• No se han encontrado resultados

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López"

Copied!
11
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 11 página )

Texto completo

(1)

S

EGURIDAD Y

A

LTA

(2)

A

NÁLISIS FORENSE EN SISTEMAS

INFORMÁTICOS

El análisis forense es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia.

La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial.

Funcionalidad y fases de un análisis forense.

1º Identificación del incidente: búsqueda y recopilación de evidencias.

Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva aparejado la búsqueda y recopilación de evidencias.

Antes de comenzar una búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de forma metódica y profesional.

Deberá utilizar herramientas que no cambien los sellos de tiempo de acceso , o provoquen modificaciones en los archivos, y por supuesto que no borren nada.

Recopilación de evidencias

Bien, ya está seguro de que sus sistemas informáticos han sido atacados. En este punto deberá decidir cuál es su prioridad:

A.- Tener nuevamente operativos sus sistemas rápidamente. B.- Realizar una investigación forense detallada

(3)

2º Preservación de la evidencia

Aunque el primer motivo que le habrá llevado a la recopilación de evidencias sobre el incidente sea la resolución del mismo, puede que las necesite posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación.

Como primer paso deberá realizar dos copias de las evidencias obtenidas una de las copias será la “evidencia original”, para un posible proceso jurídico, y la otra será la evidencia sobre la cual realizaremos el análisis.

Es aconsejable preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su

almacenamiento.

Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de forma

adecuada, pasemos a la fase quizás más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento

(4)

3º Preparación para el análisis: El entorno de trabajo

Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de trabajo adecuado al estudio que desee realizar.

Reconstrucción de la secuencia temporal del ataque

Supongamos que ya tenemos montadas las imágenes del sistema comprometido en nuestra estación de trabajo independiente y con un sistema operativo anfitrión de confianza.

El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello recopile la siguiente información sobre los ficheros:

- Inodos asociados.

- Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado). - Ruta completa.

(5)

Determinación de cómo se realizó el ataque

Una vez que disponga de la cadena de acontecimientos que se han producido, deberá determinar cuál fue la vía de entrada a su sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.

Estos datos, al igual que en el caso anterior, deberá obtenerlos de forma metódica, empleando una combinación de consultas a archivos de logs, registro, claves, cuentas de usuarios, etc.

Identificación del autor/es del incidente

(6)

-Evaluación del impacto causado al sistema

Para poder evaluar el impacto causado al sistema, el análisis forense le ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Esto le permitirá evaluar el compromiso de sus equipos y realizar una estimación del impacto causado. Generalmente se pueden dar dos tipos de ataques:

Ataques pasivos: en los que no se altera la información ni la operación normal de los sistemas, limitándose el atacante a fisgonear por ellos.

Ataques activos: en los que se altera, y en ocasiones seriamente, tanto la información como la capacidad de operación del sistema.

4º Documentación del incidente

Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el

incidente.

Es recomendable además realizar los siguientes documentos. - Utilización de formularios de registro del incidente.

(7)

Respuesta a incidentes

Un incidente de Seguridad Informática esta definido como un evento que atente contra la Confidencialidad, Integridad y Disponibilidad de la Información.

Los tipos de incidentes que pueden existir son: -Daños

- Intrusiones

- Uso no autorizado

- Denegación de servicios - Compromisos de seguridad

La respuesta a incidentes persigue los siguientes objetivos: -Identificar, designar o custodiar evidencias.

- Empezar un nuevo diario o mantener el ya existentes - Instalar herramientas de monitorización.

- Revisar cualquier diario existente de lo que ya se ha hecho en el sistema y como se detecto la intrusión.

- Capturar información de red

- Capturar procesos y ficheros tipo .exe o .dll, por ejemplo. - Capturar información de configuración

-Recoger y firmar datos.

(8)

Análisis de evidencias digitales

La evidencia digital es cualquier información obtenida a partir de un dispositivo electrónico o medio digital que sirve para adquirir convencimiento y certeza de un hecho.

Para conseguir la certeza de un hecho deberemos de buscar: -Testimonios humanos.

-Evidencias físicas -Evidencias de red -Evidencias de host

Para poder estudiar estas evidencias deberemos de tener: -Un entorno limpio

-Aislado de la red

-Herramientas esterilizadas y limpias -Sistemas de simulación

-Laboratorio Forense

Una vez que tengamos todo lo anterior, antes de realizar los análisis deberemos de saber: -Nunca trabajar con los datos , evidencias, dispositivos originales.

-Respetar la legislación. -Documentación

-Resultados verificables y reproducibles. A la hora de analizar se mirara:

(9)

Herramientas de análisis forense

Hay muchos programas de análisis forense pero algunos de ellos son:

Helix CD:Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitirá elegir entre arrancar un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos de un

entorno con un conjunto de herramientas, casi 90 Mb, que nos permitirá principalmente interactuar con sistemas “vivos”, pudiendo recuperar la información volátil del sistema.

(10)

IPTraf es un programa informático basado

en consola que proporciona estadísticas de red. Funciona recolectando información de las conexiones TCP, como las

estadísticas y la actividad de las interfaces, así como las caídas de tráfico TCP y UDP. Se encuentra disponible en sistemas operativos GNU/Linux.

OpenBSD: Este sistema operativo, se concentra en la portabilidad, cumplimiento de normas y regulaciones, corrección,

seguridad proactiva y criptografía integrada. OpenBSD incluye emulación de binarios para la mayoría de los programas de los sistemas SVR4(Solaris), FreeBSD, Linux, B SD/OS, SunOS y HP-UX.

(11)

Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso.

Referencias

Descargar ahora ( PDF - 11 página - 520.78 KB )

Documento similar

LA ACTIVIDAD INFORMAL DE LA ADMINISTRACIÓN. PREMISAS PARA UNA TENTATIVA DE RECONSTRUCCIÓN DE UNA CATEOGRÍA (CASI) OLVIDADA*

En este sentido, puede defenderse que, si la Administración está habilitada normativamente para actuar en una determinada materia mediante actuaciones formales, ejerciendo

Nezahualcóyotl y la invención de las tradiciones

La Historia de la nación chichimeca 6 de Fernando de Alva Ixtlilxóchitl es una obra escrita en el primer tercio del siglo XVII. Des- cendiente Fernando de Alva

segunda nota de aviso

Proporcione esta nota de seguridad y las copias de la versión para pacientes junto con el documento Preguntas frecuentes sobre contraindicaciones y

lista de los números de referencia

[r]

segunda nota de aviso

Contraindicaciones: El uso de la mascarilla está contraindicado para los pacientes y los miembros de sus familias, profesionales sanitarios y compañeros de

guía rápida

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

Llegar a la integridad será posible?

Educación se plantea que “la comunidad académica considera que la extensión no refiere sólo al acto de transferir los resultados de la producción científica a la

La invención de conceptos burlescos en las sátiras literarias de Quevedo

1) La Dedicatoria a la dama culta, doña Escolástica Polyanthea de Calepino, señora de Trilingüe y Babilonia. 2) El Prólogo al lector de lenguaje culto: apenado por el avan- ce de