Engineers Cyber Crime Incident Response Manual - En.es

TlMELY. Prctico fiable.
Incidente
Forensics Computer Toolkit
Douglas Schweitzer
Respuesta a Incidentes: Computer Toolkit
Forense
Respuesta a Incidentes: Informtica Forense Kit de herramientas

Douglas Schweitzer
WILEY
Wiley Publishing, Inc.
Respuesta a Incidentes: Computer Toolkit Forense Publicado por Wiley Publishing, Inc. 10475 Cruce Boulevard, Indianapolis, IN 46256 www.wi 1ey.corr Copyright 2003 por Wiley Publishing, Inc., Indianapolis, Indiana Publicado simultneamente en Canad ISBN: 0-7645-2636-7 Fabricado en los Estados Unidos de Amrica 10 9 8 7 6 5 4 3 2 1 O / RR / QU / QT / EN Ninguna parte de esta publicacin puede ser reproducida, almacenada en un sistema de recuperacin o transmitida en cualquier forma o por cualquier medio, sea electrnico, mecnico, fotocopia,, escaneado o de otro modo, excepto segn lo permitido bajo las secciones 107 o 108 del 1976 de autor de Estados Unidos Ley, sin que el permiso previo por escrito de la editorial, o autorizacin a travs del pago de la correspondiente tarifa por copia al Copyright Clearance Center, 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, fax (978) 646 -8700. Pide a la editorial para tal autorizacin debern dirigirse al Departamento Legal, Wiley Publishing, Inc., 10475 Cruce Blvd., Indianapolis, IN 46256, (317) 572-3447, fax (317) 572-4447, E-Mail.: permcoordinator @ wi 1ey.com. Lmite de Responsabilidad / Renuncia de garanta: Mientras que el editor y el autor ha utilizado sus mejores esfuerzos en la preparacin de este libro, hacen ninguna representacin o garanta con respecto a la exactitud o la exhaustividad de los contenidos de este libro y especficamente renuncia a cualquier garanta implcita de comerciabilidad o aptitud para un propsito en particular. Ninguna garanta puede ser creado o ampliado por los representantes de ventas o por escrito materiales de ventas. El asesoramiento y las estrategias contenidas en el presente puede no ser adecuado para su situacin. Usted debe consultar con un profesional en su caso. Ni el editor o el autor ser Hcapaces de cualquier prdida de beneficios o cualquier otro perjuicio comercial, incluyendo pero no limitado a daos especiales, incidentales, consecuentes, o de otra ndole. Para informacin general sobre nuestra otra produccins y servicios o para obtener soporte tcnico, pngase en contacto con nuestro Departamento de Atencin al Cliente dentro de los EE.UU. al (800) 762-2974, fuera de los EE.UU. al (317) 572-3993 o fax (317) 572 a 4,002. Wiley tambin publica sus libros en una variedad de formatos electrnicos. Parte del contenido que aparece en la impresin pueden no estar disponibles en los libros electrnicos. Biblioteca del Congreso en la publicacin de datos en el archivo con el editor.
Marcas registradas: Wiley, el logotipo de Wiley Publishing, y la vestimenta relacionada con el comercio son marcas comerciales o marcas comerciales registradas de Wiley Publishing, Inc., en Estados Unidos y otros pases, y no pueden ser utilizados sin permiso por escrito. Todas las dems marcas son propiedad de sus respectivos dueos. Wiley Publishing, Inc, no est asociado con ningn producto o compaa mencionados en este libro.
Sobre el autor
Douglas Schweitzer es un especialista en seguridad en Internet con las certificaciones de Brainbench en seguridad en Internet y Sensibilizacin ITAA Seguridad de la Informacin. Douglas es un Asociado Certificado de Internet Webmaster, y l tiene A +, Network +, e i-Net + certificaciones de la Asociacin de Industria de la Tecnologa Informtica. l ha aparecido como un orador invitado para Internet de seguridad en varios programas de radio, incluyendo KYW de Filadelfia, as como en Algo que usted debe saber y Computer Talk Amrica, dos de difusin nacional programas de radio. l es tambin el autor de Seguridad de la red de cdigos maliciosos: Una Completa Cua para la defensa contra virus, gusanos y troyanos y Internet Security Made Easy: A Plain-Ingls Cua de Proteccin de toda la Empresa en lnea.
Crditos
ADQUISICIONES DEL EDITOR Coordinadores de Proyecto
Katie Feltman
Editor de proyectos
Cindy Phipps, Bill Ramsey

GRFICOS y especialistas en produccin
Marcos Enochs
Editor Tcnico
Russell Shumway
Copia del editor
Bet Brooks, Sean Decker, Leandra Johnson, Puente de Stephanie, McMullan Kristin, el Papa Heather, Trippetti Julia
TCNICOS DE CONTROL DE CALIDAD
Maarten Reilingh
EDITORIAL MANAGER
CocheyoW. Pierce, Robert Springer

Editor de permisos
Mary Beth Wakefield

Vicepresidente y editor del grupo EJECUTIVO
Laura Moss
MEDIOS DE ESPECIALISTA EN DESARROLLO
Richard Swadley
VICEPRESIDENTE Y EDITOR EJECUTIVO
Travis Silvers
CORRECCIN DE TEXTOS
Bob Ipsen
Editor Ejecutivo
Kim Cofer
INDEXACIN
Carol Long
Director editorial ejecutivo
Virginia Bess
Mara Bednarek
Este libro est dedicado In Loving Memory of Mirhan "Mike" Arian, cuya visin y la camaradera son para siempre
perdido.
Agradecimientos
Este libro no habra sido posible sin los esfuerzos combinados de un gran talento per-pyoe. En primer lugar quiero dar las gracias a mi agente, Carole McClendon de Producciones Waterside por su asis-tencia de nuevo mi bsqueda de un editor extraordinario. Tambin me gustara dar las gracias al indivi trabajadoraais en Wiley Publishing que ayudaron a hacer realidad este libro. Su entusiasmo, y el apoyo-fueron un tiro continuo en el brazo. En particular, me gustara dar las gracias al editor de adquisiciones, Katie Feltman por su confianza en m y por haberme ayudado a dar forma y perfeccionar el esquema inicial para el libro. Tambin estoy agradecido al editor de proyectos, Enochs Como para todas sus sugerencias. Me gustara dar las gracias a mi esposa y mejor amiga, Monique, ya que sin su ayuda, este libro no habra sido posible. Me quito el sombrero ante Russ Shumway, que, como mi editor tcnico, hicieron un excelente trabajo asegurndose de que todos mis datos eran correctos y que sugiri una serie de adiciones que mantuvo este libro tcnico de sonido. Gracias, tambin, a mis hijos Deran y Alex por su gran paciencia conmigo mientras me pas muchas horas escribiendo.
ix
Contenido de un vistazo
Agradecimientos...............................................................ix Introduccin....................................................................xix Captulo 1 Informtica forense y de incidentes Fundamentos de respuesta................................................1 Captulo 2 Abordar las consideraciones de Aplicacin de la ley.......27 Captulo 3 Preparacin y Respuesta preliminar del forense............45 Captulo 4 Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos.............................................................................69 Captulo 5 Anlisis y deteccin de cdigo malicioso y los intrusos ....................................................................91 Captulo 6 Recuperar y analizar pistas............................................115 Captulo 7 Procedimientos de recogida y Preservar la evidencia....................................................135 Captulo 8 Incidente de contencin y erradicacin de las vulnerabilidades ...................................................155 Captulo 9 Recuperacin de Desastres y Seguimiento de................177 Captulo 10 En respuesta a distintos tipos de incidentes...................195 Captulo 11 La evaluacin de seguridad del sistema para prevenir Los ataques adicionales .................................................215 Captulo 12 Si tira todo junto............................................................235 Apndice A Apndice B Apndice C 2001 Apndice D Qu hay en el CD-ROM ..............................................247 Los puertos son atacadas comnmente..........................257 mbito de la orientacin en la Ley Patriota de EE.UU. 269 Los registros informticos y las Reglas Federales
Apndice E
de la evidencia ................................................................281 Glosario ..........................................................................289
Contenido
Agradecimientos...............................................................ix Introduccin....................................................................xix Captulo 1 Informtica forense y de incidentes Fundamentos de respuesta................................................1
La captura del criminal: Los fundamentos de la informtica forense. . . . 2 Reconociendo los signos de un incidente....................................5 Preparacin para Incidentes......................................................14 El desarrollo de un incidente de seguridad informtica Capacidad de Respuesta..........................................................16 El Computer Security Incident Response Team........................17 El proceso de notificacin de incidentes...................................18 Evaluacin y contencin...........................................................19 Operaciones para la recuperacin.................................................20 Daos Anlisis y Determinacin..................................................20 Procedimientos de cierre, mientras que preservar la evidencia.........21 Recomendaciones NIPC para las vctimas.....................................24 Construccin de una Respuesta a Incidentes / Forensic Toolkit 25 Resumen del captulo................................................................26
Captulo 2
Abordar las consideraciones de Aplicacin de la ley.......27

Una mirada a la Cuarta Enmienda.............................................28 Una breve introduccin sobre la Ley de Libertad de Informacin ..................................................................................................30 Reporte violaciones a la seguridad de Aplicacin de la Ley.....30 Problemas de intercambio de informacin en computadora La investigacin de delitos.....................................................33 El papel de la Infraestructura Nacional Centro de Proteccin..............................................................35 Entendimiento Revelacin y Descubrimiento...........................36 La divulgacin de contenidos.....................................................37 Delitos Federales de informtica y leyes...................................38 La Ley de Fraude y Abuso de 1986..........................................39 Equipo de Fraude y Abuso de la ley de 1986 (EE.UU.) 18 USC 1030. .39 Las enmiendas de la Ley abuso informtico de 1994.................42 La Ley Patriota de EE.UU. de 2001 ...........................................43 Resumen del captulo................................................................44
Captulo 3
Preparacin y Respuesta preliminar del forense............45

Preparacin de los sistemas operativos de recogida de datos....45
La importancia de los archivos de registro.....................................46 Procedimientos de Auditora y registro..........................................46
xiv
Tabla de contenidos
Auditora de habilitacin y registro en Windows NT..........................47 Una nota rpida acerca de la auditora, registro, y el tamao de archivo de registro.............................................................................................49 El acceso centralizado..........................................................................51 Sincronizacin de la hora........................................................................52 Sellado de Tiempo..................................................................................53 La identificacin de los dispositivos de red............................................54 Recopilacin de datos de la memoria.....................................................55 Seleccin de las opciones de volcado de memoria adecuada..............57 Usando Dumpchkexe para ver el archivo de Windows memory.dmp 58 Realizar un volcado de memoria en los sistemas Unix.........................58 Imgenes Discos Duros..........................................................................59 Despus de la Cadena de Custodia para la recoleccin de evidencia. . . . 61 Continuidad del Negocio y Planes de Contingencia...............................63 La TI-Proceso de Planificacin de Contingencia................................63 Resumen del captulo..............................................................................68
Captulo 4 Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos..............................................................................69

El Registro de Windows.........................................................................70 Estructura del Registro........................................................................70 Visualizacin y edicin de la Secretara..............................................71 Recoleccin de Datos del Registro......................................................73 Copia de seguridad del Registro y los procedimientos de restauracin .............................................................................................................74 Programas de registro de copia de seguridad (Shareware y Freeware) .............................................................................................................78 La comprensin de almacenamiento de datos........................................78 El disquete............................................................................................79 La tabla de asignacin de archivos de Windows....................................81 La nueva tecnologa de Windows del sistema de archivos.....................82 La Papelera de Reciclaje.........................................................................83 La papelera est vaca, pero sigue siendo la Evidencia........................83 Seguimiento de archivos borrados A travs de la papelera de reciclaje de Windows..............................................................................................84 Recuperacin de datos eliminados en Windows....................................85 Industrial-Strength utilidad de recuperacin de...................................86 Unix / Linux de almacenamiento de datos del sistema de archivos ext2 ................................................................................................................87 Eliminacin de archivos ext2 en el......................................................87 Recuperacin de archivos ext2 en el.....................................................87 Usando e2undel....................................................................................88 Resumen del captulo..............................................................................89
Captulo 5
Anlisis y deteccin de cdigo malicioso y los intrusos.....................................................................91
Procesos del Sistema..............................................................................92 La deteccin de los procesos anormales del sistema...........................92 Con el Administrador de tareas de Windows para ver los procesos en ejecucin. . . . 94 Procesos por defecto en Windows NT, 2000 y XP................................96 Programas de vigilancia del proceso...................................................96
Tabla de contenidos
Archivos inusuales u Oculto...................................................................99 Visualizacin de archivos ocultos en Windows.....................................99 Visualizacin de archivos ocultos en Unix / Linux...........................101 Rootkits y backdoors............................................................................102 Detectar la presencia de un rootkit....................................................104 Detectar la presencia de una puerta trasera.......................................106 La eliminacin de rootkits y troyanos...............................................111 La deteccin y defensa contra sniffers de red......................................112 Resumen del captulo...........................................................................113
Captulo 6
Recuperar y analizar pistas............................................115

Cmo realizar bsquedas de palabras clave.........................................116 Industrial Strength Bsqueda por palabra clave Programas..............116 Freeware Herramientas para palabras clave de bsqueda..................117 Usando SectorSpyXP para realizar una bsqueda de palabras clave..118 Pautas generales para el examen del disco duro................................120 Al examinar el archivo de intercambio de Windows...........................121 Localizacin del archivo de intercambio de Windows.......................121 Viendo los contenidos del archivo de intercambio / Pgina..............123 Correo electrnico como evidencia......................................................123 Localizacin de E-Mail......................................................................124 Recuperacin de correo electrnico eliminado..................................125 La recuperacin de evidencia del Navegador Web..............................126 Localizacin de la evidencia Navegador de Historial.......................127 Localizacin de pruebas Web Cache.................................................128 Imprimir archivos de cola de impresin...............................................129 Localizacin de datos ocultos...............................................................130 Esteganografa...................................................................................130 Protegida con contrasea los datos comprimidos..............................131 Ejemplo de uso de Ultcompaero de ZIP Cracker............................132 Resumen del captulo...........................................................................133
Captulo 7
Procedimientos de recogida y Preservar la evidencia....................................................135

Recopilacin de evidencia Postcompromise........................................135 Requisitos legales para la recoleccin de pruebas electrnicas.........136 Unix / Linux Banners Login..............................................................137 La Orden de la coleccin...................................................................139 Entender la volatilidad de la evidencia.................................................140 Creacin de un disco en modo real Forense de arranque.....................141 La Verdad sobre el FAT.....................................................................142 Creacin de un equipo con Windows en modo real disco de arranque 142 Creacin de un disco de arranque de Linux......................................143 Utilizando rastreadores de paquetes para reunir pruebas.....................144 La construccin de un kit de herramientas de forense..........................146 El forense Toolkit (TCT)......................................................................147 Uso de ladrn de tumbas....................................................................148 Ejecucin de ladrn de tumbas..........................................................148
xvi
Tabla de contenidos
Despus de la Cadena de Custodia.......................................................149 La admisibilidad de las pruebas...........................................................150 Autenticacin.....................................................................................151 La mejor evidencia Regla...................................................................152 El Perodo de tiempo permisible para el examen de los computadores incautados. . . . 153 La evidencia de Preservacin............................................................153 Resumen del captulo...........................................................................154
Captulo 8
Incidente de contencin y erradicacin de las vulnerabilidades....................................................155

La cuarentena y contencin..................................................................156 Determinar el riesgo de operaciones continuas.................................156 Preservar la integridad.......................................................................157 Los mecanismos de auditora.............................................................157 Detectados por el usuario vulnerabilidades tcnicas..........................157 Formulario de Reporte de la vulnerabilidad......................................158 La ruptura de las conexiones de red e Internet.....................................159 De red y uso compartido de archivos Cuestiones.................................160 Configuracin del uso compartido de archivos de Windows para Mximum de Seguridad.....................................................................161 Windows XP Uso compartido de archivos.........................................162 Windows XP compartido simple de archivos....................................163 Creacin de listas de control de acceso..............................................165 Archivo Deshabilitar Compartir impresoras y bajo Windows 95/98/Me ...........................................................................................................167 Reconociendo el modelo de confianza.................................................167 El modelo de confianza en las operaciones de informtica...............168 ID de usuario y contrasea Trust.......................................................168 Sistema Operativo Fondo..................................................................169 El modelo de confianza y robo de identidad......................................171 Computer Security Awareness.............................................................171 Estrategias de Documentacin Multimedia.......................................172 La fase de erradicacin.........................................................................173 Endurecer sus defensas......................................................................173 Realizar el Anlisis de Vulnerabilidades............................................173 Resumen del captulo...........................................................................174
Captulo 9
Recuperacin de Desastres y Seguimiento de................177

Planificacin de recuperacin de desastres..........................................179 El desarrollo de un Plan de Recuperacin de Desastres.....................180 Muestra de contingencia de recuperacin de desastres Plan de..........181 Registros Electrnicos..........................................................................183 Autenticacin de los registros electrnicos.......................................184 Los registros electrnicos como prueba............................................185 Seguridad de los registros..................................................................185 El sistema de alimentacin ininterrumpida..........................................186 Cmo funciona UPS..........................................................................186
Beneficios de UPS..............................................................................187 Compra de un UPS............................................................................187
Tabla de contenidos
Comprensin de los datos de copia de seguridad Procedimientos.......187 Crear un plan de copia de seguridad..................................................188 Datos Herramientas de copia de seguridad.........................................188 Posterior al Incidente de Monitoreo y Anlisis....................................190 Anticipndose a futuros ataques...........................................................191 Resumen del captulo...........................................................................194
Captulo 10
En respuesta a distintos tipos de incidentes...................195

En respuesta a incidentes de hackers....................................................195 Identificar el Hacker..........................................................................197 Incidentes activos Hacker..................................................................198 Supervisin de la actividad hacker....................................................200 Incidentes anteriores..........................................................................201 En respuesta a incidentes de cdigos maliciosos.................................201 Caballos de Troya..............................................................................201 Los gusanos de Internet.....................................................................201 Aislar el sistema y avisar adecuada....................................................202 Contener el virus, gusano o caballo de Troya...................................202 INOCtarde el Sistema......................................................................202 Los sistemas de devolucin al funcionamiento normal.....................202 Manejo de Uso inapropiado.................................................................202 Tipos de acoso...................................................................................203 Los incidentes de acoso sexual..........................................................203 Evitar demandas de acoso sexual.......................................................205 Directrices para desarrollar una poltica sobre acoso sexual.............206 Impiden que los trabajadores vean material inadecuado...................208 Espionaje industrial..............................................................................210 Defensa contra ataques internos...........................................................211 Resumen del captulo...........................................................................213
Captulo 11
La evaluacin de seguridad del sistema para prevenir Los ataques adicionales..................................................215

Evaluacin de las Polticas y procedimientos de seguridad.................216 El desarrollo de listas de control de directivas de seguridad................217 Lista de verificacin de la directiva de auditora-la muestra.............218 Una visin general del proceso informtico de auditora de seguridad Las estaciones de trabajo de auditora y servidores..............................219 El anlisis de las estaciones de trabajo..............................................220 El anlisis de los servidores de red.....................................................220 Cmo deshabilitar NetBIOS NuyoSesiones de l.................................221 Pruebas de Penetracin.........................................................................223 In-House vs Outsourcing de..............................................................224 De pruebas de penetracin de software para las auditoras internas. 225 De terceros de Pruebas de Penetracin..............................................227 Ley de Portabilidad y Responsabilidad de Seguros Ley de 1996 (HIPAA)........................................................................228 HIPAA...............................................................................................228
218
Tabla de contenidos
El Honeynet Project................................................................232 Resumen del captulo..............................................................232
Captulo 12
Si tira todo junto............................................................235

El anlisis de los ataques del mundo real..................................236 Lecciones Aprendidas de Seguridad Otros..............................238 Lecciones aprendidas a partir del gusano Cdigo Rojo...................239 Lecciones aprendidas de los hackers...........................................240 Dnde dirigirse para obtener informacin Up-to-Date..........242 Tendencias futuras de la tecnologa de seguridad...................244 Resumen del captulo..............................................................245
Apndice A Apndice B Apndice C 2001 Apndice D
Qu hay en el CD-ROM.................................................247 Los puertos son atacadas comnmente..........................257 mbito de la orientacin en la Ley Patriota de EE.UU. 269 Los registros informticos y las Reglas Federales
de la evidencia.................................................................281 Apndice E Glosario...........................................................................289
Introduccin
El 14 de mayo de 1999, de 54 aos de edad, Sharon Guthrie se ahog en la baera de su Wolsey, South Dakota en casa. La autopsia revel que entre 10 y 20 cpsulas que contenan Temazepan estaban presentes en su cuerpo. Las pastillas para dormir se le ha recetado a su esposo, el reverendo William Guthrie, pastor de la Primera Iglesia Presbiteriana de Wolsey. A pesar de sus negaciones de cualquier irregularidad en relacin con la muerte de su esposa, pLos piojos no qued convencido de su inocencia. A falta de una dura evidencia en el caso, plos piojos decidi contratar los servicios de experto en informtica forense, Judd Robbins. Varias de las computadoras de la Iglesia de uso frecuente por el Reverendo Guthrie fueron capturados y congelados. Despus de varios das de examen de los archivos del ministro, Robbins finalmente hallado evidencias de que Guthrie haba estado buscando el Internet para los mtodos de matanza sin dolor y segura. Robbins tambin se encuentran notas detalladas acerca de las pastillas para dormir y letales agentes de limpieza para el hogar. El 11 de enero de 2000, un jurado de 12 miembros declarados culpables del asesinato de Guthrie. Menos de dos semanas ms tarde, el juez de circuito Eugene Martn lo conden a cadena perpetua.
Delitos Informticos
No todos los delitos cometidos con un ordenador es un delito informtico. Si alguien roba un cdigo de acceso al telfono y hace una cal de larga distanciayo, El cdigo que ha robado est marcada por una computadora antes de la calyoes procesada. Sin embargo, este caso es ms apropiado tratar como "fraude telefnico", no la delincuencia informtica. Sera, sin embargo, califica como delito ciberntico, si el cdigo se obtuvo como resultado de la intrusin en un sistema informtico. Aunque en este ejemplo parece sencillo, muchos casos no son tan fciles de clasificar. Un empleado de banca que roba el dinero de un cajn de la caja est malversando. Un empleado del banco que escribe un programa de computadora para robar aleatoriamente cantidades muy pequeas de las cuentas de numerosas tambin se puede malversar, sin embargo, la comisin (y fiscala) este delito puede requerir un conocimiento prctico del sistema informtico del banco. Como resultado, tal crimen puede rea-razonablemente ser caracterizada como un delito informtico. Segn el Departamento de Justicia de EE.UU., los equipos suelen desempear tres papeles distintos en un caso penal. En primer lugar, una computadora puede ser el destino de un delito. Esto ocurre cuando la conducta se ha diseado para llevar la informacin sin la autorizacin de, o causar daos a una computadora o red informtica. El virus Melissa y Explore.Zip.Worm, junto con los cortes en el blanco Casa y otros sitios web, son ejemplos de este tipo de delitos. En segundo lugar, una computadora puede ser incidental a un delito sin dejar de ser significativo en trminos de hacer cumplir la ley. Por ejemplo, los narcotraficantes pueden almacenar datos de transacciones (por ejemplo, Ames, fechas y cantidades) en las computadoras, en lugar de en papel. Por ltimo, un ordenador puede ser la herramienta utilizada para cometer un delito (como el
fraude o la-unlawventa til de los medicamentos recetados a travs de Internet).
xix
xx
Introduccin
Qu es la Informtica Forense?
De acuerdo con equipo forense Judd Robbins, "Informtica forense es simplemente la aplica-cin de la investigacin de equipos y tcnicas de anlisis, en aras de determinar evidencia legal potencial." El tipo de las pruebas obtenidas a partir de un examen forense puede ser til en una amplia gama de variedad de investigaciones: Litigios civiles, como los casos de divorcio, el acoso y la discriminacin Las empresas que deseen adquirir la evidencia de malversacin de fondos, fraude, o intelectual cuestiones de propiedad de robo Individuosais la bsqueda de pruebas en la discriminacin por edad, por despido injustificado, o sexual denuncias de acoso Investigaciones de compaas de seguros cuando se exijan pruebas relativas al seguro fraude, homicidio culposo, compensacin al trabajador, y otros casos relacionados con seguros reclamaciones La evidencia digital puede ser buscada en una amplia gama de delitos informticos, y los exmenes forenses utilizan una variedad de mtodos para descubrir los datos que residen en una computadora sis-tema, o para la recuperacin de borrado, la informacin de ficheros cifrado, o daado. Cualquiera o todos de esta informa-cin puede ser de utilidad en los procesos de descubrimiento, el depsito, o el litigio.
La importancia de Respuesta a Incidentes

El anlisis de las consecuencias de un equipo intrusin toma mucho ms tiempo del que tarda un autor para cometer el delito. A menudo es la velocidad de la respuesta que determina el resultado, y el ms preparado de una organizacin es cuando un incidente ocurre por primera vez, ms rpido se puede responder en la estela del incidente. Con el uso cada vez mayor de tecnologas de la informacin (TI), las organizaciones de todo el mundo se enfrentan al reto de la proteccin de recursos valiosos en una avalancha interminable de amenazas. Los ordenadores, y las redes que los conectan, informacin, procesar, almacenar y transmitir informacin de losque es crucial para el xito del da a da las operaciones y por lo tanto invitar tar-se a los hackers y cdigos maliciosos. La proteccin de los recursos crticos de TI no slo requiere la adopcin de las precauciones razonables para asegurar que estos sistemas y redes, sino tambin la capacidad de responder rpida y eficientemente cuando las defensas del sistema y la red de seguridad, han sido violados. Por desgracia, la respuesta a incidentes de seguridad informtica no es generalmente una tarea fcil. Correcto de respuesta a incidentes requiere conocimientos tcnicos, la comunicacin y la coordinacin entre el personal a cargo del proceso de respuesta. En tecnologa de la informacin, incidente se refiere a un evento adverso en un sistema de informacin y / o de la red o la amenaza de la ocurrencia de tal evento. Ejemplos de incidentes
incluyen no autorizados en-AUTORIZADO uso de la cuenta de otro usuario, el uso no autorizado de los privilegios del sistema, y la ejecucin de Malcdigos maliciosos que destruye los datos. Otros efectos adversos incluyen inundaciones, incendios, cortes de electricidad o calor excesivo que se traduce en fallos del sistema. Los eventos adversos, tales como los desastres naturales y las interrupciones de energa relacionados con los incidentes, aunque ciertamente no deseables, no son por lo general en el mbito de
Introduccin
xxi
Los equipos de respuesta a incidentes y estn mejor atendidas por la continuidad del negocio de una organizacin (de contingencia) planes. A fin de de respuesta a incidentes, por lo tanto, el trmino incidente se refiere a un evento adverso que se relaciona con seguridad de la informacin. De manera similar, un evento es cualquier ocurrencia observable en un sistema y / o de la red. Algunos ejemplos de eventos incluyen la secuencia de arranque del sistema, un fallo del sistema, y la inundacin de paquetes de datos dentro de una redtrabajar. Los eventos son importantes porque proporcionan a menudo una indicacin de que un incidente est ocurriendo. En realidad, los acontecimientos provocados por errores humanos (por ejemplo, sin querer borrar un directorio de crtica y todos los archivos contenidos en ella) son los ms costosos y perjudiciales. Eventos relacionados con la seguridad informtica, sin embargo, estn atrayendo a una cantidad cada vez mayor de la atencin dentro de la comunidad informtica en general, as como dentro del gobierno federal. Entre otras razones, el crecimiento sin par-leled de las redes y la abundancia de cdigos maliciosos a disposicin de los autores han dado como resultado en gran medida la exposicin de los sistemas ms a la amenaza del acceso remoto no autorizado.
Tipos de Incidentes
De acuerdo con la Ley Federal de Respuesta de Incidentes Centro de Cmputo (FedCIRC), el trmino incidente comprende las siguientes categoras generales de eventos adversos: Los ataques de cdigo malicioso. Los ataques de cdigos maliciosos incluyen los ataques de programas como virunses, los programas troyanos, gusanos y scripts utilizados por los crackers o piratas informticos para obtener privilegios, contraseas de captura, y / o modificar los registros de auditora a los exeLude actividad no autorizada. El cdigo malicioso es particularmente problemtico en el que normalmente se escribe en un hombre-ner que disfraza su presencia, por lo que es difcil de detectar. Por otra parte, auto-replicante cdigo malicioso, como virunses y los gusanos pueden REPLCate rpidamente, con lo que haciendo de contencin especialmente difcil. El acceso no autorizado. El acceso no autorizado abarca una serie de incidentes, de forma abusiva iniciar sesin en una cuenta de usuario (por ejemplo, cuando un hacker se conecta a un legtimocuenta de usuario compaero) para el acceso no autorizado a archivos y directorios almacenados en un sistema o medios de almacenamiento mediante la obtencin de privilegios de superusuario. El acceso no autorizado puede implicar adems el acceso a los datos de la red mediante la plantacin de un programa sniffer no autorizado o el dispositivo para capturar todos los paquetes que atraviesan la red en un punto determinado. La utilizacin no autorizada de los servicios. No es absolutamente necesario para acceder a la cuenta de otro usuario al asesinotrar un ataque contra el sistema o red. Un intruso tambin puede obtener acceso a los programas de informacin o de la planta de caballo de Troya por el mal uso de servicios disponiblesvicios. Ejemplos incluyen el uso
del sistema de archivos de red (NFS) para montar el sistema de archivos de una mquina de servidor remoto o interdominio mecanismos de acceso en Windows NT para acceder a archivos y directorios en el dominio de otra organizacin. La interrupcin del servicio. Los usuarios confan en los servicios prestados por los servicios de red y la informtica. Las personas con malas intenciones puede interrumpir estos servicios en una variedad de maneras, incluyendo el Ing. borrar programas crticos, spam electrnico (inundaciones una cuenta de usuario con el correo electrnico), y que alteran la funcionalidad del sistema mediante la instalacin de los programas de caballo de Troya.
Introduccin
El uso indebido. El mal uso se produce cuando alguien utiliza un sistema informtico para fines que no sean oficiales, como por ejemplo cuando un legtimoel usuario utiliza un compaero de Govemcin informtica para almacenar informacin personal los registros de impuestos. Espionaje. Espionaje es el robo de la informacin para subvertir los intereses ouna corporacin o Govemambiente. Muchos de los casos de acceso no autorizado a EE.UU. Govemsistemas de Ment durante la Operacin Tormenta del Desierto y la Operacin Escudo del Desierto eran la manifestacin de espionaje actividad contra los Estados Unidos. Bromas. Bromas ocurrir cuando la informacin falsa acerca de los incidentes o vulnerabilidades se propaga. A principios de 1995, por ejemplo, varios usuarios con acceso a Internet distribuido informacin sobre un virus llamado Good Times, a pesar de que el virus no exista. Es lamentable que a pesar de la implementacin de servidores de seguridad sofisticados, poderosos intrusisistemas de deteccin de n, y el software antivirus, los ordenadores y las redes que los conectan an puede ser penetrado por hackers, crackers, y otros cdigos maliciosos. Cuando sucede lo impensable, en respuesta a los incidentes y eventos es de suma importancia. Debido a que las fuerzas del orden tienen la altura-han fortalecido su inters en los delitos informticos, la captura y preservacin de evidencia crtica a travs de los mtodos bsicos de forenses estn incluidos en este libro. Las organizaciones requieren de estrategias para el manejo por ordenador, relacionados con la seguridad eventos con eficacia. Dicha estrategia incluye la preparacin, deteccin y respuesta. La adopcin de un lector enfoque prctico, este libro se armar con los conocimientos y las herramientas necesarias al MITpuerta de los riesgos y limitar la prdida.
Quin debe leer este libro?

Mientras que la informtica forense es, naturalmente, de gran preocupacin para los de la aplicacin de la ley comunidad, cualquier usuario de la computadora o el propietario que quiera entender la forma de adquirir y manejar la evidencia digital potenciales se beneficiarn de la lectura de este libro. Adems, el material de respuesta a incidentes presentados en este libro ser una gran ventaja para los administradores de red, la seguridad per-sonal, e incluso los funcionarios ejecutivos que se encuentran cada vez ms difcil mantener sus redes de organizacin libre de los efectos debilitantes y costosas de los hackers y malicioso a pesar de la cdigo aplicacin de las medidas de seguridad de gran alcance.
Cmo leer este libro?

Este libro puede ser ledo como un curso completo de introduccin a la informtica forense bsicos
y respuesta a incidentes. Sin embargo, tambin se ha creado para servir como una gua y una herramienta, y muchos lectores ya estarn un poco familiarizado con los diferentes temas cubiertos. En consecuencia, cada captulo es un completo componente independiente que se puede leer cada vez que el lector considere que sea prctico o en contra-veniente. Como el lector, es probable que se especializan en una o ms de los reas cubiertas en este texto. Sin embargo, la informacin presentada en este libro tambin debe proporcionar nuevos conocimientos y herramientas en otro reas con el que an no estn familiarizados.
Captulo 1
Informtica Forense y respuestas a incidentes Esenciales

ln este captulo
La captura del criminal: los fundamentos de la informtica forense Reconociendo los signos de un incidente Los pasos necesarios para prepararse para un incidente Incidente de verificacin Preservacin de la evidencia clave Las medidas especficas de respuesta La construccin de un conjunto de herramientas LA HI-TECHREVOLUTION DANDO EN EL MUNDO en comunicaciones y tecnologa de la informacin realmente se ha hecho del mundo un lugar ms pequeo. Con efectos sobre nuestras vidas tanto personales como profesionales, los Estados Unidos est invirtiendo ms recursos en el avance de la tecnologa de la informacinga que en la gestin o la fabricacin de bienes de consumo. La Internet se ha vuelto tan popular que ahora es ms comn para recibir un mensaje de correo electrnico que envi una carta convencional, en la correspondencia diaria. Las estimaciones actuales cifran la poblacin de Internet en todo el mundo en ms de 580 millones y sigue creciendo. En esta poca en constante evolucin de la tecnologa de la informacin, los requisitos de la aplicacin de la ley estn cambiando, tambin. Algunos delitos convencionales, especialmente los relacionados con las finanzas y el comercio, continuaa ser cada vez ms sofisticados tecnolgicamente. Senderos de papel han dado paso a electrnicas senderos. Los delitos relacionados con el robo y la explotacin de los datos se detectan todos los das. Como se evidencia en el asesinato de Sharon Guthrie, el crimen violento no es inmune a la utilizacin de la tecnologa de la informacin. Recuerde, el Reverendo Guthrie fue condenado basndose en la evidencia forense extrada de su ordenador, es decir, el descubrimiento de los datos que indican que haba visitado sitios Web que ofrecen las instrucciones para llevar a cabo un asesinato con tranquilizantes. No es desconocido para los que se ocupan de armas o drogas para almacenar el cliente Ames e informacin de contacto en bases de datos en sus ordenadores.
Respuesta a Incidentes: Computer Toolkit Forense
Al igual que la industria est transformando gradualmente de la fabricacin de productos para el tratamiento de la informacin, la actividad delictiva tiene en gran medida, tambin se convierte en una dimensin en gran medida fsicasin para una dimensi cibern. Las investigaciones, una vez llevado a cabo en una forma material, ms concreto, existen ahora por va electrnica, llev a cabo en lnea o mediante el examen de hardware y software.
La captura del criminal: Los Fundamentos de la informtica forense

Informtica forense es la ciencia de adquirir, recuperar, conservar y presentar los datos que han sido procesados electrnicamente y almacenadas en soportes informticos. Informtica forense de la ciencia es una disciplina relativamente nueva que tiene el potencial de afectar en gran medida determinados tipos de investigaciones y enjuiciamientos. Como un mayor nmero de personas que ahora hacen uso de computadoras, ms y ms informacininformacin de todo tipo se almacena en ellos. Esto incluye informacin que es de significativa importancia a la de una organizacin dyontele o que tenga un impacto en un caso civil o criminal, como evidencia de fraude financiero, la malversacin, la terminacin del empleo ilcito, el incendio de acoso sexual, el robo, el fraude de compensacin de trabajadores, la edad o la discriminacin sexual, la pornografa infantil, robo de secretos comerciales, o la infidelidad conyugal, a la AME unos pocos. Informtica forense de la ciencia es diferente de las tradicionales disciplinas forenses. Para empezar, las herramientas y tcnicas que se requieren son de fcil acceso para cualquier persona que quiera llevar a cabo un equipo FORENsic investigacin. En contraste con el anlisis forense tradicional, no es comn la exigencia de que los exmenes de informtica se realizan en prcticamente cualquier ubicacin fsica, no slo en un ambiente controlado. En lugar de producir conclusiones que requieren la interpretacin de expertos, comordenador de la ciencia forense produce informacin directa y los datos que pueden jugar un papel importante en la detencin o condena de ciber criminais. La adquisicin de la evidencia digital comienza cuando los elementos de informacin y / o fsica se recolecten o almacenen en previsin de que se examina. El trmino "evidencia" significa que el colector de la evidencia es reconocida por los tribunales y que el proceso de recoleccin tambin se entiende como un proceso legal, apropiado para la recoleccin de evidencia en la localidad en la que se est llevando a cabo. Un objeto de datos o un elemento fsico slo se convierte en evidencia cuando as se considere por un oficial de la ley o la persona designada. Las siguientes son algunas definiciones importantes los EE.UU. Oficina Federal de Investigaciones utiliza para delincoman ciertos aspectos de la informtica forense: Data Objects. Los objetos o informacin valiosa del potencial de valor probatorioque estn asociados con elementos fsicos. Los objetos de datos puede ocurrir en diferentes formatos de archivo (por ejemplo, NTFS o FAT32) sin alteracin de la informacin
original. La evidencia digital. Informacin del valor probatorio valiosoque se almacena o transmite en formato digital formulario. Elementos fsicos. MET en el que los objetos de datos o informacin puede ser almacenada y / o a travs del cual los objetos de datos se transfieren. La evidencia digital original. Elementos fsicos y los objetos de datos asociados con estos artculos en el momento de la adquisicin o la incautacin.
Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes
Duplcado digital de pruebas. Una reproduccin digital precisa de todos los objetos de los datos contenidos en un elemento fsico original. Ninguna investigacin que implica la revisin de los documentos, ya sea en un ambiente criminal o empresarial, est completo sin el nios con de las maneja adecuadamente la prueba informtica. Informtica forense asegura la preservacin y la autenticacin de los datos informticos, que se fragmentae, por naturaleza, y puede ser fcilmente alterado, borrado, o sometidos a las demandas de la manipulacin, si no se manipula correctamente. Adems, la informtica forense facilita la recuperacin y el anlisis de los archivos borrados y otras formas de informacin convincente que normalmente son invisibles para el usuario. A diferencia de la evidencia del papel, la prueba informtica a menudo existe en los datos digitales almacenados en medios de almacenamiento de la computadora. El volumen de informacin que puede ser almacenada en los equipos actuales es increblemente enorme. Existen numerosos tipos de medios de almacenamiento: disquetes, discos duros, discos ZIP, cinta magntica, magneto-pticos cartuchos, CD-R, CD-RW, CD-ROM, DVD, as como flash, CompactFlash, Smart Media, Memory Stick y dispositivos de almacenamiento. Un experto conocedor puede facilitar el proceso de descubrimiento mediante la identificacin de otros posibles evidenciasdencia que ms tarde pueden ser incluidos en los procedimientos judiciales. Por ejemplo, durante las inspecciones in situ premisa, en los casos en discos de la computadora en realidad no son incautados o copia forense, el experto forense puede identificar rpidamente los lugares para buscar, signos que debe buscar, y el punto de adicionales, fuentes alternativas para las pruebas pertinentes . Estos pueden adoptar la forma de las versiones anteriores de archivos de datos (por ejemplo, notas u hojas de clculo que todava existen en el disco de la computadora o en un medio de copia de seguridad) o de manera diferente versiones de formato de los datos, ya sean creados o tratados por otros programas de aplicacin (por ejemplo, , tratamiento de textos, hoja de clculo, correo electrnico, calendario, programacin, o de las aplicaciones grficas). A medida que el mundo Contines avanzar en la era de la informacin, la necesidad de un anlisis forense adecuado y bien planificada de respuesta a incidentes contingenciaes a aumentar. Durante su 05 de septiembre 2001 del habla, "Los aspectos jurdicos de proteccin de infraestructura,"en el 2001 INFOWARCON conferencia en Washington, DC, Ronald Dick, director del Centro de Proteccin de Infraestructura Nacional, hizo la siguiente declaracin:
La NIPC, en nombre de cada uno de sus organismos asociados, se ha comprometido firmemente a la fundamental proposicin-cin que la investigacin de delitos cibernticos y eventos nacionales de seguridad debe lograrse de una manera que proteja los derechos de privacidad de nuestros ciudadanos, que es un elemento esencial derecho constitucional. Sabemos que slo podemos tener xito si nos mantenemos fieles a esos valores baseES. Sin embargo, hay razones para preocuparse de que intrusos cibernticos estn ganando la capacidad de permanecer annimo, independientemente de su impacto en la vida humana y la seguridad nacional, y con independencia de si el gobierno puede hacer una demostracin de que debe ser capaz de obtener la informacin necesaria para su captura. En pocas palabras, el clculo previsto en la Constitucin, que otorga al gobierno la capacidad de proteger al pblico, se est erosionando. En su lugar, la privacidad
de criminais, y los enemigos extranjeros est acercndose a lo absoluto. Si continuapor este camino, ninguna informacin de identificacin estar disponible en el poder cuando el gobierno se muestra, como se contempla especficamente en la Cuarta Enmienda, con una orden de "causa probable, estn corroborados mediante juramento o protesta y describan con particularidad el lugar que deba ser registrado y las personas o las cosas que hay que aprovechar ". Como resultado de este cambio en el equilibrio entre la privacidad, la seguridad pblica y la seguridad nacional, la lista de vctimas va en aumento y la World Wide Web se conoce como el Wild Wild West. Conforme pasa el tiempo, me parece que cada vez ms individuos de laais me encuentro tienen conocimiento de primera mano de la computadora

crimen. Sus propias computadoras, y no slo las computadoras de las personas que conocen - han sido infectados con un virus o gusano, su sitio web la compaa ha sido borrado o paralizado su presencia por un ataque de denegacin de servicio, o de sus sistemas de informacin se han infiltrado en estado y de propiedad de su empresa ha cado en las manos de un intruso no identificado. De hecho, el paso del tiempo, entre los que se esfuercen por utilizar las computadoras, me encuentro con las organizaciones cada vez menos que han demostrado ser inmune a estas amenazas crecientes. Y, sospecho que la gente en esta sala, y los grupos que representan, no son diferentes. Si usted no cree que usted o su empresa ha sido afectada por algn tipo de delito ciberntico, ya sea que simplemente no son conscientes de ello, o si eres un afortunado miembro de una clase rpida reduccin. Una encuesta anual de la delincuencia informtica se llev a cabo en forma conjunta entre el Instituto de Seguridad Informtica y el FBI lo confirma. En 1996, cuando le preguntamos a los administradores de sistemas, si alguien ha obtenido acceso no autorizado a sus equipos, menos de la mitad, 42 por ciento, respondi que s. El ao pasado, cuando se hizo la misma pregunta, ms de la mitad de los encuestados, un total del 70 por ciento, respondi que s. Y ah est la irona en el debate pri-vacidad. Respetuosos de la ley los ciudadanos estn descubriendo que su privacidad est siendo cada vez ms invadida por criminais. Mientras tanto, el criminais estn ganando la privacidad. THe sido el director de la NIPC un poco ms de ocho meses, habiendo ocupado diversos cargos de gestin diferentes en el Centro desde que lleg all en 1998. He visto crecer y desarrollarse casi desde sus inicios. Tenga en cuenta que, hace apenas tres aos, la infraestructura es relativamente un nuevo camino para el gobierno federal. El Presidente Clinton emiti Presidencial Decisin la Directiva 63 en mayo de 1998. Fue una llamada de calyo, Que estableci un nuevo marco para hacer negocios. Por primera vez, el gobierno federal cre una entidad interinstitucional, el Centro de Proteccin de la Infraestructura Nacional - la combinacin de la aplicacin de la ley de los Estados Unidos, militares y de inteligencia-las comunidades a trabajar directamente con el prtor privado para lograr lo que muchos dicen que el da de hoy es imposible: la eliminacin de todas las vulnerabilidades de las infraestructuras vitales de la nacin. La eliminacin de todas estas vulnerabilidades, afirm el Presidente, necesariamente requieren "enfoques flexibles y evolutivas" que abarcan tanto el pblico como prVate sectores, y la proteccin de la seguridad tanto nacional como internacional.
La preocupacin del Sr. Dick de que "los ciudadanos respetuosos de la ley estn descubriendo que su privacidad est siendo cada vez ms invadida por criminais, mientras que el criminais estn ganando la privacidad "se hace eco en el pblico y prVate sectores. Sin embargo, la aprehensin de ciber criminais, y siempre dentro de los lmites de la ley al hacerlo, sigue siendo imprescindible. Procedimientos inadecuados en la recogida y tratamiento de las posibles pruebas que pueden hacer que las pruebas admisibles en un tribunal de justicia. La Ley Patriota de EE.UU. de 2001 introdujo cambios significativos a la bsqueda de las leyes federales y las convulsiones.
Para ms informacin sobre la Ley Patriota de EE.UU. de 2001, vase el captulo 2 y el Apndice C.
Si bien est fuera del alcance de este libro para convertir al lector en un experto en medicina forense, la recoleccin adecuada de la evidencia informtica puede confirmar o disipar las concems acerca de si un Yoincidente judicial se ha producido. Este trabajo de investigacin tambin pueden documentar las vulnerabilidades de ordenadores y redes despus de un incidente ha sido verificada. Adems, es posible que desee obtener una formacin adicional antes de intentar algunas de las tcnicas descritas en este libro.
Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 5
Reconociendo los signos de un incidente

La corriente casi incesante de los incidentes relacionados con la seguridad ha afectado a millones de ordenadores los sistemas y redes en todo el mundo y muestra pocas seales de amainar. La Tabla 1-1 muestra una lista de incidentes que fueron reportados al Centro de Respuesta Federal Computer Incident (FedCIRC) para el ao calendario 2000. Si bien la respuesta de incidentes vares en el enfoque en funcin de cada cir-posicin, los goles en todos los casos son en su mayora el mismo. En casi todos los casos, el enfoque es varias veces: Recuperar de forma rpida y eficiente desde el incidente de seguridad. Minimizar el impacto causado por la prdida o robo de informacin (clasificada o no clasificada) o por la interrupcin de los servicios informticos crticos en los que ha ocurrido un incidente. Responder de forma sistemtica, siguiendo los procedimientos probados que disminuir considerablemente el probabilidad de recurrencia. Saldo de operaciones y los requisitos de seguridad mientras permanece dentro de un presupuesto restriccin. Ocuparse de las cuestiones legales de una manera eficiente. Una pltora de asuntos legales rodea el campo de la seguridad informtica. Por ejemplo, el Departamento de Justicia de EE.UU. (as como algunas leyes federales y estatales) ha declarado Yolegal para llevar a cabo ciertas tcnicas de monitoreo. Siguiendo los protocolos y procedimientos adecuados, los que realizar los exmenes forenses puede estar seguro de que los estatutos legales no estn siendo violados.
Tabla 1.1 Incidentes FedCIRC Resumen de la actividad para el ao 2000 Contar

155 138 113 70 36 35 24
Porcentaje
26% 23% 19% 11% 6% 5% 4%
Tipo
Raz de un compromiso Solicitud de informacin Usuario compromiso Reconocimiento Virus Denegacin de servicio El uso indebido de los recursos
24 9 7
4% 1% 1%
Falsa alarma Desconocido Engao
Es el consenso general entre los expertos en seguridad informtica que la gran mayora de los delitos informticos no estn detectados o reportado. Hasta cierto punto, esto se debe a que muchos delitos informticos no son abiertamente obvio. Para utilizar una analoga simple, cuando un elemento (especialmente importante) es robado, el propietario detecta fcilmente porque el elemento faltante. Sin embargo, si un hacker roba datos de la computadora por la copia, los datos originales permanecen, y sigue siendo accesible para el propietario. Hay una variedad de maneras incidentes pueden ocurrir y maneras diversas en las que el impacto una organizacin. Algunos tipos comunes de incidentes informticos son los siguientes: Empleado mal uso de los sistemas (por ejemplo, violacines de las polticas de uso de Internet) El cdigo malicioso (por ejemplo, virunses, los gusanos o troyanos) Las intrusiones o piratera Monitoreo electrnico no autorizado (sniffers, keyloggers, etc) Web site defacement o vandalismo El acceso no autorizado a informacin confidencial Las herramientas automatizadas de escaneo y las sondas Sabotaje Ejecutivo (a travs de espionaje o empleados descontentos) Desafortunadamente, no hay soluciones generales para prevenir incidentes que se produzcan, y las soluciones lim-ITED que existen son caros y requieren una enorme cantidad de recursos de una organizacin. La opcin de utilizar los mtodos de respuesta a incidentes dbiles (o no los mtodos en todos) es, sin embargo, an ms caro y slo agrava el dao que causan los incidentes. Lo que se necesita es un compromiso a largo plazo para prevenir y responder sistemticamente a incidentes de seguridad en vez de hacer arreglos a corto plazo para los problemas seleccionados. La experiencia demuestra que la mayora de las organizaciones no piensan en cmo van a responder a un incidente de seguridad informtica hasta despus de que han sido signifi-icantly vctima de uno. No se han evaluado (o anticipados) el negocio de riesgo de no tener en su lugar formal de incidentes de deteccin y los mecanismos de respuesta. Cuando no se sabe que un intrusin (o un intrusiintento de n) se ha producido, es difcil, a veces imposible, determinar despus de que sus sistemas han sido comprometidos. Si la informacin necesaria para detectar una intrusin no se ha reunido y revisado, la organizacin no puede determinar qu datos sensibles, los sistemas y las redes estn siendo atacados y lo que las infracciones de la confidencialidad, integridad o disponibilidad se han producido. Como resultado de una falta de capacidad para detectar los signos de intrusin, puede ocurrir lo siguiente: No ser capaz de detectar tales signos de una manera oportuna debido a la ausencia de
nemecanismos de alerta necesarias y los procedimientos de revisin. Usted no ser capaz de identificar las intrusiones debido a la ausencia de informacin de referencia con el cual comparar el estado de funcionamiento actual. Las diferencias entre uno anterior configuracin y su estado actual puede proporcionar una indicacin de que una intrusin tiene ocurrido.
No ser capaz de determinar el alcance total de una intrusin y el dao que ha causado. Usted tambin ser incapaz de decir si se ha eliminado completamente la presencia del intruso de sus sistemas y redes. Esto impedir de manera significativa, y incluso aumentar, su tiempo de recuperacin. Su organizacin puede ser objeto de accin legal. Los intrusos pueden hacer uso de los sistemas que se han comprometido a lanzar ataques contra otros sistemas. Si uno de sus sistemas se utiliza de esta manera, es posible que se celebrar Hpor no poder ejercer el debido cuidado adecuado con con respecto a la seguridad. Su organizacin puede experimentar un golpe empaar su reputacin. Su organizacin puede sufrir la prdida de oportunidades de negocio. Reconociendo los signos de un incidente mientras se est produciendo es de suma importancia a la prdida de mitigacin. Algunos signos de que un incidente se ha producido son evidentes. Por ejemplo, un trabajador no seUn cuestionable adjunto de correo electrnico para detectar la presencia de cdigo malicioso y, despus de abrir un archivo adjunto, comprueba que su ordenador ya no funciona correctamente. En este ejemplo de un incidente de cdigo malicioso, se puede inferir que el archivo adjunto de correo electrnico contena algn tipo de cdigo malicioso o guin, que afect a una aplicacin o sistema operativo. Otros incidentes, tales como intrusiones en la red, a menudo son ms difciles de detectar. Los hackers estn siempre buscando nuevas formas de infltrado sistemas informticos en red. Ellos pueden tratar de penetrar las defensas de una red de trabajo desde ubicaciones remotas. En algunos casos, los intrusos recurrir a medidas extremas, incluidos los intentos de fsica infltrado de una organizacin para acceder a recursos de informacin. Los hackers suelen buscar las vulnerabilidades en la forma de software anticuado o sin parchear. Las vulnerabilidades recin descubiertas en los sistemas operativos, servicios de red y protocolos son los principales objetivos, y los hackers suelen aprovechar de ambos. Intrusiones y su dao resultante puede llevarse a cabo en cuestin de segundos, debido al desarrollo de potentes y sofisticados pro-gramos. Disponible gratuitamente en sitios de hackers subterrneos Web, los hackers utilizan estos programas de gran alcance para descifrar contraseas, pasar por alto frewalls y la velocidad de la plumatrar sistemas. El enfoque comn para detectar-intrusiones en desarrollo es como sigue: Observe a sus sistemas para un comportamiento inesperado o algo sospechoso. Invertirpuerta de todo lo que consideran inusual. Si su investigacin encuentra algo que no se explica por la actividad autorizada, de inmediato iniciar su intrusin los procedimientos de respuesta (los procedimientos de respuesta se tratan ms adelante en este captulo). Incluso si su organizacin ha implementado medidas de seguridad (por ejemplo, frewalls), es esencial que vigilar de cerca su sistema informtico para detectar signos de intrusin. El monitoreo
se puede complican debido a los intrusos a menudo ocultar sus actividades mediante la modificacin de los sistemas que han irrumpido en. Un intrusin puede ser ya en marcha y continuadesapercibida porque a los usuarios, parece que cada cosa est funcionando normalmente (en la superficie). La siguiente lista de comprobacin para Windows presenta importantes indicios de que su sistema puede haber estado en peligro, junto con algunas soluciones tiles:
Respuesta a Incidentes: Computer Toolkit Forense Busque las cuentas de usuario inusuales o no autorizado o grupos. Hay varias maneras de hacer esto. Puede utilizar la herramienta Administrador de usuarios en Windows NT o la herramienta de Administracin de equipos en Windows XP (vea la Figura 1-1) o el net user, el grupo de red, y net localgroup comandos en la lnea de comandos (DOS). Si el sistema no requiere el acceso de invitados, asegrese de que el incorporado en la cuenta de Invitado est deshabilitada.
Figura 1-1: La utilidad Administracin de equipos bajo Windows XP Professional
Deshabilitar la cuenta de invitado en Windows XP

Para deshabilitar la cuenta de invitado en Windows XP, siga estos pasos: 1. Haga clic en el botn Inicio. 1. De los hombres pop-up, Seleccione la opcin Panel de control. Se abre el control Panel de la ventana. 2. En la ventana Panel de control, seleccione Cuentas de usuario. 2. En la ventana Cuentas de usuario, seleccione la opcin "Cambiar una cuenta" la opcin, o haga clic en la cuenta de invitados ICn (si est disponible) en la parte inferior de la ventana Cuentas de usuario. 3. Una vez abierta, la cuenta de invitado tiene un botn de activacin que permite al
usuario activar la cuenta de invitado en o apagado.
Con la herramienta de gestin de equipo, compruebe si todos los grupos para la adhesin de usuario no vlido. En Windows NT, 2000 y XP, varios de los grupos predeterminados dar privilegios nicos a los miembros de esos grupos. Por ejemplo, mientras que los miembros de los Operadores de configuracin de red se han limitado los privilegios administrativos para administrar la configuracin de caractersticas de red, los miembros del grupo Administradores tienen el poder de modificar casi cualquier aspecto del sistema operativo.
Adems de la mencionada herramienta integrada de gestin de Windows, otra utilidad gratuita de auditorautilidad ng es DumpSec por SomarSoft. Este programa de auditora de seguridad para Windows NT vertederos de los permisos (DACL) y la configuracin de auditora (SACL) para el sistema de archivo, registro, impresoras, y participaciones en forma concisa y fcil de leer en formato haciendo los agujeros en la seguridad del sistema ms aparente. Para ms informacin o para descargar una copia de la visita de DumpSec www.somarasoft.com .
Revise los archivos de registro para las conexiones desde lugares inusuales o para cualquier actividad inusual. Todas las versiones de Windows NT tiene un visor de eventos integrada que le permite comprobar el inicio de sesin inusual enFrios, las fallas de los servicios, o se reinicia anormales del sistema. Tenga en cuenta que si tu firewall, servidor web, o un router escribe registros a una ubicacin distinta a la comprometido el sistema, que hay que examinar estos registros tambin.
Configuracin de los archivos de registro y el examen se tratan en detalle en el captulo 3.
Bsqueda de los derechos de usuario no vlidas. Para examinar los derechos de los usuarios utilizar la herramienta Administrador de usuarios en las polticas de derechos de usuario . Hay ms de dos docenas de los derechos que pueden ser asignados a usuarios o grupos. Normalmente, la configuracin por defecto de estos derechos es seguro. Revise para ver si las aplicaciones no autorizadas se estn ejecutando. Existen varios enfoques los hackers pueden tomar para iniciar un programa de puerta trasera, por lo tanto, puede que tenga que tomar una o ms de las siguientes precauciones: Examine el registro de Windows. Todas las versiones de Windows vienen con un editor integrado en el Registro (ver Figura 1-2) que se puede acceder fcilmente tecleando
regedit en el prompt de comando. Varios de los lugares ms comunes de las aplicaciones que inician a travs del Registro se ilustran en la Tabla 1-2.
|. ^ "^ _h0
Busque los servicios no vlidos. Algunos programas de puerta trasera se instalan como un servicio que se inicia automticamente cuando Windows se carga en primer lugar. Servicios continuacin, puede ejecutar como cualquier usuario con el inicio de sesin como el derecho de atencin al usuario. Verifique los servicios que se inician automticamente y estar seguros de que son indispensables. El archivo ejecutable de servicios tambin se deben analizar con un antivirus para asegurarse de que no ha sido sustituido por un troyano o backdoor. Los derechos de inicio de sesin controlar cmo el personal de seguridad se les permite el acceso a la computadora. Estos derechos se aplican si el acceso se realiza desde un teclado, o como un servicio que se activa cuando se carga Windows. Para cada mtodo de inicio de sesin, existen dos derechos de inicio de sesin, para permitir un inicio de sesin en el ordenador y el otro para negar el registro en el equipo.
Programas de puerta trasera permite a los hackers acceder a su ordenador mientras est conectado a Internet. Ellos pueden robar contraseas, registrar las pulsaciones, e incluso bloquear el equipo. El intruso debe engaar a un usuario ejecutar el programa en el ordenador del usuario. Esto se logra generalmente mediante el envo del archivo a travs de mensajes de correo electrnico oa travs de un servicio de mensajera instantnea.
Qu est ejecutando en el sistema?

Para observar los servicios que se estn ejecutando en su sistema Windows XP, haga lo siguiente: 1. De los hombres de inicio, Seleccione Panel de control Rendimiento y mantenimiento. 2. En la ventana Rendimiento y mantenimiento, seleccione Herramientas administrativas. 3. Aparecen varios iconos, haga doble clic en Servicios de componentes. 4. Seleccione los servicios locales de la lista desplegable en el panel izquierdo. Si intenta acceder a los servicios demasiado pronto, puede encontrarse con el mensaje "Servicio de Datbase est bloqueado. "Este mensaje significa que algunos servicios se siguen cargando o initializ-cin en el fondo, por lo que no puede ir a la lista de servicios por el momento. Si espera unos segundos, usted ser capaz de abrir el cuadro de dilogo. En versiones anteriores de Windows NT no hay otra manera de abrir esta lista:
1. De los hombres de inicio, Seleccione Programas Herramientas administrativas Administrador de servidores. 1. Desde el Administrador de servidores, seleccione el equipo y, a continuacin, seleccione el equipo Servicios de los hombres TEM. 2. Si usted posee los privilegios administrativos adecuados, que incluso ser capaz de ver qu servicios se ejecutan en equipos remotos, as. Basta con seleccionar el equipo remoto desde el Administrador de servidores, a continuacin, seleccione Servicios Informtica de los hombres.
11
Supervisar las carpetas de inicio del sistema. Puede examinar todos los accesos directos, seleccione Inicio Programas de inicio. Hay dos diferentes carpetas de inicio, uno para el usuario local y otro para todos los usuarios. Cuando un usuario inicia sesin, todas las aplicaciones, tanto en la carpeta Todos los usuarios y en la carpeta de inicio del usuario se han iniciado. Debido a esto, es importante para comprobar todo de las carpetas de inicio de aplicaciones sospechosas.
Figura 1-2: El Editor del Registro de Windows
Tabla 1-2 Los lugares comunes del programa de inicio

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ \ SessionManager KnownDLLs HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ \ SessionManager KnownDLLs HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ("run ="lnea)

Seguido
12
Tabla 1-2 Los lugares comunes del programa de inicio (Continuacin)

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ("run =" valor)
RegCleaner (ver Figura 1-3), escrito por Jouni Vuorio, es un programa gratuito para Windows que es muy til en la recopilacin de informacin importante acerca de los programas inician automticamente en el arranque del registro de Windows. Si las aplicaciones no deseadas o servicios estn presentes, este proprograma tambin le permite borrar la entrada del registro correspondiente. Tenga en cuenta que la alteracin del Registro puede ser difcil borrar la entrada incorrecta puede hacer que una aplicacin o el sis-tema operativo inestable o inutilizable. RegCleaner se puede encontrar en www.vtoy.fi/jvl6/index
. Shtml.
Figura 1-3: RegCleaner por Jouni Vuorio
13
Revise las configuraciones de red para las entradas no autorizadas. Busque entradas no vlidas para la retirada deajustes como WINS, DNS, el reenvo de IP, y as sucesivamente. Estos ajustes se pueden comprobar con la herramienta Propiedades de red o mediante el ipconfig / al 1comando en el smbolo (DOS) pedir. Revise los archivos del programa de sistemas para las alteraciones. Compare las versiones de sus sistemas con las copias que usted sabe que no han sido alterados, tales como los de los medios de instalacin originales. Tenga cuidado de confiar en las copias de seguridad, sino que tambin puede contener caballos de Troya. Compruebe que los puertos de escucha para las conexiones inusuales de otras mquinas mediante el uso de la red Nmeros que hablan: un comando en el smbolo del sistema. Potente tercero de deteccin de puertos pro-gramas como SuperScan por Foundstone, Inc. tambin se puede utilizar para seuno de abiertos o activos puertos TCP / UDP. SuperScan (ver Figura 1-4) es un programa gratuito que se puede encontrar en
www.webattack.com.
Para obtener una lista completa de puertos, consulte el Apndice B.
Figura 1-4: SuperScan por Foundstone, Inc. no puede seuno de abiertos o activos puertos TCP / UDP.
14

Los programas troyanos son a menudo diseados para imitar el mismo tamao de archivo como el legtimocompaero de pro-grama que sustituyen. Como resultado, slo comprobar las propiedades del archivo y el tiempo de sellos asociados con las aplicaciones no es suficiente para determinar si existe o no el legtimoprogramas compaero han sido reemplazado por un caballo de Troya. Una mejor alternativa es utilizar Tripwire. Tripwire es un Unix basado en el sistema de archivos de comprobacin de la integridad del programa que garantiza la integridad de los archivos de sistema crticos-cos y directorios mediante la identificacin de todos los cambios realizados a los mismos. Mediante el uso de Tripwire para intrusin la deteccin y evaluacin de daos, usted ser capaz de hacer un seguimiento de cambios en el sistema que a su vez puede acelerar la recuperacin de un compromiso del sistema al reducir el nmero de archivos que hay que restablecer para reparar el sistema.
Utilizando el software antivirus ayuda en la deteccin de ordenador virunses, los programas de puerta trasera y troyanos. Sin embargo, tenga en cuenta que, dado que los programas maliciosos se estn creando continuamente, es importante mantener siempre actualizado su software antivirus actualizado.
Preparacin para Incidentes

Antes de la dcada de 1990, las amenazas a la seguridad informtica (adems de los errores humanos) eran principalmente fsico-Cal y del medio ambiente, que consiste en el dao fsico y ataques internos, tales como incendio, inundacin o robo. Este tipo de amenazas se entienden fundamentalmente y se controlan fcilmente mediante el uso de mtodos tradicionales y planes de contingencia. Hoy en da, una nueva categora de amenazas de seguridad informtica se ha convertido tan importante para comprender y controlar. Estas amenazas incluyen transregresiones por los intrusos no autorizados y los usuarios que aprovechan las vulnerabilidades del sistema, equipo virunses, los gusanos y caballos de Troya. Varios factores han contribuido a la creciente presencia de estas amenazas, tales como las siguientes: Incrementar la confianza de la sociedad en las computadoras. Hoy en da, casi todas las organizaciones, tanto pblicas como prVate, se basa en los ordenadores y redes de comunicacin. Debido a esta dependencia cada vez mayor, muchas agencias que sufren grandes prdidas a la productividad de sus sistemas deben estar disponibles. Debido a la complejidad del sistema, la confianza en los sistemas informticos a menudo se presenta riesgos no previstos y las vulnerabilidades. El cdigo malicioso. PC virunses, los gusanos de correo de Internet y caballos de Troya en continua particular,para sembrar el caos en la seguridad informtica personal. Con lo mal que este problema se encuentra en pre-enviado, las dificultades de cdigos maliciosos no har sino empeorar. Esto es principalmente el resultado de la pro-
proliferacin de las computadoras personales (con un mnimo de controles de seguridad integrado), redes de rea local, y un flagrante desprecio por las prcticas informticas seguras. El nmero de variantes y las imitaciones de virunSES tambin ha aumentado y no muestra signos de disminuir. Amplio rea de redes (WAN). El uso de redes WAN, los gobiernos de enlace, las empresas, e instituciones educativas, contiES a crecer. Una respuesta eficaz a un incidente de seguridad informtica es importante que las agencias conectadas a travs de redes de gran tamao, como una intranet o en Internet. Debido a su interconectividad, un compromiso de un equipo puede afectar
otros sistemas que estn conectados a la red, pero se encuentran en diferentes organizacio-nes, dando lugar a posibles consecuencias legales o financieras. Los equipos de respuesta a incidentes son conscientes de que intruso intenta lpiztrar los sistemas se producen a diario en numerosos lugares a travs de-fuera de los Estados Unidos, sin embargo, muchas organizaciones siguen sin ser conscientes de que sus sistemas han sido penetrado o se han utilizado como trampoln para ataques contra otros sistemas. La reduccin de las barreras a la piratera. La potencia informtica es fcilmente disponible, como es la banda ancha conectividad. Los piratas informticos pueden descargar herramientas fcilmente a travs de Internet, por lo que poco cualificado los atacantes pueden lanzar ataques muy sofisticados. Hoy en da, estar preparado para manejar un incidente de seguridad informtica se ha convertido en una prioridad para la mayora de los administradores del sistema. Dado que las empresas aumentar su presencia en lnea y su dependencia de los activos de los sistemas de informacin, el nmero de incidentes informticos tambin se eleva. Estas organizaciones estn reconociendo finalmente la necesidad de adaptar sus posiciones de seguridad en consecuencia. Esto se logra-plished en tres etapas. En primer lugar, las organizaciones deben desarrollar e implementar planes de seguridad y controles en un esfuerzo proactivo. En segundo lugar, tienen que trabajar para asegurar que sus planes y los controles son eficaces por la continua revisin y modificacin de ellos para garantizar que la seguridad es siempre apropiada en el lugar. Por ltimo, cuando los controles se pasan por alto, ya sea intencionalmente o no, las organizaciones deben ser preen comparacin a actuar rpida y eficazmente a minimizar el impacto de estas fallas. El principal objetivo de estas medidas de seguridad es para evitar un problema de seguridad operacional se convierta en un problema de negocio que afecta a los ingresos. Los administradores y otros usuarios pueden obtener directrices en este libro para pre-planear una respuesta a los incidentes y minimizar cualquier impacto negativo en un negocio. Esperar hasta que un incidente se ha producido de forma natural es demasiado tarde para comenzar a planificar cmo hacer frente a tal evento. Planificacin de respuesta a incidentes requiere el mantenimiento de ambas funciones adminis-trativas y tcnicas. Cada parte debe estar familiarizado con el otro papel, las responsabilidades, y capacidades. Muchos de los programas de seguridad informtica no son eficaces en el tratamiento de las clases ms nuevos y menos comprendido-de amenazas a la seguridad. Las respuestas tradicionales, como el anlisis de riesgos, planificacin de contingencias, y las revisiones de seguridad informtica, no han sido suficientes para controlar los incidentes y prevenir daos a gran escala. Abundan las ancdotas en las que los incidentes de seguridad empeoran o si no han sido erradicadas de un sistema. En consecuencia, algunas organizaciones gastan demasiado tiempo reaccionar a los incidentes recurrentes, sacrificar la comodidad y la productividad. Por temor a amenazas desconocidas, algunas instituciones han equivocadamente restringido el acceso a sus sistemas y redes. Lo que se necesita en lugar por lo tanto, es una forma fundamentalmente diferente de la respuesta de equipo de seguridad, una respuesta que es capaz de detectar
rpidamente y reaccionar a los incidentes de una manera que sea eficiente y rentable.
Una empresa siempre debe hacer el esfuerzo para erradicar un incidente de seguridad del sistema de forma inmediata, por ejemplo, cuando las compaas no pueden enmendar sus programas de correo electrnico en busca de fallos conocidos y publicacin cized-, que puede verse afectado por un virus que explota la imitacin mismo error exacto.
Tener un incidente de seguridad informtica la capacidad de respuesta se traduce en que una organizacin est pre-comparacin para detectar y combatir los incidentes de seguridad informtica de una manera hbil y eficiente. Esta capacidad es una combinacin de personas tcnicamente capacitadas, polticas y tcnicas, con el objetivo de constituir un enfoque proactivo para el manejo de incidentes de seguridad informtica. Tener una capacidad de respuesta a incidentes con los elementos tradicionales de la seguridad informtica puede ofrecer a toda la organizacin de proteccin de los incidentes perjudiciales, el ahorro de los recursos de la organizacin y permitir que valiosas para un mejor aprovechamiento de la tecnologa informtica ms. Muchas empresas, organizaciones y agencias gubernamentales han puesto en prctica las capacidades de respuesta a incidentes con gran xito, ge-aliado de centrarse en el siguiente reas: Respuesta eficiente. La eficiencia es uno de los aspectos ms importantes de una capacidad de respuesta a incidentes de seguridad informtica. Sin una capacidad eficiente de respuesta a incidentes es desordenado, galvanizado y eficaz, con la organizacin de mantenimiento de los mayores gastos y dejando vulnerables de nerabilities abierto y sin proteccin. Por ejemplo, las respuestas sin educacin a los pequeos brotes de equipo virunses en realidad puede hacer que sus efectos mucho peores, dando lugar a cientos de ordenadores estn infectados por el equipo de respuesta a s mismo. Un buen equipo de seguridad incidenciacapacidad de respuesta de ayuda a Dent en la gestin de los gastos de respuesta a incidentes que son difciles de rastrear, hace que la evaluacin del riesgo ms precisa, y mejora la formacin de los usuarios y la sensibilizacin con respecto a la seguridad informtica. Por el contrario, un esfuerzo de respuesta a incidentes ineficaz puede Perpetuocomieron los problemas existentes e incluso EXACrbate ellos. Centralizacin. Un incidente de seguridad la capacidad de respuesta deben utilizar medios centralizados de informacin y el manejo de incidentes. Aunque no cabe duda aumenta la eficiencia, sino que tambin permite una evaluacin ms precisa de los hechos, como por ejemplo si estn relacionados con (a fin de evitar daos generalizados ms rpidamente posible). En virtud de la centralizacin, los gastos de incidentes capacidad de respuesta y de arriba hacia abajo se puede mantener, y la duplicacin de esfuerzos se puede reducir (posiblemente eliminar por completo). Las organizaciones pueden encontrar una significativa ahorro de costes como resultado. Mejora el conocimiento del usuario. Los beneficios de una capacidad de respuesta a incidentes incluyen el conocimiento de las amenazas de usuario mejorada y el conocimiento de los controles adecuados. Una capacidad de respuesta a incidentes ayudarn a la organizacin identificar las vulnerabilidades y emitir alertas de seguridad informtica. La informacin relativa a la conciencia de seguridad puede ser difundida a travs de salida de la organizacin mediante el uso de una variedad de mecanismos tales como una intranet de la empresa, sem narios, y talleres de capacitacin. Esta informacin mejora enormemente la capacidad de los usuarios de la gestin de sus sistemas de manera eficiente y segura.
El desarrollo de un incidente de
seguridad informtica Capacidad de respuesta

Debido al volumen de negocio se realiza a travs de Internet, reduciendo al mnimo las vulnerabilidades de seguridad y maximizar la respuesta a incidentes de seguridad de una manera eficiente y completa puede ser la situacin crtica de la continuidad del negocio. Las organizaciones a menudo se encuentran, sin embargo, que no es necesario construir este Capadad completamente desde cero. Muchas organizaciones se dan cuenta de que ya poseen los bloques de construccin necesarios para las respuestas de incidentes suficientes. Estos incluyen servicios de asistencia, lneas centrales, y
personal con las habilidades tcnicas necesarias. Los siguientes son caractersticas adicionales necesarias para una la seguridad del equipo de respuesta a incidentes capacidad de: Estructura. No hay una estructura nica para una capa de seguridad informtica de respuesta a incidentesdad. Dependiendo de las necesidades de la organizacin, esta capacidad puede tomar muchas formas. Si bien la centralizacin a menudo se presenta la estructura ms rentable, algunas organizaciones encuentran que una estructura de distribucin ms amplia, a pesar de algunas coincidencias inevitables, ms acorde con las estructuras existentes. Organizaciones muy pequeas puede resultar prctica para compartir una incidenciadente capacidad de respuesta con una organizacin ms grande. Gallinaee, una capaci de respuesta a incidentesdad estructura variar dependiendo de una variedad de factores. Informes centralizados y la centralizacin de los esfuerzos, sin embargo, en general, ayuda a disminuir los costos de operacin y mejorar efiey y seguridad. Los mecanismos de alerta. La capacidad de respuesta a incidentes debe incluir la capacidad para llegar rpidamente a todos los usuarios mediante el envo de una alerta a una lista de correo central, o bien de la tele-telfono de correo de voz, mensajes a travs de buscapersonas o Memorndums o listas de gestin de contactos. Informes centralizados. De respuesta a incidentes efectiva depende de la capacidad de una organizacin para comunicarse de forma rpida y cmoda. Mecanismos de comunicacin eficaces incluyen un centro de atencin telefnica de un seguimiento de 24 horas, un centro de direccin de correo electrnico de mensajera, o un arreglo de buscapersonas / celular. Los usuarios son ms propensos a comunicarse con su comunidadinformticos de seguridad al personal de respuesta a incidentes, si la organizacin ha hecho que la comunica-cin directa (por ejemplo, los usuarios slo tienen que recordar un nmero de telfono). Personal. La organizacin debera crse comi a un grupo de individuosais que son responsables para el manejo de incidentes: un incidente de equipo equipo de respuesta. Seguridad informtica personal de respuesta a incidentes debe diagnosticar y / o entender los problemas tcnicos, por lo tanto el conocimiento tcnico es un requisito fundamental para los miembros del equipo. Habilidades de comunicacin Superior son igualmente importantes. Incidentes de seguridad informtica puede generacintipo de situaciones de carga emocional, un hbil comunicador debe saber cmo resolver problemas tcnicos con salida alimentar emociones negativas o que complica an ms la situacin. Adems, INCIel personal de respuesta independientes pueden pasar gran parte de su tiempo en la comunicacin con los usuarios afectados y los administradores, ya sea directamente o mediante la preparacin de informacin sobre alertas, boletines y otros materiales de orientacin. Puede ser difcil, sin embargo, imperativo, para encontrar personal que tiene la mezcla correcta de tcnica, las comunicaciones, y las habilidades sociales.
El incidente de seguridad informtica Equipo de Respuesta

Las redes y los recursos de TI siguen siendo vulnerables a la persistente Yoactividad legal y malicioso y explotacin de ambos enFfuentes ernal y externa. Las amenazas de seguridad ms comunes son los sistemas de red. Amenazas de la red de seguridad incluyen la falsificacin de identidad, la negacin de ser-vicio, y el paquete de reproduccin / modificacin. El dao a los sistemas de TI de una intrusin en uno o ms equipos pueden aceUR en un corto perodo de tiempo. Es esencial que todas las organizaciones tienen procedi-mientos en el lugar que se pueden activar sin demora. El hecho de no informar de un intrusin para la seguridad
18
el personal tendr un impacto (y potencialmente compromiso) de los esfuerzos de seguridad del resto de la organiza-zacin, as como sus clientes. Para desarrollar una capacidad de respuesta a incidentes completa, todas las organizaciones necesitan un equipo de respuesta a incidentes. En el caso de los delitos informticos o de sospecha de violacines de las polticas de usuarios, el equipo debe ser contratado. Previamente, el equipo debe contar con procedimientos escritos para la respuesta a incidentes, incluyendo lo que las condiciones lo permitan llamar a locales y / o las autoridades federales de aplicacin de la ley. Por ejemplo, dentro de violacines de las polticas de usuario puede dar lugar a acciones administrativas, tales como los empleados suspensinsin, o la terminacin del empleo, mientras que otros, los delitos informticos ms graves pueden requerir que aplicacin de la ley ser contactado. En cualquier caso, el equipo de respuesta a incidentes debe proteger las pruebas. Para violacines de polticas y acciones administrativas, los procedimientos siguientes puede ser suficiente. Sin embargo, para los delitos informticos ms graves, las autoridades policiales puede dar instrucciones al equipo de incidente para esperar a su su llegada antes de actuar. Las acciones necesarias para asegurar una escena de incidentes informticos se sospeche pueden ser Asegurar la escena La documentacin y el etiquetado de las pruebas El transporte de la evidencia Apagar el equipo (s)
El proceso de notificacin de incidentes

Como se mencion anteriormente en este captulo, todas las organizaciones deben establecer y poner en prctica una deFernal capacidad de respuesta de incidentes. Las intrusiones son slo una forma de incidente de seguridad informtica. Recuerde, un incidente de seguridad informtica es cualquier evento adverso en el que algn aspecto de un sistema informtico se ve amenazada. Esto podra incluir la prdida de confidencialidad de los datos, la interrupcin de la integridad de los datos, y la interrupcin o la denegacin de servicio. Los tipos de incidentes se clasifican en bajo, mmediano o alto Leveis dependiendo de su gravedad. Bajo nivel de incidentes son los menos graves y deben ser resueltos dentro de un da hbil despus de se produce el evento. Estos incluyen Prdida de contraseas Sospecha de intercambio no autorizado de las cuentas El uso indebido de las acciones de hardware de ordenador no
intencionales Exploraciones infructuosas o sondas De nivel medio de incidentes son ms graves y deben ser tratados el mismo da que se produzca el evento (Normalmente en un plazo de dos a cuatro horas del evento). Estos incluyen
Destruccin de propiedad en relacin con un incidente de equipo Descarga ilegal de msica con derechos de autor / software no autorizado La violacin de acceso especial El uso no autorizado de un sistema de procesamiento o almacenamiento de datos personales Un acto que resulta de la terminacin del empleado hostil El acceso al edificio ilegal El robo de personal (modvelocidad a la valiosa) En relacin a un incidente informtico De alto nivel son los incidentes ms graves. Debido a la gravedad de estas situaciones y la probabilidad de daos causados a la lnea inferior de la organizacin, este tipo de incidentes deben manipularse inmediatamente. Ellos incluyen Destruccin de propiedad en relacin con un incidente de equipo La pornografa infantil Pornografa El robo de personal (ms alta en valiosoque por un incidente de nivel medio) en relacin a un incidente informtico Ruptura en la computadora de sospecha Denegacin de servicio (DoS) Descarga de software ilegal El cdigo malicioso (por ejemplo, virunses, los gusanos, troyanos, scripts maliciosos y) El uso no autorizado de un sistema de procesamiento o almacenamiento de datos prohibidos Los cambios en el hardware del sistema, el firmware (por ejemplo, el BIOS), o el software de los sistemas sindueo de temperatura de autorizacin Cualquier violacin de la ley Otros tipos de incidentes pueden incluir aislado casos de virunses o mal uso de computadoras el equipamiento, las acciones no intencionales, y las exploraciones comunes, sin xito o sondas. Cuando nos enfrentamos a un incidente de segu-ridad, una organizacin debe ser capaz de responder de una manera que proteja a su propia informacin y ayuda a proteger la informacin de otras personas que podran verse afectados por el incidente.
Evaluacin y contencin
Cada organizacin tiene que desarrollar en elFprocedimientos de presentacin de informes ernal que definen las acciones que deben ser tomadas en respuesta y notificacin de incidentes de seguridad informtica. En un mnimum, enFernal procedimientos deben incluir la organizacin de la cadena de autoridad o jerarqua y requieren la participacin de todo el personal de la organizacin de seguridad informtica. Estos procedimientos tambin requieren lo siguiente:
Conservacin de pruebas Valoracin Contencin y recuperacin de las acciones Daos determinacin Informe de la documentacin Las lecciones aprendidas Identificatin de las acciones correctivas requeridas por los programas de seguridad de la organizacin
Las organizaciones deben distribuir los procedimientos de seguridad informtica a todo el personal apropiados que se encarguen de la deteccin, denuncia, o el manejo de incidentes de alto nivel. Las partes responsables deben ser instruidos para leer y familiarizarse con la poltica de notificacin de incidentes. Individuosais asignados a la manipulacin de incidente o de informes se puede organizar en un equipo de respuesta que se convierte en activa cuando el incumplimiento se identifica. Todas las redes de la organizacin deben ser monitoreados en forma permanente. No es necesario para obtener e instalar intrusin de dispositivos de deteccin o software para cada servidor. Slo los lugares ms crticos necesitan tener intrusideteccin n instalado. Tan pronto como se detecta actividad sospechosa, personal cualificado designado para responder debe ser notificada a tomar medidas inmediatas. El personal de gestin de nivel superior autorizados a tomar las medidas de contencin debe evaluar el caso y tomar las medidas oportunas. Esto puede incluir el cierre de un sistema dentro de un plazo razo-nable despus del descubrimiento de un intrusin para contener cualquier dao futuro. En casos extremos, si el equipo de respuesta a incidentes no responde adecuadamente o si el problema no est contenido en una manera oportuna (generalmente 12 horas), director de la organizacin general de informacin (IC) O desgnate puede emitir una orden para que todo el sistema abajo. En dependencia directa del ICo de nivel superior del hombregestin debe ocurrir en los casos en que una evaluacin preliminar indica que un dao significativo a los recursos de la organizacin puede haber ocurrido. Tras la confirmacin, las acciones de respuesta a incidentes debe aplicarse de inmediato. La falta de cualquier funcionario en la cadena de informacin no debe retrasar la continuacin de la NOTIFICACIN incidenten o proceso de respuesta.
Operaciones para la recuperacin

Todas las organizaciones deben dar prioridad a aquellas acciones que apoyen la recuperacin sin problemas de un sistema de comprometida. En ningn caso, un sistema comprometido, una pgina Web o aplicacin que vuelva a funcionar normalmente sin la aprobacin de la ICo la persona designada para hacerse cargo de la comcomputadora de seguridad. Oficiales de seguridad informtica se reserve el derecho a examinar an ms el sistema para garantizar que la seguridad es adecuada en el lugar y contiES para proteger a la organizacin. La organizacin debe reanudar el funcionamiento normal del sistema slo puede restaurarse con la aprobacin por la segudad del equipo. El personal de seguridad por lo general debe solicitar un perodo de 24
horas para responder al incidente con el poder de aprobar o rechazar el retorno del sistema para operaciones normales.
Daos Anlisis y Determinacin

Una evaluacin de los daos de todos los incidentes de seguridad informtica se debe iniciar inmediatamente despus de la Conacciones entretenimiento y recuperacin han llevado a cabo. Oficiales de seguridad informtica debe impedirmina si el incidente se limita a un sistema o para msistemas ltiple y si hay algn impacto en
21
organizaciones externas. El impacto para cada sistema debe ser analizada para determinar si el control del sistema ha sido comprometido. Todos los sistemas comprometidos deben desconectarse de la exter-nales de comunicacin inmediatamente o tan pronto como sea posible. Control de un sistema se pierde cuando un intruso obtenga el control de la raz de gran alcance o las cuentas del sistema de alto nivel administrativo priv-vilegios. La determinacin tambin debe hacerse si los archivos de registro han sido borrados o en peligro.
Procedimientos de cierre, mientras que preservar la evidencia

Apagado de un sistema informtico de manera que no se daar la integridad de los archivos existentes es un procedimiento de seguridad informtica complicado. En el caso de un incidente de sospecha de equipo, el gran cuidado se debe tomar para preservar las pruebas en su estado original. Si bien puede parecer que simplemente la visualizacin de archivos en un sistema no dara lugar a la alteracin de los medios de comunicacin originales, slo la apertura de un fichero de cambios de TI. En un sentido legal, ya no es la evidencia original y en ese momento puede ser inadmisibles-ble en cualquier actuacin jurdica o administrativa. Al abrir un archivo tambin altera la fecha y hora del ltimo acceso. En la superficie, esto puede no parecer una cuestin importante, sin embargo, que ms tarde podra llegar a ser muy importante en la determinacin de quin cometi la violacin y cuando ocurri. El aislamiento del sistema informtico es lo ideal, pero si esto no puede llevarse a cabo debido a los requisitos de funcionamiento, no intente debera ser hecho para recuperar o ver los archivos en el mbito local. El aislamiento de un sistema informtico para que la evidencia no se ha perdido es de suma importancia. Examen tambin se debe dar a otros medios de almacenamiento, notas escritas a mano, y los documentos que se encuentran en las proximidades del equipo en cuestin. Estos elementos pueden ser de valiosaen una inversin posterior-Gacin. Discos de ordenador, CDROMs, medios de almacenamiento en cinta, y / o discos duros adicionales se encuentra en el rea de la computadora tambin deben estar aislados y protegidos. Nadie, incluyendo a la persona sospechosa de cometer la violacin alegada equipo, se debe permitir el contacto con los medios de almacenamiento o el ordenador implicado en el incidente de seguridaddente. Individuosais, con extensa experiencia en computacin puede desarrollar programas que, con algunos de llaveaccidentes cerebrovasculares, pueden destruir todos los datos magnticos en un disco duro. Generalmente, el tipo de sistema operativo una compaa utiliza dicta la sincronizacin y la forma en que se alimenta una computadora. Con algunos sistemas operativos, simplemente tirando del cable de alimentacin es el mtodo preferido. Con otros sistemas, desconectar la fuente de alimentacin sin permitir que el sistema operativo para iniciar, enFapagado ernal podra resultar en la prdida de archivos o, en raras ocasiones, una rotura del disco duro. Las posibles pruebas que pueden residir en almacenamiento tpica reas como la hoja de clculo, datbase, o archivos de procesamiento de textos. Sin embargo, las posibles pruebas que tambin pueden estar en el archivo de holgura (archivo de la demora es el espacio no utilizado en un cmulo de datos que est en el final de la mayora), archivos borrados y los archivos de intercambio de Windows. Evidencia potencial en estos lugares es por lo general en forma de fragmentos de datos-tos y puede ser sobrescrito fcilmente arrancando el ordenador y ejecute el
sistema operativo. Por ejemplo, cuando se inicia el sistema operativo Windows hasta (cargas), que genera nuevos archivos y abre los archivos existentes. Esto tiene el potencial para sobrescribir y destruir los datos o elementos de prueba es posible pre-riormente almacenan en el archivo de intercambio de Windows. Para usar otro ejemplo, cuando el procesamiento de textos o archivos de otros programas se abren y se ve, se crean archivos temporales y se sobrescriben actualizadas versiones de los archivos, por lo que la evidencia potencial almacenada en estos lugares expuestos a la prdida. De acuerdo con los EE.UU. Departamento de Energa del Primer Manual de Servicio de respuesta, lo siguiente son las caractersticas bsicas y los procedimientos (desglosado por sistema operativo) que se deben seguir cuando un operativo el apagado del sistema est garantizada.
Respuesta a Incidentes: Computer Toolkit Forense MS-DOS SISTEMA OPERATIVO
Caractersticas El texto es sobre un fondo slido (generalmente negro). El mensaje contiene una letra de unidad y utiliza las barras contrarias. El indicador por lo general termina con un signo mayor que (>). Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
Windows 3.X SISTEMA OPERATIVO
Caractersticas Gerente del Programa Barra de azulejos de colores Los hombres estndaropciones Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
Windows NT 3.51 SISTEMA OPERATIVO
Caractersticas Gerente del Programa Barra de azulejos de colores Los hombres estndaropciones Los iconos que representan equipos de la red y las personas Procedimientos de cierre
Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 23 Windows 95/98/NT 4.0/2000 SISTEMA OPERATIVO
Caractersticas El botn de inicio tiene un smbolo de Windows. Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Pulel cable de alimentacin de la pared.
UNIX / LINUX SISTEMA OPERATIVO
Caractersticas El botn de inicio tiene una versi Unix / Linuxn smbolo. Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Haga clic para los hombres. A partir de los hombres, Haga clic en Consol. El usuario root del sistema est ajustado a #firmar. Si no est presente, cambie al usuario root (el tipo su -). En ese momento se le pedir la contrasea de root. Si la contrasea est disponible, entrar en l. Al #, tipo de sincroni zaci n, sincroni zaci n, para da , Y el si stem a se apag ar. Si no tienen la contrasea de root, pulel cable de alimentacin de la pared. Si el #seal se muestra cuando en la consola, El tipo identificacin y pulse Intro. Si usted ve que su ID de usuario es root, el tipo sin cro niza cin, sincroni zaci n, para da , Y pulse Ent er. Esto cerrar l a sistema. Si su ID de usuario no es root, pulel cable de la pared.
Sistema operativo Mac OS
Caractersticas Un smbolo de Apple en el co superior izquierdamer Las pequeas lneas horizontales en los hombres de la ventanabar Un solo botn en cada comer de la ventana
Papelera ICn Procedimientos de cierre Fotografiar la pantalla y anotar los programas en ejecucin. Registre el tiempo de los hombresbar.
24
Haga clic en Especial. Haga clic en Cerrar. La ventana que dice que es seguro para tumen el equipo. Pulel cable de alimentacin de la pared.
Recomendaciones NIPC para las vctimas

Adems de proteger sus sistemas, el Centro de Proteccin de la Infraestructura Nacional le recomienda tomar en cuenta tambin las siguientes acciones para aumentar las posibilidades de aprehender al autor: Responda rpidamente. Pngase en contacto con funcionarios encargados de hacer cumplir la ley.
Para ms informacin sobre los pros y los contras de hacer frente a la ley, vase el captulo 2.
Si no est seguro de lo que las acciones a tomar, no detener los procesos de los sistemas o manipular archivos. Esto puede destruir los rastros de un intrusin. Siga las polticas de organizacin y procedimientos. (Su organizacin debe tener una computadora capacidad de respuesta de incidentes / plan). Utilice el telfono para comunicarse. El atacante (s) puede ser capaz de monitorear el correo electrnico trfico. Pngase en contacto con el equipo de respuesta a incidentes para su organizacin. Experiencia tcnica rpida es crucial para prevenir mayores daos y proteger las posibles pruebas. Considere la posibilidad de la activacin de identificacin de llamadas en las lneas de entrada. Esta informacin puede ayudar a en la que conduce a la identificacin de la fuente / va de intrusin. Establecer puntos de contacto con el abogado general, el personal de respuesta a emergencias, y los funcionarios encargados de hacer cumplir. Contactos preestablecidos le ayudar en un esfuerzo de respuesta rpida. Haga copias de los archivos de un intruso pudo haber alterado o dejado atrs. Si usted tiene la experiencia tcnica para copiar archivos, esta accin ayudar a los investigadores a determinar cundo y cmo la intrusin puede haber ocurrido.
Identificar un punto de contacto principal para manejar las posibles pruebas. Establecer un procedimiento de cadena de custodia que realiza el seguimiento que ha estado involucrado en el manejo de la evidencia y en el que se ha almacenado. Potencial de hardware / software de prueba que es no se controla adecuadamente puede perder su valioso. No en contacto con el presunto autor.
25
Construccin de una Respuesta a Incidentes / Forense Kit de herramientas

Hay dos cuestiones importantes cuando se trata de la recopilacin de pruebas digitales: autenticidad e integridad. Tienes que ser capaz de marcos alemanesnstrate que la evidencia es lo que usted dice es, carncorreo desde la que dicen que carne de, y no se ha modificado desde que lo obtuvo. Cmo recoger y documentar la evidencia de preservar su autenticidad y la fiabilidad depende de las circunstancias y los sistemas informticos que estamos tratando. Un conjunto fiable de las herramientas es inestimable para los responsables de la respuesta a incidentes. Un conjunto de herramientas adecuadamente equipada permite a su propietario para recoger evidencia de manera eficientecia para su posterior anlisis y debe contener al menos amnimum los siguientes elementos bsicos: Una herramienta para informar de cualquier abierto los puertos TCP y UDP y asignarlos a la propiedad o el proceso de aplicacin Una herramienta para capturar y analizar los registros para identificar y realizar un seguimiento que ha tenido acceso a una comordenador del sistema Una utilidad para hacer una copia de seguridad de flujo de bits de un disco duro Una herramienta para examinar los archivos en una unidad de disco para la actividad no autorizada Un programa utilizado para documentar la hora del sistema CMOS y la fecha en un computador incautado en evidencia Una utilidad de violacin de contraseas Una utilidad de bsqueda de texto que puede seun DOS y Windows, y lCate dirigido palabras clave y / o cadenas de texto relacionadas con la informtica en las investigaciones y seguridad informtica comentarios Un forense de datos binarios herramienta de bsqueda que se utiliza para identificar el contenido especfico de archivo de grficos y / o palabras en idioma extranjero y las frases almacenadas en forma de datos informticos Una herramienta para descubrir los archivos ocultos, tales como NTFS Altflujos de datos rnate Una herramienta de recopilacin de datos para capturar archivos de holgura y sin asignar (archivo borrado) de datos
La lista anterior incluye las herramientas bsicas de forenses y no pretende ser exhaustiva.
Si bien hay una serie de herramientas para plataformas Windows, son relativamente pocos existen para el Unix o Linux. El forense Toolkit (TCT), un paquete de software que es el estndar de facto para la recogida de pruebas forenses de las plataformas Unix y la gran cantidad de herramientas forenses disponible para la plataforma Windows, se tratan en detalle en el captulo 7.
26
Resumen del captulo

El Internet es la red de operacin de computadoras ms grande del mundo. Debido a que es en gran medida de una red pblica, las amenazas pueden provenir de todos los rincones del mundo. Para protegerse contra la amenaza cons-tante de los hackers, crackers, y otros cdigos maliciosos, las organizaciones suelen hacer uso de firewalls, software antivirus, y intrusin sistemas de deteccin. A pesar de sofisticadas medidas de defensa, sin embargo, las computadoras y las redes que los conectan siguen siendo objeto de frecuentes ataques. Como resultado de este lamentable hecho, las organizaciones y gobiernos de todo el mundo debe permanecer preparado para responder a una variedad de amenazas por parte de cualquier incidente de seguridad informtica que evita las medidas de seguridad. Puntos principales tratados en este captulo se incluyen El fundamentoais y la importancia de la informtica forense y respuesta a incidentes Cmo reconocer los signos de un incidente de seguridad informtica Cmo comprobar que un incidente de seguridad informtica se ha producido Los pasos bsicos a todas las organizaciones deben seguir en la preparacin para responder a los incidentes Cmo comprobar que un incidente de seguridad se ha producido al mismo tiempo la
preservacin de evidencia clave Los tipos especficos de medidas de respuesta til contra los ataques de hoy en da La importancia de la construccin de un conjunto de herramientas forenses
Captulo 2
Abordar las consideraciones de Aplicacin de la ley

ln este captulo
Una mirada a la Cuarta Enmienda de la Constitucin de los EE.UU. Una breve introduccin sobre la Ley de Libertad de Informacin Los pros y los contras de tratar con la polica Intercambio de informacin en cuestiones de la investigacin de delitos informticos El papel de la Infraestructura Nacional Centro de Proteccin (INCP) Comprender la divulgacin y el descubrimiento Una breve descripcin de los delitos informticos federales y las leyes EXISTE UNA PREOCUPACIN CRECIENTE que individuosais, organizaciones y gobiernos de todo el mundo son cada vez ms en situacin de riesgo cuando deciden hacer caso omiso de las amenazas planteadas por los hackers, intrusos y cdigos maliciosos. La erupcin de los brotes de cdigo malicioso durante los ltimos aos se pueden observar demostraciones de cmo un individuo puede causar daos generalizados por infectar a cientos de miles de miles de ordenadores en cuestin de horas, y que l o ella puede lCate se dirige incluso cuando las vulnerabilidades son bien conocidas, muy difundido, y podra fcilmente ser protegidos. Sea cual sea su motivacin, las acciones de estos individuosais son a menudo imposible de distinguir de una otra. Desde una perspectiva de aplicacin de la ley, la captura de criminais, terroristas y agentes de inteligencia nunca ha sido ms difcil que en el entorno ciberntico de hoy. En el ajuste de hoy, los ataques e intrusiones son encriptados, dividida en paquetes, y se enva en todo el mundo, de forma annima pasa a travs de los proveedores de Internet y las telecomunicaciones que estn bajo ninguna obligacin de llevar un registro de sus sistemas, o, ms importante an, cmo puede ser mal. Las autoridades policiales deben actuar con cuidado al llevar a cabo investigaciones criminales informticos para atrapar a los perpetradores, mientras que la preservacin de los derechos de privacidad y los derechos civiles de los dems.
En este captulo se centra en los aspectos jurdico s relativos a los delitos inform ticos y los la aplicaci n de la ley el papel desemp ea en la investig acin de delitos inform ticos.
27
28
Una mirada a la Cuarta Enmienda

La Cuarta Enmienda de la Constitucin de los EE.UU. declara que "El derecho del pueblo a la seguridad de sus personas, domicilios, papeles y efectos contra registros e incautaciones irrazonables, no ser inviolable, y no se expedirn al efecto mandamientos, sino por motivo fundado , estn corroborados mediante juramento o protesta y describan con particularidad el lugar que deba ser registrado y las personas o cosas a ser incautadas. "En el ao 1900, la filosofa de la Corte Suprema en relacin con la Cuarta Enmienda se orient principalmente hacia la proteccin de la propiedad. El deseo de la Corte para proteger la propiedad era evidente en su Decisi 1928n en Olmstead contra los Estados Unidos [277 EE.UU. 438 (1928)]. En Olmstead, la Corte Suprema sostuvo que el uso de una intervencin telefnica para interceptar un prconversacin telefnica privado no era una "bsqueda" para los propsitos de la Cuarta Enmienda. Uno de los motivos por los que la Corte justific su resultado fue que no haba habido intrusi fsican en el domicilio de la persona. Bajo Olmstead'S, visin estrecha de la cuarta enmienda, la enmienda no era capaz de apli-en ausencia de fsica intrusin. Por lo tanto, sin culpa o la incautacin de cualquier objeto material, la vigilancia se considera fuera del alcance de la Cuarta Enmienda a la interpretacin del Olmstead caso. En el histrico fallo de la Corte Suprema de 1967 Katz v EE.UU., Sin embargo, se consider que la bsqueda es constitucional si no vifinales de una persona "razonable" o "de fiarcompaero de "expectativa de pri-vacidad. Charles Katz fue detenido por Yojuego legal despus de que us un telfono pblico para transmitir "informacin de juego." El FBI se haba unido un dispositivo de registro electrnico en el exterior de la cabina de telfono pblico que habitualmente utiliza Katz. Ellos argumentaron que se trataba de una accin legal, ya que en realidad nunca entr en la cabina telefnica. El Tribunal, sin embargo, fall a favor de Katz, que indica la Cuarta Enmienda permitido para la proteccin de una persona y no slo puntal de una personacontra la pobreza Yobsquedas legales. Todo lo que un ciudadano "tiene por objeto preservar la mayor prVate, incluso en un rea accesible al pblico, puede ser protegido por la Constitucin. " En la conclusin el caso de Katz, la Corte sostuvo que la penetracin fsica de una constitucinaliado de proteccin rea no es necesario antes de un registro e incautacin se puede considerar que vifinales de la Cuarta Enmienda. De acuerdo con la Corte en Katz, "Una vez que se reconoce que la Cuarta Enmienda protege a las personas-y no simplemente 'reas "- contra registros e incautaciones irrazonables se pone de manifiesto que el alcance de que la enmienda no puede dar vuelta a la presencia o ausencia de un examen fsico intrusin en cualquier recinto dado. "Por lo tanto, aunque las actividades del gobierno en Katz no implicaba fsica intrusin, que se encuentren en violacin de la privacidad en la que el peticionario justifica-fiably confiado y constituye por lo tanto "bsqueda y captura" en el sentido de la Cuarta Enmienda. Cambio de la tecnologa precipit el cambio de la proteccin de la propiedad a la proteccin de la privacidad, y en 1968, justo un ao despus Katz, El Congreso aprob el Ttulo III del Lucha contra el Crimen y la Ley mnibus seguridad en las calles, la vigilancia del micrfono de autorizacin o de las escuchas telefnicas con fines policiales, y que requiere una orden judicial, basada en causa probable, antes de la vigilancia comolanza o las escuchas telefnicas. La cuestin de la Cuarta Enmienda ms bsico, lo que se refiere a los casos federales de computacin, se pregunta si una persona goza de una expectativa razonable de privacidad en la
informacin electrnica almacenada en los ordenadores (u otros dispositivos de almacenamiento electrnico) bajo control del individuo. Por ejemplo, individuosais tienen una expectativa razonable de privacidad en el contenido de sus computadoras porttiles, discos flexibles, o buscapersonas? Si la respuesta es "s", entonces el gobierno generalmente debe obtener un justificar antes de que se tiene acceso a la informacin almacenada en l.
Captulo 2: Aplicacin de la Ley relativas a consideraciones de 29
El 24 de julio de 2000, Kevin V. DiGregory, Fiscal General Adjunto para el Departamento de Justicia de EE.UU., hizo la siguiente declaracin ante el Subcomit sobre la Constitucin en relacin con la Cuarta Enmienda y su aplicacin en la era de la informacin:
No cabe duda de que la Cuarta Enmienda protege los derechos de los estadounidenses, mientras que trabajar y jugar en Internet tal como lo hace en el mundo fsico. El objetivo es larga y noble de larga tradicin: preservar nuestra privacidad mientras se protege la seguridad de nuestros ciudadanos. Nuestros padres fundadores reconocieron que para que nuestra sociedad democrtica para que sea segura y nuestra libertad intacta, la polica debe tener la capacidad de invertir puerta, detener y procesar a las personas por hechos delictivos. Al mismo tiempo, sin embargo, nuestros padres fundadores, celebrada en el desprecio desprecio del gobierno y el abuso de la intimidad en Inglaterra. Los fundadores de esta nacin adopt la Cuarta Enmienda para hacer frente a la tensionn que a veces puede surgir entre la privacidad y la seguridad pblica. En virtud de la Cuarta Enmienda, el gobierno debe demnstrate causa probable antes de obtener una orden de bsqueda, detencin, o intrusi parejan sobre la privacidad. Congreso y los tribunales han reconocido que la reduccin de las intrusiones a la privacidad debe ser permitida bajo un umbral menos exigente. La Electronic Communications Privacy Act (ECPA), establece un sistema de tres niveles por los cuales el gobierno puede obtener la informacin almacenada de los proveedores de servicios electrnicos de comunicacin de cationes. En general, el gobierno necesita una orden de registro para obtener el contenido de las comunicaciones no se recuperan, (como el correo electrnico), una orden judicial para obtener los registros de transacciones, y una citacin judicial para obtener la informacin de identificacin del suscriptor. Vase 18 USC 2701-11. Adems, a fin de obtener informacin del origen y destino en tiempo real, el gobierno debe obtener una "trampa y rastro" o "pen register" orden judicial que autorice el registro de dicha informacin. Vase 18 USC 3121, et seq. Debido a la Val privacidades lo protege, la ley escuchas telefnicas, 18 USC 2510-22, conocido comnmente como el ttulo III, pone una mayor carga sobre la interceptacin en tiempo real de alambre por va oral, y las comunicaciones electrnicas de la Cuarta Enmienda requiere. En ausencia de una excepcin legal, el gobierno necesita una orden judicial a las comunicaciones de escuchas telefnicas. Para obtener dicha orden, el gobierno debe demostrar que las tcnicas de investigacin habituales para la obtencin de la informacin que tiene o es probable que fracasen o que son demasiado peligrosos, y que cualquier intervencin se llevar a cabo a fin de garantizar que el intrusin es minimizada. Las garantas para la privacidad representados por la Cuarta Enmienda y las restricciones legales sobre el acceso del gobierno a la informacin no impiden la aplicacin efectiva de la ley. En su lugar, proporcionan lmites de aplicacin de la ley, aclarando lo que es recoleccin de evidencia aceptable y qu no lo es. Al mismo tiempo, aquellos que se preocupan profundamente por la proteccin de la privacidad individual tambin debemos reconocer que la polica tiene un papel crtico que desempear en la preservacin de la privacidad. Cuando la polica investiga, aprehende con xito, y persigue a un criminal que ha robado informacin personal de un ciudadano de un sistema informtico, por ejemplo, aplicacin de la ley es sin lugar a dudas trabajar para proteger la privacidad e impedir nuevas violacines de privacidad. Lo mismo ocurre cuando la polica detiene a un hacker que se comprometieron los registros financieros de un cliente del banco. A medida que avanzamos en el siglo 21, debemos asegurarnos de que las necesidades de privacidad
y seguridad pblica permanecen en el equilibrio y se reflejen adecuadamente en las nuevas y emergentes tecnologas que estn cambiando la cara de las comunicaciones. Aunque la misin principal del Departamento de Justicia es hacer cumplir la ley, el Fiscal General Reno y todo el Departamento entender y compartir el legtimopreocupaciones compaero de todos los estadounidenses con respecto a la intimidad personal. El Departamento ha sido y seguir siendo el compromiso de proteger los derechos de privacidad de los individuosais. Esperamos con inters trabajar con el Congreso y otros interesados individuosais para hacer frente a estos asuntos importantes en los prximos meses.
30
Segn el Departamento de Justicia de EE.UU., para determinar si una persona tiene una expectativa razonable de privacidad poder de la informacin almacenada en una computadora, ayuda para el tratamiento de la computadora como un recipiente cerrado, como una cartera o un gabinete de archivo. La Cuarta Enmienda prohbe la aplicacin de la ley general de acceso y visualizacin de informacin almacenada en una computadora sin una orden judicial si la ley se prohbe la apertura de un recipiente cerrado y el examen de su contenidos en la misma situacin (en las mismas circunstancias).
Mientras que una "expectativa razonable de privacidad" se aplica a las investigaciones policiales, que no ofrece ninguna proteccin a los individuosyos de las bsquedas por parte de sus empleadores, padres y cnyuges.
Un breve panorama sobre la libertad de la Ley de Informacin

La libertad de EE.UU. de Informacin (FOIA) es una ley que garantice el acceso pblico a los registros del gobierno de Estados Unidos. Bajo la Ley de Libertad de Informacin de todas las agencias federales estn obligadas a divulgar los registros solicitados por escrito por cualquier persona. Sin embargo, las agencias pueden retener informacin PUR-suant a nueve exenciones previstas en el Estatuto. La FOIA se aplica slo a las agencias federales y no crse comi un derecho de acceso a los registros en poder del Congreso, los tribunales, o por agencias del gobierno estatal o local. Cada estado tiene sus propias leyes de acceso pblico que debe ser consultada antes de acceder a los registros estatales y locales. Si bien la FOIA ha abierto la puerta al intercambio de informacin entre el gobierno y el RPtor privado, tambin se ha convertido en uno de los mayores obstculos para conseguir el prtor privado a revelar el delito ciberntico informacin a organismos gubernamentales como el FBI. En su 03 2000 testimonio ante el Subcomit Senatorial de Tecnologas de la Informacin, Terrorismo y de Gobierno, Harris N. Miller, presidente de la Asociacin de Tecnologa de la Informacin AmRica, declar: "Las empresas se preocupan de que si el intercambio de informacin con el gobierno realmente se convierte en una calle de dos vas, solicitudes de la FOIA para obtener informacin que han proporcionado a la agencia podra resultar embarazoso y probablemente costosa. Muchos en la industria creen que la libertad de conFOIA preocupaciones es el obstculo ms formidable, y que una exencin para este tipo de intercambio de informacin es la nica opcin. "
Reporte violaciones a la seguridad de Aplicacin de la Ley

