Reconocimiento de los sistemas operativos.
Después de la BIOS, el sistema operativo (SO) es el primer programa de software que se encuentra cuando se enciende un computador, el sistema operativo permite que las aplicaciones (programas) se comuniquen con el equipo y entre otros programas a un nivel básico.
Hay esencialmente dos tipos de sistemas operativos, los dirigidos hacia el usuario doméstico y los orientados a las empresas o usuarios avanzados. Los sistemas operativos más utilizados se pueden dividir en tres familias: la familia de Microsoft Windows, la familia Unix / Linux y los sistemas operativos de Apple Macintosh.
Cada una de estas familias también ofrece versiones de sistemas operativos que están específicamente dirigidos a la administración de redes, por lo que son los más ampliamente utilizados en todo el mundo, de hecho, los sistemas Unix / Linux se consideran los sistemas operativos más seguros, estos están diseñados específicamente para la administración de redes.
La familia Apple Macintosh (en la actualidad en la versión OS X) es un sistema de red basado en Unix con funciones de red potente y muchas características de seguridad. Sin embargo, debido a ciertas diferencias de arquitectura inherentes a los equipos de Apple, Mac OS no han alcanzado la popularidad de los sistemas operativos Windows. (Mac OS es, sin embargo, considerado por muchos como el más adecuado para las organizaciones que utilizan gráficos intensos programas como CAD / CAM).
En la familia de Microsoft se encuentran los sistemas operativos Windows NT 4.0, 2000, Server, que se utilizan mas comúnmente en la administración de las redes de las organizaciones. Debido a que son fáciles de configurar y de usar, también, tienen una gran cantidad de aplicaciones desarrolladas para ellos siendo los sistemas operativos más populares y ampliamente utilizados en todo el mundo.
Si bien todos los sistemas operativos actuales ofrecen alguna medida de seguridad, son los sistemas operativos de red los que poseen las capacidades más grandes de seguridad. Permiten que los administradores de red especifiquen los privilegios de acceso a los archivos individuales, directorios y dispositivos de hardware.
Imágenes de Discos Duros.
El principio rector de la informática forense es reunir las posibles pruebas que luego serán analizadas y presentadas a un tribunal para demostrar la presencia de una actividad ilegal. Es importante aclarar que la información en un caso de informática forense no haya alteración, daño o alteración de los datos recolectados.
El primer paso para llevar a cabo un análisis forense adecuado es recopilar evidencia informática. Debido a que existe un cierto grado de volatilidad de los datos almacenados en un disco duro, crear una imagen bit a bit es uno de los primeros procedimientos que se deberán llevar a cabo, este procedimiento se hace después de que los contenidos de la memoria del computador han sido copiados y almacenados correctamente.
Crear una imagen del disco indica que se hace una copia espejo o una reproducción de los datos contenidos en el disco duro. La reproducción es una copia perfecta del disco duro sector por sector de la unidad, incluyendo todos los espacios no utilizados y los sobrescritos parcialmente.
De acuerdo con las especificaciones de imágenes de disco publicados por el Instituto Nacional de Estándares y Tecnología
(NIST), las exigencias de un alto nivel de imágenes de disco herramienta son las siguientes:
-La herramienta hará una duplicación del flujo de bits o una imagen de un disco original
-La herramienta no modificará el disco original.
-La herramienta será capaz de acceder tanto a discos IDE y SCSI.
-La herramienta deberá ser capaz de verificar la integridad de un archivo de imagen de disco.
-La herramienta deberá registrar los errores de entrada / salida (E / S).
-La documentación de la herramienta deberá ser correcta.
Además, el NIST recomienda los siguientes requisitos para todas las herramientas de imágenes en disco:
-La herramienta no deberá alterar el original.
-Si no hay errores de acceso a los medios de origen, la herramienta deberá crear un duplicado del original bit a bit.
-Si hay errores I / O para acceder a los medios de origen, la herramienta deberá crear un duplicado del flujo de datos identificando las áreas no accedidas y documentando en el registro este proceso.
-La herramienta deberá registrar los errores de E / S, incluyendo el tipo de error y la ubicación del error.
-La herramienta deberá ser capaz de acceder a las unidades de disco a través de una o más de los siguientes interfaces: acceso directo a la controladora de disco, interfaz BIOS, interfaz BIOS extendida, interfaz SCSI o interfaz de Linux.
