Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Facultad De Ingeniería
2021
2
Introducción
El análisis forense es una rama de la seguridad informática que surge a raíz de la evolución de
estafas, fraudes y eventos de seguridad que comprometen la integridad de las personas o
perdidas incalculables a organizaciones. El objetivo del análisis forense es investigar lo ocurrido
por acciones que afecten a terceros, en busca de identificar los posibles autores, causas y
métodos utilizados.
Objetivo General
Objetivos Específicos
Cronograma De Actividades
Visita Preliminar
Entrevista A La Gerencia
Se realizó una entrevista con el gerente de la oficina por parte del ingeniero en ciberseguridad
con el fin de obtener información en cuanto a que sistemas de información son más utilizados
con más frecuencia y en cuál de ellos es maneja más información de interés y podría correr más
riesgos en caso de un ataque.
De acuerdo a la entrevista realizada por parte del ingeniero en ciberseguridad se realizó un análisis
por parte del analista en informática forense y se logró identificar el sistema de información con
información de más importancia para la agencia en esa oficina por lo tanto se eligió a un equipo
de cómputo en el cual será hará el escaneo por medio de la herramienta nmap con el fin de
encontrar vulnerabilidades en el sistema de información.
5
En esta prueba de escaneo se utilizó la aplicación Kali Linux con el fin de ejecutar la herramienta
nmap para escanear el equipo de cómputo de la oficina
Introducción
Justificación
Objetivos Específicos
Proceso De Investigación
Como primer paso para el desarrollo de la investigación reunimos los permisos y/o autorizaciones
necesarias, así como los acuerdos de confidencialidad para desarrollar la investigación.
Identificamos el equipo afectado el cual se encuentra en la oficina de secretaria este equipo tiene
como función guardar las bases de datos de los clientes de la inmobiliaria
9
RAM 8 GB de DDR4
En entrevista con el administrador se identifica el personal que trabaja en las oficinas cercanas a
la ubicación donde se encuentra el equipo afectado, y cuales funcionarios tienen acceso al equipo
Funcionarios
Adquisición De La Evidencia
Una vez identificado el equipo que fue víctima e identificar también los posibles responsables y
haber efectuado el registro en la cadena de custodia vamos a aplicar la etapa de la adquisición
de la información, Es una etapa de resaltar ya que hace parte del inicio de la investigación tiene
mucho que ver en la obtención de resultados.
Tipo De Adquisición
Al momento de utilizar esta fase de investigación se debe tener en cuenta que tipo de adquisición
para este caso se hará uso de la copia en frio en el sistema que permanece apagado, la ventaja
de ese tipo de copiado es la no perdida de la información a utilizar la copia en caliente es decir
con el sistema encendido se corre el riesgo de alteración de la información recolectada.
Dado a que la información puede ser dañada muy fácilmente vamos a utilizar ese tipo de copiado.
Copia bitstream o bit-stream; también conocido como binary sequence o secuencia de binarios,
es una copia que va bit a bit tomando el contenido, es una copia fidedigna y exacta.
Fuentes De Adquisición
Son los orígenes desde donde se tomará la información que se desea analizar, estas fuentes
generalmente son físicas pero cada una con mecanismos diferentes de trabajo que marcan la
diferencia en cómo se debe obtener o sacar dicha información de estos.
Existen varios tipos de fuentes de adquisición como lo son Adquisición de memoria, Adquisición
física, Adquisición lógica, pero en ese caso se hará uso de la adquisición física.
11
Adquisición Física
Para este caso se hará copia entera del disco físico, en modo de lectura preservando la
información original y sin riesgo de alteración de igual forma garantizando la integridad de la
información y generalmente la fuente original estará apagada
La herramienta que vamos a utilizar es una que es desarrollada exclusivamente para preservar la
información original durante el copiado de información en ese caso será el aplicativo DD.
En ese caso se realizarán dos copias de la información original para el análisis de la información
Una vez obtenida la información ahora lo que vamos a hacer es aplicar las otras fases de la
investigación forense como lo son custodia, control, transferencia y análisis del procedimiento
efectuado
Custodia Y Control
Este paso busca asegurar que el archivo original que tomó como evidencia conserva su integridad
desde el momento de la adquisición y no ha sido objeto de manipulación durante el tiempo
transcurrido entre la adquisición de la evidencia y la presentación como prueba
Por lo tanto, se mantendrá los discos o unidades de almacenamiento en un lugar adecuado, que
no permita la manipulación por terceros, lo que se busca es proteger la integridad de la
información sin que sea alterada o destruida.
Luego de analizar el problema recolectar evidencias y preservar las mismas continuamos con el
proceso de investigación
Transferencia
El Procedimiento Utilizado
Se seleccionó un equipo de la agencia el cual tiene las mismas características del servidor y
clonamos una de las copias al disco duro luego hacemos una validación hash para comprobar la
integridad del clonado y arrancamos el sistema
Nos logueamos con el usuario root credenciales facilitados por el usuario del equipo atacado de
la agencia y su password es admin2, lo que nos da a entender el nivel de seguridad aplicada a
él.
13
Resultado
Miramos los logs fallidos en /var/log//failog, y podemos observar el que el dia del incidente se
dieron muchas conexiones infructuosas al servidor con el usuario root antes de ser acusado
14
Se observa que existen horas comunes de logins correctos entre las 6:00 y 6:57 y entre las 22:56
y 23:51, es normal el acceso en la mañana y durante el día, pero en el de la noche, además el
usuario de la base de datos trabaja solo en el día
Se examina el archivo volcado de la memoria RAM del archivo atacado, se analiza con el software
WINHEX y vemos que en horas de la noche existe navegación a páginas para adulos y chat
Investigamos con el jefe del personal y nos manifiesta que en la noche solo queda el vigilante
que no queda más nadie en la agencia en horas nocturnas, de igual forma le preguntamos al
administrador encargado de la base de datos y responsable, si de pronto el vigilante sabe la clave
del usuario root del equipo afectado y acepta que sí, que se la dio un día para consultar una
información en internet, ya que los demás equipos estaban ocupados.
Dado a esto se ejecuta el software Wireshark y se deja activo toda la noche para que capture
todo el tráfico de la red en las horas de la noche
Al otro día analizamos el tráfico y se encuentran trazas con los nombres de los contactos
registrados en el archivo de Word, concluimos que el vigilante volvió a ingresar en esa noche a
la plataforma chat XCHAT, confirmando que él es la persona que por su actuación antiética o
indebida ingreso desde el servidor portales web peligrosos, por lo tanto propicio el incidente de
seguridad al servidor, todo por la falta de gestión en la seguridad del servidor por parte de la
persona responsable de la base de datos y este equipo.
Concluimos que a través del programa chat alguien logro detectar la dirección ip y penetrar el
sistema por tener un usuario root y una contraseña tan fácil de identificar, podemos decir que
utilizaron un software de ataque de fuerza bruta a que el día del incidente se dieron más de 16
intento de conexión fallidos, antes de la conexión en la cual pudieron ingresar utilizando el
protocolo ssh
16
Hallazgos encontrados
Conclusiones
A través de la informática forense la cual se considera una ciencia, es posible Realizar diferentes
investigaciones relacionadas con cualquier delito o ilegalidad, obteniendo las pruebas necesarias
y efectivas antes Tribunales, para facilitar el enjuiciamiento de sujetos delictivos o involucrados.
La informática forense puede ayuda a realizar recomendaciones porque permite tomar medidas
de control para organizaciones y/o en el hogar.
Antes de ejecutar cualquier herramienta que brinda la informática forense es importante que
quien la ejecute este familiarizado o conozca dicha herramienta.
Todo administrador de un sistema de información debe estar preparado para cualquier tipo de
incidente y pueda actuar de manera que no altere o comprometa la información a investigar.
19
Bibliografía
Informática forense: el camino de la Evidencia digital. (s. f.). Ciencia y Técnica Administrativa.
Recuperado 7 de junio de 2021, de
http://www.cyta.com.ar/biblioteca/bddoc/bdlibros/informatica_forence.htm