sábado, 18 de octubre de 2014

 19:04      No comments

Fase Identificación

La fase de identificación se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta:

  • ¿Qué información se necesita?
  • ¿Cómo aprovechar la información presentada?
  • ¿En qué orden ubico la información?
  • ¿Acciones necesarias a seguir para el análisis forense

La identificación debe prever los desafíos que se pasaran durante los procesos de
las fases de preservación y extracción. Esta fase culmina con un Plan a seguir.


Etapa 1: Levantamiento de información inicial para el Análisis Forense

La solicitud forense es un documento donde el administrador del equipo afectado
notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad
la revisión del mismo, donde incluye toda la información necesaria para dar inicio
al proceso de análisis. La información incluida en el documento debe ser la
siguiente:

  • Descripción Del Delito Informático
  • Fecha del incidente
  • Duración del incidente
  • Detalles del incidente
  • Información General
  • Área
  • Nombre de la dependencia
  • Responsable del sistema afectado
  • Nombres y Apellidos
  • Cargo
  • E-mail
  • Teléfono
  • Extensión
  • Celular
  • Fax
Información Sobre El Equipo Afectado
  • Dirección IP
  • Nombre del equipo
  • Marca y modelo
  • Capacidad de la RAM
  • Capacidad del disco duro
  • Modelo del procesador
  • Sistema operativo (nombre y versión)
  • Función del equipo
  • Tipo de información procesada por el equipo
  • Toda la información del incidente, la evidencia digital, copias o imágenes de la escena del crimen.
Reconocer un incidente mediante indicadores y determinar su tipo. Esto no esta
incluido dentro del análisis forense, pero es significativo en los siguientes pasos.
Esta fase esta dividida en dos procesos iníciales que son:

Etapa 2: Asegurar la escena
Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología. 

Identificar las evidencias
El siguiente paso y muy importante es la identificación de la evidencia presentada en nuestra escena del “crimen”, la misma que estará sujeta a todos los procesos necesarios para la presentación de resultados finales, la evidencia se clasificara según:Tipo de dispositivo

A las evidencias también se las puede clasificar según el tipo de dispositivo donde
se encuentran:

- Sistemas informáticos
- Redes
- Redes Inalámbricas
- Dispositivos móviles
- Sistemas embebidos
- Otros dispositivos

  • Modo de almacenamiento
A las evidencias también se las clasifica según el medio de almacenamiento.

- Volátiles: Aquellas que se perderán al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecución, programas en ejecución, usuarios conectados, configuración de red, conexiones activas, puertos abiertos, etc.

- No volátiles: medios físicos de almacenamiento como memorias flash, CD, discos duros. El primer proceso del análisis forense comprende la identificación, búsqueda y recopilación de evidencias, se debe identificar qué cosas pueden ser evidencias, dónde y cómo están almacenadas, qué sistema operativo se está utilizando. A

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Popular Posts

Recent Posts

Unordered List

Bienvenidos al ejemplo de CCTW

Videos Relacionados




Datos personales

Con la tecnología de Blogger.
Copyright © INFORMÁTICA FORENSE Powered by Blogger
Design by ThemePix.com | Blogger Theme by NewBloggerThemes.com