INFORMATICA FORENSE ING. ESP. HAROLD EMILIO CABRERA MEZA



Documentos relacionados
UD 1: Adopción de pautas de seguridad informática

WINDOWS : COPIAS DE SEGURIDAD

V i s i t a V i r t u a l e n e l H o s p i t a l

GUIA COMPLEMENTARIA PARA EL USUARIO DE AUTOAUDIT. Versión N 02 Fecha: 2011-Febrero Apartado: Archivos Anexos ARCHIVOS ANEXOS

Toda base de datos relacional se basa en dos objetos

Selección de los puntos de montaje

Sugar en Windows. Creación de una máquina virtual con la imagen de Sugar. Autor. Versión Fecha Setiembre Ubicación

Módulo 7: Los activos de Seguridad de la Información

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

COMO CONFIGURAR UNA MAQUINA VIRTUAL EN VIRTUALBOX PARA ELASTIX

Sitios remotos. Configurar un Sitio Remoto

WINDOWS : TERMINAL SERVER

Archivo de correo con Microsoft Outlook contra Exchange Server

MANUAL COPIAS DE SEGURIDAD

Guía de instalación de la carpeta Datos de IslaWin

Accede a su DISCO Virtual del mismo modo como lo Hace a su disco duro, a través de:

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

CONCEPTOS BASICOS. Febrero 2003 Página - 1/10

Detectar y solucionar infecciones en un sitio web

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

Manual AGENDA DE RESPALDO

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Guía de instalación de la carpeta Datos de ContaWin

Redes de área local: Aplicaciones y servicios WINDOWS

RETO FORENSE EPISODIO III Resumen Ejecutivo

Seminario de Informática

Guía de instalación de LliureX 5.09

PSI Gestión es un sistema multiusuario que le permite 2 tipos de configuraciones:

Internet Information Server

[VPN] [Políticas de Uso]

AGREGAR COMPONENTES ADICIONALES DE WINDOWS

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

1. Guía de activación. Introducción Información general sobre el sistema de licencias del software Axxon Next Tipos de licencia...

DIAGNOSTICO SERVIDOR Y PLATAFORMA MOODLE

Gestió n de Certificadó Digital

Resumen del trabajo sobre DNSSEC

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

Notas para la instalación de un lector de tarjetas inteligentes.

Introducción a la Firma Electrónica en MIDAS

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Tema: INSTALACIÓN Y PARTICIONAMIENTO DE DISCOS DUROS.

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

, RECUPERACIoN DE DATOS:

Anexo I. Politicas Generales de Seguridad del proyecto CAT

LIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO

Ejecución del programa de instalación de Windows XP

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

Manual de operación Tausend Monitor

1.- DESCRIPCIÓN Y UTILIDAD DEL SOFTWARE DAEMON TOOLS.

2. Entorno de trabajo y funcionalidad en Arquímedes

Cómo hacer backups en ambientes virtualizados?

Introducción. Contabilidad y Estados Financieros

10. El entorno de publicación web (Publiweb)

Tutorial: Primeros Pasos con Subversion

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS

UAM MANUAL DE EMPRESA. Universidad Autónoma de Madrid

Compartir Biblio en una red local con Windows XP

CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES

Capítulo 9. Archivos de sintaxis

Manual de Instalación. Sistema FECU S.A.

Manual de uso de la plataforma para monitores. CENTRO DE APOYO TECNOLÓGICO A EMPRENDEDORES -bilib

LABORATORIO 10. COPIAS DE SEGURIDAD, RESTAURACIÓN Y RECUPERACIÓN DE UNA BD

Autor: Microsoft Licencia: Cita Fuente: Ayuda de Windows

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

Edición de Ofertas Excel Manual de Usuario

1. CONSIDERACIONES GENERALES

Infraestructura Tecnológica. Sesión 8: Configurar y administrar almacenamiento virtual

Guía de seguridad informática Buenas prácticas para el Nuevo Año

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

Soporte y mantenimiento de base de datos y aplicativos

Instalación de la aplicación.

Proceso de Servicio de Informática y Comunicaciones

Instantáneas o Shadow Copy

Instrucciones de instalación de TrueCode

Guía de Inicio Respaldo Cloud

DOCUCONTA Versión Septiembre 2010 MINISTERIO DE HACIENDA. Manual de instalación SECRETARÍA DE ESTADO DE PRESUPUESTOS Y GASTOS

Software Criptográfico FNMT-RCM

Traslado de Copias y Presentación de Escritos. Manual de Usuario V.3.1

CAPITULO II MANUAL DE USUARIO

MACROS. Automatizar tareas a través del uso de las macros.

