U1 Fases de La Informatica Forense PDF

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
Escuela de Ciencias Bsicas tecnologa e ingeniera

Especializacin en Seguridad Informtica Curso Informtica Forense
INFORMATICA FORENSE
ING. ESP. HAROLD EMILIO CABRERA MEZA
PASTO COLOMBIA
2014
TABLA DE CONTENIDO
UNIDAD 1. FUNDAMENTOS DE LA INFORMTICA FORENSE
FASES DE LA INFORMTICA FORENSE. 3
Descripcin de las fases de la Informtica Forense. 3
Fase de Identificacin 5
Fase de Validacin y preservacin. 9
Fase de Anlisis 11
Fase de Documentacin y Presentacin de las pruebas 19
UNIDAD 1. FUNDAMENTOS DE LA INFORMTICA FORENSE
FASES DE LA INFORMTICA FORENSE.
Descripcin de las fases de la Informtica Forense.
Considerando la fragilidad del insumo con el cual trabajan los especialistas en
informtica forense, es preciso extremar las medidas de seguridad y control que
stos deben tener a la hora de adelantar sus labores, pues cualquier imprecisin
en las mismas puede llevar a comprometer el proceso bien sea legal u
organizacional [wilson 2003, taylor, r., caeti, t., kall loper, d., fritsch, e y liederbach,
j. 2006]. En este sentido, se detalla de manera bsica algunos elementos que
deben ser considerados para mantener la idoneidad del procedimiento forense
adelantado:
1
Los procedimientos llevados a cabo se dividen en las siguientes etapas:
Identificacin
Estando en el lugar de la escena donde se realiz el ataque informtico se debe
rotular con sus respectivas caractersticas fsicas el elemento que va ser objeto del
anlisis forense, para preservar el elemento que puede ser desde un disquette o
un disco rgido de un computador hasta un conjunto de discos de un servidor, un
juego de cintas, o varias computadoras de una organizacin.
Val idacin y preservacin de los datos adquiridos
1
CANO J EIMY J . Phd. CFE Introduccin a la informtica forense
Con el elemento identificado se procede a realizar una imagen exacta del
contenido de la evidencia asignando un cdigo nico correspondiente a una
combinacin nica de bytes que constituye la totalidad del medio en observacin.
Este cdigo de validacin ha de ser lo suficientemente complejo como para evitar
vulneraciones en la informacin rescatada e impedir que cualquier auditor pueda
por su cuenta verificar la autenticidad de la imagen tomada, es decir, crear un
cdigo que solamente personal calificado y legalmente autorizado pueda
manipular para proteger el elemento a ser analizado; esto con el fin de establecer
una cadena de custodia consistente. Desde este momento ya se pueden efectuar
copias exactamente iguales de la imagen a los efectos de que diferentes actores
puedan conservar una copia de seguridad.
Anl isis y descubrimiento de evidencia
Se procede a realizar una coleccin de pruebas en el laboratorio sobre la copia
validada. Es posible analizar y buscar informacin a muchos niveles.
El punto de partida del anlisis comienza al detectar una tipo de ataque
informtico o la sospecha de manipulacin no autorizada de informacin. Una
actividad ilcita reportada puede ser el borrado la informacin que puede
comprometer a una persona o informacin que pudo haber sido ocultada o
almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash
drive. El anlisis forense est orientado por un caso en particular y aqu es
necesaria la informacin que provee quien solicita la investigacin forense.
En el anlisis forense se pueden buscar: archivos borrados, archivos creados,
accedidos o modificados dentro de determinado rango de fechas, tipos de archivos
con un formato particular que hayan sido alterados, por ejemplo archivos de un
sistema de contabilidad renombrados como archivos de un procesador de
texto, imgenes, mensajes de correo electrnico, actividad desarrollada en
internet, a diferentes niveles palabras claves tales como un nmero telefnico, el
nombre de una ciudad o una empresa, etc.
