ejemplo de informe pericial seguridad informatica
Páginas: 5 (1062 palabras)
Publicado: 20 de julio de 2014
Informe Pericial
CASO: 1
Información base de la evidencia
Se obtuvieron datos de manera fraudulenta referentes a la cuenta bancaria de un usuario que brindo acceso remoto a su computadora personal. Este usuario creo sesiones remotas para que personas de su confianza usaran su computadora y aprovecharan los recursos con los que esta contaba. Posteriormente elusuario en cuestión detecto movimientos desde su cuenta bancaria a cuentas tanto nacionales como en el exterior.
Contenido del informe
Presentación de rastros y posibles pruebas en la imagen forense del disco duro de un equipo de escritorio perteneciente al usuario afectado que permitan determinar si hubo uso de keyloggers para grabar las teclas usadas, así como si hubo uso de herramientas quepermitieran obtener las contraseñas de los usuarios registrados en el equipo y también herramientas que permitan eliminar material que eventualmente pueda ser usado como evidencia. También una presentación de las fechas y horas de eventos importantes que puedan aportar una línea temporal del incidente en cuestión.
Procedimiento
Se obtuvo una imagen bit a bit del disco duro que pertenece al equipo delque se presume se obtuvo la información bancaria del usuario, esta imagen fue realizada por un experto en el tema y posteriormente nos fue suministrada con el fin de poder realizar el análisis respectivo.
Para el análisis de la imagen se utilizó el programa EnCase Enterprise edición V4.20 esta herramienta nos permite explorar una imagen de un disco hecha bit a bit y también nos permite visualizaruna línea temporal de la creación/edición y eliminación de archivos dentro de la imagen. Para la visualización detallada y ordenada de logs obtenidos de la imagen del disco se usó Event Log Explorer V 4.2 el cual facilita tareas de filtrado y búsqueda de los eventos generados por un sistema operativo Windows. Y para la lectura de archivos planos de texto se utilizó Notepad++ V 6.5 el cual permitela lectura de diversos archivos que puedan contener cadenas de texto así como una búsqueda de cadenas más completa que la que trae el editor de texto predeterminado de Windows.
El análisis completo de la imagen de disco y la exploración de archivos se ha realizado entre el 17 y el 20 de noviembre del 2013.
Documentación de la evidencia
A continuación se explica cada uno de los hallazgosencontrados así como los procedimientos realizados para llegar a estos, estos hallazgos fueron encontrados en los archivos que contienen la imagen del disco así como en los registros de logs del sistema operativo.
1. Douglas Keylogger
Este keylogger se encuentra ubicado en c:\sistema\douglas_es. Permite la captura de las teclas que son presionadas y guarda esta información en un archivo conextencion *.dlg.
Asimismo usando la función de línea de tiempo del Encase se puede observar la fecha de creación de estos archivos la cual es el 04/05/2010 como se puede observar en la siguiente imagen:
Este programa genera un directorio con diferentes archivos ubicado en c:\windows\system32\dlg.
Esta carpeta contiene los siguientes elementos:
Archivos ejecutables de borrado y desinstalacióndel keylogger.
Archivos ejecutables con nombres comunes de ejecutables comunes en sistemas operativos Windows, que se ejecutan en el sistema y permiten la captura de lo digitado en el equipo.
Archivo .dll que usan los falsos ejecutables de Windows para desempeñar su función de captura de teclado.
Archivo info.dlg en el cual se guarda lo que ha sido digitado en el equipo.
El archivo info.dlg esde interés ya que este puede contener la información que fue capturada de forma fraudulenta por lo que por medio de la función copy/unerase del EnCase extraemos este archivo y lo abrimos con el notepad++.
En este archivo se encuentran efectivamente diversas capturas de teclas, agrupadas por fecha y hora. Contiene un registro de lo escrito el día 6/05/2010 de donde se puede observar que ha sido...
Informe Pericial
CASO: 1
Información base de la evidencia
Se obtuvieron datos de manera fraudulenta referentes a la cuenta bancaria de un usuario que brindo acceso remoto a su computadora personal. Este usuario creo sesiones remotas para que personas de su confianza usaran su computadora y aprovecharan los recursos con los que esta contaba. Posteriormente elusuario en cuestión detecto movimientos desde su cuenta bancaria a cuentas tanto nacionales como en el exterior.
Contenido del informe
Presentación de rastros y posibles pruebas en la imagen forense del disco duro de un equipo de escritorio perteneciente al usuario afectado que permitan determinar si hubo uso de keyloggers para grabar las teclas usadas, así como si hubo uso de herramientas quepermitieran obtener las contraseñas de los usuarios registrados en el equipo y también herramientas que permitan eliminar material que eventualmente pueda ser usado como evidencia. También una presentación de las fechas y horas de eventos importantes que puedan aportar una línea temporal del incidente en cuestión.
Procedimiento
Se obtuvo una imagen bit a bit del disco duro que pertenece al equipo delque se presume se obtuvo la información bancaria del usuario, esta imagen fue realizada por un experto en el tema y posteriormente nos fue suministrada con el fin de poder realizar el análisis respectivo.
Para el análisis de la imagen se utilizó el programa EnCase Enterprise edición V4.20 esta herramienta nos permite explorar una imagen de un disco hecha bit a bit y también nos permite visualizaruna línea temporal de la creación/edición y eliminación de archivos dentro de la imagen. Para la visualización detallada y ordenada de logs obtenidos de la imagen del disco se usó Event Log Explorer V 4.2 el cual facilita tareas de filtrado y búsqueda de los eventos generados por un sistema operativo Windows. Y para la lectura de archivos planos de texto se utilizó Notepad++ V 6.5 el cual permitela lectura de diversos archivos que puedan contener cadenas de texto así como una búsqueda de cadenas más completa que la que trae el editor de texto predeterminado de Windows.
El análisis completo de la imagen de disco y la exploración de archivos se ha realizado entre el 17 y el 20 de noviembre del 2013.
Documentación de la evidencia
A continuación se explica cada uno de los hallazgosencontrados así como los procedimientos realizados para llegar a estos, estos hallazgos fueron encontrados en los archivos que contienen la imagen del disco así como en los registros de logs del sistema operativo.
1. Douglas Keylogger
Este keylogger se encuentra ubicado en c:\sistema\douglas_es. Permite la captura de las teclas que son presionadas y guarda esta información en un archivo conextencion *.dlg.
Asimismo usando la función de línea de tiempo del Encase se puede observar la fecha de creación de estos archivos la cual es el 04/05/2010 como se puede observar en la siguiente imagen:
Este programa genera un directorio con diferentes archivos ubicado en c:\windows\system32\dlg.
Esta carpeta contiene los siguientes elementos:
Archivos ejecutables de borrado y desinstalacióndel keylogger.
Archivos ejecutables con nombres comunes de ejecutables comunes en sistemas operativos Windows, que se ejecutan en el sistema y permiten la captura de lo digitado en el equipo.
Archivo .dll que usan los falsos ejecutables de Windows para desempeñar su función de captura de teclado.
Archivo info.dlg en el cual se guarda lo que ha sido digitado en el equipo.
El archivo info.dlg esde interés ya que este puede contener la información que fue capturada de forma fraudulenta por lo que por medio de la función copy/unerase del EnCase extraemos este archivo y lo abrimos con el notepad++.
En este archivo se encuentran efectivamente diversas capturas de teclas, agrupadas por fecha y hora. Contiene un registro de lo escrito el día 6/05/2010 de donde se puede observar que ha sido...
Leer documento completo
Regístrate para leer el documento completo.