Beruflich Dokumente
Kultur Dokumente
Incidente
Forensics Computer Toolkit
Douglas Schweitzer
Forense
WILEY
Respuesta a Incidentes: Computer Toolkit Forense Publicado por Wiley Publishing, Inc. 10475 Cruce Boulevard, Indianapolis, IN 46256 www.wi 1ey.corr Copyright 2003 por Wiley Publishing, Inc., Indianapolis, Indiana Publicado simultneamente en Canad ISBN: 0-7645-2636-7 Fabricado en los Estados Unidos de Amrica 10 9 8 7 6 5 4 3 2 1 O / RR / QU / QT / EN Ninguna parte de esta publicacin puede ser reproducida, almacenada en un sistema de recuperacin o transmitida en cualquier forma o por cualquier medio, sea electrnico, mecnico, fotocopia,, escaneado o de otro modo, excepto segn lo permitido bajo las secciones 107 o 108 del 1976 de autor de Estados Unidos Ley, sin que el permiso previo por escrito de la editorial, o autorizacin a travs del pago de la correspondiente tarifa por copia al Copyright Clearance Center, 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, fax (978) 646 -8700. Pide a la editorial para tal autorizacin debern dirigirse al Departamento Legal, Wiley Publishing, Inc., 10475 Cruce Blvd., Indianapolis, IN 46256, (317) 572-3447, fax (317) 572-4447, E-Mail.: permcoordinator @ wi 1ey.com. Lmite de Responsabilidad / Renuncia de garanta: Mientras que el editor y el autor ha utilizado sus mejores esfuerzos en la preparacin de este libro, hacen ninguna representacin o garanta con respecto a la exactitud o la exhaustividad de los contenidos de este libro y especficamente renuncia a cualquier garanta implcita de comerciabilidad o aptitud para un propsito en particular. Ninguna garanta puede ser creado o ampliado por los representantes de ventas o por escrito materiales de ventas. El asesoramiento y las estrategias contenidas en el presente puede no ser adecuado para su situacin. Usted debe consultar con un profesional en su caso. Ni el editor o el autor ser Hcapaces de cualquier prdida de beneficios o cualquier otro perjuicio comercial, incluyendo pero no limitado a daos especiales, incidentales, consecuentes, o de otra ndole. Para informacin general sobre nuestra otra produccins y servicios o para obtener soporte tcnico, pngase en contacto con nuestro Departamento de Atencin al Cliente dentro de los EE.UU. al (800) 762-2974, fuera de los EE.UU. al (317) 572-3993 o fax (317) 572 a 4,002. Wiley tambin publica sus libros en una variedad de formatos electrnicos. Parte del contenido que aparece en la impresin pueden no estar disponibles en los libros electrnicos. Biblioteca del Congreso en la publicacin de datos en el archivo con el editor.
Marcas registradas: Wiley, el logotipo de Wiley Publishing, y la vestimenta relacionada con el comercio son marcas comerciales o marcas comerciales registradas de Wiley Publishing, Inc., en Estados Unidos y otros pases, y no pueden ser utilizados sin permiso por escrito. Todas las dems marcas son propiedad de sus respectivos dueos. Wiley Publishing, Inc, no est asociado con ningn producto o compaa mencionados en este libro.
Sobre el autor
Douglas Schweitzer es un especialista en seguridad en Internet con las certificaciones de Brainbench en seguridad en Internet y Sensibilizacin ITAA Seguridad de la Informacin. Douglas es un Asociado Certificado de Internet Webmaster, y l tiene A +, Network +, e i-Net + certificaciones de la Asociacin de Industria de la Tecnologa Informtica. l ha aparecido como un orador invitado para Internet de seguridad en varios programas de radio, incluyendo KYW de Filadelfia, as como en Algo que usted debe saber y Computer Talk Amrica, dos de difusin nacional programas de radio. l es tambin el autor de Seguridad de la red de cdigos maliciosos: Una Completa Cua para la defensa contra virus, gusanos y troyanos y Internet Security Made Easy: A Plain-Ingls Cua de Proteccin de toda la Empresa en lnea.
Crditos
ADQUISICIONES DEL EDITOR Coordinadores de Proyecto
Katie Feltman
Editor de proyectos
Marcos Enochs
Editor Tcnico
Russell Shumway
Copia del editor
Bet Brooks, Sean Decker, Leandra Johnson, Puente de Stephanie, McMullan Kristin, el Papa Heather, Trippetti Julia
TCNICOS DE CONTROL DE CALIDAD
Maarten Reilingh
EDITORIAL MANAGER
Laura Moss
MEDIOS DE ESPECIALISTA EN DESARROLLO
Richard Swadley
VICEPRESIDENTE Y EDITOR EJECUTIVO
Travis Silvers
CORRECCIN DE TEXTOS
Bob Ipsen
Editor Ejecutivo
Kim Cofer
INDEXACIN
Carol Long
Director editorial ejecutivo
Virginia Bess
Mara Bednarek
Este libro est dedicado In Loving Memory of Mirhan "Mike" Arian, cuya visin y la camaradera son para siempre
perdido.
Agradecimientos
Este libro no habra sido posible sin los esfuerzos combinados de un gran talento per-pyoe. En primer lugar quiero dar las gracias a mi agente, Carole McClendon de Producciones Waterside por su asis-tencia de nuevo mi bsqueda de un editor extraordinario. Tambin me gustara dar las gracias al indivi trabajadoraais en Wiley Publishing que ayudaron a hacer realidad este libro. Su entusiasmo, y el apoyo-fueron un tiro continuo en el brazo. En particular, me gustara dar las gracias al editor de adquisiciones, Katie Feltman por su confianza en m y por haberme ayudado a dar forma y perfeccionar el esquema inicial para el libro. Tambin estoy agradecido al editor de proyectos, Enochs Como para todas sus sugerencias. Me gustara dar las gracias a mi esposa y mejor amiga, Monique, ya que sin su ayuda, este libro no habra sido posible. Me quito el sombrero ante Russ Shumway, que, como mi editor tcnico, hicieron un excelente trabajo asegurndose de que todos mis datos eran correctos y que sugiri una serie de adiciones que mantuvo este libro tcnico de sonido. Gracias, tambin, a mis hijos Deran y Alex por su gran paciencia conmigo mientras me pas muchas horas escribiendo.
ix
Contenido de un vistazo
Agradecimientos...............................................................ix Introduccin....................................................................xix Captulo 1 Informtica forense y de incidentes Fundamentos de respuesta................................................1 Captulo 2 Abordar las consideraciones de Aplicacin de la ley.......27 Captulo 3 Preparacin y Respuesta preliminar del forense............45 Captulo 4 Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos.............................................................................69 Captulo 5 Anlisis y deteccin de cdigo malicioso y los intrusos ....................................................................91 Captulo 6 Recuperar y analizar pistas............................................115 Captulo 7 Procedimientos de recogida y Preservar la evidencia....................................................135 Captulo 8 Incidente de contencin y erradicacin de las vulnerabilidades ...................................................155 Captulo 9 Recuperacin de Desastres y Seguimiento de................177 Captulo 10 En respuesta a distintos tipos de incidentes...................195 Captulo 11 La evaluacin de seguridad del sistema para prevenir Los ataques adicionales .................................................215 Captulo 12 Si tira todo junto............................................................235 Apndice A Apndice B Apndice C 2001 Apndice D Qu hay en el CD-ROM ..............................................247 Los puertos son atacadas comnmente..........................257 mbito de la orientacin en la Ley Patriota de EE.UU. 269 Los registros informticos y las Reglas Federales
Apndice E
Contenido
Agradecimientos...............................................................ix Introduccin....................................................................xix Captulo 1 Informtica forense y de incidentes Fundamentos de respuesta................................................1
La captura del criminal: Los fundamentos de la informtica forense. . . . 2 Reconociendo los signos de un incidente....................................5 Preparacin para Incidentes......................................................14 El desarrollo de un incidente de seguridad informtica Capacidad de Respuesta..........................................................16 El Computer Security Incident Response Team........................17 El proceso de notificacin de incidentes...................................18 Evaluacin y contencin...........................................................19 Operaciones para la recuperacin.................................................20 Daos Anlisis y Determinacin..................................................20 Procedimientos de cierre, mientras que preservar la evidencia.........21 Recomendaciones NIPC para las vctimas.....................................24 Construccin de una Respuesta a Incidentes / Forensic Toolkit 25 Resumen del captulo................................................................26
Captulo 2
Captulo 3
xiv
Tabla de contenidos
Auditora de habilitacin y registro en Windows NT..........................47 Una nota rpida acerca de la auditora, registro, y el tamao de archivo de registro.............................................................................................49 El acceso centralizado..........................................................................51 Sincronizacin de la hora........................................................................52 Sellado de Tiempo..................................................................................53 La identificacin de los dispositivos de red............................................54 Recopilacin de datos de la memoria.....................................................55 Seleccin de las opciones de volcado de memoria adecuada..............57 Usando Dumpchkexe para ver el archivo de Windows memory.dmp 58 Realizar un volcado de memoria en los sistemas Unix.........................58 Imgenes Discos Duros..........................................................................59 Despus de la Cadena de Custodia para la recoleccin de evidencia. . . . 61 Continuidad del Negocio y Planes de Contingencia...............................63 La TI-Proceso de Planificacin de Contingencia................................63 Resumen del captulo..............................................................................68
Captulo 5
Procesos del Sistema..............................................................................92 La deteccin de los procesos anormales del sistema...........................92 Con el Administrador de tareas de Windows para ver los procesos en ejecucin. . . . 94 Procesos por defecto en Windows NT, 2000 y XP................................96 Programas de vigilancia del proceso...................................................96
Tabla de contenidos
Archivos inusuales u Oculto...................................................................99 Visualizacin de archivos ocultos en Windows.....................................99 Visualizacin de archivos ocultos en Unix / Linux...........................101 Rootkits y backdoors............................................................................102 Detectar la presencia de un rootkit....................................................104 Detectar la presencia de una puerta trasera.......................................106 La eliminacin de rootkits y troyanos...............................................111 La deteccin y defensa contra sniffers de red......................................112 Resumen del captulo...........................................................................113
Captulo 6
Captulo 7
xvi
Tabla de contenidos
Despus de la Cadena de Custodia.......................................................149 La admisibilidad de las pruebas...........................................................150 Autenticacin.....................................................................................151 La mejor evidencia Regla...................................................................152 El Perodo de tiempo permisible para el examen de los computadores incautados. . . . 153 La evidencia de Preservacin............................................................153 Resumen del captulo...........................................................................154
Captulo 8
Captulo 9
Tabla de contenidos
Comprensin de los datos de copia de seguridad Procedimientos.......187 Crear un plan de copia de seguridad..................................................188 Datos Herramientas de copia de seguridad.........................................188 Posterior al Incidente de Monitoreo y Anlisis....................................190 Anticipndose a futuros ataques...........................................................191 Resumen del captulo...........................................................................194
Captulo 10
Captulo 11
218
Tabla de contenidos
El Honeynet Project................................................................232 Resumen del captulo..............................................................232
Captulo 12
Qu hay en el CD-ROM.................................................247 Los puertos son atacadas comnmente..........................257 mbito de la orientacin en la Ley Patriota de EE.UU. 269 Los registros informticos y las Reglas Federales
Introduccin
El 14 de mayo de 1999, de 54 aos de edad, Sharon Guthrie se ahog en la baera de su Wolsey, South Dakota en casa. La autopsia revel que entre 10 y 20 cpsulas que contenan Temazepan estaban presentes en su cuerpo. Las pastillas para dormir se le ha recetado a su esposo, el reverendo William Guthrie, pastor de la Primera Iglesia Presbiteriana de Wolsey. A pesar de sus negaciones de cualquier irregularidad en relacin con la muerte de su esposa, pLos piojos no qued convencido de su inocencia. A falta de una dura evidencia en el caso, plos piojos decidi contratar los servicios de experto en informtica forense, Judd Robbins. Varias de las computadoras de la Iglesia de uso frecuente por el Reverendo Guthrie fueron capturados y congelados. Despus de varios das de examen de los archivos del ministro, Robbins finalmente hallado evidencias de que Guthrie haba estado buscando el Internet para los mtodos de matanza sin dolor y segura. Robbins tambin se encuentran notas detalladas acerca de las pastillas para dormir y letales agentes de limpieza para el hogar. El 11 de enero de 2000, un jurado de 12 miembros declarados culpables del asesinato de Guthrie. Menos de dos semanas ms tarde, el juez de circuito Eugene Martn lo conden a cadena perpetua.
Delitos Informticos
No todos los delitos cometidos con un ordenador es un delito informtico. Si alguien roba un cdigo de acceso al telfono y hace una cal de larga distanciayo, El cdigo que ha robado est marcada por una computadora antes de la calyoes procesada. Sin embargo, este caso es ms apropiado tratar como "fraude telefnico", no la delincuencia informtica. Sera, sin embargo, califica como delito ciberntico, si el cdigo se obtuvo como resultado de la intrusin en un sistema informtico. Aunque en este ejemplo parece sencillo, muchos casos no son tan fciles de clasificar. Un empleado de banca que roba el dinero de un cajn de la caja est malversando. Un empleado del banco que escribe un programa de computadora para robar aleatoriamente cantidades muy pequeas de las cuentas de numerosas tambin se puede malversar, sin embargo, la comisin (y fiscala) este delito puede requerir un conocimiento prctico del sistema informtico del banco. Como resultado, tal crimen puede rea-razonablemente ser caracterizada como un delito informtico. Segn el Departamento de Justicia de EE.UU., los equipos suelen desempear tres papeles distintos en un caso penal. En primer lugar, una computadora puede ser el destino de un delito. Esto ocurre cuando la conducta se ha diseado para llevar la informacin sin la autorizacin de, o causar daos a una computadora o red informtica. El virus Melissa y Explore.Zip.Worm, junto con los cortes en el blanco Casa y otros sitios web, son ejemplos de este tipo de delitos. En segundo lugar, una computadora puede ser incidental a un delito sin dejar de ser significativo en trminos de hacer cumplir la ley. Por ejemplo, los narcotraficantes pueden almacenar datos de transacciones (por ejemplo, Ames, fechas y cantidades) en las computadoras, en lugar de en papel. Por ltimo, un ordenador puede ser la herramienta utilizada para cometer un delito (como el
xix
xx
Introduccin
Qu es la Informtica Forense?
De acuerdo con equipo forense Judd Robbins, "Informtica forense es simplemente la aplica-cin de la investigacin de equipos y tcnicas de anlisis, en aras de determinar evidencia legal potencial." El tipo de las pruebas obtenidas a partir de un examen forense puede ser til en una amplia gama de variedad de investigaciones: Litigios civiles, como los casos de divorcio, el acoso y la discriminacin Las empresas que deseen adquirir la evidencia de malversacin de fondos, fraude, o intelectual cuestiones de propiedad de robo Individuosais la bsqueda de pruebas en la discriminacin por edad, por despido injustificado, o sexual denuncias de acoso Investigaciones de compaas de seguros cuando se exijan pruebas relativas al seguro fraude, homicidio culposo, compensacin al trabajador, y otros casos relacionados con seguros reclamaciones La evidencia digital puede ser buscada en una amplia gama de delitos informticos, y los exmenes forenses utilizan una variedad de mtodos para descubrir los datos que residen en una computadora sis-tema, o para la recuperacin de borrado, la informacin de ficheros cifrado, o daado. Cualquiera o todos de esta informa-cin puede ser de utilidad en los procesos de descubrimiento, el depsito, o el litigio.
incluyen no autorizados en-AUTORIZADO uso de la cuenta de otro usuario, el uso no autorizado de los privilegios del sistema, y la ejecucin de Malcdigos maliciosos que destruye los datos. Otros efectos adversos incluyen inundaciones, incendios, cortes de electricidad o calor excesivo que se traduce en fallos del sistema. Los eventos adversos, tales como los desastres naturales y las interrupciones de energa relacionados con los incidentes, aunque ciertamente no deseables, no son por lo general en el mbito de
Introduccin
xxi
Los equipos de respuesta a incidentes y estn mejor atendidas por la continuidad del negocio de una organizacin (de contingencia) planes. A fin de de respuesta a incidentes, por lo tanto, el trmino incidente se refiere a un evento adverso que se relaciona con seguridad de la informacin. De manera similar, un evento es cualquier ocurrencia observable en un sistema y / o de la red. Algunos ejemplos de eventos incluyen la secuencia de arranque del sistema, un fallo del sistema, y la inundacin de paquetes de datos dentro de una redtrabajar. Los eventos son importantes porque proporcionan a menudo una indicacin de que un incidente est ocurriendo. En realidad, los acontecimientos provocados por errores humanos (por ejemplo, sin querer borrar un directorio de crtica y todos los archivos contenidos en ella) son los ms costosos y perjudiciales. Eventos relacionados con la seguridad informtica, sin embargo, estn atrayendo a una cantidad cada vez mayor de la atencin dentro de la comunidad informtica en general, as como dentro del gobierno federal. Entre otras razones, el crecimiento sin par-leled de las redes y la abundancia de cdigos maliciosos a disposicin de los autores han dado como resultado en gran medida la exposicin de los sistemas ms a la amenaza del acceso remoto no autorizado.
Tipos de Incidentes
De acuerdo con la Ley Federal de Respuesta de Incidentes Centro de Cmputo (FedCIRC), el trmino incidente comprende las siguientes categoras generales de eventos adversos: Los ataques de cdigo malicioso. Los ataques de cdigos maliciosos incluyen los ataques de programas como virunses, los programas troyanos, gusanos y scripts utilizados por los crackers o piratas informticos para obtener privilegios, contraseas de captura, y / o modificar los registros de auditora a los exeLude actividad no autorizada. El cdigo malicioso es particularmente problemtico en el que normalmente se escribe en un hombre-ner que disfraza su presencia, por lo que es difcil de detectar. Por otra parte, auto-replicante cdigo malicioso, como virunses y los gusanos pueden REPLCate rpidamente, con lo que haciendo de contencin especialmente difcil. El acceso no autorizado. El acceso no autorizado abarca una serie de incidentes, de forma abusiva iniciar sesin en una cuenta de usuario (por ejemplo, cuando un hacker se conecta a un legtimocuenta de usuario compaero) para el acceso no autorizado a archivos y directorios almacenados en un sistema o medios de almacenamiento mediante la obtencin de privilegios de superusuario. El acceso no autorizado puede implicar adems el acceso a los datos de la red mediante la plantacin de un programa sniffer no autorizado o el dispositivo para capturar todos los paquetes que atraviesan la red en un punto determinado. La utilizacin no autorizada de los servicios. No es absolutamente necesario para acceder a la cuenta de otro usuario al asesinotrar un ataque contra el sistema o red. Un intruso tambin puede obtener acceso a los programas de informacin o de la planta de caballo de Troya por el mal uso de servicios disponiblesvicios. Ejemplos incluyen el uso
del sistema de archivos de red (NFS) para montar el sistema de archivos de una mquina de servidor remoto o interdominio mecanismos de acceso en Windows NT para acceder a archivos y directorios en el dominio de otra organizacin. La interrupcin del servicio. Los usuarios confan en los servicios prestados por los servicios de red y la informtica. Las personas con malas intenciones puede interrumpir estos servicios en una variedad de maneras, incluyendo el Ing. borrar programas crticos, spam electrnico (inundaciones una cuenta de usuario con el correo electrnico), y que alteran la funcionalidad del sistema mediante la instalacin de los programas de caballo de Troya.
Introduccin
El uso indebido. El mal uso se produce cuando alguien utiliza un sistema informtico para fines que no sean oficiales, como por ejemplo cuando un legtimoel usuario utiliza un compaero de Govemcin informtica para almacenar informacin personal los registros de impuestos. Espionaje. Espionaje es el robo de la informacin para subvertir los intereses ouna corporacin o Govemambiente. Muchos de los casos de acceso no autorizado a EE.UU. Govemsistemas de Ment durante la Operacin Tormenta del Desierto y la Operacin Escudo del Desierto eran la manifestacin de espionaje actividad contra los Estados Unidos. Bromas. Bromas ocurrir cuando la informacin falsa acerca de los incidentes o vulnerabilidades se propaga. A principios de 1995, por ejemplo, varios usuarios con acceso a Internet distribuido informacin sobre un virus llamado Good Times, a pesar de que el virus no exista. Es lamentable que a pesar de la implementacin de servidores de seguridad sofisticados, poderosos intrusisistemas de deteccin de n, y el software antivirus, los ordenadores y las redes que los conectan an puede ser penetrado por hackers, crackers, y otros cdigos maliciosos. Cuando sucede lo impensable, en respuesta a los incidentes y eventos es de suma importancia. Debido a que las fuerzas del orden tienen la altura-han fortalecido su inters en los delitos informticos, la captura y preservacin de evidencia crtica a travs de los mtodos bsicos de forenses estn incluidos en este libro. Las organizaciones requieren de estrategias para el manejo por ordenador, relacionados con la seguridad eventos con eficacia. Dicha estrategia incluye la preparacin, deteccin y respuesta. La adopcin de un lector enfoque prctico, este libro se armar con los conocimientos y las herramientas necesarias al MITpuerta de los riesgos y limitar la prdida.
y respuesta a incidentes. Sin embargo, tambin se ha creado para servir como una gua y una herramienta, y muchos lectores ya estarn un poco familiarizado con los diferentes temas cubiertos. En consecuencia, cada captulo es un completo componente independiente que se puede leer cada vez que el lector considere que sea prctico o en contra-veniente. Como el lector, es probable que se especializan en una o ms de los reas cubiertas en este texto. Sin embargo, la informacin presentada en este libro tambin debe proporcionar nuevos conocimientos y herramientas en otro reas con el que an no estn familiarizados.
Captulo 1
La captura del criminal: los fundamentos de la informtica forense Reconociendo los signos de un incidente Los pasos necesarios para prepararse para un incidente Incidente de verificacin Preservacin de la evidencia clave Las medidas especficas de respuesta La construccin de un conjunto de herramientas LA HI-TECHREVOLUTION DANDO EN EL MUNDO en comunicaciones y tecnologa de la informacin realmente se ha hecho del mundo un lugar ms pequeo. Con efectos sobre nuestras vidas tanto personales como profesionales, los Estados Unidos est invirtiendo ms recursos en el avance de la tecnologa de la informacinga que en la gestin o la fabricacin de bienes de consumo. La Internet se ha vuelto tan popular que ahora es ms comn para recibir un mensaje de correo electrnico que envi una carta convencional, en la correspondencia diaria. Las estimaciones actuales cifran la poblacin de Internet en todo el mundo en ms de 580 millones y sigue creciendo. En esta poca en constante evolucin de la tecnologa de la informacin, los requisitos de la aplicacin de la ley estn cambiando, tambin. Algunos delitos convencionales, especialmente los relacionados con las finanzas y el comercio, continuaa ser cada vez ms sofisticados tecnolgicamente. Senderos de papel han dado paso a electrnicas senderos. Los delitos relacionados con el robo y la explotacin de los datos se detectan todos los das. Como se evidencia en el asesinato de Sharon Guthrie, el crimen violento no es inmune a la utilizacin de la tecnologa de la informacin. Recuerde, el Reverendo Guthrie fue condenado basndose en la evidencia forense extrada de su ordenador, es decir, el descubrimiento de los datos que indican que haba visitado sitios Web que ofrecen las instrucciones para llevar a cabo un asesinato con tranquilizantes. No es desconocido para los que se ocupan de armas o drogas para almacenar el cliente Ames e informacin de contacto en bases de datos en sus ordenadores.
Al igual que la industria est transformando gradualmente de la fabricacin de productos para el tratamiento de la informacin, la actividad delictiva tiene en gran medida, tambin se convierte en una dimensin en gran medida fsicasin para una dimensi cibern. Las investigaciones, una vez llevado a cabo en una forma material, ms concreto, existen ahora por va electrnica, llev a cabo en lnea o mediante el examen de hardware y software.
original. La evidencia digital. Informacin del valor probatorio valiosoque se almacena o transmite en formato digital formulario. Elementos fsicos. MET en el que los objetos de datos o informacin puede ser almacenada y / o a travs del cual los objetos de datos se transfieren. La evidencia digital original. Elementos fsicos y los objetos de datos asociados con estos artculos en el momento de la adquisicin o la incautacin.
Duplcado digital de pruebas. Una reproduccin digital precisa de todos los objetos de los datos contenidos en un elemento fsico original. Ninguna investigacin que implica la revisin de los documentos, ya sea en un ambiente criminal o empresarial, est completo sin el nios con de las maneja adecuadamente la prueba informtica. Informtica forense asegura la preservacin y la autenticacin de los datos informticos, que se fragmentae, por naturaleza, y puede ser fcilmente alterado, borrado, o sometidos a las demandas de la manipulacin, si no se manipula correctamente. Adems, la informtica forense facilita la recuperacin y el anlisis de los archivos borrados y otras formas de informacin convincente que normalmente son invisibles para el usuario. A diferencia de la evidencia del papel, la prueba informtica a menudo existe en los datos digitales almacenados en medios de almacenamiento de la computadora. El volumen de informacin que puede ser almacenada en los equipos actuales es increblemente enorme. Existen numerosos tipos de medios de almacenamiento: disquetes, discos duros, discos ZIP, cinta magntica, magneto-pticos cartuchos, CD-R, CD-RW, CD-ROM, DVD, as como flash, CompactFlash, Smart Media, Memory Stick y dispositivos de almacenamiento. Un experto conocedor puede facilitar el proceso de descubrimiento mediante la identificacin de otros posibles evidenciasdencia que ms tarde pueden ser incluidos en los procedimientos judiciales. Por ejemplo, durante las inspecciones in situ premisa, en los casos en discos de la computadora en realidad no son incautados o copia forense, el experto forense puede identificar rpidamente los lugares para buscar, signos que debe buscar, y el punto de adicionales, fuentes alternativas para las pruebas pertinentes . Estos pueden adoptar la forma de las versiones anteriores de archivos de datos (por ejemplo, notas u hojas de clculo que todava existen en el disco de la computadora o en un medio de copia de seguridad) o de manera diferente versiones de formato de los datos, ya sean creados o tratados por otros programas de aplicacin (por ejemplo, , tratamiento de textos, hoja de clculo, correo electrnico, calendario, programacin, o de las aplicaciones grficas). A medida que el mundo Contines avanzar en la era de la informacin, la necesidad de un anlisis forense adecuado y bien planificada de respuesta a incidentes contingenciaes a aumentar. Durante su 05 de septiembre 2001 del habla, "Los aspectos jurdicos de proteccin de infraestructura,"en el 2001 INFOWARCON conferencia en Washington, DC, Ronald Dick, director del Centro de Proteccin de Infraestructura Nacional, hizo la siguiente declaracin:
La NIPC, en nombre de cada uno de sus organismos asociados, se ha comprometido firmemente a la fundamental proposicin-cin que la investigacin de delitos cibernticos y eventos nacionales de seguridad debe lograrse de una manera que proteja los derechos de privacidad de nuestros ciudadanos, que es un elemento esencial derecho constitucional. Sabemos que slo podemos tener xito si nos mantenemos fieles a esos valores baseES. Sin embargo, hay razones para preocuparse de que intrusos cibernticos estn ganando la capacidad de permanecer annimo, independientemente de su impacto en la vida humana y la seguridad nacional, y con independencia de si el gobierno puede hacer una demostracin de que debe ser capaz de obtener la informacin necesaria para su captura. En pocas palabras, el clculo previsto en la Constitucin, que otorga al gobierno la capacidad de proteger al pblico, se est erosionando. En su lugar, la privacidad
de criminais, y los enemigos extranjeros est acercndose a lo absoluto. Si continuapor este camino, ninguna informacin de identificacin estar disponible en el poder cuando el gobierno se muestra, como se contempla especficamente en la Cuarta Enmienda, con una orden de "causa probable, estn corroborados mediante juramento o protesta y describan con particularidad el lugar que deba ser registrado y las personas o las cosas que hay que aprovechar ". Como resultado de este cambio en el equilibrio entre la privacidad, la seguridad pblica y la seguridad nacional, la lista de vctimas va en aumento y la World Wide Web se conoce como el Wild Wild West. Conforme pasa el tiempo, me parece que cada vez ms individuos de laais me encuentro tienen conocimiento de primera mano de la computadora
La preocupacin del Sr. Dick de que "los ciudadanos respetuosos de la ley estn descubriendo que su privacidad est siendo cada vez ms invadida por criminais, mientras que el criminais estn ganando la privacidad "se hace eco en el pblico y prVate sectores. Sin embargo, la aprehensin de ciber criminais, y siempre dentro de los lmites de la ley al hacerlo, sigue siendo imprescindible. Procedimientos inadecuados en la recogida y tratamiento de las posibles pruebas que pueden hacer que las pruebas admisibles en un tribunal de justicia. La Ley Patriota de EE.UU. de 2001 introdujo cambios significativos a la bsqueda de las leyes federales y las convulsiones.
Para ms informacin sobre la Ley Patriota de EE.UU. de 2001, vase el captulo 2 y el Apndice C.
Si bien est fuera del alcance de este libro para convertir al lector en un experto en medicina forense, la recoleccin adecuada de la evidencia informtica puede confirmar o disipar las concems acerca de si un Yoincidente judicial se ha producido. Este trabajo de investigacin tambin pueden documentar las vulnerabilidades de ordenadores y redes despus de un incidente ha sido verificada. Adems, es posible que desee obtener una formacin adicional antes de intentar algunas de las tcnicas descritas en este libro.
Porcentaje
26% 23% 19% 11% 6% 5% 4%
Tipo
Raz de un compromiso Solicitud de informacin Usuario compromiso Reconocimiento Virus Denegacin de servicio El uso indebido de los recursos
24 9 7
4% 1% 1%
Es el consenso general entre los expertos en seguridad informtica que la gran mayora de los delitos informticos no estn detectados o reportado. Hasta cierto punto, esto se debe a que muchos delitos informticos no son abiertamente obvio. Para utilizar una analoga simple, cuando un elemento (especialmente importante) es robado, el propietario detecta fcilmente porque el elemento faltante. Sin embargo, si un hacker roba datos de la computadora por la copia, los datos originales permanecen, y sigue siendo accesible para el propietario. Hay una variedad de maneras incidentes pueden ocurrir y maneras diversas en las que el impacto una organizacin. Algunos tipos comunes de incidentes informticos son los siguientes: Empleado mal uso de los sistemas (por ejemplo, violacines de las polticas de uso de Internet) El cdigo malicioso (por ejemplo, virunses, los gusanos o troyanos) Las intrusiones o piratera Monitoreo electrnico no autorizado (sniffers, keyloggers, etc) Web site defacement o vandalismo El acceso no autorizado a informacin confidencial Las herramientas automatizadas de escaneo y las sondas Sabotaje Ejecutivo (a travs de espionaje o empleados descontentos) Desafortunadamente, no hay soluciones generales para prevenir incidentes que se produzcan, y las soluciones lim-ITED que existen son caros y requieren una enorme cantidad de recursos de una organizacin. La opcin de utilizar los mtodos de respuesta a incidentes dbiles (o no los mtodos en todos) es, sin embargo, an ms caro y slo agrava el dao que causan los incidentes. Lo que se necesita es un compromiso a largo plazo para prevenir y responder sistemticamente a incidentes de seguridad en vez de hacer arreglos a corto plazo para los problemas seleccionados. La experiencia demuestra que la mayora de las organizaciones no piensan en cmo van a responder a un incidente de seguridad informtica hasta despus de que han sido signifi-icantly vctima de uno. No se han evaluado (o anticipados) el negocio de riesgo de no tener en su lugar formal de incidentes de deteccin y los mecanismos de respuesta. Cuando no se sabe que un intrusin (o un intrusiintento de n) se ha producido, es difcil, a veces imposible, determinar despus de que sus sistemas han sido comprometidos. Si la informacin necesaria para detectar una intrusin no se ha reunido y revisado, la organizacin no puede determinar qu datos sensibles, los sistemas y las redes estn siendo atacados y lo que las infracciones de la confidencialidad, integridad o disponibilidad se han producido. Como resultado de una falta de capacidad para detectar los signos de intrusin, puede ocurrir lo siguiente: No ser capaz de detectar tales signos de una manera oportuna debido a la ausencia de
nemecanismos de alerta necesarias y los procedimientos de revisin. Usted no ser capaz de identificar las intrusiones debido a la ausencia de informacin de referencia con el cual comparar el estado de funcionamiento actual. Las diferencias entre uno anterior configuracin y su estado actual puede proporcionar una indicacin de que una intrusin tiene ocurrido.
No ser capaz de determinar el alcance total de una intrusin y el dao que ha causado. Usted tambin ser incapaz de decir si se ha eliminado completamente la presencia del intruso de sus sistemas y redes. Esto impedir de manera significativa, y incluso aumentar, su tiempo de recuperacin. Su organizacin puede ser objeto de accin legal. Los intrusos pueden hacer uso de los sistemas que se han comprometido a lanzar ataques contra otros sistemas. Si uno de sus sistemas se utiliza de esta manera, es posible que se celebrar Hpor no poder ejercer el debido cuidado adecuado con con respecto a la seguridad. Su organizacin puede experimentar un golpe empaar su reputacin. Su organizacin puede sufrir la prdida de oportunidades de negocio. Reconociendo los signos de un incidente mientras se est produciendo es de suma importancia a la prdida de mitigacin. Algunos signos de que un incidente se ha producido son evidentes. Por ejemplo, un trabajador no seUn cuestionable adjunto de correo electrnico para detectar la presencia de cdigo malicioso y, despus de abrir un archivo adjunto, comprueba que su ordenador ya no funciona correctamente. En este ejemplo de un incidente de cdigo malicioso, se puede inferir que el archivo adjunto de correo electrnico contena algn tipo de cdigo malicioso o guin, que afect a una aplicacin o sistema operativo. Otros incidentes, tales como intrusiones en la red, a menudo son ms difciles de detectar. Los hackers estn siempre buscando nuevas formas de infltrado sistemas informticos en red. Ellos pueden tratar de penetrar las defensas de una red de trabajo desde ubicaciones remotas. En algunos casos, los intrusos recurrir a medidas extremas, incluidos los intentos de fsica infltrado de una organizacin para acceder a recursos de informacin. Los hackers suelen buscar las vulnerabilidades en la forma de software anticuado o sin parchear. Las vulnerabilidades recin descubiertas en los sistemas operativos, servicios de red y protocolos son los principales objetivos, y los hackers suelen aprovechar de ambos. Intrusiones y su dao resultante puede llevarse a cabo en cuestin de segundos, debido al desarrollo de potentes y sofisticados pro-gramos. Disponible gratuitamente en sitios de hackers subterrneos Web, los hackers utilizan estos programas de gran alcance para descifrar contraseas, pasar por alto frewalls y la velocidad de la plumatrar sistemas. El enfoque comn para detectar-intrusiones en desarrollo es como sigue: Observe a sus sistemas para un comportamiento inesperado o algo sospechoso. Invertirpuerta de todo lo que consideran inusual. Si su investigacin encuentra algo que no se explica por la actividad autorizada, de inmediato iniciar su intrusin los procedimientos de respuesta (los procedimientos de respuesta se tratan ms adelante en este captulo). Incluso si su organizacin ha implementado medidas de seguridad (por ejemplo, frewalls), es esencial que vigilar de cerca su sistema informtico para detectar signos de intrusin. El monitoreo
se puede complican debido a los intrusos a menudo ocultar sus actividades mediante la modificacin de los sistemas que han irrumpido en. Un intrusin puede ser ya en marcha y continuadesapercibida porque a los usuarios, parece que cada cosa est funcionando normalmente (en la superficie). La siguiente lista de comprobacin para Windows presenta importantes indicios de que su sistema puede haber estado en peligro, junto con algunas soluciones tiles:
Respuesta a Incidentes: Computer Toolkit Forense Busque las cuentas de usuario inusuales o no autorizado o grupos. Hay varias maneras de hacer esto. Puede utilizar la herramienta Administrador de usuarios en Windows NT o la herramienta de Administracin de equipos en Windows XP (vea la Figura 1-1) o el net user, el grupo de red, y net localgroup comandos en la lnea de comandos (DOS). Si el sistema no requiere el acceso de invitados, asegrese de que el incorporado en la cuenta de Invitado est deshabilitada.
Con la herramienta de gestin de equipo, compruebe si todos los grupos para la adhesin de usuario no vlido. En Windows NT, 2000 y XP, varios de los grupos predeterminados dar privilegios nicos a los miembros de esos grupos. Por ejemplo, mientras que los miembros de los Operadores de configuracin de red se han limitado los privilegios administrativos para administrar la configuracin de caractersticas de red, los miembros del grupo Administradores tienen el poder de modificar casi cualquier aspecto del sistema operativo.
Adems de la mencionada herramienta integrada de gestin de Windows, otra utilidad gratuita de auditorautilidad ng es DumpSec por SomarSoft. Este programa de auditora de seguridad para Windows NT vertederos de los permisos (DACL) y la configuracin de auditora (SACL) para el sistema de archivo, registro, impresoras, y participaciones en forma concisa y fcil de leer en formato haciendo los agujeros en la seguridad del sistema ms aparente. Para ms informacin o para descargar una copia de la visita de DumpSec www.somarasoft.com .
Revise los archivos de registro para las conexiones desde lugares inusuales o para cualquier actividad inusual. Todas las versiones de Windows NT tiene un visor de eventos integrada que le permite comprobar el inicio de sesin inusual enFrios, las fallas de los servicios, o se reinicia anormales del sistema. Tenga en cuenta que si tu firewall, servidor web, o un router escribe registros a una ubicacin distinta a la comprometido el sistema, que hay que examinar estos registros tambin.
Bsqueda de los derechos de usuario no vlidas. Para examinar los derechos de los usuarios utilizar la herramienta Administrador de usuarios en las polticas de derechos de usuario . Hay ms de dos docenas de los derechos que pueden ser asignados a usuarios o grupos. Normalmente, la configuracin por defecto de estos derechos es seguro. Revise para ver si las aplicaciones no autorizadas se estn ejecutando. Existen varios enfoques los hackers pueden tomar para iniciar un programa de puerta trasera, por lo tanto, puede que tenga que tomar una o ms de las siguientes precauciones: Examine el registro de Windows. Todas las versiones de Windows vienen con un editor integrado en el Registro (ver Figura 1-2) que se puede acceder fcilmente tecleando
regedit en el prompt de comando. Varios de los lugares ms comunes de las aplicaciones que inician a travs del Registro se ilustran en la Tabla 1-2.
|. ^ "^ _h0
Busque los servicios no vlidos. Algunos programas de puerta trasera se instalan como un servicio que se inicia automticamente cuando Windows se carga en primer lugar. Servicios continuacin, puede ejecutar como cualquier usuario con el inicio de sesin como el derecho de atencin al usuario. Verifique los servicios que se inician automticamente y estar seguros de que son indispensables. El archivo ejecutable de servicios tambin se deben analizar con un antivirus para asegurarse de que no ha sido sustituido por un troyano o backdoor. Los derechos de inicio de sesin controlar cmo el personal de seguridad se les permite el acceso a la computadora. Estos derechos se aplican si el acceso se realiza desde un teclado, o como un servicio que se activa cuando se carga Windows. Para cada mtodo de inicio de sesin, existen dos derechos de inicio de sesin, para permitir un inicio de sesin en el ordenador y el otro para negar el registro en el equipo.
Programas de puerta trasera permite a los hackers acceder a su ordenador mientras est conectado a Internet. Ellos pueden robar contraseas, registrar las pulsaciones, e incluso bloquear el equipo. El intruso debe engaar a un usuario ejecutar el programa en el ordenador del usuario. Esto se logra generalmente mediante el envo del archivo a travs de mensajes de correo electrnico oa travs de un servicio de mensajera instantnea.
1. De los hombres de inicio, Seleccione Programas Herramientas administrativas Administrador de servidores. 1. Desde el Administrador de servidores, seleccione el equipo y, a continuacin, seleccione el equipo Servicios de los hombres TEM. 2. Si usted posee los privilegios administrativos adecuados, que incluso ser capaz de ver qu servicios se ejecutan en equipos remotos, as. Basta con seleccionar el equipo remoto desde el Administrador de servidores, a continuacin, seleccione Servicios Informtica de los hombres.
11
Supervisar las carpetas de inicio del sistema. Puede examinar todos los accesos directos, seleccione Inicio Programas de inicio. Hay dos diferentes carpetas de inicio, uno para el usuario local y otro para todos los usuarios. Cuando un usuario inicia sesin, todas las aplicaciones, tanto en la carpeta Todos los usuarios y en la carpeta de inicio del usuario se han iniciado. Debido a esto, es importante para comprobar todo de las carpetas de inicio de aplicaciones sospechosas.
12
RegCleaner (ver Figura 1-3), escrito por Jouni Vuorio, es un programa gratuito para Windows que es muy til en la recopilacin de informacin importante acerca de los programas inician automticamente en el arranque del registro de Windows. Si las aplicaciones no deseadas o servicios estn presentes, este proprograma tambin le permite borrar la entrada del registro correspondiente. Tenga en cuenta que la alteracin del Registro puede ser difcil borrar la entrada incorrecta puede hacer que una aplicacin o el sis-tema operativo inestable o inutilizable. RegCleaner se puede encontrar en www.vtoy.fi/jvl6/index
. Shtml.
13
Revise las configuraciones de red para las entradas no autorizadas. Busque entradas no vlidas para la retirada deajustes como WINS, DNS, el reenvo de IP, y as sucesivamente. Estos ajustes se pueden comprobar con la herramienta Propiedades de red o mediante el ipconfig / al 1comando en el smbolo (DOS) pedir. Revise los archivos del programa de sistemas para las alteraciones. Compare las versiones de sus sistemas con las copias que usted sabe que no han sido alterados, tales como los de los medios de instalacin originales. Tenga cuidado de confiar en las copias de seguridad, sino que tambin puede contener caballos de Troya. Compruebe que los puertos de escucha para las conexiones inusuales de otras mquinas mediante el uso de la red Nmeros que hablan: un comando en el smbolo del sistema. Potente tercero de deteccin de puertos pro-gramas como SuperScan por Foundstone, Inc. tambin se puede utilizar para seuno de abiertos o activos puertos TCP / UDP. SuperScan (ver Figura 1-4) es un programa gratuito que se puede encontrar en
www.webattack.com.
Figura 1-4: SuperScan por Foundstone, Inc. no puede seuno de abiertos o activos puertos TCP / UDP.
14
Utilizando el software antivirus ayuda en la deteccin de ordenador virunses, los programas de puerta trasera y troyanos. Sin embargo, tenga en cuenta que, dado que los programas maliciosos se estn creando continuamente, es importante mantener siempre actualizado su software antivirus actualizado.
proliferacin de las computadoras personales (con un mnimo de controles de seguridad integrado), redes de rea local, y un flagrante desprecio por las prcticas informticas seguras. El nmero de variantes y las imitaciones de virunSES tambin ha aumentado y no muestra signos de disminuir. Amplio rea de redes (WAN). El uso de redes WAN, los gobiernos de enlace, las empresas, e instituciones educativas, contiES a crecer. Una respuesta eficaz a un incidente de seguridad informtica es importante que las agencias conectadas a travs de redes de gran tamao, como una intranet o en Internet. Debido a su interconectividad, un compromiso de un equipo puede afectar
otros sistemas que estn conectados a la red, pero se encuentran en diferentes organizacio-nes, dando lugar a posibles consecuencias legales o financieras. Los equipos de respuesta a incidentes son conscientes de que intruso intenta lpiztrar los sistemas se producen a diario en numerosos lugares a travs de-fuera de los Estados Unidos, sin embargo, muchas organizaciones siguen sin ser conscientes de que sus sistemas han sido penetrado o se han utilizado como trampoln para ataques contra otros sistemas. La reduccin de las barreras a la piratera. La potencia informtica es fcilmente disponible, como es la banda ancha conectividad. Los piratas informticos pueden descargar herramientas fcilmente a travs de Internet, por lo que poco cualificado los atacantes pueden lanzar ataques muy sofisticados. Hoy en da, estar preparado para manejar un incidente de seguridad informtica se ha convertido en una prioridad para la mayora de los administradores del sistema. Dado que las empresas aumentar su presencia en lnea y su dependencia de los activos de los sistemas de informacin, el nmero de incidentes informticos tambin se eleva. Estas organizaciones estn reconociendo finalmente la necesidad de adaptar sus posiciones de seguridad en consecuencia. Esto se logra-plished en tres etapas. En primer lugar, las organizaciones deben desarrollar e implementar planes de seguridad y controles en un esfuerzo proactivo. En segundo lugar, tienen que trabajar para asegurar que sus planes y los controles son eficaces por la continua revisin y modificacin de ellos para garantizar que la seguridad es siempre apropiada en el lugar. Por ltimo, cuando los controles se pasan por alto, ya sea intencionalmente o no, las organizaciones deben ser preen comparacin a actuar rpida y eficazmente a minimizar el impacto de estas fallas. El principal objetivo de estas medidas de seguridad es para evitar un problema de seguridad operacional se convierta en un problema de negocio que afecta a los ingresos. Los administradores y otros usuarios pueden obtener directrices en este libro para pre-planear una respuesta a los incidentes y minimizar cualquier impacto negativo en un negocio. Esperar hasta que un incidente se ha producido de forma natural es demasiado tarde para comenzar a planificar cmo hacer frente a tal evento. Planificacin de respuesta a incidentes requiere el mantenimiento de ambas funciones adminis-trativas y tcnicas. Cada parte debe estar familiarizado con el otro papel, las responsabilidades, y capacidades. Muchos de los programas de seguridad informtica no son eficaces en el tratamiento de las clases ms nuevos y menos comprendido-de amenazas a la seguridad. Las respuestas tradicionales, como el anlisis de riesgos, planificacin de contingencias, y las revisiones de seguridad informtica, no han sido suficientes para controlar los incidentes y prevenir daos a gran escala. Abundan las ancdotas en las que los incidentes de seguridad empeoran o si no han sido erradicadas de un sistema. En consecuencia, algunas organizaciones gastan demasiado tiempo reaccionar a los incidentes recurrentes, sacrificar la comodidad y la productividad. Por temor a amenazas desconocidas, algunas instituciones han equivocadamente restringido el acceso a sus sistemas y redes. Lo que se necesita en lugar por lo tanto, es una forma fundamentalmente diferente de la respuesta de equipo de seguridad, una respuesta que es capaz de detectar
rpidamente y reaccionar a los incidentes de una manera que sea eficiente y rentable.
Una empresa siempre debe hacer el esfuerzo para erradicar un incidente de seguridad del sistema de forma inmediata, por ejemplo, cuando las compaas no pueden enmendar sus programas de correo electrnico en busca de fallos conocidos y publicacin cized-, que puede verse afectado por un virus que explota la imitacin mismo error exacto.
Tener un incidente de seguridad informtica la capacidad de respuesta se traduce en que una organizacin est pre-comparacin para detectar y combatir los incidentes de seguridad informtica de una manera hbil y eficiente. Esta capacidad es una combinacin de personas tcnicamente capacitadas, polticas y tcnicas, con el objetivo de constituir un enfoque proactivo para el manejo de incidentes de seguridad informtica. Tener una capacidad de respuesta a incidentes con los elementos tradicionales de la seguridad informtica puede ofrecer a toda la organizacin de proteccin de los incidentes perjudiciales, el ahorro de los recursos de la organizacin y permitir que valiosas para un mejor aprovechamiento de la tecnologa informtica ms. Muchas empresas, organizaciones y agencias gubernamentales han puesto en prctica las capacidades de respuesta a incidentes con gran xito, ge-aliado de centrarse en el siguiente reas: Respuesta eficiente. La eficiencia es uno de los aspectos ms importantes de una capacidad de respuesta a incidentes de seguridad informtica. Sin una capacidad eficiente de respuesta a incidentes es desordenado, galvanizado y eficaz, con la organizacin de mantenimiento de los mayores gastos y dejando vulnerables de nerabilities abierto y sin proteccin. Por ejemplo, las respuestas sin educacin a los pequeos brotes de equipo virunses en realidad puede hacer que sus efectos mucho peores, dando lugar a cientos de ordenadores estn infectados por el equipo de respuesta a s mismo. Un buen equipo de seguridad incidenciacapacidad de respuesta de ayuda a Dent en la gestin de los gastos de respuesta a incidentes que son difciles de rastrear, hace que la evaluacin del riesgo ms precisa, y mejora la formacin de los usuarios y la sensibilizacin con respecto a la seguridad informtica. Por el contrario, un esfuerzo de respuesta a incidentes ineficaz puede Perpetuocomieron los problemas existentes e incluso EXACrbate ellos. Centralizacin. Un incidente de seguridad la capacidad de respuesta deben utilizar medios centralizados de informacin y el manejo de incidentes. Aunque no cabe duda aumenta la eficiencia, sino que tambin permite una evaluacin ms precisa de los hechos, como por ejemplo si estn relacionados con (a fin de evitar daos generalizados ms rpidamente posible). En virtud de la centralizacin, los gastos de incidentes capacidad de respuesta y de arriba hacia abajo se puede mantener, y la duplicacin de esfuerzos se puede reducir (posiblemente eliminar por completo). Las organizaciones pueden encontrar una significativa ahorro de costes como resultado. Mejora el conocimiento del usuario. Los beneficios de una capacidad de respuesta a incidentes incluyen el conocimiento de las amenazas de usuario mejorada y el conocimiento de los controles adecuados. Una capacidad de respuesta a incidentes ayudarn a la organizacin identificar las vulnerabilidades y emitir alertas de seguridad informtica. La informacin relativa a la conciencia de seguridad puede ser difundida a travs de salida de la organizacin mediante el uso de una variedad de mecanismos tales como una intranet de la empresa, sem narios, y talleres de capacitacin. Esta informacin mejora enormemente la capacidad de los usuarios de la gestin de sus sistemas de manera eficiente y segura.
El desarrollo de un incidente de
personal con las habilidades tcnicas necesarias. Los siguientes son caractersticas adicionales necesarias para una la seguridad del equipo de respuesta a incidentes capacidad de: Estructura. No hay una estructura nica para una capa de seguridad informtica de respuesta a incidentesdad. Dependiendo de las necesidades de la organizacin, esta capacidad puede tomar muchas formas. Si bien la centralizacin a menudo se presenta la estructura ms rentable, algunas organizaciones encuentran que una estructura de distribucin ms amplia, a pesar de algunas coincidencias inevitables, ms acorde con las estructuras existentes. Organizaciones muy pequeas puede resultar prctica para compartir una incidenciadente capacidad de respuesta con una organizacin ms grande. Gallinaee, una capaci de respuesta a incidentesdad estructura variar dependiendo de una variedad de factores. Informes centralizados y la centralizacin de los esfuerzos, sin embargo, en general, ayuda a disminuir los costos de operacin y mejorar efiey y seguridad. Los mecanismos de alerta. La capacidad de respuesta a incidentes debe incluir la capacidad para llegar rpidamente a todos los usuarios mediante el envo de una alerta a una lista de correo central, o bien de la tele-telfono de correo de voz, mensajes a travs de buscapersonas o Memorndums o listas de gestin de contactos. Informes centralizados. De respuesta a incidentes efectiva depende de la capacidad de una organizacin para comunicarse de forma rpida y cmoda. Mecanismos de comunicacin eficaces incluyen un centro de atencin telefnica de un seguimiento de 24 horas, un centro de direccin de correo electrnico de mensajera, o un arreglo de buscapersonas / celular. Los usuarios son ms propensos a comunicarse con su comunidadinformticos de seguridad al personal de respuesta a incidentes, si la organizacin ha hecho que la comunica-cin directa (por ejemplo, los usuarios slo tienen que recordar un nmero de telfono). Personal. La organizacin debera crse comi a un grupo de individuosais que son responsables para el manejo de incidentes: un incidente de equipo equipo de respuesta. Seguridad informtica personal de respuesta a incidentes debe diagnosticar y / o entender los problemas tcnicos, por lo tanto el conocimiento tcnico es un requisito fundamental para los miembros del equipo. Habilidades de comunicacin Superior son igualmente importantes. Incidentes de seguridad informtica puede generacintipo de situaciones de carga emocional, un hbil comunicador debe saber cmo resolver problemas tcnicos con salida alimentar emociones negativas o que complica an ms la situacin. Adems, INCIel personal de respuesta independientes pueden pasar gran parte de su tiempo en la comunicacin con los usuarios afectados y los administradores, ya sea directamente o mediante la preparacin de informacin sobre alertas, boletines y otros materiales de orientacin. Puede ser difcil, sin embargo, imperativo, para encontrar personal que tiene la mezcla correcta de tcnica, las comunicaciones, y las habilidades sociales.
18
el personal tendr un impacto (y potencialmente compromiso) de los esfuerzos de seguridad del resto de la organiza-zacin, as como sus clientes. Para desarrollar una capacidad de respuesta a incidentes completa, todas las organizaciones necesitan un equipo de respuesta a incidentes. En el caso de los delitos informticos o de sospecha de violacines de las polticas de usuarios, el equipo debe ser contratado. Previamente, el equipo debe contar con procedimientos escritos para la respuesta a incidentes, incluyendo lo que las condiciones lo permitan llamar a locales y / o las autoridades federales de aplicacin de la ley. Por ejemplo, dentro de violacines de las polticas de usuario puede dar lugar a acciones administrativas, tales como los empleados suspensinsin, o la terminacin del empleo, mientras que otros, los delitos informticos ms graves pueden requerir que aplicacin de la ley ser contactado. En cualquier caso, el equipo de respuesta a incidentes debe proteger las pruebas. Para violacines de polticas y acciones administrativas, los procedimientos siguientes puede ser suficiente. Sin embargo, para los delitos informticos ms graves, las autoridades policiales puede dar instrucciones al equipo de incidente para esperar a su su llegada antes de actuar. Las acciones necesarias para asegurar una escena de incidentes informticos se sospeche pueden ser Asegurar la escena La documentacin y el etiquetado de las pruebas El transporte de la evidencia Apagar el equipo (s)
intencionales Exploraciones infructuosas o sondas De nivel medio de incidentes son ms graves y deben ser tratados el mismo da que se produzca el evento (Normalmente en un plazo de dos a cuatro horas del evento). Estos incluyen
Destruccin de propiedad en relacin con un incidente de equipo Descarga ilegal de msica con derechos de autor / software no autorizado La violacin de acceso especial El uso no autorizado de un sistema de procesamiento o almacenamiento de datos personales Un acto que resulta de la terminacin del empleado hostil El acceso al edificio ilegal El robo de personal (modvelocidad a la valiosa) En relacin a un incidente informtico De alto nivel son los incidentes ms graves. Debido a la gravedad de estas situaciones y la probabilidad de daos causados a la lnea inferior de la organizacin, este tipo de incidentes deben manipularse inmediatamente. Ellos incluyen Destruccin de propiedad en relacin con un incidente de equipo La pornografa infantil Pornografa El robo de personal (ms alta en valiosoque por un incidente de nivel medio) en relacin a un incidente informtico Ruptura en la computadora de sospecha Denegacin de servicio (DoS) Descarga de software ilegal El cdigo malicioso (por ejemplo, virunses, los gusanos, troyanos, scripts maliciosos y) El uso no autorizado de un sistema de procesamiento o almacenamiento de datos prohibidos Los cambios en el hardware del sistema, el firmware (por ejemplo, el BIOS), o el software de los sistemas sindueo de temperatura de autorizacin Cualquier violacin de la ley Otros tipos de incidentes pueden incluir aislado casos de virunses o mal uso de computadoras el equipamiento, las acciones no intencionales, y las exploraciones comunes, sin xito o sondas. Cuando nos enfrentamos a un incidente de segu-ridad, una organizacin debe ser capaz de responder de una manera que proteja a su propia informacin y ayuda a proteger la informacin de otras personas que podran verse afectados por el incidente.
Evaluacin y contencin
Cada organizacin tiene que desarrollar en elFprocedimientos de presentacin de informes ernal que definen las acciones que deben ser tomadas en respuesta y notificacin de incidentes de seguridad informtica. En un mnimum, enFernal procedimientos deben incluir la organizacin de la cadena de autoridad o jerarqua y requieren la participacin de todo el personal de la organizacin de seguridad informtica. Estos procedimientos tambin requieren lo siguiente:
Conservacin de pruebas Valoracin Contencin y recuperacin de las acciones Daos determinacin Informe de la documentacin Las lecciones aprendidas Identificatin de las acciones correctivas requeridas por los programas de seguridad de la organizacin
Las organizaciones deben distribuir los procedimientos de seguridad informtica a todo el personal apropiados que se encarguen de la deteccin, denuncia, o el manejo de incidentes de alto nivel. Las partes responsables deben ser instruidos para leer y familiarizarse con la poltica de notificacin de incidentes. Individuosais asignados a la manipulacin de incidente o de informes se puede organizar en un equipo de respuesta que se convierte en activa cuando el incumplimiento se identifica. Todas las redes de la organizacin deben ser monitoreados en forma permanente. No es necesario para obtener e instalar intrusin de dispositivos de deteccin o software para cada servidor. Slo los lugares ms crticos necesitan tener intrusideteccin n instalado. Tan pronto como se detecta actividad sospechosa, personal cualificado designado para responder debe ser notificada a tomar medidas inmediatas. El personal de gestin de nivel superior autorizados a tomar las medidas de contencin debe evaluar el caso y tomar las medidas oportunas. Esto puede incluir el cierre de un sistema dentro de un plazo razo-nable despus del descubrimiento de un intrusin para contener cualquier dao futuro. En casos extremos, si el equipo de respuesta a incidentes no responde adecuadamente o si el problema no est contenido en una manera oportuna (generalmente 12 horas), director de la organizacin general de informacin (IC) O desgnate puede emitir una orden para que todo el sistema abajo. En dependencia directa del ICo de nivel superior del hombregestin debe ocurrir en los casos en que una evaluacin preliminar indica que un dao significativo a los recursos de la organizacin puede haber ocurrido. Tras la confirmacin, las acciones de respuesta a incidentes debe aplicarse de inmediato. La falta de cualquier funcionario en la cadena de informacin no debe retrasar la continuacin de la NOTIFICACIN incidenten o proceso de respuesta.
horas para responder al incidente con el poder de aprobar o rechazar el retorno del sistema para operaciones normales.
21
organizaciones externas. El impacto para cada sistema debe ser analizada para determinar si el control del sistema ha sido comprometido. Todos los sistemas comprometidos deben desconectarse de la exter-nales de comunicacin inmediatamente o tan pronto como sea posible. Control de un sistema se pierde cuando un intruso obtenga el control de la raz de gran alcance o las cuentas del sistema de alto nivel administrativo priv-vilegios. La determinacin tambin debe hacerse si los archivos de registro han sido borrados o en peligro.
sistema operativo. Por ejemplo, cuando se inicia el sistema operativo Windows hasta (cargas), que genera nuevos archivos y abre los archivos existentes. Esto tiene el potencial para sobrescribir y destruir los datos o elementos de prueba es posible pre-riormente almacenan en el archivo de intercambio de Windows. Para usar otro ejemplo, cuando el procesamiento de textos o archivos de otros programas se abren y se ve, se crean archivos temporales y se sobrescriben actualizadas versiones de los archivos, por lo que la evidencia potencial almacenada en estos lugares expuestos a la prdida. De acuerdo con los EE.UU. Departamento de Energa del Primer Manual de Servicio de respuesta, lo siguiente son las caractersticas bsicas y los procedimientos (desglosado por sistema operativo) que se deben seguir cuando un operativo el apagado del sistema est garantizada.
Caractersticas El texto es sobre un fondo slido (generalmente negro). El mensaje contiene una letra de unidad y utiliza las barras contrarias. El indicador por lo general termina con un signo mayor que (>). Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
Windows 3.X SISTEMA OPERATIVO
Caractersticas Gerente del Programa Barra de azulejos de colores Los hombres estndaropciones Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
Windows NT 3.51 SISTEMA OPERATIVO
Caractersticas Gerente del Programa Barra de azulejos de colores Los hombres estndaropciones Los iconos que representan equipos de la red y las personas Procedimientos de cierre
Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 23 Windows 95/98/NT 4.0/2000 SISTEMA OPERATIVO
Caractersticas El botn de inicio tiene un smbolo de Windows. Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
UNIX / LINUX SISTEMA OPERATIVO
Caractersticas El botn de inicio tiene una versi Unix / Linuxn smbolo. Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Haga clic para los hombres. A partir de los hombres, Haga clic en Consol. El usuario root del sistema est ajustado a #firmar. Si no est presente, cambie al usuario root (el tipo su -). En ese momento se le pedir la contrasea de root. Si la contrasea est disponible, entrar en l. Al #, tipo de sincroni zaci n, sincroni zaci n, para da , Y el si stem a se apag ar. Si no tienen la contrasea de root, pulel cable de alimentacin de la pared. Si el #seal se muestra cuando en la consola, El tipo identificacin y pulse Intro. Si usted ve que su ID de usuario es root, el tipo sin cro niza cin, sincroni zaci n, para da , Y pulse Ent er. Esto cerrar l a sistema. Si su ID de usuario no es root, pulel cable de la pared.
Sistema operativo Mac OS
Caractersticas Un smbolo de Apple en el co superior izquierdamer Las pequeas lneas horizontales en los hombres de la ventanabar Un solo botn en cada comer de la ventana
Papelera ICn Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Registre el tiempo de los hombresbar.
24
Haga clic en Especial. Haga clic en Cerrar. La ventana que dice que es seguro para tumen el equipo. Pulel cable de alimentacin de la pared.
Para ms informacin sobre los pros y los contras de hacer frente a la ley, vase el captulo 2.
Si no est seguro de lo que las acciones a tomar, no detener los procesos de los sistemas o manipular archivos. Esto puede destruir los rastros de un intrusin. Siga las polticas de organizacin y procedimientos. (Su organizacin debe tener una computadora capacidad de respuesta de incidentes / plan). Utilice el telfono para comunicarse. El atacante (s) puede ser capaz de monitorear el correo electrnico trfico. Pngase en contacto con el equipo de respuesta a incidentes para su organizacin. Experiencia tcnica rpida es crucial para prevenir mayores daos y proteger las posibles pruebas. Considere la posibilidad de la activacin de identificacin de llamadas en las lneas de entrada. Esta informacin puede ayudar a en la que conduce a la identificacin de la fuente / va de intrusin. Establecer puntos de contacto con el abogado general, el personal de respuesta a emergencias, y los funcionarios encargados de hacer cumplir. Contactos preestablecidos le ayudar en un esfuerzo de respuesta rpida. Haga copias de los archivos de un intruso pudo haber alterado o dejado atrs. Si usted tiene la experiencia tcnica para copiar archivos, esta accin ayudar a los investigadores a determinar cundo y cmo la intrusin puede haber ocurrido.
Identificar un punto de contacto principal para manejar las posibles pruebas. Establecer un procedimiento de cadena de custodia que realiza el seguimiento que ha estado involucrado en el manejo de la evidencia y en el que se ha almacenado. Potencial de hardware / software de prueba que es no se controla adecuadamente puede perder su valioso. No en contacto con el presunto autor.
25
La lista anterior incluye las herramientas bsicas de forenses y no pretende ser exhaustiva.
Si bien hay una serie de herramientas para plataformas Windows, son relativamente pocos existen para el Unix o Linux. El forense Toolkit (TCT), un paquete de software que es el estndar de facto para la recogida de pruebas forenses de las plataformas Unix y la gran cantidad de herramientas forenses disponible para la plataforma Windows, se tratan en detalle en el captulo 7.
26
preservacin de evidencia clave Los tipos especficos de medidas de respuesta til contra los ataques de hoy en da La importancia de la construccin de un conjunto de herramientas forenses
Captulo 2
Una mirada a la Cuarta Enmienda de la Constitucin de los EE.UU. Una breve introduccin sobre la Ley de Libertad de Informacin Los pros y los contras de tratar con la polica Intercambio de informacin en cuestiones de la investigacin de delitos informticos El papel de la Infraestructura Nacional Centro de Proteccin (INCP) Comprender la divulgacin y el descubrimiento Una breve descripcin de los delitos informticos federales y las leyes EXISTE UNA PREOCUPACIN CRECIENTE que individuosais, organizaciones y gobiernos de todo el mundo son cada vez ms en situacin de riesgo cuando deciden hacer caso omiso de las amenazas planteadas por los hackers, intrusos y cdigos maliciosos. La erupcin de los brotes de cdigo malicioso durante los ltimos aos se pueden observar demostraciones de cmo un individuo puede causar daos generalizados por infectar a cientos de miles de miles de ordenadores en cuestin de horas, y que l o ella puede lCate se dirige incluso cuando las vulnerabilidades son bien conocidas, muy difundido, y podra fcilmente ser protegidos. Sea cual sea su motivacin, las acciones de estos individuosais son a menudo imposible de distinguir de una otra. Desde una perspectiva de aplicacin de la ley, la captura de criminais, terroristas y agentes de inteligencia nunca ha sido ms difcil que en el entorno ciberntico de hoy. En el ajuste de hoy, los ataques e intrusiones son encriptados, dividida en paquetes, y se enva en todo el mundo, de forma annima pasa a travs de los proveedores de Internet y las telecomunicaciones que estn bajo ninguna obligacin de llevar un registro de sus sistemas, o, ms importante an, cmo puede ser mal. Las autoridades policiales deben actuar con cuidado al llevar a cabo investigaciones criminales informticos para atrapar a los perpetradores, mientras que la preservacin de los derechos de privacidad y los derechos civiles de los dems.
En este captulo se centra en los aspectos jurdico s relativos a los delitos inform ticos y los la aplicaci n de la ley el papel desemp ea en la investig acin de delitos inform ticos.
27
28
informacin electrnica almacenada en los ordenadores (u otros dispositivos de almacenamiento electrnico) bajo control del individuo. Por ejemplo, individuosais tienen una expectativa razonable de privacidad en el contenido de sus computadoras porttiles, discos flexibles, o buscapersonas? Si la respuesta es "s", entonces el gobierno generalmente debe obtener un justificar antes de que se tiene acceso a la informacin almacenada en l.
El 24 de julio de 2000, Kevin V. DiGregory, Fiscal General Adjunto para el Departamento de Justicia de EE.UU., hizo la siguiente declaracin ante el Subcomit sobre la Constitucin en relacin con la Cuarta Enmienda y su aplicacin en la era de la informacin:
No cabe duda de que la Cuarta Enmienda protege los derechos de los estadounidenses, mientras que trabajar y jugar en Internet tal como lo hace en el mundo fsico. El objetivo es larga y noble de larga tradicin: preservar nuestra privacidad mientras se protege la seguridad de nuestros ciudadanos. Nuestros padres fundadores reconocieron que para que nuestra sociedad democrtica para que sea segura y nuestra libertad intacta, la polica debe tener la capacidad de invertir puerta, detener y procesar a las personas por hechos delictivos. Al mismo tiempo, sin embargo, nuestros padres fundadores, celebrada en el desprecio desprecio del gobierno y el abuso de la intimidad en Inglaterra. Los fundadores de esta nacin adopt la Cuarta Enmienda para hacer frente a la tensionn que a veces puede surgir entre la privacidad y la seguridad pblica. En virtud de la Cuarta Enmienda, el gobierno debe demnstrate causa probable antes de obtener una orden de bsqueda, detencin, o intrusi parejan sobre la privacidad. Congreso y los tribunales han reconocido que la reduccin de las intrusiones a la privacidad debe ser permitida bajo un umbral menos exigente. La Electronic Communications Privacy Act (ECPA), establece un sistema de tres niveles por los cuales el gobierno puede obtener la informacin almacenada de los proveedores de servicios electrnicos de comunicacin de cationes. En general, el gobierno necesita una orden de registro para obtener el contenido de las comunicaciones no se recuperan, (como el correo electrnico), una orden judicial para obtener los registros de transacciones, y una citacin judicial para obtener la informacin de identificacin del suscriptor. Vase 18 USC 2701-11. Adems, a fin de obtener informacin del origen y destino en tiempo real, el gobierno debe obtener una "trampa y rastro" o "pen register" orden judicial que autorice el registro de dicha informacin. Vase 18 USC 3121, et seq. Debido a la Val privacidades lo protege, la ley escuchas telefnicas, 18 USC 2510-22, conocido comnmente como el ttulo III, pone una mayor carga sobre la interceptacin en tiempo real de alambre por va oral, y las comunicaciones electrnicas de la Cuarta Enmienda requiere. En ausencia de una excepcin legal, el gobierno necesita una orden judicial a las comunicaciones de escuchas telefnicas. Para obtener dicha orden, el gobierno debe demostrar que las tcnicas de investigacin habituales para la obtencin de la informacin que tiene o es probable que fracasen o que son demasiado peligrosos, y que cualquier intervencin se llevar a cabo a fin de garantizar que el intrusin es minimizada. Las garantas para la privacidad representados por la Cuarta Enmienda y las restricciones legales sobre el acceso del gobierno a la informacin no impiden la aplicacin efectiva de la ley. En su lugar, proporcionan lmites de aplicacin de la ley, aclarando lo que es recoleccin de evidencia aceptable y qu no lo es. Al mismo tiempo, aquellos que se preocupan profundamente por la proteccin de la privacidad individual tambin debemos reconocer que la polica tiene un papel crtico que desempear en la preservacin de la privacidad. Cuando la polica investiga, aprehende con xito, y persigue a un criminal que ha robado informacin personal de un ciudadano de un sistema informtico, por ejemplo, aplicacin de la ley es sin lugar a dudas trabajar para proteger la privacidad e impedir nuevas violacines de privacidad. Lo mismo ocurre cuando la polica detiene a un hacker que se comprometieron los registros financieros de un cliente del banco. A medida que avanzamos en el siglo 21, debemos asegurarnos de que las necesidades de privacidad
y seguridad pblica permanecen en el equilibrio y se reflejen adecuadamente en las nuevas y emergentes tecnologas que estn cambiando la cara de las comunicaciones. Aunque la misin principal del Departamento de Justicia es hacer cumplir la ley, el Fiscal General Reno y todo el Departamento entender y compartir el legtimopreocupaciones compaero de todos los estadounidenses con respecto a la intimidad personal. El Departamento ha sido y seguir siendo el compromiso de proteger los derechos de privacidad de los individuosais. Esperamos con inters trabajar con el Congreso y otros interesados individuosais para hacer frente a estos asuntos importantes en los prximos meses.
30
Segn el Departamento de Justicia de EE.UU., para determinar si una persona tiene una expectativa razonable de privacidad poder de la informacin almacenada en una computadora, ayuda para el tratamiento de la computadora como un recipiente cerrado, como una cartera o un gabinete de archivo. La Cuarta Enmienda prohbe la aplicacin de la ley general de acceso y visualizacin de informacin almacenada en una computadora sin una orden judicial si la ley se prohbe la apertura de un recipiente cerrado y el examen de su contenidos en la misma situacin (en las mismas circunstancias).
Mientras que una "expectativa razonable de privacidad" se aplica a las investigaciones policiales, que no ofrece ninguna proteccin a los individuosyos de las bsquedas por parte de sus empleadores, padres y cnyuges.
31
el hacker, luego de cerrar la puerta. Desafortunadamente, esto hace muy poco para ayudar con la seguridad en general. No slo es el intruso libres para intentar la hazaa en la misma red de otra compaa, l o ella puede haber sido SAwy suficiente para dejar atrs un puerta trasera a travs del cual Retumpara el sistema de explotacin ms tarde, sin ser detectado. Adems, otras con malas intenciones puede leamde la explotacin a travs de la comunidad hacker y debido a la falta de respuesta de aplicacin de la ley, participar en poner en peligro los sistemas informticos. Creer que un hacker est motivada nicamente por el deseo de demostrar sus destrezas de computacin, sin ninguna intencin real de daar, robar o estafar es ingenuo. Lo que puede parecer un truco simple, con un riesgo real de dao puede, de hecho, ser parte de un plan ms amplio para lanzar un ataque muy destructivo en contra de otros equipos sensibles. Los intrusos pueden poner en peligro numerosos sistemas, proceder a su recogida, como las tarjetas comerciales. Algunos piratas informticos utilizan las computadoras "robado" como trampoln para lanzar ataques contra otros ordenadores, el cierre de la prxima vctima, tomando la informacin del sistema, y utilizar los datos robados en los esquemas de extorsin, o para participar en un sinnmero de otros tipos de Yoconducta legal. Con cada compromiso, la seguridad de todas las redes se ha debilitado. Si las vctimas no denuncian este tipo de incidentes, la polica no puede dar una respuesta eficaz y adecuada. Los expertos del sector afirman que hay una gran variedad de motivos de la renuencia a informar comlos incidentes de seguridad informticos. Existe la percepcin por parte de algunas empresas que hay muy poco al revs de informar intrusiones en la red. Segn Richard P. Salgado, Abogado Litigante de la Seccin de Delitos Informticos y Propiedad Intelectual del Departamento de Justicia de EE.UU., la justificacin por no informar de un intrusin incluye lo siguiente: "La empresa vctima no sabe qu entidad del orden pblico a la calyo. Sin duda, las razones por las vctimas, el p local o estatalLos piojos no ser capaz de comprender el delito, y el Servicio Secreto y el FBI no tendra ningn inters en mi sistema. Si la compaa de la vctima no denunciar el intrusin de un organismo competente, la ley de hacer cumplir lascin no se va a actuar. En su lugar, el hecho de la intrusin, ser de conocimiento pblico, irremediablemente sacudiendo la confianza del inversor y el impulso de los clientes actuales y potenciales a los competidores que eligen no informar de las intrusiones. Si la polica acta sobre el informe y conductoress de una investigacin, la polica no se encuentra el intruso. En el proceso, sin embargo, la empresa perder el control de la investigacin. Los agentes policiales que aprovechen los datos crticos y las computadoras tal vez todo, daar el equipo y los archivos, el compromiso prVate informacin perteneciente a los clientes y proveedores, y ponen en grave peligro las operaciones normales de la empresa. Slo los competidores se beneficiarn los clientes de huir y valiosa de valorescae. Si la polica encuentra el intruso, el intruso probablemente sea un menor de edad, residir en un pas extranjero, o ambos, y el fiscal se reducir o ser incapaz de seguir el caso.
Si el intruso no es un menor, el fiscal concluye que la cuanta de los daos infligida por el intruso es demasiado pequeo para justificar el enjuiciamiento. Si la polica persigue con xito el intruso, el intruso recibir Proba-cin o en la crcel ms tiempo insignificante, slo para utilizar su experiencia para encontrar hackers la fama y un trabajo lucrativo en la seguridad de red. "
32
Salgado afirma adems que, aunque la lista anterior de las excusas puede parecer sorprendente, los obstculos a los informes pueden ser mseome mejor informados los propietarios de ordenadores de red y operadores, y hbiles prcticas de investigacin y enjuiciamiento. El riesgo que presenta, al no reportar las intrusiones es enorme. En el futuro previsible, las redes informticas son slo va a ser ms complejo, ms interconectado, y por lo tanto ms vulnerables a intrusiones. Las redes tambin se va a exigir ms importancia en nuestra prVate la vida, la defensa de nuestra nacin y la economa mundial. Por estas razones, es imperativo que las organizaciones y de individuosais entender la importancia la presentacin de informes intrusiones. Una de las ventajas ms notables de la cooperacin entre los prorganizaciones privadas del sector y los organismos de aplicacin de la ley es la distribucin ms rpida de informacin sobre las amenazas y las formas de contrarrestarlos. Por el contrario, las organizaciones de la prtor privado a veces encuentran que las llamadas en la aplicacin de la ley para invertirpuerta de un delito informtico puede dar lugar a lo siguiente: La prdida de la privacidad de su informacin personal La prdida de confianza de los consumidores Los ataques de represalia por parte del intruso Una paralizacin de la empresa como los agentes de la ley confiscar y revisar las pruebas Aunque ha habido intentos de aliviar los temores antes mencionados y promover iniciativas de cooperacin entre la polica y el RPtor privado, las vctimas de equipo intrusin siguen siendo reticentes a calyoen la aplicacin de la ley cuando un intrusin tiene OCeurred. En su discurso de apertura del 05 de abril 2000 Cumbre de la ciberdelincuencia, el Fiscal General, Janet Reno, abord estas cuestiones. Siguiente es un extracto de su discurso:
Aplicacin de la ley, como la industria, tiene sus deberes, sus herramientas y sus limitaciones. Como fiscal de casi el 15 aos en Miami, te puedo decir que s cmo intrusiva de una investigacin penal puede ser. He odo hablar de los banqueros mucho antes de que hablaba en trminos de herramientas cibernticas acerca de por qu no inform de un desfalco-cin, por qu no queran que aguantar a una investigacin criminal. Quiero sus opiniones, sus sugerencias-ciones acerca de lo que podemos hacer en cumplimiento de la ley para disear investigaciones que permitan alcanzar la verdad, que puedan hacerlo de acuerdo a los principyoes de la Constitucin y hacerlo con el menor trastorno posible a sus empresas. Le pedimos a la industria a reconocer que la polica tiene mucho que ofrecer para hacer de Internet un lugar seguro para sus negocios y clientes. Pero tambin reconozco que es difcil para el gobierno para atraer un nmero suficiente de personas que tienen tanto en la tcnica y el asesoramiento jurdico para hacer frente a las cuestiones crtico-cos los que nos enfrentamos. Me he sentido tan orgulloso de los funcionarios del Departamento de Justicia que han hecho tanto con recursos limitados, el equipo limitado. Y queremos trabajar con usted para entender mejor cmo podemos atraer a la gente, qu podemos hacer para retenerlos, cmo podemos trabajar con usted en asociaciones pblicoprivadas para alcanzar nuevas metas. Slos funcionarios de mayor jerarqua de la seccin del Departamento de Delitos Informticos se renen peridicamente con los representantes de los proveedores de servicios de Internet, empresas de telecomunicaciones, y otros a travs de grupo de informacin de la industria. El FBI Nacional del Centro de Proteccin de la Infraestructura y sus
escuadrones de delitos informticos han trabajado para desarrollar el Programa de Infragard en las comunidades de todo el pas, para construir relaciones. Y creo que las relaciones es lo que se trata. Hasta que el agente del FBI se sienta con su oficial de seguridad o de ofertas de uno en uno en trminos de una investigacin, las personas no se conocen entre s. Pero cuando tienen esa experiencia, cuando se tiene una buena relacin de trabajo, cuando se puede construir sobre una buena experiencia, se aprende mucho acerca de cmo podemos trabajar juntos. Me gustara utilizar
En su discurso, Reno sostuvo que con el fin de equilibrar los derechos constitucionales como la privacidad y la libertad de expresin con la seguridad y la seguridad, ACila relacin en s debe ser forjado entre la polica y prVate industria. Como hemos visto sin embargo, las organizaciones suelen ser reacios a calyoen la aplicacin de la ley por temor a la prdida de datos confidenciales o la publicidad negativa. Sin embargo, es slo cuando el delito ciberntico es trado a la atencin de aplicacin de la ley por las empresas y otros vctimas que las medidas efectivas se pueden tomar para combatirlo.
de delitos informticos
Individuosais y organizaciones de la prdel sector privado suelen ser las primeras vctimas de cdigos maliciosos y hackers. Si bien este es un hecho lamentable, las agencias de aplicacin de la ley siempre se benefician cuando el prVate acciones del sector de sus conocimientos y experiencia con ellos. En las agencias informativas del gobierno, tales como la Seccin de Delitos Informticos y Propiedad Intelectual del Departamento de Justicia de EE.UU. (www.cybercrime.gov)y el Centro de Proteccin de Infraestructura Nacional (www.nipc.gov)recolectada de forma rutinaria la inteligencia de la industria en un esfuerzo para ayudar a resolver los casos de delitos informticos y la prevenir las futuras.
