INFORMTICA FORENSE

Presentan: Carrillo Nava Gustavo Adolfo Guillen Reyes Miguel ngel Morales Muoz Jess David

Ciencia Forense
Nos proporciona los principios y tcnicas que facilitan la investigacin de los delitos criminales, mediante la identificacin, captura, reconstruccin y anlisis de las evidencias.

Informtica Forense
Se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio electrnico. (Definicin propuesta por el FBI)

Un Equipo Forense
Estar constituido por expertos con los conocimientos y experiencias necesarias en el desarrollo de estas actividades.

ETAPAS EN EL ANLISIS FORENSE DE UN INCIDENTE INFORMTICO

Identificacin y captura de las evidencias. Preservacin de las evidencias. Anlisis de la informacin obtenida. Elaboracin de un informe con las conclusiones del anlisis forense.

IDENTIFICACIN Y CAPTURA DE LAS EVIDENCIAS

 A pesar de ser intangibles, las evidencias digitales o electrnicas pueden ser admitidas como prueba en un juicio.
Aislamiento de la escena del crimen para evitar la corrupcin de esta y de las evidencias que en ella pueda hallarse.

 Es posible generar distintas copias de evidencia digitales para facilitar su conservacin y posterior anlisis.
La tecnologa informtica permitir averiguar si alguna de estas copias ha sido modificada o falsificada. Conviene utilizar herramientas de almacenamiento, que se pueda ejecutar directamente sin la necesidad de instalar un software que pueda contener troyanos.

Evidencias Voltiles
Toda aquella informacin que se perder al apagar un equipo informtico por ejemplo:
Volcado de memoria global del sistema. Procesos y servicios en ejecucin. Drivers Informacin de la situacin y configuracin de servicios y las tarjetas de red. Sesiones que se encuentran abiertas en el momento.

Obtencin de los Discos Duros

Apagar repentinamente el equipo para evitar la perdida de informacin Arrancar desde el CD-ROM con un Disco live con S.O de MS-DOS o LINUX. Se procede a hacer una imagen del disco duro.

PRESERVACIN DE LA EVIDENCIAS DIGITALES

 Se deber utilizar un adecuado mtodo de identificacin, precinto, Etiquetado y almacenamiento de evidencias.

Se deber documentar todo el proceso de obtencin de las evidencias deber precisar y reflejar lugar y personas que intervinieron en el proceso y cada una de las evidencias

ANLISIS DE LAS EVIDENCIAS OBTENIDAS

 Identificacin de los tipos de archivos, a partir de sus extensiones.

Visualizacin de los ficheros grficos. Estudio de las fechas de creacin, cambio y ultimo acceso a los ficheros.

 Revisin de los permisos de acceso y ejecucin de los ficheros. Revisin de los distintos ficheros temporales obtenidos en la imagen del sistema como lo es la memoria cache. Informacin y ficheros ocultos mediante tcnicas estenogrficas (disciplina que estudia el
conjunto de tcnicas cuyo fin es la ocultacin de informacin)

 Con las herramientas adecuadas tambin es posible recuperar fragmentos de antiguos ficheros, adems de facilitar el anlisis de los datos que pudieran encontrarse en los espacios de separacin de la particiones y sectores del disco

Organismos de Informtica forense

ASOCIACIN INTERNACIONAL DE ESPECIALISTAS EN INVESTIGACIN INFORMTICA

ASOCIACIN INTERNACIONAL SOBRE LAS EVIDENCIAS INFORMTICA

PLAN DE RECUPERACIN DEL NEGOCIO

Las empresas son mas consientes de la necesidad de prevenirse en caso de situaciones catastrficas como pueden ser:

Incendios Inundaciones Terremotos Huracanes

 Medios adecuados que permitan restaurar el funcionamiento de un sistema informtico de la organizacin:

Disponibilidad de un Centro Alternativo (servidor y bases de datos corporativos)

 Existencia de lneas back-up para las comunicaciones

 Sistemas de almacenamiento RAID en los servidores.

 Implantacin de clusters de servidores con balanceo de carga

Centro Alternativo o Centro Back-up

Es un local o edificio exclusivamente dedicado a las copias de seguridad de los datos crticos para el negocio suficientemente actualizados y con el equipo necesario.

Estrategias de un Centro Alternativo

A. No de dispone de un centro alternativo y no existen copias de seguridad, debemos sealar que un porcentaje importante de organizaciones y empresas de todo tipo y de menor tamao se encuentran en esta situacin.

B. Trasporte peridico de copias de seguridad a un almacn, el tiempo de recuperacin de la informacin pude ser de mas de una semana ya que no solo se tienen las copias de seguridad y no los equipos

C. Centro alternativo Frio un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios crticos de la organizacin.

D. Centro alternativo CALIENTE un centro que cuenta con un equipamiento suficiente de hardware, software y de comunicaciones para mantener los servicios crticos de la organizacin los datos se replican cada da o cada hora.

E. Centro alternativo CALIENTE en una configuracin en espejo o mirror un centro que cuenta con un equipamiento que el centro principal y trabaja de modo paralelo pudiendo entrar de manera inmediata a la cada del centro principal.

PROCEDIMIENTO PARA LA RECUPERACION

Deteccin y respuesta del desastre en el Centro Principal: incendio, inundacin, etc. Traslado de la actividad al Centro Alternativo: poner en marcha los servidores y equipos informticos. Recuperacion del Centro Principal Siniestrado