UNIVERSIDAD TECNOLGICA EQUINOCCIAL

AUDITORA DE TECNOLOGA DE LA INFORMACIN Y DE LA

COMUNICACIN

TEMA: METODOLOGA DEL ANALISIS FORENSE

INTEGRANTES: LUGUAA ALEXANDRA
VALLEJO ANDRS
NIVEL: OCTAVO

02 DE ABRIL DEL 2014

INTRODUCCIN

El anlisis forense es un rea perteneciente al mbito de la seguridad

informtica surgida a raz del incremento de los diferentes incidentes de
seguridad.

En el anlisis forense se realiza un anlisis posterior de los incidentes de

seguridad, mediante el cual se trata de reconstruir como se ha vulnerado el
sistema.

Por tanto, cuando se est realizando un anlisis forense se intenta responder

a las siguientes preguntas:

Quin ha realizado el ataque?

Cmo se realizo?

Qu vulnerabilidades se han explotado?

Qu hizo el intruso una vez que accedi al sistema?

ANLISIS FORENSE

El anlisis forense en un sistema informtico es una ciencia moderna que

permite reconstruir lo que ha sucedido en un sistema tras un incidente de
seguridad.

Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu

acciones ha llevado a cabo un intruso en los sistemas afectados.

El anlisis forense es la solucin ideal para empresas que tienen la necesidad

de investigar los incidentes de seguridad informtica que se producen en sus
sistemas de informacin.

Permitiendo tomar las medidas oportunas para que el suceso no vuelva a

ocurrir, adems de conocer en profundidad los detalles del mismo.

METODOLOGA DEL ANLISIS FORENSE

En el anlisis forense nos vamos a encontrar con seis fases bien diferenciadas a
pesar de que, dependiendo del enfoque y del tipo que sea, dicho anlisis se podr
dividir en ms fases.

PLANTEAMIENTO DEL PROBLEMA

El planteamiento del problema es la delimitacin clara y precisa del objeto

de la investigacin que se realiza por medio de preguntas, encuestas y
entrevistas.

La funcin del planteamiento del problema consiste en determinar si el

proyecto de investigacin es viable, dentro de sus tiempos y recursos
disponibles.

Los recursos a evaluar dentro de esta actividad sern los siguientes:

Temporales: el factor tiempo.

Humanos: habr ocasiones en las que se requiera la intervencin de ms de un

especialista trabajando en el caso objeto de estudio.

PLANTEAMIENTO DEL PROBLEMA

Materiales: este punto hace referencia al Hardware que necesite el especialista

forense informtico, que por lo general siempre ser diferente y acorde al caso
bajo estudio.

Organizacionales: este recurso cobra relevancia en intervenciones, en donde se

requiera un alto nivel organizacional, por ejemplo cuando es necesario realizar
varias visitas, a una determinada empresa en un horario definido.

IDENTIFICAR LAS EVIDENCIAS

Tiene como fin la localizacin de las fuentes de informacin de una manera

lgica, clara exacta e inteligente, determinando entre otras cosas el tipo de
informacin que est disponible.

As mismo se determina como puede llevarse de forma segura y finalmente

determina que forma parte de la evidencia.

IDENTIFICAR LAS EVIDENCIAS

En esta fase se debe realizar las siguientes actividades:

Si el equipo se encuentra encendido, identificar el Sistema Operativo,

caractersticas tcnicas (versin del Sistema Operativo, cantidad de memoria RAM,
tipo de microprocesador), direccin IP, direccin MAC. Adems se debe ejecutar
adecuadamente los procedimientos sobre los sistemas que se estn ejecutando,
para no perder la continuidad en produccin de los equipos y su uso en las
instalaciones, evitando la perdida de los datos voltiles.

Identificar los dispositivos de almacenamiento o elementos informticos. Tales

dispositivos de almacenamiento pueden ser: Discos Duros, Pen drive, memorias,
Discos pticos CDs y DVDs

Documentar la informacin observable.

Identificar, Cules son las fuentes de informacin?

Identificar las fuentes de informacin, tanto de personas, como de aquellas que se

encuentran almacenadas de manera lgica.

ADQUISICIN DE LA EVIDENCIA

Tiene como objetivo obtener la imagen (copia bit a bit) de la evidencia digital
e informacin que ser necesaria para la fase de anlisis forense.

Es de suma importancia no alterar la evidencia digital, es decir, evitar en todo

momento que sea modificada la evidencia por la manipulacin del software o
hardware.

ADQUISICIN DE LA EVIDENCIA

A continuacin se listan algunos aspectos que son indispensables en la fase de

adquisicin de la evidencia:

Elaborar una gua para la obtencin de los datos voltiles. Cuando se realiza la
recoleccin de evidencia, se debe proceder de lo voltil a lo menos voltil.

Datos voltiles como registros, tabla de procesos, tablas de ruteo, directorios

temporales del sistema, etc.

Elementos que contienen datos no voltiles: CPU, discos duros, CD, DVD,
memorias, tarjetas de red, impresora, etc.

