Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Informatica Forense Eje 4 Final PDF

    Cargado por

    Sandra Gómez Tovar
    5 vistas9 páginas
    bien

    Título original

    481566589 Informatica Forense Eje 4 Final PDF Convertido

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    bien

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas9 páginas

    Informatica Forense Eje 4 Final PDF

    Cargado por

    Sandra Gómez Tovar
    bien

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 9

    ACTIVIDAD EVALUATIVA EJE 4 INFORMATICA FORENSE

    ESTUDIANTES:
    LAURA VALENTINA ALVAREZ GRUPO 11
    LAURA DANIELA MOSCOSO GRUPO 11

    DOCENTE:
    CAMILO AUGUSTO CARDONA PATIÑO

    BOGOTÁ,

    JUNIO DE 2020
    INTRODUCCIÓN

    En el presente documento se dará respuesta a las interrogantes propuestas en el


    documento de la actividad 3, analizando el caso relacionado y teniendo en cuenta los
    conocimientos adquiridos a lo largo de los Ejes 1, 2, 3 y 4, en cuanto a la realización de
    análisis y medidas de prevención y ejecución posterior al ataque, así como los derechos que
    se ven vulnerados dentro del mismo.
    FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA
    INGENIERÍA DE SISTEMAS
    VIRTUAL

    OBJETIVOS

     Identificar herramientas a utilizar para resolver el caso propuesto.


     Conocer la causa principal del delito.
     Analizar situación expuesta.
     Dar a conocer quién es el intruso del caso.
     Exponer conclusión como se resolvió el caso.

    3
    CONCEPTOS A LA EJECUCION DEL PROYECTO

    El análisis forense en un sistema informático es una ciencia moderna que permite


    reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede
    determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en
    los sistemas afectados por un incidente de seguridad.(Rivas López et al., 2009)

    INSTRUCCIONES

    1- De forma individual reflexiones y responda: usted, como responsable de seguridad, ha


    detectado que se ha producido una intrusión en uno de los equipos de la organización. –

    La intrusión ha provocado el borrado de varios archivos importantes y, por ello, tiene


    previsto realizar un análisis forense para localizar al atacante y tomar medidas
    judiciales contra él.

     ¿Qué tipo de ataque se ha producido y qué información deberá recopilar para


    reconstruir su secuencia temporal?

     ¿Cómo realizar el análisis?

    2- Ahora en equipos de tres estudiantes pongan en común sus respuestas. Discuta en


    equipo cuáles son las mejores respuestas. Elaboren un documento en el que se socialice
    la discusión y las conclusiones y luego socialice en encuentro sincrónico.

    DESARROLLO DEL TALLER


    1.De forma individual reflexiones y responda: usted, como responsable de seguridad, ha
    detectado que se ha producido una intrusión en uno de los equipos de la organización.

    La intrusión ha provocado el borrado de varios archivos importantes y, por ello, tiene


    previsto realizar un análisis forense para localizar al atacante y tomar medidas
    judiciales contra él.
     ¿Qué tipo de ataque se ha producido y qué información deberá recopilar para
    reconstruir su secuencia temporal?

    RESPUESTAS INDIVIDUALES

    Laura Moscoso:

    Se evidencia la realización de un ataque activo ya que se modifico la


    información de la compañía en este caso se eliminaron archivos importantes, lo
    cual se pudo realizar con el fin de perjudicar proyectos o desarrollo normal de
    la empresa.

    Para construir una secuencia temporal de lo sucedido se realiza un análisis en


    vivo, sin apagar los equipos ni desconectarlos de la red ya que esto podría
    causar perdida de información temporal, se debe recolectar fecha y hora de lo
    sucedido, así como conexiones entrantes y salientes.

    Se debe realizar la recuperación de los archivos para visualizar el usuario que


    realizo la modificación, el cual podría verse involucrado en el mismo de ser un
    ataque interno, también identificar si fue un ataque externo por medio de los
    puertos de conexión.

    Laura Alvarez:

    Ya que el ataque se trató sobre el borrado información, se deduce que es un tipo


    de ataque activo, ya que el intruso elimino archivos de alta importancia para la
    compañía. Para reconstruir la secuencia temporal principalmente se tiene que
    recopilar la información de los datos eliminados y de los posibles sospechosos:

    • Detectar archivos eliminados


    • Detectar usuarios que tienen permisos de accesos a la información
    • Usuarios a los que les pertenecen los archivos
    • Tamaño de los archivos
    • Traza de rutas

     ¿Cómo realizar el análisis?

    Laura Moscoso:

    Se debe realizar siguiendo los pasos de metodología del análisis de la siguiente


    manera:

    1. Identificar y/o evaluar la situación: En este paso procedemos a realizar la


    determinación del análisis que se realizará en este caso en vivo ya que la
    acción fue realizada se deberá recolectar información volátil, se evalúan las
    herramientas que deberán ser utilizadas así como los permisos necesarios
    para la investigación precedentes de la información posibles sospechosos,
    equipos afectados, usuarios con acceso a los archivos etc…

    2. Recolectar y adquirir las evidencias: Se realiza la recolección de la


    información que se considera volátil y puede desaparecer en caso de apagar
    los equipos, tomando las medidas necesarias para no alterar la evidencia
    original, se procede a realizar un escaneo de los puertos para identificar
    posible vulnerabilidad y acceso.

