Estás navegando como visitante. Por favor Registrate y Logueate para poder participar de ventajas como postear en el foro, Solicitar Ayuda, Ver Enlaces, Ver Imagenes. Registrate con nosotros clickeando AQUÍ.    
Registrarse    Identificarse   Blogs
Anuncios Internos
Felicidades para
rmiranda
rmiranda


Quieres ser Moderador/a. Si estas interesado/a, lee la info sobre ésto, haciendo Click
Promociona tu web AQUÍ

En ésta web está expresamente prohibido, publicar enlaces de descargas de material protegido por la ley, asi como seriales, cracks, parches, programas o juegos pirateados sin el consentimienteo del autor, en cuyo caso se debará exibir dicha autorización para legitimizar la descarga. Si algun usuario incumple esta norma, sera
eliminado junto a todos sus mensajes.


Portal » Índice general » Zona Informática » Guias y Tutoriales




Nuevo tema Responder al tema  [ 2 mensajes ] 
{ VISITS } Vistas: 553  { VISITS } Favoritos: 0  | { VISITS } Seguidores: 2 
Seguidores: EseTecnico, blquack
 
Autor Mensaje
 Asunto: Analisis forense informatico. Articulo
 Nota Publicado: 19 Jun 2011 11:19 


Desconectado
Del equipo
Del equipo|Del equipo|Del equipo
Avatar de Usuario

Mensajes: 737

Todos mis aportes
Estado de ánimo: Feliz


Nivel: 24

HP: 40 / 1353
40 / 1353 40 / 1353 40 / 1353
MP: 646 / 646
646 / 646 646 / 646 646 / 646
EXP: 737 / 766
737 / 766 737 / 766 737 / 766

Karma: 10

Ubicación:Huelva


Sexo:
Masculino



He dado: 0 Gracias
Recibidas: 69 Gracias
Blog: Ver blog (0)
¿Qué es un análisis forense?


El análisis forense de sistemas pretende averiguar lo ocurrido durante una intrusión. Busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente: quién realizó el ataque, qué activos de información se vieron afectados y en qué grado, cuándo tuvo lugar, dónde se originó y contra qué blancos se dirigió, cómo fue llevado a cabo y por qué.

Como si de un delito tradicional se tratase, el análisis forense comprende dos fases: la primera, la captura de las evidencias y su protección; la segunda, el análisis de las mismas. Sin embargo, debido a que en los crímenes digitales cada vez resulta más difícil dar respuesta a los seis interrogantes, especialmente quién realizó el ataque, la investigación forense suele centrarse en averiguar qué fue dañado, cómo fue dañado y cómo arreglarlo.

Durante la fase de recolección de evidencias se captura todo aquello que resulte susceptible de posible análisis posterior y que pueda arrojar luz sobre detalles de muestras de un delito. El análisis de la evidencia es la fase más extensa y delicada, ya que requiere poseer conocimientos avanzados para poder interpretar las pruebas incautadas, cuyo volumen puede llegar a ser inmenso. Dependiendo de la calidad de los datos de registro de actividad se podrá realizar de forma más o menos sencilla el análisis de la evidencia. Igualmente, dependiendo de la información existente se procederá a obtener unos resultados más o menos satisfactorios.



Recolección de evidencias


El primer paso en todo análisis forense comprende la captura de la evidencia. La evidencia será la prueba del delito, la que delatará al intruso. A la hora de capturar la evidencia, se debe proceder con cautela para no modificar pista alguna. La modificación de la prueba varía la evidencia, por lo que puede hacer inútil el análisis posterior, así como su validez en un juicio. Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en sí, salvaguardando su integridad. A este proceso se le conoce con el nombre de cadena de custodia. Si se desea que las pruebas obtenidas tengan validez jurídica, habrá que demostrar la integridad de la cadena de custodia.

Suelen distinguirse dos tipos de evidencia. La primera, conocida como volátil, comprende la información que desaparece cuando un sistema informático pierde la alimentación eléctrica. Por consiguiente, en esta categoría se incluye tanto la memoria RAM , los procesos activos y usuarios conectados, así como la información de la red y aplicaciones a la escucha en todos los puertos en el momento de la interrupción. El segundo tipo de evidencia es la de disco, que puede ser capturada sin necesidad de tener la máquina encendida, simplemente con acceso físico al disco.


Captura de la evidencia volátil

Dada su fragilidad, y que puede perderse con mucha facilidad, este tipo de evidencia es la primera que debe ser recogida. Por tanto, en la medida de lo posible, la máquina objeto del análisis no debería ser apagada o reiniciada hasta que se haya completado el proceso. Si se ha ensayado con anterioridad o es realizado por un especialista, no debería llevar más de unos pocos minutos.

