incibe_toma_evidencias_analisis_forense

Recommendations

Info

4 DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIASY SU ALMACENAMIENTOEl RFC 3227 21 es un documento que recoge las «directrices para la recopilación de evidenciasy su almacenamiento» y puede llegar a servir como estándar de facto para la recopilación deinformación en incidentes de seguridad.Dicho documento recoge los siguientes apartados:4.1. PRINCIPIOS DURANTE LA RECOLECCIÓN DE EVIDENCIAS• Capturar una imagen del sistema tan precisa como sea posible.• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horariolocal o UTC.• Minimizar los cambios en la información que se está recolectando y eliminar losagentes externos que puedan hacerlo.• En el caso de enfrentarse a un dilema entre recolección y análisis elegir primerorecolección y después análisis.• Recoger la información según el orden de volatilidad (de mayor a menor).• Tener en cuenta que por cada dispositivo la recogida de información puede realizarsede distinta manera.4.1.1. Orden de volatilidadEl orden de volatilidad hace referencia al período de tiempo en el que está accesible ciertainformación. Por este motivo se debe recolectar en primer lugar aquella información que vayaa estar disponible durante el menor período de tiempo, es decir, aquella cuya volatilidad seamayor.De acuerdo a esta escala se puede crear la siguiente lista en orden de mayor a menorvolatilidad:• Registros y contenido de la caché.• Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel,memoria.• Información temporal del sistema.• Disco.• Logs del sistema.• Configuración física y topología de la red.• Documentos.21http://www.ietf.org/rfc/rfc3227.txtToma de evidencias en entornos Windows 16
4.1.2. Acciones que deben evitarseSe deben evitar las siguientes acciones con el fin de no invalidar el proceso de recolección deinformación ya que debe preservarse su integridad con el fin de que los resultados obtenidospuedan ser utilizados en un juicio en el caso de que sea necesario:• No apagar el ordenador hasta que se haya recopilado toda la información volátil.• No confiar en la información proporcionada por los programas del sistema ya quepueden haberse visto comprometidos. Se debe recopilar la información medianteprogramas desde un medio protegido como se explicará más adelante.• No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficherosdel sistema.4.1.3. Consideraciones de privacidadHay que asegurarse que toda la información recopilada durante el proceso sea tratada dentrodel marco legal establecido, manteniendo la privacidad exigida. Los ficheros log estánincluidos en este apartado ya que pueden almacenar patrones de comportamiento del usuariodel equipo.4.1.4. Consideraciones legalesSe debe tener presente que la legislación es diferente en cada país por lo que las evidenciaspueden ser admitidas en un país y en otro no. En todo caso dichas evidencias deben teneruna serie de características comunes:• Admisible: se debe cumplir las normas de la legislación vigente con el fin de que lasevidencias tengan validez judicial.• Auténtica: se debe poder probar que la evidencia corresponde al incidente encuestión.• Completa: debe corresponder a la información completa y no a una visión parcial.• Confiable: no debe existir ninguna duda acerca de cómo se ha obtenido la evidenciay la posterior manipulación que pueda arrojar dudas sobre su autenticidad y veracidad.• Creíble: debe de ser verosímil y fácilmente comprensible por un tribunal.4.2. PROCEDIMIENTO DE RECOLECCIÓNEl procedimiento de recolección debe de ser lo más detallado posible, procurando que no seaambiguo y reduciendo al mínimo la toma de decisiones.4.2.1. ReproducibleLos métodos utilizados para recolectar evidencias deben de ser transparentes y reproducibles.Se debe estar preparado para reproducir con precisión los métodos usados, y que dichosmétodos hayan sido testados por expertos independientes.4.2.2. Pasos• ¿Dónde está la evidencia? Listar qué sistemas están involucrados en el incidente y decuáles de ellos se deben tomar evidencias.Toma de evidencias en entornos Windows 17
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15: • Propiedad intelectual: La vulne
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67:
En el caso de Windows 7/8, dentro d
Page 68 and 69:
6 RESUMENComo se ha indicado al pri
Page 70 and 71:
8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73:
ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?