incibe_toma_evidencias_analisis_forense

Recommendations

Info

• Establecer qué es relevante. En caso de duda es mejor recopilar mucha informaciónque poca.• Fijar el orden de volatilidad para cada sistema.• Obtener la información de acuerdo al orden establecido.• Comprobar el grado de sincronización del reloj del sistema.• Según se vayan realizando los pasos de recolección preguntarse qué más puede seruna evidencia.• Documentar cada paso.• No olvidar a la gente involucrada. Tomar notas sobre qué gente estaba allí, quéestaban haciendo, qué observaron y cómo reaccionaron.4.3. PROCEDIMIENTO DE ALMACENAMIENTO4.3.1. Cadena de custodiaLa cadena de custodia debe estar claramente documentada y se deben detallar los siguientespuntos:• ¿Dónde?, ¿cuándo? y ¿quién? descubrió y recolectó la evidencia.• ¿Dónde?, ¿cuándo? y ¿quién? manejó la evidencia.• ¿Quién ha custodiado la evidencia?, ¿cuánto tiempo? y ¿cómo la ha almacenado?• En el caso de que la evidencia cambie de custodia indicar cuándo y cómo se realizóel intercambio, incluyendo número de albarán, etc.4.3.2. Dónde y cómo almacenarloSe debe almacenar la información en dispositivos cuya seguridad haya sido demostrada yque permitan detectar intentos de acceso no autorizados.4.4. HERRAMIENTAS NECESARIASExisten una serie de pautas que deben de ser seguidas a la hora de seleccionar lasherramientas con las que se va a llevar a cabo el proceso de recolección:• Se deben utilizar herramientas ajenas al sistema ya que éstas pueden haberse vistocomprometidas.• Se debe procurar utilizar herramientas que alteren lo menos posible el escenario,evitando, en la medida de lo posible, el uso de herramientas de interfaz gráfico yaquellas cuyo uso de memoria sea grande.• Los programas que se vayan a utilizar para recolectar las evidencias deben estarubicados en un dispositivo de sólo lectura (CDROM, USB, etc.).• Se debe preparar un conjunto de utilidades adecuadas a los sistemas operativos conlos que se trabaje.• El kit de análisis debe incluir, entre otros, los siguientes tipos de herramientas: Programas para listar y examinar procesos. Programas para examinar el estado del sistema. Programas para realizar copias bit a bit.Toma de evidencias en entornos Windows 18
4.5. CONCLUSIONESA la hora de realizar el proceso de recolección de información en un sistema que haya sufridoun incidente de seguridad hay que tener muy claro las acciones que se deben realizar, siendomuy meticuloso y detallando en todo momento dicho proceso de manera muy minuciosa. Asímismo, se debe realizar el proceso procurando ser lo menos intrusivo posible con el fin depreservar el sistema en su estado original.Toma de evidencias en entornos Windows 19
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17: 4.1.2. Acciones que deben evitarseS
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69:
6 RESUMENComo se ha indicado al pri
Page 70 and 71:
8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73:
ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?