La teoría señala que la herramienta perfecta para esta tarea no debería apoyarse en absoluto en el sistema operativo objeto del análisis, pues éste podría haber sido fácilmente manipulado para devolver resultados erróneos. Sin embargo, a pesar de que tales herramientas existen, como la tarjeta PCI Tribble, son herramientas hardware, que necesitan estar instaladas en la máquina antes de la intrusión, ataque o análisis de la misma. Evidentemente, este escenario sólo es factible para máquinas que procesan información especialmente sensible, cuyo hardware puede ser fácilmente controlado.

En el resto de casos, la inmensa mayoría, hay que conformarse con utilizar herramientas software y limitar el proceso de recolección de información a los mínimos pasos posibles, con el fin de generar el menor impacto posible sobre la máquina analizada.

Lo ideal sería hacer uso de un dispositivo de sólo lectura, como una unidad de CD-ROM, que contenga las herramientas necesarias para el análisis. Existen varias distribuciones especializadas en análisis forense, pero quizá las más adecuadas sean Helix, de la empresa e-fense, especializada en análisis forense (Debe registrarse para ver este enlace. Gracias por su visita.). Ambas son de libre distribución y directamente utilizables tanto en entornos Windows como Unix, por lo que sólo es necesario introducir el CD en la unidad y comenzar a trabajar. Se distribuyen en forma de CD autoarrancable (Live CD), de forma que también es posible cargar un Sistema Operativo nuevo, absolutamente confiable, para realizar la segunda parte del proceso de recogida de evidencias.

Otra opción, exclusiva para entornos Microsoft, es el kit gratuito Forensic Acquisition Utilities (FAU) disponible en Debe registrarse para ver este enlace. Gracias por su visita.. FAU contiene binarios compilados estáticamente, de forma que hagan el mínimo uso posible del sistema, el cual, debe recordarse, ha sido comprometido y no es fiable.

Para almacenar las evidencias recogidas será necesario añadir al sistema analizado algún tipo de almacenamiento externo. Teniendo en cuenta que se está realizando la fase de análisis en vivo y que, por tanto, no es posible apagar el ordenador todavía, existen básicamente dos opciones. La primera consiste en utilizar una unidad externa, como un disco duro o una memoria USB de suficiente capacidad. Por otro lado, la segunda opción implica añadir a la red de la máquina analizada un nuevo sistema, habitualmente un ordenador portátil, en el que poder copiar los datos recogidos.

El primer método sea quizás el más sencillo y rápido de los dos, pero deja más trazas en el sistema analizado. Por supuesto, también necesita que el sistema cuente con un interfaz USB disponible. Utilizar otra máquina como almacén, por el contrario, tendría el mínimo impacto sobre el sistema analizado. A cambio, complica y ralentiza ligeramente el proceso de toma de datos. En función del tipo de conexión que la máquina analizada tenga a Internet, a través de un módem o de un enrutador, este método podría necesitar cortar la conexión de la misma momentáneamente, lo que provocaría la pérdida de las conexiones activas en el momento del análisis, que, como se verá, es una información de sumo interés.

El primer tipo de evidencia a recoger es la memoria RAM, a pesar de que es habitual que, en muchos procesos forenses, ésta reciba poca o ninguna atención. Sin embargo, este tipo de memoria es una fuente muy importante de información, que será irremediablemente perdida en cuanto la máquina sea apagada o reiniciada.


De hecho, existen evidencias que en ocasiones sólo podrán ser encontradas en RAM, como los nuevos y sofisticados métodos de infección de ordenadores, utilizados por herramientas como el rootkit FU o el gusano SQL Slammer, los cuales residen únicamente en memoria y no escriben nunca nada al disco duro.

El siguiente paso consistiría en obtener información sobre todos los procesos activos en el sistema, junto con los puertos y ficheros que cada uno de ellos tienen abiertos. Es muy probable que, como resultado del ataque y posterior intrusión, se hayan creado uno o varios procesos nuevos en el sistema o, al menos, modificado algunos de los existentes. Por tanto, la captura de los mismos permitirá determinar con posterioridad el tipo de ataque sufrido y, lo que suele ser más importante, qué objetivo se perseguía.

Como ejemplo, puede citarse el espectacular aumento de los casos de espionaje industrial en los últimos años, hasta el punto de que se está convirtiendo en una práctica muy extendida. En este caso, lo habitual es llevar a cabo el ataque utilizando un malware, normalmente en forma de troyano, específicamente diseñado y codificado para el objetivo escogido. Suponiendo que el ataque haya tenido éxito, el interés en el análisis forense del mismo radica en capturar el binario del troyano, pues habitualmente contendrá información muy importante, que permitirá determinar qué tipo de información estaba diseñado para capturar y a dónde se pretendía enviar.

