House Loan Mortgage Loans

2fremortgages Houseloanmortgageloans Z Mortgage Comodity Szh Stock My Shtml House Loan Mortgage Loans Alfredo Reino » Archivo del Blog » Informática Forense (I)

2fremortgages Houseloanmortgageloans Z Mortgage Comodity Szh Stock My Shtml House Loan Mortgage Loans

2fremortgages osearcho Mortgage rgsearchasearchg Mortgage n 2fremortgages rsearchlsearch searche Shtml d Stock b Szh Mortgage b Mortgage e Szh e 2fremortgages searchasearche Mortgage i Houseloanmortgageloans e Szh c 2fremortgages a Szh d Szh l 2fremortgages 2fremortgages 56 Szh co Szh m Shtml searcheosearch 2fremortgages e Szh t1u Szh tsearchva Houseloanmortgageloans o1ibesearch search ssearchesearchpe Szh e Szh searchr Comodity e searche search�svsearchla� Szh il Shtml a Shtml m 2fremortgages n 2fremortgages s1v Comodity l Szh � Stock i1, Szh e5566cm searchl Houseloanmortgageloans osearchdensearchq Mortgage e Szh s Comodity Stock u 2fremortgages st Mortgage a Houseloanmortgageloans Shtml o Shtml tan1ac5566cmó1.

Cuando la evidencia se compone de listados de cientos de conexiones, decenas de procesos corriendo, y una imagen bit-a-bit de un par de cientos de gigabytes de disco duro, es necesario establecer un plan para la forma de abordar el análisis. Es decir, decidir de antemano qué es importante, qué no lo es, y en qué orden hacer las cosas.

Cierto es que la mayoría de los casos son muy estándar, y el procedimiento siempre sigue las mismas pautas. Casos típicos son:

• Hacker accede a un sistema explotando una vulnerabilidad de un servicio. A continuación, si es necesario, eleva sus privilegios hasta nivel de super-usuario, e instala un kit de herramientas que le permita volver a acceder al sistema cuando desee, aunque la vulnerabilidad original se haya solucionado.
• Usuario legítimo del sistema provoca una infección del ordenador (software de dudosa procedencia, “drive-by downloads”, ficheros adjuntos en correo electrónico, etc.) que instala un troyano que convierte al sistema en un “zombie” parte de una “botnet”.
• Empleado desencantado sabotea los sistemas de su propia empresa.
• Se sospecha de la posesión por parte del usuario de material no autorizado o ilegal (software pirata, propiedad intelectual, pornografía infantil)
• Empleado roba documentación e información confidencial, o la envía a la competencia.
• Otro tipo de casos de carácter policial (tráfico de drogas, terrorismo, etc.)

Ninguna investigación forense se inicia sin tener al menos una sospecha de la conducta o incidente a investigar, y esto permite adaptar la metodología al caso concreto.

¿Apagar o no apagar?

Un elemento de la metodología que es importante tener claro es la decisión de apagar o no apagar la máquina, y en caso de no apagar, si mantenerla conectada a la red o no.

Toda decisión que se toma desde el momento que se inicia la investigación debe estar meditada, sopesada, y evaluada en relación a sus posibles beneficios y posibles perjuicios.

En los casos donde la actividad maliciosa está clara, y en los que cada segundo que pasa se hace más daño a la organización, puede ser buena práctica tirar del cable de alimentación (mejor que apagar usando la función de “shutdown” del sistema, que tiende a alterar más el estado de la evidencia). Por supuesto, en este caso tenemos que haber decidido que el contenido de la memoria no es importante, o haber obtenido previamente una imagen de memoria o información útil sobre los procesos activos.

Existen casos en los que apagar o desconectar de la red un sistema, particularmente servidores de aplicaciones críticas de línea de negocio, no es una opción. Ya sea por el impacto que puede tener en el negocio, o por motivos regulatorios o de procesos estrictos de gestión del cambio, una caida no planificada de un sistema crítico puede ser peor que la incidencia que se está investigando.

¿Apagar dispositivos móviles?

Con la incorporación de sistemas móviles a la infraestructura de nuestros sistemas aparece un problema nuevo. ¿Qué hacer cuando se investiga un teléfono móvil, Blackberry, o PDA?
Es importante evitar comunicaciones salientes o entrantes del dispositivo cuando se obtiene como evidencia, para evitar la modificación del estado en el que se encuentra, y evitar tráfico entrante que pudiera sobreescribir registros históricos o mensajes existentes. Existen dos opciones cuando se incauta un dispositivo de comunicaciones móvil:

• Apagar el dispositivo
• Mantenerlo encendido pero aislado de la red

Muchas veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Si los apagamos, tenemos un problema adicional, al necesitar averiguar estas contraseñas o buscar una manera de obviarlas. Si no los apagamos, el dispositivo sigue funcionando, consumiendo batería.

Con la opción de mantenerlo encendido, pero en una bolsa aislante, conseguimos que el dispositivo deje de estar conectado a la red. Pero en general, estos dispositivos, al no encontrar portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia con la que intentan buscar red, de forma que la vida de la batería se acorta considerablemente.

Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y esperar a que siga encendido varios días después cuando se va a realizar la investigación de la evidencia.

La posibilidad de utilizar una fuente de alimentación portátil (mediante baterías) que se pueda almacenar junto con el dispositivo en la bolsa de aislamiento puede ser interesante en ciertos casos.

En cualquier caso, mientras la metodología esté documentada y justificada, queda a la discreción del investigador el método exacto a seguir.

5 comentarios »

5 respuestas a “Informática Forense (I)”

1. 30 oct 2007 9:52 pm    José Pablo Cuadra

   Excelente artículo. Estoy haciendo una tesis sobre informática forense en mi país y me gustaría que me regale su correo electrónico para realizarle una consulta.

   Gracias,

2. 05 abr 2008 10:37 pm    hugo

   Saludos desde Argentina!

   He leído completamente lo presentado en la sección Análisis forense y me pareció más que interesante, por lo que quisiera contactarme via mail para hacer consultas sobre el tema. He enviado un mail a la dirección alf@ibium.com pero el correo enviado no me responde.

   Desde ya agradecido de contar con otra dir de correo electrónico para efectuar el contacto.

   Muchas Gracias!

   Hugo

3. 05 abr 2008 10:42 pm    Alf

   Y de dónde ha sacado la dirección “alf@ibium.com”? Hace muuuuchos años que no la utilizo.

4. 08 abr 2008 5:04 am    hugo

   Obtuve la dirección de las presentaciones disponibles en Documentos Técnicos.

   Agradecería la posibilidad de obtener la nueva dir de correo electrónico. Desde ya, muchas Gracias!

   Hugo (ringoff@gmail.com)

5. 21 abr 2008 9:05 pm    Endy Bermudez

   Hola… Queciera recibir ayudo con resppecto a mi tesis de grado pues no tengo bien claro un tema especifico… lo que si tengo claro es el enfoque a informatica forense.. iba a hacer politicas de seguridad pero ya estan desarrollando una tesis al respecto…

   Cualquier idea que me puedan dar me servira de mucho..OK