Pagina que les comparto sobre... seguridad en S. O. UNIX
Seguridad en SO UNIX
Informatica Forense
sábado, 25 de enero de 2014
SEARCHMYFILES
SearchMyFiles es una aplicación que permite hacer una búsqueda muy precisa en Windows, ya que permite buscar fácilmente archivos en el sistema de comodín, por última fecha de última modificación / creación / acceso, por atributos de archivo, según el contenido de archivos (de texto o binario de búsqueda), y por el tamaño del archivo.
Al realizar una búsqueda esta se puede seleccionar uno o más archivos, y guardar la lista en texto / html / csv / xml archivo mediante la opción "Guardar los elementos seleccionados o copiar la lista en el portapapeles, también puede seleccionar un único archivo y abrirlo con el programa predeterminado mediante la opción "Abrir archivo seleccionado.
SearchMyFiles es portátil y se puede utilizar desde una unidad flash USB sin dejar huellas en el Registro del equipo analizado, funciona en cualquier versión de Windows a partir de Windows 2000 y hasta Windows 8. Tanto los sistemas de 32 bits y de 64 bits son compatibles, para empezar a usarlo, basta con ejecutar el archivo ejecutable - SearchMyFiles.exe.
Política de Seguridad Informática
Una política de seguridad
informática es una forma de comunicarse con los usuarios y los gerentes. Las
PSI establecen el canal formal de actuación del personal, en relación con los
recursos y servicios informáticos, importantes de la organización,
Es un conjunto de requisitos por
los responsables de un sistema, que indica en términos generales que esta y que
no esta permitido en el área de seguridad durante la operación general del
sistema.
La política se refleja en una serie
de normas, reglamentos y protocolos a seguir, donde se definen las medidas a
tomar para proteger la seguridad del
sistema.
Elementos de una política de seguridad informática
•Alcance de las políticas.
•Objetivos de la política y
descripción clara.
•Responsabilidades.
•Requerimientos mínimos para
configuración.
•Definición de violaciones.
•Responsabilidades de los usuarios.
Las
políticas deben:
•definir
qué es seguridad de la información, cuales son sus objetivos principales y su
importancia dentro de la organización
•mostrar
el compromiso de sus altos cargos con la misma
•definir
la filosofía respecto al acceso a los datos
•establecer
responsabilidades inherentes al tema
•establecer
la base para poder diseñar normas y procedimientos referidos a:
1.Organización
de la seguridad
2.Clasificación
y control de los datos
3.Seguridad
de las personas
4.Seguridad
física y ambiental
5.Plan
de contingencia
6.Prevención
y detección de virus
7.Administración
de los computadores
Informatica Forense
Introducción a la informática
forense
Los intrusos informáticos poseen
diferentes motivaciones, alcances y estrategias que desconciertan a analistas,
consultores y cuerpos especiales de investigaciones, pues sus modalidades de
ataque y penetración de sistemas varían de un caso a otro.
La criminalística nos ofrece un
espacio de análisis y estudio hacia una reflexión profunda sobre los hechos y
las evidencias que se identifican en el lugar donde se llevaron a cabo las
acciones catalogadas como criminales.
La informática forense es una
disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y
técnicas de los intrusos informáticos, así como garante de la verdad alrededor
de la evidencia digital que se pudiese aportar en un proceso.
Definición
Digital
forensics (forensia digital): Una disciplina especializada que
procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?,
¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos
indebidos
Network
forensics (forensia en redes): Las operaciones de las redes de
computadores, es capaz, siguiendo los protocolos y formación criminalística, de
establecer los rastros, los movimientos y acciones que un intruso ha
desarrollado para concluir su acción.
Computer
forensics
(computación forense): procura
descubrir e interpretar la información en los medios informáticos para
establecer los hechos y formular las hipótesis relacionadas con el caso. Ofrece
un análisis de la información residente en dichos equipos.
Evidencia Digital
Categorías :
- Registros almacenados en el equipo de tecnología informática (P.e. correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
- Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.).
- Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, etc.).
La evidencia digital posee, entre
otros, los siguientes elementos que la hacen un constante desafío para aquellos
que la identifican y analizan en la búsqueda de la verdad:
- Es volátil
- Es anónima
- Es duplicable
- Es alterable y modificable
- Es eliminable
PROCEDIMIENTOS
- Esterilidad de los medios informáticos de trabajo: Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones magnéticas, ópticas (láser) o similares, las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas.
- Verificación de las copias en medios Informáticos: Las copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. El software u aplicación soporte de esta operación haya sido previamente probado y analizado por la comunidad científica, para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal.
- Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados: El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos.
- Mantenimiento de la cadena de custodia de las evidencias digitales: La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras.
- Informe y presentación de resultados de los análisis de los medios informáticos: la claridad, el uso de un lenguaje amable y sin tecnicismos. Informes: los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias.
- Administración del caso realizado: el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control.
- Auditoría de los procedimientos realizados en la investigación: Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina.
Herramientas
- ENCASE
- FORENSIC TOOLKIT
- WINHEX (FORENSIC EDICTION)
- Y OTRAS
Retos
1.El
reconocimiento de la evidencia digital como evidencia formal y válida: elemento que requiere un
tratamiento especial, más allá de las características legales requeridas, pues
éstas deben estar articuladas con los esfuerzos de seguridad de la información
vigentes en las organizaciones.
2.Los
mecanismos y estrategias de validación y confiabilidad de las herramientas
forenses en informática: Las
herramientas utilizadas actualmente en investigaciones forenses en informática
están cumpliendo una función importante para esclarecer los hechos ante
incidentes informáticos. La fragilidad inherente del software, la
vulnerabilidad presentes en las mismas y las limitaciones propias de los
lenguajes y prácticas de programación hacen que la comunidad académica y
científica redoble sus esfuerzos para hacer de estos programas, herramientas
más confiables y predecibles para los cuerpos de investigaciones judiciales y
organizacionales.
Conclusión
Existen
intrusos informáticos que tienen diferentes formas de ataques y ahí la informática forense que es una
disciplina que es la que nos permite
investigar, preservar, analizar
y presentar datos que sean válidos dentro de un proceso legal, ya que ayuda a
detectar pistas sobre ataques informáticos, robo de información, conversaciones
o pistas de emails, chats, entre otras cosas. Para esto se requiere de
una especialización y conocimientos avanzados en materia de informática y
sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que
ha sucedido.
RFC 3227
Los RFC (Request For
Comments) son una serie de documentos cuyo contenido es una propuesta oficial
para un nuevo protocolo de la red o línea guía de desarrollo de un proceso, que
explica con todo detalle para que en caso de ser aceptado pueda ser
implementado sin ambigüedades.
El “RFC 3227: Guía
Para Recolectar y Archivar Evidencia” escrito en febrero de 2002 por Dominique
Brezinski y Tom Killalea, ingenieros del Network Working Group. Es un documento
que provee una guía de alto nivel para recolectar y archivar datos relacionados
con intrusiones. Muestra las mejores prácticas para determinar la volatilidad
de los datos, decidir que recolectar, desarrollar la recolección y determinar
cómo almacenar y documentar los datos. También explica algunos conceptos
relacionados a la parte legal. Su estructura es:
a) Principios
durante la recolección de evidencia:
·
Orden de volatilidad de los datos: Al recoger pruebas se debe proceder de la
volatilidad a la menos volátil.
·
Cosas para evitar: Es muy fácil destruir la evidencia, aunque
inadvertidamente.
ð No parar hasta que se haya completado la recopilación de pruebas.
Muchas pruebas se pueden perder y el
atacante pudo haber alterado la inicio / scripts / servicios para destruir la
evidencia de apagado.
ð No fiarse de los programas en el sistema. Ejecutar sus pruebas, reunir los
programas de los medios de comunicación debidamente protegidas.
ð No ejecutar programas que modifican el tiempo de acceso de todos los
archivos de sistema.
ð Cuando la eliminación de vías externas para el cambio en cuenta que
simplemente desconectar o filtrado de la red puede desencadenar
"Interruptores hombre muerto" que detectan cuando están fuera de la
red y borrar la evidencia.
·
Consideraciones de privacidad:
ð Respetar las normas y directrices de su empresa y privacidad su
jurisdicción legal. En particular, asegúrese de que no información recogida
junto con la evidencia que está buscando para la que está disponible para
cualquier persona que normalmente no tienen acceso a esta información. Esto
incluye el acceso a los archivos de registro (que puede revelar los patrones de
comportamiento del usuario) así como datos personales archivos.
ð No inmiscuirse en la privacidad de las personas que no tienen una fuerte
justificación. En particular, no recogen información de áreas en las que
normalmente no tienen razones para acceder (por ejemplo, almacenes de archivos
personales), a menos que tenga indicios suficientes que no es un incidente
real.
ð Asegúrese de que tiene el respaldo de su empresa está establecida
procedimientos de adopción de las medidas que usted hace para reunir pruebas de
un incidente.
·
Consideraciones legales: Evidencia ordenador tiene que ser:
ð Admisibilidad: debe ajustarse a ciertas normas legales que tiene ante sí
puede ser puesto ante un tribunal.
ð Auténtico: Debe ser posible vincular positivamente probatoria material al
incidente.
ð Completa: Debe contar toda la historia y no sólo un en particular
perspectiva.
ð Confiable: No debe haber nada acerca de cómo la evidencia era recogidos y
sucesivamente tratados que arroja dudas sobre su autenticidad y veracidad.
ð Creíble: Debe ser fácilmente creíble y comprensible por un tribunal.
b) El
proceso de recolección: Los procedimientos de recolección deben ser lo más
detallado posible. Como es en el caso de los procedimientos generales de
gestión de incidentes, deberían ser inequívoca y debe reducir al mínimo la
cantidad de toma de decisiones sea necesario durante el proceso de recolección.
·
Transparencia: Los métodos utilizados para reunir pruebas
deben ser transparentes y reproducibles. Usted debe estar preparado para
reproducir con precisión el métodos que utiliza, y que esos métodos probados
por expertos independientes expertos.
·
Pasos de recolección
ð ¿Dónde está la evidencia? Lista de lo que los sistemas estaban involucrados
en el incidente y de la que se recogerán pruebas.
ð Establecer lo que es probable que sean pertinentes y admisibles. ¿Cuándo?
En caso de duda errar por el lado de la
recogida demasiado en lugar de no suficiente.
ð Para cada sistema, obtener la correspondiente orden de la volatilidad.
ð Retirar vías externas para el cambio.
ð Tras el fin de la volatilidad, reunir las pruebas con herramientas.
ð Registre el grado de sincronización del reloj del sistema.
ð Pregunta qué más puede ser evidencia a medida que trabaja a través de las
medidas de recaudación.
ð Documentar cada paso.
ð No se olvide de las personas involucradas. Tome nota de que estaba allí y
lo que estaban haciendo, lo que han observado y cómo reaccionado.
Siempre que sea posible se debe considerar
las sumas de comprobación de generación y firmar criptográficamente las pruebas
recogidas, ya que esto puede hacer que sea más fácil de conservar una fuerte
cadena de pruebas. Al hacer esto usted debe
No alterar la evidencia.
c)
El
proceso de archivo: La evidencia debe estar estrictamente
protegida. Además, la cadena de custodia debe estar claramente documentada.
·
La cadena de custodia: Usted debe ser capaz de describir
claramente cómo se encontró la evidencia, la forma en que se manejó y todo lo
que pasó con él. La siguiente necesidad de documentar:
ð ¿? Dónde, cuándo y por quién fue la evidencia descubierta y recogido.
ð ¿? Dónde, cuándo y por quién fue la evidencia manejada o examinado.
ð ¿? Quién tenía la custodia de la evidencia, durante qué período. ¿? Cómo
fue se almacena.
ð Cuando la evidencia cambió la custodia, cuando y como lo hizo el transferir
ocurrir (incluir números de envío, etc.)
·
Donde y como archivar: Si es posible, los medios de comunicación
de uso común (más que algunos de almacenamiento oscura los medios de
comunicación) se debe utilizar para el archivado.
Acceso a las pruebas debe ser
extremadamente limitado, y debe ser claramente documentado. Debería ser posible
detectar no autorizada acceder.
Se debe de tener los programas que se
necesitan para hacer la recopilación de pruebas y forense en medios de sólo lectura (por ejemplo, un CD). Se debe haber preparado este
conjunto de herramientas para cada uno de los sistemas operativos que se
gestionan antes de tener que usarlo.
Su conjunto de herramientas debe incluir
lo siguiente:
o
Un programa para el examen de los
procesos.
o
Programas para examinar el estado del
sistema.
o
Un programa para hacer copias de bit a
bit.
o
Programas para generar sumas de
comprobación y firmas.
o
Programas para la generación de imágenes
básicas y para examinarlas.
o
Secuencias de comandos para automatizar la
recopilación de pruebas.
Se debe estar preparado para dar fe de la
autenticidad y fiabilidad de las herramientas que se utilizan.
Suscribirse a:
Entradas (Atom)