Bien, continuando con la segunda parte, espero no sea muy tedioso por que la verdad si es algo de teoría, pero la verdad es que si no es así no se puede aprender mucho y la verdad este curso es muy bueno :)...
Tipo de análisis de datos:
A continuación se ve en la siguiente tabla los tipo de análisis, ya pueden ser medios de almacenamiento o medios de red, según sea el caso de la investigación que uno esta llevando a cabo...
Durante
de la investigación se van recopilando palabras importantes (ejemplo, nombre de usuario, direcciones IP,
aplicaciones, etc.) las cuales guardamos para su uso posterior.
Esta
lista nos sirve para realizar búsquedas de archivos, cadenas de texto, etc. con
lo cual se van encontrando nuevos datos.
Volatilidad de los Datos:
Según Wiki nos define datos volátiles como:
La memoria volátil de una computadora, es aquella memoria cuya información se pierde al interrumpirse el flujo eléctrico.
Bien, en pocas palabras la memoria volátil es la memoria RAM, que al apagarse el equipo se pierde la información contenida en él.
Entonces en una computadora que esta siendo comprometida por un intruso:
¿Qué es lo primero que debo hacer?
–Realizar
el proceso de apagado del sistema
–Desconectarlo
de la red
–Desconectar
el cable de alimentación del sistema
–Obtener
un respaldo del disco duro
–Esperar
que el intruso se vaya
–No
hacer nada
Respondiendo esta pregunta, mi opinión podría ser desconectarlo de la red o esperar a que el intruso se vaya...
Bien mis respuestas las estoy sustentando en por que cuando un intruso esta en una computadora remotamente, la única forma de no permitir siga haciendo de sus pechorias sin que se pierdan los datos volátiles de la computadora seria desconectando el cable de red, muchos de nosotros sabemos que los datos volátiles son muy valiosos a la hora de una investigación. Bien mi segunda respuesta es de esperar a que el intruso se vaya, me parece también en mi opinión buena respuesta,, esto es para saber que fue lo que hace el intruso, que se lleva, o que modifica, para así posteriormente reforzarlo... Esta ultima respuesta es muy extremista jijiji....
- En un sistema comprometido, no se puede confiar en los datos recolectados, ya que éstos pudieron haber sido alterados por el intruso (por ejemplo rootkits).
- Es por eso que es importante examinar cuidadosamente los datos recolectados, buscando inconsistencias que pudieran revelar su alteración.
- Entre más fuentes de información independientes se tengan, mayor seguridad se puede tener de la confiabilidad de los datos.
¿Eliminar la información puede ser la solución?
- En ocasiones, destruir información puede ser sorprendente mente difícil.
- Por ejemplo, los datos en discos magnéticos pueden recuperarse a pesar de volverse a escribir sobre ellos múltiples veces. Esto se debe a la existencia de rastros de patrones magnéticos en el medio físico.
- Una vez que el archivo es eliminado, su contenido no cambia generalmente hasta que es sobre escrito por un nuevo archivo.
- Los archivos eliminados son como fósiles: su esqueleto pudiera haber perdido un hueso o más; sin embargo, el fósil aún tiene información considerable que revelar.
Se encuentran en archivos y directorios de diferentes sistemas de archivos, se les conoce como MAC:
- Modificación
- Último Acceso
- Creación (Windows) o modificación de los meta datos (Unix)
Es importante notar que estos atributos no muestran el historial de eventos, solo el ultimo estado. Abrir un directorio para conocer su contenido cambiará su ultimo acceso.
La mayoría de las herramientas de administración de sistemas de archivos cambian el tiempo de acceso debido a que leen los archivos para saber que icono mostrar en el listado de archivos.
Lo mas recomendable es trabajar con una copia. Si no es posible, habilitar la protección de solo lectura. No olvidar que dichos atributos pueden ser falseados.
CONTINUARA.... No olviden dejar sus comentarios...
No hay comentarios.:
Publicar un comentario