    3. Asegurar la integridad de la evidencia original: Se genera una firma HASH


    para garantizar la inalterabilidad de la información, se aísla en un lugar
    seguro toda la información original.

    4. Analizar las evidencias: Se realiza el análisis de la evidencia recolectada,


    validando con las preguntas claves en toda investigación forense, se realiza
    análisis de datos de red, del host, de medios y dispositivos de
    almacenamiento y de puerto, captura de tráfico.

    5. Elaboración del informe técnico: Se consolida la información recolectada y


    se elabora el informe, el cual contiene toda la documentación con evidencia
    y argumento sobre el responsable del ataque, así como medio de realización
    y detalles sobre la afectación al sistema.

    Laura Alvarez:

    Nos conectamos a la VPN de la empresa, para comenzar a realizar la


    investigación de los hechos ocurridos, principalmente buscamos detectar los
    archivos eliminados, para tener claridad que es lo que estamos buscando y
    ¿por qué? Ya teniendo en cuenta lo que se eliminó, procedemos a investigar
    los usuarios que tenían acceso a dicha información, interrogamos a estas
    personas para recolectar más información. Utilizamos una herramienta para
    recopilar información y generar un informe del análisis detallado del ataque.

    Para esto implementamos la herramienta “The Forensic Tooltik” ya que esta


    nos permite realizar análisis más profundo para recopilar información y sacar
    los análisis con detalle.
    CONCLUSION GRUPAL

    1 ¿Qué tipo de ataque se ha producido y qué información deberá recopilar para


    reconstruir su secuencia temporal?

    De acuerdo con los aportes realizados podemos concluir que se realizo un


    ataque de tipo activo ya que vulnera la información de la empresa, afectando de
    cierto modo su funcionamiento, se evidencia que el ataque se pudo realizar por
    medio de un equipo que tenia acceso a los archivos, puede ser el creador o una
    de las personas que pueden modificar y/o borrar el contenido.

    La información que se debe recopilar para la reconstrucción de la secuencia es:

    • Detectar archivos eliminados.


    • Detectar usuarios que tienen permisos de accesos a la información.
    • Usuarios a los que les pertenecen los archivos.
    • Tamaño de los archivos.
    • Traza de rutas.
    • Registro de conexiones.
    • Equipos que tienen acceso a la información.
    • Archivos temporales.
    • Escaneo de los puertos del equipo afectado.

    2. ¿Cómo realizar el análisis?

    El análisis se debe realizar teniendo en cuenta los siguientes pasos identificando


    a modo de aplicación el siguiente párrafo, se debe solicitar también permisos
    para el uso de herramientas como Programa Foca (Fingerprint Organizations
    With Collected Archivos), NMAP.

    Nos conectamos a la VPN de la empresa, para comenzar a realizar la


    investigación de los hechos ocurridos, principalmente buscamos detectar los
    archivos eliminados, para tener claridad que es lo que estamos buscando y ¿por
    qué? Ya teniendo en cuenta lo que se eliminó, procedemos a investigar los
    usuarios que tenían acceso a dicha información, interrogamos a estas personas
    para recolectar más información. Utilizamos una herramienta para recopilar
    información y generar un informe del análisis detallado del ataque.

    Para esto implementamos la herramienta “The Forensic Tooltik” ya que esta


    nos permite realizar análisis más profundo para recopilar información y sacar
    los análisis con detalle.
    Nos conectamos a la VPN de la empresa, para comenzar a realizar la
    investigación de los hechos ocurridos, principalmente buscamos detectar los
    archivos eliminados, para tener claridad que es lo que estamos buscando y
    ¿por qué? Ya teniendo en cuenta lo que se eliminó, procedemos a investigar
    los usuarios que tenían acceso a dicha información, interrogamos a estas
    personas para recolectar más información. Utilizamos una herramienta para
    recopilar información y generar un informe del análisis detallado del ataque.

    Para esto implementamos la herramienta “The Forensic Tooltik” ya que esta


    nos permite realizar análisis más profundo para recopilar información y sacar
    los análisis con detalle.

    1. Identificar y/o evaluar la situación: En este paso procedemos a realizar la


    determinación del análisis que se realizará en este caso en vivo ya que la
    acción fue realizada se deberá recolectar información volátil, se evalúan las
    herramientas que deberán ser utilizadas así como los permisos necesarios
    para la investigación precedentes de la información posibles sospechosos,
    equipos afectados, usuarios con acceso a los archivos etc…

    2. Recolectar y adquirir las evidencias: Se realiza la recolección de la


    información que se considera volátil y puede desaparecer en caso de apagar
    los equipos, tomando las medidas necesarias para no alterar la evidencia
    original, se procede a realizar un escaneo de los puertos para identificar
    posible vulnerabilidad y acceso.

    3. Asegurar la integridad de la evidencia original: Se genera una firma


    HASH para garantizar la inalterabilidad de la información, se aísla en un
    lugar seguro toda la información original.

    4. Analizar las evidencias: Se realiza el análisis de la evidencia recolectada,


    validando con las preguntas claves en toda investigación forense, se realiza
    análisis de datos de red, del host, de medios y dispositivos de
    almacenamiento y de puerto, captura de tráfico.

    5. Elaboración del informe técnico: Se consolida la información


    recolectada y se elabora el informe, el cual contiene toda la documentación
    con evidencia y argumento sobre el responsable del ataque, así como medio
    de realización y detalles sobre la afectación al sistema.

    También podría gustarte