martes, 11 de noviembre de 2014

 16:54      No comments

Recolección de Evidencia Digital



  1. Llevar un orden de recopilación de información:Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial.
  2. Buscar la evidencia: Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado.
  3. Determinar la relevancia de los datos: Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso
  4. Determinar la volatilidad de la información:Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información.
  5. Eliminar la interferencia exterior: Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación.
  6. Recoger la evidencia: Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea.
  7. Documentar todas las acciones realizadas: En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el proceso de recolección de evidencia.
  8. Cuidados al Hardware: El hardware es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto de investigación
  9. Volatilidad de la evidencia: Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos.
Análisis de la evidencia Digital 

Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de 
acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su  descubrimiento.
Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque y qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.

• Preparación para el análisis
Antes de comenzar el análisis de las evidencias se deberá:
  1. condicionar un entorno de trabajo adecuado al estudio que se desea realizar.
  2. Trabajar con las imágenes que se recopiló como evidencias o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
  3. Si dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.
  4. Instar un sistema operativo que actuará de anfitrión y que servirá para realizar el estudio de las evidencias. En este mismo ordenador y sobre un segundo disco duro, instalar las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado.
  5. En otro equipo instar un sistema operativo configurado exactamente igual que el equipo atacado, además mantener nuevamente la misma estructura de particiones y ficheros en sus discos duros., la idea es utilizar este segundo ordenador como “conejillo de Indias” y realizar sobre él pruebas y verificaciones conforme se vayan surgiendo hipótesis sobre el ataque.
  6. Si no se dispone de estos recursos, se puede utilizar software como VMware4, que permitirá crear una plataforma de trabajo con varias máquinas virtuales

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Popular Posts

Recent Posts

Unordered List

Bienvenidos al ejemplo de CCTW

Videos Relacionados




Datos personales

Con la tecnología de Blogger.
Copyright © INFORMÁTICA FORENSE Powered by Blogger
Design by ThemePix.com | Blogger Theme by NewBloggerThemes.com