Iniciar un caso de informática forense.
Un caso de ataque informático, se puede presentar de diferentes maneras según la ley 1273 de 2009 en Colombia, de acuerdo al ataque se origina el delito informático, una vez determinado el ataque se hace necesario establecer que tipo de fraude se desea comprobar para esto se hace necesario realizar un análisis a los equipos computacionales afectados para obtener las pruebas suficientes que demuestren el fraude.
De a cuerdo a las lecciones estudiadas en este modulo se indica en este espacio los aspectos más relevantes para iniciar la investigación en su orden:
1. Inspeccionar el sistema operativo instalado para determinar la forma de apagado del sistema
2. Apagar el sistema de acuerdo a las condiciones dadas para cada sistema operativo
3. Aislar los equipos informáticos, medios de almacenamiento y anotaciones
4. Crear las imágenes de los dispositivos encontrados en la escena del incidente
5. Determinar la cantidad de Información a recolectar.
6. Documentar todas las acciones realizadas anteriormente
Donde buscar evidencia.
- Evidencia Digital Almacenada en Dispositivos
Cuando se presenta el caso en que la evidencia está en formato digital el objetivo de la investigación debe ser el contenido del computador, no el hardware. Hay dos opciones cuando se recolecta evidencia digital: copiar todo, o sólo copiar la información necesaria. Si se dispone de mucho tiempo y no se sabe a ciencia cierta qué se está buscando, lo ideal es copiar todo el contenido del computador y examinar todo detenidamente.
Cuando se recolecta todo el contenido de un computador, en general los pasos a seguir son los mismos:
• Toda la evidencia importante debe ser leída de la memoria RAM.
• El computador debe ser apagado.
• El computador debe ser reiniciado usando otro sistema operativo que desvíe el existente y no cambie el contenido de el (los) disco(s) duro(s).
• Debería sacarse una copia de la evidencia digital encontrada en el (los) disco(s) duro(s).
• Debe tenerse en cuenta que cuando se habla de hacer una “copia” de un disco duro, ésta debería ser una copia bit-a-bit de todo el contenido de éste; muchísima información está “escondida” en sitios no convencionales de un disco duro.
- Evidencia Digital en Redes
Otra categoría de evidencia que puede ser recolectada en el caso de los crímenes informáticos es la evidencia presente en las redes. Todo el flujo de información que corre a través de una red, sea interna o externa a una organización o aún en Internet podría contener evidencia potencialmente útil a la hora de investigar un delito informático.
Adicionalmente, hay ciertos tipos de crímenes, como la falsificación de correos electrónicos, intercambio de información ilegal a través de Internet (por ejemplo pornografía infantil) o uso del IRC para concertar crímenes (práctica común entre la comunidad hacker) que no podrían cometerse sin la utilización de redes. En este caso la evidencia digital difiere de aquella que está almacenada en un solo computador porque se encuentra almacenada en computadores remotos o no está almacenada en ninguna parte.
Analizando información.
Recolección
La recolección adecuada de los rastros de evidencia implica establecer un mecanismo el cual asegure a quien debe realizarse la evaluación y el juicio, que los elementos ofrecidos como prueba documental informática, son confiables, esto quiere decir que durante su recolección o manipulación para su análisis, no han sufrido alteración o adulteración alguna.
Es necesario entender que para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria, es necesario que la misma garantice su confiabilidad, evitando principalmente suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción, ya sea mediante borrado o denegación de servicio, como ocurre con la información volátil. Por tal razón para las actividades a realizarse desde su recolección, hasta su disposición final, debe implementarse un procedimiento con soporte teórico científico, metodológico criminalística, estrictamente técnico y procesalmente adecuado
Recolección
La recolección adecuada de los rastros de evidencia implica establecer un mecanismo el cual asegure a quien debe realizarse la evaluación y el juicio, que los elementos ofrecidos como prueba documental informática, son confiables, esto quiere decir que durante su recolección o manipulación para su análisis, no han sufrido alteración o adulteración alguna.
Es necesario entender que para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria, es necesario que la misma garantice su confiabilidad, evitando principalmente suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción, ya sea mediante borrado o denegación de servicio, como ocurre con la información volátil. Por tal razón para las actividades a realizarse desde su recolección, hasta su disposición final, debe implementarse un procedimiento con soporte teórico científico, metodológico criminalística, estrictamente técnico y procesalmente adecuado
Para la recolección de los datos probatorios se recomienda la realización de las siguientes actividades, utilizando la aplicación CAINE como software de análisis:
1. Apague el equipo desconectando el cable de alimentación eléctrica
2. Retire cualquier otro dispositivo de almacenamiento que pueda se utilizado para el inicio del equipo (CD, PenDirve, Zip, otros).
3. Elimine la posibilidad de dañar los elementos de almacenamiento por descargas de electricidad estática, eliminando la propia, tocando alguna parte metálica o mediante el uso de una manilla antiestática y prosiga a abrir el gabinete
4. Desconecte la interfaz o el bus de datos del disco duro.
5. Desconecte la alimentación eléctrica del disco duro.
6. En este momento es necesario recolectar la información referente al equipo al cual esta conectado el dispositivo que se va a emplear como prueba, para realizar esto haga lo siguiente:
7. Conecte el equipo a la corriente eléctrica, enciéndalo e ingrese a la CMOS o BIOS, para lo cual debe seleccionar el conjunto de teclas que se muestran en la pantalla de inicio, los mas comunes son F2, Sup, F9, entre otros.
8. Verifique la fecha y hora del CMOS, regístrelas en un formulario de recolección de evidencia, el cual deberá permitir documentar todo tipo de dato que el Perito Informático Forense considere relevante de igual manera para comprobar la integridad de la información recolectada, además del proceso de documentación es necesario obtener evidencias gráficas de los datos recolectados, tal es el caso de fotografías, videos u otros.
9. Ubicado en la BIOS del equipo, diríjase al apartado de Menú de Inicio y modifique la unidad de arranque del sistema operativo, para este caso y como se esta empleado la distribución CAINE, se deberá seleccionar la unidad de CD y se procede a grabar los cambios.
10. Coloque la distribución de CAINE en la unidad de arranque y verifique que el equipo inicie con esta unidad.
11. Continúe apagando nuevamente el equipo y reconecte la unidad de disco duro o PenDrive que ha sido secuestrada como evidencia.
12. Ubique y conecte un dispositivo adicional para el almacenamiento forense.
13. Encienda el equipo e inicie con la versión de CAINE seleccionada.
14. Una vez iniciado CAINE proceda con la duplicación y autenticación de la prueba, haciendo uso de las herramientas para la recolección de información (AIR, GUYMAGER) que se encuentran en esta distribución.
15. Realice la comprobación de la imagen mediante la verificación del hash MD5, haciendo uso del aplicativo GtkHash.
16. Obtenga una copia digital de este valor mediante la captura de pantalla y guarde el resultado en el dispositivo de almacenamiento forense.
17. Proceda a registrar el resultado del hash MD5 en un formulario de recolección de la evidencia.
Resguardo y traslado de las pruebas
Cuando el proceso de recolección finaliza se debe continuar con el procedimiento para el resguardo de la prueba y preparación para su traslado, para lo cual es necesario, seguir los siguientes pasos:
1. Proceda al apagado del equipo, mediante el uso del comando de apagado de la distribución CAINE, en la opción de finalización con expulsión del CD.
2. Desconecte el bus de datos y la alimentación del disco duro o retire el PenDrive u otro dispositivo.
3. Ubíquese en una zona despejada, para realizar el proceso de rotulado y registro.
4. Proteja con plástico o con bolsas estériles cualquier otro elemento que considere relevante y rotúlelo con los datos pertinentes al elemento y al perito informático forense.
5. Documente el proceso de recolección mediante la elaboración de un acta de secuestro
6. Coloque los elementos una vez identificados y registrados en una caja o recipiente de traslado que asegure la suficiente rigidez, aislamiento térmico, electromagnético y protección para evitar daños accidentales en el traslado de los elementos probatorios.
7. Traslade, si es posible, los elementos secuestrados reunidos en un único recipiente, evitando la confusión, separación o pérdida durante su almacenamiento posterior.
Una vez finalizado el proceso de almacenamiento y ya en el laboratorio forense, se continua con el análisis de la información, el cual busca básicamente responder los interrogantes.
Análisis
Para el análisis de la información existen diferentes técnicas que pueden ser aplicadas, las cuales dependen de la información que se desee recolectar, como se esta haciendo uso de la distribución CAINE, se empleara el software Autopsy para el análisis de las evidencias recolectadas a continuación se presenta en detalle los pasos a seguir para realizar el proceso según sea el tipo de datos que se busca identificar.