La reticencia de las vctimas de intrusiones en la red para informar a las autoridades de tales intrusiones es una amenaza considerable para el futuro de la seguridad de la red. Al encontrar a un hacker en su sistema, por ejemplo, los administradores de red a veces lo consideran suficiente para cis al intruso de la cuenta y el parche de la vulnerabilidad que originalmente permita el hacker para poder entrar. Esto es similar a patadas
Captulo 2: Aplicacin de la Ley relativas a consideraciones de
31
el hacker, luego de cerrar la puerta. Desafortunadamente, esto hace muy poco para ayudar con la seguridad en general. No slo es el intruso libres para intentar la hazaa en la misma red de otra compaa, l o ella puede haber sido SAwy suficiente para dejar atrs un puerta trasera a travs del cual Retumpara el sistema de explotacin ms tarde, sin ser detectado. Adems, otras con malas intenciones puede leamde la explotacin a travs de la comunidad hacker y debido a la falta de respuesta de aplicacin de la ley, participar en poner en peligro los sistemas informticos. Creer que un hacker est motivada nicamente por el deseo de demostrar sus destrezas de computacin, sin ninguna intencin real de daar, robar o estafar es ingenuo. Lo que puede parecer un truco simple, con un riesgo real de dao puede, de hecho, ser parte de un plan ms amplio para lanzar un ataque muy destructivo en contra de otros equipos sensibles. Los intrusos pueden poner en peligro numerosos sistemas, proceder a su recogida, como las tarjetas comerciales. Algunos piratas informticos utilizan las computadoras "robado" como trampoln para lanzar ataques contra otros ordenadores, el cierre de la prxima vctima, tomando la informacin del sistema, y utilizar los datos robados en los esquemas de extorsin, o para participar en un sinnmero de otros tipos de Yoconducta legal. Con cada compromiso, la seguridad de todas las redes se ha debilitado. Si las vctimas no denuncian este tipo de incidentes, la polica no puede dar una respuesta eficaz y adecuada. Los expertos del sector afirman que hay una gran variedad de motivos de la renuencia a informar comlos incidentes de seguridad informticos. Existe la percepcin por parte de algunas empresas que hay muy poco al revs de informar intrusiones en la red. Segn Richard P. Salgado, Abogado Litigante de la Seccin de Delitos Informticos y Propiedad Intelectual del Departamento de Justicia de EE.UU., la justificacin por no informar de un intrusin incluye lo siguiente: "La empresa vctima no sabe qu entidad del orden pblico a la calyo. Sin duda, las razones por las vctimas, el p local o estatalLos piojos no ser capaz de comprender el delito, y el Servicio Secreto y el FBI no tendra ningn inters en mi sistema. Si la compaa de la vctima no denunciar el intrusin de un organismo competente, la ley de hacer cumplir lascin no se va a actuar. En su lugar, el hecho de la intrusin, ser de conocimiento pblico, irremediablemente sacudiendo la confianza del inversor y el impulso de los clientes actuales y potenciales a los competidores que eligen no informar de las intrusiones. Si la polica acta sobre el informe y conductoress de una investigacin, la polica no se encuentra el intruso. En el proceso, sin embargo, la empresa perder el control de la investigacin. Los agentes policiales que aprovechen los datos crticos y las computadoras tal vez todo, daar el equipo y los archivos, el compromiso prVate informacin perteneciente a los clientes y proveedores, y ponen en grave peligro las operaciones normales de la empresa. Slo los competidores se beneficiarn los clientes de huir y valiosa de valorescae. Si la polica encuentra el intruso, el intruso probablemente sea un menor de edad, residir en un pas extranjero, o ambos, y el fiscal se reducir o ser incapaz de seguir el caso.
Si el intruso no es un menor, el fiscal concluye que la cuanta de los daos infligida por el intruso es demasiado pequeo para justificar el enjuiciamiento. Si la polica persigue con xito el intruso, el intruso recibir Proba-cin o en la crcel ms tiempo insignificante, slo para utilizar su experiencia para encontrar hackers la fama y un trabajo lucrativo en la seguridad de red. "
32
Salgado afirma adems que, aunque la lista anterior de las excusas puede parecer sorprendente, los obstculos a los informes pueden ser mseome mejor informados los propietarios de ordenadores de red y operadores, y hbiles prcticas de investigacin y enjuiciamiento. El riesgo que presenta, al no reportar las intrusiones es enorme. En el futuro previsible, las redes informticas son slo va a ser ms complejo, ms interconectado, y por lo tanto ms vulnerables a intrusiones. Las redes tambin se va a exigir ms importancia en nuestra prVate la vida, la defensa de nuestra nacin y la economa mundial. Por estas razones, es imperativo que las organizaciones y de individuosais entender la importancia la presentacin de informes intrusiones. Una de las ventajas ms notables de la cooperacin entre los prorganizaciones privadas del sector y los organismos de aplicacin de la ley es la distribucin ms rpida de informacin sobre las amenazas y las formas de contrarrestarlos. Por el contrario, las organizaciones de la prtor privado a veces encuentran que las llamadas en la aplicacin de la ley para invertirpuerta de un delito informtico puede dar lugar a lo siguiente: La prdida de la privacidad de su informacin personal La prdida de confianza de los consumidores Los ataques de represalia por parte del intruso Una paralizacin de la empresa como los agentes de la ley confiscar y revisar las pruebas Aunque ha habido intentos de aliviar los temores antes mencionados y promover iniciativas de cooperacin entre la polica y el RPtor privado, las vctimas de equipo intrusin siguen siendo reticentes a calyoen la aplicacin de la ley cuando un intrusin tiene OCeurred. En su discurso de apertura del 05 de abril 2000 Cumbre de la ciberdelincuencia, el Fiscal General, Janet Reno, abord estas cuestiones. Siguiente es un extracto de su discurso:
Aplicacin de la ley, como la industria, tiene sus deberes, sus herramientas y sus limitaciones. Como fiscal de casi el 15 aos en Miami, te puedo decir que s cmo intrusiva de una investigacin penal puede ser. He odo hablar de los banqueros mucho antes de que hablaba en trminos de herramientas cibernticas acerca de por qu no inform de un desfalco-cin, por qu no queran que aguantar a una investigacin criminal. Quiero sus opiniones, sus sugerencias-ciones acerca de lo que podemos hacer en cumplimiento de la ley para disear investigaciones que permitan alcanzar la verdad, que puedan hacerlo de acuerdo a los principyoes de la Constitucin y hacerlo con el menor trastorno posible a sus empresas. Le pedimos a la industria a reconocer que la polica tiene mucho que ofrecer para hacer de Internet un lugar seguro para sus negocios y clientes. Pero tambin reconozco que es difcil para el gobierno para atraer un nmero suficiente de personas que tienen tanto en la tcnica y el asesoramiento jurdico para hacer frente a las cuestiones crtico-cos los que nos enfrentamos. Me he sentido tan orgulloso de los funcionarios del Departamento de Justicia que han hecho tanto con recursos limitados, el equipo limitado. Y queremos trabajar con usted para entender mejor cmo podemos atraer a la gente, qu podemos hacer para retenerlos, cmo podemos trabajar con usted en asociaciones pblicoprivadas para alcanzar nuevas metas. Slos funcionarios de mayor jerarqua de la seccin del Departamento de Delitos Informticos se renen peridicamente con los representantes de los proveedores de servicios de Internet, empresas de telecomunicaciones, y otros a travs de grupo de informacin de la industria. El FBI Nacional del Centro de Proteccin de la Infraestructura y sus
escuadrones de delitos informticos han trabajado para desarrollar el Programa de Infragard en las comunidades de todo el pas, para construir relaciones. Y creo que las relaciones es lo que se trata. Hasta que el agente del FBI se sienta con su oficial de seguridad o de ofertas de uno en uno en trminos de una investigacin, las personas no se conocen entre s. Pero cuando tienen esa experiencia, cuando se tiene una buena relacin de trabajo, cuando se puede construir sobre una buena experiencia, se aprende mucho acerca de cmo podemos trabajar juntos. Me gustara utilizar

esta oportunidad para asegurarse de que lo hacemos de la manera ms eficaz posible. Tambin hemos iniciado reuniones peridicas con la aplicacin de la ley y el Consejo de Seguridad de la Alianza de Internet, un grupo industrial que incluye muchos de los ms grandes proveedores de Internet. Industria y aplicacin de la ley han hecho esfuerzos sinceros para cooperar y han logrado avances reales. La conferencia de hoy es otro paso en la direccin correcta. No estamos interesados en un enfoque de arriba hacia abajo. No sabemos mejor. Sabemos que la gente en el campo, el estado y la polica local, la industria puede decirnos lo que hay que hacer. Y podemos ofrecer un punto de vista que puede ser til, tambin. No queremos que la regulacin del gobierno invasor o un control de la Internet. Debemos reconocer que con la superposicin de reas de responsabilidad y control que se puede hacer mucho si definimos la funcin particular de cada uno. El prtor privado en ese sentido deberan tomar la iniciativa, creo que, en la proteccin de la seguridad de los sistemas informticos del sector privado. Debemos tomar la iniciativa en los sistemas de gobierno a favor de TECCIN. Y tenemos que compartir informacin acerca de las vulnerabilidades de manera que cada uno puede tomar medidas para proteger nuestros sistemas contra los ataques. Una vez que los sistemas han sido vctimas, las autoridades deben tomar la delantera en la investigacin de la red y otros delitos informticos. Tenemos que asegurarnos de que tenemos las herramientas tcnicas y legales necesarias para hacerlo. Tambin queremos asegurar que tenemos la informacininformacin y la cooperacin continua necesaria para invertir de manera eficazcompuerta estos casos. Siempre teniendo en cuenta que la vctima est preocupado por la confidencialidad, que la vctima est preocupado por la intrusi n del proceso de aplicacin de la ley en su negocio, tenemos que disear un enfoque que puede ser eficaz. Estos son los temas que nos enfrentamos conjuntamente. Esta es una oportunidad para hablar directamente, pero an as tenemos otro desafo. Qu sucede cuando se aprende la informacin sobre un tema en particular que si se vincula con otras diez personas o diez informacin de las empresas de otros indica una amenaza real para la seguridad nacional o una amenaza real a la Internet o de una amenaza real para la empresa? Cmo podemos desarrollar la confianza que nos permita compartir la informacin? Si compartimos la informacin, cmo podemos desarrollar un proceso que nos va a proporcionar un procedimiento para una alerta temprana a todos los interesados para evitar un mayor perjuicio a todos los interesados sin necesidad de interrumpir o interferir en sus procesos de negocio?
En su discurso, Reno sostuvo que con el fin de equilibrar los derechos constitucionales como la privacidad y la libertad de expresin con la seguridad y la seguridad, ACila relacin en s debe ser forjado entre la polica y prVate industria. Como hemos visto sin embargo, las organizaciones suelen ser reacios a calyoen la aplicacin de la ley por temor a la prdida de datos confidenciales o la publicidad negativa. Sin embargo, es slo cuando el delito ciberntico es trado a la atencin de aplicacin de la ley por las empresas y otros vctimas que las medidas efectivas se pueden tomar para combatirlo.
Problemas de intercambio de informacin en investigaciones
de delitos informticos
Individuosais y organizaciones de la prdel sector privado suelen ser las primeras vctimas de cdigos maliciosos y hackers. Si bien este es un hecho lamentable, las agencias de aplicacin de la ley siempre se benefician cuando el prVate acciones del sector de sus conocimientos y experiencia con ellos. En las agencias informativas del gobierno, tales como la Seccin de Delitos Informticos y Propiedad Intelectual del Departamento de Justicia de EE.UU. (www.cybercrime.gov)y el Centro de Proteccin de Infraestructura Nacional (www.nipc.gov)recolectada de forma rutinaria la inteligencia de la industria en un esfuerzo para ayudar a resolver los casos de delitos informticos y la prevenir las futuras.
34
Como se mencion anteriormente en este captulo, las organizaciones a menudo se concemed que la informacin compartida con el gobiemcin podra hacerse pblico. En su testimonio de marzo de 2000, Harris Miller Asimismo, opin lo siguiente:
Las empresas son reticentes a compartir informacin sensible acerca de las prcticas de prevencin propio, intrusiones, y los crmenes reales, ya sea con Govemagencias de desarrollo o de los competidores. El intercambio de informacin es una propuesta arriesgada con menos de beneficios claros. Ninguna empresa quiere salir a la superficie la informacin que le han dado la confianza de que pueden poner en peligro su posicin en el mercado, las estrategias, la base de clientes, o las inversiones de capital. o que corren el riesgo voluntariamente se abre a un litigio ficticio, pero costoso y consume mucho tiempo. Liberar la informacin sobre las violaciones de seguridad o vulnerabilidades de los lazos en sus sistemas slo presenta tales riesgos. La publicidad negativa o la exposicin como resultado de los informes de violacines de infraestructura de informacin puede llevar a las amenazas a los inversores - o peor - la confianza del consumidor en los productos de la empresa. Asimismo, las empresas temen revelar secretos comerciales a los competidores, y son comprensiblemente reacios a compartir informacin de propiedad. Tambin temen compartir esta informacin, en particular con Govemambiente, puede conducir a una mayor regulacin de la industria o del comercio electrnico en general. Estas concems son relevantes si estamos hablando de entre la industria, la cruz de la industria, o de la industria / Govemcin de intercambio de informacin. Combine esto con una histricaelas empresas la falta de confianza hacia la aplicacin de la ley, o la preocupacin de que los sistemas de la empresa puede llegar a ser atrapado en una investigacin y por lo tanto pierden la produccin / tiempo de desarrollo, y muchos les resulta ms fcil guardar silencio y absorber el dolor infligido por intrusiones, incluso a un costo sustancial. Tambin sera negligente si no recuerdan el comit de la necesidad de una compaa para proteger la privacidad de los clientes individuales. Los temores de la industria que las violaciones de privacidad de los clientes inocentes inadvertidamente oceur durante las investigaciones. Pocas empresas de alta tecnologa est interesado en ser percibida por sus clientes como los agentes activos de la aplicacin de la ley. Agencias, por su parte, se ve a menudo como exige este tipo de informacin de la prtor privado, pero devolviendo poco a cambio. Permtanme ser franco. El intercambio de informacin no puede ser una calle de sentido nico.
Bajo la Ley de Libertad de Informacin, la informacin tal como la magnitud de los daos causados por una infeccin de virus o hackers incidente as podra llegar a ser pblica, daando la reputacin de una organizacin, y ayudar a la competencia como un efecto secundario. Al compartir los detalles de un ataque con la polica agenciasCIES, las organizaciones pueden aumentar sus probabilidades de detectar y reducir las amenazas de los ciber-criminales actividad. El actual sistema legal de EE.UU. hace que sea complicado y difcil de compartir informacin sobre intrusin de los casos antes de que los arrestos se puede hacer. Para hacer frente a conce privacidadms, la informacin es que se debe preservar, clasificar y protegido, y todo lo que sea posible se debe hacer para asegurarse de que la informacin llegue slo a las
manos adecuadas. Los datos confidenciales (por ejemplo, registros financieros personales y mdicos) son rutinariamente transferidos a travs de una serie de sistemas de informacin. Hay muchas maneras para salvaguardar esta informacin y garantizar que slo aquellos que necesitan saber que acceder a l y, a continuacin slo en cantidades limitadas.
El papel del Centro de Proteccin de la Infraestructura Nacional

El Centro Nacional de Proteccin de la Infraestructura (NIPC) se estableci en la primera parte de 1998, con el propsito de servir como centro del gobierno de EE.UU. para la evaluacin de la amenaza, advertencia, inves tigacin-, y respuesta a amenazas o ataques contra nuestras infraestructuras crticas de informacin. Estas infraestructuras incluyen la banca, telecomunicaciones, energa, sistemas de agua, el gobierno de la pera ciones, y los servicios de emergencia. Lo que sigue es una lista de las funciones del NIPC como se describe en su Sitio web (www.nipc.gov): La NIPC es el punto focal nacional para la recopilacin de informacin sobre las amenazas a las infraestructuras crticas, as como el medio principal de facilitar y coordinar la respuesta del gobierno federal a un incidente, mitigar los ataques, la investigacin de las amenazas, y seguimiento de los esfuerzos de reconstitucin. La NIPC incluye investigadores y analistas con experiencia en delitos informticos y la proteccin de la infraestructura. Est vinculado electrnicamente al resto del gobierno federalcin, incluida la alerta y otros centros de operacin, as como prtor privado Intercambio de informacin y anlisis de los Centros (ISAC). La NIPC proporciona la aplicacin de la ley y la informacin de inteligencia y los informes pertinentes a los federales, estatales y locales, as como prdel sector privadoISAC. Antes de la difusin de dicha informacin, el NIPC se coordina con la comunidad de inteligencia para proteger a intereses de seguridad nacional. Cuando se detecta una condicin de amenaza cada vez mayor, los problemas NIPC atacar a las advertencias y orientaciones de proteccin a la prdel sector privado-ISAC y los propietarios y operadores de equipo sistemas. La NIPC combina los esfuerzos de la aplicacin de la ley, la inteligencia y las comuni-dades de defensa. Por la combinacin de esfuerzos, el INCP puede proporcionar una perspectiva nica respuesta a la amenaza y la informacin obtenida de la investigacin de incidentes, la recopilacin de inteligencia, Enlace con el Exterior, y prVate cooperacin con el sector. Esta perspectiva se asegura de que toda la informacin se analiza desde una punto de vista multidisciplinar. Durante el desarrollo de las capacidades de proteccin de la infraestructura, el NIPC ha mantenido firme en dos principios rectores. "En primer lugar, el gobierno slo puede responder con eficacia a las amenazas, centrndose en la proteccin de activos contra el ataque al mismo tiempo identificar, investigar y responder a aquellos que, no obstante se intenta o tener xito en el
lanzamiento de esos ataques. Y en segundo lugar, el gobierno slo puede ayudar a proteger las infraestructuras ms importantes de este pas mediante la construccin y la promocin de una coalicin de confianza, una. . . entre todos los organismos del gobierno, dos. . . entre el gobierno y la prtor privado, tres. . . entre los intereses de negocio de la prtor privado en s, y cuatro. . . en concierto con la mayor comunidad internacional. "El enfoque de la NIPC es desarrollar la capacidad de advertir, invertirpuerta, y crear asociaciones, as como iniciar la efectiva respuestas a incidentes de seguridad informtica.
36
Entendimiento Revelacin y Descubrimiento

Las computadoras y la gran variedad de redes que los conectan se han convertido en indispensable para el buen funcionamiento de las empresas, gobierno, e incluso en nuestra propia vida. Cada vez ms, la revelacin y el descubrimiento implica datos que se generan por las computadoras, almacenada en las computadoras, o slo puede ser descifrado por los ordenadores. La divulgacin y el descubrimiento de dos procedimientos jurdicos distintos. El proceso de descubrimiento se produce durante el perodo en que un caso judicial pendiente. Tanto el demandante y el demandado partes determinar cules son los temas de su caso y qu evidencia existe de que se relaciona con el caso. Las normas de revelacin previstas exigen que cada parte afirmativamente a revelar todos los hechos y testigos de los que tengan conocimiento, ya sea beneficioso o perjudicial para su caso-a la oposicin partido. Divulgacin electrnica es la revisin y produccin de material probatorio recuperado de formatos electrnicos. Esto puede incluir mensajes de correo electrnico, documentos de procesamiento de textos, hojas de clculo, bases de datos y presentaciones. Estos datos pueden ser almacenados o que se encuentran en medios porttiles (por ejemplo, disquetes, discos compactos y cintas), discos duros, los datos residuales (por ejemplo, los datos eliminados), organizadores personales (tales como Palm Pilots), telfonos mviles, y personal de los empleados computadoras. Papel ya no es la nica fuente de pruebas documentales o de texto. De hecho, muchos de los documentos que se crean hoy en da existen slo en formato electrnico (digital). Esto ha hecho que la divulgacin de papel casi arcaico. Sin embargo, la revelacin y el descubrimiento de evidencia informtica en los procesos civiles presenta algunos problemas especficos que evidencian el papel no lo hara. Entre los ms comunes dificultades son La localizacin y el volumen de datos La preservacin de la titular de los datos para el descubrimiento Recuperacin de documentos que han sido eliminados de los ordenadores Recuperar incrustados mensajes de correo electrnico La realizacin de una inspeccin in situ La necesidad de contratar la asistencia de expertos En este mundo cada vez mayor de la dependencia digital, muchos mensajes de correo electrnico y documentos de procesadores de textos nunca son totalmente eliminados. Por el contrario, continuaa residir en algn lugar en el disco duro del usuario. Al pulsar Supr del teclado del ordenador, no son en realidad destruir el documento. o ests tirando el documento cuando lo coloca en la papelera de reciclaje de su computadora o de vaciar la Papelera (sistemas Windows y Mac). En su lugar, simplemente ha suprimido las "Instrucciones" que el equipo usa
para encontrar los datos. Los datos reales se mantiene hasta que llegan nuevos datos a lo largo y sobrescribe.
Captulo 6 cubre el anlisis y recuperacin de datos en detalle.
37
Los sistemas operativos, dispositivos de almacenamiento de datos, y nuestra capacidad para acceder a distancia continua de datospara evolucionar, lo que oblig procedimientos electrnicos de divulgacin para evolucionar tambin. La idea de abordar estas cuestiones y hacerlo correctamente puede convertirse rpidamente en enormes proporciones. Es importante darse cuenta sin embargo, que ayuda profesional calificado est disponible para ayudar en el proceso de divulgacin electrnica. Para comprender mejor la ley de divulgacin actual, a continuacin se presenta el Ttulo 18, Parte I, Captulo 121, Seccin. 2702 del Cdigo Penal Federal en lo que respecta a la divulgacin de informacin de la computadora:
La divulgacin de contenidos
(A)Prohibiciones. Salvo lo dispuesto en el inciso (b) 1. una persona o entidad que presta un servicio de comunicaciones electrnicas al pblico a sabiendas no divulgar a ninguna persona o entidad el contenido de una comunicacin, mientras que en almacenamiento electrnico por dicho servicio, y 2. una persona o entidad que presta servicio de computacin remoto al pblico a sabiendas no divulgar a ninguna persona o entidad el contenido de cualquier comunicacin que se realiza o mantenido en ese servicio A. en nombre de, y recibida por los medios de transmisin electrnica de (o creados por mediante el tratamiento informtico de las comunicaciones recibidas por medio de la electrnica transmisin de), un suscriptor o un cliente de dicho servicio, y B. el nico fin de proporcionar servicios de almacenamiento o procesamiento de la computadora, a tal abonado o cliente, si el proveedor no est autorizado a acceder a los contenidos de los este tipo de comunicaciones con fines de prestacin de algn servicio que no sean de almacenamiento o tratamiento informtico, y 3. un proveedor de servicio de computacin remoto o servicio de comunicacin electrnica a la pblico no podrn divulgar a sabiendas un expediente u otra informacin relativa a un subconjunto prescriptor o cliente de este servicio (no incluye el contenido de las comunicaciones refiere el apartado 1 o 2) a cualquier entidad gubernamental. (B) Excepciones. Una persona o entidad podr divulgar el contenido de una comunicacin 1. a un destinatario destinatario o destino de la comunicacin o de un agente de tal destinatario o destinatario; 1. lo autorizado en la seccin 2517, 2511 (2) (a), o 2703 de este ttulo; 2. con la autorizacin legal del originador o un receptor destinatario o destino de la
comunicacin, o al abonado en el caso de servicio de computacin remoto; 3. a un trabajador por cuenta ajena o autorizado, o cuyas instalaciones se utilizan para reenviar tales comunicacin a su destino; 4. como puede ser necesariamente de la entrega del servicio o para la proteccin del derechos o la propiedad del proveedor de dicho servicio, o 2. a una agencia de aplicacin de la ley -
38
Respuesta a Incidentes: Computer Toolkit Forense A. si el contenido (i) se obtuvieron de manera involuntaria por el proveedor de servicios, y parece (II) pertenecer a la Comisin un delito, o B. si lo requiere la seccin 227 de la Ley de Control de la Delincuencia de 1990 [42 USCA S 13032]; o C. si el proveedor cree razonablemente que una emergencia que involucre un peligro inmediato de la muerte o lesiones corporales graves a cualquier persona que requiere la revelacin de la informacin sin demora.
(C) Excepciones para la divulgacin de los registros de clientes. Un proveedor se describe en el inciso (a) podr divulgar un registro u otra informacin relativa a un suscriptor o un cliente de dicho servicio, sin incluir el contenido de comunicaciones cubiertos por el inciso (a) (l) O (a) (2) 1. lo autorizado en la seccin 2703; 2. con la autorizacin legal del cliente o suscriptor; 1. como puede ser necesariamente de la entrega del servicio o para la proteccin del derechos o la propiedad del proveedor de ese servicio; 2. a una entidad gubernamental, si el proveedor cree razonablemente que una emergencia que involucre un peligro inmediato de muerte o serio dao fsico a cualquier persona que justifique la divulgacin de la informacin, o 3. a cualquier persona que no sea una entidad gubernamental. Debido a la aplicacin universal generalizada de ordenadores, basado en el descubrimiento y la revelacinque se ha convertido en lugar comn en los litigios civiles. Mientras lo hace de muchas maneras prometen simplificar la preparacin del juicio y la presentacin, es complicado, y como tal, tambin tiene el potencial para aumentar dramticamente los costos relacionados con este tipo de litigios. Por ordenador basada en el descubrimiento y la revelacin puede ser costoso, como resultado de la mano de obra que debe ser aportado por los expertos contratados en el campo. La mayora de los observadores creen que, a pesar de sus costos, por ordenador basada en el descubrimiento con el tiempo superar el descubrimiento convencional, como ms y ms informacin est habitualmente genera, transmite, Ted, y se almacena en las computadoras. Muchos de los costos asociados con la informtica basada en el descubrimiento se puede evitar mediante una adecuada gestin del proceso de descubrimiento, as como la deteccin precoz de posibles problemas y sus soluciones.
Delitos Federales de informtica y leyes

El FBI estima que la gran mayora de las intrusiones informticas no se detectan y los que se
detectan no se notifican. La razn principal para que los ataques pocos son denunciados por las organizaciones es el temor de que los empleados, clientes y accionistas perdern la fe en la organizacin si admiten que sus sistemas han sido atacados. No todo el equipo los robos pueden ser considerados delitos federales. En general, un delito informtico rompe las leyes federales cuando se trata de uno de los siguientes: El robo o el compromiso de la defensa nacional, relaciones exteriores, energa atmica, o de otro tipo informacin restringida Un equipo de propiedad de un gobierno de los EE.UU. departamento o agencia
Captulo 2: Aplicacin de la Ley relativas a consideraciones de A tipos de bancos u otras instituciones financieras de la mayora Interestatal o internacional de comunicaciones Las personas o equipos de otros estados o pases
39
En los Estados Unidos, hay numerosas leyes federales que protegen contra los ataques a las computadoras, el uso indebido de contraseas, las invasiones de la privacidad electrnica, y las transgresiones de otros ciber. Una de las eta-est proyectos de ley orientados hacia el mundo ciberntico fue la Ley de Fraude y Abuso de 1986. Esta pieza central de la legislacin regula los delitos informticos ms comunes, aunque muchas otras leyes tambin pueden ser utilizadas para procesar diferentes tipos de delitos informticos. El acto modific el Ttulo 18 del Cdigo de los Estados Unidos 1030. Esta ley fue diseada para complementar la Electronic Communications Privacy Act de 1986, que sirvi para prohibir la interceptacin no autorizada de las comunicaciones digitales. Las Enmiendas de abuso informtico ley de 1994 ampli la ley de 1986 para hacer frente a la transmisin de virus y otros cdigos dainos. Ms recientemente, la Ley Patriota de EE.UU. de 2001 (ms adelante en este captulo) hizo otros cambios radicales en las leyes federales sobre delitos informticos.
La Ley de Fraude y Abuso de 1986

El 16 de octubre de 1986, el presidente Reagan firm la ley de la Ley de Fraude y Abuso, que recibi un apoyo abrumador de la Cmara, el Senado y el Departamento de Justicia. La ley fue aprobada con la intencin de aclarar las definiciones de fraude criminal y abuso de los delitos informticos federales y fue diseado para ayudar a eliminar algunas de las ambigedades legales y los obstculos para perseguir los delitos informticos. Tambin estableci nuevos delitos graves para el acceso no autorizado de "inters federal" ordenadores e hizo que el trfico no autorizado en las contraseas de una computadora por delitos menores. El siguiente es el texto de la Ley de Fraude y Abuso de 1986, acto en su forma original:
Equipo de Fraude y Abuso de la ley de 1986 (EE.UU.) 18 USC 1030

(A) Quien 1. a sabiendas, tiene acceso a una computadora sin autorizacin o excede el acceso autorizado, y por medio de tal conducta obtiene la informacin que ha sido determinado por el Gobierno de Estados Unidos en virtud de una Orden Ejecutiva o estatuto que requiera proteccin contra su divulgacin no autorizada por razones de defensa nacional o las relaciones exteriores, o cualquier otro dato restringidas, tal como se define en el apartado r. del artculo 11 de la Ley de Energa Atmica de 1954, con la intencin o el motivo para creer que dicha informacin as obtenida se va a utilizar a la lesin de los Estados Unidos, o en beneficio de una nacin extranjera;
2. intencionalmente acceso a una computadora sin autorizacin o excede el acceso autorizado, y por lo tanto obtiene la informacin contenida en un registro financiero de una institucin financiera-cin, o de un emisor de la tarjeta tal como se define en la seccin 1602 (n) del Ttulo 15, o contenida en un archivo de una agencia de informacin de un consumidor, ya que dichos trminos se definen en la Feria Credit Reporting Act (15 USC 1681 et seq.);
Respuesta a Incidentes: Computer Toolkit Forense 3. intencionalmente, sin autorizacin para acceder a cualquier ordenador oun departamento o agencia de los Estados Unidos, tiene acceso a un ordenador de ese departamento o agencia que es para el uso exclusivo del Gobierno de los Estados Unidos o, en el caso de un ordenador no exclusivamente para tal uso, es utilizado por o para el Gobierno de los Estados Unidos y tal conducta afecta a la utilizacin de la operacin por el Gobierno de dicho equipo; 4. a sabiendas y con intencin de defraudar, acceso a una computadora de inters federal, sin autorizacin, o excede el acceso autorizado, y por medio de esta conducta fomenta el fraude previsto y se obtiene algo de valioso, A menos que el objeto del fraude y el Lo obtenido consiste nicamente en el uso del ordenador; 5. intencionalmente acceso a un equipo de inters federal, sin autorizacin y por medio de uno o ms casos de este tipo de conducta se altera, daos, o destruye la informacin en cualquier computadora de inters federal, o la prevencins autorizado el uso de cualquier equipo, tales o informacin, y por lo tanto A. provoca la prdida de uno o ms otros de una valiosala agregacin de $ 1,000 o ms durante cualquier perodo de un ao, o B. modifica o altera, o potencialmente modifica o altera el examen mdico, diagnstico mdico, tratamiento mdico o la atencin mdica de uno o ms individuosais; o 6. a sabiendas y con intencin de defraudar a los trficos (como se define en la seccin 1029), en cualquier contrasea o informacin similar a travs del cual se puede acceder a un ordenador sin autorizacin, siA. la trata afecta al comercio interestatal o extranjero, o B. equipo se utilice por o para el Gobierno de los Estados Unidos, ser sancionado conforme a lo dispuesto en el inciso (c) de esta seccin. (b) Quien intente cometer un delito en virtud del inciso (a) de esta seccin, ser castigado conforme a lo dispuesto en el inciso (c) de esta seccin. (c) El castigo por un delito previsto en el inciso (a) o (b) de esta seccin es 1. (A) una multa bajo este ttulo o encarcelamiento por no ms de diez aos, o ambos, y en el caso de un delito previsto en el inciso (a) (1) de esta seccin que no se produce despus de una condena por otro delito en virtud del inciso como o un intento de cometer un delito punible en virtud de este prrafo, y (B) una multa bajo este ttulo o encarcelamiento por no ms de veinte aos, o ambos, en el caso de un delito previsto en el inciso (a) (l) De esta seccin que se produce despus de una condena por otro delito en virtud del inciso tal, o un intento de cometer un delito punible en virtud de este prrafo, y 2. (A) una multa bajo este ttulo o encarcelamiento por no ms de un ao, o ambos, en el caso de un delito previsto en el inciso (a) (2), (a) (3), o (a) (6) de la esta seccin que no se produce despus de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un
delito punible en virtud de este prrafo, y (B) en una multa bajo este ttulo o encarcelamiento por no ms de diez aos, o ambos, el caso de un delito previsto en el inciso (a) (2), (a) (3), o (a) (6) de esta seccin que se produce despus de una condena por otro delito en virtud de dicha subseccin,cin, o la tentativa de cometer un delito punible en virtud de este prrafo, y
41
3. (A) una multa bajo este ttulo o encarcelamiento por no ms de cinco aos, o ambos, en el caso de un delito previsto en el inciso (a) (4) o (a) (5) de esta seccin que no se produce despus de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un delito punible en virtud de este prrafo, y (B) una multa bajo este ttulo o encarcelamiento por no ms de diez aos, o ambos, en el caso de un delito previsto en el inciso (a ) (4) o (a) (5) de esta seccin que se produce despus de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un delito punible en virtud de este prrafo. (d) El Servicio Secreto de Estados Unidos deber, adems de cualquier otra agencia que tenga dicha autoridad, tienen la autoridad para invertirdelitos de puerta en esta seccin. Dicha autoridad del Servicio Secreto de Estados Unidos se ejercern de conformidad con un acuerdo, que deber ser suscrito por el Secretario de Hacienda y el Fiscal General. (e) Tal como se utiliza en esta seccin 1. el trmino "equipo" se refiere a un sistema electrnico, magntico, ptico, electroqumica, u otros datos de alta velocidad de procesamiento del dispositivo de realizar aritmtica lgica, o las funciones de almacenamiento, e incluye a cualquier instalacin de almacenamiento de datos o la facilidad de comunicaciones directamente relacionadas o que operan en conjuncin con tales dispositivo, pero dicho trmino no incluye un automatizada mquina de escribir o tipografa, una calculadora de mano porttil, u otro dispositivo similar; 2. el trmino "computadora de inters federal" significa que una computadoraA. exclusivamente para el uso de una institucin financiera o del Gobierno de Estados Unidos, o, en el caso de un ordenador no exclusivamente para tal uso, utilizada por o para una institucin financiera la Constitucin o el Gobierno de Estados Unidos y la conducta constitutiva del delito afecta a la utilizacin de la institucin financieraLa operacin 's u operacin del Gobierno de ordenador tales, o B. que es uno de dos o ms equipos utilizados en la comisin del delito, no todos que se encuentran en el mismo Estado; 3. el trmino "Estado" incluye el Distrito de Columbia, el Commonwealth de Puerto Rico, y cualquier otra posesin o territorio de los Estados Unidos; 4. el trmino "institucin financiera" significa A. una institucin con depsitos asegurados por la Federal Deposit Insurance Corporation; B. la Reserva Federal o un miembro de la Reserva Federal incluyendo cualquier Federal Banco de la Reserva;
C. una universidad de crditon con las cuentas aseguradas por la Universidad Nacional de Crditon Administracin; D. un miembro del sistema de Federal Home Loan Bank y cualquier banco de prstamo hipotecario; E. cualquier institucin del Sistema de Crdito Agrcola bajo la Ley de Crdito Agrcola de 1971; F. un corredor-agente registrado con la Securities and Exchange Commission de conformidad con el artculo 15 de la Securities Exchange Act de 1934, y G. la Securities Investor Protection Corporation;
Respuesta a Incidentes: Computer Toolkit Forense 5. el trmino "registros financieros", la informacin derivada de cualquier registro en poder
de una institucin financiera perteneciente a la relacin del cliente con la entidad 6. financiera; el trmino "excede el acceso autorizado" significa tener acceso a un ordenador con la autorizacin y el uso de dicho acceso para obtener o modificar la informacin en la computadora que el accesser no tiene derecho para obtener o modificar, y 7. el trmino "departamento de los Estados Unidos" significa que el poder legislativo o judicial del gobierno o de uno de los departamentos ejecutivos enumerados en la seccin 101 del ttulo 5.
(F) Esta seccin no prohbe cualquier actividad que est autorizado legalmente investigacin, proteccin, o la inteligencia de una agencia de aplicacin de la ley de los Estados Unidos, un Estado, o una poltica subdivisin de un Estado, o de una agencia de inteligencia de los Estados Unidos. Como se puede ver, la legislacin ha sido cuidadosamente diseado para hacer frente a slo federales e interestatales delitos informticos. Este naci de la preocupacin de que el acto podra vifinales de cada estado las leyes de delitos informticos. Segn la ley, una computadora de inters federal, es "exclusivamente para el uso de una institucin financiera o del Gobierno de Estados Unidos, o, en el caso de un ordenador no exclusivamente para tal uso, utilizada por o para una institucin financiera o el Reino Unido Gobierno de los Estados, y la conducta constitutiva del delito afecta a dicho uso, o que es una de dos o ms equipos utilizados en la comisin del delito, no todos de los cuales se encuentran en el mismo Estado. "Las instituciones financieras cubiertas por el acto especficamente incluyen el seguro federal bancos, cajas de ahorro y cooperativas de crdito, corredores de bolsa registrados, miembros del Sistema Federal Home Loan Bank, la Administracin de Crdito Agrcola y el Sistema de Reserva Federal. Una condena por un delito bajo la Ley de Fraude y abuso puede resultar en una pena de prisin de cinco aos por una primera ofensa y diez aos por un segundo-delito OND. La Ley de Fraude y Abuso de 1986 carne acerca el resultado de aos de investigacin y discusin entre aquellos en la comunidad legislativa. Una de las principales razones de la demora del acto fue la enorme dificultad en la recoleccin de testimonios de las vctimas de delitos informticos. Las organizaciones han sido (y continuaser) muy reticentes a admitir que haban sido vctimas, ya que estaban preocupados por tener sus vulnerabilidades publicidad.
Las Enmiendas de abuso informtico Ley de 1994

Ya en la dcada de 1980 pantallas de ordenador fueron en gran medida basado en texto con monitores monocromticos. Sin embargo, los chips de ordenador "guerras" de la dcada de 1990 cambi todo eso. La dcada de 1990 vio avances exponenciales en la potencia de los ordenadores personales y la capacidad, permitiendo a los ordenadores personales para manejar aplicaciones de grficos ms complejos. Una importante aplicacin grfica que cambi el mundo de la comcomputadoras fue el navegador Web. Con su punto y haga clic en la
interfaz y facilidad de uso, el navegador de Internet ayud a marcar el comienzo de la revolucin de Internet. Con ms y ms individuosais, y las organizaciones de compras en Internet y los equipos habilitados para descubrir y explorar el Internet, la nueva legislacin era necesaria para mantenerse al da con el paisaje equipo en constante cambio. Al darse cuenta de la insuficiencia de la Ley de Fraude y Abuso de 1986, un nuevo crimen mil millonesllamado el abuso informtico Ley de Enmiendas de 1994 se convirti en ley. Las enmiendas, que son una extensificacinn de la Ley de Fraude y abuso, de manera significativa
43
aumentar las posibilidades de procesar con xito a los piratas informticos al cambiar la norma de "intencin" de causar dao al "desprecio temerario" y haciendo frente a la transmisin de viruncdigo malicioso y otras sesiones. Adems, mientras que las leyes anteriores, slo protegidos "federales de inters computa-res" (mquinas pertenecientes a una agencia gubernamental o empresa de servicios financieros), las nuevas normas cubren los equipos "utilizados en el comercio interestatal", es decir cualquier PC conectado a Internet.
La Ley Patriota de EE.UU. de 2001

Los trgicos acontecimientos del 11 de septiembre de 2001 se demostr que los Estados Unidos no es inmune a los ataques terroristas. Esta Ley Patriota de EE.UU. de 2001, tambin conocida como la unin y fortalecimiento de AmRica por los instrumentos adecuados necesarios para interceptar y Obstruir el Terrorismo de 2001, se convirti en ley el 26 de octubre de 2001 por el presidente George Bush. El acto se elabor con rapidez por la administracin Bush como parte del compromiso del gobierno de EE.UU. para encontrar y eliminar el terror-istas. La legislacin, que contiene varias disposiciones que afectan directamente a la tecnologa de la informacin, se origin con el Fiscal General, John Ashcroft, quien pidi al Congreso poderes adicionales que, segn l eran necesarios para luchar contra el terrorismo a raz de los acontecimientos del 11 de septiembre de 2001. Pocas modificaciones se hicieron a la propuesta inicial de Ashcroft al Congreso, y mil millones de lase convirti en ley sin ningn tipo de audiencias o de marcado por un comit del Congreso. La Ley Patriota de EE.UU. da a los funcionarios federales de mayor autoridad para rastrear e interceptar comunicaciones de, tanto para la aplicacin de la ley y extranjeros con fines de inteligencia. It confiere al Secretario de Hacienda dispone de competencias normativas para combatir la corrupcin de las instituciones financieras de Estados Unidos para los extranjeros con fines de blanqueo de dinero. La ley tambin intenta dar una mayor ciEstados Unidos de Se fronteras a terroristas extranjeros conocidos-tas y de detener y expulsar a los que estn dentro de las fronteras de Estados Unidos, y reconoce nuevos delitos, nuevas penas y nuevas eficiencias de procedimiento para el uso contra los terroristas nacionales e internacionales. Aunque no es, sin garantas, los crticos sostienen que algunas de sus disposiciones van demasiado lejos. Aunque la Ley Patriota de EE.UU. otorga a muchas de las mejoras solicitadas por el Departamento de Justicia, los dems son preocupa que no va lo suficientemente lejos. Entre las disposiciones ms importantes y generales de la Ley Patriota de EE.UU., son medidas que Permita que la detencin indefinida de los no ciudadanos que no son terroristas en materia de visados menor violacines si no pueden ser deportados porque no tienen estado, su pas de origen se niega a aceptar, o debido a que sera sometido a tortura en su pas de origen. Minimizar judicial supervisin de telfono federales y la vigilancia en Internet por la ley las autoridades competentes. Ampliar la capacidad del gobierno para llevar a cabo bsquedas secretas. Dar el fiscal general y el secretario de Estado el poder de des-gnate grupos nacionales como organizaciones terroristas y deportar a cualquier extranjero que les pertenece a
ellos. Conceder el acceso a los registros del FBI amplio confidenciales de la empresa acerca de individuosais sin tener que mostrar evidencia de un crimen. Dar lugar a investigaciones en gran escala de los ciudadanos estadounidenses para fines de "inteligencia". La Ley Patriota de EE.UU. modificado ms de 15 leyes federales, incluyendo las leyes que rigen la comunidadordenador fraude y el abuso, el procedimiento penal, las escuchas telefnicas, la inteligencia extranjera y la inmigracin.
44
Estos Amnuncineampli la autoridad del FBI y otras agencias federales de aplicacin de la ley para tener acceso a las empresas, los registros mdicos, educativos, y la biblioteca, incluyendo los datos almacenados y de las comunicaciones electrnicas. Tambin ampli las leyes que rigen las escuchas telefnicas y de atrapar y traza los dispositivos de telefona a Internet y las comunicaciones electrnicas. Estos procedimientos de vigilancia mejoradas son las que presentan el mayor desafo a la privacidad y confidencialidad de los datos electrnicos.
Para ver un resumen de los cambios importantes introducidos por la Ley Patriota de EE.UU. de 2001 que se refieren a comla delincuencia ordenador y pruebas electrnicas, vea el Apndice C.
Resumen del captulo

Durante la ltima dcada, las computadoras e Internet han llegado a desempear un papel fundamental en muchas de las vidas de nuestros ciudadanos. Cada da, millones de personas en todo el mundo conectarse a la Internet, donde navegar por la Web, enviar y recibir mensajes de correo electrnico, o realizar transacciones de comercio electrnico y actividades. Por desgracia, los malhechores tampoco se han dejado la revolucin del ordenador pasar por ellos. Cuando comproting sus crmenes, un nmero creciente de criminais ahora aprovechar el uso de dispositivos de alta tecnologa, como localizadores, telfonos celulares, computadoras porttiles e Internet. Por ejemplo, el Internet puede ser utilizado para distribuir rpidamente virunses o para lanzar ataques de Denegacin de Servicio (DoS) contra las redes de ordenadores vulnerables. No es raro que los traficantes de drogas o las armas a usar las computadoras para mantener una base de datos-base de sus operaciones ilcitas. Segn el Departamento de Justicia de EE.UU. en un boletn de julio de 2002, Bsqueda y embargaron computadoras y obtencin de pruebas electrnicas en las investigaciones penales, "El espectacular aumento de la delincuencia informtica exige a los fiscales y agentes de aplicacin de la leyepara entender cmo obtener evidencia electrnica almacenada en las computadoras. Los registros electrnicos, tales como los registros de la red de computadoras, correos electrnicos, archivos de procesadores de texto y los archivos '. Jpg' de imagen, cada vez ms proporcionar al gobierno importante (ya veces esenciales) las pruebas en casos criminales. El propsito de esta publicacin es proporcionar a agente federal aplicacin de la leyey los fiscales con orientacin sistemtica que les ayuden a entender las cuestiones legales que surgen cuando se buscan las pruebas electrnicas en las investigaciones criminales. " Punto claveecubiertos en este captulo son La Cuarta Enmienda y su papel en la investigacin de delitos informticos Por qu la Ley de Libertad de Informacin sirve como elemento de disuasin a denunciar los delitos informticos Las ventajas y desventajas de informar e involucrar a la polica en el ciber-la
investigacin de delitos Los beneficios y los aspectos jurdicos del intercambio de informacin La funcin del Centro de Proteccin de la Infraestructura Nacional en la lucha contra el delito ciberntico La importancia de las leyes federales sobre delitos informticos y su importancia en medicina forense exmenes Comprender la divulgacin y el descubrimiento en la investigacin de delitos informticos
Captulo 3
Preparacin y Respuesta preliminar del forense

ln este captulo
Preparacin de los sistemas operativos de recoleccin de datos Habilitar la auditora y el registro Uso de la sincronizacin de tiempo y sellado de tiempo La identificacin de los dispositivos de red La recopilacin de datos de la memoria Imgenes de discos duros A raz de la cadena de custodia para la recopilacin de la memoria La continuidad del negocio y planes de contingencia EN RESPUESTA A INCIDENTES DE SEGURIDAD INFORMTICA ES, EN GENERAL, NO UNA TAREA FCIL. De respuesta a incidentes eficaz requiere una mezcla de conocimientos tcnicos, la comunicacin, la responsabilidad y la coordinacin entre todo el personal de respuesta de una organizacin. Hay varias etapas distintas de la respuesta al dirigirse a un incidente de seguridad informtica: preparacin, identificacin, contienen ambiente, la erradicacin, la recuperacin, y seguimiento. Entendiendo la importancia de cada etapa es fundamental para llevar a cabo una respuesta eficiente. Todo el personal de jerarqua de una organizacin necesita para entender el proceso de respuesta para que puedan trabajar juntos para manejar todos los aspectos inesperados de los incidentes que puedan surgir. En este captulo se centra en la preparacin forense y respuesta preliminar y su papel en la mitigacin de los efectos de los incidentes de seguridad informtica.
Preparacin de los sistemas operativos de recogida de datos

Despus de la BIOS, el sistema operativo (SO) es el primer programa de software que usted encuentra cuando usted enciende su computadora. Permite que las aplicaciones (programas) para
comunicarse con el equipo y entre ellos a un nivel bsico. Cada computadora de propsito general requiere algn tipo de sistema operativo que le dice a la computadora cmo opritmo y la forma de utilizar otro software y / o hardware que est instalado en ese equipo. Hay esencialmente dos tipos de sistemas operativos, los reductores
46
hacia el usuario domstico y las orientadas a las empresas o usuarios avanzados. En este captulo se discute los ms potentes sistemas operativos de redes. Los sistemas operativos ms utilizados se pueden dividir en tres familias: la familia de Microsoft Windows de sistemas operativos, de la familia Unix / Linux de sistemas operativos, y los sistemas operativos de Apple Macintosh. Cada una de estas familias ofrecen versiones de sistemas operativos que estn especficamente dirigidos a la creacin de redes, por lo que ampliamente utilizado por organizaciones de todo el mundo. De hecho, los sistemas Unix / Linux de funcionamiento, considera algunos de los sistemas ms seguros, estn diseados especficamente para la creacin de redes. La curva de aprendizaje de alta necesaria para configurar y mantener los equipos Unix / Linux basada, sin embargo, les ha impedido ser ampliamente aceptados. En la familia de Microsoft, Windows NT 4.0, 2000 y XP se utilizan comnmente operadores de redesating sistemas empleados por las redes de la organizacin. Debido a que son fciles de configurar y usar, y tiene la mayor base de aplicaciones escritas para ellos, son uno de los sistemas operativos ms populares y ampliamente utilizado en todo el mundo. La Apple Macintosh sistema operativo (en la actualidad en la versin OS X) es un sistema de red basado en Unix operativo con funciones de red potente y muchas caractersticas de seguridad. Sin embargo, debido a ciertas diferencias de arquitectura inherentes a los equipos de Apple, Mac OS basados en computadoras que no hayan alcanzado la popularidad de los sistemas operativos Windows. (Mac OS es, sin embargo, considerado por muchos como el ms adecuado para las organizaciones que utilizan grficos intensos programas como CAD / CAM). Si bien todos los sistemas operativos actuales ofrecen alguna medida de seguridad, son los sistemas operativos de red que poseen las capacidades ms grandes de seguridad. Permiten que la red de administraciones res para especificar los privilegios de acceso a los archivos individuales, directorios y dispositivos de hardware. A travs de su amplio uso de la auditora y los archivos de registro, sistemas operativos de red tienen el atractivo aadido de capturar y preservar las pruebas forenses potencial.
El Significarlcorreo de los archivos de registro

Los archivos de registro han sido tradicionalmente la principal fuente para la documentacin de los eventos que han ocurrido o estn ocurriendo en los sistemas operativos. El propsito de la tala es capturar y preservar significativos eventos. Por ejemplo, el registro es til en el caso de que se produzca un suceso y el administrador desea alguna idea de lo que ha ocurrido. Fuentes de evidencia de que los investigadores puedan tener a la mano en un sistema informtico son los registros del sistema, logs de auditora, los registros de aplicacin, los registros de gestin de red, la captura de trfico de la red, y los datos sobre el estado del sistema de archivos. Los registros se considera tradicionalmente el registro principal o una indicacin de la actividad que ocurri. Con la progresin de la stand-alone PC para sistemas en red, los registros de la red se han unido a los registros del sistema para ayudar a mejorar el registro de actividad de la computadora en curso.
Procedimientos de Auditora y registro

Con el fin de analizar la seguridad de los sistemas informticos y detectar seales de un comportamiento inesperado y / o sospechas cious-, es indispensable reunir todos los datos generados por la aplicacin, sistema, red, y actividades de los usuarios. Los archivos de registro contienen una gran cantidad de informacin sobre las actividades pasadas. Sistema administraciones res deben identificar los diversos mecanismos de registro y los tipos de registros (por ejemplo, acceso a archivos, sistema, red, etc), as como el tipo de datos registrados dentro de cada registro.
Captulo 3: Preparacin y Respuesta preliminar del forense
47
Dado que los archivos de registro a veces son la nica evidencia de actividad sospechosa, la falta de que los mecanismos para registrar esta informacin y la falta de usarlos para iniciar los mecanismos de alerta significativamente disminuye la capacidad de una organizacin para detectar intrusin intentos y para determinar si los intentos han tenido xito. Del mismo modo, pueden surgir problemas por no tener los procedimientos y los mecanismos necesarios en el lugar para analizar los archivos de registro que tener han registrado. Los registros pueden ayudar a las organizaciones de Alertar a los administradores de sistemas de cualquier actividad sospechosa La determinacin de la magnitud de los daos causados por la actividad de un intruso Ayudar a recuperar rpidamente los sistemas de El suministro de informacin o servir como pruebas necesarias para el procedimiento judicial
Auditora de habilitacin y registro en Windows NT

Todas las versiones de Windows NT (por ejemplo, 4.0, 2000 y XP) contienen poderosos caractersticas integradas de auditora que permiten a determinar quin est accediendo a los archivos en su sistema. La auditora proporciona una serie de beneficios que incluye ayuda para la solucin de problemas de derechos de acceso a archivos y detectar lo que ltimo usuario accede a un archivo en particular. A diferencia de Unix o Linux, la auditora est desactivada por defecto cuando Windows se instala por primera vez en un clculonEsto significa que los eventos del sistema y numerosas actividades de los usuarios se no se registrar en los registros de sucesos. Desde una perspectiva de respuesta a incidentes, la ausencia de registros de este tipo hace que sea dif-culto para identificar cualquier intento de violar la seguridad de un sistema informtico. Estos registros del registro de eventos tambin puede ayudar a los administradores de sistemas por lo que les permite distinguir entre las fallas en el difcilhardware o software, intrusiones en la red, y los errores en la configuracin de cuentas de usuario. !
En todas las versiones de Windows, para habilitar la auditora, primero tiene que haber iniciado sesin como un usuario administra-tiva. Solo los usuarios administrativos estn autorizados a modificar la clave de seguridad y / o configuracin del sistema. El procedimiento vara dependiendo de la versin de Windows que se utilice. Consulte el manual de usuario de Windows para obtener ms informacin sobre privilegios de administrador de cuentas para la versin de Windows que utilice.
Para habilitar la auditora / registro en Windows NT 4.0, haga lo siguiente: 1. De los hombres de inicio, Seleccione Programas Herramientas administrativas Administrador de usuarios. 2. De las polticas de usuario del Administrador de los hombres, Seleccione Cuentas, que activa la directiva de auditora dilogo de la pantalla.
Respuesta a Incidentes: Computer Toolkit Forense 3. Ahora permitir la fiscalizacin, estos eventos opcin y luego seleccionar los eventos de auditora siguientes: En la columna Si no, seleccionar todos los eventos. En la columna de xito, seleccione los siguientes eventos: inicio de sesin y cierre de sesin, Administracin de usuarios y grupos, cambios de directivas de seguridad, reiniciar, apagar, y el sistema. 4. Seleccione Aceptar para aceptar la directiva de auditora. Ahora todas las opciones seleccionadas se escribir en el registro de eventos. Al igual que su predecesor, NT 4.0, Windows 2000 deshabilita la directiva de auditora de cada categora por defecto, por lo que el registro de seguridad permanece vaco en un sistema operativo recin instalado. El procedimiento general para habilitar la auditora local / registro en Windows 2000 es el siguiente: 1. Inicie sesin en Windows 2000 con una cuenta que tenga derechos administrativos completos. 2. De los hombres de inicio, Vaya a Herramientas administrativas Poltica de seguridad local. Este abre la ventana de configuracin de seguridad local. 3. En el panel izquierdo, haga doble clic en Directivas locales para expandirla. 4. Ahora, haga doble clic en Directiva de auditora. 5. En el panel derecho, seleccione la directiva que desea habilitar o deshabilitar haciendo doble clic en l. 6. Seleccione el deseado xito y / o falla la casilla de verificacin. El procedimiento general para habilitar la auditora local / registro en Windows XP es el siguiente: 1. Inicie sesin como Administrador. 2. Haga clic en el botn Inicio y seleccione Panel de control. 3. En el panel de control, seleccione Rendimiento y mantenimiento y, a continuacin, seleccione Administrativo Herramientas. 4. Haga doble clic en Directiva de seguridad local de acceso directo para abrir y ampliar la
misma. 5. En el panel izquierdo, seleccione la directiva de auditora para mostrar la configuracin de polticas individuales, que se aparecen en el panel derecho. (Ver Figura 3-1). 6. Haga doble clic en cada opcin en el panel de la derecha para habilitar la auditora para cada tipo de auditora deseado. (Ver Figura 3-2). Recuerde, la forma ms bsica de tener intrusin la deteccin en Windows es para habilitar la auditora. Esto le avisar a los cambios en las directivas de cuenta, intentaron hacks de contraseas, y no autorizados acceso a los archivos, as como CRcomieron los archivos de registro que posteriormente pueden ser utilizados como evidencia.
49
Figura 3-1:El Windows XP Pro ventana de Configuracin de seguridad local
Figura 3-2: La cuenta de Auditora eventos de inicio de sesin cuadro de dilogo Propiedades de Windows XP Pro
Una nota rpida acerca de la auditora, registro, y el tamao de archivo de registro

A veces es difcil determinar la cantidad exacta de la auditora y se requiere el registro. Por ejemplo, si un disco duro local (que contiene los datos no sensibles o del pblico) se accede por muchas personas en el curso oun da despus de registro slo los intentos fallidos podra ser suficiente. De hecho, todos los intentos de registro, posiblemente, puede ser una desventaja, porque la informacin resultante podra crcoma tanta actividad en los archivos de registro que le hara pasar por alto los eventos importantes. Por el contrario, si los datos se clasifican y slo
deben tener acceso a un puado de usuarios, es posible que desee realizar un seguimiento tanto intentos fallidos, as como los exitosos.
50
Por ltimo, debido a que el tamao predeterminado del archivo de registro de Windows es slo 512K, los administradores con siste-mas con modtasa de uso de alta podra aumentar la cantidad de datos de los archivos de registro pueden con-tener. Si bien el procedimiento exacto varES dependiendo de qu Versin de Windows se est utilizando, el procedimiento general es como sigue: 1. Haga clic en Inicio Panel de control Rendimiento y mantenimiento. 2. Seleccione Herramientas administrativas y, a continuacin, haga doble clic en Visor de sucesos. 3. En la ventana Visor de sucesos, resalte el registro que desea cambiar (vea la Figura 3-3). 4. De los hombres desplegablesen la accin principal, seleccione Propiedades. 5. En la ventana Propiedades de la aplicacin, ajustar el mtamao del registro de ximum consecuencia mediante la introduccin de una valiosa nuevaen la M
Figura 3-3: El Visor de sucesos de Windows XP
"registro ximum tamao "de campo (ver Figura 3-4).
51
Figura 3-4: La aplicaciones de Windows XP Cuadro de dilogo Propiedades
El acceso centralizado
Los archivos de registro son la mejor fuente de informacin para determinar si un sistema o red experimentan una amenaza de seguridad u otro problema. Con la proliferacin de dispositivos interoperables, no es raro encontrar organizaciones que utilizan mltiple plataformas informticas de red, tales como Windows, Linux o Novell NetWare. Como resultado, los administradores a menudo les resulta oneroso para tamizar a travs de los archivos de varios operativos de registro del sistema para reunir pruebas y buscar las seales que indi-cado ha ocurrido un incidente. Para facilitar este proceso, registro centralizado a travs del syslog proto-colo se emplea a menudo. Soporte para Syslog, que se incluye en los sistemas Unix y Linux, es un protocolo estndar de la industria utilizado para la captura de informacin de registro de los dispositivos de una red. Syslog es no incluido en los sistemas operativos Windows y Macintosh, sin embargo, hay solicitudes de terceros-ciones (ms adelante en esta seccin) disponibles para agregar esta capacidad a su sistema. La premisa bsica de registro centralizado es recoger los datos de registro y enviar esos datos a un ordenador que no sea el peligro. De esta manera, la ubicacin de los datos de registro est centralizada y la integridad de los datos protegidos se mantiene. El acceso centralizado mantiene un nico punto centralizado de almacenamiento de datos de registro, por lo que es ms fcil de realizar copias de seguridad, asegurar, y analizar. Si bien una serie de mecanismos de registro existen para diversas plataformas, el objetivo de un sistema centralizado de registro mecanismo es
apoyar a las plataformas ms utilizadas y populares. Cruz-plataforma centralizada de registroging software de produccins de distintos fabricantes pueden ser instalados fcilmente en la red de una organizacin. Los siguientes dos basado en Windows sistema centralizado de registro de la produccins son muy adecuadas para la tarea:
Kiwi Syslog Daemon por las empresas Kiwi es un demonio syslog freeware para la plataforma Windows. De acuerdo con el fabricante que recibe, registros, indicadores, y remite mensajes del syslog recibidos de los ejrcitos, tales como routers, switches, anfitriones de Unix, y cualquier otros sistemas-habilitados para registro de los dispositivos. Kiwi es en lnea en www.kiwisy si og.com. GFI LANguard Security Event Log Monitor de por GFI Software, Ltd. es un sistema centralizado segu-ridad escner de registro de eventos que, segn su fabricante, se recuperan todos los registros de sucesos de los servidores y estaciones de trabajo y alerta al administrador de fallos de seguridad para la inmediata intrusin deteccin. Mediante el anlisis de los registros de sucesos de Windows NT/2000 en tiempo real, GFI LANguard Security Event Log Monitor puede alertar a los eventos de seguridad importantes de HAP-rriendo en las estaciones de trabajo y servidores (por ejemplo, un usuario que intenta iniciar sesin como administrador, o una persona se han aadido al grupo de administradores). Debido a que GFI LANguard analiza los registros de sucesos del sistema, en lugar de oler el trfico de red como el tradicional intrusin sistema de deteccin (IDS) de la produccins no, no se ve afectada por los interruptores, el cifrado del trfico IP, o de alta velocidad de transferencia de datos. Buscar en GFI www.gfi.com. Por desgracia, siempre habr fallas de seguridad que pueden ser explotadas. Mientras que Yoentrada legal y el acceso a los sistemas informticos no siempre pueden evitarse por completo, este tipo de problemas, al menos deben ser registrados y rastreados en un registro de auditora con el fin de revelar los defectos de seguridad en sus sistemas y, posiblemente, la identificacin de aquellos (los seres humanos u ordenadores) que se han aprovechado estos defectos. El registro de la informacin es de suma importancia en un entorno adecuadamente seguro. Registros por s mismos, sin embargo, ofrecen muy poco si los archivos no estn siendo recogidos y revisados.
Mientras que los permisos de archivos protege los archivos de registro de la alteracin sin privilegios, es posible que tambin desea proteger los archivos de registro de alteraciones no autorizadas por tener los archivos de registro por escrito en un CD-ROM u otro de slo lectura medios de comunicacin.
Sincronizacin de la hora
Mientras que el registro centralizado puede ser beneficioso para responder a incidentes de seguridad, sino que tambin presenta un problema nico. Los dispositivos ms en la red, los ms probable que sus tiempos no se mantengan sincronizadas. Esta falta de sincronizacin puede suponer una dificultad para la respuesta a incidentes. La automatizacin de la sincronizacin de los relojes del sistema ahorra un tiempo considerable frente a un suceso. Otro de los beneficios de la sincronizacin es que la evidencia se fortalece cuando el IDS y el anfitrin reportar el mismo evento al mismo tiempo. Si su organizacin conductoress negocios a travs de mltiple zonas de tiempo, el uso del meridiano de Greenwich (GMT) para configurar los sistemas.
Si bien una serie de mecanismos de sincronizacin de tiempo existe para las plataformas informticas diferentes, el objetivo de un sistema centralizado de tiempo de sincronizacin mecanismo para apoyar a las mayora de las plataformas. Para el protocolo de Internet (IP) basados en redes, Network Time Protocol es el ms comnmente utilizado. El Network Time Protocol (NTP) proporciona un mecanismo para sincronizar la hora en las computadoras a travs de Internet. Dispositivos de Unix, Linux y la mayora de IP se han incorporado en el soporte nativo para la pro NTPprotocolo. Mientras que Windows no lo hace, puede utilizar NTP a travs de la produccin como de terceros gratuitos como:
53
AutomachronUno de Codificacin de Guy, disponible en www.oneguycoding.com/automachron/~~V (Ver Figura 3-5).

La NIST de servicios de Internet Time (ITS), disponible en www.boulder.nist.gov/timefreq/~~V servicio / its.htm. Hora mundial por PawPrint.net, Disponible en www.pawprint.net/wt/~~V .
Figura 3-5: Automachron tiempo de sincronizacin del programa
Yo
Con el fin de partipar en la red de sincronizacin existente NTP y obtener la hora exacta y confiable cuando se utiliza en Unix o Linux, por lo general es necesario construir un archivo de configuracin adecuado, conocido comnmente como ntp.conf. La
sintaxis exacta de este archivo de configuracin vara en funcin del servidor de tiempo con el que usted est tratando de sincronizar y la versin de Unix / Linux que est utilizando. Los usuarios estn invitados a consultar con su Unix / Linux documentacin para ms detalles.
Sellado de Tiempo
Una de las primeras cosas que un hacker o intruso red intentan es modificar la fecha de entrada en un sistema informtico. Es una ventaja para los hackers a buscar redes cuyo tiempo docks no estn sincronizados. Adems, mediante la falsificacin de la fecha y hora, un hacker puede enviar un forense investiga-tor an ms lejos en un callejn sin salida. Hay dos formas de evitar este problema:
54
Asegrese de sincronizar los tiempos de todos los dispositivos de red Asegrese de que la verificacin del tiempo dentro de su sistema no puede ser distorsionada Ordenador docks a menudo se compone de bajo costo circuitos oscilantes que fcilmente pueden desplazarse por diversos-rales segundos por da. Si bien esto puede no parecer un gran problema, que puede ascender a varios minutos en el transcurso de un ao. La sincronizacin de los tiempos en todos los dispositivos de red aade un nivel de uniformidad de reloj a todas las partes respectivas de la red. Para evitar los intentos de hackers destinados a la falsificacin de su tiempo de entrada en un sistema, una red debe emplear un dispositivo digital de sello de tiempo que puede ser utilizado en una fecha posterior para probar que un documento electrnico exista en el momento indicado en el sello de tiempo. Para ser fiable, los sellos de tiempo de debe seguir siendo autntico, y la mejor manera de garantizar que un documento no ha sido falsificada es la de emplear los servicios de un dispositivo digital de sellado de tiempo de servicios (DTS). Si bien existen numerosas empresas que ofrecen este tipo de servicio, dos se destacan como lderes en este campo emergente. Datum, Inc. proporciona un acceso seguro y auditable de sellado de tiempo la tecnologa para las transacciones electrnicas, las referencias de tiempo para las redes informticas, y los motores de cifrado para distri-lucin y la recepcin de la informacin confidencial. Buscar en lnea en el Datum www.datum.com.
Evertrust.net mercados y produce alta calidad digital de estampado de tiempo de soluciones que ayudan a proteger la integridad de la documentacin digital. Busque en lnea en
www.evertrust.net.
La identificacin de los dispositivos de red

Organizaciones de todo el mundo la experiencia en seguridad informtica relacionados con eventos (como las causadas por intrusiones, ataques y cdigos maliciosos) en una base regular. Como resultado, las empresas se encuentran luchando para evitar ataques e intrusiones siempre que sea posible, mientras que el seguimiento y tratar de responder a los eventos de seguridad crticos. Parte del proceso de respuesta a incidentes de previo es identificar rpidamente todos los dispositivos de red. Esto incluye la auditora y el mapeo de las computadoras, servidores, hubs, switches, routers, etc, as como la comprensin de la fsica ubicaciones y configuracin. El mapa de la red es una representacin grfica de los dispositivos en una red. El mapa de la red es beneficioso desde el punto de vista de respuesta a incidentes, ya que ayuda a establecer una lnea base de la red para futuras comparaciones y le ayuda a responder a los incidentes de seguridad por la rpida localizacin de los equipos o dispositivos sujetos a ataque. Especficamente, un mapa de la red le ayuda a
Saber exactamente donde cada dispositivo se encuentra fsicamente Fcil de identificar a los usuarios y las aplicaciones que se ven afectados por un problema Sistemticamente buscar en cada parte de su red para los problemas Con el fin de asignar correctamente su red a la que se necesita saber Qu dispositivos se encuentran en la red
55
Qu dispositivos se conectan a su red a Internet Cmo se configuran los dispositivos Durante un incidente de seguridad informtica, el mapa de la red sirve como una referencia y un proyecto original. El mapa puede ser creada a mano usando cualquier dibujo o aplicacin diagrama de flujo. Sin embargo, esto puede ser tanto complicado y requiere mucho tiempo. El mtodo mejor y preferido es usar uno cualquiera de los muchos programas de software diseados especficamente para esta tarea. Uno de estos programas, el WhatsUp Gold galardonado por el Ipswich, Inc. (www.ipswitch.com), es muy adecuado para la tarea. Otro programa que puede ayudar en el desarrollo de un mapa de la red es de GFI LANguard Network Security Scanner (Figura 3-6) por GFI Software, Ltd. (www.gfi.com). Tenga en cuenta que la respuesta a incidentes es el proceso de xito frente a un suceso si el objetivo es recuperar slo desde el incidente o para llevar a los perpetradores ante la fiscala. Tener un mapa de la red puede ayudar a una organizacin de manera eficiente responder a incidentes de seguridad informtica por proporcionar rpidamente informacin acerca de la ubicacin y el estado de los dispositivos de red.
Figura 3-6: GFI LANguard Network Security Scanner 3.0
Recopilacin de datos de la memoria

La memoria de computadora viene en dos formas, voltiles y no voltiles. La memoria no voltil
se utiliza sobre todo en situaciones donde la informacin almacenada es necesario mantener durante perodos prolongados de tiempo. Ejemplos de la memoria no voltil son los chips de la BIOS se encuentran en las placas base de ordenador o
Respuesta a Incidentes: Computer Toolkit Forense la memoria flash utilizada por las cmaras digitales. Desde chips de BIOS requieren hardware especial para modificar cualquier informacin almacenada en ellos, es poco probable que contendr la informacin relacionada con un incidente de seguridad. Por lo tanto, a un investigador forense, conservar los datos almacenados en los chips de BIOS no es tan importante como conservar los datos almacenados en la RAM. La memoria voltil se presenta una situacin diferente. Ejemplos de memoria no voltil son la memoria RAM (ran-dom memoria de acceso) chips utilizados por todos los equipos para cargar y almacenar los datos generados por el sistema operativo y las aplicaciones. Todos los datos almacenados en este tipo de memoria se pierde cuando la computadora est fuera de prisionero de guerra-so, con la prdida de datos se evidencia potencial. Debidamente agrupada, los datos tomados de la memoria voltil puede ser til para detener a un atacante y pueden producir evidencia til, admisible. Cuando la recopilacin de pruebas se debe proceder de la voltil a la menos voltil. Aqu es una simple ejemplo del orden de volatilidad para un equipo tpico. 1. Memoria 2. Los sistemas de archivos temporales 3. Disco 4. Configuracin fsica de la red La memoria es ms alto en la lista debido a que es ms voltil. Dado que la evidencia de un ataque puede escapar cuando la memoria se sobrescribe o se elimina, uno de los primeros pasos a tomar es realizar un volcado de datos. Esto es, el contenido de la memoria del sistema debe ser impresa o copiada mientras que todava reside en la memoria. Cuando se realiza en el momento adecuado, esta operacin se puede capturar y preservar las posibles pruebas mediante la documentacin de todas las acciones de cualquier alteracin del cdigo de programacin que existe en la memoria. La informacin obtenida de este proceso tambin puede servir como prueba de lo cual-Malcdigo cious operado en el sistema. De manera predeterminada, Windows NT, al igual que la mayora de los sistemas operativos de redes, slo se genera un archivo de volcado de memoria en un fallo del sistema. Afortunadamente, Windows 2000 y XP incluyen una caracterstica muy til que te permite hacer de forma manual el sistema deje de responder y de generacinclasificar un archivo de volcado de memoria. En primer lugar, debe estar configurado para hacerlo, sin embargo.
Configuracin de Windows 2000 y XP para generacintasa de un archivo de volcado de memoria luego de un cuelgue del sistema requiere que se modifique el registro de Windows una entrada de registro incorrecta puede causar problemas graves que conlleven la reinstalacin del sistema operativo. Utilice el Editor del Registro con cuidado y con extrema precaucin. Antes de modificar el Registro, asegrese de hacer copias de seguridad. Adems, es importante que usted entienda el procedimiento para restaurar el Registro en caso ocurre un problema.
Copia de seguridad del Registro y los procedimientos de restauracin se tratan en detalle en el captulo 4.
57
Para configurar Windows 2000 para realizar un volcado de memoria manual, haga lo siguiente: 1. Haga clic en el botn Inicio y seleccione Ejecutar. 2. En el cuadro de dilogo Abrir, escriba la palabra Regedit para iniciar el Editor del Registro. 3. Expanda el HKEY_LOCAL_MACHINE segmento de la Secretara de lcado en la siguiente clave:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \ Parameters
4. En los hombres Editar, Haga clic en Agregar Valu, A continuacin, agregue el siguiente registro de valoreses:
Valu AME: CrashOnCtrlScroll Tipo de datos: REG_DW0RD Valor: 1
5. Cis el Editor del Registro. 6. Reinicie el equipo para que los cambios se aplicarn. Despus de reiniciar el ordenador, puede generacintasa de un archivo Memory.dmp en la demanda, simplemente manteniendo pulsada la tecla Ctrl derecha y presionando la tecla Scroll Lock en dos ocasiones. |
Los pasos anteriores tambin funcionan en Windows XP, sin embargo, el procedimiento para agregar el CrashOnCtrlScrol 1Registro valiosa es ligeramente diferente. En la clave HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \ Parameters
seccin, seleccione Editar Nuevo DWORD Valu.ame la valiosa C r a s h On C t r l S c r o l

1. Ahora haga doble clic en la recin creada CrashOnCtrlScroll valiosa para acceder a la valiosa Editar valor DWORD pantalla. Entrar 1en el valiosa espacio de datos proporcionado.
Seleccin de las opciones de volcado de memoria adecuada
En el sistema operativo Windows, existen tres tipos de volcados de memoria que pueden ser geneciadas: volcado de memoria completo, volcado de memoria del kernel, o el volcado de memoria pequea. Para los exmenes forenses de inations, lo mejor es elegir el volcado de memoria completa a fin de captar la mayor informacin posible. Antes de activar manualmente el volcado, siga este procedimiento general: 1. Haga clic derecho en Mi PC y, a continuacin, haga clic en Propiedades. 2. Haga clic en la ficha Opciones avanzadas y, a continuacin, haga clic en el botn Inicio y recuperacin. 3. En Informacin de Depuracin de escritura, seleccione la opcin Volcado de memoria completa.
58

La ubicacin del archivo var memory.dmpes ligeramente dependiendo de la ubicacin de la unidad en la que est instalado Windows y que versin de Windows que est utilizando. Para Windows NT 4.0 y 2000, la ubicacin predeterminada es el directorio C: \ WINNT. Para Windows XP por defecto direc-torio es C: \ WINDOWS. Si ha instalado NT o XP en un directorio que no sea C, tendr que sub-tituyen la letra de unidad adecuada para la ubicacin de su directorio de Windows, tales como D:
\ W IN N T o r D: \ Windows.
Uso de Dumpchk.exe para ver el archivo de Windows memory.dmp

Lo primero que debe hacer despus de crear un volcado de memoria es comprobar que la integridad del archivo memory.dmp est intacto. Afortunadamente, Microsoft proporciona una utilidad llamada Dumpchk, que es una utilidad de lnea de comandos que puede utilizar para ver el contenido de un archivo de volcado de memoria y compruebe que se ha creado correctamente. Dumpchk se pueden encontrar en los lugares siguientes: En Windows NT 4.0 CD-ROM: Support \ Debug \ <Plataforma>\ Dumpchk.exe. En Windows 2000/XP CD-ROM: Instalar las herramientas de soporte ejecutando Setup.exe desde el soporteYHerramientas de carpeta en el CD-ROM. De forma predeterminada, Dumpchk.exe se instala en la carpeta Program Files \ Support carpeta Herramientas.
Despus de localizar el Dumpchk.exe en su CD de Windows, copiar el archivo en el directorio por defecto de Windows (por ejemplo, C: \ Archivos para NT y 2000, o C: \ WIND0WS para XP). A continuacin, puede ejecute la utilidad Dumpchk directamente desde el comando (DOS) del sistema con la siguiente sintaxis:
dumpchk.exe Memory.dmp
Realizar un volcado de memoria en los sistemas Unix

Bajo Unix, el sysdump comando se utiliza para generacintasa de una imagen de volcado sistema de contenidos de la memoria un sistema vivo, sin perturbar el funcionamiento normal del sistema operativo. La imagen de archivo de volcado se guarda en un archivo para su posterior anlisis con la chocar utilidad. Crash es un sistema interactivo de comandos de Unix utilizado para el examen de una imagen del sistema. Consulte la documentacin de Unix para obtener una lista completa de los comandos de choque. Para gentasa de un vuelco del sistema de un sistema vivo en el archivo livedump, escriba el siguiente comando: / Etc / sysdump-i / dev / mem-n / livedump unix-o Para usar la utilidad del accidente para analizar el archivo, use el siguiente comando:
/ Etc / crash-n-d livedump livedump Una vez que el archivo de volcado de memoria se crea y se verific su integridad, debe conservarse en forma adecuada para una futura revisin por un experto en informtica forense o las autoridades legales. Gran parte de la informacin contenida en un archivo de volcado de memoria es complejo, requiere un conocimiento avanzado de la computadora progra-macin de entender, y est ms all de la capacidad del usuario medio. Sin embargo, el
59
los procedimientos antes mencionados para la recoleccin puede ser muy beneficioso cuando una organizacin desea capturar y preservar la memoria relacionada con la prueba informtica cuando se realiza un anlisis forense investigacin. Recuerde lo siguiente cuando se trata de la evidencia digital obtenida de un volcado de memoria: Todos los princip estndar forense y de procedimientoyoES debe aplicarse. Al incautar evidencia relacionada con la memoria, las medidas adoptadas no deben cambiar esas pruebas. Las personas que tienen acceso a la evidencia digital original, debe estar capacitado para tal fin. Toda la actividad relacionada con la incautacin, el acceso, almacenamiento o transferencia de la evidencia digital debe ser plenamente documentado, en conserva, y que puede consultarse. Individuosais son responsables de todas las acciones tomadas con respecto a las pruebas digitales, mientras que tal evidencia se encuentra en su posesin. Cualquier individuo o grupo que es responsable de la incautacin, el acceso, almacenamiento o transferencia de evidencia digital es responsable de cumplir con estos principyoES. Con respuesta a incidentes y anlisis forense informtico, la salvaguardia y la proteccin de los datos es vital. A la informtica forense bien informadas profesionales deben asegurarse de que un equipo sujeto sistema se manipulan con cuidado para asegurar que No hay evidencia potencial est daado, destruido o comprometido de alguna manera por el procedimientos utilizados para invertirla puerta del equipo. Extrado y la evidencia relevante, posiblemente, se maneja adecuadamente y protegido de la tarde dao fsico o magntico. A continuacin la cadena de custodia se ha establecido y mantenido. Las operaciones comerciales se ven afectados por una cantidad limitada de tiempo, en todo caso. Toda la informacin del cliente-abogado que inadvertidamente se adquiere durante una exploracin forense-racin es de tica y respeto legal y no divulgada.
Imgenes Discos Duros

El principio rector de la informtica forense es reunir a las posibles pruebas que luego sern analizados y presentados a un tribunal para demostrar la presencia de Yoactividad legal. Es importante que al con-ducto de un examen de informtica forense que no haya alteracin, dao o alteracin de los datos se produce. Para llevar a cabo un anlisis forense adecuado el primer paso es recopilar evidencia informtica. Debido a que existe un cierto grado de volatilidad de los datos
almacenados en un disco duro, la imagen es uno de los primeros procedimientos que se llevarn a cabo despus de que los contenidos de la memoria de la computadora han sido copiados y en conserva. Como su ame lo indica, el disco duro de imgenes ofrece una imagen de espejo o una instantnea de los datos con-contenidas en el disco duro. La instantnea es una perfecta sector por sector de la copia de la unidad, incluyendo todos los espacios no utilizados, y sobrescribe parcialmente. El proceso de imgenes no es destructiva con los datos
60
y no requiere que el sistema operativo que se ha activado (calzada). Esto asegura que el sistema no se altera de ninguna manera durante el proceso de formacin de imgenes y por lo tanto conserva su valiosa prueba. Una vez que se crea una imagen, el examen forense se llev a cabo utilizando slo la imagen (copia) y no el disco duro original. La capacidad de almacenamiento de los discos duros de las computadoras ha crecido exponencialmente en los ltimos aos. Como resultado, los discos duros son capaces de almacenar enormes cantidades de datos, el proceso de toma de imgenes ms complicado. El mejor enfoque para esta tarea es utilizar una herramienta de imgenes de disco. El proceso de simplemente encender el ordenador o utilizando una utilidad de software como Partition Magic de PowerQuest para copiar el disco duro original puede potencialmente contamiNate la evidencia. La base archivo por archivo de copia no captura todos los datos residuales (por ejemplo, archivos eliminados, espacio de holgura, y intercambio de archivos) necesarios para realizar un anlisis forense completo. Cmo elegir y utilizar la herramienta adecuada es imprescindible en una investigacin en informtica forense. De acuerdo con las especificaciones de imgenes de disco publicados por el Instituto Nacional de Estndares y Tecnologa (NIST), las exigencias de un alto nivel de imgenes de disco herramienta son las siguientes: La herramienta har una DUPL flujo de bitsCate o una imagen de un disco original o un disco particin en los medios de comunicacin fijos o removibles. La herramienta no modificar el disco original. La herramienta ser capaz de acceder tanto a discos IDE y SCSI. La herramienta deber ser capaz de verificar la integridad de un archivo de imagen de disco. La herramienta deber registrar los errores de entrada / salida (E / S). La documentacin de la herramienta deber ser correcta. Adems, los mandatos del NIST que los siguientes requisitos deben cumplirse por todas las herramientas de imgenes en disco: La herramienta no deber alterar el original. Si no hay errores de acceso a los medios de origen, a continuacin, la herramienta deber crse comi un flujo de bits DUPLCate del original. Si hay errores I / O para acceder a los medios de origen, a continuacin, la herramienta deber crse comi un cualificado flujo de bits DUPLCate. (Un cualificada de flujo de bits DUPLCate se define como un DUPLCate excepto en identificado reas del flujo de bits). La identificados reas se sustituyen por valoreses especificada la documentacin de la herramienta.
La herramienta deber registrar los errores de E / S, incluyendo el tipo de error y la ubicacin del error. La herramienta deber ser capaz de acceder a las unidades de disco a travs de una o ms de los siguientes inter-caras: acceso directo a la controladora de disco, Interrupt 13 interfaz BIOS, interrupcin 13 del BIOS interfaz extendida, ASPI interfaz SCSI, o interfaz de Linux. La documentacin debe ser correcta en la medida en que la obligatoria y todos los requisitos aplicados opcionales se refiere. Por ejemplo, si un usuario siguiendo procedimientos documentados de la herramienta produce el resultado esperado, entonces la documentacin se considera correcta.
61
La herramienta deber copiar una fuente a un destino que es mayor que o igual al tamao de la fuente, y deber documentar el contenido del reas sobre el destino que no forman parte de la copia. La herramienta deber notificar al usuario si la fuente es mayor que el de destino. Las siguientes dos imgenes de disco que las herramientas se encuentran entre los pocos elegidos que en la actualidad cumplir con la Afore-menciona los estrictos requisitos a lo dispuesto por el NIST: Linux dd es una utilidad gratuita para cualquier sistema Linux que pueda efectivamente la imagen y copia de todos los sectores en todos los SCSI e IDE. Esta utilidad incluye un mecanismo de MD5, que valores puedela fecha de los datos, imgenes y escribe al disco duro de la cinta, y cualquier otra extrable medios de comunicacin. Linux dd se puede encontrar en www.redhat.com . SnapBack DatArrest, por Columbia Data Producs, Inc. (CDP), es una completa solucin de imgenes de disco que se ejecuta desde un solo disquete. Segn su fabricante, se puede acceder a datos a una velocidad de hasta 300MB por minuto, as como copia de seguridad de DOS, Windows, Windows 95, Windows NT, y Unix desde el mismo disco, mientras que proporciona un registro legal de un exacto "imagen en tiempo "de los contenidos de la computadora. Incluso puede realizar copias de seguridad de un auto-destructiva (una trampa explosiva) de disco duro. Los detalles adicionales y los precios pueden ser encontrado en www.snapback.com.
Despus de la Cadena de Custodia para la recoleccin de evidencia

Otra preocupacin importante cuando la imagen de un disco duro es el de establecer una cadena de custodia. La evidencia de la cadena de custodia de las pistas de su fuente original a lo que se ofrece como prueba en los tribunales, que demostrara que la evidencia recogida es autntico. Cadena de custodia puede ser una de las cuestiones ms difciles que enfrenta el profesional forense tratando de introducir una imagen digital (de la memoria o un disco duro) como prueba en un caso penal. Si el acusado alega que una imagen ha sido alterado o podra haber sido alterado, la carga de la prueba recae sobre la fiscala para probar lo contrario. En muchos casos, el xito de los argumento gira en torno a los procedimientos utilizados para salvaguardar la seguridad de las imgenes. Para una probada de la cadena de custodia que se produzca La evidencia se represent en todo momento. El paso de la evidencia de una parte a otra est completamente documentado.
La aprobacin de pruebas de un lugar a otro est completamente documentado. El fragmento que sigue, a partir de marzo de 2001 EE.UU. Boletn por Orin S. Kerr, Abogado Litigante de la Seccin de Delitos Informticos y Propiedad Intelectual del Departamento de Justicia de EE.UU., explica algunas de las cuestiones importantes que pueden surgir cuando el gobierno busca la admisin de los registros informticos en las Reglas Federales de Evidencia.
62

Los registros informticos y las Reglas Federales de Evidencia Los registros informticos se puede alterar fcilmente, y los partidos de oposicin a menudo alegan que los registros informticos carecen de autenticidad, ya que han sido alterados o modificados despus de su creacin. Por ejemplo, en Los Estados Unidos contra Whitaker, \21F3d 595, 602 (7th Cir. 1997), el gobierno de recuperar los archivos informticos de la computadora de un traficante de drogas llamado Frost. Los archivos de la computadora de Frost incluidos registros detallados de venta de narcticos por parte de tres alias: "Yo" (Frost a s mismo, es de suponer), "Gator" (el apodo de Frost coacusado Whitaker), y "Cruz" (el apodo de otro distribuidor) . Despus de que el gobierno permiti a Frost para ayudar a recuperar la evidencia de su equipo y se neg a establecer una cadena formal de la custodia de la computadora en el juicio, Whitaker argument que los archivos le IMPLICADOS-Ing a travs de sus alias no haban sido debidamente autenticadas. Whitaker sostuvo que "con algunos golpes de teclado rpidos pocos, Frost fcilmente podra haber aadido el alias de Whitaker, 'Gator' a las impresiones de los dedos con el fin de Whitaker y para parecer ms til para el gobierno". Identificacin. en 602. Los tribunales han respondido con escepticismo a estas afirmaciones sin fundamento de que los registros informticos han sido alterados. A falta de pruebas especficas que se produjo el sabotaje, la mera posibi-lidad de manipulacin no afecta a la autenticidad de un registro informtico. Ver Whitaker, \21F3D a 602 (disminucin de molestar a la decisin del juez de primera instancia de que los registros informticos eran admisibles por denuncia de la manipulacin era "especulacin casi con los ojos desorbitados ... [sin] la evidencia para apoyar esa hiptesis"); Los Estados Unidos contra Bonallo, 858 F2d 1427, 1436 (9th Cir 1988.) ("El hecho de que es posible modificar los datos contenidos en una computadora es claramente insuficiente para establecer poca confianza."); Los Estados Unidos contra Glasser, 773 F2d 1553, 1559 (llth Cir. 1985) ("La existencia de un sistema de seguridad hermtico [para prevenir que la manipulacin] no es, sin embargo, un requisito previo para la admisibilidad de las impresiones de computadora. Si tal requisito exista, sera prcticamente imposible de admitir por ordenador los registros generados, la parte contraria la admisin tendra que demostrar solamente que un mejor sistema de seguridad era viable ").. Identificacin. en 559. Esto es consistente con la regla utilizada para establecer la autenticidad de otras pruebas, tales como los narcticos. Vase Estados Unidos contra Alyoes, 106 F3d 695, 700 (6th Cir. 1997) ("El solo hecho que plantea la posibilidad de manipulacin es insuficiente para hacer pruebas inadmisibles."). A falta de pruebas especficas de manipulacin, las acusaciones de que los registros informticos han sido alterados ir a su peso, no su admisibilidad. Ver Bonallo, 858 F2d en 1436.
La EE.UU. Boletn seala adems: "Los estados mejor evidencia de que la regla para probar el contenido de la escritura, grabacin, o una fotografa, la escritura original, de grabacin o fotografa se requiere generalmente. Ver Reserva Federal. R. Evid. 1002. Los agentes y fiscales en ocasiones expresar la preocupacin de que una impresin simple de un archivo de computadora almacena electrnica no puede ser un "original" con el fin de la mejor evidenciadencia regla. Despus de todo, el archivo original no es ms que una coleccin de Os y ls. En contraste, la impresin es el resultado de la manipulacin del archivo a travs de una complicada serie de procesos electrnicos y mecnicos. Afortunadamente, las Reglas Federales de Evidencia se refiri expresamente a esta preocupacin. Reglas de Estado federal que [S] i los datos se almacenan en una computadora o dispositivo similar, cualquier impresin u otra salida legible a simple vista, que se muestra para reflejar los datos con precisin, es un original. " El boletn mencionado se refiere a las Reglas Federales de Evidencia, que se puede encontrar en www.cybercrime.gov en la Seccin de Delitos Informticos y Propiedad Intelectual del
Departamento de Justicia de EE.UU.. Estas normas regulan la presentacin de pruebas en los procedimientos, tanto civiles como penales, en los tribunales federales. Si bien no se aplican a los juegos en los tribunales estatales, las reglas de muchos estados han sido cerca el modelo de estas disposiciones. Cuando se trata de la cadena de custodia, auten-ticacin o la identificacin es de suma importancia. El estndar para la autenticacin de los registros informticos es el mismo que para la autenticacin de otros registros. El grado de autenticacin no vara simplemente porque un registro pasa a ser (o ha estado en un punto de estado) en forma electrnica.
63
En resumen, para las imgenes digitales, la cadena de custodia debe documentar la identidad de la indicacinViduais que han tenido la custodia y el control de la imagen digital (s) desde el punto de captura hasta su archivo. Una vez que el archivo ha sido archivado, la cadena de custodia debe documentar la identidad de individuos de laais que tienen la custodia y el control de la imagen archivada.
Continuidad del Negocio y Planes de Contingencia

Debido a que casi todas las organizaciones hoy en da contamos con los ordenadores para el buen funcionamiento de sus funciones diarias, cualquier tipo de evento ya sea planificada o no, puede traer las operaciones de negocio a un alto. Si ocurre un desastre y su empresa no est preparado, las consecuencias pueden ser catastrficas y pueden ir desde el tiempo de inactividad prolongada a cerrar su negocio de forma permanente. Planificacin asegura que la organizacin va a estar preparado para recuperar los datos y mantener el negocio despus de un desastre, discapacitante. El siguiente es el Instituto Nacional de Estndares y Tecnologa de TI Conla planificacin de contingencia gua. Si bien NIST publica esta gua para los departamentos y agencias federales, organizaciones de los sectores pblico y prdel sector privado ser ms valiosa, tambin.
La TI-Proceso de Planificacin de Contingencia

Para desarrollar y mantener un plan de contingencia de TI, las organizaciones deben utilizar el siguiente enfoque: 1. Desarrollar la declaracin de poltica de planificacin de contingencia-. 2. Llevar a cabo el anlisis de impacto en el negocio (BIA). 3. Identificar los controles preventivos. 4. Desarrollar estrategias de recuperacin. 5. Desarrollar un plan de contingencia de TI. 6. Plan de pruebas, entrenamiento y ejercicios. 7. Plan de mantenimiento. Estos pasos constituyen elementos clave en un amplio TI de contingencia-la planificacin de capacidades. La responsabilidad por el proceso de planificacin general, cae bajo el auspicio de una posicin, posiblemente, titulado coordinador de planes de contingencia o planificador de contingencia, que suele ser un recurso del hombre-gerente dentro de la agencia. El coordinador de la estrategia se desarrolla en cooperacin con otros gestores de recursos asociados con el sistema o los procesos de negocio soportados por el sistema. The Concoordinador de contingencia de planificacin tambin por lo general gestiona el desarrollo y ejecucin del plan de contingencia. Todas las principales aplicaciones y los sistemas generales de apoyo deben tener un plan de contingencia.
1. DESARROLLO DE LA DECLARACIN DE LA POLTICA DE CONTINGENCIA DE PLANIFICACIN Para ser eficaces y asegurar que el personal entiende completamente la agencia de planificacin de contingencia-los requisitos, el plan de contingencia debe basarse en una poltica claramente definida. La declaracin de poltica de planificacin de contingencia, debe definir los objetivos generales de la agencia de contingencia y establecer
64
la estructura organizacional y las responsabilidades para la planificacin de contingencia de TI. Para tener xito, sINOR gestin, ms probable es que el director de informacin (IC), Debe ser compatible con un programa de contingencia. Estos funcionarios deben ser incluidos en el proceso de elaboracin de la poltica del programa, estructura-tura, los objetivos, funciones y responsabilidades. Como mnimo, la poltica de contingencia en caso de cumplir con las pautas federales contenida en los documentos Usted por el NIST SP 800-34, las agencias deberan evalse coman a sus respectivos sistemas de TI, operaciones, y los requisitos adicionales para determinar si conti-planificacin de emergencia-requisitos son necesarios. Los elementos clave de poltica son los siguientes: Funciones y responsabilidades Alcance tal como se aplica al tipo (s) de la plataforma (s) y funciones de la organizacin sujeta a Concontingencia de planificacin Las necesidades de recursos Los requisitos de capacitacin El ejercicio y los horarios de las pruebas Plan de programa de mantenimiento La frecuencia de las copias de seguridad y almacenamiento de medios de copia de seguridad
2. LLEVAR A CABO EL anlisis del impacto empresarial (BIA)
La BIA es un paso clave en el proceso de planificacin de contingencias, ya que permite al coordinador de planes de contingencia para caracterizar completamente los requisitos del sistema, procesos y interdependencias dencias, as como utilizar esta informacin para determinar los requisitos de contingencia y las prioridades. El propsito de la BIA es correlacionar componente del sistema especficoecon los servicios esenciales que prestan, y en base a esa informacin, para caracterizar las consecuencias de una interrupcin en el componente del sistemae. Los pasos clave se enumera recursos crticos de TI, la identificacin de impactos y la interrupcin tiempos permitidos de interrupcin, y en desarrollo las prioridades de recuperacin. En algunos casos, la interrupcin de los impactos identificados en la BIA puede mitigarse o eliminarse a travs de medidas preventivas que disuadir, detectar, y / o reducir los impactos al sistema. Cuando sea factible y rentable, los mtodos de prevencin son preferibles a las acciones que sean necesarias para recuperar el sistema despus de una interrupcin. Los controles preventivos se deben documentar en el plan de contingencia, y el personal asociado con el sistema debe estar capacitado en cmo y cundo utilizar los controles. Una variedad de controles preventivos est disponible, dependiendo del tipo y configuracin del sistema, sin embargo, algunas de las medidas comunes se enumeran aqu: De tamao apropiado de alimentacin ininterrumpida (UPS) para proporcionar a corto plazo de energa de reserva a todos los componentes del sistemae(Incluidos los controles
3. Identificar los controles PREVENTIVAS
medioambientales y de seguridad) Generadores de gasolina o diesel-para proporcionar a largo plazo de energa de reserva Sistemas de aire acondicionado con un exceso de capacidad adecuada para permitir el fracaso de ciertas componentee, Tal como un compresor Sistemas de extincin de incendios
65
De incendio y detectores de humo Sensores de agua en el techo de sala de informtica y el suelo Pl.STIC lonas que pueden ser desenrollado en los equipos informticos para protegerlo de daos por agua Recipientes resistentes al calor y al agua para la copia de seguridad de medios de comunicacin y no electrnicos vitales archivos Principal sistema de parada de emergencia el interruptor De almacenamiento externo de los medios de copia de seguridad, los registros no electrnicos y la documentacin del sistema Los controles tcnicos de seguridad, tales como la gestin de claves criptogrficas y al privilegio, controles de acceso Copias de seguridad frecuentes y regulares Las estrategias de recuperacin proporcionar un medio para restaurar las operaciones de TI de forma rpida y eficaz despus de una interrupcin del servicio. Las estrategias deben abordar los impactos y los tiempos de interrupcin permitidas interrupcin identificados en la BIA. Varias alternativas se debe considerar en el desarrollo de la estrategia, incluido el coste, tiempo de interrupcin permisible, la seguridad y la integracin con los ms grandes, el nivel de organizacin planes de contingencia. La estrategia de recuperacin seleccionado debe responder a los impactos potenciales identificados en el BIA y deben integrarse en la arquitectura del sistema durante las fases de diseo e implementacin del ciclo de vida del sistema. La estrategia debera incluir una combinacin de mtodos que se complementan unos a otros a favorVide capacidad de recuperacin sobre el espectro completo de los incidentes. Una amplia variedad de enfoques de recuperacin puede ser considerado, la eleccin adecuada depende de la incidencia, el tipo de sistema, y sus necesidades operativas. Los mtodos especficos de recuperacin puede incluir los contratos comerciales con fro, caliente o hot-site vendedores, sitios mviles, reflejados sitios, los acuerdos de reciprocidad con en elForganizaciones ernal o externos, y de nivel de servicio (SLA) con los proveedores de equipos. Adems, las tecnologas, tales como matrices redundantes de discos independientes (RAID), cambio automtico de conmutacin por error-, los de alimentacin ininterrumpida (SAI), y los sistemas de espejos deben ser considerados cuando el desarrollo de una estrategia de recuperacin del sistema.
5. DESARROLLAR UN PLAN DE CONTINGENCIA TI 4. EL DESARROLLO DE ESTRATEGIAS DE RECUPERACIN
El desarrollo de TI plan de contingencia es un paso crtico en el proceso de implementacin de un Comprehensive contingencia-la planificacin del programa. El plan contiene las funciones detalladas, las responsabilidades, los equipos y los procedimientos asociados con la restauracin de un sistema informtico despus de una interrupcin. El plan de contingencia debe documentar las capacidades tcnicas diseadas para apoyar las operaciones de contingencia. La contingenciaplan de emergencia debe adaptarse a la organizacin y sus necesidades. Los planes deben
equilibrar los detalles con la flexibilidad, por lo general cuanto ms detallado sea el plan, el menos escalable y verstil, el enfoque. La informacin presentada en el NIST SP 800-34 pretende ser una gua, sin embargo, el formato del plan pueden ser modificados segn sea necesario para satisfacer mejor sistema especfico del usuario, operativos y de organilos requisitos de inmunizacin. En su enfoque, el plan de contingencia debe incluir cinco componentes principales: Apndices informacin de apoyo, de notificacin / activacin, recuperacin, reconstruccin, y el Plan. La primera
y los componentes ltimos proporcionan informacin esencial para garantizar un plan integral. La notificacin / activacin, recuperacin y las fases de reconstitucin frente a las acciones especficas que el organizacin debe tomar despus de una interrupcin del sistema o de emergencia. El componente de Apoyo a la Informacin incluye una introduccin y una seccin de concepto-de-operaciones que proporciona informacin fundamental o la informacin contextual que hace que el plan de contingencia ms fcil de entender, implementar y mantener. Estos detalles ayudan a conocer la aplicabilidad de la gua, en la toma de decisiones sobre cmo utilizar el plan, y en el suministro de informacin sobre dnde los planes asociados y informacin fuera del alcance del plan se puede encontrar. La fase de notificacin / activacin define las acciones iniciales adoptadas una vez a la disrupcin del sistemacin o de emergencia se ha detectado o parece ser inminente. Esta fase incluye las actividades de recuperacin para notificar al personal, evaluar los daos en el sistema, y poner en prctica el plan. A la finalizacin de la fase de notificacin / activacin, el personal de la recuperacin ser preparado para llevar a cabo las medidas de contingencia para restaurar las funciones del sistema sobre una base temporal. La fase de recuperacin comienza despus de que el plan de contingencia ha sido activado, la evaluacin de daos se ha terminado (si es posible), el personal han sido notificados, y apropiada los equipos se han movilizado. Las actividades de recuperacin de fase se centran en las medidas de contingencia para ejecutar temporales TI capacidades de procesamiento, a reparar el dao al sistema original, y restaurar la capacidad operativa en la instalacin original o nuevo. A la finalizacin de la fase de recuperacin, el sistema informtico estar en funcionamiento y llevar a cabo las funciones desig-nados en el plan. Dependiendo de las estrategias de recuperacin definidas en el plan, estas funciones podran incluir temporalmente el procesamiento manual de recuperacin, y la operacin en un altsistema de rnate, o la reubicacin y recuperacin en un altrnate sitio. Los equipos con responsabilidades de recuperacin deben entender y ser capaz de llevar a cabo estas estrategias de recuperacin de sobra que si el plan de trabajo no est disponible durante las etapas iniciales del evento, an puede realizar las actividades necesarias. En la fase de reconstitucin, las actividades de recuperacin han sido terminados, y las operaciones normales se transfieren de nuevo a las instalaciones de la organizacin. Si la instalacin original es irrecuperable, las actividades en esta fase tambin puede aplicarse a la preparacin de una nueva planta para apoyar sistematem requisitos de procesamiento. Una vez que el sitio original o nuevo se restaura el nivel que puede soportar el sistema de TI y sus procesos normales, el sistema puede ser la transicin de vuelta a la original o al sitio nuevo. Hasta que el sistema principal se restablezca y probado, el sistema de contingencia en caso de continuade optasa. La fase de reconstitucin debe especificar los equipos responsables de la reparacin o sustitucin tanto en el sitio y el sistema de TI. Apndices del Plan de Contingencias proporcionar detalles importantes que no figuran en el cuerpo principal del plan. En los apndices se debe reflejar los requisitos especficos de contingencia tcnicos, operativos y de gestin del sistema dado. Apndices pueden incluir,
pero no se limi-limitada a la informacin de contacto para el personal del equipo de planificacin de contingencias, informacin de contacto de proveedores, incluyendo el almacenamiento fuera del sitio y altPOC rnate sitio; operativos estndar procedi-mientos y listas de comprobacin para la recuperacin del sistema o los procesos, equipos y requisitos del sistema de las listas de hardware, software, firmware y otros recursos necesarios para apoyar las operaciones del sistema, los acuerdos con proveedores, acuerdos de reciprocidad con otras organizaciones y otros actas del registro civil, descripcin de direcciones y sometidas a la altrnate sitio, y BIA.
67
Los planes deben tener el formato para proporcionar una direccin rpida y clara en el caso de aquel personal no estn familiarizados con el plan o los sistemas estn llamados a realizar operaciones de recuperacin. Los planes deben ser claros, concisos y fciles de implementar en caso de emergencia. Siempre que sea posible, listas de control y los procedimientos paso a paso se debe utilizar. Lenguaje conciso y bien formateado, reduce la probabilidad de la creacin de un plan excesivamente complejo o confuso.
6. PLAN DE PRUEBAS, entrenamiento y ejercicios
Plan de pruebas es un elemento crtico de una capacidad de contingencia viable. Prueba permite plan de deficiencias-cias para ser identificados y tratados. Las pruebas tambin ayuda a evalcomi la capacidad del personal de recuperacin para aplicar el plan con rapidez y eficacia. Cada elemento de contingencia de TI plan debe someterse a prueba para confirmar la eficacia de los procedimientos individuales de recuperacin y el plan general. El siguiente reas deben ser abordados en una prueba de contingencia: Sistema de recuperacin a una altla plataforma de los medios de copia de seguridad rnate La coordinacin entre los equipos de recuperacin EnFconectividad ernal y externa El rendimiento del sistema utilizando altequipos rnate Restauracin de las operaciones normales Los procedimientos de notificacin Capacitacin para el personal con responsabilidades plan de contingencia-deben complementar las pruebas. La capacitacin debe ser proporcionada al menos una vez al ao, los nuevos empleados con responsabilidades de planes deberan recibir una formacin poco despus de ser contratados. En ltima instancia, del plan de contingencia, el personal debe estar capacitado en la medida en que los que son capaces de ejecutar sus respectivos procedimientos de recuperacin, sin la ayuda del documento real. Este es un objetivo importante en el caso de que las versiones en papel o electrnica del plan no estn disponibles para las primeras horas despus de algn desastre. El personal de recuperacin debe ser capacitacin en los elementos del plan siguientes: Propsito del plan Cruz-equipo de coordinacin y comunicacin Los procedimientos de notificacin
Los requisitos de seguridad Equipo de los procesos especficos (notificacin / activacin, recuperacin y las fases de la reconstitucin) Las responsabilidades individuales (notificacin / activacin, recuperacin y las fases de la reconstitucin)
68
7. PLAN DE MANTENIMIENTO
Para ser eficaz, el plan debe ser mantenido en un estado listo que refleje con precisin los requisitos del sistema, procedimientos, estructura organizativa y las polticas. Los sistemas de TI sufren cambios frecuentes debido a las necesidades de negocio cambiantes, actualizaciones tecnolgicas, o inte nuevamAl o extemAl polticasCIES. Por lo tanto, es esencial que el plan de contingencia se revisarn y actualizarn regularmente, como parte del proceso de la organizacin de gestin del cambio para que la informacin nueva se documenta y se revisan las medidas de contingencia en caso necesario. Como regla general, el plan debe ser revisado la exactitud e integridad por lo menos una vez al ao o cuando se produzcan cambios significativos a cualquier ele-mento del plan. Algunos elementos, tales como listas de contactos, se requieren revisiones ms frecuentes. Dependiendo del tipo de sistema y la criticidad, puede ser razonable para evalse comi el contenido del plan y procedimientos con mayor frecuencia.
Resumen del captulo

Muchas organizaciones no estn suficientemente preparados para hacer frente a la computadora (o red) intrusiones y son ms propensos a responder a la necesidad de prepararse y responder a los incidentes slo despus de ha ocurrido una infraccin. Incluso con la seguridad sofisticados y medidas preventivas en el lugar, las intrusiones pueden - y no - suceder. La mejor defensa es un buen ataque. Las organizaciones necesitan una estrategia - incluyendo la preparacin y los planes para la deteccin y la respuesta - a la manipulacin de intrusiones con eficacia. En este captulo se centra en la preparacin, que incluye la seleccin, instalacin, y familiarizarse con va-generales tcnicas y herramientas que le ayudarn en el proceso de respuesta y le ayudar a recopilar y mantener datos relacionados con un intrusin. Puntos principales tratados en este captulo se incluyen Cmo preparar los sistemas operativos para recoger y conservar las pruebas a travs de la tala y auditora Los beneficios de la sincronizacin de tiempo, sellado de tiempo, y su papel en el fortalecimiento de una capacidad de organizacin de respuesta a incidentes La importancia de la identificacin y mapeo de los dispositivos de red de respuesta a incidentes Los procedimientos para la recopilacin de pruebas de la memoria y la imagen de los
discos duros La importancia de adherirse a una cadena de custodia en su caso las posibles pruebas es ser admisible en un tribunal de justicia La criticidad de la planificacin de la continuidad en la preparacin de respuesta a incidentes
Captulo 4
Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos

ln este captulo
Una visin general de la estructura del Registro de Windows La recopilacin de datos del Registro Edicin del registro y los procedimientos de copia de seguridad La comprensin de Windows de almacenamiento de datos La tabla de asignacin de archivos de Windows (FAT) El seguimiento y la recuperacin de archivos borrados a travs de la papelera de reciclaje de Windows Almacenamiento de datos utilizando el sistema Unix / Linux ficheros ext2 Recuperar archivos borrados en ext2 A NIVEL MUNDIAL,'S estima que aproximadamente el 90 por ciento de PCsejecutar una versin u otro del sistema operativo de Microsoft Windows. De hecho, la naturaleza casi omnipresente de los sistemas operativos de Microsoft Windows fue el foco de un Departamento muy publicitado juicio Justicia de EE.UU. de defensa de la competencia. Con su interfaz fcil de usar y de gran popularidad, Windows contingenciaes ser el blanco principal de los ataques de los hackers y otros intrusos que utilizan cdigos maliciosos. Recientes estudios-s indindican que no actualizados y sin proteccin equipos basados en Windows que se han conectado a Internet por lo general comprometido en menos de 72 horas. A pesar del uso de servidores de seguridad potentes y sofisticados intrusisistemas de deteccin de n, incluso un sistema de proteccin puede llegar a ser la vctima de un ataque. Para ser eficaz, el personal de respuesta a incidentes de hoy en da deben ser entrenados en tcnicas de investigacin, de respuesta a incidentes tacls, y los procedimientos legales para la recopilacin de pruebas. Un blanco popular para los intrusos maliciosos es el Registro de Windows. Los piratas informticos con conocimientos puede tener acceso al Registro y manipcontraseas de
los usuarios finales, la configuracin de DNS, los derechos de acceso, u otras caractersticas que puedan necesitar para cumplir sus objetivos. Para complCate es ms importante, el Registro de Windows es grande, as como dinmica, y la informacin en el Registro es diversa, por lo que es difcil de controlar. Este captulo se centra en las funciones del Registro de Windows y el juego de almacenamiento de datos en la investigacin forense y los procedimientos de respuesta a incidentes. Ofrece manejo de incidentes con el conocimiento y las herramientas necesarias para proteger el Registro mientras que con xito investigar y responder a incidentes informticos dentro de sus organizaciones.
69
70
El Registro de Windows
El Registro de Windows es un datbase, donde toda la informacin acerca de un equipo se almacena. La Registro se utiliza para almacenar Configuracin del sistema operativo Solicitud de informacin de configuracin Informacin de configuracin de hardware Informacin del usuario la seguridad La informacin del usuario actual Todo, desde las aplicaciones instaladas y las opciones del panel de control de los colores mostrados en la pantalla se almacena en el Registro de datbase. Con Windows 9.x, la Secretara est contenida en dos archivos (System.dat y User.dat), ubicado en el directorio de Windows. Tambin se encuentra en el directorio de Windows son copias de seguridad del Registro de llamadas System.daOy User.daO. Con Windows NT/2000, los archivos de registro se conoce como urticaria y se almacenan en varios directorios dentro del sistema operativo NT. Antes de la llegada de Windows 95, las funciones del Registro se ha realizado por WIN.INI SYSTEM.INI, y de otra ndole. INI archivos que estn asociados con las aplicaciones.
Estructura del Registro

El Registro tiene una estructura jerrquica similar a la estructura de directorios en el disco duro. Cada rama principal, representada por una carpeta ICn en el Editor del Registro (tambin conocido como REGEDIT, ver Figura 4-1) se llama una colmena. Ubicado dentro de las colmenas son las claves. Cada tecla puede contener otras claves llamadas subclaves junto con sus valoresES. Es el valES que contienen la informacin real que se almacena dentro el Registro. Lo que sigue es un resumen de las seis ramas principales del registro. Tenga en cuenta que cada rama contiene una parte especfica de la informacin almacenada en el Registro: HKEY_CLASSES_R00T. Esta rama del Registro contiene la asociacin de archivos tipos, Object Linking and Embedding informacin (OLE), y los datos de acceso directo. Esta clave, junto con el puntero al \ C1culos subclave, proporciona compatibilidad con versiones anteriores de Windows 3.x para OLE y DDE apoyo. HKEY_CURRENT_USER. Esta rama apunta a la seccin de HKEY_USERS apropiado para el usuario actualmente conectado a la PC. HKEY_LOCAL_MACHINE. Esta rama contiene informacin especfica sobre hardware, software, y otras preferencias para el PC local. Esta informacin se utiliza para todos los usuarios que inician sesin en este equipo.
HKEY_USERS. Esta rama contiene las preferencias individuales para cada usuario de la computadora. Cada usuario est representado por un identificador de seguridad (SID) subclave situada bajo la principal rama.
Captulo 4: Registro de Windows, la papelera de reciclaje y almacenamiento de datos HKEY_CURRENT_CONFIG. Esta rama enlaces a HKEY_LOCAL_MACHINE \ Config para informacin especfica del equipo.
71
HKEY_DYN_DATA. Esta rama contiene informacin que se debe mantener en la memoria RAM. De Windows en ocasiones, los swaps de informacin a la unidad de disco duro, que se actualiza System.dat o User.dat, pero la informacin en HKEY_DYN_DATA permanece en la memoria RAM. Esta rama tiene no aparece en Windows XP o Windows 2000. Dentro de las claves de registro, hay cinco tipos de valoresES. Lo que sigue es una lista de valoresES junto con un breve explicacin de sus funciones: Cadena o REG_SZ. Este tipo es una cadena estndar, que se utiliza para representar texto legible valES. Binario o REG_B yoNary. Este tipo almacena el valiosocomo datos binarios primas. La mayora del hardware informacin de los componentes se almacenan como datos binarios y se muestra en el Editor del Registro en formato hexadecimal. DWORD o REG_DW0RD. Este tipo representa los datos como un nmero de cuatro bytes y es com-comnmente utilizado para booleana ValES, por ejemplo, cuando se desactiva 0 y 1 est activado. Adems, muchos parmetros para los controladores de dispositivos y servicios son de este tipo y se pueden visualizar en formato binario, hexadecimal y en formato decimal. Multistring valiosao REG_MULTI_SZ. Este tipo es un mltiple de cadena para representar valoreses que contienen listas o mltiple Vales, cada entrada est separada por un carcter nulo. De cadena expandible valiosao REG_EXPAND_SZ. Este tipo es una cadena de datos expansible, que es decir, una cadena que contiene una variable para ser sustituido cuando es llamado por una aplicacin. Por ejemplo, la cadena "% SystemRoot%" se sustituye por la ubicacin real del directorio que contiene los archivos de sistema de Windows NT.
Visualizacin y edicin de la Secretara

Antes de hacer cualquier cambio en el Registro, siempre se debe hacer una copia de seguridad del Registro en primer lugar. Cualquier error o errnea baoFRies hizo cuando se utiliza el Editor del registro puede hacer que Windows se comportan de forma errtica o, peor an, es posible que Windows no se carga en absoluto. El Registro no puede ver o editar con un editor de texto estndar. Dado que los datos de registro se almacenan en archivos binarios, para ver o editar el Registro, debe utilizar un programa incluido en Windows llamado REGEDIT o un programa de terceros especficamente diseado para la edicin del Registro. Desde REGEDIT no aparece en los hombres Inicio de Windows, Debe acceder a travs de un comando (DOS) del sistema o utilice los hombres Run. Para ejecutar este proprograma, simplemente haga clic en Inicio, luego en Ejecutar, y escriba regedit en el campo de entrada (ver Figura 4-2) o el tipo regedit en el smbolo del sistema cuando el Editor del Registro. Para obtener informacin ms detallada acerca de cmo modificar el Registro, siga estos pasos, mientras que el Editor del Registro est abierto:
1. En la parte superior del editor, seleccione Ayuda a los hombres, A continuacin, en Temas de Ayuda. 2. Seleccione la ficha Contenido, a continuacin, seleccione Cambiar claves y ValES. 3. Seleccione el tema que desee.
Figura 4-1:El Editor del Registro de Windows (regedit)
Abrir:
Escriba el ombre del recurso de Internet
un programa, una carpeta y Windows w \ \ \
documentar, o abrirlo para usted
33 A
1 JJifJiFH
Acept ar
Cancelar
Navegar
Yo
Figura 4-2: Lanzamiento REGEDIT en el cuadro de dilogo Ejecutar de Windows
Una alternativa de Editor del Registro (Regedt32.exe) est disponible para su uso con Windows NT/2000. Incluye algunas caractersticas adicionales que no se encuentran en la versi norman. Las caractersticas avanzadas incluyen la capacidad para ver y modificar los permisos de
seguridad, y a capacidad de crcomieron y modificar el extensa
cadena de valoreses REG_EXPA ND_SZ y REG_MUL TI_SZ.
Captulo 4: Registro de Windows, la papelera de reciclaje y almacenamiento de datos
73
Recoleccin de Datos del Registro

Muchos sitios web de hackers subterrneos hincapi en la importancia del registro de Windows. Permisos incorrectos u opciones de seguridad puede permitir el acceso remoto al Registro. Los hackers pueden explotar esta caracterstica para comprometer un sistema o para formar la base para el ajuste de la asociacin de archivos y permisos para permitir que el cdigo malicioso. Por ejemplo, un hacker podra ocultar procesos, archivos y claves del Registro. Como se describe en el captulo 1, un mtodo simple para cargar una aplicacin en el inicio es aadir una entrada (clave) a la siguiente Seccin del Registro:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ CurrentVersion \ Run
Si bien este es un lugar comn para el lanzamiento de fiaraplicaciones de software compaero, sino que tambin puede ser utilizado por los hackers o los codificadores maliciosos para provocar una peligrosa de una aplicacin (como un caballo de Troya o un capturador de teclado de carrera) que ser lanzado la prxima vez que se inicia el equipo. Si bien los datos de registro pueden ser vistos a travs de la incorporada en Windows Registry Editor (regedit), la mayora de valoreses en el Registro son leer y actualiza slo las aplicaciones que lo utilizan. Uno de los primeros pasos para reunir informacin sobre un comprometido equipo de Windows es la recopilacin de datos voltiles. Datos voltiles se puede definir como informacin activa temporalmente refleja el estado actual de la mquina. Esto incluye los contenidos de los registros, cachs, memoria fsica y virtual, as como informacin acerca de las conexiones de red, acciones, procesos que se ejecutan, discos, unidades de discos flexibles, cintas, CD / ROM, y la actividad de impresin. Una herramienta til para la recogida de la volatilidad de los datos del Registro es Regmon (ver Figura 4-3), por Mark Russinovich y Bryce Cogswell. Regmon es una utilidad gratuita que muestra, captura y registra toda la actividad del Registro en tiempo real. Debido a que tiene la capacidad de monitorear, capturar y registrar la actividad del Registro, que es til como un inci-dente de respuesta y una herramienta forense. Para obtener informacin adicional o para descargar Regmon, visite www.sys interna-s.com. Otra herramienta til programa gratuito para el seguimiento y registro de los cambios en el Registro de Windows es InCntrl5 (ver Figura 4-4), escrita por Neil J. Rubenking. InCntrl5 supervisa los cambios realizados al registro, las unidades y del INI. Y archivos de texto de equipos
basados en Windows. Aunque fue diseado principalmente para rastrear los cambios que se producen en todo el sistema al instalar software nuevo, tambin es muy til cuando se realiza un examen forense, ya que permite el examinador de comparar los cambios realizados en un sistema, tanto antes como despus de un compromiso del sistema. InCntrl5 se puede descargar en
www.extremetech.com.

:> 'Registro de -Sysintemals: www.svsinternals.CDm Editar Monito archivo Q |> nes de ayuda
B0E
U I % B et - I v 9 1 44 gl
t | Hora 52889 602.48186195 5289Q 602 48194073 52891 602 48201951 52882 602.48205886 52883 602.48208656 52894 60248215360 52895 60248218129 52896 602.48306461 52837 602.48313250 52898 60248316689 52899 602 48320879 52800 602.48328671 52801 602.48335785 52902 602 48338729 52903 602.48410385 52804 602.48417080 52805 602.48420358 52906 602 48424214 52907 602.48426644 52808 602.48434271 52809 602.48437036 52910 60248476427 52911 60248531322 52812 602.48535848 52813 603.38787126 52914 60338790649 52915 60338015842 52816 603.33025883 52817 603.33023503 52918 60338038135 52919 60338096634 52820 603.33033386 52821 603.38161251 52922 603 38195609 52923 603 38198710 52824 603.33174386 Proceso worldtime.e .. worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne werldlime WorldTi me WorldTi me worldlirne
fi
Fleques! CreateKey OpenKey OpenKe ^ Quer ^ Valor QueryValue Mtodo CloseKey CloseKe ^ CreateKey OpenKey OpenKey Quer ^ Valor Quer ^ Valor Mtodo CloseKey Mtodo CloseKey CrealeKe ^ OpenKey penKey OueryValue Quer ^ Valor Mtodo CloseKey Mtodo CloseKey Mtodo CloseKey CloseKe ^ Mtodo CloseKey QueryValue OueryValue GpenKe ^ Quer ^ Valor QueryValue Mtodo CloseKey Quer ^ Valor Quer ^ Valor OpenKey OueryValue Quer ^ Valor Mtodo CloseKey
| Camino H KLM \ S istema \ CLirrentContrl5 et \ 5 ervi. H KLM \ S jisterrACurrentControlS ErAS ervi. HKLM \ Soltware \ Palicies \ MicrosoltWi .. H KLM \ SysterrACurrentControlS et \ 5 H KLM \ Systern \ ervi. CLirrentCoritrol5 et \ 5 ervi. H KLM \ JisterrACurrentControlS S et \ S ervi. H KLM \ JisterrACurrentControlS S et \ S ervi. H KLM \ System \ CLirrentControl5 et \ 5 ervi. H KLM \ S ysterrACurrentControrS et \ 5 ervi. HKLM \ Sollware \ Policies \ MicrosollWi .. H KLM \ JisterrACurrentControlS S et \ S ervi. H KLM \ S jistenACurrentControrS et \ 5 ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H VSysterrACurrentControlS KLM et \ S ervi. H KLM \ SysterACurrentControlS et \ S ervi. \ Policies \ HKLM \ Software MicrosoftWi .. H KLM \ S ysterrACurrentControrS et \ S ervi. H VSysterrACurrentControlS KLM et \ S ervi. H KLM \ SysterACurrentControlS et \ S ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H KLM \ S ysterrACurrentControrS et \ S ervi. H VSysterrACurrentControlS KLM et \ S ervi. H KLM \ SysteriACurrentControlS et \ S ervi. HKLM \ SYSTEM \ ControlSet001 \ 3ervic. HKLM \ SY9TEM \ ControlSet001 \ HKLM \ SYSTEM 9ervic. \ CurrentControlSet \ 9e HKLM \ SYSTEM \ CurreiitContror3et \ HKLM \ SYSTEM Se. \ CurreiitContror3et \ HKLM \ SY9TEM \ Se. CurrerlContralSet \ 9e HKLM \ SY9TEM \ ControlSet001 \ Servc. HKLM \ SYSTEM \ Control5et001 \ Services. HKLM \ SYSTEM \ CurreiitContror3et \ HKLM \ SY9TEM \ Se. CurrerlContralSet \ 9e HKLM \ SY9TEM \ CurrentControlSet \ 9e HKLM \ SYSTEM \ CurreiitContror3et \ Se.
| Resultad SUCCE . . SUCCE. NOTFO. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . . SUCCE . NOTFO. SUCCE. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . NOTFO. SUCCE. SUCCE. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . . SUCCE . SUCCE. SUCCE. 5UCCE . . NOTFO. SUCCE. SUCCE. 5UCCE . . . SUCCE . SUCCE. NOTFO. 5UCCE . .
Otro Clave: 0xE1B ... KeyOxEIB ...
e .. e .. e e .. e .. e e .. e .. e e .. e .. e e .. e ..
KeyOxEIB. Clave: 0xE1B ... Clave: 0xE1B ... Clave: 0xE1B ... "DS-1000" "DS-1000" Clave: 0xE1B ... KeyOxEIB ... Clave: 0xE1B ... Clave: 0xE1B ...
werldlime e WorldTi e me .. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX. Euplorer.EX. Explorer.EX.
Clave: 0xE1B ... Clave: 0xE1B ... Clave: 0xE12 .. Clave: 0xE12 .. Clave: 0xE11 ... "\ Device \ {... "" \ Device \ {... Clave: 0xE11 .. 0x0 KeyOxEII .. "\ Device \ {... "\ Device \ t... Clave: 0xE11 ... 0x0 Clave: 0xE11 ...
Figura 4-3: La utilidad Regmon
Figura 4-4: La lnCntrl5 Utilidad
Copia de seguridad del Registro y los procedimientos de restauracin

El Registro es un componente crtico del sistema operativo. Cuando est daado, Windows no se carga correctamente. Sin ella, Windows no se carga en absoluto. Cuando un sistema ha sufrido un
compromiso, una copia de seguridad de la Secretara tiene un rol importante en la respuesta a incidentes. Es obligatorio que apropiadas se tomen precauciones para proteger los datos esenciales que se requiere para la recuperacin en el
75
caso de daos a un sistema Windows, especialmente en su registro. Adems, dado que los piratas informticos y los codificadores maliciosos a menudo apuntan a la Secretara, una copia de seguridad o copiaun Registro adulterado puede ser utilizado como una base de comparacin cuando se realiza un examen forense de una afectada de cmputonEl concepto de copias de seguridad de archivos con frecuencia es ignorada y / o mal entendido entre los usuarios de computadoras organizacionales. Por desgracia, las consecuencias de no adecuadamente el respaldo de archivos se puede poner una organizacin fuera del negocio. Los siguientes son los procedimientos generales de copia de seguridad para Windows NT 4.0, 2000, y XR Windows NT 4.0 En Windows NT 4.0, hay dos mtodos que se que se pueden utilizar con el fin de respaldar y restaurar todo el Registro. La primera (y preferido) mtodo consiste en utilizar el. Herramienta integrada de seguridad de Windows NT (Ntbackup.exe) y utilice la opcin de realizar copias de seguridad ya sea de seguridad o restaurar el Registro Este pro-grama, que es parte de Windows NT 4.0, se puede invocar simplemente escribiendo ntbackup en el cuadro de comando Ejecutar en los hombres de inicio de Windowso en el smbolo del sistema. Tenga en cuenta que al emplear este mtodo se necesita una cinta de funcionamiento, Zip o CD-RW a recibir la copia de seguridad. El mtodo de copia de seguridad de segunda es utilizar RDISK con la rdisk / s comando. Windows NT con-tiene una utilidad RDISK que se utiliza para extraer los datos esenciales (de la Secretara de un sistema Windows NT) necesarios para la recuperacin en caso de que el Registro se ha daado. Cuando se utiliza con el / S opcin, RDISK ayuda en la recuperacin de las cuentas de usuario, grupos, polticas y controles de acceso mediante la extraccin de Administrador de cuentas de seguridad (SAM) de la informacin. Despus de utilizar este procedimiento, los datos extrados inicialmente se escriben en archivos en un directorio llamado de reparacin, que normalmente se encuentra en el C: \ WINNT \ directorio.
La utilidad RDISK no tiene la intencin de hacer una copia de seguridad completa de un registro de Windows NT 4.0. Los archivos de datos slo se RDISK destinado a contener la informacin esencial necesaria para una rpida recuperacin, no todo el contenido del Registro. Para realizar una copia de seguridad completa del Registro de Windows NT 4.0, una herramienta de utilidad ms amplio (como Ntbackup.exe) o una utilidad de terceros especficamente diseado para copia de seguridad del registro debe ser utilizado.
WINDOWS 2000 Con el fin de hacer una copia de seguridad de todo el Registro en Windows 2000, es necesario utilizar la utilidad Copia de seguridad de Windows 2000. Mientras que la utilidad de copia de seguridad se utiliza a menudo para crse comi un disco de reparacin de emergencia (ERD), tambin se puede utilizar para realizar copias de seguridad y restaurar el estado del sistema, que incluye el Registro, el Registro de clases COM + datbase, y otros archivos crticos necesarios para arrancar el ordenador.
El procedimiento de copia de seguridad del estado del sistema en un equipo con Windows 2000 es el siguiente: 1. Haga clic en Inicio y, a continuacin, seleccione Programas. 2. Vaya a Accesorios, luego Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. Bajo el programa de copia de seguridad, seleccione (haga clic en) la pestaa Copia de seguridad.
Respuesta a Incidentes: Computer Toolkit Forense Seleccione el estado del sistema casilla de verificacin. (Todos los componentes para realizar copias de seguridad son Usted en el panel de la derecha. No se puede seleccionar individualmente cada elemento.)
Durante la copia de seguridad del estado del sistema, debe seleccionar la copia de seguridad la
EUR
carpeta WinnttCarpeta Sysvol. Esta opcin s tambin se requiere durante el proceso de restauracin con el fin de tener un volumen de trabajo del sistema (SYSVOL) despus de la recuperacin.
El procedimiento para restaurar el estado del sistema desde una copia de seguridad en un equipo con Windows 2000 es el sigue: 1. Haga clic en Inicio y, a continuacin, seleccione Programas. 2. Vaya a Accesorios, a continuacin, elija Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. Bajo el programa de copia de seguridad, seleccione la ficha Restaurar. 5. En la ficha de restauracin, seleccione los medios de copia de seguridad adecuadas y el Estado del sistema para restaurar.
Al igual que con el procedimiento del sistema de copia de seguridad del Estado, durante la operacin de restauracin, la carpeta WinnttSysvol tambin debe ser seleccionado para ser restaurado con el fin de tener un volumen de sistema activo de trabajo despus de que el proceso de recuperacin. Asegrese de que la opcin avanzada para restaurar los "puntos de unin y de datos", tambin se selecciona antes de la la restauracin. Esto asegura que los puntos de unin del volumen se vuelve a crear.
6. En el cuadro Restaurar archivos en, seleccione la ubicacin original. 7. Haga clic en Iniciar. 8. Despus de que el proceso de restauracin haya finalizado, reinicie el equipo. Si desea restaurar el estado del sistema en un sistema comprometido o daado, lo mejor es por formar los pasos antes mencionados, mientras que el equipo est funcionando en modo seguro. Con el fin de iniciar el equipo en modo seguro, siga estos pasos:
1. Encienda el ordenador y pulse la tecla F8 tan pronto como usted ve el arranque de Windows 2000 hombres. 2. Usando las flechas del teclado, seleccione la opcin apropiada del Modo a prueba de errores y a continuacin, pulse Intro. 3. Ahora, Windows se iniciar en modo seguro.
77
WINDOWS XP Al igual que Windows 2000, hacer copia de seguridad del estado del sistema (registro, el Registro de clases COM + datbase, y los archivos crticos de arranque) en Windows XP, la necesidad de emplear la utilidad de copia de seguridad. El procedimiento para realizar copias de seguridad del estado del sistema en un equipo con Windows XP es el siguiente: 1. Haga clic en Inicio y, a continuacin, seleccione Todos los programas. 2. Vaya a Accesorios, luego Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. De forma predeterminada, la pantalla de copia de seguridad y restauracin de Wizard. 5. Seleccione el modo avanzado, a continuacin, haga clic en el Asistente para la copia botn Opciones avanzadas. 6. La pantalla del asistente de copia de seguridad. Haga clic en Siguiente. 7. En el Qu hacer copia de seguridad del panel, seleccione la opcin "Slo una copia de seguridad del estado del sistema de datos" (ver Figura 4-5), a continuacin, seleccione Siguiente para elegir el ombre y ubicacin de los archivos de copia de seguridad. 8. Haga clic en Finalizar para completar el proceso.
Figura 4-5: El Asistente para la copia de Windows XP
El procedimiento para restaurar el estado del sistema desde una copia de seguridad en un equipo con Windows XP es tan sigue: 1. Haga clic en Inicio y, a continuacin, seleccione Todos los programas.
2. Vaya a Accesorios, luego Herramientas del sistema. 3. En Herramientas del sistema, seleccione el programa de copia de seguridad. 4. De forma predeterminada, la pantalla de copia de seguridad y restauracin de Wizard. 5. Seleccione el modo avanzado, a continuacin, haga clic en el botn Opciones avanzadas Asistente de restauracin.
78
Respuesta a Incidentes: Computer Toolkit Forense 6. En la recepcin a la restauracin de pantalla del asistente, seleccione Siguiente. 7. Seleccione el archivo de copia de seguridad que desea restaurar y seleccione Restaurar para finalizar el proceso.
Programas de registro de copia de seguridad (Shareware y Freeware)

El proceso de copia de seguridad del Registro vares entre las versiones de Windows. En lugar de la lista a todos ellos, los usuarios interesados en aprender cmo hacer una copia de forma manual en el marco de su particular versi de Windowsn puede encontrar las instrucciones detalladas en el http://support.ru icrosoft.com. Las versiones posteriores de Windows tienen una utilidad integrada de restauracin que toma instantneas peridicas de los archivos crticos del registro y de otro tipo y las guarda en un lugar especial. Esto permite a los usuarios para hacer retroceder la configuracin del sistema operativo para una copia de trabajo en el caso de que el registro se corrompe o alterado por cdigo malicioso. Afortunadamente, hay docenas de utilidades freeware y shareware que puede realizar fcilmente copias de seguridad del Registro y la restauracin, con slo unos clics del ratn. Para aquellos que estn entresado, las siguientes son tres los sitios Web que contienen copias de seguridad del Registro y la restauracin y gratuito programas shareware, junto con numerosos otros servicios pblicos:

http://freeware.intrastar.net/registry.htm www.webattack.com www.davecentral.com
La comprensin de almacenamiento de datos

Para entender la recuperacin de datos forense, es importante apreciar primero cmo y dnde se almacenan los datos. Casi todas las computadoras de escritorio y servidor en uso hoy en da contiene uno o ms de disco duro Dri-VES. A diferencia de los disquetes, discos Zip, que contienen una delgada pl flexiblesla pelcula stic para almacenar datos, unidades de disco duro tiene un plato fuerte con un recubrimiento especial que almacena los datos digitales magnticos. Esto es muy diferente desde el CD-ROM (por ejemplo, CD-R y CD-RW) Los discos, que almacenan los datos digitales en forma de micro-escpica manchas reflectantes y no reflectantes a lo largo de ranuras en el disco.
El disco duro
El disco duro es uno de los componentes ms importantes de la computadora de hoy en da. La unidad de disco duro tiene la gran mayora de los datos almacenados en un ordenador. Desde el punto de vista de respuesta a incidentes, el disco duro debe ser protegida por la valiosade los datos contenidos en ella. Desde el punto de vista forense, el disco duro, a causa de los archivos de registro y rincones de almacenamiento de datos y grietas, puede ser una valiosa fuente de evidencia potencial. En un tiempo, unidades de disco duro se llaman unidades de Winchester. Este trmino se remonta a la dcada de 1960 cuando IBM desarroll una alta velocidad de disco duro que tena 30 MB de almacenamiento fijo-disco y 30 MB de disco extrables de almacenamiento. La unidad, denominada 30-30, pronto se gan el apodo del famoso Winchester Winchester 30-30 rifle. El apodo de Winchester no tena valiosa tcnica, Que simplemente estaba tan extendido que todos los discos duros de alta velocidad se refiere, como pronto "Winchester" unidades.
79
Los discos duros almacenan datos en uno o ms platos de xidos metlicos, cada uno con dos lados sobre el cual los datos pueden ser almacenados. Las bandejas de disco duro estn hechos de vidrio o aluminio. Un disco duro tpico contiene varios de estos discos de 3,5 pulgadas, que puede contener decenas de miles de millones de bits individuales de datos. Densidad de rea ha sido el indicador principal de la tasa de crecimiento de capacidad de disco duro. Cuanto mayor sea la densidad de rea de los platos de un disco duro, los bits de datos ms que pueden ser empacados en cada centmetro cuadrado de bandeja Real Estte. Estos discos, que giran a una velocidad de entre 3.600 y 10.000 revoluciones por minuto, titulares de las cargas magnticas que hacen de los datos almacenados en los discos. Una unidad de disco duro tiene una lectura / escritura de la cabeza por plato, que est conectado a un brazo actuador. Esta cabeza en realidad flota sobre un colchn de aire generado por los discos que gira rpidamente. La distancia que el flotador cabezas es slo de 1 a 2 micro-pulgadas (una millonsima de pulgada) por encima de la superficie de los platos. Debido a estas tolerancias extremas, la unidad de disco est sellado para evitar que la suciedad o el polvo de en la unidad. Toda la informacin contenida en una unidad de disco duro se almacena en las pistas, que son crculos concntricos colocados en la superficie de cada plato, muy parecido a los anillos anuales de un rbol. Desde una pista en el disco duro sera demasiado grande para un sistema operativo para gestionar como una unidad nica y continua, mpistas ltiple se utilizan. Las pistas estn numeradas, a partir de cero, y comienzan en la parte exterior del plato y aumento (0, 1, 2, 3, y as sucesivamente) hacia el centro. Un disco duro moderno tiene decenas de miles de pistas en cada disco. Cada pista puede contener muchos miles de bytes de datos. Incluso con mpistas ltiple, almacenamiento de datos an requiere de una enorme cantidad de recursos del sistema operativo para leer y escribir datos. Sera ineficiente para hacer una pista de la unidad mnima de almacenamiento en el disco, ya que esto significara un pequeo archivo tambin ocupan una gran cantidad de espacio en disco. Obviamente, tener un pequeo fichero que ocupan una gran razones de espacio en disco es un desperdicio, y por esa razn, las pistas del disco se divide en divisiones ms pequeas numeradas conocidas como sectores. Los sectores son la unidad bsica de datos de almacenamiento en un disco duro.
El disquete
La unidad de disquete fue inventado en 1967 por Alan Shugart, mientras l trabajaba como ingeniero en IBM. Fue uno de los s ShugartINOR ingenieros, David Noble, que en realidad el primero en proponer el concepto de un disco flexible de los medios de comunicacin protegido por un plstic chaqueta con un forro de tela. Este concepto se hizo realidad cuando la primera unidad de disquete fue creado. Shugart deja IBM en 1969 para trabajar para Memorex y luego a la izquierda de Memorex en el ao 1973 para formar su propia compaa, Shugart Associates, que dise y desarroll las unidades de disquete-. La interfaz de disco flexible desarrollado por su empresa fue la base para el disco de las unidades de disco todava est en uso hoy en da. Los disquetes fueron los primeros 8 pulgadas de dimetro y un poco engorroso. Por los avances a mediados de 1970 en la tecnologa permite a los ingenieros crse comi un menor de 5,25 pulgadas disquete con una capacidad inicial de 360K. En el disco de mediados de los 1980 discos alcanzado su tamao actual de 3,5 pulgadas, sin embargo, que slo tenan una capacidad inicial de 720K. A mediados de la dcada de 1990 el estndar de 3,5 pulgadas disco alcanz su cenit en el 2.88MB. Dado que los requisitos de
almacenamiento de datos sigue creciendo, la capacidad del disco siguieron su ejemplo. Mientras que el tamao del disco fsico no ha cambiado mucho, la cantidad de datos que un disco puede almacenar se ha incrementado dramticamente. De hoy en da sper discos como el LS-120 y el disco Iomega Zip ahora puede mantener a millones de bytes de datos en el mismo tamao de disco de 3,5 pulgadas de dimetro del disco original. El interior de una unidad de disco estndar tiene muchas similitudes con el interior de una unidad de disco duro. La mayora de las unidades de disquete tiene dos de lectura / escritura de cabezas, lo que significa que son de doble cara. Una cabeza se utiliza para leer y escribir datos en el disquete mientras que el otro se utiliza para borrar una pista antes de los datos
80
est escrito por la otra cabeza. Al igual que con un disco duro, el mecanismo de la cabeza se mueve por un actuador. Utilizando un diseo similar al de las primeras unidades de disco duro, un motor mueve las cabezas dentro y fuera, dndoles la posibilidad de situarse por encima de cualquier pista en el disco para almacenar y recuperar datos. La ventaja de los discos es que son porttiles, por lo que es fcil de transferir datos desde un ordenador a otro. El inconveniente de los disquetes es que no son un m fiablemediano para su almacenamiento-Ing archivos importantes ya que el polvo, araazos, humedad, y los campos magnticos pueden daarlos. Desde un punto de vista de respuesta a incidentes y forense, el disco tiene un papel importante. Uno nunca debe permitir que un equipo sospechoso de arrancar desde su disco duro o utilizar su sistema operativo para realizar tareas de investigacin. Muchas veces la evidencia es borrado o alterado durante el proceso de arranque normal. Adems, usted no sabe qu tipo de procedimientos de limpieza estn esperando en el proceso de arranque. Al llevar a cabo una investigacin forense siempre debe arrancar desde un disquete. Tenga en cuenta que el BIOS del equipo puede que necesite ser modificado a travs del programa de configuracin del BIOS para permitir que el equipo para arrancar desde un disquete. Este procedimiento exacto varES, dependiendo del tipo de BIOS que se utilizan en la fabricacin de chips de la computadora. Una vez que est seguro de que puede arrancar desde la unidad de disquete, el disco duro puede ser examinado.
El programa de configuracin del BIOS que normalmente slo se puede entrar durante el proceso de arranque, sin embargo, algunos BlSistemas operativos permiten la entrada en el programa de instalacin utilizando una combinacin de teclas en cualquier momento. Una norma universal reciente ha comenzado a surgir, el uso de la tecla Supr para entrar en el programa de instalacin duranteING en el proceso de arranque. Esto parece ser cierto para el B dos ms populareslSistemas operativos, IAM y el Premio, as como varios otros. Mayores BlSO puede utilizar una multitud de extraas combinaciones de teclas, incluyendo Ing. pero no se limitan a: Ese, F1, F2, F10, Ctrl + Esc, Alt + Esc, Ctrl + Alt + Esc, Ctrl + Alt + Enter, Complementos y, a varios otros.
El CD-ROM
Compact Disc-Read Only Memory, mejor conocido como un CD-ROM, es un tipo de disco ptico capaz de almacenar enormes cantidades de datos. Mientras que el tamao ms comn para tales enfermedadeses es de alrededor de 650 a 700 MB, gran capacidad de los CD-ROMs son capaces de almacenar incluso ms que eso. Un 700MB solo CD-ROM tiene la capacidad de almacenamiento de alrededor de 700 disquetes, almacenamiento suficiente para contener cerca de 300.000 pginas de texto. En 1978, Phillips y Sony Corporation unieron sus fuerzas en un esfuerzo para producir el CD de audio actual. Sony presion para que un disco de 12 pulgadas, mientras que Phillips quera una ms pequea, el disco ms porttil. Con el tiempo los detalles
resueltos, el actual estndar de 4.72 pulgadas (120mm) del disco fue anunciado en 1982. La leyenda cuenta que este tamao fue elegido porque poda contener la Novena Sinfona de Beethoven en su totalidad. Desde su introduccin por Sony y Philips, el disco compacto ha tenido un impacto notable sobre cmo la gente escucha msica. CD-ROM han afectado la forma en que ver pelculas, compartir fotografas, y leer libros. Las ventajas de CDs incluyen su pequeo tamao, gran capacidad de datos, de bajo costo manu-facturero y robustez fsica. Con la continua cooperacin de Sony y Phillips, ms especficiones fueron anunciados a finales de 1980 que condujeron a la utilizacin de la unidad de CD-ROM para el almacenamiento de los datos informticos.
Captulo 4: Registro de Windows, la papelera de reciclaje y almacenamiento de datos La tecnologa de CD
81
Aunque idnticos en tamao y apariencia a los CD de audio, CDs de ordenador estn diseados para almacenar datos informticos, adems de los datos de audio. CD-ROM se hacen ouna delgada pelcula metlica de aleacin de aluminio rodeado por policarbonato. La pelcula metlica es la parte del CD, donde la informacin digital, se almacena. La carcasa de policarbonato claro, simplemente protege a la pelcula y proporciona una rigidez en el disco. Estos CDs son una sola cara, todo de la lectura se realiza desde la parte inferior de la unidad de CD y un la etiqueta se coloca generalmente en la parte superior. La informacin almacenada en la pelcula metlica del CD puede ser ledo slo por l que refleja un bajo consumo de energaservicios fuera de la pelcula de aluminio. Un receptor de luz especial en la unidad de CD-ROM toma nota de que la luz se refleja y donde la luz est ausente. La ausencia de luz reflejada es causada por pequeos pozos grabada en la superficie de los estratos de aluminio. Pozos individuales son slo 0,12 micrones (millonsimas de pulgada) de profundidad y estn grabados en la pista en espiral que atraviesa desde el borde exterior del disco a su centro (similar a la vieja usanza de vinilo discos analgicos). La ausencia de hoyos (la superficie o puntos altos) se conoce como tierras. A l bajo consumo de energaservicios lee los pozos y tierras, que se convierten por la unidad de CD-ROM en cdigo binario (Os y ls). Este binario (nativo) cdigo de computadora son los datos reales utilizados por el equipo. Standard discos CD-ROM son de slo lectura y no puede ser alterado o borrado. Esto cambi con el advenimiento de los CD-R y CD-RW.
CD-R y CD-RW
CD-R es la abreviatura de CD grabable. CDs grabables son tambin conocidos como WORM (Write Once, Read Mltiple) los medios de comunicacin, y trabajan de una manera similar a un CD estndar. La ventaja de CD-R sobre otros tipos de medios pticos es que los datos se pueden leer de estos discos con un reproductor de CD estndar. La desventaja es que los discos no pueden ser reutilizados una vez los datos se han escrito en ellos. Una tecnologa relacionada llamada CD regrabable (CD-RW) le permite borrar discos y volver a usarlos, pero el CD-RW no funciona en todos los reproductores de CD, en especial los ms viejos. CD-regrabables unidades son capaz de escribir CD-R y CD-RW. Una de las principales aplicaciones de los discos grabables de CD-est archivado. Al colocar informacin crtica del sistema, tales como copias de seguridad del registro y del estado del sistema en un CD-R, usted est asegurando que el material contenido en los discos es autntico. Al llevar a cabo una investigacin forense, discos CD-R son tiles para la gran cantidad de datos que puede contener y tambin porque los datos una vez que se escribe en ellos no pueden ser alterados o borrados, ayudando a preservar la cadena de custodia.
La tabla de asignacin de archivos de Windows

El File Allocation Table (FAT) le dice al sistema operativo Windows, que los sectores se utilizan para los archivos de Tain-cer. En trminos sencillos, la FAT es una tabla de contenido que utiliza el
sistema operativo de lcate archivos en un disco. Archivos de cambiar de tamao y llegar a ser ms grande o ms pequeo despus de los datos se ha aadido o eliminado. Cuando esto sucede, los datos pueden no encajar de nuevo en el mismo sitio exacto en el disco duro. Los datos demasiado grandes se rompe en trozos, y las piezas se almacenan en varios lugares del disco duro. Esta redistribucin se llama fragmentacin. El trabajo de la FAT es llevar un registro de todos los archivos en el disco duro la inclusin de estos fragmentos. Si la Tabla de asignacin de archivos se daa o se pierde, a continuacin, un disco es ilegible por el sistema operativo. En los servidores de archivos, los datos de FAT a veces se mantienen en la memoria RAM del ordenador para un acceso rpido y se pierde con facilidad si los fallos del sistema (como el resultado de una fallo de alimentacin, por ejemplo).
Hoy en da, FAT viene en tres versiones diferentes: FAT12. El tipo ms antiguo y original de FAT, que utiliza un nmero binario de 12 bits para mantener el nmero de clster. FAT12 slo puede utilizarse en volmenes de almacenamiento de 16 MB o menos. No es por tanto ms adecuado para volmenes muy pequeos y se usa en discos y particiones de disco duro de menos de unos 16 MB. (Este ltimo es raro hoy en da.) FAT16. El uso de un nmero binario de 16 bits para mantener el nmero de racimos, FAT16 se utiliza en los sistemas y para particiones pequeas en los sistemas modernos. Un disco duro con FAT16 slo puede contener un mximum de 65.526 grupos. FAT16 se usa para volmenes de disco duro varan en tamao desde 16 MB hasta 2 GB (dos mil millones de bytes). La asignacin virtual de archivos de tabla (VFAT) del sistema, utilizado por Windows 95 y versiones posteriores, es una variante de FAT16 que permite al sistema operativo para eludir la juntad 8,3 de nombre de archivo limitacin (por ejemplo, un archivo autoexec.bat en ocho letras AME es seguido por el DOS de tres caracteres extensificacinn) que plagado DOS y permite el uso de archivo ames hasta 255 caracteres de longitud. FAT32. El ms reciente versin de la FAT, FAT32 es compatible con las versiones ms recientes de Windows a partir de la SR2 Windows 95 relASE. FAT32 utiliza realmente una de 28 bits, no una de 32 bits, el nmero de sistema binario. Esto es porque el uso comn ATA de disco duro de interfaz que accede a los datos en un disco duro est limitada a direccionamiento de 28 bits. Sin embargo, 28 bits es todava suficiente para permitir que enormes volmenes de disco duro de hasta 2 TB (dos billones de bytes) de tamao. Adems, FAT32 utiliza el espacio de manera ms eficiente. FAT32 utiliza clsteres menores (por ejemplo, grupos de 4 KB para unidades de hasta 8 GB de tamao), lo que resulta en el uso de 10 a 15 por ciento ms eficiente del espacio con respecto a las grandes unidades FAT. El nmero de bits de datos utilizados por el sistema de archivos FAT es lo que le da su AME. Otra caracterstica importante del sistema de archivos FAT es que los discos FAT por lo general contienen dos copias de la grasa (la segunda copia de la FAT sigue inmediatamente a la primera). En tanto FAT12 y FAT16 sistemas, todas las copias del FAT se mantienen sincronizados entre s, pero slo la primera copia se lee nunca. Microsoft alega que las copias prximos de FAT se utilizan cuando el primero es fsicamente inutilizable, pero esto no parece cierto para todas las versiones de sus sistemas operativos. En FAT32, existe un campo en el BPB (BIOS Parameter Block) que le dice al sistema operativo que copiar de usar y si desea sincronizar todas las copias. El BPB almacena una gran cantidad de informacin sobre el mismo volumen, como su tamao, el nmero de bytes por sector, el nmero de sectores por cluster, y varios otros elementos de informacin. En resumen, FAT32 utiliza el BPB para saber cmo hacer frente a un volumen FAT.
La nueva tecnologa de Windows del
sistema de archivos
Con la llegada de Windows NT, Microsoft reemplaz el antiguo sistema de archivos FAT con un ms rpido, ms forma segura y slida para proporcionar acceso a los archivos del disco y: el New Technology File System (NTFS). Mientras que Windows NT puede utilizar el sistema ms antiguo de estilo de archivos FAT, el sistema de archivos NT ofrece una combinacin de rendimiento, fiabilidad y compatibilidad que no se encuentra en el sistema de archivos FAT. Est diseado para llevar a cabo rpida y eficazmente las operaciones normales de archivos, tales como lectura, escritura y bsqueda. Para aplicaciones muy grandes, NTFS admite volumen de expansin. Volumen de expansin significa que los archivos y direc-torios pueden ser distribuidos a travs de varios fsicos unidades de disco duro. Uno de los beneficios de una NTFS es
83
que funciona en los discos duros de cualquier tamao. Aunque hay un mlmite ximum tamao fsico del sistema de archivos de NT, ese nmero es tan grande que pasarn dcadas antes de la tecnologa de disco duro superior a su capacidad. En el corazn de NTFS es la tabla maestra de archivos o MFT. La MFT es anloga a la de archivos FAT sis-tema de la tabla de asignacin de archivos, porque los mapas de MFT todos los archivos y directorios en el disco. La MFT se divide en unidades discretas conocidas como registros. En uno o ms registros de MFT, NTFS almacena el metadatos. Los metadatos son datos que describen las caractersticas de un archivo o directorio (la configuracin de seguridad y otros atributos, tales como de slo lectura u oculto) y su ubicacin en el disco.
La Papelera de Reciclaje
Con la llegada de Windows 95, Microsoft present a sus usuarios del sistema operativo la capacidad de colocar los archivos borrados en una papelera de reciclaje para su almacenamiento. El propsito de la Papelera de reciclaje era proporcionar informticos com-los usuarios la posibilidad de reclamar - en un momento posterior - Los archivos que se haban colocado all. Cada vez que un archivo o carpeta se elimina ese artculo se enva a la papelera de reciclaje, y permanece en el disco duro hasta la Papelera de reciclaje est vaca. Antes de la papelera de reciclaje se vaca, todos los archivos almacenados en ella puede ser restaurados a sus ubicaciones originales. Tenga en cuenta que los archivos o carpetas eliminados de disquetes, discos Zip, o servidores de red no se almacenan en la papelera de reciclaje. Cuando los elementos de los medios extrables se han eliminado, Windows simplemente pide una de confirmacin de la eliminacin. Adems, los elementos eliminados desde el interior de un programa de aplicacin (como un procesador de textos) puede o no ser enviado a la Papelera de reciclaje de Windows. Entonces, qu sucede cuando un usuario se vaca la papelera de reciclaje? Son los archivos o carpetas que haba eliminado ido para siempre? Las secciones siguientes tratan de cmo realizar un seguimiento de los archivos eliminados a travs de la papelera de reciclaje de Windows.
La papelera est vaca, pero sigue siendo la Evidencia

Todos los datos digitales almacenados en un ordenador, incluso cuando se coloca en la Papelera de reciclaje - puede estar sujeto a citar en cualquier momento. Antes de que el uso generalizado de las computadoras, criminais, objeto de sus pistas mediante el uso de una trituradora para destruir los documentos en papel que contenan pruebas incriminatorias. Legitorganizaciones y empresas de yerba mate tambin se utilizan trituradoras para limitar y reducir la cantidad de informacin clasificada que han acumulado. Hoy en da, trituracin de papel ya no es una solucin viable para la gran cantidad de documentos digitales que se crean en nuestro mundo interconectado. Dado que la gran mayora de los documentos de papel hoy origNate de las computadoras, triturar la copia en papel no hace nada para borrar la copia digital almacenado en el disco duro del ordenador. En muchas investigaciones, las pruebas necesarias para hacer o deshacer un caso an se encuentra en el disco duro del sospechoso. La evidencia digital tiene muchas formas, incluyendo sensibles de procesamiento de textos documentos, el cliente datbase de las listas, registros financieros, y los mensajes de correo electrnico, a AME unos pocos. Incluso cuando un usuario enva documentos incriminatorios a
la papelera de reciclaje y luego la vaca, la informacin real (datos digitales) se mantiene en su lugar original en el disco duro por un perodo de tiempo - hasta que los sistemas operativostemperatura sobrescribe la ubicacin original donde se almacenaba el documento incriminatorio. Slo el "mapa" que Windows utiliza para lCate los datos han sido destruidas. De hecho, la evidencia forense de esta naturaleza se utiliz durante las audiencias del juicio poltico de alto perfil para el presidente Bill Clinton cuando los expertos forenses informticos recuperar los datos borrados de la computadora de su casa de Monica Lewinsky, as como "su" equipo en el Pentgono. La mecnica del sistema de archivos utilizado por Windows para almacenar, recuperar y eliminar los datos se tratan en detalle ms adelante en este captulo.
84
Seguimiento de archivos borrados A travs de la papelera de reciclaje de Windows

Cuando se elimina un archivo o una carpeta mediante el Explorador de Windows o Mi PC, el archivo aparece inmediatamente en la papelera de reciclaje. Como se mencion anteriormente, el archivo o carpeta se queda en la papelera de reciclaje hasta que la Papelera de reciclaje est vaca o el archivo se restaura. Los archivos ms antiguos tambin se eliminan automticamente de la papelera de reciclaje cuando los archivos ms recientes se eliminan y cuando el contenido de los archivos ms antiguos de la papelera de reciclaje supera el mximum tamao asignado para las propiedades de la papelera de reciclaje. La papelera de reciclaje de caja de Propiedades (ver Figura 46) se puede acceder haciendo clic derecho en la Papelera de reciclaje ICn en el El escritorio de Windows.
Figura 4-6: Las Propiedades de Papelera de reciclaje caja en Windows XP Pro
Para cada disco duro local en el ordenador del usuario, una carpeta oculta denominada Recycled se crea. Esta carpeta contiene archivos borrados desde Mi PC, Explorador de Windows y algunas aplicaciones de Windows. El sistema operativo Windows realiza un seguimiento de los archivos enviados por el usuario a la papelera de reciclaje por Gen-erating archivos temporales de Informacin. Cuando un archivo o carpeta se elimina, la ruta completa, incluido el archivo original AME, se almacena en un archivo oculto llamado especial de informacin en la carpeta de reciclado. El borrado se cambia el nombre del archivo, con la siguiente sintaxis:
D < o r i g i n a l e s letra de la unidad del archivo> <#>. <origina 1extensificacinn)
Como se mencion anteriormente en esta seccin, cada unidad de disco duro local tiene su propia carpeta de reciclado. Los archivos borrados de muchas aplicaciones de Windows tambin se mueven a la carpeta de reciclado en la unidad de la que se eliminan. Haga doble clic en la papelera de reciclaje de ICn muestra la lista de carpetas de todos los archivos borrados que
estn disponibles para la restauracin. Al hacer clic en el archivo y restauracin de la eleccin, el archivo original se cambia el nombre y restaurado a su estado original AME y la ubicacin. Para quienes llevan a cabo una investigacin forense, de reciclaje de los archivos de Informacin de la papelera de servir como una ventana al pasado, documentando las actividades de un usuario de eliminacin de archivos. El sistema operativo Windows contiene numerosos archivos de reciclaje Papelera de Informacin repartidos por todo escondido reas de la unidad de disco duro. Incluso despus de la Papelera de reciclaje ha sido vaciados, los rastros de los archivos temporales permanecen Informacin. Mediante el uso de programas freeware fcilmente disponibles, como PC Inspector File Recovery por Convar Deutschland GmbH, un investigador puede
85
suelen determinar cuando un usuario elimina determinados archivos, incluso si los archivos fueron desde hace mucho tiempo vaciado de la Papelera de reciclaje (ver Figura 4-7). Para ms informacin sobre PC Inspector File Recovery o para descargar una copia, visite www.convar.de._ Los registros de Informacin antes mencionados archivo de ayuda para contar historias sobre historiales de archivos, e incluso el estado emocional del usuario. Como los archivos se eliminan automticamente por el sistema operativo no dejar constancia en el archivo de informacin, un archivo de registro informacin indica que un usuario sabiendas eliminar un archivo en cuestin. No es infrecuente encontrar archivos borrados durante un cierto perodo de tiempo, como por ejemplo cuando el usuario puede haber sentido que la sospecha se centr sobre l. Un investigador forense experto es capaz de recuperar estos Informacin de archivos, que son a menudo vital para la creacin de un argumento convincente.
Figura 4-7: PC Inspector File Recovery por Convar Deutschland GmgH que muestra los archivos borrados recientemente
Recuperacin de datos eliminados en Windows

Como se mencion anteriormente, para comprender cmo se recuperan los archivos borrados, primero es necesario tener una comprensin de cmo se almacenan los archivos en un disco. Con
esto detrs de nosotros, el siguiente paso en la recuperacin de datos borrados es entender lo que sucede cuando un usuario borra un archivo en cualquiera de los sistemas de archivos antes mencionados de Windows. Independientemente del sistema de archivos utilizado por Windows, cuando un usuario borra un archivo, el sistema operativo Windows no elimina realmente el archivo. En cambio, el sistema operativo se mueve la entrada del archivo de directorio (entrada FAT) y la informacin sobre la ubicacin original del archivo en una carpeta oculta que representa a la Papelera de reciclaje. Los datos fsicos reales no se elimina, o incluso movido, slo la ubicacin del directorio (entrada FAT) cambios.
86
Como se mencion anteriormente en este captulo, cuando la Papelera de reciclaje est "lleno" ya no es capaz de mantener los datos eliminados de los archivos ms antiguos se purgan en primer lugar. Si bien es posible pasar por alto la papelera de reciclaje, mantenga pulsada la tecla Mays al eliminar un archivo, los datos del archivo pero seguir siendo. Cuando se eliminan archivos bajo el sistema de archivos FAT, Windows modifica la entrada de los datos borrados es gordo, al indicar que los en-Frios estn ahora disponibles para su reutilizacin. En NTFS, el proceso es similar. Slo la entrada del directorio de archivos, grupos de datos, y la entrada MFT se marcan como disponibles. El archivo de los datos sigue siendo, sin embargo, hasta que los grupos se reciclan para almacenar algn otro archivo. En cualquier caso, una vez que los grupos de discos que fueron ocupados inicialmente por un archivo eliminado han sido sobrescritos por los nuevos datos, el archivo se ha ido para siempre. Cuando se crean archivos de computadora, su longitud varES dependiendo del contenido de los datos que estn siendo almacenados. En DOS y Windows, los archivos se almacenan en bloques de datos de longitud fija, llamados clusters. Puesto que los tamaos de archivo rara vez coinciden con el tamao de uno o magrupaciones ltiple perfectamente, el espacio de almacenamiento de datos, conocida como la holgura del archivo, existe desde el final de un archivo al final del ltimo grupo asignado a ese archivo. De los cursos vara en longitud, dependiendo de los sistemas operativos y el archivo en cuestin. Grandes clustamaos ter significan ms file slack y los residuos tambin ms de espacio de almacenamiento, sobre todo cuando se trata de Windows 95. Sin embargo, este inconveniente puede ser til para el investigador forense informtico desde holgura de archivo puede ser una importante fuente de pruebas. Holgura archivo tiene el potencial para contener bytes seleccionados al azar de los datos de la memoria del ordenador. Esto sucede porque DOS / Windows normalmente almacena los datos en bloques de 512 bytes llamados sectores. Las agrupaciones se componen de grupos o bloques de los sectores. Si no hay suficientes datos almacenados para comple-tamente llenar el ltimo sector en un archivo, el sistema operativo DOS y Windows se rellenar el espacio restante con datos tomados de buffers de memoria de la computadora. Estos datos seleccionados al azar de la memoria RAM se denomina holgura ya que se extrae de la memoria de acceso aleatorio del ordenador. Memoria RAM holgura puede contener cualquier informacin que se ha creado, descargar, copiar, ver o modificado desde el ordenador se arranca pasado. Si el equipo no se ha cerrado por un perodo prolongado de tiempo, los datos almacenados en el archivo de la holgura puede venir de las sesiones de trabajo que se produjeron en el pasado. Debido a la holgura de archivos potencialmente contiene datos aleatorios "prestados" de la memoria del ordenador, es posible identificar el inicio de sesin de red Ames, las contraseas y otra informacin sensible asociada con el uso del ordenador todos los das. Es importante no olvidar que la holgura de archivos tambin se puede existen en los disquetes, discos Zip, y otros dispositivos de medios extrables.
Industrial-Strength utilidad de recuperacin de

Si bien existen numerosas utilidades freeware y shareware disponibles para la recuperacin de
datos, slo unos pocos poseen las cualidades necesarias para ser utilizado cuando se realiza una investigacin informtica forense investiga-cin. Adems de la recuperacin de archivos de PC Inspector se ha mencionado anteriormente, otra utilidad de los datos de una excelente recuperacin es EasyRecovery Professional por Kroll Ontrack, Inc. De acuerdo con su fabricacinnEasyRecovery Professional incluye capacidades avanzadas de recuperacin de datos que le permiten buscar y recuperar numerosos tipos de archivos. Adems, EasyRecovery Professional incluye un disquete de arranque de emergencia para ayudar a recuperar datos de sistemas comprometidos que ya no son capaces de cargar Windows. Para precios e informacin adicional, visita www.ontrack.com.
87
Unix / Linux de almacenamiento de datos Uso de el sistema de archivos ext2

Todos los sistemas operativos utilizan los sistemas de archivos, y todos los sistemas de archivo realizan las mismas funciones bsicas. El objetivo fundamental de cualquier sistema de archivos es la organizacin de los datos y de manera eficiente el acceso a esos datos. En consecuencia, mientras que los sistemas de archivos comparten algunos rasgos comunes, a menudo difieren en la forma de almacenar datos. Unix ha sido por varias dcadas, por lo que es uno de los sistemas operativos ms antiguosTEMS, y sistemas de archivos UNIX son muy diferentes de los sistemas de archivos de Windows. Ext2 es tradicionalmente un sistema de archivos de Unix, sin embargo, tambin es utilizado por Linux. En ext2, los datos se almacenan en los discos en los bloques. El tamao de bloque tpico es pequeo, alrededor de 4K de tamao. El archivo de metadatos (datos sobre los datos) se almacena en inodos. Un inodo almacena toda la informacin acerca de un archivo con la excepcin de su AME. En ext2, los directorios de almacenar el archivo Ames y sus nodos-i asociados. Los directorios se almacenan como archivos normales en el disco, pero marc como un directorio con la informacin contenida en el inodo. Los directorios estn estructurados en forma de un rbol jerrquico. Cada directorio puede contener archivos y subdirectorios. Los directorios se implementan como un tipo especial de archivo. De hecho, un directorio es un archivo que contiene una lista de en-FRies. Cada entrada contiene un nmero de inodo y un archivo AME. Los sistemas de ficheros ext2temperatura es capaz de manejar discos duros de gran tamao. Mientras que el original Versin de ext2 se limitaba a un mximo de sistema de archivos de tamao de 2 GB, los cambios recientes han elevado el lmite de 4 TB. En consecuencia, ahora es posible utilizar discos grandes sin la necesidad de crcoman muchas 2GB (o menos) las particiones. Adems de ser capaz de manejar discos duros ms grandes, el sistema de archivos ext2 tambin prev el uso de archivo largo Ames. Se utiliza el directorio de longitud variable enFRies. Al igual que FAT32, el mximum nombre de archivo tamao es de 255 caracteres, sin embargo, es posible extender este lmite a 1.012 caracteres, si es necesario.
Eliminacin de archivos ext2 en el

En ext2, cuando se elimina un archivo, la informacin completa de inodos se conserva. Slo su AME se retira del directorio, y el tiempo de la supresin en el inodo es marcado. En otras
palabras, slo la asociacin entre el archivo AME y el inodo se retira. Dado que los datos de inodos y bloques de datos no son inmediatamente sobrescribe todos los datos necesarios para recuperar un archivo (con la excepcin del archivo AME) permanece en el disco. Sin embargo, la capacidad de recuperar archivos borrados es limitada ya que los datos borrados se pueden sobrescribir en cualquier momento despus de su eliminacin. Una vez que esto sucede, los datos es ido para siempre.
Recuperacin de archivos ext2 en el

El primer paso hacia la recuperacin de archivos ext2 en el es para desmontar de inmediato el sistema de archivos en el disco duro donde se encuentra el archivo eliminado. Esto ayuda a minimizar cualquier riesgo de accidente sobre-escribir el archivo eliminado, mientras que llevar a cabo el proceso de recuperacin. La sintaxis bsica o el comando de desmontar un dispositivo de Unix o Linux es unmount / dev / dviconombre.

Todos los datos escritos en el sistema de archivos que contiene el archivo borrado (ya sea por usted o por cualquier otro proceso que se ejecuta en su mquina) tiene el potencial de sobrescribir algunos de los datos que usted espera recuperarnnSi usted es incapaz de desmontar el sistema de archivo porque el archivo eliminado se encontraba en su sistema de archivos raz, por ejemplo, es posible que desee considerar la posibilidad de retirar la unidad de disco duro y la volver a instalarlo en otra mquina Unix o Linux como una unidad que no sea raz.
Usando e2undel
El procedimiento fundamental para la recuperacin de datos en ext2 implica la bsqueda de los datos borrados en el dispositivo de particin en bruto y luego haciendo visible de nuevo al sistema operativo. Hay dos maneras de lograr esto. El primer mtodo consiste en eliminar el indicador de eliminacin de los inodos de los datos eliminados. Este enfoque es algo complicado porque requiere algn conocimiento de programacin y el uso de herramientas de depuracin. El procedimiento preferido y ms seguro es para descubrir que los datos se encuentra en la particin, y luego copiar los datos en un archivo nuevo en otro sistema de archivos. El mejor mtodo para recuperar los datos eliminados en el marco del sistema de archivos ext2 es el uso de una prctica utilidad gratuita llamada e2undel. Este til programa recupera los datos de los archivos borrados de ordenadores que utilizan el sistema de archivos ext2. Entre sus principales caractersticas es una biblioteca integrada que te permite recuperar archivos borrados por AME. Uno de los mayores beneficios de esta utilidad es que no requiere un conocimiento extenso de los sistemas de archivos ext2 de comandos con el fin de usarlo. La sintaxis bsica para la recuperacin de datos utilizando ex2undel es como sigue:
e2undel-d dispositivo -S camino [-A] [-t]
A continuacin se muestra lo que los comandos de la lnea anterior significa: -D es la ubicacin del sistema de archivo en el que desea buscar los archivos borrados (por ejemplo, / Dev / hdOpara la primera particin en el disco IDE). es el directorio donde desea guardar los archivos recuperados.
-S
-Un recupera todos los archivos borrados, y no slo aquellos enumerados en el archivo de registro UNDEL.
-T
los intentos de determinar el tipo de archivos borrados, sin Ames (esta opcin slo funciona en combinacin con el -Un de comandos).
Mientras que la opcin-siempre se debe usar, la opcin de t no es obligatorio. Para obtener informacin adicional acerca de los comandos e2undel o para descargar una copia de esta utilidad, visite http:// sourceforge.net/projects/e2undel .
89
Resumen del captulo

Aunque la mayora de las organizaciones emplean los firewalls y intrusisistemas de deteccin n para proteger su red de obras, que siguen siendo vctimas de ataques con xito por tecnolgicamente SAwY los intrusos de la red. Con el fin de luchar contra el modo demDas merodeadores de la red, personal de la red debe estar entrenado en investi-tigative tcnicas, tcticas de respuesta a incidentes y los procedimientos legales para la recopilacin de pruebas. Debido a que Windows es el sistema operativo ms utilizado, es tambin el objetivo ms popular para los hackers, crackers, y los usuarios de cdigo malicioso. Los ataques de red puede venir de fuentes externas o internas del personal. Dos objetivos comunes son el registro de Windows y los sistemas de almacenamiento de datos. Mientras que los intrusos de la red a menudo intentan cubrir sus huellas mediante la eliminacin de determinados archivos, una serie de mtodos y herramientas de software estn disponibles para ayudar en la recuperacin de estos datos aparentemente perdidos. Puntos principales tratados en este captulo se incluyen Una visin general del Registro de Windows y su papel en la respuesta a incidentes Cmo ver, editar, preservar y proteger los datos del Registro de Windows Descripcin general de Windows y Unix / Linux estructuras de almacenamiento de datos
Cmo recoger la evidencia de los archivos eliminados a travs de la papelera de reciclaje de Windows Los procedimientos para la recuperacin de datos borrados en sistemas de archivos FAT y ext2
Captulo 5
Anlisis y deteccin de cdigo malicioso y Los intrusos

ln este captulo
El anlisis de los procesos anormales del sistema La deteccin de archivos inusuales o escondidos Localizacin de los rootkits y puertas traseras Deteccin y prevencin de sniffers de red EL INTERNET HA CAMBIADO LA FORMA DE HACER NEGOCIOS. Casi todo lo que es accesible con un clic del ratn. Mientras que individuosais, y las organizaciones utilizan Internet a diario para enviar mensajes de correo electrnico, comercio electrnico o la mensajera instantnea, rara vez se consideran los peligros que plantea el hack-res, virunses, gusanos y caballos de Troya como clic de distancia desde el sitio web al sitio web. Ponemos la confianza en nuestros ordenadores y se supone que ofrecen proteccin para nuestra informacin confidencial. El Internet no regulada alberga numerosas amenazas. Mientras que los hackers, crackers, y respetuoso de la ley ciudadanos viven todos juntos en el mundo ciberntico, el usuario medio de Internet no suele ser consciente de la presencia de individuos malvolosais. El cdigo malicioso en forma de virungusanos ses, y caballos de Troya atraviesa el Internet, la explotacin de fallas que existen en los sistemas operativos y aplicaciones de muchos un usuario inocente. Debido a estas amenazas cibernticas, los individuosais y las organizaciones necesitan cambiar la forma de optasa y gestionar sus redes. Entrenamiento en seguridad con frecuencia se centra en cuestiones de seguridad bsicas y no en respuesta a las amenazas de Internet. Durante el entrenamiento tpico de sensibilizacin de los usuarios los detalles de archivos adjuntos de mensajes de correo electrnico (y su capacidad para ocultar cdigo malicioso o hacerse pasar por legtimodocumentos o archivos grficos compaero) no se tratan suficientemente. No podemos culpar a los usuarios informticos com-para la proliferacin del virus, si se ven envueltos en un entorno informatizado, sin haber estado expuesto a algunos conceptos bsicos de respuesta a incidentes. Este captulo se centra en detectar, analizar y responder a las amenazas planteadas por los intrusos y los codificadores maliciosos. 91
92
Procesos del Sistema

En pocas palabras, una proceso es un programa de ejecucin. A menudo, un hilo se confunde con un proceso. Similar a un proceso, una hilo es la unidad de ejecucin para que el sistema operativo asigna procesa-miento de tiempo (un intervalo de tiempo), y consiste slo en el flujo de datos y control. Temas ofrecer una tcnica de programacin til para dividir el trabajo en septiembrepiezas de cambio. Ejecucin de los hilos es monitoreado y programado nicamente por el sistema operativo, y cada proceso se inicia con la ejecucin oun solo hilo, generalmente se llama el hilo principal. Incluso donde hay mtemas ltiple, todava utilizar slo el espacio de direcciones oun solo proceso. Cada programa que se ejecuta en un equipo que utiliza al menos un proceso, que consiste en la direccin de memoria (espacio) asigna al proceso por el ordenador para ejecutar el programa y la capacidad de sistema operativo de la computadora para supervisar el programa en todo el proceso de ejecucin. En tiempos modernos de 32 bits los sistemas operativos multitarea, los procesos son manejados en su mayor parte como entidades aisladas de manera que si se bloquea el proceso, los otros generalmente no estn afectadas. Los recursos que utilizan (memoria, disco, I / O, y el tiempo de CPU) son virtuales en la naturaleza, lo que significa que cada proceso tiene su propio conjunto de recursos virtuales, no tocadas por otros procesos. Incluso cuando se ejecutan varios programas al mismo tiempo, cada proceso tiene su propio espacio de direcciones y el flujo de control. Por lo tanto, un proceso es un lugar para trabajar y una manera de no perder de vista lo que un programa est haciendo.
La deteccin de los procesos anormales del sistema

Seguimiento procesos del sistema pueden ser tanto complicado y requiere mucho tiempo. La capacidad para identificar procesos sospechosos o anormales requiere en primer lugar un conocimiento profundo de los tipos de procesos que normalmente se esperan que se ejecuta en un sistema en un momento dado, as como la forma en que deben comportarse. Sin embargo, debido a la enorme cantidad de procesos que se ejecutan al mismo tiempo y su naturaleza en constante cambio, es casi imposible para una sola persona para supervisar todos ellos continuamente. Para hacer el trabajo de los recursos del sistema de control ms fcil, algunas organizaciones se dividen entre varios sistema de monitoreo personal diferente. Cada individuo se le asigna un particular los recursos del sistema para monitorear. El valiosode informacin que se desprende de una instantnea peridica de los procesos actualmente en ejecucin es limitado. Las organizaciones pueden necesidad de utilizar una serie de recopilacin de informacin y lun.cia de la vigilancia de mecanismos para ayudar en la recopilacin y anlisis de los datos asociados a los procesos, y alertar al personal de respuesta a incidentes de cualquier actividad sospechosa. En general, los monitores deben buscar los siguientes signos: La utilizacin de recursos o comportamiento inusual proceso de Falta de procesos Los procesos de Alta Los procesos que tienen la identificacin del usuario inusual asociada con ellos (por
ejemplo, una identificacin que pertenece a una persona no empleada por la organizacin) Procesos anormales del sistema pueden ser causados por Los programas que inician una sesin de un usuario'S las pulsaciones de teclado o monitor y roban contraseas
Captulo 5: Anlisis y deteccin de cdigos maliciosos e intrusos 93
El cdigo malicioso (virunses, los gusanos de Internet, y aplicaciones de caballos de Troya) Spyware (software que transmite informacin a un tercero sin notificar el usuario) Como se mencion en el captulo 1, los archivos de registro se debe comprobar para las conexiones desde lugares inusuales o para cualquier actividad inusual. Todas las versiones de Windows NT tiene un visor de eventos integrada que le permite comprobar el inicio de sesin inusual enFrios, las fallas de los servicios o procesos anormales. Los datos recogidos a partir de archivos de registro puede ayudar en el anlisis del comportamiento del proceso. Estos incluyen los siguientes: El proceso Ames y los tiempos de arranque El estado del proceso (por ejemplo, la duracin del tiempo, los recursos consumidos, y as sucesivamente) Que el usuario ejecut el proceso de La cantidad de recursos del sistema utilizado (por ejemplo, CPU, memoria, disco y tiempo) procesos especficos en el tiempo Sistema y de usuario, procesos y servicios de ejecucin en un momento dado El mtodo por el que normalmente cada proceso iniciado (por ejemplo, el administrador del sistema, otros usuarios, otros programas, o generado a partir de otros procesos) y lo que la autorizacin y privilegios han sido asignados a los procesos Los dispositivos de hardware utilizados por los procesos especficos Archivos abiertos actualmente por procesos especficos Al revisar los registros del sistema operativo o la red, fjese en lo siguiente: Procesos que consumen recursos excesivos (por ejemplo, tiempo de memoria, disco o CPU) Los procesos que comienzan o correr en momentos inesperados Procesos inusuales, no el resultado de las actividades normales autorizadas (por ejemplo, el paquete oler, descifrado de contraseas, y as sucesivamente) Los procesos que antes de tiempo largoNate Anteriormente las cuentas de usuario inactivas que de repente empiezan a generar procesos y consumir ordenador o una red de recursos Procesos inesperados o desactivado con anterioridad, que pueden indindican que un
hacker o intruso ha instalado su propia versin de un proceso o servicio Una estacin de trabajo o terminal que comienza a exhibir anormal de entrada / salida de la conducta Mltiple con procesos similares Ames (por ejemplo, cuando un virus de ordenador ejecuta Explorer.exe utilizando una letra mayscula para disfrazarse en lugar del proceso real, que se llama explorer.exe por el sistema operativo) Un nmero inusualmente grande de los procesos en ejecucin
94
Con el Administrador de tareas de Windows para ver Los procesos en ejecucin

De tareas de Windows Managerprovides informacin sobre los programas y procesos que se ejecutan en el equipo. Tambin muestra las medidas de desempeo ms comnmente utilizados para los procesos en ejecucin. Mientras que el Administrador de tareas es til para monitorear los indicadores clave de por su equiporendimiento, sino que tambin le permite ver rpidamente el estado de los programas y procesos que se ejecutan e incluso trminonate los programas (cuando se congelan o dejar de responder). Usted puede evaluar la actividad de procesos que se ejecutan con numerosos parmetros de visualizacin y grficos y datos sobre uso de CPU y de memoria (ver Figuras 5-1, 5-2 y 5-3). La ombre del programa Administrador de Tareas es taskmgr.exe, y hay varias maneras en las que para acceder al programa. Una forma es escribir taskmgr en el cuadro Ejecutar a los hombres de inicioo en el comando (DOS) del sistema para que aparezca el programo. Otro mtodo de acceso conveniente es crse comi un vnculo de acceso directo al programa directamente en el escritorio de Windows. Por ltimo, puede pulsar Ctrl + Alt + Supr (tambin conocido como "el saludo de tres dedos") en cualquier tiempo, mientras que el sistema operativo se est ejecutando.
Para crse comi un acceso directo del escritorio con el programa de taskmgr.exe, primero es necesario la ubicacin de este archivo en el sistema operativo Windows. La ubicacin predeterminada es C: \ windows \ system32 para Windows NT y 2000 y
c: \ windows \ system32 para el X WindowR
Figura 5-1: El Windows XP ventana del Administrador de tareas que muestra todos los
Captulo 5: Anlisis y deteccin de cdigos maliciosos e intrusos

Seleccionar Columna
95
del Administrador de tareas. WImagen AME
Seleccione las columnas que aparecen en la pgina de proceso
1 Errores de pgina Delta
r PID (identificador de VTamao de la memoria virtual proceso) WUso de la CPU VPagedPool r Tiempo de CPU WUso Mernory VPico Mernory Uso | Del ~ ~ Pgina Fallas VObjetos USUARIO r 1/0 Lecturas V1/0 ReadBytes ^ ID de la sesin WUsuario AME 1 Aceptar | Cancelar VNo paginado Una prioridad base VRecuento de subprocesos r objetos GDI r l / OWrites r 1/0 Bytes Escriba r 1 / Otros 0 | ~ 1/0 OtherBytes
VUso de la memoria del Delta VRecuento de identificadores
Figura 5-2: El cuadro Seleccionar columnas en Windows XP Task Manager
Figura 5-3: Ver el rendimiento de la CPU con Windows XP Task Manager
Procesos por defecto en Windows NT, 2000 y XP

Con el fin de detectar procesos irregulares o no autorizados a travs del Administrador de tareas de Windows, es til para comprender qu procesos se ejecutan de forma predeterminada durante las operaciones normales del sistema. Hay un nmero-nmero de procesos por defecto que se ejecuta automticamente por el sistema operativo Windows (que varan dependiendo de qu versin de Windows se est utilizando). La siguiente es una lista alfabtica de algunos de los procesos por defecto que se suelen ejecutar en Windows NT/2000/XP, junto con un breve explicacin de sus funciones: Csrss.exe. Csrss o Client / Server Run-time Subsystem es un subsistema esencial que debe permanecer en funcionamiento en todo momento. Csrss proporciona apoyo texto de la ventana, cierre, y de difcil control de errores para los subsistemas de entorno de Windows NT. Explorer.exe. Esta es la interfaz grfica de usuario en la que vemos la barra de tareas familiares y entorno de escritorio. Explorer permite a los usuarios de los documentos abiertos y aplicaciones de varios iconos de Windows y mens en cascada. Lsass.exe. Este proceso ayuda a la administracin de manejar la seguridad en el equipo local, incluido el acceso de usuarios y permisos. Este proceso es responsable de la autenticacin de usuarios para el servicio Winlogon y es compartido por el servicio Netlogon. Mstask.exe. Este es el servicio Programador de tareas. Es responsable de la ejecucin de tareas, a veces que estn predeterminadas por el usuario. Services.exe. Este es el Gerente de Control de Servicios de Windows, que es responsable de iniciar y detener servicios del sistema y trabaja con otras mquinas Windows en el de red para mantener una lista actualizada de los recursos disponibles. Smss.exe. Subsistema de Session Manager se encarga de iniciar la sesin del usuario. SMS se inicia el subproceso de sistema y es responsable de una serie de acciones, incluyendo el lanzamiento de los Winlogon y Win32 (Csrss.exe) los procesos y el establecimiento de las variables del sistema. Spoolsv.exe. Este es el servicio de cola de Windows y es responsable de la gestin de impresin en cola, y los trabajos de fax. Svchost.exe. Un proceso genrico, que acta como host de otros procesos en ejecucin de la DLL, por lo tanto, no se sorprenda de ver ms de una entrada para este proceso. Sistema. Este sistema permite en modo kernel de las discusiones que se ejecutan como el proceso del sistema. Proceso inactivo del sistema. Este proceso es un solo hilo que se ejecuta en cada procesador. Su soltarea se representa el tiempo del procesador cuando el sistema no est procesando otros subprocesos.
Programas de vigilancia del proceso

En el mundo no virtual, cuando una tarea compleja debe llevarse a cabo, las herramientas estn disponibles para hacer el trabajo ms fcil. El mismo principio se aplica en el mundo virtual de las computadoras. Como se mencion anteriormente en este captulo, seguimiento de los procesos del sistema puede ser lento y complejo. La mayora de Unix operaating sistemas vienen con una herramienta de lnea de comandos denominada ps. La ps comando le permite a la lista de los procesos que estn siendo ejecutados por la mquina en la que se ha introducido el comando. Los administradores
97
se puede utilizar junto con el -Ef opcin (por ejemplo, ps-ef) Para obtener una lista completa de todos los procesos del sistema Unix. Mientras que Windows NT, 2000 y XP vienen con el Administrador de tareas, que no ofrecen un nivel significativo de detalles acerca de los procesos individuales. Por suerte, hay varios programas disponibles que pueden hacer el trabajo de los procesos de supervisin del sistema menos oneroso. En el sitio Web de Sysinternals (www.sysinternals.com)no es un conjunto de avanzadas herramientas para descargar software gratuito llamado PsToolscoded por Mark Russinovich. Se puede asistir en el seguimiento y la recopilacin de una informacin ms detallada sobre los procesos del sistema bajo el sistema operativo Windows. El conjunto PsTools incluye las siguientes herramientas, que se pueden descargar de forma individual o como paquete: PsExec ejecuta procesos de forma remota. PsFile archivos espectculos abre desde una localizacin remota. PsGetSid muestra el SID (identificador de seguridad) de un equipo o un usuario. Sallnfo listas de informacin sobre un sistema. PsKill Finaliza los procesos de ombre o ID del proceso. PsList muestra informacin detallada acerca de los procesos. PsLoggedOn muestra quin est conectado a nivel local como a travs de recursos compartidos. PsLogList vertederos de los registros del registro de eventos. PsService puntos de vista y los servicios de los controles. PsShutdown se apaga y reinicia opcionalmente un equipo. PsSuspend suspende procesos. PsUptime muestra el tiempo que un sistema ha estado funcionando desde su ltimo reinicio. Dado que todos los PsTools son las herramientas de lnea de comandos, que se debe ejecutar desde un comando (DOS) del sistema. Usted tendr que agregar la carpeta que se almacenan en la ruta de acceso del sistema a fin de ejecutar desde cualquier directorio que no sea el directorio o carpeta en la que fueron colocados. Por plac-cin de estas herramientas en el directorio Winnt (Windows NT/2000) o el directorio de Windows (Windows XP), que se incluir automticamente en la instruccin de ruta de su sistema. Si usted desea poner estas herramientas en su propio directorio (por ejemplo, C: \ PsTools)y an as tener Windows lCate ellas automticamente, realice los siguientes pasos. En Windows NT 4.0, haga lo siguiente: 1. Haga clic derecho en Mi PC de la ICn. 2. Seleccione Propiedades en el contexto de los hombres. 3. Haga doble clic en Sistema de ICn. 4. Haga clic en la ficha Entorno.
5. Seleccione Ruta de la lista de variables del sistema. 6. Editar la instruccin de ruta mediante la adicin del directorio en el que se almacena PsTools.
98
Respuesta a Incidentes: Computer Toolkit Forense En Windows 2000, XP, haga lo siguiente: 1. Haga clic derecho en Mi PC de la ICn. (En Windows XP, el icono Mi PC Icn puede ser situado en los hombres comienzan a.) 2. Seleccione Propiedades en el contexto de los hombres. 3. Seleccione la ficha Opciones avanzadas. 4. Haga clic en el botn Variables de entorno. 5. Desde la ventana de Variables del sistema, resalte la entrada Path y seleccione Editar. 6. Add (agregar) la ubicacin del directorio de PsTools a la lista de directorios en la ruta con un punto y coma inmediatamente despus de la ltima declaracin en el Camino, a continuacin, aadir la ubicacin del Directorio de PsTools (ver Figura 5-4).
Figura 5-4: Adicin de la ubicacin del directorio de PsTools a su lista de directorios a travs de Windows XP Pro Variables Ambientales utilidad de edicin de
Otra herramienta til en el sitio Web Sysinternal es Process Explorer (ver Figura 5-5) por Mark Russinovich. Con esta poderosa de apuntar y clic, basada en Windows, la utilidad freeware, usted puede averiguar quin es el dueo de cada proceso, y, para cada uno de estos procesos, qu archivos, claves de registro y otros objetos estn abiertos. Adems, el proceso muestra el Explorador de archivos DLL que se ha cargado y que los identificadores abiertos a cada proceso. Esto hace que sea una herramienta poderosa para la comprensin de la deFcomportamiento ernal de
aplicaciones, as como para localizar las fugas del mango y Versi DLLn desajustes.
99
Figura 5-5: Process Explorer 5.25
Archivos inusuales u Oculto

A veces es difcil determinar si un sistema ha sido comprometido. Es importante por lo tanto, a realizar bsquedas peridicas de los archivos inusuales o escondidos que pueden tener intrusi anuladasn la deteccin y proteccin antivirus. Los archivos ocultos se puede utilizar para ocultar las herramientas de hackers, cdigos maliciosos, y la informacin sensible (por ejemplo, obtener contraseas de programas, archivos de contraseas de otros siste-mas, y as sucesivamente). Un nmero de programas maliciosos desarrollados recientemente han aprovechado el comportamiento predeterminado de los sistemas operativos Windows para ocultar las extensiones de archivo. Este comportamiento se puede utilizar para engaar a los usuarios en la ejecucin de cdigo al hacer un archivo parece ser algo que no es. Mltiple de correo electrnico-a cargo virunses son conocidos para aprovechar esta vulnerabilidad.
Visualizacin de archivos ocultos en Windows

Los sistemas operativos Windows contienen la opcin de "Ocultar las extensiones de archivo para tipos de archivo conocidos". La opcin est activada por defecto, pero un usuario puede optar por desactivar esta opcin con el fin de tener el archivo extensiones mostrada por Windows. Para mostrar los archivos ocultos, carpetas y extensiones de archivos en Windows, haga lo
siguiente pasos.
Respuesta a Incidentes: Computer Toolkit Forense Para Windows NT, haga lo siguiente: 1. Haga clic en el botn Inicio, seleccione Configuracin, Panel de control. 2. De los hombres Ver, Seleccione Opciones. 3. Haga clic en la ficha Vista. 4. En la ficha Ver, seleccione "Mostrar todos los archivos". 5. Desmarque la opcin "Ocultar extensiones de archivo para tipos de archivo conocidos" opcin. 6. Haga clic en Aceptar para completar los cambios. Para Windows 2000, haga lo siguiente: 1. Haga clic en el botn Inicio, seleccione Configuracin, Panel de control. 2. De los hombres Herramientas, Seleccione Opciones de carpeta. 3. Haga clic en la ficha Vista. 4. En "Archivos y carpetas ocultos", seleccione "Mostrar archivos y carpetas ocultos". 5. Desmarque la opcin "Ocultar extensiones de archivo para tipos de archivo conocidos" opcin. 6. Desmarque "Ocultar archivos protegidos del sistema." (Nota: Windows 2000 mostrar un cuadro de dilogo solicitando confirmacin. Asegrese de leer y entender la informacin contenida en el cuadro de dilogo, a continuacin, haga clic en S.) 7. Haga clic en Aceptar para completar los cambios. Para Windows XP, haga lo siguiente: 1. Haga clic en el botn Inicio y seleccione Panel de control. 2. De los hombres Herramientas, Seleccione Opciones de carpeta. 3. Haga clic en la ficha Vista. 4. En "Archivos y carpetas ocultos", seleccione "Mostrar archivos y carpetas ocultos".
5. Desmarque la opcin "Ocultar extensiones de archivo para tipos de archivo conocidos" opcin. 6. Desmarque "Ocultar archivos protegidos del sistema." (Nota: Windows XP mostrar un cuadro de dilogo cuadro de confirmacin. Asegrese de leer y entender la informacin contenida en el cuadro de dilogo, a continuacin, haga clic en S.) 7. Haga clic en Aceptar para completar los cambios.
101
ln todas las versiones de Windows, puede ver los archivos ocultos en el smbolo del sistema, escriba dir / ah.
Visualizacin de archivos ocultos en Unix / Linux

Incluso cuando se utiliza en Unix o Linux, es importante buscar en el sistema de archivos inusuales o escondidos. En los sistemas Unix y Linux, estos son los archivos que comienzan con un punto y normalmente no se muestran por el 1scomando. (El 1scomando muestra todos los archivos y subdirectorios que tiene en un directorio determinado.) Estos archivos se utilizan a menudo por los hackers para ocultar las herramientas y programas para descifrar contraseas. Una tcnica comn usada con sistemas Unix / Linux es poner un directorio oculto o un archivo en una cuenta de usuario con una inusual AME como .. (Punto-punto-espacio) o .. AG(Punto-punto-de controlG). Por suerte, la incorporada en el programa Buscar en Unix puede ayudar a buscar estos tipos de archivos ocultos. Aqu hay dos ejemplos:
find / -AME ".. " -Print-xdev find / -AME "*." -Print-xdev
Otro truco favorito de hackers es explotar programas SUID de root. (SUID root se refiere al conjunto raz ID de usuario.) SUID root permite que el programa para llevar a cabo las funciones que slo los administradores del sistema con privilegios de root completas se les permitira llevar a cabo. Los programas que se ejecutan como root tiene acceso completo a un sistema Unix, y los programas SUID ejecutarse como root, independientemente de quin los est ejecutando. Programas que se ejecutan rutinas de bajo nivel de red y funciones de control, tales como pantalla grfica, el cambio de contraseas, e inicio de sesin son todos ejemplos de programas que requieren de un usuario con privilegios de root completas para su ejecucin. Los intrusos suelen dejar copias de SUID / Bin / sh o / Bin / hora que les permita tener acceso de root despus. Encontrar todos los programas SUID en su sistema y hacer un seguimiento de lo que son. De esta manera, usted se dar cuenta de los cambios, lo que podra indcado un posible intruso. Utilice el siguiente comando para encontrar e imprimir una lista de todos los programas o archivos que se SUID root:
find /-type f-perm -4000-print | raz de correo
Tambin es posible que desee navegar por la lista de todos los programas SUID y lcado a los que rara vez o nunca. Usted puede desactivar (deshabilitar) el bit SUID con el chmod (Modo de cambio) comdemanda. Esencialmente, chmod se refiere a establecer los privilegios de acceso para un archivo. Para ejecutar chmod en un archivo o directorio, debe ser su propietario o un super-usuario con privilegios de root. El siguiente paso en el control-ling programas con suid root es el de analizar los programas que no debe ser SUID root o los que se puede quitar sin obstaculizar el funcionamiento del sistema. La lista de programas que no debe ser var SUID rootES de un sistema a otro. En general,
antes de apagar el SUID root, primero debe determinar la funcin del programa y luego decidir si es un programa esencial o si debe ser SUID root.
102
Una cuenta de superusuario es una cuenta con privilegios de acceso sin restricciones a todos los archivos y los comandos. Muchas de las tareas administrativas slo pueden ser realizadas por una cuenta de superusuario. Por convencin, el nombre de usuario para la cuenta de superusuario es root.
La sintaxis exacta para la eliminacin de raz var SUIDes en funcin de los archivos que desea modificar. Asumiendo que usted desea quitar el bit SUID en / Usr / bin / passwd, la sintaxis es
chmod-s / usr / bin / passwd
El principio rector comn con los programas SUID root es para limitarlas a slo aquellos que sean necesarios. Los administradores de sistemas se les anima a examinar la funcin de cada programa para determinar si se debe establecer como superusuario, o no.
Rootkits y backdoors
La mxima afirma: "Se necesita un ladrn para atrapar a un ladrn." Lo mismo puede decirse de los piratas informticos. Para atrapar a un pirata informtico, se debe tener un conocimiento general de las herramientas y tcnicas de los hackers emplean a ms deeoyo los usuarios y sistemas. Una de las herramientas de hacker ms utilizadas para lograr este obje-tivo es el rootkit. Un rootkit se utiliza para llevar a cabo las siguientes funciones: Evitar el registro de la actividad Establecer puertas traseras para el reingreso Ocultar o eliminar la evidencia de la entrada inicial Ocultar el contenido de archivos especficos Ocultar archivos y directorios Reunir informacin de inteligencia (por ejemplo, nombres de usuario y contraseas) Un rootkit se llev por su no porque ame la caja de herramientas se compone de herramientas para agrietarse raz, pero en lugar porque se compone de herramientas para mantener o mantener las races. Bajo Unix y Linux, la raz es el ms alto privilegio. Los usuarios con privilegios de root tiene acceso a todos los aspeecios de la operac-Ing sistema de acceso de root, porque implica el control de una mquina. Los rootkits son utilizados por intrusos para ocultar y asegurar su presencia en un sistema informtico. Si bien hay rootkits disponibles para el sistema operativo Windows, los rootkits de
Windows son en la actualidad no est tan extendido como sus homlogos de Unix y suelen ser detectados por cualquier antivirus de buena reputacin suaveware. En Unix y Linux, los administradores de red por lo general confan en el ps comando para mostrar una lista de todos los procesos del sistema y la 1scomando para listar todos los archivos ubicados en un directorio del disco duro. Un rootkit generalmente contiene un conjunto de utilidades de hackers, tales como registro de limpieza de las secuencias de comandos y sniffers de paquetes de red. Adems, los rootkits contienen sustitutos especializados del ncleo de Unix y Linux utildades, tales como netstat, ifconfig, ps, y Yos. A pesar de que los piratas primero debe tener acceso a
103
los sistemas de las vctimas antes de que puedan instalar sus rootkits, su facilidad de uso, la disponibilidad generalizada, y la cantidad de destruccin que son capaces de causar que los rootkits una seria amenaza para computadoras de trabajo netos-los administradores. Inevitablemente, la mayora de los sistemas informticos se infiltraron por un intruso o infectados por algn tipo de cdigo malicioso. A continuacin el Departamento de Justicia de EE.UU. pblica de prensa relASE demuestra que incluso las agencias gubernamentales como la NASA no son inmunes a rootkit Exploits:
01 de diciembre 2000 Noticias Rel.ASE Hacker se declara culpable en Nueva York a cortar en dos Propulsi Chorro de la NASA se declaran aula de informtica Situado en Pasadena, California Mary Jo White, el Fiscal de los Estados Unidos para el Distrito Sur de Nueva York, anunci que RAYMOND Torricelli, a / k / a "Rolex", un miembro de un grupo de hackers conocido como "# conflicto", se declar culpable hoy en el tribunal federal de Manhattan de los cargos de ltima hora en dos computadoras propiedad y mantenidos por la Administracin Nacional de Aeronutica y del Espacio Propulsi a Chorro de lan de laboratorio ("JPL"), con sede en Pasadena, California. De acuerdo a una demanda presentada anteriormente, Torricelli utiliz uno de esos equipos para hospedar una sala de chat de Internet y los programas instalados diseados para obtener nombres de usuario y contraseas desde el otro equipo. Al declararse a una informacin de cinco cargos, Torricelli admiti que, en 1998, l era un pirata informtico, y un miembro de una organizacin de hacking conocida como "# conflicto". TORRICELLI admiti que, operando desde su residencia en New Rochelle, utiliz su ordenador personal para ejecutar programas diseados para buscar en Internet, y buscar ordenadores que eran vulnerables a intrusin; ". rootkit", una vez estos equipos se encuentran, equipo de Torricelli entonces obtener acceso no autorizado a las computadoras mediante la carga de un programa conocido como acuerdo con la demanda, "rootkit" es un gramo a favor de que, cuando se ejecuta en un ordenador, permite a un hacker tener acceso completo a todas las funciones de una computadora sin haber obtenido estos privilegios de los usuarios autorizados de ese equipo. De acuerdo con la acusacin y la denuncia, una de las leyes Torricelli computadoras accede fue utilizado por la NASA para llevar a cabo el diseo de satlites y el anlisis de la misin relativa a las futuras misiones espaciales, y otro fue utilizado por JPLS tierra de sistemas de comunicaciones como una seccin de correo electrnico y el servidor Web interno. Despus de obtener este acceso no autorizado a computadoras, que la intrusin y la carga de "rootkit", TORRICELLI bajo el seudnimo de "Rolex", utiliza muchos de los equipos para hospedar sala de chat discusiones. En su alocucin de culpabilidad, TORRICELLI admiti que, en estas discusiones, invit a los chat de otros partici-pantes para visitar un sitio Web que les permita ver las imgenes pornogrficas, y que l gan 0,18 dlares por cada visita a una persona hecha a ese sitio Web. De acuerdo con la demanda, Torricelli gan aproximadamente $ 300 a $ 400 por semana a partir de esta actividad. TORRICELLI tambin se declar culpable de los nombres de usuario y contraseas de interceptacin que atraviesan las redes informticas de una computadora propiedad de San Jos La Universidad del Estado, y la posesin de las contraseas robadas y nombres de usuario que se utilizan para tener acceso gratuito a Internet, o para obtener acceso no autorizado a computadoras an ms. TORRICELLI admiti, como parte de su alocucin de culpabilidad, que cuando obtuvo las contraseas que fueron cifrados, que usara un programa de violacin de contraseas conocido como "John-the-
Ripper" para descifrar las contraseas. Adems, Torricelli se declar culpable de posesin de los nmeros robados de tarjetas de crdito. Como parte de su alegato, Torricelli admiti que us uno de esos nmeros de tarjeta de crdito para comprar el servicio telefnico de larga distancia. Como se alega en la demanda, Torricelli obtenido estos nmeros de tarjetas de crdito de otros individuosais, y las guard en su computadora.
104
Como se describe en la demanda, la mayor parte de las pruebas obtenidas en contra de Torricelli fue obtenida a travs de un registro de su ordenador personal. De acuerdo con la demanda, adems de miles de contraseas robadas y numerosos nmeros de tarjetas de crdito, los investigadores encontraron las transcripciones de las conversaciones sala de chat en el que las leyes Torricelli y los miembros de "# conflicto" discutir, entre otras cosas, (1) pausa-cin en otras computadoras (una prctica conocida como "hacking"), (2) la obtencin de nmeros de tarjetas de crdito-cin pertenecen a otras personas y usar esos nmeros para hacer compras no autorizadas (una prctica conocida como "carding"), y (3) usando sus computadoras para alterar electrnicamente los resultados de los MTV Movie Awards anuales. Jefe de los Estados Unidos el juez de distrito Michael B. Mukasey establece la sentencia en el caso el 7 de marzo de 2001, a las 9:15 AM En la sentencia, Torricelli se enfrenta a hasta 10 aos de prisin y una multa de 250.000 dlares cada uno en el fraude de tarjetas de crdito y los gastos de contraseas de posesin, de 5 aos de prisin y una multa de 250.000 dlares por el cargo de la interceptacin de contraseas, y un ao de prisin y una multa de $ 100.000 en cada uno de los cargos involv-Ing su acceso no autorizado de los dos ordenadores de la NASA. La Sra. Blanca elogi los esfuerzos de investigacin de la Administracin Nacional de Aeronutica y del Espacio, Oficina del Inspector General, los delitos informticos Divisin; la Rochelle, Nueva York, pDepartamento de piojos, y la Oficina Federal de Investigaciones. La Sra. White dijo: "Internet no es un refugio seguro para criminais. Como demuestra este caso, hack-res que utilizan Internet para cometer fraude de tarjetas de crdito, robar prVate contraseas y nombres de usuario, y tener acceso a las computadoras del gobierno restringidos, daando los equipos, no son bromistas, que son inofensivos criminais, y se tratar vigorosamente. "
En una declaracin escrita a la corte, Torricelli dijo que irrumpi en las computadoras de la NASA conocida como HEIDI.JPL.NASA.GOV entre el 17 y 25, de 1998, con una herramienta de rootkit que podra darle acceso a la raz de todos los archivos en ese equipo. En el momento se ha instalado el rootkit, Torricelli, declar: "Yo no saba que estaba siendo instalado en los equipos pertenecientes a la NASA, yo saba que estaba siendo instalado en los equipos que no estaba autorizado a acceder. " El 5 de septiembre de 2001, Raymond Torricelli fue condenado a cuatro meses de prisin y cuatro meses de arresto domiciliario. Adems, Torricelli fue condenado a pagar 4.400 dlares en restitucin a La NASA.
Detectar la presencia de un rootkit

La entrada de un sistema informtico por un intruso puede dejar rastros de evidencias a travs de archivo de registro de varios men-sajes. La mayora de los rootkits son herramientas que automticamente eliminan los mensajes sospechosos o incriminatoria de los archivos de registro. Uno de los indicadores ms comunes que un rootkit se ha utilizado es cuando uno o ms de las utilidades del ncleo del sistema que funcion a la perfeccin en el pasado de repente empieza a comportarse de forma errtica debido a los intrusos han reemplazado a estas utilidades con las versiones de rootkits diseados para ocultar sus actividades maliciosas. Por ejemplo, una lnea de comandos de cambiar a netstator ps, que sola usar sin problemas todos los das, podra empezar Retumla posibilidad de generar un mensaje de error. La utilidad con la que se sustituye el uno original puede ser de una diferente Versin o podran haber sido com-apilados con diferentes
opciones, y como resultado, no tiene las mismas caractersticas que el original. La deteccin de rootkits es de vital importancia, sin embargo, puede ser una de las tareas ms desalentadoras de cualquier administrador del sistema. Los rootkits entran en la categora de cdigo malicioso y se detectan tanto en la misma forma que virunses, gusanos o troyanos son. De hecho, la mayora de los rootkits contienen puerta trasera de caballo de Troya
105
componentes que les permiten recuperar entrada en una fecha posterior. Un hacker cuidadoso y sofisticado no dejar evidencias de encontrar. Otros pueden dejar huellas que pueden ser recogidos, pero slo por aquellos familiarizado con los detalles del sistema operativo y el diseo de la red. Con unidades de disco duro cada vez ms grandes y de los sistemas operativos ms complejos, no es infrecuente tener decenas de miles de archivos y numerosos procesos en ejecucin. Esto puede hacer que localizar o detectar un rootkit anlogo a encontrar una aguja en un pajar. Como se mencion anteriormente en este captulo, la mayora de los modernos rootkits simplemente reemplazar a los servicios estndar con versiones "especializada". Adems, las instalaciones de rootkit a menudo forjan de sello de tiempo y la informacin de tamao de archivo en un esfuerzo por evitar que los administradores del sistema a partir de confirmar visualmente la integridad de los servicios pblicos a travs de el sistema Unix / Linux 1scomando.
Manual de Inspeccin
Una manera de detectar la presencia de un rootkit es a travs de la inspeccin manual, que normalmente se lleva a cabo utilizando el cadenas comando. La cadenas utilidad, que es estndar en todos los modernos Unix / Linux plataformas, slo muestra las porciones de lectura de un archivo binario. La cadenas utilidad busca cadenas imprimibles en archivos regulares y escribe esas cadenas a la salida estndar de la impresora. Una cadena es cualquier secuencia de cuatro o ms caracteres imprimibles que terminan con una nueva lnea o un nuyol carcter. Para el administrador de sistemas con experiencia, el cadenas comando puede producir datos legibles tales como el Ames de archivos donde se guardan las contraseas de intrusos, las versiones de la biblioteca con la que se compil el rootkit, y otra informacin que normalmente no se correlacionan con los datos originales en el archivo de destino. La sintaxis exacta utilizada con el cadenas comando varES dependiendo de qu Versin de Unix o Linux se utiliza. En general, la sintaxis de la cadenas comando es como sigue:
cadenas [-A] [-] [-o] [-t (d) (o) (x)] [-n] [archivo ame, etc. ]
Para obtener una lista de las banderas utilizadas, vase el cuadro 5-1.
Tabla 5-1 Banderas utiliza en el comando de Unix / Linux Cuerdas -Un o -Este indicador busca en el archivo completo (no slo la seccin de datos) para las cadenas imprimibles. -N (Nmero) Esta bandera es idntica a la -Nmero bandera y especifica una longitud mnima de la cadena que no sea el predeterminado de cuatro caracteres. La mximum valiosa de una cadena de longitud es 4.096. -O Esta bandera es idntica a la -T o bandera y las listas de cada cadena octal precedido por su desplazamiento en el archivo.
-T (Formato) Esta bandera muestra cada cadena precedido por su desplazamiento desde el inicio del archivo. El formato es dependiente del carcter utilizado como la variable de formato, algunas de las cuales se enumeran a continuacin: describe el desplazamiento en formato decimal. oescribe el desplazamiento en formato octal. Seguido
106
Tabla 5-1 Banderas utiliza en el comando de Unix / Linux Cuerdas (Continuacin)

xescribe el desplazamiento en formato hexadecimal. A /oFe;Cuando la junta y las banderas de formato-t se definen ms de una vez acerca de un comando lnea, la ltima bandera especifica controla el comportamiento del comando de las cadenas. -Nmero Esta bandera especifica un mlongitud de la cadena nimum distinta de la predeterminada de los cuatro personajes. La mximum valiosa de una longitud de cadena es 4.096. Esta bandera es idntica a la n- (Nmero) bandera. Este indicador identifica el archivo que desea buscar.
expediente
PROGRAMAS de deteccin de rootkits
Chkrootkit es una coleccin de pequeas utilidades gratuitas para detectar la presencia de rootkits conocidos en un sistema Linux. Aunque es posible encontrar independientes guiones de deteccin para casi todos los rootkits, chkrootkit se diferencia por su capacidad para detectar un gran nmero de diferente los rootkits usando una sola aplicacin. Adems de la deteccin de firmas conocidas de rootkit, chkrootkit tambin ejecuta algunas pruebas genricas que pudieran ayudar en el descubrimiento de rootkits que en realidad no son soportados por la aplicacin. Para obtener ms informacin o para descargar una copia, visite www.chkrootkit.org. Para los sistemas Windows y Unix-, intacta por el Pedestal Software (www.pedestalsoft ware.com)puede ayudar a detectar la presencia de un rootkit, as como otras violaciones del sistema. Intacto detecta rootkits mediante el control de cambios en los sistemas informticos. En concreto, el programa toma una instantnea de los objetos del sistema y, a continuacin compara la instantnea con el sistema activo en tiempo real. Al informar sobre los cambios inesperados, Intacto detecta intrusiones no autorizadas, los efectos de virunses, los caballos de Troya, programas deshonestos, corrupcin de archivos de instalacin, y alteraciones de la seguridad, y los cambios en la configuracin de auditora. Como hemos visto anteriormente en este libro, los cambios, adiciones y / o supresiones menudo evidencia de que un compromiso de la integridad de un sistema que ha ocurrido.
Detectar la presencia de una puerta trasera

Los atacantes suelen instalar puertas traseras en un sistema por lo que fcilmente puede entrar de nuevo que el sistema ms tarde. ID de inicio de sesin y contraseas ocultas pueden ser
colocados en un sistema por el legtimocompaero de hardware o fabricantes de software como un medio para sus tcnicos para obtener acceso para reparaciones o mantenimiento. Los piratas informticos utilizan a veces estos identificadores de inicio de sesin y contraseas ocultas o utilizar los caballos de Troya para establecer Yolegales y autorizados los ID de inicio de sesin y contraseas en los sistemas informticos. Si bien se puede instalar puertas traseras para acceder a una variedad de servicios, los que proporcionan acceso interactivo son de particular inters en materia de seguridad de la red. La puerta trasera para la mayora de los intrusos ofrece tres funciones principales:
107
1. Volviendo en el sistema con la menor cantidad de visibilidad. La mayora de las puertas traseras ofrecen una manera de evitar que se registren, y muchas veces de una mquina puede parecer que no tienen a nadie incluso en lnea, mientras que un intruso lo est utilizando. 2. Volviendo a una mquina, incluso si el administrador intenta para asegurarlo (por ejemplo, por cambiar todas las contraseas). 3. Permitir que el hacker para recuperar la entrada en el sistema en el menor tiempo posible. La mayora de los intrusos tratan de volver a la mquina con facilidad, sin tener que rehacer todo el trabajo de la explotacin de un agujero para acceder. Utilizando una puerta trasera para entrar de nuevo un sistema es una tcnica popular utilizada por los piratas informticos. Dado que las herramientas de puerta trasera estn disponibles en los sitios Web de hackers, piratas informticos, incluso menores de edad los utilizan para conseguir la entrada. Usando una vueltala puerta es una amenaza para la infraestructura de informacin y un crimen que el gobierno de EE.UU. toma en serio. Cmo el gobierno considera que la amenaza se evidencia en el siguiente Departamento de EE.UU. de Justicia de prensa relASE:
21 de septiembre 2000 Hacker JUVENIL CONDENADO A SEIS MESES DE Centro de Detencin Caso marca por primera vez un hacker de menores condenados a servir a tiempo WASHINGTON, DC-El Departamento de Justicia anunci hoy que un joven de 16 aos de edad, de Miami, se declar culpable y fue sentenciado a seis meses en un centro de detencin para los dos actos de la delincuencia juvenil. Bajo los estatutos de los adultos, esos actos habran sido violacines de intervencin telefnica federal y com putadora-leyes contra el abuso de interceptar las comunicaciones electrnicas en redes informticas militares y para la obtencin ilegal de informacin de las redes de computadoras de la NASA. "Entrar en una propiedad ajena, si se trata de un robo o un equipo intrusin, es un crimen serias, "dijo la Fiscal General Janet Reno. "Este caso, que es la primera vez que un hacker juvenil ser un tiempo en un centro de detencin, demuestra que tenemos equipo intrusin en serio y estn trabajando con nuestros socios cin de justicia para luchar agresivamente contra este problema ". El joven, quien es conocido en Internet como "cOmrade ", admiti hoy en los EE.UU. Tribunal de Distrito en Miami que l era responsable de las intrusiones informticas del 23 de agosto de 1999, al 27 de octubre de 1999, en una red informtica militar utilizada por la Agencia de Defensa de Reduccin de Amenazas (DTRA). DTRA es una agencia del Departamento de Defensa encargado de reducir la amenaza a los EE.UU. y sus aliados de armas nucleares, biolgicas, qumicas, convencionales y especiales. Al declararse culpable, "cOmrade "tambin admiti que tuvo acceso no autorizado a un servidor informtico, conocido como un" router ", ubicado en Dulles, Virginia, e instalaron un medio oculto de acceso o" de vueltapuerta "en el servidor. El programa intercepta ms de 3.300 mensajes electrnicos desde y hacia DTRA personal. Tambin interceptado por lo menos 19 usuario Ames y contraseas de
cuentas de equipo de DTRA em-pleados, incluyendo al menos diez nombres de usuario y contraseas en los equipos militares. "El Departamento de Defensa toma muy en serio cualquier amenaza contra su infraestructura de informacin", dijo Joseph A. McMillan, Agente Especial a Cargo de la Oficina del Departamento de Defensa de mitad de campo del Atlntico. "Todos los segmentos
108
de la sociedad, ya sean adultos o jvenes, que tienen la intencin de amenazar la informacin del Departamento de Defensa de la infraestructura, debe ser consciente de que se tomarn medidas para identificar e invertir bienpuerta de sus actividades y buscar las acciones judiciales necesarias ". Adems de las intrusiones en computadoras en el Departamento de Defensa el 29 de junio y 30 de 1999, c "Omrade "acceso ilegal a un total de 13 ordenadores de la NASA ubicado en el Marshall Space Flight Center en Huntsville, Alabama, con dos proveedores de servicios diferentes a los orig nate los ataques. Como parte de su acceso no autorizado, obtuvo y descargar el software propietario de la NASA valorado en aproximadamente $ 1,7 millones. El software apoyado la Estacin Espacial Internacional (ISS) el entorno fsico, incluyendo el control de la tempe-ratura y la humedad dentro de la sala de estar. Como resultado de la intrusin y el robo de datos, los sistemas informticos de la NASA fueron cerrados por 21 das en julio de 1999. Este cierre dio lugar a un retraso en la entrega de software de costos de los programas de la NASA de aproximadamente $ 41.000 en la mano de obra del contratista y los costos de reemplazo de equipos informticos. Adems de cumplir seis meses en un centro de detencin, ya que las condiciones de su declaracin de culpabilidad ", cOmrade "va a escribir cartas de disculpa al Departamento de Defensa y la NASA y ha accedido a la divulgacin pblica de informacin sobre el caso."
Tan inquietante como la prensa anterior relASE es decir, que no refleja otra alarmantes caractersticas-tic de puertas traseras. Las puertas traseras son, por diseo, difcil de detectar. Un esquema comn para enmascarar su presencia es para ejecutar un servidor de un servicio estndar (como telnet, por ejemplo), pero en un puerto no dis-distinguido en lugar del conocido puerto asociado con el servicio, o tal vez en un conocido puerto asociado con un servicio diferente.
Puertas traseras DETECCIN
Un buen nmero de puertas traseras son ejecutados por un tipo de cdigo malicioso llamado un caballo de Troya. De hecho, muchos de ellos contienen rootkits "de troyanos" versiones de los programas ms utilizados y utilidades del sistema. Dos aplicaciones populares caballos de Troya son BackOrifice y SubSeven, operando tanto como un servidor en el sistema que infectan. Este servidor se abre una puerta trasera, permitiendo el acceso desde el exterior es posible, y esto permite que el sistema infectado pueda acceder a los piratas informticos que a continuacin se puede hacer prcticamente cualquier cosa en un sistema, incluyendo el robo o eliminacin de archivos. Algunas de las capacidades posedo por son troyanos de puerta trasera Usted aqu: Cargar o descargar archivos Mover, copiar, renombrar o eliminar archivos Borrar discos duros y discos de datos Ejecutar los programas de Ver la pantalla como lo ve Entrar pulsaciones de teclas (incluso la entrada de contraseas ocultas) Abierto, cis, y se mueven Windows
Mueva el cursor del ratn Vea todas las conexiones abiertas hacia y desde su ordenador Ciconexiones de Se
Captulo 5: Anlisis y deteccin de cdigos maliciosos e intrusos 109
Existen numerosos troyanos de puerta trasera que circulan en el medio silvestre. Si bien la mayora son detectados por los antivirus, resulta til saber un poco sobre cada uno de ellos. Lo que sigue es una breve lista de los troyanos de puerta trasera: BackOrifice / BackOrifice 2000 (BO2K). Atrs oFICE (o B02K) es probablemente el troyano ms avanzada en circulacin y requiere de una empinada curva de aprendizaje, por lo que es el ms difcil de poner en su lugar. Haga copias de seguridad de la Construccin. Esta puerta trasera permite muy poco frecuente que el hacker tenga acceso a los discos duros de un sistema. Siempre se ejecuta en el puerto 5400, lo que se aconseja que los usuarios simplemente bloquear ese puerto en sus firewalls. Barok. Este troyano recoge contraseas de acceso telefnico y las enva al hacker. La forma ms sencilla para defenderse de la Barok: No seleccione la opcin "Siempre recuerdo a mi pasopalabra "en cuadros de contrasea. Blade Runner. Este troyano sofisticado se orienta ms hacia las habilidades de los conocedores de sis-tema galletas, ya que contiene componentes que estn ms all de las habilidades de los hackers promedio. Cyn. Este troyano en particular es similar en forma y caractersticas de la SubSeven, sin embargo, incluye una funcin adicional que permite a un hacker para restablecer la CMOS del sistema. Deepthroat. Garganta profunda es un sencillo de usar y tiene opciones de Troya casi tantos como el SubSeven. Girlfriend. No hay mucho para distinguir este troyano, ya que contiene la norma FEAciones comunes a la mayora de las puertas traseras de Troya. Cortafuegos ms respetable puede bloquear la novia. Hack'a'tack. Este fcil de usar y colorido de control remoto de Troya en realidad es bastante raro. Desde este troyano siempre se ejecuta en el puerto 31787, que es relativamente fcil de defender por igual bloqueando el acceso al puerto 31787 en el firewall. Autobs. Este troyano comn es potente a pesar de su simplicidad. Incluso cuenta con un built-en el escner y opera a travs del puerto 54321 por defecto. SubSeven (alias Backdoor-G). Con su pequea curva de aprendizaje y numerosas funciones, SubSeven es probablemente el caballo de Troya ms popular (desde el punto de vista del hacker) y de gran alcance. El troyano SubSeven puede configurarse para informar a alguien cuando el ordenador se ha infectado se conecta a Internet. El hacker (que infecta el sistema con el SubSeven) A continuacin se proporciona la informacin
que l o ella puede usar en contra de la sistema u organizacin. Dado que la puerta trasera se accede desde una ubicacin remota fuera de la red de una organizacin, su deteccin se logra por medio de conexiones a los puertos del sistema de control diferentes. Desde servidores de seguridad se supone que controlar y limitar las actividades portuarias, que son la opcin natural para detectar la presencia de una puerta trasera. Sin embargo, puesto que las solicitudes de caballo de Troya a menudo se disfrazan de fiaraplicaciones de yerba mate, usando un firewall no garantiza que la presencia de una puerta trasera ser detectado.
110
El Apndice B proporciona una lista de los puertos de uso comn por los rootkits y backdoors.
Dado que los productos antivirus ms reconocidos son capaces de detectar cualquiera de las aplicaciones de caballos de Troya antes mencionados, se considera obligatorio para la seguridad en Internet. El software antivirus no est exenta de defectos, sin embargo. La mayora de los productos antivirus se basan en que los usuarios actualicen regularmente su firmas de virus para ayudar en la deteccin de troyanos de puerta trasera (o cualquier otro cdigo malicioso para el caso). Los virus informticos estn constituidos por cadenas de cdigo autoreplicante, que se llama el binario de signatura. El software antivirus funciona mediante la comparacin de las firmas binarias de todos los archivos entrantes en contra de cualquier conocido firmas virales binarios almacenados en su ddtla base con el fin de determinar si ese cdigo es sospechoso o peligroso.
Para ms informacin sobre firmas de virus, echa un vistazo a otro libro que escribi, Seguridad de la red de cdigos maliciosos: Una gua completa a la defensa contra virus, gusanos y troyanos (2002, Wiley).
Por desgracia, a veces no para detectar nuevas variantes para el que la firma an no es capaz de dis-. Un medio ms eficaz para determinar si un troyano o puerta trasera se ha instalado en un sistema es recoger la informacin especfica del sistema infectado en s. Hay varias herramientas gratuitas que pueden ser empleadas para recopilar esta informacin. stos son algunos de los favoritos personales:
Fportexe. Fport es una utilidad de Windows-solamente por Foundstone, Inc. fport no slo informa de todos los TCP abierto / IP y UDP, pero tambin traza de nuevo a la aplicacin propietaria. Mientras que esta misma informacin podra ser obtenida mediante Windows netstat-an comando, va un paso ms all al trazar los puertos a los procesos en ejecucin, con el ID del proceso, ame, y la ruta. Fport se puede utilizar para identificar rpidamente desconocidos puertos abiertos y sus aplicaciones asociadas. Para ms informacin o para descargar una copia sin costo alguno, visita www.foundstone.com.
Superscan. Tambin por Foundstone, Inc., SuperScan es un potente scanner de puertos TCP, emisor de ultrasonidos, y de resolucin de nombre de host. Este programa es extremadamente rpido y verstil y se puede conectar a cualquier puerto abierto descubierto utilizando una funcin de las solicitudes de ayuda especificados por el usuario.
Nmap. Nmap (Network Mapper) es una utilidad de cdigo abierto til para explorar las conexiones de red y auditora de seguridad. Nmap determina qu hosts estn disponibles
en la red, as como los puertos que estn utilizando. Nmap se ejecuta en la mayora de los ordenadores que utilizan los sistemas Unix y Linux. Viene tanto en consolay la grfica de ver-siones. Nmap es un software gratuito, disponible con cdigo fuente completo bajo los trminos de la GNU Licencia Pblica General (GPL) en www.insecure.org / nmap .
111
Listdlls.exe. ListDLLs, una utilidad gratuita de Windows, Mark Russinovich, es capaz de mostrar la ruta completa Ames de mdulos cargados - no slo su base Ames. Adems, ListDLLs bandera cargados DLL que tienen diferentes versin nmero que sus correspondientes archivos en disco (que se produce cuando el archivo se actualiza despus de un programa carga el archivo DLL), y pueden Yoldemostrar qu DLL han sido reubicadas debido a que no se cargan en su direccin base. Esta til herramienta se puede descargar en www.sysinternals.com . Puertas traseras DETECCIN con el comando netstat La netstat comando es una herramienta til para el control de configuracin de la red y la actividad. Mediante el uso netstat, usted puede averiguar qu puertos del ordenador estn abiertos, que a su vez ayuda a determinar si su ordenador ha sido infectado por un troyano. La netstat comando enumera todas al aire libre conexiones desde y hacia su PC. Unix, Linux y Windows todos soportan el netstat comando. Para usarlo en Windows, abra una de comandos (DOS) del sistema y escriba el comando netstat-a, Que enumera todas las conexiones abiertas van desde y hacia su PC. Si usted descubre cualquier conexin que usted no reconoce, es necesario rastrear el proceso que est utilizando esa conexin. Usted puede utilizar un programa freeware llamado TCPView til para hacer esto. TCPView es un programa de Windows que proporciona detalladas listas de todos los puntos finales TCP y UDP (por ejemplo, clientes, servidores, etc) en su sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP. En Windows NT, 2000 y XP, TCPView tambin informa de la ombre del proceso que posee el punto final. TCPView proporciona informacin adicional que se puede lograr cuando se utiliza el programa netstat integrado que viene con Windows. TCPView se puede descargar en www. sysinternals.com . Al igual que con Windows, en Unix o Linux cuando se ejecuta el netstat-a comando, ver un listado de todas las conexiones, junto con sus puertos de escucha.
La eliminacin de rootkits y troyanos

Una vez que se ha descubierto que un equipo est infectado con un rootkit o troyano de puerta trasera, la eliminacin del programa en cuestin es el siguiente paso lgico. Debido a la inundacin de rootkits y troyanos de puerta trasera en la naturaleza, es imposible hacer una lista de los procedimientos de traslado de todos ellos, sin embargo, las directrices generales para la eliminacin son los siguientes. Las medidas necesarias para eliminar un troyano: 1. Identificar el archivo de caballo de Troya en el disco duro del sistema.
1. Descubra cmo se est iniciando (por ejemplo, a travs de carpetas del Registro, de inicio, y as sucesivamente) y tomar la accin (s) necesarias para evitar que se reinicie despus de un reinicio. 2. Reinicie el equipo y eliminar el caballo de Troya.
Respuesta a Incidentes: Computer Toolkit Forense Los pasos bsicos que intervienen en la recuperacin de un rootkit son los siguientes: 1. Aislar la mquina afectada. (Desconectarlo de la red y / o Internet). 2. Determinar la gravedad de la transaccin. (Hay otros equipos de la red tambin infectado?) 3. Comenzar la limpieza por la reinstalacin del sistema operativo y las aplicaciones a partir de una confianza (Limpia) de copia de seguridad.
A menudo, los troyanos de puerta trasera se puede detectar simplemente actualizando sus firmas de software antivirus.
La deteccin y defensa contra Sniffers de red

Un analizador de paquetes de red es una utilidad que monitoriza y registra la actividad de la red en un archivo por la inhalacin de trfico, pero sin modificar los paquetes de la red en modo alguno. En los primeros das de la computacin, rastreadores eran dispositivos de hardware que estaban conectados fsicamente a la red. Ahora inhalacin se hace por software, con lo que la red de oler a cualquier persona que desee realizar esta tarea. Hacker sitios web estn llenos de rastreadores que logran funcionar en cualquier plataforma de sistema operativo. De hecho, es comn que un hacker o cracker para emplear un sniffer de red para capturar nombres de usuario y contrasea, datos que se pasa sin encriptar (en texto plano, un formato de formato ASCII que se puede leer en el Bloc de notas, por ejemplo) sobre la red. Por desgracia, casi todos los rootkit incluye utilidades para olfatear el trfico de red. Un disturbingly poderosa aspecto de la captura de paquetes es su capacidad para colocar la mquina que aloja el adaptador de red en modo promiscuo. Los adaptadores de red que se ejecutan en modo promiscuo reciben no slo los datos dirigidos a la mquina que aloja el software de sniffing, sino tambin todo los datos de trfico en la red conectado fsicamente local. Esta capacidad permite rastreadores de paquetes para ser utilizado como potentes herramientas de espionaje. La deteccin de sniffers de red es difcil pero no imposible. En Unix y Linux, el ifconfig comando permite que el administrador privilegiado (superusuario) para determinar si las interfaces estn en modo promiscuo. Cualquier interfaz funcionando en modo promiscuo es escuchar a todos ellos netosel trfico de trabajo, un indicador clave de que un sniffer de red se est utilizando. Para comprobar los interfaces de uso de ifconfig, slo tienes que escribir ifconfig-a y buscar la cadena Promisc. Si esta cadena est presente, su interfaz est en modo promiscuo, y hay que proms all, utilizando las herramientas integradas, como la ps utilidad para identificar el proceso de ofender. Para sistemas basados en Windows, una herramienta
gratuita llamada PromiscDetect mano se puede utilizar para detectar rpidamente cualquier adaptador que se ejecutan en modo promiscuo. PromiscDetect es una herramienta de lnea de comandos que se puede descargar en www.ntsecurity.nu/toolbox/~~V promiscdetect / y funciona en Windows NT 4.0, 2000 -, y los sistemas basados en XP.
113
A la luz del hecho de que un rastreador de promiscuidad slo puede interceptar el trfico de datos que se comparte en su segmento de lo local rea de la red, promiscua inhalacin se puede prevenir mediante el uso de la red interruptores en lugar de centros de la red estndar. Un estndar de concentrador Ethernet opera por retransmitir los datos que recibe a todos los equipos tambin conectados al concentrador. En tal ambiente paquetes destinados a una mquina son recibidos por todas las otras mquinas, tambin. Esto es diferente de un interruptor que puede identificar el equipo especfico en el segmento de LAN para las que est destinada cualquier datos recibidos. Un interruptor retransmite los datos recibidos slo en el segmento de LAN que contiene el receptor previsto. En otras palabras, un interruptor es una "inteligente" que enva paquetes a la computadora destinada slo y no lo difunde a todos los equipos de la red, como se hace en los cubos de Ethernet. Cuando los conmutadores se utilizan en lugar de los centros, cada equipo ocupa su propio segmento de LAN, y que slo el segmento lleva el trfico de datos destinados a esa mquina. Esta segmentacin de LAN hace promiscua en modo paquete Rastreadores completamente ineficaz en los casos en que el sniffer no est conectado a la misma red.
Resumen del captulo

