sábado, 22 de noviembre de 2014

FUNDAMENTOS DE LA INFORMATICA FORENSE



INFORMÁTICA FORENSE Y SU IMPORTANCIA

La información es hoy en día uno de los activos más importantes con los que cuenta cualquier empresa; un activo que no siempre tiene la consideración e importancia necesaria dentro de algunas empresas. A diario se producen miles de ataques informáticos y las empresas son las principales victimas de estos ataques que intentan robar información de los sistemas a los que atacan,

La gran mayoría de los delitos informáticos quedan impunes pues son difíciles de detectar, por lo que en la actualidad se ha vuelto muy importante , ya que mediante ella podemos descubrir,obtener,analizar,preservar y presentar información(datos)que ha sido procesada electrónicamente y guardados en un medio computacional como computadoras o dispositivos electrónicos. Por esta razón es muy importante que los profesionales encargadas de la seguridad informática conozcan a fondo todos los métodos y herramientas de informática forense. Las herramientas modernas y el software hacen mas fácil para los expertos en Informática Forense encontrar de manera mas sencilla y exacta evidencia digital que puede ser usado como evidencia para casos de delitos informáticos y para otro tipo de crímenes.


OBJETIVOS DE LA INFORMÁTICA FORENSE
La informática forense persigue fundamentalmente tres objetivos que son:
  1. La persecución y procesamiento judicial de los delincuentes.
  2. La compensación de los daños causados por los criminales informáticos.
  3. La creación y aplicación de medidas para prevenir casos similares.


FASES DE LA INFORMÁTICA FORENSE
En la informática forense se siguen una serie de pasos o fases como: identificación,validación y preservación, análisis y presentación de pruebas que se explican a continuación.

Fase de Identificación.


En esta primera fase se realiza el primer paso que es el proceso del análisis forense que comprende la identificación, búsqueda y recopilación de evidencias, identificando cosas que pueden ser evidencias, identificando dónde y cómo están almacenadas, qué sistema operativo se está utilizando. A partir de estos pasos, el equipo forense puede identificar los procesos para la recuperación de evidencias adecuadas, así como las herramientas a utilizar.
Para la realización de esta fase debe existir una solicitud forense, el cual es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis. La información que debe ser incluida en el documento debe ser la siguiente:

  • Fecha del incidente
  • Duración del incidente
  • Detalles del incidente
  • Información General
  • Nombre de la dependencia,
  • Responsable del sistema afectado
  • Características del equipo.
  • Toda la información del incidente, la evidencia digital, copias o imágenes de la escena del crimen.

Fase de Validación y preservación.


En esta fase, es imprescindible realizar los siguientes pasos:
  1. Definir los métodos adecuados para el almacenamiento y etiquetado de las evidencias.
  2. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas evidencias a toda costa.
  3. Realizar dos copias de las evidencias obtenidas.
  4. Generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1.
  5. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creación de la copia, nombre cada copia.
  6. Establecer la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia.

Fase de Análisis.

Para esta fase se debe preparar:
  • herramientas.
  • técnicas.
  • autorizaciones de monitoreo.
  • autorizaciones de soporte administrativo.
En este fase se deben realizar los siguientes pasos:
  1. Iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores.
  2. Reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento.
  3. Trabajar con las imágenes que se recopiló como evidencias, o con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido
  4. Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.
  5. También es necesario quién o quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones.

Fase de Documentación y Presentación de las pruebas


Los pasos que se deben realizar esta fase son:
  1. Documentar y fechar cada paso dado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.
  2. Es importante que durante el proceso de análisis se mantenga informados a los administradores de los equipos y que tras la resolución del incidente se presenten los informes Técnico y Ejecutivo. El empleo de formularios puede ayudarle bastante en este propósito, estos deberán ser rellenados por los departamentos afectados o por el administrador de los equipos.
  3. Debe presentarse un informe técnico que consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense.
  4. Debe presentarse un informe ejecutivo que es un resumen del análisis efectuado, pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido al personal no especializado en sistemas informáticos.



.
Publicado por en

2 comentarios:

  1. Unknown29 de noviembre de 2014 a las 13:38

    Cordial saludo Director del curso,
    Puede dejar sus comentarios aquí gracias.

    ResponderEliminar
  2. Dra. Ma. Gisela Rivera28 de febrero de 2016 a las 18:30

    Interesante. Esta información es de tu autoría. Estoy escribiendo sobre este tema y quiero citarte. Es importante saber la fuente bibliográfica.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)