En base a este anlisis se determina un patrn de comportamiento del usuario en
cuanto a la creacin, modificacin y borrado de mensajes, actividad de correo
electrnico, etc.
Informe
Se presenta un informe escrito en un lenguaje a la vez tcnico y claro y un Cd
donde se hace accesible al usuario no especializado de una forma ordenada la
evidencia recuperada y su interpretacin.
Aunque a menudo se subestima la importancia de los pasos 1 y 2 y se considera
el paso 3 el especfico de la informtica forense, hay que tener en cuenta que la
evidencia informtica es por definicin frgil y puede ser alterada haciendo que la
misma pierda su validez frente a un tribunal.
Fase de Identificacin
2
La fase de identificacin se refiere a la recopilacin de informacin necesaria para
trabajar sobre la fuente de datos presentada por el administrador de los servidores
(solicitud forense). Aqu se pregunta:
Qu informacin se necesita?
Cmo aprovechar la informacin presentada?
En qu orden ubico la informacin?
Acciones necesarias a seguir para el anlisis forense?
2
PINZON OLMEDO Fredy Bolivar, La Informtica Forense, Universidad catlica de Loja
La identificacin debe prever los desafos que se pasaran durante los procesos de
las fases de preservacin y extraccin. Esta fase culmina con un Plan a seguir.
Etapa 1: Levantamiento de informacin inici al para el Anl isis Forense
La solicitud forense es un documento donde el administrador del equipo afectado
notifica de la ejecucin de un incidente y para ello solicita al equipo de seguridad
la revisin del mismo, donde incluye toda la informacin necesaria para dar inicio
al proceso de anlisis. La informacin incluida en el documento debe ser la
siguiente:
Descripcin Del Delito Informtico
Fecha del incidente
Duracin del incidente
Detalles del incidente
Informacin General
rea
Nombre de la dependencia
Responsable del sistema afectado
Nombres y Apellidos
Cargo
E-mail
Telfono
Extensin
Celular
Fax
Informacin Sobre El Equipo Afectado
Direccin IP
Nombre del equipo
Marca y modelo
Capacidad de la RAM
Capacidad del disco duro
Modelo del procesador
Sistema operativo (nombre y versin)
Funcin del equipo
Tipo de informacin procesada por el equipo
Toda la informacin del incidente, la evidencia digital, copias o imgenes de
la escena del crimen.
Reconocer un incidente mediante indicadores y determinar su tipo. Esto no esta
incluido dentro del anlisis forense, pero es significativo en los siguientes pasos.
Esta fase esta dividida en dos procesos inciales que son:
Etapa 2: Asegurar la escena
Para asegurar que tanto los procesos como las herramientas a utilizar sean las
ms idneas se debe contar con un personal idneo a quien se le pueda asignar
la conduccin del proceso forense, para ello el equipo de seguridad debe estar
capacitado y entender a fondo la metodologa.
Identi ficar las evidencias
El siguiente paso y muy importante es la identificacin de la evidencia presentada
en nuestra escena del crimen, la misma que estar sujeta a todos los procesos
necesarios para la presentacin de resultados finales, la evidencia se clasificara
segn:
Tipo de dispositivo
A las evidencias tambin se las puede clasificar segn el tipo de dispositivo donde
se encuentran:
- Sistemas informticos
- Redes
- Redes Inalmbricas
- Dispositivos mviles
- Sistemas embebidos
- Otros dispositivos
Modo de almacenamiento
A las evidencias tambin se las clasifica segn el medio de almacenamiento.
Como pueden ser:
- Voltiles: Aquellas que se perdern al apagar el equipo como la hora del
sistema y desfase de horario, contenido de la memoria, procesos en
ejecucin, programas en ejecucin, usuarios conectados, configuracin de
red, conexiones activas, puertos abiertos, etc.
- No voltiles: medios fsicos de almacenamiento como memorias flash, CD,
discos duros.