Debido a que los ciber-amenazas que provienen de individuosais y cdigo malicioso estn constantemente cambian-do, las organizaciones necesitan cambiar la manera en que se acercan a la proteccin de sus redes. Por desgracia, la capacitacin de seguridad a menudo se centra en los problemas de seguridad ms localizadas y bsica y no en la respuesta a las amenazas externas, como hackers y programadores maliciosos. Los rootkits son una de las herramientas utilizadas por los intrusos para ocultar y proteger su presencia en el sistema, y puertas traseras, uno de los componentes de un rootkit, son utilizados por los hackers para volver a entrar en un sistema. A menudo, un intruso consigue la capacidad de camuflaje completo, apoyndose en un administrador de confiar en la salida de varios programas del sistema. Por ejemplo, cuando un rootkit est instalado correctamente, el administrador no ser capaz de distinguir la diferencia entre el original y los modificados ver-siones, lo cual es difcil de detectar. En este captulo se centra en las herramientas, tcnicas y metodologas bsicas que pueden ser utilizados por los administradores de sistemas para detectar la presencia de rootkits, de back-puertas, y rastreadores de la red. Puntos principales tratados en este captulo se incluyen El papel de los procesos del sistema y su importancia en la deteccin de programas ocultos
Cmo detectar los archivos inusuales y ocultos, que a menudo son el signo de un sistema de compromiso Las herramientas y tcnicas para detectar y eliminar rootkits y backdoors Las amenazas planteadas por sniffers de red y la forma de detectar y eliNate les
Captulo 6
Recuperar y analizar Las pistas

ln este captulo
Realizar bsquedas de palabras clave para desarrollar pruebas Localizar y examinar el archivo de intercambio de Windows para pruebas Localizacin y recuperacin de correo electrnico pruebas pruebas Recuperacin de la memoria cach del navegador web Viendo el historial del navegador Web La importancia de los archivos de cola de impresin de Windows o metarchivos mejorados (EMF) Localizacin de los datos ocultos y las contraseas en los equipos EN EL PASADO, LA GRAN MAYORA DE LOS CRMENES SE RESUELVEN USANDO LAS PRUEBAS, tales como huellas dactilares, huellas, documentos de papel y otros objetos tangibles, extrada de la escena del crimen. Si bien este tipo de pruebas continuaque informe a la polica con los hechos importantes, la tecnologa se ha aadido otro elemento para el examen: la evidencia digital. Ms informacin a veces puede ser adquirida a partir del anlisis de una computadora y su contenido que de una huella dactilar. Como en el caso del asesinato de Sharon Guthrie seala en la Introduccin de este libro, a veces la historia de un crimen puede ser contada a travs de la recuperacin de los archivos olvidados o se cree que han sido eliminados. Afortunadamente, la polica y los profesionales del derecho son rpidamente empezando a reconocer que la informtica forense proporciona evidencia vital y, posiblemente, puede ser la clave para resolver ciertos crmenes. Con una mayor importancia que ahora se coloca en evidencia digital, se ha convertido en crucial que las pruebas se manejan y se examinaron correctamente. Como las computadoras se vuelven ms extendida en el entorno corporativo, los empleadores deben salvaguardar la informacin crtica del negocio. Una preocupacin importante de hoy es la posibilidad de que los datos podran resultar daados, destruidos o robados por un empleado descontento. Si hay una computadora en la escena del crimen, hay una buena probabilidad de que un valioso testimonio se almacena en ese equipo. Una proporcin cada vez mayor de la actividad criminal, incluyendo delitos de cuello blanco, se est cometiendo con la ayuda de las
computa doras. No hay duda de que la obtenci n de pruebas es tanto un proceso que consum e tiempo y complej a. Este captulo se centra en las herrami entas y procedi mientos para la recupera cin y el anlisis digital de pistas.
115
116

Antes de realizar una bsqueda de cualquier equipo, primero debe revisar los procedimientos legales para buscar y aprovechar las computadoras y la obtencin de pruebas electrnicas. En los EE.UU. esto se puede encontrar en www.cybercrime.gov . Sin una formacin adecuada, sin darse cuenta, puede destruir pruebas cruciales. Adems, tambin puede ser considerado penalmente o civilmente Hpoder de sus acciones si lo hace la bsqueda sin la debida autorizacin.
Cmo realizar bsquedas de palabras clave

Anlisis de datos implica una variedad de tcnicas. Uno de los mtodos utilizados para descubrir dirigido informa-cin es la bsqueda por palabra clave. Por ejemplo, una investigacin informtica forense es a veces por formado para tratar de determinar si un equipo especfico ha sido utilizado para enviar mensajes inapropiados u ofensivos. Esta revisin puede incluir volver a crear el uso de un empleado de Internet, recuperar archivos borrados de internet, y realizar bsquedas de palabras clave para obtener informacin que aparece en los mensajes ofensivos. Estos mtodos pueden ser efectivos incluso cuando el individuo ha hecho un intento de cubrir sus pistas electrnicas. Bsquedas por palabras clave se utilizan para los siguientes propsitos: Para lcate ocurrencias de palabras o cadenas de texto en los datos almacenados en archivos o flojos y UNALarchivo que se encuentra el espacio Las auditoras internas para identificar violacines de la poltica corporativa Para encontrar pruebas en las investigaciones corporativas, civiles y penales, que implican por ordenadorpruebas relacionadas con Para buscar texto incrustado en formato de tratamiento de textos o fragmentos de documentos como documentos Debido al enorme tamao del disco duro moderno, es muy difcil de evaluar de forma manual todos los archivos almacenados en el disco. En consecuencia, las herramientas forenses de bsqueda de texto estn disponibles para ayudar de forma rpida y fcil de descubrir a las pruebas pertinentes. El uso de software automatizado, las palabras clave se pueden utilizar en la bsqueda de todo tipo de soportes informticos, incluyendo unidades de disco duro, disquetes / extrable, y discos CD-RW. Al realizar una bsqueda de palabras clave, la lista de palabras debe ser lo ms corto posible y utilizando palabras comunes o palabras que son una parte de otras palabras debe ser evitado. En tales casos, las palabras deben estar rodeado con espacios. Por ejemplo, la palabra "copyright" est integrado en casi todos los archivos ejecutables en Windows. Si usted busca en ella, obtendr litrosaliarse miles de visitas.
Industrial Strength Bsqueda por palabra clave Programas
Hay varios programas disponibles para Unix, Linux y Windows que automatizan la tarea de una bsqueda por palabra clave. Por desgracia, las versiones comerciales de estos producs son un poco caros y suelen incluir muchas otras funciones (Forense suite), adems de su capacidad para per-formar bsquedas bsicas por palabra clave. He aqu algunos ejemplos:
Captulo 6: Recuperacin y anlisis de pistas
117
Forensic Toolkit por AccessData Corporation ($ 595) Revestir por Guidance Software, Inc. ($ 1.995-$ 2,495) Maresware suite por Mares and Company, LLC ($ 325-$ 950)
Freeware Herramientas para palabras clave de bsqueda

Afortunadamente, hay varias potentes utilidades freeware que ser suficiente para la gran mayora de las orga-nizaciones o individuosais que llevan a cabo la tarea de una bsqueda por palabra clave forenses. Si bien no lo hacen con-mantener algunas de las caractersticas adicionales de las versiones comerciales, cuando son combinados con algunas de las otras herramientas forenses gratuitos mencionados en este libro, que ayudan a construir rpidamente un potente conjunto de herramientas que se pueden recolectar y preservar evidencia digital potencial. Aqu estn tres de mis favoritos personales para la plataforma Windows: BinText por Foundstone, Inc. (actualmente en Versin 3.0) es un texto pequeo, rpido y poderoso extractor. BinText puede extraer el texto de cualquier tipo de archivo, tales como texto sin formato, Unicode y cadenas de recursos. Adems, esta til herramienta proporciona informacin detallada de cada elemento mediante un accesorio opcional (avanzado) y el modo de vista de filtrado de palabras clave para ayudar a prevenir la de cualquier texto no deseado de ser Usted. La lista recopilada puede ser buscado y se guarda en un septiembretipo de archivo, ya sea como un archivo de texto plano o en un formato tabular. Para obtener ms informacin o para descargar una copia, visite www.foundstone.com. Disco Investigador por Kevin Soloway (www.theabsolute.net/sware/)Es otro FORENutilidad de software gratuito que puede sic reunir una variedad de informacin desde el disco duro del usuario. Disk Investigator ayuda a descubrir todo lo que est "escondido" en un disco duro de la computadora, ayuda en la localizacin de los datos sensibles con funciones de visualizacin de bsqueda, y muestra el verdadero contenido de la unidad. Al pasar por el sistema operativo y directamente leyendo los sectores crudos de accionamiento, investigador del disco los archivos de ayuda de bsqueda de usuarios y grupos de palabras clave especficas o de contenido.
SectorSpyXP por Nick McCamy Lexun de dominio pblico (vase la Figura 6-1) es una comunidad de gran alcanceordenador forense herramienta que puede ser utilizado por la polica o cualquier persona que desee buscar y recuperar la evidencia a la izquierda en discos duros de ordenador y disquetes. Aunque no es tan potente o flexible como EnCase (la principal herramienta para tales fines), SectorSpyXP es todava muy poderosa y libre. SectorSpyXP examina todos los datos en un disco duro o disquete a nivel sectorial e incluso contiene documentacin detallada sobre cmo utilizarlo para realizar una bsqueda por
palabra clave para buscar y recuperar pruebas incriminatorias. Se puede utilizar para recuperar la informacin perdida, el texto que se ha suprimido y eliminado de la Papelera de reciclaje, e incluso informacin que no se encuentra en otros programas de recuperacin de archivos. Este programa funciona en Windows 2000 y XP. Para obtener informacin adicional acerca de SectorSpyXP, inclui-Ing enlaces a sitios web donde se puede descargar una copia, visite http://home.carolina .rr.com / lexunfreew son.
118
Figura 6-1: SectorSpyXP
Usando SectorSpyXP para realizar una bsqueda de palabras clave

SectorSpyXP recupera la informacin y la escribe en un archivo de texto llamado el archivo de datos (o el archivo de recuperacin de datos para los que no estn utilizando el programa forense). La ombre del archivo de datos es siempre SectorSpyXP.txt y est escrito en una unidad de un disco (disquete) como el defecto. Usted no tiene que escribir en el disco, sin embargo. Si el anlisis de un disquete en la unidad A, debe escribir los datos a otra unidad. Por otra parte, no puede ser que se trate con la contaminacin de las unidades de disco duro que est trabajando, en cuyo caso se podra escribir en los discos duros en lugar de a un disquete. Cuando SectorSpyXP se pone en marcha, de inmediato se ve en la unidad A de un disco con una llave en ella. Si un el disco no se encuentra o la clave no se encuentra, SectorSpyXP supone que desea el archivo de datos que se escriben en la unidad A. Si no quiere escribir en un disquete en la unidad A, siga las instrucciones en la seccin siguiente. Escribir el archivo de pruebas a un lugar que no sea una UNIDAD Para escribir los archivos de evidencia a un lugar que no sea un disco en la unidad A, debe cr se comi un simple archivo de texto (que debe ser llamado SectorSpyXPFilePath.txt) que contiene la ruta AME de la ubicacin donde desea que el archivo de pruebas para ser escrito. Esta es la llave que busca SectorSpyXP cuando sea lanzado. Siga estos sencillos pasos: 1. Crse comi un archivo de texto llamado SectorSpyXPFilePath.txt.
2. En la primera lnea, escriba la ruta completa AME de la ubicacin donde desea que los
archivos de evidencia a ser escrito. Ejemplo 1: Si desea que el archivo que se encuentra en el directorio raz de la unidad D, escriba D: \. Ejemplo 2: Si desea que el archivo que se
encuentra en D: \ Mis Prueba gratuita 1e, tendra que escribir D: \ Mis pruebas ExpedienteV
Captulo 6: Recuperacin y anlisis de pistas 3. Recuerde siempre poner el ltimo \al final de la ruta AME. 4. No incluya el ombre del archivo de texto. 5. Guarde el archivo y copiarlo en un disquete. 6. Asegrese de que el disco se inserta al inicio SectorSpyXP. 7. Usted puede quitar el disco una vez que haya comenzado SectorSpyXP. No se puede cambiar la ruta del archivo pruebas ame sin tener que reiniciar SectorSpyXP.
119
EUR
analizar.
Si el anlisis de un disquete, no quiero escribir el archivo de datos a la misma. Siga las instrucciones anteriores para escribir el archivo de datos a
otra ubicacin. Inserte el disco con el archivo de clave SectorSpyXPFilePath.txt, a continuacin, poner en marcha SectorSpyXP. Retire el disco y reemplazarlo con el que desea
USO DE SECTORSPYXP buscar informacin especfica Cuando se utiliza SectorSpyXP, hay dos mtodos que puede utilizar para buscar informacin especfica. MTODO 1 Escriba el texto que desea buscar y haga clic en el botn Buscar siguiente (para el ejemplo que se muestra en la Figura 1.6, el texto de bsqueda es "Freeware Lexun"). Buscar siguiente busca la primera aparicin de "dominio pblico Lexun" dentro de un sector, a partir del sector que se muestra actualmente, y resalta el texto en rojo. No pone de manifiesto las repeticiones posteriores de "dominio pblico Lexun" dentro del mismo sector. Al hacer clic en Buscar siguiente otra vez, busca la primera aparicin de "dominio pblico Lexun" en el siguiente sector. Esto evita tener que hacer clic repetidamente en Buscar siguiente, cuando el texto "Freeware Lexun" existe muchas veces dentro de un sector. Explicado de otra manera, en Buscar siguiente busca la primera aparicin de "dominio pblico Lexun" en el siguiente sector que se encuentra y deje de mirar-cin de "dominio pblico Lexun" en el sector de la actual una vez que ha encontrado la primera aparicin de la misma. Nota que puede buscar slo en la direccin de avance. El botn de maysculas y minsculas, por supuesto, determina si el texto de bsqueda distingue entre maysculas y minsculas o no. En nuestro ejemplo, el botn de maysculas y minsculas se presiona, y las bsquedas de "dominio pblico Lexun" slo tendr xito si ninguna de capitalizacin (o su ausencia) coincide exactamente. Por ejemplo, "Lexun freeware" no sera un xito en este ejemplo, pero lo que sera si el botn de maysculas y minsculas no se ha pulsado. MTODO 2 La bsqueda se puede hacer para obtener una lista de palabras clave que se han introducido en un archivo de texto Siguiendo este procedimiento: 1. Crse comi un archivo de texto llamado findnextlist.txt, y dentro de ese archivo, escriba las palabras clave, una por lnea. Por ejemplo: palabra
clavelcla ve2 Palabra clave3 2. Coloque el archivo donde se realizar el expediente de prueba por escrito. 3. Para utilizar la lista en las bsquedas, el tipo findnextlist en el Buscar siguiente cuadro de edicin como se describe en Mtodo 1. 4. SectorSpyXP se detiene y muestra alguna de las palabras clave que encuentre.
Pautas generales para el examen del disco duro

Hay varias maneras de ir sobre la bsqueda de unidad de disco duro a un sospechoso para incriminar palabra evidencia. Un mtodo consiste en dejar el disco duro en el ordenador del sospechoso y, usando un programa como BinText o SectorSpy, busque en el disco duro se sospecha de ciertas palabras clave (la evidencia). Este mtodo no est exento de fallas, sin embargo. La evidencia podra ser borrado o alterado durante el proceso normal el proceso de arranque del ordenador. Mientras que usted podra arrancar el ordenador con un disquete de arranque especial o incluso una unidad de CD-ROM, a continuacin, tendra que comprar uno de los ms complicados basados en DOS forenses util-dades, como la bsqueda de texto Plus o Pro DiskSearch las nuevas tecnologas, Inc . (www.forensics-intl.com) para realizar la bsqueda por palabra clave. Por desgracia, estas utilidades slo se proporcionan a la polica o el personal del gobierno. La libertad, aunque sea un poco ms complicado, la alternativa es quitar el disco duro del sospechoso y hacer una copia o clon mediante la colocacin de ese disco duro en otro ordenador con un disco duro o particin lo suficientemente grande como para contener un clon exacto del origdisco duro inal.
En el disco duro la eliminacin tambin es necesario cuando el ordenador de un sospechoso tiene una contrasea de arranque del sector ini-ciadas en el BIOS, impide que el equipo arranque a travs de disquete, CD-ROM o disco duro.
Si se realiza correctamente (como se describe en el captulo 3), la unidad clonada o fotografiado ser un sector por sec-tor copia (segn lo dispuesto por el NIST) del disco duro original. Esto preserva el estado del disco duro original, permitiendo al mismo tiempo minucioso examen forense de los datos contenidos en la reproduccin utilizando el BinText o programas SectorSpy.
Para individuosyos u organizaciones que deseen hacer un clon rpido o copia de una particin del disco duro para su personal o con fines internos de una organizacin, una prctica utilidad llamada DrvClonerXP est disponible en el dominio pblico Lexun
http://home.carolina.rr.com/lexunfreeware~~V .
Una vez que la copia o clon del disco duro de un sospechoso ha sido hecho, el original no debe ser tocado. Siempre estudiar las copias secundarias. Los cambios realizados en el origenais afectar el resultado de un anlisis posterior realizado a las copias. Asegrese de que no se quede ninguna extraccin de datos o programas de copia que tienen el potencial de modificar los tiempos de acceso de archivos, como el alquitrn (Unix / Linux) y xcopy (DOS / Windows). Por ltimo, asegrese de quitar todas las oportunidades externas para el cambio y, en general, analizar la evidencia slo despus de que ha sido recogido.
La recogida y preservacin de pruebas se tratan en mayor detalle en el captulo 7.
121
Al examinar el archivo de intercambio de Windows

El archivo de intercambio de Windows (archivo de paginacin en Windows NT/2000/XP) es el espacio en un disco duro reservado para el sistema operativo para hacer lo que se llama paginacin. En las condiciones en la memoria fsica (RAM) ya no est disponible (por ejemplo, cuando se ejecutan varios programas al mismo tiempo), Windows se llevar a las pginas ms antiguas no utilizados (cada pgina que consiste en un trozo de 4K de datos) de la memoria y moverlos en la memoria virtual. Las nuevas pginas de datos del programa que est usando puede ser guardado en la memoria fsica. Este proceso se denomina a menudo como intercambio, gallinaee el trmino archivo de intercambio. El archivo de intercambio es esencialmente nada ms que un solo archivo grande que contiene, por-quizs miles de estas pginas. La memoria fsica es un concepto fcil de entender ya que es la cantidad de RAM instalada en su sistema. La memoria virtual, sin embargo, no tiene nada que ver con la cantidad de memoria fsica instalada, pero es la cantidad de memoria que el sistema operativo y las aplicaciones que ests ejecutarNing percibir a estar disponible a travs de paginacin. El archivo de intercambio es importante cuando se realiza una investigacin forense ya que un gran volumen de datos puede existir en el archivo de intercambio de los cuales el usuario de la computadora no tiene conocimiento. Los archivos de intercambio de Windows puede proporcionar el especialista en informtica forense, con pistas para la investigacin que de otra manera no ser descubiertos. Los archivos de intercambio de Windows puede ser dinmico (temporal) o permanente, dependiendo de la versinsin de Windows involucrados y los ajustes seleccionados por el usuario de la computadora o el administrador del sistema. Archivos permanentes de intercambio son ms importantes para un especialista en informtica forense, ya que su tamao sigue siendo esttica y conservar sus datos durante largos periodos de tiempo que los archivos de intercambio dinmico. Archivos permanentes de intercambio puede contener cantidades enormes de datos. Debido a las enormes cantidades de datos que puedan contener, que debe buscar antes de tiempo por el especialista en informtica forense en cualquier examen (como evidencia potencial en relacin con el uso anterior de la computadora sujeto). Los archivos de intercambio de Windows pueden contener datos fcilmente reconocibles como nmeros de tarjetas de crdito, nmeros de telfono, de paso apalabras, y fragmentos de texto en el idioma Ingls. Cada vez que un equipo se ejecuta, existe la posibilidad de informacin en el archivo de intercambio de Windows que se sobrescriba. El archivo de intercambio puede resultar muy til desde una perspectiva de pruebas, puesto que los fragmentos de sesiones de trabajo de Windows pueden permanecer en el archivo de intercambio de Windows. El archivo de intercambio de Windows acta como un buffer de datos enorme, y muchas veces terminan documentos enteros en este archivo. Por lo tanto, cuidado con an-lisis del archivo de intercambio puede resultar en el descubrimiento de evidencia valiosa cuando Windows se tratara.
Localizacin del archivo de intercambio de Windows

En la mayora de las instalaciones de Windows, la ubicacin predeterminada para el archivo de intercambio est en el directorio raz de la unidad donde est instalado Windows, por lo general
en la unidad C. Sin embargo, desde el sistema operativo Windows se puede instalar en otras particiones del disco duro (por ejemplo, D , E, y as sucesivamente) y porque el archivo de intercambio puede haber sido movido de su configuracin predeterminada por el usuario, la ubicacin exacta del archivo de intercambio puede variar. Como regla general, el archivo de intercambio se encuentra normalmente en el directorio raz de la particin donde est instalado Windows. En Windows 95/98/ME el archivo de intercambio se llama win386.swp, y en Windows NT/2000/XP que se llama pagefile.sys. Si no est seguro de la ubicacin del archivo de intercambio / pgina, siempre se puede realizar una bsqueda para que mediante la utilidad de bsqueda de Windows situado en el inicio hombres. Desde pagefile.sys es un archivo oculto del sistema, primero debe asegurarse de que Windows se ha creado para ver los archivos ocultos y no ocultar archivos protegidos del sistema operativo. Estas opciones se pueden encontrar en el cuadro de dilogo Opciones de carpeta (ver Figura 6-2), utilizando los procedimientos que fueron descritos en
Captulo 5. Una vez que Windows se ha configurado para ver archivos ocultos del sistema, slo tiene que iniciar la bsqueda servicios pblicos y el tipo ombre del archivo de intercambio para el que desea buscar (por ejemplo, pagefi 1e. Sistema) Y deje que Windows lcado para usted (vea la Figura 6-3).
Figura 6-2: La carpeta de Windows XP Opciones de caja de
Figura 6-3: La utilidad de Windows XP Buscar
123
Viendo los contenidos del archivo de intercambio / Pgina

Por desgracia, viendo el contenido de un archivo de intercambio / pgina no es tarea fcil. El archivo de intercambio / pgina est com-puesto por miles de pginas de 4K individuales de datos. El principal inconveniente es que usted no puede ver el contenido del archivo de intercambio, mientras que el sistema operativo se carga. Ms importante an, una vez que la compu-tadora se reinicia y el sistema operativo se inicia, o se elimina eld archivo de intercambio y asigna uno nuevo porque el archivo se percibe como una transitorio o un archivo temporal. Por esta razn, una buena imagen del disco duro (como se describe en el Captulo 3) se debe realizar antes de que el equipo sospecha de que se reinicie. Puede conservar el estado del archivo de intercambio, en primer lugar de apagar el equipo, entonces reiniciar con un disquete de arranque o CD-ROM. De hecho, muchas de las mejores suites forenses incluyen utilidades para arrancar el ordenador sin necesidad de sospecha de que se cargue el sistema operativo y poner en peligro la integridad de cualquier evidencia potencial contenida en el archivo de intercambio. Intercambio de archivos pueden ser vistos como cualquier otro archivo con programas de software populares como Norton Commander o DiskEdit Norton o cualquier otro editor binario. El problema es que los archivos de intercambio pueden ser muy grandes, con algunas 200MB ms de tamao. Adems, contienen principalmente informacin binaria, que no es legible. Buscando pistas en el archivo de intercambio al ver que con la norma binaria edicin utililazos es tedioso y lo ms probable es infructuosa debido al volumen de datos involucrados. Con el fin de desentraar el contenido de los archivos de intercambio, ms productivos, herramientas especializadas son necesarias como EnCase (www.guidancesoftware.com)o filter_lpor New Technologies, Inc. (www.forensics-intl.com) de modo que los numerosos fragmentos de datos del archivo de pgina puede ser extrado y montado. Estas herramientas pueden ahorrar cantidades significativas de tiempo en la identificacin de todo tipo de clientes potenciales de los contenidos del archivo de intercambio de Windows. Por desgracia, estas herramientas pueden ser demasiado caro para el usuario casual y puede requerir una formacin especial, tambin. Esto hace que el archivo de intercambio mejor anlisis deja a la legislacin entrenados cumplir-cin o de los especialistas forenses.
Las palabras clave especficas o cadenas de texto legible almacenada en el archivo de intercambio de Windows pueden ser localizados con herramientas como SectorSpy, como se mencion anteriormente en este captulo.
Correo electrnico como evidencia

Antes de la invencin del telfono, escribir cartas era el principal medio de comunicacin a travs de grandes distancias geogrficas. Hoy en da, las personas cometen una gran cantidad de material para revelar el texto escrito en forma de correo electrnico (e-mail) mensajes. Si los
mensajes de involucrar a ter-rorists, directores ejecutivos corruptos o traficantes de drogas locales, la sobreabundancia de mensajes de correo electrnico y los archivos electrnicos que circulanse comi el mundo o se almacenan en los ordenadores representa un tesoro de evidenciadencia para el investigador forense o al funcionario policial. Mensajes de correo electrnico enviados o recibidos en el sistema informtico de un empleador estn sujetos al descubrimiento y la revisin por parte de funcionarios policiales en las investigaciones criminales, sin embargo, los procedimientos adecuados, deber cumplir con las Reglas Federales de Evidencia. (De hecho, gran parte de la evidencia de que el Departamento de Justicia present a la corte con respecto a la contraria a la competencia de Microsoft
124
las actividades se basan en correo electrnico dentro de la empresa los mensajes que los funcionarios dentro de la empresa enviado a unos a otros.) Durante la bsqueda de pruebas de correo electrnico, la regla ms importante a recordar es que las leyes de privacidad siguen siendo vlidas, y los aspectos legales son complicadas. Mensajes de correo electrnico que an no han sido enviados pueden llegar a ser la evidencia de la computadora de un sospechoso si hay una justificacin vlida para la bsqueda de ellos. Entrantes mensajes de correo electrnico, sin embargo, son tratados de una manera diferente. Ellos primero tienen que ser descargados por el destinatario de un servidor de correo (ya sea ubicado en el ISP o el servidor local de una organizacin) antes de que se puede acceder a las pruebas y se utiliza contra el beneficiario. Para ver o eliminarlos del servidor de correo antes de el destinatario ha descargado los viola la ley federal, aun cuando hay una razn vlida para realizar una bsqueda. La ley federal prohbe estrictamente a los terceros el acceso a mensajes de correo electrnico antes de que hayan sido descargados desde un servidor. Por el contrario, varios casos judiciales recientes han confirmado que revisar el correo electrnico despus de transmisin es legal, ya que se considera como similar a la bsqueda a travs de un archivo en el cajn de un empleado.
Se recomienda encarecidamente que usted consulte con un abogado antes de emprender cualquier bsqueda.
Para ms informacin sobre las Reglas Federales de Evidencia, vea el Apndice D.
Localizacin de E-Mail
Como vimos en el captulo 4, borrar algo que no quiere decir que ha sido permanentemente borrado. Cuando se elimina un mensaje de correo electrnico, en realidad est diciendo a su equipo que el espacio del correo electrnico una vez ocupado ya est disponible para ser sobrescritos por los nuevos datos. Sin embargo, con tamaos de disco duro que llegan ahora a proporciones gigantescas, puede tomar meses o incluso aos antes de los datos eliminados han sido sobrescritos por los nuevos datos. Incluso cuando los archivos son sobrescritos, los fragmentos de los documentos puede continuade existir (a veces en varios lugares de una computadora) debido a la fragmentacin de la los datos almacenados en los discos duros. La fragmentacin se produce cuando un archivo de datos cambia de tamao y entonces no se ajusta de nuevo en el razn de un disco duro desde donde se recuper. Cuando los datos del disco duro se ha convertido en ms grande, como cuando se agrega texto a un documento de procesamiento de textos, algunos de ellos se guardar en su ubicacin original, mientras que los
datos que no caben all se guarda en otra parte. Por lo tanto, si usted hace un montn de creacin del archivo - copiar, borrar y sobrescribir - archivos tienden a ser dividida en pedazos con el fin de llenar todos los vacos espacios de un disco duro. El uso de la mensajera de correo electrnico tan importante (y posiblemente condenar) la prueba de los titulares de todo el mundo cuando Kenneth Starr lanz evidencia que apoya en su investigacin del Presidente Clinton, que incluy eliminados mensajes de correo electrnico recuperados de la computadora de Monica Lewinsky. Muchos usuarios de continuadoresa pensar en mensajes de correo electrnico como prVate y segura, mientras que no deja su
125
compaa integracinmAl comunicaciones (o de su personal en el hogar) de la red. Ha habido menos incidentes de conteo de los empleados que circulan mensajes de correo electrnico que consiste de chistes subidos de tono, insultos raciales, comentarios difamatorios, observaciones relacionadas con el gnero, las observaciones relacionadas con la edad, y control inapropiadodiezque se han sometido a ellos ya sus empleadores la responsabilidad por ello. Dado el uso casi universal de la mensajera de correo electrnico como herramienta de comunicacin de la eleccin en la mayora de las organizaciones, no es de extraar que muchos investigadores se centran especficamente en el correo electrnico durante el proceso de descubrimiento. Sin embargo, e-mail plantea el investigador forense con varios desafos. Mensajes de correo electrnico a menudo tienen archivos adjuntos, que tambin pueden contener elementos de vital importancia. Mensajes de correo electrnico se pueden encontrar en una serie de diferentes lugares, tales como buzn de correo electrnico del remitente / Salida, en el buzn de un servidor de red, o en los medios de copia de seguridad. El alto volumen de mensajes de correo electrnico a menudo requiere el uso de palabras clave para enfocar un revisar. Debido a estas dificultades, la localizacin de mensajes de correo electrnico y archivos adjuntos, si los hubiere, para su uso como prueba depende de si el mensaje de correo electrnico fue enviado, recibido o eliminado. Si el mensaje no ha sido eliminado, la localizacin es por supuesto no es difcil. Mientras que los programas individuales varan, la mayora por e-mail programas de mensajera incluyen los lugares de almacenamiento siguientes: Bandeja de entrada. Almacenamiento de mensajes de correo electrnico una vez que se han recibido Bandeja de salida. Almacenamiento de mensajes de correo electrnico que han sido enviados a su destino o destinatario Proyecto. De almacenamiento para terminar mensajes de correo electrnico que an no han sido colocados en el Bandeja de salida para la entrega Los mensajes enviados. Una copia de todos los mensajes que han sido enviados a un destinatario, almacenados por el cliente de correo electrnico para futuras referencias
Recuperacin de correo electrnico eliminado

Es lamentable que la mayora de las organizaciones tratan mensajes de correo electrnico de manera muy diferente de lo que hacen los dems documentos de oficina y enFMemor ernalndums. En lugar de archivar los mensajes, los usuarios tienden a tratar a mensajes de correo electrnico como de usar y tirar es posterior-notas que se leen y se desecha con muy poco despus de pensamiento. La mayora de los mensajes de correo electrnico se eliminan inmediatamente despus de que el destinatario haya terminado de leer o responder a ellos. Hay
algo (una temporalidad percibida) sobre el m elec-trnicomediano que hace que la gente a hacer comentarios informales que no pusieran en el papel. Los usuarios tienden a ser ms descuidados en retener los correos electrnicos, simplemente porque no pensar en ellos como verdadera documentos. Debido a los altos costos involucrados en la retencin de correo electrnico, muchas organizaciones no archivar o una copia de seguridad od mensajes de correo electrnico. Si usted sospecha que un usuario ha eliminado recientemente un incriminatorias mensaje de correo electrnicosalvia, encontrar ese mensaje puede ser tan simple como buscar en el correo electrnico eliminado carpeta en aplicacin de correo electrnico del usuario. El procedimiento exacto vara en funcin del software de correo electrnico est siendo utilizado. En general, cuando un usuario borra el correo electrnico de su cliente de correo electrnico, por lo general se puede recuperar durante varios das despus se produjo la eliminacin. El mensaje de correo electrnico no est completamente eliminado, pero
126
slo se traslad a la eliminados MET carpeta. Hasta que esta carpeta se vaca de forma permanente, puede mover los elementos detrs de l en su Bandeja de entrada o cualquier otra carpeta en el movimiento cuadro de dilogo de MET (ver Figura 6-4). Para restaurar un borrado mensaje de correo electrnico en Outlook o Outlook Express (XP), siga estos pasos: 1. Inicie el programa Outlook o Outlook Express E-mail. 2. Seleccione la eliminados MET carpeta (Outlook) o eliminados Atajo de TEMS (Outlook XP) de la ventana de la izquierda. 3. Haga clic con el eliminado mensaje de correo electrnico, a continuacin, seleccione "Mover a carpeta" en el men desplegable hombres. 4. En la lista de carpetas en el movimiento cuadro de TEMS, seleccione la carpeta donde desea que el eliminar mensaje de correo electrnico que desea mover.
Figura 6-4: El movimiento MET cuadro en Microsoft Outlook para Windows XP Pro.
La posibilidad de recuperar los datos eliminados se vuelve ms complicado una vez que el mensaje de correo electrnico se ha suprimido definitivamente. Una vez que esto ha ocurrido, es necesario utilizar los procedimientos de recuperacin de datos descritos en el Captulo 4 y / o utilizar programas como Investigador SectorSpy o disco para realizar una bsqueda por palabra clave para tratar de recuperar cualquier correo electrnico especfica de texto.
La recuperacin de la evidencia de la Web Navegador

La mayora de los navegadores web almacenan las copias de las pginas Web visitadas recientemente. La cach de web es la forma en su navegador de Internet de que le ahorra tiempo al descargar las pginas Web. Muchos usuarios de Internet valoran el tener una descarga rpida
de las pginas web que visita con frecuencia, sobre todo si se utiliza un lento dial-up tipo de conexin a Internet. El almacenamiento en cach del navegador web implica el almacenamiento de la informacin se ve desde las pginas Web que pueden incluir enlaces, imgenes (imgenes), y el texto de la pgina Web en su ordenador. Al almacenar los elementos de la cach, la informacin contenida en las pginas Web que se han visitado con anterioridad, cuando se cargan ms rpido
127
acceder posteriormente, debido a que ya se han cargado una vez y se almacena en la cach del navegador. Por ejemplo, cuando un usuario solicita una pgina web que l o ella ha visitado antes, el primer navegador busca en la cach, si comprueba que la pgina no se carga la pgina en cach en lugar de conectarse a la Web para descargar una nueva. Cachs web revelan mucho acerca de los sitios Web que un usuario ha visitado. La mayora de los navegadores web actuales (por ejemplo, Internet Explorer y Netscape Navigator) realizar el almacenamiento en cach Web.
Localizacin de la evidencia Navegador de Historial

Otra forma de los usuarios de Internet sin darse cuenta puede revelar sus hbitos de navegacin es a travs de la caracterstica de completado automtico se encuentra en algunos de los navegadores Web ms recientes. La lnea de direccin URL en la parte superior del navegador contiene un cuadro de lista desplegable de los sitios visitados recientemente y se completa automticamente las direcciones web introducido parcialmente para usted. Como un usuario selecciona una direccin URL o empieza a escribir uno de cada, las URL visitadas por el usuario en el pasado parecen. Adems, la mayora de los navegadores de mantener un historial de todas las URL que el usuario ha navegado. La longitud de tiempo que los archivos permanecen en la historia puede ser ajustado por el usuario. Bajo Windows XP por ejemplo, la configuracin predeterminada coloca el lmite en slo los ltimos 20 das, sin embargo, esto puede ser modificado por el usuario a tan slo 0 das o tan largo como 99 das. Usted puede rastrear los hbitos de navegacin de un usuario al ver la lista del navegador de la historia. Los siguientes son los pasos a seguir para dos navegadores web ms populares. Para Netscape Navigator, siga estos pasos: 1. Abra los hombres Communicator. 2. Seleccione Herramientas, luego en la Historia. 3. Para ver una pgina Web en particular, haga doble clic en una lnea dentro de la lista.
Puede ordenar la lista del historial, haga clic en una de las categoras (por ejemplo, ubicacin, ttulo, etc a) en sentido ascendente, descendente, o por orden alfabtico.
Para Internet Explorer, hay varias maneras de lcate sitios Web y las pginas recientemente vistos. Para encontrar pginas visitadas recientemente, siga estos pasos: 1. En la barra de herramientas, haga clic en el botn Historial. Una barra de Historia aparece a la izquierda, que contiene enlaces para los sitios Web y las pginas visitadas en los das anteriores y semanas. 2. En la barra Historial, haga clic en un da o una semana para expandir la lista. 3. Seleccione una carpeta de sitio Web haciendo clic en l, lo que muestra las pginas individuales.
4. A continuacin, haga clic en la pgina de ICn para mostrar la pgina Web. |

Los procedimientos siguientes slo se mostrar la historia para el usuario actualmente conectado, y si arranca el ordenador a travs del sistema operativo. Esto no funcionar si usted ha montado el disco de la imagen como un disco duro secundario (el mtodo recomendado para evitar el cambio de los datos durante el proceso de examen).
128
Para ordenar o buscar en la barra Historial, haga clic en la flecha que aparece junto al botn Ver en la parte superior de la Historia bar.
Localizacin de pruebas Web Cache

La memoria cach del navegador web contiene datos que pueden indicar un investigador forense, un montn Acerca de ING surf hbitos de los usuarios. Por ejemplo, en Estados Unidos v Tucker, 150 F.Supp.2d 1263 (D. Utah, 2001), una conviccin-cin fue ampliamente apoyada por la evidencia encontrada en forma de archivos de cach de Internet que el navegador del acusado guarda en su disco duro cuando se les ve en los sitios Web. Como se dijo anteriormente en esta seccin, todos los navegadores web actuales utilizan un sistema de almacenamiento en cach para acelerar la carga de las pginas web ms visitados. En Netscape Navigator e Internet Explorer, las pginas Web se almacenan en una carpeta especial en el disco duro del usuario, sin embargo, Navigator tambin utiliza la memoria (RAM) para mejorar an ms el sistema de almacenamiento en cach. En el navegador, el usuario puede controlar tanto la cantidad de memoria (RAM) que se asignan a las pginas de almacenamiento en la memoria, as como la ubicacin y la cantidad de espacio en el disco duro que se utiliza para almacenar en cach. En el Explorador de que slo se puede ajustar la cantidad de espacio en disco duro. Los siguientes son los pasos que se utilizan para administrar la configuracin de la cach de estos dos navegadores ms populares. Para gestionar la configuracin de cach de Netscape Navigator, siga estos pasos: 1. Inicie el navegador Web. 2. Seleccione Editar en la barra de herramientas de los hombresy seleccione Preferencias. 3. En la seccin Categora en el lado izquierdo, haga clic en el signo + para expandir la avanzada Configuracin. 4. Haga clic en cach en la parte superior de la lista Configuracin avanzada. 5. Ahora ver la pantalla de administracin del cach, as como la ubicacin donde los archivos de cach se encuentran en el disco duro del ordenador.
Despus de determinar la ubicacin exacta del archivo de cach de disco duro, vaya a la carpeta de cach para ver su contenido o copiar los archivos a un disco para su examen forense.
Para administrar Microsoft Internet Explorer (6.0) configuracin de la cach, siga estos pasos: 1. Inicie el navegador Web.
1. Seleccione Herramientas en la barra de herramientas de Explorer y, a continuacin, seleccione Opciones de Internet para mostrar la pantalla Opciones de Internet. (Tambin puede hacer clic en el IC de Internet Explorern en su Iniciar los hombresy seleccione Propiedades.)
Captulo 6: Recuperacin y anlisis de pistas 3. En la pestaa General, seleccione el botn Configuracin en Archivos temporales de Internet. (Por defecto, Explorer almacena las pginas en cach en el disco duro en una carpeta llamada Temporal Los archivos de Internet.) 4. Seleccione Ver archivos para mostrar el contenido de la cach Web.
129
Al igual que con muchos aspectos de la informtica forense, herramientas gratuitas disponibles que pueden simplificar De otra manera las tareas complicadas. Cuando se trata de la visualizacin de los archivos de cach del navegador en Windows, uno de mis favoritos de herramientas de software libre es CacheMonitor II por David M. Pochron de Software enigmtico. CacheMonitor muestra el contenido de la cach del navegador entero en una ventana de la lista conveniente, incluyendo cambios en los archivos almacenados en cach en la columna de estado (en el monitor). Otra caracterstica interesante de este programa es que te permite exportar fcilmente todo el contenido de la cach (En el texto de forma-to) para la preservacin de un medio extrable como un disco Zip o CD-R. Esta til herramienta gratuita se puede descargar en www.mindspring.com/ ~ dpoch/enigmatic/cachemonitor2.html y en varios sitios web gratuitos.
Imprimir archivos de cola de impresin

El 13 de diciembre de 1999, Michael Dickman Craig fue detenido por el FBI y la P de San DiegoDepartamento de piojos, poco despus del robo de las 5:00 pm del Banco de AmRica en La Jolla. Dickman, un ex ejecutivo de biotecnologa conocido como el bandido de dientes separados por los medios de comunicacin locales, creados pagars a la vista en su procesador de textos mediante la impresin de los pagars a la vista (sin tener que guardarlas como archivos en su computadora). Sin embargo, los examinadores cualificados de la San Diego Laboratorio Regional Forense fueron capaces de recuperar los pagars a la vista en forma de archivos EMF eliminados desde el disco duro de la computadora porttil de Dickman. Esta evidencia jug un papel central en la asegurar la conviccin de la Bandit de dientes separados de. Impresin bajo Windows consiste en un proceso llamado "cola de impresin" en la que el sistema operativo crea una copia temporal del archivo a imprimir, conocido como un metarchivo mejorado (EMF). Cuando se imprime un documento, Windows crea primero una copia de ese archivo (CEM) en el disco duro y luego enva esa copia a la impresora. Incluso si el usuario no se guarda el documento, que la impresora versin temporalmente reside en el disco. Despus de finalizar la impresin, los archivos EMF son normalmente eliminados por Windows, un proceso invisible para el usuario. Dado que estos son los archivos borrados, es necesario seguir los procedimientos y utilizar las herramientas incluidas en el captulo 4 para recuperarlos. Bajo ciertas condiciones, los usuarios pueden tener la opcin de administrador de trabajos de impresin de Windows configurado para conservar y no eliminar automticamente los archivos de cola de impresin. El procedimiento general para determinar si tiene Windows XP han establecido para retener los archivos de impresin de cola de impresin es el siguiente:
1. Haga clic en el botn Inicio de Windows y vaya a Impresoras y faxes. 1. En Impresoras y faxes, haga clic en la impresora Icn con la marca de verificacin (este es el por defecto) y seleccione Propiedades. 2. Si "Conservar los documentos impresos" est seleccionado en la pantalla Propiedades de la impresora (vea la Figura 6-5), a continuacin, Windows est configurado para guardar los archivos de cola de impresin.
Figura 6-5: Conservar los archivos de cola de impresin en el Propiedades de la impresora cuadro de
Bajo estas circunstancias, una simple bsqueda de la unidad de disco duro del usuario para los archivos *. EMF (utilizando la utilidad integrada de bsqueda de Windows) se encuentra, mostrar, e incluso le permiten copiar archivos de impresin EMF de cola de impresin a medios extrables para la preservacin y / o su posterior anlisis.
Localizacin de datos ocultos

En algn momento durante una investigacin de los delitos informticos, un mdico forense intentar descubrir los archivos que han sido intencionalmente ocultados por un perpetrador. Es fcil para criminais para ocultar el delito ciberntico pruebas y otra informacin pertinente dentro de un ordenador. Las cartas, hojas de clculo, pie-Turas, y la evidencia potencial de otro puede ser comprimido cifrado, y / o protegidos con contrasea usando una variedad de programas gratuitos. Ciber criminais incluso han sido conocidos por maniplas extensiones de archivos finales para ayudar a disfrazar los verdaderos atributos de un archivo.
Esteganografa
La esteganografa es la prctica de ocultar un mensaje o archivo dentro de otro mensaje o un archivo conocido como archivo de soporte. La esteganografa es una forma de ocultar un mensaje de tal manera que cualquiera puede ver, pero slo unos pocos saben lo que debe buscar para poder decodificar o recibir el mensaje oculto. Steganographers puede ocultar un mensaje o imagen en cualquier uno de los siguientes: Otra imagen
Un archivo de audio Un archivo de vdeo o una pelcula
131
Adems, un archivo de audio o de vdeo se puede ocultar dentro de otro archivo multimedia, como un archivo grfico de gran tamao. La esteganografa se diferencia de la criptografa en la que, si bien la criptografa funciona para ocultar el contenido de un mensaje, la esteganografa trabaja para ocultar la existencia misma del mensaje. Desafortunadamente, la mayora de los mtodos esteganogrficos en uso hoy en da son invisibles a los sentidos del observador, y en la actualidad hay pocas herramientas a disposicin del pblico para detectar el uso de la esteganografa. Si usted sospecha que un autor ha ocultado un archivo de texto, imagen u otro contenido dentro de una imagen, un programa gratuito muy til existe que puede ayudarle a detectar si ese archivo se utiliza la esteganografa. La herramienta automatizada, stegdetect, es capaz de detectar varios mtodos diferentes esteganogrficos utilizadas para incrustar informacin oculta en las imgenes JPEG. Stegdetect se puede encontrar en www.outguess.org/~~V detection.php con las versiones disponibles para Unix / Linux y Windows.
Protegida con contrasea los datos comprimidos

Hay veces en una investigacin cuando un equipo forense se encontrar con los archivos que el usuario ha comprimido y protegido con contrasea. Existen numerosas razones Esto podra ocurrir, por ejemplo, cuando los empleados de repente salir de la organizacin sin desproteger los archivos que han dejado atrs. Protegidos con contrasea los archivos Zip son fciles de hacer, ya que hay numerosos pro-gramas disponibles en Internet (muchos de ellos son freeware) que permiten a un individuo para comprimir documentos o archivos. Esto permite que el documento o los archivos que ocupan mucho menos espacio en el disco duro e incluso reduce el tiempo necesario para transmitir ese documento a travs de Internet, una gran ayuda para las conexiones a Internet ms lentas. Algunos archivos comprimidos se puede preparar para que automticamente descomprimir (descomposicin de prensa), despus de que el usuario simplemente hace clic en el IC de archivos comprimidosn. De esta forma el destinatario no necesita ningn software especial para descomprimir el archivo despus de que se recibe. Adems, el documento o archivo puede tener la proteccin de contrasea que se le aplica de manera que cuando un usuario intenta descomprimir el archivo, l o ella tiene que proporcionar la contrasea apropiada o el archivo no descomprime correctamente. Cuando un documento o archivo que se encuentre que requiere introducir una contrasea antes de que pueda ser descomprimido, hay varias opciones. Usted puede calyoen una empresa que se especializa en la obtencin ilegal de contrasea y la recuperacin, o puede tratar de romper la contrasea usted mismo mediante el uso de cualquiera de los muchos comerciales o freeware Zip de descifrado de contraseas servicios pblicos disponibles en Internet. Dos empresas que se especializan en este floreciente campo son: Crackers de contraseas, Inc. (www.pwcrack.com) Descuento recuperacin de la contrasea (www.discountpasswordrecovery.com)
Si usted desea para tratar de descifrar el password a ti mismo, cientos de programas shareware / freeware disponibles. Los siguientes programas estn entre los ms populares: ZIP Password Finder por Astonsoft (www.astonsoft.com) Cain & Abel v2.5 beta20 para Windows NT/2000/XP (www.oxit.it)
Ultcompaero de ZIP Cracker por VDG Software (www.vdgsoftware.com)
Ejemplo de uso de Ultcompaero de ZIP Cracker

Digamos que usted est realizando un examen forense del disco duro del usuario y el encuentro de un documento comprimido o incluso un documento de Word o Excel que requiere una contrasea (para extraer y ver). Uso ZIP Cracker, siga estos pasos: 1. Inicio ZIP Cracker haciendo doble clic en el programa de ICn. 1. Lcado el documento o archivo que desea tener una contrasea para reciclar (agrietado) mediante el uso de ZIP Cracker integrado en el navegador de archivos. En nuestro ejemplo, el documento se llama Introduction.zip y se encuentra en el escritorio. El archivo es un documento comprimido protegido por contrasea Palabra (ver Figura 6-6) que se comprimi usando ZipItFast! 2,0, de MicroSmarts Enterprise. 2. El Asistente para Recuperar Contrasea comienza, y ofrece una serie de sugerencias sobre la manera de acelerar el procedimiento de recuperacin de contrasea. Usted puede optar por seguir sug del programasugerencias, o que salte y vaya directamente a la formacin de grietas en la contrasea. En la prueba, yo uso el maysculas y minsculas, contrasea alfanumrica "L46mP", y tom este programa poco ms de dos minutos para romper en mi PC.
Figura 6-6: Usando ZIP Cracker para eludir una contrasea
Un punto importante a recordar es que el descifrado de contraseas puede ser una tarea de tiempo, sobre todo si las contraseas son ms de cinco caracteres de longitud. Algunos criminais seguir las reglas de contraseas seguras mediante el uso de una mezcla de letras maysculas y minsculas as como caracteres alfanumricos. Las compaas que se especializan
en la recuperacin de la contrasea tiene poderosos computa-res que utilizan software sofisticado y por lo general se puede recuperar una contrasea en una fraccin del tiempo que uno poda con cualquiera de estos programas freeware / shareware.
133
Resumen del captulo

Informtica forense con frecuencia implica el uso de la tecnologa informtica para descubrir evidencia electrnica. La posibilidad de recuperar la informacin buscada es cada vez ms importante, ya que muchos negocios-dad y los registros financieros que ahora slo existen en formato electrnico. Utilizando herramientas forenses informticas y tcnicas, un investigador puede descubrir muchos tipos diferentes de datos, incluso los protegidos con contrasea documentos y archivos borrados, esconden en el equipo. Deteccin electrnica consiste en analizar los sistemas de una sus-pecto de computacin y medios de almacenamiento de lCate tales pruebas, od mensajes de correo electrnico, los archivos ocultos y archivos eliminados y documentos. Investigadores forenses informticos tambin pueden romper las contraseas como parte de sus investigaciones. La clave es ser capaz de tener acceso a los medios electrnicos necesarios y tener el know-how para descubrir las pruebas pertinentes una vez que tenga el equipo. Puntos principales tratados en este captulo se incluyen Entender las herramientas y tcnicas para realizar una bsqueda por palabra clave La importancia del archivo de intercambio de Windows cuando se realiza una investigacin forense Cmo lCate y reserva por e-mail pruebas Cmo recuperar datos de una memoria cach del navegador Web
Cmo revisar y conservar los archivos de historial del navegador Web Cmo extraer informacin de los archivos de cola de impresin, incluso cuando los documentos no fueron guardada por el usuario Cmo lCate y recuperar los datos ocultos y protegidos por contrasea
Captulo 7
Los procedimientos para recoger y preservar evidencia

ln este captulo
La recopilacin de pruebas despus de comprometer el sistema Entender la volatilidad de la evidencia Creacin de un disco real, el modo de arranque Utilizando rastreadores de paquetes para reunir pruebas La construccin de un conjunto de herramientas forenses A raz de la cadena de custodia La admisibilidad de las pruebas ES IMPORTANTE RECORDAR UNO DE LOS PRINCIPIOS BSICOS DE LA U. S. ordenamiento jurdico; que, sin evidencia de un crimen, no hay delito. Las medidas adoptadas en la escena del crimen en el inicio de una investigacin puede jugar un papel crtico en la resolucin de un caso. Cuidado, investigacin a fondo es fundamental para garantizar que la evidencia fsica potencial no est contaminado o destruido o que los posibles ingenio-sas no se pasa por alto. Es de suma importancia que el mayor cuidado se toma en la coleccin y conservacin de pruebas. Investigaciones de incidentes se llevan a cabo para descubrir la causa (s) de un incidente. Si la investigacionescin se hace a fondo, seala la informacin crucial para prevenir el evento vuelva a ocurrir. Para lograr esto, los investigadores deben mantener las habilidades y conocimientos para planificar y llevar a cabo una investigacin efectiva. Incluso bajo las mejores circunstancias, la evidencia puede ser difcil de col seleccionar. Cuando la evidencia es en formato electrnico, el investigador se enfrenta a otro nivel de complejidad, tales pruebas no tiene ninguna de la permanencia de las pruebas convencionales y es an ms difcil para formar en evidencia fcilmente explicable. Este captulo se centra en los procedimientos bsicos de la evidencia recoleccin y conservacin.
Recopilacin de evidencia Postcompromise

La evidencia electrnica puede ser costoso para recoger tanto en trminos de horas-hombre y el tiempo de inactividad del sistema. Los procesos pueden consumir mucho tiempo y complicado. Los sistemas afectados pueden no estar disponibles para un uso normal durante un tiempo prolongado mientras la recopilacin de anlisis y los datos se lleva a cabo. Hay dos
136
simples razones para esto: la rendicin de cuentas y la prevencin. El atacante es responsable de los daos causados, y la nica manera de traerlo a la justicia o para solicitar una remuneracin adecuada es con evidencia de marcos alemanesnstrate que el ataque fue el resultado de su accin. La vctima, por el contrario, tiene una responsabilidad con el pblico en general. La informacin recopilada despus de un compromiso puede ser examinada y utilizada por otras personas para prevenir nuevos ataques. Las vctimas tambin pueden tener la obligacin legal de realizar un anlisis de las pruebas recogidas, por ejemplo, si el ataque a su sistema era parte de un gran ataque cometido contra varios sistemas de diferentes compaas. Cuando llegue el momento de comenzar la recoleccin de pruebas, la primera regla que debe seguirse es la de no apresurarse. Ansiedad niveleseis est seguro de ser alta, y una reaccin instintiva har que la gente a buscar respuestas ms rpidamente posible. Sin embargo, si el investigador se apresura a travs de los procedimientos de recoleccin de datos, la evidencia puede ser pasado por alto, manchado, o se pierde. Un error en la recoleccin y preservacin de la evidencia es a menudo irreversible.
Requisitos legales para la recoleccin de pruebas electrnicas

Cuando la recopilacin de pruebas despus de que un crimen ha sido cometido, ciertas restricciones legales deben ser FOLseguido si los datos deben ser admisibles en un tribunal de justicia. Como estos requisitos son muy amplias, complejas y varan de pas a pas, que est fuera del alcance de este libro elucfecha todos ellos, sin embargo, este captulo trata de aquellos que son comunes a la mayora de las investigaciones. Un obstculo para ser mseom cuando la recopilacin de pruebas es el mantenimiento de los derechos de privacidad de los sistemasusuarios tem. Los usuarios de las redes corporativas perder sus derechos a la intimidad cuando la organizacin o el administrador del sistema institutos uso de una pancarta de inicio de sesin en su red. La pancarta de inicio de sesin esta-blece que las actividades del usuario se controlarn durante la duracin del tiempo que utilizan el sistema. La pancarta que advierte a los usuarios en caso de que se determine que ha actuado en violacin de la poltica de seguridad de la organizacin durante el uso de la red, que estar sujeto a acciones legales. Cuando la organizacincin no se ha incorporado como una bandera, que establece las expectativas de la organizacin de los usuarios, fiscales e incluso transgresiones conocidas puede ser imposible. Acusados culpables han sido absueltos de los cargos simplemente porque se les haba dado ningn aviso explcito de la prohibicin de la organizacin del sistema incorrecta / uso de la red. Por otro lado, el derecho del usuario a la privacidad ha llevado a algunos individuosais que han sido objeto de seguimiento sin darle previo aviso para hacer reclamaciones legales contra la sus empleadores. Instalacin de un cartel de inicio de sesin de Windows NT 4.0 se puede lograr utilizando el regedit programa. Implementacin de un mensaje de inicio de sesin implica la modificacin de dos claves relacionadas. Recuerde, la edicin del Registro implica un cierto riesgo. Lo mejor es realizar copias de seguridad por primera vez en el Registro con el favor de copia de seguridad del Registroprocedimientos en el captulo 4. Para editar las teclas en NT 4.0, haga lo siguiente: 1. Ejecute el Editor del Registro (Regedt32.exe).
2. Ir a la siguiente clave del Registro: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ De Windows NT \ CurrentVersion \ Winlogon.
3. Edite el ValuN eAME escribiendo LegalNoticeCaption.(Contiene el texto de la leyenda de el cuadro de dilogo, que ser presentado al usuario.) 4. Edite el ValuN eAME escribiendo LegalNoticeText (Este contiene el texto, que se aparecen en el cuadro de dilogo.) 5. Salga del Editor del Registro y reinicie el equipo para que el cambio surta efecto.
Captulo 7: Procedimientos para recoger y preservar evidencia
137
Windows 2000/XP no utiliza el LegalNoticeCaption o la configuracin del Registro LegalNoticeText. En su lugar, usted necesita utilizar la consola de Directiva de seguridad localpara establecer un aviso legal, como se muestra en los pasos siguien-tes: 1. Haga clic en Inicio, Configuracin, Panel de control. 2. Haga doble clic en Rendimiento y mantenimiento (slo para XP), luego Herramientas administrativas, Configuracin de seguridad local, Directivas locales y opciones de seguridad. 3. Define el texto del mensaje para ser visto por los usuarios que intentan iniciar la sesin. 4. Establecer ttulo del mensaje para los usuarios que intentan iniciar una sesin en inicio de sesin interactivo. 5. Cierre la sesin a continuacin, volver a entrar en la prueba.
Unix / Linux Banners Login

Las banderas de inicio de sesin para los sistemas operativos Unix / Linux varan dependiendo de la versi particular,n que se utiliza. Para muchos sistemas contemporneos (por ejemplo, Sun o Linux), creando el archivo / Etc / issue en el directorio raz que contiene el texto de la pancarta hace que el texto de la pancarta para ser des-jug antes de la consolasesin y antes de que todos los inicios de sesin interactivos, tales como telnet, rsh, y rlogin. La / Etc / issue archivo es un archivo de texto usado en Unix y Linux con el fin de insertar la informacin sobre el sistema y hacer que la informacin que aparece en el inicio de sesin del usuario. Puesto que es un archivo de texto, tambin se puede utilizar para CRcomi una pancarta de inicio de sesin y se pueden personalizar a su gusto. Sistemas Linux utilizan dos tipo de archivos, / Etc / issue para la consolainicios de sesin y / Etc / issue.net para telnet inicios de sesin, as que Asegrese de colocar el texto de la pancarta en ambos. Para otros sistemas Linux (que no responden a la / Etc / issue archivo), poner el texto de la pancarta en el archivo / Etc / motd. El contenido de este archivo se muestran por el mundial / Etc / .login y el / Etc / profile archivos, dependiendo de la shell de empezar (Sh o CSH), inmediatamente despus de un inicio de sesin exitoso. Visualizacin de la / Etc / motd presentar inmediatamente despus de inicio de sesin es tambin una opcin para el demonio de Secure Shell (Sshd), y esto se puede establecer en el / Usr / local / etc / sshd archivo de configuracin. Para mquinas que no utilizan ninguno de estos mtodos para la visualizacin de banners, consulte las pginas de manual para cada servicio para ver si hay un mecanismo de banners disponibles. Al crear un banner de inicio de sesin, se debe tener cuidado en la formulacin de su texto. La bandera debe estar correctamente redactado con el fin de ser vlida. El siguiente es un Departamento de EE.UU. de mensaje muestra Justicia aprobado que se puede utilizar en una bandera de inicio de sesin:
ADVERTENCIA ** ** ATENCION ** ATENCION ** ATENCION ** ATENCION ** ATENCION Se trata de una organizacin { Aqu ame} sistema informtico, que se puede acceder y
utiliza slo para las empresas por personal autorizado. El acceso no autorizado o el uso de este sistema informtico puede someter a los violadores a los derechos civiles penales, y / o administrativo accin. Cualquier informacin sobre este sistema de computacin pueden ser interceptados, grabados, leer, copiado, y divulgada por y para el personal autorizado para fines oficiales, i n c l u s o las investigaciones penales. El acceso o uso de este sistema informtico cualquier persona, sea autorizado o no autorizado, constituye el consentimiento de stos trminos. ADVERTENCIA ** ** ATENCION ** ATENCION ** ATENCION ** ATENCION ** ATENCION
138
La expectativa de la vida privada no se basa en hechos y circunstancias especficas, sino de si la expectativa de privacidad es la que la sociedad en general reconoce. Las polticas de la organizacin podr eliminar cualquier expectativa de privacidad. Por ejemplo, si la poltica de la organizacin afirma que el lugar de trabajo escritorio de un empleado (o computadora) se pueden buscar en cualquier momento o si una copia de la llave de la mesa se mantiene por la administracin, entonces no hay ninguna expectativa razonable de privacidad. Un equipo por el empleador emitida es una parte del lugar de trabajo porque, aunque se utiliza principalmente por el empleado, que es propiedad y est bajo el control del empleador. El equipo sigue siendo parte del lugar de trabajo, incluso cuando el empleado ha puesto la informacin personal en l y tambin cuando el empleo del empleado se termina. Aunque el empleado puede tener un cierto grado de expectativascin de la vida privada, un empleador pblico puede buscar en el contenido de la computadora de un empleado sin una orden judicial cuando se enfrenta a una supuesta violacin de su Poltica de Uso Aceptable (AUP) siempre que el registro es razonable en sus inicios y en su alcance, y es el trabajo relacionados. Cuando una bsqueda en el lugar de trabajo no est relacionado con el trabajo, cualquier intento de adquirir la evidencia de actividad criminal o un registro de la propiedad personal de un empleado en el lugar de trabajo sin el consentimiento requiere una orden judicial. La Cuarta Enmienda de la Constitucin de los EE.UU. regula la cuestin de la privacidad. Un caso en la corte central que aborda el tema de la privacidad es el lugar de trabajo O'Connorv. Ortega, 480 EE.UU. 709 (1987) en el que los Estados Unidos Tribunal Supremo sostuvo que la bsqueda de la empresa pblica de la oficina del empleado era razonable en sus inicios, ya que su propsito era encontrar pruebas de la supuesta mala conducta del empleado y para recuperar relacionadas con el trabajo de materiales. Como empleado de un hospital del estado, el Dr. Ortega es el principal responsable de la capacitacin de mdicos en la residencia psiquitrica-dencia del programa. Los funcionarios del hospital se preocup por la falta de decoro en la gestin del programa, debido principalmente a cargos en su contra relacionados con el acoso sexual de las mujeres y los empleados del hospital de accin disciplinaria inapropiada contra un residente. En espera de una investigacin de estas denuncias, el Dr. Ortega fue puesto en licencia administrativa. Durante la licencia, los funcionarios del hospital busc en su oficina y se apoderaron de objetos personales de su escritorio y gabinetes de archivos que posteriormente fueron utilizados en los procedimientos administrativos como resultado de su alta del hospital. El Dr. Ortega present una demanda contra funcionarios de un hospital en la Corte de Distrito Federal, bajo 42 USC 1983, alegando que la bsqueda de su cargo violaba la Cuarta Enmienda. El Hospital mantiene la bsqueda era jus-tified el fin de proteger la propiedad del Estado e invertircargos de puerta de mala conducta el Dr. Ortega. El Dr. Ortega argument que la bsqueda de una violacin de sus derechos de la Cuarta Enmienda, ya que fue un intento de des-cubrir y reunir las pruebas para ser usado en su contra en un procedimiento administrativo. Por otra parte, la Jueza O'Connor, se uni a cargo del juez Rehnquist, White Justicia, y la Justicia Powell, lleg a la conclusin de que:
Allanamientos y decomisos por parte de los empleadores del gobierno o los supervisores de la prla propiedad privado de sus empleados estn sujetos a las restricciones de la Cuarta Enmienda. La expectativa de privacidad en su lugar de trabajo se basan en las expectativas de la sociedad que tienen profundas races en la historia de la enmienda. Sin embargo, las realidades operativas de los lugares de trabajo puede hacer que las expectativas de algunos de los empleados pblicos de privacidad razonable cuando un intrusin es por un supervisor en lugar de un oficial de la ley. Algunas oficinas del gobierno
puede ser tan abierta a sus compaeros de trabajo o el pblico que ninguna expectativa de privacidad es razonable. Dada la gran variedad de entornos de trabajo en el sector pblico, la cuestin de si un empleado tiene una expectativa razonable de privacidad deben ser abordados en una base de caso por caso. Debido a que el expediente no revela en qu medida los funcionarios de un hospital puede haber tenido motivos de trabajo para entrar en la oficina del demandado, la Corte de Apelaciones debera haber remitido el asunto al Tribunal de Distrito para su posterior determinacin. Sin embargo, la mayora de este Tribunal est de acuerdo con la determinacin de la Corte de Apelaciones que el demandado tena una expectativa razonable de privacidad en su
139
oficina. Independientemente de cualquier expectativa de privacidad en la propia oficina, la evidencia indiscutible apoya la conclusin que el demandado tena una expectativa razonable de privacidad, al menos en su escritorio y archivadores.
Una vez que est seguro de que todos los procedimientos legales han sido cubiertos adecuadamente, el siguiente paso es recoger en realidad la evidencia. Los siguientes son los pasos generales que deben seguirse para la evidencia coleccin:
Las restricciones de la Enmienda 4 slo se aplican a las organizaciones del gobierno y sus agentes. No hay ninguna restriccin modificacin cuarto en PRVate organizaciones. Podrn, sin embargo, se regirn por las leyes de privacidad estatales o locales. Expectativa de privacidad es un concepto que se aplica (en el sentido legal) slo a las cuestiones 4 Enmienda.
La Orden de la coleccin
Si la recoleccin de evidencias se realiza correctamente y de manera ordenada, es mucho ms til en la apre-hending el atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en el caso de un proceso judicial. Orden de cobro deben llevarse a cabo siguiendo los siguientes pasos bsicos: 1. Buscar la evidencia. Averiguar dnde est la evidencia de que usted est buscando se almacena en el sistema. Hacer una lista de verificacin le puede ayudar en el proceso de recoleccin, y se puede utilizar para a comprobar que todo lo que est buscando est ah. 2. Determinar la relevancia de los datos. A medida que descubren pruebas, usted debe decidir qu partes de ella son relevantes para el caso que nos ocupa. Para estar seguro, usted debe overcollect en vez de exelude posi-ble las pruebas. Tenga en cuenta, sin embargo, que hay que trabajar rpido, no pierdas el tiempo de collecting informacin que ser de ninguna utilidad para su caso. 3. Posicin volatilidad. Una vez que haya determinado qu partidas a cobrar, debe decidir en qu orden para reunirlos. El principal factor determinante es que los elementos que tienen ms probabilidades de ser voltiles (los elementos que pueden degradar o inutilizables) debe ser recolect en primer lugar. Usar y apegarse a la orden una vez que has establecido asegura que la prdida de tiles (por ejemplo, no corrompida) evidencia sigue siendo mnima. Comience con los artculos que has clasificados como los ms voltiles y seguir con los clasificados como menos. (La volatilidad se explora con ms detalle en la siguiente seccin.) 4. ElimNate la interferencia exterior. Es crucial que evite la alteracin de los datos originales, ya que es mucho ms fcil para evitar la manipulacin de lo que es para rectificar las consecuencias de la manipulacin. Como slo los datos alterados pueden
introducir como evidencia, el mayor cuidado se debe tomar para impedir cualquier contaminacin exterior posible. Atacantes conocedores se han conocido para instalar una interruptor de hombre muerto, que puede eliminar la evidencia, una vez un equipo est desconectado de la de red o de Internet. 5. Recoger la evidencia. Ahora usted puede iniciar el proceso de recoleccin. Utilice todas las herramientas que tenemos disponibles para esta tarea. A medida que reunir pruebas, continuapara examinar los elementos
que ya ha recogido, como nuevas piezas que recogen pueden influir en lo que se tiene en cuenta WOR-tu informacin. Usted puede venir a darse cuenta de que has pasado algo por alto. Ahora es el tiempo necesario para hacerlo. 6. Documento de todo. Su mtodo de recoleccin de la evidencia que usted presente podr ser puesto en duda ms tarde, as que asegrese de mantener un registro de todo lo queHe hecho en el proceso de recoleccin. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas le servir y ms tarde, incluir toda la justificacin que pueda.
Entender la volatilidad de la evidencia

Con el fin de resolver un delito informtico o violacin a los sistemas con eficacia, es necesario examinar el sistema sea ms como un detective que como usuario de la computadora. Solucin de los delitos informticos tiene mucho en comn con su fsico de resolucin de crmenes de contrapartida. Por lo general no tienen mucho tiempo para resolver un misterio. La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios. Asimismo, cada paso que usted tome podr destruir la informacin, por lo que todas las medidas que tome deben ser bien la primera vez, o informacin valiosa se puede perder. Como se dijo anteriormente, se debe respetar la proteccin de la Cuarta Enmienda del derecho de un usuario a la privacidad. Es imperativo que no se recabe la informacin de reas que normalmente no tienen razn alguna para acceder (como porarchivos personales) a menos que hayan notificado al usuario (por ejemplo, a travs de un banner de inicio de sesin) que toda la informacin almacenada en el equipo es objeto de embargo en todo momento, o si tiene razones suficientes para creer que un incidente de seguridad vlida que est ocurriendo o ha ocurrido. En general, la evidencia informtica debe ser Admisible. Las pruebas deben cumplir con ciertas normas legales antes de que puedan presentarse un tribunal. Esto se explica ms adelante en este captulo. Autntico. Debe ser posible vincular positivamente el material probatorio a los hechos, demostrando que la evidencia se relaciona con el incidente de una manera relevante. Completa. Se debe contar toda la historia y no slo una perspectiva particular. No slo debe reunir pruebas que puedan demostrar las acciones del atacante, pero tambin evidencia de que podra ser su inocencia. Confiable. No debe haber nada acerca de cmo la evidencia fue recogida y, posteriormente, manejado que arroja dudas sobre su autenticidad y veracidad. Creble y comprensible. La evidencia debe ser fcilmente creble y capaz de entender por un tribunal de justicia. No tiene sentido en la presentacin de la salida de un volcado de memoria si un jurado no tiene idea de lo que significa. La evidencia voltil es evidencia de que la rapidez puede desaparecer o es slo de carcter temporal. Este tipo de pruebas tiene que ser recogidos antes de la mquina est desconectada de
la red y apagado. Cuando la recopilacin de pruebas se debe proceder de la ms voltil de los menos voltiles. El siguiente es un ejemplo de la orden de la volatilidad para un sistema tpico.
141
Memoria (Fsica y virtual) Los procesos en ejecucin (Spoolsv.exe, EXPLORER.EXE, y as sucesivamente) Red del Estado (Conexiones y todo lo que se ejecuta en modo promiscuo) Sistemas de almacenamiento permanente (Discos duros, disquetes, cintas, y CD-RWs/ROMs) Es muy fcil de destruir involuntariamente las pruebas voltil. Cuando usted est en el proceso de collecting pruebas voltil, recuerde siempre que tome las siguientes precauciones: No apague el sistema hasta que haya completado todos los procedimientos de recoleccin de pruebas para pruebas voltil. Muchas pruebas se pueden perder cuando un sistema est apagado, y el atacante puede haber alterado la puesta en marcha y apagado y servicios para destruir la evidencia. No confes en los programas en el sistema. Los intrusos se han conocido para reemplazar los comandos del sistema. Ejecute sus programas de obtencin de pruebas en los medios de comunicacin debidamente protegidos (vea la siguiente seccin, "Creacin de un disco en modo real Forense de arranque"). No ejecute programas que modifican el tiempo de acceso de todos los archivos en el sistema (por ejemplo, tar o xcopy). Cuando la eliminacin de la interferencia externa, tenga en cuenta que slo tiene que desconectar de la red puede provocar un cambio de hombre muerto, que puede detectar cuando el equipo se desconecta-desconectada de la red y eliminar rpidamente las pruebas.
Creacin de un disco en modo real Forense de arranque

Al llevar a cabo un examen forense de un sistema basado en Windows, lo mejor es arrancar el comordenador con un disco de arranque controlado, lo que puede controlar el proceso de arranque inicial para que el sistema funcio-namiento no se puede empezar a escribir en el disco. Algunos sistemas operativos empezar a escribir en el disco durante el proceso de arranque, cambio de los tiempos de acceso al disco y posiblemente sobrescribir los datos que sean pertinentes a su caso. De hecho, el simple acto de arranque de un equipo basado en Windows se actualizar cientos de archivos, dejando evidencia potencial comprometido o destruido, y por lo tanto ya no est disponible para su uso como prueba. Durante un examen forense, todo el acceso de los medios de almacenamiento originales se realiza normalmente en un nivel bajo, con frecuencia a un nivel en modo real o DOS. La razn de esto como se mencion anteriormente en esta seccin es que todas las versiones de Windows (Windows 95/98/Me / NT/2000/XP) directamente escribir en cualquier medio de otra unidad fija en un equipo durante el proceso de
arranque normal. Dichas escrituras se producen incluso cuando el soporte original se encuentra en una unidad secundaria en el ordenador. La mayora de los examinadores forenses utilizan un disco de arranque en modo real. A las botas de arranque controlados por un ordenador de disco en modo real. Modo real limita el procesador a 1 MB de memoria y no ofrece la gestin de memoria o las funciones de proteccin de memoria. La frase se utiliza a menudo para describir a los controladores de dispositivos que slo optasa en este modo. MS-DOS se ejecuta en modo real. Esto est en contraste con el modo protegido, que permite al ordenador acceder a la mayor cantidad posible de memoria. En el modo protegido, las diferentes partes de la memoria son asignados a los diferentes programas. Este
142
manera, la memoria est protegida en el sentido de que slo el sistema operativo permitir el acceso al mismo. Todo el modo dem-Da de funcionamiento de los sistemas optasa en este modo. Un verdadero modo real disco de arranque se inicia un equipo en su estado ms bsico (el nivel de DOS) y no se carga ningn avanzados controladores de dispositivo en modo protegido. Esto ayuda a preservar el estado del sistema operativo. Una vez cargados a travs del disco de arranque en modo real, los servicios forenses a continuacin, se puede ejecutar en DOS (real) de modo de reunir pruebas.
Muchas herramientas forenses, tales como El Forense v2.0 Toolkit de Foundstone, Inc. (Www. foundstone.com) son lo suficientemente pequeos para toda la suite de utilidades forenses para ser colocados en un disquete de arranque nico. Despus de arrancar una mquina con Windows NT desde el disquete de arranque, las herramientas adecuadas se puede ejecutar directamente desde el disco flexible, ayudando a los investigadores para recolectar y preservar las pruebas.
La Verdad sobre el FAT

FAT es una abreviatura de File Allocation Table. Hay varios tipos diferentes de tablas de asignacin de archivos, como FAT12, FAT16, FAT32 y NTFS. Cada FAT tiene sus propias limitaciones y capacidades. Discos con formato FAT12 slo reconocen los tamaos de particin DOS hasta 32 MB. Antes de MS-DOS 3,30, este era todo lo que exista. MS-DOS 3.30 a travs de MS-DOS FAT16 7,00 apoyado, que soporta particiones esto hasta 2GB de tamao. Con MS-DOS 7.10 y 8.00, FAT32 fue introducido. FAT32 particiones esto puede ser de hasta 2 TB de tamao. Windows 2000 (NT 5.0) fue la primera versin de Windows para soportar todas las versiones de los sistemas de archivos de Microsoft de forma nativa. Windows 2000 soporta FAT12, FAT16, FAT32 y NTFS al igual que todas las versiones de Windows XP. MS-DOS 7.00 a travs de 8,00 no fueron puestos en libertad como un unidad independiente, sino que se integraron en la serie de Windows 9x. MS-DOS 7.00 es integrado en Windows 95 Rel. originalASE y Windows 95 OSR 1.0. MS-DOS 7.10 se integra en Windows 95 OSR 2.0 a travs de Windows 98 Segunda edicin. MS-DOS 8.00 se integra en Windows Millennium Edition.
Creacin de un equipo con Windows en modo real disco de arranque

Los tres archivos bsicos que deben estar en un disco en modo real para hacer que arranque son: IO.SYS MSDOS.SYS
COMMAND.COM
Estos archivos deben residir en el sector de arranque del disco, o el disco no va a ser de inicio. La forma ms comn de crear un disco de arranque es escribiendo SYS A: en el smbolo del sistema
para transferir los archivos del sistema operativo de arranque para el sector de arranque del disquete en la unidad A:. Sin embargo hay otra manera un poco ms complicado de cr se comi un disco de arranque.eht 1. Primera vez que arranque Windows para el indicador de DOS, e inserte un disquete vaco formateado en la unidad A:. 2. Ahora en el smbolo del sistema, escriba las siguientes lneas, pulsando Enter al final de cada lnea:
a ttr ib io.sys-r-h-s copia io.sys a:

at tri b io.sys + r + h + s attrib A: \ IO.SYS + R + h + s attrib msdos.sys-r-h-s msdos.sys una copia: attrib msdos.sys + r + h + s attrib A: \ msdos.sys + R + h + s attrib command.com -R-s copia command.com R: attrib command.com + R + s attrib a: \ command.com + R + s
143
Una vez terminado, el disco de inicio que ha creado se puede utilizar para iniciar un equipo en modo real (DOS) que le permite llevar a cabo un examen forense de la unidad de disco duro de la computadora usando cualquier Util-dades es posible que han introducido en el disco.
Creacin de un disco de arranque de Linux

Puede haber ocasiones en que un examen forense debe llevarse a cabo en un equipo que utiliza el sistema operativo Linux. Con el fin de crse comi un disco de arranque de Linux, realice los siguientes pasos: 1. Inicie el sistema operativo Linux, e inicie sesin como usuario root. 2. Compruebe la versi kerneln del sistema operativo Linux. En el smbolo del sistema, nombre-r.
La versi kerneln se mostrar y debe ser algo como esto: 04/02/12.
3. Inserte un disco (vaco) disquete en la disquetera. (En virtud de la unidad Linux es un llama fdO.) 3. En el smbolo del sistema, mkbootdisk el dispositivo / dev / fdO04/02/12.
Yo
El ejemplo
aqu utiliza el kernel versin 04/02/12, sin embargo, tendr que sustituir el kernel Versin como se determina en el paso 2.
5. Usted debe tener un disco de arranque dentro de aproximadamente un minuto. Todos los datos anteriores sobre el disquete se borrar.
144
Tenga en cuenta que este disco de inicio est pensada principalmente para que pueda acceder a las particiones Linux desde el que se necesita para recuperar los datos o informacin y le permitir el acceso a las particiones de Linux slo.
Utilizando rastreadores de paquetes para reunir pruebas

Investigaciones informticas a veces justificar la captura de datos en tiempo real a medida que viaja en el tiempo real a travs de la red informtica de una organizacin. Para capturar datos de red, software especial o de disco duroWare se necesita. La captura y visualizacin de estos paquetes de datos o datagramas a medida que atraviesan una red que se conoce como paquetes snifng, y los programas diseados para este propsito son llamados sniffers, analizadores de protocolo, o analizadores de red. Un analizador de paquetes es anloga a una intervencin telefnica del telfono, slo que esta intervencin telefnica se conecta a las redes informticas y escuchar a escondidas en el trfico de red. Olfateando se hizo popular con Ethernet, que se conoce como un compartida mmediano la red se utiliza comnmente en las redes de la organizacin. Debido a Ethernet enva los datos por transmitir todos los paquetes de datos a todas las mquinas conectadas a la red local, no es necesario para recibir los paquetes que fueron destinados a otras mquinas. En otras palabras, el trfico en un segmento de red Ethernet no pasa todos los hosts que estn conectados a ese segmento. Interfaces Ethernet admite una caracterstica comnmente llamado modo promiscuo, en el que la interfaz escucha al trfico de la red promiscuidad-riormente. El hardware de Ethernet se encuentra comnmente en las computadoras tienen un filtro especial que la prevencinCul es el equipo anfitrin de la ver el trfico dirigido a otros equipos. Oler los programas bsicamente eludir el filtro, y por lo tanto se puede ver el trfico de todo el mundo. Ejecucin de un sniffer en una red es una excelente manera de reunir pruebas del uso indebido de equipo o como una intrusisistema de deteccin de n para comprobar si hay actividad de red sospechosa. Controvertido sistema Carnivore del FBI, que se instala en las instalaciones del ISP para reunir pruebas, es un ejemplo de un sniffer de red. Para el investigador la delincuencia informtica, hay muchos rastreadores de los cuales elegir. La siguiente es una pequea muestra de algunos sniffers de red ms populares: Snort. Snort es un cdigo abierto (gratuito) de la red intrusin sistema de deteccin para Unix y Linux, y es capaz de realizar anlisis en tiempo real del trfico y paquetes el registro en las redes IP. Mientras que sobresale como un intrusin sistema de deteccin, que tambin puede ser utilizado como un analizador de paquetes recta. Para obtener ms informacin o para descargar una copia, visite
www.snort.org.
NGSSniff. NGSSniff es un pequeo y fcil de usar, la captura de paquetes de red y anlisis
de programo. Se requiere Windows 2000 o XP para oplos usuarios de tarifas y permite capturar, guardar, y analizar el trfico en su red. Este analizador de paquetes pequeos puede ser descargado en
www.nextgenss.com / productos y ngssniff.html.
Ethereal. Ethereal es un analizador de protocolos de red gratuito con versiones tanto para el Unix y los sistemas operativos Windows. Permite examinar datos de una red en vivo o desde un archivo de captura en el disco. Usted puede navegar de forma interactiva los datos capturados, ver resumen e informacin detallada de cada paquete. Puede ser descargado desde www.
ethereal.com.
145
AnalogX PacketMon. AnalogX PacketMon, disponible para Windows 2000/XP, le permite capturar los paquetes IP que pasan a travs de una interfaz de red, incluso si origNate desde un equipo remoto en la red. Una vez que el paquete es capturado, puede usar el visor integrado para examinar la cabecera, as como el contenido. Usted puede incluso exportar los resultados en un archivo de texto ASCII estndar para ver a su favorito de edicin de texto de programa. AnalogX PacketMon puede ser descargado desde www.analogx.com. Una vez que sean capturados, usted puede fcilmente buscar cadenas especficas de texto legible en todos los paquetes mediante el uso de la capacidad de bsqueda que se construye en muchos de captura de paquetes de programas. Por ejemplo, digamos que usted sospecha que un trabajador de visitar sitios Web inadecuados que violen la poltica de la compaa de Internet. Si ese trabajador es sawy suficiente para borrar archivos temporales de Internet y eliminar todos los en-Frios en el historial del navegador, sera difcil reunir pruebas suficientes. Mientras que usted podra usar un programa como Inspector File Recover de PC para descubrir los datos borrados, un mtodo ms fcil y ms rpida sera la de capturar y conservar los paquetes de red en tiempo real. Usando un programa como AnalogX PacketMon, por ejemplo (vase la Figura 7-1), puede seuna a travs de cada paquete individual capturado en busca de seales de cadenas de texto comprometedores (ver Figura 7-2). Adems, muchos de los analizadores de paquetes antes mencionados puede ser configurado de manera que cuando el software ve un paquete que se ajusta a ciertos criterios, se log (preservar) que los datos en un archivo. El uso ms popular de la
Figura 7-1:Analgica X PacketMon la captura de paquetes de red TCP / IP
deteccin de paquetes por la forense investigar caimanes es para la captura de paquetes que contengan palabras clave que son de beneficio para la investigacin.
Figura 7-2: La produccin de los paquetes capturados que muestra los datos de HTML
La construccin de un kit de herramientas de forense

El componente esencial de toda la investigacin del delito informtico es la coleccin de suaves especializadasoftware herramientas (toolkit) que puede extraer y proporcionar informacin detallada sobre el equipo o red de trabajo que se examina. Kits de herramientas vienen en dos tipos: uno que montar a ti mismo y una prefabricada que descargar o comprar como un conjunto de cualquiera de suave forenses muchaslos vendedores de consumo. Durante una investigacin de equipo, hay momentos en los que se requieren para controlar el trfico, de la aspiracin de datos, e incluso romper las contraseas. Una respuesta a incidentes / toolkit forense debe contener los programas necesarios para realizar cada una de estas tareas. Adems, prefabricado toolksu por lo general contienen todo las herramientas necesarias para DUPLCate, la captura, y / o analizar los archivos del sistema y los datos almacenados en el disco. Aquellos que deseen utilizar un kit de herramientas prefabricadas forense puede utilizar el Kit de herramientas de forense de AccessData (www.accessdata.com)o la evidencia Corporate Suite de procesamiento de las nuevas tecnologas, Inc. (www.forensics-intl.com). Aquellos que deseen montar su kit de herramientas personalizado puede hacerlo a travs de una combinacin de utilidades freeware y / o shareware. Los siguientes son los tipos de herramientas (los ejemplos especficos de este tipo de herramientas se dan en este libro) es posible que desee incluir la hora de realizar un examen de informtica forense bsica: Una herramienta para capturar el trfico de la red para el anlisis (por ejemplo, un rastreador de red) Una utilidad para crcomi imgenes de disco o clones a nivel de bits Una herramienta para crackear las contraseas Una herramienta que informa abiertos puertos TCP / IP y los asigna de nuevo a su proceso de ser dueo de
Una herramienta para recuperar borrados (borrado) de datos Una utilidad para realizar copias de seguridad y editar el Registro de Windows Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real Una herramienta para analizar las propiedades del archivo
Captulo 7: Procedimientos para recoger y preservar evidencia 147
Una herramienta de monitorizacin que muestra toda la actividad del Registro en tiempo real Una utilidad que muestra los recursos compartidos de red como local y remota Una herramienta de monitorizacin que muestra los inicios de sesin, los cierres de sesin, y el uso de privilegios Una herramienta que muestra los archivos abiertos, los procesos de objetos,Las claves de registro, archivos DLL y los propietarios de los procesos de objetos
La lista anterior est pensado slo como un ejemplo y no es todo incluido.
Adems, al seleccionar las herramientas, hay algunas pautas a seguir: Herramientas de lnea de comandos son los mejores aqu, evitar las herramientas que utilizan un Windows (GUI) de la interfaz. Crse comi varios disquetes que contienen sus herramientas de recoleccin de datos ms importantes. Utilice las herramientas probadas que sabemos que funcionan.
El forense Toolkit (TCT)

Kit de herramientas de Instruccin (TCT), escrito por Dan Farmer y Wietse Venema, es una coleccin de FOREN-programas de SIC que se utiliza para el examen y el anlisis de un sistema Unix despus de un sistema de com-promete. TCT incluye una variedad de utilidades para el estudio y la recopilacin de datos a partir de un clculonLas partes principales de la caja de herramientas son ladrn de tumbas (un programa de recoleccin de datos), Lazar uns (un programa de reconstruccin de datos), y mactime (un sistema de archivos de sello de tiempo representanterter). (Vaya a www. porcupine.org / o forense tct.html y / o www.fish.com/tct/~~V para ms informacin.) Los programas adicionales incluidos en TCT son: archivo. Este programa intenta determinar el tipo de contenido de un archivo. ICAT. Esto copia del programa (el gato (l)) Archivos por nmero de inodo. ils. Este programa muestra la informacin del sistema de archivos de inodo.
lastcomm. Una mquina porttil de 1astcomm comando que muestra la informacin en sentido inverso crono-orden lgico de todos los comandos ejecutados previamente. major_minor. Este programa es utilizado internamente por TCT y emite dos rutinas de PERL, dev_major () y dev_minor (), Que tienen un nmero de dispositivo tal como lo devuelve stat () y luego se rompe para arriba en el nmero el nmero de dispositivo mayor y menor, respectivamente. md5. Esta es la herramienta RSA MD5 firma digital.
148
pCAT. Este programa copia el espacio de direcciones de un proceso en ejecucin. reconfiguracin. Este programa trata de encontrar todos los archivos correspondientes en el sistema actual. strip_tct_home. Este programa es utilizado internamente por TCT y las tiras a una variable de varios archivos.
Uso de ladrn de tumbas

Ladrn de tumbas es la principal herramienta de TCT de recoleccin de datos. Hay varias opciones de comandos disponibles para el usuario cuando se utiliza ladrn de tumbas que se puede especificar qu tipo de informacin ladrn de tumbas deberan reunir y dnde guardar la informacin una vez que se ha recogido. Por razones de simplicidad, los ejemplos siguien-tes se ejecutar ladrn de tumbas en la configuracin predeterminada y con los comandos para recoger el mximum cantidad de datos. Ladrn de tumbas es una herramienta poderosa y puede realizar las siguientes tareas: Recopilar datos de inodos sin asignar reas del sistema de archivos Registro stat () informacin en todos los archivos Registro md5 las sumas de comprobacin de todos los archivos Guarde los archivos abiertos que han sido desvinculados desde el compromiso del sistema Guardar archivos de ciertos definidos en los archivos de configuracin TCT Guardar la informacin de las herramientas del sistema Registrar la informacin de la / Dev directorio Recopilar informacin, tales como ssh claves y rhosts y host.equiv archivos
Ejecucin de ladrn de tumbas

Aunque la herramienta ladrn de tumbas no requiere privilegios de root para ejecutarse, debe ejecutarse en la raz con el fin de recuperar las races y otros procesos para su posterior anlisis. Inicio ladrn de tumbas para recoger el conjunto predeterminado de datos escribiendo lo siguiente: Al emitir el comando siguiente se ejecuta ladrn de tumbas en su formato por defecto:
# / Ladrn de tumbas
Si desea recoger el mximum cantidad de datos, tambin es necesario para proporcionar la
opcin -E, como se muestra aqu:

# / Ladrn de tumbas -D-E-v /
En esta lnea, la opcin -D dirige la herramienta a utilizar el directorio real (/ TCTdatos) como el ubicacin (directorio) para almacenar todos los resultados. Opcin -V dirige la herramienta de crse comi un mayor verbose (detallado) explicacin de su progreso. El ltimo argumento, /, los controles que directorio se utiliza como punto de partida para cualquier anlisis de disco.
149
Las dos lneas anteriores se supone que ya se encuentran en el directorio (o disquete) en la tumbaprograma de ladrn se encuentra.
LeamING utilizar todas las herramientas de TCT correctamente se requiere una gran cantidad de tiempo y esfuerzo. Usted debe revisar cuidadosamente toda la documentacin y poner a prueba todos los componentes antes de usarlos, para que en-ponerse de pie y sacar el mximo provecho de todas sus caractersticas.
Despus de la Cadena de Custodia

Es importante para garantizar en todo momento que el personal que imparte una investigacin de equipo entiendan y cumplan con adecuados procedimientos de recopilacin de pruebas. Esto incluye seguir una cadena de custodia para garantizar la evidencia recogida es de confianza para su uso en un caso legal posible. La cadena de custodia es un registro de pruebas de manejo desde el momento de la incautacin de las pruebas el tiempo se presenta en un tribunal de justicia. El proceso de la cadena de custodia se utiliza para mantener y documentar la historia cronolgica de la evidencia. Los documentos deben incluir el ame o las iniciales del INDIindividuo (s) de reunir las pruebas, cada persona o entidad que posteriormente tenga la custodia de la misma, las fechas en que los artculos fueron recogidos o transferidos, la vctima o del sospechoso ame, y una breve des-cripcin de la partida. Sin una adecuada cadena de custodia, es difcil si no imposible de mantener que las pruebas pertinentes no ha sido alterado o puesto en el equipo despus de la convulsin. Los tribunales y el pblico en general siguen considerando los medios electrnicos de fragmentacine y susceptibles a los cambios inexplicables. Dado que la cadena de custodia es tan importante en las investigaciones forenses, lo mejor es tener dos investigadores forenses asignados a cada incidente de cada paso del camino. En concreto, tener una per-sona documento de lo que el otro est haciendo y cmo lo estn haciendo proporciona un registro detallado y preciso de la manipulacin de la evidencia. Es importante incluir en la documentacin de los tiempos y las fechas que haban tomado medidas, as como el Ames de los involucrados. Si nada ms, por tener una amplia documentacin, usted debera ser capaz de refutar las alegaciones de mala gestin. Adems, la documentacin detallada puede proporcionar un buen punto de referencia para correr las memorias de los mdicos forenses cuando la duracin del examen convierte prolongado. Tome notas escritas a medida que trabaja, y proporcionar tanta informacin como puedas sobre lo siguiente:
La fecha y hora actuales (incluyendo la zona horaria adecuada) Hardware averiado o los problemas ms importantes Notas sobre la evidencia encontrada, que entrar en su informe final con ms detalle. Se trata, esencialmente, sera seala que cualquier persona puede recoger y, de un vistazo, saber exactamente donde lo dej en su evaluacin de la computadora incautada y de los medios de comunicacin.
150
Tcnicas especiales (por ejemplo, sniffers, crackers de contraseas, etc.) Que se utilizan por encima y por all de los procesos normales. Utiliza fuentes externas (por ejemplo, empresas de terceros o productos que ayudaron a asistencia e informacin) Adems, es importante que la porttil utilizado para registrar informacin ser del tipo que no permite ninguna de las pginas que deben eliminarse. Usted tendr que registrar el quin, qu, dnde, cundo y el cmo del proceso de investigacin. Dado que este porttil es un componente esencial en el mantenimiento de la cadena de custodia, toda la informacin registrada debe ser lo ms detallado posible. MET para ser registrado en el cuaderno debe incluir lo siguiente: La Ames de todo el personal involucrado en la investigacin, incluyendo una lista de los administradores responsable del mantenimiento de rutina de los sistemas Un registro de todas las aplicaciones que se ejecutan en el ordenador del sospechoso Una lista de los que tena acceso a las pruebas recogidas incluyendo la fecha y hora de acceso, as como la fecha y hora de las acciones tomadas por aquellos que tienen acceso. Adems, el reloj del sistema afectado debe ser comparado con el tiempo real actual y las discrepancias deben tenerse en cuenta con el reloj del sistema permanece inalterada. Ajuste del reloj posteriormente se puede considerar la manipulacin de datos, dejando la evidencia resultante inadmisible. Los detalles de la evaluacin inicial que conduce a la investigacin formal Las circunstancias que rodearon el incidente sospechosos, que inicialmente inform de la incidente sospechoso junto con la fecha y la hora Una lista completa de todos los sistemas informticos incluidos en la investigacin junto con el sistema especificaciones Una copia impresa de las polticas de la organizacin y pancartas de inicio de sesin que se relacionan con el acceso a y el uso de sistemas informticos Una lista completa de los pasos utilizados para recopilar y analizar las pruebas
La admisibilidad de las pruebas

La revolucin del ordenador personal ha creado nuevos retos para la aplicacin de la ley con respecto a la forma en que se tomaron pruebas de un delito, analizados y presentados en la corte. Antes de que un comregistro de ordenador puede ser usado como evidencia, en primer lugar, debe ser probado para que sea autntico. El estndar para la autenticacin de los datos
informticos es similar a la autenticacin de otros tipos de registros. La extensin de autenticacin no difiere simplemente porque un registro pasa a estar en un formato digital. Una gua completa de los registros informticos que ofrece como prueba est fuera del alcance de este libro. Sin embargo, las secciones siguientes se describen algunas de las cuestiones ms importantes que pueden surgir cuando la bsqueda de la admisin de la prueba informtica.
151
Autenticacin
En los ltimos aos, el ordenador personal se ha convertido en una poderosa herramienta utilizada en la perpetracin-cin de casi todos los tipos de actividad delictiva. Los actos atroces del 11 de septiembre de 2001 se demostr que la actividad criminal y terrorista puede ser coordinada a escala mundial utilizando las comunicaciones cifradas de internet, ocultos a las fuerzas del gobierno y la ley. El uso de un ordenador para CRinformacin apropiada y tienda a menudo deja tras de s huellas digitales electrnicas "" que puede, de hecho, hacer o deshacer un caso penal. Afortunadamente para aplicacin de la ley por ordenador pruebas espe-cialistas, los ordenadores personales no fueron diseados para ser seguros. Como resultado, las contraseas, tiempo y fecha de sellos, y otra informacin valiosa forense se escriben en varias ubicaciones en comunidades de disco duro informticos durante la actividad normal del sistema operativo. Desafortunadamente, los registros informticos se puede modificar fcilmente, y los abogados defensores a menudo afirman que los registros informticos carecen de autenticidad, ya que pueden haber sido alterados o modificados despus de que fueron creados. Autenticacin de evidencia informtica hasta ahora ha sido gobernado por las leyes de la existencia mucho antes de que el uso del ordenador lleg a ser tan generalizada. Autenticacin de evidencia informtica plantea problemas especficos en los casos de los delitos informticos. Usted debe ser capaz de demostrar que no se altere ninguna de las pruebas despus de que el equipo carne en su posesin. Esta prueba le ayudar a refutar las acusaciones de que haya modificado o alterado la evidencia original. Cuando la duplicacin y almacenamiento de los datos capturados de la computadora de un sospechoso, la autenticidad de los datos originales debern ser conservados con un mtodo probado para asegurar que los datos copiados, es idntica a la original. La mejor manera de autenticar la evidencia de datos es a travs de la utilizacin de sumas matemticas, que son una forma popular y legalmente aceptados para comprobar la validez de la copia de los datos originales. De verificacin son avanzados algoritmos matemticos, aplicados a la informacin almacenada en un disco o un archivo, lo que gevotar una salida numrica nica. El resultado es que una com-paracin se puede hacer entre el original y la copia. Las sumas de comprobacin de identidad entre el original y una copia que muestra una copia exacta se ha producido. Es imposible cambiar la informacin en la unidad sin necesidad de cambiar las sumas de comprobacin. La mayora de los forenses informticos especialistas en aplicacin de la ley dependen de autenticacin a travs de las sumas de comprobacin para verificar que los matemticos restaurado la corriente de bits imgenes en el espejo de una unidad de disco de la computadora y los archivos relevantes coinciden exactamente con el contenido del equipo original. Estas comparaciones ayudan a resolver las cuestiones que puedan plantearse durante el litigio acerca de la exactitud y la autenticidad de la imagen en el espejo restaurado. Tambin protegen a la especialista en informtica-forense de cualquier aleciones que los datos se alteran o plantadas por agentes del orden o de otras partes interesadas durante el el procesamiento de la evidencia ordenador. La unidad de disco duro siempre debe ser reflejados con un organismo especializado de flujo de
bits del producto de copia de seguridad. Informtica forense servicios como los ofrecidos por Guidance Software (www.guidancesoftware. com) X-Ways Software (www.sfsoft.de), yNuevasTecnologas (www.forensics-intl.com)Ofrecemos el flujo de bits en el disco duro de imgenes de software que proporcionan la autenticacin necesaria matemtico de los datos copiados, permitiendo que los datos que se utilizar como prueba en un tribunal de justicia. Las cuestiones relacionadas con la autenticacin de los datos informticos son por lo general en forma de disputas sobre la exactitud de los documentos recuperados de los ordenadores. De acuerdo con las Reglas Federales de Evidencia, el proponente de la evidencia generada por computadora deben presentar pruebas ", que describe el proceso o el sistema utilizado para producir la evidencia" y "muestra que el proceso produce una exacta como resultado. "
152
Hay tres fases en las que los errores pueden ser introducidos en relacin con authenticatin de las pruebas: 1. Cuando los datos se introducen en la computadora 2. Cuando el ordenador procesa los datos 3. Cuando los datos generados por el ordenador se evala La regla ms importante en el anlisis de evidencia informtica es nunca utilizar COM del sospechosoordenador para ver los datos. En su lugar, usted debe utilizar siempre un septiembreequipo tasa para ver o analizar una copia de los datos. Otra regla importante a seguir en la recuperacin y / o anlisis de los datos de la computadora es para asegurarse de que un limpiar (Forense estril) designado computadora se utiliza. De lo contrario, puede encontrarse con el argumento de que los datos del equipo utilizado para el anlisis ha contaminado los datos incautados a los sospechosos. Cuando sea posible, no debe examinar el equipo de destino directamente. Lo mejor es hacer primero una copia del disco y luego realizar todos los exmenes en contra de la copia porque el acto de mirar el disco puede modificarlo por las fechas de archivo y los tiempos cambiantes.
La autenticidad de los registros generados por computadora en ocasiones implica la fiabilidad de los programas de ordenador que crcomieron los registros. Por ejemplo, un registro generado por computadora podra no ser autntico si el programa que crea el registro contiene errores graves de programacin. Cuando porla formacin de una imagen del disco duro, lo mejor es utilizar un producto de buena reputacin.
La Prueba de Frye
La prueba ms comn para la admisibilidad de las pruebas es la prueba de equipo de Frye, que se originaron de la Corte de Apelaciones del Distrito de Columbia en una Decisin rechazar la admisibilidad de una prueba de presin arterial sistlica engao (un precursor de la prueba del polgrafo). El tribunal declar que la admisin de esta nueva tcnica depende de su aceptacin por la comunidad cientfica. Debido a que la prueba no fue "suficientemente demuestre que ha adquirido gran importancia en el mbito especfico al que pertenece," el tribunal rechaz la alegacin de la demandada y confirm su condena por asesinato. Aunque la prueba Frye ya no se usa en los tribunales federales, todava se est utilizando en diversas formas en los tribunales estatales.
La mejor evidencia Regla

Segn el Departamento de Justicia de EE.UU., los estados mejor evidencia de la regla, "Para probar el contenido de un escrito, grabacin o fotografa, el" original "por escrito, grabacin o fotografa es Ordinar-ilia requiere". Afortunadamente, las Reglas Federales elementos de prueba se refiri expresamente a esta preocupacin. Esta norma establece que "para probar el contenido de un escrito, grabacin o fotografa, la escritura original, grabacin o fotografa se requiere, salvo disposicin en contrario en el presente reglamento o por ley del Congreso." Las Reglas
Federales, mientras se mantiene la misma poltica central de la mejor evidenciaregla de pendencia, han hecho aceptable para introducir en la sala del tribunal una amplia seleccin de muchas formas de evidencia electrnica. Cuestiones de admisibilidad no se refieren a si la introduccin de datoses producida en un disco duro, un DUPLCate disquete, o una impresin de cualquiera de ellos. El tribunal es ms bien interesados en saber si los datos originales son autnticos y si todas las copias presentadas son pecisa. Como resultado, cualquier impresin autntica de datos informticos siempre se considera que cumplen la requisitos de la norma de mejor evidencia.
153
Los registros pblicos - si se han producido a travs de actividades comerciales normales y si se han establecido como autntico-son admisibles como prueba en el estado de los EE.UU. y los sistemas de las cortes federales, aun cuando dichos registros son producidos por los sistemas automatizados.
Para ms informacin sobre las Reglas Federales de Evidencia, gire en el anexo D.
El Perodo de tiempo permisible para el examen de Ordenadores incautados

A pesar de la aplicacin de los mejores esfuerzos para analizar los ordenadores incautados con rapidez, el examen forense de los ordenadores a veces puede tardar meses en completarse porque los ordenadores son capaces de almacenar cantidades tan enormes de datos. Como resultado, los sospechosos cuyos ordenadores se han incautado puede ser privado de su hardware de la computadora por perodos prolongados. Incluso la Cuarta Enmienda, sin embargo, no impone ninguna limitacin especfica o restricciones en la duracin que se apoder de las pruebas pueden ser retenidos con el fin de llevar a cabo un examen forense. Algunos jueces sin embargo, han comenzado a tener una opinin diferente. En los ltimos aos, varios jueces se han negado a firmar rdenes de allanamiento se autoriza la incautacin de los equipos a menos que el examen forense se prev que se llev a cabo de forma relativamente rpida, como el plazo de 30 das. En casos extremos, algunos jueces han impuesto lmites de tiempo tan corto como siete das, y varios han obligado a espelimitaciones especficas de tiempo, cuando las autoridades legales se aplican a una orden judicial para incautar ordenadores realice operaciones-Ing. empresas.
La evidencia de Preservacin
Conservacin de las pruebas es la preocupacin fundamental de cualquier investigacin criminal, y la prueba informtica no es una excepcin. Destructivos programas de caballo de Troya, por ejemplo, puede destruir permanentemente la prueba informtica en cuestin de segundos. Dado que la evidencia electrnica puede ser alterada sin dejar rastro, copias originales de los datos de prueba se debe colocar en lugar seguro. Toma de imgenes de las pruebas deben ser almacenados en los medios de comunicacin adecuados o de almacenamiento masivo confiable como medios pticos. Debido a que son rpidos y fiables y ofrecen una larga vida til, discos CD-R puede ser utilizado como medio de almacenamiento masivo. En un plazo de cinco a diez aos, los medios de disquetes o de propiedad, como los discos Zip, tal vez ya no est ampliamente disponible. Adems, los datos almacenados en los discos magnticos de los medios tiende a degradarse con el
tiempo. Esto significa que las pruebas podran en algn momento dejar de ser objeto de reembolso. Como los casos de delitos informticos pueden tomar varios aos en llegar a juicio, los medios de comunicacin seguras de almacenamiento y espacio para almacenar la evidencia original es de vital importancia para evitar cualquier contaminacin o alteracin de datos. El investigador debe estar seguro de conservar todos los registros de los sistemas, incluidos los que estn al da y todos los registros que fueron archivados con anterioridad. Posterior comparacin de estos registros puede incluso descubrir la presencia de los incidentes detectados con anterioridad. Los registros pueden ofrecer una prueba del tipo de intrusin introducirse en el sistema as como la fuente de la intrusiN y su ULTcompaero de destino.
154
Resumen del captulo

En este constante cambio, de alta tecnologa del mundo, la recoleccin y preservacin de las pruebas de un delito informtico puede ser una tarea tediosa. Algunas de las razones ms comunes para la recoleccin de evidencia inadecuada son la falta de polticas escritas, la falta de capacitacin de respuesta a incidentes, y una fractura de la cadena de custodia. El establecimiento de la fiabilidad y la autenticidad depende de la precisin del proceso utilizado para producir el registro, la fuente de informacin en el registro, y el mtodo y el momento de su preparacin. En este captulo se examinan los procedimientos bsicos para la recoleccin y preservacin de la evidencia relacionada con la informtica. Puntos principales tratados en este captulo se incluyen Los requisitos generales legales para llevar a cabo la recopilacin de pruebas El orden de recogida de pruebas equipo voltiles Cmo crse comi un disco de arranque en modo real y su papel en la informtica forense Los beneficios de usar un analizador de paquetes para reunir pruebas
Cmo construir un kit de herramientas de informtica forense Por qu la cadena de custodia puede hacer o romper una investigacin de los delitos informticos La importancia de la preservacin de pruebas
Captulo 8
Incidente de contencin y Erradicacin de Vulnerabilidades

ln este captulo
Descripcin de los procedimientos de cuarentena y la contencin La ruptura de las conexiones de red e Internet La comprensin de los riesgos del uso compartido de la red y el archivo Reconociendo el modelo de confianza Cambio de contraseas Seguridad de sensibilizacin a travs de estrategias de documentacin multimedia Erradicacin de las vulnerabilidades ULA SEGURIDAD OMPUTER EL MANEJO DE INCIDENTES SE PUEDE DIVIDIR EN SEIS FASES GENERALES:preparacin, identificatin, la contencin, la erradicacin, la recuperacin y seguimiento. Apreciando lo que puede salir mal en cada una de estas fases le ayudar a responder rpida y eficientemente a cada incidente. Como ya hemos establecido, en respuesta a incidentes de seguridad informtica en general, no es una tarea fcil. De respuesta a incidentes requiere una mezcla de conocimientos tcnicos, la comunicacin y coordinacin entre el personal que responden al incidente. Incluso los propios incidentes son cada vez ms complejo. Las nuevas vulnerabilidades de seguridad que exponen sistemas y redes de acceso no autorizado o denegar el servicio Constantemente se estn descubriendo. Con cada vez mayores demandas de procesamiento oportuno de los mayores volmenes de informacin viene un aumento de la amenaza de interrupcin del sistema de informacin. En algunos casos, las interrupciones de slo unas pocas horas son inaceptables. El impacto causado por la incapacidad para procesar los datos deben ser evaluados, y deben tomarse medidas para asegurar la disponibilidad de los sistemas considerados esencial para el funcionamiento normal de una organizacin. Los que estn en la gestin estn obligados a identificar las aplicaciones crticas de informtica y desarrollar planes de contingencia para que la probabilidad de prdida de datos en favorprocesamiento y el apoyo de las telecomunicaciones se reduce al mnimo. Las secuelas de un incidente con frecuencia se debilita, lo que requiere semanas o incluso meses antes de la integridad de los sistemas comprometidos se restablece. Adems, si el autor
es sorprendido y busc el enjuiciamiento, es razonable anticpat de que la defensa va a hacer todo lo posible para echar una sombra de incertidumbre y falta de fiabilidad en el procesamiento. Por esta razn, una
156
clara y efectiva metodologa de manejo de incidentes debe estar en su lugar, sobre todo cuando la polica va a ser llevado pulg Este captulo se centra en la contencin y erradicacin de la fases del modelo de respuesta a incidentes.
La cuarentena y contencin
Durante esta fase, el objetivo es limitar el alcance y la magnitud oun incidente para evitar la incidenciadente de causar ms dao. Esta etapa de respuesta a incidentes consiste en limitar el alcance y la magnitud de un incidente. Debido a que tantos incidentes observar hoy en da implican el uso de cdigo malicioso, los incidentes se puede propagar rpidamente, dando lugar a un dao generalizado y el compromiso de una gran cantidad de informacin sensible. No es raro encontrar que cada estacin de trabajo sin proteccin-cin conectado a una LAN ha sido infectado cuando hay un brote de virus. El gusano Nimda afect a ms de un milln de computadoras en un perodo de slo tres das. La infeccin se duplic antes de que se contena. La contencin se debe iniciar inmediatamente despus de la deteccin o sospecha de que un incidente de seguridad est en curso. Los siguientes pasos deben tomarse en la fase de contencin: Estudiar la situacin y el alcance de los daos. Sea discreto y no mirar para el atacante utiliza mtodos obvios. Evite el uso de aplicaciones potencialmente comprometidos desde el intruso (s) que haya instalado o se ocultan los caballos de Troya u otros cdigos maliciosos similares, en lugar de los archivos del sistema. Copia de seguridad del sistema y del registro (Windows). Es importante para obtener una copia de seguridad completa del sistema con el fin de adquirir evidencia de Yoactividad legal. Realice copias de seguridad a los nuevos (no usados) los medios de comunicacin y las cintas de copia de seguridad de la tienda en un lugar seguro. Determinar el riesgo de las operaciones continuadas (cubierto en la siguiente seccin). Cambie las contraseas en los sistemas comprometidos y en todos los sistemas que interactan regularmente con los sistemas comprometidos.
Los procedimientos de contrasea se tratan en detalle ms adelante en este captulo.
Determinar el riesgo de operaciones continuas
Si el sistema se apaga por completo, desconectado de la red, ni se le permitir a la Continupara funcionar en su estado operativo normal, de modo que la actividad en el sistema se puede controlar? La respuesta depende del tipo y la magnitud del incidente. En el caso de un virus inofensivo o molestias de tipo, puede que slo sea necesaria para ejecutar el antivirus para detectar y erradicar la
Captulo 8: La contencin de incidentes y Erradicacin de la VuYonerabiYodades
157
cualquier virunses sin tener que apagar el sistema infectado por completo. Sin embargo, si el sistema de con-tiene la informacin clasificada o sensible, o si los programas crticos de riesgo de corromperse, es general-mente en cuenta que el sistema se apaga o se por lo menos temporalmente desconectado de la red. Por otro lado, si hay una posibilidad razonablemente buena de que un autor puede ser identificadas y capturadas por dejar que un sistema de continuapara funcionar de forma normal, esa tctica puede ser considerado. Permitir que un sistema funcione en estas circunstancias, sin embargo, debe sopesarse contra el riesgo de perturbar o poner en peligro los datos. Una vez ms, trabajar dentro de su cadena de mando en la organizacin Para llegar a este tipo de crtica Decisin.
Preservar la integridad
La informacin tiene integridad cuando tanto ella como los sistemas que lo han manipulado se consideran dignos de confianza. Para los sistemas de ser digno de confianza, los errores que han sido (y continuaa) reducido en cada momento posible. Esto incluye errores que son el resultado de tanto intencional explotacin, as como aquellas que se derivan de maltrato involuntario.
Los mecanismos de auditora

Cuando la actividad atpica se detecta en el sistema informtico de su organizacin, personal de seguridad deber ser advertido de que los mecanismos de auditora del sistema. Actividad inusual puede ser en forma de repetidas (sin xito) los intentos de obtener acceso al sistema. El mecanismo de auditora se puede configurar para efectuar la notificacin despus de un nmero predeterminado de intentos fallidos se han hecho para acceder al sistema. El mecanismo de auditora sonarn las alarmas diferentes, dependiendo del grado y el sig-nificanee del incidente de seguridad o comprometer el sistema.
Detectados por el usuario vulnerabilidades tcnicas

La mayora de las vulnerabilidades conocidas en la actualidad tcnicas de aplicaciones y sistemas operativos fueron descubiertos inicialmente por los usuarios finales. Las vulnerabilidades se han descubierto, cuando estos usuarios intentan ejecutar un programa o cambiar las configuraciones del sistema. Si una vulnerabilidad tcnica que puede ser utilizado para socavar el sistema o la seguridad de la red se descubre, inmediatamente documentar que la vulnerabilidad. Adems, registra informacin acerca de la vulnerabilidad mediante un formulario de notificacin de la vulnerabilidad, por lo que Asegrese de que el siguiente se pone de manifiesto: Cul es la vulnerabilidad Cmo la vulnerabilidad puede derrotar a los mecanismos de seguridad Cmo aprovechar la vulnerabilidad (incluidas las condiciones especiales bajo las cuales la vulnerabilidaddad entre centroseURS)
El siguiente es un ejemplo de un "Formulario de presentacin de informes de vulnerabilidad", utilizada por los militares de EE.UU.. No se pretende como un ejemplo de todo incluido, pero puede ser utilizado como amplate para la construccin de su propia forma adecuada a las necesidades especficas de su organizacin:
158
Formulario de Reporte de la vulnerabilidad

A. Informacin General: 1. Fecha del informe:___________________ 2. AME:___________________________ 3. Organizacin:______________________ 4. Direccin de correo electrnico:__________ 5. Nmero de telfono:__________________ 6. Hardware / Software: una. Lista de hardware y configuracin del sistema:
b. Descripcin del software: (1) Sistema operativo (incluye relASE nmero):___________ (2) Describa los nicos atributos, principalmente, a nivel local modificados propiedades especiales de seguridad:_______________________
B. Describir la naturaleza y el efecto de la vulnerabilidad en los trminos ms generales como sea posible:
C. Descripcin de la vulnerabilidad tcnica: 1. Un escenario que describe las condiciones especficas de marcos alemanesnstrate la debilidad o deficiencia de diseo. La descripcin suficientemente deben describir las condiciones para que la debilidad o deficiencia de diseo se puede repetir sin ms informacin. Esta situacin puede incluir la fuente o del cdigo objeto.
2. Describir el impacto o efecto especfico de la debilidad o deficiencia de diseo en trminos de lo siguiente: (1) la denegacin de servicio, (2) alteracin de la informacin,
y / o (3)-compromisIng. de datos. Cite ejemplos especficos, segn corresponda.
Captulo 8: La contencin de incidentes y Erradicacin de la VuYonerabiYodades159 D. Soluciones sugeridas: Describa cualquier cdigo o procedimientos que usted pudo haber descubierto que cuando se aplica-mentado puede reducir el impacto de la vulnerabilidad se define tcnico.
E. Informacin Adicional: 1. Caractersticas del sistema: una._______________________________________Ubicacin: b. Propietario:________________________________ c. Conexiones de red:__________________________ d. Cuenta o Nmero de serie (s):__________________ 2. Sistema de uso y la ms alta clasificacin de los datos en el sistema:
3. Informacin adicional que precise:
El prximo Decisin en las preocupaciones de cuarentena y la contencin de la situacin operativa del sistema comprometido en s. Si el sistema se cerrar completamente, desconectada de la redtrabajo, o permitir que continuamentepara funcionar en su condicin de funcionamiento normal, de modo que la actividad en l se puede controlar? La respuesta depende del tipo y la magnitud del incidente. En el caso de una no destructiva (por ejemplo, molestias) el tipo de virus, es casi seguro que la mejor manera de utilizar hasta a software antivirus actualizado para eliminar rpidamente que el virus sin necesidad de apagar el sistema infectado hacia abajo. Si el sistema contiene datos confidenciales, esta informacin puede estar en riesgo, y es generalmente la mejor manera de apagar el sistema (o por lo menos temporalmente desconectarlo de la red o Internet).
La ruptura de las conexiones de red e Internet

Los intrusos siempre estn buscando nuevas formas de irrumpir en los sistemas. Todos hemos visto o escuchado relatos de cmo los hackers introducirse en los sistemas informticos y robar o destruir informacin confidencial. Con entusiasmo desarrollar y emplear sofisticados programas de forma rpida la plumatrar sistemas. En consecuencia, las intrusiones y el dao que causan a menudo se logra en cuestin de segundos. Al proteger una red contra hackers, crackers, y amenazas por cdigos maliciosos, las herramientas principales son intrusin los sistemas de
deteccin, firewalls, software antivirus, copias de seguridad, y los usuarios de una buena educacin. Sin embargo, cuando un administrador del sistema cree que su sistema de tiene no obstante, en peligro, una de las acciones recomendadas es desconectar el ordenador de la red, impidiendo el acceso an ms por el hacker. Esto es particularmente til con com gravelos incidentes de seguridad informticos. Un incidente de seguridad informtica seria se puede definir como el tipo de incidente que ponga en peligro la integridad, la privacidad y / o la disponibilidad de otros equipos y redes.
160
Entre los ejemplos de incidentes graves de seguridad informticaeincluyen los robos en las cuentas con privilegios (por ejemplo, las cuentas Unix root o administrador de cuentas NT) se utilizan sin autorizacin, de incidentesedonde el trfico de red se controla sin autorizacin, y el incidenteeque computa-res o redes son el origen o el destino de un ataque de Denegacin de Servicio. Adems, si un virus de la salud sea grave, como un gusano de rpida propagacin o el caballo de Troya peligroso, usted debe inmediatamente desconectar el ordenador infectado de la red. Si el ordenador est conectado a la red mediante una conexin Ethernet, simplemente quitar el cable Ethernet de la toma de corriente Ethernet inmediatamente cortar la conexin. Si utiliza acceso telefnico a travs de un mdem, retire el cable que conecta el mdem a la toma de telfono. Los usuarios deben abstenerse de utilizar el ordenador para acceder a Internet / e-mail hasta que el equipo ha sido escaneado con el software de puesta al da de antivirus y est seguro de que ya no est infectado con cdigo malicioso. Despus de cortar la conexin, a continuacin, puede examinar la informacin del archivo de registro para el intento de conexin y de inicio de sesine, Y comparar los originales (siempre y proveedor) las aplicaciones a las que actualmente resi-cin en el sistema. Esto le permite detectar si los archivos han sido modificados por el hacker, tal vez para su uso como una puerta trasera para permitir ms acceso a la red para llevar a cabo acciones malvolas.
De red y uso compartido de archivos Cuestiones

Cuando un equipo forma parte de una red o tiene una conexin permanente a Internet, como por ejemplo a travs de un T-l, DSL o mdem de cable, se debe desconectar el equipo de la red y de Internet, una vez el cdigo malicioso ha sido descubierto. La razn ms importante de esto es que muchos de los tipos ms peligrosos de cdigos maliciosos los gusanos y caballos de Troya - puede utilizar NET Windowstrabajar las acciones a proliferar. Uso de recursos compartidos de red para la proliferacin no es un concepto novedoso para el cdigo malicioso. El infame gusano Klez de 2002 era notorio para la explotacin de recursos compartidos de red y caus la Agencia de Proteccin de la Infraestructura Nacional (NIPC) para emitir la siguiente advertencia:
Propagacin de la W32/Klez.h @ mm y variantes del gusanoe26 de abril 2002 El Centro Nacional de Proteccin de la Infraestructura (NIPC) Contines para controlar un gusano de correo masivo llamado Klez.h. La NIPC est emitiendo esta alerta debido a la informacin recibida de los socios de la industria, combinado con el sorprendente nmero de infecciones reportadas en estado salvaje durante los ltimos cuarenta y ocho horas. Klez.H falsifica una direccin de correo electrnico se encuentra en el sistema destinado a la vctima y puede parecer que ha sido enviado desde una fiesta familiar. Cuenta con ms de 100 lneas de asunto seleccionados al azar y utiliza varios datos adjuntos de archivo diferente ames, cuando se instale. El gusano tambin se disfraza como una "herramienta de la inmunidad Klez.E" con el asunto "Inmunidad Klez.E gusano." El gusano tambin intenta deshabilitar los programas comunes de escaneo de antivirus como McAfee, Antivir, Norton, Seuno, AVConsol, FSecure, Sophos, y otros. Klez.H tambin INFEect la mquina vctima con el virus Elkern, que puede ser detectada como
NGVCK.a. El virus Elkern aleatoriamente INFEeTS archivos ejecutables en el equipo local y recursos compartidos de red y reemplaza el contenido de estos archivos con caracteres aleatorios para mantener el tamao del archivo original. Esto har que la mayora de los sistemas a chocar y por lo menos destruir a los archivos crticos del sistema operativo. Los usuarios se les recomienda actualizar sus firmas antivirus y visite los siguientes sitios Web de Microsoft para las actualizaciones apropiadas para Outlook e Internet Explorer 5.x: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/~~V bul 1etin/MS01-020.asp, o http://support.ru icrosoft.com / default.aspx? cienciad = kb; en-us; Q262631.
161
Si usted ha compartido archivos o carpetas, desactivarlas. Una vez que haya completado el procedimiento la eliminacindes decir,re, si ms adelante decide volver a habilitar el intercambio de archivos, se recomienda que usted no comparte la raz de la unidad C, pero en su lugar, compartir carpetas especficas individuales. Estas carpetas compartidas debe ser protegido por contrasea con una contrasea segura.
Configuracin del uso compartido de archivos de Windows para Mximum de Seguridad

Si usted simplemente no tiene que compartir archivos en su computadora o compartir archivos en la computadora de otra persona, debe quitar el intercambio de archivos de Windows. Si desea conservar el cliente para redes Microsoft componente, an debe deshabilitar compartir archivos e impresoras para que su equipo no dar a conocer su contenido de unidades de disco a cualquier otra persona en su red local (LAN) o en Internet. Esto le permite utilizar los archivos en otro equipo o servidor, pero no permitir que otros utilicen los archivos en su computadora. Los pasos siguientes se explica cmo configurar el uso compartido de archivos para mximum de seguridad y se supone que Windows est instalado en su ubicacin predeterminada, la unidad C:. Si Windows est instalado en una ubicacin diferente, como la unidad D, se deben sustituir ese lugar la letra de unidad particular, al utilizar estos pasos. Para Windows NT/2000, realice los siguientes pasos: 1. Haga doble clic en Mi PC. 2. Haga clic en la unidad C, a continuacin, seleccione la opcin Compartir con los hombres desplegables. 1. Compruebe el Compartir AME. La unidad normalmente se comparten como C $, que es el recurso por defecto necesarios para la administracin del sistema. Si hace clic en el botn Permisos, debera ver el mensaje "Este ha sido compartido con fines administrativos. El permisones no se puede compartir. " 2. Haga clic en los hombres desplegablespara el recurso compartido AME para determinar si la unidad est compartida con cualquier otro Ames. 3. Si la unidad no se comparte con ninguna otra Ames, entonces usted no necesita seguir adelante. Si la unidad est compartida con un AME no sea el predeterminado C $, entonces usted tiene que quitar o modificar las carpetas especficos que no desean compartir siguiendo los pasos 6 a 8. 3. Seleccione una carpeta especfica y haga clic en l, a continuacin, seleccione "No compartir esta carpeta."
4. Si no desea eliminar por completo un recurso compartido, que puede aumentar la seguridad mediante la seleccin de los permisos y modificar la configuracin para que slo determinados usuarios y / o grupos pueden escribir en l. 5. Para cada archivo o carpeta compartida, de forma individual comprobar los permisos para verificar que slo se requiere los usuarios tener acceso de escritura.
162

Para aquellos que se sienten cmodos utilizando la lnea de comandos en Windows NT, 2000 o XP, hay una altrnate opcin para eliminar de Windows shares.At el comando (DOS) del sistema, escriba net share. La salida resultante devuelve una lista de todas las acciones que actualmente presentes en el disco duro. Tenga en cuenta que el recurso por defecto Ames como C $, Admin $ y US $ CCE debe ser ignorada. Sin embargo, cualquier otro acciones de la lista se pueden eliminar mediante el uso de la siguiente sintaxis: sharename net share / eliminar.
Windows XP Uso compartido de archivos

De forma predeterminada, el intercambio de archivos est desactivado en Windows XP. Sin embargo, para comprobar la presencia de cualquier compartir archivos o carpetas, siga estos pasos: 1. Haga clic en el botn Inicio y, a continuacin, haga doble clic en Mi PC. 2. Haga clic en la unidad C, a continuacin, seleccione Compartir y seguridad en el men desplegable hombres. 3. Haga clic en el enlace "Si usted entiende el riesgo, pero an desea compartir la raz de la unidad, haga clic aqu "(ver Figura 8-1). 4. En el uso compartido de red y la porcin de Seguridad de la ventana, mira a ver si uno de los dos cuadros de la radio est activada. Para deshabilitar el uso compartido, quita los dos. 5. Cien s el intercambio y el cuadro de dilogo Seguridad. 6. Con Mi PC an abierta, haga doble clic en la carpeta de documentos compartidos (ver Figura 8-2). Si contiene los accesos directos a archivos o carpetas y usted no quiere que comparten, simplemente borrarlos haciendo clic derecho sobre ellos y seleccionando Eliminar en el desplegables los hombres.
Figura 8-1: La pestaa Compartir de las propiedades del disco de Windows XP Pro
163
Figura 8-2: Windows XP Pro carpeta Documentos compartidos debajo de Mi PC
Windows XP compartido simple de archivos

De forma predeterminada, la caracterstica de Comparticin Simple de Archivos est activada en Windows XP Professional. Mientras ms fcil de usar que navegar por las opciones de uso compartido avanzado de archivos, esta caracterstica es el ms adecuado para los miembros de un grupo de trabajo ms pequeos en lugar de miembros de un dominio, que se utiliza normalmente en grandes redes corporativas. Si usted desea utilizar avanzadas de Windows XP para compartir archivos, es necesario disCompartir poder simple de archivos de una mayor seguridad y control. Para ello, siga estos pasos: 1. Haga clic en Inicio y, a continuacin, seleccione Mi PC. 2. En virtud de los hombres Herramientasen la parte superior de la ventana, seleccione Opciones de carpeta.
3. En Opciones de carpeta, seleccione Ver. 4. Desplcese hasta la parte inferior de la lista de configuracin avanzada y desactive la "Utilizar uso compartido simple de archivos" (ver Figura 8-3). 5. Haga clic en Aceptar.
Figura 8-3: Windows XP Pro en Opciones de carpeta
Una vez compartido simple de archivos ha sido desactivado, puede modificar las opciones de uso compartido especficos para cualquier carpeta que se encuentra en Mi PC de la siguiente manera: 1. Haga clic derecho sobre la carpeta y, a continuacin, seleccione Compartir y seguridad en el men desplegable hombres. 2. Seleccione la pestaa Compartir, a continuacin, seleccione la opcin "Compartir esta carpeta" y, a introducir una cuota de AME. En este ejemplo, la carpeta se llama documentos de Doug (ver Figura 8-4). 3. Puede aadir un comentario (Si se desea), que describe la accin y aparece en Mis sitios de red en otros equipos. 4. Usted puede dejar el "Lmite de usuarios" opcin de paz. En XP profesional, la m por defectoximum lmite es 10. 5. Haga clic en el botn Permisos (Consulte la seccin "Creacin de listas de control de acceso" a continuacin) y proceder a hacer los ajustes que desee con respecto a cmo esta
carpeta se comparte con otros usuarios (ver Figura 8-5).
165
Figura 8-4: La pestaa Compartir en Mis documentos Propiedades de Windows XP Pro
Figura 8-5: Permisos pestaa Compartir en Mis Documentos Propiedades de Windows XP Pro
Creacin de listas de control de acceso

Cuando la modificacin de uso compartido de archivos en Windows XP, te dars cuenta de que, por defecto, el grupo Todos tiene la opcin Control total facturado. Esto significa que todo los usuarios pueden leer, escribir, e incluso borrar archivos. Desde un punto de vista de seguridad,
esto no es aceptable. En cambio, las listas de control de acceso debe estar configurado para especificar quin tiene acceso y en qu. Para hacer esto en Windows XP, siga estos pasos:
Respuesta a Incidentes: Computer Toolkit Forense 1. Con la ventana abierta de permisos, haga clic en el botn Agregar y, a continuacin, elija Tipos de objetos. 2. Anule la seleccin de "Built-in de seguridad principais "y la opcin de Grupos (ver Figura 8-6), ya que desea ver slo los usuarios. 3. Haga clic en Aceptar, a continuacin, seleccione Opciones avanzadas y, haga clic en Buscar ahora. 4. Haga clic en los usuarios que deben tener acceso a este recurso compartido (ver Figura 87). 5. Haga clic en Aceptar, y los usuarios se agregan. Usted puede repetir este proceso para
Figura 8-6: Tipos de objeto de ventana en Windows XP Pro
Figura 8-7: Seleccionar usuarios o grupos de ventanas en Windows XP Pro
agregar usuarios adicionales. 6. Cuando termine, haga clic en Aceptar.
Y o
Captulo 8: La contencin de incidentes y Erradicacin de la VuYonerabiYodades 167
De forma predeterminada, los usuarios nuevos agregados tienen acceso de slo lectura. Si usted quiere que ellos tienen acceso lectura / escritura, a continuacin, haga clic en el cuadro Cambiar. Tendr que hacer esto para cada usuario mediante la seleccin de cada usuario en la lista, a continuacin, especifique permiso de cambio. Para evitar el acceso de invitados a este recurso compartido, debe quitar el grupo Todos. Seleccinelo y haga clic en el botn Quitar.
Archivo Deshabilitar Compartir impresoras y bajo Windows 95/98/Me

En situaciones en las que tienen un equipo independiente conectado a Internet, a menudo se recomienda que deshabilite compartir archivos e impresoras para evitar cualquier acceso no autorizado al ordenador a travs del Internet. Para deshabilitar el compartir archivos e impresoras, siga estos pasos: 1. En el escritorio de Windows, haga clic en el Entorno de red ICn y seleccione Propiedades. 2. Haga clic en la ficha Configuracin y, a continuacin, seleccione Cliente para redes Microsoft. 3. Haga clic en Compartir archivos e impresoras. 4. Anule la seleccin de las dos casillas, a continuacin, seleccione Aceptar. Si no desea deshabilitar compartir archivos e impresoras, siga estos pasos: 1. En el escritorio de Windows, haga doble clic en el icono Mi PC ICn. 2. Haga clic en la unidad C, y luego seleccione la opcin Compartir. 3. Si ves a compartir, a continuacin, siga los pasos del 5 al 8. 4. Si la residencia est marcada, entonces usted no tiene que seguir adelante. 5. Si no se comparte es marcada, entonces se recomienda que habilite esta opcin con un cheque-cin compartida. 6. Si tiene que compartir este volumen del disco duro, a continuacin, en el tipo de acceso, marque ya sea lecturaSlo o Depende de la contrasea. 7. Usted puede crcomi septiembrecontraseas de tarifas para el acceso de slo lectura y
completa. Dar el acceso pleno Contrasea slo a aquellos que lo requieran. 8. Para otros archivos y carpetas compartidas, asegrese de que el tipo de acceso est configurado correctamente.
Reconociendo el modelo de confianza

La confianza es una parte esencial de cualquier relacin. El rector principyoe de la seguridad supone que existe un modelo de confianza que define las relaciones de confianza entre todos los componentes involucrados. Un modelo de confianza es un medio para ayudar a reconocer y visualizar los distintos grados de confianza, intencionalmente o no concedido a individuosais, en base a los riesgos asociados con la concesin
168
confianza. Tener un modelo de confianza completa proporciona una mayor conciencia de los riesgos planteados por vulnera-nerabilities y amenazas. La informacin proporcionada por un modelo de confianza le permitir a su organizacin para evaluar sus vulnerabilidades y amenazas y encontrar soluciones a cualquiera de MITpuerta de ese riesgo o elegir aceptarlo. Tradicionalmente, los equipos independientes y pequeas redes se basan en algn tipo de autenticacin de usuariotin y control de acceso para garantizar la seguridad. La autenticacin se realiza a travs de un mecanismo de control, que verifica la identidad de un usuario del sistema. Una vez identificado, el usuario tiene autorizacin para utilizar, cambiar o ver ciertos recursos informticos. Actualmente, varios enfoques diferentes estn siendo utilizados en el intento de autenticar de forma fiable los usuarios. Esto incluye contraseas, firmas digitales, tarjetas inteligentes y biometra, a AME unos pocos.
El modelo de confianza en las operaciones de informtica

De hoy en da la seguridad de informacin se basa en relaciones de confianza con optasa. Sin embargo, con la confianza viene el riesgo de que la confianza va a ser violado. A fin de combatir esta posibilidad, los mecanismos de confianza deben ser implementadas para garantizar la fiabilidad de la confianza. A continuacin se presentan algunas de las formas de la confianza mecanismos se pueden implementar en el entorno del ordenador.
ID de usuario y contrasea Trust

En la mayora de las organizaciones cuando un usuario se le da acceso a una cuenta de equipo, l o ella se le asigna un ID de usuario y una contrasea para acceder a esa cuenta. Junto con el ID de usuario y la contrasea son ciertos fideicomisos que las hereda de usuario, que permiten acceso a los recursos del equipo. Sin un ID de usuario y contraseas, no hay confianza se da porque el equipo no tiene otra manera de identificar al usuario. El ID de usuario y la contrasea son anlogos a una llave que abre la puerta que permite la entrada. El principal riesgo asociado con los identificadores de usuario y contraseas es que la ID y las contraseas pueden ser perdidos, robados o explotados (ilegalmente). Las organizaciones pueden MITpuerta de estos riesgos mediante la institucin y siguiendo las polticas de contraseas slidas y prcticas. Esto se puede lograr mediante la aplicacin de las directrices que se encuentran en "la proteccin de contrasea 101" publicado por el Centro de Proteccin de Infraestructura Nacional.
Proteccin por contrasea 101 Cada ao miles de ordenadores son acceso ilegal a causa de contraseas dbiles. Cuntos usuarios son culpables de alguna de las siguientes cosas: Escribir una contrasea en una nota adhesiva colocada en o cerca de su computadora. Usando una palabra que se encuentra en un diccionario. As es, un diccionario. Cualquier diccionario! Usando una palabra de un diccionario seguido por 2 nmeros. Utilizando el Ames de la gente, lugares, animales domsticos o comunes otros MET. Compartiendo su palabra con otra persona. Utilizando la misma contrasea para ms de una cuenta, y por un perodo prolongado de tiempo. Uso de la contrasea por defecto proporcionada por el proveedor. Es probable que, si eres como la mayora de los usuarios de computadoras, usted contest s a una o varias de las preguntas anteriores. El problema es que los hackers son conscientes de estos problemas,
as y apuntar a los que no toman las precauciones correctas. Por qu hay un problema? Las contraseas son una de las primeras lneas de defensa que tienen los usuarios para proteger sus sistemas. Por desgracia, la gente no est acostumbrada a tener que recordar contraseas difciles compuestas por cifras y extraas acters caracte-. El nmero cada vez mayor de contraseas necesarias para trabajar en el mundo de hoy slo lo hace

problema peor. Muchas personas han compensado este problema al escribir su contrasea y mantener esa informacin en una garanta razones, como pegado a una pantalla de ordenador. Una de las primeras cosas que un hacker intentar hacer contra un sistema que se ejecuta un programa que intentar adivinar la contrasea correcta de la mquina de destino. Estos programas pueden contener todo el dic-cionarios de varios idiomas diferentes. Adems de las palabras que se encuentran en los diccionarios, estos programas a menudo contienen las palabras de la cultura popular, tales como pelculas de ciencia ficcin y noviembreeis. Los hackers les gusta atacar las debilidades de la gente. Una de las principales debilidades es la renuencia a recordar varias, largo, difcil de adivinar palabras tales como contraseas. Por lo tanto, una vez que se elija, la probabilidad de que la misma contrasea se utiliza para varias cuentas es muy alto. Esto es similar al problema con contraseas por defecto porque los usuarios tienen tendencia a mantener la misma contrasea para un largo perodo de tiempo, permitiendo as que el atacante mucho ms tiempo para obtener acceso a un sistema.
Qu puedes hacer?
Recordar contraseas largas puede ser difcil, pero hay algunas tcnicas bsicas de los usuarios pueden emplear para disminuir el dolor. En primer lugar, elegir una frase que pueda recordar. Como ejemplo, vamos a utilizar la frase "La perla en el ro." A continuacin, puede tomar un nmero que est familiarizado con el, como un cumpleaos. Para este ejemplo usaremos 04/07/01. A continuacin, usted puede tomar la primera letra de la frase y se entrelazan con la fecha elegida para hacer algo similar a t7p4i0tlr. Este mtodo crea una contrasea que no se puede encontrar en cualquier diccionario, y es exclusiva de la persona que lo cre. Es importante recordar sin embargo, que cualquier contrasea puede adivinar si se le da tiempo suficiente. Por lo tanto, es importante para cambiar su contrasea en la cantidad de tiempo que le tomara a un atacante adivine. Por ejemplo, con la contrasea anterior puede llevar a un atacante de 60 das en un equipo muy rpido para adivinar lo que es. Con el fin de garantizar la seguridad de su sistema a continuacin, el usuario debe cambiar su contrasea antes de los 60 das llegar a su fin. Mientras que la contrasea de seguridad es un elemento disuasorio muy importante para los piratas informticos tengan acceso a tu sistema, es slo un componente de la "defensa en profundidad" principyoe. Lo que esto significa, se las contraseas deben ser utilizados junto con otras medidas tales como software antivirus actualizado y un firewall personal, como Zone Alarm.
Recuerde que la primera lnea de defensa en el sistema informtico la confianza es la proteccin de las contraseas y el ID de usuario. !
Con el aumento de potencia de clculo, se tarda menos tiempo que nunca para adivinar las contraseas. Por lo tanto, contraseas seguras deben combinarse con los bloqueos de cuentas (bloquear la cuenta despus de un nmeronmero de conjeturas errneas) o el atacante puede adivinar el tiempo.
Sistema Operativo Fondo

Confianza del sistema operativo es uno de los tipos ms complejos de la confianza, porque el sistema operativo realiza las funciones de muchos, incluido el intercambio de datos, comunicaciones de red y autenticacin-cin, cuando los usuarios inician sesin. Cuando un sistema operativo est inicialmente instalado y configurado, algunos servicios estn habilitadas por defecto. En los sistemas Unix, por ejemplo, Trivial File Transfer Protocol (TFTP) y echo dos servicios predeterminados que permiten la plena confianza ejecutando como root. Con Windows NT, algunos servicios Web y el Protocolo de transferencia de archivos (FTP) estn habilitadas por defecto.
170
Desafortunadamente, los administradores de sistemas a menudo no saben que los servicios de los que no sean necesarios pueden ser explotadas por los hackers-se dejan en ejecucin en el sistema, dejndolos vulnerables a los ataques. La forma ms fcil de MITpuerta de los riesgos de estos sistemas operativos es reducir al mnimo la cantidad de servicios que se ejecutan, por ejemplo, slo la ejecucin de los servicios que se necesitan en las estaciones de trabajo y servidores. El escarabajo de Cdigo Rojo, por ejemplo, con xito abrumado muchas redes ya que los empleados se haban instalado los servicios Web en sus estaciones de trabajo individuales. Si bien habr oca-siones, cuando algunos individuosais puede ser necesario para ejecutar servidores Web en sus estaciones de trabajo para desarrollo y pruebas, ms de las veces, estos servicios de servidor Web proporciona la funcin poco ms que la creacin de un potencial de salto de punto de partida para un gusano o un ataque hostil. Para los responsables de la gestin de un gran nmero de estaciones de trabajo, se convierte en una tarea onerosa para elimNate seleccin los servicios de estacin de trabajo de todos y cada uno. Aunque la reduccin de la cantidad de servicios que se ejecutan en un equipo funcionalidad de ciertos lmites, se endurece el sistema en trminos de seguridad. Endurecimiento de los servidores y estaciones de trabajo es slo un primer paso en la prevencin de los hackers de irrumpir en un sistema informtico mediante la limitacin de lo que el atacante es capaz de explotar y utilizar. Mientras que algunos servicios, tales como el servicio WWW en un servidor Web son requeridos, es importante tambin tener al tanto de las actualizaciones, parches y revisiones de todo servicios. En equipos basados en Windows, usted puede detectar fcilmente los servicios que funcionan mediante el uso de un programa como Process Explorer. Con Process Explorer en marcha y funcionando, seleccione las opciones Servicios Resaltar los hombreselemento. A continuacin, puede hacer clic en cualquiera de los servicios destacados para ver los detalles del servicio, que aparecen en el panel inferior de Process Explorer (ver Figura 8-8). Process Explorer se puede descar-cargado desde www.sysinternals.com._
Figura 8-8: Process Explorer de Mark Russinovich
171
El modelo de confianza y robo de identidad

Se estima que el robo de identidad se ha convertido en el delito de ms rpido crecimiento econmico en Amrica y tal vez el delito de ms rpido crecimiento de cualquier tipo en nuestra sociedad. El robo de identidad ha sido denominado por algunos como el crimen del nuevo milenio. Puede llevarse a cabo de forma annima, a menudo con facilidad, por una variedad de medios, y su impacto sobre la vctima pueden ser devastadores. El robo de identidad es simplemente el robo de informacin de identidad, como un AME, fecha de nacimiento, nmero de Seguro Social (SSN), o un nmero de tarjeta de crdito. Comisin Federal de Comercio (FTC) informa de que su sitio de Consumer Sentinel, que ofrece la ley Web con acceso a ms de 300.000 quejas sobre todos los tipos de fraude al consumidor - que ha recibido ms quejas sobre robo de identidad y el fraude que cualquier otra categora de fraude al consumidor. Tener un modelo de confianza o un mtodo para asegurar la identidad es un excelente mtodo para resolver el problema de robo de identidad. De hecho, un modelo de confianza es esencial para cualquier infraestructura de seguridad. Una infraestructura de seguridad basada en las credenciales de seguridad aborda los problemas de fraude y robo de identidad cuando las credenciales de seguridad estn identificados y autenticados.
Computer Security Awareness

Se ha dicho, "El nico sistema informtico seguro es aquel que est desconectado o apagado." Dado que no es realista dejar ordenadores fuera de todo el tiempo, los empleados y todos los otros usuarios de la necesidad de comprender los riesgos a los sistemas y se preparan para protegerse contra ellos. Un sonido de la computadora-seguridad-la conciencia programa educa a los usuarios informticos de la organizacin sobre las amenazas potenciales que enfrenta la infraestructura de la empresa informacin. Con este conocimiento, los empleados estn mejor pre-en comparacin a reconocer los problemas potenciales de seguridad. Una vez que el problema ha sido identificado, los empleados deben estar familiarizados con los procedimientos de notificacin adecuados, incluyendo la cadena de mando. Dado que la seguridad se puede comparar a un blanco en movimiento, la conciencia de seguridad debe seguir siendo un evento en curso. Puesto que las amenazas y vulnerabilidades de seguridad son caprichosas de la naturaleza, la seguridad siempre debe estar preparado, e incluyen una respuesta automtica. Una buena pauta a seguir es la Seccin 5 de la Ley de Seguridad Informtica 1997, que ordena la formacin de seguridad siguiente para las agencias federales:
SEC. 5. SISTEMA FEDERAL DE COMPUTADORA DE ENTRENAMIENTO DE SEGURIDAD.
(A) En general. - Cada agencia federal deber prever la capacitacin peridica obligatoria de la conciencia de seguridad informtica y la prctica aceptada de seguridad informtica de todos los empleados que estn involucrados con el manejo, uso o funcionamiento de cada sistema informtico
federal dentro o bajo la supervisin de ese organismo. Dicha formacin ser 1. siempre de acuerdo con las directrices elaboradas de conformidad con la seccin 20 (a) (5) de la National Bureau of Standards Act (aadido por el artculo 3 de esta Ley), y de conformidad con los reglamentos emitidos en virtud del inciso (c) de esta seccin de los empleados civiles federales, o 2. proporcionada por un programa de entrenamiento alternativo aprobado por el jefe de ese organismo sobre la base de una determinacin de que el programa de formacin alternativa es al menos tan eficaz en el cumplimiento de los objetivos de esas directrices y reglamentos.
172
(B) Objeto.-Formacin de Formacin en esta seccin se pondr en marcha dentro de los 60 das despus de la la emisin de las regulaciones descritas en el inciso (c). Dicha capacitacin se disearn 1. para aumentar la conciencia de los empleados de las amenazas y la vulnerabilidad de los sistemas informticos, y 2. para fomentar el uso de mejores prcticas de seguridad informtica. (C) Regulations.-Dentro de seis meses despus de la fecha de la promulgacin de esta Ley, el Director de la Oficina de Administracin de Personal dictar disposiciones que prescriban los procedimientos y el alcance de la de capacitacin que se proporcionan los empleados civiles federales en virtud del inciso (a) y la manera en que tales enseanzas se llev a cabo.
Concienciacin sobre la seguridad pueden presentarse en muchas formas, tales como banderas de inicio de sesin que recuerdan comlos usuarios informticos sobre la seguridad cada vez que inicien sus equipos de audio y vdeo documentacin. Independientemente de los mtodos se emplean, el objetivo principal es aumentar la conciencia constante de nuestros empleados de las amenazas y la vulnerabilidad de los sistemas informticos, y fomentar el uso de mejora de las prcticas de seguridad informtica dentro de la organizacin.
Estrategias de Documentacin Multimedia

Con los acontecimientos del 11 de septiembre, an est fresco en nuestra memoria de 2001, se nos recuerda que la conciencia de seguridad nunca ha sido ms importante. Las personas son, sin duda, los aspectos ms desafiantes de la seguridad que toda organizacin tiene que enfrentar. La organizacin debe convencer a todos los usuarios de computadoras que la seguridad de la informacin es responsabilidad de todos y no slo del sistema de admi-res. Los usuarios deben estar convencidos de que pueden ser afectados directa o indirectamente por una garanta compromesa. Como se mencion anteriormente en este captulo, la seguridad es un objetivo en movimiento complejo. Mientras el mundo gradualmente-mente se vuelve ms dependiente de la red, es esencial que el equipo de concienciacin de seguridad de programas que se benefician todo los usuarios de computadoras se desarroll e implement. Una vez que se logra este objetivo, los usuarios pueden reconocer y reaccionar ante las violaciones de seguridad de la informacin. Sin esta conciencia, los usuarios siguen siendo ingenuos ante las amenazas de seguridad informtica. Cuando se trata de la conciencia de seguridad informtica, los videos pueden ser uno de los ms eficaces mtodosSAO para la comunicacin. Sin embargo, ellos vienen con un precio. El costo de producir su propio video puede llegar a varios miles de dlares por minuto de producto terminado. Para organizaciones con grandes presupuestos de TI de seguridad, esto no puede parecer un gasto excesivo. Para los ms pequeos, ms presupuesto-con-restringidas las organizaciones, sin embargo, hay una altemAtive. Numerosos proveedores de terceros venden ya hechas vdeos de seguridad informtica que pueden ser adecuados para una amplia variedad de
organizaciones. Estos vdeos son generalmente mucho menores que los costos asociados con la produccin in-house-propriVdeos monetarias de seguridad. Los siguientes son dos vendedores que producen excelentes productos de sensibilizacin de seguridad, incluyendo las variablesOus carteles, cintas de audio, videos y CD-ROMs. CommonwealthFilms:www.commonwealthfi 1ms.com Suinteligencianatural,Inc:www.nativeintelligence.com / conocimiento / index.asp Tenga en cuenta que desde que usted puede volver a usar el video, una computadora relacionada con la seguridad de vdeo sera una excelente herramienta en su programa de concienciacin sobre la seguridad.
173
La fase de erradicacin
La prioridad, despus de al lado que contiene los daos causados por un incidente de seguridad informtica-es eliminar la causa del incidente. Los hackers y crackers sin descanso buscan las vulnerabilidades de seguridad en el software nuevo o ya existente, especialmente cuando el proveedor de software no se ha desarrollado un parche o donde la organizacin no ha podido descargar una correccin disponible (lo que habra eliminado la vulnerabilidad de los). La fase de erradicacin se asegura de que se elimina el problema y las vulnerabilidades que permiten el reingreso al sistema se eliminan, tambin. En el caso de un incidente de virus, se debe eliminar el virus de todos los sistemas y medios de comunicacin (por ejemplo, los disquetes, los medios de copia de seguridad) mediante el uso de uno o ms probadas aplicaciones comerciales de erradicacin del virus. Si hay fallas en el sistema operativo o las aplicaciones para las que hay cambios, que debe ser reparado inmediatamente. Recuerde, muchos intrusos de red dejan restos (backdoors, spyware, etc) que pueden resultar difciles de lCate. Su organizacin debe FRST concntrate en la erradicacin de cualquier cdigo malicioso (por ejemplo, los caballos de Troya, gusanos, etc), cisE los puertos innecesarios abiertos, y ms tarde concntrate acerca de los peligros ms benignas (por ejemplo, fraude / molestias virunSES), sobre todo cuando no presentan un riesgo lo suficientemente grave como para justificar el costo de la erradicacin. Utilice la informacin recopilada durante los procedimientos de contencin para recoger informacin adicional. Si un mtodo de ataque nico no se puede determinar, la lista y el rango de las posibilidades.
Endurecer sus defensas

Aplicar las tcnicas adecuadas de proteccin mediante la adicin de los cortafuegos, filtros del router, intrusicin n deteccin de sistemas y / o mover el sistema a una nueva direccin IP. En casos extremos, la organizacin puede resultar beneficioso para migrar estaciones de trabajo o servidores a un sistema operativo ms robusto y seguro como Linux o Unix. Tambin debe eliminar todas las aplicaciones innecesarias y las cuentas por defecto en cisE posibles puntos de acceso no autorizado. Ciertamente, nunca se debe olvidar el elemento humano. De ingeniera social ataques se centran en pasar por las herramientas de seguridad ms sofisticados disponibles enfocndose en el eslabn ms dbil de la cadena de seguridad, el vnculo humano. Social ingeniera es la ciencia de hacer que la gente a cumplir con sus deseos. Centrndonos en el vnculo humano se asegura de que ningn sistema de seguridad informtica es innecesariamente sometidos a los ataques de ingeniera social.
Realizar el Anlisis de Vulnerabilidades

Utilice una herramienta de anlisis de la vulnerabilidad a la seuno de los sistemas vulnerables que estn conectados a sistemas afectadosMET. El personal de seguridad de rutina auditar sus sistemas con las mismas escneres y sniffers (herramientas) que los hackers y crackers utilizan para comprometer las redes. Un enfoque ms agresivo para vulnerabilidaddad implica el anlisis de las pruebas de penetracin. Las pruebas de penetracin se ve en la seguridad de la organizacin desde un punto de vista externo. Escneres de puertos y la vulnerabilidad son las herramientas bsicas tanto del atacante que se comprueben los servicios mal configurados o sin
parches, y para el administrador del sistema tratando de encontrar y tapar los huecos antes de que son explotados. Para los sistemas operativos Unix o Linux, numerosas escneres de vulnerabilidad estn disponibles, aqu son varias: Nessus por Renaud Deraison es un escner de software de seguridad gratuito que las auditoras de una red especificadas de forma remota y determina si los hackers podran poner en peligro o explotacin de que de alguna manera. Para obtener ms informacin o para descargar una copia, visite
www.nessus.org.
SAINT por SAINT Corporation es un acrnimo de "Herramienta de administracin de seguridad de red integrada" y se utiliza para seun Unix / Linux los sistemas informticos para descubrir el potencial reas de debilidad y luego recomendar soluciones. Entre algunas de sus muchas caractersticas, SAINT evaluacin de la vulnerabilidad puede detectar y reparar los posibles puntos dbiles en la seguridad de su red antes de que puedan ser explotadas por intrusos. Adems, el santo puede anticpat y prevenir vulnerabilidades de los sistemas comunes y demnstrate que su organizacin de las computadoras los sistemas estn en conformidad con las regulaciones de privacidad de datos, como la Ley Gramm-Leach-Bliley (GLBA), Health Insurance Portability and Accountability Act (HIPAA), y Nios en Internet Privacy Protection Act (COPPA). Para informacin sobre precios o para descargar una copia gratuita de prueba, visite www.saintcorporation.com. GFI LANguard Network Security Scanner (N.S.S.) le permite no slo seuno de su redtrabajar, pero le permite hacerlo desde el punto de vista del hacker. Es capaz de identificar todos los ordenadores conectados a la red de su recopilacin de informacin de NetBIOS, puertos abiertos, y los recursos compartidos de red a la ame slo una de sus muchas caractersticas. LANguard Network Scanner tambin puede dis-play instalado los parches del programa (tambin conocido como hot fixes) y seuno de los problemas de seguridad conocidos. Si cualquier problema de seguridad se encuentran, este programa proporcionar un enlace web para ms informacininformacin. N.S.S. contiene una gran ddtbase de las vulnerabilidades comunes, como CGI, FTP, y las hazaas del Registro. Este programa permite al usuario personalizar el datde base, aadir cus-tom criterios, e incluso especificar banderas de alerta sobre la base de las preferencias del usuario. Con la informacin de LANguard NSS, su organizacin puede asegurar de forma proactiva su red, cerrando puertos innecesarios y acciones. Este programa tambin producir convenientes informes basados en HTML para su distribucin a travs de Internet o una intranet de la empresa, si es necesario. Incluso para los no profesionales, este programa ofrece informacin en profundidad acerca de la LAN. Mientras que el software gratuito versin tiene algunas caractersticas avanzadas con discapacidad (por ejemplo, los anlisis programados, un generador de informes y la implementacin de la comparacin de resultados), todava es muy adecuado para la grandad de los usuarios. Para obtener ms informacin o para descargar una copia, visite www.gfi.com. La herramienta Microsoft Baseline Security Analyzer (MBSA) es una utilidad basada en software que permite a los usuarios seun equipos basados en Windows para los problemas de seguridad comunes, tales como un suavesoftware o configuracin errnea de la falta de aplicacin de parches y actualizaciones.
Resumen del captulo

Las repercusiones de un incidente de seguridad informtica a menudo requieren una cantidad significativa de tiempo y peoplepower antes de la integridad de los sistemas en peligro puede ser restablecida. El objetivo principal de respuesta a incidentes es la de limitar la primera efeect de un incidente de seguridad informtica y, a continuacin para restablecer rpidamente la continuidad del negocio. Decisiones inmediatas deben ser tomadas considerando una serie de cuestiones, como la posibilidad de apagar un sistema, desconecte el sistema de la red, o simplemente controlar el sistema por actividad sospechosa. Incidente de contencin y erradicacin de las vulnerabilidades son dos fases importantes, crticos del plan general de incidentes de una organizacin de respuesta.
Puntos principales tratados en este captulo se incluyen Una breve descripcin de los procedimientos informticos de incidentes de seguridad de cuarentena y la contencin Los pros y los contras de la ruptura de las conexiones de red e Internet durante la contienencin fase del modelo de respuesta a incidentes Una visin general de los riesgos del uso de recursos compartidos de red y el archivo en Windows basada en redobras, incluidas las medidas sobre la manera de MITpuerta de los riesgos La importancia de la subestimacin de la seguridad informtica modelo de confianza y su papel en una general de la organizacin de plan de respuesta a incidentes
Los procedimientos apropiados de contraseas y la importancia de los cambios de contrasea frecuentes Cmo fomentar la conciencia de toda la compaa de seguridad utilizando documentacin multimedia estrategias Una visin general de los pasos involucrados en la erradicacin de las vulnerabilidades de seguridad informtica
Captulo 9
E l s e g u i m i e n t o d e l o s s i s t e m a s . U n a v e z q u e e
Recuperacin de Desastres y Seguimiento de

ln este captulo
Entendimiento de desastres de recuperacin de la planificacin La importancia de los registros de incidentes UPS y los procedimientos de copia de seguridad Despus del incidente de vigilancia de los sistemas de Anticipando nuevos ataques GRACIAS A SU MAYOR DEPENDENCIA DE LA INTERNET, organizaciones alrededor del mundo enfrentan diariamente a las amenazas de los hackers, crackers, equipo virunses gusanos, y de la red, que a menudo explotan una variedad de deficiencias en los sistemas informticos y de causar un dao significativo. Debido al aumento de la conectividad con-provocado por la Internet, los daos causados por aparentemente aislados incidentes de seguridad informtica puede propagarse rpidamente a otros sistemas informticos conectados a Internet, causar numerosas prdidas econmicas. Un plan de recuperacin de desastres debe ser adaptado a la exposicin de su organizacin a un riesgo y debe proporcionar informacin concreta y procedimientos para orientar las decisiones y operaciones en tiempos de crisis. Procedimientos de recuperacin de desastres debe incluir lo siguiente: Restaurar el sistema despus de un compromiso. Una vez que un compromiso ha sido erradicada, el siguiente paso lgico es restaurar el sistema a su estado precompromise en pleno funcionamiento. La validacin del sistema. Una vez que el sistema ha sido restaurado, compruebe que la operacin fue un xito y el sistema vuelve a su estado normal de funcionamiento. Decidir cundo las operaciones de restauracin. La gerencia puede decidir abandonar el sistema en lnea, mientras que actualizaciones del sistema operativo y los parches estn instalados.
l sistema est en lnea, continuapara vigilar la espaldapuertas que puedan tener eludido deteccin.
177
178
Saber cmo reaccionar adecuadamente en una emergencia es fundamental para tomar decisiones que minimicen el dao resultante y restaurar rpidamente las operaciones. En su 07 de diciembre, Boletn destacados de 2001, la Agencia de Proteccin de Infraestructura Nacional emiti el siguiente:
11 de septiembre 2001 Incidente TerroristaeLecciones aprendidas: nuevos enfoques necesarios para la recuperacin de desastres y de negocios Continuidad de Planificacin Tres temas principales se puede observar en los numerosos artculos en los que los profesionales tcnicos han estado discutiendo el impacto de los incidentes del 11 de septiembre. Lecciones Emergentes En primer lugar, la recuperacin de desastres planes de la mayora de las organizaciones tienden a centrarse en sistema de informacin dis-capacidad ("up-time") los temas. En segundo lugar, el concepto en evolucin del alcance de los impactos se ha traducido en una reevaluacin fundamental por tanto pr". peor de los casos" tor privado y las organizaciones gubernamentales del significado de la tercera y ms importante, parece que hay una sntesis emergente de los dos primeros temas: los incidentes se han traducido en una creciente conciencia de la necesidad de planes de continuidad de negocio y recuperacin de desastres planes para complementarse entre s. Infraestructura de servicios financieros Muchas grandes organizaciones de servicios financieros restaurar rpidamente sus sistemas de informacin en el altrnate sitios. Los sistemas de demostrar la estabilidad en altos volmenes de transacciones en los mercados reabrieron y se reanuda negocio. Los factores que contribuyen a la reanudacin exitosa de las operaciones incluyen inversiones en tiempo real de copia de seguridad de datos y todas las capacidades de sitios calientes, las pruebas frecuentes desastres plan y las actualizaciones, las lecciones aprendidas durante la remediacin Y2K y otros planes para las funciones crticas tales como diciembre-imalization NASDAQ conversin del plan. Los servicios tradicionales de recuperacin de desastres de Empujado a los nuevos lmites Las compaas que ofrecen servicios de recuperacin de desastres han reportado un nmero rcord de organizaciones sub-mitting alertas de desastres y las declaraciones de desastre. Adems, en muchos casos la naturaleza de los servicios requeridos es tambin significativamente ms amplia que en anteriores desastres como el huracn Floyd en 1999 y el ataque al World Trade Center de 1993. Necesidad de reevaluar cuestiones de riesgo Durante los ltimos 15-20 aos, se centran en la reduccin de costes y aumenta la productividad ha contribuido a la consolidacin de las operaciones de la organizacin, informacin, personas, procesos, y la cadena de suministro de las relaciones. Los incidentes del 11 de septiembre muestran estas tendencias presentan nuevos potenciales de los fracasos que no se han reflejado en la recuperacin de desastres y los planes de muchas de continuidad del negocio. Adems, los incidentes tambin sealan los factores de riesgo relacionados con el cis la proximidad a otros "alta valiosaobjetivos "y la infraestructura de las dependencias entre las telecomunicaciones, la energa y el transporte. Infraestructura Crtica y Empresa Implicaciones de red El Princip bsicayoes de preparacin de emergencia se han utilizado durante dcadas y continua puedeser una base para abordar los nuevos desafos. Sin embargo, dos nuevos enfoques de planificacin deben ser abordados. En primer lugar, el mbito de la planificacin de recuperacin de
desastres debe ser ampliado ms all de su enfoque tradicional en la pri-Marily cuestiones operativas para incluir medidas de seguridad de seguridad tambin. En segundo lugar la planificacin, la continuidad del negocio junto con la planificacin de recuperacin de desastres debe ser abordado como un requisito de negocio de toda la empresa la operacin.
En este boletn, el NIPC hace hincapi en la necesidad de contar con procedimientos de recuperacin de desastres y continuidad de negocio que se complementan entre s. No importa cuntas precauciones son empleados y
Captulo 9: Recuperacin de Desastres y Seguimiento de 179
forzada, la mayora de la gente en el campo de la seguridad informtica de acuerdo en que no hay computadoras completamente seguro. Cuando sucede lo impensable, un plan de emergencia bien diseado de recuperacin describe la preparacin y las medidas necesarias para responder eficazmente a la catstrofe, asigna y / o delega responsabilidades, e incluso describe los procedimientos para probar y mantener el plan. Adems, un plan de recuperacin de desastres debe ser evaluado con mayor frecuencia y actualizado para reflejar el hardware actual, el software, procedimientos, aplicaciones crticas, y el personal. El tipo y grado de pruebacin adoptada por una organizacin depender de los siguientes factores: El costo de la ejecucin del plan de pruebas Presupuesto disponibilidad La complejidad del sistema de informacin y de los componentes
Planificacin de recuperacin de desastres

El mejor enfoque para la recuperacin de desastres se centra principalmente en la planificacin y la prevencin. El objetivo de la planificacin de recuperacin de desastres es permitir a una organizacin para resistir un desastre y restablecer, nioperaciones normales de negocio. Para sobrevivir, la organizacin debe asegurar que las operaciones crticas se puede reanudar el procesamiento normal dentro de un plazo razonable. Por lo tanto, los objetivos de la empresa con-plan de continuidad debe ser como sigue: Identificar fallas y vulnerabilidades e implementar un programa de prevencin de desastres Minimizar las interrupciones a las operaciones comerciales Facillitar las tareas de recuperacin Reducir la complejidad de los esfuerzos de recuperacin En el clima de negocios actual, las interrupciones del equipo a largo plazo tienen un impacto dramtico en los resultados de una organizacin. Las estrategias de recuperacin por lo tanto, debe incorptasa tanto de los activos de tecnologa de informacin y gestin de personal que tienen la responsabilidad de proteger esos activos. Adems, las organizaciones deben entrenar a sus empleados para ejecutar los planes de recuperacin haciendo lo siguientes: Hacer que los empleados tomen conciencia de la necesidad de un plan de emergencia de recuperacin de la reanudacin / negocio Informar a todos los empleados de la existencia del plan y el establecimiento de
procedimientos a seguir en el caso de una emergencia Formacin de todo el personal con responsabilidades definidas en el Plan para llevar a cabo el desastre de recuperacin y continuidad de negocio procedimientos Ofrecer la oportunidad a los equipos de recuperacin para practicar su recuperacin de desastres y habilidades de continuidad de negocio
180
El desarrollo de un Plan de Recuperacin de Desastres

Todos los planes de recuperacin de desastres correcta comienza con un anlisis de impacto en el negocio para determinar qu funciones son absolutamente esenciales para la organizacin. Cualquiera que sea razonablemente objetiva puede evalcomi lo que de los procesos de la organizacin y funciones son fundamentales y decidir cules deben ser recuperados por primera vez cuando una situacin de recuperacin se presenta. Menos importante Reas puede ser recuperado despus de todos los elementos vitales estn funcionando adecuadamente. Individuosairesponsable de las aplicaciones crticas del sistema de la organizacin s debe desarrollar y aplicar procedimientos regulares para realizar copias de seguridad de datos importantes y pro-gramas informticos. Copias de seguridad de recuperacin de desastres deben estar ubicados en un lugar seguro lejos de las instalaciones del edificio. El xito de la recuperacin de los sistemas de aplicacin es totalmente dependiente de la precisin - y moneda - de los datos de copia de seguridad disponibles para recuperarlo. No existe un plan de recuperacin de desastres nica que se aplicar a todas las organizaciones. En su lugar, estos planes deben adaptarse a las necesidades particulares de su organizacin. Sera imposible cubrir todos los escenarios posibles, sin embargo, todos los planes de recuperacin ante desastres debe incluir la siguiente clave puntos: Ofrecer una gestin con una comprensin de todos los recursos necesarios para desarrollar y mantener un plan de recuperacin ante desastres eficaz. Adems, la organizacin debe contar con el apoyo decidido de todos los miembros del grupo (por ejemplo, de gestin, o personal) para apoyar y partipar en el esfuerzo. Formacin de un equipo de respuesta a incidentes que incluye representantes de todas las claves divisin de la organizacin. Definir requerimientos de recuperacin desde la perspectiva de las funciones empresariales. Identificar los riesgos. Cada riesgo debe ser identificado, junto con los pasos que seran fuera necesario para impedir que esto ocurra en el primer lugar. Evitar una crisis probablemente ms barato que reparar despus del hecho. Todos los planes de emergencia deben comenzar con un enfoque en la prevencin. Documentar el impacto de una prdida prolongada de las operaciones y funciones de negocio clave. Es imposible para un plan de recuperacin de desastres para justificar cada gasto incluido en todos los procesos de negocio y su aplicacin en el proceso de recuperacin. La organizacin por lo tanto, debe inventario y establecer prioridades procesos crticos de negocio. Seleccione los equipos de recuperacin para supervisar el proceso de recuperacin de desastres y garantizar que el equilibrio requerido se mantiene durante el desarrollo del plan de recuperacin de desastres.
Desarrollar un plan de contingencia que es comprensible, fcil de usar, y fciles de mantener por todos los miembros de la organizacin. Definir cmo las consideraciones de planificacin de contingencia deben ser incorporados en la planificacin de su negocio en marcha. Los procedimientos del sistema de desarrollo tambin debe ser definido para que el planes para seguir siendo viable. Para aquellos que deseen construir su propio desastre informtico plan de recuperacin, el siguiente Concontingencia y desastres directrices del plan de recuperacin del Sistema de Virginia Community College
demnstrate los pasos necesarios para crse comi un desastre informtico plan de recuperacin. Estas directrices son no pretende ser exhaustiva, sino ms bien se debe utilizar como en elmplate:
Muestra de contingencia de recuperacin de desastres Plan de

Declarar el propsito del plan de recuperacin de desastres.
I.ASSUMPTIONS
Enumerar y describir las cosas que podran ser asumidos en el plan. La lista de supuestos no se incluya a todos. Algunas hiptesis pueden ser: 1. Todos los recursos y el personal puede estar disponible tan pronto como sea posible. 2. Todos los miembros de los equipos de recuperacin de desastres que las copias ms recientes de la catstrofe plan de recuperacin. 3. Los usuarios se continuade optasa a travs de un modo manual. 4. Las copias de seguridad se pondr a disposicin tan pronto como sea posible.
II. PROCESAMIENTO DE DATOS / ENTORNO EMPRESARIAL
Proporcionar una descripcin detallada de su negocio y / o el medio ambiente de procesamiento de datos.

III.WHEN UN DESASTRE SE RECONOCE
Indique el curso de las acciones que deben ocurrir cuando un desastre se reconoce. La siguiente es una ejemplo:
En el caso de un desastre, el coordinador de la planificacin para desastres debe ser contactado. El coordinador debe ponerse en contacto con el equipo de manejo de emergencias. El equipo de manejo de emergencias deben ir a la razones de la catstrofe, evaluar los daos y proporcionar el coordinador con los resultados de la evaluacin lo ms pronto posible. El coordinador de planificacin de desastres deben decidir qu otros equipos para ponerse en contacto en funcin del tipo y la gravedad de la catstrofe. Las operaciones de recuperacin de desastres no debe comenzar hasta que el coordinador ha designado el plan de operaciones.
IV. EQUIPOS de recuperacin de desastres
Organizar equipos de recuperacin de desastres para manejar diferentes funciones durante el perodo comprendido entre el primero que se inform del desastre hasta su completa recuperacin se ha completado. Dependiendo del tamao de su sitio, el tamao de cada uno de sus equipos pueden variar, as como el nmero de equipos. Cada equipo es responsable de el desarrollo de un conjunto de acciones a seguir para faciTate una recuperacin ordenada de un desastre. A. Planificacin de Desastres Coordinador
Determinar quin es el coordinador de recuperacin de desastres debe ser. Enumerar las funciones de coordinador de recuperacin de desastres. Algunas funciones podran ser 1. Servir como el contacto principal y coordNate los esfuerzos de recuperacin. 2. Pngase en contacto con todo el personal de apoyo que participan en el esfuerzo de recuperacin. 3. Proporcionar a todo el personal de apoyo con una copia del plan.
182
Respuesta a Incidentes: Computer Toolkit Forense 4. Pngase en contacto con el personal de gestin. 5. Mantener el plan de recuperacin de desastres. B. Equipo de Gestin de Emergencias Determinar quines son los miembros del equipo de gestin de emergencias ser. Enumerar las responsabilidades del equipo de manejo de emergencias. Algunas funciones podran ser 1. Evaluar los daos. 1. Proporcionar un estado de detalle del desastre para el coordinador de planificacin de desastres tan pronto como sea posible. 2. Pngase en contacto con todos los proveedores, contratistas, o los recursos externos necesarios para restablecer los servicios de el daado reas. 2. Proporcionar un estado general de la catstrofe para el personal de la universidad. 3. Determinar las prioridades. Debe haber un marco mnimo de tiempo aceptable el colegio funcionar con las operaciones de degradados antes de que el plan de copia de seguridad se lleva a cabo. 3. Asegrese de que todo el personal de apoyo necesario ha sido contactado para prestar asistencia. 4. Determinar un marco de tiempo general para que todos los servicios sern restaurados. C. Equipo de Apoyo Tcnico Determinar quines son los miembros del equipo de soporte tcnico ser. Lista de las reslos lazos del equipo de soporte tcnico. Algunas funciones podran ser 1. Determine qu hardware / software se ha daado. 2. Revise el anlisis de la evaluacin de riesgos y anlisis de impacto en el negocio y determinar cules son las aplicaciones crticas / no crticas son y para determinar quin es responsable de cada aplicacin. 3. Lista de los procedimientos a crcrear un entorno nuevo para el hardware o para la compra de nuevo hardware (dar a los procedimientos reales). 4. Procedimientos para restaurar la lista de software crtico / aplicaciones (dar a los procedimientos reales). 5. Lista de los procedimientos para restaurar el software no crtico / aplicaciones (dar a los procedimientos reales). 6. Pngase en contacto con los propietarios de aplicaciones para determinar su papel en el proceso de recuperacin.
D. Equipo de Proyectos Especiales Determinar quines son los miembros del equipo de proyectos especiales ser. Enumerar las responsabilidades del equipo de proyecto especial. Algunas funciones podran ser 1. Proporcionar el transporte a / desde las instalaciones de copia de seguridad. 2. Haga cualquier telfono de cal necesariayos. 1. Pedido de suministros, el trabajo completa el papeleo necesario, y prestar asistencia cuando sea necesario para todos los grupos de apoyo.
Cliente E. Equipo de Apoyo Determinar quines son los miembros del equipo de atencin al cliente ser. Enumere los vnculos de responsabilidades del equipo de atencin al cliente. Algunas funciones podran ser 1. Notificar a los clientes de ordenador de la catstrofe y darles un marco de tiempo para la recuperacin. 2. Ayudar a los clientes desarrollar procedimientos manuales para llevar a cabo el trabajo si los recursos son disponible para una larga duracin de tiempo. 3. Tener una lista de clientes de la prioridad de su da a da del trabajo.
V. PROCEDIMIENTOS DE RESPUESTA A EMERGENCIAS
Enumerar los procedimientos de respuesta de emergencia apropiada para cualquier incidente o actividad, que puede ame-ger la vida, la propiedad, o la capacidad para llevar a cabo funciones esenciales.
VI. LISTA DE TELEFONOS DE EMERGENCIA
Haga una lista de los nmeros de emergencia los servicios telefnicos en su REA, por ejemplo, fuego y plos piojos, servicio de aire acondicionado, servicio de seguridad, y as sucesivamente. Adems, una lista de todos los Ames y telenmeros de telfono (particular y trabajo) de todos los miembros de los equipos de recuperacin de desastres. Tambin se pueden listar los nmeros de telfono de cualquier hardware y / o proveedores de software, as como cualquier otro de importancianmeros de telfono tantes.
VIllinois. MANTENIMIENTO DEL PLAN
Esta debe ser la responsabilidad del Coordinador de Planificacin de Desastres. Enumerar los pasos de la coor-nador debe tomar para mantener este plan. Algunos pasos podra ser 1. Elaborar un calendario para poner a prueba el plan (por lo menos una vez al ao). 2. Mantener el plan actualizado con la informacin ms reciente. 3. Asegrese de que el plan est salvaguardada en la oficina y es una copia en los archivos de un seguro fuera del sitio ubicacin.
Registros Electrnicos
Ordenadores producir registros electrnicos, incluyendo grfico numrico, y la informacin de texto, que puede almacenarse en cualquier m almacenamientomediano capaz de ser ledo por
un ordenador. Esto incluye, pero no se limita a, los medios magnticos, tales como cintas y discos y discos pticos. La creacin de registros electrnicos depende de las aplicaciones de software, hardware, sistema operativo, los medios, y formatos de archivos que componen el tipo de sistema informtico utilizado. El personal de la organizacin que son responsables de los registros debe estar preocupado por - y ayudar a los dems empleados entienden - los mtodos utilizados para crcomi sus registros y la documentacin del sistema que cre los registros con el fin de garantizar la capacidad de recuperar, leer, y usar los registros en el futuro.
184
Cada m de almacenamiento electrnicomediano pueden clasificarse en dos tipos, los medios magnticos y medios pticos. Cada tipo tiene ciertas ventajas e inconvenientes. Por ejemplo, la informacin almacenada en medios magnticos (por ejemplo, duro y los disquetes) es ms propenso a la corrupcin por fuentes externas (tales como fuertes campos magnticos). Los medios pticos (como CD-ROM) no son propensos a cor magnticacorrupcin pero pueden ser daados por araazos superficiales profundas que impiden que la lservicio de la lectura de los datos almacenada en el disco. Ejemplos de medios de almacenamiento comnmente usados incluyen Los discos duros 3,5 pulgadas de disquetes Los discos Zip CD-ROM (por ejemplo, CD-R, CD-RW, y DVD) De memoria flash Los cartuchos de cinta Los anteriores son slo algunos de los muchos tipos de medios electrnicos de almacenamiento actualmente en uso. La tecnologa de almacenamiento est en constante evolucin, nuevos medios y formatos se estn desarrollando constantemente e intro-ducida. Los usuarios, administradores de redes y personal de seguridad de gestin conjunta y debe reevaluar peridicamente los medios electrnicos adecuados para fines comerciales o para su archivo. Cada m almacenamientomediano tiene una vida diferente. Debido a esto, los datos registrados pueden necesitar ser transferido a un nuevo tipo de almacenamiento mmediano o el formato para extender su vida preservada. La correcta seleccin de formatos de software, medios de comunicacin y archivo que se utilizar para la creacin de registros electrnicos se asegura de que los registros estn adecuadamente legible, recuperable, y duplicar hasta el momento en que ya no son necesarios. Instrucciones para la recuperacin o conservacin deben estar documentados de manera de asegurar a largo plazo de uso. Esto debe incluir los atributos fsicos de los registros, plataformas de hardware y software necesario para recuperar los registros. Implementar y mantener un programa eficaz de seguridad los registros deben incorpcalificar el siguientes: Asegrese de que slo el personal autorizado tiene acceso a los registros electrnicos Proveer para backup y recuperacin de registros para proteger contra la prdida de informacin Asegrese de que el personal correspondiente est capacitado para proteger la electrnica sensible o clasificada archivos Minimizar el riesgo de alteracin o supresin no autorizada de los documentos
electrnicos
Autenticacin de los registros electrnicos

La autenticacin es la confirmacin de que el registro es exacta y completa. Todos los registros que requieran la autenticacin debe estar fechado y firmado, rubricado, sellado, o atestigua lo contrario. Por lo general, los registros en papel pueden ser autenticados por la mayora de formas de autenticacin fuerte registro de copia son
visible en la parte delantera del disco. Los mtodos para la autenticacin de los documentos electrnicos, sin embargo, son ms diversos. Estos mtodos incluyen, pero no se limitan a, los siguientes: Una copia de un documento que acompaa a los medios de comunicacin electrnicos que contienen infor-macin sobre el registro electrnico que puede ser utilizado para identificar, recuperar, o de indexacin Colocacin de un sello de autenticacin para los medios de comunicacin Vinculacin de una firma digital para el archivo electrnico o un documento
Los registros electrnicos como prueba

Como se mencion en el captulo 2, los registros electrnicos podrn ser admitidos como evidencia para su uso en los tribunales procedi-miento slo cuando una estricta cadena de custodia se siguieron. Las organizaciones deberan implementar los siguientes procedimientos para mejorar la admisibilidad jurdica de los documentos electrnicos: Documento que el mismo gnero de los registros generados y almacenados electrnicamente se crean por el mismo proceso cada vez y tener un enfoque de recuperacin estndar. Fundamentar que los procedimientos de seguridad impiden que adems no autorizado, MODIFICACIn, o la eliminacin de un registro y garantizar la proteccin del sistema frente a problemas tales como la energa interrupciones. Identificar los medios de comunicacin electrnicos en los que los registros se almacenan a lo largo de su ciclo de vida, y soy elximum tiempo que los registros restantes en cada tipo de almacenamiento de mmediano. CoordNate todo lo anterior con la adecuada sINOR personal de administracin y legales un abogado.
Seguridad de los registros

Aquellos que crcomi cdigo malicioso estn encontrando maneras ms eficaces para eludir las medidas de seguridad como programas antivirus, intrusin los sistemas de deteccin y firewalls. Para empeorar las cosas, las nuevas formas de cdigos maliciosos estn comenzando a parecer que garantizar que los archivos adjuntos no tiene que ser abierto con el fin de infectar un ordenador. Adems, los virus, gusanos y caballos de Troya pueden buscar la informacin ms daino (por ejemplo, los archivos que contienen palabras como "confidencial", "prVate "," privilegiada "," clnica "o" password ") para enviar a seleccionar direcciones de correo electrnico se
encuentra en la memoria de la computadora infectada o predeterminados direcciones de correo electrnico. Cuando se trata de seguridad de la informacin, ms niveleseis de la proteccin de su organizacin utiliza, ms difcil es para un hacker, cracker, o agente maliciosas para comprometer el sistema o robar datos crticos. Por ejemplo, puede que le resulte beneficioso para mantener los datos crticos o sensibles en forma cifrada en un m extrablemediano (por ejemplo, disquete, Zip, o un disco CD-RW), en lugar de en el disco duro del sistema. Esto le permite mantener a los medios almacenados con seguridad en un lugar seguro rea. La utilizacin de programas antivirus con las definiciones de virus se actualicen con frecuencia, la instalacin de un firewall adecuado, mantener los datos sensibles en disquetes, desconectar el equipo cuando no est en uso, con sofisti-domesticadas sistemas de contraseas y cifrado, y la aplicacin de otros enfoques, de manera similar, todo ello contribuye a la
186
la prevencin de los datos sensibles no se vean comprometidas. Adems, la organizacin debe implementar y mantener un programa eficaz de los registros de seguridad que incorpora el siguiente: Asegrese de que slo el personal autorizado tiene acceso a los registros electrnicos. Minimizar el riesgo de la modificacin o supresin no autorizada de los documentos electrnicos por almacenar datos confidenciales en medios extrables. Asegrese de que el personal correspondiente est capacitado para proteger la electrnica sensible o clasificada registros. Proveer para backup y recuperacin de registros para proteger contra la prdida de informacin. Asegrese de que la seguridad de registros electrnicos se incluye en informacin general de su organizacinmacin planes de seguridad.
El sistema de alimentacin ininterrumpida

Es un hecho de la vida: los dispositivos electrnicos (incluidos los sistemas informticos) son sometidos a veces a trastornos de alimentacin elc-Cal. El hardware puede ser sometido a los daos de una subida de tensin o pico de tensin se produce en su fuente externa de alimentacin de corriente alterna (AC). Adems de daos en el hardware, la prdida de datos tambin puede ocurrir cuando hay una cada repentina de la tensin (el hundimiento de energa), o cuando se produce un apagn total. Estas interrupciones del suministro elctrico tambin puede causar la CPU y los perifricos para hacer frente a problemas intermitentes, tales como bloqueos de teclado, la degradacin del rendimiento del hardware, o la prdida total de datos. Una fuente de alimentacin ininterrumpida (SAI) es una parte importante de un plan de respuesta a incidentes, ya que acta como un sistema de suministro de energa global. En el caso de un apagn, un ge-ator no puede suministrar la energa necesaria para mantener ininterrumpida su sistema informtico operacin. Un UPS es esencialmente una batera que se encuentra entre una computadora y el poder de corriente alterna, el aire acondicionado lo mantiene cargado y funcionando, y el SAI suministra, incluso, de energa estable a su equipo cuando la alimentacin de CA externa falla.
Cmo funciona UPS

Hay dos tipos diferentes de sistemas en uso hoy en da: a continuas subidas y un SAI de reserva. El UPS de reserva est diseado de manera que la fuente de alimentacin utiliza normalmente es la fuente de energa primaria o (CA) de alimentacin de salida. La fuente secundaria de energa elctrica, la batera del SAI, slo se activa si la fuente primaria de energa se interrumpe. En otras palabras, la potencia de CA de la pared es siempre una de estas fuentes, y la batera contenida dentro de la UPS es la otra. Un interruptor se emplea para controlar cul de estas fuentes acciona el equipo en un momento dado. El interruptor del PRImary de origen a la secundaria slo cuando se
detecta que la energa primaria se ha ido fuera. Se cambia de nuevo de la fuente de energa secundaria a la primaria cuando detecta que el principal fuente de alimentacin ha vuelto. En un UPS continuo, el equipo siempre se est ejecutando el suministro de energa de la batera, con la batera de con-continuamente se recarga con una fuente de alimentacin de CA externa. La ventaja de este tipo de UPS es que no hay conversin necesaria. Esta configuracin proporciona un suministro estable y constante de energa.
Los sistemas UPS Standby se encuentran comnmente en el small-office/home-office (SOHO), medio ambiente, ya que cuestan mucho menos que el tipo continuo de UPS. Si bien es ms costoso que el tipo de espera, las continuas subidas prev extremadamente limpio y estable de energa y como tal es ms susceptibles de ser utilizados con aplicaciones crticas.
Beneficios de UPS
Independientemente de qu tipo de UPS se emplea, cuando una repentina prdida de alimentacin de CA se produce, la batera en el SAI suministrar energa el tiempo suficiente para su personal para ahorrar y cisE archivos y desconectar adecuadamente a sus equipos. UPS de proteccin garantiza que los equipos no se daen y que los datos valiosos y los ajustes personalizados se conservarn. Sistema de UPS Muchos tienen alarmas sonoras que alertan a los usuarios los cambios en el entorno operativo y condiciones de la batera. Adems, algunos sistemas UPS ofrecen apagado automtico seguro de muchos sistemas operativos en el caso de un poder a prueba de Ure se produce mientras el ordenador o el servidor est sin vigilancia, por ejemplo en la noche o los fines de semana.
Compra de un UPS
Antes de comprar un SAI, primero debe decidir sobre el nivel de proteccin requerido para satisfacer las necesidades especficas de su organizacin. Una UPS debe ser capaz de suministrar energa a la computadora el tiempo suficiente para faciTate un cierre suave y ordenada, evitando as la corrupcin de archivos normal y otros problemas asociados con una sbita interrupcin en el servicio. En general, un UPS proveer de energa durante al menos 10 a 20 minutos para permitir a los usuarios el tiempo suficiente para salvar a su trabajo y el plazoNate programas en ejecucin. Dado que la mayora de los problemas de alimentacin en ltimo lugar slo por un tiempo, la proteccin de UPScin debe eliminar las fuentesNate prdida del servicio para la mayora de los problemas elctricos se encuentran en la mayora de los entornos de oficina. El tamao de las UPS que usted necesita depende de la cantidad de energa que consume el equipo. Si usted tiene una computadora de escritorio estndar con slo uno de cadaFunidad de disco duro ernal, una pequea UPS (como el APC Back-UPS populares 300) debera ser suficiente. Para que un ordenador o un servidor con varios discos duros o perifricos numerosos, un SAI ms grandes se requiere. Para obtener ms informacin sobre el rendimiento y tamao de UPS, visite la American Power Conversin Corporacin UPS Selector de sitio Web en www.apee.com / modelo / tamao / apc para ms detalles.
Comprensin de los datos de copia de seguridad Procedimientos
Copia de seguridad de datos es algo que todo el mundo tiene que hacer, pero muchos de nosotros nos olvidis de hacer con regularidad. Cuando deshuelgas aster, una copia de seguridad puede ser la nica esperanza de recuperar algunos datos originales. Varios antivirus y de seguridad de Internet la produccins de forma automtica una copia de seguridad de datos crticos, e incluso el lugar que los datos sobre proteccin reas de disco duro del usuario. Sin embargo, algunos hackers son tan sofisticados que incluso los mejores medidas de seguridad puede no ser suficiente para frustrar un ataque. Cuando un hacker experto tiene xito en destruir los datos, bien planificadas regularmente copias de seguridad puede ahorrar una gran cantidad de tiempo, dinero y molestias. Los datos crticos debe estar respaldada con ms frecuencia, tal vez al da o incluso ms a menudo para los datos de vital importancia. Datos que no se pueden respaldar con menos frecuencia, una copia de seguridad semanal o mensual sera suficiente si la mayor parte de los datos no cambian con frecuencia.
Los tres tipos de respaldos comnmente utilizados son los siguientes: Normal: Copias de seguridad normales copiar todos los archivos seleccionados y, a continuacin marcar todos los archivos como una copia de seguridad. La ventaja de este tipo de copia de seguridad es que le permite recuperar rpidamente los archivos con una cantidad mnima de prdida de datos porque todos los archivos actuales se encuentran en la copia de seguridad. El inconveniente a este tipo de copia de seguridad es que es muy lento. Diferencial: Copias de seguridad diferenciales copiar slo los archivos que han sido aadidos o modificados desde la ltima copia de seguridad diferencial se llev a cabo pero no marcar los archivos como una copia de seguridad. Restauracin de archivos slo se requiere que se comience con la ltima copia de seguridad completa, a continuacin, pasar directamente a la copia de seguridad diferencial. La ventaja de este tipo de copia de seguridad es que es ms rpido, mientras que la desventaja es que requiere ms tiempo restauracin archivo porque los archivos no estn en una pieza continua. Incremental: Muy similar a las copias de seguridad diferenciales, copias de seguridad incrementales copiar slo los archivos que se han agregado o cambiado desde la ltima copia de seguridad completa o incremental. A la inversa, a diferencia de los respaldos diferenciales, que hacer marcar los archivos como una copia de seguridad. Para restaurar los archivos slo se necesita para comenzar con la ltima copia de seguridad completa, a continuacin, realizar los incrementos en su orden respectivo. La ventaja de este tipo de copia de seguridad es que consume la menor cantidad de tiempo y espacio.
Crear un plan de copia de seguridad

Es importante que su organizacin des-gnate una persona como coordinador y encargado del registro de todas las copias de seguridad. Un plan de copia de seguridad se debe crear, poner por escrito, y se mantiene con las polticas de seguridad de la organizacin y la documentacin de los procedimientos. Los siguientes artculos deben ser incluidos en el plan de copia de seguridad: La AME de la copia de seguridad de coordinador y / o encargado del registro El tipo de copia de seguridad de los datos que requiere La frecuencia de las copias de seguridad de datos La ubicacin de almacenamiento de datos en el sitio La ubicacin de almacenamiento de datos externo El mtodo utilizado para realizar copias de seguridad de datos, junto con una lista de verificacin de los procedimientos
Datos Herramientas de copia de seguridad

Numerosas herramientas estn disponibles para individuosais y organizaciones para que el proceso de copia de seguridad de datos fcil y sin dolor. Casi todos los programas de software de
copia de seguridad proporcionan para que este proceso se lleva a cabo automticamente. El uso de la automatizacin asegura que la realizacin de copias de seguridad regulares no se desanime o se olvidan. Para los usuarios de Unix o Linux, muchos programas gratuitos con esta funcin automtica estn disponibles en www.storagemountain.com.Para usuarios de Macintosh, el software de copia de seguridad de software gratuito se puede encontrar en www.versiontracker.com.Los usuarios de Windows, en su mayor parte, tienen que buscar ms ya que el software de copia de seguridad se suministra con el sistema operativo Windows. Mientras que la incorporada en el programa de copia de seguridad de Windows puede carecer de algunas de las caractersticas avanzadas de produccin ms sofisticados de terceros copia de seguridads, su funcionalidad es suficiente para que sea muy til para individuosais de las organizaciones.
Los programas de copia de seguridad proporcionados por versiones posteriores de Windowscomo el 2000 y XP - que dramticamente mejorado en versiones anteriores. En Windows XP, por ejemplo, la copia de seguridad integrada en suavesoftware se encuentra en la carpeta Herramientas del sistema en Accesorios, en los hombres comienzan a. Para otras versiones de Windows, los usuarios deben revisar sus manuales para la ubicacin exacta de la copia de seguridad programa. Una vez activado, el Backup and Restore Wizard consultas del usuario en cuanto a si una copia de seguridad o restauracin de los datos que se desea (ver Figura 91). La siguiente pantalla le pide a los usuarios seleccionar qu archivos en su ordenador que desea hacer copia de seguridad (vea la Figura 9-2). Hay varias opciones aqu. Sin embargo, si los usuarios seleccionar la ltima opcin, "Elegir lo que deseo hacer copia de seguridad", que luego se cuenta con una pantalla que les obliga a seleccionar los archivos que desea respaldar (ver Figura 9-3). Despus de seleccionar-cin de los archivos correspondientes, los usuarios se le solicitar que elija un destino para sus datos de copia de seguridad (vea la Figura 9-4).
Figura 9-1: El asistente de copia de seguridad o restauracin en Windows XP Pro
En esta ilustracin, el destinatario de los datos de copia de seguridad es una unidad Iomega
Figura 9-2: Especificacin de lo que usted desea una copia de seguridad utilizando el Asistente para copia de
Zip. Las copias de seguridad se puede escribir en otros tipos de medios, as, como una unidad de cinta o un disco de CD-I.
190
Figura 9-3: Copia de seguridad de las combinaciones en la copia de seguridad y el Asistente de restauracin
Figura 9-4: Elegir el destino para guardar la copia de seguridad en la copia de seguridad y restauracin de Asistente para Windows XP Pro
Post-lMonitoreo y Anlisis de ncident

LeamING de errores es un componente esencial de la respuesta a incidentes. No espere hasta el prximo ataque se produce a Icama partir de un ataque anterior. Es importante tomarse el tiempo despus de cada incidente para ver si todos los procedimientos, procesos, herramientas, tcnicas y configuraciones deben ser modificados o mejorado. A raz de un incidente de seguridad informtica, varias acciones deben llevarse a cabo. Estas acciones se pueden resumir como sigue: Valla fecha, el ataque se ha desplomado Examine los archivos y registros para obtener detalles sobre el ataque
Determinar si la accin legal se justifica o posible Vuelva a evaluar o modificar la seguridad global de la red informtica Despus de un incidente ha sido resuelto, un autopsia debe llevarse a cabo de manera que la organiza-cin puede aprender de la experiencia y, si es necesario, actualizar sus procedimientos. Los siguientes tipos de Informacin sobre el incidente deben ser examinados: Cmo comenz el incidente Qu vulnerabilidades o fallas fueron explotados Cmo se acceda Cmo la organizacin se dio cuenta del incidente Cmo el incidente se resolvi finalmente Ya sea que los actuales procedimientos de respuesta a incidentes eran adecuados o exigen la actualizacin Como resultado de un anlisis post-incidente, el personal de seguridad informtica puede ser necesario para emitir alertas o avisos a todos los empleados de la organizacin acerca de las acciones a tomar para reducir las vulnerabilidades que fueron explotadas durante el incidente. La organizacin tambin puede ser necesario actualizar los manuales de operaciones de la computadora para reflejar los nuevos procedimientos. Adems, el personal de seguridad informtica debe utilizar un anlisis post-incidente para determinar su impacto en la organizacin en el manejo y la resolucin del incidente.
Anticipndose a futuros ataques

Cada da las organizaciones de todo el mundo enfrentan el enorme desafo de proteger la integridad, confidencialidad y disponibilidad de sus activos digitales. La vulnerabilidad de los activos digitales de una corporacin sigue siendo una preocupacin cada vez mayor. Correctamente la previsin y la planificacin de las interrupciones imprevistas de las operaciones comerciales es cada vez ms importante en mantener la competitividad en el entorno empresarial de hoy. De los hackers romper y sabotear los sistemas de cdigo malicioso destruccin y eliminacin de los datos crticos, las interrupciones pueden costar a las compaas millones de dlares en prdidas. Ser consciente de los diferentes mtodos utilizados por los hackers que tratan de infltrado red de una organizacin permitir a los responsables de la seguridad de la informacin a una mejor anticpat y defenderse contra estos ataques. Es un hecho desafortunado que durante aos los hackers han estado explotando las debilidades de seguridad de computadoras conectadas a Internet. El Internet es una red pblica y el nmero de usuarios en todo el mundo con acceso a Internet es asombroso. Las estimaciones actuales cifran la
Internet global pobla-cin en ms de 500 millones de dlares. Ya que cualquiera con una conexin a Internet tiene el potencial para ser un hacker o cracker, el ciberespacio puede ser un lugar peligroso. Los hackers tienen ahora ms herramientas disponibles que nunca antes. Con el nmero de denuncias de ataques aumenta da a da, la necesidad de Anticlos ataques de pat de futuros nunca ha sido ms crtico. Afortunadamente, no todos los ataques informticos tienen xito. De hecho, muchos intentos de hacking son por formado simplemente para "adquirir" informacin acerca de un sistema informtico - que seuna de las debilidades o vulnerabilidades o en preparacin para un ataque futuro. El empleo de las herramientas del oficio o mediante el uso
192
la ingeniera social, los hackers pueden instalar puertas traseras o adivinar contraseas para obtener subrepticiamente Yolegal entrada en un sistema conectado a Internet. En casos extremos, los ataques han causado los sistemas y redes de todo a la cada, neg de servicios informticos de fiarlos usuarios de pareja, o como resultado del robo de grandes sumas de dinero. La prensa lo siguiente relasa del Departamento de Justicia de EE.UU. muestra lo fcil que es para los piratas informticos ubicados al otro lado del mundo para acceder y defraudar, en este caso, en lnea los sistemas de intercambio monetario.
04 de octubre 2002 EE.UU. Departamento de Justicia El Fiscal Federal del Distrito Oeste de Washington Hacker RUSO SENTENCIADO A TRES AOS DE PRISIN John McKay, fiscal federal para el Distrito Oeste de Washington, y Charles E. Mandigo, Agente Especial a Cargo, Seattle Divisin, la Oficina Federal de Investigacin, ha anunciado hoy que el jefe Juez Federal de Distrito John C. Coughenour ha condenado Vasiliy Gorshkov, de 27 aos, de Chelyabinsk, Rusia, para servir a 36 meses de prisin por sus convicciones en el juicio el ao pasado en 20 cargos de conspiracin, diversos delitos informticos y fraudes cometidos contra la red de Speakeasy de Seattle, Washington; Nara Bank de Los Angeles, California; central del Banco Nacional de Waco, Texas, y la lnea de crdito de tarjetas de pago PayPal, la empresa de Palo Alto, California. Gorshkov Tambin se le orden pagar una indemnizacin de casi 700.000 dlares por las prdidas que caus en Speakeasy y PayPal. Segn las pruebas presentadas en el juicio y otros registros de la corte: Gorshkov fue uno de los dos hombres de Chelyabinsk, Rusia, que se convenci de viajar a la De los Estados Unidos como parte de una operacin encubierta del FBI. La operacin ars de una investigacin del FBI en todo el pas intrusiones en computadoras rusas que fueron dirigidas a los proveedores de servicios de Internet, sitios de comercio electrnico, y los bancos en lnea en los Estados Unidos. Los piratas informticos utilizan el acceso no autorizado a los ordenadores de las vctimas para robar informacin de tarjetas de crdito y otra informacin financiera personal, y luego, a menudo tratado de extorsionar a las vctimas con la amenaza de exponer los datos sensibles a los pblicos-pub o dao de las vctimas computadoras . Los hackers tambin defraud a PayPal a travs de un esquema en el que tarjetas de crdito robadas fueron utilizados para generacintasa de efectivo y el pago de partes computacionales adquiridos a los proveedores en los Estados Unidos. El FBFoperacin encubierta s se estableci para atraer a las personas responsables de estos crmenes para llegar a territorio de los EE.UU.. Como parte de la operacin, el FBI cre una empresa de informtica puesta en marcha de seguridad llamado "Invita" en Seattle, Washington. Hacindose pasar por personal de Invita, el FBI se comunic con Gorshkov y el otro hombre, Alexey Ivanov, por e-mail y telfono durante el verano y el otoo de 2000. Los hombres estuvieron de acuerdo en una reunin cara a cara, en Seattle. Como paso previo a su viaje a los Estados Unidos, el FBI organiz una red de ordenadores para los dos hombres para introducirse en y demnstrate sus habilidades de hacker. Los hombres irrumpieron en el xito de la red de prueba. Gorshkov e Ivanov lleg a Seattle, Washington, el 10 de noviembre de 2000, y fue una reunin a cabo en la oficina de invitacin. Sin saberlo, los hombres rusos, los participantes en la reunin fueron los agentes encubiertos del FBI y de la reunin fue grabada en audio y video. Durante la reunin, Gorshkov discute su destreza en la piratera y asumi la responsabilidad de varios incidentes de
piratera y actividades. Gorshkov rest importancia a cualquier preocupacin por el FBI, explicando que el FBI no poda conseguir en Rusia. Cuando se le pregunt acerca de su acceso a las tarjetas de crdito, Gorshkov se neg a hablar de ello mientras se encontraban en los Estados Unidos y agreg que "este tipo de preguntas es ms discutido en Rusia". En la conclusin de la reunin Invita secreto, los dos hombres fueron arrestados. Ivanov fue transportado al Distrito de Connecticut para enfrentar cargos por un equipo intrusin en la lnea

Oficina de Informacin de Vernon, Connecticut. Gorshkov e Ivanov fueron acusados en el Distrito Oeste de Washington de conspiracin y otros delitos que involucran 19 Speakeasy, el Banco de Nara, Centro Nacional de Banco de Waco, y PayPal. Pocos das despus de que los dos hombres fueron arrestados, el FBI tuvo acceso a travs de Internet a dos de los equipos de los hombres en Rusia. El FBI copiar grandes volmenes de datos de las cuentas de Gorshkov e Ivanov y se examinaron los datos de conformidad con una orden de registro emitida por un Juez Magistrado de los Estados Unidos. Desafo preventiva Gorshkov a la copia del FBI y la bsqueda de los datos rusos fue negado por Coughenour Juez Presidente en una orden por escrito de 23 de mayo de 2001. Los datos copiados de las computadoras rusas proporcionan una gran cantidad de evidencia de la piratera informtica de los hombres y el fraude. Tenan grandes bases de datos de informacin de tarjetas de crdito que fue robado de los proveedores de servicios de Internet como Lightrealm de Kirkland, Washington. Ms de 50.000 tarjetas de crdito se encuentra en los dos equipos rusos. Los equipos rusos que tambin figuran robo de cuenta bancaria y otra informacin financiera personal de los clientes de la banca en lnea en Nara Banco Central y el Banco Nacional-Waco. Los datos de las computadoras rusas revelaron que los conspiradores haban obtenido el control no autorizado sobre numerosos equipos - incluyendo los ordenadores de un distrito escolar en el condado de St. Clair, Michigan - y luego utiliza los ordenadores comprometidos para cometer un fraude masivo que involucra PayPal y la compaa de subastas en lnea e-Bay. El fraude consista en el uso de programas informticos para establecer miles de annimos cuentas de correo electrnico en los sitios web de correo electrnico como Hotmail, Yahoo! y MyOwnEmail. Programas Gorshkov luego cre las cuentas asociadas en PayPal al azar con iden-dades y las tarjetas de crdito robadas. Otros programas informticos permiten a los conspiradores para el control y mania finales de la Baha de e-subastas para que pudieran actuar como vendedor y el postor ganador en la misma subasta y luego efectivamente se pagan con tarjetas de crdito robadas. El caso fue investigado por agentes del FBI Especial Marty Prewett y Schuler Michael, que se otorgaron el Premio Anual del Director de Investigacin Penal excepcional por el Director del FBI por su trabajo sobre el caso.
Cualquier nmero de defectos o debilidades de los sistemas informticos pueden dejar vulnerables a los ataques. Recuerde, ellos son los ms vulnerables en las siguientes situaciones: Los usuarios sin experiencia o sin entrenamiento vi por accidentefinales de buenas prcticas de seguridad de involun-tently a conocer sus contraseas. Las contraseas dbiles son elegidos que pueden ser fcil de adivinar. Una debilidad identificada sistema o red de seguridad va sin corregir. Intencionalmente diseados amenazas maliciosas instalar programas de software que ponen en peligro o sistemas de informacin y daos.
Los atacantes utilizan una variedad de diferentes mtodos para explotar esta vulnerabilidad de computadoras. Aqu son algunos ejemplos: Craqueo de contraseas. Una tcnica en la que los atacantes tratan de adivinar o robar contraseas obtener acceso a los sistemas informticos
194
Sendmail. Un tipo comn de ataque en el que el atacante instala cdigo malicioso en un mensaje de correo electrnico que agrega una contrasea en el archivo de contraseas del sistema, con lo que dando a los privilegios atacante totales del sistema La deteccin de paquetes. Una tcnica en la que los atacantes insertar subrepticiamente un programa de software que captura contraseas e identificaciones de usuario Una vez que el acceso se ha ganado, los hackers utilizan el sistema informtico como si fuesen de fiarsu compaero, los usuarios autorizados. El empleo de una variedad de tcnicas, los hackers a menudo intentan cubrir sus huellas para evitar la deteccin y robar informacin, tanto de los sistemas comprometidos, as como la sistemas conectados a ellos.
Resumen del captulo

No hay un plan de recuperacin de desastres que aplique a las necesidades de cada organizacin. Planes de recuperacin de desastres debe ser adaptado a los requisitos de seguridad de su organizacin y la exposicin al riesgo. Dado que los planes de recuperacin de desastres proporciona informacin detallada y procedimientos bien definidos, que actan como modelos para orientar las decisiones crticas y las operaciones en situaciones de emergencia. Procedimientos de recuperacin de desastres puede incluir cualquier nmero de eventos que incluyen la restauracin posterior a la transaccin, la validacin y el seguimiento de los sistemas informticos de la red. Saber cmo reaccionar adecuadamente en una emergencia es fundamental para MAK-Ing decisiones rpidas que el MITpuerta de los daos y restaurar rpidamente las operaciones. Puntos principales tratados en este captulo se incluyen Los beneficios de la planificacin avanzada de la hora de preparar un plan de recuperacin de desastres La importancia de los registros de incidentes y de su papel general en una organizacin empre-dad planificacin de la continuidad Por qu la fuente de alimentacin ininterrumpible (UPS) y los procedimientos de copia de seguridad son indispensables para una los desastres de la organizacin y el plan de continuidad del negocio
Cmo examinar los ataques anteriores pueden ayudar a la respuesta de incidentes forma de futuro y negocio la continuidad de la planificacin Por qu la anticipacin y la planificacin de las interrupciones imprevistas de las operaciones de negocios ayuda a las organizaciones mantenerse competitivos en el actual clima empresarial
Captulo 10
En respuesta a distintos tipos de incidentes

ln este captulo
En respuesta a los ataques de hackers o una galleta Respondiendo a los ataques de cdigos maliciosos Manejo de uso inadecuado El reconocimiento y la gestin de incidentes relacionados con el acoso sexual Entender el espionaje industrial La defensa contra los ataques internos PREPARACIN PARA MANEJAR UN INCIDENTE DE SEGURIDAD INFORMTICA SE HA CONVERTIDO EN UNA PRIORIDAD para muchos administradores de sistemas informticos. Con los ataques de virus y las historias de piratas que abundan, organiza-ciones son cada vez ms diligente en la proteccin de sus activos de informacin que nunca antes. Como las organizaciones a aumentar su presencia en Internet y la dependencia de los activos de tecnologa de la informacin, el nmero de incidentes informticos se elevar. Despus de un incidente que ocurre es, por supuesto, demasiado tarde para comenzar a planear la forma de abordar la situacin. Un incidente de seguridad informtica puede ocurrir a cualquier hora del da o de noche, aunque la mayora de los hackers / cracker se produzcan incidentes durante horas libres, cuando los piratas informticos no esperan que los administradores del sistema a cuidar su rebao. En contraste, los incidentes de gusano y virus puede ocurrir en cualquier momento del da. Por lo tanto, las consideraciones de tiempo y distancia en respuesta a los incidentes son muy importantes. Este captulo se centra en varios tipos de equipo comn de seguincidentes Pblica y de los procedimientos bsicos para contener y MITpuerta de su dao.
En respuesta a incidentes de hackers

Hacker incidentes requieren una respuesta un tanto diferente al de los incidentes de virus. Algunos hackers son altamente calificados, el empleo de tcnicas sofisticadas, y hacen todo lo posible para evitar ser detectados. Para complCate an ms las cosas, un hacker puede ser tambin alguien que trabaja para una orga-nizacin (un empleado) la participacin en after-hours
Yoactividad legal, como el acceso no autorizado a informacin sensible o tal vez descifrado de contraseas. Ya sea que se origNate desde el interior o exterior, todos los incidentes de hackers necesitan ser tratados como verdaderas amenazas a los sistemas informticos de la organizacin.
195
Incidentes de piratera se puede dividir en tres categoras generales: Esos intentos que implican para acceder a un sistema de Las sesiones activas, o en vivo, en un sistema Eventos descubierto despus de que el hecho de De los tres, una sesin de hackers activo es la ms grave y deben ser tratados tan pronto como sea posible. Hay dos mtodos bsicos para el manejo de un incidente de hacking activo. El primer mtodo consiste en bloquear rpidamente el pirata fuera del sistema. Para ello, primero debe identificar el punto del hacker de la entrada en el sistema. Estos son algunos puntos de entrada comunes que los hackers buscan cuando se trata de obtener una forma en: De acceso al puerto. Es comn que las aplicaciones de Internet que se configura para escuchar en un puerto predecesor y una multa para las conexiones entrantes. Los piratas informticos utilizan habitualmente analizadores de puertos abiertos en busca de puertos TCP / IP como un posible medio para poder entrar. Ellos pueden usar estos puertos abiertos para conectarse a su sistema y acceder a sus datos. Los puertos ms que estn abiertas en un sistema, mayor ser la probabilidad de intrusin. Acceso a Internet. Los piratas informticos suelen escribir scripts simples que al azar generacinde velocidad y mesa de ping grandes grupos de direcciones IP, en busca de ordenadores o servidores que responden. La respuesta se llama un reconocimiento de ping y es una caracterstica estndar de la utilidad ping popular. Una vez que una direccin IP responde, el atacante tratar de obtener acceso al servidor a travs de un protocolo comn que se llama Telnet Telnet es el principal protocolo de Internet para crear una conexin con una mquina remota. Le da al usuario la oportunidad de estar en un sistema informtico y hacer un trabajo en otro, que puede ser a travs de la calle o miles de kilmetros de distancia. Cuando los usuarios iniciar sesin en un servidor Telnet, por lo general, escriba una cuenta ombre y contrasea. Los piratas informticos pueden acceder sesiones TELNET y posiblemente configurar el programa TELNET para grabar nombre de usuario y combinaciones de contraseas. Caballo de Troya. Los troyanos son un poco diferente de virunses. Estn transmite de la misma manera como los virus, pero no REPLCate o ellos se hacen evidentes. En su lugar, se sientan en silencio en su sistema informtico conectado a Internet y la generacin detasas de los puertos abiertos. Los hackers de arrastre para los equipos que han sido infectados por troyanos y luego usarlos para acceder a esos sistemas. BackOrifice y NetBus son ejemplos de bienconoce los caballos de Troya. El segundo mtodo consiste en permitir al hacker continuasu ataque, mientras que se intenta recoger la informacin potencial que podra conducir a la identificacin y la posible condena penal de los piratas cibernticos. Un mtodo para identificar la fuente de un ataque (s) est examinando cuidadosamente los archivos de registro del sistema y las conexiones de red activas.
Asegrese de hacer copias de toda la informacin de auditora. Captura de proceso del sistema y la informacin de estado en septiembre unarchivo ndice, y luego guardar ese archivo en un lugar seguro. Programas como Process Explorer, por Mark Russinovich (www.sysinternals.com), son exce-prestado para esta tarea.
Captulo 10: En respuesta a distintos tipos de incidentes
197
Identificar el Hacker
Una vez que la fuente de los ataques ha sido identificado, el siguiente paso es tratar de obtener la iden-tidad del hacker o cracker. En su boletn de mayo 2001 "Seguimiento de un hacker" Daniel A. Morris, Asistente Fiscal de los Estados Unidos Informtica y Coordinador de Telecomunicaciones para la Distrito de Nebraska declara lo siguiente:
Pistas sobre la identidad de un hacker a menudo existen en el ciberespacio y en el mundo real si el investigador sabe dnde buscar. Los sistemas informticos de inters para los hackers suelen realizar un seguimiento de todos los intentos de acceso autorizados y no autorizados. Records, llamado registros informticos, proporcionar pistas tiles y crtica a menudo que un agente entrenado o un especialista en informtica puede utilizar como punto de partida para trazar la ruta seguida de un ordenador a travs de la web en todo el mundo, para descubrir el ordenador uno de los millones en el mundo del que uno intrusin se llev a cabo. Todos los ordenadores a travs de Internet se les asigna una diferente numrica Protocolo de Internet (IP) mientras que las direcciones en lnea, similar a pas, ciudad, calle y nmero de viviendas. A menos que el hacker cambia los registros de la vctima una vez que l o ella gana el acceso no autorizado, los registros de la vctima debe hacer una lista precisa la direccin del equipo desde el que se tuvo acceso no autorizado. Esa direccin puede no ser propio ordenador del hacker, sino que otro equipo que el hacker ha secuestrado o una cuenta que posee en el ordenador de un tercero, como se explica en ms detalle a continuacin. Herramientas de bsqueda estn disponibles en lnea para identificar al propietario de la red a travs del cual se puso en marcha un ataque. Para ver cmo funciona esto, consulte www.arin.net , operado por el Registro Americano de Internet Nmeros. Obstculos para la identificacin del Hacker Debido a la composicin de la Internet, a veces es difcil para la polica para descubrir la identidad de un hacker. 1. Un hacker podra ocultar o "parodia de su Protocolo de Internet (IP), o de forma intencionada podra subir sus comunicaciones a travs de muchos Intermedcomi ordenadores dispersos por todo el mundo antes de llegar a un equipo de destino. Entonces, el investigador debe identificar todos los puntos intermedios para encontrar la ubicacin de los hackers, pero por lo general slo se puede trazar el hacker de nuevo un punto de rebote a la vez. Citaciones y rdenes judiciales a cada punto de rebote puede ser nece-sario para identificar al hacker. 2. Algunas de las vctimas no mantiene los logs o no descubrir las actividades de un hacker hasta que es demasiado tarde para obtener los registros de proveedores del hacker de servicios de Internet (ISP). Una vctima que no tiene constancia de la direccin IP del ordenador desde el que se obtuvo acceso no autorizado, los lmites de los agentes del orden a las tcnicas tradicionales de investigacin, que por s solo puede ser inadecuada para identificar al hacker. 3. Algunos ISP no llevan registros o no mantenerlos el tiempo suficiente para ser de ayuda para los agentes del orden. Cuando el investigador determina la identidad de un ISP de los registros que sern necesarios, el fiscal debe enviar una carta de retencin en virtud de 18 USC 2703 (f) que requiere el ISP para preservar los registros, mientras que una orden
judicial u otro proceso se est obteniendo. 4. Algunos piratas informticos alterar los registros al obtener acceso no autorizado, el cual oculta la evidencia de sus crmenes.
198
5. Algunos lleva ir a travs de pases extranjeros, no todos los que consideran un delito la piratera. Tratados, convenios y acuerdos estn en su lugar con algunos pases, y hay "24/7" contactos en decenas de pases alrededor del mundo que pueden ser contactados para obtener ayuda. Cuando un puntos de ventaja a un pas extranjero, el investigador debe ponerse en contacto con un CTC o CCIPS abogado en www.cybercrime.gov . Algunos de los investigadores la informacin que necesitan para seguir un hacker podra estar disponible para el pblico en general en Internet. No hay restricciones especiales para el acceso de un investigador y el uso de la informacin - de la misma manera que la informacin disponible en una biblioteca pblica puede ser utilizado por los investigadores sin una autorizacin especial. Motores de bsqueda comunes, tales como www.dogpile.com ,www.lycos.com ,www.excite.com,www.google.com ,o www.netscape.com se puede utilizar para encontrar informacin sobre un nombre de usuario o nick de la persona o grupo que solicita crdito por un equipo intrusin.
Incidentes activos Hacker

Incidentes de hackers activos incluyen cualquier actividad de los hackers en vivo o en curso o los comandos iniciados por una persona no autorizada. Ejemplos de actividad pirata activo incluyen los siguientes: Activo rlogin (login remoto) Sesin TELNET Activa (emulacin de terminal) Activa sesin de FTP (protocolo de transferencia de archivos de la sesin) Intentos exitosos de devolucin de llamada Como se mencion anteriormente en este captulo, cuando la actividad de hackers activos se descubre, uno de los dos deci-siones se debe hacer. Su organizacin puede permitir que la actividad continuamientras reunir pruebas o cortar el acceso de los hackers lo que efectivamente bloquear el hacker fuera del sistema. Desde que un hacker puede causar una cantidad significativa de dao en un tiempo muy corto, es muy importante que una reaccin rpida tomarse la hora de responder a ataques de hackers activos. Si una Decisin se hizo para eliminar que el pirata informtico del sistema, los siguientes pasos se deben tomar: Bloquee el hacker. Mata a todos los procesos activos o de ejecucin que el hacker est utilizando y eliminar todos los archivos o programas que l o ella pueden haber dejado en el sistema. Cambiar pasar de las palabras en las cuentas de acceso por el hacker / cracker y asegrese de mantener un registro de todas las medidas adoptadas. Restaurar el sistema. Restaurar el sistema a un estado normal, y restaurar los archivos
de datos o que el hacker / cracker puede haber modificado. Instale los parches o correcciones a la cisE cualquier vulnerabilidad de seguridad que el hacker / cracker podra haber explotado. Adems, instalar los parches para las vulnerabilidades de otros de los que el hacker no se han aprovechado, e informar a las personas apropiadas. Todas las medidas adoptadas para restaurar el sistema a un estado normal debe ser docuimplementadas en el libro de registro de este incidente.
199
Notificar a las autoridades. Una vez que el incidente ha sido contenido y el hacker retirado del sistema, el siguiente paso es ponerse en contacto con las autoridades competentes. Varias agencias (vase el cuadro 10-1) pueden ser llamados una vez que ha ocurrido un incidente y se ha detectado. Seguimiento. Despus de terminada la investigacin, un informe que describe el incidente debe ser escrito y distribuido a todo el personal de respuesta a incidentes y seguridad. Debe incluir todas las acciones que fueron tomadas por la organizacin en respuesta al incidente.
Tabla 10-1 contra los delitos informticos Informacin de Contacto (EE.UU. Departamento de Justicia) Tipo de delito
El robo de secretos comerciales
Informtica intrusin (hacking)
Contrasea trfico
Derechos de autor (software, pelcula, y grabacin de sonido) la piratera
Apropiados federales de investigacin los organismos de aplicacin de la ley Oficina local del FBI NIPC
P r e s e n t a c i n d
e informes en lnea: www.nipc.gov Tel: 202-323-3205 Telfono gratuito: 888-585-9078 E-mail:
nipc.watch @ fbi.gov
Servicio Secreto de EE.UU. oficina local de Oficina local del FBI NIPC Presentacin de informes en lnea: www.nipc.gov Tel: 202-323-3205 Telfono gratuito: 888-585-9078 Email: nipc.watch @ fbi.gov Servicio Secreto de EE.UU. oficina local de Oficina local del FBI
Si importados, Servicio de Aduanas de EE.UU. Oficina local Telfono gratuito: 800-232-2538 o 800-BE-ALERT Oficina local del FBI Seguido
Tabla 10-1 contra los delitos informticos Informacin de Contacto (EE.UU. Departamento de Justicia)
(Continuacin)
Tipo de delito
Apropiados federales de investigacin los organismos de aplicacin de la ley Oficina local del FBI Si importados, Servicio de Aduanas de EE.UU.
Oficina local Telfono gratuito: 800-232-2538 o 800-BE-ALERT
Marcas de la falsificacin
La falsificacin de moneda
Servicio Secreto de EE.UU. oficina local de Oficina local del FBI
La pornografa infantil o la explotacin
Oficina local del FBI Si importados, Servicio de Aduanas de EE.UU. Oficina local Telfono gratuito: 800-232-2538 o 800-BE-ALERT
ContinuedChild la explotacin y los asuntos de fraude en Internet que tienen un nexo de correo Fraude en Internet
Postal de los EE.UU. Servicio de Inspeccin de la oficina local de
El Centro de Quejas de Fraude en Internet Oficina local del FBI Servicio Secreto de EE.UU. oficina local de Comisin Federal de Comercio Si el fraude de valores, Securities and Exchange Commission
Internet acoso amenazas de Internet con bomba
Oficina local del FBI Oficina local del FBI La oficina local de ATF
La trata de artefactos explosivos o incendiarios o armas de fuego a travs de Internet
Oficina local del FBI ATF oficina local
Supervisin de la actividad hacker

No existe un procedimiento nico para el control de la actividad de un hacker. Cada incidente
debe ser manejado de forma individual. Una vez que la Decisin se ha hecho para dejar de vigilar las actividades de un hacker y en lugar de tener el hacker retirado del sistema (s), el procedimiento mencionadodes decir,res para la eliminacin de los hackers deben ser seguidas.
201
Incidentes anteriores
De vez en cuando, hay casos en que se descubra un incidente de seguridad despus de los hechos. Cuando esto sucede, no siempre hay una gran cantidad de pruebas disponibles para determinar que se infiltr en el sistema o la forma en que obtuvieron acceso al sistema. Cuando un empleado descubre que alguien cort con xito en el sistema informtico de la organizacin, l o ella debe notificar a equipo de respuesta a incidentes personal dentro de un da laborable.
Seguimiento
Despus de terminada la investigacin, un informe sobre el incidente y las acciones que se tomen deben ser por escrito y distribuido a todo el personal de seguridad informtica en su organizacin.
En respuesta a incidentes de cdigos maliciosos

Mientras que el cdigo malicioso se presenta en varias formas diferentes (por ejemplo, Virunses, los gusanos o caballos de Troya), los procedimientos claves para el manejo de ellos son casi los mismos - por ejemplo, sistemasTEM aislamiento y la necesidad de una respuesta rpida. Un virus informtico es un pequeo programa escrito para modificar o cambiar la forma en que un equipo funciona. En general, un virus de ordenador debe cumplir dos requisitos: Debe ser de aplicacin inmediata. Se debe auto-replicarse. Algunos virunsesiones estn diseadas para interrumpir las operaciones normales de ordenador por las aplicaciones de daar, borrar archivos, o, en casos extremos, formatear el disco duro. Otros estn mejor clasificadas como Nui-Sances y no estn diseados para causar ningn dao real y duradera. En lugar de causar dao, vir benignaunSES simplemente REPLCate s mismos y darse a conocer mediante la presentacin de los usuarios con mensajes de audio, vdeo o texto. Incluso los llamados "virus inofensivos", sin embargo, puede crcomieron los problemas de red de una organizacin por la memoria de la computadora utilizada por ocupante legtimolos programas de mate y ralentizando las operaciones del sistema.
Caballos de Troya
Mientras que son ms sofisticados que un virus informtico sencillo, caballos de Troya son programas destructivos que se hacen pasar por aplicaciones inofensivas. A diferencia de los virus, caballos de Troya no se auto-replican, sin embargo, pueden ser igual de sosa custica. Uno de los tipos ms insidiosos de Troyano es un programa que pretende eliminar de tu ordenador de virus, sino que introduce,virus en su ordenador.
Los gusanos de Internet

Los gusanos informticos representan una seria amenaza a la Internet, porque son programas auto-replicantes y autosuficiente - a menudo se transmiten a travs de mensajes de correo electrnico - que infectan a los sistemas vulnerables, a veces con resultados desastrosos, otras veces con un impacto mnimo. Su carcter automtico
202
los hace poderosos y de rpida propagacin, y destructiva. Un gusano es similar a un virus en muchos aspectos, excepto que es un programa autnomo que es capaz de propagarse rpidamente copias funcionales de s mismo-o sus segmentos, a otros sistemas informticos a travs de redes sin depender de otros programas para organizar su cdigo . VirunSES, por otro lado, necesitan tpicamente se adhieren a organizar programas con el fin de propagacin.
Aislar el sistema y avisar adecuada

Una vez que un caballo de virus informtico, gusano o caballo de Troya que se descubre, el equipo infectado (s) deben estar aislados de los restantes equipos de la red tan pronto como sea posible. Cuando un gusano se sospecha de una Decisin se debe hacer para desconectar de la red LAN a travs de Internet. El aislamiento es un mtodo simple para la rpida detencin de la propagacin oun gusano. Sistemas de sospechosos de estar infectados no debe ser prisionero de guerra-so de apagado o reiniciado. Esto es debido a que algunos virunses infectar a un sector de arranque del equipo y por lo tanto puede destruir parte o la totalidad de los datos del disco duro si el sistema es reiniciado. Adems, el reinicio de un sistema podra destruir la informacin necesaria o las pruebas. Por ltimo, notificar al personal de respuesta a incidentes tan pronto como cualquier cdigo malicioso es detectado. Si no es posible llegar a ellos, pngase en contacto con cualquier miembro del personal de seguridad.
Contener el virus, gusano o caballo de Troya

Todos los procesos sospechosos ahora debe ser detenido y eliminado del sistema. Haga una copia de seguridad completa del sistema y copia de seguridad de tienda que en un lugar seguro. Las cintas debern ser cuidadosamente etiquetados para unsus-pecting la gente no va a utilizar en el futuro. Despus de eso, eliminar todos los archivos sospechosos de estar infectados o de cdigo malicioso. En el caso de un ataque del gusano, puede ser necesario para mantener el sistema (s) aislado del mundo exterior hasta equipos han sido limpiados para prevenir la propagacin adicional.
INOCtarde el Sistema
Una vez que el cdigo malicioso se ha contenido, el siguiente paso es utilizar hasta a un software antivirus actualizado para eliminar el resto del cdigo del virus. Adems, debe actualizar y parchear los sistemas operativos y aplicaciones contra los ataques ms. Antes de la aplicacin de las correcciones, puede ser necesario para evaluar el nivel de dao en el sistema. Si el cdigo del virus o un gusano que ha sido rpidamente detenido, entonces la tarea de evaluar el dao no es especialmente difcil. Sin embargo, si el cdigo malicioso fue exitosa y ha causado un dao significativo, entonces puede ser mejor para restaurar el sistema a partir de cintas de copia de seguridad. Una vez que el sistema se pone de nuevo en un modo seguro, entonces todos los parches o correcciones deben ser implementado y probado.
Los sistemas de devolucin al funcionamiento normal

Antes de traer de vuelta a los sistemas de funcionamiento normal, todos los usuarios deben ser notificados de que los sistemas estn regresando a un estado en pleno funcionamiento. Se recomienda que todos los usuarios cambiar sus contraseas. Antes de restaurar la conectividad a Internet, compruebe que todas las partes afectadas han logrado erra-icated el problema y se inocularon sus sistemas.
Manejo de Uso inapropiado

La operacin ordenada y fluida de la red informtica de una organizacin depende de la conducta apropiada de los usuarios quienes deben adherirse a estrictos reglamentos para el uso de computadoras. En general, esto requiere la utilizacin eficiente, tica y legal de los recursos de la red. En otras palabras, todos computacin
Captulo 10: En respuesta a distintos tipos de incidentes 203
los recursos deben ser utilizados de una manera tica y responsable. Utilizacin de los recursos de tecnologa de informacin puede ser categorizada como tolerable aceptable o prohibido: El uso aceptable de los recursos de tecnologa de la informacin es el uso legal conforme con el aceptables las polticas de organizacin del uso de computadoras. Uso tolerable es el uso legal para otros fines, que no influyen en la organizacin de poltica de uso aceptable. Prohibida la utilizacin es Youso legal y cualquier otro uso que no es ni aceptable o tolerable. Las siguientes directrices estn destinadas a ayudar a las organizaciones a entender y responder a las diversas Leveis del uso de ordenadores inapropiado. Molestias. Estos delitos en general, muestran una falta de consideracin de otros usuarios de computadoras, pero no pongan en peligro la integridad de la privacidad o la computadora o vifines de cualquier tica principyoES. En otras palabras, el individuo simplemente mostr poco juicio. La organizacin debe responder mediante la emisin de al usuario una verbal, correo electrnico, o en papel advertencia de que sus acciones no eran aceptables. tica cuestionable. Estos delitos suelen implicar violacines donde la tica de las acciones estn en cuestin o cuando la integridad de una persona o un ordenador privacidad fue violada. La orgazacin poda responder suspendiendo el acceso de cuenta del usuario o la computadora hasta una reunin formal con un miembro del personal de Tecnologa de la Informacin ha sido atendida. Una copia de la poltica de la organizacin de acceso a Internet deben ser entregadas al usuario con la espe-especfico razn u ofensa destac. Penal. Esto es cuando un usuario comete un delito que requiere una investigacin por la ley local, estatal, o la aplicacin de la ley federal. Cualquier usuario de la comisin de un delito debe renunciar a todo derecho a privilegios de las computadoras de la organizacin. Cualquier y toda informacin solicitada por leyes locales, estatales, o aplicacin de la ley federal debe ser proporcionada. Si el usuario es encontrado culpable del delito (s) objeto de la investigacin, su empleo con su organizacin debe ser terminado.
Tipos de acoso
Los tribunales de EE.UU. definen dos categoras de acoso sexual, acoso quid pro quo sexual y el acoso sexual, ambiente hostil. Quid pro quo se produce cuando la vctima sufre consecuencias concretas, fsicas o econmicas, por ejemplo, un empleado que es despedido, degradado o en su defecto recibir una promocin para rechazar el acoso sexual. El segundo tipo, el acoso sexual, ambiente hostil, se produce cuando se han producido avances no deseados que han sido lo suficientemente "grave o frecuente" con el fin de modificar los trminos y condiciones de
empleo, incluso en ausencia de las consecuencias monetarias o econmicas.
Los incidentes de acoso sexual

Casi todos los conductores el lugar de trabajo hoyCul es algn elemento de sus operaciones comerciales a travs del uso de las computadoras. Mientras que la ayuda en la eficiencia de los equipos de trabajo, uso de la computadora tambin da amplia lugar a un nuevo conjunto de preocupaciones de los lugares de trabajo.
204
El acoso sexual es una atencin no deseada de naturaleza sexual por una persona o personas que conocen cada vez ms-o debera haber sabido razonablemente que la atencin no es bienvenido en el receptor o recip ients. El acoso sexual incluye avances inoportunos, solicitud de favores sexuales, o cualquier otra conducta no deseada de naturaleza sexual (incluidos los que a travs del correo electrnico, mensajera instantnea, y as sucesivamente). Estas acciones pueden estar en la forma de: Repetidos coqueteos ofensivos sexuales, avances o proposiciones Comentarios de naturaleza sexual sobre el cuerpo de un individuo Uninvited contacto fsico como tocar, abrazar, acariciar o pellizcar Sugerente el comportamiento Prolongada o mirando mirando de reojo a una persona Chistes de contenido sexual delante de la gente que encuentran ofensivos Ofensiva de telfono calyola ofensiva de mensajes de correo electrnico Visualizacin de objetos sexualmente sugestivos o imgenes Material de lectura ofensiva La mayora de la gente piensa que el acoso sexual consiste en las relaciones interpersonales en el lugar de trabajo. Sin embargo, el acoso sexual tambin abarca los usos de la tecnologa electrnica, incluyendo la correspondencia por e-mail. Correo Electrnico uso de contingenciaes para crecer y expandirse. E-mail de mensajes es particularmente prevalente en el lugar de trabajo, donde la mayora de los empresarios ms importantes tienen sistemas de correo electrnico. Esta persistencia del uso de mensajes de correo electrnico, junto con la percepcin de que el correo electrnico es temporal, confi dencial, e informal, los resultados en algunas impactantes y sorprendentes mensajes de correo electrnico que se enva en el lugar de trabajo. Lo mismo es cierto para la mensajera instantnea. La mensajera instantnea es un tipo de comunica-ciones de servicio que permite a un usuario llevar a cabo un prVate chatear con otra persona. Normalmente, el sistema de mensajera instantnea avisa al usuario cada vez que alguien en la lista de contactos del usuario est en lnea. Un usuario puede iniciar una sesin de chat con esa persona en particular. Este tipo de comunicacin busca constantemente la intranet de Internet o empresa en busca de personas en la lista de contactos. El rpido crecimiento de la mensajera instantnea est provocando un crecimiento igualmente rpido en el riesgo de cualquier tipo de negocio con los empleados que lo utilizan. La mensajera instantnea, o IM, es otra manera para que los empleados se meten en problemas mediante la publicacin de mensajes ofensivos o inapropiados o incluso como un medio para acosar sexualmente otro individuo. En 1998, los EE.UU. Corte Suprema aument la responsabilidad de los empleadores frente a los
incidentes involv-cin de acoso sexual. Dos hitos de 1998, las decisiones de la Corte Suprema (que involucra el uso de mensajes de correo electrnico) abord la cuestin de la responsabilidad del empleador cuando uno o ms super-Sors conductoress de l o ella fuera del alcance de la autoridad de los empleados y crea un ambiente de trabajo sexualmente hostil de otro empleado. En estas dos decisiones, la Corte Suprema clar-cado que "El empleador est sujeto a la responsabilidad civil subsidiaria a un empleado vctima de un ambiente hostil creado accionable por un supervisor inmediato (o sucesivamente alta) la autoridad sobre el empleado. Cuando ninguna accin tangible de empleo que se adopte, un empleador puede plantear la defensa de una defensa afirmativa a responsabilidad civil o daos, salvo prueba por la preponderancia de la
205
pruebas. Sin defensa afirmativa est disponible, sin embargo, cuando el acoso del supervisor culmina en una accin laboral tangible, como la descarga, la degradacin, o indeseables reasignacin. " El tribunal tambin dio a los empleadores un incentivo para aplicar las directrices recin sexuales claros y efectivos de acoso, sosteniendo que "si bien la prueba de que un empleador ha promulgado una poltica de lucha contra el acoso con el procedimiento de queja no es necesario en todos los casos como una cuestin de derecho, la necesidad de una poltica declarada de acuerdo a las circunstancias de empleo adecuada, puede dirigirse en cualquier caso, cuando la tramitacin del primer elemento de la defensa. Y si bien la prueba de que un empleado no cumpli con la obligacin correspondiente de un cuidado razonable para evitar el dao no se limita a mostrar los fallos razonable utilizar cualquier procedimiento de queja previsto por el empleador, una demostracin de esa falta normalmente ser suficiente para satisfacer la carga del empleador bajo el segundo elemento de la defensa ". En esencia, la Corte Suprema de Justicia declar que la empleador es responsable de las acciones del empleado, incluso cuando el empleador no tiene conocimiento de que el empleado no apropiado y / o Yocomportamiento legal. Un empleador no puede alegar que no saban sobre el acoso sexual porque la vctima no les inform, o puede que dicen que no tenan conocimiento de la conducta del perpetrador por el. Obviamente, su organizacin por lo tanto, debe tomar todas las medidas posibles, utilizando los recursos disponibles, hardware, software, personal, y as sucesivamente - para asegurar que los empleados permanecer en el cumplimiento de las polticas de la empresa.
Evitar demandas de acoso sexual

Hoy en da, en casi todas las profesiones, los hombres y mujeres deben compartir el mismo lugar de entorno. Como resultado, el acoso sexual se ha convertido en un problema de montaje que debe ser abordado seriamente. Con el fin de prevenir posibles problemas de acoso sexual de litigio, organizaciones deben desarrollar, de manera prominente publicar en lugares centrales, y fuertemente hacer cumplir las directrices que detalles de lo que se considera un comportamiento laboral aceptable. Si su organizacin no tiene actualmente una poltica de acoso sexual, usted debe crcomi / obtener una tan pronto como sea posible. La poltica de la organizacin de acoso sexual debe comunicar que la organizacin ha adoptado una "tolerancia cero" hacia el acoso sexual. En adicin, que debe ser revisado por un abogado que se especializa en la discriminacin y las leyes laborales. Una vez terminado, asegrese de que se distribuye y redistribuye despus de actualizar a todos los empleados, ya sea como un manual o en forma de memorndum. Tambin puede desear tener cada empleado que firmar para confirmar que han recibido y ledo la poltica. La poltica, as como el procedimiento de denuncia, debe ser escrito de una manera que va a ser entendido por todos los empleados en la organizacincin de mano de obra. Muchas organizaciones tienen empleados que no tienen fluidez en el idioma Ingls. Bajo esta circunstancia, puede ser necesario para que su poltica de acoso sexual traducida o comunicarse con ellos en su lengua materna. Si es posible, la organizacin debe proporcionar formacin a todos los empleados para asegurarse de que conozcan sus derechos y responsabilidades. Una poltica de acoso sexual debe proporcionar diferentes vas para que los empleados presentar
sexuales denuncias de acoso. Estas pueden incluir: La capacidad de ponerse en contacto con su supervisor Una lnea telefnica especial La capacidad de ponerse en contacto con el departamento de recursos humanos
206
Adems, el empleado debe tener la opcin de hablar con un representante de la organizacin masculina o femenina. La organizacin debe asegurarse de que los supervisores y gerentes a entender sus responsabilidades en virtud de la poltica contra el acoso de la organizacin y procedimiento de denuncia. La formacin continua de los individuosais puede ayudar a lograr ese resultado. Esta formacin debe explicar los tipos de conducta que via finales del empleador de la poltica contra el acoso, la gravedad de la poltica, las responsabilidades de los supervisores y gerentes cuando se enteran de un presunto acoso, y la prohibicin de las represalias.
Directrices para desarrollar una poltica sobre acoso sexual

En general, es la responsabilidad de los empleadores a establecer, difundir y hacer cumplir las polticas contra el acoso y los procedimientos de denuncia. Como se ha dicho por la Corte Suprema ", el Ttulo VII est diseado para fomentar la creacin de polticas contra el acoso y eficaces de reclamacin mecanis-mos" (Ellerth, 118 S. Ct. En 2270). Si bien la Corte seal que esta "no es necesario en cada caso como una cuestin de derecho", el no hacerlo har que sea difcil para un empleador de probar que con la debida diligencia para prevenir y corregir el acoso. De acuerdo con los EE.UU. Comisin de Igualdad de Oportunidades en el Empleo (EEOC), una poltica contra el hostigamiento y el procedimiento de denuncia deber contener, al amnimum, la siguiente elementos:
Una explicacin clara de las conductas prohibidas La garanta de que los empleados que hacen las denuncias de acoso o proporcionar informacin relacionada con estas reclamaciones sern protegidos contra las represalias Una queja describe claramente el proceso que proporciona vas de acceso de la denuncia La garanta de que el empleador proteger la confidencialidad de las denuncias de acoso a la medida de lo posible Un proceso de queja que proporciona una investigacin inmediata, exhaustiva e imparcial La garanta de que el empresario tomar las medidas correctivas inmediatas y apropiadas cuando se determina que el acoso se ha producido
A fin de aclarar algunos de los elementos anteriores, la EEOC ofrece las siguientes explicaciones:
Prohibicin del acoso Poltica de un empleador debe dejar claro que no va a tolEl acoso por razn de sexo la tasa (con o sin conducta sexual), la raza, color, religin, origen nacional, edad, discapacidad, y la actividad protegida (Le., la oposicin a la discriminacin prohibida o la participacin en el proceso de reclamacin oficial). Esta prohibicin debe abarcar el acoso por cualquier persona en el lugar de trabajo - los supervisores, compaeros de trabajo, o no empleados. La administracin debe transmitir la gravedad de la prohibicin. Una forma de hacerlo es para la mndate a "venir desde arriba", es decir, desde la alta gerencia. La poltica debe alentar a los empleados a denunciar el acoso antes de que sea grave o perva SIVE. Mientras que los incidentes aislados de hostigamiento en general, no vila ley federal de finales, como un patrn de inci-estudiantes puede ser ilegal. Por lo tanto, para cumplir con su deber de cuidado preventivo, el empleador debe dejar claro a los empleados que va a detener el acoso antes de que se eleva al nivel de una violacin de la ley federal.
Proteccin contra las represalias Un empleador debe dejar claro que no va a toltasa de un trato desfavorable de los empleados, ya que denunciar el acoso o proporcionar informacin relacionada con esas denuncias. Una poltica contra el acoso y el procedimiento de queja no ser eficaz sin esa garanta.
207
La direccin debera emprender las medidas necesarias para asegurarse de que las represalias no se produce. Por ejemplo, cuando la administracin investiga una denuncia de acoso, el funcionario que las entrevistas a las partes y los testigos deben recordar a estos individuosais acerca de la prohibicin contra las represalias. La administracin tambin debe analizar las decisiones de empleo que afectan a la queja y los testigos durante y despus de la investigacin para asegurarse de que tales decisiones no se basan en motivos de represalia. Proceso de queja efectiva Procedimiento de un empleador denuncia de acoso debe ser diseado para alentar a las vctimas a presentarse. Para ello, se debe explicar claramente el proceso y asegurarse de que no hay obstculos no razonables a las quejas. Un procedimiento de denuncia no debe ser rgida, ya que podra derrotar a la meta de prevenir y corregir el acoso. Cuando un empleado se queja a la gerencia sobre el presunto acoso, el empleador est obligado a invertirpuerta de la acusacin, independientemente de si se ajusta a un formato determinado, o se haga por escrito. El procedimiento de queja debe proporcionar puntos de acceso de contacto para la denuncia inicial. Un proceso de queja no es eficaz si los empleados son siempre necesarias para quejarse primero de sus super-Sors sobre presunto acoso, ya que el supervisor puede ser un acosador. Por otra parte, un cuidado razonable para prevenir y corregir el acoso de un empleador requiere para instruir a todos los supervisores para reportar las quejas de acoso a los funcionarios pertinentes. Es aconsejable que un empleador desgnate al menos un funcionario fuera de la cadena de un empleado de la com-demanda para recibir las quejas de acoso. Por ejemplo, si el empleador tiene una oficina de recursos humanos, uno o ms funcionarios de esa oficina podra ser autorizado a tomar las denuncias. Permitir que un empleado para eludir su cadena de mando proporciona seguridad adicional de que la queja ser manejada de manera imparcial, ya que un empleado que denuncie acoso por parte de su supervisor puede sentir que los funcionarios dentro de la cadena de mando estarn ms dispuestos a creer que el supervisor versin de los acontecimientos. Tambin es importante para la lucha contra la poltica sobre el acoso de un empleador y el procedimiento de reclamacin que contenga informacin sobre los plazos para la presentacin de los cargos de acoso ilegal ante la EEOC o la Feria Estatal de las agencias de prcticas de empleo y para explicar que el plazo se extiende desde la ltima fecha de acoso ilegal , no desde la fecha que la queja de que el empleador se ha resuelto. Mientras que un proceso de denuncia del sistema debera hacer posible que un empleado para retrasar la hora de decidir si para presentar una denuncia hasta que la denuncia ante el empleador se ha resuelto, l o ella no est obligada a hacerlo. Confidencialidad Un empleador debe dejar claro a los empleados que va a proteger la confidencialidad de las denuncias de acoso a la medida de lo posible. Un empleador no puede garantizar la total confidencialidad, ya que no puede realizar una investigacin efectiva, sin revelar cierta informacin al presunto acosador y de los posibles testigos. Sin embargo, la informacin sobre la denuncia de acoso debe ser compartida solamente con aquellos que necesitan saber acerca de ella. Los registros relativos a las denuncias de acoso debe mantenerse confidencial, sobre la misma base. Un conflicto entre el deseo de un empleado de la confidencialidad y el deber del empleador de invertirla puerta puede surgir si un empleado informa al supervisor acerca de un supuesto acoso, pero le pide que l o ella para mantener el asunto confidencial y no tomar ninguna accin. La falta de accin por parte del supervisor en estas circunstancias podra dar lugar a la responsabilidad del empleador. Si bien puede parecer razonable para que el empleado para determinar si pur-demandar a una denuncia, el
empleador debe cumplir con su deber de prevenir y corregir el hostigamiento. Una meca-nismo para ayudar a evitar este tipo de conflictos sera que el empleador cuente con una lnea telefnica de informacin que los empleados pueden utilizar para discutir sus preocupaciones sobre el acoso de forma annima.
208
Proceso de investigacin eficaz Un empleador debe establecer un mecanismo para una investigacin inmediata, exhaustiva e imparcial sobre el presunto acoso. Tan pronto como se entera de la gestin de acoso sobre la presunta, se debe determinar si una detallada investigacin de los hechos es necesario. Por ejemplo, si el presunto acosador no niega la acusacin, no habra necesidad de interrogar a los testigos, y el empleador puede determinar de inmediato las medidas correctivas apropiadas. Si una investigacin de los hechos es necesario, debera ponerse en marcha inmediatamente. La cantidad de tiempo que se necesitar para completar la investigacin depender de las circunstancias particulares. Si, por ejemplo, mltiple individuosais fueron hostigados al parecer, a continuacin, se necesitar ms tiempo para entrevistar a las partes y los testigos. Puede ser necesario llevar a cabo Intermedcomi medidas antes de completar la investigacin para garantizar que el acoso no se produce una. Ejemplos de estas medidas estn haciendo cambios en la programacin con el fin de evitar el contacto entre las partes, la transferencia del presunto acosador, o colocando el presunto acosador no disciplinario licencia con goce de sueldo en espera de la conclusin de la investigacin. El autor no debe ser transferido involuntariamente o no cargados, ya que estas medidas podran constituir una represalia ilegal. El empleador debera garantizar que la persona que realiza la investigacin objetiva se reunirn y considerar los hechos relevantes. El presunto acosador no debe tener autoridad de supervisin sobre la persona que realiza la investigacin y no debe tener ningn tipo de control directo o indirecto sobre la investigacin. Quien realiza la investigacin debe estar bien entrenado en las habilidades que se requieren para entrevistar a los testigos y la evaluacin de la credibilidad.
Impiden que los trabajadores vean material inadecuado

Es un hecho lamentable que los trabajadores pueden perder sus empleos debido a la forma en que utilizan Internet en el trabajo. Es importante que cada organizacin asegurarse de que todos los empleados comprendan y respeten todos los accesos a Internet y de uso aceptable (IAP / AUP) pLices. Sin importar lo que permite a la empresa en materia de poltica, es aconsejable utilizar siempre en lnea una conducta apropiada. Adems, el lenguaje de los e-mails Siempre debe seguir siendo profesional.
ACCESO A INTERNET / Polticas de Uso Aceptable
Acceso a Internet o las polticas de uso aceptable (IAP / AUP) son cada vez ms comn. Un IAP / PUA describe lo que se considera el uso de Internet apropiado e inapropiado en el lugar de trabajo. Ellos suelen decir que los empleados no pueden enviar o recibir correo electrnico personal de mensajes a travs de sus direcciones en el trabajo. Adems, pueden limitar la navegacin personal a la hora de la comida de un trabajador o se rompe. Tenga en cuenta que hay dos tipos de actividad en lnea, acceso a Internet y el uso de la mensajera de correo electrnico. Asegrese de que sus empleados comprendan todos los parmetros de la IAP de su organizacin / PUA. Muchas empresas son cada vez ms restrictiva en cuanto al uso personal de mensajes de correo electrnico, porque ellos no quieren que la organizacin se asocia con la transmisin de cualquier material cuestionables.
Utilizar los Filtros
Un filtro de contenidos es un programa de software que admita o bloquea el acceso a contenidos de Internet, dependiendo de si o no el contenido cumple con un conjunto
predeterminado de criterios. Algunos filtros slo seuno para ciertas palabras clave prohibidas. Otros pueden permitir uso de la computadora slo durante determinados intervalos de tiempo o tal vez limitar la cantidad de tiempo total que pasan en lnea por los usuarios individuales.
209
Hay muchos productos disponibles que ofrecen Internet de contenfiltrado. Dos populares de filtrado de contenido de los programas son Net Nanny por BioNet Systems, LLC (www.netnanny.com)y CyberPatrol por el Surf Patrol pes decir, (www.cyberpatrol.com). Cada uno ofrece numerosos contenfiltracin caractersticas, tales como URL negro aparece (direcciones URL que no estn permitidos) White URL (direcciones URL que figuran las que se permite) La capacidad de crcomi y administrar listas personalizadas El apoyo a los navegadores de Internet ms recientes de Microsoft y Netscape Mayor apoyo a nivel de filtro para Web con capacidad de clientes de correo electrnico La capacidad de filtrar los datos entrantes y salientes Adems de los programas antes mencionados, un programa freeware llamado iProtectYou realiza muchas de las mismas funciones (vanse las figuras 10-1 y 10-2). Producido por SoftForYou (www.soft foryou.com), este til programa permite el bloqueo de mensajes de correo electrnico, sesiones de chat y mensajes instantneos que contienen palabras inapropiadas. Adems, se puede restringir el tiempo de Internet con un programa predeterminado y le permite tener el control sobre qu sitios web se puede acceder y qu programas tienen acceso a Internet. Las opciones incluyen el establecimiento de niveleseis de la sensibilidad, el Ing. solicitud de los archivos de registro detallados de la Web y la actividad de la aplicacin, y hacer ajustes sensibles al tiempo. Su organizacin puede especificar septiembrepatrones de frecuencia, palabras clave, o bloques de sitios web, grupos de noticias y publicidad, y editar la lista de palabras inapropiadas. El programa llega con una gran lista integrada de los sitios preseleccionados no deseados y las palabras clave. Hay numerosas razones por las organizaciones emplean el uso de filtros de contenido. Cada vez ms, las organizaciones estn descubriendo que la creacin de Internet aceptables las directrices de poltica de uso e informar a todo el personal de organizacin de que la poltica puede no ser suficiente para proteger a la gestin de la persecucin penal Yomaterial legal o inapropiado puede encontrar en los ordenadores. Otras organizaciones que simplemente prefieren tener la tranquilidad de saber que no es material inapropiado permitido o vistos por cualquier persona en sus redes.
Figura 10-1: iProtectYou la pantalla de inicio rpido
Figura 10-2: ProtectYou Panel de control y las opciones asociadas
Mientras que beneficioso, conten filtros a veces puede plantear problemas mediante la prevencin de fiarBsquedas compaero que se produzcan. Por ejemplo, un Conten filtro puede dejar de una pgina Web desde la carga, ya que con-contenidas la palabra "hardcore", aun cuando no se utiliza en un contexto sexual.
Espionaje industrial
El espionaje industrial es una extensificacinn de la recopilacin de inteligencia competitiva visto entre corporaciones de otras organizaciones, incluso nacional Govemtos. Las razones para tomar parte en las industriasjuicio gama de espionaje de un deseo de obtener la superioridad y la dominacin en una industria en particular a la bsqueda de lograr simplemente un mejor nivel de seguridad dentro de la propia organizacin. La ganancia monetaria es una motivacin ms fuerte para las organizaciones y los individuos conocedoresais de participar en espionaje industrial. Quienes realicen el espionaje industrial a travs de la transgresin en los sistemas informticos y redes de espas cibernticos - - a menudo tienen un apoyo sustancial monetaria de las empresas y Gove, inclusomtos. A diferencia de run-of-the-mill hackers dando una vuelta, estos espas cibernticos a menudo tienen a su estado de disposicin de equipos de ltima generacin e incluso el personal dnde y cundo podra lo necesitan. La Internet y los sistemas en red de computadoras han facilitado la ocupacin de estos espas cibernticos, sin importar si se est trabajando desde dentro o desde fuera de los sistemas que atacan. Equipo informtico en red los sistemas de seguridad puede ser violado y espiado-de los sitios en cualquier parte del mundo, incluyendo los sitios dentro de la propia organizacin. (Ms informacin sobre los ataques internos se incluye en la siguiente seccin.) A diferencia de los espas de incluso el pasado reciente, espa hoy en da slo tiene que estar presente en un sentido ciberntico, no necesariamente en un sentido fsico.
Independientemente de desde donde viene el ataque, el equipo de alta tecnologa utilizados en la actualidad a veces deja a las organizaciones conscientes de que su sistema ha sido penetrado sin autorizacin. An cuando una organizacin no sabe de su sistema de ordenador ha sido comprometido, no puede ser capaz de
211
cuantificar la cantidad, en su caso, los ingresos se perdi como consecuencia de ello. Cuando los elementos materiales han sido robados (discos, documentos, etc) esos delitos son a veces slo se reportan como robos o robo IES-, con la valiosade la informacin perdida no se dio cuenta y no se incluyen en el recuento. Las organizaciones deben recordar que los ex empleados, tanto los que se van en buenos trminos y los que estn descontentos, puede seguir siendo una amenaza para la seguridad del sistema. Ya sea que son alimentadas por el deseo de venganza, son abordados por un tercero con el incentivo monetario o que estn empezando su propio negocio en la misma industria, los ex empleados pueden tener un conocimiento suficiente como para afectar gravemente los activos de su organizacin, la productividad y incluso la confidencialidad del cliente. Los ex empleados no son el solriesgo para la seguridad de la organizacin del sistema informtico. Los incidentes de seguridad pueden surgir de los empleados actuales, tambin. Personal temporal, subcontratistas dores, y los empleados de la compaa desde hace mucho tiempo todos puedan tener suficiente acceso a la informacin de la organizacin privilegiada y valiosa. Algunos empleados deliberadamente revelar informacin clasificada (de nuevo, con fines de lucro o con mala intencin), sin embargo, otros podran revelar dicha informacin sin darse cuenta. Los que se dedican al espionaje industrial, se ha sabido que se hacen pasar por tcnicos de la casa y las contraseas de solicitud con el fin de hacer su trabajo el mantenimiento o la reparacin de un ordenador de la empresa. Empleados Misguided gusto por ayudar a transmitir dicha informacin. A veces, los empleados simplemente dar informacin, como contraseas, despus de recibir un sonido de telfono oficial o importante Calyoque lo solicite.
Defensa contra ataques internos

Las amenazas informticas y de red de seguridad puede venir desde el exterior o dentro de una organizacin. Fuera de las amenazas, como hemos visto, pueden ser los hackers o crackers situados al otro lado del mundo. Sin embargo, una amenaza de la red ms y ms comn puede origque reciben, slo en la oficina de al lado en la forma de un empleado malvola o descontentos. El trabajo de los responsables de la informacin de segudad es para detectar actividades sospechosas y encontrar los eslabones dbiles de la red informtica de la organizacin. Esto es anlogo a cuando un guardia de seguridad pone a prueba una puerta o ventana para asegurarse de que est bloqueado. Mientras que un servidor de seguridad puede evitar que los hackers, crackers y script kiddies (menos informados, los piratas informticos nacientes) entre en contacto con, los firewalls no protegen contra el parecer de fiarlos usuarios de yerba mate que son ya dentro del firewall. Con los ordenadores conectados en red, cualquiera tiene el potencial de acceder a la informacin contenida en toda la red. Mientras que el personal de seguridad de forma rutinaria se centran en los ataques externos, la cruda realidad es que la red es ms probable que se vea comprometida por las personas situadas en el interior de su organizacin. Las estrategias tpicas incluyen el robo de informacin privilegiada o adivinar una contrasea de administrador del sistema y luego darse a s mismos el acceso a los recursos a los que no tienen derecho, tales como nminas, registros contables, o de material patentado. Este tipo de delito informtico se puso de manifiesto en el otoo de 2000, cuando Cisco Systems, Inc. empleado Pedro Morch
(mientras todava est empleado de Cisco Systems), intencionalmente excedido su acceso autorizado a los sistemas informticos de Cisco Systems. De acuerdo con su declaracin de culpabilidad con el Departamento de Justicia de EE.UU., el Sr. Morch, a fin de obtener informacin confidencial que l saba que no estaba autorizado a tener, registrado en el sistema informtico, tanto como un administrador y bajo su propio nombre de usuario de una estacin de trabajo que pertenece a otro ingeniero de software de Cisco. Lo hizo porque el ordenador del otro ingeniero tena una grabadora de CD capaz de "quemar" CDs. El Sr. Morch admiti que quem una serie de CD en el ordenador del otro empleado, utilizando los CDs grabables que se obtiene de la plataforma por encima de su equipo
controlar, y el material obtenido, que incluy los materiales propiedad de Cisco en relacin con ambos lanzados Cisco produccins, y entonces en curso los proyectos de desarrollo.
El uso de contraseas seguras pueden ayudar a evitar la informacin privilegiada - y otrosde adivinar las contraseas.
Personal de seguridad de la organizacin deben ser diligentes en la forma de gestionar y supervisar el registro de los sistemas en red. El personal de seguridad de rutina frente a la tarea que consume tiempo de recoger, analizar y descifrar mltiple de los sistemas de archivos de registro. Incluso un descuido simple podra ser la causa de un fallo de seguridad. Esto podra suceder en un nmero de maneras, por ejemplo, cuando un administrador del sistema se olvida de salir de una consola de gestin, Cuando alguien trae una persona infectada lap-top en la oficina desde su casa, oa travs de un agujero de seguridad creado por un mal configurados de acceso inalmbrico punto. Afortunadamente, la mayora de los ms avanzados intrusisistemas de deteccin de n, como Tripwire y CyberCop, se centran tanto en el exterior y deFernal ataques. Debido a los ataques internos pueden provenir de direcciones posibles tantos, estos Producs abordar el problema de informacin privilegiada con una gran variedad de enfoques. Puesto que la mejor defensa es un buen ataque, escaneo de vulnerabilidades es una de las mejores maneras para que una organizacin para encontrar y tapar los agujeros de seguridad en su red. Anlisis de vulnerabilidad es beneficioso para prevenir tanto el exterior y enFernal ataques. Dos populares escneres de vulnerabilidad de red utilizado en la actualidad son SAINT y escner de Internet de ISS: SAINT. SAINT es la herramienta del administrador de seguridad de red integrada. En su modo predeterminado, que recoge informacin tanto de equipos remotos y redes como sea posible. La informacin recopilada incluye la presencia de diversas redes de informacin ser-vicios, que son posibles fallos de seguridad. Estos defectos aparecen a menudo en forma de forma incorrecta los servicios de red configurados, conocidos errores en el sistema o los servicios pblicos de red, o dbiles parmetros de configuracin de polticas. ISS Internet Scanner. Los responsables de la seguridad de la red de su organizacin a menudo eligen escner de Internet de ISS para el anlisis de las vulnerabilidades de su red. Escner de la ISS en Internet se centra en el aspecto ms importante de la gestin del riesgo organizacional de la red: la identificacin y correccin de las vulnerabilidades tcnicas. Internet Scanner realiza sondeos programados y selectivo de servicios de comunicacin de su redvicios, sistemas operativos, aplicaciones clave, y los routers en busca de las vulnerabilidades ms utilizadas por las amenazas sin escrpulos (al problema, Invertirpuerta, y atacar a su redtrabajo). Internet Scanner analiza sus
condiciones de vulnerabilidad y proporciona a su organizacin con una serie de acciones correctivas.
213
Es un hecho lamentable que los incidentes de seguridad ms devastadores origNate desde el interior de su propia organizacin. Proactiva de anlisis de seguridad proporciona una evaluacin significativa de la seguridad del sistema de su organi-zacin contra las amenazas conocidas. Anlisis de seguridad pueden ofrecer sugerencias para la efectiva contramedidas, mejorando an ms la seguridad. Anlisis proactivo tambin puede conducir a una deteccin ms rpida de, y tal vez reducir los daos a los sistemas de incumplimiento. Con el anlisis de vulnerabilidad a cabo a intervalos regulares, su organizacin puede ser conscientes del potencial de vulnerabilidad de seguridadhabilidades a medida que ocurren.
Resumen del captulo

La juntad adagio dice que una onza de prevencin vale una libra de cura. La seguridad informtica no es una excepcin a esta mxima. Siempre que sea posible, usted quiere tomar una postura proactiva y prevenir los incidentes de seguridad que suceda en el primer lugar. Desgraciadamente, no vivimos en un mundo perfecto. Es virtualmente imposible impedir todo incidentes de seguridad. Sin embargo, cuando la seguridad inci-dente no suceda, es necesario asegurarse de que su impacto es mnimo. Existen diversas medidas de respuesta de su organizacin puede tomar para minimizar el nmero y el impacto de incidentes de seguridad que se llevan a cabo. En este captulo se centra en la comprensin de los diversos tipos de incidentes de seguridad informticaestudiantes que enfrentan las organizaciones y los procedimientos bsicos para responder a esos incidentes y limitar su impacto. Puntos principales tratados en este captulo se incluyen Procedimientos bsicos para hacer frente a hackers, crackers, y los ataques de cdigos maliciosos Cmo reconocer y manejar el uso del ordenador inadecuado
Procedimientos para el reconocimiento y la gestin de incidentes relacionados con el acoso sexual Los aspectos legales de espionaje industrial Cmo buscar y defenderse contra los ataques internos
Captulo 11
E val uac in de las pol tic as de seg uri dad act ual es, pro ced imi ent os y pr ctic as U na eva lua ci
La evaluacin de seguridad del sistema para prevenir nuevos ataques

ln este captulo
Evaluacin de las polticas y procedimientos de seguridad El desarrollo de listas de control de polticas de seguridad Una visin general del proceso de auditora de seguridad Los pasos bsicos para la estacin de trabajo y las auditoras del servidor Los beneficios de las pruebas de penetracin Comprensin de los problemas de cumplimiento de HIPAA El Honeynet Project LA RED INFORMTICA ES UNA HERRAMIENTA CLAVE EN EL MUNDO DE LOS NEGOCIOS DE HOY S. Sin embargo, con los hackers, crackers, y lleno de cdigos maliciosos, la necesidad de una toma de conciencia mayor seguridad y medidas a adoptar se ha convertido en un imperativo. Informtica criminais vienen en muchas variedades, frente a los piratas a sus compaeros de trabajo. Muchos oficiales de seguridad de la empresa creen que el eslabn ms dbil de la seguridad informtica la cadena es el empleado - ya sea descontento o simplemente perezosos. Un componente crtico de la respuesta a incidentes es la pista de auditora. Auditora ayuda a definir los eventos que permiten los administradores de seguridad para determinar exactamente lo que ha sucedido en su red. Cuando un sistema se rompe, el administrador del sistema tiene que saber lo que ha sucedido para reparar la violacin y la formafinales de un plan para prevenir futuros ataques. La parte ms difcil de responder a una violacin de la red es el rastreo del criminal y la evaluacin de daos y perjuicios. Una auditora de seguridad integral evala las prcticas de su organizacin y funcionamiento de la red para asegurar que sus sistemas sean seguros, tanto en elFamenazas ernal y externa. Una auditora de seguridad de la red debe incluir lo siguiente:
n de la vulnerabilidad Pruebas de penetracin La inspeccin visual de la seguridad fsica de la red
215
216
Las auditoras de seguridad puede ayudar a su organizacin a desarrollar un amplio informe adecuado tanto para personal administrativo y tcnico. Dicho informe deber incluir la siguiente informacin: Una lista de las vulnerabilidades encontradas, incluyendo el riesgo y la probabilidad de que los usuarios maliciosos, los piratas informticos, clientes y socios de negocios que explotan estas fallas Las recomendaciones dadas para aplicar la revisin y reparacin de vulnerabilidades Una lista de las posibles causas de las vulnerabilidades Recomendaciones para la prevencin de las vulnerabilidades de este tipo que surjan en el futuro En resumen, las auditoras de seguridad a la organizacin minimizar el riesgo de interrupciones no programadas, dao o destruccin de sus activos de informacin, prdidas financieras, y los otros efectos perjudiciales de las brechas de seguridad. En este captulo se centra en el proceso de auditora y los procedimientos, las cuestiones de la HIPAA Ance cumplimiento, en beneficio de las pruebas de penetracin y su papel en la planificacin de respuesta a incidentes. El captulo concluye con cmo las lecciones aprendidas del Proyecto Honeynet estn ayudando a dar forma al futuro de la respuesta a incidentes.
Evaluacin de las Polticas de Seguridad y Procedimientos

Las medidas de seguridad son ms eficaces cuando se desarroll a partir de bien planificado, integral y ampliamente comunicados polticas de la organizacin. La necesidad de la seguridad informtica se incrementa impulsando a las organizaciones a adquirir e implementar soluciones innovadoras de seguridad para sus redes informticas. Desafortunadamente, muchas organizaciones carecen de una estructura poltica de copias de seguridad de los tcnicos de seguridad de sis-temas que despliegan. Mientras que muchos han puesto en marcha diversas polticas de seguridad, estas polticas son a menudo incompletos o no actualizados. La poltica de su organizacin de seguridad informtica debe tener los siguientes objetivos: Establecer polticas para proteger las redes de su organizacin y los sistemas informticos de la abuso y uso inadecuado. Establecer mtodos que ayudarn en la identificacin y prevencin del abuso de la las redes de organizacin y sistemas informticos.
Proporcionar un mtodo eficaz para responder a las preguntas y quejas relativas a abusos, reales o no confirmada - de las redes de la organizacin y el sistema de ordenador. Establecer procedimientos que protejan su reputacin profesional, mientras que permite para cumplir con las responsabilidades de la organizacin (legal y tico) en relacin con el equipo sistema de conexin de Internet.
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques
217
Una poltica de informacin bien diseado de seguridad es la clave para el xito de cualquier informacin en materia de seguridad las acciones. Dado que las polticas tienen un impacto profundo en todos los esfuerzos de seguridad, que debe estar bien desarrollada, aplicada, mantenida, y auditados peridicamente. Las polticas necesitan una revisin peridica para asegurar que se continuapara reflejar la estrategia de seguridad de su organizacin en general. Una poltica dbil puede salir de una empresa vulnerable a todo tipo de errores humanos, desde la seleccin de una demasiado fcil adivinar- contrasea para instalar el software que puede causar brechas de seguridad. Al evaluar una poltica de seguridad, asegrese de incluir lo siguiente: Una explicacin de la razn de la poltica La fecha efectiva de la poltica, as como la fecha en que expira Una lista de los que: (a) autoriz a la poltica, (b) construir la poltica, (c) aprob la poltica, (d) mantendr la poltica, y (e) hacer cumplir la poltica Una lista del personal y el personal que se vern afectados por la poltica Un resumen de las acciones que la organizacin espera de sus usuarios Los mtodos que se utilizarn para hacer cumplir la poltica Los reglamentos y leyes en que se basa la poltica (entre ellos el de la casa de regulacinciones de su organizacin) Qu activos de informacin deben ser protegidos Los mtodos y procedimientos que el personal se van a seguir para la presentacin de informes de seguridad violacines (ya sea real o sin fundamento) Los rpidos avances en tecnologa de la informacin requieren que la organizacin de seguridad de las polticascas de frecuencia crtica. La frecuencia de las auditoras de la poltica depende de la seguridad de la organizacin necesita, as como el conocimiento tecnolgico de su personal. Generalmente, sin embargo, cada nuevo cambio tecnolgico tiene el potencial para requerir un cambio de poltica correspondiente. Como resultado de ello, una buena regla general es revisar todas las polticas de seguridad de la organizacin (o no) por lo menos una vez al ao.
El desarrollo de listas de control de directivas de seguridad

Auditora de una poltica de seguridad est diseado para hacer frente a la tendencia por parte de los seres humanos para hacer de vez en cuando errores. A raz de esos errores, la necesidad de las organizaciones para llevar a cabo un seguimiento peridico y la revisin se vuelve
extremadamente importante. Adems, las nuevas vulnerabilidades de los lazos se estn encontrando constantemente, y puede llegar a ser demasiado difcil para una organizacin para mantenerse en la parte superior de las vulnerabilidades sin asistencia externa. Una de las maneras de manejar una auditora es mediante el uso de listas de control de auditora, que son ms beneficiosas cuando se inici como parte de un plan ms amplio para desarrollar e implementar su poltica de seguridad en toda la organizacin. Listas personalizadas son una buena idea si usted quiere maximizar la eficacia de cualquier pauta determinada.
218
Lista de verificacin de la directiva de auditora - Muestra

La siguiente lista de verificacin aborda formas de personalizar una poltica de seguridad de su organizacin espe-especfica las necesidades: Tiene una amplia gama de empleados dentro de la organizacin - representativo de una variedad de posiciones y de trabajo de leveis - han participado en el desarrollo de la poltica de seguridad? Ha sido redactado de la poltica de una manera que pueda ser entendido y seguido por todo el personal miembros? Ha sido informado el personal de sus roles y responsabilidades de seguridad por escrito? Las necesidades y expectativas de su organizacin ha comunicado a su personal, tanto inicialmente y de manera permanente? Que su personal recibi capacitacin en seguridad especficamente adaptados a las necesidades de su posicin? Estn todos los nuevos empleados lo suficientemente capacitados en cuanto a sus funciones de seguridad, responsabilidades, y las expectativas? Son las oportunidades apropiadas previstas para el personal que exponga las preocupaciones de seguridad y pedir preguntas sobre las polticas y procedimientos de seguridad? Es el tiempo adecuado para la lectura de siempre y la revisin de los acuerdos de seguridad antes de utilizarEstrategia Europea de Empleo y los de fuera estn obligados a firmar y presentar ellos? Haga que sus desarrolladores de polticas revis las polticas relacionadas con la seguridad (prcticas) de otras organizaciones en la misma lnea de trabajo o de aquellos con los que realizarn sus negocios? La cooperacin en este momento se asegura de que todas las partes involucradas estarn satisfechos con las transacciones futuras. Ha noticias del compromiso de su organizacin para la seguridad ha compartido con el pblico? Ha objetivos de la poltica y los objetivos se ha traducido en normas de seguridad de la organizacin que estn diseados para modificar el comportamiento del personal? Ha sido un administrador designado especficamente para ser responsable de su organizacin de seguridad? Son estas las normas de seguridad aplicadas por igual a todos los niveleseis de su organizacin? Tienen problemas de seguridad se han incluido como parte de las revisiones de desempeo de los empleados? Son extraos (por ejemplo, tcnicos de reparacin y de organizaciones externas) que se
requieren para firmar un contrato de reconocimiento de que son conscientes de sus responsabilidades y que se atendr a las normas de seguridad de su organizacin y los reglamentos? Las polticas de seguridad crtica - y si es necesario, revisada por lo menos una vez al ao?
Una visin general del proceso informtico de auditora de seguridad

El propsito de una auditora de seguridad informtica es proporcionar un anlisis detallado de la eficacia de las medidas de seguridad de su organizacin actual. La informacin obtenida durante el proceso de auditora
219
le ayudar a priorizar y arreglar el problema de reas, lo que minimiza el riesgo de apagones imprevistos, presa de la edad o el robo de los activos de informacin sensible, causar daos a su reputacin, y la prdida financiera. Cada vez que un sistema se modifica o se reconfiguran, los agujeros de seguridad puede ser abierto, permitiendo que la red se vuelven vulnerables a los ataques. Aun cuando no ha habido cambios realizados en la red de su organizacin, usted todava puede ser vctima de un ataque que aprovecha una vulnerabilidad descubierta recientemente, de con-reafirmante que incluso los sistemas estticos requieren una auditora peridica. En el desarrollo de una poltica de seguridad para su organizacin, asegrese de incluir informacin sobre cmo se va a probar su red (s). Una vez que la auditora de seguridad inicial ha sido completada, las deficiencias encontradas deben ser rpidamente corregido. Adems, su poltica de seguridad debe detallar cmo va a garantizar que nevo fallos o huecos de seguridad sern tratados. Los pasos siguientes describen el bsico de seis pasos de seguridad informtica proceso de auditora: El anlisis de vulnerabilidades. Determinar la adecuacin de la seguridad de su organizacin medi-das, identificar las deficiencias de seguridad, y evalcomi la eficacia de su actual segumedidas de bioseguridad. El anlisis debe incluir el riesgo y la probabilidad de que los codificadores maliciosos, hackers, y conocedores de la explotacin de estos defectos. Red de evaluacin y anlisis de la infraestructura. Examine los dispositivos de hardware, intrusin los sistemas de deteccin, routers y firewalls para las vulnerabilidades que dejan a uno abierto a la intrusiones. La evaluacin de riesgos. Lista de las garantas que ya tiene en marcha para la proteccin contra las amenazas potenciales de la evaluacin de su relacin SIGNIFICATIVASee en trminos de prdida potencial para todos reas de su sistema. Los resultados de esta evaluacin se puede utilizar para determinar qu tintos necesitan la mayor atencin en primer lugar. Acceso y evaluacin de polticas. Examinar la disponibilidad de cada usuario y el acceso a los recursos del sistema informtico. Asegrese de incluir una revisin de las polticas de contraseas, las polticas de copia de seguridad, la poltica de acceso a Internet, la poltica de seguridad de red, la poltica de acceso remoto, la poltica de escritorio, la poltica de la plataforma de servidor, la poltica de seguridad de las aplicaciones, las cuentas personales basados en Internet y, en general, las directrices para la desarrollo y aplicacin de las normas de poltica toda la organizacin. La seguridad fsica. Examinar los activos fsicos de computacin para la proteccin contra el vandalismo, acceso no autorizado y la manipulacin. Incluir una revisin de todos los equipos informticos de la organizacin y los equipos asociados, tales como estaciones de trabajo, servidores, terminais, routers, switches, medios de almacenamiento extrables, copias impresas de la documentacin, e instalaciones de apoyo. Las conclusiones y recomendaciones del informe. Incluya todos los hallazgos resultantes de los anlisis y evaluaciones realizadas, as como recomendaciones para la aplicacin de
contramedidas a cualquiera de las vulnerabilidades descubiertas durante la auditora de seguridad.
Las estaciones de trabajo de auditora y servidores

La seguridad es un problema grave en la computacin de hoy en da con las amenazas que afectan a todos. Las auditoras en estaciones de trabajo y servidores de evaluar la forma en que estos activos de informacin crticos llevando a cabo y ayudar a analizar donde se requiere mayor atencin. Como muchas organizaciones se esfuerzan para el crecimiento en el
mercado mundial, que buscan cada vez ms a utilizar la informacin generada por ordenador para aprovechar una ventaja competitiva. La auditora puede ayudar a la estacin de trabajo correcta y las deficiencias del servidor de tiempo que proporciona una herramienta til para la planificacin de futuras mejoras en el sistema.
El anlisis de las estaciones de trabajo

Al realizar una evaluacin de su organizacin de redes informticas, asegrese de examinar indiestaciones de trabajo duales para lo siguiente: Ha permitido al usuario una pantalla de bloqueo de estacin de trabajo? Tiene una contrasea de BIOS han implementado? Son los datos sensibles almacenados en una estacin de trabajo de una manera segura? Haga que todos los protocolos de red no utilizados o innecesarios ha eliminado? Son los servicios innecesarios, tales como US (Server de Microsoft Internet Information), pre-ventilacin de la que se ejecuta en la estacin de trabajo? Es la proteccin antivirus instalado, actualizado y en funcionamiento? Son todos los archivos innecesarios y carpetas descarta que puedan compartir en la estacin de trabajo? Ha sido el sistema operativo actualizado y las correcciones contra vulnerabilidades conocidas? Existe un procedimiento para automatizar la copia de seguridad frecuentes de los datos?
El anlisis de los servidores de red

Adems, asegrese de examinar tambin los servidores de red para lo siguiente: Que los servidores se encuentra en un lugar seguro razn que la prevencinacceso no autorizado, s? Tiene una contrasea de BIOS han implementado? Tiene todos los datos sensibles han almacenado en una particin NTFS? Han sido deshabilitado por defecto las cuentas? Tiene los protocolos de administrador del sistema no consolidados innecesarios o no utilizados, tales como IPX / SPX, NetBIOS, y as sucesivamente? Tener servicios de tales innecesarios como SMTP, NTP y FTP sido removido o desactivado?
Es un software de proteccin antivirus instalado y actualizado con regularidad? Alguno de carpetas compartidas han dado permisos exclusivos para los usuarios individuales? Tener los Service Packs y parches de seguridad instalados cuando est disponible? Es el administrador de red en la lista de la organizacin de seguridad de correo (para que sea recuerda a aplicar las correcciones y actualizaciones en el momento oportuno)? Copias de seguridad completas se hizo en forma frecuente y regular?
221
Ha sido su administrador de red crea y se almacena de forma segura los discos de reparacin de emergencia? Ha de auditora y cuenta de explotacin forestal ha encendido? Estn los registros de eventos de seguridad revisados de forma regular? Tiene la caracterstica de ejecucin automtica sido deshabilitada para el uso de CD-ROM? Estn los registros de auditora que se controla? Tiene el servidor de reloj de tiempo real se sincroniza con un servidor de hora central? Ha descifrado de contraseas herramientas ha utilizado para detectar contraseas dbiles o fciles de adivinar? Tiene un intrusi basado en hostsistema de deteccin de n (IDS) ha empleado? Ha de disquetes ha deshabilitado? Ha sido habilitada para la auditora de la copia de seguridad y restauracin de los datos? Ha sido desactivado inicio de sesin annimo o restringido? Tener NetBIOS nuyosesiones de l ha deshabilitado? (Vea el procedimiento se detalla a continuacin.) La cuenta de administrador ha cambiado el nombre? En su caso, tiene la clave SAM datla base se ha cifrado con cifrado de 128 bits? (Utilice Syskey.exe de NT 4.0.) Han sido los procedimientos y directrices establecidos para responder a los incidentes?
Cmo deshabilitar NetBIOS NuyoSesiones de l

El nuyol perodo de sesiones es una de las hazaas ms utilizados en la piratera de Windows. Nuyol sesiones son conexiones no autenticadas (no se utiliza un nombre de usuario o contrasea) para el sistema Windows NT/2000/XP. El nuyol perodo de sesiones es tan comn que es Usted como el nmero cinco de vulnerabilidad de Windows en el SANS / FBI Top de la lista 20 (ver www.sans.org/top20/~~V # W5). El IraqiWorm (tambin conocido como Iraq_oil.exe) de diciembre de 2002 fue un ejemplo de cmo el cdigo malicioso puede ser usado para explotar basados en Windows NT ordenadores con el anonimato nuyosesiones de l totalmente habilitada o con el dbil (o el nuyol) las contraseas utilizadas en las cuentas privilegiadas. El IraqiWorm propaga mediante la explotacin basados en Windows NT los ejrcitos, que tena las siguientes configuraciones de seguridad dbiles: Annimo nuyosesiones de l totalmente habilitado Dbil (o nuyol) Las contraseas de cuentas de usuarios privilegiados
Nuyol sesiones de aprovecharse de las fallas en la estructura de archivos comn de Internet del Bloque de sistema / servidor de mensajera (CIFS / SMB). Se puede establecer una nuyol perodo de sesiones con un host de Windows NT/2000/XP, simplemente iniciando sesin con un nuyol nombre de usuario y contrasea. Usando un nuyol conexin que permite para recopilar informacin importante desde el host, tales como las siguientes: Una lista de usuarios y grupos Una lista de los equipos de la red
Respuesta a Incidentes: Computer Toolkit Forense Una lista de recursos compartidos de archivos disponibles Una lista de usuarios y sus identificadores de seguridad de host (SID) En otras palabras, nuyol sesiones de permitir a un usuario no autenticado para obtener una lista de cuentas de usuario vlidas y los grupos a los que pertenecen los usuarios. El acceso a dicha informacin simplifica en gran medida un ataque de contraseas por fuerza bruta en contra de las cuentas de usuario. La mejor defensa contra este tipo de ataque consiste en desglosarcapaz de nu NetBIOSyol sesiones dentro del sistema operativo Windows en s. Los pasos siguientes muestran cmo. PARA WINDOWS XP Para deshabilitar NetBIOS nuyosesiones de l dentro de Windows XP, haga lo siguiente: 1. Haga clic en el botn Inicio y vaya al Panel de Control. 2. En el panel de control, haga clic en Rendimiento y mantenimiento. 3. Haga clic en la IC Herramientas de Administracinn. 4. Haga doble clic en Configuracin de seguridad local. 5. Expanda la carpeta Directivas locales en el panel izquierdo, a continuacin, resalte la carpeta Opciones de seguridad. 6. En la carpeta de opciones de seguridad (ver Figura 11-1), asegrese de que las dos polticas estn habilitadas: Acceso de red: no permitir enumeraciones annimas de cuentas SAM Acceso de red: no permitir enumeraciones annimas de cuentas y recursos compartidos SAM
Figura 11-1: La carpeta de opciones de seguridad dentro de la carpeta local de Windows XP Professional Polticas
Captulo 11: Evaluacin del sistema de seguridad para prevenir nuevos ataques PARA WINDOWS 2000 Para deshabilitar NetBIOS nuyol dentro de las sesiones de Windows 2000, haga lo siguiente: 1. Haga clic en el botn Inicio y vaya al Panel de Control. 2. En el panel de control, haga doble clic en Configuracin de seguridad local. 3. Vaya a las polticas locales. 4. Abra la carpeta Opciones de seguridad. 5. Seleccione "restricciones adicionales de las conexiones annimas" en el panel sobre Polticas la derecha. 6. De los hombres desplegablesdenominado "ajuste de la poltica local", seleccione "No obtener acceso sin permisos annimos explcitos. " 7. Haga clic en Aceptar.
223
PARA WINDOWS NT Desafortunadamente, en Windows NT 4.0, tendr que editar el registro para deshabilitar NetBIOS nuyosesiones l. Siguiendo los procedimientos de registro de edicin y copia de seguridad descritos en el Captulo 4, edicin la siguiente clave del registro de la siguiente manera:
HKEY_LOCAL_MACHINE / System / CurrentControlSet / Control / IDS / = RestrictAnonymous l
El bloqueo de los siguientes puertos en el router o firewall tambin puede ayudar a defenderse contra NetBIOS sesin nula-ataques:
Nmero de puerto 135 137 138 139 445 Puerto de protocolo TCP
TCP / UDP TCP / UDP
Descripcin del puerto

DCE / RPC Portmapper NetBIOS AME Servicio Servicio de Datagrama de NetBIOS NetBIOS Session Service Microsoft-DS (Windows 2000 CIFS / SMB)
TCP TCP
Pruebas de Penetracin
Las pruebas de penetracin es el proceso de anlisis, el sondeo, y la identificacin de las
vulnerabilidades de seguridad en una red en la medida en que podran ser explotadas por terceros. Mediante la simulacin de un ataque malicioso en el mundo real, usted puede saber si su red es segura o no. Pruebas de penetracin
224
es una herramienta importante y necesaria para determinar el estado de las polticas de seguridad actuales y procedimientos de su organizacin, ya que puede: Crcomi la base para la construccin de un entorno seguro y protegido en el que hacer negocios Descubre los puntos dbiles de su red que permite a su organizacin para hacerles frente antes de que un atacante malicioso puede explotar Perfil de las debilidades con base en el riesgo de niveleseis, la gravedad y la habilidad necesaria para llevar a cabo hazaas Identificar las vulnerabilidades, incluyendo cualquier error de configuracin, que pueden ser explotadas por un atacante remoto Proporcionar recomendaciones especficas para fortalecer la seguridad y el MIT parapuerta de los riesgos descubierto Los hackers habitualmente pasan su tiempo buscando sistemas informticos para los agujeros de seguridad en la forma de las vulnerabilidades. Estos agujeros de seguridad puede ser causada por una serie de cuestiones, tales como misconfiguracin y / o defectos de programacin. Para proteger los sistemas informticos de la organizacin de los hackers, crackers, script kiddies, y otros cdigos maliciosos, es necesario comprobar en busca de vulnerabilidades y exploits conocidos dentro de sus sistemas de redes. Las vulnerabilidades pueden estar compuestos de los insectos, puertas traseras de aplicacin o software espa (cdigo de computadora utilizado para controlar, registrar o impedir la actividad en un equipo sis-tema sin el conocimiento de su usuario (s)) que han entrado en aplicaciones o sistemas operativos en forma de cdigo malicioso. Cuando se trata de seguridad de la red, no hay mejor manera de encontrar los puntos dbiles que por realizar pruebas de penetracin-cin sobre una base regular. Hay razones de peso para llevar a cabo la penetracin prueba con regularidad: Nuevos exploits son liberados casi a diario. Los parches y actualizaciones de software y hardware son frecuentemente puestos en libertad. Con sistema operativo y las actualizaciones de las aplicaciones, la posibilidad de una nueva brecha que se present pueden ocurrir.
In-House vs Outsourcing de
Para llevar a cabo una prueba de penetracin, las organizaciones tienen slo dos opciones: o bien realizar la prueba de penetracin en la empresa o tercerizar la tarea a una empresa de seguridad que se especializa en dicha prueba. Slo hay dos circunstancias en las que deben ser las pruebas de penetracin realizados en la
casa. La primera razn sera si hay consideraciones monetarias o presupuestarias. La segunda razn sera en situaciones extremas, donde la seguridad de sus datos es tan vital y / o clasificados que fueralado de individuosais no pueden tener conocimiento de ella.
225
De pruebas de penetracin de software para las auditoras internas

Como era de esperar, hay literalmente docenas de productos disponibles que permiten a una organizacin para llevar a cabo una prueba de penetracin en la casa de su red (s). Una bsqueda rpida en Internet demuestra este punto. Para sistemas basados en Windows, los productos como iNETPATROL y LANPATROL de Sistemas de Red de Seguridad (www.netsecuritysys.com)y VIGILANTe.com SecureScan NX (Www. vigilante.com ) son muy populares. Para los sistemas de Unix-/Linux-based, Nessus (www.nessus.org)y la herramienta de Administrador de Seguridad de Redes Anlisis (SATN) (www.porcupine.org / satans)tener ha utilizado durante aos para llevar a cabo pruebas internas de penetracin y auditoras de red. Si su presupuesto es muy limitado, un producto gratuito es til escner disponibles NetBrute llamado por el software de Logic Raw (www.rawlogic.com), que puede realizar tres diferentes penetracincin en las pruebas de los equipos basados en Windows. NetBrute le permite seun ordenador o una sola mLas direcciones IP-por ltiple de archivos de Windows est disponible y los recursos de impresin compartida (ver Figura 11-2). Este es probablemente uno de los agujeros de seguridad ms peligrosas y fcil de explotar, y no es raro que los usuarios inexpertos disponer de sus impresoras o su disco duro completo compartido sin ser conscientes de ello. Esta herramienta le ayuda a concentrarse en estos recursos, por lo que puede conseguir con un cortafuegos o informar a sus usuarios sobre cmo configurar correctamente sus acciones con mayor seguridad. PortScan (vase la figura 11-3), que se incluye en NetBrute, que permite a seUn solo equipo o mltiple direcciones IP para los servicios de Internet disponibles. Esto le permite identificar qu puertos TCP deben ser bloqueada por el firewall, si desea garantizar su seguridad. Por otra parte, que le permite identificar los servicios no utilizados que se estn ejecutando, por lo que se puede detener. WebBrute (ver Figura 11-4), tambin forma parte de NetBrute, que permite a los seuna de sus directorios Web que estn protegidos con autenticacin HTTP, poniendo a prueba la fuerza de seguridad de las contraseas de los usuarios. Esto le permite cumplir mejor sus polticas de mantenimiento de contraseas para garantizar que los usuarios no estn utilizando contraseas fciles de adivinar, o contraseas que coincidan con su nombre de usuario.
Figura 11-2: La bsqueda de los archivos de Windows est disponible y los recursos de impresin
Figura 11-3: PortScan le permite escanear un solo equipo o mltiple direcciones IP disponibles para Servicios de Internet.
Figura 11-4: WebBrute le permite seuna de sus directorios Web que estn protegidos con autenticacin
HTTP, poniendo a prueba la fuerza de seguridad de las contraseas de los usuarios.
227
De terceros de Pruebas de Penetracin

Se necesita un verdadero experto para darse cuenta de la magnitud de la obra de un hacker. Contratante con un tercero ajeno para realizar pruebas de penetracin no requiere que una organizacin ceder el control del proceso de prueba completa. Por ejemplo, cuando se utiliza un tercero para las pruebas de penetracin, se puede optar por dar tan poco o informacin tanto acerca de su red que desee. Normalmente, las organizaciones optan por externalizar las pruebas de penetracin por varias razones: Para determinar el grado de vulnerabilidad del sistema que no puede ser detectado mediante el uso de las auditoras internas Como preludio a la reestructuracin del sistema de la organizacin de seguridad y para mejorar la percepcin valiosade la reputacin de la organizacin Para mostrar a los clientes con seguridad se puede realizar transacciones de comercio electrnico a travs de Internet El mayor beneficio para las pruebas de penetracin de outsourcing es el uso de un ataque sin conocimiento. El ataque no-conocimiento, cuando es realizada por los probadores que no tienen tinformacin real sobre la ubicacin de destino, est diseado para proporcionar la prueba de penetracin ms realista posible y por lo general comprende la reunin de una cantidad significativa de informacin sobre el sistema de destino antes de lanzar un ataque. Lo mejor es casi siempre si un tercero realiza este tipo de ejercicio debido a que en Fernal personal de seguridad son demasiado conocimiento sobre el entorno de su organizacin para ser lo suficientemente objetiva. Un ataque a gran conocimiento, por el contrario, se lleva a cabo con los probadores de haber excedan de los importes de informacin sobre los entornos especficos. Este tipo de pruebas est diseado para simfinales de un atacante que tiene intcompaero de conocimiento de los sistemas de la organizacin de destino, como un empleado real. Slo personal capacitado y profesionales con experiencia deben llevar a cabo las pruebas de penetracin. Si bien las pruebas de terceros a menudo pueden ofrecer resultados objetivos, las organizaciones a veces ser vctima de los piratas informticos que utilizan una simulacin para encontrar vulnerabilidades para sus propios fines. Para combatir esto, algunas organizaciones tratan de protegerse de las pruebas de penetracin sin escrpulos al tener a su personal de seguridad supervisar los procedimientos de pruebas de penetracin. Durante la bsqueda de un proveedor de terceros para las pruebas de penetracin / vulnerabilidad, lo mejor es utilizar una organizacin bien establecida, con un buen historial conocido. Lo que sigue es una breve lista de varios proveedores populares: Sistemas en guardia, Inc. (www.engarde.com/)
RedHat,Inc. (www.redhat.com / servicios / enfoque / security / testing.html)ITSecure(www.itsecure.com.au/~~V)
VIGILANTE (www.vigi 1ante.com /)
Para ms informacin sobre los proveedores de terceros que proporcionan la penetracin / pruebas de vulnerabilidad, echa un vistazo a la lista de la Revista Seguridad de la Informacin de los proveedores en www.infosecuritymag.com/
vendor_links.shtml.
228
Ley de Portabilidad y Responsabilidad de 1996 (HIPAA)

HIPAA es un acrnimo de la Health Insurance Portability and Accountability Act de 1996. Mientras que la ley contiene numerosas disposiciones relativas a la salud y la portabilidad de los beneficios, sino que tambin contiene disposiciones que exijan la seguridad de los datos de registros mdicos confidenciales y personales almacenados y transmitidos por las entidades, tales como los planes de salud, centros de salud, y proveedores de salud, todos los cuales son obligados a utilizar las normas de seguridad de HIPAA para desarrollar y mantener la seguridad de toda la informacin individual de salud electrnica. Una entidad que es uno o ms de estos tipos de entidades se conoce como una "entidad cubierta" en los reglamentos de la Simplificacin Administrativa. Un aspecto importante en lo que respecta a la respuesta del incidente es la Simplificacin Administrativa de HIPAA provisin. Esta provisin requiere que las entidades cubiertas que mantienen o transmitir "informacin identificable del paciente" para desarrollar y aplicar polticas formales, procedimientos y prcticas que salvaguardan la integridad, confidencialidad y disponibilidad de sus datos electrnicos. Las normas de seguridad incluyen numerosos requisitos con arreglo a las siguientes cuatro categoras generales: Los procedimientos para salvaguardar la integridad, confidencialidad y disponibilidad de los datos. Estos son documentadas, las prcticas formales para seleccionar y llevar a cabo las medidas de seguridad de protegerse de los datos, as como la conducta del personal en relacin con la proteccin de datos. Medidas de seguridad fsicas. Estos se refieren a la proteccin de la computadora de su organizacin siste-mas, los edificios y equipos contra incendios y otros desastres naturales y ambientales, as como de intrusin. Medidas de seguridad fsicas tambin incluyen el uso de cerraduras, llaves, y las medidas administrativas para controlar el acceso a los sistemas informticos y las instalaciones. Los servicios tcnicos de seguridad. Estos incluyen los procesos que se ponen en marcha para proteger y controlar y vigilar el acceso de la informacin. Los mecanismos tcnicos de seguridad. Estos incluyen los procesos que se ponen en su lugar y llevado a cabo para evitar el acceso no autorizado a los datos transmitidos a travs de su organizacin red. Los procedimientos anteriores debern adaptarse a las necesidades individuales de su organizacin. No tienen que ser presentados en el mismo formato o dividirse en cuatro categoras.
Las directrices finales para la HIPAA se encuentran en www.cms.gov.
HIPAA
Los Centers for Medicare & Medicaid (CMS) son responsables de la aplicacin de diversas disposiciones de la ley HIPAA. Las disposiciones de la Simplificacin Administrativa del Seguro de Salud
229
Ley de Portabilidad y Responsabilidad de 1996 (HIPAA, el ttulo II) requieren que el Departamento de Salud y Servicios Humanos de establecer estndares nacionales para transacciones electrnicas de la salud y los identificadores nacionales para los proveedores, planes de salud y de los empleadores y de ofrecer las siguientes pautas abordar la seguridad y la privacidad de los datos de salud para las entidades cubiertas:
Procedimientos administrativos para proteger la integridad DATOS, ConfidentiaUTY, Y DISPONIBILIDAD
A. Certificacin Cada organizacin deber evalcomi su sistema informtico (s) o la red trabajo de diseo (s) para certificar que la seguridad apropiada se ha implementado. Esta evaluacin podra llevarse a cabo de forma interna o por una agencia de acreditacin externa. Estamos, en este momento, solicitar la opinin sobre los mecanismos adecuados para permitir la evaluacin independiente-cin de su cumplimiento. Estaramos especialmente interesados en las aportaciones de quienes se dedican a la salud electrnica de datos (EDI), as como la certificacin y de auditora independientes orga-nizaciones abordar las cuestiones de las pruebas documentales de las medidas adoptadas para su cumplimiento; necesidad o conveniencia de verificar de manera independiente , validacin y pruebas de cambios en el sistema, y certificaciones ciones de los necesarios para la produccin off-the-shelfs utilizado para cumplir con los requisitos de este reglamento. Asimismo, solicitar comentarios sobre la medida en que la obtencin de la certificacin externa crcomi una carga excesiva para los proveedores pequeos o rurales. B. Cadena de Acuerdo de socio de confianza Si los datos se procesan a travs de un tercero, las partes estara obligado a entrar en una cadena de contrato de socio de confianza. Este es un contrato en el que el las partes se comprometen a intercambiar electrnicamente datos y para proteger los datos transmitidos. El remitente y el el receptor se requieren y dependen unos de otros para mantener la integridad y confidencialidad de los la informacin transmitida. Mltiple de dos partidos los contratos pueden estar involucrados en el movimiento inforcin de la parte de origen a la ULTcompaero de la parte receptora. Por ejemplo, un proveedor pueden con contrato con un centro de informacin para transmitir las reclamaciones a la cmara de compensacin, la cmara de compensacin, a su vez, podrn contratar con otro centro o con un pagador de la transmisin continua de las personas reclamaciones. Estos acuerdos son importantes para que el mismo nivel de seguridad se mantendr en todos los eslabones de la cadena cuando la informacin se mueve de una organizacin a otra. C. Plan de Contingencia Nosotros necesitaramos un plan de contingencia de estar en vigor para responder a los sistemas
emergencias tem. La organizacin estara obligado a realizar copias de seguridad peridicas de los datos, tienen disponibles las instalaciones crticas para la continuacin de las operaciones en caso de una emergencia y tienen desaster los procedimientos de recuperacin en su lugar. Para satisfacer el requisito, el plan se incluyen los siguientes: Aplicaciones y anlisis de datos respecto a la criticidad Un plan de datos de copia de seguridad Un plan de recuperacin de desastres Un modo de operacin de emergencia el plan Pruebas y revisin los procedimientos D. Mecanismo formal de Registros del proceso No sera un mecanismo formal para el proceso decin de registros, es decir, las polticas y procedimientos documentados para la rutina y la recepcin no son de rutina,
230
manipulacin, almacenamiento, difusin, transmisin y / o eliminacin de informacin de salud. Esto es importante para limitar la prdida accidental o de la divulgacin de la informacin segura debido al proceso de cuestiones. E.Informacin de Control de Acceso La entidad estara obligada a establecer y mantener formal, polticas y procedimientos documentados para la concesin de diferentes niveleseis de acceso a la atencin de la salud informacin cin. Para satisfacer este requisito, las siguientes caractersticas que se deben proporcionar: Acceda a las polticas y procedimientos de autorizacin de establecimiento de acceso a las polticas y procedimientos El acceso de modificacin de las polticas y procedimientos El control de acceso tambin se discute ms adelante en este documento en la exigencia de la seguridad del personal y en las medidas de seguridad fsicas, los servicios tcnicos de seguridad y los mecanismos tcnicos de seguridad categoras. F. De Auditora Interna No sera un requisito para un curso enFproceso de auditora ernal, que es la revisin a la casa de los registros de la actividad del sistema (por ejemplo, los inicios de sesin, accesos de archivos, y la seguridad inter incidentes de seguridad social) mantenido por una entidad. Esto es importante para permitir a la organizacin para identificar violacines de seguridad potenciales. G. Personal de Seguridad No sera un requisito de que todo el personal con acceso a la salud la informacin debe estar autorizado para hacerlo despus de haber recibido las autorizaciones pertinentes. Esto es importante para evitar el acceso innecesario o inadvertida para asegurar la informacin. El personal de seguridad requisito requerir a las entidades para cumplir con las siguientes condiciones: Asegurar la supervisin de personal que realiza actividades de mantenimiento de los sistemas tcnicos de las personas autorizadas y con conocimientos. Mantener acceso a los expedientes de autorizacin. Asegurarse de que operativo, y en algunos casos, el personal de mantenimiento tiene acceso adecuado. Emplear procedimientos de personal de limpieza. Emplear la poltica de personal de seguridad / procedimientos. Asegrese de que los usuarios del sistema, incluido el personal de mantenimiento
tcnico, estn capacitados en sistema de seguridad. H. Gestin de la Configuracin de Seguridad La organizacin se requiere para implementar medidas, las prcticas y procedimientos para la seguridad de los sistemas de informacin. Estos seran coordin y se integra con otras prcticas del sistema de gestin de configuracin con el fin de crcomi y gestionar la integridad del sistema. Este proceso de integracin es importante para asegurar que los cambios de rutina al hardware del sistema y / o software no contribuyen o crcomieron las debilidades de seguridad. Este requisito se incluyen los siguientes:
231
Documentacin Hardware / software de instalacin y revisin de mantenimiento y pruebas de las funciones de seguridad Procedimientos de inventario Pruebas de seguridad Anlisis de virus I. Procedimientos de Seguridad de Incidentes No sera un requisito para poner en prctica los procedimientos de seguridad precisas y actuales del incidente. Estas son las instrucciones formales y documentados para informar sobre las violaciones de seguridad, de modo que violacines de seguridad denunciados y tramitarn con prontitud. Estas instrucciones se incluyen los siguientes: Procedimientos relativos al informe Procedimientos de respuesta J. Gestin de Procesos de Seguridad Un proceso para gestin de la seguridad sera necesario. Esto implica crear, administrar y supervisar las polticas para garantizar la prevencin, deteccin, Con entretenimiento, y la correccin de fallos de seguridad. Nos exigen que la organizacin tenga un proceso de gestin de la seguridad formal para abordar toda la gama de cuestiones de seguridad. Hombre de seguridadgestin incluye las siguientes caractersticas obligatorias de aplicacin: Anlisis de riesgos Gestin del riesgo Una poltica de sanciones Una poltica de seguridad K. Procedimientos de terminacin No sera un requisito para poner en prctica procedimientos de terminacinprocedimientos, que son las instrucciones formales y documentados, incluyendo las medidas de seguridad adecuadas, para la terminacin del empleo de un empleado o el acceso de un usuario interno / externo. Estos procedimientos son importantes para prevenir la posibilidad de acceso no autorizado a proteger los datos de los que ya no estn autorizados a acceder a los datos. Procedimientos de terminacin se incluyen los siguientes mandaTory las caractersticas de implementacin: Cambio de cerraduras de combinacin La eliminacin de las listas de acceso La eliminacin de la cuenta de usuario (s)
En cuanto a de llaves, fichas o tarjetas que permiten el acceso L. Formacin Esta norma propuesta requerira capacitacin en seguridad para todo el personal con respecto a las habilidades de vulnerabilidad de la informacin de salud en posesin de una entidad y los procedimientos que deben ser seguidas para asegurar la proteccin de esa informacin. Esto es importante porque los empleados necesitan
232
comprender sus responsabilidades de seguridad y hacer de la seguridad una parte de su da a da. Las caractersticas de ejecucin que se requeriran para ser incorporado a continuacin: La sensibilizacin de todo el personal, incluida la gestin (esto tambin se incluye como un requisito en virtud de medidas de seguridad fsicas) Recordatorios peridicos de seguridad Formacin de usuarios concemcin de proteccin contra virus Formacin de usuarios en la importancia del xito de monitoreo de inicio de sesin / fracaso, y cmo informar discrepancias Formacin de usuarios en la gestin de contraseas
El Honeynet Project
Todos hemos odo la expresin: se puede coger ms moscas con miel que con vinagre, la premisa es que es ms fcil para atraer y atrapar las cosas que queremos en lugar de perseguirlos y atraparlos. Si bien este Princip mismoyoe se aplica a los honeypots, el propsito del Proyecto Honeynet es ligeramente diferente. Fundada en abril de 1999 por Lance Spitzner, un antiguo oficial del Ejrcito Forc rpida de Despliegue, El Honeynet Project es un grupo de investigacin sin fines de lucro de 30 profesionales de la seguridad dedicados a la seguridad de la informacin. Sin ingresos o rentas, toda la investigacin del Proyecto Honeynet se lleva a cabo sobre una base estrictamente voluntaria. El objetivo del proyecto es estudiar las herramientas, tacls, y motivos de los blackhat (pirata informtico) de la comunidad y compartir estas lecciones con la comunidad de seguridad en general. Tradicionalmente, la mielpoFe son sistemas de un solo ordenador utilizados para atraer a los agresores hacia un objetivo fcil de atacar. Honeynets, por otro lado, no son realmente diseado para atraer a los piratas. En cambio, redes trampa son conjuntos de ordenadores diseados para permitir que los hackers entrar en una red falsa al mismo tiempo a los investigadores para ver todos sus movimientos. Diseado para la investigacin, que se utilizan para ayudar a los expertos de seguridad en una mejor comprensin del funcionamiento de la comunidad blackhat. El Honeynet Project es valiosa porque los datos recogidos por la red trampa nos ayuda a predecir mejor las tendencias de ataque y encontrar nuevas herramientas de hackers que estn en el medio silvestre. Cuando un mtodo de ataque o herramienta nueva que se descubre, los que participan en las organizaciones Honeynet Project alerta comunicar a Seguridad, como el Computer Emergency Response Team (CERT) o la Administracin de sistemas y de redes, y el Instituto de Seguridad (SANS). Estas organizaciones ayudan a difundir estos datos importantes de las publicaciones de la liberacin, que a su vez eleva la conciencia de seguridad de las amenazas y vulnerabilidades que existen a travs de Internet.
Resumen del captulo
El gobierno de EE.UU. estima que los costos de recuperacin de los ataques cibernticos reportados en el 2001 solo fue de $ 13 billones a nivel nacional. La mejor manera de evitar estos costos, es proteger los activos crticos de informacin y recursos. Las auditoras de seguridad estn diseados para encontrar vulnerables reas donde los hackers, crackers, y conocedores pueden obtener acceso no autorizado a sus sistemas informticos. Una seguridad integral
233
auditora evala las prcticas de su organizacin y funcionamiento de la red para asegurar que sus sistemas sean seguros tanto de interior y extemal amenazas. La deteccin de vulnerabilidades e intrusiones a travs de auditoras de seguridad ayuda a determinar si las infraestructuras de seguridad, polticas y procedimientos de estafadorestinupara proporcionar el nivel de proteccin exigido por sus organizaciones. Algunas industrias, como las instituciones gubernamentales y de salud-ya estn obligados a someterse a auditoras de seguridad integral que comprobar la seguridad en los sistemas tradicionales. En este captulo se centra en la comprensin de tales procedimientos de auditora bsicos como la evaluacin de las polticas de seguridad actuales, procedimientos y prcticas, la evaluacin de vulnerabilidad y pruebas de penetracin. Puntos principales tratados en este captulo se incluyen Los procedimientos para la evaluacin de las polticas y procedimientos de seguridad y cmo equipo auditoras de seguridad ayuda del MITriesgos de puerta a los activos de informacin Cmo desarrollar y aplicar listas de control de polticas de seguridad Una visin general del proceso de auditora de seguridad y su papel en la respuesta a incidentes Los pasos bsicos para llevar a cabo auditoras y estacin de trabajo del servidor y su importancia en el general del equipo proceso de seguridad Los pros y los contras de las pruebas de penetracin de la casa y cundo y por qu la
externalizacin es veces superiores Comprensin de los problemas de cumplimiento de HIPAA para las entidades cubiertas y cmo se relacionan con incidente de la preparacin de la respuesta Un breve recorrido por el Honeynet Project
Captulo 12
Si tira todo junto

ln este captulo
El anlisis de la vida real los ataques Las lecciones aprendidas de los dems A dnde ir para obtener informacin puesta al da Tendencias futuras en la tecnologa de seguridad EN FEBRERO DE Informes 7, de 2000, el NIPC recibidas que Yahoo haba experimentado un ataque de Denegacin de Servicio. En los das que siguieron, varias otras compaas (incluyendo Cable News Network, eBay, Amazon.com,Buy.com, Y ZDNet) tambin inform de la denegacin de la interrupcin del servicio a las oficinas de campo NIPC y el FBI. Desafortunadamente, los atacantes utilizaron falsa Direcciones IP, lo que significa que la direccin que apareca en el registro del objetivo no era la direccin real del sistema que envi a los men-sajes. Adems, muchas de las vctimas no haban guardado los registros completos de la red. Estos ataques de denegacin de servicio como resultado millones de dlares en ingresos perdidos. El sector empresarial, los medios de comunicacin, e incluso gobiernosagencias de desarrollo se quedaron exasperado. Una denegacin de servicio (DoS) no es un virus (como algunos suponen), pero un mtodo utilizado por los hackers para evitar o negar el legtimolos usuarios el acceso a un compaero de computacinnLos ataques DoS son tpicamente ejecutarse una utilizando herramientas especialmente diseadas que inundan un equipo con tantas solicitudes de datos que la computadora deja de funcionar y no puede proporcionar informacin a fiarlos usuarios de mate. El ataque de manera efectiva se apaga el ordenador afectado gallina,ee la Negacin de Servicio apodo. Una analoga sera que alguien lanza un programa automatizado para tener cientos de telfono de calyos colocado simultneamente a la centralita de una organizacin. Los esfuerzos de afrontamiento por parte de personal de la organizacin sera mseoyo en ningn momento, y muchas personas que llaman recibirn seal de ocupadoais, debido a la gran cantidad de trfico telefnico.
235
236
El anlisis de los ataques del mundo real

Fue en el otoo de 1999 que la primera NIPC comenz a recibir informes acerca de una nueva serie de exploits y herramientas de ataque colectivamente llamados ataques distribuidos de denegacin de servicio (o DDoS) herramientas. Variantes de DDoS incluyen herramientas conocidas como Trinoo, neto de Inundaciones tribales (TFN), TFN2K y Stacheldraht (Germn de "alambre de pas"). Estas herramientas bsicamente funcionan de la siguiente: los hackers obtener acceso no autorizado a un sistema informtico (s) y cdigo de software a cabo en lo que transforma ese sistema en un maestro (tambin denominada controlador). Los hackers tambin invaden y luego colocar el cdigo malicioso en las redes de otros, por lo que estos sistemas se conviertan en agentes (tambin conocido como zombis, demonios o esclavos). Cada maestro es capaz de controlar mltiple agentes. En ambos casos, los propietarios de la red normalmente no son conscientes de que instrumentos peligrosos se han colocado (y residir) en sus sistemas, convirtindose as en la terceravctimas en el delito previsto. Notas Vatis Michael, director de la NIPC ", los" amos "se activan de forma remota o mediante laFernal programacin (como un comando para iniciar un ataque en un momento determinado) y se utilizan para enviar informacin a los agentes, activando su capacidad de DDoS. Los agentes entonces gentasa de nume-rosas solicitudes de conexin con el ataque de ULTobjetivo de su compaero (s), por lo general usando un ficticio o 'falso' IP (Internet Protocol), lo que proporciona una identidad falsa en cuanto al origen de la solicitud. Los agentes actan en el Servicio de Informacinn para generacinuna opinin por alto volumen de trfico de varias fuentes. Este tipo de ataque se conoce como una inundacin SYN, como el SYN es el esfuerzo inicial por el equipo de envo para hacer una conexin con el equipo de destino. Debido al gran volumen de peticiones SYN al ordenador destino de la nacin se abruma en sus esfuerzos por reconocer y completar una transaccin con los equipos emisores, degradantes o negando su capacidad para completar el servicio con el legtimolos clientes se aparean - Henee el trmino "denegacin de servicio." Estos ataques son especialmente dainos cuando se coordinan a partir de msitios ltiple - Henee el trmino "Distributed Denial of Service". Mientras que los ataques DDoS eran costosos, el elemento ms preocupante es que no pescaron gran parte de la industria de seguridad informtica por sorpresa, simplemente porque eran algo inesperado y la industria no estaba preparada. Estar preparado y actuar con rapidez son el sello distintivo de un incidente de sonido la respuesta del programa. Incluso las compaas de seguridad informtica no son inmunes a los ataques. A las 2:00 am, 11 de enero 2002, el GRC.com Sitio Web (casa de Gibson Research Corporation) fue eliminado de la Internet por un nuevo tipo de ataque llamado Distributed Denial reflejada de ataque Servicio o DRDOS. Segn el presidente de Cruz Roja Guatemalteca, Steve Gibson, "Tal vez el aspecto ms sorprendente de este ataque fue que la fuente aparente fue de cientos de nios en Internet 'routers de ncleo", que pertenece a los servidores web Yahoo.com,, E incluso una mquina con una direccin IP a la resolucin de 'Gary7.nsa.gov. Nos pareca estar bajo los ataques de cientos de mquinas muy potentes y bien comunicada. " A medida que la sofisticacin de los hackers maliciosos crece y la oferta disponible de la inseguridad y el peligro fcilmente conectados a Internet mquinas de acogida cohetes, ancho de banda que consume Denegacin de Servicio Distribuida (DDoS) ataques cada vez ms frecuentes. Esto se debe al hecho lamentable de que las herramientas de gran alcance, a distancia
de ataque de Internet estn ahora encontrando su camino en las manos de los adolescentes o script kiddies que utilizan su fuerza destructora con poca consideracin para, o remordimiento por las consecuencias. Mientras ataques de denegacin de servicio son slo un tipo de amenaza que enfrentan las organizaciones que realizan comercio electrnico, numerosas otras amenazas reside mucho ms cerca de casa, en la forma del empleado descontento o malicioso. La publicacin reciente de las siguientesePulse RELASE es un ejemplo de un tal ataque.
Captulo 12: tirar todo junto
237
17 de diciembre 2002 EE.UU. Departamento de Justicia Fiscal Federal Distrito de Nueva Jersey Empleado descontento de UBS Paine Webber acusado de Al parecer Liberar "bomba lgica" en los ordenadores NEWARK-Un equipo descontentos administrador de sistemas de UBS Paine Webber fue acusado hoy con el uso de una "bomba lgica" para causar ms de $ 3 millones en daos a la red informtica de la empresa, y con fraude de valores por su fallido plan para reducir las acciones de la compaa con la activacin de la bomba lgica, EE.UU. fiscal Christopher J. Christie anunci. Roger Duronio, 60, de Bogot, Nueva Jersey, fue acusado hoy de una acusacin de dos cargos emitida por un gran jurado federal, segn la Fiscal Asistente de EE.UU. William Devaney. La acusacin alega que Duronio, que trabaj en las oficinas de PaineWebber en Weehawken, Nueva Jersey, puso la bomba lgica en unos 1.000 de los cerca de 1.500 ordenadores conectados en red PaineWebber en las sucursales de todo el pas. Duronio, quien en repetidas ocasiones expres su descontento con su salario y bonos en Paine Webber renunci a la compaa el 22 de febrero de 2002. La bomba lgica Duronio supuestamente plantado se activ el 4 de marzo de 2002. En previsin de que el precio de las acciones de la compaa matriz de UBS Paine Webber, la UBS, AG, se reducira en respuesta a los daos causados por la bomba lgica, Duronio, tambin han comprado ms de $ 21.000 de "opcin de" contratos de UBS, las acciones de AG, de acuerdo con el documento de carga. Una opcin de venta es un tipo de seguridad que se incrementa en valiosocuando el precio de las acciones cae. Las condiciones del mercado en el momento sugieren que no haba tal impacto en la UBS, AG precio de acciones. PaineWebber informar, de inmediato lo que haba sucedido a los investigadores del gobierno y de la Oficina del Fiscal de EE.UU., y ha sido de gran ayuda y de cooperacin en la investigacin por Electronic los EE.UU. Servicio Secreto de Tareas de Delitos Forc. Duronio est programado para hacer una aparicin inicial en el tribunal a las 2:00 antes de que EE.UU. juez federal Madeline Cox Arleo. "El cibercrimen contra las instituciones financieras es un problema importante", dijo Christie. "Aunque el dao estaba contenida en este caso, el potencial de dao catastrfico en otros casos es siempre all. Vamos a procesar a ciber criminais, y los puso en la crcel. " La acusacin formal alega que, desde noviembre de 2001 a febrero, Duronio construy la bomba lgica programa de ordenador. El 4 de marzo, como estaba previsto, el programa de Duronio activ y comenz delet-Ing archivos en ms de 1.000 de los ordenadores de UBS PaineWebber. Le cost a PaineWebber ms de $ 3 millones para evaluar y reparar los daos, de acuerdo con la acusacin. Como uno de los sistemas informticos de la empresa a los administradores, Duronio tena la responsabilidad de, y el acceso a toda la red de UBS Paine Webber equipo, de acuerdo con la acusacin. l tambin tena acceso a la red de su ordenador personal a travs de acceso seguro a Internet. Duronio se carga en el Primer Cargo de la Acusacin de fraude con valores, que lleva ampena de ximum de 10 aos en prisin federal y una multa de $ 1 milln. Se le acusa en el Segundo Cargo de fraude y otras actividades conexas en relacin con ordenadores. Ese cargo conlleva una m pena de prisin ximum de 10 aos y una multa de 250.000 dlares o, alternativamente, dos veces el beneficio obtenido por el demandado o la prdida sufrida por la vctima. En febrero y marzo de 2002, segn la acusacin, Duronio gast aproximadamente $ 21762 en la compra de 318 contratos de opciones put-de las acciones de UBS AG, todos expiran el 15 de marzo. Una "opcin de venta" es un contrato de seguridad que le da al comprador el derecho de vender 100
acciones de acciones de una empresa por un perodo fijo por accin el precio en una fecha determinada. Cuanto menor sea el precio de la accin cae, el ms valioso poder el contrato de opcin de venta se convierte en. Si el contrato se vende en o antes de la fecha de caducidad de la accin en o debajo de un determinado "precio de ejercicio", se obtiene ganancia.
238
Es un hecho lamentable que prcticamente cualquier Intemet-ordenador conectado puede convertirse en el objetivo oun ataque desde cualquier punto en todo el mundo. El siguiente comunicado pblico en relASE demuestra que incluso los militares de EE.UU. pueden ser vctimas de un ataque hacker malicioso de una tierra extranjera.
12 de noviembre 2002 EE.UU. Departamento de Justicia Fiscal Federal Distrito Este de Virginia 2100 Jameison Avenida Alexandria, VA 22314 Londres, Inglaterra Hacker acusado en virtud de Fraude Informtico Acta de Abuso y de acceso a computadoras militares Pensilvanial J. McNulty, fiscal federal para el Distrito Este de Virginia, anunci que Gary McKinnon, de Londres, Inglaterra, fue acusado formalmente en Alejandra hoy por un gran jurado federal en siete cargos de fraude informtico y la actividad relacionada. McKinnon se enfrenta por cada cargo un mpena de ximum 10 aos de prisin y una multa de 250.000 dlares. Los Estados Unidos tiene la intencin de solicitar formalmente que el Gran Bretaa extraditar a McKinnon. Segn la acusacin, entre marzo de 2001 y marzo de 2002, Gary McKinnon acceso y daados sin autorizacin 92 equipos que pertenecen al ejrcito de Estados Unidos, la Marina, Aire Forc , El Departamento de Defensa y la NASA, y 6 equipos que pertenecen a una serie de pr Vate empre-sas. Un recuento de los cargos de McKinnon con el acceso y daar sin autorizacin una computadora usada por los militares para la defensa nacional y la seguridad. Otros equipos hackeados por McKinnon son equipos ubicados en bases militares de los Estados Unidos y el Pentgono. La acusacin alega que Gary McKinnon escaneado un gran nmero de equipos en la red. Mil, fue capaz de acceder a los ordenadores y obtener privilegios administrativos. Una vez que fue capaz de acceder a los ordenadores, McKinnon instalado una herramienta de administracin remota, una serie de herramientas de hackers, copiar archivos de contraseas y otros archivos, eliminar una serie de cuentas de usuario, y borr archivos crticos del sistema. Una vez dentro de una red, McKinnon entonces utilizar el ordenador hackeado para encontrar militar y de las vctimas de la NASA. En ltima instancia, McKinnon causado una red en el Washington DC razones para cerrar, resultando en la prdida total de acceso a Internet y servicio de correo electrnico a aproximadamente 2.000 usuarios por tres das. La prdida estimada de las distintas organizaciones militares, de la NASA, y el RPlas empresas privadas es de aproximadamente $ 900.000. El caso fue procesado como el resultado de una investigacin de 17 meses por la Unidad de Ejrcito de los EE.UU. Comando de Investigacin Criminal de Delitos Informticos de Investigacin (CCIU), Oficina de la NASA del Inspector General, Servicio Naval de Investigacin Criminal, 902o Inteligencia Militar Grupo de Informacin del Poder Guerra, de Defensa Servicio de Investigacin Criminal, el Forc AireOficina de Investigaciones Especiales, y la Unidad Nacional de Alto del Reino Unido Tech Crime. Tambin ayuda en la investigacin eran del Ejrcito de los EE.UU. Computer Emergency Response Team ubicada en Fort Belvoir, Virginia., El Ejrcito de Emergencia Regional Equipo de Respuesta en el Fuerte Huachuca, el incidente naval Equipo de Respuesta, y el Departamento de Defensa de Equipo Equipo de Respuesta a Emergencias.
Lecciones Aprendidas de Seguridad Otros

A menudo se dice que la sabidura es aprender de los errores de otros para que no los repita usted mismo. Es ciertamente el caso de la seguridad informtica y respuesta a incidentes. Cuando la enseanza de la respuesta a incidentes, los ejemplos de fracasos en el mundo real son un mtodo eficaz para la demostracin y la
239
actuar como una advertencia de precaucin para el futuro personal de seguridad informtica. Mediante la revisin de algunos comunes a la seguridad de informacin errores, por ejemplo, el personal de respuesta a incidentes de seguridad pueden refinar las polticas-CIES a corregir las deficiencias. stos son algunos errores comunes: Instalacin de programas y servicios innecesarios Apertura de archivos adjuntos de correo de mensajes de personas desconocidas No es mantenerse al da sobre los parches de software, especialmente aquellas relacionadas con la seguridad Si no se instala el software antivirus y mantener sus patrones de virus actuales La falta de capacitacin adecuada para administrar el sistema No implementacin de cifrado o intrusin sistemas de deteccin El manejo inadecuado de los datos sensibles Compartir contraseas o el uso de contraseas dbiles Propagacin de cota de malla y las bromas de virus
Lecciones aprendidas a partir del gusano Cdigo Rojo

En julio de 2001, otro gusano de Internet en los titulares. Conocido como Cdigo Rojo, este gusano fue mali-cious cdigo que una mquina infectada y despus se propagan en una red de intentar infectar a otras personas, la explotacin de una vulnerabilidad conocida en el servidor Microsoft Internet Information (US) de software. A pesar de que el gusano podra ser derrotado por el parche de la vulnerabilidad y reiniciar el sistema, que tena un secundario, inesperado y daino - efecto secundario. Algunas de las redes infectadas se impregna con el trfico de Internet y experimentaron retrasos significativos. El gusano tambin revel una serie de fallas en ciertos tipos de equipos de redes, especialmente aquellas que permiten la gestin a travs de una interfaz web. Muchos dispositivos de red, simplemente fall en la cara de la memoria intermedia Cdigo Rojo desbordamiento. Es importante entender y recordar que cuando se hacen excepciones en materia de seguridad polti-cas, que pueden tener consecuencias graves. Por ejemplo, si una organizacin disea una red completael sistema de trabajo de seguridad e instala un cortafuegos para bloquear las conexiones entrantes no autorizadas, pero permite que las consultas Web de Internet, el cortafuegos y llegar a un sin parchear US servidor web, el diseo de la seguridad se convierte en toda minada. La leccin aprendida aqu es que la tradicional de paredes de fuego no ayuda cuando usted deliberadamente abrir un agujero de seguridad en el servidor Web y eludir la proteccin del permetro. Mientras que muchos servidores Web realizado bastante bien en la cara del ataque Code Red, la caracterstica ms des-nombramiento de los incidentes Code Red fue el fracaso de la comunidad de administrador del sistema para abordar el problema de una manera oportuna. A pesar de las
numerosas advertencias, muchos administradores no han aplicado parches disponibles para sus sistemas. Puede haber habido dos razones para ello. Es posible que muchos equipos se ejecuta sin ningn tipo de administrador del sistema pre-enviado o que algunos administradores de sistemas se acaba haciendo caso omiso de la gran cantidad de advertencias de seguridad. El aumento de las capacidades de los paquetes de cdigos maliciosos se han traducido en impactos ms devastadores. Varias otras tendencias tambin se hicieron evidentes durante el ao 2001. Uno de los ms significativos fue la incorporacin de las capacidades de los gusanos, caballos de Troya (puertas traseras), y virunSES todo ello combinado en un paquete nico y poderoso. Los ataques de cdigos maliciosos durante el ao 2001 tambin se incluyen las tcnicas de
propagar ms rpidamente que nunca antes. El breve intervalo entre el gusano Code Red y la relasa del gusano Nimda continu la tendencia de larga data de los paquetes de cdigo malicioso estn modificando sobre la base de las lecciones aprendidas de anteriores ataques malvolos. Esto dio lugar a an ms avanzados paquetes de cdigos maliciosos.
Lecciones aprendidas de los hackers

Las lecciones aprendidas de las intrusiones tienden a centrarse en cmo el intruso entr y qu tipo de vulnerabilidad de nerabilities fueron explotados. Debido a su amplio uso, basados en Windows los sistemas informticos son el objetivo principal para muchos tipos de ataques, en particular con programas troyanos como NetBus, SubSeven y BackOrifice. Como se seal en la seccin anterior, la mayor parte de estos sistemas se compro-metan mucho antes de que nadie se dio cuenta de que algo andaba mal. La mayora de los administradores del sistema se dio cuenta de caballo de Troya o programas de puerta trasera slo despus de que los usuarios autorizados se quej de mal funcionamiento del sistema y la causa de la utilizacin del sistema de alta se remonta a uno de estos programas no autorizados. Otra leccin aprendida es que la actividad de los hackers - o hacktivity normalmente aumenta en las pocas de tensionn. Este argumento se ve reforzado por el aviso siguiente de la Infraestructura Nacional Centro de Proteccin (INCP), que advierte de la creciente amenaza de hackers, debido a las crecientes tensiones entre los EE.UU. e Irak actividad.
Alienta a aumentado de Seguridad Ciberntica como Irak - EE.UU. aumentar las tensiones 11 de febrero 2003 El Centro Nacional de Proteccin de la Infraestructura (NIPC) est emitiendo este documento para aumentar la conciencia-dad de un aumento en las actividades mundiales de la piratera como resultado de las crecientes tensiones entre Estados Unidos e Irak. La experiencia reciente ha demostrado que durante una poca de gran tension internacionaln, Yoactividad ciberntica jurdica: envo de correo basura, desfiguraciones Web, ataques de denegacin de servicio, etc, a menudo se intensifica. Esta actividad puede origNate dentro de otro pas, que es parte de la tensionn. Puede ser patrocinado por el estado o anima-edad, o que proceden de organizaciones nacionales o individuosais independiente. Adems, simptico individuosais y organizaciones en todo el mundo tienden a llevar a cabo actividades de hacking, que ven como algunos tcnicos que contribuyen a la causa. A medida que aumentan las tensiones, es prudente tener en cuenta, y prepararse para este tipo de Yoactividad legal. Los ataques pueden tener uno de varios motivos: El activismo poltico atacar a Irak, o los que simpatizan con Irak por los autodenominados "patriota" los piratas informticos. El activismo poltico o ataques dirigidos perturbadores de los Estados Unidos por los sistemas de los que se oponen a cualquier posible conflicto con Irak. La actividad criminal disfrazado o el uso de la actual crisis para alcanzar objetivos personales. Independientemente de la motivacin, el NIPC reitera que dicha actividad es Yolegal y sanciona como delito grave. El Gobierno de EE.UU. no aprueba la llamada "piratera patritico" en su nombre. Otros, incluso los hackers Apatrioticpuede ser engaado para lanzar ataques contra sus propios intereses mediante la explotacin de cdigo malicioso que pretende atacar el otro lado, cuando en realidad est diseado para atacar los intereses de la parte de enviarlo. En los hackers stas y otras formas Apatriotic riesgo de convertirse en herramientas de su enemigo. Durante los tiempos de interrupcin ciber posible aumento, los propietarios u operadores de computadoras y sistemas de red trabajado deberan revisar sus posturas
defensivas y procedimientos, y subrayan la importancia de reforzar la vigilancia del sistema. Los usuarios de computadoras y administradores de sistemas pueden limitar los posibles problemas mediante el uso de "mejores prcticas de seguridad" los procedimientos. Algunas de las medidas ms bsicas y eficaces que se pueden tomar son:
Captulo 12: tirar todo junto 241

Aumentar la sensibilizacin de los usuarios de actualizacin de software antivirus Detener los archivos adjuntos potencialmente hostiles / sospechosos en el servidor de correo electrnico Utilizar filtrado para maximizar la seguridad Establecer polticas y procedimientos para dar respuesta y recuperacin de todos los usuarios deben ser conscientes de que el cdigo malicioso (por ejemplo, los gusanos y virus) pueden ser introducidos para propagarse rpidamente mediante el uso de ttulos patriticos o pegajosa de lo contrario, animando a los usuarios a hacer clic en un documento, pie-Tura, la palabra, etc, que se extiende de forma automtica el cdigo daino. Para listas de control de seguridad adicionales, por favor consulte los siguientes sitios: www.cert.org / mejora de la seguridad www.unixtools.com / securecheck www.microsoft.com/technet/treeview/default.asp?url=/technet/~~V seguridad / herramientas / tools.asp www.sans.org / topten.htm La NIPC insta a los beneficiarios de este documento para informar intrusiones en computadoras y / o otros delitos federales, estatales, o la polica local, la oficina local del FBI en http://www.nipc.gov/ incidente / cirr.htm, y otras autoridades competentes. Los beneficiarios pueden reportar incidentes en lnea para http://www.nipc.gov/incident/cirr.htm . El reloj NIPC y de alerta puede ser alcanzado en (202) 323-3204 / 3205/3206 o N I P C . Watch@fbi.gov.
Es importante recordar que su organizacin siempre debe tratar a los activos de informacin, ya que tratara a cualquier otro activo valioso. As como usted no volvera a caminar lejos de su escritorio dejando dinero en efectivo o de otros objetos de valor desatendidos, usted debe tener cuidado para proteger sus activos de informacin de manera similar. Recuerde siempre tomar las siguientes precauciones: Proteja su equipo de cmputo. Gurdelo en un entorno seguro. Asegrese de mantener la comida, la bebida y el humo del cigarrillo fuera de ella en todo momento. Adems, sabemos que el fuego equipo de supresin se encuentra, y aprender a usarlo. Proteja su rea. Mantenga a las personas no autorizadas lejos de los equipos informticos y de informacin sensible y recuerda a cuestionar a cualquier extrao que en su rea. Proteja su contrasea. Nunca escriba o se la d a nadie. Adems, no utilice Ames, nmeros o fechas en las que puede ser identificado personalmente con usted. Recuerde que no slo se cambian con frecuencia, sino tambin para cambiar de inmediato si usted piensa que ha sido comprometida. Proteja sus archivos. No permitir el acceso no autorizado a sus archivos y datos, y recuerde nunca deje su equipo desatendido con su contrasea activada, siempre firmar! Proteger contra cdigos maliciosos. No utilizar software no autorizado, y copia de seguridad crtico de suarchivos de cal antes de implementar cualquier nuevo software. Guarde bajo llave los medios de almacenamiento que contiene los datos sensibles. Si los datos o la informacin es sensible o crtica a su organizacin, siempre asegrese de
encerrar en un lugar seguro. Copia de seguridad de sus datos. Mantenga copias de sus datos importantes en un lugar seguro, fuera de su inmediata rea, y recuerda hacer copias de seguridad de datos con la frecuencia necesaria. Informe violacines de seguridad. Dgale a su administrador de sistema o administrador de seguridad de la red si usted ve cualquier cambio no autorizado a sus datos. Reporte de inmediato cualquier prdida de datos o programas, ya sea copia automatizada o dura.
242
Ya sea que los incidentes de seguridad informtica vienen de virunses, los ataques de hackers, o travesuras equipo iniciados por empleados descontentos, las exigencias de respuesta apropiadas que su organizacin continuaoperaciones mientras que la inversin daos, investigar las causas, la comunicacin con los clientes, y puesta en marcha, incluso las investigaciones y la bsqueda de recursos legales. Mientras que el Princip bsicayoes de preparacin de emergencia se han utilizado durante dcadas y se continuaser la base para abordar los nuevos retos - dos nuevos enfoques de planificacin tambin debe abordarse. En primer lugar, el mbito de la planificacin de recuperacin de desastres debe ser ampliado ms all de su enfoque tradicional en las cuestiones operativas sobre todo para incluir medidas de seguridad de seguridad, tambin. En segundo lugar la planificacin, la continuidad del negocio junto con la planificacin de recuperacin de desastres debe ser abordado como una operacin comercial a nivel corporativo requisito.
Dnde dirigirse para obtener informacin Up-to-Date

El Internet est creciendo a un ritmo increble, con, dicen los expertos, cientos de nuevos sitios apareciendo cada da. Es posible que cualquier persona de crear un sitio Web, la colocacin de informacin sobre el mismo que dicen es creble, sin embargo, es difcil de justificar tales declaraciones y verificar que la informacin publicada corresponde al da y precisa. Hay un gran nmero de recursos disponibles a travs de Internet. Las empresas comerciales, organizaciones, instituciones educativas, comunidades y los individuosais sirven como proveedores de informacin para la comunidad de Internet electrnica. Esta puesta en comn de recursos y la informacin es un ejemplo de cooperacin entre el sector pblico, prcan al sector privado y gubernamental sec-tores de la sociedad y ha animado a extensas comunicaciones profesionales y personales a travs de-el mundo. SawY los miembros de la comunidad de Internet electrnica, sin embargo, son conscientes de que hay pocas, si alguna, controles de calidad de la informacin que est disponible. Los datos precisos y fiables puede compartir la pantalla del ordenador con los datos que sean inexactos, poco confiables, o falsas y engaar deliberadamente-Ing. Adems, las diferencias entre los tipos de datos pueden ser imperceptibles, sobre todo para aquellos que no son expertos en el tema que nos ocupa. Debido a que Internet no cae bajo la respon-sabilidad de cualquier organizacin o institucin, es poco probable que los controles de calidad universales se establecer en un futuro prximo. A la luz de esta falta de un nico rgano de gobierno, los usuarios de Internet deben estar preparados para convertirse en consumidores crticos especializados de la informacin que encuentran y cosechar. Cuando se trata de la informtica forense y respuesta a incidentes, varios sitios Web crebles que estn disponibles hacer proporcionar informacin precisa y actualizada. Lo que sigue es una breve lista de los sitios Web que ofrecen hasta al da la seguridad informtica, respuesta a incidentes, y la informacin forense. El Centro de Coordinacin CERT (CERT / CC) (www.cert.org ). Funcionando como un centro de conocimientos especializados de seguridad de Internet, el Centro de Coordinacin CERT se encuentra en el Instituto de Ingeniera de Software, un centro financiado con fondos federales la investigacin y el desarrollo operado por la Carnegie Melln de la Universidad. La
informacin proporcionada en este sitio abarca desde la proteccin de los sistemas frente a los problemas potenciales para reaccionar a los problemas actuales para la prediccin de problemas en el futuro. Sus centros de trabajo de todo el manejo de incidentes de seguridad informtica y vulnerabilidades, la publicacin de alertas de seguridad, la investigacin a largo plazo los cambios en los sistemas en red, y el desarrollo de informacin y capacitacin para ayudar a mejorar la seguridad informtica.
El Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST) (www.first.org ). Al reunir a una amplia gama de equipos de seguridad informtica de respuesta a incidentes de las diferentes administraciones, comerciales, e instituciones educativas, primera tiene por objeto fomentar la
243
la cooperacin y la coordinacin de la prevencin de incidentes. Adems, promueve, ante todo la reaccin rpida ante incidentesepor fomentar el intercambio de informacin entre los miembros de la Internet y la comunidad de seguridad informtica en general. El Centro Nacional de Proteccin de la Infraestructura (NIPC) (www.nipc.gov ). Sirviendo como un nacional de la infraestructura crtica evaluacin de la amenaza, la advertencia, la vulnerabilidad, y la ley investigacin de la aplicacin y la entidad de respuesta, el NIPC proporciona advertencias oportunas de las amenazas internacionales, el anlisis integral y la investigacin y aplicacin de la ley respuesta. De acuerdo con loeSitio Web, la misin de la NIPC es "Detectar, disuadir, evaluar, prevenir, responder, e invertirpuerta de los actos ilcitos que involucran las tecnologas informtica y de informacin y de los actos ilcitos, tanto fsicos y cibernticos, que amenazar o atacar nuestras infraestructuras crticas Administrar equipo intrusin las investigaciones Apoyo a la aplicacin de la ley, lucha contra el terrorismo, y contrainteligencia extranjera Misiones relacionadas con los delitos cibernticos y intrusin Apoyar a las autoridades nacionales de seguridad cuando los actos ilcitos van ms all de la delincuencia y son en el extranjero patrocinados por los ataques a inters de los Estados Unidose Coordla formacin de investigadores cibernticos Nate y protectores de infraestructura en gobiernocin y el RPtor privado " El Instituto SANS (www.sans.org ). Compuesto por profesionales de la seguridad, auditores, as como los administradores de sistemas y redes, la misin del Instituto SANS es compartir las lecciones que han aprendido y encontrar soluciones a los desafos que enfrenta la comunidad de seguridad informtica en general. En el corazn de SANS son los profesionales de la seguridad en muchas agencias gubernamentales, corporaciones y universidades de todo el mundo que ofrecen a cientos de horas-hombre cada ao la investigacin y la enseanza para ayudar a toda la informacin seguridad de la comunidad. La Seccin de Delitos Informticos y Propiedad Intelectual (CCIPS) (www.cybercrime.gov). Una divisin del Departamento de Justicia de EE.UU., CCIPS consistenede los abogados que se centran exclusivamente en las cuestiones planteadas por la computadora y la propiedad intelectual crimen. Abogados CCIPS ayudar a Asesorar a los fiscales federales y agentes de aplicacin de la leyeOpina sobre la legislacin y proponer Coordnate los esfuerzos internacionales para combatir la delincuencia informtica
Litcasos de puerta Capacitar a los grupos de aplicacin de la ley Otro reas de conocimiento que poseen los abogados CCIPS incluyen el cifrado, las leyes electrnicos pri-Vacy, registro e incautacin de las computadoras, comercio electrnico, las investigaciones de hackers, y delitos de propiedad intelectual.
244
El Computer Security Resource Center (CSRC) (www.csrc.nist.gov ). Como una divisin del Instituto Nacional de Estndares y Tecnologa, la misin de la CSRC, por su pgina web, es ayudar a mejorar la seguridad informtica por "El aumento de la conciencia de los riesgos de TI, vulnerabilidades, y los requisitos de proteccin, espe-particularmente para las tecnologas nuevas y emergentes Investigar, estudiar y asesorar a los organismos de vulnerabilidades de TI, y la elaboracin de las tcnicas de la seguridad econmica y la privacidad de los sensibles sistemas federales Elaboracin de normas, parmetros, pruebas y validacin de programas de: promover, medir y valoresfecha de la seguridad en los sistemas y servicios; a Edcate a los consumidores, y establecer al mnimum requisitos de seguridad para los sistemas federales Desarrollar una gua para aumentar asegurar las TI de la planificacin, ejecucin, gestin, y la operacin "
Tendencias futuras de la tecnologa de seguridad

Como la sociedad se ha vuelto cada vez ms dependientes de los ordenadores para crear, transmitir y almacenar los documentos esenciales y de datos, la cantidad de robos no autorizada de informacin confidencial almacenada en y transmitida de ordenadores ha aumentado proporcionalmente. Como resultado, las tendencias actuales en la tecnologa de seguridad estn dirigidas a la mejora de los sistemas de seguridad existentes, centrndose en nuevos requisitos de seguridad y / o satisfaccin del cliente. Ejemplos de esto son intrusin la deteccin de sistemaMET (IDSS) y los cortafuegos. Con las mejoras constantes, IDS y firewalls estn siendo continuamente mejorado para producir menos falsos positivos al tiempo que mejora su estabilidad y fiabilidad general. En adi-cin, el movimiento hacia la integracin de varios dispositivos de seguridad informtica, tales como el IDSS y servidores de seguridad - tambin est empezando a aparecer. Otro rea de seguridad informtica que es cierto para mostrar grandes avances es el mejorar la-cin de la seguridad de las tecnologas inalmbricas. El acceso inalmbrico es rpidamente la ampliacin de alcance de la red, proporcionando un acceso cmodo y barato, sobre todo en lugares de difcil acceso para el cableado. Como las redes de expandirse ms all de las fronteras fsicas, los usuarios inalmbricos de ordenador luchan por mantener el control sobre el uso de la red, la privacidad y seguridad. Afortunadamente, la industria inalmbrica ha respondido con tcnicas de seguridad inno-vadoras, tales como Rapid Re-codificacin, Protocolo de Integridad de Clave Temporal (TKIP) y Advanced Encryption protocolo Standard (AES), que ayuda a ofrecer un conjunto de herramientas de seguridad ms eficaz a la comunidad inalmbrica. La capacidad de reaccionar rpidamente a los incidentes de seguridad cuando se producen es
la parte fundamental y esencial componente de la mayor parte de un plan de seguridad global. Tendencias futuras en la seguridad de la computadora sin duda se ocupar de este tema y pueden incluir un aumento en la externalizacin de los servicios de seguridad. Esto se debe principalmente a consecuencia de la creciente complejidad en la gestin de la seguridad y el aumento del riesgo y la gravedad de las amenazas de seguridad que enfrentan las organizaciones hoy en da. En el futuro, la autenticacin fuerte tambin jugar un papel clave e incluso puede actuar como base para los sistemas monetarios flexibles y seguras. El campo de la seguridad informtica est en continua evolucin, y es comn ver a ms preguntas que hay soluciones.
245
Resumen del captulo

Como consecuencia de las secuelas del 11 de septiembre, la sociedad ha comenzado a tomar inters en la conciencia de seguridad y el terrorismo. Individuosais y de las organizaciones se estn dando cuenta de que tienen en su lugar las infraestructuras bsicas y los procesos estndar para la gestin de la vulnerabilidad, la gestin de crisis y manejo de incidentes son un necesidad para mitigar los riesgos, daos y la interrupcin del negocio. Toma de conciencia general, la seguridad bsica y la seguridad informtica ha mejorado drsticamente en comparacin con las polticas de seguridad en lugar de slo unos pocos aos atrs. - Los tiempos de respuesta a los ataques, emergencias y graves vulnerabilidades remotas nuevas - han mejorado notablemente, sobre todo en las empresas comerciales y organizaciones de gran tamao. Sin embargo, la experiencia nos recuerda que los hackers, crackers, y otros cdigos maliciosos se continuaque proliferan en la Internet del futuro, y van a utilizar mtodos sofistica-domesticadas y la novela de ataque. Esto forzamientola comunidad de seguridad informtica para contrarrestar mediante el desarrollo de nuevas herramientas y mtodos para combatir esas amenazas y la captura de las pruebas de enjuiciar a ciber criminais. Puntos principales tratados en este captulo se incluyen El anlisis de varios mtodos de ataque del mundo real y cmo la falta de preparacin y falla uno para actualizar y parchar los sistemas vulnerables pueden tener efectos devastadores Cmo las lecciones aprendidas de otras personas puede ayudar a perfilar los futuros procedimientos de respuesta a incidentes y la seguridad informtica en general,
Los sitios populares de Internet donde se puede hasta al da la informacin se encuentran en relacin con equipo seguincidentes ridad y la medicina forense Una visin general de algunas de las tendencias futuras en la tecnologa de la informacin de seguridad
Apndice A
Qu hay en el CD-ROM
En este apndice se proporciona informacin sobre el contenido del CD que acompaa a este libro. Para la informacin ms reciente y ms grande, por favor, consulte el archivo README situado en el directorio raz del CD. Esto es lo que encontrar: Requisitos del sistema Uso del CD de Windows y Linux Qu hay en el CD Solucin de problemas
Requisitos del sistema

Asegrese de que el equipo cumple los requisitos mnimos del sistema Usted en esta seccin. Si su equipo no coincide con la mayora de estos requisitos, usted puede tener un problema con el contenido del CD. Para Windows 9x, Windows 2000, Windows NT4 (con Service Pack 4 o posterior), Windows Me o Windows XP: PC con un procesador Pentium a 120 MHz o ms rpido Al menos 32 MB de memoria RAM total instalada en el equipo; para un mejor rendimiento, por lo menos 64 MB, se recomienda Espacio libre en disco de al menos 50 MB para la instalacin de todos los servicios pblicos Tarjeta de interfaz de red Ethernet (NIC) o un mdem con una velocidad de al menos 28.800 bps Una unidad de CD-ROM Para Linux: PC con un procesador Pentium a 90 MHz o ms rpido Al menos 32 MB de memoria RAM total instalada en el equipo; para un mejor rendimiento, por lo menos 64 MB, se recomienda T arje ta de inte rfaz de red Eth ern et (NI C) o un m de m con una vel
ocidad de al menos 28.800 bps Una unidad de CD-ROM
247
248
Uso del CD de Windows

Para instalar los temas del CD al disco duro, siga estos pasos: 1. Inserte el CD en la unidad CD-ROM de su ordenador. 2. Aparecer una ventana con las siguientes opciones: Instalar, Explorar, libros electrnicos, y Salir. Instalacin: Te da la opcin de instalar el software suministrado y / o el autor-cre ejemplos en el CD-ROM. Explora: Permite ver el contenido del CD-ROM en su estructura de directorios. Libro-e: Permite ver una versi electrnican del libro. Salida: Cierra la ventana de ejecucin automtica. Si no han de ejecucin automtica habilitada, o si la ventana de ejecucin automtica no aparece, siga estos pasos pasos para acceder al CD: 1. Haga clic en Inicio Ejecutar. 1. En el cuadro de dilogo que aparece, escriba d : \ Setup.exe , DondeUfes la letra de la unidad de CD-ROM. Esto nos lleva a la ventana de ejecucin automtica se describe en el conjunto anterior de pasos. 2. Elija la instalacin, Explora, libro electrnico, o la opcin de salida de los hombres. (Vea el Paso 2 en la la lista anterior para una descripcin de estas opciones.)
Uso del CD con Linux

Para instalar los temas del CD al disco duro, siga estos pasos: 1. Inicie sesin como root. 2. Inserte el CD en la unidad CD-ROM de su ordenador. 1. Si el equipo se ha auto-montaje habilitado, esperar a que el CD para montar. De lo contrario, siga estos pasos: una. Instrucciones de lnea de comandos: En el smbolo del sistema: mount / dev / cdrom / mnt / cdrom (Esta monta el CD-ROM dispositivo para el mnt / cdrom directorio. Si el dispositivo
cuenta con una dife-ent ame, el cambio CD-ROM a dicho dispositivo AME - por ejemplo, CD-ROMl.)
Apndice A: Qu hay en el CD-ROM 249
b. Grfica: Haga clic con el IC de CD-ROMn en el escritorio y seleccione el Monte de CD-ROM. Con esto se montar el CD-ROM. 4. Explorar el CD y siga las instrucciones de instalacin individuales para la produccinsUsted a continuacin. 4. Para extraer el CD de la unidad de CD-ROM, siga estos pasos: una. Instrucciones de lnea de comandos: En el smbolo del sistema: umount / mnt / cdrom b. Grfica: Haga clic con el IC de CD-ROMn en el escritorio y seleccione UMount CD-ROM. Esto desmonta la unidad de CD-ROM.
Qu hay en el CD
Las siguientes secciones proporcionan un resumen del software y otros materiales que encontrars en la el CD.
Listas de autor
A continuacin se presentan las listas de verificacin que describen los pasos bsicos y los procedimientos para la recoleccin de datos, la preservacin de pruebas, y respuesta a incidentes. Ms listas de control se encuentra en el CD.
DESARROLLO DE UNA SEGURIDAD de respuesta a incidentes
Definir su organizacin'S la estructura general de respuesta a incidentes. Desarrollar e implementar mecanismos de alerta que permitan una accin rpida. Establecer una estructura de informacin centralizada. Designar y capacitar al personal de respuesta a incidentes.
PREPARACIN DE LOS SISTEMAS DE RECOPILACIN DE DATOS
Habilitar el registro y la auditora en todas las estaciones de trabajo y servidores. Haga todas las estaciones de trabajo y servidores de tiempo sincronizados
con un fiable y precisa Servidor horario de Internet, como www.time.nist.gov . El uso de sellado de tiempo y asegurarse de que la verificacin de los sellos de tiempo dentro de su sistema no se puede modificar o distorsionada. Identificar los dispositivos de red mediante la creacin de un mapa de red para servir como una representacin grfica de lnea de base y los dispositivos de la red para referencia futura.
250
DETECCIN DE CDIGO MALICIOSO e intrusos
Analizar los procesos anormales del sistema a travs del Administrador de tareas de Windows o de terceros herramientas como Process Explorer. Detectar archivos inusuales o escondidos mediante la modificacin de Windows para mostrar ciertos tipos de archivos ocultos. Lcate rootkits y puertas traseras en los sistemas Unix y Linux mediante el uso de programas de terceros como Intacta por el software de pedestal o por medio de la inspeccin manual. Seuna de puertas traseras y sniffers de red mediante el netstat-n y ifconfig-a comandos.
Recuperar y analizar PISTAS
Realice bsquedas de palabras clave que utilizan las herramientas de terceros como el investigador del disco o BinTex. LCate y examinar el archivo de intercambio de Windows para las pruebas. En Windows 95/98/ME, el archivo de intercambio se llama win386.swp, y en Windows NT/2000/XP, se llama pagefile.sys. Lcar y recuperar el correo electrnico pruebas. Mensajes de correo electrnico se pueden encontrar en una serie de dife-rentes lugares, tales como buzn de correo electrnico del remitente / salida, el buzn de un servidor de red, o los medios de copia de seguridad. Recuperar datos desde la memoria cach del navegador web y la historia. Cachs web revelan mucho acerca de los sitios Web que un usuario ha visitado. La mayora de los navegadores web actuales (por ejemplo, Internet Explorer y Netscape Navigator) proporciona servicios de cach web y mantener la navegacin historia. Reunir pruebas de la cola de impresin de Windows (EMF). Aunque nunca un usuario guarda un documento de procesamiento de textos, las versiones temporales de documentos de procesamiento de textos-algunos- veces permanecen en el disco duro. Lcate de datos en las extensiones de archivos ocultos o enmascarados. Asegrese de seuna de las pruebas escondidas en las imgenes esteganogrficos y protegidos con contrasea archivos comprimidos.
Procedimientos bsicos para recoger y preservar evidencia
Entender la volatilidad de las pruebas. Algunas pruebas, como los datos en la RAM de la computadora, slo existe mientras el ordenador est encendido. Crse comi un disco de arranque en modo real, porque el simple acto de encender el ordenador puede destruir posibles pruebas. Mediante el uso de un especial modo real disco de arranque, un forense de investi-gacin puede llevarse a cabo sin tener que arrancar el ordenador a travs de la unidad de disco duro. El uso de analizadores de paquetes para reunir pruebas. Investigaciones informticas a veces justificar la captura de "vivos" de datos a medida que viaja en el tiempo real a travs de equipo de una organizacin red.
Apndice A: Qu hay en el CD-ROM 251
Construir un conjunto de herramientas forenses. Esencial para cualquier investigacin de equipos, herramientas vienen en dos tipos, aquellos que se monten a s mismo ya los pre-fabricados que se descargan o COMPRA como una suite de cualquier uno de los muchos proveedores de software forense. Sigue una cadena de custodia. La cadena de custodia es un registro de manejo de la evidencia desde el momento del embargo a la vez la evidencia es presentada en un tribunal de justicia. Asegrese de que la admisibilidad de las pruebas a travs de la autenticacin. Antes de que un registro de la computadora puede ser utilizada como prueba, en primer lugar, debe ser probado para que sea autntico.
INCIDENTE DE CONTENCIN Y ERRADICACIN DE LA VULNERABILIDAD
Contener el incidente. El objetivo es limitar el alcance y la magnitud de un incidente de pre-ventilar el incidente de causar ms dao. Determinar el riesgo de las operaciones continuadas. Si el sistema contiene informacin clasificada o sensible-tiva o si los programas crticos corren el riesgo de quedar daado, por lo general se recomienda que el sistema se apague o por lo menos temporalmente desconectado de la red. Sever conexiones de red e Internet. Por ejemplo, si un virus de la salud sea grave, como un gusano de rpida propagacin o el caballo de Troya peligroso, Ud. debe reportar inmediatamente des-conectar el ordenador infectado de la red. Comprender los riesgos del uso de recursos compartidos de red y el archivo. Muchos virunses y los gusanos se utilizan acciones de archivos de red como un medio para apuntalarla puerta a travs de una red. Establecer un modelo de confianza. Un modelo de confianza es un medio para ayudar a reconocer y visualizar los distintos grados de confianza, intencionalmente o no concedido a individuosais, basado en los riesgos asociados a la concesin de la confianza. Cambie peridicamente las contraseas. Las contraseas son una de las primeras lneas de defensa que tienen los usuarios para proteger sus sistemas. Cambiar con frecuencia o despus de un compromiso del sistema es obligatoria. Promover la concienciacin sobre la seguridad mediante el uso de las estrategias multimedia de documentacin que puede ser fcilmente o de forma peridica a todos los miembros de la organizacin.
RECUPERACIN DE DESASTRES Y SEGUIMIENTO
Desarrollar un Plan de Recuperacin de Desastres. Saber cmo reaccionar adecuadamente en una emergencia es fundamental para la toma de decisiones que reduzcan al mnimo el dao resultante y restaurar rpidamente operaciones. Desarrollar procedimientos de registros de incidentes. Los mtodos utilizados para CRcomi sus registros deben ser documentados para asegurar la capacidad de recuperar, leer y utilizar esos registros en el futuro. Utiliza un sistema de alimentacin ininterrumpida (SAI). En el caso de una falla de energa, una generacin de Tor no puede suministrar la energa necesaria para mantener ininterrumpida la operacin de sistema informtico o realizar un cierre ordenado de una estacin de trabajo o servicion
Realice copias de seguridad peridicas. Cuando ocurre un desastre, una copia de seguridad puede ser la nica esperanza de recuperar los datos originales. Despus de un incidente, para supervisar los sistemas de actividad inusual o sospechosa. Adems, un post-mortem examen debe llevarse a cabo para que la organizacin puede aprender de la experiencia y, si es necesario, actualizar sus procedimientos. Anticpat y un plan para futuros ataques. Correctamente la previsin y la planificacin de las interrupciones imprevistas de las operaciones de negocio es importante para mantener la competitividad.
Software
El CD contiene el siguiente shareware, freeware y software de prueba / demo programas para las plataformas Windows y Linux. Como herramientas bsicas para llevar a cabo una in-house equipo de investigacin forense, estos programas le ayudan a recopilar, preservar y analizar la evidencia relacionada con la informtica. Autopsia Forense navegador (Software de prueba) es una interfaz grfica a la Pieza de lnea de comandosambientales herramientas de anlisis forense en el kit de juego Sleuth @ (tarea). Juntos, TAREA y Autopsia proporcionan muchas de las mismas caractersticas comerciales de las herramientas de anlisis forense digital para el anlisis de los sistemas de archivos de Windows y Unix (NTFS, FAT, FFS, ext2fs y Ext3FS). Para informacin adicional, visite www.atstake.com/research/tools/autopsy/~~V.
Byteback, por Assist Tech, Inc., es una demostracin profesional de recuperacin de datos y el ordenador-investiga-cin de servicios pblicos. Algunos de sus principales caractersticas son la posibilidad de clonar un disco o una imagen utilizando una copia del sector fsico de la mayora de los medios de comunicacin a gustar los medios de comunicacin (clon) o un archivo comprimido (imagen). Byteback puede reparar automticamente las particiones y discos de arranque de FAT12, FAT16, FAT32 y NTFS, y ofrece la recuperacin de archivos individuales para estos entornos. Byteback contiene un editor de sector de gran alcance para trabajar con datos en bruto. Para obtener ms informacininformacin, visite www.toolsthatwork.com / byte.shtml.
Cain & Abel es una herramienta de recuperacin de contrasea para los sistemas operativos de Microsoft. Se permite una fcil la recuperacin de varios tipos de contraseas por inhalacin de la red, agrietamiento cifrados pasan de palabras a partir de diccionario y ataques de fuerza bruta, la decodificacin revueltos contraseas, revelan-Ing cuadros de contrasea, y el anlisis de protocolos de enrutamiento. Para obtener ms informacin, visite
www.oxid.it / projects.html.
Kiwi Syslog Daemon es un demonio del syslog freeware para Windows. Recibe, registra, pantallas, y remite mensajes del syslog de los anfitriones, tales como routers, switches, Unix anfitriones, y cualquier otro dispositivo habilitado para syslog. Para obtener ms informacin, visite www.
kiwisyslog.com.
MaresWare suite (Software de prueba) proporciona un conjunto de herramientas para la investigacin de los registros informticos adems de las capacidades de anlisis de datos. Esta suite paquete de ms del 40 septiembreprogramas de tarifas permite a los que para llevar a cabo una variedad de tareas y le da el control para llevar a cabo una investigacin o anlisis en la forma que desee. Para obtener ms informacin, visite www.dmares.com/
maresware / suite.htm.
Apndice A: Qu hay en el CDROM
253
Incautacin PDA (Demoware), por el paraben, es una completa herramienta que permite que los datos de PDA a adquirir, ver, e informaron sobre, todo ello en un entorno Windows. Para obtener ms informacin, visite www.paraben-forensi es.com / pda.html . ProDiscover DFT (Demoware), por Caminos de Tecnologa, ofrece a los examinadores forenses una aplicacin integrada de Windows para la recoleccin, anlisis, gestin y presentacin de informes de las pruebas disco de la computadora a un precio asequible. Las caractersticas incluyen la capacidad de generacintasa de flujo de bits de copia de disco a disco nuevo, recuperar archivos eliminados que figuran en el espacio de holgura y de visualizacin de datos contenidos en Windows NT/2000 Altflujos de datos rnate. Dado que este producto se actualiza con frecuencia, visite www.techpathways.com actualizaciones de productos y adicionales informacin. RegCleaner es un programa fcil de usar freeware que permite que el usuario para detectar y eliminar od y obsoletas del registro enFRies. Las caractersticas incluyen la capacidad de eliminar los tipos de archivos, od de software enFrios, y los archivos no utilizados DLL. Para obtener ms informacin, visite
www.vtoy.fi/jvl6/shtml/regcleaner.shtml.
El @ stake Sleuth Kit (TASK) software de cdigo abierto permite a un investigador para examinar los sistemas de archivos de un ordenador de una manera no intrusiva. TAREA es una coleccin de basados en Unix de lnea de comandos herramientas que se pueden analizar las ECAs NTFS, FAT, ext2fs y Ext3FS sistemas de archivos. TAREA lee y procesa las estructuras del sistema de archivos y por lo tanto no requiere el apoyo del sistema operativo para los sistemas de archivos. Estos pueden ser usados durante la respuesta a incidentes en los sistemas vivos a pasar por alto los ficheros del ncleo y punto de vista que estn siendo ocultadas por los rootkits. Para obtener informacin adicional, visita www.atstake.com/research/tools/task/~~V. Ultcompaero de ZIP Cracker (Software de prueba), por el VDG de software, est diseado para recuperar las contraseas perdidas para varios tipos de archivos, tales como: MS-Word (*. DOC) en la Oficina 97-XP, MS-Excel documentos (*. XLS) en la Oficina 97XP y archivos ZIP creados por PKZIP, WinZip y muchos otros. El programa utiliza un Asistente para contrasea y proporciona un fcil paso a paso de recuperacin de contrasea. Para obtener ms informacin, visite
www.vdgsoftware.com / uzc.html.
Shareware adicional, freeware y software de prueba / demo informtica forense programas para las plataformas Windows y Linux son Usted continuacin.
Producto AME
Advanced Password Recuperacin de software
Empresa AME
ElcomSoft Co. Ltd.
Tipo de software
shareware
URL
www.elcomsoft.com
Automachron
Un individuo de codificacin VSO-Software DataViz, Inc.
gratuito
www.oneguycoding.com/ Automachron www.blindwrite.com www.dataviz.com Seguido
BlindWrite Suite Conversiones Plus
Demo juicio

(Continuacin)
Producto AME
Detective dtSearch Desktop E-mail Examiner Emulador Personal Edition F.I.R.E. LADS
Empresa AME
Tech Assist, Inc. dtSearch Corp. Paraben Corporation Paragon Technologie GmbH DMZ Services, Inc. Frank Heyne Software Atstake Limited
Tipo de software
Demo evaluacin Demo Demo
URL
www.toolsthatwork.com www.dtsearch.com www.paraben-forensics.com www.paragon-gmbh.com
Demo gratuito juicio
www.dmzs.com www.heysoft.de / index.htm www.atstake.com/research/~ ~V lc/application/lc4setup.exe www.redhat.com www.insecure.org/nmap/ ndex.html # download www.officerecovery.com
LC4
Linux dd Nmap
Red Hat Software, Inc. Fyodor
gratuito gratuito
OfficeRecovery Empresa
Recoveronix Ltd.
Demo
pdd
PLAC
Paraben Corporation
Demo
www.parabenforensics.com http://sourceforge.net/~ ~V proyectos y plac http://trinux.sourceforge.net www.comaxis.com www.x-ways.com
desconocido
gratuito
TRINUX UniAccess WinHex
desconocido ComAxis Tecnologa X-Ways Software Technology
gratuito Demo shareware
Para obtener descripciones de los productos enumerados anteriormente, consulte el archivo Read Me en el CD. Programas shareware son totalmente funcionales versiones de prueba de los programas de derechos de autor. Si te gusta un programa en particular, registrar a sus autores por una tarifa nominal y recibir licencias, versiones mejoradas y soporte tcnico. Programas Freeware son juegos con derechos de autor, las aplicaciones y utilidades que son gratis para uso personal. A diferencia de version de prueba, estos programas no requieren de una cuota o prestar apoyo tcnico. El software GNU se rige por su propia licencia, que se incluye en el interior la carpeta del producto GNU. Vea la Licencia GNU para ms detalles.
Prueba, demostracin o evaluacin versiones suelen ser limitados, ya sea por tiempo o funcionalidad (como no ser capaz de salvar los proyectos). Algunas versiones de prueba son muy sensibles a los cambios de fecha del sistema. Si se altera la fecha de su computadora, los programas "time out" y dejar de ser funcional.
Apndice A: Qu hay en el CD-ROM
255
eBook versin de los Respuesta a Incidentes: Informtica Forense Kit de herramientas

El texto completo de este libro es en el CD en formato de documento porttil de Adobe (PDF). Con los ataques a los sitios Web de Internet y las redes que abundan, los usuarios de computadoras se recuerda regularmente de estos hechos. Las organizaciones y empresas que realizan operaciones a travs de Internet a menudo tienen sus redes de infiltrados sin su conocimiento. Mientras hay un Internet, tambin habr ciberntico criminais. Tan pronto como los destinados a industria de la seguridad informticafinales de sofisticados dispositivos contraactuacin, intenta descubrir que se derivarn igualmente sofisticado Hack-res. Ser cautelosos y vigilantes restante servir para inhibir en gran medida los ataques cibernticos sobre organizacin de negocios, y los sistemas personales de los usuarios. El propsito de este libro es proporcionar la informacin y las herramientas para esta tarea en un fcil de leer. Se permitir a cualquier persona para responder de manera efectiva a los incidentes, mientras que al mismo tiempo la recoleccin y preservacin de evidencia clave. Puede leer y buscar a travs de el fichero con el programa Adobe Acrobat Reader (tambin incluido en el CD). Adobe Acrobat Reader es un software libre para la visualizacin de formato de documento porttil (PDF) archivos y es compatible con casi todas las principales plataformas de sistemas operativos.
Solucin de problemas
Si tiene dificultades para instalar o utilizar cualquiera de los materiales en el CD, probar el seguimientoque ofrece soluciones para: Desactive cualquier software antivirus que pueda estar ejecutndose. Instaladores veces imitan la actividad del virus y puede hacer que su equipo creen errneamente que se est infectado por un virus. (Asegrese de activar el software antivirus de nuevo ms tarde.) Cis todos los programas en ejecucin. Cuantos ms programas que est ejecutando, menos memoria que est disponible para otros programas. Los instaladores tambin suele actualizar los archivos y programas, si se mantiene otros programas en ejecucin, la instalacin puede no funcionar correctamente. Referencia del Lame. Por favor, consulte el archivo README situado en el directorio raz del CD-ROM para la informacin ms reciente en el momento de la publicacin.
Si todava tiene problemas con el CD, por favor, calyola atencin al cliente el nmero de telfono: (800) 762 a 2974. Fuera de los Estados Unidos, calyo1 (317) 572-3994. Tambin puede comunicarse con Servicio al Cliente por e-mail a techsupdum @ wi 1ey.com. Wiley Publishing, Inc. proporcionar apoyo tcnico slo para la instalacin y otros temas generales de control de calidad, para el apoyo tcnico en la aplicaciones propias, consulte con el proveedor del programa o el autor.
Apndice B
Los puertos son atacadas comnmente

La siguiente tabla muestra ejemplos de puertos comnmente atacadas explotadas por los hackers y troyanos. Si usted encuentra sondas dirigidas contra los puertos que normalmente no se utilizan, puede ser alguien que intenta conectarse a un troyano dentro de su red. Tenga en cuenta que algunos troyanos se puede configurar para usar cualquier puerto y que los ilustrados aqu no son ms que los nmeros de puerto usados. El conocimiento de estos puertos comnmente atacadas ayuda a que sea ms fcil localizar la causa de una intrusin de seguridadsin, y para ayudar a protegerse contra futuros ataques.
Puerto #
0 8 9 19 21 23 25 31 41 53 58 69 70 79 80
Protocolo
ICMP ICMP
Tipo de ataque
Haga clic en atacar a Ping ataque Chargen Chargen El servicio FTP, Dolly de Troya Servicio Telnet SMTP, Antigen Agente 31, Hacker's Paradise Garganta Profunda
UDP UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
DNS
El programa de instalacin de MS W32.Evala.Worm W32.Evala.Worm Firehotcker Ejecutor Seguido
257
258
Puerto #
90 110 113 119 121 129 135 137 138 139 146 421 456 531 555 666 777 901 902 911 999
1000 1001 1011 1012 1015 1024
Protocolo TCP TCP TCP TCP TCP TCP

TCP / UDP TCP / UDP TCP / UDP TCP UDP
Tipo de ataque
Ocultos 2.0 puerto ProMail Troya Kazimas Happy99 Jammer Killah Password Generator Protocolo NetBIOS remota CALyo NetBIOS AME (ataque DoS) Datagramas NetBIOS Sesin NetBIOS (ataque DoS) Infector 1,3 Los wrappers TCP Hacker's Paradise Rasmin Sigilo espa, Phaze, 7-11 de Troya Ataque FTP AIM aplicacin espa Backdoor.Devil Backdoor.Devil Dark Shadow Garganta Profunda Der Spaeher Silencer, WebEx Hacer Yomente de Troya Hacer Yomente de Troya Hacer Yomente de Troya NetSpy
TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
1025
UDP
Disidente's Matriz de 1.2-2.0
Apndice B: Los puertos son atacadas comnmente 259
Puerto # 1027 1029 1032 1033 1034 1042 1045 1090 1170 1207 1214 1234 1243 1245 1269 1349 1394 1492 1505 1509 1533 1600 1604 1722 1807 1981 1999
Protocolo TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP
TCP / UDP
Tipo de ataque ICQ ICQ ICQ

NetSpy Backdoor.Systec Bla Troya Rasmin Xtreme Voz de streaming de audio Softwar Uso compartido de archivos KaZaa (no es un troyano) Ultors Troya SubSeven VooDoo Dol Disidente's Matriz BackOrifice DLL Comm GoFriller, Backdoor G-1 FTP99CMP FunkProxy Psyber Streaming Server Backdoor.Miffice Shivka-Burka Examinador ICA Backdoor.NetControle SpySender Shockrave BackDoor Seguido
TCP TCP TCP

TCP / UDP TCP / UDP
TCP TCP TCP
260
Puerto #
2000 2001 2002 2003 2004 2005 2023 2090 2115 2140 2155 2283 2565 2583 2716 2721 2801 2989 3024 3028 3129 3150 3256 3332 3410 3456 3459
Protocolo
TCP / UDP
Tipo de ataque
BackDoor.Fearic Trojan Cow TransScout TransScout TransScout TransScout Destripador Backdoor.Expjan Errores Garganta Profunda lllusion Mailer HLV Rat5 Huelguista WinCrash La Oracin de 01.02 a 01.03 Fase Cero Phineas Phucker
TCP TCP TCP TCP TCP TCP TCP TCP

TCP / UDP
TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP
TCP / UDP
Rata
WinCrash Ring Zero Maestro's Paradise Garganta Profunda W32.HLLW.Dax Q0 BackDoor OptixPro.12 Backdoor.Fearic Eclipse 2000
TCP TCP TCP

TCP / UDP
TCP
3700
TCP
Portal of Doom
Puerto #
3737 3791 3801 4092 4100 4128 4567 4590 5000 5001 5011 5031 5032 5152 5321 5400 5401 5402 5503 5512 5521 5550 5555 5556 5557 5558 5569
Protocolo TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP
Tipo de ataque
Backdoor.helios Eclypse Eclypse WinCrash WatchGuard Firebox administrador DoS Expl Backdoor.rcserv Lima de uas ICQ Troya Sokets de Trois v1./Bubbel Sokets de Trois v1./Bubbel Ootlt Red Metropolitana de 1,0 Red Metropolitana de 1,04 Backdoor.laphex.client Firehotcker Blade Runner Blade Runner Blade Runner Shell remoto de Troya Xtcp lllusion Mailer Xtcp ServeMe BO Fcil BO Fcil Backdoor.Easyserv Robo-Hack Seguido
262
Puerto #
5637 5638 5714 5741 5742 6000 6112 6346 6400 6667 6669 6670 6671 6711 6712 6713 6723 6771 6776 6838 6912 6939 6969 6970 7000 7028 7300
Protocolo TCP TCP TCP TCP TCP TCP

TCP / UDP
Tipo de ataque
PC Crasher PC Crasher WinCrash WinCrash WinCrash La Cosa 1.6 Battle.net Juego (no es un troyano) Gnutella clon (no es un troyano) La Cosa Sub-7 de Troya (nuevo ICQ notificacin) Vampyre Garganta Profunda Garganta Profunda SubSeven, Backdoor.G SubSeven SubSeven Mstream ataque del controlador Garganta Profunda SubSeven, Backdoor.G Mstream agente controlador de Sh * t Montn Adoctrinamiento Backdoor.Sparta.B Puerta Crasher Grab a distancia Troya Desconocido Net Monitor
TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP TCP TCP TCP
TCP / UDP
TCP
7301
TCP
Net Monitor
Apndice B: ataca comnmente Puertos 263
Puerto #
7306 7307 7308 7410 7597 7614 7789 7983 8012 8080 8787 8811 8879 8888 8889 9325 9400 9696 9697 9872 9873 9874 9875 9876 9878 9989 9999
Protocolo TCP TCP TCP TCP TCP TCP TCP UDP TCP TCP
TCP / UDP TCP / UDP TCP / UDP
Tipo de ataque
Net Monitor Net Monitor Net Monitor Backdoor.phoenix QAZ (troyano de acceso remoto) Backdoor.GRM ICKiller MStream gestor-agente Backdoor.Ptakks.b Ring Zero BackOrifice 2000 Backdoor.Fearic BackOrifice 2000 W32.Axatak W32.Axatak MStream agente controlador de InCommand Backdoor.gholame Backdoor.gholame Portal of Doom Portal of Doom Portal of Doom Portal of Doom El atacante de Cyber Trans Scouts Ni-Killer La Oracin de 01.02 a 01.03 Seguido
TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
Puerto #
10008 10067 10167 10498 10520 10607 10666 11000 11050 11223 11831 12076 12223 12345 12346 12361 12362 12456 12631 12701 12754 13000 13700 15104 15432 16322 16484
Protocolo TCP
TCP / UDP TCP / UDP
Tipo de ataque
Queso del gusano Portal of Doom Portal of Doom Mstream gestor-agente Shivers cido Coma Emboscada Senna espa Control del sistema ProgenitoraseTroya Servidor Latino GJamer Hack'99, KeyLogger Netbus, Ultor's de Troya Netbus Whack-a-Mole Whack-a-Mole NetBus Whackjob Eclypse 2000 Mstream ataque del controlador Senna espa Kuang2 el Virus Mstream ataque del controlador Backdoor.Cyn Backdoor.Lastdoor Mosucker
UDP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
16959
TCP
SubSeven DEFCON8 2,1 Backdoor
Puerto #
16969 17300 18753 20000 20001 20034 20203 20331 20432 20433 20480 21554 22222 22784 23476 23477 26274 27374 27379 27444 27573 27665 29559 29891 29999 30029 30100
Protocolo TCP TCP UDP TCP TCP TCP TCP TCP TCP TCP TCP
TCP / UDP
Tipo de ataque
Prioridad El virus de la Kuang2 Eje manejador al Agente Milenio Milenio NetBus Pro 2 En lnea! Bla Troya Eje del cliente a los controladores Agente del eje a los controladores Trojan.Adnap GirYoAmigo Prosiak Backdoor-ADM Donald Dick Donald Dick Delta Fuente Sub-7 2.1 Backdoor.optix.04 Trin00/TFN2K Sub-7 2.1 TrinOO Ataque DoS Servidor Latino La inexplicable Backdoor.Antilam.20 AOL Troya NetSphere Seguido
TCP TCP TCP TCP

TCP / UDP
UDP TCP UDP

TCP / UDP
TCP TCP TCP TCP TCP TCP
266
Puerto #
30101 30102 30133 30303 30999 31335 31336 31337 31337 31338 31338 31339 31666 31785 31787 31789 31790 31791 32418 33270 33333 33390 33911 34324 37651 40412 40421 40422
Protocolo TCP TCP TCP TCP TCP UDP TCP TCP UDP TCP UDP TCP TCP TCP UDP UDP UDP UDP TCP TCP TCP UDP TCP TCP TCP TCP TCP TCP
Tipo de ataque
NetSphere NetSphere NetSphere final Sockets de Troie Kuang2 TrinOO Ataque DoS BO-Whack Netpatch BackOrifice (BO) NetSpy DK Profundo BO NetSpy DK BOWhack Hack'a'Tack Hack'a'Tack Hack'a'Tack Hack'a'Tack Hack'a'Tack cido de la batera Trinidad Troya Prosiak Troya Desconocido Espritu de 2001, un BigGluck, TN Sin embargo, otro troyano El espa Agente, el capitn's del Paraso Maestro's Paradise
40423
TCP
Maestro's Paradise
Apndice B: Los puertos son atacadas comnmente
Puerto #
40425 40426 43210 47252 47262 47891 49301 50505 50776 51234 53001 54320 54320 54321 54321 56565 57341 58008 58009 59211 60000 61000 61348 61466 61603 63485 65000
Protocolo TCP TCP TCP TCP UDP TCP UDP TCP TCP TCP TCP TCP UDP TCP UDP TCP
TCP / UDP
Tipo de ataque
Maestro's Paradise Maestro's Paradise Maestro's Paradise Delta Fuente Delta Fuente Backdoor.antilam.20 OnLine keylogger Sockets de Trois-v2. Fore Backdoor.Cyn Remoto de apagado de Windows BackOrifice 2000 BackOrifice Del autobs escolar, BackOrifice BackOrifice 2000 Backdoor.Osirdoor NetRaider Troya BackDoor.Tron BackDoor.Tron BackDoor.DuckToy Garganta Profunda Backdoor.mite Bunker-Hill de Troya Telecommando Bunker-Hill de Troya Bunker-Hill de Troya Stacheldraht, Diablo
TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP
65535
TCP
Adore Worm / Linux
Apndice C
mbito de la orientacin en EE.UU. Ley Patriota de 2001

El 26 de octubre de 2001, el presidente Bush firm la Ley Patriota de EE.UU. (USAPA) en la ley. Esta nueva ley ha dado nuevos poderes tanto a la aplicacin de la ley nacional e intemlas agencias de inteligencia y operativas ha eliminado los controles y equilibrios que no daban los tribunales la oportunidad de asegurarse de que estos poderes no fueron objeto de abusos. Despus est el Departamento de EE.UU. de orientacin de campo de Justicia en relacin con los delitos informticos y la recopilacin de pruebas electrnicas en el marco del Patriot EE.UU. Ley de 2001.
Delitos Informticos y Propiedad Intelectual (CCIPS) Gua de campo de nuevas autoridades que se relacionan con delitos informticos y las pruebas electrnicas, promulgado en la Ley Patriota de EE.UU. de 2001
Seccin 202 Autoridad para interceptar las comunicaciones de voz en las investigaciones de piratera informtica
La ley anterior: Bajo la ley anterior, los investigadores no pudieron obtener una orden judicial para interceptar comunicaciones por cable (las relativas a la voz humana) por violacines de la Ley de Fraude y Abuso (18 USC 1030). Por ejemplo, en varias investigaciones, los hackers han robado ferencing teleconferencia-los servicios de una compaa telefnica y se utiliza este modo de comunicacin para planificar y ejecutar ataques de piratas informticos. Enmienda: La seccin 202 modifica la 18 USC 2516 (1) - la subseccin que se enumeran los delitos por los cuales los investigadores pueden obtener una orden judicial para el cable de comunicaciones, mediante la adicin de delito grave violacines de 18 USC 1030 a la lista de preddelitos Cate. Esta provisin llegaran a 31 de diciembre 2005. 269
270
La obtencin de la Seccin 209 de buzn de voz y otras comunicaciones de voz almacenados

La ley anterior: Bajo la ley anterior, la Electronic Communications Privacy Act ("ECPA"), 18 USC 2703 et seq., Govemed la ley la aplicacin de acceso a comunicaciones electrnicas almacenadas (como el correo electrnico), pero no se almacenan de comunicaciones de cable (como el buzn de voz). En cambio, el estatuto de escuchas telefnicas Govemed como el acceso debido a la definicin de "comunicacin por cable" (18 USC 2510 (1)) incluye las comunicaciones almacenadas, podra decirse que requiere la aplicacin de la ley para usar una orden judicial (en lugar de una orden de registro) para obtener comunicaciones de voz sin abrir. Por lo tanto, las autoridades policiales utilizan una orden judicial para obtener comunicaciones de voz almacenados con un proveedor de terceros, pero podra utilizar una orden de cateo, si esa misma informacin se almacena en un contestador automtico dentro de la casa de un criminal. Regulacin de las comunicaciones electrnicas a travs almacenados seccin 2510 (1) crea una gran carga e innecesario para las investigaciones criminales. Comunicaciones de voz almacenados poseen algunas de las sensibilidades asociadas con la interceptacin en tiempo real de telfonos, haciendo que la carga extremadamente proceso de obtencin de una orden judicial no razonable. Por otra parte, en gran parte, el marco legal prev un mundo en el que mediados por la tecnologa, las comunicaciones de voz (como el telfono Calyos) son conceptualmente diferentes de los no-voz (comunicaciones, como faxes, mensajes de buscapersonas y correo electrnico). En la medida limitada de que el Congreso reconoci que los datos y de voz pueden coexistir en una sola transaccin, no lo hizo Anticpat de la convergencia de estos dos tipos de comunicaciones propios de las telecomunicaciones de hoy en da las redes. Con la llegada de MIME Multipurpose Internet Mail Extensions - y caractersticas similares, un correo electrnico puede incluir uno o ms "Archivos adjuntos" que consiste en cualquier tipo de datos, incluidas las grabaciones de voz. Como resultado, un oficial de polica tratando de obtener de un sospechoso sin abrir el correo electrnico de un ISP a travs de una orden de registro (segn lo dispuesto en 18 USC 2703 (a)) no tena manera de saber si los mensajes de la bandeja de entrada incluyen archivos adjuntos de voz (es decir, comunicaciones por cable) que no podan ser obligados mediante una orden de allanamiento. Enmienda: La Seccin 209 de la Ley altera la forma en que la ley escuchas telefnicas y la ECPA se aplican a las comunicaciones de voz almacenados. Las modificaciones que eliminar "almacenamiento electrnico" de las comunicaciones electrnicas desde la definicin de "comunicacin por cable" en la seccin 2510 y insertar un texto en el seccin 2703 para asegurar que las comunicaciones almacenados cables estn cubiertos por las mismas reglas que almacenan las comunicaciones electrnicas. Por lo tanto, la aplicacin de la ley ahora pueden obtener este tipo de comunicaciones utilizando los procedimientos establecidos en la seccin 2703 (tal como una orden de allanamiento), en lugar de aquellos en el alambreestatuto del grifo (tal como una orden de intervencin telefnica). Esta provisin llegaran a 31 de diciembre 2005.
mbito de aplicacin Seccin 210 de citaciones de pruebas
electrnicas
La ley anterior: Subseccin 2703 (c) permite que el gobierno utilice una citacin para obligar a una clase limitada de informacin, tales como el cliente ombre, direccin, tiempo de servicio, y los medios de pago-cin. Antes de las enmiendas de la Seccin 210 de la ley, sin embargo, la lista de registros que se inves-Gators podran obtener con una citacin no incluye ciertos registros (como el nmero de tarjeta de crdito u otra forma de pago por el servicio de comunicacin) pertinentes para determinar verdadera identidad de un cliente. En muchos casos, los usuarios se registren con los proveedores de servicios de Internet con falsas Ames. Con el fin de mantener estos individuosais responsables de actos delictivos cometidos en lnea, el mtodo de pagocin es un medio esencial para determinar la verdadera identidad.
Apndice C: Gua de campo sobre Ley Patriota de EE.UU. 2001
271
Por otra parte, muchas de las definiciones en la seccin 2703 (c), fue la tecnologa especfica, sobre la enseanza pri-ilia a las comunicaciones telefnicas. Por ejemplo, la lista incluye "locales y de larga distancia de facturacin telefnica al nmero de registros," pero no incluye trminos paralelos para las comunicaciones en redes informticas, tales como "los registros de los tiempos y la duracin de la sesin." Del mismo modo, la lista anterior permiti que el gobierno -mento de utilizar una orden judicial para obtener el cliente "nmero de telfono o nmero de abonado o la identidad de otra," pero no define lo que significa esa frase en el contexto de las comunicaciones por Internet. Enmienda: Las enmiendas a la seccin 2703 (c) actualizar y ampliar la lista reducida de los registros que las autoridades policiales pueden obtener con una citacin. El nuevo inciso 2703 (c) (2) incluye "los registros de tiempo de la sesin y la duracin", as como "cualquier direccin asignada temporalmente de la red." En el contexto de Internet, estos registros incluyen el protocolo de Internet (IP) asignada por el proveedor para el cliente o abonado para una sesin determinada, as como la direccin IP remota de la que un cliente se conecta al proveedor. La obtencin de los registros puedan hacer que el proceso de identificacin de equipo criminais y el rastreo de sus comunicaciones por Internet ms rpido y ms fcil. Por otra parte, las enmiendas aclaran que los investigadores pueden utilizar una citacin judicial para obtener el "medio y fuente de pago" que un cliente utiliza para pagar por su cuenta con un proveedor de comunicaciones ", incluyendo cualquier tarjeta de crdito o nmero de cuenta bancaria", 18 USC 2703 (c) (2) (F). Aunque, en general til, esta informacin ser particularmente valiosa en la identificacin de los usuarios de los servicios de Internet que una empresa no verifica la informacin de sus usuarios biogrfica. (Esta segcin no est sujeta a la provisi extincinn en el artculo 224 de la Ley).
Artculo 211 de aclarar el alcance de la Ley de Cable

La ley anterior: La ley contiene dos conjuntos diferentes de normas relativas a proteccin de la privacidad de la comunidadcaciones y su divulgacin a la aplicacin de la ley: un servicio de cable de gobierno (la "Ley de Cable") (47 USC 551), y el otro se apliquen al uso del servicio telefnico y acceso a Internet (el estatuto de escuchas telefnicas, 18 USC 2510 y ss .; ECPA, 18 USC 2701 y ss;. y el registro de la pluma y el estatuto de la trampa y rastro (la "pluma / trampa de" la ley), 18 USC 3121 y ss.). Antes de las enmiendas de la Seccin 211 de la Ley, la Ley de Cable establecido un sistema extremadamente restrictivas de las normas que rigen el acceso aplicacin de la ley a la mayora de los registros que posee una compaa de cable. Por ejemplo, la Ley de Cable no permitir el uso de citaciones o incluso buscar garantas para obtener esos registros. En cambio, la compaa de cable tuvieron que dar aviso previo al cliente (incluso si l o ella fueron objeto de la investigacin), y el gobierno tuvo que permitir que el cliente pueda comparecer ante el tribunal con un abogado y luego justificar ante el tribunal de la investigacin necesidad de obtener los registros. Entonces, el tribunal podra ordenar la divulgacin de los registros slo si se encontr "evidencia clara y convincente", un estndar mayor que la causa probable o incluso una preponderancia de la evidencia de que el suscriptor se "sospecha razonable" de la participacin en actividades delictivas. Este procedimiento era totalmente inviable para prcticamente cualquier investigacin criminal. El rgimen jurdico creado por la Ley de Cable causado graves dificultades en las investigaciones criminales, porque hoy, a diferencia de 1984 cuando el Congreso aprob la Ley de
Cable, muchas empresas de cable ofrecen no slo servicios tradicionales de programacin por cable, sino tambin el acceso a Internet y servicio telefnico. En los ltimos aos, algunas compaas de cable han negado a aceptar las citaciones y rdenes judiciales de conformidad con el estatuto de la pluma / trampa y la ECPA, teniendo en cuenta la aparente inconsistencia de estos estatutos, con severas restricciones de la Ley de Cable. Ver En la solicitud de re de los Estados Unidos, 36 F. Supp. 2d 430 (D. Mass. 09 de febrero 1999) (teniendo en cuenta el conflicto legal aparente y en ltima instancia, la concesin de solicitud de orden en virtud del 18 USC 2703 (d) para los registros de la compaa de cable que ofrecen servicio de Internet). El tratamiento de registros idnticos de manera diferente dependiendo de la tecnologa utilizada para acceder a Internet no tiene mucho sentido. Por otra parte, estas complicaciones a veces retrasa o terminado las investigaciones importantes.
272
Enmienda: El artculo 211 de la Ley modifica el Ttulo 47, seccin 551 (c) (2) (D), para aclarar que la ECPA, el estatuto de escuchas telefnicas, y la trampa y el estatuto de seguimiento regular las revelaciones de las compaas de cable que se relacionan con la provisin de los servicios de comunicacin, tales como los servicios de telefona e Internet. La enmienda mantiene, sin embargo, la primaca de la Ley de Cable con respecto a los documentos que revelen lo ordinario cable de Televisin la programacin de un cliente decide comprar, como particulares de prima canales o "pay-per-view" espectculos. As, en el caso de que un cliente recibe acceso a Internet y cable convencional Televisin de servicios de un proveedor de un solo cable, una entidad del gobierno puede utilizar un proceso legal en virtud de ECPA para obligar al proveedor a revelar slo los registros de los clientes relacionados con el servicio de Internet. (Esta seccin no est sujeto a la provisi puesta de soln en la seccin 224 de la Ley).
Seccin 212 Declaraciones de emergencia por parte de los Proveedores de Comunicaciones

La ley anterior: La ley anterior en relacin con la divulgacin voluntaria por los proveedores de servicios de comunicaciones era insuficiente en dos sentidos. En primer lugar, no contena ninguna especial provisin permitiendo a los proveedores para visualizarcerca de los registros de clientes o las comunicaciones en situaciones de emergencia. Si, por ejemplo, un proveedor de servicios de Internet ("ISP") de forma independiente se enter de que uno de sus clientes era parte de una conspiracin para com-MIT un ataque terrorista inminente, la pronta divulgacin de la informacin de la cuenta a la ley cumpli-miento puede salvar vidas. Puesto que proporcionar esta informacin no estaba comprendida en una de las excepciones establecidas por ley, sin embargo, un proveedor de Internet lo que tal revelacin podra ser demandado civilmente. En segundo lugar, antes de la ley, la ley no autorice expresamente que un proveedor a revelar voluntariamente sin contenido registros (como registros de conexin de un suscriptor) a hacer cumplir la ley con fines de auto-proteccin, a pesar de que los proveedores podran revelar el contenido de comunicaciones para esta razn. Vase 18 USC 2702 (b) (5), 2703 (c) (l) (B). Sin embargo, el derecho de revelar el contenido de las comunicaciones implica necesariamente la posibilidad menos intrusiva a revelar sin contenido registros. Cf. Estados Unidos v Auler, 539 F. 2d 642, 646 n.9 (7th Cir. 1976) (autoridad de la compaa telefnica para monitorear y dar a conocer las conversaciones para proteger contra el fraude implica necesariamente el derecho a cometer menos invasin del uso y divulgacin de las frutas de la pluma dispositivo de registro) (citando Estados Unidos v Freeman, 524 F. 2d 337, 341 (7th Cir. 1975)). Por otra parte, como cuestin prctica, los proveedores deben tener el derecho de revelar a la polica los hechos que rodearon los ataques a sus sistemas. Por ejemplo, cuando un ISP hacks de los clientes en la red del ISP, obtiene un control total sobre un servidor de correo electrnico, y lee o modifica el correo electrnico de otros clientes, el proveedor debe tener la capacidad legal de reportar la comdetalles completos del delito a la polica. Enmienda: Seccin 212 corrige estas dos deficiencias en la ley anterior. La seccin 212 modifica el inciso 2702 (b) (6) para permitir, pero no exigir, un proveedor de servicios de revelar a la aplicacin de la ley de contenido o no el contenido de registros de clientes en casos de emergencia que impliquen un riesgo inme-diata de la muerte o lesiones fsicas graves a cualquier
persona. Esta revelacin voluntaria, sin embargo, no crcomi una obligacin positiva de examinar las comunicaciones de los clientes en la bsqueda de tales peligros inminentes. Las modificaciones contenidas en la Seccin 212 de la Ley ECPA tambin cambian para permitir que los proveedores a revelar informacin para proteger sus derechos y la propiedad. Se lleva a cabo este cambio por dos conjuntos relacionados de enmiendas. En primer lugar, las enmiendas a las secciones 2702 y 2703 del ttulo 18 simplificar el tratamiento de la divulgacin voluntaria por los proveedores, moviendo todas las disposiciones de 2702. As, el artculo 2702 regula ahora todas las revelaciones permisivas (de contenido y registros sin contenido igual), mientras que la seccin 2703
273
cubre nicamente las divulgaciones obligatorias por parte de los proveedores. En segundo lugar, una enmienda al nuevo inciso 2702 (c) (3) aclara que los proveedores de servicios tienen la autoridad legal de revelar sin contenido registros para proteger sus derechos y la propiedad. Todos estos cambios queden sin efecto al 31 de diciembre 2005.
La Seccin 216 de registro de pluma y de Trampa y el Estatuto de seguimiento

El registro de la pluma y el estatuto de la trampa y rastro (la "pluma / trampa" estatuto) regula el potencial col-leccin de informacin de trfico no contenidos relacionados con las comunicaciones, tales como los nmeros de telfono marcados por un telfono en particular. Artculo 216 se actualiza el estatuto lpiz / trampa de tres maneras importantes: (1) las enmiendas aclaran que la polica puede usar la pluma / trampa de las rdenes de rastrear las comunicaciones en Internet y otras redes informticas, (2) de la pluma / trampa de las rdenes dictadas por los tribunales federales Ahora tienen un efecto en todo el pas, y (3) las autoridades policiales deben presentar un informe espe-cial en el tribunal cada vez que utilicen una orden de la pluma / trampa para instalar su dispositivo de vigilancia propia (como DCS1000 del FBI) en los equipos que pertenecen a un proveedor pblico . En las secciones siguientes se describen estas disposiciones con mayor detalle. (Esta seccin no est sujeta a las dis puesta de solsin en la Seccin 224 de la Ley).
A. usar la pluma / TRAMPA DE RDENES DE COMUNICACIONES TRACE En las redes informticas
La ley anterior: Cuando el Congreso aprob el Estatuto de la pluma / nasa en 1986, no poda anticpat de la expansi dramticon en las comunicaciones electrnicas que se produciran en los siguientes quince aos. Por lo tanto, la ley contiene cierto lenguaje que pareca aplicarse a las comunicaciones telefnicas y de forma inequvoca que no abarcan las comunicaciones por redes informticas. A pesar de numerosos tribunales de todo el pas han solicitado la estatua de la pluma / trampa para las comunicaciones en la comunidadlas redes de computadora, ningn distrito federal o tribunal de apelacin ha pronunciado de forma expresa en su propiedad. Adems, ciertas prlos litigantes privados han cuestionado la aplicacin de la ley lpiz / trampa para tales comunicaciones electrnicas, basado en el telfono especfico del lenguaje del estatuto. Enmienda: La Seccin 216 de la Ley de enmienda las secciones 3121, 3123, 3124 y 3127 del ttulo 18 para aclarar que el estatuto de la pluma / trampa se aplica a una amplia variedad de tecnologas de la comunicacin. ". Lnea u otra instalacin" Las referencias a la diana "lnea", por ejemplo, se revisan para abarcar una Dicha instalacin puede incluir, por ejemplo, un nmero de telfono celular; un teleobjetivo celular especficade telfono identifica por su nmero de serie electrnico, una cuenta de usuario de Internet o direccin de correo electrnico, o una direccin de Protocolo de Internet, nmero de puerto o direccin similar red informtica o rango de direcciones. Adems, porque la ley tiene en cuenta una amplia variedad de estas instalaciones, las enmiendas a la seccin 3123 (b) (l) (C) permiten ahora a los solicitantes de las rdenes de la pluma / trampa en aportar una descripcin de las comunicaciones que se traz utilizando cualquiera de estos u otros identificadores. Por otra parte, las enmiendas aclaran que las rdenes para la instalacin de registro de la
pluma y la trampa y los dispositivos de rastreo puede obtener cualquier falta de contenido de la informacin para todos "marcacin, enrutamiento, direccionamiento y sealizacin de la informacin" - utilizado en el procesamiento y la transmisin de cable y las comunicaciones electrnicas . Dicha informacin incluye las direcciones IP y nmeros de puerto, as como la informacin "a" y "De" que figura en un encabezado de correo electrnico. Pen / trampa de rdenes no pueden, sin embargo, autorizar la interceptacin del contenido de una comunicacin, tales como palabras en el "asunto" o el cuerpo de un e-mail. Los agentes y fiscales que tengan preguntas acerca de si un determinado tipo de informacininformacin que constituye un contenido debe ponerse en contacto con la Oficina de Operaciones encargados de hacer cumplir en el contexto de telfono (202-514-6809) o la Seccin de Delitos Informticos y Propiedad Intelectual en la comordenador contexto (202-514-1026).
274
Adems, debido a que el registro de la pluma o la trampa y rastro "dispositivo" a menudo no pueden estar fsicamente "unido" a la instalacin de destino, la Seccin 216 hace dos cambios relacionados con otros. En primer lugar, en reconocimiento de los el hecho de que estas funciones se realizan comnmente hoy por software en lugar de mecanismos fsicos, el estatuto modificado permite el registro de la pluma o trampa y el dispositivo de seguimiento para ser "unido o aplicada" a la instalacin prevista. Del mismo modo, el artculo 216 revisa las definiciones de "registro de la pluma" y "trampas y el dispositivo de rastreo" en la seccin 3127 para incluir un intangible "proceso" (como un software de rou-diente), que recoge la misma informacin que un dispositivo fsico.
B. EL PAS efecto de las rdenes de PEN / TRAP
La ley anterior: Bajo la ley anterior, un tribunal slo puede autorizar la instalacin de un dispositivo de lpiz / trampa "dentro de la jurisdiccin de la corte." Debido a la desregulacin de las telecomunicaciones en la indus-tria, sin embargo, una sola comunicacin puedan ser realizadas por muchos proveedores. Por ejemplo, un telfono calyopuede ser transportado por un vehculo de cambio competitivo local, lo que le pasa a una empresa de Bell operativo local, lo que le pasa a un proveedor de larga distancia, que se la da a un carrier local en otros lugares en los EE.UU., que a su vez, finalmente podr entregar a un portador celular. Si estos vehculos no pasan la informacin con cada fuente de calyo, La identificacin de esa fuente puede requerir informacin convincente de una cadena de proveedores en todo el pas - que obliga a un septiembretipo de orden. Adems, dado que, segn la ley anterior, un tribunal slo puede autorizar la instalacin de un dispositivo de lpiz / trampa dentro de su propia jurisdiccin, cuando un proveedor se indica que la fuente de una comunicacincin era un proveedor diferente en otro distrito, una de segundo orden en el nuevo distrito se convirti es necesario. Esta orden tuvo que ser adquirida por un fiscal de apoyo en el nuevo distrito de un juez federal local - ninguno de los cuales tena ningn otro inters en el caso. De hecho, en un caso, los investi-gadores necesitan tres septiembrelas rdenes de los tipos de rastrear las comunicaciones de un hacker. Este proceso de duplicacin de la obtencin de un septiembrePara la tasa para cada eslabn de la cadena de las comunicaciones ha retrasado o-dada la dificultad de localizacin en tiempo real - completamente frustradas investigaciones importantes. Enmienda: La Seccin 216 de la Ley se divide la seccin 3123 del ttulo 18 del septiembre en dostipo de disposiciones. Nuevo inciso (a) (l) Otorga a los tribunales federales la autoridad para obligar a la asistencia de cualquier proveedor de servicios de comunicacin en los Estados Unidos, cuya asistencia es apropiada para efec-tuate la orden. Por ejemplo, un fiscal federal puede obtener una orden de rastrear calyos hizo a un telfono en el distrito local de la fiscala. La orden se aplica no slo a la compaa local de servicio de esa lnea, sino tambin a otros proveedores (como el de larga distancia y las compaas regionales en otras partes del pas) a travs del cual calyos se colocan en el telfono de destino. En algunas circunstancias, los investigadores pueden tener para servir a la orden en la primera compaa en la cadena y recibir de esa informacin de la aseguradora identificar el camino de la comunicacin para transmitir a la compaa siguiente en la cadena. El investigador entonces servir a la misma orden judicial en el soporte que viene, incluyendo la informacin de conexin adicional pertinente aprendido de la primera compaa, la segunda aerolnea entonces proporcionar la informacin de conexin en su poder para la comunicacin. El investigador que
repetir este proceso hasta que la orden ha sido notificada al transportista de origen que es capaz de identificar la fuente de la comunicacin. Cuando los fiscales solicitar una orden de la pluma / trampa de utilizar este procedimiento, por lo general no se conoce la ombre de los proveedores de segundas o posteriores en la cadena de comunicacin cubiertas por la orden. Por lo tanto, la aplicacin y el orden no necesariamente se ame a estos proveedores. Las enmiendas a la seccin 3123 por lo tanto, especificar que, si un proveedor que solicite, las autoridades deben ofrecer una "certificacin escrita o electrnica" que la orden se aplica a ese proveedor.
275
Las modificaciones contenidas en la Seccin 216 de la Ley que tambin permiten a los tribunales para autorizar la instalacin y el uso de dispositivos de la pluma / trampa en otros distritos. As, por ejemplo, si una investigacin penal contra el terrorismo o la otra con sede en Virginia descubre una conspiracin utilizando un telfono o una cuenta de Internet en Nueva York, el tribunal de Virginia puede obligar a los proveedores de comunicaciones en Nueva York para ayudar a los inves-caimanes en la recopilacin de informacin en virtud de un lpiz de Virginia / trampa de la orden. De acuerdo con el cambio anterior, la Seccin 216 de la Ley modificatoria del artculo 3123 (b) (l) (C) del ttulo 18 de Elimdominan el requisito de que los federales de la pluma / trampa de las rdenes de especificar sus lmites geogrficos. Sin embargo, debido a que la nueva ley da cumplimiento a nivel nacional para federales de la pluma / trampa de rdenes, una enmienda a la seccin 3127 (2) (A) impone un "nexo" requisito: el tribunal que debe tener competencia sobre el delito en particular se est investigando.
C. INFORMES PARA EL USO DE CUMPLIMIENTO DE LA LEY PEN / TRAMPA DE DISPOSITIVOS En las redes informticas
La Seccin 216 de la Ley tambin establece un requisito adicional para el uso de dispositivos de la pluma / trampa en una clase estrecha de los casos. Por lo general, cuando la polica sirve a un fin de la pluma / trampa en un proveedor de servicios de comunica-cin que proporciona acceso a Internet u otros servicios de computacin para el pblico, el propio proveedor debe ser capaz de recoger la informacin necesaria y le facilitar a la polica. En algunos casos raros, sin embargo, el proveedor puede ser incapaz de llevar a cabo la orden de la corte, necessi-litacin instalacin de un dispositivo (como Etherpeek o DCS1000 del FBI) para recoger la informacincin. En estos casos poco frecuentes, las modificaciones en el artculo 216 requiere que la agencia policial para proporcionar la siguiente informacin a la corte bajo el sello dentro de los treinta das: (1) la identidad de los funcionarios que instalaron o se accede al dispositivo, (2) la fecha y la vez que el dispositivo se ha instalado, el acceso y desinstalado, (3) la configuracin del dispositivo en la instalacin y cualquier modificacin a esa configuracin, y (4) la informacin recogida por el dispositivo. 18 USC 3123 (un) (3).
Seccin 217 interceptar las comunicaciones de Intrusos informticos

La ley anterior: Aunque la ley permite a los propietarios de ordenadores escuchas telefnicas para monitorear la actividad en sus mquinas para proteger sus derechos y la propiedad, hasta que la Seccin 217 de la Ley fue promulgada no estaba claro si los propietarios de ordenadores podra obtener la ayuda de la aplicacin de la ley en la realizacin de dichos controles. Esta falta de claridad impide aplicacin de la ley de asistencia a las vctimas a tomar las medidas naturales y razonables en su propia defensa que sera totalmente legal en el mundo fsico. En el mundo fsico, las vctimas de robo podr invitar a la plos piojos en sus casas para ayudarles a ponerse los ladrones en el acto de cometer sus crmenes. El estatuto de escuchas telefnicas no deben bloquear las investi-gadores de responder a las solicitudes similares en el contexto informtico, simplemente porque el medio para cometer el robo ocurre a caer en la definicin de un "cable o electrnica comunica-cin" de acuerdo con la ley escuchas telefnicas. En efecto, porque los
proveedores a menudo carecen de la experiencia, el equipo, los recursos financieros necesarios, o para controlar los ataques de s mismos, suelen tener una forma efectiva de ejercer sus derechos para protegerse de los atacantes no autorizados. Esta anomala en la ley de creacin, como un comentarista ha sealado, "un resultado extrao", en el que una comunidad "hackers de ordenador legales inmerecidos triunfos derecho a la intimidad del legtimolos derechos de privacidad de las vctimas de yerba mate de los hackers ". Orin S. Kerr, Estamos sobreproteger Cdigo? Reflexiones sobre la primera generacin Derecho de Internet, 57 Washington & Lee L. Rev. 1287, 1300 (2000).
276
Enmienda: Para corregir este problema, el amnuncineen la Seccin 217 de la Ley que las vctimas de los ataques informticos a autorizar a las personas "que acta con apariencia de legalidad" para vigilar a los intrusos en sus sistemas informticos. En la nueva seccin 2511 (2) (i), aplicacin de la ley pueden interceptar las comuni-caciones de un intruso informtico de transmisin, a travs, o desde un ordenador protegido. Antes de que el control puede ocurrir, sin embargo, cuatro requisitos que deben cumplirse. En primer lugar, la seccin 2511 (2) (i) (I) requiere que el propietario u operador de la computadora protegida debe autorizar la interceptacin de las comunicaciones del intruso. La segunda seccin, 2511 (2) (i)(Ii) requiere que la persona que intercepteela comunicacin se lcitamente a una investigacin en curso. Tanto las investigaciones de inteligencia criminal y los requisitos, pero la autoridad para interceptar deja en la conclusin de los la investigacin. Seccin Tercera, 2511 (2) (i) (III) requiere que la persona que acta con apariencia de legalidad que razonables de los motivos para creer que el contenidoede la comunicacin al ser interceptados sern relevantes para la investigacin en curso. Seccin Cuarta, 2511 (2) (i) (iv) requiere que los investigadores slo interceptar las comunicaciones enviadas o recibidas por los intrusos. Por lo tanto, esta seccin slo se aplicara cuando la configuracin del sistema informtico permite la interceptacin de las comunicaciones desde y hacia el intruso, y no la interceptacin de no consienten los usuarios autorizados para utilizar el ordenador. Finalmente, la seccin 217 de la Ley modifica el artculo 2510 del ttulo 18 de crcomi una definicin de "cominformticos intruso. "Estos intrusos incluir a cualquier persona que tenga acceso a una computadora protegida (tal como se define en la seccin 1030 del ttulo 18, sin autorizacin. Adems, la definicin explcita exeLudes cualquier persona "conocida por el propietario u operador de la computadora protegida para tener una relacin existen-cin contractual con el propietario o el operador de acceso a la totalidad o parte de la computadora." 18 USC 2510 (21). Por ejemplo, algunos proveedores de servicios de Internet no permiten a sus clientes para el envo masivo correos electrnicos no solicitados (o "spam"). Los clientes que envan correo basura estara en violacin de los trminos del proveedor de servicio, pero no califica como intrusos, tanto porque son los usuarios autorizados y porque tienen una relacin contractual existente con el proveedor. Estas disposiciones llegaran a 31 de diciembre 2005.
Seccin 220 Warrants bsqueda nacional de E-Mail

La ley anterior: Seccin 2703 (a) requiere que el gobierno utilice una orden de registro para obligar a un prestador de revelar sin abrir el correo electrnico menos de seis meses od. Debido a la Regla 41 de las Reglas Federales de Procedimiento Penal exige que la "propiedad" que se obtenga ser "dentro del distrito" de la corte de emisin, sin embargo, algunos tribunales se han negado a emitir la seccin 2703 (a) garantiza que para el correo electrnico ubicado en otra distribucinets. Lamentablemente, esta negativa ha colocado una enorme fresa administrativa-den en los diseTS en la que los principales ISPs estn ubicados, como el Distrito Este de Virginia y el Distrito Norte de California, a pesar de que stos distribucineTS puede tener ninguna relacin con el acto criminalebajo investigacin. Adems, exige a los investigadores a obtener rdenes de dis-tantes jurisdicciones se ha desacelerado sensibles al tiempo las investigaciones. Enmienda: El artculo 220 de la Ley modifica el artculo 2703 (a) del ttulo 18 (y disposiciones paralelas en otras partes de la seccin 2703) para permitir a los investigadores a utilizar la seccin
2703 (a) para obligar a los registros de rdenes de fuera del distrito en el que se encuentra el tribunal, al igual que que utilizan gran jurado federal sub-poenas y rdenes bajo la seccin 2703 (d). Este cambio permite que los tribunales con jurisdiccin sobre investitigaciones para obligar a las pruebas directamente, sin necesidad de la intervencin de un agentee, Los fiscales y los jueces de la distribucinets, donde los principales ISPs estn ubicados. Esta provisin la voluntad puesta de sol el 31 de diciembre 2005.
277
Seccin 814 disuasin y prevencin del ciberterrorismo

Seccin 814 hace una serie de cambios para mejorar la 18 USC 1030, la Ley de Fraude y Abuso. En esta seccin se aumenta las penas para los piratas informticos que daan los equipos protegidos (a partir de maanaximum de 10 aos a un mximum de 20 aos), aclara el mens rea requerido para tales delitos para hacer explcito que un hacker slo necesita la intencin de dao, no un tipo particular de dao, aade un nuevo delito para los equipos utilizados para daar la seguridad nacional o la justicia penal; ampla la cobertura de la ley para incluir computadoras en los pases extranjeros, siempre y cuando no hay un efecto en EE.UU. el comercio interestatal o extranjero; convicciones recuento de Estado como "delitos anteriores" por razones de mejoras sentencia reincidentes, y permite que las prdidas de varios equipos del campo de un hacker de conducta que se suman a los efectos de cumplir con el umbral de 5.000 dlares jurisdiccional. A continuacin analizamos estas y otras disposiciones con mayor detalle.
A. Seccin 1030 (C) - AUMENTO DE LA MPENA DE XIMUM que los hackers DAOS Y ELIMINACIN DE PROTECCIN DE COMPUTADORAS M OBLIGATORIANIMUMS
La ley anterior: Bajo la ley anterior, los infractores por primera vez que vifinales de la seccin 1030 (a) (5) podra ser castigado por no ms de cinco aos de prisin, mientras que los reincidentes podran recibir hasta diez aos. Ciertos delincuentes, sin embargo, puede causar daos graves a las computadoras protegidas que esta m de cinco aosximum no tiene debidamente en cuenta la gravedad de sus delitos. Por ejemplo, David Smith se declar culpable de violar la seccin 1030 (a) (5) para la liberacin del virus "Melissa" que miles de computadoras daadas a travs de Internet. Aunque Smith estuvo de acuerdo, como parte de su declaracin, que su conducta caus ms de $ 80 millones de dlares en prdidas (el mcifra en dlares ximum con-tenida en los Sentencing Guidelines), los expertos estcompaero de que la prdida real fue hasta diez veces de esa cantidad. Adems, la ley anterior establece una sentencia obligatoria m directricesnimum de seis meses de prisin por cualquier violacin de la seccin 1030 (a) (5), as como por violacines de la seccin 1030 (a) (4) (El acceso a una computadora protegida, con la intencin de defraudar). Enmienda: Seccin 814 de la Ley plantea la mpena de ximum de violacines de daar un ordenador protegido a diez aos para los delincuentes en primer lugar, y por veinte aos para los infractores reincidentes. 18 USC 1030 (c) (4). El Congreso eligi, sin embargo, a ElimNate m obligatorianimum directrices sentenccin de la seccin 1030 violacines.
B. SUBSECCIN 1030 (C) (2) (C) y (E) (8) - Los hackers necesitan slo la intencin de NO CAUSAR DAO, A PARTICULARNSEQUENCE O GRADO DE DAOS
La ley anterior: Bajo la ley anterior, con el fin de viincisos finales (a) (5) (A), un delincuente tuvo que "intencionalmente [causa] daos sin autorizacin." Seccin 1030 define el "dao" como poner en peligro-cin a la integridad o la disponibilidad de los datos, un programa, un sistema, o la informacin que (1) la prdida causada por lo menos $ 5.000; (2) tratamiento modificado o altere el mdico; (3) causado un dao fsico, o (4) en peligro la salud o la seguridad pblica.
La pregunta repetidamente arse, sin embargo, si un delincuente debe tener la intencin de la prdida de $ 5.000 o dao especial, o si se produce una violacin, si la nica persona que tiene la intencin de daar la comordenador, que en realidad termina causando la prdida de $ 5.000 o daar el indiais. Parece ser que el Congreso nunca la intencin de que el lenguaje contenido en la definicin de "dao" sera crcomi elementos adicionales de prueba del estado mental del actor. Adems, en la mayora de los casos, sera casi imposible demostrar esta intencin adicional.
278
Enmienda: Seccin 814 de la Ley del Estatuto de reestructura para dejar claro que una persona slo necesita la intencin de daar el equipo o la informacin que contiene, y no una cantidad especfica de dlares de prdida o dao especial. Las modificaciones que se mueven estos requisitos jurisdiccionales para 1030 (a) (5) (B), de forma explcita lo que elementos de la ofensa, y definir el "dao" como "cualquier dao a la integridad o la disponibilidad de los datos, un programa, un sistema o la informacin ". 18 USC 1030 (e) (8) (el subrayado es nuestro). Bajo esta estructura aclar, a fin de que el gobierno para demostrar una violacin de 1030 (a) (5), debe demostrar que el actor caus daos a una computadora protegida (con uno de los Usted estados mentales), y que la conducta del actor causada ya sea la prdida de 5.000 dlares, el deterioro de los registros mdicos, dao a una persona, o la amenaza a la seguridad pblica. 18 USC 1030 (a) (5) (B).
C. Seccin 1030 (C)-AGREGAR LOS DAOS OCASIONADOS POR UN HACKER'S TODO EL CURSO DE CONDUCTA
La ley anterior: La ley anterior no estaba claro si el gobierno se pudieron combinar la consiguiente prdida de los daos causados a una persona a los diferentes equipos protegidos en la bsqueda para alcanzar el umbral jurisdiccional de 5.000 dlares en prdidas. Por ejemplo, una persona podra tener acceso ilegalmente cinco equipos de una red de diez fechas diferentes como parte de un curso relacionado con la conducta, pero slo causan la prdida de 1.000 dlares a cada equipo en cada intrusin. Si la ley anterior se interpreta de no permitir la agregacin, entonces esa persona no habra cometido un delito federal en absoluto, ya l o ella no haba hecho ms de $ 5.000 a cualquier equipo en particular. Enmienda: En virtud de las enmiendas de la Seccin 814 de la Ley, el gobierno puede ahora agregar "la prdida resultante de un curso relacionado con la conducta que afecta a uno o varios otros equipos protegidos" que se produce dentro de un perodo de un ao para probar el umbral de 5.000 dlares jurisdiccional para daar un ordenador protegido. 18 USC 1030 (a) (5) (B) (i).
D. Nuevo delito PARA ORDENADORES DE DEPREDADORES - 1030 (C) (2) (C) UTILIZA NACIONAL DE LA SEGURIDAD Y LA JUSTICIA PENAL
La ley anterior: Seccin 1030 antes no tenan especial de provisin que mejore el castigo de los piratas informticos que utilizan los ordenadores daos en apoyo de la administracin de justicia, de defensa nacional o la seguridad nacional. Por lo tanto, los investigadores y fiscales federales no tienen jurisdiccin sobre los esfuerzos para daar la justicia penal y los equipos militares, donde el ataque no caus prdida de ms de $ 5.000 (o cumplir con uno de los requisitos especiales). Sin embargo, estos sistemas sirven para las funciones crticas y enjuiciamientos por delitos graves de mrito, aun cuando el dao es relativamente leve. De hecho, los ataques a equipos que se utilizan en la defensa nacional que se producen durante los perodos de compromiso militar activo son particularmente graves - incluso si no causan daos o perturbar las capacidades blicas de las fuerzas armadas -, ya que el tiempo y desviar la atencin de la objetivos propios militares. Del mismo modo, la interrupcin de los sistemas informticos de la corte y los datos podran seri-
ously poner en peligro la integridad del sistema de justicia penal. Enmienda: Las enmiendas de la Seccin 814 de la Ley de crcomi la seccin 1030 (a) (5) (B) (v) para resolver esta insuficiencia. Bajo esta provisin, un hacker viola la ley federal al daar una computadora ", utilizada por o para una entidad del gobierno en apoyo de la administracin de justicia, de defensa nacional o la seguridad nacional", aun cuando ese dao no se traduce en una prdida demostrable de ms de $ 5.000.
Apndice C: Gua de campo sobre Ley Patriota de EE.UU. 2001 E. SUBSECCIN 1030 (E) (2) - Ampliar la definicin de "PROTEGIDO ORDENADOR"PARA INCLUIR LAS COMPUTADORAS EN EL EXTRANJERO
279
La ley anterior: Antes de las enmiendas de la Seccin 814 de la Ley, la seccin 1030 del ttulo 18 se define "computadora protegida" como un ordenador utilizado por el gobiern federalmcin o de una institucin financiera, o un "que se utiliza en el comercio interestatal o extranjero." 18 USC 1030 (e) (2). La definicin hizo no incluye explcitamente las computadoras fuera de los Estados Unidos. Debido a la interdependencia y la disponibilidad de las redes mundiales de informtica, los hackers en los Estados Unidos estn cada vez ms centrado en los sistemas situados totalmente fuera de este pas. La ley no contempla explcitamente la persecucin de los piratas informticos tales. Adems, individuosais en el extranjero con frecuencia enrutar las comunicaciones a travs de los Estados Unidos, incluso a medida que hackear de un pas extranjero a otro. En tales casos, la esperanza puede ser que la falta de EE.UU. Vic-tim que impida o desalentar a las agencias policiales estadounidenses de ayudar en cualquier deextranjera investigacin o el enjuiciamiento. Enmienda: Seccin 814 de la Ley modifica la definicin de "computadora protegida" para dejar claro que este trmino incluye los equipos fuera de los Estados Unidos siempre y cuando afecta a "entreEstado o de comercio exterior o la comunicacin de los Estados Unidos. "18 USC 1030 (e) (2) (B). Al aclarar el hecho de que existe un delito interno, los Estados Unidos ahora pueden usar la agilizacin de los procedimientos internos a participar en las investigaciones de hackers internacionales. A medida que estos crmenes a menudo implican los investi-gadores y las vctimas en ms de un pas, el fomento de la cooperacin policial internacional es esencial. Adems, la enmienda crea la opcin de, en su caso, de procesar tales Criminais en los Estados Unidos. Desde los EE.UU. insta a otros pases para asegurar que puedan vindCate los intereses de las vctimas de Estados Unidos por delitos informticos que origNate en sus naciones, esta provisin se permitira a los EE.UU. para proporcionar una cobertura recproca.
F. SUBSECCIN 1030 (E) (10) - CONTEO DE CONDENAS DEL ESTADO Como "delitos anteriores"
La ley anterior: Bajo la ley anterior, el tribunal en la sentencia podra, por supuesto, tenga en cuenta las condenas anteriores del delincuente por delitos estatales de delitos informticos. Convicciones del Estado, sin embargo, no provoc las disposiciones sobre la detencin reincidentes de la seccin 1030, que el doble de la msanciones disponibles ximumpoder en virtud de la ley. Enmienda: Seccin 814 de la Ley modifica la definicin de "conviccin" de manera que incluya Conconvicciones por delitos graves piratera informtica bajo la ley estatal, es decir, delitos estatales en un ele-mento de la infraccin es de 18 ", acceso no autorizado, o excediendo el acceso autorizado a una computadora". USC 1030 (e) (10).
G. SUBSECCIN 1030 (E) (11) - DEFINICIN DE "PRDIDA"
La ley anterior: Clculo de la "prdida" es importante que el gobiernmcin busca demostrar que
una indicacinindividual causado la prdida de ms de $ 5.000 con el fin de cumplir con los requisitos jurisdiccionales que se encuentran en 1030 (a) (5) (B) (i). Sin embargo, antes de las modificaciones de la Seccin 814 de la Ley, la seccin 1030 del ttulo 18 no tena ninguna definicin de "prdida". El tribunal slo para abordar el alcance de la definicin de la prdida adopt una lectura integradora de lo que cuesta el gobiemcin pueden incluir. En Estados Unidos v Middleton, 231 F.3d 1207, 1210/11 (9th Cir. 2000), el tribunal sostuvo que la definicin de la prdida incluye una amplia gama
280
de los daos sufridos por lo general las vctimas de los delitos informticos, incluidos los costos de la respuesta a la ofensiva, llevando a cabo una evaluacin de los daos, restaurar el sistema y los datos a su estado anterior al delito, y cualquier prdida de ingresos o gastos ocasionados por la interrupcin del servicio. Enmiendas: Las enmiendas de la Seccin 814 codificar la definicin suficientemente amplia de la prdida de adoptada en Middleton. 18 USC 1030 (e) (ll).
Seccin 815 de Defensa adicional a las acciones civiles relativas a los expedientes de Conservacin en respuesta a peticiones del Gobierno
Seccin 815 aadido a una defensa existente a una causa por daos y perjuicios por violacines de la Ley de Comunicaciones Electrnicas de privacidad, el Captulo 121 del Ttulo 18. Bajo la ley anterior era una defensa de una causa de accin que confiar en la buena fe, con una orden judicial o una orden, una citacin del gran jurado, una autorizacin legis-lativo, o una autorizacin legal. Esta enmienda deja claro que la "autorizacin legal" incluye la defensa de buena fe la dependencia de una solicitud del gobierno para preservar las pruebas en virtud de 18 USC 2703 (f).
Seccin 816 Desarrollo y apoyo a la ciberseguridad Capacidades forenses
La seccin 816 exige que el Fiscal General que establezca regional de este tipo de ordenadores, laboratorios-rios que estime convenientes, y para proporcionar apoyo a los laboratorios forenses informticos existentes, para que puedan proporcionar ciertas capacidades forenses y la formacin. La provisin tambin autoriza el gasto de dinero para apoyar a los laboratorios.
Apndice D
Los registros informticos y las Reglas Federales de Evidencia

En este artculo (EE.UU. Bulletin, marzo de 2001, por la On S. Kerr, el Abogado Litigante) explica algunas de las cuestiones importantes que pueden surgir cuando el gobiemcin busca la admisin de los registros informticos conforme a las Reglas Federales de Evidencia. El material que aqu es un extracto de un manual de ms grande del Departamento de Justicia dere-tellas "Evidencia Bsqueda y embargaron computadoras y obtencin de electrnica en investigaciones criminales," que est disponible en Internet en www.cybercrime.gov / searchmanual.htm.
Delitos Informticos y Propiedad Intelectual Propiedad Seccin

Mayora de los tribunales federales que han evaluado la admisibilidad de los registros informticos se han centrado en los registros informticos como rumor potencial. General, los tribunales han admitido los registros informticos sobre una muestra de que los registros de acogerse a la excepcin de registros comerciales, la Reserva Federal. R. Evid. 803 (6): Los registros de la actividad realizada regularmente. Un memorndum, informe, registro o recopilacin de datos, en cualquier forma, de los actos, eventos, condiciones, opiniones o diagnsticos, realizado en o cerca del momento, o de la informacin transmitida por, una persona con conocimiento, si se mantiene en el curso de una actividad empresarial a cabo regularmente, y si era la prctica habitual de que la actividad comercial para hacer la memorndum, informe, registro o recopilacin de datos, todo como lo demuestra el testimonio del custodio o testigo calificado, a menos que la fuente de informacin o el mtodo o las circunstancias de la preparacin indCate falta de honradez. El trmino "empresa" tal como se utiliza en el presente apartado incluye el negocio, institucin, asociacin, profesin, ocupacin, y la vocacin de todo tipo, o no fines de lucro. Vase, por ejemplo, United States v Cestnik, 36 F. 3d 904, 909-10 (lOth Cir. 1994), Los Estados Unidos contra Moore, 923 F. 2d 910, 914 (l Cir. 1991), Los Estados Unidos contra Briscoe, 896 F. 2d 1476, 1494 (7th Cir 1990),. Estados Unidos contra Catabran, 836 F. 2d 453, 457 (9th Cir 1988);. Capital Marine Supply v M / V Roland Thomas II, 719 F. 2d 104, 106 (5th Cir. 1983). Aplicando este criterio, los tribunales han sealado que los registros informticos en general,
pueden ser admitidos como registros comerciales si se mantiene en virtud de una procedimiento de rutina por motivos que tienden a asegurar su exactitud. Sin embargo, los tribunales federales es probable que se alejan de este "one size fits all" enfoque a medida que estn ms cmodos y familiarizados con los registros informticos. Al igual que los registros en papel, los registros informticos no son monolticas: las cuestiones probatorias planteadas por su admisin depender de qu tipo de registros informticos una propuesta solicita la han admitido. Por ejemplo, los registros informticos que contienen texto a menudo se puede dividir en dos categoras: generados por ordenador, los registros
281
282
y los registros que no son ms que computadoras almacenan. Ver People v Holowko, 486 N.E.2d 877, 878-79 (111. 1985). Las bisagras de la diferencia sobre si una persona o una mquina creada el contenido de los documentos. Registros almacenados por ordenador se refieren a documentos que contienen los escritos de alguna persona o personas para pasar a ser en forma electrnica. Mensajes de correo electrnico, archivos de procesadores de texto y mensajes de chat de Internet son ejemplos comunes. Como con cualquier otro testimonio o prueba documental que contiene las declaraciones humanos, ordenador almacena los registros deben cumplir con la regla de rumor. Si los registros son admitidos para probar la verdad de la materia afirman, el oferente de los registros deben mostrar las circunstancias que indican que los estados humanos contenidos en el expediente son fiables y de confianza, vea las notas del Comit Asesor a propuesta de la Regla 801 (1972), y los registros debe ser autntico. En cambio, generadas por computadora registros contienen la salida de los programas de ordenador, tocada por manos humanas. Registros de entrada de los proveedores de servicios de Internet, registros de llamadas telefnicas y recibos de cajeros automticos tienden a ser generados por computadora los registros. A diferencia de los registros almacenados en ordenador, computadora de generacinaceleradas registros no contienen humanos "declaraciones", sino slo la salida de un programa de computadora diseado para procesar la entrada despus de un algoritmo definido. Por supuesto, un programa de ordenador puede dirigir un equipo de generacintasa de un registro que imita una declaracin humana: un programa de correo electrnico puede anunciar "Tienes un mensaje!" cuando el correo llega a la bandeja de entrada, y un recibo del cajero automtico se puede afirmar que 100 dlares fue depositado en una cuenta a las 2:25 pm. Sin embargo, el hecho de que una computadora, en lugar de un ser humano, ha creado el registro altera los problemas de carcter probatorio que los documentos generados por ordenador presentan. Vase, por ejemplo, 2 J. Fuerte, McCormick en la Evidencia 294, a 286 (4 ed., 1992). La cuestin probatoria ya no es si un ser humano fuera de la cancha declaracin era veraz y precisin de cambio (una cuestin de odas), pero en cambio si el programa de computadora que gener el registro estaba funcionando correctamente (una cuestin de autenticidad). Vea Identificacin;. Richard O. Lempert y Steven A. Saltzburg, un enfoque moderno de la evidencia 370 (2d ed 1983.); Holowko, 486 NE2d en 878-79. Por ltimo, una tercera categora de los registros informticos existe: algunos archivos de computadora son generadas por ordenador y el ordenador almacena. Por ejemplo, a un sospechoso en un caso de fraude puede utilizar un programa de hoja de clculo para procesar los datos econmicos relacionados con el esquema fraudulento. Un registro informtico que contiene la salida del programa se derivan de ambas declaraciones humanos (entrada del sospechoso a la hoja de clculo) y el procesamiento de equipo (las operaciones matemticas de la hoja de clculo). En consecuencia, el registro combina las preocupaciones en materia de prueba planteadas por compor ordenador, almacenar y registros generados por ordenador. La parte que solicita la admisin del registro debe abordar tanto las cuestiones rumores implicados por la entrada original y la autenticidad de la cuestiones planteadas por el tratamiento por ordenador. Como los tribunales federales de desarrollar una apreciacin ms matizada de las distinciones que se harn entre los diferentes tipos de archivos de computadora, es probable que se vea que la admisin de los registros informticos en general, plantea dos cuestiones distintas. En primer lugar, el gobierno debe establecer la autenticidad de todos los registros informticos, proporcionando "pruebas suficientes para apoyar la conclusin de que el asunto
en cuestin es lo que afirma su autor". Fed. R. Evid. 901 (uno). En segundo lugar, si los registros informticos computadora almacena los registros que contienen los estados humanos, el gobierno debe demostrar que los declaraciones humanos no son odas inadmisible.
A. autenticacin
Antes de que una Parte podr proponer para la admisin de un registro informtico o cualquier otra prueba, el proponente debe demostrar que es autntico. Es decir, el gobierno debe ofrecer pruebas "suficientes para apoyar la conclusin de que [el registro informtico o cualquier otra prueba] en cuestin es lo que afirma autor de la propuesta". Fed. R. Evid. 901 (uno). Vase United States v Simpson, 152 F. 3d 1241, 1250 (lOth Cir. 1998).
Apndice D: los registros informticos y las Reglas Federales de Evidencia
283
El estndar para la autenticacin de los registros informticos es el mismo que para la autenticacin de otros registros. El grado de authenticatin no vara simplemente porque un registro pasa a ser (o ha estado en un punto) en formato electrnico. Vase United States v DeGeorgia, 420 F. 2d 889, 893 n.ll (9th Cir 1969.); Estados Unidos contra Vela, 673 F.2d 86, 90 (5th Cir 1982.). Pero ver a Estados Unidos contra Scholle, 553 F. 2d 1109, 1125 (8th Cir. 1977) (indicando en dicta que "la naturaleza compleja de equipo de almacenamiento de calyos de una base ms amplia "). Por ejemplo, los testigos que dan fe de la autntica-dad de los registros informticos no necesitan tener una especial cualificacin. El testigo no es necesario que haya programado la computadora s mismo, o incluso necesario para entender la operacin de mantenimiento y tcnicos de la computadora. Vase United States v Moore, 923 F2d 910, 915 (l Cir. 1991) (citando los casos). En su lugar, el testigo simplemente debe tener conocimiento de primera mano de los hechos pertinentes a la que l o ella testifica. Vase, en general los Estados Unidos contra Whitaker, 127 F. 3d 595, 601 (7th Cir. 1997) (agente del FBI que estaba presente cuando el ordenador del acusado fue capturado puede autenticar los archivos incautados) Estados Unidos vs Miller, 771 F. 2d 1219, 1237 (9th Cir 1985.) (supervisor de facturacin de la compaa telefnica puede autenticar los registros telefnicos de la empresa); Moore, 923 F.2d en 915 (jefe de crditos de consumo del banco departamento de TI puede autenticar los datos informatizados de los prstamos). Impugnacin de la autenticidad de los registros informticos a menudo toman una de las tres formas. En primer lugar, las partes podrn impugnar la autenticidad de ambos registros generados por computadora y la computadora almacena-por el cuestionamiento si los registros se han alterado, manipulado o daado despus de que fueron creados. En segundo lugar, las partes podrn cuestionar la autenticidad de los registros generados por computadora, desafiando la fiabilidad del programa de computadora que genera los registros. Los terceros, podr impugnar la autenticidad de los registros almacenados en ordenador, cuestionando la identidad de su autor.
1. AUTENTICIDAD y la alteracin de los registros informticos
Los registros informticos se puede alterar fcilmente, y los partidos de oposicin a menudo alegan que los registros informticos carecen de autenticidad, ya que han sido alterados o modificados despus de su creacin. Por ejemplo, en Estados Unidos contra Whitaker, 127 F3d 595, 602 (7th Cir. 1997), el gobierno de recuperar los archivos informticos de la computadora de un traficante de drogas llamado Frost. Los archivos de la comunidad de Frostordenador incluye un registro detallado de las ventas de narcticos por parte de tres alias: "Yo" (Frost s mismo, presumiblemente), "Gator" (el apodo de Frost co-acusado Whitaker), y "Cruz" (el apodo de otro distribuidor). Despus de que el gobierno permiti a Frost para ayudar a recuperar la evidencia de su equipo y se neg a establecer una cadena formal de la custodia de la computadora en el juicio, Whitaker argument que los archivos que implican a l a travs de sus alias no haban sido debidamente autenticadas. Whitaker sostuvo que "con algunos golpes de teclado rpidos pocos, Frost fcilmente podra haber aadido el alias de Whitaker," Gator "de las impresiones con el fin de Whitaker y los dedos para parecer ms til para el gobierno". Id. en 602. Los tribunales han respondido con escepticismo a estas afirmaciones sin fundamento que el COMlos registros informticos han sido alterados. A falta de pruebas especficas que se produjo el sabotaje, la mera posibi-lidad de manipulacin no afecta a la autenticidad de un registro informtico. Ver Whitaker, 127 F3D a 602 (disminucin de molestar a la decisin del juez de
primera instancia de que los registros informticos eran admisibles por denuncia de la manipulacin era "especulacin casi con los ojos desorbitados ... [sin] la evidencia para apoyar esa hiptesis"), los Estados Unidos contra Bonallo , 858 F. 2d 1427, 1436 (9th Cir 1988.) ("El hecho de que es posi-ble modificar los datos contenidos en una computadora es claramente insuficiente para establecer poca confianza."); Estados Unidos contra Glasser, 773 F2d 1553 , 1559 (llth Cir. 1985) ("La existencia de un hermtico sistema de segu-ridad [para evitar la manipulacin] no es, sin embargo, un requisito previo para la admisibilidad de las impresiones de computadora. Si tal requisito exista, sera prcticamente imposible de admitir comgenerada por computadora los registros, la parte contraria la admisin tendra que demostrar slo que mejor
284
sistema de seguridad era viable. "). Identificacin. en 559. Esto es consistente con la regla utilizada para establecer la autenticidad de otras pruebas, tales como los narcticos. Vase Estados Unidos contra Alyoes, 106 F. 3d 695, 700 (6th Cir. 1997) ("El solo hecho que plantea la posibilidad de manipulacin es insuficiente para hacer pruebas inadmisibles-ble."). A falta de pruebas especficas de manipulacin, las acusaciones de que los registros informticos han sido alterados ir a su peso, no su admisibilidad. Ver Bonallo, 858 F.2d en 1436.
2. Establecer la fiabilidad de los programas informticos
La autenticidad de los registros generados por computadora en ocasiones implica la fiabilidad de la comprogramas de ordenador que se crcomieron los registros. Por ejemplo, un registro generado por computadora podra no ser autntico si el programa que crea el registro contiene errores graves de programacin. Si la salida de la pro-grama es inexacta, el registro no puede ser "lo que su autor afirma que" de acuerdo a la Reserva Federal. R. Evid. 901. Los acusados en tres penalesais a menudo tratan de cuestionar la autenticidad de la computadora-generATED registros cuestionando la fiabilidad de los programas. Vase, por ejemplo, United States v Dioguardi, 428 F. 2d 1033, 1038 (2d Cir 1970.); Estados Unidos contra Liebert, 519 F. 2d 542, 547-48 (3d Cir 1975.). Los tribunales han sealado que el gobierno puede mseoyo a este reto, siempre y cuando "el Go-bierno ofrece fa suficienteeTS para justificar la conclusin de que los registros son dignos de confianza y de la parte contraria se le concede la oportunidad de indagar en la unaecurato del mismo [.] "Los Estados Unidos contra Briscoe, 896 F. 2d 1476, 1494 (7th Cir. 1990). Vase tambin Liebert, 519 F.2d en 547; DeGeorgia, 420 F. 2d. en el 893 n.ll. Comparar la Reserva Federal. R. Evid. 901 (b) (9) (que indica que los asuntos creados de acuerdo con un proceso o sistema puede ser autenticado con "[e] vidence describe un proceso o sistema utilizado ... y mostrando que el proceso o sistema produce un unoecomisariar resultado "). En la mayora de los casos, la fiabilidad de un programa de ordenador puede ser establecida por mostrando que los usuarios del programa en realidad se basan en ella sobre una base regular, como en el curso ordinario de los negocios. Vase, por ejemplo, United States v Moore, 923 F. 2d 910, 915 (l Cir. 1991) ("[L] as circunstancias comerciales normales descritos sugieren la honradez, ... al menos que sea absolutamente nada en el registro de ninguna manera implica la falta de ella.") (Registros computarizados de impuestos realizadas por el IRS), Briscoe, 896 F.2d en 1494 (computarizado que se grabaciones telefnicas realizadas por Illinois Bell). Cuando el programa de ordenador no se utiliza de forma regular y el gobierno no puede establecer la fiabilidad basada en la confianza en el curso ordinario de los negocios, el gobierno puede verse obligado a revelar "lo que las operaciones de la computadora haba sido instruido para llevar a cabo [as como] la precisa instruccin que haba recibido "si las solicitudes parte contraria. Dioguardi, 428 F2d en 1038. Notablemente, una vez mnimum norma de confiabilidad se ha establecido, las preguntas en cuanto a la unaecurato de los registros informticos "como resultado de. . . el funcionamiento del programa informtico "afectan slo al peso de la evidencia, no su admisibilidad. Los Estados Unidos contra Catabran, 836 F. 2d 453, 458 (9th Cir. 1988). Los fiscales pueden en cuenta el solapamiento conceptual entre establecer la autenticidad de un comgenerada por computadora de registro y el establecimiento de la confiabilidad de un registro informtico para el negociodad rcord de excepcin a la regla de rumores. De hecho, los tribunales federales que evalcomi la autenticidad de los registros generados por computadora a menudo asumen que los registros contienen rumores, y luego aplicar la excepcin de registros comerciales. Vase, por ejemplo, United States v Linn, 880 F. 2d 209,
216 (9th Cir 1989.) (Aplicacin de negocio de los registros a excepcin de los registros telefnicos generados "automticamente" por una computadora), los Estados Unidos contra Vela, 673 F2d 86, 89-90 (5th Cir. 1982) (lo mismo). Como veremos ms adelante en este artculo, este anlisis es tcnicamente incorrecto en muchos casos: los registros generados por computadora en su totalidad por computadoras no pueden contener rumores y no pueden acogerse a la excepcin de registros comerciales, ya que no contienen humanos Vase la parte B, infra "declaraciones".. En la prctica, sin embargo, los fiscales que sentar las bases para establecer un registro generado por computadora, como un registro de negocios
285
Tambin sentar las bases para establecer la autenticidad del registro. Prueba de que el equipo pro-grama es lo suficientemente confiable para que sus resultados califican como los registros comerciales de acuerdo a la Reserva Federal. R. Evid. 803 (6) tambin establece la autenticidad de la grabacin. Comparar Estados Unidos contra Saputski, 496 F. 2d 140, 142 (9th Cir. 1974).
3. IDENTIFICACIN DEL AUTOR DE LOS REGISTROS almacenados en ordenador
Aunque los registros escritos a mano puede ser escrito en un estilo de escritura distintivo, los registros almacenados en ordenador consisten en ouna larga cadena de ceros y unos que no necesariamente se identifican a su autor. Este es un problema particular con las comunicaciones por Internet, que ofrecen a sus autores un grado inusual de no ser identificado. Por ejemplo, las tecnologas de Internet permiten a los usuarios enviar efectivamente Annimos e-mails, y los canales de Internet Relay Chat permite a los usuarios comunicarse sin revelar su verdadera Ames. Cuando los fiscales buscan la admisin de tales registros almacenados en ordenador contra un acusado, el acusado puede impugnar la autenticidad de dicho documento por desafiar la identidad de su autor. Las pruebas circunstanciales en general, proporciona la clave para establecer la autora y la autenticidad de un registro informtico. Por ejemplo, en Estados Unidos contra Simpson, 152 F. 3d 1241 (lOth Cir. 1998), la fiscala trat de demostrar que el acusado haba hablado con un agente encubierto del FBI en un chat de Internet dedicado a la pornografa infantil. El gobierno ofreci una impresin de una conversacin de chat de Internet entre el agente y una persona identificada como "Stavron", y trat de demostrar que "Stavron" era el acusado. El tribunal de distrito admiti la impresin de pruebas en el juicio. En la apelacin tras ser declarado culpable, Simpson argument que "porque el gobierno no pudo identificar que las declaraciones atribuidas a [l] se de puo y letra, su estilo de escritura, o su voz", la impresin no haba sido autenticada y deberan haber sido excluidas. Identificacin. en 1249. El X Circuito rechaz este argumento, teniendo en cuenta la considerable evidencia circunstancial de que "Stavron" era el acusado. Ver id. en 1250. Por ejemplo, "Stavron" le haba dicho al agente encubierto que su verdadera AME fue "B. Simpson, "dio un domicilio que haca juego con Simpson, y pareca estar accediendo a Internet desde una cuenta registrada a Simpson. Adems, el plos piojos encontrado registros en la casa de Simpson de que la lista ombre, direccin y nmero de telfono que el agente encubierto le haba enviado a "Stavron." En consecuencia, el gobierno haba aportado pruebas sufi-ciente para apoyar la conclusin de que el acusado era "Stavron", y la impresin se ha autenticado correctamente. Ver id. en 1250. Vase tambin Estados Unidos contra tanque, 200 F. 3d 627, 630-31 (9th Cir. 2000) (concluyendo que el tribunal de distrito admiti la charla adecuadamente las impresiones del registro de habitaciones en circunstancias simiLAR a los de Simpson). Pero ver a Estados Unidos contra Jackson, 208 F. 3d 638 (7th Cir. 2000) (conclucin que los mensajes en Internet que pretenden ser las declaraciones formuladas por los grupos supremacistas blancos fueron excluidos por razones de autenticacin adecuada en ausencia de evidencia de que los mensajes eran en realidad Publicado por los grupos).
B. Rumores
Los tribunales federales han a menudo se supone que todos los registros informticos contienen rumores. Una visin ms matizada sugiere que en realidad slo una parte de los registros
informticos contienen rumores. Cuando un registro informtico contiene las afirmaciones de una persona, aunque no sean procesados por un ordenador, el registro puede contener rumores. En tales casos, el gobierno debe ajustarse el registro dentro de una excepcin de odas, como la excepcin de registros comerciales, la Reserva Federal. R. Evid. 803 (6). Cuando un registro informtico slo contiene los datos generados por ordenador sin tocar por manos humanas, sin embargo, el registro no puede contener rumores. En tales casos, el gobierno debe establecer la autenticidad de la grabacin, pero no es necesario establecer una excepcin que de odas se aplica para los registros de la admisibilidad.
286
1. Inaplicabilidad de las normas Hearsay A generados por computadora REGISTROS
Las reglas existen para evitar rumores poco fiables fuera de los tribunales las declaraciones de los declarantes humanos de influir indebidamente en los resultados de tresais. Porque la gente puede malinterpretar o tergiversar sus experiencias, las normas basadas en rumores expresan una fuerte preferencia por la prueba de las afirmaciones de humanos en la corte, donde se puede el declarante colocados en el soporte y sometidos a interrogatorio. Ver Ohio v Roberts, 448 EE.UU. 56, 62-66 (1980). Este razonamiento no se aplica cuando un animal o una mquina que hace una afirmacin: mquinas de pitidos y los perros que ladran no puede ser llamado al estrado para ser interrogada en el juicio. Las reglas federales han adoptado esta lgica. Por definicin, una afirmacin que no puede contener rumores, si no fue hecho por un ser humano. Podemos utilizar la palabra persona? Ver Reserva Federal. R. Evid. 801 (a) ("Una 'declaracin' es (1) una aseveracin oral o escrita o (2) la conducta no verbal de una persona, cuando est prevista por la persona como una afirmacin.") (nfasis aadido); la Reserva Federal. R. Evid. 801 (b) ("Un declarante es una persona que hace una declaracin.") (nfasis aadido). Como varios tribunales y comentaristas han sealado, esta limitacin de las normas basadas en rumores necesariamente-ilia significa que los registros generados por ordenador sin tocar por manos humanas no pueden contener rumores. Una Corte Suprema del Estado articul la distincin en un caso anterior que implica el uso de la auto-apareadas registros telefnicos: La impresin de los resultados del equipo est enFoperaciones ernal no es el testimonio de odas. No representa la salida de los estados ubicados en la computadora por los declarantes fuera de la corte. o podemos decir que esta misma impresin es una "declaracin" que constituye el testimonio de odas. La justificacin de menores de mentira de la regla de rumor es que tales afirmaciones se hacen sin un juramento y su verdad no puede ser probado por el interrogatorio. De inters es la posibilidad de que un testigo puede consciente o inconscientemente, tergiversar lo que el declarante le dijo o que el declarante puede, consciente o inconscientemente tergiversar un hecho o evento. Con una mquina, sin embargo, no hay posibilidad de una tergiversacin consciente, y la posibilidad de inexacta o engaosa los datos slo se materializa si la mquina no est funcionando correctamente. El Estado contra Armstead, 432 So. 2d 837, 840 (Luisiana, 1983). Vase tambin el pueblo contra Holowko, 486 NE2d 877, 878-79 (111. 1985) (trap automtico y registros de seguimiento), los Estados Unidos contra Duncan, de 30 MJ 1284, 1287-1289 (NM.CMR 1990) (los registros computarizados de transacciones en cajeros automticos), 2 J. Fuerte, McCormick en la Evidencia 294, a 286 (4 ed.1992), Richard O. Lempert y Stephen A. Saltzburg, un enfoque moderno de Evidencia 370 (2 edicin 1983.). Cf. Los Estados Unidos contra Fernndez Roque, 703 F. 2d 808, 812 n.2 (5th Cir. 1983) (rechazando la objecin de odas a la admisin de los registros telefnicos automatizados porque "el hecho de que estos Calyos producido no es una declaracin de odas. "). En consecuencia, un debidamente autenticada generada por ordenador de registro es admisible. Ver Lempert y Saltzburg, en el 370. La idea de que los registros generados por ordenador no puede contener rumor es importante porque los tribunales que asumen la existencia de rumores puede injustamente exelude generada por computadora pruebas de odas, si una excepcin no se aplica. Por ejemplo, en Estados Unidos contra el Blackburn, 992 F. 2d 666 (7th Cir. 1993), un ladrn de bancos a la izquierda detrs de sus anteojos en un auto abandonado robado. La evidencia de fis-cin contra el acusado incluy una impresin de computadora en una mquina que pone a prueba la curvatura de las lentes de gafas. La impresin revel que la prescripcin de los lentes que se encuentran en el
vehculo robado eran exactamente iguales a la del demandado. En el juicio, el tribunal de distrito asume que la impresin de la computadora era de odas, pero lleg a la conclusin de que la impresin era un registro de negocios admisible conforme a la Reserva Federal. R. Evid. 803 (6). En la condena tras la apelacin, el Sptimo Circuito supone tambin que la copia impresa contenida en rumores, pero estuvo de acuerdo con el acusado que la impresin no poda ser admitida como un registro de negocios: el [generadas por ordenador] Informe en este caso no se mantuvo en el curso de una actividad de negocios realizados con regularidad, sino que fue preparado especialmente en el
287
instancias del FBI y con el conocimiento de que toda la informacin que suministra se utiliza en una investigacin penal en curso. . . . En la bsqueda de este informe inadmisible de conformidad con la Regla 803 (6), nos adherimos a la norma bien establecida de que los documentos realizados en anticipo de litigio no son admisibles bajo la excepcin de registros comerciales. Identificacin. en 670. Vase tambin de comer. R. Evid. 803 (6) (que indica que registros de negocios debe ser "hecha. . . por, o transmitida por, una persona "). Afortunadamente, el tribunal Blackburn en ltima instancia, confirm la condena, concluyendo que la comimpresin de ordenador era lo suficientemente confiable que podra haber sido admitido en virtud de la excepcin de odas residual, la Regla 803 (24). Ver id. en 672. Sin embargo, en vez de coquetear con la idea de excluir las impresiones, porque la Regla 803 (6) no era aplicable, el tribunal debera haber preguntado si la impresin de computadora de la mquina de la lente de prueba de contenido de odas del todo. Esta pregunta habra revelado que la impresin generada por computadora no se puede excluir en rumores motivos porque no contena humanos "declaraciones".
2. Aplicabilidad de las reglas de odas a la computadora-REGISTROS ALMACENADOS
Ordenador almacena los registros que contienen las declaraciones humanos deben satisfacer una excepcin a la regla de rumor si se les ofrece para la verdad del asunto afirm. Antes de que un tribunal admitir los expedientes, el tribunal debe establecer que las declaraciones contenidas en el registro se hizo en circunstancias que tienden a asegurar su confiabilidad. Vase, por ejemplo, Jackson, 208 F.3d en 637 (la conclusin de que anuncios de los sitios web de grupos de supremaca blanca que figura en rumores, y rechazando el argumento de que los mensajes fueron los registros comerciales de los proveedores de Internet que alojan los sitios). Como se mencion anteriormente en este artculo, los tribunales suelen permitir que los registros almacenados en ordenador para ser admitidos como los registros comerciales de acuerdo a la Reserva Federal. R. Evid. 803 (6). Diferentes circuitos han articulado las normas ligeramente diferentes para la admisibilidad de los registros almacenados en ordenador de negocios. Algunos tribunales simplemente aplicar el lenguaje directo de la Reserva Federal. R. Evid. 803 (6). Vase, por ejemplo, United States v Moore, 923 F. 2d 910, 914 (l Cir. 1991), Los Estados Unidos contra Catabran, 836 F. 2d 453, 457 (9th Cir 1988).. Otros circuitos se han articulado las pruebas doctrinales especficamente para los registros informticos que en gran medida (aunque no exactamente) un seguimiento de los requisitos de la Regla 803 (6). Vase, por ejemplo, United States v Cestnik, 36 F. 3d 904, 909-10 (lOth Cir. 1994) ("los registros informticos de negocios son admisibles si (1) que se lleven con arreglo a un procedimiento de rutina, diseado para garantizar su precisin, (2) que se crean por motivos que tienden a asegurar la precisin (por ejemplo, sin incluir los que se preparan para casos de litigio) y (3) no son ellos mismos acumulaciones de meros rumores ") (citando capital Marine Supply v M / V Roland Thomas II, 719 F. 2d 104, 106 (5th Cir 1983.));. Estados Unidos contra Briscoe , 896 F. 2d 1476, 1494 (7th Cir. 1990) (almacenados en ordenador son registros comerciales admisibles si "se mantienen en el curso de la actividad empresarial a cabo regularmente, y [que] era la prctica habitual de que la actividad empresarial para hacer los registros, como lo demuestra el testimonio del custodio o de un testigo cualificado. ") (citando el caso United States v Chappell, 698 F2d 308, 311 (7th Cir. 1983)). Cabe destacar que el propio impreso se puede producir en anticipo de litigio sin conflicto con el funcionamiento de la excepcin los registros de negocioscin. El requisito de que el registro se mantendr "en el curso de una actividad empresarial a cabo
regularmente" se refiere a los datos subyacentes no, la impresin real de los datos. Vase United States v Sanders, 749 F. 2d 195, 198 (5th Cir. 1984). Desde una perspectiva prctica, el procedimiento para la admisin de un registro por computadora almacena en virtud de la excepcin de registros comerciales es lo mismo que admitir cualquier registro de otra empresa. Consideremos un caso de acoso e-mail. Para ayudar a establecer que el acusado era el remitente de los men-sajes de acoso, la fiscala puede solicitar la introduccin de los registros del ISP del remitente de que el demandado era el propietario registrado de la cuenta desde la que los e-mails fueron enviados. Por lo general, esto requerir el testimonio de un empleado del proveedor de Internet ("el custodio u otro cualificado
288
testigo ") que el ISP mantiene regularmente registros de cuentas de clientes para la facturacin y otros fines, y que los registros que se ofrecern para la admisin son los registros de este tipo que se hicieron en o cerca del momento de los hechos que se describen en el curso regular de la negocio ISP. Una vez ms, la clave es establecer que el sistema informtico del que se obtuvo el registro se mantiene en el curso ordinario de los negocios, y que es una prctica habitual de la empresa a confiar en los registros de su exactitud. La excepcin registro de negocios es la excepcin rumor ms comn aplicado a los registros informticos. Por supuesto, otras excepciones rumores pueden ser aplicables en los casos apropiados. Vase, por ejemplo, Hughes contra los Estados Unidos, 953 F. 2d 531, 540 (9th Cir. 1992) (concluyendo que computarizado del IRS las formas son admisibles como los registros pblicos en virtud de la Reserva Federal. R. Evid. 803 (8)).
C. Otras cuestiones
El authenticatin requisito de la regla de rumor y suelen proporcionar los obstculos ms importantes que los fiscales se encuentran en la bsqueda de la admisin de los registros informticos. Sin embargo, algunos agentes y fiscales en ocasiones han considerado dos cuestiones adicionales: la aplicacin de la regla de la mejor evidencia de que los registros informticos, y si las impresiones de ordenador son "resmenes" que deben cumplir con la Reserva Federal. R. Evid. 1006.
1.EL MEJOR EVIDENCIA LA REGLA
Los estados mejor evidencia de que la regla para probar el contenido de un escrito, grabacin, o la fotografa, el "original" por escrito, grabacin o fotografa se requiere generalmente. Ver Reserva Federal. R. Evid. 1002. Los agentes y fiscales en ocasiones expresar la preocupacin de que una impresin simple de una computadora almacena elec-trnico archivo no puede ser un "original" con el propsito de la regla de la mejor evidencia. Despus de todo, el archivo original no es ms que una coleccin de 0 y l'S. En contraste, la impresin es el resultado de la manipulacin del archivo a travs de una complicada serie de procesos electrnicos y mecnicos. Afortunadamente, las Reglas Federales de Evidencia se refiri expresamente a esta preocupacin. Reglas de Estado federal que [S] i los datos se almacenan en una computadora o dispositivo similar, cualquier impresin u otra salida legible a simple vista, que se muestra para reflejar los datos con precisin, es un "original" de la Fed. R. Evid. 1001 (3). Por lo tanto, una impresin exacta de los datos informticos siempre se cumple la regla de la mejor evidencia. Ver Doe v Estados Unidos, 805 F. Supp. 1513, 1517 (D. Hawai. De 1992). De acuerdo con la Comisin Consultiva observa que acompaaron a esta regla, cuando se propuso por primera vez, esta norma fue adoptada por razones de orden prctico. Aunque estrictamente hablando, el original de una fotografa podra pensarse que es slo la prctica negativa, y el uso comn exigir que cualquier impresin de lo negativo se considerar como un original. Del mismo modo, la practicidad y el uso de conferir el carcter de original a cualquier impresin de la computadora. Notas del Comit Asesor, la Regla Federal de Evidencia propuesta 1001 (3) (1972).
2. IMPRESIN de ordenador como "resmenes"
Regla Federal de Evidencia 1006 permite a las partes para ofrecer resmenes de la evidencia voluminosa en forma de "una carta, el resumen o el clculo", sujeto a ciertas restricciones. Los
agentes y fiscales en ocasiones preguntar si una impresin de la computadora es necesariamente un "resumen" de las pruebas que deben cumplir con la Reserva Federal. R. Evid. 1006. En general, la respuesta es no. Ver Sanders, 749 F2d en 199; Catabran, 836 F2d en 456-57; Estados Unidos contra Russo, 480 F. 2d 1228, 1240/41 (6th Cir 1973.). Por supuesto, si la impresin de computadora no es ms que un resumen de las pruebas admisibles otra parte, el artculo 1006 se se aplican del mismo modo que hace a los resmenes de pruebas. Sobre el autor: Orin S. Kerr es un abogado litigante, Delitos Informticos y Propiedad Intelectual Seccin Penal Divisin, los Estados Unidos Departamento de Justicia.
Apndice E
Glosario
Auditora Examen y / o evaluacin de las acciones y registros para garantizar el cumplimiento de las polticas y procedimientos operacionales. Si se encuentran problemas, se hacen recomendaciones para cambiar las polticas o los procedimientos. Registro de auditora Una demostracin registro cronolgico que ha tenido acceso a un sistema informtico y lo opera-ciones se llevaron a cabo durante los perodos de tiempo especficos. Esto normalmente incluye el acceso a archivos, inicio de sesin del usuario, y si hay violacines de seguridad reales o el intento de haber ocurrido. Autenticacin El proceso de verificacin de que un individuo o de datos es realmente quien o lo que es pro-deca ser. A menudo se utiliza como un requisito previo para permitir el acceso a los recursos en un sistema. Backdoor Un agujero en la seguridad de un sistema informtico dejado deliberadamente en su lugar autorizado pro-programadores o personal de reparacin, pero estos tambin pueden ser dejados atrs por los intrusos maliciosos para volver a un sistema despus de haberla violado una vez. Sinnimo de una puerta trampa, que es un oculto suavesoftware o un aparato de hardware utilizado para eludir los mecanismos de seguridad. Copia de seguridad Una copia de los archivos y programas realizados para faciTate recuperacin de datos perdidos o daados, si necesario. Incumplimiento Cualquier penetracin prohibido o acceso no autorizado a un sistema informtico que causa dao o tiene el potencial de causar dao. Plan de Continuidad de Negocio (BCP) Un conjunto predeterminado de los procedimientos o directrices que describen cmo una organizacinFunciones 's de negocios continuadurante y despus de una interrupcin del sistema. Cadena de Custodia Proteccin de datos de todos los individuosais con acceso a evitar la prdida, rotura, alteracin o manipulacin no autorizada. Esto incluye identificar con precisin, asegurando, y salir con todas las pruebas. Compromiso Invasin de un sistema por el zcalo de su seguridad. Compromiso de Integridad La modificacin no autorizada de la informacin autenticada.
Comp uter Inciden t Respo nse Team Un grupo de investiga dores e ingenier os tcnicos de segurida d que respon de a los e investi ga inciden tes de segurid ad inform tica.
289
290
Incidentes de Seguridad Informtica Un evento adverso en el que algn aspecto de un sistema informtico se ve amenazada por ejemplo, la prdida de confidencialidad de los datos, la alteracin de datos o la integridad del sistema, y la interrupcin o la negacin de la disponibilidad. Copiar El resultado o accin de la lectura de datos electrnicos de una fuente, dejando que los datos sin cambios, y escribir los mismos datos en otra parte de ammediano que puede diferir de la fuente. Galleta Un individuo que intencionalmente violaciones de seguridad informtica (por lo general mediante el uso de una herramienta de paso a la palabra de craqueo) de infltrado una computadora o red, lo ms a menudo con malas intenciones. Dao Modif intencional o accidentalcacin, la destruccin o eliminacin de informacin de un sistema informtico. Este tipo de dao a la informacin puede resultar en lesiones a una organizacin de reputacincin y / o FLas prdidas financieras. Datbase Una coleccin de datos de informacin que consiste en al menos un archivo, normalmente se almacena en un solo lugar, lo que puede estar a disposicin de varios usuarios de forma simultnea para varias aplicaciones. Denegacin de Servicio (DoS) La imposibilidad de utilizar los recursos del sistema debido a la no disponibilidad derivadas de una variedad de causas, por ejemplo, infltrations de los hackers, la inundacin de las direcciones IP de mensajes externos, y los gusanos de red. Plan de Recuperacin de Desastres Un plan (por escrito), que expondr las medidas y procedimientos que deben seguirse en el caso de un hardware de mayor o error de software o destruccin de las instalaciones (a diferencia del Plan de Continuidad de Negocios, que se centra principalmente en el mantenimiento y la recuperacin normal del negocio operaciones). Los datos que se pueden descubrir Los datos electrnicos que pueden obtenerse a travs de un oponente en un proceso de litigio. Denegacin de Servicio Distribuida (DDoS) Denegacin de servicio que envuelven a los intentos de mltiple conectados a Internet sistemas de lanzamiento, o se utilizan en los ataques contra uno o ms sistemas de destino. Registros Electrnicos La informacin almacenada en un formato que slo puede ser leda y procesada por un ordenador. Cifrado Una tcnica de codificacin de datos para evitar que los usuarios no autorizados puedan leer o tam-revenido con esos datos. Los datos pueden incluir mensajes, archivos, carpetas o discos, y slo aquellos con un contrasea o la clave puede descifrar y utilizar los datos. Enhanced Metafile (EMF) En el sistema operativo Windows, el formato de 32-bit de archivo de
cola utilizado en la impresin. El formato EMF fue creado para solucionar la definicindeficiencias de la original de Windows Metafile formato de impresin de grficos de los programas grficos ms sofisticados. Evento Un episodio discernible o fase de una investigacin del incidente informtico que puede ser documentada, verificada, y se analizaron.
Apndice E: Glosario 291
Visor de sucesos En Windows NT, una herramienta usada para mostrar los registros de sucesos. Con el Visor de sucesos, los usuarios pueden supervisar los eventos registrados en la aplicacin, seguridad, y los registros del sistema. Explotar Para utilizar un programa o una tcnica consistente en tomar ventaja de las vulnerabilidades o fallas en el hardware o software. Tabla de asignacin de archivos Una de MS-DOS del sistema de archivos situado en el sector de arranque del disco que almacena la direcciones de todos los archivos contenidos en un disco. Intercambio de archivos El intercambio de datos informticos, por lo general dentro de una red, los usuarios tendrn distintos grados de privilegios de acceso. Los usuarios pueden ser capaces de ver, escribir, modificar o imprimir la informacin o desde el archivo compartido. Firewall De hardware y dispositivos de software diseadas para frustrar las conexiones no autorizadas hacia o desde un ordenador (o red). Cortafuegos cumplir una organizacinLas polticas de acceso a la red de s exa-cin y la evaluacin de las conexiones a Internet a medida que pasan a travs del firewall. Anlisis Forense El examen de los materiales e informacin para determinar sus caractersticas vitales para descubrir la evidencia de una manera que es admisible en un tribunal de justicia. Hacker Un individuo (por lo general un programador competente) que es experto en informtica penetrante sistemas, a menudo aplicando una variedad de mtodos para hacerlo. Engao Por lo general, transmite a travs de correo electrnico, un engao contiene un mensaje para enviar la alerta a tantos otros como sea posible. Aunque no se virunses, las bromas pueden causar una interrupcin de trabajo a travs de alarmas falsas o provocar una denegacin de servicio a travs de su proliferacin por parte de la sobrecarga del sistema de correo electrnico. Honeypot Un seuelo creado para los piratas informticos de captura y los usuarios con malas intenciones en su intento de ganar entrada en un sistema informtico. Incidente Un equipo de seguridad de eventos adversos o una serie de acontecimientos que afecta a la organizacin'S equipo de seguridad y / o su capacidad para hacer negocios. Manejo de Incidentes La accin o acciones tomadas para resolver un incidente de seguridad informtica. Supervisin de Incidentes La vigilancia continua de las redes y los sistemas para descubrir deficiencias en el la seguridad y tomar medidas antes de los incidentes pueden ocurrir.
De notificacin de incidentes El reconocimiento formal de que un incidente de seguridad informtica ha sido detectado. Respuesta a Incidentes El proceso de anlisis de un incidente de seguridad la forma en que pudo ocurrir y cmo para evitar incidentes similares en el futuro.
292
Plan de Respuesta a Incidentes Un plan documentado de las directivas de accin y procedimientos para identificar, combatir y mitigar los daos causados por los ataques maliciosos en contra de una organizacincinLos sistemas informticos. Intruso Una persona que es el autor de un incidente de seguridad informtica refiere a menudo como hackers o crackers (ver "Hacker" ms arriba). Un intruso es un vndalo que pueden estar operando dentro de los lmites de una organizacin o un ataque desde el exterior. IntrusinInadecuado no autorizado, y / o Yoactividad legal por los autores, ya sea dentro o fuera de una organizacin que puede ser considerada como una penetracin en el sistema. Intrusin Sistema de Deteccin de Un mecanismo de seguridad que monitorea y analiza los eventos del sistema para proporcionar en tiempo casi real las advertencias para el acceso no autorizado a los recursos del sistema o en el registro de archivo y informacin de trfico para su posterior anlisis. Nivel de Consecuencia El impacto de un incidente tiene en una organizacin, incluyendo la prdida de datos, neg-creativas consecuencias para la organizacin (por ejemplo, dao a la reputacin), y la magnitud de dao que debe ser corregido. Local rea de red (LAN) Un grupo de ordenadores y otros dispositivos de red que existen en un nmero limitado de rea como un solo edificio. Estos dispositivos estn conectados por un enlace de comunicaciones especial que permite que cualquier dispositivo para interactuar con cualquier otro dispositivo en la red. Iniciar sesin El acto de la conexin a un sistema informtico (o red) por un usuario, por lo general despus de introducir un contrasea y el ID de usuario. Cdigo malicioso Cdigo de programacin diseado para daar un sistema informtico o los datos contenidos en un sistema. Tradicionalmente se clasifican en tres categoras: virunses, los gusanos y caballos de Troya, basado en el comportamiento del cdigo. Medios de comunicacin Varios formatos utilizados para la grabacin de datos electrnicos, incluidos los discos, pelculas, cintas magnticas, y papel. Aplicacin de misin crtica Una aplicacin que es vital para una organizacinLa capacidad de 's para llevar a cabo requiere operaciones. El mal uso El uso o explotacin de un ordenador de un usuario no autorizado (ya sea desde dentro o intruso). Necesitas a Saber de la Base La necesidad de acceder a, el conocimiento de, o la posesin de informacin confidencial con el fin de llevar a cabo tareas requeridas y autorizadas. Puerto de red Escaneo El proceso de sondeo nmeros seleccionados de los servicios portuarios (por ejemplo, NetBIOS -139, -21 FTP, etc) sobre una red IP con el propsito de
identificar los servicios de red disponibles en ese sistema. Red de escaneo de puertos es un proceso de recopilacin de informacin suele ser til para solucionar problemas del sistema o reforzar la seguridad del sistema, pero'S frecuencia a cabo como un preludio a un ataque.
New Technology File System (NTFS) El sistema de archivos utilizado con el sistema operativo Windows NT para almacenar y recuperar archivos en un disco duro. Packet Sniffer Un programa o un dispositivo que captura y analiza los datos que viaja entre red computadoras. Contrasea Una secuencia de caracteres que un usuario como un cdigo de autenticacin para obtener acceso a las computadoras y de los expedientes sensibles. Pruebas de Penetracin El intento de discernir el nivel de seguridad que protege a un sistema o red de trabajo. Este tipo de pruebas incluye tratando de evadir las medidas de seguridad que utilizan las mismas herramientas y tc-nicas de que un potencial atacante podra utilizar. Las pruebas de penetracin puede ser utilizada por una compaa a identificar y corregir las debilidades de seguridad. Seguridad Fsica Los procedimientos utilizados por una organizacin para asegurar que el material (fsico) los recursos estn protegidos tanto de delitasa y las amenazas no intencionales. Puerto Un punto de conexin (puerta de enlace o portal) entre un ordenador y otro dispositivo. Identificados con los nmeros que van de cero a 65.536, los puertos de permitir el establecimiento de una sesin entre un host y un servidor Web para los servicios de red. Los servicios ms populares se han reservado los nmeros de puerto: TELNET es en el puerto 23, y HTTP en el puerto 80 es, por ejemplo. Los puertos son generalmente objeto de ataques por hackers y Caballos de Troya con el fin de tener acceso a un sistema informtico. Imprimir archivo de cola de impresin La cola de impresin es un archivo ejecutable que gestiona el proceso de impresin y es responsable de programar el trabajo de impresin para la impresin. Modo promiscuo Cuando una interfaz Ethernet lee toda la informacin, independientemente de su destino. Esto es lo contrario de modo normal, cuando la interfaz lee los paquetes destinados a s mismo slo. Mantenimiento de Registros La gestin de expedientes electrnicos o de otra manera a partir de su creacin (o recibo) a travs de su distribucin, procesamiento y almacenamiento a su destino final. Registro En el sistema operativo Windows, el sitio donde la informacin se mantiene. Evaluacin de Riesgos Determinacin de la eficacia de los procedimientos de seguridad destinados a un sistema o red. La evaluacin de riesgos evala la probabilidad de que ocurran las amenazas y los intentos de estcompaero el grado de prdidas que pueden ser esperados por la organizacin. Rootkit Una coleccin de herramientas de software que permite a un hacker para crear una puerta
trasera en un sistema informtico. Los rootkits recopilar informacin acerca de otros sistemas en la red, mientras que disimular el hecho de que el sistema est en peligro. Los rootkits son un ejemplo clsico de software de caballo de Troya y son disponible para una amplia gama de sistemas operativos.
SATN (Herramienta de Administrador de Seguridad para el Anlisis de Redes) Un programa gratuito que las redes de forma remota las sondas para identificar las debilidades en la seguridad del sistema.
294
Script Kiddies Sin experiencia, a veces inmaduros, los hackers novatos con poca formacin en la escritura de cdigo mali-espacioso, as que, sin embargo la ejecucin de buscar y explotar la seguridad informtica vulnera-nerabilities, usando a menudo bien conocida, fcil de encontrar scripts y programas. Auditora de Seguridad Una investigacin autorizada oun sistema informtico para identificar sus deficiencias y vulnerabilidades. Polticas de Seguridad Una organizacinSerie documentada @ s de leyes, reglamentos, normas y directrices que-dardizes cmo los controles de la organizacin, guardias, y distribuye los datos sensibles. Slack espacio de ficheros El espacio de almacenamiento de datos vaca que existe desde el final oun archivo de ordenador para el final del ltimo grupo asignado a ese archivo. Ingeniera social Una tcnica de hacking que se basa en la debilidad de la gente en lugar de software con el objetivo de engaar a la gente a revelar contraseas u otra informacin que comprometa un sistema de destino'S de seguridad. Esteganografa El escondite de un mensaje secreto dentro de un mensaje comn que se decodifica a su destino por el receptor. Que el mensaje contiene un mensaje oculto inserta sigue siendo desconocido (y por lo tanto, sin ser detectados por) toda persona est viendo que no se ha hecho consciente de su presencia. Actividad Sospechosa Los patrones de trfico de la red que se encuentran fuera de las definiciones habituales de la norma de trficoFIC y que podra indCate no autorizado actividad en la red. Intercambio de archivos El espacio en un disco duro que se utiliza para ampliar una computadora'S de memoria. Los archivos no utilizados recientemente se almacenan temporalmente en el disco duro, dejando espacio para los archivos nuevos. Amenaza Una condicin o evento que tiene el potencial de causar dao a una organizacin, su persona-nel, o sus bienes, incluidos los recursos del sistema informtico. Las amenazas incluyen el dao, divulgacin o alteracin de los datos, as como ataques de denegacin de servicio, el fraude y otros abusos. Amenazas de la red de seguridad incluyen la suplantacin de personal autorizado, las escuchas, denegacin de servicio, y paquete de MODIFICACIn. Traceroute Una herramienta de Unix / Linux que los rastros (identifica), la va tomada por los paquetes de datos a medida que atraviesan (salto) a travs de una conexin de red entre dos hosts y muestra la hora y la ubicacin de la ruta seguida para llegar al equipo de destino. En Windows, esta misma utilidad que se conoce como tracert. Caballo de Troya Un programa til y aparentemente inocente que contiene cdigo oculto
adicional que permite la recoleccin no autorizada, la explotacin, falsificacin o destruccin de datos. Un caballo de Troya realiza algunas inesperadas o no autorizadas (generalmente maliciosos) acciones, tales como la visualizacin de mensajes, borrar archivos o formatear un disco. Un caballo de Troya doesn'T infectar otros archivos de acogida, por lo tanto limpieza no es necesario.
El espacio no asignado Archivo Espacio que queda detrs de un archivo borrado, que todava pueden albergar los datos. El espacio no asignado archivo puede contener un nmero de archivos valiosos para una investigacin forense, tales como archivos intactos, los restos de archivos, subdirectorios y los archivos temporales creados y eliminados por equipo aplicaciones y el sistema operativo. Vendedor Productor de aplicaciones de hardware o software que se asocian con la computadora de la tecnologa (routers, sistemas operativos, computadoras, y los interruptores, por ejemplo). Virus Un malicioso, auto-replicante (o en algunos casos, ejecutable) del programa con el potencial de dejar un ordenador o una red completa deje de funcionar. Un virus se adhiere y se extiende a los archivos, pro-gramas, mensajes de correo electrnico y otros medios de almacenamiento y pueden drenar los recursos del sistema (espacio en disco, conexiones, y la memoria) y modificar o eliminar archivos o mensajes en pantalla. Vulnerabilidad Una falla en una computadora o red que lo deja susceptible a posibles explotacin, como a travs del uso o acceso no autorizado. Las vulnerabilidades incluyen, pero no se limitan a, la debilidad de las debilidades en los procedimientos de seguridad, administrativa o enFcontroles ernal o la configuracin fsica, o caractersticas o errores que permiten a un atacante eludir las medidas de seguridad. Anlisis de Vulnerabilidad La prctica de la exploracin e identificacin de las vulnerabilidades conocidas de los sistemas informticos en una red informtica. Desde el escaneo de vulnerabilidades es un proceso de recopilacin de informacin, cuando es realizada por individuos desconocidosais se considera un preludio a un ataque. Web Cache El almacenamiento en cach Web es una tcnica para mejorar el rendimiento del navegador Web mediante el almacenamiento frecuentemente solicitados pginas Web, imgenes y otros objetos Web en un lugar especial en el usuarioDisco duro 's para un acceso ms rpido. En
las solicitudes posteriores para el mismo objeto, la memoria cach proporciona el objeto de su almacenamiento en lugar de pasar la solicitud al origen sirvenn Gusano Un gusano informtico es un programa autnomo (o conjunto de programas) que es capaz de difundir copias funcionales de s mismo o de sus segmentos a otros sistemas informticos. La propagacin por lo general se lleva a cabo a travs de conexiones de red o archivos adjuntos de correo electrnico.
NDICE
A
Poltica de Uso Aceptable. 5eeAUP listas de control de acceso, Windows XP, 165-167 AccessData Forensic Toolkit, 117.146 adquisicin de evidencia digital, 2-4 de admisibilidad de las pruebas, 150 autenticacin, 151-152 mejor prueba de la regla, 152-153 el examen de los ordenadores incautados, 153 Frye prueba, 152 la preservacin, el 153 de la cadena de custodia, 61-63,149-150 herramientas forenses personalizados, 146-147 e-mail, 123 correo electrnico eliminado, recuperacin, 125-126 encontrar, 124125 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140141, 144-146 rastreadores de paquetes postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140
imprimir archivos de cola de impresin, 129-130 cuarentena y la contencin, 156 los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160-167 la integridad de la preservacin, 157 la ruptura de las conexiones de red e Internet, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143 TCT (Kit de herramientas de forense), 147-149 memoria cach del navegador Web, 126 explorador de la localizacin de evidencias de la historia, 127-128 Web de la localizacin de pruebas de cach, 128-129 De Windows los archivos de intercambio, 121 los archivos de localizacin, 121-122 contenidos televisivos de los archivos de intercambio / pgina, 123 hechos Cable, 271 Equipo de abuso Ley de Enmiendas de 1994, 42-43 Equipo de Fraude y Abuso de la ley de 1986,39-42 Ley de Seguridad Informtica de la Lucha contra el Crimen y la Ley de
1997.171 Calles Seguras, 28 de AECA (Privacidad de Comunicaciones Electrnicas Ley), 29 de FOIA (Freedom of Information Act), 30 de HIPAA (Health Insurance Portability and Ley de Responsabilidad de 1996), 228-232 de la Ley Patriota de EE.UU. 2001,43-44, 269 autoridad para interceptar la voz las comunicaciones en la piratera informtica investigaciones, 269 297
298
NDICE
156 para compartir archivos temas, la preservacin de la integridad de 160-167, 157
hechos seguido Ley de Cable, 271-272 comunicaciones de delitos informticos, nterception, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273275 citaciones para las pruebas electrnicas, 270-271 trampa y rastro estatuto, 273-275 de correo de voz de comunicaciones, 270 disposiciones de la Simplificacin Administrativa (HIPAA), 228 pruebas admisibles, 140.150 de autenticacin, registros electrnicos 151-152, 185 mecanismos de alerta, la respuesta de incidentes informticos capacidad, 17 de American Power Conversin la Corporacin de UPS Selector, 187 AnalogX PacketMon, 145 anlisis de las pruebas admisibilidad de las pruebas, 150 la autenticacin, la mejor regla 151-152 pruebas, 152-153 prueba de Frye, 152 perodo de tiempo permitido para el examen de confiscaron computadoras, 153, 153 de preservacin de la cadena de custodia, 149-150 contencin los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas,
la ruptura de las conexiones de red e Internet, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, herramientas forenses personalizados 157-159, 146-147 correo electrnico, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125-126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140-141 rastreadores de paquetes, 144146 AnalogX PacketMon, 145 144 Ethereal, NGSSniff, 144 Snort, 144 despus del incidente, 190-191 postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 archivos de cola de impresin, 129130 156 de cuarentena, los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160-167 la integridad de la preservacin, 157
la ruptura de las conexiones de red e Internet, 159-160
NDICE 299
detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de Vulnerabilidad, 157-159 en modo real discos de arranque forenses, 141 FAT, 142 Linux, Windows 143-144, 142-143 TCT (Kit de herramientas de forense), 147-149 almacenamiento en cach del navegador web, 126 la localizacin de pruebas del navegador de la historia, 127-128 Web localizar evidencias de cach, los archivos de intercambio de Windows 128-129, 121, 121-122 archivos de localizacin de contenidos televisivos de los archivos de intercambio / pgina, 123 de software antivirus, la respuesta de cdigo malicioso, 202 Aplicacin del cuadro de dilogo Propiedades (Windows XP), 51 la evaluacin, un incidente de equipo de respuesta, 19-20 Astonsoft, ZIP Password Finder, 131 ataques anticipando, 191-194 211-213 privilegiada, prevencin, 215-216 estaciones de trabajo de auditora y servidores, 219-223 HIPAA (Health Insurance Portability and Accountability Act de 1996), 228-232 Honeynet Project, las pruebas de 232 de penetracin, 223-227 polticas y procedimientos de evaluacin, auditora 216219 proceso de auditora, 218-219 de contencin de las pruebas, la recogida de datos 157, 46,49, 51 polticas de seguridad, listas de control de auditora, 216-217 217-218, 216 metas estaciones de trabajo y servidores, 219-223 AUP (Poltica de Uso Aceptable), 138 pruebas fehacientes, 140,151-152 CCIPS, 282-285 electrnic registros, 184 modelos de confianza, 167 robos de identidad, 171 del sistema operativo de confianza, 169-170 ID de usuario y contrasea de confianza, 168169 listas de autor en CD-ROM, 249-252 Automachron (Un individuo Codificacin), 53
B
programas de puerta trasera el reconocimiento de incidentes, 5-7 los archivos de registro de cheques, 9 tipos ms comunes de los incidentes, 6 herramienta de gestin informtica (Windows), 9 la inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 carpetas de inicio de seguimiento, 11 cuentas de usuarios no autorizados observando, 8 alteraciones de archivos de programa, 13 los resultados de la deteccin inadecuada, 6-7 aplicaciones no autorizadas en ejecucin, 9 puertos de copia de seguridad inusuales, 13 y Asistente de restauracin (Windows XP), 189-190, 187 procedimientos de respaldo de la creacin de un plan de copias de seguridad diferenciales, 188, 188, 188 herramientas gratuitas de seguridad incrementales, 188 copias de seguridad normales, 188 Editor del Registro (Windows), 74 Utilidad de restauracin, de 78 aos shareware y freeware, de 78 aos Windows 2000, 75-76 Windows NT, de 75 aos Windows XP, 77-78 Windows, 189-190 utilidad Copia de seguridad (Windows XP), 77 pruebas crebles, 140
300
NDICE
Intelectual Seccin), 281-288 autenticacin, 282-285 rumores, 285-288
mejor prueba de la regla, 288,152-153 BIA (Business Impact Analysis), el 64 binario valiosa (Claves del Registro de Windows), el 71 BinText (Foundstone, Inc.), los sistemas de 117 BioNet, LLC NetNanny, 209 BIOS Parmetros de bloque. Ver BPB programa de instalacin, a 80 cuadras, sistema de archivos ext2, 87 discos de arranque, la creacin de modo real de discos de arranque, 141 FAT, 142 Linux, 143-144 Windows, 142-143 BPB (BIOS Parameter Block), 82 sucursales, Windows Registry Editor, 70-71 violaciones de la seguridad informar a la polica, el 30 prorganizaciones del sector privado, 32-33 justificacin para no informar de intrusiones, 31 anlisis del impacto empresarial (BIA), 64 empresas previsin de ataques futuros, 191-194 la continuidad y la planificacin de contingencia, 63-68 planificacin de la recuperacin de desastres, el desarrollo de un plan de 179, 180 a 181 casos de desastre de contingencia muestra de recuperacin de plan, 181-183
c
Ley de Cable, 271 CacheMonitor II, almacenamiento en cach de 129 Navegadores de Internet, 126 la localizacin de pruebas del navegador de la historia, 127-128 pruebas de localizacin de cach Web, 128-129 Cain & Abel v2.5 beta20, 131 sistema Carnivore, 144 CCIPS (Delitos Informticos y Propiedad
Ley Patriota de EE.UU. de 2001.269 autoridad para interceptar la voz las comunicaciones en la piratera informtica investigaciones, 269 de cable, la Ley 271-272 de comunicacin de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273275 citaciones para las pruebas electrnicas, 270-271 trampa y rastro estatuto, 273-275 de correo de voz de comunicaciones, 270 CD-ROM (libro que la acompaa), 247 componentes de la, 249-252 eBook versin de la respuesta a incidentes, 255 Linux, los requerimientos de 248-249, el software de 247, 252-254 solucin de problemas, Windows 255, 248 CD-R, de 81 aos CD-RW (CD regrabables), 81 CDP (Columbia Data Producs, Inc), de 61 aos CDs (discos compactos), 81 Centros de Servicios de Medicare y Medicaid. Ver CMS CERT (Computer Emergency Response Team), 232 de la cadena de custodia, recoleccin de evidencia, 61-63, 149-150 directores ejecutivos de informacin. Ver ClOs CIFS / SMB (Common Internet File System / servidor Mensajera Bloque), 221
NDICE 301
ClOs (los directores de informacin), 20 Cisco Systems, Inc., 211 CMS (Centers for Medicare & Medicaid Servicios), 228 error de cdigo rojo, 170 Cogswell, Bryce, de 73 aos la reunin de pruebas, 2-4 admisibilidad de las pruebas, 150 de autenticacin, 151-152 mejor regla de la prueba, 152-153 examen de los ordenadores incautados, 153 Frye prueba, 152 preservacinrde, 153 de la cadena de custodia, 6163,149-150 herramientas forenses personalizados, 146-147 e-mail, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131 bsquedas de palabras clave, 116 BinText, 117 Disk Investigator, 117 Encase programa de bsqueda por palabra clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 empresas de servicios pblicos gratuitos, 117 exmenes de disco duro, 120 Maresware Suite de palabras clave de bsqueda programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140-141, 144146 rastreadores de paquetes AnalogX PacketMon Ethereal, 145, 144 NGSSniff, Snort 144, postcompromise 144, 135 requisitos legales, las banderas de inicio de sesin 136, 136-139 orden de recogida , 139-140
imprimir archivos de cola de impresin, 129-130 cuarentena y la contencin, 156 mecanismos de auditora, 157 de riesgo determinante de operaciones continuas, 156 para compartir archivos temas, la preservacin de la integridad de 160-167, 157 ruptura de la red e Internet conexiones, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, de Windows 143-144, 142-143 TCT (Kit de herramientas de forense), 147-149 Web memoria cach del navegador, 126 la localizacin de pruebas del navegador de la historia, 127-128 Web localizar evidencias de cach, los archivos de intercambio de Windows 128-129, 121, 121-122 archivos de localizacin de contenidos televisivos de los archivos de intercambio / pgina, 123 de Columbia Data Producs, Inc. 5eeCDP comn de archivos de Internet del sistema / servidor de mensajera Bloque. 5eeCIFS / SMB Commonwealth Films, 172 Compact Disc Read-Only Memory discos. Ver CDs discos compactos. Ver CD de pruebas completa, volcados de memoria completos 140, de 57 aos la disponibilidad, el cumplimiento de 229 a 232, HIPAA (Health Insurance Portability and Accountability Act de 1996), 228 la confidencialidad, integridad de datos 229-232, 229-232 ordenador abuso Ley de Enmiendas de 1994, 42-43 de Delitos Informticos y Propiedad Intelectual (Departamento de Justicia), 31 de Computer Emergency Response Team.5eeCERT
302
NDICE
210
Equipo de Fraude y Abuso de la ley de 1986,3942 herramienta de administracin de PC (Windows), monitoreo de las cuentas de los usuarios no autorizados, 8 Ley de Seguridad Informtica 1997.171 equipo acerca de la seguridad, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 Constitucin, la Cuarta Enmienda, 28-30,138-139 de contencin de las pruebas, 156, 157 mecanismos de auditora incidentes informticos del equipo de respuesta, 19-20 de riesgo determinante de las operaciones continuadas, 156 de intercambio de archivos, 160 temas la configuracin de Windows, 161-162 archivo incapacitante y uso compartido de impresoras, 167 Windows XP, 162-167 respuesta de cdigo malicioso, la integridad de la preservacin de 202, 157 evitar que los trabajadores vean material inadecuado, 208-210 CyberPatrol, Net Nanny 209, 209 red de corte y conexin a Internet, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de Vulnerabilidad, 157-159 planes de contingencia planificacin de negocios, 63 TI de contingencia proceso de planificacin, 63-68 de desastres de la muestra recupera el plan, 181-183 supuestos, el procesamiento de datos 181 / Clima de Negocios descripcin, 181 por supuesto el reconocimiento de desastre de las acciones, procedimientos de respuesta de emergencia 181, 183 Lista de telfonos de emergencia, 183 mantienen el plan, 183 equipos de recuperacin, la continuidad de 181-183, la continuidad del negocio y de contingencia planificacin, 63-68 Panel de control (ProtectYou),
Kit de herramientas de forense.5eeTCT Corporativo Evidencia Procesamiento Suite (Nueva Technologies, Inc), 146 comandos de choque (Unix), de 58 de Control del Crimen y la Ley de Calles Seguras, 28 investigaciones sobre la delincuencia, las cuestiones de intercambio de informacin, 33-34 delitos, el uso de equipo inadecuado, 203 criptografa, 131 kits de herramientas forenses personalizados, recoleccin de pruebas, 146-147 equipo de soporte al cliente (el equipo de recuperacin), 183 CyberPatrol (Patrulla de Surf), 209
voltiles, 73 objetos de datos, 2
D
anlisis de daos, la respuesta de incidentes informticos equipo, 20 procedimientos de copia de seguridad de datos, la creacin de un plan de 187, 188, 188 copias de seguridad diferenciales herramientas freeware, 188 copias de seguridad incrementales, 188, 188 copias de seguridad normales de Windows, 189-190 recopilacin de datos La respuesta preliminar, 55 archivos de volcado de memoria, 56-59 orden de la volatilidad, la preparacin de los sistemas operativos de 56, 45 procedimientos de auditora y registro, de 46 aos, 49-51 de registro centralizado, 51-52 habilitar la auditora y el registro de Windows, 47-49 archivos de registro, 46 Editor del Registro (Windows), 73 lnCntrl5 utilidad, la utilidad Regmon 73-74, 73-74 datos
NDICE 303
procesamiento de datos, almacenamiento de datos 181, 78 CD-ROM, disquetes, 80-81 79-80, 78-79 discos duros de Unix / Linux, 87-88 Datum, Inc, 54 archivos borrados sistema de archivos ext2, la recuperacin de 87, 85-86 seguimiento, 84-85 Departamento de Energa de Primeros Auxilios Manual, de 21 aos del Departamento de Justicia, Delitos Informticos y Seccin de la Propiedad Intelectual, de 31 aos Deraison, Renaud, 173 incidentes de deteccin, 5, 7 tipos ms comunes de los incidentes, 6, 7 sistema de monitoreo de los archivos de registro de cheques, de 9 herramienta de gestin informtica (Windows), 9 la inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 alteraciones de archivos de programas, aplicaciones no autorizadas 13, 9-11 cuentas de usuario no autorizado o grupos, 8 puertos inusuales, 13 los resultados de la deteccin inadecuada, cajas de dilogo de 6-7, Ejecutar (Windows), de 72 aos, Dick, Ronald, 3 - 4 copias de seguridad diferenciales, 188 pruebas digitales, 2-4,61-63,116-117 de adquisicin. 5eeadquisicin de digitales pruebas DUPLCate , original de 3, 2 postcompromise seguimiento y anlisis, 190 registros de seguridad, programas, 183-186 la admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de copia de seguridad de datos, 187-190
UPS (suministro ininterrumpido de energa), 186-187 medios de almacenamiento, 183-184 digital de sellado de tiempo de servicio. Ver DTS directorios, el sistema de archivos ext2, 87 incapacitante uso compartido de archivos, 167 de NetBIOS nuyosesiones de l, 221 2000.223 de Windows Windows NT, Windows XP 223, 222, 167 compartir impresoras Coordinador de Planificacin de Desastres (equipo de recuperacin), 181 casos de desastre planificacin de la recuperacin, el desarrollo de un plan de 177179, 180-181 de contingencia muestra de plan de recuperacin de desastres, 181-183 supuestos, 181 descripcin de procesamiento de datos, 181 cursos de reconocimiento de desastre de las acciones, procedimientos de respuesta de emergencia 181, 183 Lista de telfonos de emergencia, el plan de mantenimiento de 183, 183 equipos de recuperacin, divulgacin 181-183, aplicacin de la ley, 36-38 Recuperacin de descuento contrasea, el descubrimiento de 131 , aplicacin de la ley, 36-38 Disk Investigator (Soloway, Kevin), 117 discos disquete, disco duro 79-80, 78-79, 59 herramientas de imgenes de Linux dd, 61 NIST especificaciones, 60-61 SnapBack DatArrest, 61 DiskSearch Pro (Nuevas Tecnologas, Inc), 120 Proyecto de almacenamiento de correo electrnico, 125 DrvClonerXP (Lexun Freeware), 120 DTS (Digital sellado de tiempo de servicio), de 54 aos Dumpchk, de 58 aos
304
NDICE
aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 Nessus, 173 SAINT, 174
DumpSec (SomarSoft), 9 DWORD valiosa (Claves del Registro de Windows), de 71 aos
E
utilidad de e2undel, la recuperacin de archivos ext2, de 88 aos e-mail reunir pruebas, 123 localizar, 124125 recuperar el correo electrnico eliminado, 125-126 EasyRecovery Professional (Kroll Ontrack, Inc.), 86 libros electrnicos (incidente de Informtica Forense de Respuesta Kit de herramientas), 255 ECPA (Comunicaciones Electrnicas Ley de Privacidad), 29 de EDI (intercambio electrnico de datos), 229 edicin, el Editor del Registro (Windows), de 72 aos la EEOC (Equal Employment Opportunity Comisin), 206-208 planes eficientes de seguridad de respuesta, 16 de Electronic Communications Privacy Act. Ver ECPA intercambio electrnico de datos. Ver EDI divulgacin electrnica, de 36 aos de pruebas electrnicas. Ver de emergencia digitales de gestin de pruebas del equipo (la recuperacin equipo), el disco de reparacin de emergencia 182 (ERD), 75 procedimientos de respuesta a emergencias, 183 de la lista telefnica de emergencia, 183 CEM (metarchivo mejorado), 129 sistemas en guardia, Inc, 227 habilitar la auditora y el registro de Windows, 47-49 Encase palabras clave de bsqueda programa, 117 metarchivos mejorados (EMF), 129 Comisin de Igualdad de Oportunidades (EEOC), 206-208 erradicacin de los incidentes, 173
Ethereal, 144 Ethernet, 144 Visor de sucesos (Windows XP), 50 Evertrust.net, 54 pruebas adquisicin admisibilidad de las pruebas, 150-153 de la cadena de custodia, 61-63,149-150 contencin, 156-167 herramientas personalizadas forenses, 146-147 e-mail, datos ocultos, 123126 130-132 116-119 bsquedas de palabras clave, el orden de volatilidad, 140-141, 144146 rastreadores de paquetes postcompromise y 135-140 de impresin cola de archivos, 129-130 156-167 cuarentena, en modo real discos de arranque forenses, 141144 TCT (Kit de herramientas de forense), 147-149 memoria cach del navegador Web, archivos de intercambio de Windows 126129, 121-122 contenidos televisivos de intercambio / pgina ficheros, 123 digitales. Ver evidencia digital "potencial" evidencia, 3 conservacin, equipo equipo de respuesta a incidentes, 21 ampliable valiosa cadena de (Registro de Windows teclas), 71 bloques del sistema de archivos ext2, 87, 87 directorios de eliminacin de archivos, el 87 de recuperacin de archivos, 87-88
F
Farmer, Dan, 147 FAT (File Allocation Table), de 81 aos crear en modo real discos de arranque de forenses, 142 FAT12, de 82 aos FAT16, de 82 aos FAT32, de 82 aos
NDICE 305
FedCIRC (Equipo Federal de Respuesta a Incidentes Centro), 5 Incidentes Federal de Centro de Cmputo de respuesta. Ver FedCIRC Cdigo Federal de la Delincuencia, la divulgacin de la computadora nformacin, 37-38 las leyes federales, 38 Enmiendas a la Ley Informtica abuso de fraude informtico 1994,42-43 Acta de Abuso y 1986,39-42 de la Ley Patriota de EE.UU. de 2001, 43-44, 269 autoridad para interceptar la voz las comunicaciones en la piratera informtica nvestigations, 269 Cable Act, 271-272 comunicacin de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273-275 citaciones para las pruebas electrnicas, la trampa y el estatuto de seguimiento 270-271, 273-275 de correo de voz de comunicaciones, 270 Reglas Federales de Evidencia, 61-62,123,281 -288 mbito de la orientacin Ley Patriota de EE.UU. de 2001, 269 autoridad para interceptar la voz las comunicaciones en la piratera informtica nvestigations, 269 Cable Act, 271-272 comunicacin de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativos a la los registros de la preservacin de la disuasin, 280 de ciberterrorismo, 277280
las revelaciones de las comunicaciones de emergencia proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 registro de la pluma, 273275 citaciones para las pruebas electrnicas, 270-271 trampa y rastro estatuto, 273-275 de correo de voz de comunicaciones, 270 File Allocation Table. Ver Programa de archivos FAT (TCT), 147 para compartir archivos, pruebas de cuarentena y la contencin, 160 configuracin de Windows, 161-162 deshabilitar compartir archivos e impresoras, Windows XP 167, 162-167 uso compartido de archivos ficha Propiedades (Windows XP), 165 First Responder de instrucciones ( EE.UU. Departamento de Energa), 21 disquetes, 79-80 FOIA (Freedom of Information Act), 30 en Opciones de carpeta (Windows XP), 164 carpetas cuadro Opciones (Windows XP), 122 de seguimiento, los incidentes de hackers, 201 preparacin forense, 45 la continuidad del negocio y de contingencia planificacin, de 63 aos TI de contingencia proceso de planificacin, 63-68 de la cadena de custodia para la recopilacin de pruebas, 61-63 recopilacin de datos de la memoria, 55 archivos de volcado de memoria, 56-59 orden de volatilidad, la identificacin de 56 dispositivos de red, unidades de imagen de disco duro 54-55, 59-61 preparacin de los sistemas operativos de recogida de datos, auditora y los procedimientos de registro de 45, 46, 49, 51 de registro centralizado, 5152 habilitar la auditora y el registro de Windows, 47-49
los archivos de registro, 46
306
NDICE
Frye prueba, 152 la preservacin, el 153 de la cadena de custodia, 61-63,149150 herramientas forenses personalizados, 146-147 e-mail, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125-126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140-141, 144-146 rastreadores de paquetes postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 archivos de cola de impresin, 129-130 de cuarentena y la contencin, 156 los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160167 la integridad de la preservacin, 157 la ruptura de las conexiones de red e Internet, 159-160
la preparacin forense seguido sincronizacin de tiempo, 52-53 Automachron, de 53 aos NIST Servicio de hora de Internet, el 53 por NTP (Network Time Protocol), de 52 aos hora mundial, el 53 de sellado de tiempo, 53-54 herramientas forenses personalizacin, 146-147 Forensic Toolkit (AccessData), 146 Forensic Toolkit palabra clave de bsqueda de programa, 117 de Foundstone, Inc. BinText, 117 SuperScan, 13 de la Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 fragmentacin, 8182,124 Freedom of Information Act. Ver FOIA gratuito CacheMonitor II, 129 Cain & Abel v2.5 beta20, 131 herramientas de copia de seguridad de datos, 188 ProtectYou, 209-210 bsqueda de palabras, programas, 117-119, 173 Nessus escner NetBrute, 225, 144 Snort Ultcompaero de ZIP Cracker, 131-132 copia de seguridad de Windows y los procedimientos de restauracin, 78 ZIP Password Finder, 131 prueba de Frye, la admisibilidad de la prueba informtica, 152 funciones, NIPC (Nacional de Proteccin de la Infraestructura del Centro), 35
G
reunir pruebas, 2-4 admisibilidad de las pruebas, 150 de autenticacin, 151-152 mejor regla de la prueba, 152-153 examen de los ordenadores incautados, 153
detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143
NDICE 307
TCT (Kit de herramientas de forense), 147-149 memoria cach del navegador Web, 126 la localizacin de pruebas del navegador de la historia, 127-128 Web localizar evidencias de cach, los archivos de intercambio de Windows 128-129, 121, 121-122 archivos de localizacin de contenidos televisivos de los archivos de intercambio / pgina, 123 GFI LANguard Network Security Scanner, 55.174 GFI LANguard Security Event Log Monitor, 52 GMT (Greenwich Mean Time), de 52 aos ladrn de tumbas (TCT de recoleccin de datos del programa), 147-148 funcionamiento, 148-149 hora media de Greenwich.5eeGMT Guidance Software, Inc., Encase programa de bsqueda por palabra clave, 117 Portabilidad y Responsabilidad de Seguros Ley de 1996. Ver Odas HIPAA, CCIPS, 285-288
H
los piratas informticos, 195 actividad de los hackers activo, 198-200 los ataques de medidas preventivas, 191194 categoras de incidentes, 196 puertos comnmente atacados, 257-267 de seguimiento, 201 los piratas informticos de identificacin, 197198 Entrada de acceso a Internet, 196 monitorizacin de la actividad hacker, 200 puerto de entrada de acceso, 196 incidentes anteriores, 201 Troya, 196 programas de caballo de acoso, el uso de equipo inadecuado, 203-205 evitar los juicios, 205-206 las polticas sobre el acoso sexual, 206208 discos duros, unidades de disco duro 78-79 imgenes, la respuesta preliminar, 59-61 bsquedas de palabras clave, 120 de
datos ocultos, recogida de pruebas, 130 protegida con contrasea los datos comprimidos, 131-132 esteganografa, 130-131 de alto nivel de incidentes, 19 Boletn Destacados (INCP), 178 de HIPAA (Health Insurance Portability y Ley de Responsabilidad de 1996), 228-232 colmenas, Editor del Registro de Windows, 70-71 HKEY_CLASSES_ROOT rama (Windows Registro), 70 rama HKEY_CURRENT_CONFIG (Windows Registro), 71 HKEY_CURRENT_USER rama (Windows Registro), el 70 HKEY_DYN_DATA rama (Registro de Windows), de 71 aos rama HKEY_LOCAL_MACHINE (Windows Registro), 70 (rama HKEY_USERS del Registro de Windows), el 70 Honeynet Project, el acoso sexual, ambiente hostil, 232, 203
Yo
IAP / PUA, 208 (acceso a Internet y de uso aceptable polticas), 208 del programa ICAT (TCT), 147 la identificacin de hackers, 197-198 dispositivos de red, 54-55 el robo de identidad, 171 programa de ILS (TCT), 147 imgenes de unidades de disco duro, la respuesta preliminar, 59-61 en casa de pruebas de penetracin, 224-226 inapropiadas del uso de los incidentes, 202 infracciones penales, 203 molestias, 203 evitar que los empleados vean material inapropiado conten filtros, 208210 IAP / PUA, 208 uso prohibido, 203 una tica cuestionable, 203 reconociendo el uso apropiado, 203
308
NDICE
impedir que los trabajadores puedan ver material de nappropriate, 208-210 uso prohibido, 203 una tica cuestionable, 203 reconociendo el uso apropiado, 203 el acoso sexual, 203-208 uso tolerable, 203
nappropriate incidentes de uso seguido el acoso sexual, 203-208 uso tolerable, 203 Bandeja de entrada de correo electrnico de almacenamiento, 125 incidentes previsin de ataques futuros, 191-194 evaluacin de las vulnerabilidades de la organizacin con modelos de confianza, 167 el robo de identidad, 171 el sistema operativo de confianza, 169170 ID de usuario y contrasea de confianza, 168-169 equipo de sensibilizacin de seguridad de programas, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 planes de recuperacin de desastres, 177-179 desarrollar un plan, 180-181 de contingencia muestra de plan de recuperacin de desastres, 181-183 erradicacin, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidades, 173-174 objetivos de la respuesta, 5 hackers, 195 actividad de los hackers activo, 198-200 categoras, 196 de seguimiento, 201 identificar al hacker, 197-198 Entrada de acceso a Internet, 196 monitorizacin de la actividad hacker, 200 puerto de entrada de acceso, 196 incidentes anteriores, 201 Programas de caballo de Troya, 196 de alto nivel, 19 nappropriate incidentes de uso, 202 infracciones penales, 203 molestias, 203
espionaje industrial, 210-211 los ataques internos y 211-213 casos aislados, 19 de bajo nivel, 18 cdigo malicioso, 201-202 de nivel medio, 18 despus del incidente de seguimiento y anlisis, 190-191 preparacin centralizacin, 16 desarrollo de la capacidad de respuesta, 1621 concienciacin de usuario mejorada, 16 planes de seguridad, factores de amenaza, 15-16 14-15 cuarentena, 156 los mecanismos de auditora, 157 de riesgo determinante de la continua 156 operaciones, de intercambio de archivos, los problemas de la preservacin de la integridad de 160-167, 157 y ruptura de la red de Internet conexiones, 159-160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, el reconocimiento 158159, 5, 7,14 tipos ms comunes de los incidentes, 6 sistema de monitoreo, 7-13 resultados de la deteccin inadecuada, 6-7 lnCntrl5 utilidad, 73-74 copias de seguridad incrementales, 188 incidentes de espionaje industrial, 210211 NETPATROL, 225 el intercambio de informacin, la investigacin de delitos, 33-34 Tecnologa de la Informacin Asociacin de AmRica, el 30 INFOWARCON Conferencia de 2001, 3-4 de la inoculacin de los sistemas, el cdigo malicioso respuesta, 202 inodes, 87 los ataques internos, 211-213 instalacin, banderas de inicio
de sesin Unix / Linux, 137-139 Windows 2000/XP, Windows NT 137, 136 la preservacin de integridad, 157
NDICE 309
Acceso a Internet y las polticas de uso aceptable. Ver IAP / PUA Internet entrada de acceso, los incidentes de hackers, 196 conexiones, corte, 159-160 gusanos, 201 Internet Explorer explorador de la localizacin de evidencias de la historia, 127 gestin de la configuracin de cach, 128 Tiempo de Servicios de Internet. Ver SU intrusin la deteccin, 5,7,14 tipos comunes de incidentes, incidente del 6 de centralizacin de las preparaciones, 16 desarrollo de la capacidad de respuesta, 16-21 concienciacin de usuario mejorada, de 16 factores que contribuyen a la creciente presencia de de las amenazas, 14-15, 15-16 planes de seguridad del sistema de monitoreo, 7 archivos de registro de cheques, 9 herramienta de gestin informtica (Windows), 9 nspecting configuraciones de red, 13 NVALID derechos de los usuarios, 9 alteraciones de archivos de programas, aplicaciones no autorizadas 13, 9-11 cuentas de usuario no autorizado o grupos, 8 puertos inusuales, 13 los resultados de la deteccin inadecuada, 6-7 ProtectYou, 209 Panel de control, la pantalla de inicio rpido 210, 209 de Ipswitch, Inc. WhatsUp Gold, de 55 aos IraqiWorm, 221 solated incidentes, 19 sistemas solating, la respuesta de cdigo malicioso, 202 ISS Internet Scanner, 212 TI proceso de planificacin de contingencia, de 63 aos la realizacin de la BIA, de 64 aos de desarrollo, de 65 aos Notificacin / Fase de activacin, el 66 Plan de fase de los Apndices, de 66 aos declaracin de poltica, 63-64
Fase de reconstitucin, de 66 aos Recun / a fase, 66 las estrategias de recuperacin, 65 Informacin de Apoyo a la fase, de 66 aos dentificar los controles preventivos, 64-65 el mantenimiento del plan, de 68 aos de pruebas, de 67 aos de formacin, el 67 ITS (Internet Service Time), de 53 aos ITSecure, 227
K
Katz v EE.UU. (en cursiva), 28 volcados de memoria del ncleo, 57 Kevin V. DiGregory (cursiva), 29 teclas, Windows rama de Editor del Registro vales, 70-71, 116 bsquedas de palabras clave Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 empresas de servicios pblicos gratuitos, 117, 117 BinText investigador del disco, 117, 117-119 SectorSpyXP exmenes de disco duro, 120 Maresware Suite de palabras clave de bsqueda del programa, 117 Kiwi Syslog Daemon, de 52 aos gusano Klez de 2002.160 Kroll Ontrack, Inc. EasyRecovery Professional , 86
L
tierras, la tecnologa de CD, 81 LANPATROL, 225 lastcomm programa (TCT), 147 aplicacin de la ley Control del Crimen y la Ley de seguridad en las calles, la revelacin y el descubrimiento de 28, 36-38 divulgacin electrnica, 36 Cdigo Federal del Crimen, 37-38 divulgacin de papel, de 36 aos
310
NDICE
seguridad local, Edicin de inicio de sesin instalacin de la bandera, 137 de seguridad local ventana de Configuracin (Windows XP), de 49 aos
aplicacin de la ley seguido las leyes federales, 38 Equipo de abuso Enmiendas a la Ley de 1994,42-43 equipo de Fraude y Abuso de la ley de 1986, 39-42 Ley Patriota de EE.UU. de 2001, 43-44, 269-280 FOIA (Freedom of Information Act), 30 de la Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 temas de intercambio de informacin, 33-34 NIPC (Proteccin de la Infraestructura Nacional Centro), 35 violaciones a la seguridad de informacin, 30 prorganizaciones del sector privado, 32-33 justificacin para no informar de intrusiones, 31 requisitos para la recoleccin de pruebas, el acoso sexual 136 (equipo inadecuado uso), 205-206 Lzaro (TCT programa de reconstruccin de datos), 147 configuracin del Registro LegalNoticeCaption, el establecimiento de 136 Registro LegalNoticeText, 136 Lexun Freeware DrvClonerXP, 120 SectorSpyXP, 117-118 bsqueda de informacin especfica, 119 pruebas para la escritura del mismo lugar que no sea Una unidad de disco, 118-119 Linux CD-ROM de libro de acompaamiento, la creacin de 248 a 249 en modo real discos de arranque de forenses, 143-144 de almacenamiento de datos, 87 sistema de archivos ext2, 87-88 Linux dd herramienta de imgenes de disco, de 61 aos de instalacin bandera de inicio de sesin, 137-139 consola Directiva de
la localizacin de e-mail las pruebas, 124-125 Navegador de Internet la historia de las pruebas, 127-128 Web de pruebas de memoria cach, 128-129 De Windows los archivos de intercambio, 121-122 los archivos de registro recopilacin de datos para sistemas operativos, de 46 aos de monitoreo para intrusin, 9 procedimientos de registro El acceso centralizado, 51-52 la preparacin de sistemas operativos para los datos recoleccin, 46,49-51 banderas de inicio de sesin, el mantenimiento de los derechos de privacidad de los usuarios, 136 Unix / Linux de la instalacin, 137-139 Instalacin de Windows 2000/XP, 137 Instalacin de Windows NT, 136 bajo nivel de incidentes, 18
Company, LLC, 117
M
mactime (TCT sistema de archivos de sello de tiempo representanterter), 147 medios magnticos, 184 mantenimiento plan de desastre, el desastre de la muestra de contingencia plan de recuperacin, 183 Planes de contingencia de TI, el 68 del programa major_minor (TCT), 147 cdigos maliciosos, 14.201 contencin, 202 inoculando el sistema, 202 aislar el sistema, 202 notificacin personal adecuado, 202 volver al funcionamiento normal del sistema modo, 202 Programas de caballo de Troya, 201 gusanos, 201 Mares and
NDICE 311
Maresware Suite de bsqueda por palabra clave programa, 117 de MBSA (Microsoft Baseline Security Analyzer), 174 McCamy, Nick (SectorSpyXP), 117-118 bsqueda de informacin especfica, 119 por escrito las pruebas a la ubicacin que no sea un unidad, 118-119 programa de md5 (TCT), 147 medios de comunicacin, medios de almacenamiento, 3, 78,183-184 CD-ROM, 80-81 disquetes, 79-80 discos duros, 78-79 Unix / Linux, 8788 memoria la recopilacin de datos, 55 los archivos de volcado de memoria, 56-59 orden de la volatilidad, 56 no voltil, 55 vertederos voltiles, la memoria 56, 57-58 Dumpchk, de 58 aos Unix sysdump comando, 58-59 de metadatos, NTFS (New Technology File System), el 83 de Microsoft Baseline Security Analyzer. Ver MBSA de nivel medio de incidentes, 18 Miller, N. Harris, de 30 aos actividad de los hackers de vigilancia, 200 sistema de monitoreo para intrusiN, 7 los archivos de registro de cheques, 9 herramienta de gestin informtica (Windows), 9 inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 alteraciones del programa de archivos, 13 aplicaciones no autorizadas, 9 examinar el registro de Windows, 9-11 servicios no vlidos, 10 Carpetas de inicio del sistema, 11 cuentas no autorizadas de los usuarios o grupos, 8 puertos poco comunes, 13
Morch, Pedro, 211 Morris, Daniel M., 197-198 Mover MET caja (Microsoft Outlook para Windows XP), 126 documentos multimedia, seguridad informticaprogramas de sensibilizacin, 172 multistring Valu (Claves del Registro de Windows), de 71 aos
N
N.S.S. (Network Security Scanner), 174 de la Infraestructura Nacional Centro de Proteccin. Ver NIPC Instituto Nacional de Estndares y Tecnologa. Ver NIST nativo de Inteligencia, Inc., 172 Nessus, 173 Net Nanny (BioNet Systems, LLC), 209 de NetBIOS nuyol sesiones, desactivar 221 2000.223 de Windows de Windows NT, Windows XP 223, 222 Scanner NetBrute (software de lgica en bruto), Netscape Navigator 225 explorador de la localizacin de evidencias de la historia, gestin de las configuraciones de almacenamiento en cach 127, 128 redes configuraciones la inspeccin de entradas no autorizadas, 13 operadores, 9 dispositivos, mapas, 54-55 rastreadores de paquetes, la evidencia recogida, 144-146 acciones, 160 la configuracin de Windows, 161-162 archivo incapacitante y uso compartido de impresoras, 167 Windows XP, 162-167 Red de Propiedades de la herramienta, la red de la inspeccin configuraciones para intrusin, 13 escner de seguridad de red. Ver N.S.S. Network Time Protocol. Ver NTP
312
NDICE
Nuevas Tecnologas, Inc. Las empresas de procesamiento de evidencia Suite 146 DiskSearch Pro, 120 New Technology File System. Ver NTFS NGSSniff, 144 NIPC (Proteccin de la Infraestructura Nacional Centro), 35 funciones, 35, 178 Boletn resalta Proteccin por contrasea 101,168-169 del NIST (Instituto Nacional de Estndares y Tecnologa), 60 imgenes de disco especificaciones de la herramienta, 6061 de TI proceso de planificacin de contingencia, de 63 aos la realizacin de la BIA, de 64 aos desarrollo del plan de contingencia, 65-66 la poltica de desarrollo de la declaracin, 63-64 el desarrollo de estrategias de recuperacin, 65 Identificacin de los controles preventivos, 64-65 el mantenimiento del plan, de 68 aos pruebas, 67 la formacin, el 67 NIST Servicio de hora de Internet, 53 Noble, David, de 79 aos de memoria no voltil, de 55 copias de seguridad normales, 188 Norton Commander, visualizacin de intercambio de Windows 123 ficheros, Norton Diskedit, visualizacin de intercambio de Windows archivos, 123 Notificacin / Fase de activacin (TI de contingencia planes), 66 ntbackup, Windows NT procedimiento de copia de seguridad, el 75 de NTFS (New Technology File System, 82-83 NTP (Network Time Protocol), el 52 nuyol sesiones (NetBIOS), discapacitante, 221-223
O
O'Connorv. Ortega, 138 Object Linking and Embedding.5eeOLE Objeto ventana de tipo (Windows XP), 166
OLE (Object Linking and Embedding), 70 Olmsteadv. Estados Unidos, 28 Lucha contra el Crimen y la Ley mnibus Calles Seguras, de 28 aos de One Guy Codificacin Automachron, de 53 aos paginacin sistemas operativos, 121 para la preparacin de la recopilacin de datos, 45 de auditora y el registro de los procedimientos, 46,49-51 El acceso centralizado, 51-52 habilitar la auditora y el registro de Windows, archivos de registro de 4749, 46 de volver al modo normal de funcionamiento, 202 de riesgo de las operaciones en curso, 156 modelos de confianza, 169-170 de Windows. Ver ptica de Windows los medios de comunicacin, 184 orden de la recopilacin de pruebas, 139-140 orden de volatilidad, 56,140141 la evidencia digital original, 2 Bandeja de salida de correo electrnico de almacenamiento, 125 Outlook, recuperar correos electrnicos eliminados, las pruebas de penetracin de 126 subcontratados, 224
PawPrint.net Hora mundial, de 53 aos PC Inspector File Recovery, 84-85 PCAT programa (TCT), 148 pruebas de penetracin, 223 en la casa frente a la externalizacin, 224 software para las auditoras internas, 225-226 pruebas realizadas por terceros, 227
P
rastreadores de paquetes, la evidencia recogida, 144-146 paginacin, 121 la divulgacin de papel, 36 Crackers de contraseas, Inc, 131 Proteccin por contrasea 101 (INCP), 168169 Recuperar Contrasea Asistente (ZIP Cracker), 132 contrasea de confianza, 168-169 protegidos con contrasea los datos comprimidos, recogiendo datos ocultos, 131-132
NDICE 313
personal, un incidente de equipo de respuesta, 17 de evaluacin y de contencin, 19-20 de anlisis de daos y la determinacin de los procedimientos de cierre, 20 daos, 21 las operaciones de recuperacin, el 20 proceso de informacin, 18-19 asegurar una escena, 18 fsicos TEMS, 2 pozos, la tecnologa del CD, 81 Apndices Plan de fase (planes de contingencia de TI), de 66 aos Pochron, David M., 129 polticas la evaluacin de sistemas de seguridad, listas de control de auditora, 215-217 217-218 objetivos, 216 visin general del proceso de auditora, 218-219 declaraciones, el proceso de planificacin de contingencia, 63-64 puertos entrada de acceso, los incidentes de hackers, 196 puertos comnmente atacado, 257-267 intrusin la deteccin, el 13 PortScan, 225-226 postcompromise la recopilacin de pruebas, 135, 190-191 requisitos legales, las banderas de inicio de sesin 136, 136 Unix / Linux de la instalacin, la instalacin de Windows 2000/XP 137139, 137 de instalacin de Windows NT, el orden 136 de la coleccin, 139-140 preliminar/respuesta, 45 la continuidad del negocio y de contingencia planificacin, 63-68 de la cadena de custodia para la recopilacin de pruebas, 61-63 recopilacin de datos de la memoria, 55 archivos de volcado de memoria, 56-59 orden de volatilidad, la identificacin de 56 dispositivos de red, unidades de imagen de disco duro 54-55, 59-61 la preparacin de sistemas operativos para los datos coleccin, 45 de auditora y el registro de los procedimientos, 46-51 El acceso centralizado, 51-52 habilitar la auditora y el registro de Windows, 47-49 los archivos de registro, el 46 de sincronizacin de tiempo, 52-53 Automachron, de 53 aos NIST de servicios de Internet Time, de 53 aos NTP (Network Time Protocol), de 52 aos Hora mundial, el 53 de sellado de tiempo, la preparacin para incidentes de 53-54, de 45 aos la continuidad del negocio y de contingencia planificacin, 63-68 de la cadena de custodia para la recopilacin de pruebas, 61-63 recopilacin de datos de la memoria, de 55 aos los archivos de volcado de memoria, 5659 orden de la volatilidad, de 56 aos de recopilacin de datos, 45 de auditora y el registro de los procedimientos, 46,49-51 El acceso centralizado, 51-52 habilitar la auditora y el registro de Windows, 47-49 archivos de registro, desarrollo de la capacidad de respuesta 46, 16 mecanismos de alerta, 17 centralizacin, 17 equipo de respuesta a incidentes, 17-21 estructura, la identificacin de 17
dispositivos de red, unidades de imagen de disco duro 54-55, 59-61, 15 planes de seguridad centralizacin, 16 respuesta eficiente, 16 la conciencia de usuario mejorada, 16 factores de amenaza, 14-15, 52-53 sincronizacin de tiempo Automachron, de 53 aos NIST de servicios de Internet Time, de 53 aos
NDICE
la preparacin para incidentes seguido NTP (Network Time Protocol), de 52 aos Hora mundial, el 53 de sellado de tiempo, 53-54 preservacin de las pruebas admisibilidad de las pruebas, 150-153 autenticacin, 151-152 mejor prueba de la regla, 152-153 Frye prueba, 152 perodo de tiempo permitido para examinar ordenadores incautados, 153 de la cadena de custodia, 149150 incidentes informticos del equipo de respuesta, 21 kits de herramientas forenses de encargo, la integridad 146-147, 157 orden de la volatilidad, 140141 rastreadores de paquetes, 144-146 AnalogX PacketMon, 145 144 Ethereal, NGSSniff, 144 Snort, 144 postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143 TCT (Kit de herramientas de forense), 147-149 prevenir los ataques, 215-216 evaluacin de las polticas de seguridad del sistema y procedimientos, 216-217 listas de verificacin de auditora, 217-218 objetivos, 216 visin general del proceso de auditora, 218-223 HIPAA (Health Insurance Portability and Ley de Responsabilidad de 1996), 228232 Honeynet Project, 232
pruebas de penetracin, 223 en la casa frente a la externalizacin, 224 software para las auditoras internas, 225226 pruebas realizadas por terceros, 227 Controles de prevencin, 64-65 prevencin de los incidentes, la planificacin de recuperacin de desastres, 179 el desarrollo de un plan de contingencia de desastres, 180-181 muestra de recuperacin del plan, 181183 incidentes anteriores, hackers, 201 archivos de cola de impresin, la recoleccin de pruebas, 129 -130 derechos de privacidad Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 banners inicio de sesin, 136-139 O'Connor v Ortega, 138 prorganizaciones del sector privado, 32 temas de intercambio de informacin, 3334 Reno direccin de la cumbre, 32-33 Process Explorer, 170 programas equipo acerca de la seguridad, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 los registros de seguridad, 183186 la admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de copia de seguridad de datos, 187-190 de UPS (Uninterruptible Power Supply), 186-187 TCT (Kit de herramientas de forense), 147148 caballo de Troya, 14 prohbe el uso del ordenador , 203 modo promiscuo, Ethernet, 144 cuadro de propiedades (la papelera de reciclaje), 84 protocolos, TELNET, 196 de compra UPS (suministro
ininterrumpido de energa), 187
NDICE 315
Q
la cuarentena de las pruebas, 156, 157 mecanismos de auditora determinar el riesgo de las operaciones continuadas, 156 de intercambio de archivos, 160 temas la configuracin de Windows, 161-162 archivo incapacitante y uso compartido de impresoras, 167 Windows XP, 162-167 preservar la integridad, 157 Severing conexiones de red e Internet, 159-160 usuario detecta las vulnerabilidades tcnicas, 157 Formulario de Reporte de Vulnerabilidad, 157-159 tica cuestionable, 203 de la pantalla de inicio rpido (ProtectYou), 209 acoso quid pro quo sexual, 203
inusuales, 13 los resultados de la deteccin inadecuada, 6-7
R
RAID (Redundant Arrays of Independent Disks), de 65 aos RAM (memoria de acceso aleatorio), 56 de memoria de acceso aleatorio. Ver Memoria RAM de software Logic Raw NetBrute escner, 225 RDISK utiYodad, Windows NT procedimiento de copia de seguridad, 75 de modo real forense discos de arranque, 141, 142 FAT Linux, Windows, 143144 142-143 signos de reconocimiento de un incidente, 5-7,14 tipos comunes de incidentes, 6, 7 sistema de monitoreo de los archivos de registro de cheques, 9 herramienta de gestin informtica (Windows), 9 la inspeccin de las configuraciones de red, 13 los derechos de usuario no vlidas, 9 alteraciones de archivos de programas, aplicaciones no autorizadas 13, 9-11 cuentas de usuario no autorizado o grupos, 8 puertos
programa de reconfiguracin (TCT), 148 fase de reconstitucin (TI planes de contingencia), 66 discos compactos grabables.5eeCD-R de registros (registros electrnicos), 183 registros de seguridad, programas, 183-186 admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de respaldo de datos, 187190 de UPS (Uninterruptible Power Supply), 186-187, 183 medios de almacenamiento 184 registros, programas de seguridad, 183186 de admisibilidad de los expedientes, 185 de autenticacin de los registros, 184 procedimientos de copia de seguridad de datos, la creacin de un plan de 187, 188, 188 copias de seguridad diferenciales herramientas freeware, 188 copias de seguridad incrementales, 188, 188 copias de seguridad normales de Windows, 189-190 UPS (suministro ininterrumpido de energa), 186 beneficios de la UPS, 187 UPS continua versus espera, 186-187 adquisitivo, la recuperacin de archivos 187, sistema de archivos ext2, 87-88 recun / a operaciones, equipo de respuesta a incidentes equipo, 20 de recun / a fase (planes de contingencia de TI), de 66 aos recun / a estrategias, la planificacin de contingencias proceso, 65 equipos de recuperacin, 181-183 del equipo de atencin al cliente, 183 Coordinador de Planificacin de Desastres, 181 equipos de manejo de emergencias, el equipo de 182 proyectos especiales, el equipo de soporte tcnico 182, 182 Papelera de reciclaje (Windows), 83 pruebas restantes, 83 archivos borrados de seguimiento, el 84 -85
316
NDICE
equipo de respuesta a incidentes, 17 la evaluacin y contencin, 19-20 anlisis de daos y la determinacin, el 20 procedimientos de cierre de daos, 21 las operaciones de recuperacin, 20 proceso de presentacin de informes, 18-19 asegurando una escena, 18 estructura, procedimientos de respuesta de 17 incidentes de hackers, 195 actividad de los hackers activo, 198200 categoras, 196 de seguimiento, 201 identificar al hacker, 197-198 Entrada de acceso a Internet, 196 monitorizacin de la actividad hacker, 200 puerto de entrada de acceso, 196 incidentes anteriores, 201 Programas de caballo de Troya, 196 incidentes de uso inadecuado, 202 infracciones penales, 203 molestias, 203 impidiendo que los trabajadores vean material inadecuado, 208-210 uso prohibido, 203 una tica cuestionable, 203 reconociendo el uso apropiado, 203 el acoso sexual, 203-208 uso tolerable, 203 espionaje industrial, los ataques internos 210-211, 211-213 cdigo malicioso, 201 contencin, 202 inoculando el sistema, 202 aislar el sistema, 202
Red Hat, Inc., 227 Redundant Arrays of Independent Disks. VerRAID RegCleaner, 12 REGEDIT. Ver Editor del Registro (Windows) Regedt32.exe, de 72 aos el Editor del Registro (Windows), 11.9, 70 y copia de seguridad de los procedimientos de restauracin de servicios de restauracin, el 74, shareware y freeware 78, 78 Windows 2000, Windows NT 75-76, el 75 de Windows XP, 77-78 de recopilacin de datos, 73 lnCntrl5 utilidad, la utilidad Regmon 73-74, 73-74, 73 datos voltiles de edicin para el inicio de sesin de la bandera de instalacin, los archivos de volcado de memoria de generacin de 136, la estructura de 56-57, 71-72 visualizacin y edicin, de 72 aos de utilidad Regmon, recopilacin de datos, 7374 REG_BINARY valiosa (Claves del Registro de Windows), el 71 REG_DWORD valiosa (Claves del Registro de Windows), el 71 REG_EXPAND_SZ valiosa (Registro de Windows teclas), el 71 REG_MULTI_SZ Valu (Claves del Registro de Windows), el 71 REG_SZ valiosa (Claves del Registro de Windows), de 71 aos pruebas fiables, 140 actividad de los hackers activo, 198-200 Reno, la Fiscal General Janet, 32-33 brechas de seguridad de informacin, 30 temas de intercambio de informacin, 33-34 prorganizaciones del sector privado, 32-33 justificacin para no informar de intrusiones, 31 de proceso de informacin, respuesta a incidentes informticos equipo, los requisitos de 18-19, CD-ROM libro de acompaamiento, 247 la capacidad de respuesta (el desarrollo de un incidente de la capacidad de respuesta), 16 mecanismos de alerta, 17 de la centralizacin, 17
notificacin personal adecuado, 202 volver al funcionamiento normal del sistema modo, 202 Programas de caballo de Troya, 201 gusanos, 201 procedimientos de restauracin, Editor del Registro (Windows) 74, 78
NDICE 317
Restaurar utiYodad, Windows copia de seguridad, de 78 aos recuperacin de datos admisibilidad de las pruebas, 150 autenticacin, 151-152 mejor prueba de la regla, 152-153 Frye prueba, 152 perodo de tiempo permitido para examinar ordenadores incautados, 153 la preservacin, el 153 de la cadena de custodia, 149-150 herramientas forenses personalizados, 146-147 e-mail, 123 localizar e-mail, 124-125 recuperar el correo electrnico eliminado, 125-126 datos ocultos, 130 protegidos con contrasea los datos comprimidos, 131-132 esteganografa, 130-131, 116 bsquedas de palabras clave BinText, 117 Investigador de disco, 117 Encajar el programa de bsqueda de palabras clave, 117 Forensic Toolkit palabras clave de bsqueda programa, 117 utilidades gratuitas, 117 exmenes de disco duro, 120 Maresware Suite de bsqueda por palabra clave programa, 117 SectorSpyXP, 117-119 orden de volatilidad, 140141 rastreadores de paquetes, 144-146 AnalogX PacketMon, 145 144 Ethereal, NGSSniff, 144 Snort, 144 postcompromise, 135 los requisitos legales, 136 banderas de inicio de sesin, 136-139 orden de recogida, 139-140 archivos de cola de impresin, 129-130
de cuarentena y la contencin, 156 los mecanismos de auditora, 157 determinar el riesgo de las operaciones continuas, 156 de intercambio de archivos asuntos, 160-167 la integridad de la preservacin, 157 la ruptura de las conexiones de red e Internet, 159160 detectados por el usuario vulnerabilidades tcnicas, 157 Formulario de Reporte de la vulnerabilidad, 157-159 en modo real discos de arranque de forenses, 141 FAT, 142 Linux, 143-144 Windows, 142-143 TCT (Kit de herramientas de forense), 147,149 memoria cach del navegador Web, 126 la localizacin de pruebas del navegador de la historia, 127128 Web de la localizacin de pruebas de cach, 128-129 De Windows los archivos de intercambio, 121 los archivos de localizacin, 121-122 contenidos televisivos de los archivos de intercambio / pgina, 123 CD regrabables. Ver CD-RW derechos Cuarta Enmienda de la Constitucin de los EE.UU., 28-30,138-139 banners inicio de sesin, 136-139 O'Connorv. Ortega, 138 riesgo evaluacin de las vulnerabilidades de la organizacin con modelos de confianza, 167 el robo de identidad, 171
el sistema operativo de confianza, 169170 ID de usuario y contrasea de confianza, la conciencia de seguridad informtica 168169, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, 172 operaciones continuas, 156 directorio raz, localizar los archivos de intercambio de Windows, 121 Rubenking, Neil J., 73
318
NDICE
capacidad de respuesta 172, 16 mecanismos de alerta, 17, 17 centralizacin
Cuadro de dilogo Ejecutar (Windows), de 72 aos Russinovich, Mark Process Explorer, 170 Regmon de utilidad, de 73 aos
s
SAINT (Security Administrator est integrado Red de herramientas), 174, 212 Salgado, Richard P., de 31 de SANS (Administracin de sistemas y de redes, y Instituto de Seguridad), 232 SATN (Herramienta de administracin de seguridad para el Anlisis de Redes), 225 herramientas de bsqueda, las bsquedas de palabras clave, 116, 117 BinText Disk Investigator, 117 Encase programa de bsqueda por palabra clave, 117 Kit de herramientas de forense en palabras clave de bsqueda programa, 117 empresas de servicios pblicos gratuitos, 117 exmenes de disco duro, 120 Maresware Suite de palabras clave de bsqueda programa, 117 SectorSpyXP, 117-119 SectorSpyXP (Lexun Freeware), 117-118 bsqueda de informacin especfica, 119 archivo de evidencia por escrito a los lugares, 118-119 de seguridad evaluacin de las polticas y procedimientos, 215-217 listas de verificacin de auditora, 217-218, 216 metas visin general del proceso de auditora, 218219 puestos de trabajo de auditora y servidores, 219-223 incidente de equipo del equipo de respuesta, 18 equipo de toma de conciencia de seguridad, 171 programas de seguridad informtica de la Ley de 1997.171 documentacin multimedia, desarrollo de la
equipo de respuesta a incidentes, 17-21 estructura, la erradicacin de 17 incidentes, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 de la HIPAA (Health Insurance Portability and Accountability Act de 1996), 228 cumplimiento, 228-232 Honeynet Project, la aplicacin de la ley 232 temas de intercambio de informacin, 33-34 brechas de seguridad de informacin, 30-33 pruebas de penetracin, 223 en la casa frente a la externalizacin, 224 software para las auditoras internas, 225-226 pruebas realizadas por terceros, 227 despus del incidente de seguimiento y anlisis, 190-191 preparacin de los incidentes, los registros 15-16, programas de seguridad, 183-186 de admisibilidad de los expedientes, 185 de autenticacin de los registros, los datos de 184 procedimientos de respaldo, 187-190 de UPS (Uninterruptible Power Supply), 186-187 Seguridad Herramienta de administracin para el anlisis de Redes. Ver SATHerramienta de red integrada n de Seguridad del Administrador de. Ver SAINT Opciones de seguridad (Windows XP), 222 convulsiones, perodo de tiempo permitido para el examen de ordenadores incautados, 153 Seleccionar usuarios ventana Grupos (Windows XP), 166 mensajes enviados por e-mail de almacenamiento, 125 de auditora de servidor, 219-221 de nivel de servicio. Ver SLA programa de configuracin, BIOS, 80 Seccionamiento de las conexiones de red e Internet, 159-160
NDICE 319
el acoso sexual, uso de la computadora inadecuada, 203-205 205-206 demandas evitar, las polticas sobre el acoso sexual, 206-208 pestaa Compartir de permisos (Windows XP), 165 carpetas de documentos compartidos (Windows XP), 163 m compartidamediano redes, Ethernet, 144 Programas de evaluacin, procedimientos de Windows de copia de seguridad, uso compartido de 78 y ficha Opciones de seguridad (las propiedades del disco para Windows XP), 162 Shugart, Alan, 79 procedimientos de cierre, incidentes informticos equipo de respuesta, 21 caracterstica de uso compartido simple de archivos (Windows XP), 163-165 SLAs (acuerdos de nivel de servicio), volcados de memoria de 65 pequeos, 57 SnapBack DatArrest (CDP), el 61 de Snort, 144 software CD-ROM de libro de acompaamiento, 252-255 gratuito CacheMonitor II, 129 Cain & Abel v2.5 beta20, 131 de datos de herramientas de backup, 188 ProtectYou, 209-210 bsqueda de palabras, programas, 117119 Nessus, 173 NetBrute escner, 225 Snort, 144 Ultcompaero de ZIP Cracker, 131-132 Ventanas de backup y de restauracin procedimientos, 78 ZIP Password Finder, 131 en la casa de las pruebas de penetracin, 225-226 Soloway, Kevin, 117 SomarSoft DumpSec, 9 equipo de proyectos especiales (equipo de recuperacin), 182 Spitzner, Lance, 232 de cola de impresin, la recuperacin de los archivos de cola de impresin, 129-130
notificacin personal, la respuesta de cdigos maliciosos, 202 UPS UPS de reserva frente a continuos, 186-187 carpetas de inicio, sistema de seguimiento intrusin, 11 de esteganografa, 130-131 stegdetect, 131 medios de almacenamiento, 3,78,183184 CD-ROM, 80-81 disquetes, 79-80 discos duros, 78-79 Unix / Linux, 87-88 cadena valiosa (Claves del Registro de Windows), el 71 strip_tct_home programa (TCT), 148 estructura un incidente de la capacidad de respuesta, 17 Editor del Registro (Windows), 70-72 subclaves, Editor del Registro de Windows, 70 resmenes de la evidencia voluminosa, 288 SuperScan (de Foundstone, Inc.), 13 en fase de informacin de soporte (IT de contingencia planes), 66 Surf Patrol CyberPatrol, 209 archivos de intercambio (Windows), 121 los archivos de localizacin, 122 contenidos televisivos de los archivos de intercambio / pgina, 123 sincronizacin, 52-53 sysdump de comandos (Unix), 58-59 de administracin del sistema, Redes y Seguridad Instituto. Ver SANS Sistema Estatal de copia de seguridad Windows 2000, 75-76 Windows XP, 77-78
programas, 147-148 del equipo de apoyo tcnico (equipo de recuperacin), la tecnologa de 182, discos compactos, 81
T
TCT (Kit de herramientas de forense), 147 Ladrn de tumbas, 148-149
320
NDICE
lnCntrl5 la recopilacin de datos, 73-74 bsqueda de palabras, programas, 117119 Propiedades de red, 13 Norton Commander, 123 Norton DiskEdit, 123 Crackers de contraseas, Inc, 131 Rdisk (Windows NT), 75 Regmon, 73-74 Restaurar, de 78 aos SAINT (Security Administrator est integrado Network Tool), 174 Stegdetect, 131 Ultcompaero de ZIP Cracker, 131-132 ZIP Password Finder, 131 archivos borrados de seguimiento de la papelera de reciclaje (Windows), 84-85 Seguimiento de un hacker (entre comillas) del boletn (Morris), 197-198 de formacin en TI planes de contingencia, 67 archivos de transitorios, 123, 14 de Tripwire Trivial File Transfer Protocol.5eeTFTP Troya programas de caballos, 14.201 puertos comnmente atacados, 257-267 incidentes de hackers, 196 solucin de problemas de CD-ROM (que acompaa a libro), 255 modelos de confianza, la evaluacin de las vulnerabilidades de la organizacin, 167 el robo de identidad, 171 el sistema operativo de confianza, 169170 ID de usuario y contrasea de confianza, 168-169
TELNET protocolo, 196 archivos temporales, 123 probar los planes de contingencia de TI, 67 Bsqueda de texto Plus, 120 TFTP (Trivial File Transfer Protocol), 169 de terceros de pruebas de penetracin, 227 amenazas previsin de ataques futuros, 191-194 evaluacin de las vulnerabilidades de la organizacin con modelos de confianza, 167 robos de identidad, 171 del sistema operativo de confianza, 169-170 ID de usuario y contrasea de la confianza, la conciencia de seguridad informtica 168169, 171-172 desarrollo de la capacidad de respuesta, 16 mecanismos de alerta, 17, 17 centralizacin del equipo de respuesta a incidentes, 17-21 estructura, la erradicacin de 17 incidentes, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 planes de seguridad, factores de amenaza, 15-16 14-15 sincronizacin de tiempo, 52-53, 53 Automachron NIST Servicio de hora de Internet, el 53 por NTP (Network Time Protocol), de 52 aos hora mundial, el 53 de sellado de tiempo, 53 a 54 del Ttulo III Lucha contra el Crimen mnibus y calles seguras Acta, de 28 aos el uso del ordenador tolerable, 203 herramientas Copia de seguridad (Windows XP), de 77 aos CacheMonitor II, 129 Cain & Abel v2.5 beta20, 131 Descuento recuperacin de la contrasea, 131 de imgenes de disco, 59-61 DrvClonerXP, 120 e2undel, recuperando archivos ext2, 88
U
Constitucin de los EE.UU. Cuarta Enmienda, 28-30,
138-139 EE.UU. Departamento de Energa de la Primera respuesta Manual, 21 de EE.UU. Oficina Federal de Investigaciones, 2-3 Ultcompaero de ZIP Cracker, 131-132
NDICE 321
aplicaciones no autorizadas, el sistema de monitoreo para intrusin, 9 de examinar el registro de Windows, servicios de 9-11 no vlidos, 10 configuraciones de red, 13 alteraciones de archivos de programa, 13 carpetas de inicio, 11 puertos inusuales, 13 cuentas de usuarios no autorizados de cheques, 8, 9 archivos de registro de derechos de usuario no vlidas, el 9 de monitoreo con el equipo de gestin herramienta (Windows), 9 de alimentacin ininterrumpida suministra. Ver UPS Unidad y Fortalecimiento AmRica mediante el Suministro de Herramientas Apropiadas Requeridas para Interceptar y Obstruir el Terrorismo de 2001 (EE.UU. Patriot Act de 2001) la autoridad para interceptar las comunicaciones de voz en las investigaciones de piratera informtica, 269 Ley de Cable, 271-272 comunicaciones de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativas a la preservacin de registros, 280 de disuasin del terrorismo ciberntico y 277-280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 pluma de registro, 273275 citaciones para las pruebas electrnicas, trampa de 270-271 y el estatuto de seguimiento, 273275 de correo de voz de comunicacin, 270 Unix comandos de choque, 58 almacenamiento de datos, 87-88 de inicio de sesin de instalacin de la bandera, 137-139 sysdump comando, 58-59 Tripwire, 14
UPS (sistemas de alimentacin ininterrumpida), 64-65,186 beneficios, 187 UPS continua versus espera, 186-187 compra, 187 de la Ley Patriota de EE.UU. 20014, 4344, 269 autoridad para interceptar las comunicaciones de voz en las investigaciones de piratera informtica, 269 Ley de Cable, 271-272 comunicaciones de delitos informticos, intercepcin, 275-276 capacidades de ciberseguridad forenses, 280 de defensa a las acciones civiles relativas a la preservacin de registros, 280 de disuasin del terrorismo ciberntico y 277-280 revelaciones de emergencia por parte de las comunicaciones proveedores, 272-273 rdenes de allanamiento en todo el pas para el correo electrnico, 276 pluma de registro, 273275 citaciones para las pruebas electrnicas, trampa de 270-271 y el estatuto de seguimiento, 273-275 de correo de voz de comunicacin, 270 las cuentas de usuario los archivos de registro de cheques, el 9 de sensibilizacin de usuario mejorada, 16 de derechos de usuario no vlidas, 9 aplicaciones no autorizadas, 9 examinar el registro de Windows, 9-11 inspeccin de las configuraciones de red, 13 servicios no vlidos, 10 Carpetas de inicio del sistema, 11 alteraciones del programa de archivos, 13 puertos inusuales, 13 de ID de usuario de confianza, 168-169 herramienta Administrador de usuarios (Windows NT), 8 de los derechos de los usuarios banderas de inicio de sesin, 136
Unix / Linux de la instalacin, 137-139 Instalacin de Windows 2000/XP, 137 Instalacin de Windows NT, 136 el seguimiento de la validez, 9 por el usuario detecta las vulnerabilidades tcnicas, 157
322
NDICE
WhatsUp Gold (de Ipswitch, Inc), 55 de ancho rea de redes.5eeWAN De Windows CD-ROM de libro de acompaamiento, 248 para compartir archivos de la configuracin, la creacin de 161-162 en modo real discos de arranque de forenses, 142-143 de datos de herramientas de copia de seguridad, 189-190 almacenamiento de datos, 78 CD-ROM, 80,81 disquetes, 79-80 discos duros, 78-79 de archivos incapacitante y uso compartido de impresoras, 167 de auditora que permite y la tala, 47-49 2000,48 de Windows Windows NT 4.0,47 Windows XP, 48 FAT (File Allocation Table), 81-82 Configuracin de seguridad local (Windows XP), de 49 aos de seguimiento de intrusin herramienta de gestin informtica, 9 cuentas no autorizadas de los usuarios, el 8 de NTFS (New Technology File System), 82-83 recuperacin de datos borrados, 85-86 Papelera de reciclaje, de 83 aos pruebas restantes, el 83 el seguimiento de archivos borrados, 84-85 RegCleaner, 12 de Editor del Registro, 911, 70 una copia de seguridad y restaurar los procedimientos, 74-78 la recopilacin de datos, 73-74 la edicin para la instalacin de inicio
V
vales, del Registro de Windows las teclas del editor de la rama, 70-71 Software Ultimate ZIP Cracker VDG, 131-132 Venema, Wietse, 147 videos, documentacin multimedia (ordenador concienciacin sobre la seguridad), 172 ver Editor del Registro (Windows), de 72 aos De Windows los archivos de intercambio, 123 e vigilante, 225-227, 201 virus de datos voltiles, Editor del Registro (Windows) de datos recoleccin, el 73 pruebas voltiles, el orden de la volatilidad, 140-141 memoria no voltil, de 56 vulnerabilidades previsin de ataques futuros, 191-194 evaluar el riesgo de organizacin con la confianza modelos, 167 robos de identidad, 171 de confianza del sistema operativo, 169-170 ID de usuario y contrasea de confianza, la conciencia de seguridad informtica 168-169, 171 Ley de Seguridad Informtica 1997.171 documentacin multimedia, la erradicacin de 172 incidentes, 173 aplicacin de tcnicas de proteccin, 173 herramientas de anlisis de vulnerabilidad, 173-174 detectado por el usuario, 157-159 vulnerabilidad modelo de informe, 157-159 Vuorio, Jouni, 12
W-Z
WAN (wide rea de redes), 14 Navegadores Web, cach, 126 explorador de la localizacin de evidencias de la historia, 127-128 pruebas de localizacin de cach Web, 128-129 WebBrute, 225-226
de sesin bandera, 136 generacin de archivos de volcado de memoria, 56-57 estructura, 70-72 visualizacin y edicin, Ejecutar cuadro de dilogo 72, 72 los archivos de intercambio, 121 los archivos de localizacin, 121-122 contenidos televisivos de los archivos de intercambio / pgina, 123 VuorioRegCleaner, 12
NDICE 323
Windows 2000 procedimientos de respaldo, 75-76 de intercambio de archivos de configuracin, deshabilitar NetBIOS 161 nuyosesiones de l, 223 de instalacin bandera de inicio de sesin, 137 Windows NT, 9 procedimientos de copia de seguridad, el 75 de intercambio de archivos de configuracin, deshabilitar NetBIOS 161 nuyosesiones l, 223 Windows XP Propiedades de aplicacin el cuadro de dilogo, de copia de seguridad 51 y Asistente de restauracin, 189-190 procedimientos de copia de seguridad, 77-78 deshabilitar NetBIOS nuyosesiones l, 222 Visor de sucesos, de 50 aos
uso compartido de archivos, 162 acceder a las listas de control, 165-167 ficha Uso compartido de archivos de propiedades, 165 carpetas Documentos compartidos, 163 cuentan con sencillo compartir archivos, 163-165 Opciones de Carpeta caja, 122 de seguridad local ventana de Configuracin, instalacin de 49 banners de inicio de sesin, 137 Mover MET caja, 126 utilidad de bsquedas, privacidad 122 lugares de trabajo, O'Connorv. Ortega, 138 auditora de estacin de trabajo, 219-220 hora mundial (PawPrint.net), 53 Worms (Write Once, Read Mmedios ltiple), 81, 201
Wiley Publishing, Inc. End-User License Agreement

LEA ESTE. Usted debe leer cuidadosamente estos trminos y condiciones antes de abrir el paquete de software (s) incluido en este libro "Reservar". Se trata de un acuerdo de licencia "Acuerdo" entre usted y Wiley Publishing, Inc. "IPM". Al abrir el paquete de software que lo acompaa (s), usted reconoce que ha ledo y acepta los siguientes trminos y condiciones. Si usted no est de acuerdo y no quiere estar sujeto a los trminos y condiciones, devuelva inmediatamente el Libro y el paquete de software cerrado (s) al lugar que los haya obtenido para un reembolso completo. 1. Concesin de licencia. IPM le otorga a usted (ya sea un individuo o entidad) una licencia no exclusiva para utilizar una copia del programa de software adjunto (s) (colectivamente, el "Software", nicamente para su uso personal o con fines comerciales en una sola computadora (ya sea una norma ordenador o estacin de trabajo un componente de una red multi-usuario). El software est en uso en un equipo cuando est cargado en la memoria temporal (RAM) o instalado en la memoria permanente (disco duro, CD-ROM o dispositivo de almacenamiento). IPM se reserva todos los derechos no concedidos expresamente en este documento. 2. Propiedad. IPM es el dueo de todos los derechos, ttulos e intereses, incluyendo los derechos de autor, en y para la compilacin del software grabado en el disco (s) o CD-ROM "Software de Medios de Comunicacin". Derechos de Autor de los distintos programas grabados en el soporte de software es propiedad del autor o de otro au-AUTORIZADO propietario de los derechos de cada programa. La propiedad del Software y todos los derechos de propiedad intelectual rela-Ing mismo permanecer con el IPM y sus licenciadores. 3. Restricciones en el uso y transferencia. (A) Slo se puede (i) hacer una copia del Software con fines de copia de seguridad o de archivo, o trans (ii) fer el Software a un disco duro nico, siempre que mantenga el original con fines de copia de seguridad o de archivo. Usted no puede (i) el alquiler o lASE el Software, (ii) la copia o reproduccin del Software a travs de una LAN o un sistema de red de otra oa travs de cualquier equipo sub-sistema de trazador o un sistema de tabln de anuncios, o (iii) modificar, adaptar, o crcomi trabajos derivados basados en el Software. (B) Usted no podr realizar ingeniera inversa, descompilar o desensamblar el Software. Usted puede transferir el Documentacin del software y el usuario de forma permanente, siempre que el cesionario se compromete a Acepto los trminos y condiciones de este Acuerdo y no conserva ninguna copia. Si el software es una actualizacin o ha sido actualizado, cualquier transferencia debe incluir la actualizacin ms reciente y antes de todos los versiones. 4. Restricciones en el uso de los programas individuales. Usted debe seguir las necesidades individuales y
restricciones detalladas para cada programa en el Sobre el apndice de CD-ROM de este libro. Estas limitaciones tambin estn contenidos en los acuerdos de licencia individuales registradas en el Medios de software. Estas limitaciones pueden incluir un requisito de que despus de usar el programa para una perodo de tiempo especificado, el usuario debe pagar una cuota de inscripcin o de discontinuidadutilizar. Al abrir el Paquete de software (s), se compromete a cumplir con las licencias y las restricciones para estos indivi duales programas que se detallan en el anexo Acerca de la unidad de CD-ROM y en los medios de software. Ninguno de los materiales en este medio de software o que figuran en este libro que nunca puede ser redistribuido, en forma original o modificada, para propsitos comerciales.
5. Garanta Limitada. (a) WPI garantiza que el soporte de software y el software estn libres de defectos en materiales y mano de obra bajo condiciones normales de uso durante un perodo de sesenta (60) das a partir de la fecha de la compra de este libro. Si IPM recibe la notificacin dentro del plazo de garanta de defectos en materiales o mano de obra, IPM sustituir a la detMedios ectantes Software. (b) IPM Y EL AUTOR DEL LIBRO RECHAZAN TODAS LAS OTRAS GARANTAS, EXPRESAS O IMPLCITAS, INCLUYENDO, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIALIZACIN-DAD Y APTITUD PARA UN PROPSITO PARTICULAR, CON RESPECTO AL SOFTWARE, LOS PROGRAMAS, EL CDIGO FUENTE CONTENIDOS EN EL MISMO, Y / O las tcnicas descritas en este libro. IPM NO GARANTIZA QUE LAS FUNCIONES CONTENIDAS EN EL SOFTWARE CUMPLAN CON SUS NECESIDADES O QUE EL FUNCIONAMIENTO DEL SOFTWARE EST LIBRE DE ERRORES. (C) Esta garanta limitada le otorga derechos legales especficos, y usted puede tener otros derechos que varan de jurisdiccin en jurisdiccin. 6. Remedios. (a) Toda la responsabilidad de WPI y el recurso exclusivo de los defectos en materiales y mano de obra deber se limitar a la sustitucin de los medios de software, que pueden ser devueltos a IPM con una copia de su recibo en la siguiente direccin: Departamento de Cumplimiento de software de medios, la atencin de:. Respuesta a Incidentes: Computer Forensics Toolkit, Wiley Publishing, Inc., 10475 Cruce Blvd.. , Indianapolis, IN 46256, o calyo1-800-762-2974. Por favor, espere de cuatro a seis semanas para la entrega. Este Garanta Limitada es nula si el fallo de los medios de comunicacin de software es el resultado de un accidente, abuso o uso indebido. Todos los Medios de Comunicacin Software de sustitucin estar garantizado durante el resto del perodo de garanta original o treinta (30) das, lo que es ms largo. (b)En ningn caso, IPM o el autor sea Hes responsable por ningn dao de ningn tipo (incluyendo, sin limitacin daos por prdidas de beneficios comerciales, interrupcin del negocio, prdida de negocios informa-cin, o cualquier otra prdida pecuniaria) derivados del uso o la imposibilidad de utilizar el libro o el software, incluso si WPI ha sido advertido de la posibilidad de tales daos. (c) Debido a que algunas jurisdicciones no permiten la exclusin o limitacin de responsabilidad por daos consecuenciales esenciales o accidentales, la limitacin o en exclusiva,n no se apliquen a usted. 7. Gobierno de EE.UU. Derechos restringidos. El uso, duplicacin o divulgacin del Software por o en nombre de los Estados Unidos de AmRica, sus agencias y / o instrumentos "EE.UU. Gobierno "est sujeto a restricciones como se indica en el prrafo (c) (1) (ii) de los Derechos sobre Datos Tcnicos y la clusula de tecnologa de la informacin de DFARS 252.227-7013, o en los subapartados (c) (1) y (2) del Cdigo de Comercio Computer Software - clusula de Derechos restringidos en FAR 52.227-19, y en clusulas similares en el suplemento de la NASA FAR, segn proceda. 8. General. Este Acuerdo constituye el completo entendimiento de las partes y revoca y reemplaza todos los acuerdos previos, orales o escritos, entre ellos, y no podr ser modificado o enmendado,
excepto por un escrito firmado por ambas partes del mismo que se refiere especficamente a este Acuerdo. El presente Acuerdo tendr prioridad sobre cualquier otro documento que puedan estar en entrar en conflicto a la misma. Si uno o ms de las disposiciones contenidas en el presente Acuerdo se llevan a cabo por cualquier juzgado o tribunal para ser invlida, Yolegal, o inaplicable, todas y todos los dems provisin se mantendrn en completa FORCy efecto.
GNU General Public License

Versin 2, junio de 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 59 Temple Place - Suite 330, Bostn, MA 02111-1307, EE.UU. Se permite la copia y distribucin de copias literales de este documento, pero el cambio no est permitido.
Prembulo
Las licencias de la mayora del software estn diseadas para quitarle a usted la libertad de compartirlo y modificarlo. Por el contrario, la Licencia Pblica General de GNU pretende garantizarle la libertad de compartir y modificar software libre-para asegurar que el software es libre para todos sus usuarios. Esta Licencia Pblica General se aplica a la mayora de software de la Free Software Foundation ya cualquier otro programa si sus autores se comprometen a utilizarla. (Existe otro software de Free Software Foundation que est cubierto por la Licencia Pblica General de GNU para Bibliotecas en su lugar.) Usted tambin puede aplicarla a sus propios programas. Cuando hablamos de software libre, nos estamos refiriendo a la libertad, no de precio. Nuestras Licencias Pblicas Generales estn diseadas para asegurarse de que usted tiene la libertad de distribuir copias de software libre (y cobrar por ese servicio si quiere), que reciba el cdigo fuente o que pueda conseguirlo si lo quiere, de que puede cambiar el software o usar fragmentos de l en nuevos programas libres, y que usted sabe que puede hacer estas cosas. Para proteger sus derechos necesitamos algunas restricciones que prohiban a cualquiera negarle a usted estos derechos o pedirle que renuncie a los derechos. Estas restricciones transcomi en ciertas obligaciones que para usted si distribuye copias del software, o si lo modifica. Por ejemplo, si distribuye copias de tal programa, ya sea gratuitamente, oa cambio de una contraprestacin, debe dar a los receptores todos los derechos que usted tiene. Usted debe asegurarse de que ellos tambin reciban o puedan conseguir el cdigo fuente. Y debe mostrarles estas condiciones de forma que conozcan sus derechos. Nosotros protegemos sus derechos con dos pasos: (1) los derechos de autor del software, y (2) le ofrecemos esta licencia que le da permiso legal para copiar, distribuir y / o modificar el software. Adems, para la proteccin de cada autor y la nuestra, queremos asegurarnos de que todo com-prende que no hay ninguna garanta para este software libre. Si el software es modificado por alguien y lo distribuye, queremos que sus receptores sepan que lo que tienen no es el original, por lo que cualquier problema introducido por otros no afecte a la reputacin de los autores originales.
Por ltimo, cualquier programa libre est constantemente amenazado por las patentes de software. Queremos evitar el peligro de que los redistribuidores de un programa libre obtengan licencias de patentes, en efecto MAK-cin del propio programa. Para evitar esto, hemos dejado claro que cualquier patente debe ser el uso libre de cualquiera, o no ser pedida. Los trminos exactos y las condiciones para la copia, distribucin y modificacin.
Trminos y condiciones para la copia, distribucin y modificacin

0. Esta Licencia se aplica a cualquier programa u otro trabajo que contenga una nota colocada por el titular del copyright diciendo que puede ser distribuido bajo los trminos de este pblico en general Licencia. La "Programa", ms adelante, se refiere a cualquier programa o trabajo, y sobre la base de una obra " en el Programa se referir bien al Programa oa cualquier trabajo derivado de l segn la ley de copyright es decir, un trabajo que contenga el Programa o una parte de ella, ya sea literal o con modificaciones y / o traducido a otro idioma. (En adelante, la traduccin es incluida sin limitaciones en el trmino "modificacin".) Cada concesionario se dirige como "usted". Cualquier otra actividad que no sea la copia, distribucin y modificacin no estn cubiertas por esta Licencia, est fuera de su alcance. El acto de ejecutar el Programa no est restringido, y los resultados del Programa estn cubiertos nicamente si sus contenidos constituyen un trabajo basado en el Programa (independiente de haber sido producido mediante la ejecucin del Programa). Si eso es verdad depende de lo que haga el programa. 1. Usted puede copiar y distribuir copias literales del ProgramaCdigo 's de origen a medida que reciben, en cualquier mmedio, si adecuada y bien visible publique en cada copia un anuncio de copyright adecuado y un repudio de garanta, mantenga intactos todos los los anuncios que se refieran a esta Licencia ya la ausencia de cualquier garanta y dar una otros destinatarios del Programa una copia de esta licencia junto con el Programa. Usted puede cobrar una cuota por el acto fsico de transferir una copia, y puede, segn su opcin de ofrecer proteccin de garanta a cambio de una cuota. 2. Puede modificar su copia o copias del Programa o cualquier porcin de l, formando as un trabajo basado en el Programa, y copiar y distribuir esa modificacin o trabajo bajo los trminos del apartado 1 anterior, siempre que adems cumpla las siguientes condiciones: a) Debe hacer que los archivos modificados lleven anuncios prominentes indicando que cambi los archivos y la fecha de cualquier cambio. b) Debe hacer que cualquier trabajo que distribuya o publique y que en su totalidad o en
parte contenga o sea derivado del Programa o de cualquier parte del mismo, sea licenciado como un todo, sin costo alguno a todos los terceros en los trminos de esta Licencia. c) Si el programa modificado lee normalmente rdenes interactivamente cuando es ejecutado, debe hacer que, cuando comience su ejecucin para ese uso interactivo de la forma ms habitual, muestre o escriba un mensaje que incluya un anuncio de copyright y un anuncio de que no hay ninguna garanta (o por el contrario que s se ofrece garanta) y que los usuarios pueden redistribuir el programa bajo estas condiciones, e indicando al usuario cmo ver una copia de esta licencia. (Excepcin: si el propio programa es interactivo pero normalmente no muestra ese anuncio, su trabajo basado en el Programa no es necesario para imprimir un anuncio).
Estos requisitos se aplican al trabajo modificado como un todo. Si partes identificables de ese trabajo no son derivadas del Programa, y pueden ser razonablemente consideradas independientes y septiembretipo de obras en s mismas, entonces esta Licencia y sus trminos no se aplican a esas partes cuando sean distribuidas como septiembretipo de trabajos. Pero cuando usted distribuye las mismas secciones como parte de un todo que es un trabajo basado en el Programa, la distribucin del todo debe ser segn los trminos de esta Licencia, cuyos permisos para otros licenciatarios se extienden al todo completo, y por lo tanto a cada uno y todas las partes, con independencia de quin la escribi. Por lo tanto, no es la intencin de este apartado reclamar derechos o desafiar sus derechos sobre trabajos escritos totalmente por usted mismo, sino que la intencin es ejercer el derecho a controlar la distribucincin de trabajos derivados o colectivos basados en el Programa. Adems, el simple hecho de reunir un trabajo no basado en el Programa con el Programa (o con un trabajo basado en el Programa) en un volumen de almacenamiento o distribucin de mmediano, no hace que dicho trabajo entre dentro del mbito de esta Licencia. 3. Usted puede copiar y distribuir el Programa (o un trabajo basado en l, bajo la Seccin 2) en cdigo objeto o en formato ejecutable segn los trminos de los apartados 1 y 2 anteriores, siempre que adems cumpla una de las siguientes: a) Acompaarlo con el cdigo fuente completo correspondiente en formato electrnico, que debe ser distribuido bajo los trminos de las Secciones 1 y 2 anteriores, en ammediano utilizado para el intercambio de programas, o b) Acompaarlo con una oferta por escrito, vlida durante al menos tres aos, para dar a cualquier tercero, por un coste no mayor que el costo de realizar fsicamente la distribucin fuente, una completa copia legible por mquina del cdigo fuente correspondiente, para ser descontribuido en los trminos de las Secciones 1 y 2 anteriores, en ammediano habitualmente utilizado para el intercambio de programas, o c) Acompaarlo con la informacin que recibiste ofreciendo distribuir el corresponcorrespondiente cdigo fuente. (Esta opcin se permite slo para distribucin no comercialcin y slo si usted recibi el programa como cdigo objeto o en formato ejecutable con tal oferta, de acuerdo con el apartado b anterior.) El cdigo fuente para un trabajo significa la forma preferida de la obra para realizar modifica-ciones a la misma. Para un trabajo ejecutable, el cdigo fuente completo significa todo el cdigo fuente de todos los mdulos que contiene, ms cualquier fichero asociado de definicin de interfaz, ms los guiones utilizados para controlar la compilacin e instalacin del ejecutable. Sin embargo, como excepcin especial, el cdigo fuente distribuido no necesita incluir nada que sea distribuido normalmente (Ya sea en la fuente o forma binaria) con los componentes principales (compilador, kernel, etc) del sistema operativo en el cual funciona el ejecutable, a menos que el
propio componente acompae al ejecutable. Si la distribucin del ejecutable o del cdigo objeto se hace ofreciendo acceso a copiar desde un lugar designado, entonces ofrecer un acceso equivalente para copiar el cdigo fuente desde el mismo lugar como distribucin del cdigo fuente, a pesar de que la tercera partees que no son com-sintieron la necesidad de copiar el cdigo fuente junto con el cdigo objeto.
4. Usted no puede copiar, modificar, sublicenciar, o distribuir el Programa excepto como est expresamente pro ESTABLECIDO bajo esta Licencia. Cualquier intento de copiar, modificar, sublicenciar o distribuir el programa es nulo, y la voluntad plazo, de forma automticanate sus derechos bajo esta Licencia. Sin embargo, las partes que hayan recibido copias o derechos de usted bajo esta Licencia no vern sus licencias terminadas mientras estas partes continen cumplindola. 5. Usted no est obligado a aceptar esta licencia, ya que no la ha firmado. Sin embargo, nada ms le concede permiso para modificar o distribuir el Programa o sus trabajos derivados. Estas acciones estn prohibidas por la ley si no acepta esta Licencia. Por lo tanto, si modifica o distribuye el Programa (o cualquier trabajo basado en el Programa), se indcado a la aceptacin de esta Licencia para poder hacerlo, y todos sus trminos y condiciones para copiar, distribuir o modificar el Programa o trabajos basados en l. 6. Cada vez que redistribuya el Programa (o cualquier trabajo basado en el Programa), el bene-ENT recibe automticamente una licencia del licenciatario original para copiar, distribuir o modcificar el Programa sujeto a estos trminos y condiciones. Usted no puede imponer ninguna restriccin adicional sobre el ejercicio de los beneficiarios de los derechos aqu garantizados. Usted no es respon-ble de asegurar el cumplimiento por parte de terceros de esta Licencia. 7. Si, como consecuencia de una sentencia judicial o una acusacin de infraccin de patente o por cualquier otra razn (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden judicial, acuerdo o de otra manera) que contradigan las condiciones de esta Licencia, no le exime de cumplir las condiciones de esta Licencia. Si no puede realizar distribuciones de forma que se satisfagan simultneamente sus obligaciones bajo esta licencia y cualquier otra obliga-ciones pertinentes, entonces, como consecuencia, no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permitiera la redistribucin libre de regalas del Programa por todos aquellos que reciban copias directa o indirectamente a travs de ti, entonces la nica forma en que podra satisfacer tanto esta Licencia sera evitar completamente la distribucin de la Programa. Si cualquier porcin de este apartado se considera invlida o inaplicable en virtud de cualquier particular, circunstancia, el equilibrio de la seccin est destinada a aplicarse y es la seccin como un todo destinado a aplicarse en otras circunstancias. No es el propsito de esta seccin para inducir a infringir ninguna patente u otros derechos de propiedad o impugnar la validez de ninguna de dichas reivindicaciones esta seccin tiene el solfin de proteger la integridad del sistema de distribucin de software libre, que se realiza mediante prcticas de licencia pblica. Mucha gente ha hecho contribuciones generosas a la amplia gama de software distribuido mediante ese sistema con la confianza en la aplicacin consistente de ese sistema, sino que es responsabilidad del autor / donante quien decida si l o ella est dispuesto a distribuir software mediante cualquier otro sistema y una licenciatario no puede imponer esa eleccin. En esta seccin se pretende dejar completamente claro lo que se cree que es una
consecuencia del resto de esta Licencia. 8. Si la distribucin y / o uso del Programa est restringida en ciertos pases, bien por patentes o por interfaces bajo copyright, el tenedor del copyright que coloca a la Programa bajo esta Licencia puede aadir una limitacin explcita de distribucin geogrfica excluyendo esos pases, de modo que la distribucin se permita slo en o entre los pases
no excluidos. En tal caso, esta Licencia incorpora la limitacin como si estuviese escrita en el cuerpo de esta Licencia. 9. La Free Software Foundation puede publicar versiones revisadas y / o nuevas versiones de la Licencia Pblica General de vez en cuando. Tales versiones nuevas sern similares en espritu a la pre-enviado versin, pero pueden diferir en detalles para solucionar nuevos problemas o preocupaciones. Cada versin se le da un distintivo Versinmero n. Si el Programa especifica un versin nmero de esta Licencia que se refiere a ella ya "cualquier versin posterior versin ", usted tiene la opcin de seguir los trminos y condiciones de la versin, o de cualquier posterior Versin publicada por la Free Software Foundation. Si el Programa no especifica un versinmero n de esta Licencia, puedes escoger cualquier versin publicada por la Free Software Foundation. 10. Si desea incorppartes de la tasa de Programa en otros programas libres cuyas condiciones de distribulucin condiciones son diferentes, escribe al autor para pedirle permiso. Para el software tiene copyright de la Free Software Foundation, escriba a la Free Software Fundacin: algunas veces hacemos excepciones para esto. Nuestro Decisin ser guiada por el dos objetivos de preservar la libertad de todos los derivados de nuestro software libre y de proMoting el intercambio y la reutilizacin de software en general.
NINGUNA GARANTA
11. Como el programa se licencia libre de cargas, NO HAY GARANTA PARA EL PROGRAMA, EN LA MEDIDA PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE POR ESCRITO, LOS TITULARES DE DERECHOS DE AUTOR Y / U OTRAS PARTES PROPORCIONAN EL PROGRAMA "TAL CUAL" SIN GARANTA DE NINGN TIPO, EXPRESA O IMPLCITAS, INCLUYENDO, PERO NO LIMITADO A, LAS GARANTAS DE COMERCIALIZACIN Y APTITUD PARA UN PROPSITO PARTICULAR . EL RIESGO EN CUANTO A LA CALIDAD Y LA EJECUCIN DEL PROGRAMA ES CON USTED. SI EL PROGRAMA TIENE UN ERROR, USTED ASUME EL COSTE DE CUALQUIER SERVICIO, REPARACIN O CORRECCIN. 12. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O DE ACUERDO POR ESCRITO, EL TITULAR DE DERECHOS DE AUTOR O CUALQUIER OTRA PARTE QUE PUEDA MODIFICAR Y / O REDISTRIBUIR EL PROGRAMA COMO SE PERMITE ARRIBA, SER RESPONSABLE ANTE USTED POR DAOS, INCLUYENDO CUALQUIER DAO GENERAL, ESPECIAL, INCIDENTAL O consecuen-tes DAOS CAUSADOS POR EL USO O IMPOSIBILIDAD DE USO DEL PROGRAMA (INCLUYENDO PERO NO LIMITADO A LA PRDIDA DE DATOS O LA datos oa prdidas sufridas por usted o por terceras partes oa un fallo del Programa al OPTARIFA CON OTROS PROGRAMAS), INCLUSO SI TAL TITULAR U OTRA PARTE HA SIDO ADVERTIDO DE LA POSIBILIDAD DE TALES DAOS.
FIN DE TRMINOS Y CONDICIONES

Engineers Cyber Crime Incident Response Manual - En.es

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Engineers Cyber Crime Incident Response Manual - En.es

Hochgeladen von

Copyright:

Verfügbare Formate

TlMELY. Prctico fiable.

Respuesta a Incidentes: Computer Toolkit

Respuesta a Incidentes: Informtica Forense Kit de herramientas

Wiley Publishing, Inc.

Cindy Phipps, Bill Ramsey

CocheyoW. Pierce, Robert Springer

Mary Beth Wakefield

de la evidencia ................................................................281 Glosario ..........................................................................289

Abordar las consideraciones de Aplicacin de la ley.......27

Preparacin y Respuesta preliminar del forense............45

La importancia de los archivos de registro.....................................46 Procedimientos de Auditora y registro..........................................46

Captulo 4 Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos..............................................................................69

Anlisis y deteccin de cdigo malicioso y los intrusos.....................................................................91

Recuperar y analizar pistas............................................115

Procedimientos de recogida y Preservar la evidencia....................................................135

Incidente de contencin y erradicacin de las vulnerabilidades....................................................155

Recuperacin de Desastres y Seguimiento de................177

Beneficios de UPS..............................................................................187 Compra de un UPS............................................................................187

En respuesta a distintos tipos de incidentes...................195

La evaluacin de seguridad del sistema para prevenir Los ataques adicionales..................................................215

Si tira todo junto............................................................235

Apndice A Apndice B Apndice C 2001 Apndice D

de la evidencia.................................................................281 Apndice E Glosario...........................................................................289

fraude o la-unlawventa til de los medicamentos recetados a travs de Internet).

La importancia de Respuesta a Incidentes

Quin debe leer este libro?

Cmo leer este libro?

Informtica Forense y respuestas a incidentes Esenciales

Respuesta a Incidentes: Computer Toolkit Forense

La captura del criminal: Los Fundamentos de la informtica forense

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes

Respuesta a Incidentes: Computer Toolkit Forense

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 5

Reconociendo los signos de un incidente

Tabla 1.1 Incidentes FedCIRC Resumen de la actividad para el ao 2000 Contar

Falsa alarma Desconocido Engao

Respuesta a Incidentes: Computer Toolkit Forense

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes

Figura 1-1: La utilidad Administracin de equipos bajo Windows XP Professional

Deshabilitar la cuenta de invitado en Windows XP

usuario activar la cuenta de invitado en o apagado.

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 9

Configuracin de los archivos de registro y el examen se tratan en detalle en el captulo 3.

Respuesta a Incidentes: Computer Toolkit Forense

Qu est ejecutando en el sistema?

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes

Figura 1-2: El Editor del Registro de Windows

Tabla 1-2 Los lugares comunes del programa de inicio

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ("run ="lnea)

Respuesta a Incidentes: Computer Toolkit Forense

Tabla 1-2 Los lugares comunes del programa de inicio (Continuacin)

Figura 1-3: RegCleaner por Jouni Vuorio

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes

Para obtener una lista completa de puertos, consulte el Apndice B.

Respuesta a Incidentes: Computer Toolkit Forense

Preparacin para Incidentes

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 15

Respuesta a Incidentes: Computer Toolkit Forense

seguridad informtica Capacidad de respuesta

Captulo 1: Fundamentos de Informtica Forense y de respuesta a incidentes 17

El incidente de seguridad informtica Equipo de Respuesta

Respuesta a Incidentes: Computer Toolkit Forense

El proceso de notificacin de incidentes