martes, 11 de noviembre de 2014



  1. Llevar un orden de recopilación de información:Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial.
  2. Buscar la evidencia: Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado.
  3. Determinar la relevancia de los datos: Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso
  4. Determinar la volatilidad de la información:Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información.
  5. Eliminar la interferencia exterior: Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación.
  6. Recoger la evidencia: Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea.
  7. Documentar todas las acciones realizadas: En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el proceso de recolección de evidencia.
  8. Cuidados al Hardware: El hardware es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto de investigación
  9. Volatilidad de la evidencia: Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos.
Análisis de la evidencia Digital 

Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de 
acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su  descubrimiento.
Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque y qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.

• Preparación para el análisis
Antes de comenzar el análisis de las evidencias se deberá:
  1. condicionar un entorno de trabajo adecuado al estudio que se desea realizar.
  2. Trabajar con las imágenes que se recopiló como evidencias o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
  3. Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
  4. Instar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.
  5. En otro equipo instar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros., la idea es utilizar este segundo ordenador como “conejillo de Indias” y realizar sobre él pruebas y verificaciones conforme se vayan surgiendo hipótesis sobre el ataque.
  6. Si no se dispone de estos recursos, se puede utilizar software como VMware4, que permitirá crear una plataforma de trabajo con varias máquinas virtuales

domingo, 9 de noviembre de 2014

El componente esencial de toda la investigación del delito informático es como se hace la recolección de las evidencias, esto es esencial para la investigación ya que se puede extraer y proporcionar información detallada sobre un equipo o red de trabajo que se haya atacado.
Los Kits de herramientas para informática forense vienen en dos tipos: uno que puede montar directamente el investigador y otro el prefabricada que se puede descargar o comprar, hay que tener en cuenta que en algunos momentos de la investigación forense se necesite controlar el trafico de datos y romper la contraseñas, por ello, el kit forense debe contener los programas necesarios para
realizar cada una de estas tareas.

Para crear su kit de herramientas personalizado puede hacerlo a través de una
combinación de utilidades freeware y/o shareware. Los siguientes son los tipos de
herramientas que deben ser incluidos la hora de realizar un examen de informática
forense básica:
• Una herramienta para capturar el tráfico de la red para el análisis (por ejemplo, un rastreador de red)
• Una utilidad para crear imágenes de disco o clones a nivel de bits
• Una herramienta para crackear las contraseñas
• Una herramienta que informa sobre puertos TCP / IP abiertos y detecte las procedencias de esos puertos
• Una herramienta para recuperar borrados (borrado) de datos
• Una utilidad para realizar copias de seguridad y editar el Registro de Windows
• Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real
• Una herramienta para analizar las propiedades del archivo
• Una herramienta de monitorización que muestra toda la actividad del Registro en tiempo real
• Una utilidad que muestra los recursos compartidos de red tanto local y remota
• Una herramienta de monitorización que muestra los inicios de sesión, los cierres de sesión y el uso de privilegios
• Una herramienta que muestra los archivos abiertos, los procesos de objetos, las claves de registro, archivos DLL y los propietarios de los procesos de objetos

sábado, 8 de noviembre de 2014


En la actualidad existen cientos de herramientas, el uso de herramientas
sofisticadas se hace necesario debido a:

  • La gran cantidad de datos que pueden estar almacenados en un computador.
  • La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del  contexto de un mismo sistema operativo
  • La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
  • Limitaciones de tiempo para analizar toda la información.
  • Facilidad para borrar archivos de computadores.
  • Mecanismos de encriptación, o de contraseñas.

Son herramientas que realizan una exploración completa del computador afectado
en un solo paquete informático, se instala en el computador y se realiza la
exploración del sistema de archivos y de usuarios. Entre los más populares se
encuentran:

EnCase

EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de EnCase se relacionan a continuación:

  1. Copiado Comprimido de Discos Fuente
  2. Búsqueda y Análisis de Múltiples partes de archivos adquiridos
  3. Diferente capacidad de Almacenamiento
  4. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.
  5. Análisis Compuesto del Documento.
  6. Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de E-Mail.
  7. Firmas de archivos, Identificación y Análisis
  8. Análisis Electrónico Del Rastro De Intervención.
  9. Soporte de Múltiples Sistemas de Archivo.
  10. Vista de archivos y otros datos en el espacio Unallocated
  11. Genera el reporte del proceso de la investigación forense como un estimado.
  12. Visualizador Integrado de imágenes con Galería.

Osforensics


OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar en memorias USB y cuenta con un gestor de casos. Sus características principales son:

  1. Buscar textos e imágenes
  2. Recopilar rastros de actividad
  3. Buscar archivos borrados y disfrazados
  4. Visualizar el contenido de la memoria RAM
  5. Crear un informe del sistema.
  6. Numerosas herramientas de investigación
  7. Instalador para unidades USB

Access Data Forensic Tool Kit (Ftk)

Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. FTK posee funciones eficaces de filtro y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar
rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico. Sus principales funciones son:

  1. Fácil de usar
  2. Opciones de búsqueda avanzadas
  3. Registry viewer
  4. Análisis de correo electrónico y de archivos zip
  5. Diseño de capa de base de datos
  6. Montaje seguro de dispositivos remotos
Forense Toolkit (TCT)

TCT incluye una variedad de utilidades para el estudio y la recopilación de datos
las partes principales de la caja de herramientas son ladrón de tumbas (un
programa de recolección de datos), Lazaruns (un programa de reconstrucción de
datos), y mactime (un sistema de archivos de sello de tiempo representanteórter).

CAINE

CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.1
Los objetivos de diseño principales de CAINE son los siguientes:

  1. Un entorno interoperable que admite el investigador digital durante las fases de la investigación digital 
  2. Una interfaz gráfica de usuario amigable 
  3. Una recopilación semiautomática del informe final

lunes, 3 de noviembre de 2014

Las Investigaciones forenses en algunas ocasiones ameritan la captura de datos en tiempo real a medida que viajan a través de la red computacional de una organización. Estos datagramas a medida que atraviesan una red se les conocen como paquetes Sniffing, y los programas diseñados para detectaros son llamados sniffers, analizadores de protocolo o analizadores de red.

Lo que hacen los sniffers es analizar el tráfico en un segmento de red Ethernet escuchando el tráfico de red, al ejecutar un sniffer en una red se pueden recoger pruebas de intrusión en un sistema informático, hay muchos sniffers entre los caules se tiene:

Snort: es un programa de código abierto (freeware) de intrusiones de red del sistema de detección de Unix y Linux, es capaz de realizar análisis en tiempo real del tráfico y paquetes sesión en las redes IP. Mientras que sobresale como un sistema de detección de intrusiones, también puede ser utilizado como un analizador de paquetes. Para más información o para descargar una copia, visite  www.snort.org.

Ngssniff: es pequeño y fácil de usar, captura de paquetes de red y el programa de análisis. Se requiere Windows 2000 o XP para operar y permite a los usuarios capturar, guardar, y analizar el tráfico de red. Este paquete sniffer se puede descargar en www.nextgenss.com / products /
ngssniff.html.

Ethereal: es un analizador de protocolos de red gratuito con versiones para
Unix y sistemas operativos de Windows. Le permite examinar datos de una
red activa o de un archivo de captura en disco. Se puede descargar desde
www.ethereal.com.

Popular Posts

Recent Posts

Unordered List

Bienvenidos al ejemplo de CCTW

Videos Relacionados




Datos personales

Con la tecnología de Blogger.