El primer proceso del anlisis forense comprende la identificacin, bsqueda y
recopilacin de evidencias, se debe identificar qu cosas pueden ser evidencias,
dnde y cmo estn almacenadas, qu sistema operativo se est utilizando. A
partir de estos pasos, el equipo forense puede identificar los procesos para la
recuperacin de evidencias adecuadas, as como las herramientas a utilizar.
Fase de Validacin y preservacin.
3
Aunque el primer motivo de la recopilacin de evidencias sea la resolucin del
incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra
los atacantes y en tal caso se deber documentar de forma clara cmo ha sido
preservada la evidencia tras la recopilacin. En esta fase, es imprescindible definir
los mtodos adecuados para el almacenamiento y etiquetado de las evidencias.
Una vez que se cuenta con todas las evidencias del incidente es necesario
conservarlas intactas ya que son las huellas del crimen, se deben asegurar estas
evidencias a toda costa. Para ello se sigue el siguiente proceso:
Etapa 1: Copias de l a evidencia.
Como primer paso se debe realizar dos copias de las evidencias obtenidas,
generar tambin una suma de comprobacin de la integridad de cada copia
mediante el empleo de funciones hash tales como MD5 o SHA1. Incluir estas
firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de
almacenamiento como CD o DVD etiquetando la fecha y hora de creacin de la
copia, nombre cada copia, por ejemplo Copia A, Copia B para distinguirlas
claramente del original.
Si adems se extrae los discos duros del sistema para utilizarlos como evidencia,
se debe seguir el mismo procedimiento, colocando sobre ellos la etiqueta
Evidencia Original, incluir adems las correspondientes sumas hash, fecha y
hora de la extraccin del equipo, datos de la persona que realiz la operacin,
fecha, hora y lugar donde se almacen por ejemplo en una caja fuerte.
3
Tener en cuenta que existen factores externos como cambios bruscos de
temperatura o campos electromagnticos que pueden alterar la evidencia. Toda
precaucin es poca, incluso si decide enviar esos discos a que sean analizados
por empresas especializadas.
Etapa 2: Cadena de custodia
Otro aspecto muy importante es la cadena de custodia, donde se establecen las
responsabilidades y controles de cada una de las personas que manipulen la
evidencia. Se debe preparar un documento en el que se registren los datos
personales de todos los implicados en el proceso de manipulacin de las copias,
desde que se tomaron hasta su almacenamiento. El documento debe contener la
siguiente informacin:
- Dnde, cundo y quin examin la evidencia, incluyendo su nombre, su
cargo, un nmero de identificacin, fechas y horas, etc.
- Quin estuvo custodiando la evidencia, durante cuanto tiempo y dnde se
almacen.
- Cuando se cambie la custodia de la evidencia tambin se deber
documentar cundo y como se produjo la transferencia y quin la
transport.
Todas estas medidas harn que el acceso a la evidencia sea muy restrictivo
quedando claramente documentado, posibilitando detectar y pedir
responsabilidades ante manipulaciones incorrectas, intentos de acceso no
autorizados o que algn otro dispositivo electromagntico se use dentro de un
determinado radio.
Fase de Anlisi s
4
Antes de iniciar esta fase se deben preparar herramientas, tcnicas,
autorizaciones de monitoreo y soporte administrativo para iniciar el anlisis
forense sobre las evidencias obtenidas o presentadas por el administrador de los
servidores. Una vez que se dispone de las evidencias digitales recopiladas y
almacenadas de forma adecuada, iniciamos la fase ms laboriosa, el Anlisis
Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos
disponibles la lnea temporal del ataque, determinando la cadena de
acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento
de su descubrimiento.
Este anlisis se dar por concluido cuando se descubra cmo se produjo el
ataque, quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo,
cul era el objetivo del ataque, qu daos causaron. En el proceso de anlisis se
emplean las herramientas propias del sistema operativo (anfitrin) y las que se
prepararon en la fase de extraccin y preparacin.