Master en Gestion de la Calidad

Módulos: Módulo 1. El núcleo de Linux - 5 Horas

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

Trabajo TICO Unidad 2: Sistemas Operativos. Guillermo Jarne Bueno.

Instalación de la aplicación de COAS Visado Digital

El proceso de Instalación de Microsoft SQL Server 2008

GENERACIÓN DE TRANSFERENCIAS

Instrucciones de instalación de IBM SPSS Modeler (licencia de usuario autorizado)

ICARO MANUAL DE LA EMPRESA

MANUAL DE USUARIO. Se deben seguir los siguientes pasos para la correcta instalación del módulo descargable:

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT:

Backup & Recovery Oracle 9i. Las copias físicas offline, conocidas como Backups en frío, se realizan cuando la Base de Datos está parada.

Haga clic en los recuadros donde indica la mano y regrese al inicio del capítulo al hacer clic en el título de la sección donde se encuentra

Transcripción:

INFORMATICA FORENSE ING. ESP. HAROLD EMILIO CABRERA MEZA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD PASTO COLOMBIA 2013

TABLA DE CONTENIDO UNIDAD 2. ANÁLISIS DE LAS EVIDENCIAS Y HERRAMIENTAS COMPUTACIONALES PARA INFORMÁTICA FORENSE. RECOLECCION DE EVIDENCIA DIGITAL. 3 Estrategias para la recolección de pruebas electrónicas 3 Orientaciones para Recolección de Evidencias. 6 Volatilidad de la evidencia. 7 Recomendaciones Generales 9 Análisis de la Evidencia Recolectada 10

UNIDAD 2. ANÁLISIS DE LAS EVIDENCIAS Y HERRAMIENTAS COMPUTACIONALES PARA INFORMÁTICA FORENSE. RECOLECCION DE EVIDENCIA DIGITAL. Estrategias para la recolección de pruebas electrónicas Llevar un orden de recopilación de información Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos 1 : Buscar la evidencia. Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado de verificación que puede ayudar en el proceso de recolección, comprobando que todo lo que se está buscando este en el sistema. Determinar la relevancia de los datos. Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso, para estar seguro, se debe recopilar toda la información necesaria y no excluir ninguna prueba que tenga afinidad con el caso reportado, es necesario 1 Incident Response, Computer Forensics Toolkit, Douglas Schweitzer

trabajar rápido y no perder tiempo recogiendo información que no será de utilidad para el caso.

Determinar la volatilidad de la información. Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información (un dispositivo volátil es el que funciona en un instante determinado), por lo cual se debe actuar de manera ágil mientras el dispositivo este funcionando, por lo cual se recomienda hacer una lista de elementos con prioridad de apagado para conservarlos activos mientras dure la indagación. Eliminar la interferencia exterior. Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación, en algunos casos los atacantes pueden instalar un interruptor que puede borrar evidencia una vez el equipo se desconecta de la red o de Internet. Recoger la evidencia. Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea, recuerde que existen programas libres y propietarios que ayudan a esta tarea. Examine los elementos que ya ha recogido anteriormente y revise que elementos en su listado pueden faltar para que inspeccione nuevamente la escena. Documentar todas las acciones realizadas. En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el

proceso de recolección de evidencia, incluir toda la justificación que comente los procesos de recolección. Orientaciones para Recolección de Evidencias. 2 El procedimiento para la recolección de evidencia varía de país a país, sin embargo, existen unas guías básicas que pueden ayudar a cualquier investigador forense. El aspecto más importante a la hora de recolectar evidencia, es la preservación de la integridad de ésta; en el caso particular de la información almacenada en medios magnéticos, la naturaleza volátil de ésta hace que dicha labor sea particularmente difícil. Cantidad de Información recolectada. La primera gran decisión que se debe tomar a la hora de recolectar evidencias, es la cantidad. Un investigador podría estar tentado a llevarse todo el equipo computacional que encuentre en la escena, con el fin de no arriesgarse a dejar piezas de información potencialmente importantes. Sin embargo, esta alternativa tiene sus inconvenientes, ya que el investigador podría terminar siendo demandado por dañar o alterar el sistema informático, desde este punto de vista, quizás lo indicado sería incautar sólo lo mínimo necesario para efectuar una investigación. Aunque en último, es la severidad y la categoría del crimen las que determinan cuánta evidencia digital se debe recolectar. 2 Incident Response, Computer Forensics Toolkit, Douglas Schweitzer

