Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • IACC Análisis Forense Digital Tarea Semana 3

    Cargado por

    loadmasther
    623 vistas9 páginas
    PROCESOS DE ADQUISICIÓN DE LA EVIDENCIA. PARTE I.

    Derechos de autor

    © © All Rights Reserved

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    PROCESOS DE ADQUISICIÓN DE LA EVIDENCIA. PARTE I.

    Copyright:

    © All Rights Reserved
    Marcar por contenido inapropiado
    623 vistas9 páginas

    IACC Análisis Forense Digital Tarea Semana 3

    Cargado por

    loadmasther
    PROCESOS DE ADQUISICIÓN DE LA EVIDENCIA. PARTE I.

    Copyright:

    © All Rights Reserved
    Marcar por contenido inapropiado
    de 9

    PROCESOS DE ADQUISICIÓN DE LA EVIDENCIA. PARTE I.

    VÍCTOR VILLAR JARA


    ANÁLISIS FORENSE DIGITAL
    INSTITUTO IACC
    LUNES 03 DE MAYO DE 2021.
    INTRODUCCIÓN.

    El proceso de obtención de evidencia es muy relevante, y se deben tomar las medidas


    necesarias para asegurar que la evidencia no sea dañada, adulterada o de otra manera
    opuesta a la evidencia, razón por la cual realizaremos una investigación en las
    próximas 3 semanas, teniendo en cuenta el considerar siempre la importancia de la
    evidencia variable.
    El objetivo de la Tarea semana 3 “PROCESOS DE ADQUISICIÓN DE LA EVIDENCIA.
    PARTE I.”, es asignar instrucciones en la obtención de datos mediante el uso de
    comandos, herramientas y distribuciones forenses.
    DESARROLLO:

    DESARROLLO DE LA TAREA:
    Lea atentamente el siguiente caso, analice la información de acuerdo a los contenidos
    revisados en la semana y conteste las preguntas que se presentan a continuación:

    Imagine que usted ha sido contratado por la empresa IACCFORENSICS y se le


    encarga concurrir a una de las oficinas de IACC en la cual encuentra un computador
    encendido y sin clave, el encargado del recinto le señala que el trabajador se ha
    conectado con un usuario no autorizado. Con esta información debe dar respuesta a
    las siguientes interrogantes:

    1. Al encontrarse encendido indique si lo debe apagar, fundamente su respuesta.

    Según IACC (2020)[1](Pag. 07) y Pérez E. (S:F)[2](Pag. 03), el poder discriminar los
    dispares procesos de la adquisición de la evidencia de acuerdo con sus características,
    nos señala que para iniciarse una adquisición, debemos distinguir la existencia de
    sistemas sobre los cuales podemos ejecutar la adquisición de dicha evidencia.
    Es así que uno de los métodos a ejecutar es con un SISTEMA ENCENDIDO, que tiene
    por objetivo la obtención de datos volátiles por analizar, donde se copia la memoria a
    un fichero, siendo un procedimiento engorroso por la facilidad que tiene dicha acción en
    invalidar evidencias, por lo que se debe documentar muy bien, siendo necesaria la
    intervención de personal calificado.[1].
    Es necesario destacar que los datos volátiles son aquellos que se acumulan en la
    memoria del sistema (archivos .log, registros de sistema, caché, memoria RAM) y se
    extravían si el equipo se apaga o reinicia.[3](Pág. 02),

    Manejo de la Escena
    Al encontrarse en la escena de un plausible incidente de seguridad de la información se
    obliga el comprometerse a las siguientes directrices:
    (a) Antes de iniciar cualquier trámite, es necesario conocer la política de seguridad de
    la organización para que no se siga estrictamente.
    (b) Capture la escena del incidente con la mayor precisión posible. Mantenga notas
    detalladas, incluida la fecha y hora exactas, y genere un informe como prueba si
    es posible.
    (c) Determine la diferencia entre el reloj del sistema y la hora de referencia
    internacional (GMT)
    (d) Tome nota de todas las actividades realizadas, porque se pueden utilizar si se
    requieren testigos.
    (e) Minimice los cambios en los datos recopilados y evite actualizar la fecha y la hora
    en archivos y carpetas. Primero recopile toda la información que considere
    apropiada y luego analice los hallazgos.
    (f) Cabe señalar que estos procedimientos son factibles para asegurar su viabilidad y
    funcionamiento en tiempos de crisis. Debe ser metódico al reunir pruebas.

    Como mayor afirmación del texto analizado [2](Pág. 04), “al gestionar la escena
    de un incidente de seguridad, se recomienda no apague el sistema” hasta
    que se recopile la evidencia, porque cuando apague el sistema, perderá el
    acceso al contenido volátil, por lo que nunca ejecute programas del sistema.
    La adulteración misma puede provocar que se ejecuten ordenes o scripts ocultos
    para borrar o cambiar la evidencia no recolectada, y finalmente no ejecutar
    programas ni abrir el archivos ya que cambiaría las fechas de acceso o de
    modificación.
    2. Realice la ejecución de comandos Linux para determinar los usuarios que se
    encuentran conectados a la red y documente su respuesta (Para realizar la
    ejecución de esta respuesta se puede usar Kali Linux).

    Dentro de las ordenes de linea de comando que podemos ejecutar en Linux, para
    Imprimir información sobre los usuarios que están conectados actualmente, debemos
    escribir “who”, con su opción “-u”, que corresponde a --usuarios lista de usuarios
    conectados. Arceneaux, J., MacKenzie, D., & Stone, M. (n.d.). who(1)[4].
    Para lo cual ejecutaremos una maquina virtual con la distribución Kali Linux como se
    muestra en la captura.
    3. Utilice una herramienta o una distribución para capturar todo el tráfico de los
    usuarios que se encuentran conectados a una máquina de sistema operativo
    Windows

    Para esto utilizaremos nuevamente nuestra maquina virtual con Kali Linux y una de sus
    herramientas forenses Wireshark, ademas correremos una maquina virtual con
    Windows XP que estará dentro de la misma red , a la cual haremos ping desde Linux y
    ping desde windows al banco para demostrarlo, a su vez estará intentando ingresar
    credenciales del banco vía web.
    Nuestra maquina con Kali estará a la escucha con Wiresharrk objeto capturar toda esta
    información.
    CONCLUSIÓN.

    En esta semana definimos el concepto de "datos volátiles", por lo que nos centraremos
    en la obtención de datos en función de los diferentes escenarios que se puedan
    encontrar (principalmente "arranque del sistema"). También mencionamos las
    herramientas y comandos más utilizados al realizar estas tareas, y luego mencionamos
    algunas distribuciones forenses actuales, esto es para poder elegir el entorno donde se
    debe trabajar y la evidencia que se debe analizar, como veremos en las próximas
    semanas.
    Terminada la Tarea Semana 3 podemos discriminar los diferentes procesos de la
    adquisición de la evidencia de acuerdo con sus características, ejecutar los comandos
    en ambientes controlados, utilizar las herramientas y/o distribuciones forenses
    considerando las características del caso.
    BIBLIOGRAFÍA:

    [1].- IACC (2020). Análisis Forense Digital Semana 3, Proceso de adquisición de la


    evidencia Parte I.
    [2].- Pérez E. (S:F). Report title: The importance of proper handling of scene and
    evidence collection in incidents of information security.PDF
    [3].- Castilla Guerra, J. E. y Raquejo Romero, J. A. (2015). “Importancia de la
    recolección de datos volátiles dentro de una investigación forense”. Universidad
    Piloto de Colombia.
    http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/3088/00000852.
    pdf?s equence=1
    [4].- Arceneaux, J., MacKenzie, D., & Stone, M. (n.d.). who(1) - Linux manual page.
    Man7.OOrg. Retrieved May 3, 2021, from
    https://man7.oorg/linux/man-pages/man1/who.1.html

    También podría gustarte