Etapa 1: Preparacin para el anlisis
Antes de comenzar el anlisis de las evidencias se deber:
Acondicionar un entorno de trabajo adecuado al estudio que se desea
realizar.
Trabajar con las imgenes que se recopil como evidencias, o mejor an
con una copia de stas, tener en cuenta que es necesario montar las
imgenes tal cual estaban en el sistema comprometido.
4
Si dispone de recursos suficientes preparar dos estaciones de trabajo, una
de ellas contendr al menos dos discos duros.
Instalar un sistema operativo que actuar de anfitrin y que servir para
realizar el estudio de las evidencias. En este mismo computador y sobre un
segundo disco duro, instalar las imgenes manteniendo la estructura de
particiones y del sistema de archivos tal y como estaban en el equipo
atacado.
En otro equipo instalar un sistema operativo configurado exactamente igual
que el equipo atacado, adems mantener nuevamente la misma estructura
de particiones y ficheros en sus discos duros. La idea es utilizar este
segundo ordenador como conejillo de Indias y realizar sobre l pruebas y
verificaciones conforme se vayan surgiendo hiptesis sobre el ataque.
Si no se dispone de estos recursos, se puede utilizar software como VMware
5
, que
permitir crear una plataforma de trabajo con varias mquinas virtuales. Tambin
se puede utilizar una versin LIVE de sistemas operativos como Caine
6
, que
permitir interactuar con las imgenes montadas pero sin modificarlas. Si se est
muy seguro de las posibilidades y de lo que va a hacer, se puede conectar los
discos duros originales del sistema atacado a una estacin de trabajo
independiente para intentar hacer un anlisis en caliente del sistema, se deber
tomar la precaucin de montar los dispositivos en modo slo lectura, esto se
puede hacer con sistemas anfitriones UNIX/Linux, pero no con entornos Windows.
5
VMware es un programa propietario que permite montar maquinas virtuales que recrean el
sistema operativo donde estaba instalado el disco duro atacado.
6
Caine es un software libre montado en Ubuntu que permite realizar una anlisis forense por la
gran cantidad de herramientas que posee
Etapa 2: Reconstruccin del ataque
Si ya se tienen montadas las imgenes del sistema atacado en una estacin de
trabajo independiente y con un sistema operativo anfitrin de confianza, se
procede con la ejecucin de los siguientes pasos:
Crear una lnea temporal o timeline de sucesos, para ello se debe recopilar
la siguiente informacin sobre los ficheros:
- Marcas de tiempo MACD (fecha y hora de modificacin, acceso, creacin y
borrado).
- Ruta completa.
- Tamao en bytes y tipo de fichero.
- Usuarios y grupos a quien pertenece.
- Permisos de acceso.
- Si fue borrado o no.
Sin duda esta ser la informacin que ms tiempo llevar recopilar, pero ser el
punto de partida para el anlisis, podra plantearse aqu el dedicar un poco de
tiempo a preparar un script que automatizase el proceso de creacin del timeline,
empleando los comandos que proporciona el sistema operativo y las herramientas
utilizadas.
Ordenar los archivos por sus fechas MAC, esta primera comprobacin,
aunque simple, es muy interesante pues la mayora de los archivos tendrn
la fecha de instalacin del sistema operativo, por lo que un sistema que se
instal hace meses y que fue comprometido recientemente presentar en
los ficheros nuevos, fechas MAC muy distintas a las de los ficheros ms
antiguos.
La idea es buscar ficheros y directorios que han sido creados, modificados o
borrados recientemente o instalaciones de programas posteriores a la del sistema
operativo y que adems se encuentren en rutas poco comunes. Pensar que la
mayora de los atacantes y sus herramientas crearn directorios y descargarn
sus aplicaciones en lugares donde no se suele mirar, como por ejemplo en los
directorios temporales.
