Information">
Informe Técnico Fredy Jose Gil Llorente
Informe Técnico Fredy Jose Gil Llorente
Informe Técnico Fredy Jose Gil Llorente
El informe ejecutivo
es un resumen de otro documento más extenso y detallado, que sirve para brindar un
panorama concreto y puntual sobre un proyecto. Al concentrar las claves del documento
original facilita su lectura y su enfoque en lo esencial.
partes del informe ejecutivo
El informe ejecutivo no requiere que dividas el contenido con títulos o subtítulos; puedes
hacerlo con una redacción fluida, pero centrándote en una idea por párrafo. Con base en
nuestra plantilla de un informe ejecutivo de HubSpot ubicamos 5 partes fundamentales para
este documento.
Fecha y ciudad: es un elemento que ubica en el día y la ciudad donde se presenta el informe
ejecutivo. No requieres más que una línea en la parte superior derecha de tu hoja.
A quién se dirige: como todo documento que presentas a alguien, debes incluir el nombre,
cargo, empresa o área de la persona a la que te diriges.
Cuerpo: este es el texto del informe, aquí va su esencia. De él depende que despiertes el
interés, tanto como para que acepten tu propuesta o para que quieran echarle un vistazo al
documento original. Es importante que delimites tus párrafos, porque si no lo haces corres
el riesgo de extenderte demasiado. Lo que hacemos en HubSpot es usar a lo mucho 5
párrafos de entre 4 a 6 líneas; cada párrafo es como una unidad que brinda una i
Contenido
TITULO
Introducción
OBJETIVOS
MARCO CONCEPTUAL
METODOLOGÍA.
PRESENTACIÓN DE RESULTADOS)
CONCLUSIONES
ANÁLISIS DE LAS HERRAMIENTAS NECEARIAS PARA LA INFORÁTICA
FORENSE CON ÉNFASIS EN LA RECOLECCIÓN DE EVIDENCIA DIGITAL.
INTRODUCCIÓN
En la informática forense la investigación de los medios digitales está creciendo cada día
mucho más, ya que la tecnología está avanzando con dispositivos capaces de transportar
información de un lugar a otro, en medios como celulares, dispositivos pendrive, equipos o
cámaras que pueden almacenar datos muy importantes. La delincuencia informática
evoluciona constantemente, muchas personas y organizaciones han sido víctimas de delitos
informáticos y necesitan saber qué fue lo que sucedió y como sucedió el incidente, en estos
casos la evidencia digital cobra vital importancia. Afirma que, así como un crimen físico
deja evidencias, un crimen informático también las deja, pero dichas evidencias quedan
almacenadas de forma digital y en la mayoría de los casos dicha información no se puede
leer o recolectar por medios comunes o mecanismos tradicionales. Esto abre paso a un
nuevo campo de investigación criminal que permite recolectar evidencia de una manera
confiable y segura. Por esta razón se realiza un estudio de la informática forense y de
algunas herramientas para la recolección de evidencia digital, enfatizando en las
herramientas de software libre, básicamente para la recolección de evidencia en memoria y
disco, haciendo un comparativo entre las más importantes
OBJETIVO
OBJETIVOS ESPECÍFICOS
Realizar una revisión bibliográfica a cerca de la informática forense y sus herramientas,
con énfasis en los aplicativos para la recolección de información.
Realizar la valoración de las herramientas más empleadas para la recolección de evidencia
digital
MARCOTEÓRICO
El estudio de la informática forense es cada día más necesario, es un campo muy extenso
por lo cual, para su estudio se necesita bastante tiempo y dedicación, para obtener todos los
conocimientos y herramientas necesarias. En la realización de este proyecto se estudiarán
conceptos y técnicas que nos ayudarán a entender mejor su aplicación.
SEGURIDAD INFORMÁTICA
Llamada también seguridad de tecnologías de la información, es el área de la informática
cuyo principal objetivo es la protección de la infraestructura computacional y todo lo que
con esta se relaciona y, especialmente, la información que contiene. Para ello existen una
serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para
minimizar los posibles riesgos a la infraestructura o a la información. La seguridad
informática comprende software, hardware y todo lo que la organización valore y
signifique un riesgo si esta información confidencial llega a manos de otras personas,
convirtiéndose, por ejemplo, en información privilegiada (Ideas integrales, Afirma que para
que un sistema informático sea seguro, se deben garantizar tres medidas fundamentales:
Confidencialidad, integridad y disponibilidad
Confidencialidad
Es una propiedad que garantiza que el acceso a la información sea permitido únicamente a
entes autorizados. La confidencialidad se refiere a la privacidad de los elementos de
información almacenados y procesados en un sistema informático, basándose en este
principio, las herramientas de seguridad informática deben proteger el sistema de invasores
y accesos por parte de personas o programas no autorizados. Este principio es
particularmente importante en sistemas distribuidos, es decir, aquellos en los que los
usuarios, computadores y datos residen en localidades diferentes, pero están físicamente y
lógicamente interconectados
Integridad: Es una propiedad que permite verificar que los datos no han sido modificados
sin autorización. Es necesario asegurar que los datos no sufran cambios no autorizados, la
pérdida de integridad puede acabar en fraudes, decisiones erróneas o como paso a otros
ataques. El sistema contiene información que debe ser protegida de modificaciones
imprevistas, no autorizadas o accidéntale
INFORMÁTICA FORENSE
Los criminales informáticos se han vuelto cada vez más expertos a medida que la
tecnología avanza, debido a esto los investigadores han visto la necesidad de crear técnicas
que permitan recuperar, preservar, analizar datos o recolectar evidencia de un crimen
informático.
las Ciencias Forenses son procedimientos y conocimientos científicos utilizados para
encontrar, adquirir, preservar y analizar la evidencia de un crimen para ser presentados ante
un Tribunal. El objetivo principal de las ciencias forenses es la recuperación y el análisis de
la evidencia latente, como huellas dactilares, comparación de muestras de ADN, etc.
