Beruflich Dokumente
Kultur Dokumente
La ciencia humana consiste ms en destruir errores que en descubrir verdades. Scrates (470 AC-399 AC)
CAPTULO V
A continuacin se presenta un modelo a seguir, elegido por la practicidad y eficiencia que ofrece, dicha metodologa se divide en cuatro fases. Estas son:
IDENTIFICACIN
PRESERVACIN
ANLISIS
124
CAPTULO V
FASE DE IDENTIFICACIN Solicitud Forense Asegurar la escena Identificar las evidencias Prioridades del administrador Tipo de dispositivo Modo de almacenamiento
La fase de identificacin se refiere a la recopilacin de informacin necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aqu se pregunta:
Qu informacin se necesita? Cmo aprovechar la informacin presentada? En qu orden ubico la informacin? Acciones necesarias a seguir para el anlisis forense?
El producto final de esta fase, debe entregar un documento detallado con la informacin que permita definir un punto de inicio para la adquisicin de datos y para la elaboracin del documento final.
La identificacin debe prever los desafos que se pasarn durante los procesos de las fases de preservacin y extraccin. Esta fase culmina con un Plan a seguir.
125
CAPTULO V
5.2.1. Solicitud Forense La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecucin de un incidente y para ello solicita al equipo de seguridad la revisin del mismo, donde incluye toda la informacin necesaria para dar inicio al proceso de anlisis. La informacin incluida en el documento debe ser la siguiente: DESCRIPCIN DEL DELITO INFORMTICO Fecha del incidente Duracin del incidente Detalles del incidente INFORMACIN GENERAL rea Nombre de la dependencia Responsable del sistema afectado Nombres y Apellidos Cargo E-mail Telfono Extensin Celular Fax INFORMACIN SOBRE EL EQUIPO AFECTADO Direccin IP Nombre del equipo Marca y modelo Capacidad de la RAM Capacidad del disco duro Modelo del procesador Sistema operativo (nombre y versin) Funcin del equipo Tipo de informacin procesada por el equipo
126
CAPTULO V
Toda la informacin del incidente, la evidencia digital, copias o imgenes de la escena del crimen.
Reconocer un incidente mediante indicadores y determinar su tipo. Esto no est incluido dentro del anlisis forense, pero es significativo en los siguientes pasos.
5.2.2. Asegurar la escena Para asegurar que tanto los procesos como las herramientas a utilizar sean las ms idneas se debe contar con un personal competente a quien se le pueda asignar la conduccin del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodologa.
5.2.3. Identificar las evidencias El siguiente paso y muy importante es la identificacin de la evidencia presentada que es la escena del crimen, la misma que estar sujeta a todos los procesos necesarios para la presentacin de resultados finales. La evidencia se clasificar segn:
5.2.3.1. Prioridades del administrador Las evidencias se pueden clasificar segn la prioridad del
administrador, las mismas estn basadas en la criticidad de los daos producidos por el incidente, una forma de clasificar los daos producidos es saber que tan crticos son, y se lo encuentra aplicando la siguiente frmula:
127
CAPTULO V
La extensin de los daos producidos es: Graves.- Que el incidente produjo daos muy severos sobre los servicios o informacin. Moderados.- Que el incidente causo molestias y prdida de informacin. Leves.- Que el incidente producido no tiene mayor importancia, no se produjo ningn tipo de prdida pero si un corte o molestia en los servicios.
La criticidad de los recursos afectados es: Alta.- Los recursos afectados son muy importantes dentro de la institucin y como tal comprometen el normal funcionamiento y prestacin de servicios. Media.- Los recursos afectados causan molestias solo a cierta rea de la institucin. Baja.- Los recursos afectados causan ciertas molestias pero se puede seguir con el normal funcionamiento de los equipos.
En este punto se deben enumerar todas las funciones y servicios que el rea realiza y deben ser priorizados de acuerdo a la razn de ser de la institucin o ente afectado. Para cada prioridad se debe sealar cul es el tiempo mximo de espera para ser reanudados, adicionalmente, identificar los registros de datos e informacin vital para la operacin de las funciones y servicios. Un claro ejemplo de cmo obtener el valor critico de los daos producidos es utilizando las siguientes tablas:
128
CAPTULO V
Efectos del incidente y Recursos afectados Daos producidos Graves Moderados Leves Acceso no autorizado Servidor Web Servidor de archivos Servidor de aplicaciones Infeccin de virus Servidor Estacin de trabajo Etc.
Tabla. 5.1. Efectos del incidente y recursos afectados
Incidente
X X X
X X X
X X
X x
Estado de los recursos Criticidad de los recursos afectados Alta Graves Daos producidos Moderados Leves Muy Grave Grave Moderado Media Grave Moderado Leve Baja Moderado Leve Leve
Prioridad del administrador Estado MUY GRAVE GRAVE MODERADO LEVE Prioridad 10 7 4 1
129
CAPTULO V
5.2.3.2. Tipo de dispositivo A las evidencias tambin se las puede clasificar segn el tipo de dispositivo donde se las encuentre como: Sistemas informticos Redes Redes Inalmbricas Dispositivos mviles Sistemas embebidos1 Otros dispositivos
5.2.3.3. Modo de almacenamiento A las evidencias tambin se las clasifica segn el medio de almacenamiento. Como pueden ser: Voltiles.- Aquellas que se perdern al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecucin, programas en ejecucin, usuarios
conectados, configuracin de red, conexiones activas, puertos abiertos, etc. No voltiles.- medios fsicos de almacenamiento como memorias flash, CD, discos duros.
Entonces el primer proceso del anlisis forense comprende la identificacin, bsqueda y recopilacin de evidencias. Se debe identificar qu cosas pueden ser evidencias, dnde y cmo est almacenada, qu sistema operativo se est utilizando. A partir de este paso, el equipo de seguridad puede identificar los procesos para la recuperacin de evidencias adecuadas, as como las herramientas a utilizar.
La denominacin de Sistemas embebidos (embedded) refleja que son una parte integral (interna) del sistema, y en general son dispositivos utilizados para controlar o asistir la operacin de diversos equipamientos.
130
CAPTULO V
Aunque el primer motivo de la recopilacin de evidencias sea la resolucin del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deber documentar de forma clara cmo ha sido preservada la evidencia tras la recopilacin.
En esta fase, es imprescindible definir los mtodos adecuados para el almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las huellas del crimen, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso.
5.3.1. Copias de la evidencia Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar tambin una suma de comprobacin de la integridad de cada copia mediante el empleo de funciones hash2 tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creacin de la copia, nombrar cada copia, por ejemplo COPIA A, COPIA B para distinguirlas claramente del original.
En informtica, Hash se refiere a una funcin o mtodo para generar claves o llaves que representen de manera casi unvoca a un documento, registro, archivo, etc.
131
CAPTULO V
Si adems se extrae los discos duros del sistema para utilizarlos como evidencia, se debe seguir el mismo procedimiento, colocando sobre ellos la etiqueta EVIDENCIA ORIGINAL, incluir adems las correspondientes sumas hash, fecha y hora de la extraccin del equipo, datos de la persona que realiz la operacin, fecha, hora y lugar donde se almacen, por ejemplo en una caja fuerte.
Tener en cuenta que existen factores externos como cambios bruscos de temperatura o campos electromagnticos que pueden alterar la evidencia. Toda precaucin es poca, incluso si decide enviar esos discos a que sean analizados por empresas especializadas.
5.3.2. Cadena de custodia Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulacin de las copias, desde que se tomaron hasta su
almacenamiento. El documento debe contener la siguiente informacin: Dnde, cundo y quin examin la evidencia, incluyendo su nombre, su cargo, un nmero identificativo, fechas y horas, etc. Quin estuvo custodiando la evidencia, durante cunto tiempo y dnde se almacen. Cuando se cambie la custodia de la evidencia tambin se deber documentar cundo y cmo se produjo la transferencia y quin la transport.
