2. FASES DE LA INFORMATICA FORENSE
Identificación: escena donde se realizó el ataque informático para preservar
el elemento que puede ser desde un disquete o un disco rígido de un
computador hasta un conjunto de discos de un servidor.
Validación y preservación de los datos adquiridos: con el elemento
identificado se realiza una imagen de la evidencia, asignando un código único
correspondiente a una combinación única de bytes que contiene la totalidad
del medio en observación
3. Análisis y descubrimiento de evidencia: el punto de partida del análisis
comienza al detectar un tipo de ataque informático, una actividad ilícita se
lleva acabo cuando se borra el reporte de acceso no autorizado como también
información ocultada o almacenada en medios no convencionales como
disquetes, cd rom, dvd rom, flash drive.
En el análisis forense se pueden buscar:
- archivos borrados
- archivos creados
- acceso o modificación
- formato particular
FASES DE LA INFORMATICA FORENSE
4. FASES DE LA INFORMATICA FORENSE
Informe: presentación de un informe en un lenguaje a la vez técnico y claro y
un Cd donde se hace accesible al usuario no especializado.
Fase de Identificacion2: Aquí se pregunta
- ¿Qué información se necesita?
- ¿Cómo aprovechar la información presentada?
- ¿Acciones necesarias a seguir para el análisis forense?
5. FASES DE LA INFORMATICA FORENSE
Etapa 1: Levantamiento de información inicial para el Análisis Forense
Descripción Del Delito Información General Información Sobre El Equipo
Fecha del delito Área Direcciones IP
Duración del incidente Nombre de la dependencia Nombre del equipo
Detalles de incidente Responsable del sistema
afectado
Marca y modelo
Nombres y apellidos Capacidad de la RAM
Cargo Capacidad del disco duro
E-mail Modelo del procesador
Teléfono - Celular Sistema operativo
Extensión – Fax Función del equipo
Tipo de información
Toda la información
6. FASES DE LA INFORMATICA FORENSE
Etapa 2: asegurara la escena
- se debe contar con personal idóneo, el equipo de seguridad debe estar
capacitado y entender a fondo la metodología.
Identificar las evidencias: la evidencia se clasifica según.
TIPO DE DISPOSITIVO
- sistemas informáticos
- Redes
- Redes inalámbricas
- Dispositivos móviles
- Sistemas embebidos
-otros dispositivos
7. FASES DE LA INFORMATICA FORENSE
MODO DE ALMACENAMIENTO
- Volátiles: son aquellas donde se perderán al apagar el equipo como:
- La hora del sistema y desfases de horarios
- Contenido de la memoria
- Procesos en ejecución
- Usuarios conectados
- Configuración de red
- Conexiones activas
- Puertos abiertos.
8. FASES DE LA INFORMATICA FORENSE
MODO DE ALMACENAMIENTO
No volátiles: medio físicos de almacenamiento como:
-Memoria flash
- CD
- Discos duros
El primer proceso del análisis forense comprende la identificación, búsqueda
y recopilación de evidencias.
9. FASES DE LA INFORMATICA FORENSE
Fase de validación y preservación- es imprescindible definir los métodos
adecuados para el almacenamiento y etiquetado de las evidencias.
Cuando se cuenta con todas las evidencias del incidente es necesario
conservarlas intactas ya que son las “Huellas del crimen”
10. FASES DE LA INFORMATICA FORENSE
Etapa 1: Copias de la evidencia.
- se deben realizar dos copias de las evidencias obtenidas, generar también
una suma de comprobación de la integridad de cada copia mediante el
empleo de funciones “hash” tales como MD5 o SHA1. se almacena en CD o
DVD etiquetando la fecha y hora de creación de la copia.
11. FASES DE LA INFORMATICA FORENSE
Etapa 2: Cadena de custodia
Se establecen las responsabilidades y controles de cada una de las personas
que manipulen la evidencia. Se prepara un documento en el que se registren
los datos personales. El documento debe contener:
- Donde, cuando y quien examino la evidencia, incluyendo su nombre, su
cargo, un numero de identificación, fechas y horas etc.
- Quien estuvo custodiando la evidencia y donde se almaceno.
- Cuando se traslade la evidencia se deberá documentar.
- Cuando se cambie la custodia.