sábado, 25 de enero de 2014

seguridad en S. O. UNIX

Pagina que les comparto sobre... seguridad en S. O. UNIX

 Seguridad en SO UNIX
Publicado por en No hay comentarios:

Conferencia Chema


Publicado por en No hay comentarios:

SEARCHMYFILES

SearchMyFiles es una aplicación que permite hacer una búsqueda muy precisa en Windows, ya que permite buscar fácilmente archivos en el sistema de comodín, por última fecha de última modificación / creación / acceso, por atributos de archivo, según el contenido de archivos (de texto o binario de búsqueda), y por el tamaño del archivo.
Al realizar una búsqueda esta se puede seleccionar uno o más archivos, y guardar la lista en texto / html / csv / xml archivo mediante la opción "Guardar los elementos seleccionados o copiar la lista en el portapapeles, también puede seleccionar un único archivo y abrirlo con el programa predeterminado mediante la opción "Abrir archivo seleccionado.
SearchMyFiles es portátil y se puede utilizar desde una unidad flash USB sin dejar huellas en el Registro del equipo analizado, funciona en cualquier versión de Windows a partir de Windows 2000 y hasta Windows 8. Tanto los sistemas de 32 bits y de 64 bits son compatibles, para empezar a usarlo, basta con ejecutar el archivo ejecutable - SearchMyFiles.exe.




Publicado por en No hay comentarios:

Política de Seguridad Informática

Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización,
Es un conjunto de requisitos por los responsables de un sistema, que indica en términos generales que esta y que no esta permitido en el área de seguridad durante la operación general del sistema.
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad  del sistema.

Elementos de  una política de seguridad informática

•Alcance de las políticas.
•Objetivos de la política y descripción clara.
•Responsabilidades.
•Requerimientos mínimos para configuración.
•Definición de violaciones.
•Responsabilidades de los usuarios.

Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
•definir la filosofía respecto al acceso a los datos
•establecer responsabilidades inherentes al tema
•establecer la base para poder diseñar normas y procedimientos referidos a:
1.Organización de la seguridad
2.Clasificación y control de los datos
3.Seguridad de las personas
4.Seguridad física y ambiental
5.Plan de contingencia
6.Prevención y detección de virus
7.Administración de los computadores

Publicado por en No hay comentarios:

Informatica Forense


Introducción a la informática forense


Los intrusos informáticos poseen diferentes motivaciones, alcances y estrategias que desconciertan a analistas, consultores y cuerpos especiales de investigaciones, pues sus modalidades de ataque y penetración de sistemas varían de un caso a otro.
La criminalística nos ofrece un espacio de análisis y estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las acciones catalogadas como criminales.
La informática forense es una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso.

Definición

Digital forensics (forensia digital): Una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos
Network forensics (forensia en redes): Las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción.
Computer forensics (computación forense): procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso. Ofrece un análisis de la información residente en dichos equipos.

Evidencia Digital

Categorías :
  1. Registros almacenados en el equipo de tecnología informática (P.e. correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
  2. Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.).
  3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.). 

La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad:
  1. Es volátil
  2. Es anónima
  3. Es duplicable
  4. Es alterable y modificable
  5. Es eliminable


PROCEDIMIENTOS
  1. Esterilidad de los medios informáticos de trabajo: Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones magnéticas, ópticas (láser) o similares, las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas.
  2. Verificación de las copias en medios Informáticos: Las copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. El software u aplicación soporte de esta operación haya sido previamente probado y analizado por la comunidad científica, para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal.
  3. Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados: El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos.
  4. Mantenimiento de la cadena de custodia de las evidencias digitales: La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras.
  5. Informe y presentación de resultados de los análisis de los medios informáticos: la claridad, el uso de un lenguaje amable y sin tecnicismos. Informes: los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias.
  6. Administración del caso realizado: el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control.
  7. Auditoría de los procedimientos realizados en la investigación: Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina. 


Herramientas
  • ENCASE
  • FORENSIC TOOLKIT
  • WINHEX (FORENSIC EDICTION)
  • Y OTRAS


Retos

1.El reconocimiento de la evidencia digital como evidencia formal y válida: elemento que requiere un tratamiento especial, más allá de las características legales requeridas, pues éstas deben estar articuladas con los esfuerzos de seguridad de la información vigentes en las organizaciones.
2.Los mecanismos y estrategias de validación y confiabilidad de las herramientas forenses en informática: Las herramientas utilizadas actualmente en investigaciones forenses en informática están cumpliendo una función importante para esclarecer los hechos ante incidentes informáticos. La fragilidad inherente del software, la vulnerabilidad presentes en las mismas y las limitaciones propias de los lenguajes y prácticas de programación hacen que la comunidad académica y científica redoble sus esfuerzos para hacer de estos programas, herramientas más confiables y predecibles para los cuerpos de investigaciones judiciales y organizacionales.

Conclusión

Existen intrusos informáticos que tienen diferentes formas de ataques y ahí  la informática forense que es una disciplina  que es la que nos permite investigar, preservar,  analizar y presentar datos que sean válidos dentro de un proceso legal, ya que ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats, entre otras cosas. Para esto se requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.