Por razones similares, el siguiente conjunto de información interesante son las conexiones de red activas y puertos TCP/UDP abiertos, además del entorno de red de la máquina, como su tabla de rutas y ARP. En el escenario anterior, conocer las conexiones activas posibilitaría conocer si el troyano ha podido enviar finalmente la información robada.


Afortunadamente, las dos distribuciones forenses mencionadas cuentan con herramientas que recolectan estos datos de forma automática, reduciendo la posibilidad de cometer errores y acelerando el proceso, ya que el tiempo es un factor crítico durante una intrusión. Es importante señalar que este proceso de recolección se apoya en las herramientas proporcionadas por el sistema operativo, como las funciones para listar procesos o las conexiones activas. Como se ha comentado, estas funciones no son fiables, pues es muy habitual que hayan sido manipuladas durante el ataque para proporcionar datos falsos o parciales, con el fin de ocultar la intrusión. Sin embargo, también llevan a cabo un volcado completo de la memoria RAM, donde sí podrán encontrarse estos binarios, aunque hayan sido ocultados por un rootkit , lo que demuestra la importancia de este tipo de evidencia.

Articulo: Óscar Delgado Mohatar y Gonzalo Álvarez Marañón
Seguridad de la Información del CSIC."

firma

Este es el lugar para tu firma

Personaliza tu perfil



Pc-teros Community - www.pc-teros.es
Arriba 
 Perfil  
 
El siguiente usuario da las gracias a EseTecnico por ese mensaje:
blquack
 Asunto: Re: Analisis forense informatico. Articulo
 Nota Publicado: 19 Jun 2011 13:26 


Desconectado
Administrador del Sitio
Administrador del Sitio|Administrador del Sitio|Administradora del Sitio
Avatar de Usuario

Mensajes: 3321

Todos mis aportes
Estado de ánimo: Feliz

Imágenes: 32

Nivel: 44

HP: 657 / 6573
657 / 6573 657 / 6573 657 / 6573
MP: 3138 / 3138
3138 / 3138 3138 / 3138 3138 / 3138
EXP: 3321 / 3391
3321 / 3391 3321 / 3391 3321 / 3391

Karma: 147

Sexo:
Masculino



He dado: 668 Gracias
Recibidas: 315 Gracias
Blog: Ver blog (1)
Pedazo de artículo nos has traido. Muy interesante.

Gracias por compartirlo. ghaha:

firma
La inteligencia, es todo lo que la calculadora no puede hacer por tí.
Todo lo demas son simples cálculos.

Si te ha sido de utilidad el foro, por favor danos un me gusta y, comparte tu expriencia.


Pc-teros Community - www.pc-teros.es
Arriba 
 Perfil Álbum personal  
 
Mostrar mensajes previos:  Ordenar por  
 
Nuevo tema Responder al tema  [ 2 mensajes ] 


¿Te fue util este tema?

Link:
BBcode:
HTML:


Temas Similares


Portal » Índice general » Zona Informática » Guias y Tutoriales


Temas relacionados
 Temas   Autor   Comentarios   Vistas   Último mensaje 
No hay nuevos mensajes sin leer en este tema. Analisis forense de los pantallazos azules

EseTecnico

5

271

13 Sep 2011 12:16

ezequiel-1031 Ver último mensaje

No hay nuevos mensajes sin leer en este tema. Articulo: Como liberar un movil

EseTecnico

2

495

05 Jul 2011 10:43

EseTecnico Ver último mensaje

No hay nuevos mensajes sin leer en este tema. Análisis de Malware en 5 pasos

blquack

3

820

10 Jun 2012 23:59

blquack Ver último mensaje

No hay nuevos mensajes sin leer en este tema. Adjunto(s) Tutorial PDF, sobre Analisis de Malware por Antrax

blquack

1

670

24 Ene 2012 12:26

EseTecnico Ver último mensaje

No hay nuevos mensajes sin leer en este tema. ¿ Que es un Perito informatico?

EseTecnico

0

273

20 Jun 2011 11:21

EseTecnico Ver último mensaje

No hay nuevos mensajes sin leer en este tema. taller informatico

blquack

1

552

23 Sep 2013 09:28

blquack Ver último mensaje

No hay nuevos mensajes sin leer en este tema. ¿Que equipo informático posees en la actualidad?

[ Ir a páginaIr a página: 1, 2 ]

blquack

14

891

29 Ene 2012 13:33

ezequiel-1031 Ver último mensaje

No hay nuevos mensajes sin leer en este tema. Herramientas esenciales para un SERVICIO TECNICO INFORMATICO

EseTecnico

0

1635

12 Feb 2013 11:43

EseTecnico Ver último mensaje

 


¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

 
 

 
No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Buscar:
Saltar a:  
cron