El perito debe seleccionar cuales sern las fuentes de informacin con las que
iniciar la investigacin, dando prioridad a aquellos que considere de mayor
relevancia.

Crear una copia fsica exacta de la evidencia, para ello se utiliza

herramientas de software para obtener la imagen.

PRESERVAR LAS EVIDENCIAS

Busca mantener la integridad de la evidencia desde su obtencin hasta la fase

de presentacin.

Para demostrar que la evidencia digital no fue alterada desde la fase de

adquisicin, se debe verificar la integridad de nuestra evidencia calculando
el Hash por medio de los algoritmos MD5 SHA.

Este procedimiento nos permitir corroborar que la imagen forense obtenida

es una copia duplicada bit a bit de la evidencia original.

ANLISIS DE LOS DATOS

La evidencia almacenada debe ser analizada para extraer la informacin

relevante (relacionada con la investigacin) y recrear la cadena de eventos
sucedidos.

El anlisis requiere un conocimiento profundo de lo que se est buscando y

como obtenerlo.

Hay que asegurarse que la persona que analiza la evidencia est totalmente
calificada para ello.

Se requiere llevar a cabo las siguientes actividades: Preparacin, para realizar

el anlisis correspondiente al caso de estudio, extraccin de evidencia,
anlisis de los datos extrados, anlisis de tiempo de los eventos, anlisis de
datos ocultos, anlisis de aplicaciones y archivos, anlisis de datos de la Red

PRESENTACIN Y DOCUMENTACIN DE
RESULTADOS

Est enfocada a la creacin final de un documento o un reporte para

presentar la evidencia final obtenida, debe contener las conclusiones a
detalle de la investigacin y anlisis.

La informacin del reporte debe ser completa, clara, acertada, exhaustiva y

escrita a manera de que sea entendible para cualquier lector, conteniendo
anexos a manera de ilustrar los resultados obtenidos a la empresa, abogados,
autoridad competente, etc.

CASO DE ESTUDIO

CASO : DENEGACIN DE SERVICIO

Una Empresa de RETAIL fue atacada un viernes por un intruso que impidi la
continuidad del negocio en todas sus sucursales.

En un anlisis preliminar de la situacin determin que un intruso haba dejado un

programa que se ejecut el mismo viernes a las 19:00 horas y que bloqueaba el
acceso al sistema de Ventas.

Se trabajo en dos lneas:

Volver a las actividades normales.

Deteccin, anlisis y rastreo del intruso.

CASO : METODOLOGA DE INVESTIGACIN

En relacin a la vuelta a la operacin normal:
1.Anlisis

forense inmediato de los equipos afectados.

2.Deteccin

de programas que impedan el normal funcionamiento del Sistema de Ventas.

3.Anlisis

de programas y modificaciones realizadas por el intruso.

4.Planteo

de soluciones.

5.Pruebas

sobre una sucursal de los cambios.

6.Aplicacin

masiva de cambios y vuelta a la operacin normal.

CASO : METODOLOGA DE INVESTIGACIN

En relacin a la deteccin, anlisis y rastreo del intruso:
1.Ingeniera

reversa de los programas que dej el intruso

2.Determinacin
3.Deteccin

de las actividades que realiz el intruso.

de rastros de pruebas 4 das antes.

4.Determinacin

de pruebas que podran indicar el perfil del intruso.

CASO : METODOLOGA DE INVESTIGACIN

5.

Anlisis de los sistemas de acceso remoto.

6.

Evaluacin de las computadoras personales de los potenciales sospechosos.

7.

En el equipo de Jos se detectaron varios elementos (repeticin del patrn

de comportamiento del intruso por la forma en que ejecutaba los
comandos).

8.

Se detect que otra computadora que contena evidencia y se encontraba al

lado del equipo de Jos misteriosamente fue formateada y re-instalada dos
das despus del incidente y en la misma se detect el patrn de
comportamiento del intruso.

RESULTADOS OBTENIDOS

Se logr detectar la intrusin y se volvi la operacin normal en el plazo

inmediato.

De acuerdo a las caractersticas detectadas del patrn de comportamiento,

informacin encontrada, re-instalacin de un equipo, conocimiento de las
claves de acceso necesarias, existe una gran probabilidad de que el intruso
fuera Jos.

Bibliografa

Pous, H., Ruiz, J., Rivas, J. (2009). Anlisis Forense de sistemas informticos.
Barcelona: Eureca Media, SL

Palacios Ugalde, A. (2010). Ttulo. Metodologa para el anlisis forense

informtico en sistemas de redes y equipos de cmputo personal. (Tesis
indita de maestra). Instituto Politcnico Nacional, Mxico D. F.

Ardita, J. (2007). Metodologa de Anlisis Forense Informtico. Security

Systems CYBSEC S.A. Argentina: Buenos Aires. Recuperado de
http://www.cybsec.com/upload/ADACSI_Ardita_Analisis_Forense_Informatico
v2.pdf