sábado, 27 de septiembre de 2008

Recolección de evidencias

Para la recolección de evidencias en la inspección forense, es muy habitual utilizar distribuciones live (software que se ejecutan desde el CD o DVD) esto sirve para tener la integridad del disco original por que no utilizan el espacio de disco escenario del crimen. Tan sólo leen datos, garantizándose la asepsia en la recogida de pruebas.
La recolección de pruebas se centrará en los servicios que sospechemos estén o hayan sido comprometidos. No está de más recoger pruebas genéricas y de servicios aparentemente no comprometidos, todo dependerá de la ventana de tiempo asignada para la recuperación de la máquina analizada. Para estos menesteres, las distribuciones forenses están repletas de herramientas libres de análisis.
Reanimación cautelar
Una vez detectadas las fuentes de problemas, se procede a subsanar y a reanimar los servicios. A veces es necesario reactivar la máquina antes de subsanar, por cuestiones de tiempo. Sea como fuere, el análisis de campo debe concluir con la puesta en servicio de la máquina comprometida habiéndose aplicado las medidas cautelares de prevención estimadas como necesarias para garantizar que la máquina puede entrar en operación de un modo seguro.
El trabajo de gabinete
Con los registros y las evidencias, pasamos al trabajo de gabinete, eso sí, mirando de reojo la máquina reactivada, para verificar que las medidas de prevención funcionan y para ver si la actividad sospechosa ha finalizado o no. El trabajo de despacho concluye con el informe o análisis forense, un documento que debe contener, al menos:
Descripción detallada de las condiciones de contorno antemortem
Descripción de la situación del sistema postmortem
Descripción de los datos recolectados, metodologías y herramientas aplicadas
Descripción de las medidas cautelares de recuperación y garantías obtenidas
Informe final de incidencias, causas y medidas de corrección
Análisis completo de servicios y estado de vulnerabilidad global
Proposición de mejoras y conclusiones
Es un resumen rápido de las principales tareas cuando nos enfrentamos a un problema similar al descrito.
Publicado por en

1 comentario:

Ingenieria de Computacion y Sistemas dijo...

copiado de http://www.sahw.com/wp/archivos/2006/02/02/analisis-forense-en-entornos-unix-y-derivados/

3 de octubre de 2008, 18:33

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)