FASES DE LA INFORMÁTICA FORENSE.
Descripción de las fases de la Informática Forense.
Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional
Fase de Identificación
Se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta:
¿Qué información se necesita?
¿Cómo aprovechar la información presentada?
¿En qué orden ubico la información?
¿Acciones necesarias a seguir para el análisis forense?
Levantamiento de información inicial para el Análisis Forense: La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis.
Descripción Del Delito Informático
Información General
Información Sobre El Equipo Afectado
Asegurar la escena: Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología.
Fase de Validación y preservación.
Aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación.
Copias de la evidencia. Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1.
Cadena de custodia Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento.
Fase de Análisis
Antes de iniciar esta fase se deben preparar herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores.
Preparación para el análisis: Acondicionar un entorno de trabajo adecuado al estudio que se desea
realizar. Trabajar con las imágenes que se recopiló como evidencias, o mejor aún con una copia de éstas, tener en cuenta que es necesario montar las imágenes tal cual estaban en el sistema comprometido.
Reconstrucción del ataque: Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza
Determinación del ataque: Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.
Identificación del atacante. Si ya se logro averiguar cómo entraron en el sistema, es hora de saber quién o quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones.
Perfil del atacante: Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos
detalles se podrá encontrar los siguientes tipos: Hackers, SciptKiddies, Profesionales.
Evaluación del impacto causado al sistema: Para poder evaluar el impacto causado al sistema, el análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que
accedieron al sistema.
Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.
Utilización de formularios de registro del incidente: Es importante que durante el proceso de análisis se mantenga informados a los administradores de los equipos y que tras la resolución del incidente se presenten los informes Técnico y Ejecutivo.
Informe Técnico: Este informe consiste en una exposición detallada del análisis efectuado. Deberá
describir en profundidad la metodología, técnicas y hallazgos del equipo forense, deberá contener:
Introducción
- Antecedentes del incidente- Recolección de los datos
- Descripción de la evidencia
- Entorno del análisis
- Descripción de las herramientas
- Análisis de la evidencia
- Información del sistema analizado
- Características del SO
- Aplicacion
- Servicios
- Vulnerabilidades
- Metodología
- Descripción de los hallazgos
- Huellas de la intrusión
- Herramientas usadas por el atacante
- Alcance de la intrusión
- El origen del ataque
- Cronología de la intrusión
- Conclusiones
- Recomendaciones específicas
- Referencias
- Anexos
Informe Ejecutivo: Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado.
Línea de tiempo de la investigación: La definición de la línea de tiempo es fundamental al momento de iniciar una investigación, constituye el marco que permite a un investigador indagar en base a un criterio de tiempo determinando que ficheros pueden o no ser importantes para el caso.
No hay comentarios:
Publicar un comentario