1. FASES DE LA INFORMATICA
FORENSE
PRESENTADO A: CARLOS BRAVO
PRESENTADO POR:KIRIAN PAOLA URUETA ANACONA
JOSE ARMANDO ANACONA
SERGIO TOLEDO
2. DESCRIPCION DE LA INFORMATICA
FORENSE
Identificación: escena donde se realizó el ataque informático para preservar el
elemento que puede ser desde un disquete o un disco rígido de un computador
hasta un conjunto de discos de un servidor.
Validación y preservación de los datos adquiridos: con el elemento identificado
se realiza una imagen de la evidencia, asignando un código único correspondiente
a una combinación única de bytes que contiene la totalidad del medio en
observación
3. Análisis y descubrimiento de evidencia: el punto de partida del análisis comienza al detectar un
tipo de ataque informático, una actividad ilícita se lleva acabo cuando se borra el reporte de
no autorizado como también información ocultada o almacenada en medios no convencionales
como disquetes, cd rom, dvd rom, flash drive.
En el análisis forense se pueden buscar:
- archivos borrados
- archivos creados
- acceso o modificación
- formato particular
Informe: presentación de un informe en un lenguaje a la vez técnico y claro y un Cd donde se hace
accesible al usuario no especializado.
DESCRIPCION DE LA INFORMATICA
FORENSE
4. FASE DE IDENTIFICACION
La fase de identificación se refiere a la recopilación de información necesaria para trabajar
sobre la fuente de datos presentada por el administrador de los servidores (solicitud
forense). Aquí se pregunta:
- ¿Qué información se necesita?
- ¿Cómo aprovechar la información presentada?
- ¿Acciones necesarias a seguir para el análisis forense?
5. FASE DE IDENTIFICACION
Etapa 1: Levantamiento de información inicial para el Análisis Forense
Descripción Del Delito Información General Información Sobre El Equipo
Fecha del delito Área Direcciones IP
Duración del incidente Nombre de la dependencia Nombre del equipo
Detalles de incidente Responsable del sistema
afectado
Marca y modelo
Nombres y apellidos Capacidad de la RAM
Cargo Capacidad del disco duro
E-mail Modelo del procesador
Teléfono - Celular Sistema operativo
Extensión – Fax Función del equipo
Tipo de información
Toda la información
Etapa 2: asegurara la escena
- se debe contar con personal idóneo, el equipo de seguridad debe estar capacitado y
entender a fondo la metodología.
6. FASE DE IDENTIFICACION
Identificar las evidencias: la evidencia se clasifica según.
TIPO DE DISPOSITIVO
- sistemas informáticos
- Redes
- Redes inalámbricas
- Dispositivos móviles
- Sistemas embebidos
-otros dispositivos
MODO DE ALMACENAMIENTO
- Volátiles: son aquellas donde se perderán al apagar el equipo como:
- La hora del sistema y desfases de horarios
- Contenido de la memoria
- Procesos en ejecución
- Usuarios conectados
- Configuración de red
- Conexiones activas
- Puertos abiertos.
No volátiles: medio físicos de almacenamiento como:
-Memoria flash
- CD
- Discos duros
7. FASE DE VALIDACION Y PRESERVACION
es imprescindible definir los métodos adecuados para el almacenamiento y etiquetado de las
evidencias.
Cuando se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que
son las “Huellas del crimen”
Etapa 1: Copias de la evidencia.
- se deben realizar dos copias de las evidencias obtenidas, generar también una suma de
comprobación de la integridad de cada copia mediante el empleo de funciones “hash” tales como
MD5 o SHA1. se almacena en CD o DVD etiquetando la fecha y hora de creación de la copia.
Etapa 2: Cadena de custodia
Se establecen las responsabilidades y controles de cada una de las personas que manipulen la
evidencia. Se prepara un documento en el que se registren los datos personales. El documento
debe contener:
- Donde, cuando y quien examino la evidencia, incluyendo su nombre, su cargo, un numero de
identificación, fechas y horas etc.
- Quien estuvo custodiando la evidencia y donde se almaceno.
- Cuando se traslade la evidencia se deberá documentar.
- Cuando se cambie la custodia.
8. FASE DE ANALISIS
Se debe preparar herramientas técnicas, autorizaciones de monitoreo y soporte administrativo para
iniciar el análisis forense
Etapa 1: Preparación para el análisis
Acondicionar un entorno de trabajo al estudio que se desea realizar
Trabajar con las imágenes que se recopiló como evidencias, o mejor aún con una copia de éstas, tener en
cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
Etapa 2: Reconstrucción del ataque
Crear una línea temporal o timeline de sucesos, para ello se debe recopilar la siguiente información sobre los
ficheros:
Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado).
Ruta completa.
Tamaño en bytes y tipo de fichero.
Usuarios y grupos a quien pertenece.
Permisos de acceso.
Si fue borrado o no.
9. FASE DE ANALISIS
Etapa 3: Determinación del ataque
Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál
fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó
el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.
Etapa 4: Identificación del atacante.
Realizar algunas investigaciones como parte del proceso de identificación. Primero intentar
averiguar la dirección IP del atacante, para ello revisar con detenimiento los registros de
conexiones de red y los procesos y servicios.
Etapa 5: Perfil del atacante
En los perfiles de atacantes se pueden encontrar varios tipos como: haquer, sciptkiddies qua es el
mas actual atacante
Etapa 6: Evaluación del impacto causado al sistema
Se evalúa el sistema según ataque pasivos y ataque activos
10. FASE DE DOCUMENTACIÓN Y PRESENTACIÓN
DE LAS PRUEBAS
Etapa 1: Utilización de formularios de registro del incidente
durante el proceso es importante mantener informados a los administradores del equipo
Etapa 2: Informe Técnico
Consiste en una ejecución de tallada del análisis efectuado en los siguientes puntos:
Introducción
Antecedentes del incidente
Recolección de los datos
Descripción de la evidencia
Entorno del análisis
Descripción de las herramientas
Análisis de la evidencia
Información del sistema analizado
Características del SO
Aplicaciones
• Servicios
• Vulnerabilidades
• Metodología
• Descripción de los hallazgos
• Huellas de la intrusión
• Herramientas usadas por el atacante
• Alcance de la intrusión
• El origen del ataque
• Cronología de la intrusión
• Conclusiones
• Recomendaciones específicas
• Referencias
• Anexos