A modo de gua centrarse en la siguiente bsqueda:
- los archivos de sistema modificados tras la instalacin del sistema
operativo.
- averiguar la ubicacin de los archivos ocultos, de qu tipo son
- identificar tambin los archivos borrados o fragmentos de stos, pues
pueden ser restos de logs y registros borrados por los atacantes, destacar
la importancia de realizar imgenes de los discos pues se puede acceder al
espacio residual que hay detrs de cada archivo, (recordar que los ficheros
suelen almacenarse por bloques cuyo tamao de clster depende del tipo
de sistema de archivos que se emplee), y leer en zonas que el sistema
operativo no ve.
- Pensar que est buscando una aguja en un pajar, por lo que se deber
ser metdico, ir de lo general a lo particular, por ejemplo partir de los
archivos borrados, intentar recuperar su contenido, anotar su fecha de
borrado y compararla con la actividad del resto de los archivos, puede que
en esos momentos se estuviesen dando los primeros pasos del ataque.
- Comenzar a examinar con ms detalle los ficheros logs y registros que se
examinaron durante la bsqueda de indicios del ataque, intentar buscar una
correlacin temporal entre eventos. Pensar que los archivos log y de
registro son generados de forma automtica por el propio sistema operativo
o por aplicaciones especficas, conteniendo datos sobre accesos al equipo,
errores de inicializacin, creacin o modificacin de usuarios, estado del
sistema, etc. Por lo que tendr que buscar entradas extraas y compararlas
con la actividad de los ficheros. Editar tambin el archivo de contraseas y
buscar la creacin de usuarios y cuentas extraas sobre la hora que
considere se inici el ataque del sistema.
Etapa 3: Determinacin del ataque
Una vez obtenida la cadena de acontecimientos que se han producido, se deber
determinar cul fue la va de entrada al sistema, averiguando qu vulnerabilidad o
fallo de administracin caus el agujero de seguridad y que herramientas utiliz el
atacante para aprovecharse de tal brecha.
Estos datos, al igual que en el caso anterior, se debern obtener de forma
metdica, empleando una combinacin de consultas a archivos de logs, registros,
claves, cuentas de usuarios. El siguiente proceso permitir conocer que acciones
realizo el atacante:
Revisar los servicios y procesos abiertos que se recopilaron como evidencia
voltil, as como los puertos TCP/UDP y conexiones que estaban abiertas
cuando el sistema estaba an funcionando. Examinar con ms detalle
aquellas circunstancias que resultan sospechosas cuando se busc indicios
sobre el ataque, y realizar una bsqueda de vulnerabilidades a travs de
Internet, emplear Google o utilizar pginas especficas donde se encuentran
perfectamente documentadas ciertas vulnerabilidades.
Si ya se tiene claro cul fue la vulnerabilidad que dej el sistema
desprotegido, es necesario ir un paso ms all y buscar en Internet algn
exploits
7
anterior a la fecha del incidente, que utilice esa vulnerabilidad.
Generalmente se encontrar en forma de rootkit
8
y un buen lugar donde
7
Exploit (del ingls to exploit, explotar, aprovechar) es el nombre con el que se identifica un
programa informtico malicioso, o parte del programa, que trata de forzar alguna deficiencia o
vulnerabilidad de otro programa.
8
Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informticos o
crackers que consiguen acceder ilcitamente a un sistema informtico.
comenzar la bsqueda es, nuevamente, Google aunque tambin ser de
utilidad utilizar la informacin presentado en la correccin de
vulnerabilidades sobre reporte de vulnerabilidades as como la siguiente
direccin: http://www.packetstormsecurity.org
Reforzar cada una de las hiptesis empleando una formulacin causa -
efecto, tambin es el momento de arrancar y comenzar a utilizar la mquina
preparada como conejillo de Indias. Probar sobre la mquina los exploits
9
que se encontr, recordar que en el anlisis forense un antecedente es que
los hechos han de ser reproducibles y sus resultados verificables, por lo
tanto comprobar si la ejecucin de este exploit
9
sobre una mquina igual
que la afectada, genere los mismos eventos que ha encontrado entre sus
evidencias.
