fases de la informatica forense

FASE 1 IDENTIFICACIÓN:

Etapa 1: Levantamiento de información inicial para el Análisis Forense:

Estando en el lugar de los hechos el  equipo de investigación de informática forense procedió a rotular con sus respectivas características físicas y técnicas el objeto de estudio. Al iniciar un análisis forense se le aplican al afectado unos formatos de solicitud de información donde él; a través de unas preguntas preestablecidas nos dará la información básica para iniciar a solucionar el caso 

Etapa 2: Aseguramiento de la escena

Evidencia del crimen: se asegura la escena del crimen y no  se permite que nadie ajeno a la investigación manipulara el equipo, a través del aseguramiento del perímetro donde está el equipo afectado a investigar.

FASE 2 VALIDACIÓN Y PRESERVACIÓN:

Etapa 1: Copias de la evidencia
La información se encontraba almacenada en los discos duros, por este motivo se procedió a extraerlos del dispositivo y ser utilizados como evidencia; en el laboratorio se procedió a realizar dos copias o imágenes del contenido total del disco y lo etiquetamos teniendo en cuenta la evidencia original.
Además de esto se incluyeron las correspondientes sumas hash para comprobar la integridad de cada una de las copias usando funciones MD5 o SHA1, a través del programa OSFORENCIS, el cual nos permitió realizar con éxito estas operaciones. Al final Incluimos firmas en las etiquetas de cada copia de la evidencia y sobre el propio medio de almacenamiento; las cuales contenían fecha y hora de la extracción del equipo, datos de la persona que realizó la operación, fecha, hora y lugar donde almacenaron las copias.

Etapa 2: Cadena de custodia

Para el control de la custodia, se  lleva un riguroso control a través de un registro documental donde estarán registradas todas y cada una de las personas que manipulen las evidencias hasta su almacenamiento, ya sea para realizar la entrega a las autoridades o para realizar las evaluaciones.
En ese registro se manejaron datos como:
Dónde, cuándo y quién examinó la evidencia, incluyendo su nombre, su cargo, un número de identificación, fechas y horas de manipulación, etc.
 Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó.
 Cuando se cambie la custodia de la evidencia también se deberá documentar cuándo y cómo se produjo la transferencia y quién la transportó

FASE 3 ANÁLISIS Y DESCUBRIMIENTO DE LA EVIDENCIA:

En esta se preparan las herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas , luego se reconstruye con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento.

Etapa 1: Preparación para el análisis

Se acondiciona  un entorno de trabajo adecuado a la investigación que se realizó.
Trabajamos con las imágenes que se recopilaron como evidencias, teniendo en cuenta que las imágenes debían estar montadas tal cual como estaban en el sistema comprometido.
Para el análisis de los respectivos discos se  puede usar  programas como virtual box y una versión LIVE de sistemas operativos especializado en el análisis forense como CAINE; el cual nos permitió interactuar con las imágenes montadas pero sin modificarlas. También se usaron para el análisis programas como AUTOPSY y OSFORENCIS; los cuales nos permitieron la identificación y descubrimiento de información relevante en las fuentes de datos.



                             video con una explicacion de las etapas de un analisis forense


Etapa 2: Reconstrucción del ataque

Se revisan los  siguientes datos:
  •  Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado).
  •  Ruta completa.
  • Tamaño en bytes y tipo de fichero.
  •  Usuarios y grupos a quien pertenece.
  •  Permisos de acceso.
  •  Si fue borrado o no

A continuación revisamos algunos antecedentes como los ficheros y directorios que han sido creados, modificados o borrados recientemente o que instalaciones de programas se han realizado antes y después del ataque; y que además se encuentren en rutas poco comunes. Ya que por lo general la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar, como por ejemplo en los directorios temporales.

Al entrar en materia en cuanto al análisis  nos centramos  en detalles como:
* los archivos del sistema que han modificados antes, durante y después del ataque.
*Averiguar la ubicación de los archivos ocultos y de qué tipo son.
* Identificar los archivos borrados o fragmentos de éstos, los cuales pueden ser restos de logs y registros borrados por los atacantes,

Se destaca la importancia de realizar imágenes de los discos pues a través de eso se puede acceder al espacio residual que hay detrás de cada archivo y leer en zonas que el sistema operativo no ve. (Cabe recordar que los ficheros suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee).
Al realizar la investigación se tuvieron en cuenta factores como ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha
de borrado y compararla con la actividad del resto de los archivos. Ya que en esos momentos es posible que se estuviesen dando los primeros pasos del ataque.

Al examinar con más detalle los ficheros logs y registros, queríamos encontrar indicios del ataque y a través de esto intentar buscar una correlación temporal entre eventos. Ya que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones específicas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modificación de usuarios, estado del sistema, etc. Por lo que a través del análisis de este tipo de archivos podremos obtener información de entradas extrañas y compararlas con la actividad de los ficheros.
Además de eso se buscaron indicios de edición del archivo de contraseñas, creación de usuarios y cuentas extrañas, teniendo en cuenta la hora que en la que se inició el ataque del sistema.
Por ejemplo  el sistema operativo de una  maquina afectada es Windows podemos ver el editor de registro de este, las sesiones de usuario, los archivos de configuración del sistema (msconfig), las propiedades del disco duro , la información del sistema (msinfo32),como el apoyo de las herramientas software dedicadas al análisis forense.

