Reconocimiento de los sistemas operativos.
En el desarrollo de un caso uno de los pasos es identificar el sistema operativo empleado, dentro de estos los más conocidos son windows, linux, mac osx. En alguna medida todos los sistemas operativos ofrecen un nivel de seguridad y dentro de las característica de red de cada uno es donde se puede aplicar el mayor nivel de seguridad. Además, todos los sistemas operativos tienen un amplio esquema de auditoria que permite el seguimiento de archivos y registros, lo cual es fundamental en el desarrollo de los casos forenses.
Imágenes de Discos Duros
Como primer paso durante el desarrollo de un caso en la informática forense es adecuado recopilar toda evidencia, copiar bit a bit la información de los discos y copiar la información en memoria del equipo antes de que este se apagado. Crear imágenes de los discos es un proceso que realiza un copia idéntica de la información, sin modificar datos y esta tarea se puede ejecutar sin necesidad de que el equipo este operativo.
Algunas herramientas utilizadas para este propósito son: Linux dd, snap datarrest.
Como primer paso durante el desarrollo de un caso en la informática forense es adecuado recopilar toda evidencia, copiar bit a bit la información de los discos y copiar la información en memoria del equipo antes de que este se apagado. Crear imágenes de los discos es un proceso que realiza un copia idéntica de la información, sin modificar datos y esta tarea se puede ejecutar sin necesidad de que el equipo este operativo.
Algunas herramientas utilizadas para este propósito son: Linux dd, snap datarrest.
Iniciar un caso de informática forense
Con base en la ley 1273 de 2009 en Colombia, los ataques se pueden presentar de diferentes maneras y al determinar este se puede identificar el tipo de fraude que se quiso llevar a cabo.
Aspectos más relevantes para iniciar una investigación deben tener en cuenta los siguientes pasos:
Con base en la ley 1273 de 2009 en Colombia, los ataques se pueden presentar de diferentes maneras y al determinar este se puede identificar el tipo de fraude que se quiso llevar a cabo.
Aspectos más relevantes para iniciar una investigación deben tener en cuenta los siguientes pasos:
- Inspeccionar el sistema operativo instalado para determinar la forma de apagado del sistema
- Apagar el sistema de acuerdo a las condiciones dadas para cada sistema operativo
- Aislar los equipos informáticos, medios de almacenamiento y anotaciones
- Crear las imágenes de los dispositivos encontrados en la escena del incidente
- Determinar la cantidad de Información a recolectar.
- Documentar todas las acciones realizadas anteriormente
Donde buscar evidencia
Al recolectar la información de un computador los pasos recomendados para llevar esta tarea a cabo son:
- Toda la evidencia importante debe ser leída de la memoria RAM.
- El computador debe ser apagado.
- El computador debe ser reiniciado usando otro sistema operativo que desvíe el existente y no cambie el contenido de el (los) disco(s) duro(s).
- Debería sacarse una copia de la evidencia digital encontrada en el (los) disco(s) duro(s).
- Debe tenerse en cuenta que cuando se habla de hacer una “copia” de un disco duro, ésta debería ser una copia bit-a-bit de todo el contenido de éste; muchísima información está “escondida” en sitios no convencionales de un disco duro.
Analizando información
Posterior a la recolección de evidencia, el análisis es la etapa donde se realiza la revisión de los datos adquiridos, además se suele realizar la correlación de logs y eventos en el dispositivo como la ejecución de procesos, control de registros, cambios a nivel de red, etc.
En la gráfica inferior se mencionan los procesos precios que se debe completar para el desarrollo de un caso forense.
No hay comentarios:
Publicar un comentario