INFORMÁTICA FORENSE

Presentan:Carrillo Nava Gustavo AdolfoGuillen Reyes Miguel ÁngelMorales Muñoz Jesús David

Ciencia Forense

Nos proporciona los principios y técnicas que facilitan la investigación de los delitos criminales, mediante la identificación, captura, reconstrucción y análisis de las evidencias.

Informática Forense Se encarga de adquirir, preservar, obtener

y presentar datos que han sido procesados electrónicamente y guardados en un medio electrónico.

(Definición propuesta por el FBI)

Un Equipo Forense

Estará constituido por expertos con los conocimientos y experiencias necesarias en el desarrollo de estas actividades.

ETAPAS EN EL ANÁLISIS FORENSE DE

UN INCIDENTE INFORMÁTICO

Identificación y captura de las evidencias.

Preservación de las evidencias.

Análisis de la información obtenida.

Elaboración de un informe con las conclusiones del análisis forense.

IDENTIFICACIÓN Y CAPTURA DE LAS

EVIDENCIAS

A pesar de ser intangibles, las evidencias digitales o electrónicas pueden ser admitidas como prueba en un juicio.

Aislamiento de la escena del crimen para evitar la corrupción de esta y de las evidencias que en ella pueda hallarse.

Es posible generar distintas copias de evidencia digitales para facilitar su conservación y posterior análisis.

La tecnología informática permitirá averiguar si alguna de estas copias ha sido modificada o falsificada.

Conviene utilizar herramientas de almacenamiento, que se pueda ejecutar directamente sin la necesidad de instalar un software que pueda contener troyanos.

Evidencias Volátiles

Toda aquella información que se perderá al apagar un equipo informático por ejemplo:

Volcado de memoria global del sistema.Procesos y servicios en ejecución.Drivers Información de la situación y configuración de

servicios y las tarjetas de red.Sesiones que se encuentran abiertas en el

momento.

Obtención de los Discos Duros

Apagar repentinamente el equipo para evitar la perdida de información

Arrancar desde el CD-ROM con un Disco live con S.O de MS-DOS o LINUX.

Se procede a hacer una imagen del disco duro.

PRESERVACIÓN DE LA EVIDENCIAS

DIGITALES

Se deberá utilizar un adecuado método de identificación, precinto, Etiquetado y almacenamiento de evidencias.

Se deberá documentar todo el proceso de obtención de las evidencias deberá precisar y reflejar lugar y personas que intervinieron en el proceso y cada una de las evidencias

ANÁLISIS DE LAS EVIDENCIAS OBTENIDAS

Identificación de los tipos de archivos, a

partir de sus extensiones.

Visualización de los ficheros gráficos.

Estudio de las fechas de creación, cambio

y ultimo acceso a los ficheros.

Revisión de los permisos de acceso y ejecución de los

ficheros.

Revisión de los distintos ficheros temporales obtenidos

en la imagen del sistema como lo es la memoria cache.

Información y ficheros ocultos mediante técnicas estenográficas (disciplina que estudia el conjunto de técnicas cuyo fin es la ocultación de información)

• Con las herramientas adecuadas también es posible recuperar fragmentos de antiguos ficheros, además de facilitar el análisis de los datos que pudieran encontrarse en los espacios de separación de la particiones y sectores del disco

Organismos de Informática forense

ASOCIACIÓN INTERNACIONAL DE ESPECIALISTAS EN INVESTIGACIÓN INFORMÁTICA

ASOCIACIÓN INTERNACIONAL SOBRE LAS EVIDENCIAS INFORMÁTICA

PLAN DE RECUPERACIÓN DEL NEGOCIO

Las empresas son mas consientes de la necesidad de prevenirse en caso de situaciones catastróficas como pueden ser:

IncendiosInundacionesTerremotosHuracanes

• Medios adecuados que permitan restaurar el funcionamiento de un sistema informático de la organización:

Disponibilidad de un Centro Alternativo (servidor y bases de datos corporativos)

Existencia de líneas back-up para las comunicaciones

Sistemas de almacenamiento RAID en los servidores.

• Implantación de clusters de servidores con balanceo de carga

Centro Alternativo o Centro Back-up

• Es un local o edificio exclusivamente dedicado a las copias de seguridad de los datos críticos para el negocio suficientemente actualizados y con el equipo necesario.

Estrategias de un Centro

Alternativo

A. No de dispone de un centro alternativo y no existen copias de seguridad, debemos señalar que un porcentaje importante de organizaciones y empresas de todo tipo y de menor tamaño se encuentran en esta situación.

B. Trasporte periódico de copias de seguridad a un almacén, el tiempo de recuperación de la información pude ser de mas de una semana ya que no solo se tienen las copias de seguridad y no los equipos

C. Centro alternativo “Frio” un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización.

D. Centro alternativo “CALIENTE” un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios críticos de la organización los datos se replican cada día o cada hora.

E. Centro alternativo “CALIENTE” en una configuración en espejo o “mirror” un centro que cuenta con un equipamiento que el centro principal y trabaja de modo paralelo pudiendo entrar de manera inmediata a la caída del centro principal.

PROCEDIMIENTO PARA LA RECUPERACION

Detección y respuesta del desastre en el Centro Principal: incendio, inundación, etc.

Traslado de la actividad al Centro Alternativo: poner en marcha los servidores y equipos informáticos.

Recuperacion del Centro Principal Siniestrado