Cuidados al Hardware. El hardware es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto del crimen. Generalmente, es necesario recolectar elementos de almacenamiento cd, dvd, cintas magnéticas, diskettes, memorias flash que puedan contener evidencia. En este punto se debe tomar otra decisión crítica: los equipos involucrados en una investigación deben ser apagados o deben permanecer prendidos?, muchas agencias de investigación recomiendan apagar los equipos en todas las situaciones y algunos expertos insisten en que es la mejor alternativa debido a la posibilidad de que la evidencia sea destruida mientras el computador permanece encendido. Aún así, hay casos en que apagar un equipo puede causar más daños que beneficios, por ejemplo, si se trata de un servidor que presta servicios a muchas personas que no necesariamente están involucradas en una investigación, como siempre, la mejor opción para el investigador es utilizar su buen juicio y sentido común para determinar las acciones a seguir. Volatilidad de la evidencia. 3 Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos, por lo cual se debe tener en consideración las siguientes apreciaciones: La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios. 3 Incident Response, Computer Forensics Toolkit, Douglas Schweitzer

Cada paso podrá destruir la información, por lo que todas las medidas que tome deben ser bien aplicadas la primera vez o se puede perder mucha información valiosa. Es importante que no se busque información en áreas que normalmente no tienen razón alguna para ser accedida (como archivos personales) a menos que se haya notificado al usuario (por ejemplo, a través de un banner de inicio de sesión) que toda la información almacenada en el equipo es objeto de embargo o si se tiene razones suficientes para creer que un incidente de seguridad está ocurriendo o ha ocurrido. En general, la evidencia informática debe ser Admisible: Las pruebas deben cumplir con ciertas normas legales antes de que puedan presentarse un tribunal. Esto se explica más adelante en este capítulo. Auténtica: Debe ser posible vincular positivamente el material probatorio a los hechos, demostrando que la evidencia se relaciona con el incidente de una manera relevante. Completa: Se debe contar toda la historia y no sólo una perspectiva particular. No sólo debe reunir pruebas que puedan demostrar las acciones del atacante, pero también evidencia de que podría ser su inocencia. Confiable: No debe haber nada acerca de cómo la evidencia fue recogida y, posteriormente, manejado que arroja dudas sobre su autenticidad y veracidad. Creíble y comprensible: La evidencia debe ser fácilmente creíble y capaz de entender por un tribunal de justicia. No tiene sentido en la presentación de la salida de un volcado de memoria si un jurado no tiene idea de lo que significa. La evidencia volátil es evidencia la que rápidamente puede desaparecer o es sólo de carácter temporal, este tipo de pruebas tiene que ser recogida antes de que la

máquina sea desconectada de la red y sea apagada. La recopilación de pruebas se debe hacer de la más volátil a la menos volátil. A continuación se presenta un ejemplo de elementos volátiles Memoria física y virtual Los procesos en ejecución Red conexiones y todo lo que se ejecuta en modo promiscuo. Sistemas de almacenamiento permanente: Discos duros, disquetes, cintas, y DVD CD - RWs/ ROMs). Es muy fácil destruir involuntariamente las pruebas en un dispositivo volátil cuando se está en el proceso de recolección de pruebas, recuerde tomar las siguientes precauciones: No apague el sistema hasta que haya completado todos los procedimientos de recolección de pruebas para pruebas volátiles. Muchas pruebas se pueden perder cuando un sistema está apagado y el atacante puede haber alterado la puesta en marcha, apagado y servicios para destruir la evidencia. No confiar en los programas activos en el sistema. Ejecutar los programas de obtención de pruebas (software forense) en los medios de comunicación debidamente protegidos. No ejecute programas que modifican el tiempo de acceso de todos los archivos en el sistema (por ejemplo tar o xcopy). Recomendaciones Generales El proceso de recolección de evidencia electrónica puede ser costoso en términos de horas - hombre y del tiempo de inactividad del sistema, ya que los procesos de recolección pueden consumir mucho tiempo y los sistemas afectados pueden no

estar disponibles para un uso normal durante un tiempo prolongado mientras se llevan a cabo la recopilación y análisis de los datos. Cuando llegue el momento de comenzar la recolección de pruebas la primera regla que se debe seguirse es la de no apresurarse. Es común que la victima desee saber rápidamente que información fue vulnerada y ejerce mucha ansiedad sobre el investigador, sin embargo, si el investigador se apresura en los procedimientos de recolección de datos, la evidencia puede ser pasada por alto, recuerde que un error en la recolección y preservación de la evidencia a menudo es irreversible. Análisis de la Evidencia Recolectada Recolección La recolección de evidencia informática es un aspecto frágil del la informática forense porque requiere de prácticas y cuidados adicionales que no se tienen en la recolección de evidencia convencional. Es por esto que: - Se debe proteger los equipos del daño. - Se debe proteger la información contenida dentro de los sistemas de almacenamiento de información (muchas veces, estos pueden ser alterados fácilmente por causas ambientales, o por un simple campo magnético). - Algunas veces, será imposible reconstruir la evidencia (o el equipo que la contiene), si no se tiene cuidado de recolectar todas las piezas que se necesiten.

Análisis Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque y qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación. Preparación para el análisis Antes de comenzar el análisis de las evidencias se deberá: 1) Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar. 2) Trabajar con las imágenes que se recopiló como evidencias o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido. 3) Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros. 4) Instar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.

5) En otro equipo instar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros., la idea es utilizar este segundo ordenador como conejillo de Indias y realizar sobre él pruebas y verificaciones conforme se vayan surgiendo hipótesis sobre el ataque. Si no se dispone de estos recursos, se puede utilizar software como VMware 4, que permitirá crear una plataforma de trabajo con varias máquinas virtuales. También se puede utilizar una versión LIVE de sistemas operativos como Linux en versiones Ubuntu - Caine 5, que permitirá interactuar con las imágenes montadas pero sin modificarlas. Si se está muy seguro de las posibilidades y de lo que va a hacer, se puede conectar los discos duros originales del sistema atacado a una estación de trabajo independiente para intentar hacer un análisis en caliente del sistema, se deberá tomar la precaución de montar los dispositivos en modo sólo lectura, esto se puede hacer con sistemas anfitriones UNIX/Linux, pero no con entornos Windows. Reconstrucción de la secuencia temporal del ataque Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza, se procede con la ejecución de los siguientes pasos: 1. Crear una línea temporal o timeline de sucesos, para ello se debe recopilar la siguiente información sobre los ficheros: - Marcas de tiempo (fecha y hora de modificación, acceso, creación y borrado). 4 Software para informática forense http://www.forensicfocus.com/vmware-forensic-tool 5 Caine proyecto Digital Forensics disponible en http://www.caine-live.net/

- Ruta completa. - Tamaño en bytes y tipo de archivo. - Usuarios y grupos a quien pertenece. - Permisos de acceso. - Si fue borrado o no. Esta será la información que más tiempo llevará recopilar y será el punto de partida para el análisis, podría plantearse aquí el dedicar un poco de tiempo a preparar un script que automatizase el proceso de creación del timeline, empleando los comandos que proporciona el sistema operativo y las herramientas utilizadas. 2. Ordenar los archivos por sus fechas MAC 6, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros más antiguos. La idea es buscar archivos y directorios que han sido creados, modificados o borrados recientemente o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes. Pensar que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus aplicaciones en lugares donde no se suele mirar, como por ejemplo en los directorios temporales. A modo de guía centrarse primero en buscar los archivos de sistema modificados tras la instalación del sistema operativo, averiguar después la ubicación de los archivos ocultos, de qué tipo son, identificar también los archivos borrados o 6 MAC times, abreviación de tiempos de "Modificación, Acceso, y Cambio"; ("Modification, Access, and Change" times) en un archivo residente en un computador.

fragmentos de éstos, pues pueden ser restos de logs 7 y registros borrados por los atacantes. Aquí cabe destacar la importancia de realizar imágenes de los discos pues se puede acceder al espacio residual que hay detrás de cada archivo, (recordar que los ficheros suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve. Pensar que está buscando una aguja en un pajar, por lo que se deberá ser metódico, ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado y compararla con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque. 3. Comenzar a examinar con más detalle los ficheros logs y registros que se examinaron durante la búsqueda de indicios del ataque, intentar buscar una correlación temporal entre eventos. Pensar que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones específicas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modificación de usuarios, estado del sistema. Tendrá que buscar entradas extrañas y compararlas con la actividad de los ficheros. Editar también el archivo de contraseñas y buscar la creación de usuarios y cuentas extrañas sobre la hora que considere se inició el ataque del sistema. 4. Examinar los fragmentos del archivo donde se detectan y registran los accesos FTP, estos nos permitirá descubrir si sobre esa fecha y hora se crearon varios archivos bajo el directorio de la máquina comprometida, además, se debe tener presente que este directorio puede ser borrado por el atacante y deberá ser recuperado. 7 Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en seguridad informática es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo o aplicación.

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback