Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividad Evaluativa Eje 4 - Informatica Forense
Actividad Evaluativa Eje 4 - Informatica Forense
informática Forense
Objetivo General
Cronograma de actividades:
Se realizó una entrevista con el gerente de la oficina por parte del ingeniero en
ciberseguridad con el fin de obtener información en cuanto a que sistemas de información
son más utilizados con más frecuencia y en cuál de ellos es maneja más información de
interés y podría correr más riesgos en caso de un ataque.
En esta prueba de escaneo se utilizó la aplicación Kali Linux con el fin de ejecutar la
herramienta nmap para escanear el equipo de cómputo de la oficina al identificar su
dominio el cual es mubrick.com lo que vamos a hacer es ingresar a la aplicación de Kali
Linux colocar el comando sudo nmap s-S –Sv –PN mubrick.com para identificar los
servicios que se están ejecutando.
Proceso De Investigación
Como primer paso para el desarrollo de la investigación reunimos los permisos y/o
autorizaciones necesarias, así como los acuerdos de confidencialidad para desarrollar la
investigación.
RAM 8 GB de DDR4
Entrevista al administrador
Funcionarios
Adquisición De La Evidencia
Una vez identificado el equipo que fue víctima e identificar también los posibles
responsables y
haber efectuado el registro en la cadena de custodia vamos a aplicar la etapa de la
adquisición
de la información, Es una etapa de resaltar ya que hace parte del inicio de la investigación
tiene
mucho que ver en la obtención de resultados.
Tipo De Adquisición
Al momento de utilizar esta fase de investigación se debe tener en cuenta que tipo de
adquisición para este caso se hará uso de la copia en frio en el sistema que permanece
apagado, la ventaja de ese tipo de copiado es la no perdida de la información a utilizar la
copia en caliente es decir con el sistema encendido se corre el riesgo de alteración de la
información recolectada.
Dado a que la información puede ser dañada muy fácilmente vamos a utilizar ese tipo de
copiado.
Copia bitstream o bit-stream; también conocido como binary sequence o secuencia de
binarios,
es una copia que va bit a bit tomando el contenido, es una copia fidedigna y exacta.
Fuentes De Adquisición
Son los orígenes desde donde se tomará la información que se desea analizar, estas fuentes
generalmente son físicas pero cada una con mecanismos diferentes de trabajo que marcan la
diferencia en cómo se debe obtener o sacar dicha información de estos.
Adquisición Física
Para este caso se hará copia entera del disco físico, en modo de lectura preservando la
información original y sin riesgo de alteración de igual forma garantizando la integridad de
la información y generalmente la fuente original estará apagada. La herramienta que vamos
a utilizar es una que es desarrollada exclusivamente para preservar la información original
durante el copiado de información en ese caso será el aplicativo DD. En ese caso se
realizarán dos copias de la información original para el análisis de la información teniendo
en cuenta el procedimiento a realizar tendremos en cuenta al momento de realizar una
copia, se debe asegurar la fuente original, esta debe ser conectada en modo solo lectura. Por
ninguna razón se debe alterar la información origen.
Custodia Y Control
Este paso busca asegurar que el archivo original que tomó como evidencia conserva su
integridad desde el momento de la adquisición y no ha sido objeto de manipulación durante
el tiempo transcurrido entre la adquisición de la evidencia y la presentación como prueba
por lo tanto, se mantendrá los discos o unidades de almacenamiento en un lugar adecuado,
que no permita la manipulación por terceros, lo que se busca es proteger la integridad de la
información sin que sea alterada o destruida.
Transferencia
FTP o FILE protocolos de transferencias de datos estándar de Internet para transferir
ficheros entre ordenadores. La mayoría de las transferencias FTP requieren que usted se
meta en el sistema proveyendo la información mediante un nombre autorizado de uso y una
contraseña. Sin embargo, una variación conocida como "FTP anónimo" le permite meterse
como anónimo: no necesita contraseña o nombre.
El Procedimiento Utilizado
Se seleccionó un equipo de la agencia el cual tiene las mismas características del servidor y
clonamos una de las copias al disco duro luego hacemos una validación hash para
comprobar la integridad del clonado y arrancamos el sistema. Nos logueamos con el
usuario root credenciales facilitados por el usuario del equipo atacado de
la agencia y su password es admin2, lo que nos da a entender el nivel de seguridad aplicada
a él.
Validamos que software se ha instalado recientemente con el comando “rmp -qa -last”
Resultado
Miramos los logs fallidos en /var/log//failog, y podemos observar el que el dia del incidente
se dieron muchas conexiones infructuosas al servidor con el usuario root antes de ser
acusado
Se observa que existen horas comunes de logins correctos entre las 6:00 y 6:57 y entre las
22:56 y 23:51, es normal el acceso en la mañana y durante el día, pero en el de la noche,
además el usuario de la base de datos trabaja solo en el día
Se examina el archivo volcado de la memoria RAM del archivo atacado, se analiza con el
software WINHEX y vemos que en horas de la noche existe navegación a páginas para
adulos y chat encontramos un pendrive USB conectado al servidor se analiza y se ubica un
archivo con el nombre de listadochat.doc, lo llevamos a un equipo con sistema de Windows
se intenta abrir con aplicación Microsoft Word y no es posible ya que tiene contraseña,
entonces se ejecuta el software Passware, el cual tiene como función descubrir las
contraseñas en archivos protegidos se ubica el documento protegido con contraseña, el
software descubre la contraseña la cual es el numero 13 lo cual facilito su fácil acceso,
abrimos el archivo y encontramos un documento con nombres y correos electrónicos,
Investigamos con el jefe del personal y nos manifiesta que en la noche solo queda el
vigilante que no queda más nadie en la agencia en horas nocturnas, de igual forma le
preguntamos al administrador encargado de la base de datos y responsable, si de pronto el
vigilante sabe la clave del usuario root del equipo afectado y acepta que sí, que se la dio un
día para consultar una información en internet, ya que los demás equipos estaban ocupados.
Dado a esto se ejecuta el software Wireshark y se deja activo toda la noche para que
capture todo el tráfico de la red en las horas de la noche Al otro día analizamos el tráfico y
se encuentran trazas con los nombres de los contactos registrados en el archivo de Word,
concluimos que el vigilante volvió a ingresar en esa noche a la plataforma chat XCHAT,
confirmando que él es la persona que por su actuación antiética o indebida ingreso desde el
servidor portales web peligrosos, por lo tanto propicio el incidente de
seguridad al servidor, todo por la falta de gestión en la seguridad del servidor por parte de
la persona responsable de la base de datos y este equipo.
Concluimos que a través del programa chat alguien logro detectar la dirección ip y penetrar
el sistema por tener un usuario root y una contraseña tan fácil de identificar, podemos decir
que utilizaron un software de ataque de fuerza bruta a que el día del incidente se dieron más
de 16 intento de conexión fallidos, antes de la conexión en la cual pudieron ingresar
utilizando el protocolo ssh
Hallazgos encontrados
Equipo lento debido a las características se hace necesario cambio del equipo y su tiempo
uso sin copias de seguridad pueden tener perdida de información se recomienda realizar
esta acción periódicamente.
Conclusiones
Antes de ejecutar cualquier herramienta que brinda la informática forense es importante que
quien la ejecute este familiarizado o conozca dicha herramienta.
Todo administrador de un sistema de información debe estar preparado para cualquier tipo
de incidente y pueda actuar de manera que no altere o comprometa la información a
investigar.
Bibliografía
Peritaje informático.
https://peritoinformatico.es/cadena-de-custodia-peritaje-informatico/