"Temas Relevantes en Informatica Forense"

A mi hijo que extraña el poco tiempo que tenía para él, y esta sacrificado por el desarrollo de estos cursos.

Preview audio:

storyj.mp/af7ij7tr5v9n

El curso de informática forense en su planteamiento de contenidos tiene unos apartes interesantes que a profundidad y bien desarrollados pueden ser de gran importancia y utilidad a la hora de aplicar en situaciones y resolver casos.

Los Temas mas relevantes de Informática forense , con gran importancia para la resolución de los casos y aceptación de pruebas ante un tribunal, podría decirse que son las Fases de la Informática Forense.

Permitiendo a través de ella dar solución a eventos como delitos informáticos en cualquiera de sus modalidades o tipos.

2

Para lograr tener éxito en la aplicación de informática forense en cualquiera de los casos se requiere aplicar una metodología y una secuencia lógica de pasos ordenados y cuidadosos, con los cuales se debe preservar la originalidad de los sucesos y permanecer inalteradas las evidencias tomadas de los sitios donde se cree fue cometido un delito.

Es por ello que dentro de las temáticas del curso se debe resaltar las fases de la informática forense ya que del domino de ellas y de la exactitud y cuidado con que se realice depende el éxito y la aceptación de las pruebas encontradas al momento de resolverlos casos, en este sentido son las fases de la Informática forense el tema de mayor relevancia en el curso.

3

Luego la secuencia de aplicación del procedimiento debe estar soportado en ellas, como primera medida la el proceso inicia con:

Fase de Identificación, que tiene por objetivo realizar toda la salvaguarda de los detalles de iniciación y delimitación del caso, como es Levantamiento de información inicial para el Análisis Forense (aquí se realiza una Descripción Del Delito Informático, se recoge la Información General, la Información Sobre El Equipo Afectado) y Asegurar la escena (aquí se debe Identificar las evidencias).

4

Fase de Validación y preservación, este momento del proceso es necesario garantizar las características intactas e idénticas de las evidencias (para ello se requiere hacer copias de la evidencia, y abrir cadena de custodia, de y sobre los elementos recolectados y previamente identificados). Dejando todo estrictamente documentado.

Fase de Análisis, que sería la parte más interesante del proceso dado que de la pericia y astucia del investigador se van a obtener resultados y datos concluyentes para los casos en investigación. En este momento entran a participar como elementos esenciales las herramientas y técnicas que tengan y definan los investigadores para apoyarse en la revisión de las evidencias, para lo cual hacen la preparación para el análisis (donde se adecua el entorno de investigación en lo que va ha ser el laboratorio, se definen las herramientas, y se simulan los eventos buscando poder hacer un buen desarrollo en la investigación).

5

Una vez adecuado y establecido las características del ambiente de trabajo se hace la reconstrucción del ataque (identificando las posibles ocurrencias de los eventos en tiempo cronológico, organización de los archivos en revisión con detalles de sus propiedades como son fechas, accesos, y se hace una búsqueda exhaustiva de los mismos centrándose en los que pueden tener mayor relevancia por la información que logran almacenar como los logs,) y luego se determina el ataque donde se inicia a realizar conjeturas de acuerdo a los hechos encontrados en las evidencias, como sobre cuál fue la entrada del atacante, que vulnerabilidad explotó, y realizar pruebas del efecto encontrado y terminar la causa)

Cuando ya se obtienen esos datos entonces se Identifica el atacante mediante rastreos y uniendo eventos detectados sin incurrir en falsos concluyentes porque el atacante puede dejar pistas engañosas, Luego de esto se determina el perfil del atacante, es decir, quién perpetró el hecho un Hacker, SciptKiddies, Profesionales.

Una vez adecuado y establecido las características del ambiente de trabajo se hace la reconstrucción del ataque (identificando las posibles ocurrencias de los eventos en tiempo cronológico, organización de los archivos en revisión con detalles de sus propiedades como son fechas, accesos, y se hace una búsqueda exhaustiva de los mismos centrándose en los que pueden tener mayor relevancia por la información que logran almacenar como los logs,) y luego se determina el ataque donde se inicia a realizar conjeturas de acuerdo a los hechos encontrados en las evidencias, como sobre cuál fue la entrada del atacante, que vulnerabilidad explotó, y realizar pruebas del efecto encontrado y terminar la causa)

Cuando ya se obtienen esos datos entonces se Identifica el atacante mediante rastreos y uniendo eventos detectados sin incurrir en falsos concluyentes porque el atacante puede dejar pistas engañosas, Luego de esto se determina el perfil del atacante, es decir, quién perpetró el hecho un Hacker, SciptKiddies, Profesionales.

6

Para entonces finalmente evaluar el impacto causado al sistema, lo cual se obtiene del análisis de los efectos que produjo el ataque.

Como fase final se encuentra la documentación y presentación de las pruebas, que consiste en realizar todo el proceso de soporte y documentación de la investigación que se realizó sobre las pruebas, para lo cual se hace uso de formularios de registro del incidente, se prepara el informe Técnico, el informe ejecutivo.

Como hecho concluyente se puede agregar que todo este proceso de investigación desarrollado durante el estudio de un caso desde su iniciación hasta su finalización implica conocimiento y dominio de cada fase y cada tema en estudio, así como el dominio de las herramientas a usadas para la exploración de las evidencias para lo cual hay muchas de de muchas clases y para diferentes tipos de investigación como son: Herramientas para el Monitoreo y/o Control de Computadores, Herramientas de Marcado de documentos, Herramientas de Hardware.

7

Las herramientas más comúnmente usadas y conocidas algunas por ser código abierto y gratuito podemos encontrar:

- Aplicaciones para Investigación Forense, las cuales permiten hacer una exploración completa del computador.

EnCase, permite realizar trabajos en la maquina como: Copiado Comprimido de Discos Fuente,

Búsqueda y Análisis de Múltiples partes de archivos adquiridos , Diferente capacidad de Almacenamiento , Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo, Análisis Compuesto del Documento, Búsqueda Automática y Análisis de archivos de tipo Zip y Attachments de e-mail, Firmas de archivos, Identificación y Análisis, Analisis Electrónico Del Rastro De Intervención, Soporte de Múltiples Sistemas de Archivo, Vista de archivos y otros datos en el espacio Unallocated,

8

Osforensics, -Buscar textos e imágenes , Recopilar rastros de actividad,

-Buscar archivos borrados y disfrazados,

-Visualizar el contenido de la memoria RAM, crea un informe

del sistema, Numerosas herramientas de investigación ,

Instalador para unidades USB, Base de datos de firmas (hash sets), Gestor de casos y generador de informes,

Caine, es una herramienta de código abierto que permite crear un entorno completo forense, que permite integrar herramientas de software existentes.

Autopsy

Esta permite Explorar datos, files, metadatos, data unit, d forma tal que permite visualizar la estructura de archivos tal cual estaba en los discos originales y muestra las rutas y fechas.

Permite realizar análisis en discos, usb, captura tráfico de red, volcados de memoria y Rastrea MAC de los archivo.

9

Técnicas Antiforense: Son mecanismos o medidas tomadas para destruir, modificar, ocultar, purgar la información involucrada en un estudio forense como evidencia digital, con el fin de evitar el rastreo o dificultar el proceso de investigación.

El covering Tracks, consiste en ocultar o alterar todos los rastros del delito informático así como también evidencia remota, local o en línea.

Alteración:

Todos los dispositivos activos del sistema y sistema de red almacenada y registran información que en su debido momento debe ser alterada por un intruso para no ser detectado, archivos logs, temporales, registros de actividad en el sistema operativo, programas como firewalls, antivirus, navegación, alterar las fechas de accesos a los archivos con el fin de modificar la línea de tiempo, formateo del disco duro y la aplicación de las técnicas anteriormente mencionadas hacen parte del sinnúmero de opciones disponibles para eliminar pistas para alterarlas en el procesos de investigación.

10

You've previewed 10 of 17 pages.
To read more:

Benefits: