Documentos de Académico
Documentos de Profesional
Documentos de Cultura
bad-robot.blogspot.com
CLASE 1
Abstract La investigacion de evidencia digital o analisis
forense de sistemas de informacion es el conjunto de tecnicas,
protocolos y conocimientos dirigidos a identificar, analizar,
preservar y aportar evidencias digitales, de manera que sean
validas en un marco judicial
I.
INTRODUCTION
I.
Informtica Forense
bad-robot.blogspot.com
Identificacin.
Preservacin.
Recogida.
Examinacin.
Anlisis.
Modelo abstracto
Este modelo llamado Modelo Forense Digital
Abstracto, evoluciona del anterior y se basa en los
siguientes procedimientos:
Identificacin.
Preparacin.
Estrategia de aproximacin.
Preservacin.
Recoleccin de datos.
Examen de datos.
Anlisis.
Presentacin.
Retorno de evidencias.
II.
Anlisis de la intrusin.
Anlisis de daos.
Examinar eventos sospechosos.
Bsqueda de evidencias.
Herramientas de anlisis.
Anlisis de los ficheros de registro.
bad-robot.blogspot.com
El Ciberterror
bad-robot.blogspot.com
III.
La Evidencia Digital
Documentar
Se deben asegurar las pruebas haciendo correlacion
entre estas, se debe reconstruir el escenario teniendo
en cuenta que los relojes de los sistemas pueden
estar sin sincronizar.
Presentacion de la evidencia
La legislacion colombiana no da guias de cmo
presentar la informacion y si la evidencia debe
interpretarse en la corte entonces se recomienda un
informe impreso de tipo ejecutivo pero no sobra un
informe adicional de bajo nivel que no debe
exponerse ante el juez.
El informe debe contener:
Voltil
Duplicable
Borrable
bad-robot.blogspot.com
Remplazable
IV.
Identificacin
Recoleccin o adquisicin de evidencias
Preservacin de evidencias (fsica y lgica)
Anlisis de evidencias
Presentacin de resultados
Identificacin
En este paso el investigador debe plantearse
preguntas como por ejemplo:
Quin realiz la intrusin?
Cual pudo ser su interes?
Cmo entr en el sistema el atacante?
Qu daos ha producido en el sistema o que
informacin se llev?
Dejo informacin que permita involucrarlo?
Tendr alguna forma de volver acceder
(backdoor)?
Generalmente se da por supuesto que el objeto de
estudio de la informtica forense son nicamente
los ordenadores, y en concreto los datos contenidos
en ellos. En realidad puede encontrarse informacin
muy til en muchos dispositivos: CDs, memorias de
todo tipo, MP3, telfonos mviles, PDAs, tarjetas
SIM, routers y otros elementos de red, impresoras,
fotocopiadoras, faxes, bandas magnticas, cintas de
audio/video, etc.
El mayor aliado de un Perito Informtico son los
logs o registros de eventos. Tenemos los logs del
Sistema Operativo, los de muchos programas, los
Spools de las impresoras, los ficheros de
paginacin, los ficheros temporales, las cookies del
navegador, los volcados de errores (memory
dumps), incluso la papelera de reciclaje y eso
Recogida de Evidencias
Una vez que sabemos los dispositivos en los que
podramos encontrar informacin til, el tipo de
informacin, y el formato en el que podra estar
almacenada, es fundamental hacernos con las
herramientas adecuadas para recuperarla.
Debemos decidir tambin el orden en el que vamos
a recoger las evidencias, segn el orden de
volatilidad de las mismas. Primero tenemos que
asegurar las que puedan ser ms voltiles, como
puede ser todo aquello que est en la memoria del
equipo, cach, estadsticas, etc. Si el equipo est
encendido hay mucha informacin que se perder
en cuanto se apague. Pero tambin habr mucha
informacin que se ir corrompiendo con el tiempo
que el equipo permanezca encendido. Esta es la
primera de muchas decisiones difciles que se
pueden presentar en el proceso.
A continuacin nos encontramos con otro problema
fundamental en esta parte del trabajo. Idealmente no
deberamos estudiar la informacin directamente en
su ubicacin original. Aunque no siempre es posible
o rentable, debemos trabajar sobre copias forenses
de la informacin. Entendemos por copia forense
aquella en cuya realizacin se cumplen dos
objetivos fundamentales para la validez del estudio:
bad-robot.blogspot.com
bad-robot.blogspot.com
V.
Conclusiones
Cadena de Custodia:
Proceso ininterrumpido y documentado que permite
demostrar la autenticidad de la evidencia fsica
Pasos del cmputo forense
El proceso de anlisis forense a una computadora se
describe a continuacin:
Identificacin
Es muy importante conocer los antecedentes,
bad-robot.blogspot.com
bad-robot.blogspot.com
Registros, Cache
Tabla de ruta. ARP Cache, Tabla de
Proceso, Ncleo de estadsticas, memoria
Sistema de Archivo temporales
Disco
bad-robot.blogspot.com
Tipo de Herramientas
Una de las cosas ms importantes a la hora de
realizar un anlisis forense es la de no alterar el
escenario a analizar. Esta es una tarea prcticamente
imposible, porque como mnimo, alteraremos la
memoria del sistema al utilizar cualquier
herramienta.
Las herramientas que utilicemos deben de ser lo
menos intrusivas en el sistema, de ah que se huya
de las herramientas grficas, las que requieren
instalacin, las que escriben en el registro, etc...
Lo normal y lgico sera utilizar herramientas
ajenas al sistema comprometido, ya sean
herramientas guardadas en cualquier soporte (CDROM, USB, etc...). Esto lo hacemos para no tener
que utilizar las herramientas del sistema, ya que
pueden estar manipuladas y arrojar falsos positivos,
lecturas errneas, etc...
VI.
AGRADECIMIENTOS
Agradecimientos coordiales a todos los autores de
los documentos que sirvieron para desarrollar este
curso , fuera de sus aportes a esta rama y sobre todo
sus investigaciones.
Tambien a las personas que van a iniciar el curso ,
espero esto les sirva de algo para darce cuenta lo
grande que este mundo y que no solo es conocer
muy bien los sistemas operativos sino tambien
conocer las leyes que nos rigen y como actuar ante
un analisis forense.
VII.
[1]
REFERENCIAS
[2] httpd://www.eounterp/ane.eom/sys/og-attaek-sigs.pdf,
[3] httpd://staff.washington.eduljd/arios/autoe/ave/index.htm/
[4] httpd://www.es.auek/and.ae.nz/pgut001/pubs/seeure_de/.htm/.
[5] httpd://www./inuxseeurity.eomfeature_stories/datahiding-forensies.htm/.
[6] http://www.oreilly.eom/cata/og/swarriorl,
[7] http://www.oreil/y.eom/cata/og/netseehaeksl
[8] http://rfc.net/rfc3227.html
[9] http://www.delitosinformaticos.com/delitos/colombia.sht
ml
[10] Insersion juridicade la informatica forense Ing Luis E.
Arrellano Gonzalez
[11] Metodologia para la admisibilidad de las evidencias
digitales Jose Ebert Bonilla
10
Jornada
de
analisis
forense
http://www.rediris.es/cert/doc/reuniones/af05/