Etapa 4: Identificacin del atacante.
Si ya se logro averiguar cmo entraron en el sistema, es hora de saber quin o
quines lo hicieron. Para este propsito ser de utilidad consultar nuevamente
algunas evidencias voltiles que se recopil en las primeras fases, revisar las
conexiones que estaban abiertas, en qu puertos y qu direcciones IP las
solicitaron, adems buscar entre las entradas a los logs de conexiones. Tambin
se puede indagar entre los archivos borrados que se recuper por si el atacante
elimin alguna huella que quedaba en ellos.
Si se tiene pensado llevar a cabo acciones legales o investigaciones internas,
debe realizar este proceso caso contrario se debe saltar y empezar con la
recuperacin completa del sistema atacado y mejorar su seguridad. Pero si se
decide perseguir a los atacantes, se deber:
Realizar algunas investigaciones como parte del proceso de identificacin.
Primero intentar averiguar la direccin IP del atacante, para ello revisar con
detenimiento los registros de conexiones de red y los procesos y servicios
que se encontraban a la escucha. Tambin se podra encontrar esta
informacin en fragmentos de las evidencias voltiles, la memoria virtual o
archivos temporales y borrados, como restos de email, conexiones fallidas
entre otros.
Al tener una IP sospechosa, comprobarla en el registro Ripe Ncc
(www.ripe.net)
9
o la Icann
10
a quin pertenece. Pero, no sacar conclusiones
prematuras, muchos atacantes falsifican la direccin IP con tcnicas de
spoofing
11
. Otra tcnica de ataque habitual consiste en utilizar ordenadores
zombis, stos son comprometidos en primera instancia por el atacante y
posteriormente son utilizados para realizar el ataque final sin que sus
propietarios sepan que estn siendo cmplices de tal hecho. Por ello, para
identificar al atacante se tendr que verificar y validar la direccin IP
obtenida.
Utilizar tcnicas hacker pero solo de forma tica, para identificar al
atacante, por si el atacante dej en el equipo afectado una puerta trasera o
un troyano, est claro que en el equipo del atacante debern estar a la
escucha esos programas y en los puertos correspondientes, bien
esperando noticias o buscando nuevas vctimas.
Si se procede de esta forma, se puede usar una de las herramientas como
nmap
12
, para determinar qu equipos se encuentran disponibles en una red, qu
servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y
sus versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn
utilizando y as muchas mas caractersticas que poseen los equipos.
9
El Centro de Coordinacin de redes IP europeas (Rseaux IP Europens Network Coordination
Centre (RIPE NCC)) es el Registro Regional de Internet (RIR) para Europa, Oriente Medio y partes
de Asia Central.
10
ICANN se fund en 1998 como asociacin sin nimo de lucro y en ella se renen personas de
todo el mundo cuyo objetivo es asegurar que Internet sea segura, estable e interoperativa. Esta
asociacin promueve la competencia y desarrolla polticas de identificadores nicos de Internet
11
spoofing se conoce a la creacin de tramas TCP/IP utilizando una direccin IP falsa
12
Nmap es un programa de cdigo abierto que sirve para efectuar rastreo de puertos
Etapa 5: Perfil del atacante
Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos
detalles se podr encontrar los siguientes tipos:
Hackers: Son los ms populares y se trata de personas con conocimientos en
tcnicas de programacin, redes, Internet y sistemas operativos. Sus ataques
suelen tener motivaciones de tipo ideolgico (pacifistas, cologistas, anti
globalizacin, anti Microsoft entre otros.) o simplemente lo consideran como un
desafo intelectual.
