Eje 1.1 Informatica F. Resuelto Keiner

    DESCRIBA LA ESCENA DEL CRIMEN PRESENTADO PRESEN TADO POR: JOSÉ EDUARDO HERNÁNDEZ POLANCO PRESENTADO A: ING. CAMI

Views 67 Downloads 1 File size 96KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Eje 3.4 SGSI Resuelto Keiner
Eje 3.4 SGSI Resuelto Keiner

23 0 66KB Read more

Eje 1.1 Informatica F. Resuelto Tania.pdf
Eje 1.1 Informatica F. Resuelto Tania.pdf

16 0 33KB Read more

ACTIVIDAD EJE 2 INFORMATICA F.
ACTIVIDAD EJE 2 INFORMATICA F.

1 ACTIVIDAD EVALUATIVA EJE 2 DETECTANDO CONEXIONES WINDOWS PRESENTADO POR: KEINER JOSE ZARATE VALENCIA TANIA LISNEY GU

13 0 2MB Read more

Cuestionario Resuelto Informatica Basica
Cuestionario Resuelto Informatica Basica

52 0 499KB Read more

EJE 3 Informatica Forense
EJE 3 Informatica Forense

32 0 10MB Read more

Eje 1 Informatica
Eje 1 Informatica

1 0 266KB Read more

Actividad eje 4 Informatica
Actividad eje 4 Informatica

18 0 424KB Read more

eje 3 informatica forense
eje 3 informatica forense

35 0 2MB Read more

Eje 03 Kardex Resuelto
Eje 03 Kardex Resuelto

64 0 343KB Read more

Eje 01 Kardex Resuelto
Eje 01 Kardex Resuelto

12 0 344KB Read more

Citation preview

 

 

DESCRIBA LA ESCENA DEL CRIMEN

PRESENTADO PRESEN TADO POR: JOSÉ EDUARDO HERNÁNDEZ POLANCO

PRESENTADO A: ING. CAMILO AUGUSTO CARDONA PATIÑO PA TIÑO

FUNDACIÓN UNIVERSITARIA UNIVERSITARIA Á ÁREA REA A ANDIN NDINA A ENFASIS: INFOR INFORMATICA MATICA FORENS FORENSE EI INGENIERÍA DE SISTEMAS 2020

 

 

INTRODUCCION

La informática forense está relacionada con las actividades propias asociadas con la recolección de información de los medios informáticos la cual es utilizada como evidencia en un caso objeto de investigación. Para esto, utiliza procedimientos y herramientas para adquirir, preservar, examinar, analizar las pruebas obtenidas de los medios informáticos y a través de un proceso científico generar conclusiones propias del caso. Por último, se presenta los respectivos informes donde de manera detallada se describen todos los procesos y herramientas utilizadas en la investigación. Dentro de la lectura de diferentes artículos y referentes de investigación, identificaron las guías relacionadas el análisis forense, el manejo de la evidencia y la cadena de custodia. Se tuvo en cuenta para la resolución del caso problema presentado partiendo desde las bases iniciales generando buenas prácticas establecidas por las instituciones y fuerzas del orden autoras de dichas guías.

 

 

Situación Situa ción propuesta La empresa Pepito Pérez, el 18 de noviembre 2018, fue objeto de un ataque de Denegación de servicios, ocasionando, que su servidor principal quedará fuera de línea, al llegar el gerente y sus empleados encontraron todo aparentemente normal, solo vieronque algo el computador gerente encendido, el gerente recordaba lo curioso, había apagado, ademásdel habían unosestá papeles con letra letr y a que no era de él en su escritorio, cuando fueron a revisar el servidor, este estaba completamente inaccesible, preocupados por lo ocurrido deciden llamar a un investigador forense.

Tipo de análisis De manera inicial y partiendo del análisis del caso problema, se toma como primera medida usar el método de recolección de análisis directo o en caliente, teniendo en cuenta que, aunque el ataque ya ha terminado y logro su objetivo, según la información dada se tiene que el equipo usado como medio de ataque el cual es el computador del gerente está encendido. Este a su vez alega haberlo apagado, permitiendo de esta forma recoger pruebas del sistema afectado, toda vez que el intruso pudo dejar evidencia o rastro importante para la investigación en dicho equipo, posterior a esto se procederá a realizar el análisis post-mortem de la escena. Para este tipo de análisis se utilizan herramientas de respuesta ante incidentes y análisis forense compiladas de forma que no se realicen modificaciones en el sistema. También cabe mencionar algunos datos para tener en cuenta para la recolección de las evidencias en el equipo afectado: ✓ 

✓ 

Dado que el dispositivo que se va a analizar está encendido, o en producción, hay que tener presente el tema de lo volátil de la evidencia. Si se apaga el equipo de forma no planeada, se pierde evidencia en la memoria RAM, se pueden aplicar secuencias de comandos al Sistema en el proceso de apagado o reinicio, servicios de red temporales etc.

✓ 

El daño, o denegación de servicios a terceras partes que usen el servidor.

✓ 

Utilizar herramientas específicas, que sean lo menos invasivas posibles. Evitar uso de herramientas que requieran de instalación, y de paquetes y/o servicios de red adicionales. Usar herramientas ejecutables, en lo posible desde la línea de comandos y no gráficas (desde una USB o similar)

✓ 

Reportar de forma minuciosa toda operación o actividad en el sistema.  

Como herramienta validad para recolectar información del equipo se puede realizar un dump o volcado de la memoria. (Random Access Memory (RAM)), que consiste

 

 

en obtener una copia de los procesos y los datos que residen actualmente-de forma temporal en la memoria RAM del sistema. Algunas recomendaciones para obtener un volcado de memoria son: ✓ 

Utilizar una herramienta adecuada, reconocida y aceptada (Línea de comandos).

✓ 

Ejecutar la herramienta en un dispositivo externo o interno.

✓ 

Documentar bien el proceso proceso de volcado de memoria. memoria .

Como resultados de el analisis directo se pueden obtener datos relevantes dentro de la investigación forense, entre los cuales podemos mencionar: ✓ 

Los procesos en ejecución en en un instante en el tiempo.

✓ 

Archivos abiertos, direcciones IP, puertos abiertos y usados, conexiones de red.

✓ 

Unidades de red compartidas, permisos

✓ 

Usuarios activos

✓ 

Shell remotas

✓ 

Conexiones remotas tipo VNC, RDP, entre otros

✓ 

Archivos que tienen aplicado algún tipo de procesos de cifrado. En ciertas ocasiones, si el sistema esta apagado, se dificulta el proceso de descifrado.

En la escena escena del delito delito:: 1.

Asegurar la escena: se retiran a todas las personas extrañas de la escena del delito mientras se procede con la investigación, previniendo el acceso no autorizado de personal, evitando así la contaminación de la evidencia o su posible alteración.

2.

Recolección de evidencias: se toma registro fotográfico de toda la escena del crimen, los computadores, servidor y los documentos. El primer objeto de evidencia son los medios digitales, videos de seguridad, servidores, empezando por el computador del administrador garantizo la no manipulación de la prueba electrónica original se realizará una “imagen de datos” forense de datos informáticos mediante una clave HASH. En todo momento se trabajará sobre la “imagen de datos” forense obtenida. La prueba original queda en depósito de la empresa. Se procede a realizar el análisis post-morten de la evidencia, se extraen los archivos de losgs, Documentos digitales, imágenes, cookies, temporales, procesos en ejecución, etc.

3.

4.

 

 

5.

6. 7. 8.

Como segundo aspecto aseguramos y etiquetaremos los documentos físicos dejados en la escena del crimen, y registro de ingreso y salida del personal. Se asegura las evidencias con el fin de mantener y garantizar la cadena de custodia de toda la información recolectada en la escena. Se realiza la entrega de la escena y se deja disposición de la administración de la empresa. Se documenta cada una de las etapas en una bitácora de los hechos sucedidos durante la explotación de la escena del crimen, las evidencias encontradas y posible relación de sospechosos.

 

 

BIBLIOGRAFIA   http://repositorio.ufpso.edu.co:8080/dspaceufpso/bitstream/123456789



/933/1/28012.pdf   •

  https://slideplayer.es/slide/13217724/  

Referente ferente de pens pensamiento amiento Eje 1   Re