Para la recolección de evidencias en la inspección forense, es muy habitual utilizar distribuciones live (software que se ejecutan desde el CD o DVD) esto sirve para tener la integridad del disco original por que no utilizan el espacio de disco escenario del crimen. Tan sólo leen datos, garantizándose la asepsia en la recogida de pruebas.
La recolección de pruebas se centrará en los servicios que sospechemos estén o hayan sido comprometidos. No está de más recoger pruebas genéricas y de servicios aparentemente no comprometidos, todo dependerá de la ventana de tiempo asignada para la recuperación de la máquina analizada. Para estos menesteres, las distribuciones forenses están repletas de herramientas libres de análisis.
Reanimación cautelar
Una vez detectadas las fuentes de problemas, se procede a subsanar y a reanimar los servicios. A veces es necesario reactivar la máquina antes de subsanar, por cuestiones de tiempo. Sea como fuere, el análisis de campo debe concluir con la puesta en servicio de la máquina comprometida habiéndose aplicado las medidas cautelares de prevención estimadas como necesarias para garantizar que la máquina puede entrar en operación de un modo seguro.
El trabajo de gabinete
Con los registros y las evidencias, pasamos al trabajo de gabinete, eso sí, mirando de reojo la máquina reactivada, para verificar que las medidas de prevención funcionan y para ver si la actividad sospechosa ha finalizado o no. El trabajo de despacho concluye con el informe o análisis forense, un documento que debe contener, al menos:
Descripción detallada de las condiciones de contorno antemortem
Descripción de la situación del sistema postmortem
Descripción de los datos recolectados, metodologías y herramientas aplicadas
Descripción de las medidas cautelares de recuperación y garantías obtenidas
Informe final de incidencias, causas y medidas de corrección
Análisis completo de servicios y estado de vulnerabilidad global
Proposición de mejoras y conclusiones
Es un resumen rápido de las principales tareas cuando nos enfrentamos a un problema similar al descrito.
sábado, 27 de septiembre de 2008
sábado, 6 de septiembre de 2008
Ahora quien nos salvaraaa!!!!!!!!!!!
Buscando un tema interesante para no decepcionar otra vez al profesor flores
Me tope un tema escalofriante y a la vez preocupante se podría decir.
Se trata de la empresa más popular del mundo nos referimos nada más y nada menos a la Microsoft se menciona en varios artículos que por intermedio de los productos de Microsoft estamos en un claro peligro de ser espiado y esto a que se debe a que hay una relación entre Microsoft y la Agencia Nacional de Seguridad de los EE.UU (NSA).
Pero que es la NSA Durante mucho tiempo incluso su existencia no fue admitido por el gobierno de los Estados Unidos. Se la llegó a conocer como No Such Agency (no hay tal agencia). NSA se encargaría de obtener y analizar información transmitida por cualquier medio de comunicación. Sus actividades de espionaje incluyen la radiodifusión, tanto de organizaciones como de individuos, Internet, y otras formas de comunicación, sobre todo confidenciales.
Se rumorea que NSA tiene algún tipo de injerencia en los productos de Microsoft
Me tope un tema escalofriante y a la vez preocupante se podría decir.
Se trata de la empresa más popular del mundo nos referimos nada más y nada menos a la Microsoft se menciona en varios artículos que por intermedio de los productos de Microsoft estamos en un claro peligro de ser espiado y esto a que se debe a que hay una relación entre Microsoft y la Agencia Nacional de Seguridad de los EE.UU (NSA).
Pero que es la NSA Durante mucho tiempo incluso su existencia no fue admitido por el gobierno de los Estados Unidos. Se la llegó a conocer como No Such Agency (no hay tal agencia). NSA se encargaría de obtener y analizar información transmitida por cualquier medio de comunicación. Sus actividades de espionaje incluyen la radiodifusión, tanto de organizaciones como de individuos, Internet, y otras formas de comunicación, sobre todo confidenciales.
Se rumorea que NSA tiene algún tipo de injerencia en los productos de Microsoft
Algunos de Sus mecanismos
*troyanos preinstalados en Windows que permiten el control total de tu PC/Windows por parte de los agentes de la NSA
*Los IP publicados por Cryptome (Cryptome acoge publicaciónes de documentos que estén prohibidas por los gobiernos en todo el mundo, en particular, material sobre la libertad de expresión) y son utilizados por la NSA, por contratistas del sector privado que trabajan con la NSA y por agencias gubernamentales no estadounidenses amigas de la NSA para acceder tanto a sistemas independientes como a redes ejecutando productos de Microsoft. Esto incluye el espionaje de "smart phones" ejecutando Microsoft Mobile.Los privilegios de administración remota permiten utilizar puertas traseras en los sistemas operativos de Microsoft mediante los puertos TCP/IP 1024 a 1030. Esto es disparado con más frecuencia cuando los ordenadores visitan los servidores de actualizaciones de Microsoft. Una vez se han establecido los privilegios de administración remota, los ordenadores pueden ser accedidos de forma remota a voluntad. Algunos fabricantes de cortafuegos y software de detección de intrusos facilitan eso de forma consciente.
Esto con llevara a que cualquier usuario o empresa que tenga un producto de Microsoft siempre estar vigilado.
Suscribirse a:
Entradas (Atom)
Entradas
