Forensics in Spanish
Pasos de Análisis Forense Jan 19 2007 12:01AM
abraham Lizardo (qlalizardo hotmail com) (1 replies)
Hola a todos:

Tengo algunos meses desarrollándome como auditor de T.I., pero últimamente
me entrado la curiosidad de adentrarme más en el campo técnico, y un de las
áreas en la cual quisiera profundizar es en el análisis forense. Como
trabajo en el sector gubernamental a veces es necesario revisar actividades
del personal que pueden llevar a sanciones administrativas y hasta penales
si se da el caso, y la verdad creo que estamos verdes en la recopilación de
evidencias que le den sustento a alguna investigación.

En una revista encontré los pasos básicos que recomiendan para un análisis
forense, les voy a compartir estos pasos y quisiera que fueran tan amables
de darme sus comentarios de los mismos, y además me informaran que software,
programas o herramientas se pueden utilizar para apoyar los pasos u otros
pasos que ustedes sugieran, también si me pueden sugerir literatura o sitios
relacionados en la materia tanto en español como en inglés..

De preferencia les solicitaría que me recomendaran herramientas freeware, ya
que en el gobierno que trabajo como creo en casi todos, los presupuestos son
escasos.

Ahora si les describo los pasos mencionados anteriormente:

PASO 1

- Análisis de la memoria física (RAM) y obtener un DUMP (vaciado o respaldo)
de dicha memoria.

Software, Programa o Herramienta Sugerida:

- Para el análisis del sistema de archivos, obtener las particiones del
disco duro.

Software, Programa o Herramienta Sugerida:

- Una vez obtenido lo anterior sacar una huella digital de dichos archivos
para garantizar la integridad de la información que será manipulada durante
la investigación.

Software, Programa o Herramienta Sugerida:

PASO 2

- Ya analizada la memoria, hacer una análisis general del Sistema
Operativo(SO) recopilando horas de acceso SO, últimos paquetes instalados,
archivos ocultos, procesos no identificados, etcétera. Aquí la revista
sugiere las herramientas netstat, rpm, equery, ps, ls, lsof y verificar que
las herramientas no hayan sido afectadas, aunque no menciona como hacer la
verificación.

Software, Programa o Herramienta Sugerida:

PASO 3

- Análisis de la memoria RAM para ver el detalle de las acciones realizadas
por el atacante, la explicación es muy escueta y no ofrece precisiones de
cómo hacer el análisis.

Software, Programa o Herramienta Sugerida:

- Análisis del sistema de archivos, para lo cual se sugiere las herramientas
Sleuthkit, Front-end de Autopsy. Con las herramientas mencionadas se:

. Se recuperarían archivos borrados,

. Analizaríamos las particiones para encontrar comandos ejecutados
sin importar que hayan sido borrados de los archivos de auditoría.

. Generar un archivo con todas las actividades realizadas en el
disco duro de forma cronológica para poder conocer paso a paso el ataque.

. Analizar el código binario del sistema operativo para encontrar
código malicioso insertado en dichos archivos.

Software, Programa o Herramienta Sugerida:

PASO 4

- Recopilar toda la información obtenida y generar el escenario del ataque
con la evidencia correspondiente. La evidencia debe tener sustento y ser
contundente porque si el ataque vino del interior de la organización se
darían repercusiones legales, de imagen y política para la misma. El equipo
técnico de T.I. de la organización debería validar el trabajo del análisis
forense.

Software, Programa o Herramienta Sugerida:

- Finalmente preparar el informe ejecutivo para la alta dirección con los
principales hallazgos detectados, un reporte técnico para el personal de
T.I. que describa paso a paso cómo fueron obtenidas las evidencias y un
reporte de observaciones en donde se sugieran los controles a implementar
para eliminar vulnerabilidades encontradas y prevenirse de nuevos ataques.

Adicionalmente a los 4 pasos antes recomendados se sugieres utilizar
controles basados en estándares internacionales como la ISO-27001
(A.10.10.1, A.10.10.2, A.10.10.3 y A.14.1.2)

Gracias de antemano por las atenciones brindadas a la presente y disculpen
las extensión del correo.

Buen día a todos y que estén bien.

Abraham Lizardo

[ reply ]
Re: Pasos de Análisis Forense Jan 19 2007 12:41PM
Román Ramírez (rramirez chasethesun es) (1 replies)
Re: Pasos de Análisis Forense Jan 20 2007 11:09PM
Flavio, el HdP (flaviohdp gmail com) (1 replies)
Re: Pasos de Análisis Forense Jan 23 2007 07:50AM
Javier García (jgmarec gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus