INFORMATICA FORENSE - EJE 4 FINAL.pdf

ACTIVIDAD EVALUATIVA EJE 4 INFORMATICA FORENSE ESTUDIANTES: LAURA VALENTINA ALVAREZ GRUPO 11 LAURA DANIELA MOSCOSO GRUP

Views 389 Downloads 6 File size 199KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
TALLER EJE 4 INFORMATICA FORENSE
TALLER EJE 4 INFORMATICA FORENSE

23 1 240KB Read more

EJE 3 Informatica Forense
EJE 3 Informatica Forense

32 0 10MB Read more

eje 3 informatica forense
eje 3 informatica forense

35 0 2MB Read more

Actividad Eje 4 - Informatica Forense II
Actividad Eje 4 - Informatica Forense II

16 0 93KB Read more

Taller-4-Informatica-Forense
Taller-4-Informatica-Forense

31 0 73KB Read more

Informatica Forense eje 2.docx
Informatica Forense eje 2.docx

17 0 119KB Read more

Informatica forense eje 3.docx
Informatica forense eje 3.docx

26 1 3MB Read more

Informatica forense eje 3.docx
Informatica forense eje 3.docx

17 0 3MB Read more

Informatica Forense eje 2.pdf
Informatica Forense eje 2.pdf

16 3 208KB Read more

Eje 2 Informatica forense I
Eje 2 Informatica forense I

63 32 707KB Read more

Citation preview

ACTIVIDAD EVALUATIVA EJE 4 INFORMATICA FORENSE

ESTUDIANTES: LAURA VALENTINA ALVAREZ GRUPO 11 LAURA DANIELA MOSCOSO GRUPO 11

DOCENTE: CAMILO AUGUSTO CARDONA PATIÑO

BOGOTÁ, JUNIO DE 2020

INTRODUCCIÓN

En el presente documento se dará respuesta a las interrogantes propuestas en el documento de la actividad 3, analizando el caso relacionado y teniendo en cuenta los conocimientos adquiridos a lo largo de los Ejes 1, 2, 3 y 4, en cuanto a la realización de análisis y medidas de prevención y ejecución posterior al ataque, así como los derechos que se ven vulnerados dentro del mismo.

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL

OBJETIVOS •

Identificar herramientas a utilizar para resolver el caso propuesto.



Conocer la causa principal del delito.



Analizar situación expuesta.



Dar a conocer quién es el intruso del caso.



Exponer conclusión como se resolvió el caso.

3

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL

CONCEPTOS A LA EJECUCION DEL PROYECTO El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.(Rivas López et al., 2009) INSTRUCCIONES 1- De forma individual reflexiones y responda: usted, como responsable de seguridad, ha detectado que se ha producido una intrusión en uno de los equipos de la organización. – La intrusión ha provocado el borrado de varios archivos importantes y, por ello, tiene previsto realizar un análisis forense para localizar al atacante y tomar medidas judiciales contra él. •

¿Qué tipo de ataque se ha producido y qué información deberá recopilar para reconstruir su secuencia temporal?



¿Cómo realizar el análisis?

2- Ahora en equipos de tres estudiantes pongan en común sus respuestas. Discuta en equipo cuáles son las mejores respuestas. Elaboren un documento en el que se socialice la discusión y las conclusiones y luego socialice en encuentro sincrónico.

DESARROLLO DEL TALLER 1.De forma individual reflexiones y responda: usted, como responsable de seguridad, ha detectado que se ha producido una intrusión en uno de los equipos de la organización. La intrusión ha provocado el borrado de varios archivos importantes y, por ello, tiene previsto realizar un análisis forense para localizar al atacante y tomar medidas judiciales contra él.

4

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL



¿Qué tipo de ataque se ha producido y qué información deberá recopilar para reconstruir su secuencia temporal?

RESPUESTAS INDIVIDUALES Laura Moscoso: Se evidencia la realización de un ataque activo ya que se modifico la información de la compañía en este caso se eliminaron archivos importantes, lo cual se pudo realizar con el fin de perjudicar proyectos o desarrollo normal de la empresa. Para construir una secuencia temporal de lo sucedido se realiza un análisis en vivo, sin apagar los equipos ni desconectarlos de la red ya que esto podría causar perdida de información temporal, se debe recolectar fecha y hora de lo sucedido, así como conexiones entrantes y salientes. Se debe realizar la recuperación de los archivos para visualizar el usuario que realizo la modificación, el cual podría verse involucrado en el mismo de ser un ataque interno, también identificar si fue un ataque externo por medio de los puertos de conexión. Laura Alvarez: Ya que el ataque se trató sobre el borrado información, se deduce que es un tipo de ataque activo, ya que el intruso elimino archivos de alta importancia para la compañía. Para reconstruir la secuencia temporal principalmente se tiene que recopilar la información de los datos eliminados y de los posibles sospechosos: • • • • • •

Detectar archivos eliminados Detectar usuarios que tienen permisos de accesos a la información Usuarios a los que les pertenecen los archivos Tamaño de los archivos Traza de rutas

¿Cómo realizar el análisis? Laura Moscoso: Se debe realizar siguiendo los pasos de metodología del análisis de la siguiente manera: 1. Identificar y/o evaluar la situación: En este paso procedemos a realizar la determinación del análisis que se realizará en este caso en vivo ya que la 5

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL

acción fue realizada se deberá recolectar información volátil, se evalúan las herramientas que deberán ser utilizadas así como los permisos necesarios para la investigación precedentes de la información posibles sospechosos, equipos afectados, usuarios con acceso a los archivos etc… 2. Recolectar y adquirir las evidencias: Se realiza la recolección de la información que se considera volátil y puede desaparecer en caso de apagar los equipos, tomando las medidas necesarias para no alterar la evidencia original, se procede a realizar un escaneo de los puertos para identificar posible vulnerabilidad y acceso. 3. Asegurar la integridad de la evidencia original: Se genera una firma HASH para garantizar la inalterabilidad de la información, se aísla en un lugar seguro toda la información original.

4. Analizar las evidencias: Se realiza el análisis de la evidencia recolectada, validando con las preguntas claves en toda investigación forense, se realiza análisis de datos de red, del host, de medios y dispositivos de almacenamiento y de puerto, captura de tráfico. 5. Elaboración del informe técnico: Se consolida la información recolectada y se elabora el informe, el cual contiene toda la documentación con evidencia y argumento sobre el responsable del ataque, así como medio de realización y detalles sobre la afectación al sistema. Laura Alvarez: Nos conectamos a la VPN de la empresa, para comenzar a realizar la investigación de los hechos ocurridos, principalmente buscamos detectar los archivos eliminados, para tener claridad que es lo que estamos buscando y ¿por qué? Ya teniendo en cuenta lo que se eliminó, procedemos a investigar los usuarios que tenían acceso a dicha información, interrogamos a estas personas para recolectar más información. Utilizamos una herramienta para recopilar información y generar un informe del análisis detallado del ataque. Para esto implementamos la herramienta “The Forensic Tooltik” ya que esta nos permite realizar análisis más profundo para recopilar información y sacar los análisis con detalle.

6

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL

CONCLUSION GRUPAL 1 ¿Qué tipo de ataque se ha producido y qué información deberá recopilar para reconstruir su secuencia temporal? De acuerdo con los aportes realizados podemos concluir que se realizo un ataque de tipo activo ya que vulnera la información de la empresa, afectando de cierto modo su funcionamiento, se evidencia que el ataque se pudo realizar por medio de un equipo que tenia acceso a los archivos, puede ser el creador o una de las personas que pueden modificar y/o borrar el contenido. La información que se debe recopilar para la reconstrucción de la secuencia es: • • • • • • • • •

Detectar archivos eliminados. Detectar usuarios que tienen permisos de accesos a la información. Usuarios a los que les pertenecen los archivos. Tamaño de los archivos. Traza de rutas. Registro de conexiones. Equipos que tienen acceso a la información. Archivos temporales. Escaneo de los puertos del equipo afectado.

2. ¿Cómo realizar el análisis? El análisis se debe realizar teniendo en cuenta los siguientes pasos identificando a modo de aplicación el siguiente párrafo, se debe solicitar también permisos para el uso de herramientas como Programa Foca (Fingerprint Organizations With Collected Archivos), NMAP. Nos conectamos a la VPN de la empresa, para comenzar a realizar la investigación de los hechos ocurridos, principalmente buscamos detectar los archivos eliminados, para tener claridad que es lo que estamos buscando y ¿por qué? Ya teniendo en cuenta lo que se eliminó, procedemos a investigar los usuarios que tenían acceso a dicha información, interrogamos a estas personas para recolectar más información. Utilizamos una herramienta para recopilar información y generar un informe del análisis detallado del ataque. Para esto implementamos la herramienta “The Forensic Tooltik” ya que esta nos permite realizar análisis más profundo para recopilar información y sacar los análisis con detalle.

7

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL

Nos conectamos a la VPN de la empresa, para comenzar a realizar la investigación de los hechos ocurridos, principalmente buscamos detectar los archivos eliminados, para tener claridad que es lo que estamos buscando y ¿por qué? Ya teniendo en cuenta lo que se eliminó, procedemos a investigar los usuarios que tenían acceso a dicha información, interrogamos a estas personas para recolectar más información. Utilizamos una herramienta para recopilar información y generar un informe del análisis detallado del ataque. Para esto implementamos la herramienta “The Forensic Tooltik” ya que esta nos permite realizar análisis más profundo para recopilar información y sacar los análisis con detalle. 1. Identificar y/o evaluar la situación: En este paso procedemos a realizar la determinación del análisis que se realizará en este caso en vivo ya que la acción fue realizada se deberá recolectar información volátil, se evalúan las herramientas que deberán ser utilizadas así como los permisos necesarios para la investigación precedentes de la información posibles sospechosos, equipos afectados, usuarios con acceso a los archivos etc… 2. Recolectar y adquirir las evidencias: Se realiza la recolección de la información que se considera volátil y puede desaparecer en caso de apagar los equipos, tomando las medidas necesarias para no alterar la evidencia original, se procede a realizar un escaneo de los puertos para identificar posible vulnerabilidad y acceso. 3. Asegurar la integridad de la evidencia original: Se genera una firma HASH para garantizar la inalterabilidad de la información, se aísla en un lugar seguro toda la información original. 4. Analizar las evidencias: Se realiza el análisis de la evidencia recolectada, validando con las preguntas claves en toda investigación forense, se realiza análisis de datos de red, del host, de medios y dispositivos de almacenamiento y de puerto, captura de tráfico. 5. Elaboración del informe técnico: Se consolida la información recolectada y se elabora el informe, el cual contiene toda la documentación con evidencia y argumento sobre el responsable del ataque, así como medio de realización y detalles sobre la afectación al sistema.

8

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL

9