informatica forense
TRANSCRIPT
INFORMÁTICA FORENSE
Presentan:Carrillo Nava Gustavo AdolfoGuillen Reyes Miguel ÁngelMorales Muñoz Jesús David
Ciencia Forense
Nos proporciona los principios y técnicas que facilitan la investigación de los delitos criminales, mediante la identificación, captura, reconstrucción y análisis de las evidencias.
Informática Forense Se encarga de adquirir, preservar, obtener
y presentar datos que han sido procesados electrónicamente y guardados en un medio electrónico.
(Definición propuesta por el FBI)
Un Equipo Forense
Estará constituido por expertos con los conocimientos y experiencias necesarias en el desarrollo de estas actividades.
Identificación y captura de las evidencias.
Preservación de las evidencias.
Análisis de la información obtenida.
Elaboración de un informe con las conclusiones del análisis forense.
A pesar de ser intangibles, las evidencias digitales o electrónicas pueden ser admitidas como prueba en un juicio.
Aislamiento de la escena del crimen para evitar la corrupción de esta y de las evidencias que en ella pueda hallarse.
Es posible generar distintas copias de evidencia digitales para facilitar su conservación y posterior análisis.
La tecnología informática permitirá averiguar si alguna de estas copias ha sido modificada o falsificada.
Conviene utilizar herramientas de almacenamiento, que se pueda ejecutar directamente sin la necesidad de instalar un software que pueda contener troyanos.
Evidencias Volátiles
Toda aquella información que se perderá al apagar un equipo informático por ejemplo:
Volcado de memoria global del sistema.Procesos y servicios en ejecución.Drivers Información de la situación y configuración de
servicios y las tarjetas de red.Sesiones que se encuentran abiertas en el
momento.
Obtención de los Discos Duros
Apagar repentinamente el equipo para evitar la perdida de información
Arrancar desde el CD-ROM con un Disco live con S.O de MS-DOS o LINUX.
Se procede a hacer una imagen del disco duro.
Se deberá utilizar un adecuado método de identificación, precinto, Etiquetado y almacenamiento de evidencias.
Se deberá documentar todo el proceso de obtención de las evidencias deberá precisar y reflejar lugar y personas que intervinieron en el proceso y cada una de las evidencias
Identificación de los tipos de archivos, a
partir de sus extensiones.
Visualización de los ficheros gráficos.
Estudio de las fechas de creación, cambio
y ultimo acceso a los ficheros.
Revisión de los permisos de acceso y ejecución de los
ficheros.
Revisión de los distintos ficheros temporales obtenidos
en la imagen del sistema como lo es la memoria cache.
Información y ficheros ocultos mediante técnicas estenográficas (disciplina que estudia el conjunto de técnicas cuyo fin es la ocultación de información)
• Con las herramientas adecuadas también es posible recuperar fragmentos de antiguos ficheros, además de facilitar el análisis de los datos que pudieran encontrarse en los espacios de separación de la particiones y sectores del disco
Organismos de Informática forense
ASOCIACIÓN INTERNACIONAL DE ESPECIALISTAS EN INVESTIGACIÓN INFORMÁTICA
ASOCIACIÓN INTERNACIONAL SOBRE LAS EVIDENCIAS INFORMÁTICA
Las empresas son mas consientes de la necesidad de prevenirse en caso de situaciones catastróficas como pueden ser:
IncendiosInundacionesTerremotosHuracanes
• Medios adecuados que permitan restaurar el funcionamiento de un sistema informático de la organización:
Disponibilidad de un Centro Alternativo (servidor y bases de datos corporativos)
Centro Alternativo o Centro Back-up
• Es un local o edificio exclusivamente dedicado a las copias de seguridad de los datos críticos para el negocio suficientemente actualizados y con el equipo necesario.
A. No de dispone de un centro alternativo y no existen copias de seguridad, debemos señalar que un porcentaje importante de organizaciones y empresas de todo tipo y de menor tamaño se encuentran en esta situación.
B. Trasporte periódico de copias de seguridad a un almacén, el tiempo de recuperación de la información pude ser de mas de una semana ya que no solo se tienen las copias de seguridad y no los equipos
C. Centro alternativo “Frio” un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización.
D. Centro alternativo “CALIENTE” un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización los datos se replican cada día o cada hora.
E. Centro alternativo “CALIENTE” en una configuración en espejo o “mirror” un centro que cuenta con un equipamiento que el centro principal y trabaja de modo paralelo pudiendo entrar de manera inmediata a la caída del centro principal.
PROCEDIMIENTO PARA LA RECUPERACION
Detección y respuesta del desastre en el Centro Principal: incendio, inundación, etc.
Traslado de la actividad al Centro Alternativo: poner en marcha los servidores y equipos informáticos.
Recuperacion del Centro Principal Siniestrado