• Author / Uploaded
• NicolasVargasJimenez

Citation preview

FUNDACIÓN UNIVERSITARIA AREA ÁNDINA

INGENIERÍA DE SISTEMAS-VIRTUAL

TALLER EJE 4 INFORMÁTICA FORENSE

INTEGRANTES: NICOLAS VARGAS JIMENEZ NEIDER ORLANDO CASTILLO PINZON ALVARO JAVIER GONZALEZ

TUTOR CAMILO AUGUSTO CARDONA PATIÑO

BOGOTÁ, COLOMBIA 2020

OBJETIVO El objetivo de este trabajo es Aplicar teóricamente las técnicas adquiridas en la materia de informática Forense en equipo el desarrollo del taller y complementar con los puntos de vista personales de cada integrante para entender las distintas posiciones frente a un escenario Ficticio Donde Se propone investigar un Ciberdelito al tener una Perdida De Información y tratar de investigar y encontrar quien lo hizo.

TALLER Usted, como responsable de seguridad, ha detectado que se ha producido una intrusión en uno de los equipos de la organización, La intrusión ha provocado el borrado de varios archivos importantes y, por ello, tiene previsto realizar un análisis forense para localizar al atacante y tomar medidas judiciales contra él. ¿Qué tipo de ataque se ha producido y qué información deberá recopilar para reconstruir su secuencia temporal? ¿Cómo realizar el análisis?

DESARROLLO El tipo de ataque que se usó se denomina ataque activo ya que hubo manipulación de los documentos o archivos en este caso eliminación. Lo anterior pudo ser posible mediante técnicas de ingeniería social, y distribución de spyware keyloggers y demás información gathering con el fin de obtener acceso a los hosts afectados. para construir una secuencia temporal de lo sucedido en el sistema acorde al procedimiento de recolección forense el análisis se debe realizar en caliente, sin apagar los equipos afectados ni desconectarlos de la red. Así mismo se debe tomar la fecha y hora del sistema, las conexiones de red, los procesos del sistema abiertos, los usuarios abiertos, contenido del SWAP o la RAM •

Identificar la situación para determinar si es necesario un análisis en caliente o post mortem. Solicitar las aprobaciones correspondientes para la intervención, ponerse en contexto de la situación haciendo entrevistas a los usuarios de la entidad, evaluar el impacto del incidente.

•

Se debe Recolectar y tomar las evidencias: identificando todos los elementos que fueron afectados con el incidente y tomando las copias de los medios para no alterar la evidencia original, Para Lo cual existen herramientas Libres Como Pagas por lo cual se debe verificar el alcance de las herramientas que están autorizadas /o aprobadas para realizar esta investigación.

•

Asegurar la integridad de la evidencia original generando una firma HASH para garantizar la inalterabilidad de la información, así como su aseguramiento físico

•

Recolección y revisión y análisis de historial de ejecuciones de archivos y aplicaciones dll’s Captura de tráfico con sniffers como WiressShark, Cain & Abel, mapeo de unidades conectadas para verificar si se pudo haber extraído información: rutas estáticas, tablas arp y demás conexiones de red con el fin de identificar si también se pudo realizar un ataque por envenenamiento de arp, esta información se puede adquirir fácilmente con el programa utilizado en el eje 3 FastIR Collector.

•

Elaboración del informe técnico con toda la documentación correspondiente para argumentar la investigación realizada, siguiendo cuidadosamente todo el procedimiento forense.

CONCLUSIONES Como se indicó anteriormente, el escenario del ataque fue de tipo activo ya que los ataques pasivos no eliminan o modifican la información del equipo afectado. Es importante seguir paso a paso cada una de las fases o pasos declarados para la recuperación y el análisis técnico – forense del origen restauración y defensa del atacante. Es sabido que ningún sistema y/o equipo es completamente seguro, pero con las debidas medidas de seguridad que nosotros como personal encargado del área de sistemas establezcamos, podemos controlar que la vulnerabilidad a ataques y/o riesgos humanos sean las más mínimas posibles, ya que por medio de bastantes herramientas que podemos encontrar y/o acceder de manera gratuita o a bajo costo podemos evitar muchos ataques externos como internos de personas quienes quieren vulnerar la seguridad de la información de la compañía y bases de datos confidenciales.

“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados.