TALLERES GESTION DE LA SEGURIDAD INFORMATICA

PRESENTADO A: ING. JOHN JAIRO ECHEVERRY

PRESENTADO POR: MAURICIO ALEJANDRO CARVAJAL VELASCO Cdigo: 2010150016 JOSE ALFREDO CASALLAS MONTAO Cdigo: 2010150041

ESCUELA COLOMBIANA DE CARRERAS INDUSTRIALES E.C.C.I.

FACULTAD DE INGENIERA INGENIERA DE SISTEMAS AGOSTO DE 2012 BOGOTA D.C.

TABLA DE CONTENIEDO TALLER METADATOS ........................................................................................... 3 TALLER DATOS VOLATILES ................................................................................. 3 TALLER HUELLA DIGITAL ..................................................................................... 3 TALLER VOLCADO DE MEMORIA ........................................................................ 3 TALLER BORRADO SEGURO ............................................................................... 4 TALLER EXTRACCION DE IMGENES ................................................................ 4 TALLER ANALISIS HELIX ...................................................................................... 4 TALLER ANALISIS LIVE ......................................................................................... 5 TALLER ANALISIS DE EVIDENCIAS ..................................................................... 5

TALLER METADATOS Recordemos que los metadatos son muy importantes para la recaudacin de evidencia por que podemos concluir que son datos de los mismos datos, y esta nos permite mostrar la fecha de creacin, modificacin y ultimo acceso que se ha realizado de los archivos y carpetas encontrados en el equipo que se est analizando, es importante aclarar que para este fin se debe utilizar una herramienta especializada por que es necesario preservar la evidencia original para esto la herramienta debe tener la cualidad de poder ejecutarse desde memoria y no ser instalada en el equipo por que se alterara la evidencia y no se cumplira la regla de preservar en lo mximo la evidencia original. TALLER DATOS VOLATILES La recoleccin de datos voltiles se debe realizar desde DOS y se debe almacenar en una unidad externa que puede ser un dispositivo USB o un disco duro externo, esta extraccin de datos se debe realizar con el equipo encendido ya que la informacin que se desea capturar esta generalmente en la memoria RAM del equipo a analizar y si este es apagado toda esta informacin se podra perder. Es muy importante tener presente que se debe tener un kit de herramientas portables para realizar esta actividad por que debemos evitar en lo posible utilizar los comandos ejecutables del equipo involucrado por que estos tambin se pueden estar modificados y pueden modificar la informacin. TALLER HUELLA DIGITAL El hash o huella digital es una pieza vital para la computacin e investigacin forense y consiste en dar una identificacin de forma nica a un archivo mediante algoritmos, y se utiliza para validar o verificar la autenticidad o mismidad de la evidencia en este caso uno o varios archivos y as comprobar que no ha sido modificado su contenido. La huella digital de archivos es una pieza fundamental de la informtica forense por que es de la mejor forma de comprobar y disminuir la duda aceptable de que la informacin es la original recolectada en la escena intervenida. TALLER VOLCADO DE MEMORIA Esta es una tcnica importante que nos permite capturar toda la informacin contenida en la memoria RAM de un equipo intervenido en un incidente, para que esta tcnica sea efectiva el equipo intervenido debe estar encendido ya que la informacin que se encuentra en la memoria RAM es voltil y cuando el equipo es apagado toda esta informacin se pierde. Esta informacin se debe extraer en un medio externo de almacenamiento para su anlisis, aunque esta informacin es muy compleja para analizar debido que la memoria RAM no posee un sistema de ordenamiento de archivos es muy importante realizar este procedimiento durante la intervencin de un escena. Adicional es necesaria para darle la oportunidad a la

contra parte en un caso de poder realizar su propia investigacin y extraer sus propias pruebas. TALLER BORRADO SEGURO La tcnica de borrado seguro nos permite esterilizar los medios de almacenamiento como son las Flash Drive, para ello no basta con formatear o eliminar los datos contenidos en estas unidades de almacenamiento ya que este tipo de borrado de bajo nivel no elimina la informacin por completo y esta despus de este proceso se puede recuperar. Para lograr un borrado seguro debemos utilizar una software especializado para ello, en este caso utilizamos la herramienta Encase Acquisition la cual nos permite sobrescribir caracteres de tipo hexadecimal en los clster de la memoria garantizando as el borrado seguro. La importancia en el uso de esta tcnica radica en que siempre que se va intervenir en un incidente para capturar la evidencia debemos contar con medios de almacenamiento estriles que nos permitan evitar la contaminacin de la informacin extrada alterando la validez de la misma, evitando as que se pueda llegar a mezclar informacin del incidente con otra que no tiene nada que ver por utilizar medios no esterilizados. TALLER EXTRACCION DE IMGENES La utilizacin de esta tcnica es el procedimiento ms importante para la captura de evidencia en la investigacin de incidentes en la computacin forense consiste en la obtencin de una copia de un medio de almacenamiento. Es recomendable en el momento de realizar este proceso la obtencin de dos imgenes del medio original para realizar el proceso de investigacin, existen dos tipos de imgenes que podemos realizar una imagen lgica que es recomendable realizarla sobre servidores y equipos que no se puedan apagar y que deben estar en funcionamiento para la obtencin de la misma, y la imagen de tipo fsico que consiste en copiar toda la extensin del medio original sin omitir ningn sector del mismo, esta es recomendable para computadores de escritorio y computadores porttiles y se debe realizar cuando estos estn apagados. TALLER ANALISIS HELIX Esta es una herramienta muy valiosa para la recoleccin por que es una herramienta free y que permite el anlisis de diferentes parmetros en la recoleccin de evidencia como es la informacin del sistema, programas instalados y ejecutados, servicios que se estn ejecutando y algo muy importante podemos analizar archivos sin modificar la metadata de la informacin, tambin permite la bsqueda y visualizacin de todas las imgenes ubicadas en unidades lgicas y fsicas. Tambin es una herramienta que permite ver en cdigo hexadecimal de las unidades fsicas el Master Boot Sector. En general es una gran herramienta que permite de forma gratuita el anlisis de informacin de equipos involucrados en un incidente.c

TALLER ANALISIS LIVE El mac time es un dato muy importante para garantizar el valor probatorio de la evidencia digital, existen varias herramientas para extraer esta informacin pero una de las mas fcil ejecucin y de forma gratuita es el macmatch pues nos permite seleccionar un rango de fechas para analizar todos y cada uno de los archivos que se encuentren en una unidad tanto fsica como lgica. El resultado de esta herramienta nos permite analizar los archivos modificados, creados o accedidos en este rango de fechas y centrarnos en los mismo para evitar en lo posible la extraccin de imgenes completas de unidades lgicas o fsicas, una vez identificados los archivos involucrados se puede realizar una imagen de los mismos para proceder a su almacenamiento seguro de la evidencia original y de las imgenes para poder realizar un anlisis. TALLER ANALISIS DE EVIDENCIAS Para el anlisis de evidencias contamos con programas gratuitos los cuales brindan herramientas muy valiosas para la recoleccin de evidencias y anlisis forense reduciendo el tiempo que se toma estas actividades, por ejemplo la bsqueda de imgenes sin modificar los metadatos de la informacin se puede realizar con hlix una valiosa y gran herramienta. Se debe de ser muy objetivo para el anlisis no se pueden realiza conjeturas y apreciaciones personales pues nuestra labor es la recoleccin de evidencia y presentacin de la misma para evitar cualquier duda aceptable.