SciptKiddies: Son una nueva especie de delincuentes informticos. Se trata de
jvenes que con unos conocimientos aceptables en Internet y programacin
emplean herramientas ya fabricadas por otros para realizar ataques y ver que
pasa. Su nombre viene de su corta edad y del uso de los scripts, guas de ataques
que encuentran por Internet.
Profesionales: Son personas con muchsimos conocimientos en lenguajes de
programacin, en redes y su equipamiento (routers, firewall, etc.), Internet y
sistemas operativos tipo UNIX. Suelen realizar los ataques bajo encargo, por lo
que su forma de trabajar implica una exhaustiva preparacin del mismo,
realizando un estudio meticuloso de todo el proceso que llevar a cabo,
recopilando toda la informacin posible sobre sus objetivos, se posicionar
estratgicamente cerca de ellos, realizar un tanteo con ataques en los que no
modificar nada ni dejar huellas cuando lo tenga todo bien atado entonces
atacar, este tipo de atacantes se encuentra muy poco y adems se dedica a dar
grandes golpes.
Etapa 6: Evaluacin del impacto causado al sistema
Para poder evaluar el impacto causado al sistema, el anlisis forense ofrece la
posibilidad de investigar qu es lo que han hecho los atacantes una vez que
accedieron al sistema. Esto permitir evaluar el compromiso de los equipos y
realizar una estimacin del impacto causado. Generalmente se pueden dar dos
tipos de ataques:
Ataques pasivos: En los que no se altera la informacin ni la operacin normal de
los sistemas, limitndose el atacante a fisgonear por ellos.
Ataques activos: En los que se altera y en ocasiones seriamente tanto la
informacin como la capacidad de operacin del sistema.
Se deber tener en cuanta, adems otros aspectos del ataque como los efectos
negativos de tipo tcnico que ha causado el incidente, tanto inmediatos como
potenciales adems de lo crtico que eran los sistemas atacados, por ejemplo
ataques al cortafuegos, el router de conexin a Internet o Intranet, el servidor Web,
los servidores de bases de datos, tendrn diferente repercusin segn el tipo de
servicio que presta la Universidad y las relaciones de dependencia entre los
usuarios.
Fase de Documentaci n y Presentacin de las pruebas
13
Es muy importante comenzar a tomar notas sobre todas las actividades que se
lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se
descubre el incidente hasta que finaliza el proceso de anlisis forense, esto
permitir ser ms eficiente y efectivo al tiempo que se reducir las posibilidades de
error a la hora de gestionar el incidente.
13
Etapa 1: Utilizacin de formularios de registro del incidente
Es importante que durante el proceso de anlisis se mantenga informados a los
administradores de los equipos y que tras la resolucin del incidente se presenten
los informes Tcnico y Ejecutivo. El empleo de formularios puede ayudarle
bastante en este propsito, estos debern ser rellenados por los departamentos
afectados o por el administrador de los equipos. Alguno de los formularios que
debera preparar sern:
- Documento de custodia de la evidencia
- Formulario de identificacin de equipos y componentes
- Formulario de incidencias tipificadas
- Formulario de publicacin del incidente
- Formulario de recogida de evidencias
- Formulario de discos duros.
Etapa 2: Informe Tcnico
Este informe consiste en una exposicin detallada del anlisis efectuado. Deber
describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense. A
modo de orientacin, deber contener, al menos, los siguientes puntos:
- Introduccin
- Antecedentes del incidente
- Recoleccin de los datos
- Descripcin de la evidencia
- Entorno del anlisis
- Descripcin de las herramientas
- Anlisis de la evidencia
- Informacin del sistema analizado
- Caractersticas del SO
- Aplicaciones
- Servicios
- Vulnerabilidades
- Metodologa
- Descripcin de los hallazgos
- Huellas de la intrusin
- Herramientas usadas por el atacante
- Alcance de la intrusin
- El origen del ataque
- Cronologa de la intrusin
- Conclusiones
- Recomendaciones especficas
- Referencias
- Anexos
Etapa 3: Informe Ejecutivo
Este informe consiste en un resumen del anlisis efectuado pero empleando una
explicacin no tcnica, con lenguaje comn, en el que se expondr los hechos
ms destacables de lo ocurrido en el sistema analizado. Constar de pocas
pginas, entre tres y cinco, y ser de especial inters para exponer lo sucedido al
personal no especializado en sistemas informticos, como pueda ser el
departamento de Recursos Humanos, Administracin e incluso algunos directivos.
