ANLISIS FORENSE

Merino Livia Fabian Ary Panta Ipanaque Jhord Carlos

QU ES EL ANLISIS FORENSE?

El anlisis forense es un rea perteneciente al mbito de la seguridad informtica surgida a raz del incremento de los diferentes incidentes de seguridad. En el anlisis forense se realiza un anlisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema.
El anlisis forense en un sistema informtico es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Qu son los incidentes de seguridad?

METODOLOGA EN UN INCIDENTE DE SEGURIDAD

Preparacin y prevencin
Deteccin del incidente Respuesta inicial

Formulacin de una estrategia de respuesta ante el incidente

Investigacin del incidente

Adquisicin de los datos Anlisis forense

Redaccin del informe

FUENTES DE INFORMACIN

Las fuentes de informacin que se utilizan para realizar un anlisis forense son diversas:

Correos electrnicos. IDS / IPS. Archivo de logs de los cortafuegos. Archivo de logs de los sistemas. Entrevistas con los responsables de seguridad y de los sistemas. Etc.

TIPOS DE ANLISIS FORENSE

Dependiendo del punto de vista nos vamos a encontrar diferentes tipos de anlisis forense. Si lo vemos desde el punto de vista de lo que se va a analizar, nos encontraremos los siguientes tipos:

Anlisis forense de sistemas: en este anlisis se tratarn los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me,Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.). Anlisis forense de redes: en este tipo se engloba el anlisis de diferentes redes (cableadas, wireless, bluetooth, etc.). Anlisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en mviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal.

METODOLOGA Y FASES DE UN ANLISIS FORENSE

Adquisicin de datos
Anlisis e investigacin Redaccin del informe

Informe ejecutivo Informe tcnico

METODOLOGA Y FASES DE UN ANLISIS FORENSE

Adquisicin de datos
Anlisis e investigacin Redaccin del informe

Informe ejecutivo Informe tcnico

La adquisicin de datos es una de las actividades ms crticas en el anlisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el anlisis e investigacin posterior no sera vlido debido a que la informacin saldra con impurezas, es decir, la informacin que creemos que es del origen no lo es realmente.

METODOLOGA Y FASES DE UN ANLISIS FORENSE

Adquisicin de datos
Anlisis e investigacin Redaccin del informe

Informe ejecutivo Informe tcnico

La fase de anlisis e investigacin de las evidencias digitales es un proceso que requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de informacin en esta fase son varias: registros de los sistemas analizados, registro de los detectores de intrusin, registro de los cortafuegos, ficheros del sistema analizado.

METODOLOGA Y FASES DE UN ANLISIS FORENSE

Adquisicin de datos
Anlisis e investigacin Redaccin del informe

Informe ejecutivo Informe tcnico

La redaccin del informe es una tarea ardua a la par que compleja, porque no slo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, adems, hay que explicarlos de una manera clara y sencilla. Hay que tener en cuenta que muchas veces dichos informes van a ser ledos por personas sin conocimientos tcnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habr que explicar minuciosamente cada punto.