Computer Forensics

Con la parabla Digital Forensics o Digital Forense, se entienden la aplicación de un método investigativo científico al mundo digital por sacar elementos, informaciones, pruebas da llevar en sede procesal.

"La disciplina que se ocupa de la preservación, de la identificación, del estudio, de las informaciones contenidas en los ordenadores, o en los sistemas informativos en general, para evidenciar la existencia de pruebas útiles al desarrollo de la actividad investigadora".

Un investigador tiene que estar capaz de acercarse a un sistema informativo para determinar si ello haya sido utilizado en actividades ilícitas o no permitidas, teniendo cura de no alterar las posibles pruebas.

La escena del crimen puede ser un ordenador, un soporte removibile, una red o cualquier otro médium digital.

Puesto que la disciplina implica la materia legal, el valor de una prueba en sede procesal varia según la legislación; luego es necesario saber cómo y que tipo de prueba puede ser considerada válida.

Fases de un Análisis Forense Digital

Identificación del incidente: búsqueda y recopilación de evidencias:

Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva aparejado la búsqueda y recopilación de evidencias.

Si sospecha que sus sistemas han sido comprometidos lo primero que tiene que hacer es "NO PERDER LA CALMA!", piense que no es el primero y que menos aún va a ser el último al que le ocurre. Antes de comenzar una búsqueda desesperada de se&entilde;ales del incidente que lo único que conlleve sea una eliminación de huellas, actúe de forma metódica y profesional.

Asegúrese primero que no se trata de un problema de hardware o software de su red o servidor, no confunda un apagón en su router con un ataque DoS.

Descubrir las señales del ataque:

Para iniciar una primera inspección del equipo deberá tener en mente la premisa de que debe conservar la evidencia, por ello NO HAGA NADA QUE PUEDA MODIFICARLA. Deberá utilizar herramientas que no cambien los sellos de tiempo de acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto que no borren nada.

Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad que incorpora el Sistema Operativo, o las que se hayan instalado se mantienen in-tactas deberemos utilizar otras alternativas. Piense que en muchos casos los atacantes dispondrán de herramientas capaces de modificar la información que el administrador verá tras la ejecución de ciertos comandos. Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Cuestione siempre la información que le proporcionen las aplicaciones instaladas en un sistema que crea comprometido.

No estría de más en este momento crear un CD o DVD como parte de sus herramien-tas para la respuesta a incidentes, y si trabaja en entornos mixtos UNIX/Linux y Windows, tendrá que preparar uno para cada plataforma. Aunque existen gran cantidad de utilidades a continuación propongo una relación de aquellas que considero deberí incluir en su ToolKit, y que le permitan almenos, realizar las seguientes tareas:

• Interpretar comandos en modo consola (cmd, bash)
• Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport, lsoft)
• Listar usuarios conectados local y remotamente al sistema
• Obtener fecha y hora del sistema (date, time)
• Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que los lanzaron (ps, pslist)
• Enumerar las direcciones IP del sistema y mapear la asignación de direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, net)
• Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
• Visualizar registros y logs del sistema (reg, dumpel)
• Visualizar la configuración de seguridad del sistema (auditpol)
• Generar funciones hash de ficheros (sah1sum, md5sum)
• Leer, copiar y escribir a través de la red (netcat, crypcat)
• Realizar copias bit-a-bit de discos duros y particiones (dd, safeback)
• Analizar el tráfico de red (tcpdump, windump)

 
Work-in-progress

---