34
Como se mencion anteriormente en este captulo, las organizaciones a menudo se concemed que la informacin compartida con el gobiemcin podra hacerse pblico. En su testimonio de marzo de 2000, Harris Miller Asimismo, opin lo siguiente:
Las empresas son reticentes a compartir informacin sensible acerca de las prcticas de prevencin propio, intrusiones, y los crmenes reales, ya sea con Govemagencias de desarrollo o de los competidores. El intercambio de informacin es una propuesta arriesgada con menos de beneficios claros. Ninguna empresa quiere salir a la superficie la informacin que le han dado la confianza de que pueden poner en peligro su posicin en el mercado, las estrategias, la base de clientes, o las inversiones de capital. o que corren el riesgo voluntariamente se abre a un litigio ficticio, pero costoso y consume mucho tiempo. Liberar la informacin sobre las violaciones de seguridad o vulnerabilidades de los lazos en sus sistemas slo presenta tales riesgos. La publicidad negativa o la exposicin como resultado de los informes de violacines de infraestructura de informacin puede llevar a las amenazas a los inversores - o peor - la confianza del consumidor en los productos de la empresa. Asimismo, las empresas temen revelar secretos comerciales a los competidores, y son comprensiblemente reacios a compartir informacin de propiedad. Tambin temen compartir esta informacin, en particular con Govemambiente, puede conducir a una mayor regulacin de la industria o del comercio electrnico en general. Estas concems son relevantes si estamos hablando de entre la industria, la cruz de la industria, o de la industria / Govemcin de intercambio de informacin. Combine esto con una histricaelas empresas la falta de confianza hacia la aplicacin de la ley, o la preocupacin de que los sistemas de la empresa puede llegar a ser atrapado en una investigacin y por lo tanto pierden la produccin / tiempo de desarrollo, y muchos les resulta ms fcil guardar silencio y absorber el dolor infligido por intrusiones, incluso a un costo sustancial. Tambin sera negligente si no recuerdan el comit de la necesidad de una compaa para proteger la privacidad de los clientes individuales. Los temores de la industria que las violaciones de privacidad de los clientes inocentes inadvertidamente oceur durante las investigaciones. Pocas empresas de alta tecnologa est interesado en ser percibida por sus clientes como los agentes activos de la aplicacin de la ley. Agencias, por su parte, se ve a menudo como exige este tipo de informacin de la prtor privado, pero devolviendo poco a cambio. Permtanme ser franco. El intercambio de informacin no puede ser una calle de sentido nico.
Bajo la Ley de Libertad de Informacin, la informacin tal como la magnitud de los daos causados por una infeccin de virus o hackers incidente as podra llegar a ser pblica, daando la reputacin de una organizacin, y ayudar a la competencia como un efecto secundario. Al compartir los detalles de un ataque con la polica agenciasCIES, las organizaciones pueden aumentar sus probabilidades de detectar y reducir las amenazas de los ciber-criminales actividad. El actual sistema legal de EE.UU. hace que sea complicado y difcil de compartir informacin sobre intrusin de los casos antes de que los arrestos se puede hacer. Para hacer frente a conce privacidadms, la informacin es que se debe preservar, clasificar y protegido, y todo lo que sea posible se debe hacer para asegurarse de que la informacin llegue slo a las
manos adecuadas. Los datos confidenciales (por ejemplo, registros financieros personales y mdicos) son rutinariamente transferidos a travs de una serie de sistemas de informacin. Hay muchas maneras para salvaguardar esta informacin y garantizar que slo aquellos que necesitan saber que acceder a l y, a continuacin slo en cantidades limitadas.
lanzamiento de esos ataques. Y en segundo lugar, el gobierno slo puede ayudar a proteger las infraestructuras ms importantes de este pas mediante la construccin y la promocin de una coalicin de confianza, una. . . entre todos los organismos del gobierno, dos. . . entre el gobierno y la prtor privado, tres. . . entre los intereses de negocio de la prtor privado en s, y cuatro. . . en concierto con la mayor comunidad internacional. "El enfoque de la NIPC es desarrollar la capacidad de advertir, invertirpuerta, y crear asociaciones, as como iniciar la efectiva respuestas a incidentes de seguridad informtica.
36
para encontrar los datos. Los datos reales se mantiene hasta que llegan nuevos datos a lo largo y sobrescribe.
37
Los sistemas operativos, dispositivos de almacenamiento de datos, y nuestra capacidad para acceder a distancia continua de datospara evolucionar, lo que oblig procedimientos electrnicos de divulgacin para evolucionar tambin. La idea de abordar estas cuestiones y hacerlo correctamente puede convertirse rpidamente en enormes proporciones. Es importante darse cuenta sin embargo, que ayuda profesional calificado est disponible para ayudar en el proceso de divulgacin electrnica. Para comprender mejor la ley de divulgacin actual, a continuacin se presenta el Ttulo 18, Parte I, Captulo 121, Seccin. 2702 del Cdigo Penal Federal en lo que respecta a la divulgacin de informacin de la computadora:
La divulgacin de contenidos
(A)Prohibiciones. Salvo lo dispuesto en el inciso (b) 1. una persona o entidad que presta un servicio de comunicaciones electrnicas al pblico a sabiendas no divulgar a ninguna persona o entidad el contenido de una comunicacin, mientras que en almacenamiento electrnico por dicho servicio, y 2. una persona o entidad que presta servicio de computacin remoto al pblico a sabiendas no divulgar a ninguna persona o entidad el contenido de cualquier comunicacin que se realiza o mantenido en ese servicio A. en nombre de, y recibida por los medios de transmisin electrnica de (o creados por mediante el tratamiento informtico de las comunicaciones recibidas por medio de la electrnica transmisin de), un suscriptor o un cliente de dicho servicio, y B. el nico fin de proporcionar servicios de almacenamiento o procesamiento de la computadora, a tal abonado o cliente, si el proveedor no est autorizado a acceder a los contenidos de los este tipo de comunicaciones con fines de prestacin de algn servicio que no sean de almacenamiento o tratamiento informtico, y 3. un proveedor de servicio de computacin remoto o servicio de comunicacin electrnica a la pblico no podrn divulgar a sabiendas un expediente u otra informacin relativa a un subconjunto prescriptor o cliente de este servicio (no incluye el contenido de las comunicaciones refiere el apartado 1 o 2) a cualquier entidad gubernamental. (B) Excepciones. Una persona o entidad podr divulgar el contenido de una comunicacin 1. a un destinatario destinatario o destino de la comunicacin o de un agente de tal destinatario o destinatario; 1. lo autorizado en la seccin 2517, 2511 (2) (a), o 2703 de este ttulo; 2. con la autorizacin legal del originador o un receptor destinatario o destino de la
comunicacin, o al abonado en el caso de servicio de computacin remoto; 3. a un trabajador por cuenta ajena o autorizado, o cuyas instalaciones se utilizan para reenviar tales comunicacin a su destino; 4. como puede ser necesariamente de la entrega del servicio o para la proteccin del derechos o la propiedad del proveedor de dicho servicio, o 2. a una agencia de aplicacin de la ley -
38
Respuesta a Incidentes: Computer Toolkit Forense A. si el contenido (i) se obtuvieron de manera involuntaria por el proveedor de servicios, y parece (II) pertenecer a la Comisin un delito, o B. si lo requiere la seccin 227 de la Ley de Control de la Delincuencia de 1990 [42 USCA S 13032]; o C. si el proveedor cree razonablemente que una emergencia que involucre un peligro inmediato de la muerte o lesiones corporales graves a cualquier persona que requiere la revelacin de la informacin sin demora.
(C) Excepciones para la divulgacin de los registros de clientes. Un proveedor se describe en el inciso (a) podr divulgar un registro u otra informacin relativa a un suscriptor o un cliente de dicho servicio, sin incluir el contenido de comunicaciones cubiertos por el inciso (a) (l) O (a) (2) 1. lo autorizado en la seccin 2703; 2. con la autorizacin legal del cliente o suscriptor; 1. como puede ser necesariamente de la entrega del servicio o para la proteccin del derechos o la propiedad del proveedor de ese servicio; 2. a una entidad gubernamental, si el proveedor cree razonablemente que una emergencia que involucre un peligro inmediato de muerte o serio dao fsico a cualquier persona que justifique la divulgacin de la informacin, o 3. a cualquier persona que no sea una entidad gubernamental. Debido a la aplicacin universal generalizada de ordenadores, basado en el descubrimiento y la revelacinque se ha convertido en lugar comn en los litigios civiles. Mientras lo hace de muchas maneras prometen simplificar la preparacin del juicio y la presentacin, es complicado, y como tal, tambin tiene el potencial para aumentar dramticamente los costos relacionados con este tipo de litigios. Por ordenador basada en el descubrimiento y la revelacin puede ser costoso, como resultado de la mano de obra que debe ser aportado por los expertos contratados en el campo. La mayora de los observadores creen que, a pesar de sus costos, por ordenador basada en el descubrimiento con el tiempo superar el descubrimiento convencional, como ms y ms informacin est habitualmente genera, transmite, Ted, y se almacena en las computadoras. Muchos de los costos asociados con la informtica basada en el descubrimiento se puede evitar mediante una adecuada gestin del proceso de descubrimiento, as como la deteccin precoz de posibles problemas y sus soluciones.
detectan no se notifican. La razn principal para que los ataques pocos son denunciados por las organizaciones es el temor de que los empleados, clientes y accionistas perdern la fe en la organizacin si admiten que sus sistemas han sido atacados. No todo el equipo los robos pueden ser considerados delitos federales. En general, un delito informtico rompe las leyes federales cuando se trata de uno de los siguientes: El robo o el compromiso de la defensa nacional, relaciones exteriores, energa atmica, o de otro tipo informacin restringida Un equipo de propiedad de un gobierno de los EE.UU. departamento o agencia
Captulo 2: Aplicacin de la Ley relativas a consideraciones de A tipos de bancos u otras instituciones financieras de la mayora Interestatal o internacional de comunicaciones Las personas o equipos de otros estados o pases
39
En los Estados Unidos, hay numerosas leyes federales que protegen contra los ataques a las computadoras, el uso indebido de contraseas, las invasiones de la privacidad electrnica, y las transgresiones de otros ciber. Una de las eta-est proyectos de ley orientados hacia el mundo ciberntico fue la Ley de Fraude y Abuso de 1986. Esta pieza central de la legislacin regula los delitos informticos ms comunes, aunque muchas otras leyes tambin pueden ser utilizadas para procesar diferentes tipos de delitos informticos. El acto modific el Ttulo 18 del Cdigo de los Estados Unidos 1030. Esta ley fue diseada para complementar la Electronic Communications Privacy Act de 1986, que sirvi para prohibir la interceptacin no autorizada de las comunicaciones digitales. Las Enmiendas de abuso informtico ley de 1994 ampli la ley de 1986 para hacer frente a la transmisin de virus y otros cdigos dainos. Ms recientemente, la Ley Patriota de EE.UU. de 2001 (ms adelante en este captulo) hizo otros cambios radicales en las leyes federales sobre delitos informticos.
2. intencionalmente acceso a una computadora sin autorizacin o excede el acceso autorizado, y por lo tanto obtiene la informacin contenida en un registro financiero de una institucin financiera-cin, o de un emisor de la tarjeta tal como se define en la seccin 1602 (n) del Ttulo 15, o contenida en un archivo de una agencia de informacin de un consumidor, ya que dichos trminos se definen en la Feria Credit Reporting Act (15 USC 1681 et seq.);
Respuesta a Incidentes: Computer Toolkit Forense 3. intencionalmente, sin autorizacin para acceder a cualquier ordenador oun departamento o agencia de los Estados Unidos, tiene acceso a un ordenador de ese departamento o agencia que es para el uso exclusivo del Gobierno de los Estados Unidos o, en el caso de un ordenador no exclusivamente para tal uso, es utilizado por o para el Gobierno de los Estados Unidos y tal conducta afecta a la utilizacin de la operacin por el Gobierno de dicho equipo; 4. a sabiendas y con intencin de defraudar, acceso a una computadora de inters federal, sin autorizacin, o excede el acceso autorizado, y por medio de esta conducta fomenta el fraude previsto y se obtiene algo de valioso, A menos que el objeto del fraude y el Lo obtenido consiste nicamente en el uso del ordenador; 5. intencionalmente acceso a un equipo de inters federal, sin autorizacin y por medio de uno o ms casos de este tipo de conducta se altera, daos, o destruye la informacin en cualquier computadora de inters federal, o la prevencins autorizado el uso de cualquier equipo, tales o informacin, y por lo tanto A. provoca la prdida de uno o ms otros de una valiosala agregacin de $ 1,000 o ms durante cualquier perodo de un ao, o B. modifica o altera, o potencialmente modifica o altera el examen mdico, diagnstico mdico, tratamiento mdico o la atencin mdica de uno o ms individuosais; o 6. a sabiendas y con intencin de defraudar a los trficos (como se define en la seccin 1029), en cualquier contrasea o informacin similar a travs del cual se puede acceder a un ordenador sin autorizacin, siA. la trata afecta al comercio interestatal o extranjero, o B. equipo se utilice por o para el Gobierno de los Estados Unidos, ser sancionado conforme a lo dispuesto en el inciso (c) de esta seccin. (b) Quien intente cometer un delito en virtud del inciso (a) de esta seccin, ser castigado conforme a lo dispuesto en el inciso (c) de esta seccin. (c) El castigo por un delito previsto en el inciso (a) o (b) de esta seccin es 1. (A) una multa bajo este ttulo o encarcelamiento por no ms de diez aos, o ambos, y en el caso de un delito previsto en el inciso (a) (1) de esta seccin que no se produce despus de una condena por otro delito en virtud del inciso como o un intento de cometer un delito punible en virtud de este prrafo, y (B) una multa bajo este ttulo o encarcelamiento por no ms de veinte aos, o ambos, en el caso de un delito previsto en el inciso (a) (l) De esta seccin que se produce despus de una condena por otro delito en virtud del inciso tal, o un intento de cometer un delito punible en virtud de este prrafo, y 2. (A) una multa bajo este ttulo o encarcelamiento por no ms de un ao, o ambos, en el caso de un delito previsto en el inciso (a) (2), (a) (3), o (a) (6) de la esta seccin que no se produce despus de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un
delito punible en virtud de este prrafo, y (B) en una multa bajo este ttulo o encarcelamiento por no ms de diez aos, o ambos, el caso de un delito previsto en el inciso (a) (2), (a) (3), o (a) (6) de esta seccin que se produce despus de una condena por otro delito en virtud de dicha subseccin,cin, o la tentativa de cometer un delito punible en virtud de este prrafo, y
41
3. (A) una multa bajo este ttulo o encarcelamiento por no ms de cinco aos, o ambos, en el caso de un delito previsto en el inciso (a) (4) o (a) (5) de esta seccin que no se produce despus de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un delito punible en virtud de este prrafo, y (B) una multa bajo este ttulo o encarcelamiento por no ms de diez aos, o ambos, en el caso de un delito previsto en el inciso (a ) (4) o (a) (5) de esta seccin que se produce despus de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un delito punible en virtud de este prrafo. (d) El Servicio Secreto de Estados Unidos deber, adems de cualquier otra agencia que tenga dicha autoridad, tienen la autoridad para invertirdelitos de puerta en esta seccin. Dicha autoridad del Servicio Secreto de Estados Unidos se ejercern de conformidad con un acuerdo, que deber ser suscrito por el Secretario de Hacienda y el Fiscal General. (e) Tal como se utiliza en esta seccin 1. el trmino "equipo" se refiere a un sistema electrnico, magntico, ptico, electroqumica, u otros datos de alta velocidad de procesamiento del dispositivo de realizar aritmtica lgica, o las funciones de almacenamiento, e incluye a cualquier instalacin de almacenamiento de datos o la facilidad de comunicaciones directamente relacionadas o que operan en conjuncin con tales dispositivo, pero dicho trmino no incluye un automatizada mquina de escribir o tipografa, una calculadora de mano porttil, u otro dispositivo similar; 2. el trmino "computadora de inters federal" significa que una computadoraA. exclusivamente para el uso de una institucin financiera o del Gobierno de Estados Unidos, o, en el caso de un ordenador no exclusivamente para tal uso, utilizada por o para una institucin financiera la Constitucin o el Gobierno de Estados Unidos y la conducta constitutiva del delito afecta a la utilizacin de la institucin financieraLa operacin 's u operacin del Gobierno de ordenador tales, o B. que es uno de dos o ms equipos utilizados en la comisin del delito, no todos que se encuentran en el mismo Estado; 3. el trmino "Estado" incluye el Distrito de Columbia, el Commonwealth de Puerto Rico, y cualquier otra posesin o territorio de los Estados Unidos; 4. el trmino "institucin financiera" significa A. una institucin con depsitos asegurados por la Federal Deposit Insurance Corporation; B. la Reserva Federal o un miembro de la Reserva Federal incluyendo cualquier Federal Banco de la Reserva;
C. una universidad de crditon con las cuentas aseguradas por la Universidad Nacional de Crditon Administracin; D. un miembro del sistema de Federal Home Loan Bank y cualquier banco de prstamo hipotecario; E. cualquier institucin del Sistema de Crdito Agrcola bajo la Ley de Crdito Agrcola de 1971; F. un corredor-agente registrado con la Securities and Exchange Commission de conformidad con el artculo 15 de la Securities Exchange Act de 1934, y G. la Securities Investor Protection Corporation;
Respuesta a Incidentes: Computer Toolkit Forense 5. el trmino "registros financieros", la informacin derivada de cualquier registro en poder
de una institucin financiera perteneciente a la relacin del cliente con la entidad 6. financiera; el trmino "excede el acceso autorizado" significa tener acceso a un ordenador con la autorizacin y el uso de dicho acceso para obtener o modificar la informacin en la computadora que el accesser no tiene derecho para obtener o modificar, y 7. el trmino "departamento de los Estados Unidos" significa que el poder legislativo o judicial del gobierno o de uno de los departamentos ejecutivos enumerados en la seccin 101 del ttulo 5.
(F) Esta seccin no prohbe cualquier actividad que est autorizado legalmente investigacin, proteccin, o la inteligencia de una agencia de aplicacin de la ley de los Estados Unidos, un Estado, o una poltica subdivisin de un Estado, o de una agencia de inteligencia de los Estados Unidos. Como se puede ver, la legislacin ha sido cuidadosamente diseado para hacer frente a slo federales e interestatales delitos informticos. Este naci de la preocupacin de que el acto podra vifinales de cada estado las leyes de delitos informticos. Segn la ley, una computadora de inters federal, es "exclusivamente para el uso de una institucin financiera o del Gobierno de Estados Unidos, o, en el caso de un ordenador no exclusivamente para tal uso, utilizada por o para una institucin financiera o el Reino Unido Gobierno de los Estados, y la conducta constitutiva del delito afecta a dicho uso, o que es una de dos o ms equipos utilizados en la comisin del delito, no todos de los cuales se encuentran en el mismo Estado. "Las instituciones financieras cubiertas por el acto especficamente incluyen el seguro federal bancos, cajas de ahorro y cooperativas de crdito, corredores de bolsa registrados, miembros del Sistema Federal Home Loan Bank, la Administracin de Crdito Agrcola y el Sistema de Reserva Federal. Una condena por un delito bajo la Ley de Fraude y abuso puede resultar en una pena de prisin de cinco aos por una primera ofensa y diez aos por un segundo-delito OND. La Ley de Fraude y Abuso de 1986 carne acerca el resultado de aos de investigacin y discusin entre aquellos en la comunidad legislativa. Una de las principales razones de la demora del acto fue la enorme dificultad en la recoleccin de testimonios de las vctimas de delitos informticos. Las organizaciones han sido (y continuaser) muy reticentes a admitir que haban sido vctimas, ya que estaban preocupados por tener sus vulnerabilidades publicidad.
interfaz y facilidad de uso, el navegador de Internet ayud a marcar el comienzo de la revolucin de Internet. Con ms y ms individuosais, y las organizaciones de compras en Internet y los equipos habilitados para descubrir y explorar el Internet, la nueva legislacin era necesaria para mantenerse al da con el paisaje equipo en constante cambio. Al darse cuenta de la insuficiencia de la Ley de Fraude y Abuso de 1986, un nuevo crimen mil millonesllamado el abuso informtico Ley de Enmiendas de 1994 se convirti en ley. Las enmiendas, que son una extensificacinn de la Ley de Fraude y abuso, de manera significativa
43
aumentar las posibilidades de procesar con xito a los piratas informticos al cambiar la norma de "intencin" de causar dao al "desprecio temerario" y haciendo frente a la transmisin de viruncdigo malicioso y otras sesiones. Adems, mientras que las leyes anteriores, slo protegidos "federales de inters computa-res" (mquinas pertenecientes a una agencia gubernamental o empresa de servicios financieros), las nuevas normas cubren los equipos "utilizados en el comercio interestatal", es decir cualquier PC conectado a Internet.
ellos. Conceder el acceso a los registros del FBI amplio confidenciales de la empresa acerca de individuosais sin tener que mostrar evidencia de un crimen. Dar lugar a investigaciones en gran escala de los ciudadanos estadounidenses para fines de "inteligencia". La Ley Patriota de EE.UU. modificado ms de 15 leyes federales, incluyendo las leyes que rigen la comunidadordenador fraude y el abuso, el procedimiento penal, las escuchas telefnicas, la inteligencia extranjera y la inmigracin.
44
Estos Amnuncineampli la autoridad del FBI y otras agencias federales de aplicacin de la ley para tener acceso a las empresas, los registros mdicos, educativos, y la biblioteca, incluyendo los datos almacenados y de las comunicaciones electrnicas. Tambin ampli las leyes que rigen las escuchas telefnicas y de atrapar y traza los dispositivos de telefona a Internet y las comunicaciones electrnicas. Estos procedimientos de vigilancia mejoradas son las que presentan el mayor desafo a la privacidad y confidencialidad de los datos electrnicos.
Para ver un resumen de los cambios importantes introducidos por la Ley Patriota de EE.UU. de 2001 que se refieren a comla delincuencia ordenador y pruebas electrnicas, vea el Apndice C.
investigacin de delitos Los beneficios y los aspectos jurdicos del intercambio de informacin La funcin del Centro de Proteccin de la Infraestructura Nacional en la lucha contra el delito ciberntico La importancia de las leyes federales sobre delitos informticos y su importancia en medicina forense exmenes Comprender la divulgacin y el descubrimiento en la investigacin de delitos informticos
Captulo 3
Preparacin de los sistemas operativos de recoleccin de datos Habilitar la auditora y el registro Uso de la sincronizacin de tiempo y sellado de tiempo La identificacin de los dispositivos de red La recopilacin de datos de la memoria Imgenes de discos duros A raz de la cadena de custodia para la recopilacin de la memoria La continuidad del negocio y planes de contingencia EN RESPUESTA A INCIDENTES DE SEGURIDAD INFORMTICA ES, EN GENERAL, NO UNA TAREA FCIL. De respuesta a incidentes eficaz requiere una mezcla de conocimientos tcnicos, la comunicacin, la responsabilidad y la coordinacin entre todo el personal de respuesta de una organizacin. Hay varias etapas distintas de la respuesta al dirigirse a un incidente de seguridad informtica: preparacin, identificacin, contienen ambiente, la erradicacin, la recuperacin, y seguimiento. Entendiendo la importancia de cada etapa es fundamental para llevar a cabo una respuesta eficiente. Todo el personal de jerarqua de una organizacin necesita para entender el proceso de respuesta para que puedan trabajar juntos para manejar todos los aspectos inesperados de los incidentes que puedan surgir. En este captulo se centra en la preparacin forense y respuesta preliminar y su papel en la mitigacin de los efectos de los incidentes de seguridad informtica.
comunicarse con el equipo y entre ellos a un nivel bsico. Cada computadora de propsito general requiere algn tipo de sistema operativo que le dice a la computadora cmo opritmo y la forma de utilizar otro software y / o hardware que est instalado en ese equipo. Hay esencialmente dos tipos de sistemas operativos, los reductores
46
hacia el usuario domstico y las orientadas a las empresas o usuarios avanzados. En este captulo se discute los ms potentes sistemas operativos de redes. Los sistemas operativos ms utilizados se pueden dividir en tres familias: la familia de Microsoft Windows de sistemas operativos, de la familia Unix / Linux de sistemas operativos, y los sistemas operativos de Apple Macintosh. Cada una de estas familias ofrecen versiones de sistemas operativos que estn especficamente dirigidos a la creacin de redes, por lo que ampliamente utilizado por organizaciones de todo el mundo. De hecho, los sistemas Unix / Linux de funcionamiento, considera algunos de los sistemas ms seguros, estn diseados especficamente para la creacin de redes. La curva de aprendizaje de alta necesaria para configurar y mantener los equipos Unix / Linux basada, sin embargo, les ha impedido ser ampliamente aceptados. En la familia de Microsoft, Windows NT 4.0, 2000 y XP se utilizan comnmente operadores de redesating sistemas empleados por las redes de la organizacin. Debido a que son fciles de configurar y usar, y tiene la mayor base de aplicaciones escritas para ellos, son uno de los sistemas operativos ms populares y ampliamente utilizado en todo el mundo. La Apple Macintosh sistema operativo (en la actualidad en la versin OS X) es un sistema de red basado en Unix operativo con funciones de red potente y muchas caractersticas de seguridad. Sin embargo, debido a ciertas diferencias de arquitectura inherentes a los equipos de Apple, Mac OS basados en computadoras que no hayan alcanzado la popularidad de los sistemas operativos Windows. (Mac OS es, sin embargo, considerado por muchos como el ms adecuado para las organizaciones que utilizan grficos intensos programas como CAD / CAM). Si bien todos los sistemas operativos actuales ofrecen alguna medida de seguridad, son los sistemas operativos de red que poseen las capacidades ms grandes de seguridad. Permiten que la red de administraciones res para especificar los privilegios de acceso a los archivos individuales, directorios y dispositivos de hardware. A travs de su amplio uso de la auditora y los archivos de registro, sistemas operativos de red tienen el atractivo aadido de capturar y preservar las pruebas forenses potencial.
47
Dado que los archivos de registro a veces son la nica evidencia de actividad sospechosa, la falta de que los mecanismos para registrar esta informacin y la falta de usarlos para iniciar los mecanismos de alerta significativamente disminuye la capacidad de una organizacin para detectar intrusin intentos y para determinar si los intentos han tenido xito. Del mismo modo, pueden surgir problemas por no tener los procedimientos y los mecanismos necesarios en el lugar para analizar los archivos de registro que tener han registrado. Los registros pueden ayudar a las organizaciones de Alertar a los administradores de sistemas de cualquier actividad sospechosa La determinacin de la magnitud de los daos causados por la actividad de un intruso Ayudar a recuperar rpidamente los sistemas de El suministro de informacin o servir como pruebas necesarias para el procedimiento judicial
Para habilitar la auditora / registro en Windows NT 4.0, haga lo siguiente: 1. De los hombres de inicio, Seleccione Programas Herramientas administrativas Administrador de usuarios. 2. De las polticas de usuario del Administrador de los hombres, Seleccione Cuentas, que activa la directiva de auditora dilogo de la pantalla.
Respuesta a Incidentes: Computer Toolkit Forense 3. Ahora permitir la fiscalizacin, estos eventos opcin y luego seleccionar los eventos de auditora siguientes: En la columna Si no, seleccionar todos los eventos. En la columna de xito, seleccione los siguientes eventos: inicio de sesin y cierre de sesin, Administracin de usuarios y grupos, cambios de directivas de seguridad, reiniciar, apagar, y el sistema. 4. Seleccione Aceptar para aceptar la directiva de auditora. Ahora todas las opciones seleccionadas se escribir en el registro de eventos. Al igual que su predecesor, NT 4.0, Windows 2000 deshabilita la directiva de auditora de cada categora por defecto, por lo que el registro de seguridad permanece vaco en un sistema operativo recin instalado. El procedimiento general para habilitar la auditora local / registro en Windows 2000 es el siguiente: 1. Inicie sesin en Windows 2000 con una cuenta que tenga derechos administrativos completos. 2. De los hombres de inicio, Vaya a Herramientas administrativas Poltica de seguridad local. Este abre la ventana de configuracin de seguridad local. 3. En el panel izquierdo, haga doble clic en Directivas locales para expandirla. 4. Ahora, haga doble clic en Directiva de auditora. 5. En el panel derecho, seleccione la directiva que desea habilitar o deshabilitar haciendo doble clic en l. 6. Seleccione el deseado xito y / o falla la casilla de verificacin. El procedimiento general para habilitar la auditora local / registro en Windows XP es el siguiente: 1. Inicie sesin como Administrador. 2. Haga clic en el botn Inicio y seleccione Panel de control. 3. En el panel de control, seleccione Rendimiento y mantenimiento y, a continuacin, seleccione Administrativo Herramientas. 4. Haga doble clic en Directiva de seguridad local de acceso directo para abrir y ampliar la
misma. 5. En el panel izquierdo, seleccione la directiva de auditora para mostrar la configuracin de polticas individuales, que se aparecen en el panel derecho. (Ver Figura 3-1). 6. Haga doble clic en cada opcin en el panel de la derecha para habilitar la auditora para cada tipo de auditora deseado. (Ver Figura 3-2). Recuerde, la forma ms bsica de tener intrusin la deteccin en Windows es para habilitar la auditora. Esto le avisar a los cambios en las directivas de cuenta, intentaron hacks de contraseas, y no autorizados acceso a los archivos, as como CRcomieron los archivos de registro que posteriormente pueden ser utilizados como evidencia.
49
Figura 3-2: La cuenta de Auditora eventos de inicio de sesin cuadro de dilogo Propiedades de Windows XP Pro
deben tener acceso a un puado de usuarios, es posible que desee realizar un seguimiento tanto intentos fallidos, as como los exitosos.
50
Por ltimo, debido a que el tamao predeterminado del archivo de registro de Windows es slo 512K, los administradores con siste-mas con modtasa de uso de alta podra aumentar la cantidad de datos de los archivos de registro pueden con-tener. Si bien el procedimiento exacto varES dependiendo de qu Versin de Windows se est utilizando, el procedimiento general es como sigue: 1. Haga clic en Inicio Panel de control Rendimiento y mantenimiento. 2. Seleccione Herramientas administrativas y, a continuacin, haga doble clic en Visor de sucesos. 3. En la ventana Visor de sucesos, resalte el registro que desea cambiar (vea la Figura 3-3). 4. De los hombres desplegablesen la accin principal, seleccione Propiedades. 5. En la ventana Propiedades de la aplicacin, ajustar el mtamao del registro de ximum consecuencia mediante la introduccin de una valiosa nuevaen la M
51
El acceso centralizado
Los archivos de registro son la mejor fuente de informacin para determinar si un sistema o red experimentan una amenaza de seguridad u otro problema. Con la proliferacin de dispositivos interoperables, no es raro encontrar organizaciones que utilizan mltiple plataformas informticas de red, tales como Windows, Linux o Novell NetWare. Como resultado, los administradores a menudo les resulta oneroso para tamizar a travs de los archivos de varios operativos de registro del sistema para reunir pruebas y buscar las seales que indi-cado ha ocurrido un incidente. Para facilitar este proceso, registro centralizado a travs del syslog proto-colo se emplea a menudo. Soporte para Syslog, que se incluye en los sistemas Unix y Linux, es un protocolo estndar de la industria utilizado para la captura de informacin de registro de los dispositivos de una red. Syslog es no incluido en los sistemas operativos Windows y Macintosh, sin embargo, hay solicitudes de terceros-ciones (ms adelante en esta seccin) disponibles para agregar esta capacidad a su sistema. La premisa bsica de registro centralizado es recoger los datos de registro y enviar esos datos a un ordenador que no sea el peligro. De esta manera, la ubicacin de los datos de registro est centralizada y la integridad de los datos protegidos se mantiene. El acceso centralizado mantiene un nico punto centralizado de almacenamiento de datos de registro, por lo que es ms fcil de realizar copias de seguridad, asegurar, y analizar. Si bien una serie de mecanismos de registro existen para diversas plataformas, el objetivo de un sistema centralizado de registro mecanismo es
apoyar a las plataformas ms utilizadas y populares. Cruz-plataforma centralizada de registroging software de produccins de distintos fabricantes pueden ser instalados fcilmente en la red de una organizacin. Los siguientes dos basado en Windows sistema centralizado de registro de la produccins son muy adecuadas para la tarea:
Kiwi Syslog Daemon por las empresas Kiwi es un demonio syslog freeware para la plataforma Windows. De acuerdo con el fabricante que recibe, registros, indicadores, y remite mensajes del syslog recibidos de los ejrcitos, tales como routers, switches, anfitriones de Unix, y cualquier otros sistemas-habilitados para registro de los dispositivos. Kiwi es en lnea en www.kiwisy si og.com. GFI LANguard Security Event Log Monitor de por GFI Software, Ltd. es un sistema centralizado segu-ridad escner de registro de eventos que, segn su fabricante, se recuperan todos los registros de sucesos de los servidores y estaciones de trabajo y alerta al administrador de fallos de seguridad para la inmediata intrusin deteccin. Mediante el anlisis de los registros de sucesos de Windows NT/2000 en tiempo real, GFI LANguard Security Event Log Monitor puede alertar a los eventos de seguridad importantes de HAP-rriendo en las estaciones de trabajo y servidores (por ejemplo, un usuario que intenta iniciar sesin como administrador, o una persona se han aadido al grupo de administradores). Debido a que GFI LANguard analiza los registros de sucesos del sistema, en lugar de oler el trfico de red como el tradicional intrusin sistema de deteccin (IDS) de la produccins no, no se ve afectada por los interruptores, el cifrado del trfico IP, o de alta velocidad de transferencia de datos. Buscar en GFI www.gfi.com. Por desgracia, siempre habr fallas de seguridad que pueden ser explotadas. Mientras que Yoentrada legal y el acceso a los sistemas informticos no siempre pueden evitarse por completo, este tipo de problemas, al menos deben ser registrados y rastreados en un registro de auditora con el fin de revelar los defectos de seguridad en sus sistemas y, posiblemente, la identificacin de aquellos (los seres humanos u ordenadores) que se han aprovechado estos defectos. El registro de la informacin es de suma importancia en un entorno adecuadamente seguro. Registros por s mismos, sin embargo, ofrecen muy poco si los archivos no estn siendo recogidos y revisados.
Mientras que los permisos de archivos protege los archivos de registro de la alteracin sin privilegios, es posible que tambin desea proteger los archivos de registro de alteraciones no autorizadas por tener los archivos de registro por escrito en un CD-ROM u otro de slo lectura medios de comunicacin.
Sincronizacin de la hora
Mientras que el registro centralizado puede ser beneficioso para responder a incidentes de seguridad, sino que tambin presenta un problema nico. Los dispositivos ms en la red, los ms probable que sus tiempos no se mantengan sincronizadas. Esta falta de sincronizacin puede suponer una dificultad para la respuesta a incidentes. La automatizacin de la sincronizacin de los relojes del sistema ahorra un tiempo considerable frente a un suceso. Otro de los beneficios de la sincronizacin es que la evidencia se fortalece cuando el IDS y el anfitrin reportar el mismo evento al mismo tiempo. Si su organizacin conductoress negocios a travs de mltiple zonas de tiempo, el uso del meridiano de Greenwich (GMT) para configurar los sistemas.
Si bien una serie de mecanismos de sincronizacin de tiempo existe para las plataformas informticas diferentes, el objetivo de un sistema centralizado de tiempo de sincronizacin mecanismo para apoyar a las mayora de las plataformas. Para el protocolo de Internet (IP) basados en redes, Network Time Protocol es el ms comnmente utilizado. El Network Time Protocol (NTP) proporciona un mecanismo para sincronizar la hora en las computadoras a travs de Internet. Dispositivos de Unix, Linux y la mayora de IP se han incorporado en el soporte nativo para la pro NTPprotocolo. Mientras que Windows no lo hace, puede utilizar NTP a travs de la produccin como de terceros gratuitos como:
53
La NIST de servicios de Internet Time (ITS), disponible en www.boulder.nist.gov/timefreq/~~V servicio / its.htm. Hora mundial por PawPrint.net, Disponible en www.pawprint.net/wt/~~V .
Yo
Con el fin de partipar en la red de sincronizacin existente NTP y obtener la hora exacta y confiable cuando se utiliza en Unix o Linux, por lo general es necesario construir un archivo de configuracin adecuado, conocido comnmente como ntp.conf. La
sintaxis exacta de este archivo de configuracin vara en funcin del servidor de tiempo con el que usted est tratando de sincronizar y la versin de Unix / Linux que est utilizando. Los usuarios estn invitados a consultar con su Unix / Linux documentacin para ms detalles.
Sellado de Tiempo
Una de las primeras cosas que un hacker o intruso red intentan es modificar la fecha de entrada en un sistema informtico. Es una ventaja para los hackers a buscar redes cuyo tiempo docks no estn sincronizados. Adems, mediante la falsificacin de la fecha y hora, un hacker puede enviar un forense investiga-tor an ms lejos en un callejn sin salida. Hay dos formas de evitar este problema:
54
Asegrese de sincronizar los tiempos de todos los dispositivos de red Asegrese de que la verificacin del tiempo dentro de su sistema no puede ser distorsionada Ordenador docks a menudo se compone de bajo costo circuitos oscilantes que fcilmente pueden desplazarse por diversos-rales segundos por da. Si bien esto puede no parecer un gran problema, que puede ascender a varios minutos en el transcurso de un ao. La sincronizacin de los tiempos en todos los dispositivos de red aade un nivel de uniformidad de reloj a todas las partes respectivas de la red. Para evitar los intentos de hackers destinados a la falsificacin de su tiempo de entrada en un sistema, una red debe emplear un dispositivo digital de sello de tiempo que puede ser utilizado en una fecha posterior para probar que un documento electrnico exista en el momento indicado en el sello de tiempo. Para ser fiable, los sellos de tiempo de debe seguir siendo autntico, y la mejor manera de garantizar que un documento no ha sido falsificada es la de emplear los servicios de un dispositivo digital de sellado de tiempo de servicios (DTS). Si bien existen numerosas empresas que ofrecen este tipo de servicio, dos se destacan como lderes en este campo emergente. Datum, Inc. proporciona un acceso seguro y auditable de sellado de tiempo la tecnologa para las transacciones electrnicas, las referencias de tiempo para las redes informticas, y los motores de cifrado para distri-lucin y la recepcin de la informacin confidencial. Buscar en lnea en el Datum www.datum.com.
Evertrust.net mercados y produce alta calidad digital de estampado de tiempo de soluciones que ayudan a proteger la integridad de la documentacin digital. Busque en lnea en
www.evertrust.net.
Saber exactamente donde cada dispositivo se encuentra fsicamente Fcil de identificar a los usuarios y las aplicaciones que se ven afectados por un problema Sistemticamente buscar en cada parte de su red para los problemas Con el fin de asignar correctamente su red a la que se necesita saber Qu dispositivos se encuentran en la red
55
Qu dispositivos se conectan a su red a Internet Cmo se configuran los dispositivos Durante un incidente de seguridad informtica, el mapa de la red sirve como una referencia y un proyecto original. El mapa puede ser creada a mano usando cualquier dibujo o aplicacin diagrama de flujo. Sin embargo, esto puede ser tanto complicado y requiere mucho tiempo. El mtodo mejor y preferido es usar uno cualquiera de los muchos programas de software diseados especficamente para esta tarea. Uno de estos programas, el WhatsUp Gold galardonado por el Ipswich, Inc. (www.ipswitch.com), es muy adecuado para la tarea. Otro programa que puede ayudar en el desarrollo de un mapa de la red es de GFI LANguard Network Security Scanner (Figura 3-6) por GFI Software, Ltd. (www.gfi.com). Tenga en cuenta que la respuesta a incidentes es el proceso de xito frente a un suceso si el objetivo es recuperar slo desde el incidente o para llevar a los perpetradores ante la fiscala. Tener un mapa de la red puede ayudar a una organizacin de manera eficiente responder a incidentes de seguridad informtica por proporcionar rpidamente informacin acerca de la ubicacin y el estado de los dispositivos de red.
se utiliza sobre todo en situaciones donde la informacin almacenada es necesario mantener durante perodos prolongados de tiempo. Ejemplos de la memoria no voltil son los chips de la BIOS se encuentran en las placas base de ordenador o
Respuesta a Incidentes: Computer Toolkit Forense la memoria flash utilizada por las cmaras digitales. Desde chips de BIOS requieren hardware especial para modificar cualquier informacin almacenada en ellos, es poco probable que contendr la informacin relacionada con un incidente de seguridad. Por lo tanto, a un investigador forense, conservar los datos almacenados en los chips de BIOS no es tan importante como conservar los datos almacenados en la RAM. La memoria voltil se presenta una situacin diferente. Ejemplos de memoria no voltil son la memoria RAM (ran-dom memoria de acceso) chips utilizados por todos los equipos para cargar y almacenar los datos generados por el sistema operativo y las aplicaciones. Todos los datos almacenados en este tipo de memoria se pierde cuando la computadora est fuera de prisionero de guerra-so, con la prdida de datos se evidencia potencial. Debidamente agrupada, los datos tomados de la memoria voltil puede ser til para detener a un atacante y pueden producir evidencia til, admisible. Cuando la recopilacin de pruebas se debe proceder de la voltil a la menos voltil. Aqu es una simple ejemplo del orden de volatilidad para un equipo tpico. 1. Memoria 2. Los sistemas de archivos temporales 3. Disco 4. Configuracin fsica de la red La memoria es ms alto en la lista debido a que es ms voltil. Dado que la evidencia de un ataque puede escapar cuando la memoria se sobrescribe o se elimina, uno de los primeros pasos a tomar es realizar un volcado de datos. Esto es, el contenido de la memoria del sistema debe ser impresa o copiada mientras que todava reside en la memoria. Cuando se realiza en el momento adecuado, esta operacin se puede capturar y preservar las posibles pruebas mediante la documentacin de todas las acciones de cualquier alteracin del cdigo de programacin que existe en la memoria. La informacin obtenida de este proceso tambin puede servir como prueba de lo cual-Malcdigo cious operado en el sistema. De manera predeterminada, Windows NT, al igual que la mayora de los sistemas operativos de redes, slo se genera un archivo de volcado de memoria en un fallo del sistema. Afortunadamente, Windows 2000 y XP incluyen una caracterstica muy til que te permite hacer de forma manual el sistema deje de responder y de generacinclasificar un archivo de volcado de memoria. En primer lugar, debe estar configurado para hacerlo, sin embargo.
Configuracin de Windows 2000 y XP para generacintasa de un archivo de volcado de memoria luego de un cuelgue del sistema requiere que se modifique el registro de Windows una entrada de registro incorrecta puede causar problemas graves que conlleven la reinstalacin del sistema operativo. Utilice el Editor del Registro con cuidado y con extrema precaucin. Antes de modificar el Registro, asegrese de hacer copias de seguridad. Adems, es importante que usted entienda el procedimiento para restaurar el Registro en caso ocurre un problema.
Copia de seguridad del Registro y los procedimientos de restauracin se tratan en detalle en el captulo 4.
57
Para configurar Windows 2000 para realizar un volcado de memoria manual, haga lo siguiente: 1. Haga clic en el botn Inicio y seleccione Ejecutar. 2. En el cuadro de dilogo Abrir, escriba la palabra Regedit para iniciar el Editor del Registro. 3. Expanda el HKEY_LOCAL_MACHINE segmento de la Secretara de lcado en la siguiente clave:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \ Parameters
4. En los hombres Editar, Haga clic en Agregar Valu, A continuacin, agregue el siguiente registro de valoreses:
Valu AME: CrashOnCtrlScroll Tipo de datos: REG_DW0RD Valor: 1
5. Cis el Editor del Registro. 6. Reinicie el equipo para que los cambios se aplicarn. Despus de reiniciar el ordenador, puede generacintasa de un archivo Memory.dmp en la demanda, simplemente manteniendo pulsada la tecla Ctrl derecha y presionando la tecla Scroll Lock en dos ocasiones. |
Los pasos anteriores tambin funcionan en Windows XP, sin embargo, el procedimiento para agregar el CrashOnCtrlScrol 1Registro valiosa es ligeramente diferente. En la clave HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \ Parameters
En el sistema operativo Windows, existen tres tipos de volcados de memoria que pueden ser geneciadas: volcado de memoria completo, volcado de memoria del kernel, o el volcado de memoria pequea. Para los exmenes forenses de inations, lo mejor es elegir el volcado de memoria completa a fin de captar la mayor informacin posible. Antes de activar manualmente el volcado, siga este procedimiento general: 1. Haga clic derecho en Mi PC y, a continuacin, haga clic en Propiedades. 2. Haga clic en la ficha Opciones avanzadas y, a continuacin, haga clic en el botn Inicio y recuperacin. 3. En Informacin de Depuracin de escritura, seleccione la opcin Volcado de memoria completa.
58
\ W IN N T o r D: \ Windows.
Despus de localizar el Dumpchk.exe en su CD de Windows, copiar el archivo en el directorio por defecto de Windows (por ejemplo, C: \ Archivos para NT y 2000, o C: \ WIND0WS para XP). A continuacin, puede ejecute la utilidad Dumpchk directamente desde el comando (DOS) del sistema con la siguiente sintaxis:
dumpchk.exe Memory.dmp
/ Etc / crash-n-d livedump livedump Una vez que el archivo de volcado de memoria se crea y se verific su integridad, debe conservarse en forma adecuada para una futura revisin por un experto en informtica forense o las autoridades legales. Gran parte de la informacin contenida en un archivo de volcado de memoria es complejo, requiere un conocimiento avanzado de la computadora progra-macin de entender, y est ms all de la capacidad del usuario medio. Sin embargo, el
59
los procedimientos antes mencionados para la recoleccin puede ser muy beneficioso cuando una organizacin desea capturar y preservar la memoria relacionada con la prueba informtica cuando se realiza un anlisis forense investigacin. Recuerde lo siguiente cuando se trata de la evidencia digital obtenida de un volcado de memoria: Todos los princip estndar forense y de procedimientoyoES debe aplicarse. Al incautar evidencia relacionada con la memoria, las medidas adoptadas no deben cambiar esas pruebas. Las personas que tienen acceso a la evidencia digital original, debe estar capacitado para tal fin. Toda la actividad relacionada con la incautacin, el acceso, almacenamiento o transferencia de la evidencia digital debe ser plenamente documentado, en conserva, y que puede consultarse. Individuosais son responsables de todas las acciones tomadas con respecto a las pruebas digitales, mientras que tal evidencia se encuentra en su posesin. Cualquier individuo o grupo que es responsable de la incautacin, el acceso, almacenamiento o transferencia de evidencia digital es responsable de cumplir con estos principyoES. Con respuesta a incidentes y anlisis forense informtico, la salvaguardia y la proteccin de los datos es vital. A la informtica forense bien informadas profesionales deben asegurarse de que un equipo sujeto sistema se manipulan con cuidado para asegurar que No hay evidencia potencial est daado, destruido o comprometido de alguna manera por el procedimientos utilizados para invertirla puerta del equipo. Extrado y la evidencia relevante, posiblemente, se maneja adecuadamente y protegido de la tarde dao fsico o magntico. A continuacin la cadena de custodia se ha establecido y mantenido. Las operaciones comerciales se ven afectados por una cantidad limitada de tiempo, en todo caso. Toda la informacin del cliente-abogado que inadvertidamente se adquiere durante una exploracin forense-racin es de tica y respeto legal y no divulgada.
almacenados en un disco duro, la imagen es uno de los primeros procedimientos que se llevarn a cabo despus de que los contenidos de la memoria de la computadora han sido copiados y en conserva. Como su ame lo indica, el disco duro de imgenes ofrece una imagen de espejo o una instantnea de los datos con-contenidas en el disco duro. La instantnea es una perfecta sector por sector de la copia de la unidad, incluyendo todos los espacios no utilizados, y sobrescribe parcialmente. El proceso de imgenes no es destructiva con los datos
60
y no requiere que el sistema operativo que se ha activado (calzada). Esto asegura que el sistema no se altera de ninguna manera durante el proceso de formacin de imgenes y por lo tanto conserva su valiosa prueba. Una vez que se crea una imagen, el examen forense se llev a cabo utilizando slo la imagen (copia) y no el disco duro original. La capacidad de almacenamiento de los discos duros de las computadoras ha crecido exponencialmente en los ltimos aos. Como resultado, los discos duros son capaces de almacenar enormes cantidades de datos, el proceso de toma de imgenes ms complicado. El mejor enfoque para esta tarea es utilizar una herramienta de imgenes de disco. El proceso de simplemente encender el ordenador o utilizando una utilidad de software como Partition Magic de PowerQuest para copiar el disco duro original puede potencialmente contamiNate la evidencia. La base archivo por archivo de copia no captura todos los datos residuales (por ejemplo, archivos eliminados, espacio de holgura, y intercambio de archivos) necesarios para realizar un anlisis forense completo. Cmo elegir y utilizar la herramienta adecuada es imprescindible en una investigacin en informtica forense. De acuerdo con las especificaciones de imgenes de disco publicados por el Instituto Nacional de Estndares y Tecnologa (NIST), las exigencias de un alto nivel de imgenes de disco herramienta son las siguientes: La herramienta har una DUPL flujo de bitsCate o una imagen de un disco original o un disco particin en los medios de comunicacin fijos o removibles. La herramienta no modificar el disco original. La herramienta ser capaz de acceder tanto a discos IDE y SCSI. La herramienta deber ser capaz de verificar la integridad de un archivo de imagen de disco. La herramienta deber registrar los errores de entrada / salida (E / S). La documentacin de la herramienta deber ser correcta. Adems, los mandatos del NIST que los siguientes requisitos deben cumplirse por todas las herramientas de imgenes en disco: La herramienta no deber alterar el original. Si no hay errores de acceso a los medios de origen, a continuacin, la herramienta deber crse comi un flujo de bits DUPLCate del original. Si hay errores I / O para acceder a los medios de origen, a continuacin, la herramienta deber crse comi un cualificado flujo de bits DUPLCate. (Un cualificada de flujo de bits DUPLCate se define como un DUPLCate excepto en identificado reas del flujo de bits). La identificados reas se sustituyen por valoreses especificada la documentacin de la herramienta.
La herramienta deber registrar los errores de E / S, incluyendo el tipo de error y la ubicacin del error. La herramienta deber ser capaz de acceder a las unidades de disco a travs de una o ms de los siguientes inter-caras: acceso directo a la controladora de disco, Interrupt 13 interfaz BIOS, interrupcin 13 del BIOS interfaz extendida, ASPI interfaz SCSI, o interfaz de Linux. La documentacin debe ser correcta en la medida en que la obligatoria y todos los requisitos aplicados opcionales se refiere. Por ejemplo, si un usuario siguiendo procedimientos documentados de la herramienta produce el resultado esperado, entonces la documentacin se considera correcta.
61
La herramienta deber copiar una fuente a un destino que es mayor que o igual al tamao de la fuente, y deber documentar el contenido del reas sobre el destino que no forman parte de la copia. La herramienta deber notificar al usuario si la fuente es mayor que el de destino. Las siguientes dos imgenes de disco que las herramientas se encuentran entre los pocos elegidos que en la actualidad cumplir con la Afore-menciona los estrictos requisitos a lo dispuesto por el NIST: Linux dd es una utilidad gratuita para cualquier sistema Linux que pueda efectivamente la imagen y copia de todos los sectores en todos los SCSI e IDE. Esta utilidad incluye un mecanismo de MD5, que valores puedela fecha de los datos, imgenes y escribe al disco duro de la cinta, y cualquier otra extrable medios de comunicacin. Linux dd se puede encontrar en www.redhat.com . SnapBack DatArrest, por Columbia Data Producs, Inc. (CDP), es una completa solucin de imgenes de disco que se ejecuta desde un solo disquete. Segn su fabricante, se puede acceder a datos a una velocidad de hasta 300MB por minuto, as como copia de seguridad de DOS, Windows, Windows 95, Windows NT, y Unix desde el mismo disco, mientras que proporciona un registro legal de un exacto "imagen en tiempo "de los contenidos de la computadora. Incluso puede realizar copias de seguridad de un auto-destructiva (una trampa explosiva) de disco duro. Los detalles adicionales y los precios pueden ser encontrado en www.snapback.com.
La aprobacin de pruebas de un lugar a otro est completamente documentado. El fragmento que sigue, a partir de marzo de 2001 EE.UU. Boletn por Orin S. Kerr, Abogado Litigante de la Seccin de Delitos Informticos y Propiedad Intelectual del Departamento de Justicia de EE.UU., explica algunas de las cuestiones importantes que pueden surgir cuando el gobierno busca la admisin de los registros informticos en las Reglas Federales de Evidencia.
62
La EE.UU. Boletn seala adems: "Los estados mejor evidencia de que la regla para probar el contenido de la escritura, grabacin, o una fotografa, la escritura original, de grabacin o fotografa se requiere generalmente. Ver Reserva Federal. R. Evid. 1002. Los agentes y fiscales en ocasiones expresar la preocupacin de que una impresin simple de un archivo de computadora almacena electrnica no puede ser un "original" con el fin de la mejor evidenciadencia regla. Despus de todo, el archivo original no es ms que una coleccin de Os y ls. En contraste, la impresin es el resultado de la manipulacin del archivo a travs de una complicada serie de procesos electrnicos y mecnicos. Afortunadamente, las Reglas Federales de Evidencia se refiri expresamente a esta preocupacin. Reglas de Estado federal que [S] i los datos se almacenan en una computadora o dispositivo similar, cualquier impresin u otra salida legible a simple vista, que se muestra para reflejar los datos con precisin, es un original. " El boletn mencionado se refiere a las Reglas Federales de Evidencia, que se puede encontrar en www.cybercrime.gov en la Seccin de Delitos Informticos y Propiedad Intelectual del
Departamento de Justicia de EE.UU.. Estas normas regulan la presentacin de pruebas en los procedimientos, tanto civiles como penales, en los tribunales federales. Si bien no se aplican a los juegos en los tribunales estatales, las reglas de muchos estados han sido cerca el modelo de estas disposiciones. Cuando se trata de la cadena de custodia, auten-ticacin o la identificacin es de suma importancia. El estndar para la autenticacin de los registros informticos es el mismo que para la autenticacin de otros registros. El grado de autenticacin no vara simplemente porque un registro pasa a ser (o ha estado en un punto de estado) en forma electrnica.
63
En resumen, para las imgenes digitales, la cadena de custodia debe documentar la identidad de la indicacinViduais que han tenido la custodia y el control de la imagen digital (s) desde el punto de captura hasta su archivo. Una vez que el archivo ha sido archivado, la cadena de custodia debe documentar la identidad de individuos de laais que tienen la custodia y el control de la imagen archivada.
1. DESARROLLO DE LA DECLARACIN DE LA POLTICA DE CONTINGENCIA DE PLANIFICACIN Para ser eficaces y asegurar que el personal entiende completamente la agencia de planificacin de contingencia-los requisitos, el plan de contingencia debe basarse en una poltica claramente definida. La declaracin de poltica de planificacin de contingencia, debe definir los objetivos generales de la agencia de contingencia y establecer
64
la estructura organizacional y las responsabilidades para la planificacin de contingencia de TI. Para tener xito, sINOR gestin, ms probable es que el director de informacin (IC), Debe ser compatible con un programa de contingencia. Estos funcionarios deben ser incluidos en el proceso de elaboracin de la poltica del programa, estructura-tura, los objetivos, funciones y responsabilidades. Como mnimo, la poltica de contingencia en caso de cumplir con las pautas federales contenida en los documentos Usted por el NIST SP 800-34, las agencias deberan evalse coman a sus respectivos sistemas de TI, operaciones, y los requisitos adicionales para determinar si conti-planificacin de emergencia-requisitos son necesarios. Los elementos clave de poltica son los siguientes: Funciones y responsabilidades Alcance tal como se aplica al tipo (s) de la plataforma (s) y funciones de la organizacin sujeta a Concontingencia de planificacin Las necesidades de recursos Los requisitos de capacitacin El ejercicio y los horarios de las pruebas Plan de programa de mantenimiento La frecuencia de las copias de seguridad y almacenamiento de medios de copia de seguridad
2. LLEVAR A CABO EL anlisis del impacto empresarial (BIA)
La BIA es un paso clave en el proceso de planificacin de contingencias, ya que permite al coordinador de planes de contingencia para caracterizar completamente los requisitos del sistema, procesos y interdependencias dencias, as como utilizar esta informacin para determinar los requisitos de contingencia y las prioridades. El propsito de la BIA es correlacionar componente del sistema especficoecon los servicios esenciales que prestan, y en base a esa informacin, para caracterizar las consecuencias de una interrupcin en el componente del sistemae. Los pasos clave se enumera recursos crticos de TI, la identificacin de impactos y la interrupcin tiempos permitidos de interrupcin, y en desarrollo las prioridades de recuperacin. En algunos casos, la interrupcin de los impactos identificados en la BIA puede mitigarse o eliminarse a travs de medidas preventivas que disuadir, detectar, y / o reducir los impactos al sistema. Cuando sea factible y rentable, los mtodos de prevencin son preferibles a las acciones que sean necesarias para recuperar el sistema despus de una interrupcin. Los controles preventivos se deben documentar en el plan de contingencia, y el personal asociado con el sistema debe estar capacitado en cmo y cundo utilizar los controles. Una variedad de controles preventivos est disponible, dependiendo del tipo y configuracin del sistema, sin embargo, algunas de las medidas comunes se enumeran aqu: De tamao apropiado de alimentacin ininterrumpida (UPS) para proporcionar a corto plazo de energa de reserva a todos los componentes del sistemae(Incluidos los controles
3. Identificar los controles PREVENTIVAS
medioambientales y de seguridad) Generadores de gasolina o diesel-para proporcionar a largo plazo de energa de reserva Sistemas de aire acondicionado con un exceso de capacidad adecuada para permitir el fracaso de ciertas componentee, Tal como un compresor Sistemas de extincin de incendios
65
De incendio y detectores de humo Sensores de agua en el techo de sala de informtica y el suelo Pl.STIC lonas que pueden ser desenrollado en los equipos informticos para protegerlo de daos por agua Recipientes resistentes al calor y al agua para la copia de seguridad de medios de comunicacin y no electrnicos vitales archivos Principal sistema de parada de emergencia el interruptor De almacenamiento externo de los medios de copia de seguridad, los registros no electrnicos y la documentacin del sistema Los controles tcnicos de seguridad, tales como la gestin de claves criptogrficas y al privilegio, controles de acceso Copias de seguridad frecuentes y regulares Las estrategias de recuperacin proporcionar un medio para restaurar las operaciones de TI de forma rpida y eficaz despus de una interrupcin del servicio. Las estrategias deben abordar los impactos y los tiempos de interrupcin permitidas interrupcin identificados en la BIA. Varias alternativas se debe considerar en el desarrollo de la estrategia, incluido el coste, tiempo de interrupcin permisible, la seguridad y la integracin con los ms grandes, el nivel de organizacin planes de contingencia. La estrategia de recuperacin seleccionado debe responder a los impactos potenciales identificados en el BIA y deben integrarse en la arquitectura del sistema durante las fases de diseo e implementacin del ciclo de vida del sistema. La estrategia debera incluir una combinacin de mtodos que se complementan unos a otros a favorVide capacidad de recuperacin sobre el espectro completo de los incidentes. Una amplia variedad de enfoques de recuperacin puede ser considerado, la eleccin adecuada depende de la incidencia, el tipo de sistema, y sus necesidades operativas. Los mtodos especficos de recuperacin puede incluir los contratos comerciales con fro, caliente o hot-site vendedores, sitios mviles, reflejados sitios, los acuerdos de reciprocidad con en elForganizaciones ernal o externos, y de nivel de servicio (SLA) con los proveedores de equipos. Adems, las tecnologas, tales como matrices redundantes de discos independientes (RAID), cambio automtico de conmutacin por error-, los de alimentacin ininterrumpida (SAI), y los sistemas de espejos deben ser considerados cuando el desarrollo de una estrategia de recuperacin del sistema.
5. DESARROLLAR UN PLAN DE CONTINGENCIA TI 4. EL DESARROLLO DE ESTRATEGIAS DE RECUPERACIN
El desarrollo de TI plan de contingencia es un paso crtico en el proceso de implementacin de un Comprehensive contingencia-la planificacin del programa. El plan contiene las funciones detalladas, las responsabilidades, los equipos y los procedimientos asociados con la restauracin de un sistema informtico despus de una interrupcin. El plan de contingencia debe documentar las capacidades tcnicas diseadas para apoyar las operaciones de contingencia. La contingenciaplan de emergencia debe adaptarse a la organizacin y sus necesidades. Los planes deben
equilibrar los detalles con la flexibilidad, por lo general cuanto ms detallado sea el plan, el menos escalable y verstil, el enfoque. La informacin presentada en el NIST SP 800-34 pretende ser una gua, sin embargo, el formato del plan pueden ser modificados segn sea necesario para satisfacer mejor sistema especfico del usuario, operativos y de organilos requisitos de inmunizacin. En su enfoque, el plan de contingencia debe incluir cinco componentes principales: Apndices informacin de apoyo, de notificacin / activacin, recuperacin, reconstruccin, y el Plan. La primera
y los componentes ltimos proporcionan informacin esencial para garantizar un plan integral. La notificacin / activacin, recuperacin y las fases de reconstitucin frente a las acciones especficas que el organizacin debe tomar despus de una interrupcin del sistema o de emergencia. El componente de Apoyo a la Informacin incluye una introduccin y una seccin de concepto-de-operaciones que proporciona informacin fundamental o la informacin contextual que hace que el plan de contingencia ms fcil de entender, implementar y mantener. Estos detalles ayudan a conocer la aplicabilidad de la gua, en la toma de decisiones sobre cmo utilizar el plan, y en el suministro de informacin sobre dnde los planes asociados y informacin fuera del alcance del plan se puede encontrar. La fase de notificacin / activacin define las acciones iniciales adoptadas una vez a la disrupcin del sistemacin o de emergencia se ha detectado o parece ser inminente. Esta fase incluye las actividades de recuperacin para notificar al personal, evaluar los daos en el sistema, y poner en prctica el plan. A la finalizacin de la fase de notificacin / activacin, el personal de la recuperacin ser preparado para llevar a cabo las medidas de contingencia para restaurar las funciones del sistema sobre una base temporal. La fase de recuperacin comienza despus de que el plan de contingencia ha sido activado, la evaluacin de daos se ha terminado (si es posible), el personal han sido notificados, y apropiada los equipos se han movilizado. Las actividades de recuperacin de fase se centran en las medidas de contingencia para ejecutar temporales TI capacidades de procesamiento, a reparar el dao al sistema original, y restaurar la capacidad operativa en la instalacin original o nuevo. A la finalizacin de la fase de recuperacin, el sistema informtico estar en funcionamiento y llevar a cabo las funciones desig-nados en el plan. Dependiendo de las estrategias de recuperacin definidas en el plan, estas funciones podran incluir temporalmente el procesamiento manual de recuperacin, y la operacin en un altsistema de rnate, o la reubicacin y recuperacin en un altrnate sitio. Los equipos con responsabilidades de recuperacin deben entender y ser capaz de llevar a cabo estas estrategias de recuperacin de sobra que si el plan de trabajo no est disponible durante las etapas iniciales del evento, an puede realizar las actividades necesarias. En la fase de reconstitucin, las actividades de recuperacin han sido terminados, y las operaciones normales se transfieren de nuevo a las instalaciones de la organizacin. Si la instalacin original es irrecuperable, las actividades en esta fase tambin puede aplicarse a la preparacin de una nueva planta para apoyar sistematem requisitos de procesamiento. Una vez que el sitio original o nuevo se restaura el nivel que puede soportar el sistema de TI y sus procesos normales, el sistema puede ser la transicin de vuelta a la original o al sitio nuevo. Hasta que el sistema principal se restablezca y probado, el sistema de contingencia en caso de continuade optasa. La fase de reconstitucin debe especificar los equipos responsables de la reparacin o sustitucin tanto en el sitio y el sistema de TI. Apndices del Plan de Contingencias proporcionar detalles importantes que no figuran en el cuerpo principal del plan. En los apndices se debe reflejar los requisitos especficos de contingencia tcnicos, operativos y de gestin del sistema dado. Apndices pueden incluir,
pero no se limi-limitada a la informacin de contacto para el personal del equipo de planificacin de contingencias, informacin de contacto de proveedores, incluyendo el almacenamiento fuera del sitio y altPOC rnate sitio; operativos estndar procedi-mientos y listas de comprobacin para la recuperacin del sistema o los procesos, equipos y requisitos del sistema de las listas de hardware, software, firmware y otros recursos necesarios para apoyar las operaciones del sistema, los acuerdos con proveedores, acuerdos de reciprocidad con otras organizaciones y otros actas del registro civil, descripcin de direcciones y sometidas a la altrnate sitio, y BIA.
67
Los planes deben tener el formato para proporcionar una direccin rpida y clara en el caso de aquel personal no estn familiarizados con el plan o los sistemas estn llamados a realizar operaciones de recuperacin. Los planes deben ser claros, concisos y fciles de implementar en caso de emergencia. Siempre que sea posible, listas de control y los procedimientos paso a paso se debe utilizar. Lenguaje conciso y bien formateado, reduce la probabilidad de la creacin de un plan excesivamente complejo o confuso.
6. PLAN DE PRUEBAS, entrenamiento y ejercicios
Plan de pruebas es un elemento crtico de una capacidad de contingencia viable. Prueba permite plan de deficiencias-cias para ser identificados y tratados. Las pruebas tambin ayuda a evalcomi la capacidad del personal de recuperacin para aplicar el plan con rapidez y eficacia. Cada elemento de contingencia de TI plan debe someterse a prueba para confirmar la eficacia de los procedimientos individuales de recuperacin y el plan general. El siguiente reas deben ser abordados en una prueba de contingencia: Sistema de recuperacin a una altla plataforma de los medios de copia de seguridad rnate La coordinacin entre los equipos de recuperacin EnFconectividad ernal y externa El rendimiento del sistema utilizando altequipos rnate Restauracin de las operaciones normales Los procedimientos de notificacin Capacitacin para el personal con responsabilidades plan de contingencia-deben complementar las pruebas. La capacitacin debe ser proporcionada al menos una vez al ao, los nuevos empleados con responsabilidades de planes deberan recibir una formacin poco despus de ser contratados. En ltima instancia, del plan de contingencia, el personal debe estar capacitado en la medida en que los que son capaces de ejecutar sus respectivos procedimientos de recuperacin, sin la ayuda del documento real. Este es un objetivo importante en el caso de que las versiones en papel o electrnica del plan no estn disponibles para las primeras horas despus de algn desastre. El personal de recuperacin debe ser capacitacin en los elementos del plan siguientes: Propsito del plan Cruz-equipo de coordinacin y comunicacin Los procedimientos de notificacin
Los requisitos de seguridad Equipo de los procesos especficos (notificacin / activacin, recuperacin y las fases de la reconstitucin) Las responsabilidades individuales (notificacin / activacin, recuperacin y las fases de la reconstitucin)
68
7. PLAN DE MANTENIMIENTO
Para ser eficaz, el plan debe ser mantenido en un estado listo que refleje con precisin los requisitos del sistema, procedimientos, estructura organizativa y las polticas. Los sistemas de TI sufren cambios frecuentes debido a las necesidades de negocio cambiantes, actualizaciones tecnolgicas, o inte nuevamAl o extemAl polticasCIES. Por lo tanto, es esencial que el plan de contingencia se revisarn y actualizarn regularmente, como parte del proceso de la organizacin de gestin del cambio para que la informacin nueva se documenta y se revisan las medidas de contingencia en caso necesario. Como regla general, el plan debe ser revisado la exactitud e integridad por lo menos una vez al ao o cuando se produzcan cambios significativos a cualquier ele-mento del plan. Algunos elementos, tales como listas de contactos, se requieren revisiones ms frecuentes. Dependiendo del tipo de sistema y la criticidad, puede ser razonable para evalse comi el contenido del plan y procedimientos con mayor frecuencia.
discos duros La importancia de adherirse a una cadena de custodia en su caso las posibles pruebas es ser admisible en un tribunal de justicia La criticidad de la planificacin de la continuidad en la preparacin de respuesta a incidentes
Captulo 4
Una visin general de la estructura del Registro de Windows La recopilacin de datos del Registro Edicin del registro y los procedimientos de copia de seguridad La comprensin de Windows de almacenamiento de datos La tabla de asignacin de archivos de Windows (FAT) El seguimiento y la recuperacin de archivos borrados a travs de la papelera de reciclaje de Windows Almacenamiento de datos utilizando el sistema Unix / Linux ficheros ext2 Recuperar archivos borrados en ext2 A NIVEL MUNDIAL,'S estima que aproximadamente el 90 por ciento de PCsejecutar una versin u otro del sistema operativo de Microsoft Windows. De hecho, la naturaleza casi omnipresente de los sistemas operativos de Microsoft Windows fue el foco de un Departamento muy publicitado juicio Justicia de EE.UU. de defensa de la competencia. Con su interfaz fcil de usar y de gran popularidad, Windows contingenciaes ser el blanco principal de los ataques de los hackers y otros intrusos que utilizan cdigos maliciosos. Recientes estudios-s indindican que no actualizados y sin proteccin equipos basados en Windows que se han conectado a Internet por lo general comprometido en menos de 72 horas. A pesar del uso de servidores de seguridad potentes y sofisticados intrusisistemas de deteccin de n, incluso un sistema de proteccin puede llegar a ser la vctima de un ataque. Para ser eficaz, el personal de respuesta a incidentes de hoy en da deben ser entrenados en tcnicas de investigacin, de respuesta a incidentes tacls, y los procedimientos legales para la recopilacin de pruebas. Un blanco popular para los intrusos maliciosos es el Registro de Windows. Los piratas informticos con conocimientos puede tener acceso al Registro y manipcontraseas de
los usuarios finales, la configuracin de DNS, los derechos de acceso, u otras caractersticas que puedan necesitar para cumplir sus objetivos. Para complCate es ms importante, el Registro de Windows es grande, as como dinmica, y la informacin en el Registro es diversa, por lo que es difcil de controlar. Este captulo se centra en las funciones del Registro de Windows y el juego de almacenamiento de datos en la investigacin forense y los procedimientos de respuesta a incidentes. Ofrece manejo de incidentes con el conocimiento y las herramientas necesarias para proteger el Registro mientras que con xito investigar y responder a incidentes informticos dentro de sus organizaciones.
69
70
El Registro de Windows
El Registro de Windows es un datbase, donde toda la informacin acerca de un equipo se almacena. La Registro se utiliza para almacenar Configuracin del sistema operativo Solicitud de informacin de configuracin Informacin de configuracin de hardware Informacin del usuario la seguridad La informacin del usuario actual Todo, desde las aplicaciones instaladas y las opciones del panel de control de los colores mostrados en la pantalla se almacena en el Registro de datbase. Con Windows 9.x, la Secretara est contenida en dos archivos (System.dat y User.dat), ubicado en el directorio de Windows. Tambin se encuentra en el directorio de Windows son copias de seguridad del Registro de llamadas System.daOy User.daO. Con Windows NT/2000, los archivos de registro se conoce como urticaria y se almacenan en varios directorios dentro del sistema operativo NT. Antes de la llegada de Windows 95, las funciones del Registro se ha realizado por WIN.INI SYSTEM.INI, y de otra ndole. INI archivos que estn asociados con las aplicaciones.
HKEY_USERS. Esta rama contiene las preferencias individuales para cada usuario de la computadora. Cada usuario est representado por un identificador de seguridad (SID) subclave situada bajo la principal rama.
Captulo 4: Registro de Windows, la papelera de reciclaje y almacenamiento de datos HKEY_CURRENT_CONFIG. Esta rama enlaces a HKEY_LOCAL_MACHINE \ Config para informacin especfica del equipo.
71
HKEY_DYN_DATA. Esta rama contiene informacin que se debe mantener en la memoria RAM. De Windows en ocasiones, los swaps de informacin a la unidad de disco duro, que se actualiza System.dat o User.dat, pero la informacin en HKEY_DYN_DATA permanece en la memoria RAM. Esta rama tiene no aparece en Windows XP o Windows 2000. Dentro de las claves de registro, hay cinco tipos de valoresES. Lo que sigue es una lista de valoresES junto con un breve explicacin de sus funciones: Cadena o REG_SZ. Este tipo es una cadena estndar, que se utiliza para representar texto legible valES. Binario o REG_B yoNary. Este tipo almacena el valiosocomo datos binarios primas. La mayora del hardware informacin de los componentes se almacenan como datos binarios y se muestra en el Editor del Registro en formato hexadecimal. DWORD o REG_DW0RD. Este tipo representa los datos como un nmero de cuatro bytes y es com-comnmente utilizado para booleana ValES, por ejemplo, cuando se desactiva 0 y 1 est activado. Adems, muchos parmetros para los controladores de dispositivos y servicios son de este tipo y se pueden visualizar en formato binario, hexadecimal y en formato decimal. Multistring valiosao REG_MULTI_SZ. Este tipo es un mltiple de cadena para representar valoreses que contienen listas o mltiple Vales, cada entrada est separada por un carcter nulo. De cadena expandible valiosao REG_EXPAND_SZ. Este tipo es una cadena de datos expansible, que es decir, una cadena que contiene una variable para ser sustituido cuando es llamado por una aplicacin. Por ejemplo, la cadena "% SystemRoot%" se sustituye por la ubicacin real del directorio que contiene los archivos de sistema de Windows NT.
1. En la parte superior del editor, seleccione Ayuda a los hombres, A continuacin, en Temas de Ayuda. 2. Seleccione la ficha Contenido, a continuacin, seleccione Cambiar claves y ValES. 3. Seleccione el tema que desee.
Abrir:
33 A
1 JJifJiFH
Acept ar
Cancelar
Navegar
Yo
Una alternativa de Editor del Registro (Regedt32.exe) est disponible para su uso con Windows NT/2000. Incluye algunas caractersticas adicionales que no se encuentran en la versi norman. Las caractersticas avanzadas incluyen la capacidad para ver y modificar los permisos de
73
Si bien este es un lugar comn para el lanzamiento de fiaraplicaciones de software compaero, sino que tambin puede ser utilizado por los hackers o los codificadores maliciosos para provocar una peligrosa de una aplicacin (como un caballo de Troya o un capturador de teclado de carrera) que ser lanzado la prxima vez que se inicia el equipo. Si bien los datos de registro pueden ser vistos a travs de la incorporada en Windows Registry Editor (regedit), la mayora de valoreses en el Registro son leer y actualiza slo las aplicaciones que lo utilizan. Uno de los primeros pasos para reunir informacin sobre un comprometido equipo de Windows es la recopilacin de datos voltiles. Datos voltiles se puede definir como informacin activa temporalmente refleja el estado actual de la mquina. Esto incluye los contenidos de los registros, cachs, memoria fsica y virtual, as como informacin acerca de las conexiones de red, acciones, procesos que se ejecutan, discos, unidades de discos flexibles, cintas, CD / ROM, y la actividad de impresin. Una herramienta til para la recogida de la volatilidad de los datos del Registro es Regmon (ver Figura 4-3), por Mark Russinovich y Bryce Cogswell. Regmon es una utilidad gratuita que muestra, captura y registra toda la actividad del Registro en tiempo real. Debido a que tiene la capacidad de monitorear, capturar y registrar la actividad del Registro, que es til como un inci-dente de respuesta y una herramienta forense. Para obtener informacin adicional o para descargar Regmon, visite www.sys interna-s.com. Otra herramienta til programa gratuito para el seguimiento y registro de los cambios en el Registro de Windows es InCntrl5 (ver Figura 4-4), escrita por Neil J. Rubenking. InCntrl5 supervisa los cambios realizados al registro, las unidades y del INI. Y archivos de texto de equipos
basados en Windows. Aunque fue diseado principalmente para rastrear los cambios que se producen en todo el sistema al instalar software nuevo, tambin es muy til cuando se realiza un examen forense, ya que permite el examinador de comparar los cambios realizados en un sistema, tanto antes como despus de un compromiso del sistema. InCntrl5 se puede descargar en
www.extremetech.com.
B0E
U I % B et - I v 9 1 44 gl
t | Hora 52889 602.48186195 5289Q 602 48194073 52891 602 48201951 52882 602.48205886 52883 602.48208656 52894 60248215360 52895 60248218129 52896 602.48306461 52837 602.48313250 52898 60248316689 52899 602 48320879 52800 602.48328671 52801 602.48335785 52902 602 48338729 52903 602.48410385 52804 602.48417080 52805 602.48420358 52906 602 48424214 52907 602.48426644 52808 602.48434271 52809 602.48437036 52910 60248476427 52911 60248531322 52812 602.48535848 52813 603.38787126 52914 60338790649 52915 60338015842 52816 603.33025883 52817 603.33023503 52918 60338038135 52919 60338096634 52820 603.33033386 52821 603.38161251 52922 603 38195609 52923 603 38198710 52824 603.33174386 Proceso worldtime.e .. worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne
fi
Fleques! CreateKey OpenKey OpenKe ^ Quer ^ Valor QueryValue Mtodo CloseKey CloseKe ^ CreateKey OpenKey OpenKey Quer ^ Valor Quer ^ Valor Mtodo CloseKey Mtodo CloseKey CrealeKe ^ OpenKey penKey OueryValue Quer ^ Valor Mtodo CloseKey Mtodo CloseKey Mtodo CloseKey CloseKe ^ Mtodo CloseKey QueryValue OueryValue GpenKe ^ Quer ^ Valor QueryValue Mtodo CloseKey Quer ^ Valor Quer ^ Valor OpenKey OueryValue Quer ^ Valor Mtodo CloseKey
| Camino H KLM \ S istema \ CLirrentContrl5 et \ 5 ervi. H KLM \ S jisterrACurrentControlS ErAS ervi. HKLM \ Soltware \ Palicies \ MicrosoltWi .. H KLM \ SysterrACurrentControlS et \ 5 H KLM \ Systern \ ervi. CLirrentCoritrol5 et \ 5 ervi. H KLM \ JisterrACurrentControlS S et \ S ervi. H KLM \ JisterrACurrentControlS S et \ S ervi. H KLM \ System \ CLirrentControl5 et \ 5 ervi. H KLM \ S ysterrACurrentControrS et \ 5 ervi. HKLM \ Sollware \ Policies \ MicrosollWi .. H KLM \ JisterrACurrentControlS S et \ S ervi. H KLM \ S jistenACurrentControrS et \ 5 ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H VSysterrACurrentControlS KLM et \ S ervi. H KLM \ SysterACurrentControlS et \ S ervi. \ Policies \ HKLM \ Software MicrosoftWi .. H KLM \ S ysterrACurrentControrS et \ S ervi. H VSysterrACurrentControlS KLM et \ S ervi. H KLM \ SysterACurrentControlS et \ S ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H VSysterrACurrentControlS KLM et \ S ervi. H KLM \ SysteriACurrentControlS et \ S ervi. HKLM \ SYSTEM \ ControlSet001 \ 3ervic. HKLM \ SY9TEM \ ControlSet001 \ HKLM \ SYSTEM 9ervic. \ CurrentControlSet \ 9e HKLM \ SYSTEM \ CurreiitContror3et \ HKLM \ SYSTEM Se. \ CurreiitContror3et \ HKLM \ SY9TEM \ Se. CurrerlContralSet \ 9e HKLM \ SY9TEM \ ControlSet001 \ Servc. HKLM \ SYSTEM \ Control5et001 \ Services. HKLM \ SYSTEM \ CurreiitContror3et \ HKLM \ SY9TEM \ Se. CurrerlContralSet \ 9e HKLM \ SY9TEM \ CurrentControlSet \ 9e HKLM \ SYSTEM \ CurreiitContror3et \ Se.
| Resultad SUCCE . . SUCCE. NOTFO. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . . SUCCE . NOTFO. SUCCE. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . NOTFO. SUCCE. SUCCE. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . NOTFO. SUCCE. SUCCE. 5UCCE . . . SUCCE . SUCCE. NOTFO. 5UCCE . .
e .. e .. e e .. e .. e e .. e .. e e .. e .. e e .. e ..
KeyOxEIB. Clave: 0xE1B ... Clave: 0xE1B ... Clave: 0xE1B ... "DS-1000" "DS-1000" Clave: 0xE1B ... KeyOxEIB ... Clave: 0xE1B ... Clave: 0xE1B ...
werldlime e WorldTi e me .. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX.
Clave: 0xE1B ... Clave: 0xE1B ... Clave: 0xE12 .. Clave: 0xE12 .. Clave: 0xE11 ... "\ Device \ {... "" \ Device \ {... Clave: 0xE11 .. 0x0 KeyOxEII .. "\ Device \ {... "\ Device \ t... Clave: 0xE11 ... 0x0 Clave: 0xE11 ...
compromiso, una copia de seguridad de la Secretara tiene un rol importante en la respuesta a incidentes. Es obligatorio que apropiadas se tomen precauciones para proteger los datos esenciales que se requiere para la recuperacin en el
75
caso de daos a un sistema Windows, especialmente en su registro. Adems, dado que los piratas informticos y los codificadores maliciosos a menudo apuntan a la Secretara, una copia de seguridad o copiaun Registro adulterado puede ser utilizado como una base de comparacin cuando se realiza un examen forense de una afectada de cmputonEl concepto de copias de seguridad de archivos con frecuencia es ignorada y / o mal entendido entre los usuarios de computadoras organizacionales. Por desgracia, las consecuencias de no adecuadamente el respaldo de archivos se puede poner una organizacin fuera del negocio. Los siguientes son los procedimientos generales de copia de seguridad para Windows NT 4.0, 2000, y XR Windows NT 4.0 En Windows NT 4.0, hay dos mtodos que se que se pueden utilizar con el fin de respaldar y restaurar todo el Registro. La primera (y preferido) mtodo consiste en utilizar el. Herramienta integrada de seguridad de Windows NT (Ntbackup.exe) y utilice la opcin de realizar copias de seguridad ya sea de seguridad o restaurar el Registro Este pro-grama, que es parte de Windows NT 4.0, se puede invocar simplemente escribiendo ntbackup en el cuadro de comando Ejecutar en los hombres de inicio de Windowso en el smbolo del sistema. Tenga en cuenta que al emplear este mtodo se necesita una cinta de funcionamiento, Zip o CD-RW a recibir la copia de seguridad. El mtodo de copia de seguridad de segunda es utilizar RDISK con la rdisk / s comando. Windows NT con-tiene una utilidad RDISK que se utiliza para extraer los datos esenciales (de la Secretara de un sistema Windows NT) necesarios para la recuperacin en caso de que el Registro se ha daado. Cuando se utiliza con el / S opcin, RDISK ayuda en la recuperacin de las cuentas de usuario, grupos, polticas y controles de acceso mediante la extraccin de Administrador de cuentas de seguridad (SAM) de la informacin. Despus de utilizar este procedimiento, los datos extrados inicialmente se escriben en archivos en un directorio llamado de reparacin, que normalmente se encuentra en el C: \ WINNT \ directorio.
La utilidad RDISK no tiene la intencin de hacer una copia de seguridad completa de un registro de Windows NT 4.0. Los archivos de datos slo se RDISK destinado a contener la informacin esencial necesaria para una rpida recuperacin, no todo el contenido del Registro. Para realizar una copia de seguridad completa del Registro de Windows NT 4.0, una herramienta de utilidad ms amplio (como Ntbackup.exe) o una utilidad de terceros especficamente diseado para copia de seguridad del registro debe ser utilizado.
WINDOWS 2000 Con el fin de hacer una copia de seguridad de todo el Registro en Windows 2000, es necesario utilizar la utilidad Copia de seguridad de Windows 2000. Mientras que la utilidad de copia de seguridad se utiliza a menudo para crse comi un disco de reparacin de emergencia (ERD), tambin se puede utilizar para realizar copias de seguridad y restaurar el estado del sistema, que incluye el Registro, el Registro de clases COM + datbase, y otros archivos crticos necesarios para arrancar el ordenador.
El procedimiento de copia de seguridad del estado del sistema en un equipo con Windows 2000 es el siguiente: 1. Haga clic en Inicio y, a continuacin, seleccione Programas. 2. Vaya a Accesorios, luego Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. Bajo el programa de copia de seguridad, seleccione (haga clic en) la pestaa Copia de seguridad.
Respuesta a Incidentes: Computer Toolkit Forense Seleccione el estado del sistema casilla de verificacin. (Todos los componentes para realizar copias de seguridad son Usted en el panel de la derecha. No se puede seleccionar individualmente cada elemento.)
Durante la copia de seguridad del estado del sistema, debe seleccionar la copia de seguridad la
EUR
carpeta WinnttCarpeta Sysvol. Esta opcin s tambin se requiere durante el proceso de restauracin con el fin de tener un volumen de trabajo del sistema (SYSVOL) despus de la recuperacin.
El procedimiento para restaurar el estado del sistema desde una copia de seguridad en un equipo con Windows 2000 es el sigue: 1. Haga clic en Inicio y, a continuacin, seleccione Programas. 2. Vaya a Accesorios, a continuacin, elija Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. Bajo el programa de copia de seguridad, seleccione la ficha Restaurar. 5. En la ficha de restauracin, seleccione los medios de copia de seguridad adecuadas y el Estado del sistema para restaurar.
Al igual que con el procedimiento del sistema de copia de seguridad del Estado, durante la operacin de restauracin, la carpeta WinnttSysvol tambin debe ser seleccionado para ser restaurado con el fin de tener un volumen de sistema activo de trabajo despus de que el proceso de recuperacin. Asegrese de que la opcin avanzada para restaurar los "puntos de unin y de datos", tambin se selecciona antes de la la restauracin. Esto asegura que los puntos de unin del volumen se vuelve a crear.
6. En el cuadro Restaurar archivos en, seleccione la ubicacin original. 7. Haga clic en Iniciar. 8. Despus de que el proceso de restauracin haya finalizado, reinicie el equipo. Si desea restaurar el estado del sistema en un sistema comprometido o daado, lo mejor es por formar los pasos antes mencionados, mientras que el equipo est funcionando en modo seguro. Con el fin de iniciar el equipo en modo seguro, siga estos pasos:
1. Encienda el ordenador y pulse la tecla F8 tan pronto como usted ve el arranque de Windows 2000 hombres. 2. Usando las flechas del teclado, seleccione la opcin apropiada del Modo a prueba de errores y a continuacin, pulse Intro. 3. Ahora, Windows se iniciar en modo seguro.
77
WINDOWS XP Al igual que Windows 2000, hacer copia de seguridad del estado del sistema (registro, el Registro de clases COM + datbase, y los archivos crticos de arranque) en Windows XP, la necesidad de emplear la utilidad de copia de seguridad. El procedimiento para realizar copias de seguridad del estado del sistema en un equipo con Windows XP es el siguiente: 1. Haga clic en Inicio y, a continuacin, seleccione Todos los programas. 2. Vaya a Accesorios, luego Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. De forma predeterminada, la pantalla de copia de seguridad y restauracin de Wizard. 5. Seleccione el modo avanzado, a continuacin, haga clic en el Asistente para la copia botn Opciones avanzadas. 6. La pantalla del asistente de copia de seguridad. Haga clic en Siguiente. 7. En el Qu hacer copia de seguridad del panel, seleccione la opcin "Slo una copia de seguridad del estado del sistema de datos" (ver Figura 4-5), a continuacin, seleccione Siguiente para elegir el ombre y ubicacin de los archivos de copia de seguridad. 8. Haga clic en Finalizar para completar el proceso.
El procedimiento para restaurar el estado del sistema desde una copia de seguridad en un equipo con Windows XP es tan sigue: 1. Haga clic en Inicio y, a continuacin, seleccione Todos los programas.
2. Vaya a Accesorios, luego Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. De forma predeterminada, la pantalla de copia de seguridad y restauracin de Wizard. 5. Seleccione el modo avanzado, a continuacin, haga clic en el botn Opciones avanzadas Asistente de restauracin.
78
Respuesta a Incidentes: Computer Toolkit Forense 6. En la recepcin a la restauracin de pantalla del asistente, seleccione Siguiente. 7. Seleccione el archivo de copia de seguridad que desea restaurar y seleccione Restaurar para finalizar el proceso.
El disco duro
El disco duro es uno de los componentes ms importantes de la computadora de hoy en da. La unidad de disco duro tiene la gran mayora de los datos almacenados en un ordenador. Desde el punto de vista de respuesta a incidentes, el disco duro debe ser protegida por la valiosade los datos contenidos en ella. Desde el punto de vista forense, el disco duro, a causa de los archivos de registro y rincones de almacenamiento de datos y grietas, puede ser una valiosa fuente de evidencia potencial. En un tiempo, unidades de disco duro se llaman unidades de Winchester. Este trmino se remonta a la dcada de 1960 cuando IBM desarroll una alta velocidad de disco duro que tena 30 MB de almacenamiento fijo-disco y 30 MB de disco extrables de almacenamiento. La unidad, denominada 30-30, pronto se gan el apodo del famoso Winchester Winchester 30-30 rifle. El apodo de Winchester no tena valiosa tcnica, Que simplemente estaba tan extendido que todos los discos duros de alta velocidad se refiere, como pronto "Winchester" unidades.
79
Los discos duros almacenan datos en uno o ms platos de xidos metlicos, cada uno con dos lados sobre el cual los datos pueden ser almacenados. Las bandejas de disco duro estn hechos de vidrio o aluminio. Un disco duro tpico contiene varios de estos discos de 3,5 pulgadas, que puede contener decenas de miles de millones de bits individuales de datos. Densidad de rea ha sido el indicador principal de la tasa de crecimiento de capacidad de disco duro. Cuanto mayor sea la densidad de rea de los platos de un disco duro, los bits de datos ms que pueden ser empacados en cada centmetro cuadrado de bandeja Real Estte. Estos discos, que giran a una velocidad de entre 3.600 y 10.000 revoluciones por minuto, titulares de las cargas magnticas que hacen de los datos almacenados en los discos. Una unidad de disco duro tiene una lectura / escritura de la cabeza por plato, que est conectado a un brazo actuador. Esta cabeza en realidad flota sobre un colchn de aire generado por los discos que gira rpidamente. La distancia que el flotador cabezas es slo de 1 a 2 micro-pulgadas (una millonsima de pulgada) por encima de la superficie de los platos. Debido a estas tolerancias extremas, la unidad de disco est sellado para evitar que la suciedad o el polvo de en la unidad. Toda la informacin contenida en una unidad de disco duro se almacena en las pistas, que son crculos concntricos colocados en la superficie de cada plato, muy parecido a los anillos anuales de un rbol. Desde una pista en el disco duro sera demasiado grande para un sistema operativo para gestionar como una unidad nica y continua, mpistas ltiple se utilizan. Las pistas estn numeradas, a partir de cero, y comienzan en la parte exterior del plato y aumento (0, 1, 2, 3, y as sucesivamente) hacia el centro. Un disco duro moderno tiene decenas de miles de pistas en cada disco. Cada pista puede contener muchos miles de bytes de datos. Incluso con mpistas ltiple, almacenamiento de datos an requiere de una enorme cantidad de recursos del sistema operativo para leer y escribir datos. Sera ineficiente para hacer una pista de la unidad mnima de almacenamiento en el disco, ya que esto significara un pequeo archivo tambin ocupan una gran cantidad de espacio en disco. Obviamente, tener un pequeo fichero que ocupan una gran razones de espacio en disco es un desperdicio, y por esa razn, las pistas del disco se divide en divisiones ms pequeas numeradas conocidas como sectores. Los sectores son la unidad bsica de datos de almacenamiento en un disco duro.
El disquete
La unidad de disquete fue inventado en 1967 por Alan Shugart, mientras l trabajaba como ingeniero en IBM. Fue uno de los s ShugartINOR ingenieros, David Noble, que en realidad el primero en proponer el concepto de un disco flexible de los medios de comunicacin protegido por un plstic chaqueta con un forro de tela. Este concepto se hizo realidad cuando la primera unidad de disquete fue creado. Shugart deja IBM en 1969 para trabajar para Memorex y luego a la izquierda de Memorex en el ao 1973 para formar su propia compaa, Shugart Associates, que dise y desarroll las unidades de disquete-. La interfaz de disco flexible desarrollado por su empresa fue la base para el disco de las unidades de disco todava est en uso hoy en da. Los disquetes fueron los primeros 8 pulgadas de dimetro y un poco engorroso. Por los avances a mediados de 1970 en la tecnologa permite a los ingenieros crse comi un menor de 5,25 pulgadas disquete con una capacidad inicial de 360K. En el disco de mediados de los 1980 discos alcanzado su tamao actual de 3,5 pulgadas, sin embargo, que slo tenan una capacidad inicial de 720K. A mediados de la dcada de 1990 el estndar de 3,5 pulgadas disco alcanz su cenit en el 2.88MB. Dado que los requisitos de
almacenamiento de datos sigue creciendo, la capacidad del disco siguieron su ejemplo. Mientras que el tamao del disco fsico no ha cambiado mucho, la cantidad de datos que un disco puede almacenar se ha incrementado dramticamente. De hoy en da sper discos como el LS-120 y el disco Iomega Zip ahora puede mantener a millones de bytes de datos en el mismo tamao de disco de 3,5 pulgadas de dimetro del disco original. El interior de una unidad de disco estndar tiene muchas similitudes con el interior de una unidad de disco duro. La mayora de las unidades de disquete tiene dos de lectura / escritura de cabezas, lo que significa que son de doble cara. Una cabeza se utiliza para leer y escribir datos en el disquete mientras que el otro se utiliza para borrar una pista antes de los datos
80
est escrito por la otra cabeza. Al igual que con un disco duro, el mecanismo de la cabeza se mueve por un actuador. Utilizando un diseo similar al de las primeras unidades de disco duro, un motor mueve las cabezas dentro y fuera, dndoles la posibilidad de situarse por encima de cualquier pista en el disco para almacenar y recuperar datos. La ventaja de los discos es que son porttiles, por lo que es fcil de transferir datos desde un ordenador a otro. El inconveniente de los disquetes es que no son un m fiablemediano para su almacenamiento-Ing archivos importantes ya que el polvo, araazos, humedad, y los campos magnticos pueden daarlos. Desde un punto de vista de respuesta a incidentes y forense, el disco tiene un papel importante. Uno nunca debe permitir que un equipo sospechoso de arrancar desde su disco duro o utilizar su sistema operativo para realizar tareas de investigacin. Muchas veces la evidencia es borrado o alterado durante el proceso de arranque normal. Adems, usted no sabe qu tipo de procedimientos de limpieza estn esperando en el proceso de arranque. Al llevar a cabo una investigacin forense siempre debe arrancar desde un disquete. Tenga en cuenta que el BIOS del equipo puede que necesite ser modificado a travs del programa de configuracin del BIOS para permitir que el equipo para arrancar desde un disquete. Este procedimiento exacto varES, dependiendo del tipo de BIOS que se utilizan en la fabricacin de chips de la computadora. Una vez que est seguro de que puede arrancar desde la unidad de disquete, el disco duro puede ser examinado.
El programa de configuracin del BIOS que normalmente slo se puede entrar durante el proceso de arranque, sin embargo, algunos BlSistemas operativos permiten la entrada en el programa de instalacin utilizando una combinacin de teclas en cualquier momento. Una norma universal reciente ha comenzado a surgir, el uso de la tecla Supr para entrar en el programa de instalacin duranteING en el proceso de arranque. Esto parece ser cierto para el B dos ms populareslSistemas operativos, IAM y el Premio, as como varios otros. Mayores BlSO puede utilizar una multitud de extraas combinaciones de teclas, incluyendo Ing. pero no se limitan a: Ese, F1, F2, F10, Ctrl + Esc, Alt + Esc, Ctrl + Alt + Esc, Ctrl + Alt + Enter, Complementos y, a varios otros.
El CD-ROM
Compact Disc-Read Only Memory, mejor conocido como un CD-ROM, es un tipo de disco ptico capaz de almacenar enormes cantidades de datos. Mientras que el tamao ms comn para tales enfermedadeses es de alrededor de 650 a 700 MB, gran capacidad de los CD-ROMs son capaces de almacenar incluso ms que eso. Un 700MB solo CD-ROM tiene la capacidad de almacenamiento de alrededor de 700 disquetes, almacenamiento suficiente para contener cerca de 300.000 pginas de texto. En 1978, Phillips y Sony Corporation unieron sus fuerzas en un esfuerzo para producir el CD de audio actual. Sony presion para que un disco de 12 pulgadas, mientras que Phillips quera una ms pequea, el disco ms porttil. Con el tiempo los detalles
resueltos, el actual estndar de 4.72 pulgadas (120mm) del disco fue anunciado en 1982. La leyenda cuenta que este tamao fue elegido porque poda contener la Novena Sinfona de Beethoven en su totalidad. Desde su introduccin por Sony y Philips, el disco compacto ha tenido un impacto notable sobre cmo la gente escucha msica. CD-ROM han afectado la forma en que ver pelculas, compartir fotografas, y leer libros. Las ventajas de CDs incluyen su pequeo tamao, gran capacidad de datos, de bajo costo manu-facturero y robustez fsica. Con la continua cooperacin de Sony y Phillips, ms especficiones fueron anunciados a finales de 1980 que condujeron a la utilizacin de la unidad de CD-ROM para el almacenamiento de los datos informticos.
81
Aunque idnticos en tamao y apariencia a los CD de audio, CDs de ordenador estn diseados para almacenar datos informticos, adems de los datos de audio. CD-ROM se hacen ouna delgada pelcula metlica de aleacin de aluminio rodeado por policarbonato. La pelcula metlica es la parte del CD, donde la informacin digital, se almacena. La carcasa de policarbonato claro, simplemente protege a la pelcula y proporciona una rigidez en el disco. Estos CDs son una sola cara, todo de la lectura se realiza desde la parte inferior de la unidad de CD y un la etiqueta se coloca generalmente en la parte superior. La informacin almacenada en la pelcula metlica del CD puede ser ledo slo por l que refleja un bajo consumo de energaservicios fuera de la pelcula de aluminio. Un receptor de luz especial en la unidad de CD-ROM toma nota de que la luz se refleja y donde la luz est ausente. La ausencia de luz reflejada es causada por pequeos pozos grabada en la superficie de los estratos de aluminio. Pozos individuales son slo 0,12 micrones (millonsimas de pulgada) de profundidad y estn grabados en la pista en espiral que atraviesa desde el borde exterior del disco a su centro (similar a la vieja usanza de vinilo discos analgicos). La ausencia de hoyos (la superficie o puntos altos) se conoce como tierras. A l bajo consumo de energaservicios lee los pozos y tierras, que se convierten por la unidad de CD-ROM en cdigo binario (Os y ls). Este binario (nativo) cdigo de computadora son los datos reales utilizados por el equipo. Standard discos CD-ROM son de slo lectura y no puede ser alterado o borrado. Esto cambi con el advenimiento de los CD-R y CD-RW.
CD-R y CD-RW
CD-R es la abreviatura de CD grabable. CDs grabables son tambin conocidos como WORM (Write Once, Read Mltiple) los medios de comunicacin, y trabajan de una manera similar a un CD estndar. La ventaja de CD-R sobre otros tipos de medios pticos es que los datos se pueden leer de estos discos con un reproductor de CD estndar. La desventaja es que los discos no pueden ser reutilizados una vez los datos se han escrito en ellos. Una tecnologa relacionada llamada CD regrabable (CD-RW) le permite borrar discos y volver a usarlos, pero el CD-RW no funciona en todos los reproductores de CD, en especial los ms viejos. CD-regrabables unidades son capaz de escribir CD-R y CD-RW. Una de las principales aplicaciones de los discos grabables de CD-est archivado. Al colocar informacin crtica del sistema, tales como copias de seguridad del registro y del estado del sistema en un CD-R, usted est asegurando que el material contenido en los discos es autntico. Al llevar a cabo una investigacin forense, discos CD-R son tiles para la gran cantidad de datos que puede contener y tambin porque los datos una vez que se escribe en ellos no pueden ser alterados o borrados, ayudando a preservar la cadena de custodia.
sistema operativo de lcate archivos en un disco. Archivos de cambiar de tamao y llegar a ser ms grande o ms pequeo despus de los datos se ha aadido o eliminado. Cuando esto sucede, los datos pueden no encajar de nuevo en el mismo sitio exacto en el disco duro. Los datos demasiado grandes se rompe en trozos, y las piezas se almacenan en varios lugares del disco duro. Esta redistribucin se llama fragmentacin. El trabajo de la FAT es llevar un registro de todos los archivos en el disco duro la inclusin de estos fragmentos. Si la Tabla de asignacin de archivos se daa o se pierde, a continuacin, un disco es ilegible por el sistema operativo. En los servidores de archivos, los datos de FAT a veces se mantienen en la memoria RAM del ordenador para un acceso rpido y se pierde con facilidad si los fallos del sistema (como el resultado de una fallo de alimentacin, por ejemplo).
Hoy en da, FAT viene en tres versiones diferentes: FAT12. El tipo ms antiguo y original de FAT, que utiliza un nmero binario de 12 bits para mantener el nmero de clster. FAT12 slo puede utilizarse en volmenes de almacenamiento de 16 MB o menos. No es por tanto ms adecuado para volmenes muy pequeos y se usa en discos y particiones de disco duro de menos de unos 16 MB. (Este ltimo es raro hoy en da.) FAT16. El uso de un nmero binario de 16 bits para mantener el nmero de racimos, FAT16 se utiliza en los sistemas y para particiones pequeas en los sistemas modernos. Un disco duro con FAT16 slo puede contener un mximum de 65.526 grupos. FAT16 se usa para volmenes de disco duro varan en tamao desde 16 MB hasta 2 GB (dos mil millones de bytes). La asignacin virtual de archivos de tabla (VFAT) del sistema, utilizado por Windows 95 y versiones posteriores, es una variante de FAT16 que permite al sistema operativo para eludir la juntad 8,3 de nombre de archivo limitacin (por ejemplo, un archivo autoexec.bat en ocho letras AME es seguido por el DOS de tres caracteres extensificacinn) que plagado DOS y permite el uso de archivo ames hasta 255 caracteres de longitud. FAT32. El ms reciente versin de la FAT, FAT32 es compatible con las versiones ms recientes de Windows a partir de la SR2 Windows 95 relASE. FAT32 utiliza realmente una de 28 bits, no una de 32 bits, el nmero de sistema binario. Esto es porque el uso comn ATA de disco duro de interfaz que accede a los datos en un disco duro est limitada a direccionamiento de 28 bits. Sin embargo, 28 bits es todava suficiente para permitir que enormes volmenes de disco duro de hasta 2 TB (dos billones de bytes) de tamao. Adems, FAT32 utiliza el espacio de manera ms eficiente. FAT32 utiliza clsteres menores (por ejemplo, grupos de 4 KB para unidades de hasta 8 GB de tamao), lo que resulta en el uso de 10 a 15 por ciento ms eficiente del espacio con respecto a las grandes unidades FAT. El nmero de bits de datos utilizados por el sistema de archivos FAT es lo que le da su AME. Otra caracterstica importante del sistema de archivos FAT es que los discos FAT por lo general contienen dos copias de la grasa (la segunda copia de la FAT sigue inmediatamente a la primera). En tanto FAT12 y FAT16 sistemas, todas las copias del FAT se mantienen sincronizados entre s, pero slo la primera copia se lee nunca. Microsoft alega que las copias prximos de FAT se utilizan cuando el primero es fsicamente inutilizable, pero esto no parece cierto para todas las versiones de sus sistemas operativos. En FAT32, existe un campo en el BPB (BIOS Parameter Block) que le dice al sistema operativo que copiar de usar y si desea sincronizar todas las copias. El BPB almacena una gran cantidad de informacin sobre el mismo volumen, como su tamao, el nmero de bytes por sector, el nmero de sectores por cluster, y varios otros elementos de informacin. En resumen, FAT32 utiliza el BPB para saber cmo hacer frente a un volumen FAT.
sistema de archivos
Con la llegada de Windows NT, Microsoft reemplaz el antiguo sistema de archivos FAT con un ms rpido, ms forma segura y slida para proporcionar acceso a los archivos del disco y: el New Technology File System (NTFS). Mientras que Windows NT puede utilizar el sistema ms antiguo de estilo de archivos FAT, el sistema de archivos NT ofrece una combinacin de rendimiento, fiabilidad y compatibilidad que no se encuentra en el sistema de archivos FAT. Est diseado para llevar a cabo rpida y eficazmente las operaciones normales de archivos, tales como lectura, escritura y bsqueda. Para aplicaciones muy grandes, NTFS admite volumen de expansin. Volumen de expansin significa que los archivos y direc-torios pueden ser distribuidos a travs de varios fsicos unidades de disco duro. Uno de los beneficios de una NTFS es
83
que funciona en los discos duros de cualquier tamao. Aunque hay un mlmite ximum tamao fsico del sistema de archivos de NT, ese nmero es tan grande que pasarn dcadas antes de la tecnologa de disco duro superior a su capacidad. En el corazn de NTFS es la tabla maestra de archivos o MFT. La MFT es anloga a la de archivos FAT sis-tema de la tabla de asignacin de archivos, porque los mapas de MFT todos los archivos y directorios en el disco. La MFT se divide en unidades discretas conocidas como registros. En uno o ms registros de MFT, NTFS almacena el metadatos. Los metadatos son datos que describen las caractersticas de un archivo o directorio (la configuracin de seguridad y otros atributos, tales como de slo lectura u oculto) y su ubicacin en el disco.
La Papelera de Reciclaje
Con la llegada de Windows 95, Microsoft present a sus usuarios del sistema operativo la capacidad de colocar los archivos borrados en una papelera de reciclaje para su almacenamiento. El propsito de la Papelera de reciclaje era proporcionar informticos com-los usuarios la posibilidad de reclamar - en un momento posterior - Los archivos que se haban colocado all. Cada vez que un archivo o carpeta se elimina ese artculo se enva a la papelera de reciclaje, y permanece en el disco duro hasta la Papelera de reciclaje est vaca. Antes de la papelera de reciclaje se vaca, todos los archivos almacenados en ella puede ser restaurados a sus ubicaciones originales. Tenga en cuenta que los archivos o carpetas eliminados de disquetes, discos Zip, o servidores de red no se almacenan en la papelera de reciclaje. Cuando los elementos de los medios extrables se han eliminado, Windows simplemente pide una de confirmacin de la eliminacin. Adems, los elementos eliminados desde el interior de un programa de aplicacin (como un procesador de textos) puede o no ser enviado a la Papelera de reciclaje de Windows. Entonces, qu sucede cuando un usuario se vaca la papelera de reciclaje? Son los archivos o carpetas que haba eliminado ido para siempre? Las secciones siguientes tratan de cmo realizar un seguimiento de los archivos eliminados a travs de la papelera de reciclaje de Windows.
la papelera de reciclaje y luego la vaca, la informacin real (datos digitales) se mantiene en su lugar original en el disco duro por un perodo de tiempo - hasta que los sistemas operativostemperatura sobrescribe la ubicacin original donde se almacenaba el documento incriminatorio. Slo el "mapa" que Windows utiliza para lCate los datos han sido destruidas. De hecho, la evidencia forense de esta naturaleza se utiliz durante las audiencias del juicio poltico de alto perfil para el presidente Bill Clinton cuando los expertos forenses informticos recuperar los datos borrados de la computadora de su casa de Monica Lewinsky, as como "su" equipo en el Pentgono. La mecnica del sistema de archivos utilizado por Windows para almacenar, recuperar y eliminar los datos se tratan en detalle ms adelante en este captulo.
84
Para cada disco duro local en el ordenador del usuario, una carpeta oculta denominada Recycled se crea. Esta carpeta contiene archivos borrados desde Mi PC, Explorador de Windows y algunas aplicaciones de Windows. El sistema operativo Windows realiza un seguimiento de los archivos enviados por el usuario a la papelera de reciclaje por Gen-erating archivos temporales de Informacin. Cuando un archivo o carpeta se elimina, la ruta completa, incluido el archivo original AME, se almacena en un archivo oculto llamado especial de informacin en la carpeta de reciclado. El borrado se cambia el nombre del archivo, con la siguiente sintaxis:
D < o r i g i n a l e s letra de la unidad del archivo> <#>. <origina 1extensificacinn)
Como se mencion anteriormente en esta seccin, cada unidad de disco duro local tiene su propia carpeta de reciclado. Los archivos borrados de muchas aplicaciones de Windows tambin se mueven a la carpeta de reciclado en la unidad de la que se eliminan. Haga doble clic en la papelera de reciclaje de ICn muestra la lista de carpetas de todos los archivos borrados que
estn disponibles para la restauracin. Al hacer clic en el archivo y restauracin de la eleccin, el archivo original se cambia el nombre y restaurado a su estado original AME y la ubicacin. Para quienes llevan a cabo una investigacin forense, de reciclaje de los archivos de Informacin de la papelera de servir como una ventana al pasado, documentando las actividades de un usuario de eliminacin de archivos. El sistema operativo Windows contiene numerosos archivos de reciclaje Papelera de Informacin repartidos por todo escondido reas de la unidad de disco duro. Incluso despus de la Papelera de reciclaje ha sido vaciados, los rastros de los archivos temporales permanecen Informacin. Mediante el uso de programas freeware fcilmente disponibles, como PC Inspector File Recovery por Convar Deutschland GmbH, un investigador puede
85
suelen determinar cuando un usuario elimina determinados archivos, incluso si los archivos fueron desde hace mucho tiempo vaciado de la Papelera de reciclaje (ver Figura 4-7). Para ms informacin sobre PC Inspector File Recovery o para descargar una copia, visite www.convar.de._ Los registros de Informacin antes mencionados archivo de ayuda para contar historias sobre historiales de archivos, e incluso el estado emocional del usuario. Como los archivos se eliminan automticamente por el sistema operativo no dejar constancia en el archivo de informacin, un archivo de registro informacin indica que un usuario sabiendas eliminar un archivo en cuestin. No es infrecuente encontrar archivos borrados durante un cierto perodo de tiempo, como por ejemplo cuando el usuario puede haber sentido que la sospecha se centr sobre l. Un investigador forense experto es capaz de recuperar estos Informacin de archivos, que son a menudo vital para la creacin de un argumento convincente.
Figura 4-7: PC Inspector File Recovery por Convar Deutschland GmgH que muestra los archivos borrados recientemente
esto detrs de nosotros, el siguiente paso en la recuperacin de datos borrados es entender lo que sucede cuando un usuario borra un archivo en cualquiera de los sistemas de archivos antes mencionados de Windows. Independientemente del sistema de archivos utilizado por Windows, cuando un usuario borra un archivo, el sistema operativo Windows no elimina realmente el archivo. En cambio, el sistema operativo se mueve la entrada del archivo de directorio (entrada FAT) y la informacin sobre la ubicacin original del archivo en una carpeta oculta que representa a la Papelera de reciclaje. Los datos fsicos reales no se elimina, o incluso movido, slo la ubicacin del directorio (entrada FAT) cambios.
86
Como se mencion anteriormente en este captulo, cuando la Papelera de reciclaje est "lleno" ya no es capaz de mantener los datos eliminados de los archivos ms antiguos se purgan en primer lugar. Si bien es posible pasar por alto la papelera de reciclaje, mantenga pulsada la tecla Mays al eliminar un archivo, los datos del archivo pero seguir siendo. Cuando se eliminan archivos bajo el sistema de archivos FAT, Windows modifica la entrada de los datos borrados es gordo, al indicar que los en-Frios estn ahora disponibles para su reutilizacin. En NTFS, el proceso es similar. Slo la entrada del directorio de archivos, grupos de datos, y la entrada MFT se marcan como disponibles. El archivo de los datos sigue siendo, sin embargo, hasta que los grupos se reciclan para almacenar algn otro archivo. En cualquier caso, una vez que los grupos de discos que fueron ocupados inicialmente por un archivo eliminado han sido sobrescritos por los nuevos datos, el archivo se ha ido para siempre. Cuando se crean archivos de computadora, su longitud varES dependiendo del contenido de los datos que estn siendo almacenados. En DOS y Windows, los archivos se almacenan en bloques de datos de longitud fija, llamados clusters. Puesto que los tamaos de archivo rara vez coinciden con el tamao de uno o magrupaciones ltiple perfectamente, el espacio de almacenamiento de datos, conocida como la holgura del archivo, existe desde el final de un archivo al final del ltimo grupo asignado a ese archivo. De los cursos vara en longitud, dependiendo de los sistemas operativos y el archivo en cuestin. Grandes clustamaos ter significan ms file slack y los residuos tambin ms de espacio de almacenamiento, sobre todo cuando se trata de Windows 95. Sin embargo, este inconveniente puede ser til para el investigador forense informtico desde holgura de archivo puede ser una importante fuente de pruebas. Holgura archivo tiene el potencial para contener bytes seleccionados al azar de los datos de la memoria del ordenador. Esto sucede porque DOS / Windows normalmente almacena los datos en bloques de 512 bytes llamados sectores. Las agrupaciones se componen de grupos o bloques de los sectores. Si no hay suficientes datos almacenados para comple-tamente llenar el ltimo sector en un archivo, el sistema operativo DOS y Windows se rellenar el espacio restante con datos tomados de buffers de memoria de la computadora. Estos datos seleccionados al azar de la memoria RAM se denomina holgura ya que se extrae de la memoria de acceso aleatorio del ordenador. Memoria RAM holgura puede contener cualquier informacin que se ha creado, descargar, copiar, ver o modificado desde el ordenador se arranca pasado. Si el equipo no se ha cerrado por un perodo prolongado de tiempo, los datos almacenados en el archivo de la holgura puede venir de las sesiones de trabajo que se produjeron en el pasado. Debido a la holgura de archivos potencialmente contiene datos aleatorios "prestados" de la memoria del ordenador, es posible identificar el inicio de sesin de red Ames, las contraseas y otra informacin sensible asociada con el uso del ordenador todos los das. Es importante no olvidar que la holgura de archivos tambin se puede existen en los disquetes, discos Zip, y otros dispositivos de medios extrables.
datos, slo unos pocos poseen las cualidades necesarias para ser utilizado cuando se realiza una investigacin informtica forense investiga-cin. Adems de la recuperacin de archivos de PC Inspector se ha mencionado anteriormente, otra utilidad de los datos de una excelente recuperacin es EasyRecovery Professional por Kroll Ontrack, Inc. De acuerdo con su fabricacinnEasyRecovery Professional incluye capacidades avanzadas de recuperacin de datos que le permiten buscar y recuperar numerosos tipos de archivos. Adems, EasyRecovery Professional incluye un disquete de arranque de emergencia para ayudar a recuperar datos de sistemas comprometidos que ya no son capaces de cargar Windows. Para precios e informacin adicional, visita www.ontrack.com.
87
palabras, slo la asociacin entre el archivo AME y el inodo se retira. Dado que los datos de inodos y bloques de datos no son inmediatamente sobrescribe todos los datos necesarios para recuperar un archivo (con la excepcin del archivo AME) permanece en el disco. Sin embargo, la capacidad de recuperar archivos borrados es limitada ya que los datos borrados se pueden sobrescribir en cualquier momento despus de su eliminacin. Una vez que esto sucede, los datos es ido para siempre.
Usando e2undel
El procedimiento fundamental para la recuperacin de datos en ext2 implica la bsqueda de los datos borrados en el dispositivo de particin en bruto y luego haciendo visible de nuevo al sistema operativo. Hay dos maneras de lograr esto. El primer mtodo consiste en eliminar el indicador de eliminacin de los inodos de los datos eliminados. Este enfoque es algo complicado porque requiere algn conocimiento de programacin y el uso de herramientas de depuracin. El procedimiento preferido y ms seguro es para descubrir que los datos se encuentra en la particin, y luego copiar los datos en un archivo nuevo en otro sistema de archivos. El mejor mtodo para recuperar los datos eliminados en el marco del sistema de archivos ext2 es el uso de una prctica utilidad gratuita llamada e2undel. Este til programa recupera los datos de los archivos borrados de ordenadores que utilizan el sistema de archivos ext2. Entre sus principales caractersticas es una biblioteca integrada que te permite recuperar archivos borrados por AME. Uno de los mayores beneficios de esta utilidad es que no requiere un conocimiento extenso de los sistemas de archivos ext2 de comandos con el fin de usarlo. La sintaxis bsica para la recuperacin de datos utilizando ex2undel es como sigue:
e2undel-d dispositivo -S camino [-A] [-t]
A continuacin se muestra lo que los comandos de la lnea anterior significa: -D es la ubicacin del sistema de archivo en el que desea buscar los archivos borrados (por ejemplo, / Dev / hdOpara la primera particin en el disco IDE). es el directorio donde desea guardar los archivos recuperados.
-S
-Un recupera todos los archivos borrados, y no slo aquellos enumerados en el archivo de registro UNDEL.
-T
los intentos de determinar el tipo de archivos borrados, sin Ames (esta opcin slo funciona en combinacin con el -Un de comandos).
Mientras que la opcin-siempre se debe usar, la opcin de t no es obligatorio. Para obtener informacin adicional acerca de los comandos e2undel o para descargar una copia de esta utilidad, visite http:// sourceforge.net/projects/e2undel .
89
Cmo recoger la evidencia de los archivos eliminados a travs de la papelera de reciclaje de Windows Los procedimientos para la recuperacin de datos borrados en sistemas de archivos FAT y ext2
Captulo 5
El anlisis de los procesos anormales del sistema La deteccin de archivos inusuales o escondidos Localizacin de los rootkits y puertas traseras Deteccin y prevencin de sniffers de red EL INTERNET HA CAMBIADO LA FORMA DE HACER NEGOCIOS. Casi todo lo que es accesible con un clic del ratn. Mientras que individuosais, y las organizaciones utilizan Internet a diario para enviar mensajes de correo electrnico, comercio electrnico o la mensajera instantnea, rara vez se consideran los peligros que plantea el hack-res, virunses, gusanos y caballos de Troya como clic de distancia desde el sitio web al sitio web. Ponemos la confianza en nuestros ordenadores y se supone que ofrecen proteccin para nuestra informacin confidencial. El Internet no regulada alberga numerosas amenazas. Mientras que los hackers, crackers, y respetuoso de la ley ciudadanos viven todos juntos en el mundo ciberntico, el usuario medio de Internet no suele ser consciente de la presencia de individuos malvolosais. El cdigo malicioso en forma de virungusanos ses, y caballos de Troya atraviesa el Internet, la explotacin de fallas que existen en los sistemas operativos y aplicaciones de muchos un usuario inocente. Debido a estas amenazas cibernticas, los individuosais y las organizaciones necesitan cambiar la forma de optasa y gestionar sus redes. Entrenamiento en seguridad con frecuencia se centra en cuestiones de seguridad bsicas y no en respuesta a las amenazas de Internet. Durante el entrenamiento tpico de sensibilizacin de los usuarios los detalles de archivos adjuntos de mensajes de correo electrnico (y su capacidad para ocultar cdigo malicioso o hacerse pasar por legtimodocumentos o archivos grficos compaero) no se tratan suficientemente. No podemos culpar a los usuarios informticos com-para la proliferacin del virus, si se ven envueltos en un entorno informatizado, sin haber estado expuesto a algunos conceptos bsicos de respuesta a incidentes. Este captulo se centra en detectar, analizar y responder a las amenazas planteadas por los intrusos y los codificadores maliciosos. 91
92
ejemplo, una identificacin que pertenece a una persona no empleada por la organizacin) Procesos anormales del sistema pueden ser causados por Los programas que inician una sesin de un usuario'S las pulsaciones de teclado o monitor y roban contraseas
El cdigo malicioso (virunses, los gusanos de Internet, y aplicaciones de caballos de Troya) Spyware (software que transmite informacin a un tercero sin notificar el usuario) Como se mencion en el captulo 1, los archivos de registro se debe comprobar para las conexiones desde lugares inusuales o para cualquier actividad inusual. Todas las versiones de Windows NT tiene un visor de eventos integrada que le permite comprobar el inicio de sesin inusual enFrios, las fallas de los servicios o procesos anormales. Los datos recogidos a partir de archivos de registro puede ayudar en el anlisis del comportamiento del proceso. Estos incluyen los siguientes: El proceso Ames y los tiempos de arranque El estado del proceso (por ejemplo, la duracin del tiempo, los recursos consumidos, y as sucesivamente) Que el usuario ejecut el proceso de La cantidad de recursos del sistema utilizado (por ejemplo, CPU, memoria, disco y tiempo) procesos especficos en el tiempo Sistema y de usuario, procesos y servicios de ejecucin en un momento dado El mtodo por el que normalmente cada proceso iniciado (por ejemplo, el administrador del sistema, otros usuarios, otros programas, o generado a partir de otros procesos) y lo que la autorizacin y privilegios han sido asignados a los procesos Los dispositivos de hardware utilizados por los procesos especficos Archivos abiertos actualmente por procesos especficos Al revisar los registros del sistema operativo o la red, fjese en lo siguiente: Procesos que consumen recursos excesivos (por ejemplo, tiempo de memoria, disco o CPU) Los procesos que comienzan o correr en momentos inesperados Procesos inusuales, no el resultado de las actividades normales autorizadas (por ejemplo, el paquete oler, descifrado de contraseas, y as sucesivamente) Los procesos que antes de tiempo largoNate Anteriormente las cuentas de usuario inactivas que de repente empiezan a generar procesos y consumir ordenador o una red de recursos Procesos inesperados o desactivado con anterioridad, que pueden indindican que un
hacker o intruso ha instalado su propia versin de un proceso o servicio Una estacin de trabajo o terminal que comienza a exhibir anormal de entrada / salida de la conducta Mltiple con procesos similares Ames (por ejemplo, cuando un virus de ordenador ejecuta Explorer.exe utilizando una letra mayscula para disfrazarse en lugar del proceso real, que se llama explorer.exe por el sistema operativo) Un nmero inusualmente grande de los procesos en ejecucin
94
Para crse comi un acceso directo del escritorio con el programa de taskmgr.exe, primero es necesario la ubicacin de este archivo en el sistema operativo Windows. La ubicacin predeterminada es C: \ windows \ system32 para Windows NT y 2000 y
Figura 5-1: El Windows XP ventana del Administrador de tareas que muestra todos los
95
r PID (identificador de VTamao de la memoria virtual proceso) WUso de la CPU VPagedPool r Tiempo de CPU WUso Mernory VPico Mernory Uso | Del ~ ~ Pgina Fallas VObjetos USUARIO r 1/0 Lecturas V1/0 ReadBytes ^ ID de la sesin WUsuario AME 1 Aceptar | Cancelar VNo paginado Una prioridad base VRecuento de subprocesos r objetos GDI r l / OWrites r 1/0 Bytes Escriba r 1 / Otros 0 | ~ 1/0 OtherBytes
97
se puede utilizar junto con el -Ef opcin (por ejemplo, ps-ef) Para obtener una lista completa de todos los procesos del sistema Unix. Mientras que Windows NT, 2000 y XP vienen con el Administrador de tareas, que no ofrecen un nivel significativo de detalles acerca de los procesos individuales. Por suerte, hay varios programas disponibles que pueden hacer el trabajo de los procesos de supervisin del sistema menos oneroso. En el sitio Web de Sysinternals (www.sysinternals.com)no es un conjunto de avanzadas herramientas para descargar software gratuito llamado PsToolscoded por Mark Russinovich. Se puede asistir en el seguimiento y la recopilacin de una informacin ms detallada sobre los procesos del sistema bajo el sistema operativo Windows. El conjunto PsTools incluye las siguientes herramientas, que se pueden descargar de forma individual o como paquete: PsExec ejecuta procesos de forma remota. PsFile archivos espectculos abre desde una localizacin remota. PsGetSid muestra el SID (identificador de seguridad) de un equipo o un usuario. Sallnfo listas de informacin sobre un sistema. PsKill Finaliza los procesos de ombre o ID del proceso. PsList muestra informacin detallada acerca de los procesos. PsLoggedOn muestra quin est conectado a nivel local como a travs de recursos compartidos. PsLogList vertederos de los registros del registro de eventos. PsService puntos de vista y los servicios de los controles. PsShutdown se apaga y reinicia opcionalmente un equipo. PsSuspend suspende procesos. PsUptime muestra el tiempo que un sistema ha estado funcionando desde su ltimo reinicio. Dado que todos los PsTools son las herramientas de lnea de comandos, que se debe ejecutar desde un comando (DOS) del sistema. Usted tendr que agregar la carpeta que se almacenan en la ruta de acceso del sistema a fin de ejecutar desde cualquier directorio que no sea el directorio o carpeta en la que fueron colocados. Por plac-cin de estas herramientas en el directorio Winnt (Windows NT/2000) o el directorio de Windows (Windows XP), que se incluir automticamente en la instruccin de ruta de su sistema. Si usted desea poner estas herramientas en su propio directorio (por ejemplo, C: \ PsTools)y an as tener Windows lCate ellas automticamente, realice los siguientes pasos. En Windows NT 4.0, haga lo siguiente: 1. Haga clic derecho en Mi PC de la ICn. 2. Seleccione Propiedades en el contexto de los hombres. 3. Haga doble clic en Sistema de ICn. 4. Haga clic en la ficha Entorno.
5. Seleccione Ruta de la lista de variables del sistema. 6. Editar la instruccin de ruta mediante la adicin del directorio en el que se almacena PsTools.
98
Respuesta a Incidentes: Computer Toolkit Forense En Windows 2000, XP, haga lo siguiente: 1. Haga clic derecho en Mi PC de la ICn. (En Windows XP, el icono Mi PC Icn puede ser situado en los hombres comienzan a.) 2. Seleccione Propiedades en el contexto de los hombres. 3. Seleccione la ficha Opciones avanzadas. 4. Haga clic en el botn Variables de entorno. 5. Desde la ventana de Variables del sistema, resalte la entrada Path y seleccione Editar. 6. Add (agregar) la ubicacin del directorio de PsTools a la lista de directorios en la ruta con un punto y coma inmediatamente despus de la ltima declaracin en el Camino, a continuacin, aadir la ubicacin del Directorio de PsTools (ver Figura 5-4).
Figura 5-4: Adicin de la ubicacin del directorio de PsTools a su lista de directorios a travs de Windows XP Pro Variables Ambientales utilidad de edicin de
Otra herramienta til en el sitio Web Sysinternal es Process Explorer (ver Figura 5-5) por Mark Russinovich. Con esta poderosa de apuntar y clic, basada en Windows, la utilidad freeware, usted puede averiguar quin es el dueo de cada proceso, y, para cada uno de estos procesos, qu archivos, claves de registro y otros objetos estn abiertos. Adems, el proceso muestra el Explorador de archivos DLL que se ha cargado y que los identificadores abiertos a cada proceso. Esto hace que sea una herramienta poderosa para la comprensin de la deFcomportamiento ernal de
aplicaciones, as como para localizar las fugas del mango y Versi DLLn desajustes.
99
siguiente pasos.
Respuesta a Incidentes: Computer Toolkit Forense Para Windows NT, haga lo siguiente: 1. Haga clic en el botn Inicio, seleccione Configuracin, Panel de control. 2. De los hombres Ver, Seleccione Opciones. 3. Haga clic en la ficha Vista. 4. En la ficha Ver, seleccione "Mostrar todos los archivos". 5. Desmarque la opcin "Ocultar extensiones de archivo para tipos de archivo conocidos" opcin. 6. Haga clic en Aceptar para completar los cambios. Para Windows 2000, haga lo siguiente: 1. Haga clic en el botn Inicio, seleccione Configuracin, Panel de control. 2. De los hombres Herramientas, Seleccione Opciones de carpeta. 3. Haga clic en la ficha Vista. 4. En "Archivos y carpetas ocultos", seleccione "Mostrar archivos y carpetas ocultos". 5. Desmarque la opcin "Ocultar extensiones de archivo para tipos de archivo conocidos" opcin. 6. Desmarque "Ocultar archivos protegidos del sistema." (Nota: Windows 2000 mostrar un cuadro de dilogo solicitando confirmacin. Asegrese de leer y entender la informacin contenida en el cuadro de dilogo, a continuacin, haga clic en S.) 7. Haga clic en Aceptar para completar los cambios. Para Windows XP, haga lo siguiente: 1. Haga clic en el botn Inicio y seleccione Panel de control. 2. De los hombres Herramientas, Seleccione Opciones de carpeta. 3. Haga clic en la ficha Vista. 4. En "Archivos y carpetas ocultos", seleccione "Mostrar archivos y carpetas ocultos".
5. Desmarque la opcin "Ocultar extensiones de archivo para tipos de archivo conocidos" opcin. 6. Desmarque "Ocultar archivos protegidos del sistema." (Nota: Windows XP mostrar un cuadro de dilogo cuadro de confirmacin. Asegrese de leer y entender la informacin contenida en el cuadro de dilogo, a continuacin, haga clic en S.) 7. Haga clic en Aceptar para completar los cambios.
101
ln todas las versiones de Windows, puede ver los archivos ocultos en el smbolo del sistema, escriba dir / ah.
Otro truco favorito de hackers es explotar programas SUID de root. (SUID root se refiere al conjunto raz ID de usuario.) SUID root permite que el programa para llevar a cabo las funciones que slo los administradores del sistema con privilegios de root completas se les permitira llevar a cabo. Los programas que se ejecutan como root tiene acceso completo a un sistema Unix, y los programas SUID ejecutarse como root, independientemente de quin los est ejecutando. Programas que se ejecutan rutinas de bajo nivel de red y funciones de control, tales como pantalla grfica, el cambio de contraseas, e inicio de sesin son todos ejemplos de programas que requieren de un usuario con privilegios de root completas para su ejecucin. Los intrusos suelen dejar copias de SUID / Bin / sh o / Bin / hora que les permita tener acceso de root despus. Encontrar todos los programas SUID en su sistema y hacer un seguimiento de lo que son. De esta manera, usted se dar cuenta de los cambios, lo que podra indcado un posible intruso. Utilice el siguiente comando para encontrar e imprimir una lista de todos los programas o archivos que se SUID root:
find /-type f-perm -4000-print | raz de correo
Tambin es posible que desee navegar por la lista de todos los programas SUID y lcado a los que rara vez o nunca. Usted puede desactivar (deshabilitar) el bit SUID con el chmod (Modo de cambio) comdemanda. Esencialmente, chmod se refiere a establecer los privilegios de acceso para un archivo. Para ejecutar chmod en un archivo o directorio, debe ser su propietario o un super-usuario con privilegios de root. El siguiente paso en el control-ling programas con suid root es el de analizar los programas que no debe ser SUID root o los que se puede quitar sin obstaculizar el funcionamiento del sistema. La lista de programas que no debe ser var SUID rootES de un sistema a otro. En general,
antes de apagar el SUID root, primero debe determinar la funcin del programa y luego decidir si es un programa esencial o si debe ser SUID root.
102
Una cuenta de superusuario es una cuenta con privilegios de acceso sin restricciones a todos los archivos y los comandos. Muchas de las tareas administrativas slo pueden ser realizadas por una cuenta de superusuario. Por convencin, el nombre de usuario para la cuenta de superusuario es root.
La sintaxis exacta para la eliminacin de raz var SUIDes en funcin de los archivos que desea modificar. Asumiendo que usted desea quitar el bit SUID en / Usr / bin / passwd, la sintaxis es
chmod-s / usr / bin / passwd
El principio rector comn con los programas SUID root es para limitarlas a slo aquellos que sean necesarios. Los administradores de sistemas se les anima a examinar la funcin de cada programa para determinar si se debe establecer como superusuario, o no.
Rootkits y backdoors
La mxima afirma: "Se necesita un ladrn para atrapar a un ladrn." Lo mismo puede decirse de los piratas informticos. Para atrapar a un pirata informtico, se debe tener un conocimiento general de las herramientas y tcnicas de los hackers emplean a ms deeoyo los usuarios y sistemas. Una de las herramientas de hacker ms utilizadas para lograr este obje-tivo es el rootkit. Un rootkit se utiliza para llevar a cabo las siguientes funciones: Evitar el registro de la actividad Establecer puertas traseras para el reingreso Ocultar o eliminar la evidencia de la entrada inicial Ocultar el contenido de archivos especficos Ocultar archivos y directorios Reunir informacin de inteligencia (por ejemplo, nombres de usuario y contraseas) Un rootkit se llev por su no porque ame la caja de herramientas se compone de herramientas para agrietarse raz, pero en lugar porque se compone de herramientas para mantener o mantener las races. Bajo Unix y Linux, la raz es el ms alto privilegio. Los usuarios con privilegios de root tiene acceso a todos los aspeecios de la operac-Ing sistema de acceso de root, porque implica el control de una mquina. Los rootkits son utilizados por intrusos para ocultar y asegurar su presencia en un sistema informtico. Si bien hay rootkits disponibles para el sistema operativo Windows, los rootkits de
Windows son en la actualidad no est tan extendido como sus homlogos de Unix y suelen ser detectados por cualquier antivirus de buena reputacin suaveware. En Unix y Linux, los administradores de red por lo general confan en el ps comando para mostrar una lista de todos los procesos del sistema y la 1scomando para listar todos los archivos ubicados en un directorio del disco duro. Un rootkit generalmente contiene un conjunto de utilidades de hackers, tales como registro de limpieza de las secuencias de comandos y sniffers de paquetes de red. Adems, los rootkits contienen sustitutos especializados del ncleo de Unix y Linux utildades, tales como netstat, ifconfig, ps, y Yos. A pesar de que los piratas primero debe tener acceso a
103
los sistemas de las vctimas antes de que puedan instalar sus rootkits, su facilidad de uso, la disponibilidad generalizada, y la cantidad de destruccin que son capaces de causar que los rootkits una seria amenaza para computadoras de trabajo netos-los administradores. Inevitablemente, la mayora de los sistemas informticos se infiltraron por un intruso o infectados por algn tipo de cdigo malicioso. A continuacin el Departamento de Justicia de EE.UU. pblica de prensa relASE demuestra que incluso las agencias gubernamentales como la NASA no son inmunes a rootkit Exploits:
01 de diciembre 2000 Noticias Rel.ASE Hacker se declara culpable en Nueva York a cortar en dos Propulsi Chorro de la NASA se declaran aula de informtica Situado en Pasadena, California Mary Jo White, el Fiscal de los Estados Unidos para el Distrito Sur de Nueva York, anunci que RAYMOND Torricelli, a / k / a "Rolex", un miembro de un grupo de hackers conocido como "# conflicto", se declar culpable hoy en el tribunal federal de Manhattan de los cargos de ltima hora en dos computadoras propiedad y mantenidos por la Administracin Nacional de Aeronutica y del Espacio Propulsi a Chorro de lan de laboratorio ("JPL"), con sede en Pasadena, California. De acuerdo a una demanda presentada anteriormente, Torricelli utiliz uno de esos equipos para hospedar una sala de chat de Internet y los programas instalados diseados para obtener nombres de usuario y contraseas desde el otro equipo. Al declararse a una informacin de cinco cargos, Torricelli admiti que, en 1998, l era un pirata informtico, y un miembro de una organizacin de hacking conocida como "# conflicto". TORRICELLI admiti que, operando desde su residencia en New Rochelle, utiliz su ordenador personal para ejecutar programas diseados para buscar en Internet, y buscar ordenadores que eran vulnerables a intrusin; ". rootkit", una vez estos equipos se encuentran, equipo de Torricelli entonces obtener acceso no autorizado a las computadoras mediante la carga de un programa conocido como acuerdo con la demanda, "rootkit" es un gramo a favor de que, cuando se ejecuta en un ordenador, permite a un hacker tener acceso completo a todas las funciones de una computadora sin haber obtenido estos privilegios de los usuarios autorizados de ese equipo. De acuerdo con la acusacin y la denuncia, una de las leyes Torricelli computadoras accede fue utilizado por la NASA para llevar a cabo el diseo de satlites y el anlisis de la misin relativa a las futuras misiones espaciales, y otro fue utilizado por JPLS tierra de sistemas de comunicaciones como una seccin de correo electrnico y el servidor Web interno. Despus de obtener este acceso no autorizado a computadoras, que la intrusin y la carga de "rootkit", TORRICELLI bajo el seudnimo de "Rolex", utiliza muchos de los equipos para hospedar sala de chat discusiones. En su alocucin de culpabilidad, TORRICELLI admiti que, en estas discusiones, invit a los chat de otros partici-pantes para visitar un sitio Web que les permita ver las imgenes pornogrficas, y que l gan 0,18 dlares por cada visita a una persona hecha a ese sitio Web. De acuerdo con la demanda, Torricelli gan aproximadamente $ 300 a $ 400 por semana a partir de esta actividad. TORRICELLI tambin se declar culpable de los nombres de usuario y contraseas de interceptacin que atraviesan las redes informticas de una computadora propiedad de San Jos La Universidad del Estado, y la posesin de las contraseas robadas y nombres de usuario que se utilizan para tener acceso gratuito a Internet, o para obtener acceso no autorizado a computadoras an ms. TORRICELLI admiti, como parte de su alocucin de culpabilidad, que cuando obtuvo las contraseas que fueron cifrados, que usara un programa de violacin de contraseas conocido como "John-the-
Ripper" para descifrar las contraseas. Adems, Torricelli se declar culpable de posesin de los nmeros robados de tarjetas de crdito. Como parte de su alegato, Torricelli admiti que us uno de esos nmeros de tarjeta de crdito para comprar el servicio telefnico de larga distancia. Como se alega en la demanda, Torricelli obtenido estos nmeros de tarjetas de crdito de otros individuosais, y las guard en su computadora.
104
Como se describe en la demanda, la mayor parte de las pruebas obtenidas en contra de Torricelli fue obtenida a travs de un registro de su ordenador personal. De acuerdo con la demanda, adems de miles de contraseas robadas y numerosos nmeros de tarjetas de crdito, los investigadores encontraron las transcripciones de las conversaciones sala de chat en el que las leyes Torricelli y los miembros de "# conflicto" discutir, entre otras cosas, (1) pausa-cin en otras computadoras (una prctica conocida como "hacking"), (2) la obtencin de nmeros de tarjetas de crdito-cin pertenecen a otras personas y usar esos nmeros para hacer compras no autorizadas (una prctica conocida como "carding"), y (3) usando sus computadoras para alterar electrnicamente los resultados de los MTV Movie Awards anuales. Jefe de los Estados Unidos el juez de distrito Michael B. Mukasey establece la sentencia en el caso el 7 de marzo de 2001, a las 9:15 AM En la sentencia, Torricelli se enfrenta a hasta 10 aos de prisin y una multa de 250.000 dlares cada uno en el fraude de tarjetas de crdito y los gastos de contraseas de posesin, de 5 aos de prisin y una multa de 250.000 dlares por el cargo de la interceptacin de contraseas, y un ao de prisin y una multa de $ 100.000 en cada uno de los cargos involv-Ing su acceso no autorizado de los dos ordenadores de la NASA. La Sra. Blanca elogi los esfuerzos de investigacin de la Administracin Nacional de Aeronutica y del Espacio, Oficina del Inspector General, los delitos informticos Divisin; la Rochelle, Nueva York, pDepartamento de piojos, y la Oficina Federal de Investigaciones. La Sra. White dijo: "Internet no es un refugio seguro para criminais. Como demuestra este caso, hack-res que utilizan Internet para cometer fraude de tarjetas de crdito, robar prVate contraseas y nombres de usuario, y tener acceso a las computadoras del gobierno restringidos, daando los equipos, no son bromistas, que son inofensivos criminais, y se tratar vigorosamente. "
En una declaracin escrita a la corte, Torricelli dijo que irrumpi en las computadoras de la NASA conocida como HEIDI.JPL.NASA.GOV entre el 17 y 25, de 1998, con una herramienta de rootkit que podra darle acceso a la raz de todos los archivos en ese equipo. En el momento se ha instalado el rootkit, Torricelli, declar: "Yo no saba que estaba siendo instalado en los equipos pertenecientes a la NASA, yo saba que estaba siendo instalado en los equipos que no estaba autorizado a acceder. " El 5 de septiembre de 2001, Raymond Torricelli fue condenado a cuatro meses de prisin y cuatro meses de arresto domiciliario. Adems, Torricelli fue condenado a pagar 4.400 dlares en restitucin a La NASA.
opciones, y como resultado, no tiene las mismas caractersticas que el original. La deteccin de rootkits es de vital importancia, sin embargo, puede ser una de las tareas ms desalentadoras de cualquier administrador del sistema. Los rootkits entran en la categora de cdigo malicioso y se detectan tanto en la misma forma que virunses, gusanos o troyanos son. De hecho, la mayora de los rootkits contienen puerta trasera de caballo de Troya
105
componentes que les permiten recuperar entrada en una fecha posterior. Un hacker cuidadoso y sofisticado no dejar evidencias de encontrar. Otros pueden dejar huellas que pueden ser recogidos, pero slo por aquellos familiarizado con los detalles del sistema operativo y el diseo de la red. Con unidades de disco duro cada vez ms grandes y de los sistemas operativos ms complejos, no es infrecuente tener decenas de miles de archivos y numerosos procesos en ejecucin. Esto puede hacer que localizar o detectar un rootkit anlogo a encontrar una aguja en un pajar. Como se mencion anteriormente en este captulo, la mayora de los modernos rootkits simplemente reemplazar a los servicios estndar con versiones "especializada". Adems, las instalaciones de rootkit a menudo forjan de sello de tiempo y la informacin de tamao de archivo en un esfuerzo por evitar que los administradores del sistema a partir de confirmar visualmente la integridad de los servicios pblicos a travs de el sistema Unix / Linux 1scomando.
Manual de Inspeccin
Una manera de detectar la presencia de un rootkit es a travs de la inspeccin manual, que normalmente se lleva a cabo utilizando el cadenas comando. La cadenas utilidad, que es estndar en todos los modernos Unix / Linux plataformas, slo muestra las porciones de lectura de un archivo binario. La cadenas utilidad busca cadenas imprimibles en archivos regulares y escribe esas cadenas a la salida estndar de la impresora. Una cadena es cualquier secuencia de cuatro o ms caracteres imprimibles que terminan con una nueva lnea o un nuyol carcter. Para el administrador de sistemas con experiencia, el cadenas comando puede producir datos legibles tales como el Ames de archivos donde se guardan las contraseas de intrusos, las versiones de la biblioteca con la que se compil el rootkit, y otra informacin que normalmente no se correlacionan con los datos originales en el archivo de destino. La sintaxis exacta utilizada con el cadenas comando varES dependiendo de qu Versin de Unix o Linux se utiliza. En general, la sintaxis de la cadenas comando es como sigue:
cadenas [-A] [-] [-o] [-t (d) (o) (x)] [-n] [archivo ame, etc. ]
Para obtener una lista de las banderas utilizadas, vase el cuadro 5-1.
Tabla 5-1 Banderas utiliza en el comando de Unix / Linux Cuerdas -Un o -Este indicador busca en el archivo completo (no slo la seccin de datos) para las cadenas imprimibles. -N (Nmero) Esta bandera es idntica a la -Nmero bandera y especifica una longitud mnima de la cadena que no sea el predeterminado de cuatro caracteres. La mximum valiosa de una cadena de longitud es 4.096. -O Esta bandera es idntica a la -T o bandera y las listas de cada cadena octal precedido por su desplazamiento en el archivo.
-T (Formato) Esta bandera muestra cada cadena precedido por su desplazamiento desde el inicio del archivo. El formato es dependiente del carcter utilizado como la variable de formato, algunas de las cuales se enumeran a continuacin: describe el desplazamiento en formato decimal. oescribe el desplazamiento en formato octal. Seguido
106
expediente
Chkrootkit es una coleccin de pequeas utilidades gratuitas para detectar la presencia de rootkits conocidos en un sistema Linux. Aunque es posible encontrar independientes guiones de deteccin para casi todos los rootkits, chkrootkit se diferencia por su capacidad para detectar un gran nmero de diferente los rootkits usando una sola aplicacin. Adems de la deteccin de firmas conocidas de rootkit, chkrootkit tambin ejecuta algunas pruebas genricas que pudieran ayudar en el descubrimiento de rootkits que en realidad no son soportados por la aplicacin. Para obtener ms informacin o para descargar una copia, visite www.chkrootkit.org. Para los sistemas Windows y Unix-, intacta por el Pedestal Software (www.pedestalsoft ware.com)puede ayudar a detectar la presencia de un rootkit, as como otras violaciones del sistema. Intacto detecta rootkits mediante el control de cambios en los sistemas informticos. En concreto, el programa toma una instantnea de los objetos del sistema y, a continuacin compara la instantnea con el sistema activo en tiempo real. Al informar sobre los cambios inesperados, Intacto detecta intrusiones no autorizadas, los efectos de virunses, los caballos de Troya, programas deshonestos, corrupcin de archivos de instalacin, y alteraciones de la seguridad, y los cambios en la configuracin de auditora. Como hemos visto anteriormente en este libro, los cambios, adiciones y / o supresiones menudo evidencia de que un compromiso de la integridad de un sistema que ha ocurrido.
colocados en un sistema por el legtimocompaero de hardware o fabricantes de software como un medio para sus tcnicos para obtener acceso para reparaciones o mantenimiento. Los piratas informticos utilizan a veces estos identificadores de inicio de sesin y contraseas ocultas o utilizar los caballos de Troya para establecer Yolegales y autorizados los ID de inicio de sesin y contraseas en los sistemas informticos. Si bien se puede instalar puertas traseras para acceder a una variedad de servicios, los que proporcionan acceso interactivo son de particular inters en materia de seguridad de la red. La puerta trasera para la mayora de los intrusos ofrece tres funciones principales:
107
1. Volviendo en el sistema con la menor cantidad de visibilidad. La mayora de las puertas traseras ofrecen una manera de evitar que se registren, y muchas veces de una mquina puede parecer que no tienen a nadie incluso en lnea, mientras que un intruso lo est utilizando. 2. Volviendo a una mquina, incluso si el administrador intenta para asegurarlo (por ejemplo, por cambiar todas las contraseas). 3. Permitir que el hacker para recuperar la entrada en el sistema en el menor tiempo posible. La mayora de los intrusos tratan de volver a la mquina con facilidad, sin tener que rehacer todo el trabajo de la explotacin de un agujero para acceder. Utilizando una puerta trasera para entrar de nuevo un sistema es una tcnica popular utilizada por los piratas informticos. Dado que las herramientas de puerta trasera estn disponibles en los sitios Web de hackers, piratas informticos, incluso menores de edad los utilizan para conseguir la entrada. Usando una vueltala puerta es una amenaza para la infraestructura de informacin y un crimen que el gobierno de EE.UU. toma en serio. Cmo el gobierno considera que la amenaza se evidencia en el siguiente Departamento de EE.UU. de Justicia de prensa relASE:
21 de septiembre 2000 Hacker JUVENIL CONDENADO A SEIS MESES DE Centro de Detencin Caso marca por primera vez un hacker de menores condenados a servir a tiempo WASHINGTON, DC-El Departamento de Justicia anunci hoy que un joven de 16 aos de edad, de Miami, se declar culpable y fue sentenciado a seis meses en un centro de detencin para los dos actos de la delincuencia juvenil. Bajo los estatutos de los adultos, esos actos habran sido violacines de intervencin telefnica federal y com putadora-leyes contra el abuso de interceptar las comunicaciones electrnicas en redes informticas militares y para la obtencin ilegal de informacin de las redes de computadoras de la NASA. "Entrar en una propiedad ajena, si se trata de un robo o un equipo intrusin, es un crimen serias, "dijo la Fiscal General Janet Reno. "Este caso, que es la primera vez que un hacker juvenil ser un tiempo en un centro de detencin, demuestra que tenemos equipo intrusin en serio y estn trabajando con nuestros socios cin de justicia para luchar agresivamente contra este problema ". El joven, quien es conocido en Internet como "cOmrade ", admiti hoy en los EE.UU. Tribunal de Distrito en Miami que l era responsable de las intrusiones informticas del 23 de agosto de 1999, al 27 de octubre de 1999, en una red informtica militar utilizada por la Agencia de Defensa de Reduccin de Amenazas (DTRA). DTRA es una agencia del Departamento de Defensa encargado de reducir la amenaza a los EE.UU. y sus aliados de armas nucleares, biolgicas, qumicas, convencionales y especiales. Al declararse culpable, "cOmrade "tambin admiti que tuvo acceso no autorizado a un servidor informtico, conocido como un" router ", ubicado en Dulles, Virginia, e instalaron un medio oculto de acceso o" de vueltapuerta "en el servidor. El programa intercepta ms de 3.300 mensajes electrnicos desde y hacia DTRA personal. Tambin interceptado por lo menos 19 usuario Ames y contraseas de
cuentas de equipo de DTRA em-pleados, incluyendo al menos diez nombres de usuario y contraseas en los equipos militares. "El Departamento de Defensa toma muy en serio cualquier amenaza contra su infraestructura de informacin", dijo Joseph A. McMillan, Agente Especial a Cargo de la Oficina del Departamento de Defensa de mitad de campo del Atlntico. "Todos los segmentos
108
de la sociedad, ya sean adultos o jvenes, que tienen la intencin de amenazar la informacin del Departamento de Defensa de la infraestructura, debe ser consciente de que se tomarn medidas para identificar e invertir bienpuerta de sus actividades y buscar las acciones judiciales necesarias ". Adems de las intrusiones en computadoras en el Departamento de Defensa el 29 de junio y 30 de 1999, c "Omrade "acceso ilegal a un total de 13 ordenadores de la NASA ubicado en el Marshall Space Flight Center en Huntsville, Alabama, con dos proveedores de servicios diferentes a los orig nate los ataques. Como parte de su acceso no autorizado, obtuvo y descargar el software propietario de la NASA valorado en aproximadamente $ 1,7 millones. El software apoyado la Estacin Espacial Internacional (ISS) el entorno fsico, incluyendo el control de la tempe-ratura y la humedad dentro de la sala de estar. Como resultado de la intrusin y el robo de datos, los sistemas informticos de la NASA fueron cerrados por 21 das en julio de 1999. Este cierre dio lugar a un retraso en la entrega de software de costos de los programas de la NASA de aproximadamente $ 41.000 en la mano de obra del contratista y los costos de reemplazo de equipos informticos. Adems de cumplir seis meses en un centro de detencin, ya que las condiciones de su declaracin de culpabilidad ", cOmrade "va a escribir cartas de disculpa al Departamento de Defensa y la NASA y ha accedido a la divulgacin pblica de informacin sobre el caso."
Tan inquietante como la prensa anterior relASE es decir, que no refleja otra alarmantes caractersticas-tic de puertas traseras. Las puertas traseras son, por diseo, difcil de detectar. Un esquema comn para enmascarar su presencia es para ejecutar un servidor de un servicio estndar (como telnet, por ejemplo), pero en un puerto no dis-distinguido en lugar del conocido puerto asociado con el servicio, o tal vez en un conocido puerto asociado con un servicio diferente.
Puertas traseras DETECCIN
Un buen nmero de puertas traseras son ejecutados por un tipo de cdigo malicioso llamado un caballo de Troya. De hecho, muchos de ellos contienen rootkits "de troyanos" versiones de los programas ms utilizados y utilidades del sistema. Dos aplicaciones populares caballos de Troya son BackOrifice y SubSeven, operando tanto como un servidor en el sistema que infectan. Este servidor se abre una puerta trasera, permitiendo el acceso desde el exterior es posible, y esto permite que el sistema infectado pueda acceder a los piratas informticos que a continuacin se puede hacer prcticamente cualquier cosa en un sistema, incluyendo el robo o eliminacin de archivos. Algunas de las capacidades posedo por son troyanos de puerta trasera Usted aqu: Cargar o descargar archivos Mover, copiar, renombrar o eliminar archivos Borrar discos duros y discos de datos Ejecutar los programas de Ver la pantalla como lo ve Entrar pulsaciones de teclas (incluso la entrada de contraseas ocultas) Abierto, cis, y se mueven Windows
Mueva el cursor del ratn Vea todas las conexiones abiertas hacia y desde su ordenador Ciconexiones de Se
Existen numerosos troyanos de puerta trasera que circulan en el medio silvestre. Si bien la mayora son detectados por los antivirus, resulta til saber un poco sobre cada uno de ellos. Lo que sigue es una breve lista de los troyanos de puerta trasera: BackOrifice / BackOrifice 2000 (BO2K). Atrs oFICE (o B02K) es probablemente el troyano ms avanzada en circulacin y requiere de una empinada curva de aprendizaje, por lo que es el ms difcil de poner en su lugar. Haga copias de seguridad de la Construccin. Esta puerta trasera permite muy poco frecuente que el hacker tenga acceso a los discos duros de un sistema. Siempre se ejecuta en el puerto 5400, lo que se aconseja que los usuarios simplemente bloquear ese puerto en sus firewalls. Barok. Este troyano recoge contraseas de acceso telefnico y las enva al hacker. La forma ms sencilla para defenderse de la Barok: No seleccione la opcin "Siempre recuerdo a mi pasopalabra "en cuadros de contrasea. Blade Runner. Este troyano sofisticado se orienta ms hacia las habilidades de los conocedores de sis-tema galletas, ya que contiene componentes que estn ms all de las habilidades de los hackers promedio. Cyn. Este troyano en particular es similar en forma y caractersticas de la SubSeven, sin embargo, incluye una funcin adicional que permite a un hacker para restablecer la CMOS del sistema. Deepthroat. Garganta profunda es un sencillo de usar y tiene opciones de Troya casi tantos como el SubSeven. Girlfriend. No hay mucho para distinguir este troyano, ya que contiene la norma FEAciones comunes a la mayora de las puertas traseras de Troya. Cortafuegos ms respetable puede bloquear la novia. Hack'a'tack. Este fcil de usar y colorido de control remoto de Troya en realidad es bastante raro. Desde este troyano siempre se ejecuta en el puerto 31787, que es relativamente fcil de defender por igual bloqueando el acceso al puerto 31787 en el firewall. Autobs. Este troyano comn es potente a pesar de su simplicidad. Incluso cuenta con un built-en el escner y opera a travs del puerto 54321 por defecto. SubSeven (alias Backdoor-G). Con su pequea curva de aprendizaje y numerosas funciones, SubSeven es probablemente el caballo de Troya ms popular (desde el punto de vista del hacker) y de gran alcance. El troyano SubSeven puede configurarse para informar a alguien cuando el ordenador se ha infectado se conecta a Internet. El hacker (que infecta el sistema con el SubSeven) A continuacin se proporciona la informacin
que l o ella puede usar en contra de la sistema u organizacin. Dado que la puerta trasera se accede desde una ubicacin remota fuera de la red de una organizacin, su deteccin se logra por medio de conexiones a los puertos del sistema de control diferentes. Desde servidores de seguridad se supone que controlar y limitar las actividades portuarias, que son la opcin natural para detectar la presencia de una puerta trasera. Sin embargo, puesto que las solicitudes de caballo de Troya a menudo se disfrazan de fiaraplicaciones de yerba mate, usando un firewall no garantiza que la presencia de una puerta trasera ser detectado.
110
El Apndice B proporciona una lista de los puertos de uso comn por los rootkits y backdoors.
Dado que los productos antivirus ms reconocidos son capaces de detectar cualquiera de las aplicaciones de caballos de Troya antes mencionados, se considera obligatorio para la seguridad en Internet. El software antivirus no est exenta de defectos, sin embargo. La mayora de los productos antivirus se basan en que los usuarios actualicen regularmente su firmas de virus para ayudar en la deteccin de troyanos de puerta trasera (o cualquier otro cdigo malicioso para el caso). Los virus informticos estn constituidos por cadenas de cdigo autoreplicante, que se llama el binario de signatura. El software antivirus funciona mediante la comparacin de las firmas binarias de todos los archivos entrantes en contra de cualquier conocido firmas virales binarios almacenados en su ddtla base con el fin de determinar si ese cdigo es sospechoso o peligroso.
Para ms informacin sobre firmas de virus, echa un vistazo a otro libro que escribi, Seguridad de la red de cdigos maliciosos: Una gua completa a la defensa contra virus, gusanos y troyanos (2002, Wiley).
Por desgracia, a veces no para detectar nuevas variantes para el que la firma an no es capaz de dis-. Un medio ms eficaz para determinar si un troyano o puerta trasera se ha instalado en un sistema es recoger la informacin especfica del sistema infectado en s. Hay varias herramientas gratuitas que pueden ser empleadas para recopilar esta informacin. stos son algunos de los favoritos personales:
Fportexe. Fport es una utilidad de Windows-solamente por Foundstone, Inc. fport no slo informa de todos los TCP abierto / IP y UDP, pero tambin traza de nuevo a la aplicacin propietaria. Mientras que esta misma informacin podra ser obtenida mediante Windows netstat-an comando, va un paso ms all al trazar los puertos a los procesos en ejecucin, con el ID del proceso, ame, y la ruta. Fport se puede utilizar para identificar rpidamente desconocidos puertos abiertos y sus aplicaciones asociadas. Para ms informacin o para descargar una copia sin costo alguno, visita www.foundstone.com.
Superscan. Tambin por Foundstone, Inc., SuperScan es un potente scanner de puertos TCP, emisor de ultrasonidos, y de resolucin de nombre de host. Este programa es extremadamente rpido y verstil y se puede conectar a cualquier puerto abierto descubierto utilizando una funcin de las solicitudes de ayuda especificados por el usuario.
Nmap. Nmap (Network Mapper) es una utilidad de cdigo abierto til para explorar las conexiones de red y auditora de seguridad. Nmap determina qu hosts estn disponibles
en la red, as como los puertos que estn utilizando. Nmap se ejecuta en la mayora de los ordenadores que utilizan los sistemas Unix y Linux. Viene tanto en consolay la grfica de ver-siones. Nmap es un software gratuito, disponible con cdigo fuente completo bajo los trminos de la GNU Licencia Pblica General (GPL) en www.insecure.org / nmap .
111
Listdlls.exe. ListDLLs, una utilidad gratuita de Windows, Mark Russinovich, es capaz de mostrar la ruta completa Ames de mdulos cargados - no slo su base Ames. Adems, ListDLLs bandera cargados DLL que tienen diferentes versin nmero que sus correspondientes archivos en disco (que se produce cuando el archivo se actualiza despus de un programa carga el archivo DLL), y pueden Yoldemostrar qu DLL han sido reubicadas debido a que no se cargan en su direccin base. Esta til herramienta se puede descargar en www.sysinternals.com . Puertas traseras DETECCIN con el comando netstat La netstat comando es una herramienta til para el control de configuracin de la red y la actividad. Mediante el uso netstat, usted puede averiguar qu puertos del ordenador estn abiertos, que a su vez ayuda a determinar si su ordenador ha sido infectado por un troyano. La netstat comando enumera todas al aire libre conexiones desde y hacia su PC. Unix, Linux y Windows todos soportan el netstat comando. Para usarlo en Windows, abra una de comandos (DOS) del sistema y escriba el comando netstat-a, Que enumera todas las conexiones abiertas van desde y hacia su PC. Si usted descubre cualquier conexin que usted no reconoce, es necesario rastrear el proceso que est utilizando esa conexin. Usted puede utilizar un programa freeware llamado TCPView til para hacer esto. TCPView es un programa de Windows que proporciona detalladas listas de todos los puntos finales TCP y UDP (por ejemplo, clientes, servidores, etc) en su sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP. En Windows NT, 2000 y XP, TCPView tambin informa de la ombre del proceso que posee el punto final. TCPView proporciona informacin adicional que se puede lograr cuando se utiliza el programa netstat integrado que viene con Windows. TCPView se puede descargar en www. sysinternals.com . Al igual que con Windows, en Unix o Linux cuando se ejecuta el netstat-a comando, ver un listado de todas las conexiones, junto con sus puertos de escucha.
1. Descubra cmo se est iniciando (por ejemplo, a travs de carpetas del Registro, de inicio, y as sucesivamente) y tomar la accin (s) necesarias para evitar que se reinicie despus de un reinicio. 2. Reinicie el equipo y eliminar el caballo de Troya.
Respuesta a Incidentes: Computer Toolkit Forense Los pasos bsicos que intervienen en la recuperacin de un rootkit son los siguientes: 1. Aislar la mquina afectada. (Desconectarlo de la red y / o Internet). 2. Determinar la gravedad de la transaccin. (Hay otros equipos de la red tambin infectado?) 3. Comenzar la limpieza por la reinstalacin del sistema operativo y las aplicaciones a partir de una confianza (Limpia) de copia de seguridad.
A menudo, los troyanos de puerta trasera se puede detectar simplemente actualizando sus firmas de software antivirus.
gratuita llamada PromiscDetect mano se puede utilizar para detectar rpidamente cualquier adaptador que se ejecutan en modo promiscuo. PromiscDetect es una herramienta de lnea de comandos que se puede descargar en www.ntsecurity.nu/toolbox/~~V promiscdetect / y funciona en Windows NT 4.0, 2000 -, y los sistemas basados en XP.
113
A la luz del hecho de que un rastreador de promiscuidad slo puede interceptar el trfico de datos que se comparte en su segmento de lo local rea de la red, promiscua inhalacin se puede prevenir mediante el uso de la red interruptores en lugar de centros de la red estndar. Un estndar de concentrador Ethernet opera por retransmitir los datos que recibe a todos los equipos tambin conectados al concentrador. En tal ambiente paquetes destinados a una mquina son recibidos por todas las otras mquinas, tambin. Esto es diferente de un interruptor que puede identificar el equipo especfico en el segmento de LAN para las que est destinada cualquier datos recibidos. Un interruptor retransmite los datos recibidos slo en el segmento de LAN que contiene el receptor previsto. En otras palabras, un interruptor es una "inteligente" que enva paquetes a la computadora destinada slo y no lo difunde a todos los equipos de la red, como se hace en los cubos de Ethernet. Cuando los conmutadores se utilizan en lugar de los centros, cada equipo ocupa su propio segmento de LAN, y que slo el segmento lleva el trfico de datos destinados a esa mquina. Esta segmentacin de LAN hace promiscua en modo paquete Rastreadores completamente ineficaz en los casos en que el sniffer no est conectado a la misma red.
Cmo detectar los archivos inusuales y ocultos, que a menudo son el signo de un sistema de compromiso Las herramientas y tcnicas para detectar y eliminar rootkits y backdoors Las amenazas planteadas por sniffers de red y la forma de detectar y eliNate les
Captulo 6
Realizar bsquedas de palabras clave para desarrollar pruebas Localizar y examinar el archivo de intercambio de Windows para pruebas Localizacin y recuperacin de correo electrnico pruebas pruebas Recuperacin de la memoria cach del navegador web Viendo el historial del navegador Web La importancia de los archivos de cola de impresin de Windows o metarchivos mejorados (EMF) Localizacin de los datos ocultos y las contraseas en los equipos EN EL PASADO, LA GRAN MAYORA DE LOS CRMENES SE RESUELVEN USANDO LAS PRUEBAS, tales como huellas dactilares, huellas, documentos de papel y otros objetos tangibles, extrada de la escena del crimen. Si bien este tipo de pruebas continuaque informe a la polica con los hechos importantes, la tecnologa se ha aadido otro elemento para el examen: la evidencia digital. Ms informacin a veces puede ser adquirida a partir del anlisis de una computadora y su contenido que de una huella dactilar. Como en el caso del asesinato de Sharon Guthrie seala en la Introduccin de este libro, a veces la historia de un crimen puede ser contada a travs de la recuperacin de los archivos olvidados o se cree que han sido eliminados. Afortunadamente, la polica y los profesionales del derecho son rpidamente empezando a reconocer que la informtica forense proporciona evidencia vital y, posiblemente, puede ser la clave para resolver ciertos crmenes. Con una mayor importancia que ahora se coloca en evidencia digital, se ha convertido en crucial que las pruebas se manejan y se examinaron correctamente. Como las computadoras se vuelven ms extendida en el entorno corporativo, los empleadores deben salvaguardar la informacin crtica del negocio. Una preocupacin importante de hoy es la posibilidad de que los datos podran resultar daados, destruidos o robados por un empleado descontento. Si hay una computadora en la escena del crimen, hay una buena probabilidad de que un valioso testimonio se almacena en ese equipo. Una proporcin cada vez mayor de la actividad criminal, incluyendo delitos de cuello blanco, se est cometiendo con la ayuda de las
computa doras. No hay duda de que la obtenci n de pruebas es tanto un proceso que consum e tiempo y complej a. Este captulo se centra en las herrami entas y procedi mientos para la recupera cin y el anlisis digital de pistas.
115
116
Hay varios programas disponibles para Unix, Linux y Windows que automatizan la tarea de una bsqueda por palabra clave. Por desgracia, las versiones comerciales de estos producs son un poco caros y suelen incluir muchas otras funciones (Forense suite), adems de su capacidad para per-formar bsquedas bsicas por palabra clave. He aqu algunos ejemplos:
117
Forensic Toolkit por AccessData Corporation ($ 595) Revestir por Guidance Software, Inc. ($ 1.995-$ 2,495) Maresware suite por Mares and Company, LLC ($ 325-$ 950)
SectorSpyXP por Nick McCamy Lexun de dominio pblico (vase la Figura 6-1) es una comunidad de gran alcanceordenador forense herramienta que puede ser utilizado por la polica o cualquier persona que desee buscar y recuperar la evidencia a la izquierda en discos duros de ordenador y disquetes. Aunque no es tan potente o flexible como EnCase (la principal herramienta para tales fines), SectorSpyXP es todava muy poderosa y libre. SectorSpyXP examina todos los datos en un disco duro o disquete a nivel sectorial e incluso contiene documentacin detallada sobre cmo utilizarlo para realizar una bsqueda por
palabra clave para buscar y recuperar pruebas incriminatorias. Se puede utilizar para recuperar la informacin perdida, el texto que se ha suprimido y eliminado de la Papelera de reciclaje, e incluso informacin que no se encuentra en otros programas de recuperacin de archivos. Este programa funciona en Windows 2000 y XP. Para obtener informacin adicional acerca de SectorSpyXP, inclui-Ing enlaces a sitios web donde se puede descargar una copia, visite http://home.carolina .rr.com / lexunfreew son.
118
archivos de evidencia a ser escrito. Ejemplo 1: Si desea que el archivo que se encuentra en el directorio raz de la unidad D, escriba D: \. Ejemplo 2: Si desea que el archivo que se
encuentra en D: \ Mis Prueba gratuita 1e, tendra que escribir D: \ Mis pruebas ExpedienteV
Captulo 6: Recuperacin y anlisis de pistas 3. Recuerde siempre poner el ltimo \al final de la ruta AME. 4. No incluya el ombre del archivo de texto. 5. Guarde el archivo y copiarlo en un disquete. 6. Asegrese de que el disco se inserta al inicio SectorSpyXP. 7. Usted puede quitar el disco una vez que haya comenzado SectorSpyXP. No se puede cambiar la ruta del archivo pruebas ame sin tener que reiniciar SectorSpyXP.
119
EUR
analizar.
Si el anlisis de un disquete, no quiero escribir el archivo de datos a la misma. Siga las instrucciones anteriores para escribir el archivo de datos a
otra ubicacin. Inserte el disco con el archivo de clave SectorSpyXPFilePath.txt, a continuacin, poner en marcha SectorSpyXP. Retire el disco y reemplazarlo con el que desea
USO DE SECTORSPYXP buscar informacin especfica Cuando se utiliza SectorSpyXP, hay dos mtodos que puede utilizar para buscar informacin especfica. MTODO 1 Escriba el texto que desea buscar y haga clic en el botn Buscar siguiente (para el ejemplo que se muestra en la Figura 1.6, el texto de bsqueda es "Freeware Lexun"). Buscar siguiente busca la primera aparicin de "dominio pblico Lexun" dentro de un sector, a partir del sector que se muestra actualmente, y resalta el texto en rojo. No pone de manifiesto las repeticiones posteriores de "dominio pblico Lexun" dentro del mismo sector. Al hacer clic en Buscar siguiente otra vez, busca la primera aparicin de "dominio pblico Lexun" en el siguiente sector. Esto evita tener que hacer clic repetidamente en Buscar siguiente, cuando el texto "Freeware Lexun" existe muchas veces dentro de un sector. Explicado de otra manera, en Buscar siguiente busca la primera aparicin de "dominio pblico Lexun" en el siguiente sector que se encuentra y deje de mirar-cin de "dominio pblico Lexun" en el sector de la actual una vez que ha encontrado la primera aparicin de la misma. Nota que puede buscar slo en la direccin de avance. El botn de maysculas y minsculas, por supuesto, determina si el texto de bsqueda distingue entre maysculas y minsculas o no. En nuestro ejemplo, el botn de maysculas y minsculas se presiona, y las bsquedas de "dominio pblico Lexun" slo tendr xito si ninguna de capitalizacin (o su ausencia) coincide exactamente. Por ejemplo, "Lexun freeware" no sera un xito en este ejemplo, pero lo que sera si el botn de maysculas y minsculas no se ha pulsado. MTODO 2 La bsqueda se puede hacer para obtener una lista de palabras clave que se han introducido en un archivo de texto Siguiendo este procedimiento: 1. Crse comi un archivo de texto llamado findnextlist.txt, y dentro de ese archivo, escriba las palabras clave, una por lnea. Por ejemplo: palabra
clavelcla ve2 Palabra clave3 2. Coloque el archivo donde se realizar el expediente de prueba por escrito. 3. Para utilizar la lista en las bsquedas, el tipo findnextlist en el Buscar siguiente cuadro de edicin como se describe en Mtodo 1. 4. SectorSpyXP se detiene y muestra alguna de las palabras clave que encuentre.
En el disco duro la eliminacin tambin es necesario cuando el ordenador de un sospechoso tiene una contrasea de arranque del sector ini-ciadas en el BIOS, impide que el equipo arranque a travs de disquete, CD-ROM o disco duro.
Si se realiza correctamente (como se describe en el captulo 3), la unidad clonada o fotografiado ser un sector por sec-tor copia (segn lo dispuesto por el NIST) del disco duro original. Esto preserva el estado del disco duro original, permitiendo al mismo tiempo minucioso examen forense de los datos contenidos en la reproduccin utilizando el BinText o programas SectorSpy.
Para individuosyos u organizaciones que deseen hacer un clon rpido o copia de una particin del disco duro para su personal o con fines internos de una organizacin, una prctica utilidad llamada DrvClonerXP est disponible en el dominio pblico Lexun
http://home.carolina.rr.com/lexunfreeware~~V .
Una vez que la copia o clon del disco duro de un sospechoso ha sido hecho, el original no debe ser tocado. Siempre estudiar las copias secundarias. Los cambios realizados en el origenais afectar el resultado de un anlisis posterior realizado a las copias. Asegrese de que no se quede ninguna extraccin de datos o programas de copia que tienen el potencial de modificar los tiempos de acceso de archivos, como el alquitrn (Unix / Linux) y xcopy (DOS / Windows). Por ltimo, asegrese de quitar todas las oportunidades externas para el cambio y, en general, analizar la evidencia slo despus de que ha sido recogido.
121
en la unidad C. Sin embargo, desde el sistema operativo Windows se puede instalar en otras particiones del disco duro (por ejemplo, D , E, y as sucesivamente) y porque el archivo de intercambio puede haber sido movido de su configuracin predeterminada por el usuario, la ubicacin exacta del archivo de intercambio puede variar. Como regla general, el archivo de intercambio se encuentra normalmente en el directorio raz de la particin donde est instalado Windows. En Windows 95/98/ME el archivo de intercambio se llama win386.swp, y en Windows NT/2000/XP que se llama pagefile.sys. Si no est seguro de la ubicacin del archivo de intercambio / pgina, siempre se puede realizar una bsqueda para que mediante la utilidad de bsqueda de Windows situado en el inicio hombres. Desde pagefile.sys es un archivo oculto del sistema, primero debe asegurarse de que Windows se ha creado para ver los archivos ocultos y no ocultar archivos protegidos del sistema operativo. Estas opciones se pueden encontrar en el cuadro de dilogo Opciones de carpeta (ver Figura 6-2), utilizando los procedimientos que fueron descritos en
Captulo 5. Una vez que Windows se ha configurado para ver archivos ocultos del sistema, slo tiene que iniciar la bsqueda servicios pblicos y el tipo ombre del archivo de intercambio para el que desea buscar (por ejemplo, pagefi 1e. Sistema) Y deje que Windows lcado para usted (vea la Figura 6-3).
123
Las palabras clave especficas o cadenas de texto legible almacenada en el archivo de intercambio de Windows pueden ser localizados con herramientas como SectorSpy, como se mencion anteriormente en este captulo.
mensajes de involucrar a ter-rorists, directores ejecutivos corruptos o traficantes de drogas locales, la sobreabundancia de mensajes de correo electrnico y los archivos electrnicos que circulanse comi el mundo o se almacenan en los ordenadores representa un tesoro de evidenciadencia para el investigador forense o al funcionario policial. Mensajes de correo electrnico enviados o recibidos en el sistema informtico de un empleador estn sujetos al descubrimiento y la revisin por parte de funcionarios policiales en las investigaciones criminales, sin embargo, los procedimientos adecuados, deber cumplir con las Reglas Federales de Evidencia. (De hecho, gran parte de la evidencia de que el Departamento de Justicia present a la corte con respecto a la contraria a la competencia de Microsoft
124
las actividades se basan en correo electrnico dentro de la empresa los mensajes que los funcionarios dentro de la empresa enviado a unos a otros.) Durante la bsqueda de pruebas de correo electrnico, la regla ms importante a recordar es que las leyes de privacidad siguen siendo vlidas, y los aspectos legales son complicadas. Mensajes de correo electrnico que an no han sido enviados pueden llegar a ser la evidencia de la computadora de un sospechoso si hay una justificacin vlida para la bsqueda de ellos. Entrantes mensajes de correo electrnico, sin embargo, son tratados de una manera diferente. Ellos primero tienen que ser descargados por el destinatario de un servidor de correo (ya sea ubicado en el ISP o el servidor local de una organizacin) antes de que se puede acceder a las pruebas y se utiliza contra el beneficiario. Para ver o eliminarlos del servidor de correo antes de el destinatario ha descargado los viola la ley federal, aun cuando hay una razn vlida para realizar una bsqueda. La ley federal prohbe estrictamente a los terceros el acceso a mensajes de correo electrnico antes de que hayan sido descargados desde un servidor. Por el contrario, varios casos judiciales recientes han confirmado que revisar el correo electrnico despus de transmisin es legal, ya que se considera como similar a la bsqueda a travs de un archivo en el cajn de un empleado.
Se recomienda encarecidamente que usted consulte con un abogado antes de emprender cualquier bsqueda.
Localizacin de E-Mail
Como vimos en el captulo 4, borrar algo que no quiere decir que ha sido permanentemente borrado. Cuando se elimina un mensaje de correo electrnico, en realidad est diciendo a su equipo que el espacio del correo electrnico una vez ocupado ya est disponible para ser sobrescritos por los nuevos datos. Sin embargo, con tamaos de disco duro que llegan ahora a proporciones gigantescas, puede tomar meses o incluso aos antes de los datos eliminados han sido sobrescritos por los nuevos datos. Incluso cuando los archivos son sobrescritos, los fragmentos de los documentos puede continuade existir (a veces en varios lugares de una computadora) debido a la fragmentacin de la los datos almacenados en los discos duros. La fragmentacin se produce cuando un archivo de datos cambia de tamao y entonces no se ajusta de nuevo en el razn de un disco duro desde donde se recuper. Cuando los datos del disco duro se ha convertido en ms grande, como cuando se agrega texto a un documento de procesamiento de textos, algunos de ellos se guardar en su ubicacin original, mientras que los
datos que no caben all se guarda en otra parte. Por lo tanto, si usted hace un montn de creacin del archivo - copiar, borrar y sobrescribir - archivos tienden a ser dividida en pedazos con el fin de llenar todos los vacos espacios de un disco duro. El uso de la mensajera de correo electrnico tan importante (y posiblemente condenar) la prueba de los titulares de todo el mundo cuando Kenneth Starr lanz evidencia que apoya en su investigacin del Presidente Clinton, que incluy eliminados mensajes de correo electrnico recuperados de la computadora de Monica Lewinsky. Muchos usuarios de continuadoresa pensar en mensajes de correo electrnico como prVate y segura, mientras que no deja su
125
compaa integracinmAl comunicaciones (o de su personal en el hogar) de la red. Ha habido menos incidentes de conteo de los empleados que circulan mensajes de correo electrnico que consiste de chistes subidos de tono, insultos raciales, comentarios difamatorios, observaciones relacionadas con el gnero, las observaciones relacionadas con la edad, y control inapropiadodiezque se han sometido a ellos ya sus empleadores la responsabilidad por ello. Dado el uso casi universal de la mensajera de correo electrnico como herramienta de comunicacin de la eleccin en la mayora de las organizaciones, no es de extraar que muchos investigadores se centran especficamente en el correo electrnico durante el proceso de descubrimiento. Sin embargo, e-mail plantea el investigador forense con varios desafos. Mensajes de correo electrnico a menudo tienen archivos adjuntos, que tambin pueden contener elementos de vital importancia. Mensajes de correo electrnico se pueden encontrar en una serie de diferentes lugares, tales como buzn de correo electrnico del remitente / Salida, en el buzn de un servidor de red, o en los medios de copia de seguridad. El alto volumen de mensajes de correo electrnico a menudo requiere el uso de palabras clave para enfocar un revisar. Debido a estas dificultades, la localizacin de mensajes de correo electrnico y archivos adjuntos, si los hubiere, para su uso como prueba depende de si el mensaje de correo electrnico fue enviado, recibido o eliminado. Si el mensaje no ha sido eliminado, la localizacin es por supuesto no es difcil. Mientras que los programas individuales varan, la mayora por e-mail programas de mensajera incluyen los lugares de almacenamiento siguientes: Bandeja de entrada. Almacenamiento de mensajes de correo electrnico una vez que se han recibido Bandeja de salida. Almacenamiento de mensajes de correo electrnico que han sido enviados a su destino o destinatario Proyecto. De almacenamiento para terminar mensajes de correo electrnico que an no han sido colocados en el Bandeja de salida para la entrega Los mensajes enviados. Una copia de todos los mensajes que han sido enviados a un destinatario, almacenados por el cliente de correo electrnico para futuras referencias
algo (una temporalidad percibida) sobre el m elec-trnicomediano que hace que la gente a hacer comentarios informales que no pusieran en el papel. Los usuarios tienden a ser ms descuidados en retener los correos electrnicos, simplemente porque no pensar en ellos como verdadera documentos. Debido a los altos costos involucrados en la retencin de correo electrnico, muchas organizaciones no archivar o una copia de seguridad od mensajes de correo electrnico. Si usted sospecha que un usuario ha eliminado recientemente un incriminatorias mensaje de correo electrnicosalvia, encontrar ese mensaje puede ser tan simple como buscar en el correo electrnico eliminado carpeta en aplicacin de correo electrnico del usuario. El procedimiento exacto vara en funcin del software de correo electrnico est siendo utilizado. En general, cuando un usuario borra el correo electrnico de su cliente de correo electrnico, por lo general se puede recuperar durante varios das despus se produjo la eliminacin. El mensaje de correo electrnico no est completamente eliminado, pero
126
slo se traslad a la eliminados MET carpeta. Hasta que esta carpeta se vaca de forma permanente, puede mover los elementos detrs de l en su Bandeja de entrada o cualquier otra carpeta en el movimiento cuadro de dilogo de MET (ver Figura 6-4). Para restaurar un borrado mensaje de correo electrnico en Outlook o Outlook Express (XP), siga estos pasos: 1. Inicie el programa Outlook o Outlook Express E-mail. 2. Seleccione la eliminados MET carpeta (Outlook) o eliminados Atajo de TEMS (Outlook XP) de la ventana de la izquierda. 3. Haga clic con el eliminado mensaje de correo electrnico, a continuacin, seleccione "Mover a carpeta" en el men desplegable hombres. 4. En la lista de carpetas en el movimiento cuadro de TEMS, seleccione la carpeta donde desea que el eliminar mensaje de correo electrnico que desea mover.
Figura 6-4: El movimiento MET cuadro en Microsoft Outlook para Windows XP Pro.
La posibilidad de recuperar los datos eliminados se vuelve ms complicado una vez que el mensaje de correo electrnico se ha suprimido definitivamente. Una vez que esto ha ocurrido, es necesario utilizar los procedimientos de recuperacin de datos descritos en el Captulo 4 y / o utilizar programas como Investigador SectorSpy o disco para realizar una bsqueda por palabra clave para tratar de recuperar cualquier correo electrnico especfica de texto.
de las pginas web que visita con frecuencia, sobre todo si se utiliza un lento dial-up tipo de conexin a Internet. El almacenamiento en cach del navegador web implica el almacenamiento de la informacin se ve desde las pginas Web que pueden incluir enlaces, imgenes (imgenes), y el texto de la pgina Web en su ordenador. Al almacenar los elementos de la cach, la informacin contenida en las pginas Web que se han visitado con anterioridad, cuando se cargan ms rpido
127
acceder posteriormente, debido a que ya se han cargado una vez y se almacena en la cach del navegador. Por ejemplo, cuando un usuario solicita una pgina web que l o ella ha visitado antes, el primer navegador busca en la cach, si comprueba que la pgina no se carga la pgina en cach en lugar de conectarse a la Web para descargar una nueva. Cachs web revelan mucho acerca de los sitios Web que un usuario ha visitado. La mayora de los navegadores web actuales (por ejemplo, Internet Explorer y Netscape Navigator) realizar el almacenamiento en cach Web.
Puede ordenar la lista del historial, haga clic en una de las categoras (por ejemplo, ubicacin, ttulo, etc a) en sentido ascendente, descendente, o por orden alfabtico.
Para Internet Explorer, hay varias maneras de lcate sitios Web y las pginas recientemente vistos. Para encontrar pginas visitadas recientemente, siga estos pasos: 1. En la barra de herramientas, haga clic en el botn Historial. Una barra de Historia aparece a la izquierda, que contiene enlaces para los sitios Web y las pginas visitadas en los das anteriores y semanas. 2. En la barra Historial, haga clic en un da o una semana para expandir la lista. 3. Seleccione una carpeta de sitio Web haciendo clic en l, lo que muestra las pginas individuales.
128
Para ordenar o buscar en la barra Historial, haga clic en la flecha que aparece junto al botn Ver en la parte superior de la Historia bar.
Despus de determinar la ubicacin exacta del archivo de cach de disco duro, vaya a la carpeta de cach para ver su contenido o copiar los archivos a un disco para su examen forense.
Para administrar Microsoft Internet Explorer (6.0) configuracin de la cach, siga estos pasos: 1. Inicie el navegador Web.
1. Seleccione Herramientas en la barra de herramientas de Explorer y, a continuacin, seleccione Opciones de Internet para mostrar la pantalla Opciones de Internet. (Tambin puede hacer clic en el IC de Internet Explorern en su Iniciar los hombresy seleccione Propiedades.)
Captulo 6: Recuperacin y anlisis de pistas 3. En la pestaa General, seleccione el botn Configuracin en Archivos temporales de Internet. (Por defecto, Explorer almacena las pginas en cach en el disco duro en una carpeta llamada Temporal Los archivos de Internet.) 4. Seleccione Ver archivos para mostrar el contenido de la cach Web.
129
Al igual que con muchos aspectos de la informtica forense, herramientas gratuitas disponibles que pueden simplificar De otra manera las tareas complicadas. Cuando se trata de la visualizacin de los archivos de cach del navegador en Windows, uno de mis favoritos de herramientas de software libre es CacheMonitor II por David M. Pochron de Software enigmtico. CacheMonitor muestra el contenido de la cach del navegador entero en una ventana de la lista conveniente, incluyendo cambios en los archivos almacenados en cach en la columna de estado (en el monitor). Otra caracterstica interesante de este programa es que te permite exportar fcilmente todo el contenido de la cach (En el texto de forma-to) para la preservacin de un medio extrable como un disco Zip o CD-R. Esta til herramienta gratuita se puede descargar en www.mindspring.com/ ~ dpoch/enigmatic/cachemonitor2.html y en varios sitios web gratuitos.
1. Haga clic en el botn Inicio de Windows y vaya a Impresoras y faxes. 1. En Impresoras y faxes, haga clic en la impresora Icn con la marca de verificacin (este es el por defecto) y seleccione Propiedades. 2. Si "Conservar los documentos impresos" est seleccionado en la pantalla Propiedades de la impresora (vea la Figura 6-5), a continuacin, Windows est configurado para guardar los archivos de cola de impresin.
Figura 6-5: Conservar los archivos de cola de impresin en el Propiedades de la impresora cuadro de
Bajo estas circunstancias, una simple bsqueda de la unidad de disco duro del usuario para los archivos *. EMF (utilizando la utilidad integrada de bsqueda de Windows) se encuentra, mostrar, e incluso le permiten copiar archivos de impresin EMF de cola de impresin a medios extrables para la preservacin y / o su posterior anlisis.
Esteganografa
La esteganografa es la prctica de ocultar un mensaje o archivo dentro de otro mensaje o un archivo conocido como archivo de soporte. La esteganografa es una forma de ocultar un mensaje de tal manera que cualquiera puede ver, pero slo unos pocos saben lo que debe buscar para poder decodificar o recibir el mensaje oculto. Steganographers puede ocultar un mensaje o imagen en cualquier uno de los siguientes: Otra imagen
131
Adems, un archivo de audio o de vdeo se puede ocultar dentro de otro archivo multimedia, como un archivo grfico de gran tamao. La esteganografa se diferencia de la criptografa en la que, si bien la criptografa funciona para ocultar el contenido de un mensaje, la esteganografa trabaja para ocultar la existencia misma del mensaje. Desafortunadamente, la mayora de los mtodos esteganogrficos en uso hoy en da son invisibles a los sentidos del observador, y en la actualidad hay pocas herramientas a disposicin del pblico para detectar el uso de la esteganografa. Si usted sospecha que un autor ha ocultado un archivo de texto, imagen u otro contenido dentro de una imagen, un programa gratuito muy til existe que puede ayudarle a detectar si ese archivo se utiliza la esteganografa. La herramienta automatizada, stegdetect, es capaz de detectar varios mtodos diferentes esteganogrficos utilizadas para incrustar informacin oculta en las imgenes JPEG. Stegdetect se puede encontrar en www.outguess.org/~~V detection.php con las versiones disponibles para Unix / Linux y Windows.
Si usted desea para tratar de descifrar el password a ti mismo, cientos de programas shareware / freeware disponibles. Los siguientes programas estn entre los ms populares: ZIP Password Finder por Astonsoft (www.astonsoft.com) Cain & Abel v2.5 beta20 para Windows NT/2000/XP (www.oxit.it)
Un punto importante a recordar es que el descifrado de contraseas puede ser una tarea de tiempo, sobre todo si las contraseas son ms de cinco caracteres de longitud. Algunos criminais seguir las reglas de contraseas seguras mediante el uso de una mezcla de letras maysculas y minsculas as como caracteres alfanumricos. Las compaas que se especializan
en la recuperacin de la contrasea tiene poderosos computa-res que utilizan software sofisticado y por lo general se puede recuperar una contrasea en una fraccin del tiempo que uno poda con cualquiera de estos programas freeware / shareware.
133
Cmo revisar y conservar los archivos de historial del navegador Web Cmo extraer informacin de los archivos de cola de impresin, incluso cuando los documentos no fueron guardada por el usuario Cmo lCate y recuperar los datos ocultos y protegidos por contrasea
Captulo 7
La recopilacin de pruebas despus de comprometer el sistema Entender la volatilidad de la evidencia Creacin de un disco real, el modo de arranque Utilizando rastreadores de paquetes para reunir pruebas La construccin de un conjunto de herramientas forenses A raz de la cadena de custodia La admisibilidad de las pruebas ES IMPORTANTE RECORDAR UNO DE LOS PRINCIPIOS BSICOS DE LA U. S. ordenamiento jurdico; que, sin evidencia de un crimen, no hay delito. Las medidas adoptadas en la escena del crimen en el inicio de una investigacin puede jugar un papel crtico en la resolucin de un caso. Cuidado, investigacin a fondo es fundamental para garantizar que la evidencia fsica potencial no est contaminado o destruido o que los posibles ingenio-sas no se pasa por alto. Es de suma importancia que el mayor cuidado se toma en la coleccin y conservacin de pruebas. Investigaciones de incidentes se llevan a cabo para descubrir la causa (s) de un incidente. Si la investigacionescin se hace a fondo, seala la informacin crucial para prevenir el evento vuelva a ocurrir. Para lograr esto, los investigadores deben mantener las habilidades y conocimientos para planificar y llevar a cabo una investigacin efectiva. Incluso bajo las mejores circunstancias, la evidencia puede ser difcil de col seleccionar. Cuando la evidencia es en formato electrnico, el investigador se enfrenta a otro nivel de complejidad, tales pruebas no tiene ninguna de la permanencia de las pruebas convencionales y es an ms difcil para formar en evidencia fcilmente explicable. Este captulo se centra en los procedimientos bsicos de la evidencia recoleccin y conservacin.
136
simples razones para esto: la rendicin de cuentas y la prevencin. El atacante es responsable de los daos causados, y la nica manera de traerlo a la justicia o para solicitar una remuneracin adecuada es con evidencia de marcos alemanesnstrate que el ataque fue el resultado de su accin. La vctima, por el contrario, tiene una responsabilidad con el pblico en general. La informacin recopilada despus de un compromiso puede ser examinada y utilizada por otras personas para prevenir nuevos ataques. Las vctimas tambin pueden tener la obligacin legal de realizar un anlisis de las pruebas recogidas, por ejemplo, si el ataque a su sistema era parte de un gran ataque cometido contra varios sistemas de diferentes compaas. Cuando llegue el momento de comenzar la recoleccin de pruebas, la primera regla que debe seguirse es la de no apresurarse. Ansiedad niveleseis est seguro de ser alta, y una reaccin instintiva har que la gente a buscar respuestas ms rpidamente posible. Sin embargo, si el investigador se apresura a travs de los procedimientos de recoleccin de datos, la evidencia puede ser pasado por alto, manchado, o se pierde. Un error en la recoleccin y preservacin de la evidencia es a menudo irreversible.
2. Ir a la siguiente clave del Registro: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ De Windows NT \ CurrentVersion \ Winlogon.
3. Edite el ValuN eAME escribiendo LegalNoticeCaption.(Contiene el texto de la leyenda de el cuadro de dilogo, que ser presentado al usuario.) 4. Edite el ValuN eAME escribiendo LegalNoticeText (Este contiene el texto, que se aparecen en el cuadro de dilogo.) 5. Salga del Editor del Registro y reinicie el equipo para que el cambio surta efecto.
137
Windows 2000/XP no utiliza el LegalNoticeCaption o la configuracin del Registro LegalNoticeText. En su lugar, usted necesita utilizar la consola de Directiva de seguridad localpara establecer un aviso legal, como se muestra en los pasos siguien-tes: 1. Haga clic en Inicio, Configuracin, Panel de control. 2. Haga doble clic en Rendimiento y mantenimiento (slo para XP), luego Herramientas administrativas, Configuracin de seguridad local, Directivas locales y opciones de seguridad. 3. Define el texto del mensaje para ser visto por los usuarios que intentan iniciar la sesin. 4. Establecer ttulo del mensaje para los usuarios que intentan iniciar una sesin en inicio de sesin interactivo. 5. Cierre la sesin a continuacin, volver a entrar en la prueba.
utiliza slo para las empresas por personal autorizado. El acceso no autorizado o el uso de este sistema informtico puede someter a los violadores a los derechos civiles penales, y / o administrativo accin. Cualquier informacin sobre este sistema de computacin pueden ser interceptados, grabados, leer, copiado, y divulgada por y para el personal autorizado para fines oficiales, i n c l u s o las investigaciones penales. El acceso o uso de este sistema informtico cualquier persona, sea autorizado o no autorizado, constituye el consentimiento de stos trminos. ADVERTENCIA ** ** ATENCION ** ATENCION ** ATENCION ** ATENCION ** ATENCION
138
La expectativa de la vida privada no se basa en hechos y circunstancias especficas, sino de si la expectativa de privacidad es la que la sociedad en general reconoce. Las polticas de la organizacin podr eliminar cualquier expectativa de privacidad. Por ejemplo, si la poltica de la organizacin afirma que el lugar de trabajo escritorio de un empleado (o computadora) se pueden buscar en cualquier momento o si una copia de la llave de la mesa se mantiene por la administracin, entonces no hay ninguna expectativa razonable de privacidad. Un equipo por el empleador emitida es una parte del lugar de trabajo porque, aunque se utiliza principalmente por el empleado, que es propiedad y est bajo el control del empleador. El equipo sigue siendo parte del lugar de trabajo, incluso cuando el empleado ha puesto la informacin personal en l y tambin cuando el empleo del empleado se termina. Aunque el empleado puede tener un cierto grado de expectativascin de la vida privada, un empleador pblico puede buscar en el contenido de la computadora de un empleado sin una orden judicial cuando se enfrenta a una supuesta violacin de su Poltica de Uso Aceptable (AUP) siempre que el registro es razonable en sus inicios y en su alcance, y es el trabajo relacionados. Cuando una bsqueda en el lugar de trabajo no est relacionado con el trabajo, cualquier intento de adquirir la evidencia de actividad criminal o un registro de la propiedad personal de un empleado en el lugar de trabajo sin el consentimiento requiere una orden judicial. La Cuarta Enmienda de la Constitucin de los EE.UU. regula la cuestin de la privacidad. Un caso en la corte central que aborda el tema de la privacidad es el lugar de trabajo O'Connorv. Ortega, 480 EE.UU. 709 (1987) en el que los Estados Unidos Tribunal Supremo sostuvo que la bsqueda de la empresa pblica de la oficina del empleado era razonable en sus inicios, ya que su propsito era encontrar pruebas de la supuesta mala conducta del empleado y para recuperar relacionadas con el trabajo de materiales. Como empleado de un hospital del estado, el Dr. Ortega es el principal responsable de la capacitacin de mdicos en la residencia psiquitrica-dencia del programa. Los funcionarios del hospital se preocup por la falta de decoro en la gestin del programa, debido principalmente a cargos en su contra relacionados con el acoso sexual de las mujeres y los empleados del hospital de accin disciplinaria inapropiada contra un residente. En espera de una investigacin de estas denuncias, el Dr. Ortega fue puesto en licencia administrativa. Durante la licencia, los funcionarios del hospital busc en su oficina y se apoderaron de objetos personales de su escritorio y gabinetes de archivos que posteriormente fueron utilizados en los procedimientos administrativos como resultado de su alta del hospital. El Dr. Ortega present una demanda contra funcionarios de un hospital en la Corte de Distrito Federal, bajo 42 USC 1983, alegando que la bsqueda de su cargo violaba la Cuarta Enmienda. El Hospital mantiene la bsqueda era jus-tified el fin de proteger la propiedad del Estado e invertircargos de puerta de mala conducta el Dr. Ortega. El Dr. Ortega argument que la bsqueda de una violacin de sus derechos de la Cuarta Enmienda, ya que fue un intento de des-cubrir y reunir las pruebas para ser usado en su contra en un procedimiento administrativo. Por otra parte, la Jueza O'Connor, se uni a cargo del juez Rehnquist, White Justicia, y la Justicia Powell, lleg a la conclusin de que:
Allanamientos y decomisos por parte de los empleadores del gobierno o los supervisores de la prla propiedad privado de sus empleados estn sujetos a las restricciones de la Cuarta Enmienda. La expectativa de privacidad en su lugar de trabajo se basan en las expectativas de la sociedad que tienen profundas races en la historia de la enmienda. Sin embargo, las realidades operativas de los lugares de trabajo puede hacer que las expectativas de algunos de los empleados pblicos de privacidad razonable cuando un intrusin es por un supervisor en lugar de un oficial de la ley. Algunas oficinas del gobierno
puede ser tan abierta a sus compaeros de trabajo o el pblico que ninguna expectativa de privacidad es razonable. Dada la gran variedad de entornos de trabajo en el sector pblico, la cuestin de si un empleado tiene una expectativa razonable de privacidad deben ser abordados en una base de caso por caso. Debido a que el expediente no revela en qu medida los funcionarios de un hospital puede haber tenido motivos de trabajo para entrar en la oficina del demandado, la Corte de Apelaciones debera haber remitido el asunto al Tribunal de Distrito para su posterior determinacin. Sin embargo, la mayora de este Tribunal est de acuerdo con la determinacin de la Corte de Apelaciones que el demandado tena una expectativa razonable de privacidad en su
139
oficina. Independientemente de cualquier expectativa de privacidad en la propia oficina, la evidencia indiscutible apoya la conclusin que el demandado tena una expectativa razonable de privacidad, al menos en su escritorio y archivadores.
Una vez que est seguro de que todos los procedimientos legales han sido cubiertos adecuadamente, el siguiente paso es recoger en realidad la evidencia. Los siguientes son los pasos generales que deben seguirse para la evidencia coleccin:
Las restricciones de la Enmienda 4 slo se aplican a las organizaciones del gobierno y sus agentes. No hay ninguna restriccin modificacin cuarto en PRVate organizaciones. Podrn, sin embargo, se regirn por las leyes de privacidad estatales o locales. Expectativa de privacidad es un concepto que se aplica (en el sentido legal) slo a las cuestiones 4 Enmienda.
La Orden de la coleccin
Si la recoleccin de evidencias se realiza correctamente y de manera ordenada, es mucho ms til en la apre-hending el atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en el caso de un proceso judicial. Orden de cobro deben llevarse a cabo siguiendo los siguientes pasos bsicos: 1. Buscar la evidencia. Averiguar dnde est la evidencia de que usted est buscando se almacena en el sistema. Hacer una lista de verificacin le puede ayudar en el proceso de recoleccin, y se puede utilizar para a comprobar que todo lo que est buscando est ah. 2. Determinar la relevancia de los datos. A medida que descubren pruebas, usted debe decidir qu partes de ella son relevantes para el caso que nos ocupa. Para estar seguro, usted debe overcollect en vez de exelude posi-ble las pruebas. Tenga en cuenta, sin embargo, que hay que trabajar rpido, no pierdas el tiempo de collecting informacin que ser de ninguna utilidad para su caso. 3. Posicin volatilidad. Una vez que haya determinado qu partidas a cobrar, debe decidir en qu orden para reunirlos. El principal factor determinante es que los elementos que tienen ms probabilidades de ser voltiles (los elementos que pueden degradar o inutilizables) debe ser recolect en primer lugar. Usar y apegarse a la orden una vez que has establecido asegura que la prdida de tiles (por ejemplo, no corrompida) evidencia sigue siendo mnima. Comience con los artculos que has clasificados como los ms voltiles y seguir con los clasificados como menos. (La volatilidad se explora con ms detalle en la siguiente seccin.) 4. ElimNate la interferencia exterior. Es crucial que evite la alteracin de los datos originales, ya que es mucho ms fcil para evitar la manipulacin de lo que es para rectificar las consecuencias de la manipulacin. Como slo los datos alterados pueden
introducir como evidencia, el mayor cuidado se debe tomar para impedir cualquier contaminacin exterior posible. Atacantes conocedores se han conocido para instalar una interruptor de hombre muerto, que puede eliminar la evidencia, una vez un equipo est desconectado de la de red o de Internet. 5. Recoger la evidencia. Ahora usted puede iniciar el proceso de recoleccin. Utilice todas las herramientas que tenemos disponibles para esta tarea. A medida que reunir pruebas, continuapara examinar los elementos
que ya ha recogido, como nuevas piezas que recogen pueden influir en lo que se tiene en cuenta WOR-tu informacin. Usted puede venir a darse cuenta de que has pasado algo por alto. Ahora es el tiempo necesario para hacerlo. 6. Documento de todo. Su mtodo de recoleccin de la evidencia que usted presente podr ser puesto en duda ms tarde, as que asegrese de mantener un registro de todo lo queHe hecho en el proceso de recoleccin. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas le servir y ms tarde, incluir toda la justificacin que pueda.
la red y apagado. Cuando la recopilacin de pruebas se debe proceder de la ms voltil de los menos voltiles. El siguiente es un ejemplo de la orden de la volatilidad para un sistema tpico.
141
Memoria (Fsica y virtual) Los procesos en ejecucin (Spoolsv.exe, EXPLORER.EXE, y as sucesivamente) Red del Estado (Conexiones y todo lo que se ejecuta en modo promiscuo) Sistemas de almacenamiento permanente (Discos duros, disquetes, cintas, y CD-RWs/ROMs) Es muy fcil de destruir involuntariamente las pruebas voltil. Cuando usted est en el proceso de collecting pruebas voltil, recuerde siempre que tome las siguientes precauciones: No apague el sistema hasta que haya completado todos los procedimientos de recoleccin de pruebas para pruebas voltil. Muchas pruebas se pueden perder cuando un sistema est apagado, y el atacante puede haber alterado la puesta en marcha y apagado y servicios para destruir la evidencia. No confes en los programas en el sistema. Los intrusos se han conocido para reemplazar los comandos del sistema. Ejecute sus programas de obtencin de pruebas en los medios de comunicacin debidamente protegidos (vea la siguiente seccin, "Creacin de un disco en modo real Forense de arranque"). No ejecute programas que modifican el tiempo de acceso de todos los archivos en el sistema (por ejemplo, tar o xcopy). Cuando la eliminacin de la interferencia externa, tenga en cuenta que slo tiene que desconectar de la red puede provocar un cambio de hombre muerto, que puede detectar cuando el equipo se desconecta-desconectada de la red y eliminar rpidamente las pruebas.
arranque normal. Dichas escrituras se producen incluso cuando el soporte original se encuentra en una unidad secundaria en el ordenador. La mayora de los examinadores forenses utilizan un disco de arranque en modo real. A las botas de arranque controlados por un ordenador de disco en modo real. Modo real limita el procesador a 1 MB de memoria y no ofrece la gestin de memoria o las funciones de proteccin de memoria. La frase se utiliza a menudo para describir a los controladores de dispositivos que slo optasa en este modo. MS-DOS se ejecuta en modo real. Esto est en contraste con el modo protegido, que permite al ordenador acceder a la mayor cantidad posible de memoria. En el modo protegido, las diferentes partes de la memoria son asignados a los diferentes programas. Este
142
manera, la memoria est protegida en el sentido de que slo el sistema operativo permitir el acceso al mismo. Todo el modo dem-Da de funcionamiento de los sistemas optasa en este modo. Un verdadero modo real disco de arranque se inicia un equipo en su estado ms bsico (el nivel de DOS) y no se carga ningn avanzados controladores de dispositivo en modo protegido. Esto ayuda a preservar el estado del sistema operativo. Una vez cargados a travs del disco de arranque en modo real, los servicios forenses a continuacin, se puede ejecutar en DOS (real) de modo de reunir pruebas.
Muchas herramientas forenses, tales como El Forense v2.0 Toolkit de Foundstone, Inc. (Www. foundstone.com) son lo suficientemente pequeos para toda la suite de utilidades forenses para ser colocados en un disquete de arranque nico. Despus de arrancar una mquina con Windows NT desde el disquete de arranque, las herramientas adecuadas se puede ejecutar directamente desde el disco flexible, ayudando a los investigadores para recolectar y preservar las pruebas.
COMMAND.COM
Estos archivos deben residir en el sector de arranque del disco, o el disco no va a ser de inicio. La forma ms comn de crear un disco de arranque es escribiendo SYS A: en el smbolo del sistema
para transferir los archivos del sistema operativo de arranque para el sector de arranque del disquete en la unidad A:. Sin embargo hay otra manera un poco ms complicado de cr se comi un disco de arranque.eht 1. Primera vez que arranque Windows para el indicador de DOS, e inserte un disquete vaco formateado en la unidad A:. 2. Ahora en el smbolo del sistema, escriba las siguientes lneas, pulsando Enter al final de cada lnea:
a ttr ib io.sys-r-h-s copia io.sys a:
143
Una vez terminado, el disco de inicio que ha creado se puede utilizar para iniciar un equipo en modo real (DOS) que le permite llevar a cabo un examen forense de la unidad de disco duro de la computadora usando cualquier Util-dades es posible que han introducido en el disco.
3. Inserte un disco (vaco) disquete en la disquetera. (En virtud de la unidad Linux es un llama fdO.) 3. En el smbolo del sistema, mkbootdisk el dispositivo / dev / fdO04/02/12.
Yo
El ejemplo
aqu utiliza el kernel versin 04/02/12, sin embargo, tendr que sustituir el kernel Versin como se determina en el paso 2.
5. Usted debe tener un disco de arranque dentro de aproximadamente un minuto. Todos los datos anteriores sobre el disquete se borrar.
144
Tenga en cuenta que este disco de inicio est pensada principalmente para que pueda acceder a las particiones Linux desde el que se necesita para recuperar los datos o informacin y le permitir el acceso a las particiones de Linux slo.
de programo. Se requiere Windows 2000 o XP para oplos usuarios de tarifas y permite capturar, guardar, y analizar el trfico en su red. Este analizador de paquetes pequeos puede ser descargado en
www.nextgenss.com / productos y ngssniff.html.
Ethereal. Ethereal es un analizador de protocolos de red gratuito con versiones tanto para el Unix y los sistemas operativos Windows. Permite examinar datos de una red en vivo o desde un archivo de captura en el disco. Usted puede navegar de forma interactiva los datos capturados, ver resumen e informacin detallada de cada paquete. Puede ser descargado desde www.
ethereal.com.
145
AnalogX PacketMon. AnalogX PacketMon, disponible para Windows 2000/XP, le permite capturar los paquetes IP que pasan a travs de una interfaz de red, incluso si origNate desde un equipo remoto en la red. Una vez que el paquete es capturado, puede usar el visor integrado para examinar la cabecera, as como el contenido. Usted puede incluso exportar los resultados en un archivo de texto ASCII estndar para ver a su favorito de edicin de texto de programa. AnalogX PacketMon puede ser descargado desde www.analogx.com. Una vez que sean capturados, usted puede fcilmente buscar cadenas especficas de texto legible en todos los paquetes mediante el uso de la capacidad de bsqueda que se construye en muchos de captura de paquetes de programas. Por ejemplo, digamos que usted sospecha que un trabajador de visitar sitios Web inadecuados que violen la poltica de la compaa de Internet. Si ese trabajador es sawy suficiente para borrar archivos temporales de Internet y eliminar todos los en-Frios en el historial del navegador, sera difcil reunir pruebas suficientes. Mientras que usted podra usar un programa como Inspector File Recover de PC para descubrir los datos borrados, un mtodo ms fcil y ms rpida sera la de capturar y conservar los paquetes de red en tiempo real. Usando un programa como AnalogX PacketMon, por ejemplo (vase la Figura 7-1), puede seuna a travs de cada paquete individual capturado en busca de seales de cadenas de texto comprometedores (ver Figura 7-2). Adems, muchos de los analizadores de paquetes antes mencionados puede ser configurado de manera que cuando el software ve un paquete que se ajusta a ciertos criterios, se log (preservar) que los datos en un archivo. El uso ms popular de la
deteccin de paquetes por la forense investigar caimanes es para la captura de paquetes que contengan palabras clave que son de beneficio para la investigacin.
Figura 7-2: La produccin de los paquetes capturados que muestra los datos de HTML
Una herramienta para recuperar borrados (borrado) de datos Una utilidad para realizar copias de seguridad y editar el Registro de Windows Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real Una herramienta para analizar las propiedades del archivo
Una herramienta de monitorizacin que muestra toda la actividad del Registro en tiempo real Una utilidad que muestra los recursos compartidos de red como local y remota Una herramienta de monitorizacin que muestra los inicios de sesin, los cierres de sesin, y el uso de privilegios Una herramienta que muestra los archivos abiertos, los procesos de objetos,Las claves de registro, archivos DLL y los propietarios de los procesos de objetos
Adems, al seleccionar las herramientas, hay algunas pautas a seguir: Herramientas de lnea de comandos son los mejores aqu, evitar las herramientas que utilizan un Windows (GUI) de la interfaz. Crse comi varios disquetes que contienen sus herramientas de recoleccin de datos ms importantes. Utilice las herramientas probadas que sabemos que funcionan.
lastcomm. Una mquina porttil de 1astcomm comando que muestra la informacin en sentido inverso crono-orden lgico de todos los comandos ejecutados previamente. major_minor. Este programa es utilizado internamente por TCT y emite dos rutinas de PERL, dev_major () y dev_minor (), Que tienen un nmero de dispositivo tal como lo devuelve stat () y luego se rompe para arriba en el nmero el nmero de dispositivo mayor y menor, respectivamente. md5. Esta es la herramienta RSA MD5 firma digital.
148
pCAT. Este programa copia el espacio de direcciones de un proceso en ejecucin. reconfiguracin. Este programa trata de encontrar todos los archivos correspondientes en el sistema actual. strip_tct_home. Este programa es utilizado internamente por TCT y las tiras a una variable de varios archivos.
En esta lnea, la opcin -D dirige la herramienta a utilizar el directorio real (/ TCTdatos) como el ubicacin (directorio) para almacenar todos los resultados. Opcin -V dirige la herramienta de crse comi un mayor verbose (detallado) explicacin de su progreso. El ltimo argumento, /, los controles que directorio se utiliza como punto de partida para cualquier anlisis de disco.
149
Las dos lneas anteriores se supone que ya se encuentran en el directorio (o disquete) en la tumbaprograma de ladrn se encuentra.
LeamING utilizar todas las herramientas de TCT correctamente se requiere una gran cantidad de tiempo y esfuerzo. Usted debe revisar cuidadosamente toda la documentacin y poner a prueba todos los componentes antes de usarlos, para que en-ponerse de pie y sacar el mximo provecho de todas sus caractersticas.
La fecha y hora actuales (incluyendo la zona horaria adecuada) Hardware averiado o los problemas ms importantes Notas sobre la evidencia encontrada, que entrar en su informe final con ms detalle. Se trata, esencialmente, sera seala que cualquier persona puede recoger y, de un vistazo, saber exactamente donde lo dej en su evaluacin de la computadora incautada y de los medios de comunicacin.
150
Tcnicas especiales (por ejemplo, sniffers, crackers de contraseas, etc.) Que se utilizan por encima y por all de los procesos normales. Utiliza fuentes externas (por ejemplo, empresas de terceros o productos que ayudaron a asistencia e informacin) Adems, es importante que la porttil utilizado para registrar informacin ser del tipo que no permite ninguna de las pginas que deben eliminarse. Usted tendr que registrar el quin, qu, dnde, cundo y el cmo del proceso de investigacin. Dado que este porttil es un componente esencial en el mantenimiento de la cadena de custodia, toda la informacin registrada debe ser lo ms detallado posible. MET para ser registrado en el cuaderno debe incluir lo siguiente: La Ames de todo el personal involucrado en la investigacin, incluyendo una lista de los administradores responsable del mantenimiento de rutina de los sistemas Un registro de todas las aplicaciones que se ejecutan en el ordenador del sospechoso Una lista de los que tena acceso a las pruebas recogidas incluyendo la fecha y hora de acceso, as como la fecha y hora de las acciones tomadas por aquellos que tienen acceso. Adems, el reloj del sistema afectado debe ser comparado con el tiempo real actual y las discrepancias deben tenerse en cuenta con el reloj del sistema permanece inalterada. Ajuste del reloj posteriormente se puede considerar la manipulacin de datos, dejando la evidencia resultante inadmisible. Los detalles de la evaluacin inicial que conduce a la investigacin formal Las circunstancias que rodearon el incidente sospechosos, que inicialmente inform de la incidente sospechoso junto con la fecha y la hora Una lista completa de todos los sistemas informticos incluidos en la investigacin junto con el sistema especificaciones Una copia impresa de las polticas de la organizacin y pancartas de inicio de sesin que se relacionan con el acceso a y el uso de sistemas informticos Una lista completa de los pasos utilizados para recopilar y analizar las pruebas
informticos es similar a la autenticacin de otros tipos de registros. La extensin de autenticacin no difiere simplemente porque un registro pasa a estar en un formato digital. Una gua completa de los registros informticos que ofrece como prueba est fuera del alcance de este libro. Sin embargo, las secciones siguientes se describen algunas de las cuestiones ms importantes que pueden surgir cuando la bsqueda de la admisin de la prueba informtica.
151
Autenticacin
En los ltimos aos, el ordenador personal se ha convertido en una poderosa herramienta utilizada en la perpetracin-cin de casi todos los tipos de actividad delictiva. Los actos atroces del 11 de septiembre de 2001 se demostr que la actividad criminal y terrorista puede ser coordinada a escala mundial utilizando las comunicaciones cifradas de internet, ocultos a las fuerzas del gobierno y la ley. El uso de un ordenador para CRinformacin apropiada y tienda a menudo deja tras de s huellas digitales electrnicas "" que puede, de hecho, hacer o deshacer un caso penal. Afortunadamente para aplicacin de la ley por ordenador pruebas espe-cialistas, los ordenadores personales no fueron diseados para ser seguros. Como resultado, las contraseas, tiempo y fecha de sellos, y otra informacin valiosa forense se escriben en varias ubicaciones en comunidades de disco duro informticos durante la actividad normal del sistema operativo. Desafortunadamente, los registros informticos se puede modificar fcilmente, y los abogados defensores a menudo afirman que los registros informticos carecen de autenticidad, ya que pueden haber sido alterados o modificados despus de que fueron creados. Autenticacin de evidencia informtica hasta ahora ha sido gobernado por las leyes de la existencia mucho antes de que el uso del ordenador lleg a ser tan generalizada. Autenticacin de evidencia informtica plantea problemas especficos en los casos de los delitos informticos. Usted debe ser capaz de demostrar que no se altere ninguna de las pruebas despus de que el equipo carne en su posesin. Esta prueba le ayudar a refutar las acusaciones de que haya modificado o alterado la evidencia original. Cuando la duplicacin y almacenamiento de los datos capturados de la computadora de un sospechoso, la autenticidad de los datos originales debern ser conservados con un mtodo probado para asegurar que los datos copiados, es idntica a la original. La mejor manera de autenticar la evidencia de datos es a travs de la utilizacin de sumas matemticas, que son una forma popular y legalmente aceptados para comprobar la validez de la copia de los datos originales. De verificacin son avanzados algoritmos matemticos, aplicados a la informacin almacenada en un disco o un archivo, lo que gevotar una salida numrica nica. El resultado es que una com-paracin se puede hacer entre el original y la copia. Las sumas de comprobacin de identidad entre el original y una copia que muestra una copia exacta se ha producido. Es imposible cambiar la informacin en la unidad sin necesidad de cambiar las sumas de comprobacin. La mayora de los forenses informticos especialistas en aplicacin de la ley dependen de autenticacin a travs de las sumas de comprobacin para verificar que los matemticos restaurado la corriente de bits imgenes en el espejo de una unidad de disco de la computadora y los archivos relevantes coinciden exactamente con el contenido del equipo original. Estas comparaciones ayudan a resolver las cuestiones que puedan plantearse durante el litigio acerca de la exactitud y la autenticidad de la imagen en el espejo restaurado. Tambin protegen a la especialista en informtica-forense de cualquier aleciones que los datos se alteran o plantadas por agentes del orden o de otras partes interesadas durante el el procesamiento de la evidencia ordenador. La unidad de disco duro siempre debe ser reflejados con un organismo especializado de flujo de
bits del producto de copia de seguridad. Informtica forense servicios como los ofrecidos por Guidance Software (www.guidancesoftware. com) X-Ways Software (www.sfsoft.de), yNuevasTecnologas (www.forensics-intl.com)Ofrecemos el flujo de bits en el disco duro de imgenes de software que proporcionan la autenticacin necesaria matemtico de los datos copiados, permitiendo que los datos que se utilizar como prueba en un tribunal de justicia. Las cuestiones relacionadas con la autenticacin de los datos informticos son por lo general en forma de disputas sobre la exactitud de los documentos recuperados de los ordenadores. De acuerdo con las Reglas Federales de Evidencia, el proponente de la evidencia generada por computadora deben presentar pruebas ", que describe el proceso o el sistema utilizado para producir la evidencia" y "muestra que el proceso produce una exacta como resultado. "
152
Hay tres fases en las que los errores pueden ser introducidos en relacin con authenticatin de las pruebas: 1. Cuando los datos se introducen en la computadora 2. Cuando el ordenador procesa los datos 3. Cuando los datos generados por el ordenador se evala La regla ms importante en el anlisis de evidencia informtica es nunca utilizar COM del sospechosoordenador para ver los datos. En su lugar, usted debe utilizar siempre un septiembreequipo tasa para ver o analizar una copia de los datos. Otra regla importante a seguir en la recuperacin y / o anlisis de los datos de la computadora es para asegurarse de que un limpiar (Forense estril) designado computadora se utiliza. De lo contrario, puede encontrarse con el argumento de que los datos del equipo utilizado para el anlisis ha contaminado los datos incautados a los sospechosos. Cuando sea posible, no debe examinar el equipo de destino directamente. Lo mejor es hacer primero una copia del disco y luego realizar todos los exmenes en contra de la copia porque el acto de mirar el disco puede modificarlo por las fechas de archivo y los tiempos cambiantes.
La autenticidad de los registros generados por computadora en ocasiones implica la fiabilidad de los programas de ordenador que crcomieron los registros. Por ejemplo, un registro generado por computadora podra no ser autntico si el programa que crea el registro contiene errores graves de programacin. Cuando porla formacin de una imagen del disco duro, lo mejor es utilizar un producto de buena reputacin.
La Prueba de Frye
La prueba ms comn para la admisibilidad de las pruebas es la prueba de equipo de Frye, que se originaron de la Corte de Apelaciones del Distrito de Columbia en una Decisin rechazar la admisibilidad de una prueba de presin arterial sistlica engao (un precursor de la prueba del polgrafo). El tribunal declar que la admisin de esta nueva tcnica depende de su aceptacin por la comunidad cientfica. Debido a que la prueba no fue "suficientemente demuestre que ha adquirido gran importancia en el mbito especfico al que pertenece," el tribunal rechaz la alegacin de la demandada y confirm su condena por asesinato. Aunque la prueba Frye ya no se usa en los tribunales federales, todava se est utilizando en diversas formas en los tribunales estatales.
Federales, mientras se mantiene la misma poltica central de la mejor evidenciaregla de pendencia, han hecho aceptable para introducir en la sala del tribunal una amplia seleccin de muchas formas de evidencia electrnica. Cuestiones de admisibilidad no se refieren a si la introduccin de datoses producida en un disco duro, un DUPLCate disquete, o una impresin de cualquiera de ellos. El tribunal es ms bien interesados en saber si los datos originales son autnticos y si todas las copias presentadas son pecisa. Como resultado, cualquier impresin autntica de datos informticos siempre se considera que cumplen la requisitos de la norma de mejor evidencia.
153
Los registros pblicos - si se han producido a travs de actividades comerciales normales y si se han establecido como autntico-son admisibles como prueba en el estado de los EE.UU. y los sistemas de las cortes federales, aun cuando dichos registros son producidos por los sistemas automatizados.
La evidencia de Preservacin
Conservacin de las pruebas es la preocupacin fundamental de cualquier investigacin criminal, y la prueba informtica no es una excepcin. Destructivos programas de caballo de Troya, por ejemplo, puede destruir permanentemente la prueba informtica en cuestin de segundos. Dado que la evidencia electrnica puede ser alterada sin dejar rastro, copias originales de los datos de prueba se debe colocar en lugar seguro. Toma de imgenes de las pruebas deben ser almacenados en los medios de comunicacin adecuados o de almacenamiento masivo confiable como medios pticos. Debido a que son rpidos y fiables y ofrecen una larga vida til, discos CD-R puede ser utilizado como medio de almacenamiento masivo. En un plazo de cinco a diez aos, los medios de disquetes o de propiedad, como los discos Zip, tal vez ya no est ampliamente disponible. Adems, los datos almacenados en los discos magnticos de los medios tiende a degradarse con el
tiempo. Esto significa que las pruebas podran en algn momento dejar de ser objeto de reembolso. Como los casos de delitos informticos pueden tomar varios aos en llegar a juicio, los medios de comunicacin seguras de almacenamiento y espacio para almacenar la evidencia original es de vital importancia para evitar cualquier contaminacin o alteracin de datos. El investigador debe estar seguro de conservar todos los registros de los sistemas, incluidos los que estn al da y todos los registros que fueron archivados con anterioridad. Posterior comparacin de estos registros puede incluso descubrir la presencia de los incidentes detectados con anterioridad. Los registros pueden ofrecer una prueba del tipo de intrusin introducirse en el sistema as como la fuente de la intrusiN y su ULTcompaero de destino.
154
Cmo construir un kit de herramientas de informtica forense Por qu la cadena de custodia puede hacer o romper una investigacin de los delitos informticos La importancia de la preservacin de pruebas
Captulo 8
Descripcin de los procedimientos de cuarentena y la contencin La ruptura de las conexiones de red e Internet La comprensin de los riesgos del uso compartido de la red y el archivo Reconociendo el modelo de confianza Cambio de contraseas Seguridad de sensibilizacin a travs de estrategias de documentacin multimedia Erradicacin de las vulnerabilidades ULA SEGURIDAD OMPUTER EL MANEJO DE INCIDENTES SE PUEDE DIVIDIR EN SEIS FASES GENERALES:preparacin, identificatin, la contencin, la erradicacin, la recuperacin y seguimiento. Apreciando lo que puede salir mal en cada una de estas fases le ayudar a responder rpida y eficientemente a cada incidente. Como ya hemos establecido, en respuesta a incidentes de seguridad informtica en general, no es una tarea fcil. De respuesta a incidentes requiere una mezcla de conocimientos tcnicos, la comunicacin y coordinacin entre el personal que responden al incidente. Incluso los propios incidentes son cada vez ms complejo. Las nuevas vulnerabilidades de seguridad que exponen sistemas y redes de acceso no autorizado o denegar el servicio Constantemente se estn descubriendo. Con cada vez mayores demandas de procesamiento oportuno de los mayores volmenes de informacin viene un aumento de la amenaza de interrupcin del sistema de informacin. En algunos casos, las interrupciones de slo unas pocas horas son inaceptables. El impacto causado por la incapacidad para procesar los datos deben ser evaluados, y deben tomarse medidas para asegurar la disponibilidad de los sistemas considerados esencial para el funcionamiento normal de una organizacin. Los que estn en la gestin estn obligados a identificar las aplicaciones crticas de informtica y desarrollar planes de contingencia para que la probabilidad de prdida de datos en favorprocesamiento y el apoyo de las telecomunicaciones se reduce al mnimo. Las secuelas de un incidente con frecuencia se debilita, lo que requiere semanas o incluso meses antes de la integridad de los sistemas comprometidos se restablece. Adems, si el autor
es sorprendido y busc el enjuiciamiento, es razonable anticpat de que la defensa va a hacer todo lo posible para echar una sombra de incertidumbre y falta de fiabilidad en el procesamiento. Por esta razn, una
156
clara y efectiva metodologa de manejo de incidentes debe estar en su lugar, sobre todo cuando la polica va a ser llevado pulg Este captulo se centra en la contencin y erradicacin de la fases del modelo de respuesta a incidentes.
La cuarentena y contencin
Durante esta fase, el objetivo es limitar el alcance y la magnitud oun incidente para evitar la incidenciadente de causar ms dao. Esta etapa de respuesta a incidentes consiste en limitar el alcance y la magnitud de un incidente. Debido a que tantos incidentes observar hoy en da implican el uso de cdigo malicioso, los incidentes se puede propagar rpidamente, dando lugar a un dao generalizado y el compromiso de una gran cantidad de informacin sensible. No es raro encontrar que cada estacin de trabajo sin proteccin-cin conectado a una LAN ha sido infectado cuando hay un brote de virus. El gusano Nimda afect a ms de un milln de computadoras en un perodo de slo tres das. La infeccin se duplic antes de que se contena. La contencin se debe iniciar inmediatamente despus de la deteccin o sospecha de que un incidente de seguridad est en curso. Los siguientes pasos deben tomarse en la fase de contencin: Estudiar la situacin y el alcance de los daos. Sea discreto y no mirar para el atacante utiliza mtodos obvios. Evite el uso de aplicaciones potencialmente comprometidos desde el intruso (s) que haya instalado o se ocultan los caballos de Troya u otros cdigos maliciosos similares, en lugar de los archivos del sistema. Copia de seguridad del sistema y del registro (Windows). Es importante para obtener una copia de seguridad completa del sistema con el fin de adquirir evidencia de Yoactividad legal. Realice copias de seguridad a los nuevos (no usados) los medios de comunicacin y las cintas de copia de seguridad de la tienda en un lugar seguro. Determinar el riesgo de las operaciones continuadas (cubierto en la siguiente seccin). Cambie las contraseas en los sistemas comprometidos y en todos los sistemas que interactan regularmente con los sistemas comprometidos.
Si el sistema se apaga por completo, desconectado de la red, ni se le permitir a la Continupara funcionar en su estado operativo normal, de modo que la actividad en el sistema se puede controlar? La respuesta depende del tipo y la magnitud del incidente. En el caso de un virus inofensivo o molestias de tipo, puede que slo sea necesaria para ejecutar el antivirus para detectar y erradicar la
157
cualquier virunses sin tener que apagar el sistema infectado por completo. Sin embargo, si el sistema de con-tiene la informacin clasificada o sensible, o si los programas crticos de riesgo de corromperse, es general-mente en cuenta que el sistema se apaga o se por lo menos temporalmente desconectado de la red. Por otro lado, si hay una posibilidad razonablemente buena de que un autor puede ser identificadas y capturadas por dejar que un sistema de continuapara funcionar de forma normal, esa tctica puede ser considerado. Permitir que un sistema funcione en estas circunstancias, sin embargo, debe sopesarse contra el riesgo de perturbar o poner en peligro los datos. Una vez ms, trabajar dentro de su cadena de mando en la organizacin Para llegar a este tipo de crtica Decisin.
Preservar la integridad
La informacin tiene integridad cuando tanto ella como los sistemas que lo han manipulado se consideran dignos de confianza. Para los sistemas de ser digno de confianza, los errores que han sido (y continuaa) reducido en cada momento posible. Esto incluye errores que son el resultado de tanto intencional explotacin, as como aquellas que se derivan de maltrato involuntario.
El siguiente es un ejemplo de un "Formulario de presentacin de informes de vulnerabilidad", utilizada por los militares de EE.UU.. No se pretende como un ejemplo de todo incluido, pero puede ser utilizado como amplate para la construccin de su propia forma adecuada a las necesidades especficas de su organizacin:
158
b. Descripcin del software: (1) Sistema operativo (incluye relASE nmero):___________ (2) Describa los nicos atributos, principalmente, a nivel local modificados propiedades especiales de seguridad:_______________________
B. Describir la naturaleza y el efecto de la vulnerabilidad en los trminos ms generales como sea posible:
C. Descripcin de la vulnerabilidad tcnica: 1. Un escenario que describe las condiciones especficas de marcos alemanesnstrate la debilidad o deficiencia de diseo. La descripcin suficientemente deben describir las condiciones para que la debilidad o deficiencia de diseo se puede repetir sin ms informacin. Esta situacin puede incluir la fuente o del cdigo objeto.
2. Describir el impacto o efecto especfico de la debilidad o deficiencia de diseo en trminos de lo siguiente: (1) la denegacin de servicio, (2) alteracin de la informacin,
Captulo 8: La contencin de incidentes y Erradicacin de la VuYonerabiYodades159 D. Soluciones sugeridas: Describa cualquier cdigo o procedimientos que usted pudo haber descubierto que cuando se aplica-mentado puede reducir el impacto de la vulnerabilidad se define tcnico.
E. Informacin Adicional: 1. Caractersticas del sistema: una._______________________________________Ubicacin: b. Propietario:________________________________ c. Conexiones de red:__________________________ d. Cuenta o Nmero de serie (s):__________________ 2. Sistema de uso y la ms alta clasificacin de los datos en el sistema:
El prximo Decisin en las preocupaciones de cuarentena y la contencin de la situacin operativa del sistema comprometido en s. Si el sistema se cerrar completamente, desconectada de la redtrabajo, o permitir que continuamentepara funcionar en su condicin de funcionamiento normal, de modo que la actividad en l se puede controlar? La respuesta depende del tipo y la magnitud del incidente. En el caso de una no destructiva (por ejemplo, molestias) el tipo de virus, es casi seguro que la mejor manera de utilizar hasta a software antivirus actualizado para eliminar rpidamente que el virus sin necesidad de apagar el sistema infectado hacia abajo. Si el sistema contiene datos confidenciales, esta informacin puede estar en riesgo, y es generalmente la mejor manera de apagar el sistema (o por lo menos temporalmente desconectarlo de la red o Internet).
deteccin, firewalls, software antivirus, copias de seguridad, y los usuarios de una buena educacin. Sin embargo, cuando un administrador del sistema cree que su sistema de tiene no obstante, en peligro, una de las acciones recomendadas es desconectar el ordenador de la red, impidiendo el acceso an ms por el hacker. Esto es particularmente til con com gravelos incidentes de seguridad informticos. Un incidente de seguridad informtica seria se puede definir como el tipo de incidente que ponga en peligro la integridad, la privacidad y / o la disponibilidad de otros equipos y redes.
160
Entre los ejemplos de incidentes graves de seguridad informticaeincluyen los robos en las cuentas con privilegios (por ejemplo, las cuentas Unix root o administrador de cuentas NT) se utilizan sin autorizacin, de incidentesedonde el trfico de red se controla sin autorizacin, y el incidenteeque computa-res o redes son el origen o el destino de un ataque de Denegacin de Servicio. Adems, si un virus de la salud sea grave, como un gusano de rpida propagacin o el caballo de Troya peligroso, usted debe inmediatamente desconectar el ordenador infectado de la red. Si el ordenador est conectado a la red mediante una conexin Ethernet, simplemente quitar el cable Ethernet de la toma de corriente Ethernet inmediatamente cortar la conexin. Si utiliza acceso telefnico a travs de un mdem, retire el cable que conecta el mdem a la toma de telfono. Los usuarios deben abstenerse de utilizar el ordenador para acceder a Internet / e-mail hasta que el equipo ha sido escaneado con el software de puesta al da de antivirus y est seguro de que ya no est infectado con cdigo malicioso. Despus de cortar la conexin, a continuacin, puede examinar la informacin del archivo de registro para el intento de conexin y de inicio de sesine, Y comparar los originales (siempre y proveedor) las aplicaciones a las que actualmente resi-cin en el sistema. Esto le permite detectar si los archivos han sido modificados por el hacker, tal vez para su uso como una puerta trasera para permitir ms acceso a la red para llevar a cabo acciones malvolas.
NGVCK.a. El virus Elkern aleatoriamente INFEeTS archivos ejecutables en el equipo local y recursos compartidos de red y reemplaza el contenido de estos archivos con caracteres aleatorios para mantener el tamao del archivo original. Esto har que la mayora de los sistemas a chocar y por lo menos destruir a los archivos crticos del sistema operativo. Los usuarios se les recomienda actualizar sus firmas antivirus y visite los siguientes sitios Web de Microsoft para las actualizaciones apropiadas para Outlook e Internet Explorer 5.x: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/~~V bul 1etin/MS01-020.asp, o http://support.ru icrosoft.com / default.aspx? cienciad = kb; en-us; Q262631.
161
Si usted ha compartido archivos o carpetas, desactivarlas. Una vez que haya completado el procedimiento la eliminacindes decir,re, si ms adelante decide volver a habilitar el intercambio de archivos, se recomienda que usted no comparte la raz de la unidad C, pero en su lugar, compartir carpetas especficas individuales. Estas carpetas compartidas debe ser protegido por contrasea con una contrasea segura.
4. Si no desea eliminar por completo un recurso compartido, que puede aumentar la seguridad mediante la seleccin de los permisos y modificar la configuracin para que slo determinados usuarios y / o grupos pueden escribir en l. 5. Para cada archivo o carpeta compartida, de forma individual comprobar los permisos para verificar que slo se requiere los usuarios tener acceso de escritura.
162
Figura 8-1: La pestaa Compartir de las propiedades del disco de Windows XP Pro
163
3. En Opciones de carpeta, seleccione Ver. 4. Desplcese hasta la parte inferior de la lista de configuracin avanzada y desactive la "Utilizar uso compartido simple de archivos" (ver Figura 8-3). 5. Haga clic en Aceptar.
Una vez compartido simple de archivos ha sido desactivado, puede modificar las opciones de uso compartido especficos para cualquier carpeta que se encuentra en Mi PC de la siguiente manera: 1. Haga clic derecho sobre la carpeta y, a continuacin, seleccione Compartir y seguridad en el men desplegable hombres. 2. Seleccione la pestaa Compartir, a continuacin, seleccione la opcin "Compartir esta carpeta" y, a introducir una cuota de AME. En este ejemplo, la carpeta se llama documentos de Doug (ver Figura 8-4). 3. Puede aadir un comentario (Si se desea), que describe la accin y aparece en Mis sitios de red en otros equipos. 4. Usted puede dejar el "Lmite de usuarios" opcin de paz. En XP profesional, la m por defectoximum lmite es 10. 5. Haga clic en el botn Permisos (Consulte la seccin "Creacin de listas de control de acceso" a continuacin) y proceder a hacer los ajustes que desee con respecto a cmo esta
165
Figura 8-5: Permisos pestaa Compartir en Mis Documentos Propiedades de Windows XP Pro
esto no es aceptable. En cambio, las listas de control de acceso debe estar configurado para especificar quin tiene acceso y en qu. Para hacer esto en Windows XP, siga estos pasos:
Respuesta a Incidentes: Computer Toolkit Forense 1. Con la ventana abierta de permisos, haga clic en el botn Agregar y, a continuacin, elija Tipos de objetos. 2. Anule la seleccin de "Built-in de seguridad principais "y la opcin de Grupos (ver Figura 8-6), ya que desea ver slo los usuarios. 3. Haga clic en Aceptar, a continuacin, seleccione Opciones avanzadas y, haga clic en Buscar ahora. 4. Haga clic en los usuarios que deben tener acceso a este recurso compartido (ver Figura 87). 5. Haga clic en Aceptar, y los usuarios se agregan. Usted puede repetir este proceso para
Y o
De forma predeterminada, los usuarios nuevos agregados tienen acceso de slo lectura. Si usted quiere que ellos tienen acceso lectura / escritura, a continuacin, haga clic en el cuadro Cambiar. Tendr que hacer esto para cada usuario mediante la seleccin de cada usuario en la lista, a continuacin, especifique permiso de cambio. Para evitar el acceso de invitados a este recurso compartido, debe quitar el grupo Todos. Seleccinelo y haga clic en el botn Quitar.
completa. Dar el acceso pleno Contrasea slo a aquellos que lo requieran. 8. Para otros archivos y carpetas compartidas, asegrese de que el tipo de acceso est configurado correctamente.
168
confianza. Tener un modelo de confianza completa proporciona una mayor conciencia de los riesgos planteados por vulnera-nerabilities y amenazas. La informacin proporcionada por un modelo de confianza le permitir a su organizacin para evaluar sus vulnerabilidades y amenazas y encontrar soluciones a cualquiera de MITpuerta de ese riesgo o elegir aceptarlo. Tradicionalmente, los equipos independientes y pequeas redes se basan en algn tipo de autenticacin de usuariotin y control de acceso para garantizar la seguridad. La autenticacin se realiza a travs de un mecanismo de control, que verifica la identidad de un usuario del sistema. Una vez identificado, el usuario tiene autorizacin para utilizar, cambiar o ver ciertos recursos informticos. Actualmente, varios enfoques diferentes estn siendo utilizados en el intento de autenticar de forma fiable los usuarios. Esto incluye contraseas, firmas digitales, tarjetas inteligentes y biometra, a AME unos pocos.
as y apuntar a los que no toman las precauciones correctas. Por qu hay un problema? Las contraseas son una de las primeras lneas de defensa que tienen los usuarios para proteger sus sistemas. Por desgracia, la gente no est acostumbrada a tener que recordar contraseas difciles compuestas por cifras y extraas acters caracte-. El nmero cada vez mayor de contraseas necesarias para trabajar en el mundo de hoy slo lo hace
Recordar contraseas largas puede ser difcil, pero hay algunas tcnicas bsicas de los usuarios pueden emplear para disminuir el dolor. En primer lugar, elegir una frase que pueda recordar. Como ejemplo, vamos a utilizar la frase "La perla en el ro." A continuacin, puede tomar un nmero que est familiarizado con el, como un cumpleaos. Para este ejemplo usaremos 04/07/01. A continuacin, usted puede tomar la primera letra de la frase y se entrelazan con la fecha elegida para hacer algo similar a t7p4i0tlr. Este mtodo crea una contrasea que no se puede encontrar en cualquier diccionario, y es exclusiva de la persona que lo cre. Es importante recordar sin embargo, que cualquier contrasea puede adivinar si se le da tiempo suficiente. Por lo tanto, es importante para cambiar su contrasea en la cantidad de tiempo que le tomara a un atacante adivine. Por ejemplo, con la contrasea anterior puede llevar a un atacante de 60 das en un equipo muy rpido para adivinar lo que es. Con el fin de garantizar la seguridad de su sistema a continuacin, el usuario debe cambiar su contrasea antes de los 60 das llegar a su fin. Mientras que la contrasea de seguridad es un elemento disuasorio muy importante para los piratas informticos tengan acceso a tu sistema, es slo un componente de la "defensa en profundidad" principyoe. Lo que esto significa, se las contraseas deben ser utilizados junto con otras medidas tales como software antivirus actualizado y un firewall personal, como Zone Alarm.
Recuerde que la primera lnea de defensa en el sistema informtico la confianza es la proteccin de las contraseas y el ID de usuario. !
Con el aumento de potencia de clculo, se tarda menos tiempo que nunca para adivinar las contraseas. Por lo tanto, contraseas seguras deben combinarse con los bloqueos de cuentas (bloquear la cuenta despus de un nmeronmero de conjeturas errneas) o el atacante puede adivinar el tiempo.
170
Desafortunadamente, los administradores de sistemas a menudo no saben que los servicios de los que no sean necesarios pueden ser explotadas por los hackers-se dejan en ejecucin en el sistema, dejndolos vulnerables a los ataques. La forma ms fcil de MITpuerta de los riesgos de estos sistemas operativos es reducir al mnimo la cantidad de servicios que se ejecutan, por ejemplo, slo la ejecucin de los servicios que se necesitan en las estaciones de trabajo y servidores. El escarabajo de Cdigo Rojo, por ejemplo, con xito abrumado muchas redes ya que los empleados se haban instalado los servicios Web en sus estaciones de trabajo individuales. Si bien habr oca-siones, cuando algunos individuosais puede ser necesario para ejecutar servidores Web en sus estaciones de trabajo para desarrollo y pruebas, ms de las veces, estos servicios de servidor Web proporciona la funcin poco ms que la creacin de un potencial de salto de punto de partida para un gusano o un ataque hostil. Para los responsables de la gestin de un gran nmero de estaciones de trabajo, se convierte en una tarea onerosa para elimNate seleccin los servicios de estacin de trabajo de todos y cada uno. Aunque la reduccin de la cantidad de servicios que se ejecutan en un equipo funcionalidad de ciertos lmites, se endurece el sistema en trminos de seguridad. Endurecimiento de los servidores y estaciones de trabajo es slo un primer paso en la prevencin de los hackers de irrumpir en un sistema informtico mediante la limitacin de lo que el atacante es capaz de explotar y utilizar. Mientras que algunos servicios, tales como el servicio WWW en un servidor Web son requeridos, es importante tambin tener al tanto de las actualizaciones, parches y revisiones de todo servicios. En equipos basados en Windows, usted puede detectar fcilmente los servicios que funcionan mediante el uso de un programa como Process Explorer. Con Process Explorer en marcha y funcionando, seleccione las opciones Servicios Resaltar los hombreselemento. A continuacin, puede hacer clic en cualquiera de los servicios destacados para ver los detalles del servicio, que aparecen en el panel inferior de Process Explorer (ver Figura 8-8). Process Explorer se puede descar-cargado desde www.sysinternals.com._
171
(A) En general. - Cada agencia federal deber prever la capacitacin peridica obligatoria de la conciencia de seguridad informtica y la prctica aceptada de seguridad informtica de todos los empleados que estn involucrados con el manejo, uso o funcionamiento de cada sistema informtico
federal dentro o bajo la supervisin de ese organismo. Dicha formacin ser 1. siempre de acuerdo con las directrices elaboradas de conformidad con la seccin 20 (a) (5) de la National Bureau of Standards Act (aadido por el artculo 3 de esta Ley), y de conformidad con los reglamentos emitidos en virtud del inciso (c) de esta seccin de los empleados civiles federales, o 2. proporcionada por un programa de entrenamiento alternativo aprobado por el jefe de ese organismo sobre la base de una determinacin de que el programa de formacin alternativa es al menos tan eficaz en el cumplimiento de los objetivos de esas directrices y reglamentos.
172
(B) Objeto.-Formacin de Formacin en esta seccin se pondr en marcha dentro de los 60 das despus de la la emisin de las regulaciones descritas en el inciso (c). Dicha capacitacin se disearn 1. para aumentar la conciencia de los empleados de las amenazas y la vulnerabilidad de los sistemas informticos, y 2. para fomentar el uso de mejores prcticas de seguridad informtica. (C) Regulations.-Dentro de seis meses despus de la fecha de la promulgacin de esta Ley, el Director de la Oficina de Administracin de Personal dictar disposiciones que prescriban los procedimientos y el alcance de la de capacitacin que se proporcionan los empleados civiles federales en virtud del inciso (a) y la manera en que tales enseanzas se llev a cabo.
Concienciacin sobre la seguridad pueden presentarse en muchas formas, tales como banderas de inicio de sesin que recuerdan comlos usuarios informticos sobre la seguridad cada vez que inicien sus equipos de audio y vdeo documentacin. Independientemente de los mtodos se emplean, el objetivo principal es aumentar la conciencia constante de nuestros empleados de las amenazas y la vulnerabilidad de los sistemas informticos, y fomentar el uso de mejora de las prcticas de seguridad informtica dentro de la organizacin.
organizaciones. Estos vdeos son generalmente mucho menores que los costos asociados con la produccin in-house-propriVdeos monetarias de seguridad. Los siguientes son dos vendedores que producen excelentes productos de sensibilizacin de seguridad, incluyendo las variablesOus carteles, cintas de audio, videos y CD-ROMs. CommonwealthFilms:www.commonwealthfi 1ms.com Suinteligencianatural,Inc:www.nativeintelligence.com / conocimiento / index.asp Tenga en cuenta que desde que usted puede volver a usar el video, una computadora relacionada con la seguridad de vdeo sera una excelente herramienta en su programa de concienciacin sobre la seguridad.
173
La fase de erradicacin
La prioridad, despus de al lado que contiene los daos causados por un incidente de seguridad informtica-es eliminar la causa del incidente. Los hackers y crackers sin descanso buscan las vulnerabilidades de seguridad en el software nuevo o ya existente, especialmente cuando el proveedor de software no se ha desarrollado un parche o donde la organizacin no ha podido descargar una correccin disponible (lo que habra eliminado la vulnerabilidad de los). La fase de erradicacin se asegura de que se elimina el problema y las vulnerabilidades que permiten el reingreso al sistema se eliminan, tambin. En el caso de un incidente de virus, se debe eliminar el virus de todos los sistemas y medios de comunicacin (por ejemplo, los disquetes, los medios de copia de seguridad) mediante el uso de uno o ms probadas aplicaciones comerciales de erradicacin del virus. Si hay fallas en el sistema operativo o las aplicaciones para las que hay cambios, que debe ser reparado inmediatamente. Recuerde, muchos intrusos de red dejan restos (backdoors, spyware, etc) que pueden resultar difciles de lCate. Su organizacin debe FRST concntrate en la erradicacin de cualquier cdigo malicioso (por ejemplo, los caballos de Troya, gusanos, etc), cisE los puertos innecesarios abiertos, y ms tarde concntrate acerca de los peligros ms benignas (por ejemplo, fraude / molestias virunSES), sobre todo cuando no presentan un riesgo lo suficientemente grave como para justificar el costo de la erradicacin. Utilice la informacin recopilada durante los procedimientos de contencin para recoger informacin adicional. Si un mtodo de ataque nico no se puede determinar, la lista y el rango de las posibilidades.
parches, y para el administrador del sistema tratando de encontrar y tapar los huecos antes de que son explotados. Para los sistemas operativos Unix o Linux, numerosas escneres de vulnerabilidad estn disponibles, aqu son varias: Nessus por Renaud Deraison es un escner de software de seguridad gratuito que las auditoras de una red especificadas de forma remota y determina si los hackers podran poner en peligro o explotacin de que de alguna manera. Para obtener ms informacin o para descargar una copia, visite
www.nessus.org.
SAINT por SAINT Corporation es un acrnimo de "Herramienta de administracin de seguridad de red integrada" y se utiliza para seun Unix / Linux los sistemas informticos para descubrir el potencial reas de debilidad y luego recomendar soluciones. Entre algunas de sus muchas caractersticas, SAINT evaluacin de la vulnerabilidad puede detectar y reparar los posibles puntos dbiles en la seguridad de su red antes de que puedan ser explotadas por intrusos. Adems, el santo puede anticpat y prevenir vulnerabilidades de los sistemas comunes y demnstrate que su organizacin de las computadoras los sistemas estn en conformidad con las regulaciones de privacidad de datos, como la Ley Gramm-Leach-Bliley (GLBA), Health Insurance Portability and Accountability Act (HIPAA), y Nios en Internet Privacy Protection Act (COPPA). Para informacin sobre precios o para descargar una copia gratuita de prueba, visite www.saintcorporation.com. GFI LANguard Network Security Scanner (N.S.S.) le permite no slo seuno de su redtrabajar, pero le permite hacerlo desde el punto de vista del hacker. Es capaz de identificar todos los ordenadores conectados a la red de su recopilacin de informacin de NetBIOS, puertos abiertos, y los recursos compartidos de red a la ame slo una de sus muchas caractersticas. LANguard Network Scanner tambin puede dis-play instalado los parches del programa (tambin conocido como hot fixes) y seuno de los problemas de seguridad conocidos. Si cualquier problema de seguridad se encuentran, este programa proporcionar un enlace web para ms informacininformacin. N.S.S. contiene una gran ddtbase de las vulnerabilidades comunes, como CGI, FTP, y las hazaas del Registro. Este programa permite al usuario personalizar el datde base, aadir cus-tom criterios, e incluso especificar banderas de alerta sobre la base de las preferencias del usuario. Con la informacin de LANguard NSS, su organizacin puede asegurar de forma proactiva su red, cerrando puertos innecesarios y acciones. Este programa tambin producir convenientes informes basados en HTML para su distribucin a travs de Internet o una intranet de la empresa, si es necesario. Incluso para los no profesionales, este programa ofrece informacin en profundidad acerca de la LAN. Mientras que el software gratuito versin tiene algunas caractersticas avanzadas con discapacidad (por ejemplo, los anlisis programados, un generador de informes y la implementacin de la comparacin de resultados), todava es muy adecuado para la grandad de los usuarios. Para obtener ms informacin o para descargar una copia, visite www.gfi.com. La herramienta Microsoft Baseline Security Analyzer (MBSA) es una utilidad basada en software que permite a los usuarios seun equipos basados en Windows para los problemas de seguridad comunes, tales como un suavesoftware o configuracin errnea de la falta de aplicacin de parches y actualizaciones.
Puntos principales tratados en este captulo se incluyen Una breve descripcin de los procedimientos informticos de incidentes de seguridad de cuarentena y la contencin Los pros y los contras de la ruptura de las conexiones de red e Internet durante la contienencin fase del modelo de respuesta a incidentes Una visin general de los riesgos del uso de recursos compartidos de red y el archivo en Windows basada en redobras, incluidas las medidas sobre la manera de MITpuerta de los riesgos La importancia de la subestimacin de la seguridad informtica modelo de confianza y su papel en una general de la organizacin de plan de respuesta a incidentes
Los procedimientos apropiados de contraseas y la importancia de los cambios de contrasea frecuentes Cmo fomentar la conciencia de toda la compaa de seguridad utilizando documentacin multimedia estrategias Una visin general de los pasos involucrados en la erradicacin de las vulnerabilidades de seguridad informtica
Captulo 9
E l s e g u i m i e n t o d e l o s s i s t e m a s . U n a v e z q u e e
Entendimiento de desastres de recuperacin de la planificacin La importancia de los registros de incidentes UPS y los procedimientos de copia de seguridad Despus del incidente de vigilancia de los sistemas de Anticipando nuevos ataques GRACIAS A SU MAYOR DEPENDENCIA DE LA INTERNET, organizaciones alrededor del mundo enfrentan diariamente a las amenazas de los hackers, crackers, equipo virunses gusanos, y de la red, que a menudo explotan una variedad de deficiencias en los sistemas informticos y de causar un dao significativo. Debido al aumento de la conectividad con-provocado por la Internet, los daos causados por aparentemente aislados incidentes de seguridad informtica puede propagarse rpidamente a otros sistemas informticos conectados a Internet, causar numerosas prdidas econmicas. Un plan de recuperacin de desastres debe ser adaptado a la exposicin de su organizacin a un riesgo y debe proporcionar informacin concreta y procedimientos para orientar las decisiones y operaciones en tiempos de crisis. Procedimientos de recuperacin de desastres debe incluir lo siguiente: Restaurar el sistema despus de un compromiso. Una vez que un compromiso ha sido erradicada, el siguiente paso lgico es restaurar el sistema a su estado precompromise en pleno funcionamiento. La validacin del sistema. Una vez que el sistema ha sido restaurado, compruebe que la operacin fue un xito y el sistema vuelve a su estado normal de funcionamiento. Decidir cundo las operaciones de restauracin. La gerencia puede decidir abandonar el sistema en lnea, mientras que actualizaciones del sistema operativo y los parches estn instalados.
l sistema est en lnea, continuapara vigilar la espaldapuertas que puedan tener eludido deteccin.
177
178
Saber cmo reaccionar adecuadamente en una emergencia es fundamental para tomar decisiones que minimicen el dao resultante y restaurar rpidamente las operaciones. En su 07 de diciembre, Boletn destacados de 2001, la Agencia de Proteccin de Infraestructura Nacional emiti el siguiente:
11 de septiembre 2001 Incidente TerroristaeLecciones aprendidas: nuevos enfoques necesarios para la recuperacin de desastres y de negocios Continuidad de Planificacin Tres temas principales se puede observar en los numerosos artculos en los que los profesionales tcnicos han estado discutiendo el impacto de los incidentes del 11 de septiembre. Lecciones Emergentes En primer lugar, la recuperacin de desastres planes de la mayora de las organizaciones tienden a centrarse en sistema de informacin dis-capacidad ("up-time") los temas. En segundo lugar, el concepto en evolucin del alcance de los impactos se ha traducido en una reevaluacin fundamental por tanto pr". peor de los casos" tor privado y las organizaciones gubernamentales del significado de la tercera y ms importante, parece que hay una sntesis emergente de los dos primeros temas: los incidentes se han traducido en una creciente conciencia de la necesidad de planes de continuidad de negocio y recuperacin de desastres planes para complementarse entre s. Infraestructura de servicios financieros Muchas grandes organizaciones de servicios financieros restaurar rpidamente sus sistemas de informacin en el altrnate sitios. Los sistemas de demostrar la estabilidad en altos volmenes de transacciones en los mercados reabrieron y se reanuda negocio. Los factores que contribuyen a la reanudacin exitosa de las operaciones incluyen inversiones en tiempo real de copia de seguridad de datos y todas las capacidades de sitios calientes, las pruebas frecuentes desastres plan y las actualizaciones, las lecciones aprendidas durante la remediacin Y2K y otros planes para las funciones crticas tales como diciembre-imalization NASDAQ conversin del plan. Los servicios tradicionales de recuperacin de desastres de Empujado a los nuevos lmites Las compaas que ofrecen servicios de recuperacin de desastres han reportado un nmero rcord de organizaciones sub-mitting alertas de desastres y las declaraciones de desastre. Adems, en muchos casos la naturaleza de los servicios requeridos es tambin significativamente ms amplia que en anteriores desastres como el huracn Floyd en 1999 y el ataque al World Trade Center de 1993. Necesidad de reevaluar cuestiones de riesgo Durante los ltimos 15-20 aos, se centran en la reduccin de costes y aumenta la productividad ha contribuido a la consolidacin de las operaciones de la organizacin, informacin, personas, procesos, y la cadena de suministro de las relaciones. Los incidentes del 11 de septiembre muestran estas tendencias presentan nuevos potenciales de los fracasos que no se han reflejado en la recuperacin de desastres y los planes de muchas de continuidad del negocio. Adems, los incidentes tambin sealan los factores de riesgo relacionados con el cis la proximidad a otros "alta valiosaobjetivos "y la infraestructura de las dependencias entre las telecomunicaciones, la energa y el transporte. Infraestructura Crtica y Empresa Implicaciones de red El Princip bsicayoes de preparacin de emergencia se han utilizado durante dcadas y continua puedeser una base para abordar los nuevos desafos. Sin embargo, dos nuevos enfoques de planificacin deben ser abordados. En primer lugar, el mbito de la planificacin de recuperacin de
desastres debe ser ampliado ms all de su enfoque tradicional en la pri-Marily cuestiones operativas para incluir medidas de seguridad de seguridad tambin. En segundo lugar la planificacin, la continuidad del negocio junto con la planificacin de recuperacin de desastres debe ser abordado como un requisito de negocio de toda la empresa la operacin.
En este boletn, el NIPC hace hincapi en la necesidad de contar con procedimientos de recuperacin de desastres y continuidad de negocio que se complementan entre s. No importa cuntas precauciones son empleados y
forzada, la mayora de la gente en el campo de la seguridad informtica de acuerdo en que no hay computadoras completamente seguro. Cuando sucede lo impensable, un plan de emergencia bien diseado de recuperacin describe la preparacin y las medidas necesarias para responder eficazmente a la catstrofe, asigna y / o delega responsabilidades, e incluso describe los procedimientos para probar y mantener el plan. Adems, un plan de recuperacin de desastres debe ser evaluado con mayor frecuencia y actualizado para reflejar el hardware actual, el software, procedimientos, aplicaciones crticas, y el personal. El tipo y grado de pruebacin adoptada por una organizacin depender de los siguientes factores: El costo de la ejecucin del plan de pruebas Presupuesto disponibilidad La complejidad del sistema de informacin y de los componentes
procedimientos a seguir en el caso de una emergencia Formacin de todo el personal con responsabilidades definidas en el Plan para llevar a cabo el desastre de recuperacin y continuidad de negocio procedimientos Ofrecer la oportunidad a los equipos de recuperacin para practicar su recuperacin de desastres y habilidades de continuidad de negocio
180
Desarrollar un plan de contingencia que es comprensible, fcil de usar, y fciles de mantener por todos los miembros de la organizacin. Definir cmo las consideraciones de planificacin de contingencia deben ser incorporados en la planificacin de su negocio en marcha. Los procedimientos del sistema de desarrollo tambin debe ser definido para que el planes para seguir siendo viable. Para aquellos que deseen construir su propio desastre informtico plan de recuperacin, el siguiente Concontingencia y desastres directrices del plan de recuperacin del Sistema de Virginia Community College
demnstrate los pasos necesarios para crse comi un desastre informtico plan de recuperacin. Estas directrices son no pretende ser exhaustiva, sino ms bien se debe utilizar como en elmplate:
Enumerar y describir las cosas que podran ser asumidos en el plan. La lista de supuestos no se incluya a todos. Algunas hiptesis pueden ser: 1. Todos los recursos y el personal puede estar disponible tan pronto como sea posible. 2. Todos los miembros de los equipos de recuperacin de desastres que las copias ms recientes de la catstrofe plan de recuperacin. 3. Los usuarios se continuade optasa a travs de un modo manual. 4. Las copias de seguridad se pondr a disposicin tan pronto como sea posible.
II. PROCESAMIENTO DE DATOS / ENTORNO EMPRESARIAL
Indique el curso de las acciones que deben ocurrir cuando un desastre se reconoce. La siguiente es una ejemplo:
En el caso de un desastre, el coordinador de la planificacin para desastres debe ser contactado. El coordinador debe ponerse en contacto con el equipo de manejo de emergencias. El equipo de manejo de emergencias deben ir a la razones de la catstrofe, evaluar los daos y proporcionar el coordinador con los resultados de la evaluacin lo ms pronto posible. El coordinador de planificacin de desastres deben decidir qu otros equipos para ponerse en contacto en funcin del tipo y la gravedad de la catstrofe. Las operaciones de recuperacin de desastres no debe comenzar hasta que el coordinador ha designado el plan de operaciones.
Organizar equipos de recuperacin de desastres para manejar diferentes funciones durante el perodo comprendido entre el primero que se inform del desastre hasta su completa recuperacin se ha completado. Dependiendo del tamao de su sitio, el tamao de cada uno de sus equipos pueden variar, as como el nmero de equipos. Cada equipo es responsable de el desarrollo de un conjunto de acciones a seguir para faciTate una recuperacin ordenada de un desastre. A. Planificacin de Desastres Coordinador
Determinar quin es el coordinador de recuperacin de desastres debe ser. Enumerar las funciones de coordinador de recuperacin de desastres. Algunas funciones podran ser 1. Servir como el contacto principal y coordNate los esfuerzos de recuperacin. 2. Pngase en contacto con todo el personal de apoyo que participan en el esfuerzo de recuperacin. 3. Proporcionar a todo el personal de apoyo con una copia del plan.
182
Respuesta a Incidentes: Computer Toolkit Forense 4. Pngase en contacto con el personal de gestin. 5. Mantener el plan de recuperacin de desastres. B. Equipo de Gestin de Emergencias Determinar quines son los miembros del equipo de gestin de emergencias ser. Enumerar las responsabilidades del equipo de manejo de emergencias. Algunas funciones podran ser 1. Evaluar los daos. 1. Proporcionar un estado de detalle del desastre para el coordinador de planificacin de desastres tan pronto como sea posible. 2. Pngase en contacto con todos los proveedores, contratistas, o los recursos externos necesarios para restablecer los servicios de el daado reas. 2. Proporcionar un estado general de la catstrofe para el personal de la universidad. 3. Determinar las prioridades. Debe haber un marco mnimo de tiempo aceptable el colegio funcionar con las operaciones de degradados antes de que el plan de copia de seguridad se lleva a cabo. 3. Asegrese de que todo el personal de apoyo necesario ha sido contactado para prestar asistencia. 4. Determinar un marco de tiempo general para que todos los servicios sern restaurados. C. Equipo de Apoyo Tcnico Determinar quines son los miembros del equipo de soporte tcnico ser. Lista de las reslos lazos del equipo de soporte tcnico. Algunas funciones podran ser 1. Determine qu hardware / software se ha daado. 2. Revise el anlisis de la evaluacin de riesgos y anlisis de impacto en el negocio y determinar cules son las aplicaciones crticas / no crticas son y para determinar quin es responsable de cada aplicacin. 3. Lista de los procedimientos a crcrear un entorno nuevo para el hardware o para la compra de nuevo hardware (dar a los procedimientos reales). 4. Procedimientos para restaurar la lista de software crtico / aplicaciones (dar a los procedimientos reales). 5. Lista de los procedimientos para restaurar el software no crtico / aplicaciones (dar a los procedimientos reales). 6. Pngase en contacto con los propietarios de aplicaciones para determinar su papel en el proceso de recuperacin.
D. Equipo de Proyectos Especiales Determinar quines son los miembros del equipo de proyectos especiales ser. Enumerar las responsabilidades del equipo de proyecto especial. Algunas funciones podran ser 1. Proporcionar el transporte a / desde las instalaciones de copia de seguridad. 2. Haga cualquier telfono de cal necesariayos. 1. Pedido de suministros, el trabajo completa el papeleo necesario, y prestar asistencia cuando sea necesario para todos los grupos de apoyo.
Cliente E. Equipo de Apoyo Determinar quines son los miembros del equipo de atencin al cliente ser. Enumere los vnculos de responsabilidades del equipo de atencin al cliente. Algunas funciones podran ser 1. Notificar a los clientes de ordenador de la catstrofe y darles un marco de tiempo para la recuperacin. 2. Ayudar a los clientes desarrollar procedimientos manuales para llevar a cabo el trabajo si los recursos son disponible para una larga duracin de tiempo. 3. Tener una lista de clientes de la prioridad de su da a da del trabajo.
V. PROCEDIMIENTOS DE RESPUESTA A EMERGENCIAS
Enumerar los procedimientos de respuesta de emergencia apropiada para cualquier incidente o actividad, que puede ame-ger la vida, la propiedad, o la capacidad para llevar a cabo funciones esenciales.
VI. LISTA DE TELEFONOS DE EMERGENCIA
Haga una lista de los nmeros de emergencia los servicios telefnicos en su REA, por ejemplo, fuego y plos piojos, servicio de aire acondicionado, servicio de seguridad, y as sucesivamente. Adems, una lista de todos los Ames y telenmeros de telfono (particular y trabajo) de todos los miembros de los equipos de recuperacin de desastres. Tambin se pueden listar los nmeros de telfono de cualquier hardware y / o proveedores de software, as como cualquier otro de importancianmeros de telfono tantes.
VIllinois. MANTENIMIENTO DEL PLAN
Esta debe ser la responsabilidad del Coordinador de Planificacin de Desastres. Enumerar los pasos de la coor-nador debe tomar para mantener este plan. Algunos pasos podra ser 1. Elaborar un calendario para poner a prueba el plan (por lo menos una vez al ao). 2. Mantener el plan actualizado con la informacin ms reciente. 3. Asegrese de que el plan est salvaguardada en la oficina y es una copia en los archivos de un seguro fuera del sitio ubicacin.
Registros Electrnicos
Ordenadores producir registros electrnicos, incluyendo grfico numrico, y la informacin de texto, que puede almacenarse en cualquier m almacenamientomediano capaz de ser ledo por
un ordenador. Esto incluye, pero no se limita a, los medios magnticos, tales como cintas y discos y discos pticos. La creacin de registros electrnicos depende de las aplicaciones de software, hardware, sistema operativo, los medios, y formatos de archivos que componen el tipo de sistema informtico utilizado. El personal de la organizacin que son responsables de los registros debe estar preocupado por - y ayudar a los dems empleados entienden - los mtodos utilizados para crcomi sus registros y la documentacin del sistema que cre los registros con el fin de garantizar la capacidad de recuperar, leer, y usar los registros en el futuro.
184
Cada m de almacenamiento electrnicomediano pueden clasificarse en dos tipos, los medios magnticos y medios pticos. Cada tipo tiene ciertas ventajas e inconvenientes. Por ejemplo, la informacin almacenada en medios magnticos (por ejemplo, duro y los disquetes) es ms propenso a la corrupcin por fuentes externas (tales como fuertes campos magnticos). Los medios pticos (como CD-ROM) no son propensos a cor magnticacorrupcin pero pueden ser daados por araazos superficiales profundas que impiden que la lservicio de la lectura de los datos almacenada en el disco. Ejemplos de medios de almacenamiento comnmente usados incluyen Los discos duros 3,5 pulgadas de disquetes Los discos Zip CD-ROM (por ejemplo, CD-R, CD-RW, y DVD) De memoria flash Los cartuchos de cinta Los anteriores son slo algunos de los muchos tipos de medios electrnicos de almacenamiento actualmente en uso. La tecnologa de almacenamiento est en constante evolucin, nuevos medios y formatos se estn desarrollando constantemente e intro-ducida. Los usuarios, administradores de redes y personal de seguridad de gestin conjunta y debe reevaluar peridicamente los medios electrnicos adecuados para fines comerciales o para su archivo. Cada m almacenamientomediano tiene una vida diferente. Debido a esto, los datos registrados pueden necesitar ser transferido a un nuevo tipo de almacenamiento mmediano o el formato para extender su vida preservada. La correcta seleccin de formatos de software, medios de comunicacin y archivo que se utilizar para la creacin de registros electrnicos se asegura de que los registros estn adecuadamente legible, recuperable, y duplicar hasta el momento en que ya no son necesarios. Instrucciones para la recuperacin o conservacin deben estar documentados de manera de asegurar a largo plazo de uso. Esto debe incluir los atributos fsicos de los registros, plataformas de hardware y software necesario para recuperar los registros. Implementar y mantener un programa eficaz de seguridad los registros deben incorpcalificar el siguientes: Asegrese de que slo el personal autorizado tiene acceso a los registros electrnicos Proveer para backup y recuperacin de registros para proteger contra la prdida de informacin Asegrese de que el personal correspondiente est capacitado para proteger la electrnica sensible o clasificada archivos Minimizar el riesgo de alteracin o supresin no autorizada de los documentos
electrnicos
visible en la parte delantera del disco. Los mtodos para la autenticacin de los documentos electrnicos, sin embargo, son ms diversos. Estos mtodos incluyen, pero no se limitan a, los siguientes: Una copia de un documento que acompaa a los medios de comunicacin electrnicos que contienen infor-macin sobre el registro electrnico que puede ser utilizado para identificar, recuperar, o de indexacin Colocacin de un sello de autenticacin para los medios de comunicacin Vinculacin de una firma digital para el archivo electrnico o un documento
encuentra en la memoria de la computadora infectada o predeterminados direcciones de correo electrnico. Cuando se trata de seguridad de la informacin, ms niveleseis de la proteccin de su organizacin utiliza, ms difcil es para un hacker, cracker, o agente maliciosas para comprometer el sistema o robar datos crticos. Por ejemplo, puede que le resulte beneficioso para mantener los datos crticos o sensibles en forma cifrada en un m extrablemediano (por ejemplo, disquete, Zip, o un disco CD-RW), en lugar de en el disco duro del sistema. Esto le permite mantener a los medios almacenados con seguridad en un lugar seguro rea. La utilizacin de programas antivirus con las definiciones de virus se actualicen con frecuencia, la instalacin de un firewall adecuado, mantener los datos sensibles en disquetes, desconectar el equipo cuando no est en uso, con sofisti-domesticadas sistemas de contraseas y cifrado, y la aplicacin de otros enfoques, de manera similar, todo ello contribuye a la
186
la prevencin de los datos sensibles no se vean comprometidas. Adems, la organizacin debe implementar y mantener un programa eficaz de los registros de seguridad que incorpora el siguiente: Asegrese de que slo el personal autorizado tiene acceso a los registros electrnicos. Minimizar el riesgo de la modificacin o supresin no autorizada de los documentos electrnicos por almacenar datos confidenciales en medios extrables. Asegrese de que el personal correspondiente est capacitado para proteger la electrnica sensible o clasificada registros. Proveer para backup y recuperacin de registros para proteger contra la prdida de informacin. Asegrese de que la seguridad de registros electrnicos se incluye en informacin general de su organizacinmacin planes de seguridad.
detecta que la energa primaria se ha ido fuera. Se cambia de nuevo de la fuente de energa secundaria a la primaria cuando detecta que el principal fuente de alimentacin ha vuelto. En un UPS continuo, el equipo siempre se est ejecutando el suministro de energa de la batera, con la batera de con-continuamente se recarga con una fuente de alimentacin de CA externa. La ventaja de este tipo de UPS es que no hay conversin necesaria. Esta configuracin proporciona un suministro estable y constante de energa.
Los sistemas UPS Standby se encuentran comnmente en el small-office/home-office (SOHO), medio ambiente, ya que cuestan mucho menos que el tipo continuo de UPS. Si bien es ms costoso que el tipo de espera, las continuas subidas prev extremadamente limpio y estable de energa y como tal es ms susceptibles de ser utilizados con aplicaciones crticas.
Beneficios de UPS
Independientemente de qu tipo de UPS se emplea, cuando una repentina prdida de alimentacin de CA se produce, la batera en el SAI suministrar energa el tiempo suficiente para su personal para ahorrar y cisE archivos y desconectar adecuadamente a sus equipos. UPS de proteccin garantiza que los equipos no se daen y que los datos valiosos y los ajustes personalizados se conservarn. Sistema de UPS Muchos tienen alarmas sonoras que alertan a los usuarios los cambios en el entorno operativo y condiciones de la batera. Adems, algunos sistemas UPS ofrecen apagado automtico seguro de muchos sistemas operativos en el caso de un poder a prueba de Ure se produce mientras el ordenador o el servidor est sin vigilancia, por ejemplo en la noche o los fines de semana.
Compra de un UPS
Antes de comprar un SAI, primero debe decidir sobre el nivel de proteccin requerido para satisfacer las necesidades especficas de su organizacin. Una UPS debe ser capaz de suministrar energa a la computadora el tiempo suficiente para faciTate un cierre suave y ordenada, evitando as la corrupcin de archivos normal y otros problemas asociados con una sbita interrupcin en el servicio. En general, un UPS proveer de energa durante al menos 10 a 20 minutos para permitir a los usuarios el tiempo suficiente para salvar a su trabajo y el plazoNate programas en ejecucin. Dado que la mayora de los problemas de alimentacin en ltimo lugar slo por un tiempo, la proteccin de UPScin debe eliminar las fuentesNate prdida del servicio para la mayora de los problemas elctricos se encuentran en la mayora de los entornos de oficina. El tamao de las UPS que usted necesita depende de la cantidad de energa que consume el equipo. Si usted tiene una computadora de escritorio estndar con slo uno de cadaFunidad de disco duro ernal, una pequea UPS (como el APC Back-UPS populares 300) debera ser suficiente. Para que un ordenador o un servidor con varios discos duros o perifricos numerosos, un SAI ms grandes se requiere. Para obtener ms informacin sobre el rendimiento y tamao de UPS, visite la American Power Conversin Corporacin UPS Selector de sitio Web en www.apee.com / modelo / tamao / apc para ms detalles.
Copia de seguridad de datos es algo que todo el mundo tiene que hacer, pero muchos de nosotros nos olvidis de hacer con regularidad. Cuando deshuelgas aster, una copia de seguridad puede ser la nica esperanza de recuperar algunos datos originales. Varios antivirus y de seguridad de Internet la produccins de forma automtica una copia de seguridad de datos crticos, e incluso el lugar que los datos sobre proteccin reas de disco duro del usuario. Sin embargo, algunos hackers son tan sofisticados que incluso los mejores medidas de seguridad puede no ser suficiente para frustrar un ataque. Cuando un hacker experto tiene xito en destruir los datos, bien planificadas regularmente copias de seguridad puede ahorrar una gran cantidad de tiempo, dinero y molestias. Los datos crticos debe estar respaldada con ms frecuencia, tal vez al da o incluso ms a menudo para los datos de vital importancia. Datos que no se pueden respaldar con menos frecuencia, una copia de seguridad semanal o mensual sera suficiente si la mayor parte de los datos no cambian con frecuencia.
Los tres tipos de respaldos comnmente utilizados son los siguientes: Normal: Copias de seguridad normales copiar todos los archivos seleccionados y, a continuacin marcar todos los archivos como una copia de seguridad. La ventaja de este tipo de copia de seguridad es que le permite recuperar rpidamente los archivos con una cantidad mnima de prdida de datos porque todos los archivos actuales se encuentran en la copia de seguridad. El inconveniente a este tipo de copia de seguridad es que es muy lento. Diferencial: Copias de seguridad diferenciales copiar slo los archivos que han sido aadidos o modificados desde la ltima copia de seguridad diferencial se llev a cabo pero no marcar los archivos como una copia de seguridad. Restauracin de archivos slo se requiere que se comience con la ltima copia de seguridad completa, a continuacin, pasar directamente a la copia de seguridad diferencial. La ventaja de este tipo de copia de seguridad es que es ms rpido, mientras que la desventaja es que requiere ms tiempo restauracin archivo porque los archivos no estn en una pieza continua. Incremental: Muy similar a las copias de seguridad diferenciales, copias de seguridad incrementales copiar slo los archivos que se han agregado o cambiado desde la ltima copia de seguridad completa o incremental. A la inversa, a diferencia de los respaldos diferenciales, que hacer marcar los archivos como una copia de seguridad. Para restaurar los archivos slo se necesita para comenzar con la ltima copia de seguridad completa, a continuacin, realizar los incrementos en su orden respectivo. La ventaja de este tipo de copia de seguridad es que consume la menor cantidad de tiempo y espacio.
copia de seguridad proporcionan para que este proceso se lleva a cabo automticamente. El uso de la automatizacin asegura que la realizacin de copias de seguridad regulares no se desanime o se olvidan. Para los usuarios de Unix o Linux, muchos programas gratuitos con esta funcin automtica estn disponibles en www.storagemountain.com.Para usuarios de Macintosh, el software de copia de seguridad de software gratuito se puede encontrar en www.versiontracker.com.Los usuarios de Windows, en su mayor parte, tienen que buscar ms ya que el software de copia de seguridad se suministra con el sistema operativo Windows. Mientras que la incorporada en el programa de copia de seguridad de Windows puede carecer de algunas de las caractersticas avanzadas de produccin ms sofisticados de terceros copia de seguridads, su funcionalidad es suficiente para que sea muy til para individuosais de las organizaciones.
Los programas de copia de seguridad proporcionados por versiones posteriores de Windowscomo el 2000 y XP - que dramticamente mejorado en versiones anteriores. En Windows XP, por ejemplo, la copia de seguridad integrada en suavesoftware se encuentra en la carpeta Herramientas del sistema en Accesorios, en los hombres comienzan a. Para otras versiones de Windows, los usuarios deben revisar sus manuales para la ubicacin exacta de la copia de seguridad programa. Una vez activado, el Backup and Restore Wizard consultas del usuario en cuanto a si una copia de seguridad o restauracin de los datos que se desea (ver Figura 91). La siguiente pantalla le pide a los usuarios seleccionar qu archivos en su ordenador que desea hacer copia de seguridad (vea la Figura 9-2). Hay varias opciones aqu. Sin embargo, si los usuarios seleccionar la ltima opcin, "Elegir lo que deseo hacer copia de seguridad", que luego se cuenta con una pantalla que les obliga a seleccionar los archivos que desea respaldar (ver Figura 9-3). Despus de seleccionar-cin de los archivos correspondientes, los usuarios se le solicitar que elija un destino para sus datos de copia de seguridad (vea la Figura 9-4).
En esta ilustracin, el destinatario de los datos de copia de seguridad es una unidad Iomega
Figura 9-2: Especificacin de lo que usted desea una copia de seguridad utilizando el Asistente para copia de
Zip. Las copias de seguridad se puede escribir en otros tipos de medios, as, como una unidad de cinta o un disco de CD-I.
190
Figura 9-3: Copia de seguridad de las combinaciones en la copia de seguridad y el Asistente de restauracin
Figura 9-4: Elegir el destino para guardar la copia de seguridad en la copia de seguridad y restauracin de Asistente para Windows XP Pro
Determinar si la accin legal se justifica o posible Vuelva a evaluar o modificar la seguridad global de la red informtica Despus de un incidente ha sido resuelto, un autopsia debe llevarse a cabo de manera que la organiza-cin puede aprender de la experiencia y, si es necesario, actualizar sus procedimientos. Los siguientes tipos de Informacin sobre el incidente deben ser examinados: Cmo comenz el incidente Qu vulnerabilidades o fallas fueron explotados Cmo se acceda Cmo la organizacin se dio cuenta del incidente Cmo el incidente se resolvi finalmente Ya sea que los actuales procedimientos de respuesta a incidentes eran adecuados o exigen la actualizacin Como resultado de un anlisis post-incidente, el personal de seguridad informtica puede ser necesario para emitir alertas o avisos a todos los empleados de la organizacin acerca de las acciones a tomar para reducir las vulnerabilidades que fueron explotadas durante el incidente. La organizacin tambin puede ser necesario actualizar los manuales de operaciones de la computadora para reflejar los nuevos procedimientos. Adems, el personal de seguridad informtica debe utilizar un anlisis post-incidente para determinar su impacto en la organizacin en el manejo y la resolucin del incidente.
Internet global pobla-cin en ms de 500 millones de dlares. Ya que cualquiera con una conexin a Internet tiene el potencial para ser un hacker o cracker, el ciberespacio puede ser un lugar peligroso. Los hackers tienen ahora ms herramientas disponibles que nunca antes. Con el nmero de denuncias de ataques aumenta da a da, la necesidad de Anticlos ataques de pat de futuros nunca ha sido ms crtico. Afortunadamente, no todos los ataques informticos tienen xito. De hecho, muchos intentos de hacking son por formado simplemente para "adquirir" informacin acerca de un sistema informtico - que seuna de las debilidades o vulnerabilidades o en preparacin para un ataque futuro. El empleo de las herramientas del oficio o mediante el uso
192
la ingeniera social, los hackers pueden instalar puertas traseras o adivinar contraseas para obtener subrepticiamente Yolegal entrada en un sistema conectado a Internet. En casos extremos, los ataques han causado los sistemas y redes de todo a la cada, neg de servicios informticos de fiarlos usuarios de pareja, o como resultado del robo de grandes sumas de dinero. La prensa lo siguiente relasa del Departamento de Justicia de EE.UU. muestra lo fcil que es para los piratas informticos ubicados al otro lado del mundo para acceder y defraudar, en este caso, en lnea los sistemas de intercambio monetario.
04 de octubre 2002 EE.UU. Departamento de Justicia El Fiscal Federal del Distrito Oeste de Washington Hacker RUSO SENTENCIADO A TRES AOS DE PRISIN John McKay, fiscal federal para el Distrito Oeste de Washington, y Charles E. Mandigo, Agente Especial a Cargo, Seattle Divisin, la Oficina Federal de Investigacin, ha anunciado hoy que el jefe Juez Federal de Distrito John C. Coughenour ha condenado Vasiliy Gorshkov, de 27 aos, de Chelyabinsk, Rusia, para servir a 36 meses de prisin por sus convicciones en el juicio el ao pasado en 20 cargos de conspiracin, diversos delitos informticos y fraudes cometidos contra la red de Speakeasy de Seattle, Washington; Nara Bank de Los Angeles, California; central del Banco Nacional de Waco, Texas, y la lnea de crdito de tarjetas de pago PayPal, la empresa de Palo Alto, California. Gorshkov Tambin se le orden pagar una indemnizacin de casi 700.000 dlares por las prdidas que caus en Speakeasy y PayPal. Segn las pruebas presentadas en el juicio y otros registros de la corte: Gorshkov fue uno de los dos hombres de Chelyabinsk, Rusia, que se convenci de viajar a la De los Estados Unidos como parte de una operacin encubierta del FBI. La operacin ars de una investigacin del FBI en todo el pas intrusiones en computadoras rusas que fueron dirigidas a los proveedores de servicios de Internet, sitios de comercio electrnico, y los bancos en lnea en los Estados Unidos. Los piratas informticos utilizan el acceso no autorizado a los ordenadores de las vctimas para robar informacin de tarjetas de crdito y otra informacin financiera personal, y luego, a menudo tratado de extorsionar a las vctimas con la amenaza de exponer los datos sensibles a los pblicos-pub o dao de las vctimas computadoras . Los hackers tambin defraud a PayPal a travs de un esquema en el que tarjetas de crdito robadas fueron utilizados para generacintasa de efectivo y el pago de partes computacionales adquiridos a los proveedores en los Estados Unidos. El FBFoperacin encubierta s se estableci para atraer a las personas responsables de estos crmenes para llegar a territorio de los EE.UU.. Como parte de la operacin, el FBI cre una empresa de informtica puesta en marcha de seguridad llamado "Invita" en Seattle, Washington. Hacindose pasar por personal de Invita, el FBI se comunic con Gorshkov y el otro hombre, Alexey Ivanov, por e-mail y telfono durante el verano y el otoo de 2000. Los hombres estuvieron de acuerdo en una reunin cara a cara, en Seattle. Como paso previo a su viaje a los Estados Unidos, el FBI organiz una red de ordenadores para los dos hombres para introducirse en y demnstrate sus habilidades de hacker. Los hombres irrumpieron en el xito de la red de prueba. Gorshkov e Ivanov lleg a Seattle, Washington, el 10 de noviembre de 2000, y fue una reunin a cabo en la oficina de invitacin. Sin saberlo, los hombres rusos, los participantes en la reunin fueron los agentes encubiertos del FBI y de la reunin fue grabada en audio y video. Durante la reunin, Gorshkov discute su destreza en la piratera y asumi la responsabilidad de varios incidentes de
piratera y actividades. Gorshkov rest importancia a cualquier preocupacin por el FBI, explicando que el FBI no poda conseguir en Rusia. Cuando se le pregunt acerca de su acceso a las tarjetas de crdito, Gorshkov se neg a hablar de ello mientras se encontraban en los Estados Unidos y agreg que "este tipo de preguntas es ms discutido en Rusia". En la conclusin de la reunin Invita secreto, los dos hombres fueron arrestados. Ivanov fue transportado al Distrito de Connecticut para enfrentar cargos por un equipo intrusin en la lnea
Cualquier nmero de defectos o debilidades de los sistemas informticos pueden dejar vulnerables a los ataques. Recuerde, ellos son los ms vulnerables en las siguientes situaciones: Los usuarios sin experiencia o sin entrenamiento vi por accidentefinales de buenas prcticas de seguridad de involun-tently a conocer sus contraseas. Las contraseas dbiles son elegidos que pueden ser fcil de adivinar. Una debilidad identificada sistema o red de seguridad va sin corregir. Intencionalmente diseados amenazas maliciosas instalar programas de software que ponen en peligro o sistemas de informacin y daos.
Los atacantes utilizan una variedad de diferentes mtodos para explotar esta vulnerabilidad de computadoras. Aqu son algunos ejemplos: Craqueo de contraseas. Una tcnica en la que los atacantes tratan de adivinar o robar contraseas obtener acceso a los sistemas informticos
194
Sendmail. Un tipo comn de ataque en el que el atacante instala cdigo malicioso en un mensaje de correo electrnico que agrega una contrasea en el archivo de contraseas del sistema, con lo que dando a los privilegios atacante totales del sistema La deteccin de paquetes. Una tcnica en la que los atacantes insertar subrepticiamente un programa de software que captura contraseas e identificaciones de usuario Una vez que el acceso se ha ganado, los hackers utilizan el sistema informtico como si fuesen de fiarsu compaero, los usuarios autorizados. El empleo de una variedad de tcnicas, los hackers a menudo intentan cubrir sus huellas para evitar la deteccin y robar informacin, tanto de los sistemas comprometidos, as como la sistemas conectados a ellos.
Cmo examinar los ataques anteriores pueden ayudar a la respuesta de incidentes forma de futuro y negocio la continuidad de la planificacin Por qu la anticipacin y la planificacin de las interrupciones imprevistas de las operaciones de negocios ayuda a las organizaciones mantenerse competitivos en el actual clima empresarial
Captulo 10
En respuesta a los ataques de hackers o una galleta Respondiendo a los ataques de cdigos maliciosos Manejo de uso inadecuado El reconocimiento y la gestin de incidentes relacionados con el acoso sexual Entender el espionaje industrial La defensa contra los ataques internos PREPARACIN PARA MANEJAR UN INCIDENTE DE SEGURIDAD INFORMTICA SE HA CONVERTIDO EN UNA PRIORIDAD para muchos administradores de sistemas informticos. Con los ataques de virus y las historias de piratas que abundan, organiza-ciones son cada vez ms diligente en la proteccin de sus activos de informacin que nunca antes. Como las organizaciones a aumentar su presencia en Internet y la dependencia de los activos de tecnologa de la informacin, el nmero de incidentes informticos se elevar. Despus de un incidente que ocurre es, por supuesto, demasiado tarde para comenzar a planear la forma de abordar la situacin. Un incidente de seguridad informtica puede ocurrir a cualquier hora del da o de noche, aunque la mayora de los hackers / cracker se produzcan incidentes durante horas libres, cuando los piratas informticos no esperan que los administradores del sistema a cuidar su rebao. En contraste, los incidentes de gusano y virus puede ocurrir en cualquier momento del da. Por lo tanto, las consideraciones de tiempo y distancia en respuesta a los incidentes son muy importantes. Este captulo se centra en varios tipos de equipo comn de seguincidentes Pblica y de los procedimientos bsicos para contener y MITpuerta de su dao.
Yoactividad legal, como el acceso no autorizado a informacin sensible o tal vez descifrado de contraseas. Ya sea que se origNate desde el interior o exterior, todos los incidentes de hackers necesitan ser tratados como verdaderas amenazas a los sistemas informticos de la organizacin.
195
Incidentes de piratera se puede dividir en tres categoras generales: Esos intentos que implican para acceder a un sistema de Las sesiones activas, o en vivo, en un sistema Eventos descubierto despus de que el hecho de De los tres, una sesin de hackers activo es la ms grave y deben ser tratados tan pronto como sea posible. Hay dos mtodos bsicos para el manejo de un incidente de hacking activo. El primer mtodo consiste en bloquear rpidamente el pirata fuera del sistema. Para ello, primero debe identificar el punto del hacker de la entrada en el sistema. Estos son algunos puntos de entrada comunes que los hackers buscan cuando se trata de obtener una forma en: De acceso al puerto. Es comn que las aplicaciones de Internet que se configura para escuchar en un puerto predecesor y una multa para las conexiones entrantes. Los piratas informticos utilizan habitualmente analizadores de puertos abiertos en busca de puertos TCP / IP como un posible medio para poder entrar. Ellos pueden usar estos puertos abiertos para conectarse a su sistema y acceder a sus datos. Los puertos ms que estn abiertas en un sistema, mayor ser la probabilidad de intrusin. Acceso a Internet. Los piratas informticos suelen escribir scripts simples que al azar generacinde velocidad y mesa de ping grandes grupos de direcciones IP, en busca de ordenadores o servidores que responden. La respuesta se llama un reconocimiento de ping y es una caracterstica estndar de la utilidad ping popular. Una vez que una direccin IP responde, el atacante tratar de obtener acceso al servidor a travs de un protocolo comn que se llama Telnet Telnet es el principal protocolo de Internet para crear una conexin con una mquina remota. Le da al usuario la oportunidad de estar en un sistema informtico y hacer un trabajo en otro, que puede ser a travs de la calle o miles de kilmetros de distancia. Cuando los usuarios iniciar sesin en un servidor Telnet, por lo general, escriba una cuenta ombre y contrasea. Los piratas informticos pueden acceder sesiones TELNET y posiblemente configurar el programa TELNET para grabar nombre de usuario y combinaciones de contraseas. Caballo de Troya. Los troyanos son un poco diferente de virunses. Estn transmite de la misma manera como los virus, pero no REPLCate o ellos se hacen evidentes. En su lugar, se sientan en silencio en su sistema informtico conectado a Internet y la generacin detasas de los puertos abiertos. Los hackers de arrastre para los equipos que han sido infectados por troyanos y luego usarlos para acceder a esos sistemas. BackOrifice y NetBus son ejemplos de bienconoce los caballos de Troya. El segundo mtodo consiste en permitir al hacker continuasu ataque, mientras que se intenta recoger la informacin potencial que podra conducir a la identificacin y la posible condena penal de los piratas cibernticos. Un mtodo para identificar la fuente de un ataque (s) est examinando cuidadosamente los archivos de registro del sistema y las conexiones de red activas.
Asegrese de hacer copias de toda la informacin de auditora. Captura de proceso del sistema y la informacin de estado en septiembre unarchivo ndice, y luego guardar ese archivo en un lugar seguro. Programas como Process Explorer, por Mark Russinovich (www.sysinternals.com), son exce-prestado para esta tarea.
197
Identificar el Hacker
Una vez que la fuente de los ataques ha sido identificado, el siguiente paso es tratar de obtener la iden-tidad del hacker o cracker. En su boletn de mayo 2001 "Seguimiento de un hacker" Daniel A. Morris, Asistente Fiscal de los Estados Unidos Informtica y Coordinador de Telecomunicaciones para la Distrito de Nebraska declara lo siguiente:
Pistas sobre la identidad de un hacker a menudo existen en el ciberespacio y en el mundo real si el investigador sabe dnde buscar. Los sistemas informticos de inters para los hackers suelen realizar un seguimiento de todos los intentos de acceso autorizados y no autorizados. Records, llamado registros informticos, proporcionar pistas tiles y crtica a menudo que un agente entrenado o un especialista en informtica puede utilizar como punto de partida para trazar la ruta seguida de un ordenador a travs de la web en todo el mundo, para descubrir el ordenador uno de los millones en el mundo del que uno intrusin se llev a cabo. Todos los ordenadores a travs de Internet se les asigna una diferente numrica Protocolo de Internet (IP) mientras que las direcciones en lnea, similar a pas, ciudad, calle y nmero de viviendas. A menos que el hacker cambia los registros de la vctima una vez que l o ella gana el acceso no autorizado, los registros de la vctima debe hacer una lista precisa la direccin del equipo desde el que se tuvo acceso no autorizado. Esa direccin puede no ser propio ordenador del hacker, sino que otro equipo que el hacker ha secuestrado o una cuenta que posee en el ordenador de un tercero, como se explica en ms detalle a continuacin. Herramientas de bsqueda estn disponibles en lnea para identificar al propietario de la red a travs del cual se puso en marcha un ataque. Para ver cmo funciona esto, consulte www.arin.net , operado por el Registro Americano de Internet Nmeros. Obstculos para la identificacin del Hacker Debido a la composicin de la Internet, a veces es difcil para la polica para descubrir la identidad de un hacker. 1. Un hacker podra ocultar o "parodia de su Protocolo de Internet (IP), o de forma intencionada podra subir sus comunicaciones a travs de muchos Intermedcomi ordenadores dispersos por todo el mundo antes de llegar a un equipo de destino. Entonces, el investigador debe identificar todos los puntos intermedios para encontrar la ubicacin de los hackers, pero por lo general slo se puede trazar el hacker de nuevo un punto de rebote a la vez. Citaciones y rdenes judiciales a cada punto de rebote puede ser nece-sario para identificar al hacker. 2. Algunas de las vctimas no mantiene los logs o no descubrir las actividades de un hacker hasta que es demasiado tarde para obtener los registros de proveedores del hacker de servicios de Internet (ISP). Una vctima que no tiene constancia de la direccin IP del ordenador desde el que se obtuvo acceso no autorizado, los lmites de los agentes del orden a las tcnicas tradicionales de investigacin, que por s solo puede ser inadecuada para identificar al hacker. 3. Algunos ISP no llevan registros o no mantenerlos el tiempo suficiente para ser de ayuda para los agentes del orden. Cuando el investigador determina la identidad de un ISP de los registros que sern necesarios, el fiscal debe enviar una carta de retencin en virtud de 18 USC 2703 (f) que requiere el ISP para preservar los registros, mientras que una orden
judicial u otro proceso se est obteniendo. 4. Algunos piratas informticos alterar los registros al obtener acceso no autorizado, el cual oculta la evidencia de sus crmenes.
198
5. Algunos lleva ir a travs de pases extranjeros, no todos los que consideran un delito la piratera. Tratados, convenios y acuerdos estn en su lugar con algunos pases, y hay "24/7" contactos en decenas de pases alrededor del mundo que pueden ser contactados para obtener ayuda. Cuando un puntos de ventaja a un pas extranjero, el investigador debe ponerse en contacto con un CTC o CCIPS abogado en www.cybercrime.gov . Algunos de los investigadores la informacin que necesitan para seguir un hacker podra estar disponible para el pblico en general en Internet. No hay restricciones especiales para el acceso de un investigador y el uso de la informacin - de la misma manera que la informacin disponible en una biblioteca pblica puede ser utilizado por los investigadores sin una autorizacin especial. Motores de bsqueda comunes, tales como www.dogpile.com ,www.lycos.com ,www.excite.com,www.google.com ,o www.netscape.com se puede utilizar para encontrar informacin sobre un nombre de usuario o nick de la persona o grupo que solicita crdito por un equipo intrusin.
de datos o que el hacker / cracker puede haber modificado. Instale los parches o correcciones a la cisE cualquier vulnerabilidad de seguridad que el hacker / cracker podra haber explotado. Adems, instalar los parches para las vulnerabilidades de otros de los que el hacker no se han aprovechado, e informar a las personas apropiadas. Todas las medidas adoptadas para restaurar el sistema a un estado normal debe ser docuimplementadas en el libro de registro de este incidente.
199
Notificar a las autoridades. Una vez que el incidente ha sido contenido y el hacker retirado del sistema, el siguiente paso es ponerse en contacto con las autoridades competentes. Varias agencias (vase el cuadro 10-1) pueden ser llamados una vez que ha ocurrido un incidente y se ha detectado. Seguimiento. Despus de terminada la investigacin, un informe que describe el incidente debe ser escrito y distribuido a todo el personal de respuesta a incidentes y seguridad. Debe incluir todas las acciones que fueron tomadas por la organizacin en respuesta al incidente.
Tabla 10-1 contra los delitos informticos Informacin de Contacto (EE.UU. Departamento de Justicia) Tipo de delito
El robo de secretos comerciales
Contrasea trfico
Apropiados federales de investigacin los organismos de aplicacin de la ley Oficina local del FBI NIPC
P r e s e n t a c i n d
nipc.watch @ fbi.gov
Servicio Secreto de EE.UU. oficina local de Oficina local del FBI NIPC Presentacin de informes en lnea: www.nipc.gov Tel: 202-323-3205 Telfono gratuito: 888-585-9078 Email: nipc.watch @ fbi.gov Servicio Secreto de EE.UU. oficina local de Oficina local del FBI
Si importados, Servicio de Aduanas de EE.UU. Oficina local Telfono gratuito: 800-232-2538 o 800-BE-ALERT Oficina local del FBI Seguido
Tabla 10-1 contra los delitos informticos Informacin de Contacto (EE.UU. Departamento de Justicia)
(Continuacin)
Tipo de delito
Apropiados federales de investigacin los organismos de aplicacin de la ley Oficina local del FBI Si importados, Servicio de Aduanas de EE.UU.
Oficina local Telfono gratuito: 800-232-2538 o 800-BE-ALERT
Marcas de la falsificacin
La falsificacin de moneda
Oficina local del FBI Si importados, Servicio de Aduanas de EE.UU. Oficina local Telfono gratuito: 800-232-2538 o 800-BE-ALERT
ContinuedChild la explotacin y los asuntos de fraude en Internet que tienen un nexo de correo Fraude en Internet
El Centro de Quejas de Fraude en Internet Oficina local del FBI Servicio Secreto de EE.UU. oficina local de Comisin Federal de Comercio Si el fraude de valores, Securities and Exchange Commission
Oficina local del FBI Oficina local del FBI La oficina local de ATF
debe ser manejado de forma individual. Una vez que la Decisin se ha hecho para dejar de vigilar las actividades de un hacker y en lugar de tener el hacker retirado del sistema (s), el procedimiento mencionadodes decir,res para la eliminacin de los hackers deben ser seguidas.
201
Incidentes anteriores
De vez en cuando, hay casos en que se descubra un incidente de seguridad despus de los hechos. Cuando esto sucede, no siempre hay una gran cantidad de pruebas disponibles para determinar que se infiltr en el sistema o la forma en que obtuvieron acceso al sistema. Cuando un empleado descubre que alguien cort con xito en el sistema informtico de la organizacin, l o ella debe notificar a equipo de respuesta a incidentes personal dentro de un da laborable.
Seguimiento
Despus de terminada la investigacin, un informe sobre el incidente y las acciones que se tomen deben ser por escrito y distribuido a todo el personal de seguridad informtica en su organizacin.
Caballos de Troya
Mientras que son ms sofisticados que un virus informtico sencillo, caballos de Troya son programas destructivos que se hacen pasar por aplicaciones inofensivas. A diferencia de los virus, caballos de Troya no se auto-replican, sin embargo, pueden ser igual de sosa custica. Uno de los tipos ms insidiosos de Troyano es un programa que pretende eliminar de tu ordenador de virus, sino que introduce,virus en su ordenador.
202
los hace poderosos y de rpida propagacin, y destructiva. Un gusano es similar a un virus en muchos aspectos, excepto que es un programa autnomo que es capaz de propagarse rpidamente copias funcionales de s mismo-o sus segmentos, a otros sistemas informticos a travs de redes sin depender de otros programas para organizar su cdigo . VirunSES, por otro lado, necesitan tpicamente se adhieren a organizar programas con el fin de propagacin.
INOCtarde el Sistema
Una vez que el cdigo malicioso se ha contenido, el siguiente paso es utilizar hasta a un software antivirus actualizado para eliminar el resto del cdigo del virus. Adems, debe actualizar y parchear los sistemas operativos y aplicaciones contra los ataques ms. Antes de la aplicacin de las correcciones, puede ser necesario para evaluar el nivel de dao en el sistema. Si el cdigo del virus o un gusano que ha sido rpidamente detenido, entonces la tarea de evaluar el dao no es especialmente difcil. Sin embargo, si el cdigo malicioso fue exitosa y ha causado un dao significativo, entonces puede ser mejor para restaurar el sistema a partir de cintas de copia de seguridad. Una vez que el sistema se pone de nuevo en un modo seguro, entonces todos los parches o correcciones deben ser implementado y probado.
los recursos deben ser utilizados de una manera tica y responsable. Utilizacin de los recursos de tecnologa de informacin puede ser categorizada como tolerable aceptable o prohibido: El uso aceptable de los recursos de tecnologa de la informacin es el uso legal conforme con el aceptables las polticas de organizacin del uso de computadoras. Uso tolerable es el uso legal para otros fines, que no influyen en la organizacin de poltica de uso aceptable. Prohibida la utilizacin es Youso legal y cualquier otro uso que no es ni aceptable o tolerable. Las siguientes directrices estn destinadas a ayudar a las organizaciones a entender y responder a las diversas Leveis del uso de ordenadores inapropiado. Molestias. Estos delitos en general, muestran una falta de consideracin de otros usuarios de computadoras, pero no pongan en peligro la integridad de la privacidad o la computadora o vifines de cualquier tica principyoES. En otras palabras, el individuo simplemente mostr poco juicio. La organizacin debe responder mediante la emisin de al usuario una verbal, correo electrnico, o en papel advertencia de que sus acciones no eran aceptables. tica cuestionable. Estos delitos suelen implicar violacines donde la tica de las acciones estn en cuestin o cuando la integridad de una persona o un ordenador privacidad fue violada. La orgazacin poda responder suspendiendo el acceso de cuenta del usuario o la computadora hasta una reunin formal con un miembro del personal de Tecnologa de la Informacin ha sido atendida. Una copia de la poltica de la organizacin de acceso a Internet deben ser entregadas al usuario con la espe-especfico razn u ofensa destac. Penal. Esto es cuando un usuario comete un delito que requiere una investigacin por la ley local, estatal, o la aplicacin de la ley federal. Cualquier usuario de la comisin de un delito debe renunciar a todo derecho a privilegios de las computadoras de la organizacin. Cualquier y toda informacin solicitada por leyes locales, estatales, o aplicacin de la ley federal debe ser proporcionada. Si el usuario es encontrado culpable del delito (s) objeto de la investigacin, su empleo con su organizacin debe ser terminado.
Tipos de acoso
Los tribunales de EE.UU. definen dos categoras de acoso sexual, acoso quid pro quo sexual y el acoso sexual, ambiente hostil. Quid pro quo se produce cuando la vctima sufre consecuencias concretas, fsicas o econmicas, por ejemplo, un empleado que es despedido, degradado o en su defecto recibir una promocin para rechazar el acoso sexual. El segundo tipo, el acoso sexual, ambiente hostil, se produce cuando se han producido avances no deseados que han sido lo suficientemente "grave o frecuente" con el fin de modificar los trminos y condiciones de
204
El acoso sexual es una atencin no deseada de naturaleza sexual por una persona o personas que conocen cada vez ms-o debera haber sabido razonablemente que la atencin no es bienvenido en el receptor o recip ients. El acoso sexual incluye avances inoportunos, solicitud de favores sexuales, o cualquier otra conducta no deseada de naturaleza sexual (incluidos los que a travs del correo electrnico, mensajera instantnea, y as sucesivamente). Estas acciones pueden estar en la forma de: Repetidos coqueteos ofensivos sexuales, avances o proposiciones Comentarios de naturaleza sexual sobre el cuerpo de un individuo Uninvited contacto fsico como tocar, abrazar, acariciar o pellizcar Sugerente el comportamiento Prolongada o mirando mirando de reojo a una persona Chistes de contenido sexual delante de la gente que encuentran ofensivos Ofensiva de telfono calyola ofensiva de mensajes de correo electrnico Visualizacin de objetos sexualmente sugestivos o imgenes Material de lectura ofensiva La mayora de la gente piensa que el acoso sexual consiste en las relaciones interpersonales en el lugar de trabajo. Sin embargo, el acoso sexual tambin abarca los usos de la tecnologa electrnica, incluyendo la correspondencia por e-mail. Correo Electrnico uso de contingenciaes para crecer y expandirse. E-mail de mensajes es particularmente prevalente en el lugar de trabajo, donde la mayora de los empresarios ms importantes tienen sistemas de correo electrnico. Esta persistencia del uso de mensajes de correo electrnico, junto con la percepcin de que el correo electrnico es temporal, confi dencial, e informal, los resultados en algunas impactantes y sorprendentes mensajes de correo electrnico que se enva en el lugar de trabajo. Lo mismo es cierto para la mensajera instantnea. La mensajera instantnea es un tipo de comunica-ciones de servicio que permite a un usuario llevar a cabo un prVate chatear con otra persona. Normalmente, el sistema de mensajera instantnea avisa al usuario cada vez que alguien en la lista de contactos del usuario est en lnea. Un usuario puede iniciar una sesin de chat con esa persona en particular. Este tipo de comunicacin busca constantemente la intranet de Internet o empresa en busca de personas en la lista de contactos. El rpido crecimiento de la mensajera instantnea est provocando un crecimiento igualmente rpido en el riesgo de cualquier tipo de negocio con los empleados que lo utilizan. La mensajera instantnea, o IM, es otra manera para que los empleados se meten en problemas mediante la publicacin de mensajes ofensivos o inapropiados o incluso como un medio para acosar sexualmente otro individuo. En 1998, los EE.UU. Corte Suprema aument la responsabilidad de los empleadores frente a los
incidentes involv-cin de acoso sexual. Dos hitos de 1998, las decisiones de la Corte Suprema (que involucra el uso de mensajes de correo electrnico) abord la cuestin de la responsabilidad del empleador cuando uno o ms super-Sors conductoress de l o ella fuera del alcance de la autoridad de los empleados y crea un ambiente de trabajo sexualmente hostil de otro empleado. En estas dos decisiones, la Corte Suprema clar-cado que "El empleador est sujeto a la responsabilidad civil subsidiaria a un empleado vctima de un ambiente hostil creado accionable por un supervisor inmediato (o sucesivamente alta) la autoridad sobre el empleado. Cuando ninguna accin tangible de empleo que se adopte, un empleador puede plantear la defensa de una defensa afirmativa a responsabilidad civil o daos, salvo prueba por la preponderancia de la
205
pruebas. Sin defensa afirmativa est disponible, sin embargo, cuando el acoso del supervisor culmina en una accin laboral tangible, como la descarga, la degradacin, o indeseables reasignacin. " El tribunal tambin dio a los empleadores un incentivo para aplicar las directrices recin sexuales claros y efectivos de acoso, sosteniendo que "si bien la prueba de que un empleador ha promulgado una poltica de lucha contra el acoso con el procedimiento de queja no es necesario en todos los casos como una cuestin de derecho, la necesidad de una poltica declarada de acuerdo a las circunstancias de empleo adecuada, puede dirigirse en cualquier caso, cuando la tramitacin del primer elemento de la defensa. Y si bien la prueba de que un empleado no cumpli con la obligacin correspondiente de un cuidado razonable para evitar el dao no se limita a mostrar los fallos razonable utilizar cualquier procedimiento de queja previsto por el empleador, una demostracin de esa falta normalmente ser suficiente para satisfacer la carga del empleador bajo el segundo elemento de la defensa ". En esencia, la Corte Suprema de Justicia declar que la empleador es responsable de las acciones del empleado, incluso cuando el empleador no tiene conocimiento de que el empleado no apropiado y / o Yocomportamiento legal. Un empleador no puede alegar que no saban sobre el acoso sexual porque la vctima no les inform, o puede que dicen que no tenan conocimiento de la conducta del perpetrador por el. Obviamente, su organizacin por lo tanto, debe tomar todas las medidas posibles, utilizando los recursos disponibles, hardware, software, personal, y as sucesivamente - para asegurar que los empleados permanecer en el cumplimiento de las polticas de la empresa.
sexuales denuncias de acoso. Estas pueden incluir: La capacidad de ponerse en contacto con su supervisor Una lnea telefnica especial La capacidad de ponerse en contacto con el departamento de recursos humanos
206
Adems, el empleado debe tener la opcin de hablar con un representante de la organizacin masculina o femenina. La organizacin debe asegurarse de que los supervisores y gerentes a entender sus responsabilidades en virtud de la poltica contra el acoso de la organizacin y procedimiento de denuncia. La formacin continua de los individuosais puede ayudar a lograr ese resultado. Esta formacin debe explicar los tipos de conducta que via finales del empleador de la poltica contra el acoso, la gravedad de la poltica, las responsabilidades de los supervisores y gerentes cuando se enteran de un presunto acoso, y la prohibicin de las represalias.
A fin de aclarar algunos de los elementos anteriores, la EEOC ofrece las siguientes explicaciones:
Prohibicin del acoso Poltica de un empleador debe dejar claro que no va a tolEl acoso por razn de sexo la tasa (con o sin conducta sexual), la raza, color, religin, origen nacional, edad, discapacidad, y la actividad protegida (Le., la oposicin a la discriminacin prohibida o la participacin en el proceso de reclamacin oficial). Esta prohibicin debe abarcar el acoso por cualquier persona en el lugar de trabajo - los supervisores, compaeros de trabajo, o no empleados. La administracin debe transmitir la gravedad de la prohibicin. Una forma de hacerlo es para la mndate a "venir desde arriba", es decir, desde la alta gerencia. La poltica debe alentar a los empleados a denunciar el acoso antes de que sea grave o perva SIVE. Mientras que los incidentes aislados de hostigamiento en general, no vila ley federal de finales, como un patrn de inci-estudiantes puede ser ilegal. Por lo tanto, para cumplir con su deber de cuidado preventivo, el empleador debe dejar claro a los empleados que va a detener el acoso antes de que se eleva al nivel de una violacin de la ley federal.
Proteccin contra las represalias Un empleador debe dejar claro que no va a toltasa de un trato desfavorable de los empleados, ya que denunciar el acoso o proporcionar informacin relacionada con esas denuncias. Una poltica contra el acoso y el procedimiento de queja no ser eficaz sin esa garanta.
207
La direccin debera emprender las medidas necesarias para asegurarse de que las represalias no se produce. Por ejemplo, cuando la administracin investiga una denuncia de acoso, el funcionario que las entrevistas a las partes y los testigos deben recordar a estos individuosais acerca de la prohibicin contra las represalias. La administracin tambin debe analizar las decisiones de empleo que afectan a la queja y los testigos durante y despus de la investigacin para asegurarse de que tales decisiones no se basan en motivos de represalia. Proceso de queja efectiva Procedimiento de un empleador denuncia de acoso debe ser diseado para alentar a las vctimas a presentarse. Para ello, se debe explicar claramente el proceso y asegurarse de que no hay obstculos no razonables a las quejas. Un procedimiento de denuncia no debe ser rgida, ya que podra derrotar a la meta de prevenir y corregir el acoso. Cuando un empleado se queja a la gerencia sobre el presunto acoso, el empleador est obligado a invertirpuerta de la acusacin, independientemente de si se ajusta a un formato determinado, o se haga por escrito. El procedimiento de queja debe proporcionar puntos de acceso de contacto para la denuncia inicial. Un proceso de queja no es eficaz si los empleados son siempre necesarias para quejarse primero de sus super-Sors sobre presunto acoso, ya que el supervisor puede ser un acosador. Por otra parte, un cuidado razonable para prevenir y corregir el acoso de un empleador requiere para instruir a todos los supervisores para reportar las quejas de acoso a los funcionarios pertinentes. Es aconsejable que un empleador desgnate al menos un funcionario fuera de la cadena de un empleado de la com-demanda para recibir las quejas de acoso. Por ejemplo, si el empleador tiene una oficina de recursos humanos, uno o ms funcionarios de esa oficina podra ser autorizado a tomar las denuncias. Permitir que un empleado para eludir su cadena de mando proporciona seguridad adicional de que la queja ser manejada de manera imparcial, ya que un empleado que denuncie acoso por parte de su supervisor puede sentir que los funcionarios dentro de la cadena de mando estarn ms dispuestos a creer que el supervisor versin de los acontecimientos. Tambin es importante para la lucha contra la poltica sobre el acoso de un empleador y el procedimiento de reclamacin que contenga informacin sobre los plazos para la presentacin de los cargos de acoso ilegal ante la EEOC o la Feria Estatal de las agencias de prcticas de empleo y para explicar que el plazo se extiende desde la ltima fecha de acoso ilegal , no desde la fecha que la queja de que el empleador se ha resuelto. Mientras que un proceso de denuncia del sistema debera hacer posible que un empleado para retrasar la hora de decidir si para presentar una denuncia hasta que la denuncia ante el empleador se ha resuelto, l o ella no est obligada a hacerlo. Confidencialidad Un empleador debe dejar claro a los empleados que va a proteger la confidencialidad de las denuncias de acoso a la medida de lo posible. Un empleador no puede garantizar la total confidencialidad, ya que no puede realizar una investigacin efectiva, sin revelar cierta informacin al presunto acosador y de los posibles testigos. Sin embargo, la informacin sobre la denuncia de acoso debe ser compartida solamente con aquellos que necesitan saber acerca de ella. Los registros relativos a las denuncias de acoso debe mantenerse confidencial, sobre la misma base. Un conflicto entre el deseo de un empleado de la confidencialidad y el deber del empleador de invertirla puerta puede surgir si un empleado informa al supervisor acerca de un supuesto acoso, pero le pide que l o ella para mantener el asunto confidencial y no tomar ninguna accin. La falta de accin por parte del supervisor en estas circunstancias podra dar lugar a la responsabilidad del empleador. Si bien puede parecer razonable para que el empleado para determinar si pur-demandar a una denuncia, el
empleador debe cumplir con su deber de prevenir y corregir el hostigamiento. Una meca-nismo para ayudar a evitar este tipo de conflictos sera que el empleador cuente con una lnea telefnica de informacin que los empleados pueden utilizar para discutir sus preocupaciones sobre el acoso de forma annima.
208
Proceso de investigacin eficaz Un empleador debe establecer un mecanismo para una investigacin inmediata, exhaustiva e imparcial sobre el presunto acoso. Tan pronto como se entera de la gestin de acoso sobre la presunta, se debe determinar si una detallada investigacin de los hechos es necesario. Por ejemplo, si el presunto acosador no niega la acusacin, no habra necesidad de interrogar a los testigos, y el empleador puede determinar de inmediato las medidas correctivas apropiadas. Si una investigacin de los hechos es necesario, debera ponerse en marcha inmediatamente. La cantidad de tiempo que se necesitar para completar la investigacin depender de las circunstancias particulares. Si, por ejemplo, mltiple individuosais fueron hostigados al parecer, a continuacin, se necesitar ms tiempo para entrevistar a las partes y los testigos. Puede ser necesario llevar a cabo Intermedcomi medidas antes de completar la investigacin para garantizar que el acoso no se produce una. Ejemplos de estas medidas estn haciendo cambios en la programacin con el fin de evitar el contacto entre las partes, la transferencia del presunto acosador, o colocando el presunto acosador no disciplinario licencia con goce de sueldo en espera de la conclusin de la investigacin. El autor no debe ser transferido involuntariamente o no cargados, ya que estas medidas podran constituir una represalia ilegal. El empleador debera garantizar que la persona que realiza la investigacin objetiva se reunirn y considerar los hechos relevantes. El presunto acosador no debe tener autoridad de supervisin sobre la persona que realiza la investigacin y no debe tener ningn tipo de control directo o indirecto sobre la investigacin. Quien realiza la investigacin debe estar bien entrenado en las habilidades que se requieren para entrevistar a los testigos y la evaluacin de la credibilidad.
Acceso a Internet o las polticas de uso aceptable (IAP / AUP) son cada vez ms comn. Un IAP / PUA describe lo que se considera el uso de Internet apropiado e inapropiado en el lugar de trabajo. Ellos suelen decir que los empleados no pueden enviar o recibir correo electrnico personal de mensajes a travs de sus direcciones en el trabajo. Adems, pueden limitar la navegacin personal a la hora de la comida de un trabajador o se rompe. Tenga en cuenta que hay dos tipos de actividad en lnea, acceso a Internet y el uso de la mensajera de correo electrnico. Asegrese de que sus empleados comprendan todos los parmetros de la IAP de su organizacin / PUA. Muchas empresas son cada vez ms restrictiva en cuanto al uso personal de mensajes de correo electrnico, porque ellos no quieren que la organizacin se asocia con la transmisin de cualquier material cuestionables.
Utilizar los Filtros
Un filtro de contenidos es un programa de software que admita o bloquea el acceso a contenidos de Internet, dependiendo de si o no el contenido cumple con un conjunto
predeterminado de criterios. Algunos filtros slo seuno para ciertas palabras clave prohibidas. Otros pueden permitir uso de la computadora slo durante determinados intervalos de tiempo o tal vez limitar la cantidad de tiempo total que pasan en lnea por los usuarios individuales.
209
Hay muchos productos disponibles que ofrecen Internet de contenfiltrado. Dos populares de filtrado de contenido de los programas son Net Nanny por BioNet Systems, LLC (www.netnanny.com)y CyberPatrol por el Surf Patrol pes decir, (www.cyberpatrol.com). Cada uno ofrece numerosos contenfiltracin caractersticas, tales como URL negro aparece (direcciones URL que no estn permitidos) White URL (direcciones URL que figuran las que se permite) La capacidad de crcomi y administrar listas personalizadas El apoyo a los navegadores de Internet ms recientes de Microsoft y Netscape Mayor apoyo a nivel de filtro para Web con capacidad de clientes de correo electrnico La capacidad de filtrar los datos entrantes y salientes Adems de los programas antes mencionados, un programa freeware llamado iProtectYou realiza muchas de las mismas funciones (vanse las figuras 10-1 y 10-2). Producido por SoftForYou (www.soft foryou.com), este til programa permite el bloqueo de mensajes de correo electrnico, sesiones de chat y mensajes instantneos que contienen palabras inapropiadas. Adems, se puede restringir el tiempo de Internet con un programa predeterminado y le permite tener el control sobre qu sitios web se puede acceder y qu programas tienen acceso a Internet. Las opciones incluyen el establecimiento de niveleseis de la sensibilidad, el Ing. solicitud de los archivos de registro detallados de la Web y la actividad de la aplicacin, y hacer ajustes sensibles al tiempo. Su organizacin puede especificar septiembrepatrones de frecuencia, palabras clave, o bloques de sitios web, grupos de noticias y publicidad, y editar la lista de palabras inapropiadas. El programa llega con una gran lista integrada de los sitios preseleccionados no deseados y las palabras clave. Hay numerosas razones por las organizaciones emplean el uso de filtros de contenido. Cada vez ms, las organizaciones estn descubriendo que la creacin de Internet aceptables las directrices de poltica de uso e informar a todo el personal de organizacin de que la poltica puede no ser suficiente para proteger a la gestin de la persecucin penal Yomaterial legal o inapropiado puede encontrar en los ordenadores. Otras organizaciones que simplemente prefieren tener la tranquilidad de saber que no es material inapropiado permitido o vistos por cualquier persona en sus redes.
Mientras que beneficioso, conten filtros a veces puede plantear problemas mediante la prevencin de fiarBsquedas compaero que se produzcan. Por ejemplo, un Conten filtro puede dejar de una pgina Web desde la carga, ya que con-contenidas la palabra "hardcore", aun cuando no se utiliza en un contexto sexual.
Espionaje industrial
El espionaje industrial es una extensificacinn de la recopilacin de inteligencia competitiva visto entre corporaciones de otras organizaciones, incluso nacional Govemtos. Las razones para tomar parte en las industriasjuicio gama de espionaje de un deseo de obtener la superioridad y la dominacin en una industria en particular a la bsqueda de lograr simplemente un mejor nivel de seguridad dentro de la propia organizacin. La ganancia monetaria es una motivacin ms fuerte para las organizaciones y los individuos conocedoresais de participar en espionaje industrial. Quienes realicen el espionaje industrial a travs de la transgresin en los sistemas informticos y redes de espas cibernticos - - a menudo tienen un apoyo sustancial monetaria de las empresas y Gove, inclusomtos. A diferencia de run-of-the-mill hackers dando una vuelta, estos espas cibernticos a menudo tienen a su estado de disposicin de equipos de ltima generacin e incluso el personal dnde y cundo podra lo necesitan. La Internet y los sistemas en red de computadoras han facilitado la ocupacin de estos espas cibernticos, sin importar si se est trabajando desde dentro o desde fuera de los sistemas que atacan. Equipo informtico en red los sistemas de seguridad puede ser violado y espiado-de los sitios en cualquier parte del mundo, incluyendo los sitios dentro de la propia organizacin. (Ms informacin sobre los ataques internos se incluye en la siguiente seccin.) A diferencia de los espas de incluso el pasado reciente, espa hoy en da slo tiene que estar presente en un sentido ciberntico, no necesariamente en un sentido fsico.
Independientemente de desde donde viene el ataque, el equipo de alta tecnologa utilizados en la actualidad a veces deja a las organizaciones conscientes de que su sistema ha sido penetrado sin autorizacin. An cuando una organizacin no sabe de su sistema de ordenador ha sido comprometido, no puede ser capaz de
211
cuantificar la cantidad, en su caso, los ingresos se perdi como consecuencia de ello. Cuando los elementos materiales han sido robados (discos, documentos, etc) esos delitos son a veces slo se reportan como robos o robo IES-, con la valiosade la informacin perdida no se dio cuenta y no se incluyen en el recuento. Las organizaciones deben recordar que los ex empleados, tanto los que se van en buenos trminos y los que estn descontentos, puede seguir siendo una amenaza para la seguridad del sistema. Ya sea que son alimentadas por el deseo de venganza, son abordados por un tercero con el incentivo monetario o que estn empezando su propio negocio en la misma industria, los ex empleados pueden tener un conocimiento suficiente como para afectar gravemente los activos de su organizacin, la productividad y incluso la confidencialidad del cliente. Los ex empleados no son el solriesgo para la seguridad de la organizacin del sistema informtico. Los incidentes de seguridad pueden surgir de los empleados actuales, tambin. Personal temporal, subcontratistas dores, y los empleados de la compaa desde hace mucho tiempo todos puedan tener suficiente acceso a la informacin de la organizacin privilegiada y valiosa. Algunos empleados deliberadamente revelar informacin clasificada (de nuevo, con fines de lucro o con mala intencin), sin embargo, otros podran revelar dicha informacin sin darse cuenta. Los que se dedican al espionaje industrial, se ha sabido que se hacen pasar por tcnicos de la casa y las contraseas de solicitud con el fin de hacer su trabajo el mantenimiento o la reparacin de un ordenador de la empresa. Empleados Misguided gusto por ayudar a transmitir dicha informacin. A veces, los empleados simplemente dar informacin, como contraseas, despus de recibir un sonido de telfono oficial o importante Calyoque lo solicite.
(mientras todava est empleado de Cisco Systems), intencionalmente excedido su acceso autorizado a los sistemas informticos de Cisco Systems. De acuerdo con su declaracin de culpabilidad con el Departamento de Justicia de EE.UU., el Sr. Morch, a fin de obtener informacin confidencial que l saba que no estaba autorizado a tener, registrado en el sistema informtico, tanto como un administrador y bajo su propio nombre de usuario de una estacin de trabajo que pertenece a otro ingeniero de software de Cisco. Lo hizo porque el ordenador del otro ingeniero tena una grabadora de CD capaz de "quemar" CDs. El Sr. Morch admiti que quem una serie de CD en el ordenador del otro empleado, utilizando los CDs grabables que se obtiene de la plataforma por encima de su equipo
controlar, y el material obtenido, que incluy los materiales propiedad de Cisco en relacin con ambos lanzados Cisco produccins, y entonces en curso los proyectos de desarrollo.
El uso de contraseas seguras pueden ayudar a evitar la informacin privilegiada - y otrosde adivinar las contraseas.
Personal de seguridad de la organizacin deben ser diligentes en la forma de gestionar y supervisar el registro de los sistemas en red. El personal de seguridad de rutina frente a la tarea que consume tiempo de recoger, analizar y descifrar mltiple de los sistemas de archivos de registro. Incluso un descuido simple podra ser la causa de un fallo de seguridad. Esto podra suceder en un nmero de maneras, por ejemplo, cuando un administrador del sistema se olvida de salir de una consola de gestin, Cuando alguien trae una persona infectada lap-top en la oficina desde su casa, oa travs de un agujero de seguridad creado por un mal configurados de acceso inalmbrico punto. Afortunadamente, la mayora de los ms avanzados intrusisistemas de deteccin de n, como Tripwire y CyberCop, se centran tanto en el exterior y deFernal ataques. Debido a los ataques internos pueden provenir de direcciones posibles tantos, estos Producs abordar el problema de informacin privilegiada con una gran variedad de enfoques. Puesto que la mejor defensa es un buen ataque, escaneo de vulnerabilidades es una de las mejores maneras para que una organizacin para encontrar y tapar los agujeros de seguridad en su red. Anlisis de vulnerabilidad es beneficioso para prevenir tanto el exterior y enFernal ataques. Dos populares escneres de vulnerabilidad de red utilizado en la actualidad son SAINT y escner de Internet de ISS: SAINT. SAINT es la herramienta del administrador de seguridad de red integrada. En su modo predeterminado, que recoge informacin tanto de equipos remotos y redes como sea posible. La informacin recopilada incluye la presencia de diversas redes de informacin ser-vicios, que son posibles fallos de seguridad. Estos defectos aparecen a menudo en forma de forma incorrecta los servicios de red configurados, conocidos errores en el sistema o los servicios pblicos de red, o dbiles parmetros de configuracin de polticas. ISS Internet Scanner. Los responsables de la seguridad de la red de su organizacin a menudo eligen escner de Internet de ISS para el anlisis de las vulnerabilidades de su red. Escner de la ISS en Internet se centra en el aspecto ms importante de la gestin del riesgo organizacional de la red: la identificacin y correccin de las vulnerabilidades tcnicas. Internet Scanner realiza sondeos programados y selectivo de servicios de comunicacin de su redvicios, sistemas operativos, aplicaciones clave, y los routers en busca de las vulnerabilidades ms utilizadas por las amenazas sin escrpulos (al problema, Invertirpuerta, y atacar a su redtrabajo). Internet Scanner analiza sus
213
Es un hecho lamentable que los incidentes de seguridad ms devastadores origNate desde el interior de su propia organizacin. Proactiva de anlisis de seguridad proporciona una evaluacin significativa de la seguridad del sistema de su organi-zacin contra las amenazas conocidas. Anlisis de seguridad pueden ofrecer sugerencias para la efectiva contramedidas, mejorando an ms la seguridad. Anlisis proactivo tambin puede conducir a una deteccin ms rpida de, y tal vez reducir los daos a los sistemas de incumplimiento. Con el anlisis de vulnerabilidad a cabo a intervalos regulares, su organizacin puede ser conscientes del potencial de vulnerabilidad de seguridadhabilidades a medida que ocurren.
Procedimientos para el reconocimiento y la gestin de incidentes relacionados con el acoso sexual Los aspectos legales de espionaje industrial Cmo buscar y defenderse contra los ataques internos
Captulo 11
E val uac in de las pol tic as de seg uri dad act ual es, pro ced imi ent os y pr ctic as U na eva lua ci
Evaluacin de las polticas y procedimientos de seguridad El desarrollo de listas de control de polticas de seguridad Una visin general del proceso de auditora de seguridad Los pasos bsicos para la estacin de trabajo y las auditoras del servidor Los beneficios de las pruebas de penetracin Comprensin de los problemas de cumplimiento de HIPAA El Honeynet Project LA RED INFORMTICA ES UNA HERRAMIENTA CLAVE EN EL MUNDO DE LOS NEGOCIOS DE HOY S. Sin embargo, con los hackers, crackers, y lleno de cdigos maliciosos, la necesidad de una toma de conciencia mayor seguridad y medidas a adoptar se ha convertido en un imperativo. Informtica criminais vienen en muchas variedades, frente a los piratas a sus compaeros de trabajo. Muchos oficiales de seguridad de la empresa creen que el eslabn ms dbil de la seguridad informtica la cadena es el empleado - ya sea descontento o simplemente perezosos. Un componente crtico de la respuesta a incidentes es la pista de auditora. Auditora ayuda a definir los eventos que permiten los administradores de seguridad para determinar exactamente lo que ha sucedido en su red. Cuando un sistema se rompe, el administrador del sistema tiene que saber lo que ha sucedido para reparar la violacin y la formafinales de un plan para prevenir futuros ataques. La parte ms difcil de responder a una violacin de la red es el rastreo del criminal y la evaluacin de daos y perjuicios. Una auditora de seguridad integral evala las prcticas de su organizacin y funcionamiento de la red para asegurar que sus sistemas sean seguros, tanto en elFamenazas ernal y externa. Una auditora de seguridad de la red debe incluir lo siguiente:
215
216
Las auditoras de seguridad puede ayudar a su organizacin a desarrollar un amplio informe adecuado tanto para personal administrativo y tcnico. Dicho informe deber incluir la siguiente informacin: Una lista de las vulnerabilidades encontradas, incluyendo el riesgo y la probabilidad de que los usuarios maliciosos, los piratas informticos, clientes y socios de negocios que explotan estas fallas Las recomendaciones dadas para aplicar la revisin y reparacin de vulnerabilidades Una lista de las posibles causas de las vulnerabilidades Recomendaciones para la prevencin de las vulnerabilidades de este tipo que surjan en el futuro En resumen, las auditoras de seguridad a la organizacin minimizar el riesgo de interrupciones no programadas, dao o destruccin de sus activos de informacin, prdidas financieras, y los otros efectos perjudiciales de las brechas de seguridad. En este captulo se centra en el proceso de auditora y los procedimientos, las cuestiones de la HIPAA Ance cumplimiento, en beneficio de las pruebas de penetracin y su papel en la planificacin de respuesta a incidentes. El captulo concluye con cmo las lecciones aprendidas del Proyecto Honeynet estn ayudando a dar forma al futuro de la respuesta a incidentes.
Proporcionar un mtodo eficaz para responder a las preguntas y quejas relativas a abusos, reales o no confirmada - de las redes de la organizacin y el sistema de ordenador. Establecer procedimientos que protejan su reputacin profesional, mientras que permite para cumplir con las responsabilidades de la organizacin (legal y tico) en relacin con el equipo sistema de conexin de Internet.
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
217
Una poltica de informacin bien diseado de seguridad es la clave para el xito de cualquier informacin en materia de seguridad las acciones. Dado que las polticas tienen un impacto profundo en todos los esfuerzos de seguridad, que debe estar bien desarrollada, aplicada, mantenida, y auditados peridicamente. Las polticas necesitan una revisin peridica para asegurar que se continuapara reflejar la estrategia de seguridad de su organizacin en general. Una poltica dbil puede salir de una empresa vulnerable a todo tipo de errores humanos, desde la seleccin de una demasiado fcil adivinar- contrasea para instalar el software que puede causar brechas de seguridad. Al evaluar una poltica de seguridad, asegrese de incluir lo siguiente: Una explicacin de la razn de la poltica La fecha efectiva de la poltica, as como la fecha en que expira Una lista de los que: (a) autoriz a la poltica, (b) construir la poltica, (c) aprob la poltica, (d) mantendr la poltica, y (e) hacer cumplir la poltica Una lista del personal y el personal que se vern afectados por la poltica Un resumen de las acciones que la organizacin espera de sus usuarios Los mtodos que se utilizarn para hacer cumplir la poltica Los reglamentos y leyes en que se basa la poltica (entre ellos el de la casa de regulacinciones de su organizacin) Qu activos de informacin deben ser protegidos Los mtodos y procedimientos que el personal se van a seguir para la presentacin de informes de seguridad violacines (ya sea real o sin fundamento) Los rpidos avances en tecnologa de la informacin requieren que la organizacin de seguridad de las polticascas de frecuencia crtica. La frecuencia de las auditoras de la poltica depende de la seguridad de la organizacin necesita, as como el conocimiento tecnolgico de su personal. Generalmente, sin embargo, cada nuevo cambio tecnolgico tiene el potencial para requerir un cambio de poltica correspondiente. Como resultado de ello, una buena regla general es revisar todas las polticas de seguridad de la organizacin (o no) por lo menos una vez al ao.
extremadamente importante. Adems, las nuevas vulnerabilidades de los lazos se estn encontrando constantemente, y puede llegar a ser demasiado difcil para una organizacin para mantenerse en la parte superior de las vulnerabilidades sin asistencia externa. Una de las maneras de manejar una auditora es mediante el uso de listas de control de auditora, que son ms beneficiosas cuando se inici como parte de un plan ms amplio para desarrollar e implementar su poltica de seguridad en toda la organizacin. Listas personalizadas son una buena idea si usted quiere maximizar la eficacia de cualquier pauta determinada.
218
requieren para firmar un contrato de reconocimiento de que son conscientes de sus responsabilidades y que se atendr a las normas de seguridad de su organizacin y los reglamentos? Las polticas de seguridad crtica - y si es necesario, revisada por lo menos una vez al ao?
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
219
le ayudar a priorizar y arreglar el problema de reas, lo que minimiza el riesgo de apagones imprevistos, presa de la edad o el robo de los activos de informacin sensible, causar daos a su reputacin, y la prdida financiera. Cada vez que un sistema se modifica o se reconfiguran, los agujeros de seguridad puede ser abierto, permitiendo que la red se vuelven vulnerables a los ataques. Aun cuando no ha habido cambios realizados en la red de su organizacin, usted todava puede ser vctima de un ataque que aprovecha una vulnerabilidad descubierta recientemente, de con-reafirmante que incluso los sistemas estticos requieren una auditora peridica. En el desarrollo de una poltica de seguridad para su organizacin, asegrese de incluir informacin sobre cmo se va a probar su red (s). Una vez que la auditora de seguridad inicial ha sido completada, las deficiencias encontradas deben ser rpidamente corregido. Adems, su poltica de seguridad debe detallar cmo va a garantizar que nevo fallos o huecos de seguridad sern tratados. Los pasos siguientes describen el bsico de seis pasos de seguridad informtica proceso de auditora: El anlisis de vulnerabilidades. Determinar la adecuacin de la seguridad de su organizacin medi-das, identificar las deficiencias de seguridad, y evalcomi la eficacia de su actual segumedidas de bioseguridad. El anlisis debe incluir el riesgo y la probabilidad de que los codificadores maliciosos, hackers, y conocedores de la explotacin de estos defectos. Red de evaluacin y anlisis de la infraestructura. Examine los dispositivos de hardware, intrusin los sistemas de deteccin, routers y firewalls para las vulnerabilidades que dejan a uno abierto a la intrusiones. La evaluacin de riesgos. Lista de las garantas que ya tiene en marcha para la proteccin contra las amenazas potenciales de la evaluacin de su relacin SIGNIFICATIVASee en trminos de prdida potencial para todos reas de su sistema. Los resultados de esta evaluacin se puede utilizar para determinar qu tintos necesitan la mayor atencin en primer lugar. Acceso y evaluacin de polticas. Examinar la disponibilidad de cada usuario y el acceso a los recursos del sistema informtico. Asegrese de incluir una revisin de las polticas de contraseas, las polticas de copia de seguridad, la poltica de acceso a Internet, la poltica de seguridad de red, la poltica de acceso remoto, la poltica de escritorio, la poltica de la plataforma de servidor, la poltica de seguridad de las aplicaciones, las cuentas personales basados en Internet y, en general, las directrices para la desarrollo y aplicacin de las normas de poltica toda la organizacin. La seguridad fsica. Examinar los activos fsicos de computacin para la proteccin contra el vandalismo, acceso no autorizado y la manipulacin. Incluir una revisin de todos los equipos informticos de la organizacin y los equipos asociados, tales como estaciones de trabajo, servidores, terminais, routers, switches, medios de almacenamiento extrables, copias impresas de la documentacin, e instalaciones de apoyo. Las conclusiones y recomendaciones del informe. Incluya todos los hallazgos resultantes de los anlisis y evaluaciones realizadas, as como recomendaciones para la aplicacin de
mercado mundial, que buscan cada vez ms a utilizar la informacin generada por ordenador para aprovechar una ventaja competitiva. La auditora puede ayudar a la estacin de trabajo correcta y las deficiencias del servidor de tiempo que proporciona una herramienta til para la planificacin de futuras mejoras en el sistema.
Es un software de proteccin antivirus instalado y actualizado con regularidad? Alguno de carpetas compartidas han dado permisos exclusivos para los usuarios individuales? Tener los Service Packs y parches de seguridad instalados cuando est disponible? Es el administrador de red en la lista de la organizacin de seguridad de correo (para que sea recuerda a aplicar las correcciones y actualizaciones en el momento oportuno)? Copias de seguridad completas se hizo en forma frecuente y regular?
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
221
Ha sido su administrador de red crea y se almacena de forma segura los discos de reparacin de emergencia? Ha de auditora y cuenta de explotacin forestal ha encendido? Estn los registros de eventos de seguridad revisados de forma regular? Tiene la caracterstica de ejecucin automtica sido deshabilitada para el uso de CD-ROM? Estn los registros de auditora que se controla? Tiene el servidor de reloj de tiempo real se sincroniza con un servidor de hora central? Ha descifrado de contraseas herramientas ha utilizado para detectar contraseas dbiles o fciles de adivinar? Tiene un intrusi basado en hostsistema de deteccin de n (IDS) ha empleado? Ha de disquetes ha deshabilitado? Ha sido habilitada para la auditora de la copia de seguridad y restauracin de los datos? Ha sido desactivado inicio de sesin annimo o restringido? Tener NetBIOS nuyosesiones de l ha deshabilitado? (Vea el procedimiento se detalla a continuacin.) La cuenta de administrador ha cambiado el nombre? En su caso, tiene la clave SAM datla base se ha cifrado con cifrado de 128 bits? (Utilice Syskey.exe de NT 4.0.) Han sido los procedimientos y directrices establecidos para responder a los incidentes?
Nuyol sesiones de aprovecharse de las fallas en la estructura de archivos comn de Internet del Bloque de sistema / servidor de mensajera (CIFS / SMB). Se puede establecer una nuyol perodo de sesiones con un host de Windows NT/2000/XP, simplemente iniciando sesin con un nuyol nombre de usuario y contrasea. Usando un nuyol conexin que permite para recopilar informacin importante desde el host, tales como las siguientes: Una lista de usuarios y grupos Una lista de los equipos de la red
Respuesta a Incidentes: Computer Toolkit Forense Una lista de recursos compartidos de archivos disponibles Una lista de usuarios y sus identificadores de seguridad de host (SID) En otras palabras, nuyol sesiones de permitir a un usuario no autenticado para obtener una lista de cuentas de usuario vlidas y los grupos a los que pertenecen los usuarios. El acceso a dicha informacin simplifica en gran medida un ataque de contraseas por fuerza bruta en contra de las cuentas de usuario. La mejor defensa contra este tipo de ataque consiste en desglosarcapaz de nu NetBIOSyol sesiones dentro del sistema operativo Windows en s. Los pasos siguientes muestran cmo. PARA WINDOWS XP Para deshabilitar NetBIOS nuyosesiones de l dentro de Windows XP, haga lo siguiente: 1. Haga clic en el botn Inicio y vaya al Panel de Control. 2. En el panel de control, haga clic en Rendimiento y mantenimiento. 3. Haga clic en la IC Herramientas de Administracinn. 4. Haga doble clic en Configuracin de seguridad local. 5. Expanda la carpeta Directivas locales en el panel izquierdo, a continuacin, resalte la carpeta Opciones de seguridad. 6. En la carpeta de opciones de seguridad (ver Figura 11-1), asegrese de que las dos polticas estn habilitadas: Acceso de red: no permitir enumeraciones annimas de cuentas SAM Acceso de red: no permitir enumeraciones annimas de cuentas y recursos compartidos SAM
Figura 11-1: La carpeta de opciones de seguridad dentro de la carpeta local de Windows XP Professional Polticas
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques PARA WINDOWS 2000 Para deshabilitar NetBIOS nuyol dentro de las sesiones de Windows 2000, haga lo siguiente: 1. Haga clic en el botn Inicio y vaya al Panel de Control. 2. En el panel de control, haga doble clic en Configuracin de seguridad local. 3. Vaya a las polticas locales. 4. Abra la carpeta Opciones de seguridad. 5. Seleccione "restricciones adicionales de las conexiones annimas" en el panel sobre Polticas la derecha. 6. De los hombres desplegablesdenominado "ajuste de la poltica local", seleccione "No obtener acceso sin permisos annimos explcitos. " 7. Haga clic en Aceptar.
223
PARA WINDOWS NT Desafortunadamente, en Windows NT 4.0, tendr que editar el registro para deshabilitar NetBIOS nuyosesiones l. Siguiendo los procedimientos de registro de edicin y copia de seguridad descritos en el Captulo 4, edicin la siguiente clave del registro de la siguiente manera:
HKEY_LOCAL_MACHINE / System / CurrentControlSet / Control / IDS / = RestrictAnonymous l
El bloqueo de los siguientes puertos en el router o firewall tambin puede ayudar a defenderse contra NetBIOS sesin nula-ataques:
Nmero de puerto 135 137 138 139 445 Puerto de protocolo TCP
TCP / UDP TCP / UDP
TCP TCP
Pruebas de Penetracin
Las pruebas de penetracin es el proceso de anlisis, el sondeo, y la identificacin de las
vulnerabilidades de seguridad en una red en la medida en que podran ser explotadas por terceros. Mediante la simulacin de un ataque malicioso en el mundo real, usted puede saber si su red es segura o no. Pruebas de penetracin
224
es una herramienta importante y necesaria para determinar el estado de las polticas de seguridad actuales y procedimientos de su organizacin, ya que puede: Crcomi la base para la construccin de un entorno seguro y protegido en el que hacer negocios Descubre los puntos dbiles de su red que permite a su organizacin para hacerles frente antes de que un atacante malicioso puede explotar Perfil de las debilidades con base en el riesgo de niveleseis, la gravedad y la habilidad necesaria para llevar a cabo hazaas Identificar las vulnerabilidades, incluyendo cualquier error de configuracin, que pueden ser explotadas por un atacante remoto Proporcionar recomendaciones especficas para fortalecer la seguridad y el MIT parapuerta de los riesgos descubierto Los hackers habitualmente pasan su tiempo buscando sistemas informticos para los agujeros de seguridad en la forma de las vulnerabilidades. Estos agujeros de seguridad puede ser causada por una serie de cuestiones, tales como misconfiguracin y / o defectos de programacin. Para proteger los sistemas informticos de la organizacin de los hackers, crackers, script kiddies, y otros cdigos maliciosos, es necesario comprobar en busca de vulnerabilidades y exploits conocidos dentro de sus sistemas de redes. Las vulnerabilidades pueden estar compuestos de los insectos, puertas traseras de aplicacin o software espa (cdigo de computadora utilizado para controlar, registrar o impedir la actividad en un equipo sis-tema sin el conocimiento de su usuario (s)) que han entrado en aplicaciones o sistemas operativos en forma de cdigo malicioso. Cuando se trata de seguridad de la red, no hay mejor manera de encontrar los puntos dbiles que por realizar pruebas de penetracin-cin sobre una base regular. Hay razones de peso para llevar a cabo la penetracin prueba con regularidad: Nuevos exploits son liberados casi a diario. Los parches y actualizaciones de software y hardware son frecuentemente puestos en libertad. Con sistema operativo y las actualizaciones de las aplicaciones, la posibilidad de una nueva brecha que se present pueden ocurrir.
In-House vs Outsourcing de
Para llevar a cabo una prueba de penetracin, las organizaciones tienen slo dos opciones: o bien realizar la prueba de penetracin en la empresa o tercerizar la tarea a una empresa de seguridad que se especializa en dicha prueba. Slo hay dos circunstancias en las que deben ser las pruebas de penetracin realizados en la
casa. La primera razn sera si hay consideraciones monetarias o presupuestarias. La segunda razn sera en situaciones extremas, donde la seguridad de sus datos es tan vital y / o clasificados que fueralado de individuosais no pueden tener conocimiento de ella.
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
225
Figura 11-2: La bsqueda de los archivos de Windows est disponible y los recursos de impresin
Figura 11-3: PortScan le permite escanear un solo equipo o mltiple direcciones IP disponibles para Servicios de Internet.
Figura 11-4: WebBrute le permite seuna de sus directorios Web que estn protegidos con autenticacin
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
227
Para ms informacin sobre los proveedores de terceros que proporcionan la penetracin / pruebas de vulnerabilidad, echa un vistazo a la lista de la Revista Seguridad de la Informacin de los proveedores en www.infosecuritymag.com/
vendor_links.shtml.
228
HIPAA
Los Centers for Medicare & Medicaid (CMS) son responsables de la aplicacin de diversas disposiciones de la ley HIPAA. Las disposiciones de la Simplificacin Administrativa del Seguro de Salud
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
229
Ley de Portabilidad y Responsabilidad de 1996 (HIPAA, el ttulo II) requieren que el Departamento de Salud y Servicios Humanos de establecer estndares nacionales para transacciones electrnicas de la salud y los identificadores nacionales para los proveedores, planes de salud y de los empleadores y de ofrecer las siguientes pautas abordar la seguridad y la privacidad de los datos de salud para las entidades cubiertas:
Procedimientos administrativos para proteger la integridad DATOS, ConfidentiaUTY, Y DISPONIBILIDAD
A. Certificacin Cada organizacin deber evalcomi su sistema informtico (s) o la red trabajo de diseo (s) para certificar que la seguridad apropiada se ha implementado. Esta evaluacin podra llevarse a cabo de forma interna o por una agencia de acreditacin externa. Estamos, en este momento, solicitar la opinin sobre los mecanismos adecuados para permitir la evaluacin independiente-cin de su cumplimiento. Estaramos especialmente interesados en las aportaciones de quienes se dedican a la salud electrnica de datos (EDI), as como la certificacin y de auditora independientes orga-nizaciones abordar las cuestiones de las pruebas documentales de las medidas adoptadas para su cumplimiento; necesidad o conveniencia de verificar de manera independiente , validacin y pruebas de cambios en el sistema, y certificaciones ciones de los necesarios para la produccin off-the-shelfs utilizado para cumplir con los requisitos de este reglamento. Asimismo, solicitar comentarios sobre la medida en que la obtencin de la certificacin externa crcomi una carga excesiva para los proveedores pequeos o rurales. B. Cadena de Acuerdo de socio de confianza Si los datos se procesan a travs de un tercero, las partes estara obligado a entrar en una cadena de contrato de socio de confianza. Este es un contrato en el que el las partes se comprometen a intercambiar electrnicamente datos y para proteger los datos transmitidos. El remitente y el el receptor se requieren y dependen unos de otros para mantener la integridad y confidencialidad de los la informacin transmitida. Mltiple de dos partidos los contratos pueden estar involucrados en el movimiento inforcin de la parte de origen a la ULTcompaero de la parte receptora. Por ejemplo, un proveedor pueden con contrato con un centro de informacin para transmitir las reclamaciones a la cmara de compensacin, la cmara de compensacin, a su vez, podrn contratar con otro centro o con un pagador de la transmisin continua de las personas reclamaciones. Estos acuerdos son importantes para que el mismo nivel de seguridad se mantendr en todos los eslabones de la cadena cuando la informacin se mueve de una organizacin a otra. C. Plan de Contingencia Nosotros necesitaramos un plan de contingencia de estar en vigor para responder a los sistemas
emergencias tem. La organizacin estara obligado a realizar copias de seguridad peridicas de los datos, tienen disponibles las instalaciones crticas para la continuacin de las operaciones en caso de una emergencia y tienen desaster los procedimientos de recuperacin en su lugar. Para satisfacer el requisito, el plan se incluyen los siguientes: Aplicaciones y anlisis de datos respecto a la criticidad Un plan de datos de copia de seguridad Un plan de recuperacin de desastres Un modo de operacin de emergencia el plan Pruebas y revisin los procedimientos D. Mecanismo formal de Registros del proceso No sera un mecanismo formal para el proceso decin de registros, es decir, las polticas y procedimientos documentados para la rutina y la recepcin no son de rutina,
230
manipulacin, almacenamiento, difusin, transmisin y / o eliminacin de informacin de salud. Esto es importante para limitar la prdida accidental o de la divulgacin de la informacin segura debido al proceso de cuestiones. E.Informacin de Control de Acceso La entidad estara obligada a establecer y mantener formal, polticas y procedimientos documentados para la concesin de diferentes niveleseis de acceso a la atencin de la salud informacin cin. Para satisfacer este requisito, las siguientes caractersticas que se deben proporcionar: Acceda a las polticas y procedimientos de autorizacin de establecimiento de acceso a las polticas y procedimientos El acceso de modificacin de las polticas y procedimientos El control de acceso tambin se discute ms adelante en este documento en la exigencia de la seguridad del personal y en las medidas de seguridad fsicas, los servicios tcnicos de seguridad y los mecanismos tcnicos de seguridad categoras. F. De Auditora Interna No sera un requisito para un curso enFproceso de auditora ernal, que es la revisin a la casa de los registros de la actividad del sistema (por ejemplo, los inicios de sesin, accesos de archivos, y la seguridad inter incidentes de seguridad social) mantenido por una entidad. Esto es importante para permitir a la organizacin para identificar violacines de seguridad potenciales. G. Personal de Seguridad No sera un requisito de que todo el personal con acceso a la salud la informacin debe estar autorizado para hacerlo despus de haber recibido las autorizaciones pertinentes. Esto es importante para evitar el acceso innecesario o inadvertida para asegurar la informacin. El personal de seguridad requisito requerir a las entidades para cumplir con las siguientes condiciones: Asegurar la supervisin de personal que realiza actividades de mantenimiento de los sistemas tcnicos de las personas autorizadas y con conocimientos. Mantener acceso a los expedientes de autorizacin. Asegurarse de que operativo, y en algunos casos, el personal de mantenimiento tiene acceso adecuado. Emplear procedimientos de personal de limpieza. Emplear la poltica de personal de seguridad / procedimientos. Asegrese de que los usuarios del sistema, incluido el personal de mantenimiento
tcnico, estn capacitados en sistema de seguridad. H. Gestin de la Configuracin de Seguridad La organizacin se requiere para implementar medidas, las prcticas y procedimientos para la seguridad de los sistemas de informacin. Estos seran coordin y se integra con otras prcticas del sistema de gestin de configuracin con el fin de crcomi y gestionar la integridad del sistema. Este proceso de integracin es importante para asegurar que los cambios de rutina al hardware del sistema y / o software no contribuyen o crcomieron las debilidades de seguridad. Este requisito se incluyen los siguientes:
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
231
Documentacin Hardware / software de instalacin y revisin de mantenimiento y pruebas de las funciones de seguridad Procedimientos de inventario Pruebas de seguridad Anlisis de virus I. Procedimientos de Seguridad de Incidentes No sera un requisito para poner en prctica los procedimientos de seguridad precisas y actuales del incidente. Estas son las instrucciones formales y documentados para informar sobre las violaciones de seguridad, de modo que violacines de seguridad denunciados y tramitarn con prontitud. Estas instrucciones se incluyen los siguientes: Procedimientos relativos al informe Procedimientos de respuesta J. Gestin de Procesos de Seguridad Un proceso para gestin de la seguridad sera necesario. Esto implica crear, administrar y supervisar las polticas para garantizar la prevencin, deteccin, Con entretenimiento, y la correccin de fallos de seguridad. Nos exigen que la organizacin tenga un proceso de gestin de la seguridad formal para abordar toda la gama de cuestiones de seguridad. Hombre de seguridadgestin incluye las siguientes caractersticas obligatorias de aplicacin: Anlisis de riesgos Gestin del riesgo Una poltica de sanciones Una poltica de seguridad K. Procedimientos de terminacin No sera un requisito para poner en prctica procedimientos de terminacinprocedimientos, que son las instrucciones formales y documentados, incluyendo las medidas de seguridad adecuadas, para la terminacin del empleo de un empleado o el acceso de un usuario interno / externo. Estos procedimientos son importantes para prevenir la posibilidad de acceso no autorizado a proteger los datos de los que ya no estn autorizados a acceder a los datos. Procedimientos de terminacin se incluyen los siguientes mandaTory las caractersticas de implementacin: Cambio de cerraduras de combinacin La eliminacin de las listas de acceso La eliminacin de la cuenta de usuario (s)
En cuanto a de llaves, fichas o tarjetas que permiten el acceso L. Formacin Esta norma propuesta requerira capacitacin en seguridad para todo el personal con respecto a las habilidades de vulnerabilidad de la informacin de salud en posesin de una entidad y los procedimientos que deben ser seguidas para asegurar la proteccin de esa informacin. Esto es importante porque los empleados necesitan
232
comprender sus responsabilidades de seguridad y hacer de la seguridad una parte de su da a da. Las caractersticas de ejecucin que se requeriran para ser incorporado a continuacin: La sensibilizacin de todo el personal, incluida la gestin (esto tambin se incluye como un requisito en virtud de medidas de seguridad fsicas) Recordatorios peridicos de seguridad Formacin de usuarios concemcin de proteccin contra virus Formacin de usuarios en la importancia del xito de monitoreo de inicio de sesin / fracaso, y cmo informar discrepancias Formacin de usuarios en la gestin de contraseas
El Honeynet Project
Todos hemos odo la expresin: se puede coger ms moscas con miel que con vinagre, la premisa es que es ms fcil para atraer y atrapar las cosas que queremos en lugar de perseguirlos y atraparlos. Si bien este Princip mismoyoe se aplica a los honeypots, el propsito del Proyecto Honeynet es ligeramente diferente. Fundada en abril de 1999 por Lance Spitzner, un antiguo oficial del Ejrcito Forc rpida de Despliegue, El Honeynet Project es un grupo de investigacin sin fines de lucro de 30 profesionales de la seguridad dedicados a la seguridad de la informacin. Sin ingresos o rentas, toda la investigacin del Proyecto Honeynet se lleva a cabo sobre una base estrictamente voluntaria. El objetivo del proyecto es estudiar las herramientas, tacls, y motivos de los blackhat (pirata informtico) de la comunidad y compartir estas lecciones con la comunidad de seguridad en general. Tradicionalmente, la mielpoFe son sistemas de un solo ordenador utilizados para atraer a los agresores hacia un objetivo fcil de atacar. Honeynets, por otro lado, no son realmente diseado para atraer a los piratas. En cambio, redes trampa son conjuntos de ordenadores diseados para permitir que los hackers entrar en una red falsa al mismo tiempo a los investigadores para ver todos sus movimientos. Diseado para la investigacin, que se utilizan para ayudar a los expertos de seguridad en una mejor comprensin del funcionamiento de la comunidad blackhat. El Honeynet Project es valiosa porque los datos recogidos por la red trampa nos ayuda a predecir mejor las tendencias de ataque y encontrar nuevas herramientas de hackers que estn en el medio silvestre. Cuando un mtodo de ataque o herramienta nueva que se descubre, los que participan en las organizaciones Honeynet Project alerta comunicar a Seguridad, como el Computer Emergency Response Team (CERT) o la Administracin de sistemas y de redes, y el Instituto de Seguridad (SANS). Estas organizaciones ayudan a difundir estos datos importantes de las publicaciones de la liberacin, que a su vez eleva la conciencia de seguridad de las amenazas y vulnerabilidades que existen a travs de Internet.
El gobierno de EE.UU. estima que los costos de recuperacin de los ataques cibernticos reportados en el 2001 solo fue de $ 13 billones a nivel nacional. La mejor manera de evitar estos costos, es proteger los activos crticos de informacin y recursos. Las auditoras de seguridad estn diseados para encontrar vulnerables reas donde los hackers, crackers, y conocedores pueden obtener acceso no autorizado a sus sistemas informticos. Una seguridad integral
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
233
auditora evala las prcticas de su organizacin y funcionamiento de la red para asegurar que sus sistemas sean seguros tanto de interior y extemal amenazas. La deteccin de vulnerabilidades e intrusiones a travs de auditoras de seguridad ayuda a determinar si las infraestructuras de seguridad, polticas y procedimientos de estafadorestinupara proporcionar el nivel de proteccin exigido por sus organizaciones. Algunas industrias, como las instituciones gubernamentales y de salud-ya estn obligados a someterse a auditoras de seguridad integral que comprobar la seguridad en los sistemas tradicionales. En este captulo se centra en la comprensin de tales procedimientos de auditora bsicos como la evaluacin de las polticas de seguridad actuales, procedimientos y prcticas, la evaluacin de vulnerabilidad y pruebas de penetracin. Puntos principales tratados en este captulo se incluyen Los procedimientos para la evaluacin de las polticas y procedimientos de seguridad y cmo equipo auditoras de seguridad ayuda del MITriesgos de puerta a los activos de informacin Cmo desarrollar y aplicar listas de control de polticas de seguridad Una visin general del proceso de auditora de seguridad y su papel en la respuesta a incidentes Los pasos bsicos para llevar a cabo auditoras y estacin de trabajo del servidor y su importancia en el general del equipo proceso de seguridad Los pros y los contras de las pruebas de penetracin de la casa y cundo y por qu la
externalizacin es veces superiores Comprensin de los problemas de cumplimiento de HIPAA para las entidades cubiertas y cmo se relacionan con incidente de la preparacin de la respuesta Un breve recorrido por el Honeynet Project
Captulo 12
El anlisis de la vida real los ataques Las lecciones aprendidas de los dems A dnde ir para obtener informacin puesta al da Tendencias futuras en la tecnologa de seguridad EN FEBRERO DE Informes 7, de 2000, el NIPC recibidas que Yahoo haba experimentado un ataque de Denegacin de Servicio. En los das que siguieron, varias otras compaas (incluyendo Cable News Network, eBay, Amazon.com,Buy.com, Y ZDNet) tambin inform de la denegacin de la interrupcin del servicio a las oficinas de campo NIPC y el FBI. Desafortunadamente, los atacantes utilizaron falsa Direcciones IP, lo que significa que la direccin que apareca en el registro del objetivo no era la direccin real del sistema que envi a los men-sajes. Adems, muchas de las vctimas no haban guardado los registros completos de la red. Estos ataques de denegacin de servicio como resultado millones de dlares en ingresos perdidos. El sector empresarial, los medios de comunicacin, e incluso gobiernosagencias de desarrollo se quedaron exasperado. Una denegacin de servicio (DoS) no es un virus (como algunos suponen), pero un mtodo utilizado por los hackers para evitar o negar el legtimolos usuarios el acceso a un compaero de computacinnLos ataques DoS son tpicamente ejecutarse una utilizando herramientas especialmente diseadas que inundan un equipo con tantas solicitudes de datos que la computadora deja de funcionar y no puede proporcionar informacin a fiarlos usuarios de mate. El ataque de manera efectiva se apaga el ordenador afectado gallina,ee la Negacin de Servicio apodo. Una analoga sera que alguien lanza un programa automatizado para tener cientos de telfono de calyos colocado simultneamente a la centralita de una organizacin. Los esfuerzos de afrontamiento por parte de personal de la organizacin sera mseoyo en ningn momento, y muchas personas que llaman recibirn seal de ocupadoais, debido a la gran cantidad de trfico telefnico.
235
236
de ataque de Internet estn ahora encontrando su camino en las manos de los adolescentes o script kiddies que utilizan su fuerza destructora con poca consideracin para, o remordimiento por las consecuencias. Mientras ataques de denegacin de servicio son slo un tipo de amenaza que enfrentan las organizaciones que realizan comercio electrnico, numerosas otras amenazas reside mucho ms cerca de casa, en la forma del empleado descontento o malicioso. La publicacin reciente de las siguientesePulse RELASE es un ejemplo de un tal ataque.
237
17 de diciembre 2002 EE.UU. Departamento de Justicia Fiscal Federal Distrito de Nueva Jersey Empleado descontento de UBS Paine Webber acusado de Al parecer Liberar "bomba lgica" en los ordenadores NEWARK-Un equipo descontentos administrador de sistemas de UBS Paine Webber fue acusado hoy con el uso de una "bomba lgica" para causar ms de $ 3 millones en daos a la red informtica de la empresa, y con fraude de valores por su fallido plan para reducir las acciones de la compaa con la activacin de la bomba lgica, EE.UU. fiscal Christopher J. Christie anunci. Roger Duronio, 60, de Bogot, Nueva Jersey, fue acusado hoy de una acusacin de dos cargos emitida por un gran jurado federal, segn la Fiscal Asistente de EE.UU. William Devaney. La acusacin alega que Duronio, que trabaj en las oficinas de PaineWebber en Weehawken, Nueva Jersey, puso la bomba lgica en unos 1.000 de los cerca de 1.500 ordenadores conectados en red PaineWebber en las sucursales de todo el pas. Duronio, quien en repetidas ocasiones expres su descontento con su salario y bonos en Paine Webber renunci a la compaa el 22 de febrero de 2002. La bomba lgica Duronio supuestamente plantado se activ el 4 de marzo de 2002. En previsin de que el precio de las acciones de la compaa matriz de UBS Paine Webber, la UBS, AG, se reducira en respuesta a los daos causados por la bomba lgica, Duronio, tambin han comprado ms de $ 21.000 de "opcin de" contratos de UBS, las acciones de AG, de acuerdo con el documento de carga. Una opcin de venta es un tipo de seguridad que se incrementa en valiosocuando el precio de las acciones cae. Las condiciones del mercado en el momento sugieren que no haba tal impacto en la UBS, AG precio de acciones. PaineWebber informar, de inmediato lo que haba sucedido a los investigadores del gobierno y de la Oficina del Fiscal de EE.UU., y ha sido de gran ayuda y de cooperacin en la investigacin por Electronic los EE.UU. Servicio Secreto de Tareas de Delitos Forc. Duronio est programado para hacer una aparicin inicial en el tribunal a las 2:00 antes de que EE.UU. juez federal Madeline Cox Arleo. "El cibercrimen contra las instituciones financieras es un problema importante", dijo Christie. "Aunque el dao estaba contenida en este caso, el potencial de dao catastrfico en otros casos es siempre all. Vamos a procesar a ciber criminais, y los puso en la crcel. " La acusacin formal alega que, desde noviembre de 2001 a febrero, Duronio construy la bomba lgica programa de ordenador. El 4 de marzo, como estaba previsto, el programa de Duronio activ y comenz delet-Ing archivos en ms de 1.000 de los ordenadores de UBS PaineWebber. Le cost a PaineWebber ms de $ 3 millones para evaluar y reparar los daos, de acuerdo con la acusacin. Como uno de los sistemas informticos de la empresa a los administradores, Duronio tena la responsabilidad de, y el acceso a toda la red de UBS Paine Webber equipo, de acuerdo con la acusacin. l tambin tena acceso a la red de su ordenador personal a travs de acceso seguro a Internet. Duronio se carga en el Primer Cargo de la Acusacin de fraude con valores, que lleva ampena de ximum de 10 aos en prisin federal y una multa de $ 1 milln. Se le acusa en el Segundo Cargo de fraude y otras actividades conexas en relacin con ordenadores. Ese cargo conlleva una m pena de prisin ximum de 10 aos y una multa de 250.000 dlares o, alternativamente, dos veces el beneficio obtenido por el demandado o la prdida sufrida por la vctima. En febrero y marzo de 2002, segn la acusacin, Duronio gast aproximadamente $ 21762 en la compra de 318 contratos de opciones put-de las acciones de UBS AG, todos expiran el 15 de marzo. Una "opcin de venta" es un contrato de seguridad que le da al comprador el derecho de vender 100
acciones de acciones de una empresa por un perodo fijo por accin el precio en una fecha determinada. Cuanto menor sea el precio de la accin cae, el ms valioso poder el contrato de opcin de venta se convierte en. Si el contrato se vende en o antes de la fecha de caducidad de la accin en o debajo de un determinado "precio de ejercicio", se obtiene ganancia.
238
Es un hecho lamentable que prcticamente cualquier Intemet-ordenador conectado puede convertirse en el objetivo oun ataque desde cualquier punto en todo el mundo. El siguiente comunicado pblico en relASE demuestra que incluso los militares de EE.UU. pueden ser vctimas de un ataque hacker malicioso de una tierra extranjera.
12 de noviembre 2002 EE.UU. Departamento de Justicia Fiscal Federal Distrito Este de Virginia 2100 Jameison Avenida Alexandria, VA 22314 Londres, Inglaterra Hacker acusado en virtud de Fraude Informtico Acta de Abuso y de acceso a computadoras militares Pensilvanial J. McNulty, fiscal federal para el Distrito Este de Virginia, anunci que Gary McKinnon, de Londres, Inglaterra, fue acusado formalmente en Alejandra hoy por un gran jurado federal en siete cargos de fraude informtico y la actividad relacionada. McKinnon se enfrenta por cada cargo un mpena de ximum 10 aos de prisin y una multa de 250.000 dlares. Los Estados Unidos tiene la intencin de solicitar formalmente que el Gran Bretaa extraditar a McKinnon. Segn la acusacin, entre marzo de 2001 y marzo de 2002, Gary McKinnon acceso y daados sin autorizacin 92 equipos que pertenecen al ejrcito de Estados Unidos, la Marina, Aire Forc , El Departamento de Defensa y la NASA, y 6 equipos que pertenecen a una serie de pr Vate empre-sas. Un recuento de los cargos de McKinnon con el acceso y daar sin autorizacin una computadora usada por los militares para la defensa nacional y la seguridad. Otros equipos hackeados por McKinnon son equipos ubicados en bases militares de los Estados Unidos y el Pentgono. La acusacin alega que Gary McKinnon escaneado un gran nmero de equipos en la red. Mil, fue capaz de acceder a los ordenadores y obtener privilegios administrativos. Una vez que fue capaz de acceder a los ordenadores, McKinnon instalado una herramienta de administracin remota, una serie de herramientas de hackers, copiar archivos de contraseas y otros archivos, eliminar una serie de cuentas de usuario, y borr archivos crticos del sistema. Una vez dentro de una red, McKinnon entonces utilizar el ordenador hackeado para encontrar militar y de las vctimas de la NASA. En ltima instancia, McKinnon causado una red en el Washington DC razones para cerrar, resultando en la prdida total de acceso a Internet y servicio de correo electrnico a aproximadamente 2.000 usuarios por tres das. La prdida estimada de las distintas organizaciones militares, de la NASA, y el RPlas empresas privadas es de aproximadamente $ 900.000. El caso fue procesado como el resultado de una investigacin de 17 meses por la Unidad de Ejrcito de los EE.UU. Comando de Investigacin Criminal de Delitos Informticos de Investigacin (CCIU), Oficina de la NASA del Inspector General, Servicio Naval de Investigacin Criminal, 902o Inteligencia Militar Grupo de Informacin del Poder Guerra, de Defensa Servicio de Investigacin Criminal, el Forc AireOficina de Investigaciones Especiales, y la Unidad Nacional de Alto del Reino Unido Tech Crime. Tambin ayuda en la investigacin eran del Ejrcito de los EE.UU. Computer Emergency Response Team ubicada en Fort Belvoir, Virginia., El Ejrcito de Emergencia Regional Equipo de Respuesta en el Fuerte Huachuca, el incidente naval Equipo de Respuesta, y el Departamento de Defensa de Equipo Equipo de Respuesta a Emergencias.
239
actuar como una advertencia de precaucin para el futuro personal de seguridad informtica. Mediante la revisin de algunos comunes a la seguridad de informacin errores, por ejemplo, el personal de respuesta a incidentes de seguridad pueden refinar las polticas-CIES a corregir las deficiencias. stos son algunos errores comunes: Instalacin de programas y servicios innecesarios Apertura de archivos adjuntos de correo de mensajes de personas desconocidas No es mantenerse al da sobre los parches de software, especialmente aquellas relacionadas con la seguridad Si no se instala el software antivirus y mantener sus patrones de virus actuales La falta de capacitacin adecuada para administrar el sistema No implementacin de cifrado o intrusin sistemas de deteccin El manejo inadecuado de los datos sensibles Compartir contraseas o el uso de contraseas dbiles Propagacin de cota de malla y las bromas de virus
numerosas advertencias, muchos administradores no han aplicado parches disponibles para sus sistemas. Puede haber habido dos razones para ello. Es posible que muchos equipos se ejecuta sin ningn tipo de administrador del sistema pre-enviado o que algunos administradores de sistemas se acaba haciendo caso omiso de la gran cantidad de advertencias de seguridad. El aumento de las capacidades de los paquetes de cdigos maliciosos se han traducido en impactos ms devastadores. Varias otras tendencias tambin se hicieron evidentes durante el ao 2001. Uno de los ms significativos fue la incorporacin de las capacidades de los gusanos, caballos de Troya (puertas traseras), y virunSES todo ello combinado en un paquete nico y poderoso. Los ataques de cdigos maliciosos durante el ao 2001 tambin se incluyen las tcnicas de
propagar ms rpidamente que nunca antes. El breve intervalo entre el gusano Code Red y la relasa del gusano Nimda continu la tendencia de larga data de los paquetes de cdigo malicioso estn modificando sobre la base de las lecciones aprendidas de anteriores ataques malvolos. Esto dio lugar a an ms avanzados paquetes de cdigos maliciosos.
defensivas y procedimientos, y subrayan la importancia de reforzar la vigilancia del sistema. Los usuarios de computadoras y administradores de sistemas pueden limitar los posibles problemas mediante el uso de "mejores prcticas de seguridad" los procedimientos. Algunas de las medidas ms bsicas y eficaces que se pueden tomar son:
Es importante recordar que su organizacin siempre debe tratar a los activos de informacin, ya que tratara a cualquier otro activo valioso. As como usted no volvera a caminar lejos de su escritorio dejando dinero en efectivo o de otros objetos de valor desatendidos, usted debe tener cuidado para proteger sus activos de informacin de manera similar. Recuerde siempre tomar las siguientes precauciones: Proteja su equipo de cmputo. Gurdelo en un entorno seguro. Asegrese de mantener la comida, la bebida y el humo del cigarrillo fuera de ella en todo momento. Adems, sabemos que el fuego equipo de supresin se encuentra, y aprender a usarlo. Proteja su rea. Mantenga a las personas no autorizadas lejos de los equipos informticos y de informacin sensible y recuerda a cuestionar a cualquier extrao que en su rea. Proteja su contrasea. Nunca escriba o se la d a nadie. Adems, no utilice Ames, nmeros o fechas en las que puede ser identificado personalmente con usted. Recuerde que no slo se cambian con frecuencia, sino tambin para cambiar de inmediato si usted piensa que ha sido comprometida. Proteja sus archivos. No permitir el acceso no autorizado a sus archivos y datos, y recuerde nunca deje su equipo desatendido con su contrasea activada, siempre firmar! Proteger contra cdigos maliciosos. No utilizar software no autorizado, y copia de seguridad crtico de suarchivos de cal antes de implementar cualquier nuevo software. Guarde bajo llave los medios de almacenamiento que contiene los datos sensibles. Si los datos o la informacin es sensible o crtica a su organizacin, siempre asegrese de
encerrar en un lugar seguro. Copia de seguridad de sus datos. Mantenga copias de sus datos importantes en un lugar seguro, fuera de su inmediata rea, y recuerda hacer copias de seguridad de datos con la frecuencia necesaria. Informe violacines de seguridad. Dgale a su administrador de sistema o administrador de seguridad de la red si usted ve cualquier cambio no autorizado a sus datos. Reporte de inmediato cualquier prdida de datos o programas, ya sea copia automatizada o dura.
242
Ya sea que los incidentes de seguridad informtica vienen de virunses, los ataques de hackers, o travesuras equipo iniciados por empleados descontentos, las exigencias de respuesta apropiadas que su organizacin continuaoperaciones mientras que la inversin daos, investigar las causas, la comunicacin con los clientes, y puesta en marcha, incluso las investigaciones y la bsqueda de recursos legales. Mientras que el Princip bsicayoes de preparacin de emergencia se han utilizado durante dcadas y se continuaser la base para abordar los nuevos retos - dos nuevos enfoques de planificacin tambin debe abordarse. En primer lugar, el mbito de la planificacin de recuperacin de desastres debe ser ampliado ms all de su enfoque tradicional en las cuestiones operativas sobre todo para incluir medidas de seguridad de seguridad, tambin. En segundo lugar la planificacin, la continuidad del negocio junto con la planificacin de recuperacin de desastres debe ser abordado como una operacin comercial a nivel corporativo requisito.
informacin proporcionada en este sitio abarca desde la proteccin de los sistemas frente a los problemas potenciales para reaccionar a los problemas actuales para la prediccin de problemas en el futuro. Sus centros de trabajo de todo el manejo de incidentes de seguridad informtica y vulnerabilidades, la publicacin de alertas de seguridad, la investigacin a largo plazo los cambios en los sistemas en red, y el desarrollo de informacin y capacitacin para ayudar a mejorar la seguridad informtica.
El Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST) (www.first.org ). Al reunir a una amplia gama de equipos de seguridad informtica de respuesta a incidentes de las diferentes administraciones, comerciales, e instituciones educativas, primera tiene por objeto fomentar la
243
la cooperacin y la coordinacin de la prevencin de incidentes. Adems, promueve, ante todo la reaccin rpida ante incidentesepor fomentar el intercambio de informacin entre los miembros de la Internet y la comunidad de seguridad informtica en general. El Centro Nacional de Proteccin de la Infraestructura (NIPC) (www.nipc.gov ). Sirviendo como un nacional de la infraestructura crtica evaluacin de la amenaza, la advertencia, la vulnerabilidad, y la ley investigacin de la aplicacin y la entidad de respuesta, el NIPC proporciona advertencias oportunas de las amenazas internacionales, el anlisis integral y la investigacin y aplicacin de la ley respuesta. De acuerdo con loeSitio Web, la misin de la NIPC es "Detectar, disuadir, evaluar, prevenir, responder, e invertirpuerta de los actos ilcitos que involucran las tecnologas informtica y de informacin y de los actos ilcitos, tanto fsicos y cibernticos, que amenazar o atacar nuestras infraestructuras crticas Administrar equipo intrusin las investigaciones Apoyo a la aplicacin de la ley, lucha contra el terrorismo, y contrainteligencia extranjera Misiones relacionadas con los delitos cibernticos y intrusin Apoyar a las autoridades nacionales de seguridad cuando los actos ilcitos van ms all de la delincuencia y son en el extranjero patrocinados por los ataques a inters de los Estados Unidose Coordla formacin de investigadores cibernticos Nate y protectores de infraestructura en gobiernocin y el RPtor privado " El Instituto SANS (www.sans.org ). Compuesto por profesionales de la seguridad, auditores, as como los administradores de sistemas y redes, la misin del Instituto SANS es compartir las lecciones que han aprendido y encontrar soluciones a los desafos que enfrenta la comunidad de seguridad informtica en general. En el corazn de SANS son los profesionales de la seguridad en muchas agencias gubernamentales, corporaciones y universidades de todo el mundo que ofrecen a cientos de horas-hombre cada ao la investigacin y la enseanza para ayudar a toda la informacin seguridad de la comunidad. La Seccin de Delitos Informticos y Propiedad Intelectual (CCIPS) (www.cybercrime.gov). Una divisin del Departamento de Justicia de EE.UU., CCIPS consistenede los abogados que se centran exclusivamente en las cuestiones planteadas por la computadora y la propiedad intelectual crimen. Abogados CCIPS ayudar a Asesorar a los fiscales federales y agentes de aplicacin de la leyeOpina sobre la legislacin y proponer Coordnate los esfuerzos internacionales para combatir la delincuencia informtica
Litcasos de puerta Capacitar a los grupos de aplicacin de la ley Otro reas de conocimiento que poseen los abogados CCIPS incluyen el cifrado, las leyes electrnicos pri-Vacy, registro e incautacin de las computadoras, comercio electrnico, las investigaciones de hackers, y delitos de propiedad intelectual.
244
El Computer Security Resource Center (CSRC) (www.csrc.nist.gov ). Como una divisin del Instituto Nacional de Estndares y Tecnologa, la misin de la CSRC, por su pgina web, es ayudar a mejorar la seguridad informtica por "El aumento de la conciencia de los riesgos de TI, vulnerabilidades, y los requisitos de proteccin, espe-particularmente para las tecnologas nuevas y emergentes Investigar, estudiar y asesorar a los organismos de vulnerabilidades de TI, y la elaboracin de las tcnicas de la seguridad econmica y la privacidad de los sensibles sistemas federales Elaboracin de normas, parmetros, pruebas y validacin de programas de: promover, medir y valoresfecha de la seguridad en los sistemas y servicios; a Edcate a los consumidores, y establecer al mnimum requisitos de seguridad para los sistemas federales Desarrollar una gua para aumentar asegurar las TI de la planificacin, ejecucin, gestin, y la operacin "
la parte fundamental y esencial componente de la mayor parte de un plan de seguridad global. Tendencias futuras en la seguridad de la computadora sin duda se ocupar de este tema y pueden incluir un aumento en la externalizacin de los servicios de seguridad. Esto se debe principalmente a consecuencia de la creciente complejidad en la gestin de la seguridad y el aumento del riesgo y la gravedad de las amenazas de seguridad que enfrentan las organizaciones hoy en da. En el futuro, la autenticacin fuerte tambin jugar un papel clave e incluso puede actuar como base para los sistemas monetarios flexibles y seguras. El campo de la seguridad informtica est en continua evolucin, y es comn ver a ms preguntas que hay soluciones.
245
Los sitios populares de Internet donde se puede hasta al da la informacin se encuentran en relacin con equipo seguincidentes ridad y la medicina forense Una visin general de algunas de las tendencias futuras en la tecnologa de la informacin de seguridad
Apndice A
Qu hay en el CD-ROM
En este apndice se proporciona informacin sobre el contenido del CD que acompaa a este libro. Para la informacin ms reciente y ms grande, por favor, consulte el archivo README situado en el directorio raz del CD. Esto es lo que encontrar: Requisitos del sistema Uso del CD de Windows y Linux Qu hay en el CD Solucin de problemas
247
248
cuenta con una dife-ent ame, el cambio CD-ROM a dicho dispositivo AME - por ejemplo, CD-ROMl.)
b. Grfica: Haga clic con el IC de CD-ROMn en el escritorio y seleccione el Monte de CD-ROM. Con esto se montar el CD-ROM. 4. Explorar el CD y siga las instrucciones de instalacin individuales para la produccinsUsted a continuacin. 4. Para extraer el CD de la unidad de CD-ROM, siga estos pasos: una. Instrucciones de lnea de comandos: En el smbolo del sistema: umount / mnt / cdrom b. Grfica: Haga clic con el IC de CD-ROMn en el escritorio y seleccione UMount CD-ROM. Esto desmonta la unidad de CD-ROM.
Qu hay en el CD
Las siguientes secciones proporcionan un resumen del software y otros materiales que encontrars en la el CD.
Listas de autor
A continuacin se presentan las listas de verificacin que describen los pasos bsicos y los procedimientos para la recoleccin de datos, la preservacin de pruebas, y respuesta a incidentes. Ms listas de control se encuentra en el CD.
DESARROLLO DE UNA SEGURIDAD de respuesta a incidentes
Definir su organizacin'S la estructura general de respuesta a incidentes. Desarrollar e implementar mecanismos de alerta que permitan una accin rpida. Establecer una estructura de informacin centralizada. Designar y capacitar al personal de respuesta a incidentes.
PREPARACIN DE LOS SISTEMAS DE RECOPILACIN DE DATOS
Habilitar el registro y la auditora en todas las estaciones de trabajo y servidores. Haga todas las estaciones de trabajo y servidores de tiempo sincronizados
con un fiable y precisa Servidor horario de Internet, como www.time.nist.gov . El uso de sellado de tiempo y asegurarse de que la verificacin de los sellos de tiempo dentro de su sistema no se puede modificar o distorsionada. Identificar los dispositivos de red mediante la creacin de un mapa de red para servir como una representacin grfica de lnea de base y los dispositivos de la red para referencia futura.
250
Analizar los procesos anormales del sistema a travs del Administrador de tareas de Windows o de terceros herramientas como Process Explorer. Detectar archivos inusuales o escondidos mediante la modificacin de Windows para mostrar ciertos tipos de archivos ocultos. Lcate rootkits y puertas traseras en los sistemas Unix y Linux mediante el uso de programas de terceros como Intacta por el software de pedestal o por medio de la inspeccin manual. Seuna de puertas traseras y sniffers de red mediante el netstat-n y ifconfig-a comandos.
Recuperar y analizar PISTAS
Realice bsquedas de palabras clave que utilizan las herramientas de terceros como el investigador del disco o BinTex. LCate y examinar el archivo de intercambio de Windows para las pruebas. En Windows 95/98/ME, el archivo de intercambio se llama win386.swp, y en Windows NT/2000/XP, se llama pagefile.sys. Lcar y recuperar el correo electrnico pruebas. Mensajes de correo electrnico se pueden encontrar en una serie de dife-rentes lugares, tales como buzn de correo electrnico del remitente / salida, el buzn de un servidor de red, o los medios de copia de seguridad. Recuperar datos desde la memoria cach del navegador web y la historia. Cachs web revelan mucho acerca de los sitios Web que un usuario ha visitado. La mayora de los navegadores web actuales (por ejemplo, Internet Explorer y Netscape Navigator) proporciona servicios de cach web y mantener la navegacin historia. Reunir pruebas de la cola de impresin de Windows (EMF). Aunque nunca un usuario guarda un documento de procesamiento de textos, las versiones temporales de documentos de procesamiento de textos-algunos- veces permanecen en el disco duro. Lcate de datos en las extensiones de archivos ocultos o enmascarados. Asegrese de seuna de las pruebas escondidas en las imgenes esteganogrficos y protegidos con contrasea archivos comprimidos.
Procedimientos bsicos para recoger y preservar evidencia
Entender la volatilidad de las pruebas. Algunas pruebas, como los datos en la RAM de la computadora, slo existe mientras el ordenador est encendido. Crse comi un disco de arranque en modo real, porque el simple acto de encender el ordenador puede destruir posibles pruebas. Mediante el uso de un especial modo real disco de arranque, un forense de investi-gacin puede llevarse a cabo sin tener que arrancar el ordenador a travs de la unidad de disco duro. El uso de analizadores de paquetes para reunir pruebas. Investigaciones informticas a veces justificar la captura de "vivos" de datos a medida que viaja en el tiempo real a travs de equipo de una organizacin red.
Construir un conjunto de herramientas forenses. Esencial para cualquier investigacin de equipos, herramientas vienen en dos tipos, aquellos que se monten a s mismo ya los pre-fabricados que se descargan o COMPRA como una suite de cualquier uno de los muchos proveedores de software forense. Sigue una cadena de custodia. La cadena de custodia es un registro de manejo de la evidencia desde el momento del embargo a la vez la evidencia es presentada en un tribunal de justicia. Asegrese de que la admisibilidad de las pruebas a travs de la autenticacin. Antes de que un registro de la computadora puede ser utilizada como prueba, en primer lugar, debe ser probado para que sea autntico.
Contener el incidente. El objetivo es limitar el alcance y la magnitud de un incidente de pre-ventilar el incidente de causar ms dao. Determinar el riesgo de las operaciones continuadas. Si el sistema contiene informacin clasificada o sensible-tiva o si los programas crticos corren el riesgo de quedar daado, por lo general se recomienda que el sistema se apague o por lo menos temporalmente desconectado de la red. Sever conexiones de red e Internet. Por ejemplo, si un virus de la salud sea grave, como un gusano de rpida propagacin o el caballo de Troya peligroso, Ud. debe reportar inmediatamente des-conectar el ordenador infectado de la red. Comprender los riesgos del uso de recursos compartidos de red y el archivo. Muchos virunses y los gusanos se utilizan acciones de archivos de red como un medio para apuntalarla puerta a travs de una red. Establecer un modelo de confianza. Un modelo de confianza es un medio para ayudar a reconocer y visualizar los distintos grados de confianza, intencionalmente o no concedido a individuosais, basado en los riesgos asociados a la concesin de la confianza. Cambie peridicamente las contraseas. Las contraseas son una de las primeras lneas de defensa que tienen los usuarios para proteger sus sistemas. Cambiar con frecuencia o despus de un compromiso del sistema es obligatoria. Promover la concienciacin sobre la seguridad mediante el uso de las estrategias multimedia de documentacin que puede ser fcilmente o de forma peridica a todos los miembros de la organizacin.
Desarrollar un Plan de Recuperacin de Desastres. Saber cmo reaccionar adecuadamente en una emergencia es fundamental para la toma de decisiones que reduzcan al mnimo el dao resultante y restaurar rpidamente operaciones. Desarrollar procedimientos de registros de incidentes. Los mtodos utilizados para CRcomi sus registros deben ser documentados para asegurar la capacidad de recuperar, leer y utilizar esos registros en el futuro. Utiliza un sistema de alimentacin ininterrumpida (SAI). En el caso de una falla de energa, una generacin de Tor no puede suministrar la energa necesaria para mantener ininterrumpida la operacin de sistema informtico o realizar un cierre ordenado de una estacin de trabajo o servicion
Realice copias de seguridad peridicas. Cuando ocurre un desastre, una copia de seguridad puede ser la nica esperanza de recuperar los datos originales. Despus de un incidente, para supervisar los sistemas de actividad inusual o sospechosa. Adems, un post-mortem examen debe llevarse a cabo para que la organizacin puede aprender de la experiencia y, si es necesario, actualizar sus procedimientos. Anticpat y un plan para futuros ataques. Correctamente la previsin y la planificacin de las interrupciones imprevistas de las operaciones de negocio es importante para mantener la competitividad.
Software
El CD contiene el siguiente shareware, freeware y software de prueba / demo programas para las plataformas Windows y Linux. Como herramientas bsicas para llevar a cabo una in-house equipo de investigacin forense, estos programas le ayudan a recopilar, preservar y analizar la evidencia relacionada con la informtica. Autopsia Forense navegador (Software de prueba) es una interfaz grfica a la Pieza de lnea de comandosambientales herramientas de anlisis forense en el kit de juego Sleuth @ (tarea). Juntos, TAREA y Autopsia proporcionan muchas de las mismas caractersticas comerciales de las herramientas de anlisis forense digital para el anlisis de los sistemas de archivos de Windows y Unix (NTFS, FAT, FFS, ext2fs y Ext3FS). Para informacin adicional, visite www.atstake.com/research/tools/autopsy/~~V.
Byteback, por Assist Tech, Inc., es una demostracin profesional de recuperacin de datos y el ordenador-investiga-cin de servicios pblicos. Algunos de sus principales caractersticas son la posibilidad de clonar un disco o una imagen utilizando una copia del sector fsico de la mayora de los medios de comunicacin a gustar los medios de comunicacin (clon) o un archivo comprimido (imagen). Byteback puede reparar automticamente las particiones y discos de arranque de FAT12, FAT16, FAT32 y NTFS, y ofrece la recuperacin de archivos individuales para estos entornos. Byteback contiene un editor de sector de gran alcance para trabajar con datos en bruto. Para obtener ms informacininformacin, visite www.toolsthatwork.com / byte.shtml.
Cain & Abel es una herramienta de recuperacin de contrasea para los sistemas operativos de Microsoft. Se permite una fcil la recuperacin de varios tipos de contraseas por inhalacin de la red, agrietamiento cifrados pasan de palabras a partir de diccionario y ataques de fuerza bruta, la decodificacin revueltos contraseas, revelan-Ing cuadros de contrasea, y el anlisis de protocolos de enrutamiento. Para obtener ms informacin, visite
www.oxid.it / projects.html.
Kiwi Syslog Daemon es un demonio del syslog freeware para Windows. Recibe, registra, pantallas, y remite mensajes del syslog de los anfitriones, tales como routers, switches, Unix anfitriones, y cualquier otro dispositivo habilitado para syslog. Para obtener ms informacin, visite www.
kiwisyslog.com.
MaresWare suite (Software de prueba) proporciona un conjunto de herramientas para la investigacin de los registros informticos adems de las capacidades de anlisis de datos. Esta suite paquete de ms del 40 septiembreprogramas de tarifas permite a los que para llevar a cabo una variedad de tareas y le da el control para llevar a cabo una investigacin o anlisis en la forma que desee. Para obtener ms informacin, visite www.dmares.com/
maresware / suite.htm.
253
Incautacin PDA (Demoware), por el paraben, es una completa herramienta que permite que los datos de PDA a adquirir, ver, e informaron sobre, todo ello en un entorno Windows. Para obtener ms informacin, visite www.paraben-forensi es.com / pda.html . ProDiscover DFT (Demoware), por Caminos de Tecnologa, ofrece a los examinadores forenses una aplicacin integrada de Windows para la recoleccin, anlisis, gestin y presentacin de informes de las pruebas disco de la computadora a un precio asequible. Las caractersticas incluyen la capacidad de generacintasa de flujo de bits de copia de disco a disco nuevo, recuperar archivos eliminados que figuran en el espacio de holgura y de visualizacin de datos contenidos en Windows NT/2000 Altflujos de datos rnate. Dado que este producto se actualiza con frecuencia, visite www.techpathways.com actualizaciones de productos y adicionales informacin. RegCleaner es un programa fcil de usar freeware que permite que el usuario para detectar y eliminar od y obsoletas del registro enFRies. Las caractersticas incluyen la capacidad de eliminar los tipos de archivos, od de software enFrios, y los archivos no utilizados DLL. Para obtener ms informacin, visite
www.vtoy.fi/jvl6/shtml/regcleaner.shtml.
El @ stake Sleuth Kit (TASK) software de cdigo abierto permite a un investigador para examinar los sistemas de archivos de un ordenador de una manera no intrusiva. TAREA es una coleccin de basados en Unix de lnea de comandos herramientas que se pueden analizar las ECAs NTFS, FAT, ext2fs y Ext3FS sistemas de archivos. TAREA lee y procesa las estructuras del sistema de archivos y por lo tanto no requiere el apoyo del sistema operativo para los sistemas de archivos. Estos pueden ser usados durante la respuesta a incidentes en los sistemas vivos a pasar por alto los ficheros del ncleo y punto de vista que estn siendo ocultadas por los rootkits. Para obtener informacin adicional, visita www.atstake.com/research/tools/task/~~V. Ultcompaero de ZIP Cracker (Software de prueba), por el VDG de software, est diseado para recuperar las contraseas perdidas para varios tipos de archivos, tales como: MS-Word (*. DOC) en la Oficina 97-XP, MS-Excel documentos (*. XLS) en la Oficina 97XP y archivos ZIP creados por PKZIP, WinZip y muchos otros. El programa utiliza un Asistente para contrasea y proporciona un fcil paso a paso de recuperacin de contrasea. Para obtener ms informacin, visite
www.vdgsoftware.com / uzc.html.
Shareware adicional, freeware y software de prueba / demo informtica forense programas para las plataformas Windows y Linux son Usted continuacin.
Producto AME
Advanced Password Recuperacin de software
Empresa AME
ElcomSoft Co. Ltd.
Tipo de software
shareware
URL
www.elcomsoft.com
Automachron
gratuito
Demo juicio
Producto AME
Detective dtSearch Desktop E-mail Examiner Emulador Personal Edition F.I.R.E. LADS
Empresa AME
Tech Assist, Inc. dtSearch Corp. Paraben Corporation Paragon Technologie GmbH DMZ Services, Inc. Frank Heyne Software Atstake Limited
Tipo de software
Demo evaluacin Demo Demo
URL
www.toolsthatwork.com www.dtsearch.com www.paraben-forensics.com www.paragon-gmbh.com
www.dmzs.com www.heysoft.de / index.htm www.atstake.com/research/~ ~V lc/application/lc4setup.exe www.redhat.com www.insecure.org/nmap/ ndex.html # download www.officerecovery.com
LC4
Linux dd Nmap
gratuito gratuito
OfficeRecovery Empresa
Recoveronix Ltd.
Demo
pdd
PLAC
Paraben Corporation
Demo
desconocido
gratuito
Para obtener descripciones de los productos enumerados anteriormente, consulte el archivo Read Me en el CD. Programas shareware son totalmente funcionales versiones de prueba de los programas de derechos de autor. Si te gusta un programa en particular, registrar a sus autores por una tarifa nominal y recibir licencias, versiones mejoradas y soporte tcnico. Programas Freeware son juegos con derechos de autor, las aplicaciones y utilidades que son gratis para uso personal. A diferencia de version de prueba, estos programas no requieren de una cuota o prestar apoyo tcnico. El software GNU se rige por su propia licencia, que se incluye en el interior la carpeta del producto GNU. Vea la Licencia GNU para ms detalles.
Prueba, demostracin o evaluacin versiones suelen ser limitados, ya sea por tiempo o funcionalidad (como no ser capaz de salvar los proyectos). Algunas versiones de prueba son muy sensibles a los cambios de fecha del sistema. Si se altera la fecha de su computadora, los programas "time out" y dejar de ser funcional.
255
Solucin de problemas
Si tiene dificultades para instalar o utilizar cualquiera de los materiales en el CD, probar el seguimientoque ofrece soluciones para: Desactive cualquier software antivirus que pueda estar ejecutndose. Instaladores veces imitan la actividad del virus y puede hacer que su equipo creen errneamente que se est infectado por un virus. (Asegrese de activar el software antivirus de nuevo ms tarde.) Cis todos los programas en ejecucin. Cuantos ms programas que est ejecutando, menos memoria que est disponible para otros programas. Los instaladores tambin suele actualizar los archivos y programas, si se mantiene otros programas en ejecucin, la instalacin puede no funcionar correctamente. Referencia del Lame. Por favor, consulte el archivo README situado en el directorio raz del CD-ROM para la informacin ms reciente en el momento de la publicacin.
Si todava tiene problemas con el CD, por favor, calyola atencin al cliente el nmero de telfono: (800) 762 a 2974. Fuera de los Estados Unidos, calyo1 (317) 572-3994. Tambin puede comunicarse con Servicio al Cliente por e-mail a techsupdum @ wi 1ey.com. Wiley Publishing, Inc. proporcionar apoyo tcnico slo para la instalacin y otros temas generales de control de calidad, para el apoyo tcnico en la aplicaciones propias, consulte con el proveedor del programa o el autor.
Apndice B
Puerto #
0 8 9 19 21 23 25 31 41 53 58 69 70 79 80
Protocolo
ICMP ICMP
Tipo de ataque
Haga clic en atacar a Ping ataque Chargen Chargen El servicio FTP, Dolly de Troya Servicio Telnet SMTP, Antigen Agente 31, Hacker's Paradise Garganta Profunda
UDP UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
DNS
El programa de instalacin de MS W32.Evala.Worm W32.Evala.Worm Firehotcker Ejecutor Seguido
257
258
Puerto #
90 110 113 119 121 129 135 137 138 139 146 421 456 531 555 666 777 901 902 911 999
1000 1001 1011 1012 1015 1024
Tipo de ataque
Ocultos 2.0 puerto ProMail Troya Kazimas Happy99 Jammer Killah Password Generator Protocolo NetBIOS remota CALyo NetBIOS AME (ataque DoS) Datagramas NetBIOS Sesin NetBIOS (ataque DoS) Infector 1,3 Los wrappers TCP Hacker's Paradise Rasmin Sigilo espa, Phaze, 7-11 de Troya Ataque FTP AIM aplicacin espa Backdoor.Devil Backdoor.Devil Dark Shadow Garganta Profunda Der Spaeher Silencer, WebEx Hacer Yomente de Troya Hacer Yomente de Troya Hacer Yomente de Troya NetSpy
TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
1025
UDP
Puerto # 1027 1029 1032 1033 1034 1042 1045 1090 1170 1207 1214 1234 1243 1245 1269 1349 1394 1492 1505 1509 1533 1600 1604 1722 1807 1981 1999
Protocolo TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP
TCP / UDP
260
Puerto #
2000 2001 2002 2003 2004 2005 2023 2090 2115 2140 2155 2283 2565 2583 2716 2721 2801 2989 3024 3028 3129 3150 3256 3332 3410 3456 3459
Protocolo
TCP / UDP
Tipo de ataque
BackDoor.Fearic Trojan Cow TransScout TransScout TransScout TransScout Destripador Backdoor.Expjan Errores Garganta Profunda lllusion Mailer HLV Rat5 Huelguista WinCrash La Oracin de 01.02 a 01.03 Fase Cero Phineas Phucker
TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP
TCP / UDP
Rata
WinCrash Ring Zero Maestro's Paradise Garganta Profunda W32.HLLW.Dax Q0 BackDoor OptixPro.12 Backdoor.Fearic Eclipse 2000
TCP
3700
TCP
Portal of Doom
Puerto #
3737 3791 3801 4092 4100 4128 4567 4590 5000 5001 5011 5031 5032 5152 5321 5400 5401 5402 5503 5512 5521 5550 5555 5556 5557 5558 5569
Protocolo TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP
Tipo de ataque
Backdoor.helios Eclypse Eclypse WinCrash WatchGuard Firebox administrador DoS Expl Backdoor.rcserv Lima de uas ICQ Troya Sokets de Trois v1./Bubbel Sokets de Trois v1./Bubbel Ootlt Red Metropolitana de 1,0 Red Metropolitana de 1,04 Backdoor.laphex.client Firehotcker Blade Runner Blade Runner Blade Runner Shell remoto de Troya Xtcp lllusion Mailer Xtcp ServeMe BO Fcil BO Fcil Backdoor.Easyserv Robo-Hack Seguido
262
Puerto #
5637 5638 5714 5741 5742 6000 6112 6346 6400 6667 6669 6670 6671 6711 6712 6713 6723 6771 6776 6838 6912 6939 6969 6970 7000 7028 7300
Tipo de ataque
PC Crasher PC Crasher WinCrash WinCrash WinCrash La Cosa 1.6 Battle.net Juego (no es un troyano) Gnutella clon (no es un troyano) La Cosa Sub-7 de Troya (nuevo ICQ notificacin) Vampyre Garganta Profunda Garganta Profunda SubSeven, Backdoor.G SubSeven SubSeven Mstream ataque del controlador Garganta Profunda SubSeven, Backdoor.G Mstream agente controlador de Sh * t Montn Adoctrinamiento Backdoor.Sparta.B Puerta Crasher Grab a distancia Troya Desconocido Net Monitor
TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP
TCP / UDP
TCP
7301
TCP
Net Monitor
Puerto #
7306 7307 7308 7410 7597 7614 7789 7983 8012 8080 8787 8811 8879 8888 8889 9325 9400 9696 9697 9872 9873 9874 9875 9876 9878 9989 9999
Protocolo TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP
TCP / UDP TCP / UDP TCP / UDP
Tipo de ataque
Net Monitor Net Monitor Net Monitor Backdoor.phoenix QAZ (troyano de acceso remoto) Backdoor.GRM ICKiller MStream gestor-agente Backdoor.Ptakks.b Ring Zero BackOrifice 2000 Backdoor.Fearic BackOrifice 2000 W32.Axatak W32.Axatak MStream agente controlador de InCommand Backdoor.gholame Backdoor.gholame Portal of Doom Portal of Doom Portal of Doom Portal of Doom El atacante de Cyber Trans Scouts Ni-Killer La Oracin de 01.02 a 01.03 Seguido
TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
Puerto #
10008 10067 10167 10498 10520 10607 10666 11000 11050 11223 11831 12076 12223 12345 12346 12361 12362 12456 12631 12701 12754 13000 13700 15104 15432 16322 16484
Protocolo TCP
TCP / UDP TCP / UDP
Tipo de ataque
Queso del gusano Portal of Doom Portal of Doom Mstream gestor-agente Shivers cido Coma Emboscada Senna espa Control del sistema ProgenitoraseTroya Servidor Latino GJamer Hack'99, KeyLogger Netbus, Ultor's de Troya Netbus Whack-a-Mole Whack-a-Mole NetBus Whackjob Eclypse 2000 Mstream ataque del controlador Senna espa Kuang2 el Virus Mstream ataque del controlador Backdoor.Cyn Backdoor.Lastdoor Mosucker
UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
16959
TCP
Puerto #
16969 17300 18753 20000 20001 20034 20203 20331 20432 20433 20480 21554 22222 22784 23476 23477 26274 27374 27379 27444 27573 27665 29559 29891 29999 30029 30100
Protocolo TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP
TCP / UDP
Tipo de ataque
Prioridad El virus de la Kuang2 Eje manejador al Agente Milenio Milenio NetBus Pro 2 En lnea! Bla Troya Eje del cliente a los controladores Agente del eje a los controladores Trojan.Adnap GirYoAmigo Prosiak Backdoor-ADM Donald Dick Donald Dick Delta Fuente Sub-7 2.1 Backdoor.optix.04 Trin00/TFN2K Sub-7 2.1 TrinOO Ataque DoS Servidor Latino La inexplicable Backdoor.Antilam.20 AOL Troya NetSphere Seguido
266
Puerto #
30101 30102 30133 30303 30999 31335 31336 31337 31337 31338 31338 31339 31666 31785 31787 31789 31790 31791 32418 33270 33333 33390 33911 34324 37651 40412 40421 40422
Protocolo TCP TCP TCP TCP TCP UDP TCP TCP UDP TCP UDP TCP TCP TCP UDP UDP UDP UDP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP
Tipo de ataque
NetSphere NetSphere NetSphere final Sockets de Troie Kuang2 TrinOO Ataque DoS BO-Whack Netpatch BackOrifice (BO) NetSpy DK Profundo BO NetSpy DK BOWhack Hack'a'Tack Hack'a'Tack Hack'a'Tack Hack'a'Tack Hack'a'Tack cido de la batera Trinidad Troya Prosiak Troya Desconocido Espritu de 2001, un BigGluck, TN Sin embargo, otro troyano El espa Agente, el capitn's del Paraso Maestro's Paradise
40423
TCP
Maestro's Paradise
Puerto #
40425 40426 43210 47252 47262 47891 49301 50505 50776 51234 53001 54320 54320 54321 54321 56565 57341 58008 58009 59211 60000 61000 61348 61466 61603 63485 65000
Protocolo TCP TCP TCP TCP UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP UDP TCP
TCP / UDP
Tipo de ataque
Maestro's Paradise Maestro's Paradise Maestro's Paradise Delta Fuente Delta Fuente Backdoor.antilam.20 OnLine keylogger Sockets de Trois-v2. Fore Backdoor.Cyn Remoto de apagado de Windows BackOrifice 2000 BackOrifice Del autobs escolar, BackOrifice BackOrifice 2000 Backdoor.Osirdoor NetRaider Troya BackDoor.Tron BackDoor.Tron BackDoor.DuckToy Garganta Profunda Backdoor.mite Bunker-Hill de Troya Telecommando Bunker-Hill de Troya Bunker-Hill de Troya Stacheldraht, Diablo
TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
65535
TCP
Apndice C
Delitos Informticos y Propiedad Intelectual (CCIPS) Gua de campo de nuevas autoridades que se relacionan con delitos informticos y las pruebas electrnicas, promulgado en la Ley Patriota de EE.UU. de 2001
Seccin 202 Autoridad para interceptar las comunicaciones de voz en las investigaciones de piratera informtica
La ley anterior: Bajo la ley anterior, los investigadores no pudieron obtener una orden judicial para interceptar comunicaciones por cable (las relativas a la voz humana) por violacines de la Ley de Fraude y Abuso (18 USC 1030). Por ejemplo, en varias investigaciones, los hackers han robado ferencing teleconferencia-los servicios de una compaa telefnica y se utiliza este modo de comunicacin para planificar y ejecutar ataques de piratas informticos. Enmienda: La seccin 202 modifica la 18 USC 2516 (1) - la subseccin que se enumeran los delitos por los cuales los investigadores pueden obtener una orden judicial para el cable de comunicaciones, mediante la adicin de delito grave violacines de 18 USC 1030 a la lista de preddelitos Cate. Esta provisin llegaran a 31 de diciembre 2005. 269
270
electrnicas
La ley anterior: Subseccin 2703 (c) permite que el gobierno utilice una citacin para obligar a una clase limitada de informacin, tales como el cliente ombre, direccin, tiempo de servicio, y los medios de pago-cin. Antes de las enmiendas de la Seccin 210 de la ley, sin embargo, la lista de registros que se inves-Gators podran obtener con una citacin no incluye ciertos registros (como el nmero de tarjeta de crdito u otra forma de pago por el servicio de comunicacin) pertinentes para determinar verdadera identidad de un cliente. En muchos casos, los usuarios se registren con los proveedores de servicios de Internet con falsas Ames. Con el fin de mantener estos individuosais responsables de actos delictivos cometidos en lnea, el mtodo de pagocin es un medio esencial para determinar la verdadera identidad.
271
Por otra parte, muchas de las definiciones en la seccin 2703 (c), fue la tecnologa especfica, sobre la enseanza pri-ilia a las comunicaciones telefnicas. Por ejemplo, la lista incluye "locales y de larga distancia de facturacin telefnica al nmero de registros," pero no incluye trminos paralelos para las comunicaciones en redes informticas, tales como "los registros de los tiempos y la duracin de la sesin." Del mismo modo, la lista anterior permiti que el gobierno -mento de utilizar una orden judicial para obtener el cliente "nmero de telfono o nmero de abonado o la identidad de otra," pero no define lo que significa esa frase en el contexto de las comunicaciones por Internet. Enmienda: Las enmiendas a la seccin 2703 (c) actualizar y ampliar la lista reducida de los registros que las autoridades policiales pueden obtener con una citacin. El nuevo inciso 2703 (c) (2) incluye "los registros de tiempo de la sesin y la duracin", as como "cualquier direccin asignada temporalmente de la red." En el contexto de Internet, estos registros incluyen el protocolo de Internet (IP) asignada por el proveedor para el cliente o abonado para una sesin determinada, as como la direccin IP remota de la que un cliente se conecta al proveedor. La obtencin de los registros puedan hacer que el proceso de identificacin de equipo criminais y el rastreo de sus comunicaciones por Internet ms rpido y ms fcil. Por otra parte, las enmiendas aclaran que los investigadores pueden utilizar una citacin judicial para obtener el "medio y fuente de pago" que un cliente utiliza para pagar por su cuenta con un proveedor de comunicaciones ", incluyendo cualquier tarjeta de crdito o nmero de cuenta bancaria", 18 USC 2703 (c) (2) (F). Aunque, en general til, esta informacin ser particularmente valiosa en la identificacin de los usuarios de los servicios de Internet que una empresa no verifica la informacin de sus usuarios biogrfica. (Esta segcin no est sujeta a la provisi extincinn en el artculo 224 de la Ley).
Cable, muchas empresas de cable ofrecen no slo servicios tradicionales de programacin por cable, sino tambin el acceso a Internet y servicio telefnico. En los ltimos aos, algunas compaas de cable han negado a aceptar las citaciones y rdenes judiciales de conformidad con el estatuto de la pluma / trampa y la ECPA, teniendo en cuenta la aparente inconsistencia de estos estatutos, con severas restricciones de la Ley de Cable. Ver En la solicitud de re de los Estados Unidos, 36 F. Supp. 2d 430 (D. Mass. 09 de febrero 1999) (teniendo en cuenta el conflicto legal aparente y en ltima instancia, la concesin de solicitud de orden en virtud del 18 USC 2703 (d) para los registros de la compaa de cable que ofrecen servicio de Internet). El tratamiento de registros idnticos de manera diferente dependiendo de la tecnologa utilizada para acceder a Internet no tiene mucho sentido. Por otra parte, estas complicaciones a veces retrasa o terminado las investigaciones importantes.
272
Enmienda: El artculo 211 de la Ley modifica el Ttulo 47, seccin 551 (c) (2) (D), para aclarar que la ECPA, el estatuto de escuchas telefnicas, y la trampa y el estatuto de seguimiento regular las revelaciones de las compaas de cable que se relacionan con la provisin de los servicios de comunicacin, tales como los servicios de telefona e Internet. La enmienda mantiene, sin embargo, la primaca de la Ley de Cable con respecto a los documentos que revelen lo ordinario cable de Televisin la programacin de un cliente decide comprar, como particulares de prima canales o "pay-per-view" espectculos. As, en el caso de que un cliente recibe acceso a Internet y cable convencional Televisin de servicios de un proveedor de un solo cable, una entidad del gobierno puede utilizar un proceso legal en virtud de ECPA para obligar al proveedor a revelar slo los registros de los clientes relacionados con el servicio de Internet. (Esta seccin no est sujeto a la provisi puesta de soln en la seccin 224 de la Ley).
persona. Esta revelacin voluntaria, sin embargo, no crcomi una obligacin positiva de examinar las comunicaciones de los clientes en la bsqueda de tales peligros inminentes. Las modificaciones contenidas en la Seccin 212 de la Ley ECPA tambin cambian para permitir que los proveedores a revelar informacin para proteger sus derechos y la propiedad. Se lleva a cabo este cambio por dos conjuntos relacionados de enmiendas. En primer lugar, las enmiendas a las secciones 2702 y 2703 del ttulo 18 simplificar el tratamiento de la divulgacin voluntaria por los proveedores, moviendo todas las disposiciones de 2702. As, el artculo 2702 regula ahora todas las revelaciones permisivas (de contenido y registros sin contenido igual), mientras que la seccin 2703
273
cubre nicamente las divulgaciones obligatorias por parte de los proveedores. En segundo lugar, una enmienda al nuevo inciso 2702 (c) (3) aclara que los proveedores de servicios tienen la autoridad legal de revelar sin contenido registros para proteger sus derechos y la propiedad. Todos estos cambios queden sin efecto al 31 de diciembre 2005.
La ley anterior: Cuando el Congreso aprob el Estatuto de la pluma / nasa en 1986, no poda anticpat de la expansi dramticon en las comunicaciones electrnicas que se produciran en los siguientes quince aos. Por lo tanto, la ley contiene cierto lenguaje que pareca aplicarse a las comunicaciones telefnicas y de forma inequvoca que no abarcan las comunicaciones por redes informticas. A pesar de numerosos tribunales de todo el pas han solicitado la estatua de la pluma / trampa para las comunicaciones en la comunidadlas redes de computadora, ningn distrito federal o tribunal de apelacin ha pronunciado de forma expresa en su propiedad. Adems, ciertas prlos litigantes privados han cuestionado la aplicacin de la ley lpiz / trampa para tales comunicaciones electrnicas, basado en el telfono especfico del lenguaje del estatuto. Enmienda: La Seccin 216 de la Ley de enmienda las secciones 3121, 3123, 3124 y 3127 del ttulo 18 para aclarar que el estatuto de la pluma / trampa se aplica a una amplia variedad de tecnologas de la comunicacin. ". Lnea u otra instalacin" Las referencias a la diana "lnea", por ejemplo, se revisan para abarcar una Dicha instalacin puede incluir, por ejemplo, un nmero de telfono celular; un teleobjetivo celular especficade telfono identifica por su nmero de serie electrnico, una cuenta de usuario de Internet o direccin de correo electrnico, o una direccin de Protocolo de Internet, nmero de puerto o direccin similar red informtica o rango de direcciones. Adems, porque la ley tiene en cuenta una amplia variedad de estas instalaciones, las enmiendas a la seccin 3123 (b) (l) (C) permiten ahora a los solicitantes de las rdenes de la pluma / trampa en aportar una descripcin de las comunicaciones que se traz utilizando cualquiera de estos u otros identificadores. Por otra parte, las enmiendas aclaran que las rdenes para la instalacin de registro de la
pluma y la trampa y los dispositivos de rastreo puede obtener cualquier falta de contenido de la informacin para todos "marcacin, enrutamiento, direccionamiento y sealizacin de la informacin" - utilizado en el procesamiento y la transmisin de cable y las comunicaciones electrnicas . Dicha informacin incluye las direcciones IP y nmeros de puerto, as como la informacin "a" y "De" que figura en un encabezado de correo electrnico. Pen / trampa de rdenes no pueden, sin embargo, autorizar la interceptacin del contenido de una comunicacin, tales como palabras en el "asunto" o el cuerpo de un e-mail. Los agentes y fiscales que tengan preguntas acerca de si un determinado tipo de informacininformacin que constituye un contenido debe ponerse en contacto con la Oficina de Operaciones encargados de hacer cumplir en el contexto de telfono (202-514-6809) o la Seccin de Delitos Informticos y Propiedad Intelectual en la comordenador contexto (202-514-1026).
274
Adems, debido a que el registro de la pluma o la trampa y rastro "dispositivo" a menudo no pueden estar fsicamente "unido" a la instalacin de destino, la Seccin 216 hace dos cambios relacionados con otros. En primer lugar, en reconocimiento de los el hecho de que estas funciones se realizan comnmente hoy por software en lugar de mecanismos fsicos, el estatuto modificado permite el registro de la pluma o trampa y el dispositivo de seguimiento para ser "unido o aplicada" a la instalacin prevista. Del mismo modo, el artculo 216 revisa las definiciones de "registro de la pluma" y "trampas y el dispositivo de rastreo" en la seccin 3127 para incluir un intangible "proceso" (como un software de rou-diente), que recoge la misma informacin que un dispositivo fsico.
B. EL PAS efecto de las rdenes de PEN / TRAP
La ley anterior: Bajo la ley anterior, un tribunal slo puede autorizar la instalacin de un dispositivo de lpiz / trampa "dentro de la jurisdiccin de la corte." Debido a la desregulacin de las telecomunicaciones en la indus-tria, sin embargo, una sola comunicacin puedan ser realizadas por muchos proveedores. Por ejemplo, un telfono calyopuede ser transportado por un vehculo de cambio competitivo local, lo que le pasa a una empresa de Bell operativo local, lo que le pasa a un proveedor de larga distancia, que se la da a un carrier local en otros lugares en los EE.UU., que a su vez, finalmente podr entregar a un portador celular. Si estos vehculos no pasan la informacin con cada fuente de calyo, La identificacin de esa fuente puede requerir informacin convincente de una cadena de proveedores en todo el pas - que obliga a un septiembretipo de orden. Adems, dado que, segn la ley anterior, un tribunal slo puede autorizar la instalacin de un dispositivo de lpiz / trampa dentro de su propia jurisdiccin, cuando un proveedor se indica que la fuente de una comunicacincin era un proveedor diferente en otro distrito, una de segundo orden en el nuevo distrito se convirti es necesario. Esta orden tuvo que ser adquirida por un fiscal de apoyo en el nuevo distrito de un juez federal local - ninguno de los cuales tena ningn otro inters en el caso. De hecho, en un caso, los investi-gadores necesitan tres septiembrelas rdenes de los tipos de rastrear las comunicaciones de un hacker. Este proceso de duplicacin de la obtencin de un septiembrePara la tasa para cada eslabn de la cadena de las comunicaciones ha retrasado o-dada la dificultad de localizacin en tiempo real - completamente frustradas investigaciones importantes. Enmienda: La Seccin 216 de la Ley se divide la seccin 3123 del ttulo 18 del septiembre en dostipo de disposiciones. Nuevo inciso (a) (l) Otorga a los tribunales federales la autoridad para obligar a la asistencia de cualquier proveedor de servicios de comunicacin en los Estados Unidos, cuya asistencia es apropiada para efec-tuate la orden. Por ejemplo, un fiscal federal puede obtener una orden de rastrear calyos hizo a un telfono en el distrito local de la fiscala. La orden se aplica no slo a la compaa local de servicio de esa lnea, sino tambin a otros proveedores (como el de larga distancia y las compaas regionales en otras partes del pas) a travs del cual calyos se colocan en el telfono de destino. En algunas circunstancias, los investigadores pueden tener para servir a la orden en la primera compaa en la cadena y recibir de esa informacin de la aseguradora identificar el camino de la comunicacin para transmitir a la compaa siguiente en la cadena. El investigador entonces servir a la misma orden judicial en el soporte que viene, incluyendo la informacin de conexin adicional pertinente aprendido de la primera compaa, la segunda aerolnea entonces proporcionar la informacin de conexin en su poder para la comunicacin. El investigador que
repetir este proceso hasta que la orden ha sido notificada al transportista de origen que es capaz de identificar la fuente de la comunicacin. Cuando los fiscales solicitar una orden de la pluma / trampa de utilizar este procedimiento, por lo general no se conoce la ombre de los proveedores de segundas o posteriores en la cadena de comunicacin cubiertas por la orden. Por lo tanto, la aplicacin y el orden no necesariamente se ame a estos proveedores. Las enmiendas a la seccin 3123 por lo tanto, especificar que, si un proveedor que solicite, las autoridades deben ofrecer una "certificacin escrita o electrnica" que la orden se aplica a ese proveedor.
275
Las modificaciones contenidas en la Seccin 216 de la Ley que tambin permiten a los tribunales para autorizar la instalacin y el uso de dispositivos de la pluma / trampa en otros distritos. As, por ejemplo, si una investigacin penal contra el terrorismo o la otra con sede en Virginia descubre una conspiracin utilizando un telfono o una cuenta de Internet en Nueva York, el tribunal de Virginia puede obligar a los proveedores de comunicaciones en Nueva York para ayudar a los inves-caimanes en la recopilacin de informacin en virtud de un lpiz de Virginia / trampa de la orden. De acuerdo con el cambio anterior, la Seccin 216 de la Ley modificatoria del artculo 3123 (b) (l) (C) del ttulo 18 de Elimdominan el requisito de que los federales de la pluma / trampa de las rdenes de especificar sus lmites geogrficos. Sin embargo, debido a que la nueva ley da cumplimiento a nivel nacional para federales de la pluma / trampa de rdenes, una enmienda a la seccin 3127 (2) (A) impone un "nexo" requisito: el tribunal que debe tener competencia sobre el delito en particular se est investigando.
C. INFORMES PARA EL USO DE CUMPLIMIENTO DE LA LEY PEN / TRAMPA DE DISPOSITIVOS En las redes informticas
La Seccin 216 de la Ley tambin establece un requisito adicional para el uso de dispositivos de la pluma / trampa en una clase estrecha de los casos. Por lo general, cuando la polica sirve a un fin de la pluma / trampa en un proveedor de servicios de comunica-cin que proporciona acceso a Internet u otros servicios de computacin para el pblico, el propio proveedor debe ser capaz de recoger la informacin necesaria y le facilitar a la polica. En algunos casos raros, sin embargo, el proveedor puede ser incapaz de llevar a cabo la orden de la corte, necessi-litacin instalacin de un dispositivo (como Etherpeek o DCS1000 del FBI) para recoger la informacincin. En estos casos poco frecuentes, las modificaciones en el artculo 216 requiere que la agencia policial para proporcionar la siguiente informacin a la corte bajo el sello dentro de los treinta das: (1) la identidad de los funcionarios que instalaron o se accede al dispositivo, (2) la fecha y la vez que el dispositivo se ha instalado, el acceso y desinstalado, (3) la configuracin del dispositivo en la instalacin y cualquier modificacin a esa configuracin, y (4) la informacin recogida por el dispositivo. 18 USC 3123 (un) (3).
proveedores a menudo carecen de la experiencia, el equipo, los recursos financieros necesarios, o para controlar los ataques de s mismos, suelen tener una forma efectiva de ejercer sus derechos para protegerse de los atacantes no autorizados. Esta anomala en la ley de creacin, como un comentarista ha sealado, "un resultado extrao", en el que una comunidad "hackers de ordenador legales inmerecidos triunfos derecho a la intimidad del legtimolos derechos de privacidad de las vctimas de yerba mate de los hackers ". Orin S. Kerr, Estamos sobreproteger Cdigo? Reflexiones sobre la primera generacin Derecho de Internet, 57 Washington & Lee L. Rev. 1287, 1300 (2000).
276
Enmienda: Para corregir este problema, el amnuncineen la Seccin 217 de la Ley que las vctimas de los ataques informticos a autorizar a las personas "que acta con apariencia de legalidad" para vigilar a los intrusos en sus sistemas informticos. En la nueva seccin 2511 (2) (i), aplicacin de la ley pueden interceptar las comuni-caciones de un intruso informtico de transmisin, a travs, o desde un ordenador protegido. Antes de que el control puede ocurrir, sin embargo, cuatro requisitos que deben cumplirse. En primer lugar, la seccin 2511 (2) (i) (I) requiere que el propietario u operador de la computadora protegida debe autorizar la interceptacin de las comunicaciones del intruso. La segunda seccin, 2511 (2) (i)(Ii) requiere que la persona que intercepteela comunicacin se lcitamente a una investigacin en curso. Tanto las investigaciones de inteligencia criminal y los requisitos, pero la autoridad para interceptar deja en la conclusin de los la investigacin. Seccin Tercera, 2511 (2) (i) (III) requiere que la persona que acta con apariencia de legalidad que razonables de los motivos para creer que el contenidoede la comunicacin al ser interceptados sern relevantes para la investigacin en curso. Seccin Cuarta, 2511 (2) (i) (iv) requiere que los investigadores slo interceptar las comunicaciones enviadas o recibidas por los intrusos. Por lo tanto, esta seccin slo se aplicara cuando la configuracin del sistema informtico permite la interceptacin de las comunicaciones desde y hacia el intruso, y no la interceptacin de no consienten los usuarios autorizados para utilizar el ordenador. Finalmente, la seccin 217 de la Ley modifica el artculo 2510 del ttulo 18 de crcomi una definicin de "cominformticos intruso. "Estos intrusos incluir a cualquier persona que tenga acceso a una computadora protegida (tal como se define en la seccin 1030 del ttulo 18, sin autorizacin. Adems, la definicin explcita exeLudes cualquier persona "conocida por el propietario u operador de la computadora protegida para tener una relacin existen-cin contractual con el propietario o el operador de acceso a la totalidad o parte de la computadora." 18 USC 2510 (21). Por ejemplo, algunos proveedores de servicios de Internet no permiten a sus clientes para el envo masivo correos electrnicos no solicitados (o "spam"). Los clientes que envan correo basura estara en violacin de los trminos del proveedor de servicio, pero no califica como intrusos, tanto porque son los usuarios autorizados y porque tienen una relacin contractual existente con el proveedor. Estas disposiciones llegaran a 31 de diciembre 2005.
2703 (a) para obligar a los registros de rdenes de fuera del distrito en el que se encuentra el tribunal, al igual que que utilizan gran jurado federal sub-poenas y rdenes bajo la seccin 2703 (d). Este cambio permite que los tribunales con jurisdiccin sobre investitigaciones para obligar a las pruebas directamente, sin necesidad de la intervencin de un agentee, Los fiscales y los jueces de la distribucinets, donde los principales ISPs estn ubicados. Esta provisin la voluntad puesta de sol el 31 de diciembre 2005.
277
La ley anterior: Bajo la ley anterior, los infractores por primera vez que vifinales de la seccin 1030 (a) (5) podra ser castigado por no ms de cinco aos de prisin, mientras que los reincidentes podran recibir hasta diez aos. Ciertos delincuentes, sin embargo, puede causar daos graves a las computadoras protegidas que esta m de cinco aosximum no tiene debidamente en cuenta la gravedad de sus delitos. Por ejemplo, David Smith se declar culpable de violar la seccin 1030 (a) (5) para la liberacin del virus "Melissa" que miles de computadoras daadas a travs de Internet. Aunque Smith estuvo de acuerdo, como parte de su declaracin, que su conducta caus ms de $ 80 millones de dlares en prdidas (el mcifra en dlares ximum con-tenida en los Sentencing Guidelines), los expertos estcompaero de que la prdida real fue hasta diez veces de esa cantidad. Adems, la ley anterior establece una sentencia obligatoria m directricesnimum de seis meses de prisin por cualquier violacin de la seccin 1030 (a) (5), as como por violacines de la seccin 1030 (a) (4) (El acceso a una computadora protegida, con la intencin de defraudar). Enmienda: Seccin 814 de la Ley plantea la mpena de ximum de violacines de daar un ordenador protegido a diez aos para los delincuentes en primer lugar, y por veinte aos para los infractores reincidentes. 18 USC 1030 (c) (4). El Congreso eligi, sin embargo, a ElimNate m obligatorianimum directrices sentenccin de la seccin 1030 violacines.
B. SUBSECCIN 1030 (C) (2) (C) y (E) (8) - Los hackers necesitan slo la intencin de NO CAUSAR DAO, A PARTICULARNSEQUENCE O GRADO DE DAOS
La ley anterior: Bajo la ley anterior, con el fin de viincisos finales (a) (5) (A), un delincuente tuvo que "intencionalmente [causa] daos sin autorizacin." Seccin 1030 define el "dao" como poner en peligro-cin a la integridad o la disponibilidad de los datos, un programa, un sistema, o la informacin que (1) la prdida causada por lo menos $ 5.000; (2) tratamiento modificado o altere el mdico; (3) causado un dao fsico, o (4) en peligro la salud o la seguridad pblica.
La pregunta repetidamente arse, sin embargo, si un delincuente debe tener la intencin de la prdida de $ 5.000 o dao especial, o si se produce una violacin, si la nica persona que tiene la intencin de daar la comordenador, que en realidad termina causando la prdida de $ 5.000 o daar el indiais. Parece ser que el Congreso nunca la intencin de que el lenguaje contenido en la definicin de "dao" sera crcomi elementos adicionales de prueba del estado mental del actor. Adems, en la mayora de los casos, sera casi imposible demostrar esta intencin adicional.
278
Enmienda: Seccin 814 de la Ley del Estatuto de reestructura para dejar claro que una persona slo necesita la intencin de daar el equipo o la informacin que contiene, y no una cantidad especfica de dlares de prdida o dao especial. Las modificaciones que se mueven estos requisitos jurisdiccionales para 1030 (a) (5) (B), de forma explcita lo que elementos de la ofensa, y definir el "dao" como "cualquier dao a la integridad o la disponibilidad de los datos, un programa, un sistema o la informacin ". 18 USC 1030 (e) (8) (el subrayado es nuestro). Bajo esta estructura aclar, a fin de que el gobierno para demostrar una violacin de 1030 (a) (5), debe demostrar que el actor caus daos a una computadora protegida (con uno de los Usted estados mentales), y que la conducta del actor causada ya sea la prdida de 5.000 dlares, el deterioro de los registros mdicos, dao a una persona, o la amenaza a la seguridad pblica. 18 USC 1030 (a) (5) (B).
C. Seccin 1030 (C)-AGREGAR LOS DAOS OCASIONADOS POR UN HACKER'S TODO EL CURSO DE CONDUCTA
La ley anterior: La ley anterior no estaba claro si el gobierno se pudieron combinar la consiguiente prdida de los daos causados a una persona a los diferentes equipos protegidos en la bsqueda para alcanzar el umbral jurisdiccional de 5.000 dlares en prdidas. Por ejemplo, una persona podra tener acceso ilegalmente cinco equipos de una red de diez fechas diferentes como parte de un curso relacionado con la conducta, pero slo causan la prdida de 1.000 dlares a cada equipo en cada intrusin. Si la ley anterior se interpreta de no permitir la agregacin, entonces esa persona no habra cometido un delito federal en absoluto, ya l o ella no haba hecho ms de $ 5.000 a cualquier equipo en particular. Enmienda: En virtud de las enmiendas de la Seccin 814 de la Ley, el gobierno puede ahora agregar "la prdida resultante de un curso relacionado con la conducta que afecta a uno o varios otros equipos protegidos" que se produce dentro de un perodo de un ao para probar el umbral de 5.000 dlares jurisdiccional para daar un ordenador protegido. 18 USC 1030 (a) (5) (B) (i).
D. Nuevo delito PARA ORDENADORES DE DEPREDADORES - 1030 (C) (2) (C) UTILIZA NACIONAL DE LA SEGURIDAD Y LA JUSTICIA PENAL
La ley anterior: Seccin 1030 antes no tenan especial de provisin que mejore el castigo de los piratas informticos que utilizan los ordenadores daos en apoyo de la administracin de justicia, de defensa nacional o la seguridad nacional. Por lo tanto, los investigadores y fiscales federales no tienen jurisdiccin sobre los esfuerzos para daar la justicia penal y los equipos militares, donde el ataque no caus prdida de ms de $ 5.000 (o cumplir con uno de los requisitos especiales). Sin embargo, estos sistemas sirven para las funciones crticas y enjuiciamientos por delitos graves de mrito, aun cuando el dao es relativamente leve. De hecho, los ataques a equipos que se utilizan en la defensa nacional que se producen durante los perodos de compromiso militar activo son particularmente graves - incluso si no causan daos o perturbar las capacidades blicas de las fuerzas armadas -, ya que el tiempo y desviar la atencin de la objetivos propios militares. Del mismo modo, la interrupcin de los sistemas informticos de la corte y los datos podran seri-
ously poner en peligro la integridad del sistema de justicia penal. Enmienda: Las enmiendas de la Seccin 814 de la Ley de crcomi la seccin 1030 (a) (5) (B) (v) para resolver esta insuficiencia. Bajo esta provisin, un hacker viola la ley federal al daar una computadora ", utilizada por o para una entidad del gobierno en apoyo de la administracin de justicia, de defensa nacional o la seguridad nacional", aun cuando ese dao no se traduce en una prdida demostrable de ms de $ 5.000.
Apndice C: Gua de campo sobre Ley Patriota de EE.UU. 2001 E. SUBSECCIN 1030 (E) (2) - Ampliar la definicin de "PROTEGIDO ORDENADOR"PARA INCLUIR LAS COMPUTADORAS EN EL EXTRANJERO
279
La ley anterior: Antes de las enmiendas de la Seccin 814 de la Ley, la seccin 1030 del ttulo 18 se define "computadora protegida" como un ordenador utilizado por el gobiern federalmcin o de una institucin financiera, o un "que se utiliza en el comercio interestatal o extranjero." 18 USC 1030 (e) (2). La definicin hizo no incluye explcitamente las computadoras fuera de los Estados Unidos. Debido a la interdependencia y la disponibilidad de las redes mundiales de informtica, los hackers en los Estados Unidos estn cada vez ms centrado en los sistemas situados totalmente fuera de este pas. La ley no contempla explcitamente la persecucin de los piratas informticos tales. Adems, individuosais en el extranjero con frecuencia enrutar las comunicaciones a travs de los Estados Unidos, incluso a medida que hackear de un pas extranjero a otro. En tales casos, la esperanza puede ser que la falta de EE.UU. Vic-tim que impida o desalentar a las agencias policiales estadounidenses de ayudar en cualquier deextranjera investigacin o el enjuiciamiento. Enmienda: Seccin 814 de la Ley modifica la definicin de "computadora protegida" para dejar claro que este trmino incluye los equipos fuera de los Estados Unidos siempre y cuando afecta a "entreEstado o de comercio exterior o la comunicacin de los Estados Unidos. "18 USC 1030 (e) (2) (B). Al aclarar el hecho de que existe un delito interno, los Estados Unidos ahora pueden usar la agilizacin de los procedimientos internos a participar en las investigaciones de hackers internacionales. A medida que estos crmenes a menudo implican los investi-gadores y las vctimas en ms de un pas, el fomento de la cooperacin policial internacional es esencial. Adems, la enmienda crea la opcin de, en su caso, de procesar tales Criminais en los Estados Unidos. Desde los EE.UU. insta a otros pases para asegurar que puedan vindCate los intereses de las vctimas de Estados Unidos por delitos informticos que origNate en sus naciones, esta provisin se permitira a los EE.UU. para proporcionar una cobertura recproca.
F. SUBSECCIN 1030 (E) (10) - CONTEO DE CONDENAS DEL ESTADO Como "delitos anteriores"
La ley anterior: Bajo la ley anterior, el tribunal en la sentencia podra, por supuesto, tenga en cuenta las condenas anteriores del delincuente por delitos estatales de delitos informticos. Convicciones del Estado, sin embargo, no provoc las disposiciones sobre la detencin reincidentes de la seccin 1030, que el doble de la msanciones disponibles ximumpoder en virtud de la ley. Enmienda: Seccin 814 de la Ley modifica la definicin de "conviccin" de manera que incluya Conconvicciones por delitos graves piratera informtica bajo la ley estatal, es decir, delitos estatales en un ele-mento de la infraccin es de 18 ", acceso no autorizado, o excediendo el acceso autorizado a una computadora". USC 1030 (e) (10).
G. SUBSECCIN 1030 (E) (11) - DEFINICIN DE "PRDIDA"
La ley anterior: Clculo de la "prdida" es importante que el gobiernmcin busca demostrar que
una indicacinindividual causado la prdida de ms de $ 5.000 con el fin de cumplir con los requisitos jurisdiccionales que se encuentran en 1030 (a) (5) (B) (i). Sin embargo, antes de las modificaciones de la Seccin 814 de la Ley, la seccin 1030 del ttulo 18 no tena ninguna definicin de "prdida". El tribunal slo para abordar el alcance de la definicin de la prdida adopt una lectura integradora de lo que cuesta el gobiemcin pueden incluir. En Estados Unidos v Middleton, 231 F.3d 1207, 1210/11 (9th Cir. 2000), el tribunal sostuvo que la definicin de la prdida incluye una amplia gama
280
de los daos sufridos por lo general las vctimas de los delitos informticos, incluidos los costos de la respuesta a la ofensiva, llevando a cabo una evaluacin de los daos, restaurar el sistema y los datos a su estado anterior al delito, y cualquier prdida de ingresos o gastos ocasionados por la interrupcin del servicio. Enmiendas: Las enmiendas de la Seccin 814 codificar la definicin suficientemente amplia de la prdida de adoptada en Middleton. 18 USC 1030 (e) (ll).
Seccin 815 de Defensa adicional a las acciones civiles relativas a los expedientes de Conservacin en respuesta a peticiones del Gobierno
Seccin 815 aadido a una defensa existente a una causa por daos y perjuicios por violacines de la Ley de Comunicaciones Electrnicas de privacidad, el Captulo 121 del Ttulo 18. Bajo la ley anterior era una defensa de una causa de accin que confiar en la buena fe, con una orden judicial o una orden, una citacin del gran jurado, una autorizacin legis-lativo, o una autorizacin legal. Esta enmienda deja claro que la "autorizacin legal" incluye la defensa de buena fe la dependencia de una solicitud del gobierno para preservar las pruebas en virtud de 18 USC 2703 (f).
La seccin 816 exige que el Fiscal General que establezca regional de este tipo de ordenadores, laboratorios-rios que estime convenientes, y para proporcionar apoyo a los laboratorios forenses informticos existentes, para que puedan proporcionar ciertas capacidades forenses y la formacin. La provisin tambin autoriza el gasto de dinero para apoyar a los laboratorios.
Apndice D
pueden ser admitidos como registros comerciales si se mantiene en virtud de una procedimiento de rutina por motivos que tienden a asegurar su exactitud. Sin embargo, los tribunales federales es probable que se alejan de este "one size fits all" enfoque a medida que estn ms cmodos y familiarizados con los registros informticos. Al igual que los registros en papel, los registros informticos no son monolticas: las cuestiones probatorias planteadas por su admisin depender de qu tipo de registros informticos una propuesta solicita la han admitido. Por ejemplo, los registros informticos que contienen texto a menudo se puede dividir en dos categoras: generados por ordenador, los registros
281
282
y los registros que no son ms que computadoras almacenan. Ver People v Holowko, 486 N.E.2d 877, 878-79 (111. 1985). Las bisagras de la diferencia sobre si una persona o una mquina creada el contenido de los documentos. Registros almacenados por ordenador se refieren a documentos que contienen los escritos de alguna persona o personas para pasar a ser en forma electrnica. Mensajes de correo electrnico, archivos de procesadores de texto y mensajes de chat de Internet son ejemplos comunes. Como con cualquier otro testimonio o prueba documental que contiene las declaraciones humanos, ordenador almacena los registros deben cumplir con la regla de rumor. Si los registros son admitidos para probar la verdad de la materia afirman, el oferente de los registros deben mostrar las circunstancias que indican que los estados humanos contenidos en el expediente son fiables y de confianza, vea las notas del Comit Asesor a propuesta de la Regla 801 (1972), y los registros debe ser autntico. En cambio, generadas por computadora registros contienen la salida de los programas de ordenador, tocada por manos humanas. Registros de entrada de los proveedores de servicios de Internet, registros de llamadas telefnicas y recibos de cajeros automticos tienden a ser generados por computadora los registros. A diferencia de los registros almacenados en ordenador, computadora de generacinaceleradas registros no contienen humanos "declaraciones", sino slo la salida de un programa de computadora diseado para procesar la entrada despus de un algoritmo definido. Por supuesto, un programa de ordenador puede dirigir un equipo de generacintasa de un registro que imita una declaracin humana: un programa de correo electrnico puede anunciar "Tienes un mensaje!" cuando el correo llega a la bandeja de entrada, y un recibo del cajero automtico se puede afirmar que 100 dlares fue depositado en una cuenta a las 2:25 pm. Sin embargo, el hecho de que una computadora, en lugar de un ser humano, ha creado el registro altera los problemas de carcter probatorio que los documentos generados por ordenador presentan. Vase, por ejemplo, 2 J. Fuerte, McCormick en la Evidencia 294, a 286 (4 ed., 1992). La cuestin probatoria ya no es si un ser humano fuera de la cancha declaracin era veraz y precisin de cambio (una cuestin de odas), pero en cambio si el programa de computadora que gener el registro estaba funcionando correctamente (una cuestin de autenticidad). Vea Identificacin;. Richard O. Lempert y Steven A. Saltzburg, un enfoque moderno de la evidencia 370 (2d ed 1983.); Holowko, 486 NE2d en 878-79. Por ltimo, una tercera categora de los registros informticos existe: algunos archivos de computadora son generadas por ordenador y el ordenador almacena. Por ejemplo, a un sospechoso en un caso de fraude puede utilizar un programa de hoja de clculo para procesar los datos econmicos relacionados con el esquema fraudulento. Un registro informtico que contiene la salida del programa se derivan de ambas declaraciones humanos (entrada del sospechoso a la hoja de clculo) y el procesamiento de equipo (las operaciones matemticas de la hoja de clculo). En consecuencia, el registro combina las preocupaciones en materia de prueba planteadas por compor ordenador, almacenar y registros generados por ordenador. La parte que solicita la admisin del registro debe abordar tanto las cuestiones rumores implicados por la entrada original y la autenticidad de la cuestiones planteadas por el tratamiento por ordenador. Como los tribunales federales de desarrollar una apreciacin ms matizada de las distinciones que se harn entre los diferentes tipos de archivos de computadora, es probable que se vea que la admisin de los registros informticos en general, plantea dos cuestiones distintas. En primer lugar, el gobierno debe establecer la autenticidad de todos los registros informticos, proporcionando "pruebas suficientes para apoyar la conclusin de que el asunto
en cuestin es lo que afirma su autor". Fed. R. Evid. 901 (uno). En segundo lugar, si los registros informticos computadora almacena los registros que contienen los estados humanos, el gobierno debe demostrar que los declaraciones humanos no son odas inadmisible.
A. autenticacin
Antes de que una Parte podr proponer para la admisin de un registro informtico o cualquier otra prueba, el proponente debe demostrar que es autntico. Es decir, el gobierno debe ofrecer pruebas "suficientes para apoyar la conclusin de que [el registro informtico o cualquier otra prueba] en cuestin es lo que afirma autor de la propuesta". Fed. R. Evid. 901 (uno). Vase United States v Simpson, 152 F. 3d 1241, 1250 (lOth Cir. 1998).
283
El estndar para la autenticacin de los registros informticos es el mismo que para la autenticacin de otros registros. El grado de authenticatin no vara simplemente porque un registro pasa a ser (o ha estado en un punto) en formato electrnico. Vase United States v DeGeorgia, 420 F. 2d 889, 893 n.ll (9th Cir 1969.); Estados Unidos contra Vela, 673 F.2d 86, 90 (5th Cir 1982.). Pero ver a Estados Unidos contra Scholle, 553 F. 2d 1109, 1125 (8th Cir. 1977) (indicando en dicta que "la naturaleza compleja de equipo de almacenamiento de calyos de una base ms amplia "). Por ejemplo, los testigos que dan fe de la autntica-dad de los registros informticos no necesitan tener una especial cualificacin. El testigo no es necesario que haya programado la computadora s mismo, o incluso necesario para entender la operacin de mantenimiento y tcnicos de la computadora. Vase United States v Moore, 923 F2d 910, 915 (l Cir. 1991) (citando los casos). En su lugar, el testigo simplemente debe tener conocimiento de primera mano de los hechos pertinentes a la que l o ella testifica. Vase, en general los Estados Unidos contra Whitaker, 127 F. 3d 595, 601 (7th Cir. 1997) (agente del FBI que estaba presente cuando el ordenador del acusado fue capturado puede autenticar los archivos incautados) Estados Unidos vs Miller, 771 F. 2d 1219, 1237 (9th Cir 1985.) (supervisor de facturacin de la compaa telefnica puede autenticar los registros telefnicos de la empresa); Moore, 923 F.2d en 915 (jefe de crditos de consumo del banco departamento de TI puede autenticar los datos informatizados de los prstamos). Impugnacin de la autenticidad de los registros informticos a menudo toman una de las tres formas. En primer lugar, las partes podrn impugnar la autenticidad de ambos registros generados por computadora y la computadora almacena-por el cuestionamiento si los registros se han alterado, manipulado o daado despus de que fueron creados. En segundo lugar, las partes podrn cuestionar la autenticidad de los registros generados por computadora, desafiando la fiabilidad del programa de computadora que genera los registros. Los terceros, podr impugnar la autenticidad de los registros almacenados en ordenador, cuestionando la identidad de su autor.
1. AUTENTICIDAD y la alteracin de los registros informticos
Los registros informticos se puede alterar fcilmente, y los partidos de oposicin a menudo alegan que los registros informticos carecen de autenticidad, ya que han sido alterados o modificados despus de su creacin. Por ejemplo, en Estados Unidos contra Whitaker, 127 F3d 595, 602 (7th Cir. 1997), el gobierno de recuperar los archivos informticos de la computadora de un traficante de drogas llamado Frost. Los archivos de la comunidad de Frostordenador incluye un registro detallado de las ventas de narcticos por parte de tres alias: "Yo" (Frost s mismo, presumiblemente), "Gator" (el apodo de Frost co-acusado Whitaker), y "Cruz" (el apodo de otro distribuidor). Despus de que el gobierno permiti a Frost para ayudar a recuperar la evidencia de su equipo y se neg a establecer una cadena formal de la custodia de la computadora en el juicio, Whitaker argument que los archivos que implican a l a travs de sus alias no haban sido debidamente autenticadas. Whitaker sostuvo que "con algunos golpes de teclado rpidos pocos, Frost fcilmente podra haber aadido el alias de Whitaker," Gator "de las impresiones con el fin de Whitaker y los dedos para parecer ms til para el gobierno". Id. en 602. Los tribunales han respondido con escepticismo a estas afirmaciones sin fundamento que el COMlos registros informticos han sido alterados. A falta de pruebas especficas que se produjo el sabotaje, la mera posibi-lidad de manipulacin no afecta a la autenticidad de un registro informtico. Ver Whitaker, 127 F3D a 602 (disminucin de molestar a la decisin del juez de
primera instancia de que los registros informticos eran admisibles por denuncia de la manipulacin era "especulacin casi con los ojos desorbitados ... [sin] la evidencia para apoyar esa hiptesis"), los Estados Unidos contra Bonallo , 858 F. 2d 1427, 1436 (9th Cir 1988.) ("El hecho de que es posi-ble modificar los datos contenidos en una computadora es claramente insuficiente para establecer poca confianza."); Estados Unidos contra Glasser, 773 F2d 1553 , 1559 (llth Cir. 1985) ("La existencia de un hermtico sistema de segu-ridad [para evitar la manipulacin] no es, sin embargo, un requisito previo para la admisibilidad de las impresiones de computadora. Si tal requisito exista, sera prcticamente imposible de admitir comgenerada por computadora los registros, la parte contraria la admisin tendra que demostrar slo que mejor
284
sistema de seguridad era viable. "). Identificacin. en 559. Esto es consistente con la regla utilizada para establecer la autenticidad de otras pruebas, tales como los narcticos. Vase Estados Unidos contra Alyoes, 106 F. 3d 695, 700 (6th Cir. 1997) ("El solo hecho que plantea la posibilidad de manipulacin es insuficiente para hacer pruebas inadmisibles-ble."). A falta de pruebas especficas de manipulacin, las acusaciones de que los registros informticos han sido alterados ir a su peso, no su admisibilidad. Ver Bonallo, 858 F.2d en 1436.
2. Establecer la fiabilidad de los programas informticos
La autenticidad de los registros generados por computadora en ocasiones implica la fiabilidad de la comprogramas de ordenador que se crcomieron los registros. Por ejemplo, un registro generado por computadora podra no ser autntico si el programa que crea el registro contiene errores graves de programacin. Si la salida de la pro-grama es inexacta, el registro no puede ser "lo que su autor afirma que" de acuerdo a la Reserva Federal. R. Evid. 901. Los acusados en tres penalesais a menudo tratan de cuestionar la autenticidad de la computadora-generATED registros cuestionando la fiabilidad de los programas. Vase, por ejemplo, United States v Dioguardi, 428 F. 2d 1033, 1038 (2d Cir 1970.); Estados Unidos contra Liebert, 519 F. 2d 542, 547-48 (3d Cir 1975.). Los tribunales han sealado que el gobierno puede mseoyo a este reto, siempre y cuando "el Go-bierno ofrece fa suficienteeTS para justificar la conclusin de que los registros son dignos de confianza y de la parte contraria se le concede la oportunidad de indagar en la unaecurato del mismo [.] "Los Estados Unidos contra Briscoe, 896 F. 2d 1476, 1494 (7th Cir. 1990). Vase tambin Liebert, 519 F.2d en 547; DeGeorgia, 420 F. 2d. en el 893 n.ll. Comparar la Reserva Federal. R. Evid. 901 (b) (9) (que indica que los asuntos creados de acuerdo con un proceso o sistema puede ser autenticado con "[e] vidence describe un proceso o sistema utilizado ... y mostrando que el proceso o sistema produce un unoecomisariar resultado "). En la mayora de los casos, la fiabilidad de un programa de ordenador puede ser establecida por mostrando que los usuarios del programa en realidad se basan en ella sobre una base regular, como en el curso ordinario de los negocios. Vase, por ejemplo, United States v Moore, 923 F. 2d 910, 915 (l Cir. 1991) ("[L] as circunstancias comerciales normales descritos sugieren la honradez, ... al menos que sea absolutamente nada en el registro de ninguna manera implica la falta de ella.") (Registros computarizados de impuestos realizadas por el IRS), Briscoe, 896 F.2d en 1494 (computarizado que se grabaciones telefnicas realizadas por Illinois Bell). Cuando el programa de ordenador no se utiliza de forma regular y el gobierno no puede establecer la fiabilidad basada en la confianza en el curso ordinario de los negocios, el gobierno puede verse obligado a revelar "lo que las operaciones de la computadora haba sido instruido para llevar a cabo [as como] la precisa instruccin que haba recibido "si las solicitudes parte contraria. Dioguardi, 428 F2d en 1038. Notablemente, una vez mnimum norma de confiabilidad se ha establecido, las preguntas en cuanto a la unaecurato de los registros informticos "como resultado de. . . el funcionamiento del programa informtico "afectan slo al peso de la evidencia, no su admisibilidad. Los Estados Unidos contra Catabran, 836 F. 2d 453, 458 (9th Cir. 1988). Los fiscales pueden en cuenta el solapamiento conceptual entre establecer la autenticidad de un comgenerada por computadora de registro y el establecimiento de la confiabilidad de un registro informtico para el negociodad rcord de excepcin a la regla de rumores. De hecho, los tribunales federales que evalcomi la autenticidad de los registros generados por computadora a menudo asumen que los registros contienen rumores, y luego aplicar la excepcin de registros comerciales. Vase, por ejemplo, United States v Linn, 880 F. 2d 209,
216 (9th Cir 1989.) (Aplicacin de negocio de los registros a excepcin de los registros telefnicos generados "automticamente" por una computadora), los Estados Unidos contra Vela, 673 F2d 86, 89-90 (5th Cir. 1982) (lo mismo). Como veremos ms adelante en este artculo, este anlisis es tcnicamente incorrecto en muchos casos: los registros generados por computadora en su totalidad por computadoras no pueden contener rumores y no pueden acogerse a la excepcin de registros comerciales, ya que no contienen humanos Vase la parte B, infra "declaraciones".. En la prctica, sin embargo, los fiscales que sentar las bases para establecer un registro generado por computadora, como un registro de negocios
285
Tambin sentar las bases para establecer la autenticidad del registro. Prueba de que el equipo pro-grama es lo suficientemente confiable para que sus resultados califican como los registros comerciales de acuerdo a la Reserva Federal. R. Evid. 803 (6) tambin establece la autenticidad de la grabacin. Comparar Estados Unidos contra Saputski, 496 F. 2d 140, 142 (9th Cir. 1974).
3. IDENTIFICACIN DEL AUTOR DE LOS REGISTROS almacenados en ordenador
Aunque los registros escritos a mano puede ser escrito en un estilo de escritura distintivo, los registros almacenados en ordenador consisten en ouna larga cadena de ceros y unos que no necesariamente se identifican a su autor. Este es un problema particular con las comunicaciones por Internet, que ofrecen a sus autores un grado inusual de no ser identificado. Por ejemplo, las tecnologas de Internet permiten a los usuarios enviar efectivamente Annimos e-mails, y los canales de Internet Relay Chat permite a los usuarios comunicarse sin revelar su verdadera Ames. Cuando los fiscales buscan la admisin de tales registros almacenados en ordenador contra un acusado, el acusado puede impugnar la autenticidad de dicho documento por desafiar la identidad de su autor. Las pruebas circunstanciales en general, proporciona la clave para establecer la autora y la autenticidad de un registro informtico. Por ejemplo, en Estados Unidos contra Simpson, 152 F. 3d 1241 (lOth Cir. 1998), la fiscala trat de demostrar que el acusado haba hablado con un agente encubierto del FBI en un chat de Internet dedicado a la pornografa infantil. El gobierno ofreci una impresin de una conversacin de chat de Internet entre el agente y una persona identificada como "Stavron", y trat de demostrar que "Stavron" era el acusado. El tribunal de distrito admiti la impresin de pruebas en el juicio. En la apelacin tras ser declarado culpable, Simpson argument que "porque el gobierno no pudo identificar que las declaraciones atribuidas a [l] se de puo y letra, su estilo de escritura, o su voz", la impresin no haba sido autenticada y deberan haber sido excluidas. Identificacin. en 1249. El X Circuito rechaz este argumento, teniendo en cuenta la considerable evidencia circunstancial de que "Stavron" era el acusado. Ver id. en 1250. Por ejemplo, "Stavron" le haba dicho al agente encubierto que su verdadera AME fue "B. Simpson, "dio un domicilio que haca juego con Simpson, y pareca estar accediendo a Internet desde una cuenta registrada a Simpson. Adems, el plos piojos encontrado registros en la casa de Simpson de que la lista ombre, direccin y nmero de telfono que el agente encubierto le haba enviado a "Stavron." En consecuencia, el gobierno haba aportado pruebas sufi-ciente para apoyar la conclusin de que el acusado era "Stavron", y la impresin se ha autenticado correctamente. Ver id. en 1250. Vase tambin Estados Unidos contra tanque, 200 F. 3d 627, 630-31 (9th Cir. 2000) (concluyendo que el tribunal de distrito admiti la charla adecuadamente las impresiones del registro de habitaciones en circunstancias simiLAR a los de Simpson). Pero ver a Estados Unidos contra Jackson, 208 F. 3d 638 (7th Cir. 2000) (conclucin que los mensajes en Internet que pretenden ser las declaraciones formuladas por los grupos supremacistas blancos fueron excluidos por razones de autenticacin adecuada en ausencia de evidencia de que los mensajes eran en realidad Publicado por los grupos).
B. Rumores
Los tribunales federales han a menudo se supone que todos los registros informticos contienen rumores. Una visin ms matizada sugiere que en realidad slo una parte de los registros
informticos contienen rumores. Cuando un registro informtico contiene las afirmaciones de una persona, aunque no sean procesados por un ordenador, el registro puede contener rumores. En tales casos, el gobierno debe ajustarse el registro dentro de una excepcin de odas, como la excepcin de registros comerciales, la Reserva Federal. R. Evid. 803 (6). Cuando un registro informtico slo contiene los datos generados por ordenador sin tocar por manos humanas, sin embargo, el registro no puede contener rumores. En tales casos, el gobierno debe establecer la autenticidad de la grabacin, pero no es necesario establecer una excepcin que de odas se aplica para los registros de la admisibilidad.
286
Las reglas existen para evitar rumores poco fiables fuera de los tribunales las declaraciones de los declarantes humanos de influir indebidamente en los resultados de tresais. Porque la gente puede malinterpretar o tergiversar sus experiencias, las normas basadas en rumores expresan una fuerte preferencia por la prueba de las afirmaciones de humanos en la corte, donde se puede el declarante colocados en el soporte y sometidos a interrogatorio. Ver Ohio v Roberts, 448 EE.UU. 56, 62-66 (1980). Este razonamiento no se aplica cuando un animal o una mquina que hace una afirmacin: mquinas de pitidos y los perros que ladran no puede ser llamado al estrado para ser interrogada en el juicio. Las reglas federales han adoptado esta lgica. Por definicin, una afirmacin que no puede contener rumores, si no fue hecho por un ser humano. Podemos utilizar la palabra persona? Ver Reserva Federal. R. Evid. 801 (a) ("Una 'declaracin' es (1) una aseveracin oral o escrita o (2) la conducta no verbal de una persona, cuando est prevista por la persona como una afirmacin.") (nfasis aadido); la Reserva Federal. R. Evid. 801 (b) ("Un declarante es una persona que hace una declaracin.") (nfasis aadido). Como varios tribunales y comentaristas han sealado, esta limitacin de las normas basadas en rumores necesariamente-ilia significa que los registros generados por ordenador sin tocar por manos humanas no pueden contener rumores. Una Corte Suprema del Estado articul la distincin en un caso anterior que implica el uso de la auto-apareadas registros telefnicos: La impresin de los resultados del equipo est enFoperaciones ernal no es el testimonio de odas. No representa la salida de los estados ubicados en la computadora por los declarantes fuera de la corte. o podemos decir que esta misma impresin es una "declaracin" que constituye el testimonio de odas. La justificacin de menores de mentira de la regla de rumor es que tales afirmaciones se hacen sin un juramento y su verdad no puede ser probado por el interrogatorio. De inters es la posibilidad de que un testigo puede consciente o inconscientemente, tergiversar lo que el declarante le dijo o que el declarante puede, consciente o inconscientemente tergiversar un hecho o evento. Con una mquina, sin embargo, no hay posibilidad de una tergiversacin consciente, y la posibilidad de inexacta o engaosa los datos slo se materializa si la mquina no est funcionando correctamente. El Estado contra Armstead, 432 So. 2d 837, 840 (Luisiana, 1983). Vase tambin el pueblo contra Holowko, 486 NE2d 877, 878-79 (111. 1985) (trap automtico y registros de seguimiento), los Estados Unidos contra Duncan, de 30 MJ 1284, 1287-1289 (NM.CMR 1990) (los registros computarizados de transacciones en cajeros automticos), 2 J. Fuerte, McCormick en la Evidencia 294, a 286 (4 ed.1992), Richard O. Lempert y Stephen A. Saltzburg, un enfoque moderno de Evidencia 370 (2 edicin 1983.). Cf. Los Estados Unidos contra Fernndez Roque, 703 F. 2d 808, 812 n.2 (5th Cir. 1983) (rechazando la objecin de odas a la admisin de los registros telefnicos automatizados porque "el hecho de que estos Calyos producido no es una declaracin de odas. "). En consecuencia, un debidamente autenticada generada por ordenador de registro es admisible. Ver Lempert y Saltzburg, en el 370. La idea de que los registros generados por ordenador no puede contener rumor es importante porque los tribunales que asumen la existencia de rumores puede injustamente exelude generada por computadora pruebas de odas, si una excepcin no se aplica. Por ejemplo, en Estados Unidos contra el Blackburn, 992 F. 2d 666 (7th Cir. 1993), un ladrn de bancos a la izquierda detrs de sus anteojos en un auto abandonado robado. La evidencia de fis-cin contra el acusado incluy una impresin de computadora en una mquina que pone a prueba la curvatura de las lentes de gafas. La impresin revel que la prescripcin de los lentes que se encuentran en el
vehculo robado eran exactamente iguales a la del demandado. En el juicio, el tribunal de distrito asume que la impresin de la computadora era de odas, pero lleg a la conclusin de que la impresin era un registro de negocios admisible conforme a la Reserva Federal. R. Evid. 803 (6). En la condena tras la apelacin, el Sptimo Circuito supone tambin que la copia impresa contenida en rumores, pero estuvo de acuerdo con el acusado que la impresin no poda ser admitida como un registro de negocios: el [generadas por ordenador] Informe en este caso no se mantuvo en el curso de una actividad de negocios realizados con regularidad, sino que fue preparado especialmente en el
287
instancias del FBI y con el conocimiento de que toda la informacin que suministra se utiliza en una investigacin penal en curso. . . . En la bsqueda de este informe inadmisible de conformidad con la Regla 803 (6), nos adherimos a la norma bien establecida de que los documentos realizados en anticipo de litigio no son admisibles bajo la excepcin de registros comerciales. Identificacin. en 670. Vase tambin de comer. R. Evid. 803 (6) (que indica que registros de negocios debe ser "hecha. . . por, o transmitida por, una persona "). Afortunadamente, el tribunal Blackburn en ltima instancia, confirm la condena, concluyendo que la comimpresin de ordenador era lo suficientemente confiable que podra haber sido admitido en virtud de la excepcin de odas residual, la Regla 803 (24). Ver id. en 672. Sin embargo, en vez de coquetear con la idea de excluir las impresiones, porque la Regla 803 (6) no era aplicable, el tribunal debera haber preguntado si la impresin de computadora de la mquina de la lente de prueba de contenido de odas del todo. Esta pregunta habra revelado que la impresin generada por computadora no se puede excluir en rumores motivos porque no contena humanos "declaraciones".
2. Aplicabilidad de las reglas de odas a la computadora-REGISTROS ALMACENADOS
Ordenador almacena los registros que contienen las declaraciones humanos deben satisfacer una excepcin a la regla de rumor si se les ofrece para la verdad del asunto afirm. Antes de que un tribunal admitir los expedientes, el tribunal debe establecer que las declaraciones contenidas en el registro se hizo en circunstancias que tienden a asegurar su confiabilidad. Vase, por ejemplo, Jackson, 208 F.3d en 637 (la conclusin de que anuncios de los sitios web de grupos de supremaca blanca que figura en rumores, y rechazando el argumento de que los mensajes fueron los registros comerciales de los proveedores de Internet que alojan los sitios). Como se mencion anteriormente en este artculo, los tribunales suelen permitir que los registros almacenados en ordenador para ser admitidos como los registros comerciales de acuerdo a la Reserva Federal. R. Evid. 803 (6). Diferentes circuitos han articulado las normas ligeramente diferentes para la admisibilidad de los registros almacenados en ordenador de negocios. Algunos tribunales simplemente aplicar el lenguaje directo de la Reserva Federal. R. Evid. 803 (6). Vase, por ejemplo, United States v Moore, 923 F. 2d 910, 914 (l Cir. 1991), Los Estados Unidos contra Catabran, 836 F. 2d 453, 457 (9th Cir 1988).. Otros circuitos se han articulado las pruebas doctrinales especficamente para los registros informticos que en gran medida (aunque no exactamente) un seguimiento de los requisitos de la Regla 803 (6). Vase, por ejemplo, United States v Cestnik, 36 F. 3d 904, 909-10 (lOth Cir. 1994) ("los registros informticos de negocios son admisibles si (1) que se lleven con arreglo a un procedimiento de rutina, diseado para garantizar su precisin, (2) que se crean por motivos que tienden a asegurar la precisin (por ejemplo, sin incluir los que se preparan para casos de litigio) y (3) no son ellos mismos acumulaciones de meros rumores ") (citando capital Marine Supply v M / V Roland Thomas II, 719 F. 2d 104, 106 (5th Cir 1983.));. Estados Unidos contra Briscoe , 896 F. 2d 1476, 1494 (7th Cir. 1990) (almacenados en ordenador son registros comerciales admisibles si "se mantienen en el curso de la actividad empresarial a cabo regularmente, y [que] era la prctica habitual de que la actividad empresarial para hacer los registros, como lo demuestra el testimonio del custodio o de un testigo cualificado. ") (citando el caso United States v Chappell, 698 F2d 308, 311 (7th Cir. 1983)). Cabe destacar que el propio impreso se puede producir en anticipo de litigio sin conflicto con el funcionamiento de la excepcin los registros de negocioscin. El requisito de que el registro se mantendr "en el curso de una actividad empresarial a cabo
regularmente" se refiere a los datos subyacentes no, la impresin real de los datos. Vase United States v Sanders, 749 F. 2d 195, 198 (5th Cir. 1984). Desde una perspectiva prctica, el procedimiento para la admisin de un registro por computadora almacena en virtud de la excepcin de registros comerciales es lo mismo que admitir cualquier registro de otra empresa. Consideremos un caso de acoso e-mail. Para ayudar a establecer que el acusado era el remitente de los men-sajes de acoso, la fiscala puede solicitar la introduccin de los registros del ISP del remitente de que el demandado era el propietario registrado de la cuenta desde la que los e-mails fueron enviados. Por lo general, esto requerir el testimonio de un empleado del proveedor de Internet ("el custodio u otro cualificado
288
testigo ") que el ISP mantiene regularmente registros de cuentas de clientes para la facturacin y otros fines, y que los registros que se ofrecern para la admisin son los registros de este tipo que se hicieron en o cerca del momento de los hechos que se describen en el curso regular de la negocio ISP. Una vez ms, la clave es establecer que el sistema informtico del que se obtuvo el registro se mantiene en el curso ordinario de los negocios, y que es una prctica habitual de la empresa a confiar en los registros de su exactitud. La excepcin registro de negocios es la excepcin rumor ms comn aplicado a los registros informticos. Por supuesto, otras excepciones rumores pueden ser aplicables en los casos apropiados. Vase, por ejemplo, Hughes contra los Estados Unidos, 953 F. 2d 531, 540 (9th Cir. 1992) (concluyendo que computarizado del IRS las formas son admisibles como los registros pblicos en virtud de la Reserva Federal. R. Evid. 803 (8)).
C. Otras cuestiones
El authenticatin requisito de la regla de rumor y suelen proporcionar los obstculos ms importantes que los fiscales se encuentran en la bsqueda de la admisin de los registros informticos. Sin embargo, algunos agentes y fiscales en ocasiones han considerado dos cuestiones adicionales: la aplicacin de la regla de la mejor evidencia de que los registros informticos, y si las impresiones de ordenador son "resmenes" que deben cumplir con la Reserva Federal. R. Evid. 1006.
1.EL MEJOR EVIDENCIA LA REGLA
Los estados mejor evidencia de que la regla para probar el contenido de un escrito, grabacin, o la fotografa, el "original" por escrito, grabacin o fotografa se requiere generalmente. Ver Reserva Federal. R. Evid. 1002. Los agentes y fiscales en ocasiones expresar la preocupacin de que una impresin simple de una computadora almacena elec-trnico archivo no puede ser un "original" con el propsito de la regla de la mejor evidencia. Despus de todo, el archivo original no es ms que una coleccin de 0 y l'S. En contraste, la impresin es el resultado de la manipulacin del archivo a travs de una complicada serie de procesos electrnicos y mecnicos. Afortunadamente, las Reglas Federales de Evidencia se refiri expresamente a esta preocupacin. Reglas de Estado federal que [S] i los datos se almacenan en una computadora o dispositivo similar, cualquier impresin u otra salida legible a simple vista, que se muestra para reflejar los datos con precisin, es un "original" de la Fed. R. Evid. 1001 (3). Por lo tanto, una impresin exacta de los datos informticos siempre se cumple la regla de la mejor evidencia. Ver Doe v Estados Unidos, 805 F. Supp. 1513, 1517 (D. Hawai. De 1992). De acuerdo con la Comisin Consultiva observa que acompaaron a esta regla, cuando se propuso por primera vez, esta norma fue adoptada por razones de orden prctico. Aunque estrictamente hablando, el original de una fotografa podra pensarse que es slo la prctica negativa, y el uso comn exigir que cualquier impresin de lo negativo se considerar como un original. Del mismo modo, la practicidad y el uso de conferir el carcter de original a cualquier impresin de la computadora. Notas del Comit Asesor, la Regla Federal de Evidencia propuesta 1001 (3) (1972).
2. IMPRESIN de ordenador como "resmenes"
Regla Federal de Evidencia 1006 permite a las partes para ofrecer resmenes de la evidencia voluminosa en forma de "una carta, el resumen o el clculo", sujeto a ciertas restricciones. Los
agentes y fiscales en ocasiones preguntar si una impresin de la computadora es necesariamente un "resumen" de las pruebas que deben cumplir con la Reserva Federal. R. Evid. 1006. En general, la respuesta es no. Ver Sanders, 749 F2d en 199; Catabran, 836 F2d en 456-57; Estados Unidos contra Russo, 480 F. 2d 1228, 1240/41 (6th Cir 1973.). Por supuesto, si la impresin de computadora no es ms que un resumen de las pruebas admisibles otra parte, el artculo 1006 se se aplican del mismo modo que hace a los resmenes de pruebas. Sobre el autor: Orin S. Kerr es un abogado litigante, Delitos Informticos y Propiedad Intelectual Seccin Penal Divisin, los Estados Unidos Departamento de Justicia.
Apndice E
Glosario
Auditora Examen y / o evaluacin de las acciones y registros para garantizar el cumplimiento de las polticas y procedimientos operacionales. Si se encuentran problemas, se hacen recomendaciones para cambiar las polticas o los procedimientos. Registro de auditora Una demostracin registro cronolgico que ha tenido acceso a un sistema informtico y lo opera-ciones se llevaron a cabo durante los perodos de tiempo especficos. Esto normalmente incluye el acceso a archivos, inicio de sesin del usuario, y si hay violacines de seguridad reales o el intento de haber ocurrido. Autenticacin El proceso de verificacin de que un individuo o de datos es realmente quien o lo que es pro-deca ser. A menudo se utiliza como un requisito previo para permitir el acceso a los recursos en un sistema. Backdoor Un agujero en la seguridad de un sistema informtico dejado deliberadamente en su lugar autorizado pro-programadores o personal de reparacin, pero estos tambin pueden ser dejados atrs por los intrusos maliciosos para volver a un sistema despus de haberla violado una vez. Sinnimo de una puerta trampa, que es un oculto suavesoftware o un aparato de hardware utilizado para eludir los mecanismos de seguridad. Copia de seguridad Una copia de los archivos y programas realizados para faciTate recuperacin de datos perdidos o daados, si necesario. Incumplimiento Cualquier penetracin prohibido o acceso no autorizado a un sistema informtico que causa dao o tiene el potencial de causar dao. Plan de Continuidad de Negocio (BCP) Un conjunto predeterminado de los procedimientos o directrices que describen cmo una organizacinFunciones 's de negocios continuadurante y despus de una interrupcin del sistema. Cadena de Custodia Proteccin de datos de todos los individuosais con acceso a evitar la prdida, rotura, alteracin o manipulacin no autorizada. Esto incluye identificar con precisin, asegurando, y salir con todas las pruebas. Compromiso Invasin de un sistema por el zcalo de su seguridad. Compromiso de Integridad La modificacin no autorizada de la informacin autenticada.
Comp uter Inciden t Respo nse Team Un grupo de investiga dores e ingenier os tcnicos de segurida d que respon de a los e investi ga inciden tes de segurid ad inform tica.
289
290
Incidentes de Seguridad Informtica Un evento adverso en el que algn aspecto de un sistema informtico se ve amenazada por ejemplo, la prdida de confidencialidad de los datos, la alteracin de datos o la integridad del sistema, y la interrupcin o la negacin de la disponibilidad. Copiar El resultado o accin de la lectura de datos electrnicos de una fuente, dejando que los datos sin cambios, y escribir los mismos datos en otra parte de ammediano que puede diferir de la fuente. Galleta Un individuo que intencionalmente violaciones de seguridad informtica (por lo general mediante el uso de una herramienta de paso a la palabra de craqueo) de infltrado una computadora o red, lo ms a menudo con malas intenciones. Dao Modif intencional o accidentalcacin, la destruccin o eliminacin de informacin de un sistema informtico. Este tipo de dao a la informacin puede resultar en lesiones a una organizacin de reputacincin y / o FLas prdidas financieras. Datbase Una coleccin de datos de informacin que consiste en al menos un archivo, normalmente se almacena en un solo lugar, lo que puede estar a disposicin de varios usuarios de forma simultnea para varias aplicaciones. Denegacin de Servicio (DoS) La imposibilidad de utilizar los recursos del sistema debido a la no disponibilidad derivadas de una variedad de causas, por ejemplo, infltrations de los hackers, la inundacin de las direcciones IP de mensajes externos, y los gusanos de red. Plan de Recuperacin de Desastres Un plan (por escrito), que expondr las medidas y procedimientos que deben seguirse en el caso de un hardware de mayor o error de software o destruccin de las instalaciones (a diferencia del Plan de Continuidad de Negocios, que se centra principalmente en el mantenimiento y la recuperacin normal del negocio operaciones). Los datos que se pueden descubrir Los datos electrnicos que pueden obtenerse a travs de un oponente en un proceso de litigio. Denegacin de Servicio Distribuida (DDoS) Denegacin de servicio que envuelven a los intentos de mltiple conectados a Internet sistemas de lanzamiento, o se utilizan en los ataques contra uno o ms sistemas de destino. Registros Electrnicos La informacin almacenada en un formato que slo puede ser leda y procesada por un ordenador. Cifrado Una tcnica de codificacin de datos para evitar que los usuarios no autorizados puedan leer o tam-revenido con esos datos. Los datos pueden incluir mensajes, archivos, carpetas o discos, y slo aquellos con un contrasea o la clave puede descifrar y utilizar los datos. Enhanced Metafile (EMF) En el sistema operativo Windows, el formato de 32-bit de archivo de
cola utilizado en la impresin. El formato EMF fue creado para solucionar la definicindeficiencias de la original de Windows Metafile formato de impresin de grficos de los programas grficos ms sofisticados. Evento Un episodio discernible o fase de una investigacin del incidente informtico que puede ser documentada, verificada, y se analizaron.
Visor de sucesos En Windows NT, una herramienta usada para mostrar los registros de sucesos. Con el Visor de sucesos, los usuarios pueden supervisar los eventos registrados en la aplicacin, seguridad, y los registros del sistema. Explotar Para utilizar un programa o una tcnica consistente en tomar ventaja de las vulnerabilidades o fallas en el hardware o software. Tabla de asignacin de archivos Una de MS-DOS del sistema de archivos situado en el sector de arranque del disco que almacena la direcciones de todos los archivos contenidos en un disco. Intercambio de archivos El intercambio de datos informticos, por lo general dentro de una red, los usuarios tendrn distintos grados de privilegios de acceso. Los usuarios pueden ser capaces de ver, escribir, modificar o imprimir la informacin o desde el archivo compartido. Firewall De hardware y dispositivos de software diseadas para frustrar las conexiones no autorizadas hacia o desde un ordenador (o red). Cortafuegos cumplir una organizacinLas polticas de acceso a la red de s exa-cin y la evaluacin de las conexiones a Internet a medida que pasan a travs del firewall. Anlisis Forense El examen de los materiales e informacin para determinar sus caractersticas vitales para descubrir la evidencia de una manera que es admisible en un tribunal de justicia. Hacker Un individuo (por lo general un programador competente) que es experto en informtica penetrante sistemas, a menudo aplicando una variedad de mtodos para hacerlo. Engao Por lo general, transmite a travs de correo electrnico, un engao contiene un mensaje para enviar la alerta a tantos otros como sea posible. Aunque no se virunses, las bromas pueden causar una interrupcin de trabajo a travs de alarmas falsas o provocar una denegacin de servicio a travs de su proliferacin por parte de la sobrecarga del sistema de correo electrnico. Honeypot Un seuelo creado para los piratas informticos de captura y los usuarios con malas intenciones en su intento de ganar entrada en un sistema informtico. Incidente Un equipo de seguridad de eventos adversos o una serie de acontecimientos que afecta a la organizacin'S equipo de seguridad y / o su capacidad para hacer negocios. Manejo de Incidentes La accin o acciones tomadas para resolver un incidente de seguridad informtica. Supervisin de Incidentes La vigilancia continua de las redes y los sistemas para descubrir deficiencias en el la seguridad y tomar medidas antes de los incidentes pueden ocurrir.
De notificacin de incidentes El reconocimiento formal de que un incidente de seguridad informtica ha sido detectado. Respuesta a Incidentes El proceso de anlisis de un incidente de seguridad la forma en que pudo ocurrir y cmo para evitar incidentes similares en el futuro.
292
Plan de Respuesta a Incidentes Un plan documentado de las directivas de accin y procedimientos para identificar, combatir y mitigar los daos causados por los ataques maliciosos en contra de una organizacincinLos sistemas informticos. Intruso Una persona que es el autor de un incidente de seguridad informtica refiere a menudo como hackers o crackers (ver "Hacker" ms arriba). Un intruso es un vndalo que pueden estar operando dentro de los lmites de una organizacin o un ataque desde el exterior. IntrusinInadecuado no autorizado, y / o Yoactividad legal por los autores, ya sea dentro o fuera de una organizacin que puede ser considerada como una penetracin en el sistema. Intrusin Sistema de Deteccin de Un mecanismo de seguridad que monitorea y analiza los eventos del sistema para proporcionar en tiempo casi real las advertencias para el acceso no autorizado a los recursos del sistema o en el registro de archivo y informacin de trfico para su posterior anlisis. Nivel de Consecuencia El impacto de un incidente tiene en una organizacin, incluyendo la prdida de datos, neg-creativas consecuencias para la organizacin (por ejemplo, dao a la reputacin), y la magnitud de dao que debe ser corregido. Local rea de red (LAN) Un grupo de ordenadores y otros dispositivos de red que existen en un nmero limitado de rea como un solo edificio. Estos dispositivos estn conectados por un enlace de comunicaciones especial que permite que cualquier dispositivo para interactuar con cualquier otro dispositivo en la red. Iniciar sesin El acto de la conexin a un sistema informtico (o red) por un usuario, por lo general despus de introducir un contrasea y el ID de usuario. Cdigo malicioso Cdigo de programacin diseado para daar un sistema informtico o los datos contenidos en un sistema. Tradicionalmente se clasifican en tres categoras: virunses, los gusanos y caballos de Troya, basado en el comportamiento del cdigo. Medios de comunicacin Varios formatos utilizados para la grabacin de datos electrnicos, incluidos los discos, pelculas, cintas magnticas, y papel. Aplicacin de misin crtica Una aplicacin que es vital para una organizacinLa capacidad de 's para llevar a cabo requiere operaciones. El mal uso El uso o explotacin de un ordenador de un usuario no autorizado (ya sea desde dentro o intruso). Necesitas a Saber de la Base La necesidad de acceder a, el conocimiento de, o la posesin de informacin confidencial con el fin de llevar a cabo tareas requeridas y autorizadas. Puerto de red Escaneo El proceso de sondeo nmeros seleccionados de los servicios portuarios (por ejemplo, NetBIOS -139, -21 FTP, etc) sobre una red IP con el propsito de
identificar los servicios de red disponibles en ese sistema. Red de escaneo de puertos es un proceso de recopilacin de informacin suele ser til para solucionar problemas del sistema o reforzar la seguridad del sistema, pero'S frecuencia a cabo como un preludio a un ataque.
New Technology File System (NTFS) El sistema de archivos utilizado con el sistema operativo Windows NT para almacenar y recuperar archivos en un disco duro. Packet Sniffer Un programa o un dispositivo que captura y analiza los datos que viaja entre red computadoras. Contrasea Una secuencia de caracteres que un usuario como un cdigo de autenticacin para obtener acceso a las computadoras y de los expedientes sensibles. Pruebas de Penetracin El intento de discernir el nivel de seguridad que protege a un sistema o red de trabajo. Este tipo de pruebas incluye tratando de evadir las medidas de seguridad que utilizan las mismas herramientas y tc-nicas de que un potencial atacante podra utilizar. Las pruebas de penetracin puede ser utilizada por una compaa a identificar y corregir las debilidades de seguridad. Seguridad Fsica Los procedimientos utilizados por una organizacin para asegurar que el material (fsico) los recursos estn protegidos tanto de delitasa y las amenazas no intencionales. Puerto Un punto de conexin (puerta de enlace o portal) entre un ordenador y otro dispositivo. Identificados con los nmeros que van de cero a 65.536, los puertos de permitir el establecimiento de una sesin entre un host y un servidor Web para los servicios de red. Los servicios ms populares se han reservado los nmeros de puerto: TELNET es en el puerto 23, y HTTP en el puerto 80 es, por ejemplo. Los puertos son generalmente objeto de ataques por hackers y Caballos de Troya con el fin de tener acceso a un sistema informtico. Imprimir archivo de cola de impresin La cola de impresin es un archivo ejecutable que gestiona el proceso de impresin y es responsable de programar el trabajo de impresin para la impresin. Modo promiscuo Cuando una interfaz Ethernet lee toda la informacin, independientemente de su destino. Esto es lo contrario de modo normal, cuando la interfaz lee los paquetes destinados a s mismo slo. Mantenimiento de Registros La gestin de expedientes electrnicos o de otra manera a partir de su creacin (o recibo) a travs de su distribucin, procesamiento y almacenamiento a su destino final. Registro En el sistema operativo Windows, el sitio donde la informacin se mantiene. Evaluacin de Riesgos Determinacin de la eficacia de los procedimientos de seguridad destinados a un sistema o red. La evaluacin de riesgos evala la probabilidad de que ocurran las amenazas y los intentos de estcompaero el grado de prdidas que pueden ser esperados por la organizacin. Rootkit Una coleccin de herramientas de software que permite a un hacker para crear una puerta
trasera en un sistema informtico. Los rootkits recopilar informacin acerca de otros sistemas en la red, mientras que disimular el hecho de que el sistema est en peligro. Los rootkits son un ejemplo clsico de software de caballo de Troya y son disponible para una amplia gama de sistemas operativos.
SATN (Herramienta de Administrador de Seguridad para el Anlisis de Redes) Un programa gratuito que las redes de forma remota las sondas para identificar las debilidades en la seguridad del sistema.
294
Script Kiddies Sin experiencia, a veces inmaduros, los hackers novatos con poca formacin en la escritura de cdigo mali-espacioso, as que, sin embargo la ejecucin de buscar y explotar la seguridad informtica vulnera-nerabilities, usando a menudo bien conocida, fcil de encontrar scripts y programas. Auditora de Seguridad Una investigacin autorizada oun sistema informtico para identificar sus deficiencias y vulnerabilidades. Polticas de Seguridad Una organizacinSerie documentada @ s de leyes, reglamentos, normas y directrices que-dardizes cmo los controles de la organizacin, guardias, y distribuye los datos sensibles. Slack espacio de ficheros El espacio de almacenamiento de datos vaca que existe desde el final oun archivo de ordenador para el final del ltimo grupo asignado a ese archivo. Ingeniera social Una tcnica de hacking que se basa en la debilidad de la gente en lugar de software con el objetivo de engaar a la gente a revelar contraseas u otra informacin que comprometa un sistema de destino'S de seguridad. Esteganografa El escondite de un mensaje secreto dentro de un mensaje comn que se decodifica a su destino por el receptor. Que el mensaje contiene un mensaje oculto inserta sigue siendo desconocido (y por lo tanto, sin ser detectados por) toda persona est viendo que no se ha hecho consciente de su presencia. Actividad Sospechosa Los patrones de trfico de la red que se encuentran fuera de las definiciones habituales de la norma de trficoFIC y que podra indCate no autorizado actividad en la red. Intercambio de archivos El espacio en un disco duro que se utiliza para ampliar una computadora'S de memoria. Los archivos no utilizados recientemente se almacenan temporalmente en el disco duro, dejando espacio para los archivos nuevos. Amenaza Una condicin o evento que tiene el potencial de causar dao a una organizacin, su persona-nel, o sus bienes, incluidos los recursos del sistema informtico. Las amenazas incluyen el dao, divulgacin o alteracin de los datos, as como ataques de denegacin de servicio, el fraude y otros abusos. Amenazas de la red de seguridad incluyen la suplantacin de personal autorizado, las escuchas, denegacin de servicio, y paquete de MODIFICACIn. Traceroute Una herramienta de Unix / Linux que los rastros (identifica), la va tomada por los paquetes de datos a medida que atraviesan (salto) a travs de una conexin de red entre dos hosts y muestra la hora y la ubicacin de la ruta seguida para llegar al equipo de destino. En Windows, esta misma utilidad que se conoce como tracert. Caballo de Troya Un programa til y aparentemente inocente que contiene cdigo oculto
adicional que permite la recoleccin no autorizada, la explotacin, falsificacin o destruccin de datos. Un caballo de Troya realiza algunas inesperadas o no autorizadas (generalmente maliciosos) acciones, tales como la visualizacin de mensajes, borrar archivos o formatear un disco. Un caballo de Troya doesn'T infectar otros archivos de acogida, por lo tanto limpieza no es necesario.
El espacio no asignado Archivo Espacio que queda detrs de un archivo borrado, que todava pueden albergar los datos. El espacio no asignado archivo puede contener un nmero de archivos valiosos para una investigacin forense, tales como archivos intactos, los restos de archivos, subdirectorios y los archivos temporales creados y eliminados por equipo aplicaciones y el sistema operativo. Vendedor Productor de aplicaciones de hardware o software que se asocian con la computadora de la tecnologa (routers, sistemas operativos, computadoras, y los interruptores, por ejemplo). Virus Un malicioso, auto-replicante (o en algunos casos, ejecutable) del programa con el potencial de dejar un ordenador o una red completa deje de funcionar. Un virus se adhiere y se extiende a los archivos, pro-gramas, mensajes de correo electrnico y otros medios de almacenamiento y pueden drenar los recursos del sistema (espacio en disco, conexiones, y la memoria) y modificar o eliminar archivos o mensajes en pantalla. Vulnerabilidad Una falla en una computadora o red que lo deja susceptible a posibles explotacin, como a travs del uso o acceso no autorizado. Las vulnerabilidades incluyen, pero no se limitan a, la debilidad de las debilidades en los procedimientos de seguridad, administrativa o enFcontroles ernal o la configuracin fsica, o caractersticas o errores que permiten a un atacante eludir las medidas de seguridad. Anlisis de Vulnerabilidad La prctica de la exploracin e identificacin de las vulnerabilidades conocidas de los sistemas informticos en una red informtica. Desde el escaneo de vulnerabilidades es un proceso de recopilacin de informacin, cuando es realizada por individuos desconocidosais se considera un preludio a un ataque. Web Cache El almacenamiento en cach Web es una tcnica para mejorar el rendimiento del navegador Web mediante el almacenamiento frecuentemente solicitados pginas Web, imgenes y otros objetos Web en un lugar especial en el usuarioDisco duro 's para un acceso ms rpido. En
las solicitudes posteriores para el mismo objeto, la memoria cach proporciona el objeto de su almacenamiento en lugar de pasar la solicitud al origen sirvenn Gusano Un gusano informtico es un programa autnomo (o conjunto de programas) que es capaz de difundir copias funcionales de s mismo o de sus segmentos a otros sistemas informticos. La propagacin por lo general se lleva a cabo a travs de conexiones de red o archivos adjuntos de correo electrnico.
