Informatica forense

Solo disponible en BuenasTareas
  • Páginas : 17 (4240 palabras )
  • Descarga(s) : 0
  • Publicado : 17 de febrero de 2012
Leer documento completo
Vista previa del texto
CONTROL, ADMINISTRACIÓN E INTEGRIDAD DE LOGS

|Juan Carlos Torres |Jua-tor1@uniandes.edu.co |
|Richard García Rondón |ric-garc@uniandes.edu.co |

7 de Octubre de 2003


Introducción

La centralización y administración de archivos de logs provenientes de redes y sistemas tiene muchas ventajas.Hay buenas fuentes de documentación sobre la información que debería ser registrada en los logs, como realizarlo de una forma óptima y como puede ser utilizada posteriormente [7],[8],[9]. Sin embargo, los requerimientos para el uso de archivos de logs para propósitos técnicos, tal como la detección de intrusos, son diferentes y no siempre complementarios a los requerimientos para el uso de talesdatos en una situación legal.

Un archivo de log viable como evidencia, es aquel que ha sido rastreado y protegido desde el momento que fue creado, y el cual contiene entradas o registros relacionados con un caso legal. [6]. En la mayoría de los casos, el requerimiento de uso de un determinado archivo de log en una investigación, es algún tiempo después que el archivo fue tomado y centralizado.Este documento busca realizar un recorrido a lo largo del tema de los logs como evidencia, iniciando en las definiciones de lo que se considera un log, la evidencia en si, su problemática, las características que deben poseer para poder ser considerados como tal, algunas técnicas para llevar a cabo este propósito y por ultimo se entrara a estudiar un poco en detalle algunas herramientas que ayudarana conseguir el objetivo de lograr que los archivos de logs sean un material de evidencia en un caso legal.
¿Que es un Log?

De acuerdo a Oxford Dictionary [1] la definición de log es:
Registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informática un log es usado para registrar datos o información sobre quien, que, cuando, donde y porque (who, what, when, where y why, W5) un evento ocurre para un dispositivo en particular o aplicación. [2]

La mayoría de los logs son almacenados o desplegados en el formato estándar ASCII[1], el cual es un conjunto de caracteres para dispositivos comunes y aplicaciones. De esta forma logs generados por un dispositivo en particular puede ser leído y desplegado en otro diferente.Propósito de los logs


Si un log tiene la capacidad de registrar los eventos W5 entonces el propósito de un log es proveer a los profesionales de seguridad informática la habilidad de monitorear las actividades de la aplicación o dispositivo. Revisando las salidas de los archivos de logs, se puede obtener una buena oportunidad para determinar los eventos W5, y tomar la acción necesaria paracorregir el problema o iniciar una investigación en caso de un incidente de seguridad.
Evidencia computacional en general. [5]

Evidencia derivada de los computadores tiene muchas características similares a otros tipos de evidencia. Miller[2] provee una explicación acerca de esto:

Evidencia es información utilizada para decidir si las proposiciones utilizadas en una disputa son ciertas. Unacorte no puede normalmente obtener evidencia directamente. Para tal caso una fuente es utilizada como documento o un testigo. La veracidad de la información es asegurada o comprobada mediante una prueba de confiabilidad de la fuente. Si son usados testigos, estos son examinados y confrontados; si es utilizado un documento como evidencia, un testigo es consultado para corroborar la autenticidaddel documento y dará testimonio oral sobre su contenido.

Una definición similar se puede obtener de Wright[3]:

Evidencia es cualquier cosa que demuestre o clarifique la verdad de un hecho o punto en cuestión. Un proponente puede ofrecer muchos tipos de de evidencia: documentos, objetos, testimonios y el resultado de una demostración de procedimientos prácticos y científicos.


La...
tracking img