(Pagés, 2013) Define la Informática Forense como “una disciplina criminalística que tiene
como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o
para la simple investigación privada
TIPOS DE ANÁLISIS FORENSE “Tenemos que tener en cuenta que las memorias RAM
en la actualidad son capaces de gestionar gigabytes de datos, y esto, es una gran cantidad de
datos e información a estudiar Para realizar un adecuado análisis forense, se requieren
herramientas y conocimientos específicos. Hay dos modos de realizar análisis forense:
Análisis en caliente: También llamado análisis Line, se realiza cuando el equipo está
todavía encendido y/o el ataque está siendo ejecutado. Este tipo de análisis es de vital
importancia, ya que permite recolectar mayor cantidad de información como los datos
recolectar evidencias:
Registros y contenidos de la caché.
Contenidos de la memoria.
Estado de las conexiones de red, tablas de rutas.
Estado de los procesos en ejecución.
Contenido del sistema de archivos y de los discos duros.
Contenido de otros dispositivos de almacenamiento.
Análisis
•En esta fase se preparan las herramientas, técnicas, autorizaciones de monitoreo y soporte
administrativo para iniciar el análisis, siguiendo las siguientes etapas:
•Etapa 1: Preparación para el análisis
•Etapa 2: Reconstrucción del ataque
•Etapa 3: Determinación del ataque
•Etapa 4: Identificación del atacante.
•Etapa 5: Perfil del atacante
•Etapa 6: Evaluación del impacto causado al sistema
Documentación y Presentación
Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta
que finaliza el proceso de análisis forense. Para documentar y presentar todo el proceso, se
siguen las siguientes etapas:
•Etapa 1: Utilización de formularios de registro del incidente
•Etapa 2: Informe Técnico
•Etapa 3: Informe Ejecutivo
LA EVIDENCIA DIGITAL
La define como tipo de evidencia física construida por campos magnéticos y pulsos
electrónicos que pueden ser recolectados y analizados con herramientas y técnicas
especiales”. En su definición, sostiene que la evidencia digital es un tipo de evidencia
menos tangible que las demás, la cual puede ser duplicada de tal manera que sea idéntica a
la original y aun cuando es alterada o eliminada se puede recuperar con las herramientas
adecuadas. Se puede decir entonces que la evidencia digital está conformada por datos,
documentos y/o cualquier tipo de información almacenada en medios digitales y que puede
ser utilizada
Dd (Duplicate DisK)
Herramienta incluida en distribuciones Unix/Linux, que se ejecuta mediante la terminal de
comandos y se utiliza para clonar o copiar información bit a bit del disco duro, o también
para copiar particiones o discos completos unos sobre otros. Esta sencilla pero poderosa
herramienta, también tiene la capacidad de crear imágenes completas de disco, para que
luego puedan ser analizadas como evidencia
Air
(Imagen y Restauración Automática) AIR (Autómata Imagen & Restare) es una aplicación
de código abierto que proporciona una interfaz gráfica de usuario al comando dd/dcfldd
(Dataste Definición (está diseñado para crear fácilmente imágenes forenses de
disco/partición. Es compatible con hashes MD5/San, unidades de cinta SCSI, imágenes a
través de una red TCP/IP, división de imágenes y registro de sesión detallado. En su forma
más simple, AIR proporciona una interfaz conveniente para ejecutar el conjunto dd de
comandos. Elimina el riesgo de "digitación de grasa" un error en el terminal de Shell y, en
última instancia hace que el uso del comando de sea más fácil de usar para aquellos que no
tienen tanta experiencia. Tenga en cuenta que el uso de la interfaz AIR todavía requiere
algunos conocimientos básicos sobre cómo funcionan los comandos
TK
Imagen FTK Imagen es una herramienta de pre visualización e imagen de datos que le
permite evaluar rápidamente la evidencia electrónica para determinar si se justifica el
análisis posterior con una herramienta forense como AccessData Forensic Toolkit (FTK).
FTK Imagen también puede crear copias perfectas (imágenes forenses) de datos de
computadora sin hacer cambios a la evidencia original
Coroner's Toolkit,
es un conjunto de herramientas forenses de código abierto para realizar análisis postmortem
en sistemas Unix. Este producto está destinado a usuarios experimentados de Unix, existe
una comprensión implícita de las funciones y convenciones comunes de Unix, creación de
archivos, páginas man, utilidades, etc.
Foremost Foremost
es un programa de consola para recuperar archivos basados en sus encabezados, pies de
página y estructuras de datos internas. Este proceso se conoce comúnmente como tallado de
datos. Foremost puede trabajar en archivos de imagen, como los generados por dd,
Safeback, Encase, etc, o directamente en una unidad. Los encabezados y pies de página se
pueden especificar mediante un archivo de configuración o puede utilizar parámetros de
línea de comandos para especificar tipos de archivo incorporados. Estos tipos integrados
miran las estructuras de datos de un formato de archivo dado permitiendo una recuperación
más fiable y más rápido
Presentación de resultados
WireShark
Es la herramienta de análisis de protocolos de red más utilizado y ampliamente utilizado en
el mundo. Le permite ver lo que está sucediendo en su red a nivel microscópico y es el
estándar de factor en muchas empresas comerciales y sin fines de lucro, agencias
gubernamentales e instituciones educativas. El desarrollo de Wireshark prospera gracias a
las contribuciones voluntarias de expertos en redes de todo el mundo y es la continuación
Conclusión