manual de forense
Caso: intrusión en la compañía BRJ Software
BRJ Software es una pequeña compañía de ingeniería de software que desarrolla aplicaciones de soporte para instituciones financieras. Ustedtrabaja para la compañía BRJ en el departamento de TI administrando varios servidores. Los desarrolladores de software crean, en los servidores que usted administra, el código fuente de los productos quecomercializa la compañía. Usted también es responsable de mantener el nombre de dominio de internet de la compañía, lo que implica que su dirección de correo electrónico es pública debido a que lainformación de contacto se encuentra en la base de datos consultada a través de “whois”. El 22 de febrero de 2013, usted nota la existencia de unos archivos extraños en el directorio /tmp/ en el servidorcon dirección IP 192.168.229.134, el cual es una máquina con Linux que los desarrolladores utilizan ocasionalmente para realizar pruebas de software. Posteriormente se percata que no ha aplicado losúltimos parches de seguridad en dicha máquina de pruebas.
Debido a lo anterior, inmediatamente decide respaldar en un CD-R todo el tráfico capturado de la red de ese día. Posteriormente, realiza elproceso de respuesta a incidentes en línea en el equipo comprometido con el propósito de recolectar los datos volátiles del sistema. Cabe señalar que la dirección IP del investigador es la 170.70.1.17.Debido a que el equipo comprometido casi no se utiliza, lo desconecta de la red y realiza el duplicado del disco con el propósito de preservar la evidencia que pudiera contener archivos eliminados.Usted inicia la cadena de custodia de toda la evidencia que recolectó en caso de que se decida iniciar un proceso legal.
Notas: la evidencia parcial del escenario de este caso se localiza en eldirectorio
\casos\brj_software\live_response\
Los procesos que inicien con el prefijo “/mnt/usb/ir2/bin/t” (ej. /mnt/usb/ir2/bin/tnc) son todos aquellos ejecutados por el investigador para recolectar...
Regístrate para leer el documento completo.