento general de los elementos principales.
Hace referencia a los diferentes niveles de cualificación, que necesitarían, cada uno de ellos, su propia base fundamental.
Menciona que:
"...Lo básico en un caso podría muy bien ser avanzado en otro."Se refiere a los fundamentos del DFIR como algo:
- "...Común a todos los empleos específicos del DFIR."
- "...La no evolución en los principios, pero la evolución en la técnica."
- "...Lo que se necesita saber legalmente."
Habla de la falta de conocimiento que causan errores no intencionales.
- "...Lo que se necesita saber técnicamente."
Plantea su visión del problema que, según él, en que no existen cursos que se puedan considerar básicos y que se ajusten al modelo que él describe.
Cree que las personas no quieren gastar su dinero y su tiempo en aprender los fundamentos, los conceptos básicos, que quieren jugar directamente con las herramientas, con la parte técnica. Y manifiesta que ese es el camino equivocado.
Formula lo que podría ser una solución, a su modo de ver. Afirma que es, únicamente, nuestra responsabilidad adquirir los fundamentos básicos. De nadie más.
También explica que:
"...La Comunidad debe apoyar algún nivel de conocimientos fundamentales básicos."
Que:
"...Las universidades deben proporcionar a los estudiantes esas bases."Formula una pregunta que se responde él mismo:
"...¿Cómo de difícil es conseguir una buena base?"Cualquiera y todos deben tomarse el tiempo para aprender lo básico, mediante cursos, libros, ...
IMHO, (versión muy larga)
He podido ver, en todos estos artículos, cómo los dos autores han expuesto verdades muy grandes, haciendo un excelso uso del razonamiento, con sus puntos de vista.
Antes de empezar a verter mi humilde opinión, vuelvo a recalcar
No soy un profesional DFIR.No ejerzo en ese mundo. Sólo soy un curioso. Por ello tan sólo voy a hablar de lo que sé, de lo que he visto. Y reconozco que sólo he visto la punta del iceberg.
Y ese hecho me viene muy bien, porque no me debo a nadie, más que a mí mismo. No tengo necesidad de vender nada. Así que podré decir un montón de tonterías y de chorradas, sin miedo a represalias.
¿Por dónde empezar...? Volvamos a la pregunta original:
¿Qué son las habilidades básicas en DFIR?Bueno... Es un tema que realmente me parece muy interesante, y de suma importancia. No creo que haya una respuesta sencilla. No creo que haya una respuesta corta. Tampoco creo que haya una respuesta que agrade a todos. Voy a intentar ordenar y plasmar mis ideas...
Y para ello, y como sólo puedo hablar de lo que he visto, de lo que sé, voy a hablar un poco de mí.
Lo primero que voy a hacer es no hablar de DFIR como una industria. Voy a hablar de DFIR como una Comunidad. La industria es sólo una parte, (la comercial), de esa Comunidad.
Cuando se habla de veteranos y de las habilidades básicas no técnicas que tienen, que han adquirido, sólo me viene una palabra a la cabeza: EXPERIENCIA. ¿Qué es la experiencia? Una práctica que proporciona conocimiento o habilidad para hacer algo, un conocimiento adquirido por las circunstancias o situaciones vividas.La experiencia podría ser un buen punto en común que tienen que cumplir los profesionales DFIR. Porque la experiencia siempre suma en el conocimiento adquirido. Pero no es accesible a todo el mundo porque, ¿Qué ocurre con los que carecen de ella, con aquellos que quieren empezar? ¿Qué pueden hacer quienes quieren empezar? Sustituir la experiencia por la PRÁCTICA. ¿Qué es la práctica? Pues no es más que la acción de ejercitar algo que se ha aprendido. La práctica tiene un efecto muy positivo en la formación. Por este medio se forma esa carencia de experiencia. Pero la práctica, sin la retroalimentación, no sirve de nada.
Se ha mencionado el síndrome del impostor. Sé lo que es el síndrome del impostor. Lo he sufrido. Aún hay días que lo sufro. Soy incapaz de reconocer mi 'trabajo' en DFIR, (a pesar de los comentarios de otras personas). Hay muchos días que pienso que no estoy a la altura, que soy un fraude. Me supera el miedo. En los peores días, pienso que todo lo que he hecho en DFIR ha sido gracias a un grupo de personas que me han apoyado y facilitado el camino. (Gracias, DT). ¿Por qué? No soy GCFA, ni CFCE, ni CCFE, ni ChFI, ... No he cursado ningún estudio de ninguna casa de software. No estoy de posesión de ningún estudio superior. (No quiero mencionar a ninguna institución específica, ni pública ni privada).