Etapa 3: determinación del ataque

en la cual lograremos establecer si un  atacante, su accionar fue copiar el archivo a alguna USB, eliminarlo o si accedió de forma remota fuera de la empresa usando técnicas hacker o cracker para tener control del sistema y apoderarse de los archivos de este, saboteando o alterando la ubicación y características del archivos perdidos.
Luego estableceremos un perfil de atacante, en este caso si llegase a ser culpable ; todo esto con el fin de establecer medidas en el personal de una empresa la que fue afectada por el incidente que no vuelva a pasar en el futuro lo mismo.
Y finalmente en la etapa evaluaremos que consecuencias negativas tuvo este incidente y como lo debe evitar la organización a futuro para que la información de una empresa  no se vea comprometida afectando la productividad y exponiéndola a la bancarrota o en su defecto que su competencia se apodere de la información.

FASE  4 DE DOCUMENTACIÓN Y PRESENTACIÓN DE LAS PRUEBAS

Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.

Etapa 1: Utilización de formularios de registro del incidente
Es importante que durante el proceso de análisis se mantenga informados a los
administradores de los equipos y que tras la resolución del incidente se presenten
los informes Técnico y Ejecutivo. El empleo de formularios puede ayudarle
bastante en este propósito, estos deberán ser rellenados por los departamentos
afectados o por el administrador de los equipos. Alguno de los formularios que
debería preparar serán:
- Documento de custodia de la evidencia
- Formulario de identificación de equipos y componentes
- Formulario de incidencias tipificadas
- Formulario de publicación del incidente
- Formulario de recogida de evidencias
- Formulario de discos duros.

Etapa 2: Informe Técnico
Este informe consiste en una exposición detallada del análisis efectuado. Deberá
describir en profundidad la metodología, técnicas y hallazgos del equipo forense. A
modo de orientación, deberá contener, al menos, los siguientes puntos:
- Introducción
- Antecedentes del incidente
- Recolección de los datos
- Descripción de la evidencia
- Entorno del análisis
- Descripción de las herramientas
- Análisis de la evidencia
- Información del sistema analizado
- Características del SO
- Aplicaciones
Servicios
- Vulnerabilidades
- Metodología
- Descripción de los hallazgos
- Huellas de la intrusión
- Herramientas usadas por el atacante
- Alcance de la intrusión
- El origen del ataque
- Cronología de la intrusión
- Conclusiones
- Recomendaciones específicas
- Referencias
- Anexos

Etapa 3: Informe Ejecutivo
Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido al personal no especializado en sistemas informáticos, como pueda ser el
departamento de Recursos Humanos, Administración e incluso algunos directivos.
En este informe constara lo siguiente:
- Introducción: Descripción del objetivo del análisis del sistema previamente
atacado y comprometido, también se incluye la información de la evidencia
proporcionada.
- Análisis: Descripción del entorno de trabajo y de las herramientas de
análisis forense seleccionadas así como la cantidad de tiempo empleado en
el mismo.
- Sumario del incidente: Resumen del incidente tras el análisis de la
evidencia aportada.
- Principales Conclusiones del análisis: Detalle de las conclusiones a las que
se llego una vez terminado el proceso de análisis.
- Solución al incidente: Descripción de la solución para recuperación del
incidente.
Recomendaciones finales: pasos que se deben realizar para garantizar la
seguridad de los equipos y que el incidente no vuelva a suceder.

Comentarios

Publicar un comentario

Entradas populares de este blog

equipos de analisis forense

Imagen
aqui mostraremos un resumen de equipos usados para recuperar datos y hacer analisis forense de la empresa ondata international empresa lider en la fabricacion de estos dispostivos: Equipo de Análisis Forense Logicube modelo Forensic Falcon ·          Creación rápida de imagen forense a 20GB/min ·          Creación de imagen y verificación desde 4 discos origen a 5 destinos ·          Crea imagen hacia o desde una ubicación en red ·          Multitarea. Realiza tareas de creación de imagen, borrado y hash simultáneamente ·          Interfaz de usuario web. Permite el acceso remoto mediante un navegador de internet. imagen 1 duplicadora falcon. Duplicadora Logicube modelo Forensic Talon Diseñada especialmente para las investigaciones forenses, Forensic Talo...
Leer más

clonado de disco informatica forense

Imagen
Una de las labores en la informática forense que tenemos que realizar de acuerdo a las fases es hacer una copia de seguridad de la evidencia para eso existen herramientas software y hardware en el mercado de que nos ayudan con esta labor.                                         video donde se explica lo del clonado de discos. Para evitar alterar el contenido del sistema, debe realizarse una  clonación  del contenido del disco duro para trabajar con copias de las imágenes completas (ISO 9660 / Universal Disk Format). En caso de acuerdo técnico entre las partes, debe seleccionarse alguna de estas opciones hard/soft. en la parte de software unos programas que nos pueden ayudar en esta cuestión se  puede usar el Ghost o firezilla apoyado por un disco externo USB de gran tamaño,   repitiendo la misma operación al menos con un segundo disco externo para ...
Leer más

herramientas de backtrack y Kalilinux para informatica forense

Imagen
A lo largo del curso hemos visto que para las labores de informatica forense usamos software como OSFORENCISCS ,CAINE que es una distribucion de Linux especialmente diseñada para eso , AUTOPSY en sus versiones Windows y Linux , tambien en el material didactico del curso se nombran herramientas como ENCASE , FTK entre otras. En esta seccion mostraremos algunas herramientas de la distribucion Backtrack o  Kalilinux en su version mas reciente  que nos puede servir para las labores de informática forense. Kali :  Fue lanzada a lo largo del mes de marzo de este año  Basada en Debian, para ser la nueva versión de backtrack posee gran variedad de herramientas ya mencionadas  en backtrack, aunque también han sido descartadas algunas herramientas que presentaban problemas a la hora de ejecutarlas en backtrack  por falta de compatibilidad también han integrado nuevas y mejoradas tools.       imagen 1 interfaz de Kali LInux ...
Leer más