Todas estas medidas harn que el acceso a la evidencia sea muy restrictivo quedando claramente documentado, posibilitando detectar y pedir responsabilidades ante manipulaciones incorrectas, intentos de acceso no autorizados o que algn otro dispositivo electromagntico se use dentro de un determinado radio.
Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux
132
CAPTULO V
Determinacin de cmo se realice el ataque Identificacin del atacante Perfil del atacante Evaluacin del impacto causado al sistema
Este anlisis se dar por concluido cuando se descubra cmo se produjo el ataque, quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el objetivo del ataque, qu daos causaron, etc. En el proceso de anlisis se emplean las herramientas propias del sistema operativo (anfitrin) y las que se prepararon en la fase de extraccin y preparacin.
133
CAPTULO V
5.4.1. Preparacin para el anlisis Antes de comenzar el anlisis de las evidencias se deber:
1. Acondicionar un entorno de trabajo adecuado al estudio que se desea realizar. 2. Trabajar con las imgenes que se recopil como evidencias, o mejor an con una copia de stas, tener en cuenta que es necesario montar las imgenes tal cual estaban en el sistema comprometido. 3. Si se dispone de recursos suficientes preparar dos estaciones de trabajo, una de ellas contendr al menos dos discos duros. 4. Instalar un sistema operativo que actuar de anfitrin y que servir para realizar el estudio de las evidencias. En esta misma estacin de trabajo y sobre un segundo disco duro, instalar las imgenes manteniendo la estructura de particiones y del sistema de archivos En otro equipo instalar un sistema operativo configurado
exactamente igual que el equipo atacado, adems mantener nuevamente la misma estructura de particiones y archivos en sus discos duros. La idea es utilizar este segundo equipo como conejillo de Indias y realizar sobre l pruebas y verificaciones conforme vayan surgiendo hiptesis sobre el ataque.
Si no se dispone de estos recursos, se puede utilizar software como VMware, que permitir crear una plataforma de trabajo con varias mquinas virtuales3. Tambin se puede utilizar una versin LIVE4 de sistemas operativos como Linux, que permitir interactuar con las imgenes montadas pero sin modificarlas. Si se est muy seguro de las posibilidades y de lo que va a hacer, se puede conectar los discos duros originales del sistema atacado a una estacin de trabajo independiente para intentar hacer un anlisis en caliente del sistema, se deber tomar la
3
VMware es un sistema de virtualizacin por software. Un sistema virtual por software es un programa que simula un sistema fsico con unas caractersticas de hardware determinadas. 4 Live Distro es un sistema operativo almacenado en un medio extrable, tradicionalmente un CD o un DVD, que puede ejecutarse desde ste sin necesidad de instalarlo en el disco duro de una computadora.
134
CAPTULO V
precaucin de montar los dispositivos en modo slo lectura, esto se puede hacer con sistemas anfitriones UNIX/Linux, pero no con entornos Windows.
5.4.2. Reconstruccin de la secuencia temporal del ataque Si ya se tienen montadas las imgenes del sistema atacado en una estacin de trabajo independiente y con un sistema operativo anfitrin de confianza, se procede con la ejecucin de los siguientes pasos:
1. Crear una lnea temporal o timeline de sucesos, para ello se debe recopilar la siguiente informacin sobre los archivos: Marcas de tiempo MACD (fecha y hora de modificacin, acceso, creacin y borrado5). Ruta completa. Tamao en bytes y tipo de archivo. Usuarios y grupos a quien pertenece. Permisos de acceso. Si fue borrado o no.
Sin duda esta ser la informacin que ms tiempo llevar recopilar, pero ser el punto de partida para el anlisis, podra plantearse aqu el dedicar un poco de tiempo a preparar un script que automatizase el proceso de creacin del timeline, empleando los comandos que proporciona el sistema operativo y las herramientas utilizadas.
2. Ordenar los archivos por sus fechas MAC, esta primera comprobacin, aunque simple, es muy interesante pues la mayora de los archivos tendrn la fecha de instalacin del sistema operativo, por lo que un sistema que se instal hace meses y que fue comprometido recientemente presentar en los archivos
5
135
CAPTULO V
La idea es buscar archivos y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de
programas posteriores a la del sistema operativo y que adems se encuentren en rutas poco comunes. Hay que pensar que la mayora de los atacantes y sus herramientas crearn directorios y descargarn sus aplicaciones en lugares donde no se acostumbra buscar, como por ejemplo en los directorios temporales.
Primero hay que centrarse en buscar los archivos de sistema modificados tras la instalacin del sistema operativo, averiguar despus la ubicacin de los archivos ocultos, de qu tipo son, identificar tambin los archivos borrados o fragmentos de stos, pues pueden ser restos de logs y registros borrados por los atacantes. Aqu cabe destacar la importancia de realizar imgenes de los discos, pues se puede acceder al espacio residual que hay detrs de cada archivo, (recordar que los archivos se almacenan por bloques cuyo tamao de clster depende del tipo de sistema de archivos6 que se emplee), y leer en zonas que el sistema operativo no ve. Pensar que est buscando una aguja en un pajar, por lo que se deber ser metdico, ir de lo general a lo particular, por ejemplo partir de los archivos borrados, intentar recuperar su contenido, anotar su fecha de borrado y compararla con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque.
3. Comenzar a examinar con ms detalle los archivos logs y registros que se examinaron durante la bsqueda de indicios del ataque, intentar buscar una similitud temporal entre eventos. Pensar que
Es un mtodo para el almacenamiento y organizacin de archivos de computadora y los datos que estos contienen, para hacer ms fcil la tarea encontrarlos y accederlos
136
CAPTULO V
los archivos log y de registro son generados de forma automtica por el propio sistema operativo o por aplicaciones especficas, conteniendo datos sobre accesos al equipo, errores de
inicializacin, creacin o modificacin de usuarios, estado del sistema, etc. Por lo que se tendr que buscar entradas extraas y compararlas con la actividad de los archivos. Editar tambin el archivo de contraseas y buscar la creacin de usuarios y cuentas extraas sobre la hora que se considere como inicio del ataque en el sistema.
4. Examinar los fragmentos del archivo /var/log/messages (UNIX), que es donde se detectan y registran los accesos FTP, esto nos permitir descubrir si sobre esa fecha y hora se crearon varios archivos bajo el directorio /var/ftp de la mquina comprometida7, adems se debe tener presente que este directorio puede ser borrado por el atacante y deber ser recuperado.
5.4.3. Determinacin de cmo se realiz el ataque Una vez obtenida la cadena de acontecimientos que se han producido, se deber determinar cul fue la va de entrada al sistema, averiguando qu vulnerabilidad o fallo de administracin caus el agujero de seguridad y que herramientas utiliz el atacante para aprovecharse de tal brecha.
Estos datos, al igual que en el caso anterior, se debern obtener de forma metdica, empleando una combinacin de consultas a archivos de logs, registros, claves, cuentas de usuarios, etc. El siguiente proceso permitir conocer que acciones realiz el atacante:
1. Revisar los servicios y procesos abiertos que se recopilaron como evidencia voltil, as como los puertos TCP/UDP8 (IANA) y conexiones que estaban abiertas cuando el sistema estaba an
7 8
directorio raz del servicio ftp en sistemas UNIX/Linux Protocolos de transporte de datos, TCP (orientado a conexin), UDP (protocolo no orientado a conexin), los 2 pertenecen a la capa de transporte del modelo TCP/IP.