Se ha nombrado a la retroalimentación. ¿En qué consiste la retroalimentación? En una participación activa por parte de la Comunidad DFIR, donde existan comentarios y correcciones. Considero vital que haya retroalimentación por parte de la Comunidad. Y en muchas ocasiones, es la propia Comunidad la que puede llegar a generar el síndrome del impostor, mencionado antes. Bien por acción, bien por omisión. Recuerdo como si fuera ayer una publicación que hice en @fwhibbit_blog, donde hablaba de mi experiencia durante mi primer año fuera de mi cueva, y donde un profesional en materia DFIR hizo el siguiente comentario: "Más 'autodidactas' formados en la 'university of life'". Podría tomarse como un comentario más, como algo sin importancia, si no fuera por el hecho de que iba seguido de unas carcajadas. Eso, querido lector, hace daño. Hace mucho daño y puede llegar a frustrar las ideas de otra persona. La retroalimentación es necesaria y es sana para formar una Comunidad.
Se ha hecho referencia a ser parte de un equipo, es decir, al TRABAJO EN EQUIPO. Un equipo es un grupo de personas que interactúan entre sí, discuten y piensan de forma coordinada, donde cada uno cumple con una parte para alcanzar un objetivo común. Creo que tener esa aptitud es básica y elemental. (Cómo ser un buen miembro del equipo: 13 Cualidades clave).
"Los militares no pueden pensar como la gente civil". Es un interesante comentario que siempre suele venir de la boca de alguien que no conoce la vida militar. No es la primera vez que lo escucho. Sé lo que es la vida militar. La llevo viviendo más de 18 años. ¿Acaso no tengo mis propias ideas?¿Acaso no sé pensar por mí mismo? Si hay algo que me ha enseñado la vida militar, y aún lo hace, es precisamente a pensar, a formarme como persona, a ser consciente de mis limitaciones para romperlas, a tener DISCIPLINA. ¿Qué es la disciplina? Pues es, simplemente, el adiestramiento que recibe una persona, la enseñanza, especialmente en lo moral. La disciplina ayuda a desarrollar habilidades de una manera más eficaz. Una persona disciplinada es capaz de integrarse en cualquier entorno, en cualquier equipo. Así que creo que la disciplina es otro punto en común que hay que tener en cuenta.
La disciplina ayuda a forjar una ACTITUD. ¿Qué es la actitud? Es el comportamiento que tenemos hacia las distintas labores que hacemos. Es el estado de ánimo que mostramos ante las tareas que tenemos que hacer. Es nuestra disposición mental. Es parte de nuestro carácter y denota nuestra motivación. La actitud se puede moldear, se puede entrenar y puede evolucionar. Así que, tener una buena actitud debe ser un punto común para cualquier persona DFIR.
Una buena actitud, a su vez, nos ayuda a tener una mayor CONCENTRACIÓN. ¿Qué es la concentración? Pues no es más que la capacidad mental que tiene una persona para mantener la atención sobre algo. La concentración se puede aprender, se puede potenciar. La capacidad de concentración debe ser un punto en común, puesto que es vital en cualquier actividad.
No menos importante, la disciplina, a través de la actitud, también enseña PACIENCIA. ¿Qué es la paciencia? Es la facultad que tenemos de saber esperar, de no correr. La capacidad que tenemos para realizar trabajos minuciosos. Así que también creo que la paciencia debe ser un punto en común para todas las personas.
De momento te he contado un montón de chorradas y de tonterías sin importancia y no he respondido a la pregunta de:
"¿Qué son las habilidades básicas en DFIR?"Bueno. Tal vez ya haya arrojado alguna idea sobre hacia dónde van mis pensamientos en este asunto...
"Cada Marine es un fusilero". Es un lema interesante, desde luego. Cada Marine debe saber cómo coger y operar de forma eficaz con un rifle de asalto. Nos llevamos ese lema al campo DFIR... Cada profesional debe saber trabajar con las herramientas apropiadas en cada caso.
Tengo asignada un arma en mi trabajo. Por mi condición de militar, debo saber cómo funciona, a la perfección. Debo conocer todas sus partes. Debo ser buen tirador. Debo. Pero eso es lo que dicta la teoría o la norma. ¿Lo sé / soy realmente? No, porque sólo la uso dos veces al año. No es mi herramienta de trabajo habitual.
Así que, respecto a la pregunta de "¿Es ese modelo eficaz para DFIR?". En mi opinión, no. No, si no tienes opción de demostrar esas habilidades. No, si no hay un entrenamiento eficaz.
Respecto a este tema, ya he mencionado anteriormente que no tengo una formación, oficial y reglada sobre DFIR. Entonces, ¿Me supera una persona, con estudios superiores, en capacitación para ejercer en DFIR? ¿Qué bases tenemos cada uno de los dos? Y si te digo que esa persona no conoce de herramientas porque no le preocupa, (
El hábito hace al monjeHabilidades comunes, habilidades comunes... Está claro que son aquellas comunes en todo el amplio espectro del campo DFIR. Pero el campo DFIR es muy grande: Software, Hardware, Windows, Linux, MAC, Android, Triage, Imaging, Memoria RAM, Malware, Móviles, Redes, IoT, Cloud, NTFS, EXT, Carving, Audio, Video, Imagen, email, ...
¿Qué habilidades básicas tienen que tener todas estas especiales en común? ¿Se pueden aprender realmente todas esas especialidades a través de la formación y/o la experiencia? ¿TODAS?
Está claro que los conceptos básicos, por muy simples que parezcan, tienen un impacto muy importante en las habilidades que queramos adquirir. Sí. Podemos aprender todos los conceptos básicos que se te ocurran. Pero creo que únicamente se podrá aprender la parte teórica de cada una de ellas. Quiero saber qué habilidades básicas tiene que tener una persona para hacer DFIR, no cómo adquirir los conocimientos fundamentales, que ya sé que mediante el estudio. ¿Qué tienen todas esas especialidades en común?
¿Aún sigo hablando?¿Aún sigues leyendo? ¡Pero si este no es un tema interesante! ¡Si no digo más que sandeces! Tú mismo. Sigamos...
No podemos hablar de habilidades básicas sin saber qué significa ese término: Habilidad. La habilidad es una capacidad, a veces innata, que tenemos o adquirimos, y se refiere a la destreza, a la facilidad, que tenemos a la hora de desarrollar alguna actividad.
De momento te he enumerado, y espero que con buen razonamiento, algunas de las habilidades básicas que considero básicas para cualquier persona que quiera hacer DFIR.
Volvamos un poco atrás... Al punto donde menciono la formación y los estudios. Yo creo que las personas, no es que no quieran gastar el tiempo y el dinero en formación básica. De veras. Creo que no invierten su tiempo y su dinero en ese tipo de formación porque se preguntan: ¿Me servirá para dedicarme a ello? Y, seguro que conocéis muy bien la respuesta habitual que se suele dar. No servirá para ello. Y en primera instancia será porque el reclutador no quiere a alguien con un título en 'X', sólo de conocimientos básicos y fundamentales. El reclutador querrá a alguien con un título en 'X', de experto y profesional. Un error terrible.
Existen multitud de certificaciones. Existe formación, tanto pública como privada, para todos los niveles. La cuestión es, ¿Existe una formación única, universal, dentro del campo DFIR? ¿Quién evalúa esas habilidades, esas capacidades de las personas? Esa evaluación, ¿Sería objetiva o subjetiva? Hasta donde yo sé, no hay un estándar único. La industria, que ya he dicho que es sólo una parte de la Comunidad, se mueve por intereses. Entonces, ¿Qué demonios interesa?¿Vender? ¿O enseñar lo que es realmente útil para el correcto desarrollo de la profesión? ¿Cuál es el requisito mínimo para poder meter la cabeza dentro de este mundo? Esas son las preguntas que realmente nos tenemos que hacer.