Publicado por en No hay comentarios:

RFC 3227

Los RFC (Request For Comments) son una serie de documentos cuyo contenido es una propuesta oficial para un nuevo protocolo de la red o línea guía de desarrollo de un proceso, que explica con todo detalle para que en caso de ser aceptado pueda ser implementado sin ambigüedades.
El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea, ingenieros del Network Working Group. Es un documento que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y determinar cómo almacenar y documentar los datos. También explica algunos conceptos relacionados a la parte legal. Su estructura es:
a)       Principios durante la recolección de evidencia:
·         Orden de volatilidad de los datos: Al recoger pruebas se debe proceder de la volatilidad a la menos volátil.
·         Cosas para evitar: Es muy fácil destruir la evidencia, aunque inadvertidamente.
ð  No parar hasta que se haya completado la recopilación de pruebas.
Muchas pruebas se pueden perder y el atacante pudo haber alterado la inicio / scripts / servicios para destruir la evidencia de apagado.
ð  No fiarse de los programas en el sistema. Ejecutar sus pruebas, reunir los programas de los medios de comunicación debidamente protegidas.
ð  No ejecutar programas que modifican el tiempo de acceso de todos los archivos de sistema.
ð  Cuando la eliminación de vías externas para el cambio en cuenta que simplemente desconectar o filtrado de la red puede desencadenar "Interruptores hombre muerto" que detectan cuando están fuera de la red y borrar la evidencia.
·         Consideraciones de privacidad:
ð  Respetar las normas y directrices de su empresa y privacidad su jurisdicción legal. En particular, asegúrese de que no información recogida junto con la evidencia que está buscando para la que está disponible para cualquier persona que normalmente no tienen acceso a esta información. Esto incluye el acceso a los archivos de registro (que puede revelar los patrones de comportamiento del usuario) así como datos personales archivos.
ð  No inmiscuirse en la privacidad de las personas que no tienen una fuerte justificación. En particular, no recogen información de áreas en las que normalmente no tienen razones para acceder (por ejemplo, almacenes de archivos personales), a menos que tenga indicios suficientes que no es un incidente real.
ð  Asegúrese de que tiene el respaldo de su empresa está establecida procedimientos de adopción de las medidas que usted hace para reunir pruebas de un incidente.
·         Consideraciones legales: Evidencia ordenador tiene que ser:
ð  Admisibilidad: debe ajustarse a ciertas normas legales que tiene ante sí puede ser puesto ante un tribunal.
ð  Auténtico: Debe ser posible vincular positivamente probatoria material al incidente.
ð  Completa: Debe contar toda la historia y no sólo un en particular perspectiva.
ð  Confiable: No debe haber nada acerca de cómo la evidencia era recogidos y sucesivamente tratados que arroja dudas sobre su autenticidad y veracidad.
ð  Creíble: Debe ser fácilmente creíble y comprensible por un tribunal.
b)       El proceso de recolección: Los procedimientos de recolección deben ser lo más detallado posible. Como es en el caso de los procedimientos generales de gestión de incidentes, deberían ser inequívoca y debe reducir al mínimo la cantidad de toma de decisiones sea necesario durante el proceso de recolección.
·         Transparencia: Los métodos utilizados para reunir pruebas deben ser transparentes y reproducibles. Usted debe estar preparado para reproducir con precisión el métodos que utiliza, y que esos métodos probados por expertos independientes expertos.
·         Pasos de recolección
ð  ¿Dónde está la evidencia? Lista de lo que los sistemas estaban involucrados en el incidente y de la que se recogerán pruebas.
ð  Establecer lo que es probable que sean pertinentes y admisibles. ¿Cuándo?
En caso de duda errar por el lado de la recogida demasiado en lugar de no suficiente.
ð  Para cada sistema, obtener la correspondiente orden de la volatilidad.
ð  Retirar vías externas para el cambio.
ð  Tras el fin de la volatilidad, reunir las pruebas con herramientas.
ð  Registre el grado de sincronización del reloj del sistema.
ð  Pregunta qué más puede ser evidencia a medida que trabaja a través de las medidas de recaudación.
ð   Documentar cada paso.
ð  No se olvide de las personas involucradas. Tome nota de que estaba allí y lo que estaban haciendo, lo que han observado y cómo reaccionado.
Siempre que sea posible se debe considerar las sumas de comprobación de generación y firmar criptográficamente las pruebas recogidas, ya que esto puede hacer que sea más fácil de conservar una fuerte cadena de pruebas. Al hacer esto usted debe
No alterar la evidencia.
c)       El proceso de archivo: La evidencia debe estar estrictamente protegida. Además, la cadena de custodia debe estar claramente documentada.
·         La cadena de custodia: Usted debe ser capaz de describir claramente cómo se encontró la evidencia, la forma en que se manejó y todo lo que pasó con él. La siguiente necesidad de documentar:
ð  ¿? Dónde, cuándo y por quién fue la evidencia descubierta y recogido.
ð  ¿? Dónde, cuándo y por quién fue la evidencia manejada o examinado.
ð  ¿? Quién tenía la custodia de la evidencia, durante qué período. ¿? Cómo fue se almacena.
ð  Cuando la evidencia cambió la custodia, cuando y como lo hizo el transferir ocurrir (incluir números de envío, etc.)
·         Donde y como archivar: Si es posible, los medios de comunicación de uso común (más que algunos de almacenamiento oscura los medios de comunicación) se debe utilizar para el archivado.
Acceso a las pruebas debe ser extremadamente limitado, y debe ser claramente documentado. Debería ser posible detectar no autorizada acceder.
Se debe de tener los programas que se necesitan para hacer la recopilación de pruebas y forense en medios de sólo lectura (por ejemplo, un CD). Se debe haber preparado este conjunto de herramientas para cada uno de los sistemas operativos que se gestionan antes de tener que usarlo.
Su conjunto de herramientas debe incluir lo siguiente:
o   Un programa para el examen de los procesos.
o   Programas para examinar el estado del sistema.
o   Un programa para hacer copias de bit a bit.
o   Programas para generar sumas de comprobación y firmas.
o   Programas para la generación de imágenes básicas y para examinarlas.
o   Secuencias de comandos para automatizar la recopilación de pruebas.
Se debe estar preparado para dar fe de la autenticidad y fiabilidad de las herramientas que se utilizan.


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)