137
CAPTULO V
funcionando. Examinar con ms detalle aquellas circunstancias que resultan sospechosas cuando se busc indicios sobre el ataque, y realizar una bsqueda de vulnerabilidades a travs de Internet, emplear Google o utilizar pginas especficas donde se encuentran perfectamente documentadas ciertas vulnerabilidades. 2. Si ya se tiene claro cul fue la vulnerabilidad que dej el sistema desprotegido, es necesario ir un paso ms all y buscar en Internet algn exploit9 anterior a la fecha del incidente, que utilice esa vulnerabilidad. Generalmente se encontrar en forma de rootkit10 y un buen lugar donde comenzar la bsqueda es, nuevamente, Google aunque tambin ser de ayuda utilizar la informacin presentada en la correccin de vulnerabilidades sobre reportes de este tipo, as como la siguiente direccin: http://packetstorm.rlz.cl. 3. Reforzar cada una de las hiptesis empleando una formulacin causa-efecto, tambin es el momento de arrancar y comenzar a utilizar la mquina preparada como conejillo de Indias. Probar sobre la mquina los exploits que se encontr, recordar que en el anlisis forense un antecedente es que los hechos han de ser reproducibles y sus resultados verificables, por lo tanto comprobar si la ejecucin de este exploit sobre una mquina igual que la afectada, genere los mismos eventos que ha encontrado entre sus evidencias.
Una forma de ganar experiencia y estar listos ante cualquier eventualidad es recurrir a las bases de datos sobre ataques de los honeypots11, herramientas de seguridad informtica, cuya intencin es atraer a crackers o spammers, simulando ser sistemas vulnerables o
Es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informticos, hardware, o componente electrnico. 10 Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. 11 Software o conjunto de computadores cuya intencin es atraer a crackers o spammers, simulando ser sistemas vulnerables o dbiles a los ataques.
138
CAPTULO V
dbiles a los ataques, esto permite recoger informacin sobre los atacantes y las tcnicas empleadas.
5.4.4. Identificacin del atacante Si ya se logr averiguar cmo entraron en el sistema, es hora de saber quin o quines lo hicieron. Para este propsito ser de utilidad consultar nuevamente algunas evidencias voltiles que se recopil en las primeras fases, revisar las conexiones que estaban abiertas, en qu puertos y qu direcciones IP las solicitaron, adems buscar entre las entradas a los logs de conexiones. Tambin se puede indagar entre los archivos borrados que se recuper por si el atacante elimin alguna huella que quedaba en ellos.
Si se tiene pensado llevar a cabo acciones legales o investigaciones internas, se debe realizar este proceso caso contrario se debe saltar y empezar con la recuperacin completa del sistema atacado y mejorar su seguridad. Pero si se decide perseguir a los atacantes, se deber realizar algunas investigaciones como parte del proceso de identificacin.
Primero intentar averiguar la direccin IP del atacante, para ello revisar con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. Tambin se podra encontrar esta informacin en fragmentos de las evidencias voltiles, la memoria virtual o archivos temporales y borrados, como restos de correo electrnico, conexiones fallidas, etc.
1. Al tener una IP sospechosa, comprobarla en el registro RIPE NCC (www.ripe.net)12o en LACNIC (http://www.lacnic.net)13a quin pertenece. Pero por ningn motivo hay que apresurarse y sacar conclusiones prematuras, muchos atacantes falsifican la direccin
12
El Centro de Coordinacin de redes IP europeas (Rseaux IP Europens Network Coordination Centre (RIPE NCC)) es el Registro Regional de Internet (RIR) para Europa, Oriente Medio y partes de Asia Central. 13 Registro Regional de Internet para Amrica Anglosajona, varias islas de los ocanos Pacfico y Atlntico.
139
CAPTULO V
IP con tcnicas de spoofing14. Otra tcnica de ataque habitual consiste en utilizar equipos zombis, stos son comprometidos en primera instancia por el atacante y posteriormente son utilizados para realizar el ataque final sin que sus propietarios sepan que estn siendo cmplices de tal hecho. Por ello, para identificar al atacante se tendr que verificar y validar la direccin IP obtenida. 2. Utilizar tcnicas hacker pero solo de forma tica, para identificar al atacante, por si el atacante dej en el equipo afectado una puerta trasera o un troyano, est claro que en el equipo del atacante debern estar a la escucha esos programas y en los puertos correspondientes, bien esperando noticias o buscando nuevas vctimas. Aqu entra en juego nuevamente el equipo conejillo de indias. 3. Si se procede de esta forma, se puede usar una de las herramientas como nmap15, para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando y muchas ms caractersticas que poseen los equipos.
5.4.5. Perfil del atacante Otro aspecto muy importante es el perfil de los atacantes, y sin entrar en muchos detalles se podr encontrar los siguientes tipos: Hackers: Son los ms populares y se trata de personas con conocimientos en tcnicas de programacin, redes, Internet y sistemas operativos. Sus ataques tienen motivaciones de tipo ideolgico (pacifistas, ecologistas, anti globalizacin, anti Microsoft, etc.) o simplemente lo consideran como un desafo intelectual.
14
Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas de suplantacin de identidad. 15 Mapeador de redes de cdigo abierto, sirve para exploracin de redes y auditora de seguridad.
140
CAPTULO V
ScriptKiddies: Son delincuentes informticos muy jvenes, que con unos conocimientos aceptables en Internet y programacin emplean herramientas ya fabricadas por otros para realizar ataques y ver qu pasa. Su nombre viene de su corta edad y del uso de los scripts, guas de ataques que encuentran por Internet. Profesionales: Son personas con muchsimos conocimientos en lenguajes de programacin, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Este tipo de criminales realizan los ataques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparacin del mismo, realizando un estudio minucioso de todo el proceso que llevar a cabo, recopilando toda la informacin posible sobre sus objetivos, se posicionar estratgicamente cerca de ellos, realizar unas pruebas con ataques en los que no modificar nada ni dejar huellas cuando lo tenga todo bien definido entonces atacar, este tipo de atacantes se encuentra muy poco y adems se dedica a dar grandes golpes.
5.4.6. Evaluacin del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el anlisis forense ofrece la posibilidad de investigar qu es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitir evaluar el compromiso de los equipos y realizar una estimacin del impacto causado.
Ataques pasivos.- En los que no se altera la informacin ni la operacin normal de los sistemas, limitndose el atacante a fisgonear por ellos.
Ataques activos.- En los que se altera y en ocasiones seriamente, tanto la informacin como la capacidad de operacin del sistema.
141
CAPTULO V
Se deber tener en cuenta, adems otros aspectos del ataque como los efectos negativos de tipo tcnico que ha causado el incidente, tanto inmediatos como potenciales adems de lo crtico que eran los sistemas atacados. Por ejemplo ataques a los cortafuegos, el router de conexin a Internet o Intranet, el servidor Web, los servidores de bases de datos, tendrn diferente repercusin segn el tipo de servicio que presta la empresa o institucin y las relaciones de dependencia entre los usuarios.
Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de anlisis forense, esto permitir ser ms eficiente y efectivo al tiempo que se reducir las posibilidades de error a la hora de gestionar el incidente.
5.5.1. Utilizacin de formularios de registro del incidente Es importante que durante el proceso de anlisis se mantenga informados a los administradores de los equipos y que tras la resolucin del incidente se presenten los informes Tcnico y Ejecutivo. El empleo de
Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux
142
CAPTULO V
formularios puede ayudar bastante en este propsito. stos debern ser completados por los departamentos afectados o por el administrador de los equipos. Alguno de los formularios que se deben preparar son:
Documento de custodia de la evidencia Formulario de identificacin de los equipos y componentes Formulario de incidencias tipificadas Formulario de publicacin del incidente Formulario de recogida de evidencias Formulario de discos duros.
5.5.1.1. Informe Tcnico Este informe consiste en una explicacin detallada del anlisis efectuado. Deber describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense. A modo de orientacin, deber contener, al menos, los siguientes puntos: Introduccin Antecedentes del incidente Recoleccin de los datos Descripcin de la evidencia Entorno del anlisis Descripcin de las herramientas Anlisis de la evidencia Informacin del sistema analizado Caractersticas del SO Aplicaciones Servicios Vulnerabilidades Metodologa Descripcin de los hallazgos Huellas de la intrusin
Metodologa para la implementacin de informtica forense en sistemas operativos Windows y Linux
143
CAPTULO V
Herramientas usadas por el atacante Alcance de la intrusin El origen del ataque Cronologa de la intrusin Conclusiones Recomendaciones especficas Referencias Anexos
5.5.1.2. Informe Ejecutivo Este informe consiste en un resumen del anlisis efectuado pero empleando una explicacin no tcnica, con lenguaje comn, en el que se expondr los hechos ms destacables de lo ocurrido en el sistema analizado. Constar de pocas pginas, entre tres y cinco, y ser de especial inters para exponer lo sucedido al personal no especializado en sistemas informticos, como pueda ser el departamento de Recursos Humanos, Administracin e incluso algunos directivos. En este informe debe constar lo siguiente: Introduccin.- Descripcin del objetivo del anlisis del sistema previamente atacado y comprometido, tambin se incluye la informacin de la evidencia proporcionada. Anlisis.- Descripcin del entorno de trabajo y de las herramientas de anlisis forense seleccionadas as como la cantidad de tiempo empleado en el mismo. Sumario del incidente.- Resumen del incidente tras el anlisis de la evidencia aportada. Principales
Conclusiones
del
anlisis.-
Detalle
de
las
144
CAPTULO V
Solucin
al
incidente.-
Descripcin
de
la
solucin
para
recuperacin del incidente. Recomendaciones finales.- pasos que se deben realizar para garantizar la seguridad de los equipos y que el incidente no vuelva a suceder.
5.6. BIBLIOGRAFA
Internet [1] IANA. (s.f.). Internet Assigned Numbers Authority. Recuperado el 4 de Abril de 2010, de http://www.iana.org/assignments/port-numbers [2] Metodologas sobre Anlisis Forense. Recuperado el 3 de Abril de 2010, de http://www.kungfoosion.com/2007/07/metodologas-sobreanlisis-forense.html [3] Metodologa Bsica de Anlisis Forense. Recuperado el 7 de abril de 2010, de http://www.soyforense.com/2009/09/14/metodologiabasica-de-analisis-forense-%E2%80%93-parte-1-de-4/ [4] Anlisis Forense de sistemas. Recuperado el 7 de Abril de 2010, de http://www.scribd.com/doc/3627783/Analisis-Forense-deSistema [5] Anlisis Forense Informtico. Recuperado el 12 de Abril de 2010, de http://www-2.dc.uba.ar/materias/crip/docs/ardita01.pdf [6] Cmo la Interpol verific la informacin de los equipos de Reyes. Recuperado el 15 de Abril de 2010, de http://www.dragonjar.org/como-la-interpol-verifico-la-informacionde-los-equipos-de-reyes.xhtml [7] Reto de Anlisis Forense. Recuperado el 20 de Abril de 2010, de http://www.sec-track.com/reto-de-analisis-forense-digital-de-lacomunidad-dragonjar-escenario-e-implementacion [8] American Academy of Forensic Sciences. Recuperado el 25 de Abril de 2010, de http://www.aafs.org/
145
CAPTULO V
Tesis [9] Gua Metodolgica para el Anlisis Forense Orientado a Incidentes en Dispositivos Mviles GSM. Recuperado el 17 de Abril de 2010, de http://www.criptored.upm.es/guiateoria/gt_m142h1.htm [10] V. Villacs, Auditoria Forense: Metodologa, Herramientas y Tcnicas Aplicadas en un siniestro informtico de una empresa del sector comercial (Tesis, Instituto de Ciencias Matemticas, Escuela Superior Politcnica del Litoral, 2006). [11] Universidad Catlica de Loja. Esquema de Seguridad de Datos. Recuperado el 25 de Abril de 2010, de http://www.utpl.edu.ec/eva/descargas/material/140/INFAII21/G2189 02.pdf
Libros [12] Miguel Lpez Delgado. Anlisis Forense Digital, edicin 2 Junio de 2007. Recuperado el 17 de Abril de 2010, de http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf [13] Gutirrez Abraham, 1998, Mtodos y tcnicas de investigacin, Segunda edicin, Mc Graw Hill, Mxico, pginas 1265.
146