Por otro lado, la enseñanza que se ofrece, o el aprendizaje que se busca, ¿Va más enfocado al aspecto técnico o va más enfocado al aspecto legal? ¿Interesa estudiar algo con un equilibrio real entre los dos campos? Gracias a esa filosofía podemos estudiar lo que deseemos sin tener un conocimiento sobre los procedimientos básicos, o la propia ÉTICA. Ética. Me encanta ese término. ¿Qué es la ética? Es la base más elemental que debe existir. Es un conjunto de normas morales que deben regir, en este caso, la conducta en la profesión DFIR.
¿Existe algún estándar en materia DFIR? Hasta donde yo sé, NO. Por lo tanto, es la propia persona interesada quien se debe preocupar en adquirir una base elemental en ese campo.
Existen multitud de formas de adquirir el conocimiento deseado. Podemos aprender mediante cursos, mediante la formación autodidacta, mediante lectura de libros, visionado de vídeos. Pero el conocimiento es tan sólo algo teórico que pasará de largo por nuestra memoria si no se pone en práctica, si no se experimenta. Podemos aprender a través de las distintas conferencias que se desarrollan durante todo el año, alrededor de todo el mundo, participando de forma activa en ellas, porque es ahí donde se ve la verdadera pasión que existe en la Comunidad. El networking es una fuente de conocimiento, que también suma práctica, experiencia. Y eso no se olvida. Debemos aprender mediante el ensayo y el error. De esa forma podremos establecer nuestras propias 'lecciones aprendidas', donde habremos aprendido qué hemos hecho bien y qué no hay que volver a hacer.
Pero claro, ¿Cómo marcamos el mínimo conocimiento que debe existir, tanto técnico como legal? Por ejemplo, serviría conocer los componentes básicos de un ordenador? O por el contrario, ¿Hay que conocer todos y cada uno de los circuitos y chips de los que se compone cada placa base de cada uno de los fabricantes? ¿Basta con conocer una suite? O por el contrario, ¿Hay que conocer que existen multitud de pequeñas herramientas y utilidades para cada uno de los casos que nos podemos encontrar? En lo relativo a la parte legal, ¿Se Debe conocer un mínimo de la parte de Derecho? O por el contrario, ¿Se debe conocer toda la legislación que se encuentre en la región en la que nos encontremos? Y si resulta que se tienen esos mínimos conocimientos requeridos, una buena base técnica y una buena base legal, pero nos encontramos en un caso en el que se tienen que adquirir unas evidencias de un servidor ubicado en otra región, ¿Debo entonces conocer la legislación de esa región? ¿Dónde está el límite, la línea que delimita lo mínimo?
En mi caso, por ejemplo, he pagado por dos cursos dedicados a la Informática Forense, que creo que me han servido para adentrarme más en este mundo. He pagado por un curso básico de Análisis Informático Forense, (CPAIF), y he pagado por un curso universitario de Experto en Derecho Tecnológico e Informática Forense, (DTIF), que enseña tanto Informática Forense como Derecho Tecnológico con un 50/50. Pero valen dinero. ¿Enseñan realmente lo que queremos aprender?¿O lo que necesitamos aprender? Todo depende de nuestra elección, de lo que busquemos, de lo que esperemos de esos cursos y de lo que esperemos tener después de esos cursos. También hay disponibles, cada vez mas, diversos MOOC orientados a la Informática Forense. Y sí, son básicos, y suelen ser gratuitos. El último que hice fue uno sobre Informática Forense y Ciberderecho. Ten también en cuenta que estudiar y repasar lo básico no es malo. Al revés. Viene muy bien porque precisamente es algo básico, elemental, que siempre se debe tener presente.
Estudiar los fundamentos básicos es algo elemental. Nos va a permitir hablar el idioma apropiado. Es decir, llamar a las cosas por su nombre, comprender los elementos con los que trabajamos y explicarlos tanto hacia un perfil técnico como hacia un perfil no técnico.
Seguro que estarás pensando que estoy soltando un montón de 'mierda' sin sentido en este artículo. Bueno. Depende únicamente de ti seguir leyendo, si te interesa el tema, claro.
¿Debe ser fácil determinar las habilidades básicas, las habilidades comunes de cada especialidad? No es tarea fácil. No en todas las especialidades DFIR se adquieren evidencias, ni se crean imágenes de unidades, ni se hace hashsing, ni se efectúa carving, ... O, tal vez sea más fácil de lo que pensamos, si nos replanteamos la cuestión. He dado un repaso por un conjunto de habilidades, conocidas como HABILIDADES BLANDAS. ¿Qué son las habilidades blandas? Son un conjunto de habilidades que todos tenemos. Habilidades sociales, de comunicación, de actitudes proactivas, de responsabilidad, de trabajo en equipo, de honestidad, de compromiso. Son competencias que marcan la diferencia entre quién puede ser un profesional y quién no. Este conjunto de habilidades blandas son un complemento obligado, algo elemental, para adquirir las HABILIDADES DURAS. ¿Qué son las habilidades duras? Pues son las mismísimas habilidades técnicas, específica para cada situación, para cada especialidad. A diferencia de las habilidades blandas, que dicen que no son mensurables, (yo pienso que sí lo son), las habilidades duras sí son cuantificables. Pero claro, si hablamos de habilidades técnicas, que son requeridas para cada especialidad, ya no podemos hablar de habilidades básicas comunes para todo el campo DFIR. Estaremos hablando de habilidades específicas, que no básicas, comunes en DFIR, en todo su esplendor.
No es fácil averiguar lo que es común en todas las áreas DFIR. No es fácil crear un conjunto básico de habilidades técnicas básicas. Habilidades que, por otro lado, deben ser probadas y verificadas. ¿Quién es la persona o institución responsable de ello? Deben ser probadas, pero ante qué o ante quién. Recordemos que no hay ninguna norma universal, ningún estándar, referente a ello.
La técnica forense es fácil de aprender, si se dispone de una buena actitud y de una aptitud. Se aprende con la práctica, la prueba y la repetición. Pero no se puede realizar un análisis si no se dispone de una base, de algo elemental: El conocimiento de los Principios Fundamentales de la Informática Forense, porque entonces la podemos cagar. Principios, tanto legales como técnicos.
Por ejemplo, recientemente he tenido que realizar un triage en un Sistema que presentaba anomalías en su funcionamiento. ¿He contado con la autorización expresa, firmada, del usuario del Sistema? ¿Es ese 'pequeño' detalle algo básico? ¿Se trata simplemente de una cuestión de administración? ¿Puede derivar esa cuestión de administración a un proceso penal? Sé cómo analizar los datos con los que trabajo. ¿Es eso algo básico? Sin embargo, los ficheros '.evtx' que fueron extraídos estaban dañados. Conseguí reparar su cabecera. ¿Es eso algo específico o avanzado? Se pueden cometer errores. Nadie está exento de ello. Pero esos errores se pueden minimizar teniendo conciencia de los Principios Fundamentales, y es entones cuando podrían no tener una repercusión seria en nuestros análisis.
IMHO, (versión resumida)
La pregunta: ¿Qué habilidades considero básicas dentro de la Comunidad DFIR?
Creo que la importancia que se le da a este asunto tiene que ser algo más trascendental. No todo es mensurable, de una forma objetiva. No aún. Porque lo primero que tiene que hacer la Comunidad DFIR, para saber qué habilidades comunes tienen todas sus áreas, es terminar de formarse como tal, mediante un código deontológico, donde se establezca una ética. Y una vez establecida esa ética para un DFIR, se podría crear algún nivel de conocimientos mínimos, básicos.
A partir de ahí, podemos empezar a entendernos entre todos.
Lo que considero que debe tener cualquier persona para dedicarse a DFIR son unas buenas habilidades blandas, seguidas de unas buenas habilidades duras, específicas, que se deben demostrar con imparcialidad. Expongo algunas habilidades y conocimientos, (No necesariamente en este orden. Y posiblemente de deje algo en el tintero):
- Debe mostrar una buena actitud, positiva y motivada.
- Debe estar en posesión de una buena aptitud, es decir, debe ser competente y ser capaz de comprender qué ha ocurrido, o qué no ha ocurrido.
- Debe saber escribir, tanto para perfiles técnicos como para perfiles no técnicos.
- Debe saber hablar, ser capaz de expresarse delante de otras personas, de una forma correcta, con un lenguaje adecuado para cada caso.
- Debe conocer la estructura del informe pericial.
- Debe participar de una manera activa en la Comunidad, mediante la retroalimentación, mediante conferencias, ...
- Debe demostrar curiosidad
- Debe tener entusiasmo
- Se lo tiene que cuestionar todo
- Debe saber
- Qué buscar
- Dónde buscar
- Cómo buscar
- Debe conocer los Principios Básicos de la Informática Forense
- El principio de intercambio de transferencia
- El principio de economía o Navaja de Ockham
- El principio de indeterminación de Heisenberg
- Debe conocer las fases de la informática forense
- Identificación
- Recopilación, con los principios de
- Autenticidad y Conservación
- Legalidad
- Idoneidad
- Inalterabilidad
- Documentación
- Volatilidad, recogido en la RFC 3227
- Privacidad
- Preservación
- Análisis
- Documentación, donde exponga sus conclusiones
- Sin suposiciones
- Sin hacer juicios de valor
- Sin juzgar
- Presentación
- Debe conocer La RFC 2828, Internet Security Glossary, para saber llamar a cada elemento por su nombre
- Debe conocer La RFC 3227, Guidelines for Evidence Collection and Archiving, para saber cómo proceder, con unos niveles de competencia básicos. Esta guía incluye
- Orden de volatilidad
- Cosas a evitar
- Consideraciones de privacidad
- Consideraciones legales
- Tiene que saber que la prueba debe ser
- Admisible
- Auténtica
- Completa
- Fiable
- Entendible
- Debe conocer la cadena de custodia.
- Debe conocer los principios de
- Relevancia
- Confiabilidad
- Suficiencia
- Debe actuar con integridad
- Honestidad
- Objetividad
- Confidencialidad
- Imparcialidad e independia
- Competencia
- Debe saber que tiene que documentar todo, cada uno de los procesos que realice y tanto lo que pueda inculpar como lo que pueda exculpar.
- Debe ser capaz de comprender cómo funcionan cada uno de los distintos elementos, artefactos, evidencias, ... con los que va a trabajar.
- Debe saber identificar una prueba.
- Debe ser capaz de determinar qué tipo de análisis tiene que realizar, qué evidencias tiene que extraer.
- Debe saber cómo extraer una evidencia y cómo tratarla.
- Debe conocer qué herramientas y técnicas de análisis existen para cada uno de los casos que se pueda encontrar.
- Debe saber que sólo se debe a la verdad, bajo una responsabilidad civil y penal.
- Debe saber que tiene que actuar con competencia. Es decir, conocer sus capacidades y sus límites para saber cuándo delegar el caso en otra persona.
- Debe saber que tiene que actuar con independencia. Es decir, no debe tener ningún prejuicio en el caso.
- Debe saber que tiene que actuar con autoridad. Tiene que saber imponer, explicar y hacer entender sus conclusiones.
Me he tirado a la piscina. Considero que todo este conjunto de habilidades y conocimientos suman las llamadas buenas prácticas, que toda persona que esté en DFIR debe saber y cumplir.
Así que sí. Creo que es una cuestión de actitud y de aptitud, en primera instancia.
Creo fielmente que la pregunta correcta que se tendría que hacer no es, ¿Cuáles son las habilidades básicas comunes que tiene que tener un DFIR? Creo que la pregunta apropiada tendría que ser, ¿Qué necesita una persona para hacer DFIR en cualquier especialidad?
Esta es mi opinión. La opinión de un mero curioso en esta materia. La opinión de alguien que sólo ha visto una mínima superficie. Opinión que doy porque se me ha pedido. Opinión que doy porque me gusta ayudar a hacer Comunidad. Opinión que doy con respecto a lo poco que he visto y que sé. Así, creo que puedo ayudar a otros.
Aunque, quizás, por el hecho de ser sólo un curioso que no está dentro de la industria, pueda tener una visión externa, una visión más imparcial.
Pienso que la Comunidad DFIR es muy amplia y realmente creo que debiera haber colaborado más en este asunto, bajo mi punto de vista, muy importante.
Puedes estar de acuerdo con ella. Puedes no estar de acuerdo con ella. O puedes verter tus propias opiniones. Es tu turno... Espero, al menos, darte algo en lo que pensar.
¿Feedback?
Esto es todo.
Hay un refran castellano de toda la vida que creo resume buena parte de tu articulo, algo asi como... "Hace mas quien quiere que quien puede" ;) Buen articulo!
ResponderEliminarNicely written, and good points (questions and statements). I feel that this topic will be explored in the near future and maybe some sort of answer and standards will be created, hopefully.
ResponderEliminar