En este informe constara lo siguiente:
- Introduccin: Descripcin del objetivo del anlisis del sistema previamente
atacado y comprometido, tambin se incluye la informacin de la evidencia
proporcionada.
- Anlisis: Descripcin del entorno de trabajo y de las herramientas de
anlisis forense seleccionadas as como la cantidad de tiempo empleado en
el mismo.
- Sumario del incidente: Resumen del incidente tras el anlisis de la
evidencia aportada.
- Principales Conclusiones del anlisis: Detalle de las conclusiones a las que
se llego una vez terminado el proceso de anlisis.
- Solucin al incidente: Descripcin de la solucin para recuperacin del
incidente.
- Recomendaciones finales: pasos que se deben realizar para garantizar la
seguridad de los equipos y que el incidente no vuelva a suceder.
Lnea de tiempo de la investigacin
14
La definicin de la lnea de tiempo es fundamental al momento de iniciar una
investigacin, constituye el marco que permite a un investigador indagar en base a un
criterio de tiempo determinando que ficheros pueden o no ser importantes para el
caso. La lnea de tiempo se define en 2 momentos dentro de una investigacin:
La lnea previa: surge con la entrevista inicial, nos muestra la pauta para iniciar los
anlisis y hace referencia a los detalles de tiempos y sucesos iniciales dados por las
personas que nos encarga la investigacin. Aqu un ejemplo:
Nos dicen que:
14
Redlif (2013), Computer Forensic, Red latinoamericana de informtica forense.
La lnea de investigacin: Se inicia con la fase del anlisis, las conclusiones previas
permitiran establecer un inicio, pero la lnea de tiempo ms exacta se vera durante la
fase del anlisis. Esta lnea de tiempo se hace con las evidencias encontradas dentro
del anlisis. Ejemplo.
Y para cada detalle que anotamos deberemos tener sus respectivas evidencias, de
esta manera recreamos el delito.
Entre los elementos que deben delimitar la lnea de tiempo tenemos los siguientes:
Ficheros creados, modificados o eliminados dentro de una ventana de tiempo
cercana a las fechas identificadas en la lnea previa.
Posibles ficheros modificados posteriormente pero que pudieran haber sido
objeto de la accin en la ventana temporal fijada para la investigacin.
En base a las investigaciones preliminares, fijar posibles ventanas temporales
posteriores a los hechos identificados previamente.
Determinar ficheros anteriores a la lnea temporal de accin. Aunque nunca debe
despreciarse de forma inicial ningn tipo de ficheros, debern ser analizados con
menor rigurosidad, que aquellos enmarcados en los tiempos ms crticos.
Detectar posibles ficheros discordantes con las fechas existentes. Estas
discordancias podran proporcionar datos significativos.
Entre estos ficheros debern tenerse en cuenta:
Ficheros existentes con fechas posteriores a la investigacin.
Ficheros de documentos con fechas previas a la instalacin de la mquina.
Si la respuesta ante una incidencia ha sido rpida, podrn evaluarse ficheros logs
alterados e identificar horarios significativamente incoherentes para la
organizacin, como ficheros abiertos o modificados
En horario nocturno cuando no hay actividad normal, determinar las horas de
actividad de una maquina en funcin del anlisis de los ficheros de logs y la
modificacin de los ficheros del sistema.

U1 Fases de La Informatica Forense PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

U1 Fases de La Informatica Forense PDF

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Escuela de Ciencias Bsicas tecnologa e ingeniera

You might also like