1. Inicialmente se hace necesario identificar si se trata de una imagen de disco, una partición u otro tipo de imagen, para este propósito se analizan los primeros bytes de la imagen con un editor hexadecimal, como Hex Editor (Ghex) que se encuentra en la distribución CAINE.
2. Continúe iniciando el software Autopsy
3. Ingrese los datos referentes al caso
4. Adicione la imagen con la cual se va a realizar el análisis, se recomienda emplear imágenes con extensión img, llene los siguientes datos:
• Ubicación
• Tipo de imagen (Disco o partición)
• Método de importación
5. Calcule el valor hash MD5 de la imagen y compárelo con el valor generado al momento de recolectar la información para determinar la valides de la imagen, llene el formulario de registro de evidencias al igual que obtenga una imagen de la pantalla para el registro de la documentación.
6. En primer lugar, se hace necesario responder a las siguiente interrogantes, con el análisis de la imagen que se tiene por evidencia, ya sea en el lugar del hecho o en el laboratorio, para la realización del estudio se empleara alguna de las herramientas disponibles en el compilado CAINE, sin embargo se aplicara como herramienta principal para la recolección de evidencias Autopsy
7. Una vez identificados los elementos anteriormente seleccionados, volver a generar la autenticación matemática de los datos a través del algoritmo de hash al finalizar la detección, recolección y registro, para validar los resultados obtenidos, de igual manera a medida que se va realizando el proceso de recolección de información debe documentarse todo el proceso en los formularios correspondientes y en el software Autopsy que se emplea como herramienta principal para el análisis de evidencias.
8. Se debe realizar un proceso documentado en el cual se describa la forma en la que se conservan las copias del software utilizado y realizar el proceso de almacenamiento final de las mismas.
buen articulo necesito un perito informático saben donde puedo contratarlo ya que no quiero simplemente depender de las autoridades que ofrezca el estado quiero garantizar una sentencia a favor contratando a los mejores
ResponderEliminarSaludos, el material posteado cual es su referencia para citarlo
ResponderEliminarEl perito es la persona que por sus conocimientos científicos, artísticos o prácticos puede dar un dictamen para percibir o apreciar hechos concretos que se pretende aclarar en una cuestión. El perito tiene en el proceso el carácter de auxiliar del juez, porque solamente cuando éste estime que son necesarios conocimientos especiales en la materia que él no posee debe admitir la prueba pericial.
ResponderEliminarclick aquí y conoce a los mejores peritos para tu caso
La diferencia entre disponer del servicio de un gabinete pericial y el de un perito individual radica en la capacidad del gabinete peritos españa de dar respuesta a situaciones más variadas y diferentes. Es esencial que los profesionales del gabinete, especializados en cada materia, muestren profesionalidad y compromiso hasta en el menor de los detalles. Sea cual sea su especialidad, el perito está obligado a actuar siempre de conformidad con las reglas éticas y morales que rigen su profesión. Nuestros profesionales quedan sujetos siempre al código deontológico de nuestra profesión.
ResponderEliminarSaludos a todo vivimos en una época que está caracterizada por la denominada Sociedad de la Información, en la que se está experimentado un proceso de eliminación del papel y generando una dependencia casi total de los sistemas informáticos.
ResponderEliminarEstamos sufriendo grandes cambios en las tecnologías, software, plataformas, medios de almacenamiento e incluso en la legislación y con ello aparecen nuevos ciberdelincuentes que emplean estas tecnologías para cometer infracciones por lo cual es cada vez mas necesario la ayuda de un perito informatico Barcelona que ayude con la labor.
Como en todo trabajo, existen ciertos perfiles que son necesarios, o al menos beneficiosos, para la labor que se debe realizar. En el caso del perito informático, nos encontramos con un perfil bastante específico en lo que es el mundo de la ciberseguridad, debido a que tiene dos patas muy importantes: el conocimiento de la ciberseguridad por un perito informático y el conocimiento de los aspectos legales del ciberdelito.
ResponderEliminarLos perito en barcelona también pueden ayudar a las empresas a cumplir con las regulaciones de privacidad y seguridad de datos. Pueden proporcionar evaluaciones de riesgos y auditorías de seguridad para garantizar que las empresas estén cumpliendo con las leyes y regulaciones aplicables.
ResponderEliminar