NDICE
A
Poltica de Uso Aceptable. 5eeAUP listas de control de acceso, Windows XP, 165-167 AccessData Forensic Toolkit, 117.146 adquisicin de evidencia digital, 2-4 de admisibilidad de las pruebas, 150 autenticacin, 151-152 mejor prueba de la regla, 152-153 el examen de los ordenadores incautados, 153 Frye prueba, 152 la preservacin, el 153 de la cadena de custodia, 61-63,149-150 herramientas forenses personalizados, 146-147 e-mail, 123 correo electrnico eliminado, recuperacin, 125-126 encontrar, 124125 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140141, 144-146 rastreadores de paquetes postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140
imprimir archivos de cola de impresin, 129-130 cuarentena y la contencin, 156 los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160-167 la integridad de la preservacin, 157 la ruptura de las conexiones de red e Internet, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143 TCT (Kit de herramientas de forense), 147-149 memoria cach del navegador Web, 126 explorador de la localizacin de evidencias de la historia, 127-128 Web de la localizacin de pruebas de cach, 128-129 De Windows los archivos de intercambio, 121 los archivos de localizacin, 121-122 contenidos televisivos de los archivos de intercambio / pgina, 123 hechos Cable, 271 Equipo de abuso Ley de Enmiendas de 1994, 42-43 Equipo de Fraude y Abuso de la ley de 1986,39-42 Ley de Seguridad Informtica de la Lucha contra el Crimen y la Ley de
1997.171 Calles Seguras, 28 de AECA (Privacidad de Comunicaciones Electrnicas Ley), 29 de FOIA (Freedom of Information Act), 30 de HIPAA (Health Insurance Portability and Ley de Responsabilidad de 1996), 228-232 de la Ley Patriota de EE.UU. 2001,43-44, 269 autoridad para interceptar la voz las comunicaciones en la piratera informtica investigaciones, 269 297
298
NDICE
156 para compartir archivos temas, la preservacin de la integridad de 160-167, 157
hechos seguido Ley de Cable, 271-272 comunicaciones de delitos informticos, nterception, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273275 citaciones para las pruebas electrnicas, 270-271 trampa y rastro estatuto, 273-275 de correo de voz de comunicaciones, 270 disposiciones de la Simplificacin Administrativa (HIPAA), 228 pruebas admisibles, 140.150 de autenticacin, registros electrnicos 151-152, 185 mecanismos de alerta, la respuesta de incidentes informticos capacidad, 17 de American Power Conversin la Corporacin de UPS Selector, 187 AnalogX PacketMon, 145 anlisis de las pruebas admisibilidad de las pruebas, 150 la autenticacin, la mejor regla 151-152 pruebas, 152-153 prueba de Frye, 152 perodo de tiempo permitido para el examen de confiscaron computadoras, 153, 153 de preservacin de la cadena de custodia, 149-150 contencin los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas,
la ruptura de las conexiones de red e Internet, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, herramientas forenses personalizados 157-159, 146-147 correo electrnico, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125-126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140-141 rastreadores de paquetes, 144146 AnalogX PacketMon, 145 144 Ethereal, NGSSniff, 144 Snort, 144 despus del incidente, 190-191 postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 archivos de cola de impresin, 129130 156 de cuarentena, los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160-167 la integridad de la preservacin, 157
NDICE 299
detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de Vulnerabilidad, 157-159 en modo real discos de arranque forenses, 141 FAT, 142 Linux, Windows 143-144, 142-143 TCT (Kit de herramientas de forense), 147-149 almacenamiento en cach del navegador web, 126 la localizacin de pruebas del navegador de la historia, 127-128 Web localizar evidencias de cach, los archivos de intercambio de Windows 128-129, 121, 121-122 archivos de localizacin de contenidos televisivos de los archivos de intercambio / pgina, 123 de software antivirus, la respuesta de cdigo malicioso, 202 Aplicacin del cuadro de dilogo Propiedades (Windows XP), 51 la evaluacin, un incidente de equipo de respuesta, 19-20 Astonsoft, ZIP Password Finder, 131 ataques anticipando, 191-194 211-213 privilegiada, prevencin, 215-216 estaciones de trabajo de auditora y servidores, 219-223 HIPAA (Health Insurance Portability and Accountability Act de 1996), 228-232 Honeynet Project, las pruebas de 232 de penetracin, 223-227 polticas y procedimientos de evaluacin, auditora 216219 proceso de auditora, 218-219 de contencin de las pruebas, la recogida de datos 157, 46,49, 51 polticas de seguridad, listas de control de auditora, 216-217 217-218, 216 metas estaciones de trabajo y servidores, 219-223 AUP (Poltica de Uso Aceptable), 138 pruebas fehacientes, 140,151-152 CCIPS, 282-285 electrnic registros, 184 modelos de confianza, 167 robos de identidad, 171 del sistema operativo de confianza, 169-170 ID de usuario y contrasea de confianza, 168169 listas de autor en CD-ROM, 249-252 Automachron (Un individuo Codificacin), 53
B
programas de puerta trasera el reconocimiento de incidentes, 5-7 los archivos de registro de cheques, 9 tipos ms comunes de los incidentes, 6 herramienta de gestin informtica (Windows), 9 la inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 carpetas de inicio de seguimiento, 11 cuentas de usuarios no autorizados observando, 8 alteraciones de archivos de programa, 13 los resultados de la deteccin inadecuada, 6-7 aplicaciones no autorizadas en ejecucin, 9 puertos de copia de seguridad inusuales, 13 y Asistente de restauracin (Windows XP), 189-190, 187 procedimientos de respaldo de la creacin de un plan de copias de seguridad diferenciales, 188, 188, 188 herramientas gratuitas de seguridad incrementales, 188 copias de seguridad normales, 188 Editor del Registro (Windows), 74 Utilidad de restauracin, de 78 aos shareware y freeware, de 78 aos Windows 2000, 75-76 Windows NT, de 75 aos Windows XP, 77-78 Windows, 189-190 utilidad Copia de seguridad (Windows XP), 77 pruebas crebles, 140
300
NDICE
Intelectual Seccin), 281-288 autenticacin, 282-285 rumores, 285-288
mejor prueba de la regla, 288,152-153 BIA (Business Impact Analysis), el 64 binario valiosa (Claves del Registro de Windows), el 71 BinText (Foundstone, Inc.), los sistemas de 117 BioNet, LLC NetNanny, 209 BIOS Parmetros de bloque. Ver BPB programa de instalacin, a 80 cuadras, sistema de archivos ext2, 87 discos de arranque, la creacin de modo real de discos de arranque, 141 FAT, 142 Linux, 143-144 Windows, 142-143 BPB (BIOS Parameter Block), 82 sucursales, Windows Registry Editor, 70-71 violaciones de la seguridad informar a la polica, el 30 prorganizaciones del sector privado, 32-33 justificacin para no informar de intrusiones, 31 anlisis del impacto empresarial (BIA), 64 empresas previsin de ataques futuros, 191-194 la continuidad y la planificacin de contingencia, 63-68 planificacin de la recuperacin de desastres, el desarrollo de un plan de 179, 180 a 181 casos de desastre de contingencia muestra de recuperacin de plan, 181-183
c
Ley de Cable, 271 CacheMonitor II, almacenamiento en cach de 129 Navegadores de Internet, 126 la localizacin de pruebas del navegador de la historia, 127-128 pruebas de localizacin de cach Web, 128-129 Cain & Abel v2.5 beta20, 131 sistema Carnivore, 144 CCIPS (Delitos Informticos y Propiedad
Ley Patriota de EE.UU. de 2001.269 autoridad para interceptar la voz las comunicaciones en la piratera informtica investigaciones, 269 de cable, la Ley 271-272 de comunicacin de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273275 citaciones para las pruebas electrnicas, 270-271 trampa y rastro estatuto, 273-275 de correo de voz de comunicaciones, 270 CD-ROM (libro que la acompaa), 247 componentes de la, 249-252 eBook versin de la respuesta a incidentes, 255 Linux, los requerimientos de 248-249, el software de 247, 252-254 solucin de problemas, Windows 255, 248 CD-R, de 81 aos CD-RW (CD regrabables), 81 CDP (Columbia Data Producs, Inc), de 61 aos CDs (discos compactos), 81 Centros de Servicios de Medicare y Medicaid. Ver CMS CERT (Computer Emergency Response Team), 232 de la cadena de custodia, recoleccin de evidencia, 61-63, 149-150 directores ejecutivos de informacin. Ver ClOs CIFS / SMB (Common Internet File System / servidor Mensajera Bloque), 221
NDICE 301
ClOs (los directores de informacin), 20 Cisco Systems, Inc., 211 CMS (Centers for Medicare & Medicaid Servicios), 228 error de cdigo rojo, 170 Cogswell, Bryce, de 73 aos la reunin de pruebas, 2-4 admisibilidad de las pruebas, 150 de autenticacin, 151-152 mejor regla de la prueba, 152-153 examen de los ordenadores incautados, 153 Frye prueba, 152 preservacinrde, 153 de la cadena de custodia, 6163,149-150 herramientas forenses personalizados, 146-147 e-mail, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131 bsquedas de palabras clave, 116 BinText, 117 Disk Investigator, 117 Encase programa de bsqueda por palabra clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 empresas de servicios pblicos gratuitos, 117 exmenes de disco duro, 120 Maresware Suite de palabras clave de bsqueda programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140-141, 144146 rastreadores de paquetes AnalogX PacketMon Ethereal, 145, 144 NGSSniff, Snort 144, postcompromise 144, 135 requisitos legales, las banderas de inicio de sesin 136, 136-139 orden de recogida , 139-140
imprimir archivos de cola de impresin, 129-130 cuarentena y la contencin, 156 mecanismos de auditora, 157 de riesgo determinante de operaciones continuas, 156 para compartir archivos temas, la preservacin de la integridad de 160-167, 157 ruptura de la red e Internet conexiones, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, de Windows 143-144, 142-143 TCT (Kit de herramientas de forense), 147-149 Web memoria cach del navegador, 126 la localizacin de pruebas del navegador de la historia, 127-128 Web localizar evidencias de cach, los archivos de intercambio de Windows 128-129, 121, 121-122 archivos de localizacin de contenidos televisivos de los archivos de intercambio / pgina, 123 de Columbia Data Producs, Inc. 5eeCDP comn de archivos de Internet del sistema / servidor de mensajera Bloque. 5eeCIFS / SMB Commonwealth Films, 172 Compact Disc Read-Only Memory discos. Ver CDs discos compactos. Ver CD de pruebas completa, volcados de memoria completos 140, de 57 aos la disponibilidad, el cumplimiento de 229 a 232, HIPAA (Health Insurance Portability and Accountability Act de 1996), 228 la confidencialidad, integridad de datos 229-232, 229-232 ordenador abuso Ley de Enmiendas de 1994, 42-43 de Delitos Informticos y Propiedad Intelectual (Departamento de Justicia), 31 de Computer Emergency Response Team.5eeCERT
302
NDICE
210
Equipo de Fraude y Abuso de la ley de 1986,3942 herramienta de administracin de PC (Windows), monitoreo de las cuentas de los usuarios no autorizados, 8 Ley de Seguridad Informtica 1997.171 equipo acerca de la seguridad, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 Constitucin, la Cuarta Enmienda, 28-30,138-139 de contencin de las pruebas, 156, 157 mecanismos de auditora incidentes informticos del equipo de respuesta, 19-20 de riesgo determinante de las operaciones continuadas, 156 de intercambio de archivos, 160 temas la configuracin de Windows, 161-162 archivo incapacitante y uso compartido de impresoras, 167 Windows XP, 162-167 respuesta de cdigo malicioso, la integridad de la preservacin de 202, 157 evitar que los trabajadores vean material inadecuado, 208-210 CyberPatrol, Net Nanny 209, 209 red de corte y conexin a Internet, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de Vulnerabilidad, 157-159 planes de contingencia planificacin de negocios, 63 TI de contingencia proceso de planificacin, 63-68 de desastres de la muestra recupera el plan, 181-183 supuestos, el procesamiento de datos 181 / Clima de Negocios descripcin, 181 por supuesto el reconocimiento de desastre de las acciones, procedimientos de respuesta de emergencia 181, 183 Lista de telfonos de emergencia, 183 mantienen el plan, 183 equipos de recuperacin, la continuidad de 181-183, la continuidad del negocio y de contingencia planificacin, 63-68 Panel de control (ProtectYou),
Kit de herramientas de forense.5eeTCT Corporativo Evidencia Procesamiento Suite (Nueva Technologies, Inc), 146 comandos de choque (Unix), de 58 de Control del Crimen y la Ley de Calles Seguras, 28 investigaciones sobre la delincuencia, las cuestiones de intercambio de informacin, 33-34 delitos, el uso de equipo inadecuado, 203 criptografa, 131 kits de herramientas forenses personalizados, recoleccin de pruebas, 146-147 equipo de soporte al cliente (el equipo de recuperacin), 183 CyberPatrol (Patrulla de Surf), 209
D
anlisis de daos, la respuesta de incidentes informticos equipo, 20 procedimientos de copia de seguridad de datos, la creacin de un plan de 187, 188, 188 copias de seguridad diferenciales herramientas freeware, 188 copias de seguridad incrementales, 188, 188 copias de seguridad normales de Windows, 189-190 recopilacin de datos La respuesta preliminar, 55 archivos de volcado de memoria, 56-59 orden de la volatilidad, la preparacin de los sistemas operativos de 56, 45 procedimientos de auditora y registro, de 46 aos, 49-51 de registro centralizado, 51-52 habilitar la auditora y el registro de Windows, 47-49 archivos de registro, 46 Editor del Registro (Windows), 73 lnCntrl5 utilidad, la utilidad Regmon 73-74, 73-74 datos
NDICE 303
procesamiento de datos, almacenamiento de datos 181, 78 CD-ROM, disquetes, 80-81 79-80, 78-79 discos duros de Unix / Linux, 87-88 Datum, Inc, 54 archivos borrados sistema de archivos ext2, la recuperacin de 87, 85-86 seguimiento, 84-85 Departamento de Energa de Primeros Auxilios Manual, de 21 aos del Departamento de Justicia, Delitos Informticos y Seccin de la Propiedad Intelectual, de 31 aos Deraison, Renaud, 173 incidentes de deteccin, 5, 7 tipos ms comunes de los incidentes, 6, 7 sistema de monitoreo de los archivos de registro de cheques, de 9 herramienta de gestin informtica (Windows), 9 la inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 alteraciones de archivos de programas, aplicaciones no autorizadas 13, 9-11 cuentas de usuario no autorizado o grupos, 8 puertos inusuales, 13 los resultados de la deteccin inadecuada, cajas de dilogo de 6-7, Ejecutar (Windows), de 72 aos, Dick, Ronald, 3 - 4 copias de seguridad diferenciales, 188 pruebas digitales, 2-4,61-63,116-117 de adquisicin. 5eeadquisicin de digitales pruebas DUPLCate , original de 3, 2 postcompromise seguimiento y anlisis, 190 registros de seguridad, programas, 183-186 la admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de copia de seguridad de datos, 187-190
UPS (suministro ininterrumpido de energa), 186-187 medios de almacenamiento, 183-184 digital de sellado de tiempo de servicio. Ver DTS directorios, el sistema de archivos ext2, 87 incapacitante uso compartido de archivos, 167 de NetBIOS nuyosesiones de l, 221 2000.223 de Windows Windows NT, Windows XP 223, 222, 167 compartir impresoras Coordinador de Planificacin de Desastres (equipo de recuperacin), 181 casos de desastre planificacin de la recuperacin, el desarrollo de un plan de 177179, 180-181 de contingencia muestra de plan de recuperacin de desastres, 181-183 supuestos, 181 descripcin de procesamiento de datos, 181 cursos de reconocimiento de desastre de las acciones, procedimientos de respuesta de emergencia 181, 183 Lista de telfonos de emergencia, el plan de mantenimiento de 183, 183 equipos de recuperacin, divulgacin 181-183, aplicacin de la ley, 36-38 Recuperacin de descuento contrasea, el descubrimiento de 131 , aplicacin de la ley, 36-38 Disk Investigator (Soloway, Kevin), 117 discos disquete, disco duro 79-80, 78-79, 59 herramientas de imgenes de Linux dd, 61 NIST especificaciones, 60-61 SnapBack DatArrest, 61 DiskSearch Pro (Nuevas Tecnologas, Inc), 120 Proyecto de almacenamiento de correo electrnico, 125 DrvClonerXP (Lexun Freeware), 120 DTS (Digital sellado de tiempo de servicio), de 54 aos Dumpchk, de 58 aos
304
NDICE
aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 Nessus, 173 SAINT, 174
E
utilidad de e2undel, la recuperacin de archivos ext2, de 88 aos e-mail reunir pruebas, 123 localizar, 124125 recuperar el correo electrnico eliminado, 125-126 EasyRecovery Professional (Kroll Ontrack, Inc.), 86 libros electrnicos (incidente de Informtica Forense de Respuesta Kit de herramientas), 255 ECPA (Comunicaciones Electrnicas Ley de Privacidad), 29 de EDI (intercambio electrnico de datos), 229 edicin, el Editor del Registro (Windows), de 72 aos la EEOC (Equal Employment Opportunity Comisin), 206-208 planes eficientes de seguridad de respuesta, 16 de Electronic Communications Privacy Act. Ver ECPA intercambio electrnico de datos. Ver EDI divulgacin electrnica, de 36 aos de pruebas electrnicas. Ver de emergencia digitales de gestin de pruebas del equipo (la recuperacin equipo), el disco de reparacin de emergencia 182 (ERD), 75 procedimientos de respuesta a emergencias, 183 de la lista telefnica de emergencia, 183 CEM (metarchivo mejorado), 129 sistemas en guardia, Inc, 227 habilitar la auditora y el registro de Windows, 47-49 Encase palabras clave de bsqueda programa, 117 metarchivos mejorados (EMF), 129 Comisin de Igualdad de Oportunidades (EEOC), 206-208 erradicacin de los incidentes, 173
Ethereal, 144 Ethernet, 144 Visor de sucesos (Windows XP), 50 Evertrust.net, 54 pruebas adquisicin admisibilidad de las pruebas, 150-153 de la cadena de custodia, 61-63,149-150 contencin, 156-167 herramientas personalizadas forenses, 146-147 e-mail, datos ocultos, 123126 130-132 116-119 bsquedas de palabras clave, el orden de volatilidad, 140-141, 144146 rastreadores de paquetes postcompromise y 135-140 de impresin cola de archivos, 129-130 156-167 cuarentena, en modo real discos de arranque forenses, 141144 TCT (Kit de herramientas de forense), 147-149 memoria cach del navegador Web, archivos de intercambio de Windows 126129, 121-122 contenidos televisivos de intercambio / pgina ficheros, 123 digitales. Ver evidencia digital "potencial" evidencia, 3 conservacin, equipo equipo de respuesta a incidentes, 21 ampliable valiosa cadena de (Registro de Windows teclas), 71 bloques del sistema de archivos ext2, 87, 87 directorios de eliminacin de archivos, el 87 de recuperacin de archivos, 87-88
F
Farmer, Dan, 147 FAT (File Allocation Table), de 81 aos crear en modo real discos de arranque de forenses, 142 FAT12, de 82 aos FAT16, de 82 aos FAT32, de 82 aos
NDICE 305
FedCIRC (Equipo Federal de Respuesta a Incidentes Centro), 5 Incidentes Federal de Centro de Cmputo de respuesta. Ver FedCIRC Cdigo Federal de la Delincuencia, la divulgacin de la computadora nformacin, 37-38 las leyes federales, 38 Enmiendas a la Ley Informtica abuso de fraude informtico 1994,42-43 Acta de Abuso y 1986,39-42 de la Ley Patriota de EE.UU. de 2001, 43-44, 269 autoridad para interceptar la voz las comunicaciones en la piratera informtica nvestigations, 269 Cable Act, 271-272 comunicacin de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273-275 citaciones para las pruebas electrnicas, la trampa y el estatuto de seguimiento 270-271, 273-275 de correo de voz de comunicaciones, 270 Reglas Federales de Evidencia, 61-62,123,281 -288 mbito de la orientacin Ley Patriota de EE.UU. de 2001, 269 autoridad para interceptar la voz las comunicaciones en la piratera informtica nvestigations, 269 Cable Act, 271-272 comunicacin de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280
las revelaciones de las comunicaciones de emergencia proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273275 citaciones para las pruebas electrnicas, 270-271 trampa y rastro estatuto, 273-275 de correo de voz de comunicaciones, 270 File Allocation Table. Ver Programa de archivos FAT (TCT), 147 para compartir archivos, pruebas de cuarentena y la contencin, 160 configuracin de Windows, 161-162 deshabilitar compartir archivos e impresoras, Windows XP 167, 162-167 uso compartido de archivos ficha Propiedades (Windows XP), 165 First Responder de instrucciones ( EE.UU. Departamento de Energa), 21 disquetes, 79-80 FOIA (Freedom of Information Act), 30 en Opciones de carpeta (Windows XP), 164 carpetas cuadro Opciones (Windows XP), 122 de seguimiento, los incidentes de hackers, 201 preparacin forense, 45 la continuidad del negocio y de contingencia planificacin, de 63 aos TI de contingencia proceso de planificacin, 63-68 de la cadena de custodia para la recopilacin de pruebas, 61-63 recopilacin de datos de la memoria, 55 archivos de volcado de memoria, 56-59 orden de volatilidad, la identificacin de 56 dispositivos de red, unidades de imagen de disco duro 54-55, 59-61 preparacin de los sistemas operativos de recogida de datos, auditora y los procedimientos de registro de 45, 46, 49, 51 de registro centralizado, 5152 habilitar la auditora y el registro de Windows, 47-49
306
NDICE
Frye prueba, 152 la preservacin, el 153 de la cadena de custodia, 61-63,149150 herramientas forenses personalizados, 146-147 e-mail, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125-126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140-141, 144-146 rastreadores de paquetes postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 archivos de cola de impresin, 129-130 de cuarentena y la contencin, 156 los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160167 la integridad de la preservacin, 157 la ruptura de las conexiones de red e Internet, 159-160
la preparacin forense seguido sincronizacin de tiempo, 52-53 Automachron, de 53 aos NIST Servicio de hora de Internet, el 53 por NTP (Network Time Protocol), de 52 aos hora mundial, el 53 de sellado de tiempo, 53-54 herramientas forenses personalizacin, 146-147 Forensic Toolkit (AccessData), 146 Forensic Toolkit palabra clave de bsqueda de programa, 117 de Foundstone, Inc. BinText, 117 SuperScan, 13 de la Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 fragmentacin, 8182,124 Freedom of Information Act. Ver FOIA gratuito CacheMonitor II, 129 Cain & Abel v2.5 beta20, 131 herramientas de copia de seguridad de datos, 188 ProtectYou, 209-210 bsqueda de palabras, programas, 117-119, 173 Nessus escner NetBrute, 225, 144 Snort Ultcompaero de ZIP Cracker, 131-132 copia de seguridad de Windows y los procedimientos de restauracin, 78 ZIP Password Finder, 131 prueba de Frye, la admisibilidad de la prueba informtica, 152 funciones, NIPC (Nacional de Proteccin de la Infraestructura del Centro), 35
G
reunir pruebas, 2-4 admisibilidad de las pruebas, 150 de autenticacin, 151-152 mejor regla de la prueba, 152-153 examen de los ordenadores incautados, 153
detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143
NDICE 307
TCT (Kit de herramientas de forense), 147-149 memoria cach del navegador Web, 126 la localizacin de pruebas del navegador de la historia, 127-128 Web localizar evidencias de cach, los archivos de intercambio de Windows 128-129, 121, 121-122 archivos de localizacin de contenidos televisivos de los archivos de intercambio / pgina, 123 GFI LANguard Network Security Scanner, 55.174 GFI LANguard Security Event Log Monitor, 52 GMT (Greenwich Mean Time), de 52 aos ladrn de tumbas (TCT de recoleccin de datos del programa), 147-148 funcionamiento, 148-149 hora media de Greenwich.5eeGMT Guidance Software, Inc., Encase programa de bsqueda por palabra clave, 117 Portabilidad y Responsabilidad de Seguros Ley de 1996. Ver Odas HIPAA, CCIPS, 285-288
H
los piratas informticos, 195 actividad de los hackers activo, 198-200 los ataques de medidas preventivas, 191194 categoras de incidentes, 196 puertos comnmente atacados, 257-267 de seguimiento, 201 los piratas informticos de identificacin, 197198 Entrada de acceso a Internet, 196 monitorizacin de la actividad hacker, 200 puerto de entrada de acceso, 196 incidentes anteriores, 201 Troya, 196 programas de caballo de acoso, el uso de equipo inadecuado, 203-205 evitar los juicios, 205-206 las polticas sobre el acoso sexual, 206208 discos duros, unidades de disco duro 78-79 imgenes, la respuesta preliminar, 59-61 bsquedas de palabras clave, 120 de
datos ocultos, recogida de pruebas, 130 protegida con contrasea los datos comprimidos, 131-132 esteganografa, 130-131 de alto nivel de incidentes, 19 Boletn Destacados (INCP), 178 de HIPAA (Health Insurance Portability y Ley de Responsabilidad de 1996), 228-232 colmenas, Editor del Registro de Windows, 70-71 HKEY_CLASSES_ROOT rama (Windows Registro), 70 rama HKEY_CURRENT_CONFIG (Windows Registro), 71 HKEY_CURRENT_USER rama (Windows Registro), el 70 HKEY_DYN_DATA rama (Registro de Windows), de 71 aos rama HKEY_LOCAL_MACHINE (Windows Registro), 70 (rama HKEY_USERS del Registro de Windows), el 70 Honeynet Project, el acoso sexual, ambiente hostil, 232, 203
Yo
IAP / PUA, 208 (acceso a Internet y de uso aceptable polticas), 208 del programa ICAT (TCT), 147 la identificacin de hackers, 197-198 dispositivos de red, 54-55 el robo de identidad, 171 programa de ILS (TCT), 147 imgenes de unidades de disco duro, la respuesta preliminar, 59-61 en casa de pruebas de penetracin, 224-226 inapropiadas del uso de los incidentes, 202 infracciones penales, 203 molestias, 203 evitar que los empleados vean material inapropiado conten filtros, 208210 IAP / PUA, 208 uso prohibido, 203 una tica cuestionable, 203 reconociendo el uso apropiado, 203
308
NDICE
impedir que los trabajadores puedan ver material de nappropriate, 208-210 uso prohibido, 203 una tica cuestionable, 203 reconociendo el uso apropiado, 203 el acoso sexual, 203-208 uso tolerable, 203
nappropriate incidentes de uso seguido el acoso sexual, 203-208 uso tolerable, 203 Bandeja de entrada de correo electrnico de almacenamiento, 125 incidentes previsin de ataques futuros, 191-194 evaluacin de las vulnerabilidades de la organizacin con modelos de confianza, 167 el robo de identidad, 171 el sistema operativo de confianza, 169170 ID de usuario y contrasea de confianza, 168-169 equipo de sensibilizacin de seguridad de programas, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 planes de recuperacin de desastres, 177-179 desarrollar un plan, 180-181 de contingencia muestra de plan de recuperacin de desastres, 181-183 erradicacin, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidades, 173-174 objetivos de la respuesta, 5 hackers, 195 actividad de los hackers activo, 198-200 categoras, 196 de seguimiento, 201 identificar al hacker, 197-198 Entrada de acceso a Internet, 196 monitorizacin de la actividad hacker, 200 puerto de entrada de acceso, 196 incidentes anteriores, 201 Programas de caballo de Troya, 196 de alto nivel, 19 nappropriate incidentes de uso, 202 infracciones penales, 203 molestias, 203
espionaje industrial, 210-211 los ataques internos y 211-213 casos aislados, 19 de bajo nivel, 18 cdigo malicioso, 201-202 de nivel medio, 18 despus del incidente de seguimiento y anlisis, 190-191 preparacin centralizacin, 16 desarrollo de la capacidad de respuesta, 1621 concienciacin de usuario mejorada, 16 planes de seguridad, factores de amenaza, 15-16 14-15 cuarentena, 156 los mecanismos de auditora, 157 de riesgo determinante de la continua 156 operaciones, de intercambio de archivos, los problemas de la preservacin de la integridad de 160-167, 157 y ruptura de la red de Internet conexiones, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, el reconocimiento 158159, 5, 7,14 tipos ms comunes de los incidentes, 6 sistema de monitoreo, 7-13 resultados de la deteccin inadecuada, 6-7 lnCntrl5 utilidad, 73-74 copias de seguridad incrementales, 188 incidentes de espionaje industrial, 210211 NETPATROL, 225 el intercambio de informacin, la investigacin de delitos, 33-34 Tecnologa de la Informacin Asociacin de AmRica, el 30 INFOWARCON Conferencia de 2001, 3-4 de la inoculacin de los sistemas, el cdigo malicioso respuesta, 202 inodes, 87 los ataques internos, 211-213 instalacin, banderas de inicio
de sesin Unix / Linux, 137-139 Windows 2000/XP, Windows NT 137, 136 la preservacin de integridad, 157
NDICE 309
Acceso a Internet y las polticas de uso aceptable. Ver IAP / PUA Internet entrada de acceso, los incidentes de hackers, 196 conexiones, corte, 159-160 gusanos, 201 Internet Explorer explorador de la localizacin de evidencias de la historia, 127 gestin de la configuracin de cach, 128 Tiempo de Servicios de Internet. Ver SU intrusin la deteccin, 5,7,14 tipos comunes de incidentes, incidente del 6 de centralizacin de las preparaciones, 16 desarrollo de la capacidad de respuesta, 16-21 concienciacin de usuario mejorada, de 16 factores que contribuyen a la creciente presencia de de las amenazas, 14-15, 15-16 planes de seguridad del sistema de monitoreo, 7 archivos de registro de cheques, 9 herramienta de gestin informtica (Windows), 9 nspecting configuraciones de red, 13 NVALID derechos de los usuarios, 9 alteraciones de archivos de programas, aplicaciones no autorizadas 13, 9-11 cuentas de usuario no autorizado o grupos, 8 puertos inusuales, 13 los resultados de la deteccin inadecuada, 6-7 ProtectYou, 209 Panel de control, la pantalla de inicio rpido 210, 209 de Ipswitch, Inc. WhatsUp Gold, de 55 aos IraqiWorm, 221 solated incidentes, 19 sistemas solating, la respuesta de cdigo malicioso, 202 ISS Internet Scanner, 212 TI proceso de planificacin de contingencia, de 63 aos la realizacin de la BIA, de 64 aos de desarrollo, de 65 aos Notificacin / Fase de activacin, el 66 Plan de fase de los Apndices, de 66 aos declaracin de poltica, 63-64
Fase de reconstitucin, de 66 aos Recun / a fase, 66 las estrategias de recuperacin, 65 Informacin de Apoyo a la fase, de 66 aos dentificar los controles preventivos, 64-65 el mantenimiento del plan, de 68 aos de pruebas, de 67 aos de formacin, el 67 ITS (Internet Service Time), de 53 aos ITSecure, 227
K
Katz v EE.UU. (en cursiva), 28 volcados de memoria del ncleo, 57 Kevin V. DiGregory (cursiva), 29 teclas, Windows rama de Editor del Registro vales, 70-71, 116 bsquedas de palabras clave Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 empresas de servicios pblicos gratuitos, 117, 117 BinText investigador del disco, 117, 117-119 SectorSpyXP exmenes de disco duro, 120 Maresware Suite de palabras clave de bsqueda del programa, 117 Kiwi Syslog Daemon, de 52 aos gusano Klez de 2002.160 Kroll Ontrack, Inc. EasyRecovery Professional , 86
L
tierras, la tecnologa de CD, 81 LANPATROL, 225 lastcomm programa (TCT), 147 aplicacin de la ley Control del Crimen y la Ley de seguridad en las calles, la revelacin y el descubrimiento de 28, 36-38 divulgacin electrnica, 36 Cdigo Federal del Crimen, 37-38 divulgacin de papel, de 36 aos
310
NDICE
seguridad local, Edicin de inicio de sesin instalacin de la bandera, 137 de seguridad local ventana de Configuracin (Windows XP), de 49 aos
aplicacin de la ley seguido las leyes federales, 38 Equipo de abuso Enmiendas a la Ley de 1994,42-43 equipo de Fraude y Abuso de la ley de 1986, 39-42 Ley Patriota de EE.UU. de 2001, 43-44, 269-280 FOIA (Freedom of Information Act), 30 de la Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 temas de intercambio de informacin, 33-34 NIPC (Proteccin de la Infraestructura Nacional Centro), 35 violaciones a la seguridad de informacin, 30 prorganizaciones del sector privado, 32-33 justificacin para no informar de intrusiones, 31 requisitos para la recoleccin de pruebas, el acoso sexual 136 (equipo inadecuado uso), 205-206 Lzaro (TCT programa de reconstruccin de datos), 147 configuracin del Registro LegalNoticeCaption, el establecimiento de 136 Registro LegalNoticeText, 136 Lexun Freeware DrvClonerXP, 120 SectorSpyXP, 117-118 bsqueda de informacin especfica, 119 pruebas para la escritura del mismo lugar que no sea Una unidad de disco, 118-119 Linux CD-ROM de libro de acompaamiento, la creacin de 248 a 249 en modo real discos de arranque de forenses, 143-144 de almacenamiento de datos, 87 sistema de archivos ext2, 87-88 Linux dd herramienta de imgenes de disco, de 61 aos de instalacin bandera de inicio de sesin, 137-139 consola Directiva de
la localizacin de e-mail las pruebas, 124-125 Navegador de Internet la historia de las pruebas, 127-128 Web de pruebas de memoria cach, 128-129 De Windows los archivos de intercambio, 121-122 los archivos de registro recopilacin de datos para sistemas operativos, de 46 aos de monitoreo para intrusin, 9 procedimientos de registro El acceso centralizado, 51-52 la preparacin de sistemas operativos para los datos recoleccin, 46,49-51 banderas de inicio de sesin, el mantenimiento de los derechos de privacidad de los usuarios, 136 Unix / Linux de la instalacin, 137-139 Instalacin de Windows 2000/XP, 137 Instalacin de Windows NT, 136 bajo nivel de incidentes, 18
M
mactime (TCT sistema de archivos de sello de tiempo representanterter), 147 medios magnticos, 184 mantenimiento plan de desastre, el desastre de la muestra de contingencia plan de recuperacin, 183 Planes de contingencia de TI, el 68 del programa major_minor (TCT), 147 cdigos maliciosos, 14.201 contencin, 202 inoculando el sistema, 202 aislar el sistema, 202 notificacin personal adecuado, 202 volver al funcionamiento normal del sistema modo, 202 Programas de caballo de Troya, 201 gusanos, 201 Mares and
NDICE 311
Maresware Suite de bsqueda por palabra clave programa, 117 de MBSA (Microsoft Baseline Security Analyzer), 174 McCamy, Nick (SectorSpyXP), 117-118 bsqueda de informacin especfica, 119 por escrito las pruebas a la ubicacin que no sea un unidad, 118-119 programa de md5 (TCT), 147 medios de comunicacin, medios de almacenamiento, 3, 78,183-184 CD-ROM, 80-81 disquetes, 79-80 discos duros, 78-79 Unix / Linux, 8788 memoria la recopilacin de datos, 55 los archivos de volcado de memoria, 56-59 orden de la volatilidad, 56 no voltil, 55 vertederos voltiles, la memoria 56, 57-58 Dumpchk, de 58 aos Unix sysdump comando, 58-59 de metadatos, NTFS (New Technology File System), el 83 de Microsoft Baseline Security Analyzer. Ver MBSA de nivel medio de incidentes, 18 Miller, N. Harris, de 30 aos actividad de los hackers de vigilancia, 200 sistema de monitoreo para intrusiN, 7 los archivos de registro de cheques, 9 herramienta de gestin informtica (Windows), 9 inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 alteraciones del programa de archivos, 13 aplicaciones no autorizadas, 9 examinar el registro de Windows, 9-11 servicios no vlidos, 10 Carpetas de inicio del sistema, 11 cuentas no autorizadas de los usuarios o grupos, 8 puertos poco comunes, 13
Morch, Pedro, 211 Morris, Daniel M., 197-198 Mover MET caja (Microsoft Outlook para Windows XP), 126 documentos multimedia, seguridad informticaprogramas de sensibilizacin, 172 multistring Valu (Claves del Registro de Windows), de 71 aos
N
N.S.S. (Network Security Scanner), 174 de la Infraestructura Nacional Centro de Proteccin. Ver NIPC Instituto Nacional de Estndares y Tecnologa. Ver NIST nativo de Inteligencia, Inc., 172 Nessus, 173 Net Nanny (BioNet Systems, LLC), 209 de NetBIOS nuyol sesiones, desactivar 221 2000.223 de Windows de Windows NT, Windows XP 223, 222 Scanner NetBrute (software de lgica en bruto), Netscape Navigator 225 explorador de la localizacin de evidencias de la historia, gestin de las configuraciones de almacenamiento en cach 127, 128 redes configuraciones la inspeccin de entradas no autorizadas, 13 operadores, 9 dispositivos, mapas, 54-55 rastreadores de paquetes, la evidencia recogida, 144-146 acciones, 160 la configuracin de Windows, 161-162 archivo incapacitante y uso compartido de impresoras, 167 Windows XP, 162-167 Red de Propiedades de la herramienta, la red de la inspeccin configuraciones para intrusin, 13 escner de seguridad de red. Ver N.S.S. Network Time Protocol. Ver NTP
312
NDICE
Nuevas Tecnologas, Inc. Las empresas de procesamiento de evidencia Suite 146 DiskSearch Pro, 120 New Technology File System. Ver NTFS NGSSniff, 144 NIPC (Proteccin de la Infraestructura Nacional Centro), 35 funciones, 35, 178 Boletn resalta Proteccin por contrasea 101,168-169 del NIST (Instituto Nacional de Estndares y Tecnologa), 60 imgenes de disco especificaciones de la herramienta, 6061 de TI proceso de planificacin de contingencia, de 63 aos la realizacin de la BIA, de 64 aos desarrollo del plan de contingencia, 65-66 la poltica de desarrollo de la declaracin, 63-64 el desarrollo de estrategias de recuperacin, 65 Identificacin de los controles preventivos, 64-65 el mantenimiento del plan, de 68 aos pruebas, 67 la formacin, el 67 NIST Servicio de hora de Internet, 53 Noble, David, de 79 aos de memoria no voltil, de 55 copias de seguridad normales, 188 Norton Commander, visualizacin de intercambio de Windows 123 ficheros, Norton Diskedit, visualizacin de intercambio de Windows archivos, 123 Notificacin / Fase de activacin (TI de contingencia planes), 66 ntbackup, Windows NT procedimiento de copia de seguridad, el 75 de NTFS (New Technology File System, 82-83 NTP (Network Time Protocol), el 52 nuyol sesiones (NetBIOS), discapacitante, 221-223
O
O'Connorv. Ortega, 138 Object Linking and Embedding.5eeOLE Objeto ventana de tipo (Windows XP), 166
OLE (Object Linking and Embedding), 70 Olmsteadv. Estados Unidos, 28 Lucha contra el Crimen y la Ley mnibus Calles Seguras, de 28 aos de One Guy Codificacin Automachron, de 53 aos paginacin sistemas operativos, 121 para la preparacin de la recopilacin de datos, 45 de auditora y el registro de los procedimientos, 46,49-51 El acceso centralizado, 51-52 habilitar la auditora y el registro de Windows, archivos de registro de 4749, 46 de volver al modo normal de funcionamiento, 202 de riesgo de las operaciones en curso, 156 modelos de confianza, 169-170 de Windows. Ver ptica de Windows los medios de comunicacin, 184 orden de la recopilacin de pruebas, 139-140 orden de volatilidad, 56,140141 la evidencia digital original, 2 Bandeja de salida de correo electrnico de almacenamiento, 125 Outlook, recuperar correos electrnicos eliminados, las pruebas de penetracin de 126 subcontratados, 224
PawPrint.net Hora mundial, de 53 aos PC Inspector File Recovery, 84-85 PCAT programa (TCT), 148 pruebas de penetracin, 223 en la casa frente a la externalizacin, 224 software para las auditoras internas, 225-226 pruebas realizadas por terceros, 227
P
rastreadores de paquetes, la evidencia recogida, 144-146 paginacin, 121 la divulgacin de papel, 36 Crackers de contraseas, Inc, 131 Proteccin por contrasea 101 (INCP), 168169 Recuperar Contrasea Asistente (ZIP Cracker), 132 contrasea de confianza, 168-169 protegidos con contrasea los datos comprimidos, recogiendo datos ocultos, 131-132
NDICE 313
personal, un incidente de equipo de respuesta, 17 de evaluacin y de contencin, 19-20 de anlisis de daos y la determinacin de los procedimientos de cierre, 20 daos, 21 las operaciones de recuperacin, el 20 proceso de informacin, 18-19 asegurar una escena, 18 fsicos TEMS, 2 pozos, la tecnologa del CD, 81 Apndices Plan de fase (planes de contingencia de TI), de 66 aos Pochron, David M., 129 polticas la evaluacin de sistemas de seguridad, listas de control de auditora, 215-217 217-218 objetivos, 216 visin general del proceso de auditora, 218-219 declaraciones, el proceso de planificacin de contingencia, 63-64 puertos entrada de acceso, los incidentes de hackers, 196 puertos comnmente atacado, 257-267 intrusin la deteccin, el 13 PortScan, 225-226 postcompromise la recopilacin de pruebas, 135, 190-191 requisitos legales, las banderas de inicio de sesin 136, 136 Unix / Linux de la instalacin, la instalacin de Windows 2000/XP 137139, 137 de instalacin de Windows NT, el orden 136 de la coleccin, 139-140 preliminar/respuesta, 45 la continuidad del negocio y de contingencia planificacin, 63-68 de la cadena de custodia para la recopilacin de pruebas, 61-63 recopilacin de datos de la memoria, 55 archivos de volcado de memoria, 56-59 orden de volatilidad, la identificacin de 56 dispositivos de red, unidades de imagen de disco duro 54-55, 59-61 la preparacin de sistemas operativos para los datos coleccin, 45 de auditora y el registro de los procedimientos, 46-51 El acceso centralizado, 51-52 habilitar la auditora y el registro de Windows, 47-49 los archivos de registro, el 46 de sincronizacin de tiempo, 52-53 Automachron, de 53 aos NIST de servicios de Internet Time, de 53 aos NTP (Network Time Protocol), de 52 aos Hora mundial, el 53 de sellado de tiempo, la preparacin para incidentes de 53-54, de 45 aos la continuidad del negocio y de contingencia planificacin, 63-68 de la cadena de custodia para la recopilacin de pruebas, 61-63 recopilacin de datos de la memoria, de 55 aos los archivos de volcado de memoria, 5659 orden de la volatilidad, de 56 aos de recopilacin de datos, 45 de auditora y el registro de los procedimientos, 46,49-51 El acceso centralizado, 51-52 habilitar la auditora y el registro de Windows, 47-49 archivos de registro, desarrollo de la capacidad de respuesta 46, 16 mecanismos de alerta, 17 centralizacin, 17 equipo de respuesta a incidentes, 17-21 estructura, la identificacin de 17
dispositivos de red, unidades de imagen de disco duro 54-55, 59-61, 15 planes de seguridad centralizacin, 16 respuesta eficiente, 16 la conciencia de usuario mejorada, 16 factores de amenaza, 14-15, 52-53 sincronizacin de tiempo Automachron, de 53 aos NIST de servicios de Internet Time, de 53 aos
NDICE
la preparacin para incidentes seguido NTP (Network Time Protocol), de 52 aos Hora mundial, el 53 de sellado de tiempo, 53-54 preservacin de las pruebas admisibilidad de las pruebas, 150-153 autenticacin, 151-152 mejor prueba de la regla, 152-153 Frye prueba, 152 perodo de tiempo permitido para examinar ordenadores incautados, 153 de la cadena de custodia, 149150 incidentes informticos del equipo de respuesta, 21 kits de herramientas forenses de encargo, la integridad 146-147, 157 orden de la volatilidad, 140141 rastreadores de paquetes, 144-146 AnalogX PacketMon, 145 144 Ethereal, NGSSniff, 144 Snort, 144 postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143 TCT (Kit de herramientas de forense), 147-149 prevenir los ataques, 215-216 evaluacin de las polticas de seguridad del sistema y procedimientos, 216-217 listas de verificacin de auditora, 217-218 objetivos, 216 visin general del proceso de auditora, 218-223 HIPAA (Health Insurance Portability and Ley de Responsabilidad de 1996), 228232 Honeynet Project, 232
pruebas de penetracin, 223 en la casa frente a la externalizacin, 224 software para las auditoras internas, 225226 pruebas realizadas por terceros, 227 Controles de prevencin, 64-65 prevencin de los incidentes, la planificacin de recuperacin de desastres, 179 el desarrollo de un plan de contingencia de desastres, 180-181 muestra de recuperacin del plan, 181183 incidentes anteriores, hackers, 201 archivos de cola de impresin, la recoleccin de pruebas, 129 -130 derechos de privacidad Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 banners inicio de sesin, 136-139 O'Connor v Ortega, 138 prorganizaciones del sector privado, 32 temas de intercambio de informacin, 3334 Reno direccin de la cumbre, 32-33 Process Explorer, 170 programas equipo acerca de la seguridad, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 los registros de seguridad, 183186 la admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de copia de seguridad de datos, 187-190 de UPS (Uninterruptible Power Supply), 186-187 TCT (Kit de herramientas de forense), 147148 caballo de Troya, 14 prohbe el uso del ordenador , 203 modo promiscuo, Ethernet, 144 cuadro de propiedades (la papelera de reciclaje), 84 protocolos, TELNET, 196 de compra UPS (suministro
NDICE 315
Q
la cuarentena de las pruebas, 156, 157 mecanismos de auditora determinar el riesgo de las operaciones continuadas, 156 de intercambio de archivos, 160 temas la configuracin de Windows, 161-162 archivo incapacitante y uso compartido de impresoras, 167 Windows XP, 162-167 preservar la integridad, 157 Severing conexiones de red e Internet, 159-160 usuario detecta las vulnerabilidades tcnicas, 157 Formulario de Reporte de Vulnerabilidad, 157-159 tica cuestionable, 203 de la pantalla de inicio rpido (ProtectYou), 209 acoso quid pro quo sexual, 203
R
RAID (Redundant Arrays of Independent Disks), de 65 aos RAM (memoria de acceso aleatorio), 56 de memoria de acceso aleatorio. Ver Memoria RAM de software Logic Raw NetBrute escner, 225 RDISK utiYodad, Windows NT procedimiento de copia de seguridad, 75 de modo real forense discos de arranque, 141, 142 FAT Linux, Windows, 143144 142-143 signos de reconocimiento de un incidente, 5-7,14 tipos comunes de incidentes, 6, 7 sistema de monitoreo de los archivos de registro de cheques, 9 herramienta de gestin informtica (Windows), 9 la inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 alteraciones de archivos de programas, aplicaciones no autorizadas 13, 9-11 cuentas de usuario no autorizado o grupos, 8 puertos
programa de reconfiguracin (TCT), 148 fase de reconstitucin (TI planes de contingencia), 66 discos compactos grabables.5eeCD-R de registros (registros electrnicos), 183 registros de seguridad, programas, 183-186 admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de respaldo de datos, 187190 de UPS (Uninterruptible Power Supply), 186-187, 183 medios de almacenamiento 184 registros, programas de seguridad, 183186 de admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de copia de seguridad de datos, la creacin de un plan de 187, 188, 188 copias de seguridad diferenciales herramientas freeware, 188 copias de seguridad incrementales, 188, 188 copias de seguridad normales de Windows, 189-190 UPS (suministro ininterrumpido de energa), 186 beneficios de la UPS, 187 UPS continua versus espera, 186-187 adquisitivo, la recuperacin de archivos 187, sistema de archivos ext2, 87-88 recun / a operaciones, equipo de respuesta a incidentes equipo, 20 de recun / a fase (planes de contingencia de TI), de 66 aos recun / a estrategias, la planificacin de contingencias proceso, 65 equipos de recuperacin, 181-183 del equipo de atencin al cliente, 183 Coordinador de Planificacin de Desastres, 181 equipos de manejo de emergencias, el equipo de 182 proyectos especiales, el equipo de soporte tcnico 182, 182 Papelera de reciclaje (Windows), 83 pruebas restantes, 83 archivos borrados de seguimiento, el 84 -85
316
NDICE
equipo de respuesta a incidentes, 17 la evaluacin y contencin, 19-20 anlisis de daos y la determinacin, el 20 procedimientos de cierre de daos, 21 las operaciones de recuperacin, 20 proceso de presentacin de informes, 18-19 asegurando una escena, 18 estructura, procedimientos de respuesta de 17 incidentes de hackers, 195 actividad de los hackers activo, 198200 categoras, 196 de seguimiento, 201 identificar al hacker, 197-198 Entrada de acceso a Internet, 196 monitorizacin de la actividad hacker, 200 puerto de entrada de acceso, 196 incidentes anteriores, 201 Programas de caballo de Troya, 196 incidentes de uso inadecuado, 202 infracciones penales, 203 molestias, 203 impidiendo que los trabajadores vean material inadecuado, 208-210 uso prohibido, 203 una tica cuestionable, 203 reconociendo el uso apropiado, 203 el acoso sexual, 203-208 uso tolerable, 203 espionaje industrial, los ataques internos 210-211, 211-213 cdigo malicioso, 201 contencin, 202 inoculando el sistema, 202 aislar el sistema, 202
Red Hat, Inc., 227 Redundant Arrays of Independent Disks. VerRAID RegCleaner, 12 REGEDIT. Ver Editor del Registro (Windows) Regedt32.exe, de 72 aos el Editor del Registro (Windows), 11.9, 70 y copia de seguridad de los procedimientos de restauracin de servicios de restauracin, el 74, shareware y freeware 78, 78 Windows 2000, Windows NT 75-76, el 75 de Windows XP, 77-78 de recopilacin de datos, 73 lnCntrl5 utilidad, la utilidad Regmon 73-74, 73-74, 73 datos voltiles de edicin para el inicio de sesin de la bandera de instalacin, los archivos de volcado de memoria de generacin de 136, la estructura de 56-57, 71-72 visualizacin y edicin, de 72 aos de utilidad Regmon, recopilacin de datos, 7374 REG_BINARY valiosa (Claves del Registro de Windows), el 71 REG_DWORD valiosa (Claves del Registro de Windows), el 71 REG_EXPAND_SZ valiosa (Registro de Windows teclas), el 71 REG_MULTI_SZ Valu (Claves del Registro de Windows), el 71 REG_SZ valiosa (Claves del Registro de Windows), de 71 aos pruebas fiables, 140 actividad de los hackers activo, 198-200 Reno, la Fiscal General Janet, 32-33 brechas de seguridad de informacin, 30 temas de intercambio de informacin, 33-34 prorganizaciones del sector privado, 32-33 justificacin para no informar de intrusiones, 31 de proceso de informacin, respuesta a incidentes informticos equipo, los requisitos de 18-19, CD-ROM libro de acompaamiento, 247 la capacidad de respuesta (el desarrollo de un incidente de la capacidad de respuesta), 16 mecanismos de alerta, 17 de la centralizacin, 17
notificacin personal adecuado, 202 volver al funcionamiento normal del sistema modo, 202 Programas de caballo de Troya, 201 gusanos, 201 procedimientos de restauracin, Editor del Registro (Windows) 74, 78
NDICE 317
Restaurar utiYodad, Windows copia de seguridad, de 78 aos recuperacin de datos admisibilidad de las pruebas, 150 autenticacin, 151-152 mejor prueba de la regla, 152-153 Frye prueba, 152 perodo de tiempo permitido para examinar ordenadores incautados, 153 la preservacin, el 153 de la cadena de custodia, 149-150 herramientas forenses personalizados, 146-147 e-mail, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125-126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140141 rastreadores de paquetes, 144-146 AnalogX PacketMon, 145 144 Ethereal, NGSSniff, 144 Snort, 144 postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 archivos de cola de impresin, 129-130
de cuarentena y la contencin, 156 los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160-167 la integridad de la preservacin, 157 la ruptura de las conexiones de red e Internet, 159160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143 TCT (Kit de herramientas de forense), 147,149 memoria cach del navegador Web, 126 la localizacin de pruebas del navegador de la historia, 127128 Web de la localizacin de pruebas de cach, 128-129 De Windows los archivos de intercambio, 121 los archivos de localizacin, 121-122 contenidos televisivos de los archivos de intercambio / pgina, 123 CD regrabables. Ver CD-RW derechos Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 banners inicio de sesin, 136-139 O'Connorv. Ortega, 138 riesgo evaluacin de las vulnerabilidades de la organizacin con modelos de confianza, 167 el robo de identidad, 171
el sistema operativo de confianza, 169170 ID de usuario y contrasea de confianza, la conciencia de seguridad informtica 168169, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 operaciones continuas, 156 directorio raz, localizar los archivos de intercambio de Windows, 121 Rubenking, Neil J., 73
318
NDICE
capacidad de respuesta 172, 16 mecanismos de alerta, 17, 17 centralizacin
Cuadro de dilogo Ejecutar (Windows), de 72 aos Russinovich, Mark Process Explorer, 170 Regmon de utilidad, de 73 aos
s
SAINT (Security Administrator est integrado Red de herramientas), 174, 212 Salgado, Richard P., de 31 de SANS (Administracin de sistemas y de redes, y Instituto de Seguridad), 232 SATN (Herramienta de administracin de seguridad para el Anlisis de Redes), 225 herramientas de bsqueda, las bsquedas de palabras clave, 116, 117 BinText Disk Investigator, 117 Encase programa de bsqueda por palabra clave, 117 Kit de herramientas de forense en palabras clave de bsqueda programa, 117 empresas de servicios pblicos gratuitos, 117 exmenes de disco duro, 120 Maresware Suite de palabras clave de bsqueda programa, 117 SectorSpyXP, 117-119 SectorSpyXP (Lexun Freeware), 117-118 bsqueda de informacin especfica, 119 archivo de evidencia por escrito a los lugares, 118-119 de seguridad evaluacin de las polticas y procedimientos, 215-217 listas de verificacin de auditora, 217-218, 216 metas visin general del proceso de auditora, 218219 puestos de trabajo de auditora y servidores, 219-223 incidente de equipo del equipo de respuesta, 18 equipo de toma de conciencia de seguridad, 171 programas de seguridad informtica de la Ley de 1997.171 documentacin multimedia, desarrollo de la
equipo de respuesta a incidentes, 17-21 estructura, la erradicacin de 17 incidentes, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 de la HIPAA (Health Insurance Portability and Accountability Act de 1996), 228 cumplimiento, 228-232 Honeynet Project, la aplicacin de la ley 232 temas de intercambio de informacin, 33-34 brechas de seguridad de informacin, 30-33 pruebas de penetracin, 223 en la casa frente a la externalizacin, 224 software para las auditoras internas, 225-226 pruebas realizadas por terceros, 227 despus del incidente de seguimiento y anlisis, 190-191 preparacin de los incidentes, los registros 15-16, programas de seguridad, 183-186 de admisibilidad de los expedientes, 185 de autenticacin de los registros, los datos de 184 procedimientos de respaldo, 187-190 de UPS (Uninterruptible Power Supply), 186-187 Seguridad Herramienta de administracin para el anlisis de Redes. Ver SATHerramienta de red integrada n de Seguridad del Administrador de. Ver SAINT Opciones de seguridad (Windows XP), 222 convulsiones, perodo de tiempo permitido para el examen de ordenadores incautados, 153 Seleccionar usuarios ventana Grupos (Windows XP), 166 mensajes enviados por e-mail de almacenamiento, 125 de auditora de servidor, 219-221 de nivel de servicio. Ver SLA programa de configuracin, BIOS, 80 Seccionamiento de las conexiones de red e Internet, 159-160
NDICE 319
el acoso sexual, uso de la computadora inadecuada, 203-205 205-206 demandas evitar, las polticas sobre el acoso sexual, 206-208 pestaa Compartir de permisos (Windows XP), 165 carpetas de documentos compartidos (Windows XP), 163 m compartidamediano redes, Ethernet, 144 Programas de evaluacin, procedimientos de Windows de copia de seguridad, uso compartido de 78 y ficha Opciones de seguridad (las propiedades del disco para Windows XP), 162 Shugart, Alan, 79 procedimientos de cierre, incidentes informticos equipo de respuesta, 21 caracterstica de uso compartido simple de archivos (Windows XP), 163-165 SLAs (acuerdos de nivel de servicio), volcados de memoria de 65 pequeos, 57 SnapBack DatArrest (CDP), el 61 de Snort, 144 software CD-ROM de libro de acompaamiento, 252-255 gratuito CacheMonitor II, 129 Cain & Abel v2.5 beta20, 131 de datos de herramientas de backup, 188 ProtectYou, 209-210 bsqueda de palabras, programas, 117119 Nessus, 173 NetBrute escner, 225 Snort, 144 Ultcompaero de ZIP Cracker, 131-132 Ventanas de backup y de restauracin procedimientos, 78 ZIP Password Finder, 131 en la casa de las pruebas de penetracin, 225-226 Soloway, Kevin, 117 SomarSoft DumpSec, 9 equipo de proyectos especiales (equipo de recuperacin), 182 Spitzner, Lance, 232 de cola de impresin, la recuperacin de los archivos de cola de impresin, 129-130
notificacin personal, la respuesta de cdigos maliciosos, 202 UPS UPS de reserva frente a continuos, 186-187 carpetas de inicio, sistema de seguimiento intrusin, 11 de esteganografa, 130-131 stegdetect, 131 medios de almacenamiento, 3,78,183184 CD-ROM, 80-81 disquetes, 79-80 discos duros, 78-79 Unix / Linux, 87-88 cadena valiosa (Claves del Registro de Windows), el 71 strip_tct_home programa (TCT), 148 estructura un incidente de la capacidad de respuesta, 17 Editor del Registro (Windows), 70-72 subclaves, Editor del Registro de Windows, 70 resmenes de la evidencia voluminosa, 288 SuperScan (de Foundstone, Inc.), 13 en fase de informacin de soporte (IT de contingencia planes), 66 Surf Patrol CyberPatrol, 209 archivos de intercambio (Windows), 121 los archivos de localizacin, 122 contenidos televisivos de los archivos de intercambio / pgina, 123 sincronizacin, 52-53 sysdump de comandos (Unix), 58-59 de administracin del sistema, Redes y Seguridad Instituto. Ver SANS Sistema Estatal de copia de seguridad Windows 2000, 75-76 Windows XP, 77-78
programas, 147-148 del equipo de apoyo tcnico (equipo de recuperacin), la tecnologa de 182, discos compactos, 81
T
TCT (Kit de herramientas de forense), 147 Ladrn de tumbas, 148-149
320
NDICE
lnCntrl5 la recopilacin de datos, 73-74 bsqueda de palabras, programas, 117119 Propiedades de red, 13 Norton Commander, 123 Norton DiskEdit, 123 Crackers de contraseas, Inc, 131 Rdisk (Windows NT), 75 Regmon, 73-74 Restaurar, de 78 aos SAINT (Security Administrator est integrado Network Tool), 174 Stegdetect, 131 Ultcompaero de ZIP Cracker, 131-132 ZIP Password Finder, 131 archivos borrados de seguimiento de la papelera de reciclaje (Windows), 84-85 Seguimiento de un hacker (entre comillas) del boletn (Morris), 197-198 de formacin en TI planes de contingencia, 67 archivos de transitorios, 123, 14 de Tripwire Trivial File Transfer Protocol.5eeTFTP Troya programas de caballos, 14.201 puertos comnmente atacados, 257-267 incidentes de hackers, 196 solucin de problemas de CD-ROM (que acompaa a libro), 255 modelos de confianza, la evaluacin de las vulnerabilidades de la organizacin, 167 el robo de identidad, 171 el sistema operativo de confianza, 169170 ID de usuario y contrasea de confianza, 168-169
TELNET protocolo, 196 archivos temporales, 123 probar los planes de contingencia de TI, 67 Bsqueda de texto Plus, 120 TFTP (Trivial File Transfer Protocol), 169 de terceros de pruebas de penetracin, 227 amenazas previsin de ataques futuros, 191-194 evaluacin de las vulnerabilidades de la organizacin con modelos de confianza, 167 robos de identidad, 171 del sistema operativo de confianza, 169-170 ID de usuario y contrasea de la confianza, la conciencia de seguridad informtica 168169, 171-172 desarrollo de la capacidad de respuesta, 16 mecanismos de alerta, 17, 17 centralizacin del equipo de respuesta a incidentes, 17-21 estructura, la erradicacin de 17 incidentes, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 planes de seguridad, factores de amenaza, 15-16 14-15 sincronizacin de tiempo, 52-53, 53 Automachron NIST Servicio de hora de Internet, el 53 por NTP (Network Time Protocol), de 52 aos hora mundial, el 53 de sellado de tiempo, 53 a 54 del Ttulo III Lucha contra el Crimen mnibus y calles seguras Acta, de 28 aos el uso del ordenador tolerable, 203 herramientas Copia de seguridad (Windows XP), de 77 aos CacheMonitor II, 129 Cain & Abel v2.5 beta20, 131 Descuento recuperacin de la contrasea, 131 de imgenes de disco, 59-61 DrvClonerXP, 120 e2undel, recuperando archivos ext2, 88
U
Constitucin de los EE.UU. Cuarta Enmienda, 28-30,
138-139 EE.UU. Departamento de Energa de la Primera respuesta Manual, 21 de EE.UU. Oficina Federal de Investigaciones, 2-3 Ultcompaero de ZIP Cracker, 131-132
NDICE 321
aplicaciones no autorizadas, el sistema de monitoreo para intrusin, 9 de examinar el registro de Windows, servicios de 9-11 no vlidos, 10 configuraciones de red, 13 alteraciones de archivos de programa, 13 carpetas de inicio, 11 puertos inusuales, 13 cuentas de usuarios no autorizados de cheques, 8, 9 archivos de registro de derechos de usuario no vlidas, el 9 de monitoreo con el equipo de gestin herramienta (Windows), 9 de alimentacin ininterrumpida suministra. Ver UPS Unidad y Fortalecimiento AmRica mediante el Suministro de Herramientas Apropiadas Requeridas para Interceptar y Obstruir el Terrorismo de 2001 (EE.UU. Patriot Act de 2001) la autoridad para interceptar las comunicaciones de voz en las investigaciones de piratera informtica, 269 Ley de Cable, 271-272 comunicaciones de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativas a la preservacin de registros, 280 de disuasin del terrorismo ciberntico y 277-280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 pluma de registro, 273275 citaciones para las pruebas electrnicas, trampa de 270-271 y el estatuto de seguimiento, 273275 de correo de voz de comunicacin, 270 Unix comandos de choque, 58 almacenamiento de datos, 87-88 de inicio de sesin de instalacin de la bandera, 137-139 sysdump comando, 58-59 Tripwire, 14
UPS (sistemas de alimentacin ininterrumpida), 64-65,186 beneficios, 187 UPS continua versus espera, 186-187 compra, 187 de la Ley Patriota de EE.UU. 20014, 4344, 269 autoridad para interceptar las comunicaciones de voz en las investigaciones de piratera informtica, 269 Ley de Cable, 271-272 comunicaciones de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativas a la preservacin de registros, 280 de disuasin del terrorismo ciberntico y 277-280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 pluma de registro, 273275 citaciones para las pruebas electrnicas, trampa de 270-271 y el estatuto de seguimiento, 273-275 de correo de voz de comunicacin, 270 las cuentas de usuario los archivos de registro de cheques, el 9 de sensibilizacin de usuario mejorada, 16 de derechos de usuario no vlidas, 9 aplicaciones no autorizadas, 9 examinar el registro de Windows, 9-11 inspeccin de las configuraciones de red, 13 servicios no vlidos, 10 Carpetas de inicio del sistema, 11 alteraciones del programa de archivos, 13 puertos inusuales, 13 de ID de usuario de confianza, 168-169 herramienta Administrador de usuarios (Windows NT), 8 de los derechos de los usuarios banderas de inicio de sesin, 136
Unix / Linux de la instalacin, 137-139 Instalacin de Windows 2000/XP, 137 Instalacin de Windows NT, 136 el seguimiento de la validez, 9 por el usuario detecta las vulnerabilidades tcnicas, 157
322
NDICE
WhatsUp Gold (de Ipswitch, Inc), 55 de ancho rea de redes.5eeWAN De Windows CD-ROM de libro de acompaamiento, 248 para compartir archivos de la configuracin, la creacin de 161-162 en modo real discos de arranque de forenses, 142-143 de datos de herramientas de copia de seguridad, 189-190 almacenamiento de datos, 78 CD-ROM, 80,81 disquetes, 79-80 discos duros, 78-79 de archivos incapacitante y uso compartido de impresoras, 167 de auditora que permite y la tala, 47-49 2000,48 de Windows Windows NT 4.0,47 Windows XP, 48 FAT (File Allocation Table), 81-82 Configuracin de seguridad local (Windows XP), de 49 aos de seguimiento de intrusin herramienta de gestin informtica, 9 cuentas no autorizadas de los usuarios, el 8 de NTFS (New Technology File System), 82-83 recuperacin de datos borrados, 85-86 Papelera de reciclaje, de 83 aos pruebas restantes, el 83 el seguimiento de archivos borrados, 84-85 RegCleaner, 12 de Editor del Registro, 911, 70 una copia de seguridad y restaurar los procedimientos, 74-78 la recopilacin de datos, 73-74 la edicin para la instalacin de inicio
V
vales, del Registro de Windows las teclas del editor de la rama, 70-71 Software Ultimate ZIP Cracker VDG, 131-132 Venema, Wietse, 147 videos, documentacin multimedia (ordenador concienciacin sobre la seguridad), 172 ver Editor del Registro (Windows), de 72 aos De Windows los archivos de intercambio, 123 e vigilante, 225-227, 201 virus de datos voltiles, Editor del Registro (Windows) de datos recoleccin, el 73 pruebas voltiles, el orden de la volatilidad, 140-141 memoria no voltil, de 56 vulnerabilidades previsin de ataques futuros, 191-194 evaluar el riesgo de organizacin con la confianza modelos, 167 robos de identidad, 171 de confianza del sistema operativo, 169-170 ID de usuario y contrasea de confianza, la conciencia de seguridad informtica 168-169, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, la erradicacin de 172 incidentes, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 detectado por el usuario, 157-159 vulnerabilidad modelo de informe, 157-159 Vuorio, Jouni, 12
W-Z
WAN (wide rea de redes), 14 Navegadores Web, cach, 126 explorador de la localizacin de evidencias de la historia, 127-128 pruebas de localizacin de cach Web, 128-129 WebBrute, 225-226
de sesin bandera, 136 generacin de archivos de volcado de memoria, 56-57 estructura, 70-72 visualizacin y edicin, Ejecutar cuadro de dilogo 72, 72 los archivos de intercambio, 121 los archivos de localizacin, 121-122 contenidos televisivos de los archivos de intercambio / pgina, 123 VuorioRegCleaner, 12
NDICE 323
Windows 2000 procedimientos de respaldo, 75-76 de intercambio de archivos de configuracin, deshabilitar NetBIOS 161 nuyosesiones de l, 223 de instalacin bandera de inicio de sesin, 137 Windows NT, 9 procedimientos de copia de seguridad, el 75 de intercambio de archivos de configuracin, deshabilitar NetBIOS 161 nuyosesiones l, 223 Windows XP Propiedades de aplicacin el cuadro de dilogo, de copia de seguridad 51 y Asistente de restauracin, 189-190 procedimientos de copia de seguridad, 77-78 deshabilitar NetBIOS nuyosesiones l, 222 Visor de sucesos, de 50 aos
uso compartido de archivos, 162 acceder a las listas de control, 165-167 ficha Uso compartido de archivos de propiedades, 165 carpetas Documentos compartidos, 163 cuentan con sencillo compartir archivos, 163-165 Opciones de Carpeta caja, 122 de seguridad local ventana de Configuracin, instalacin de 49 banners de inicio de sesin, 137 Mover MET caja, 126 utilidad de bsquedas, privacidad 122 lugares de trabajo, O'Connorv. Ortega, 138 auditora de estacin de trabajo, 219-220 hora mundial (PawPrint.net), 53 Worms (Write Once, Read Mmedios ltiple), 81, 201
restricciones detalladas para cada programa en el Sobre el apndice de CD-ROM de este libro. Estas limitaciones tambin estn contenidos en los acuerdos de licencia individuales registradas en el Medios de software. Estas limitaciones pueden incluir un requisito de que despus de usar el programa para una perodo de tiempo especificado, el usuario debe pagar una cuota de inscripcin o de discontinuidadutilizar. Al abrir el Paquete de software (s), se compromete a cumplir con las licencias y las restricciones para estos indivi duales programas que se detallan en el anexo Acerca de la unidad de CD-ROM y en los medios de software. Ninguno de los materiales en este medio de software o que figuran en este libro que nunca puede ser redistribuido, en forma original o modificada, para propsitos comerciales.
5. Garanta Limitada. (a) WPI garantiza que el soporte de software y el software estn libres de defectos en materiales y mano de obra bajo condiciones normales de uso durante un perodo de sesenta (60) das a partir de la fecha de la compra de este libro. Si IPM recibe la notificacin dentro del plazo de garanta de defectos en materiales o mano de obra, IPM sustituir a la detMedios ectantes Software. (b) IPM Y EL AUTOR DEL LIBRO RECHAZAN TODAS LAS OTRAS GARANTAS, EXPRESAS O IMPLCITAS, INCLUYENDO, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIALIZACIN-DAD Y APTITUD PARA UN PROPSITO PARTICULAR, CON RESPECTO AL SOFTWARE, LOS PROGRAMAS, EL CDIGO FUENTE CONTENIDOS EN EL MISMO, Y / O las tcnicas descritas en este libro. IPM NO GARANTIZA QUE LAS FUNCIONES CONTENIDAS EN EL SOFTWARE CUMPLAN CON SUS NECESIDADES O QUE EL FUNCIONAMIENTO DEL SOFTWARE EST LIBRE DE ERRORES. (C) Esta garanta limitada le otorga derechos legales especficos, y usted puede tener otros derechos que varan de jurisdiccin en jurisdiccin. 6. Remedios. (a) Toda la responsabilidad de WPI y el recurso exclusivo de los defectos en materiales y mano de obra deber se limitar a la sustitucin de los medios de software, que pueden ser devueltos a IPM con una copia de su recibo en la siguiente direccin: Departamento de Cumplimiento de software de medios, la atencin de:. Respuesta a Incidentes: Computer Forensics Toolkit, Wiley Publishing, Inc., 10475 Cruce Blvd.. , Indianapolis, IN 46256, o calyo1-800-762-2974. Por favor, espere de cuatro a seis semanas para la entrega. Este Garanta Limitada es nula si el fallo de los medios de comunicacin de software es el resultado de un accidente, abuso o uso indebido. Todos los Medios de Comunicacin Software de sustitucin estar garantizado durante el resto del perodo de garanta original o treinta (30) das, lo que es ms largo. (b)En ningn caso, IPM o el autor sea Hes responsable por ningn dao de ningn tipo (incluyendo, sin limitacin daos por prdidas de beneficios comerciales, interrupcin del negocio, prdida de negocios informa-cin, o cualquier otra prdida pecuniaria) derivados del uso o la imposibilidad de utilizar el libro o el software, incluso si WPI ha sido advertido de la posibilidad de tales daos. (c) Debido a que algunas jurisdicciones no permiten la exclusin o limitacin de responsabilidad por daos consecuenciales esenciales o accidentales, la limitacin o en exclusiva,n no se apliquen a usted. 7. Gobierno de EE.UU. Derechos restringidos. El uso, duplicacin o divulgacin del Software por o en nombre de los Estados Unidos de AmRica, sus agencias y / o instrumentos "EE.UU. Gobierno "est sujeto a restricciones como se indica en el prrafo (c) (1) (ii) de los Derechos sobre Datos Tcnicos y la clusula de tecnologa de la informacin de DFARS 252.227-7013, o en los subapartados (c) (1) y (2) del Cdigo de Comercio Computer Software - clusula de Derechos restringidos en FAR 52.227-19, y en clusulas similares en el suplemento de la NASA FAR, segn proceda. 8. General. Este Acuerdo constituye el completo entendimiento de las partes y revoca y reemplaza todos los acuerdos previos, orales o escritos, entre ellos, y no podr ser modificado o enmendado,
excepto por un escrito firmado por ambas partes del mismo que se refiere especficamente a este Acuerdo. El presente Acuerdo tendr prioridad sobre cualquier otro documento que puedan estar en entrar en conflicto a la misma. Si uno o ms de las disposiciones contenidas en el presente Acuerdo se llevan a cabo por cualquier juzgado o tribunal para ser invlida, Yolegal, o inaplicable, todas y todos los dems provisin se mantendrn en completa FORCy efecto.
Prembulo
Las licencias de la mayora del software estn diseadas para quitarle a usted la libertad de compartirlo y modificarlo. Por el contrario, la Licencia Pblica General de GNU pretende garantizarle la libertad de compartir y modificar software libre-para asegurar que el software es libre para todos sus usuarios. Esta Licencia Pblica General se aplica a la mayora de software de la Free Software Foundation ya cualquier otro programa si sus autores se comprometen a utilizarla. (Existe otro software de Free Software Foundation que est cubierto por la Licencia Pblica General de GNU para Bibliotecas en su lugar.) Usted tambin puede aplicarla a sus propios programas. Cuando hablamos de software libre, nos estamos refiriendo a la libertad, no de precio. Nuestras Licencias Pblicas Generales estn diseadas para asegurarse de que usted tiene la libertad de distribuir copias de software libre (y cobrar por ese servicio si quiere), que reciba el cdigo fuente o que pueda conseguirlo si lo quiere, de que puede cambiar el software o usar fragmentos de l en nuevos programas libres, y que usted sabe que puede hacer estas cosas. Para proteger sus derechos necesitamos algunas restricciones que prohiban a cualquiera negarle a usted estos derechos o pedirle que renuncie a los derechos. Estas restricciones transcomi en ciertas obligaciones que para usted si distribuye copias del software, o si lo modifica. Por ejemplo, si distribuye copias de tal programa, ya sea gratuitamente, oa cambio de una contraprestacin, debe dar a los receptores todos los derechos que usted tiene. Usted debe asegurarse de que ellos tambin reciban o puedan conseguir el cdigo fuente. Y debe mostrarles estas condiciones de forma que conozcan sus derechos. Nosotros protegemos sus derechos con dos pasos: (1) los derechos de autor del software, y (2) le ofrecemos esta licencia que le da permiso legal para copiar, distribuir y / o modificar el software. Adems, para la proteccin de cada autor y la nuestra, queremos asegurarnos de que todo com-prende que no hay ninguna garanta para este software libre. Si el software es modificado por alguien y lo distribuye, queremos que sus receptores sepan que lo que tienen no es el original, por lo que cualquier problema introducido por otros no afecte a la reputacin de los autores originales.
Por ltimo, cualquier programa libre est constantemente amenazado por las patentes de software. Queremos evitar el peligro de que los redistribuidores de un programa libre obtengan licencias de patentes, en efecto MAK-cin del propio programa. Para evitar esto, hemos dejado claro que cualquier patente debe ser el uso libre de cualquiera, o no ser pedida. Los trminos exactos y las condiciones para la copia, distribucin y modificacin.
parte contenga o sea derivado del Programa o de cualquier parte del mismo, sea licenciado como un todo, sin costo alguno a todos los terceros en los trminos de esta Licencia. c) Si el programa modificado lee normalmente rdenes interactivamente cuando es ejecutado, debe hacer que, cuando comience su ejecucin para ese uso interactivo de la forma ms habitual, muestre o escriba un mensaje que incluya un anuncio de copyright y un anuncio de que no hay ninguna garanta (o por el contrario que s se ofrece garanta) y que los usuarios pueden redistribuir el programa bajo estas condiciones, e indicando al usuario cmo ver una copia de esta licencia. (Excepcin: si el propio programa es interactivo pero normalmente no muestra ese anuncio, su trabajo basado en el Programa no es necesario para imprimir un anuncio).
Estos requisitos se aplican al trabajo modificado como un todo. Si partes identificables de ese trabajo no son derivadas del Programa, y pueden ser razonablemente consideradas independientes y septiembretipo de obras en s mismas, entonces esta Licencia y sus trminos no se aplican a esas partes cuando sean distribuidas como septiembretipo de trabajos. Pero cuando usted distribuye las mismas secciones como parte de un todo que es un trabajo basado en el Programa, la distribucin del todo debe ser segn los trminos de esta Licencia, cuyos permisos para otros licenciatarios se extienden al todo completo, y por lo tanto a cada uno y todas las partes, con independencia de quin la escribi. Por lo tanto, no es la intencin de este apartado reclamar derechos o desafiar sus derechos sobre trabajos escritos totalmente por usted mismo, sino que la intencin es ejercer el derecho a controlar la distribucincin de trabajos derivados o colectivos basados en el Programa. Adems, el simple hecho de reunir un trabajo no basado en el Programa con el Programa (o con un trabajo basado en el Programa) en un volumen de almacenamiento o distribucin de mmediano, no hace que dicho trabajo entre dentro del mbito de esta Licencia. 3. Usted puede copiar y distribuir el Programa (o un trabajo basado en l, bajo la Seccin 2) en cdigo objeto o en formato ejecutable segn los trminos de los apartados 1 y 2 anteriores, siempre que adems cumpla una de las siguientes: a) Acompaarlo con el cdigo fuente completo correspondiente en formato electrnico, que debe ser distribuido bajo los trminos de las Secciones 1 y 2 anteriores, en ammediano utilizado para el intercambio de programas, o b) Acompaarlo con una oferta por escrito, vlida durante al menos tres aos, para dar a cualquier tercero, por un coste no mayor que el costo de realizar fsicamente la distribucin fuente, una completa copia legible por mquina del cdigo fuente correspondiente, para ser descontribuido en los trminos de las Secciones 1 y 2 anteriores, en ammediano habitualmente utilizado para el intercambio de programas, o c) Acompaarlo con la informacin que recibiste ofreciendo distribuir el corresponcorrespondiente cdigo fuente. (Esta opcin se permite slo para distribucin no comercialcin y slo si usted recibi el programa como cdigo objeto o en formato ejecutable con tal oferta, de acuerdo con el apartado b anterior.) El cdigo fuente para un trabajo significa la forma preferida de la obra para realizar modifica-ciones a la misma. Para un trabajo ejecutable, el cdigo fuente completo significa todo el cdigo fuente de todos los mdulos que contiene, ms cualquier fichero asociado de definicin de interfaz, ms los guiones utilizados para controlar la compilacin e instalacin del ejecutable. Sin embargo, como excepcin especial, el cdigo fuente distribuido no necesita incluir nada que sea distribuido normalmente (Ya sea en la fuente o forma binaria) con los componentes principales (compilador, kernel, etc) del sistema operativo en el cual funciona el ejecutable, a menos que el
propio componente acompae al ejecutable. Si la distribucin del ejecutable o del cdigo objeto se hace ofreciendo acceso a copiar desde un lugar designado, entonces ofrecer un acceso equivalente para copiar el cdigo fuente desde el mismo lugar como distribucin del cdigo fuente, a pesar de que la tercera partees que no son com-sintieron la necesidad de copiar el cdigo fuente junto con el cdigo objeto.
4. Usted no puede copiar, modificar, sublicenciar, o distribuir el Programa excepto como est expresamente pro ESTABLECIDO bajo esta Licencia. Cualquier intento de copiar, modificar, sublicenciar o distribuir el programa es nulo, y la voluntad plazo, de forma automticanate sus derechos bajo esta Licencia. Sin embargo, las partes que hayan recibido copias o derechos de usted bajo esta Licencia no vern sus licencias terminadas mientras estas partes continen cumplindola. 5. Usted no est obligado a aceptar esta licencia, ya que no la ha firmado. Sin embargo, nada ms le concede permiso para modificar o distribuir el Programa o sus trabajos derivados. Estas acciones estn prohibidas por la ley si no acepta esta Licencia. Por lo tanto, si modifica o distribuye el Programa (o cualquier trabajo basado en el Programa), se indcado a la aceptacin de esta Licencia para poder hacerlo, y todos sus trminos y condiciones para copiar, distribuir o modificar el Programa o trabajos basados en l. 6. Cada vez que redistribuya el Programa (o cualquier trabajo basado en el Programa), el bene-ENT recibe automticamente una licencia del licenciatario original para copiar, distribuir o modcificar el Programa sujeto a estos trminos y condiciones. Usted no puede imponer ninguna restriccin adicional sobre el ejercicio de los beneficiarios de los derechos aqu garantizados. Usted no es respon-ble de asegurar el cumplimiento por parte de terceros de esta Licencia. 7. Si, como consecuencia de una sentencia judicial o una acusacin de infraccin de patente o por cualquier otra razn (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden judicial, acuerdo o de otra manera) que contradigan las condiciones de esta Licencia, no le exime de cumplir las condiciones de esta Licencia. Si no puede realizar distribuciones de forma que se satisfagan simultneamente sus obligaciones bajo esta licencia y cualquier otra obliga-ciones pertinentes, entonces, como consecuencia, no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permitiera la redistribucin libre de regalas del Programa por todos aquellos que reciban copias directa o indirectamente a travs de ti, entonces la nica forma en que podra satisfacer tanto esta Licencia sera evitar completamente la distribucin de la Programa. Si cualquier porcin de este apartado se considera invlida o inaplicable en virtud de cualquier particular, circunstancia, el equilibrio de la seccin est destinada a aplicarse y es la seccin como un todo destinado a aplicarse en otras circunstancias. No es el propsito de esta seccin para inducir a infringir ninguna patente u otros derechos de propiedad o impugnar la validez de ninguna de dichas reivindicaciones esta seccin tiene el solfin de proteger la integridad del sistema de distribucin de software libre, que se realiza mediante prcticas de licencia pblica. Mucha gente ha hecho contribuciones generosas a la amplia gama de software distribuido mediante ese sistema con la confianza en la aplicacin consistente de ese sistema, sino que es responsabilidad del autor / donante quien decida si l o ella est dispuesto a distribuir software mediante cualquier otro sistema y una licenciatario no puede imponer esa eleccin. En esta seccin se pretende dejar completamente claro lo que se cree que es una
consecuencia del resto de esta Licencia. 8. Si la distribucin y / o uso del Programa est restringida en ciertos pases, bien por patentes o por interfaces bajo copyright, el tenedor del copyright que coloca a la Programa bajo esta Licencia puede aadir una limitacin explcita de distribucin geogrfica excluyendo esos pases, de modo que la distribucin se permita slo en o entre los pases
no excluidos. En tal caso, esta Licencia incorpora la limitacin como si estuviese escrita en el cuerpo de esta Licencia. 9. La Free Software Foundation puede publicar versiones revisadas y / o nuevas versiones de la Licencia Pblica General de vez en cuando. Tales versiones nuevas sern similares en espritu a la pre-enviado versin, pero pueden diferir en detalles para solucionar nuevos problemas o preocupaciones. Cada versin se le da un distintivo Versinmero n. Si el Programa especifica un versin nmero de esta Licencia que se refiere a ella ya "cualquier versin posterior versin ", usted tiene la opcin de seguir los trminos y condiciones de la versin, o de cualquier posterior Versin publicada por la Free Software Foundation. Si el Programa no especifica un versinmero n de esta Licencia, puedes escoger cualquier versin publicada por la Free Software Foundation. 10. Si desea incorppartes de la tasa de Programa en otros programas libres cuyas condiciones de distribulucin condiciones son diferentes, escribe al autor para pedirle permiso. Para el software tiene copyright de la Free Software Foundation, escriba a la Free Software Fundacin: algunas veces hacemos excepciones para esto. Nuestro Decisin ser guiada por el dos objetivos de preservar la libertad de todos los derivados de nuestro software libre y de proMoting el intercambio y la reutilizacin de software en general.
NINGUNA GARANTA
11. Como el programa se licencia libre de cargas, NO HAY GARANTA PARA EL PROGRAMA, EN LA MEDIDA PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE POR ESCRITO, LOS TITULARES DE DERECHOS DE AUTOR Y / U OTRAS PARTES PROPORCIONAN EL PROGRAMA "TAL CUAL" SIN GARANTA DE NINGN TIPO, EXPRESA O IMPLCITAS, INCLUYENDO, PERO NO LIMITADO A, LAS GARANTAS DE COMERCIALIZACIN Y APTITUD PARA UN PROPSITO PARTICULAR . EL RIESGO EN CUANTO A LA CALIDAD Y LA EJECUCIN DEL PROGRAMA ES CON USTED. SI EL PROGRAMA TIENE UN ERROR, USTED ASUME EL COSTE DE CUALQUIER SERVICIO, REPARACIN O CORRECCIN. 12. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O DE ACUERDO POR ESCRITO, EL TITULAR DE DERECHOS DE AUTOR O CUALQUIER OTRA PARTE QUE PUEDA MODIFICAR Y / O REDISTRIBUIR EL PROGRAMA COMO SE PERMITE ARRIBA, SER RESPONSABLE ANTE USTED POR DAOS, INCLUYENDO CUALQUIER DAO GENERAL, ESPECIAL, INCIDENTAL O consecuen-tes DAOS CAUSADOS POR EL USO O IMPOSIBILIDAD DE USO DEL PROGRAMA (INCLUYENDO PERO NO LIMITADO A LA PRDIDA DE DATOS O LA datos oa prdidas sufridas por usted o por terceras partes oa un fallo del Programa al OPTARIFA CON OTROS PROGRAMAS), INCLUSO SI TAL TITULAR U OTRA PARTE HA SIDO ADVERTIDO DE LA POSIBILIDAD DE TALES DAOS.