RESUMEN TEMA 15

-
RECOLECCIÓN DE EVIDENCIAS:
Es la etapa de la gestión de un incidente previa al análisis forense propiamente dicho y se ocupa de la adquisición de las elementos digitales y físicos que pudieran estar implicados en un incidente relacionado con la seguridad informática. 

Una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal y debe ser: admisible, auténtica, completa, creíble, confiable. Tipos de evidencia:
  • E. fisica.
  • E.digital.
Para la recolección de evidencias hay que basarse en el estandar RFC 3227, lo más destacable de este documento es el fundamento de la recolección:
  • Como capturar una imagen informática de forma precisa.
  • Realizar notas detalladas.
  • Minimizar los cambios en la información.
  • En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y después análisis.
  • Recoger la información según el orden de volatilidad (de mayor a menor).
  • Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta manera. 

PROCEDIMIENTO DE RECOLECCIÓN:
Deben ser lo más detallado posible, no ser ambiguo y reduciendo al mímino la toma de decisiones. 
Los métodos utilizados para recolectar evidencias deben ser transparentes y reproducibles.

ETAPAS:
  1. Listar los sistemas involucrados.
  2. Establecer lo relevante.
  3. Fijar el orden de volatilidad.
  4. Obtener la información según el orden establecido.
  5. Sincronización del reloj.
  6. Preguntarse por más evidencias.
  7. Documentar cada paso.
  8. No olvidar a los involucrados.
PROCEDIMIENTO DE ALMACENAMIENTO:
La cadena de custodia debe estar perfectamente documentada y almacenada en dispositivos cuya seguridad haya sio demostrada y permitan detectar intentos de acceso no autorizados.

HERRAMIENTAS NECESARIAS:
  • Herramientas ajenas al sistema.
  • Herramientas que alteren lo menos posible el escenario.
  • Los programas usados deben ser de solo lectura.
  • Utilidades adecuadas a los sistemas operativos.
  • Kit de análisis.
PROCESO DE ADQUISICIÓN:
- Se comienza etiquetando, inventariando y fotografiando todos los dispositivos que se van a analiza, asi como, tomandonse los datos de la persona responsable del equipo y sus usuarios. La cadena de custodia sirve para comprobar que las pruebas no han sido manipuladas.Es importante justificar el motivo por el que se han tomado las evidencias.

- A continuación se clasifican las evidencias:
  • Información volátil: hora, fecha, volcado de memoria...
  • Información no volatil: volcado de disco, información del sistema, etc.
Por último se enuncia como conclusión que es importante tener claro las acciones que se deben realizar en la recoleccion de información, procurarando ser lo menos intrusivo posible.

Comentarios

Publicar un comentario

Entradas populares de este blog

INCIBE: PLAN DE SEGURIDAD PARA EL ANALISIS DE RIESGOS

-
Imagen
En el siguiente enlace se muestra un plan de seguridad para el analisis de riesgos: https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/plan_director_de_ seguridad/plan_director_de_seguridad__hoja_para_el_analisis_de_riesgos.xls Se trata de  herramienta que busca facilitar este tipo de analisis.Consta de varias hojas: Introducción:  incluye una descripción de la aplicación y sus pautas de funcionamiento. Ejemplo de análisis:  enuncia las instrucciones a seguir y posteriormente plantea el ejemplo: Tablas AR:  a continuación presenta varias tablas orientativas para realizar valoraciones de impacto según escalas de tres valores (bajo, medio y alto), en funcion del nivel de detalle que se desee conseguir. También incluye una tabla para definir el riesgo que debe ser previamente definida de acuerdo a la estrategia corporativa. Catalogo de amenazas: recoge un listado con lasprinciapales amenazas.  Hoja de activos. Hoja cruces activo - am...
Leer más

RESUMEN TEMA 19

-
IMAGEN FORENSE: La captura de la imagen comienza cuando el sensor de la cámara capta la luz que le llega reflejada por los objetos y genera una onda analógica que posteriormente es digitalizada. Conceptos: Sensor: utilizado por las cámaras digitales para capturar la imagen.  Color: es necesario un filtro, este asigna a cada celula un color primario y prescinde del resto. Profundidad de bit: número de bits asignados a cada píxel en el proceso de conversión de analógico a digital.  El tamaño máximo de la imagen vendrá dado por el número de celdas del sensor. Resolución :  cantidad de píxeles por unidad de longitud. Tamaño del archivo:  dependerá de la profundidad de bit y el tamaño de la imagen. Formatos de imagen digital:  imagen RAW, bitmap, JPEG, TIFF, GIF, PNG. Formatos de videodigital: pueden ser formatos contenedor o codecs. TIPOS DE EVIDENCIA EN IMAGEN FORENSE: videocasetes, soportes de tipo óptico, de almacenamiento informático, smartph...
Leer más