Software forense
Páginas: 51 (12689 palabras)
Publicado: 29 de enero de 2011
INTRODUCCION
El análisis forense de un sistema involucra primeramente la recopilación de información dispersa en todo el sistema y posteriormente un análisis de la misma; mientras más completa y precisa resulte dicha información, más verídico será el análisis realizado. La adecuada conservación de la información del sistema original cumple un rol fundamental en la investigación, de modo que elprocesamiento de la misma debería llevarse a cabo sobre una copia de los datos del sistema original. Disponer de una copia exacta de todo el sistema es el objetivo ideal de la recopilación, pero esto es en sí imposible dado que en el proceso de recolección otros usuarios o programas pueden disparar cambios en el sistema, destruyendo parte de la evidencia. Aún más, la perdida de la informaciónpodría ser causada por una trampa dejada por algún intruso o persona mal intencionada, o simplemente por cualquier programa que se ejecute. Por este motivo las técnicas forenses tradicionales se han centrado en apagar los sistemas y realizar un análisis sobre la información que persista: logs de programas, tiempos de acceso, contenidos de archivos, etc. Esto facilita la captura de la información y elestablecimiento de una línea de tiempo irrefutable. Deben tomarse numerosas precauciones y cuidados en caso de tomar información de un sistema en funcionamiento.
En general, el sistema debe aislarse y deben recuperarse los datos siguiendo su orden de volatilidad (OOV), es decir, de acuerdo a su expectativa de vida media dentro del equipo. Respetar este orden aumenta las probabilidades de salvarlos datos más efímeros (en caso de que sean los que nos interesan). Con respecto a esto debemos mencionar que no es posible registrar todos los cambios que ocurren en procesos o archivos en tiempo real, pues al tomar datos de un sector se modifican en otro (algo similar a un principio de incertumbre). Otro aspecto fundamental a la hora de realizar un análisis es determinar la confiabilidad de lainformación. Cualquiera de los distintos sectores de un sistema podría ser modificado para reflejar datos falsos; en general, cuantas más fuentes haya y cuanto más independientes sean, más certeza habrá respecto de la veracidad de las mismas. Cuando nos referimos a fuentes de información queremos indicar cualquier elemento que pueda aportar elementos para la reconstrucción de un suceso en un sistema,ya sean logs de red, entradas en el journal, MACtimes de archivos, dumps de memoria, etc. La destrucción de la información dentro de un sistema es algo complicado; por ejemplo, la información contenido en un archivo borrado persiste hasta que sea sobrescrita por uno nuevo.
En sistemas de archivos con un clustering eficiente los datos pueden persistir por años, aunque más no sea parcialmente. Amedida que aumenta el grado de abstracción de las capas del sistema, encontramos más información remanente, aunque su significado está más oculto, es más ambiguo. Haciendo una analogía con el mundo real pueden clasificarse los procesos que ocurren en un ordenador en dos grupos. Por un lado identificamos procesos de tipo arqueológico, que son el resultado de la acción directa de un ser humano sobrela computadora; por ejemplo, el contenido de archivos, registros de acceso, registros de tráfico de red. Por otro lado, al hacer referencia a los procesos geológicos nos referimos a los procesos autónomos del sistema, aquellos sobre los que los humanos no tiene control alguno, como la asignación y el reciclado de bloques de memoria, la asignación de ID para archivos o procesos. Los procesos detipo geológico destruyen las evidencias arqueológicas que quedan en el sistema, es decir, los procesos autónomos sobrescriben los datos que pueden haber quedado almacenados por el accionar de una persona.
1.1 ANTECEDENTES
Cuarenta años atrás, las computadoras eran máquinas colosales que sólo eran utilizadas por corporaciones multinacionales y agencias gubernamentales en países poderosos....
El análisis forense de un sistema involucra primeramente la recopilación de información dispersa en todo el sistema y posteriormente un análisis de la misma; mientras más completa y precisa resulte dicha información, más verídico será el análisis realizado. La adecuada conservación de la información del sistema original cumple un rol fundamental en la investigación, de modo que elprocesamiento de la misma debería llevarse a cabo sobre una copia de los datos del sistema original. Disponer de una copia exacta de todo el sistema es el objetivo ideal de la recopilación, pero esto es en sí imposible dado que en el proceso de recolección otros usuarios o programas pueden disparar cambios en el sistema, destruyendo parte de la evidencia. Aún más, la perdida de la informaciónpodría ser causada por una trampa dejada por algún intruso o persona mal intencionada, o simplemente por cualquier programa que se ejecute. Por este motivo las técnicas forenses tradicionales se han centrado en apagar los sistemas y realizar un análisis sobre la información que persista: logs de programas, tiempos de acceso, contenidos de archivos, etc. Esto facilita la captura de la información y elestablecimiento de una línea de tiempo irrefutable. Deben tomarse numerosas precauciones y cuidados en caso de tomar información de un sistema en funcionamiento.
En general, el sistema debe aislarse y deben recuperarse los datos siguiendo su orden de volatilidad (OOV), es decir, de acuerdo a su expectativa de vida media dentro del equipo. Respetar este orden aumenta las probabilidades de salvarlos datos más efímeros (en caso de que sean los que nos interesan). Con respecto a esto debemos mencionar que no es posible registrar todos los cambios que ocurren en procesos o archivos en tiempo real, pues al tomar datos de un sector se modifican en otro (algo similar a un principio de incertumbre). Otro aspecto fundamental a la hora de realizar un análisis es determinar la confiabilidad de lainformación. Cualquiera de los distintos sectores de un sistema podría ser modificado para reflejar datos falsos; en general, cuantas más fuentes haya y cuanto más independientes sean, más certeza habrá respecto de la veracidad de las mismas. Cuando nos referimos a fuentes de información queremos indicar cualquier elemento que pueda aportar elementos para la reconstrucción de un suceso en un sistema,ya sean logs de red, entradas en el journal, MACtimes de archivos, dumps de memoria, etc. La destrucción de la información dentro de un sistema es algo complicado; por ejemplo, la información contenido en un archivo borrado persiste hasta que sea sobrescrita por uno nuevo.
En sistemas de archivos con un clustering eficiente los datos pueden persistir por años, aunque más no sea parcialmente. Amedida que aumenta el grado de abstracción de las capas del sistema, encontramos más información remanente, aunque su significado está más oculto, es más ambiguo. Haciendo una analogía con el mundo real pueden clasificarse los procesos que ocurren en un ordenador en dos grupos. Por un lado identificamos procesos de tipo arqueológico, que son el resultado de la acción directa de un ser humano sobrela computadora; por ejemplo, el contenido de archivos, registros de acceso, registros de tráfico de red. Por otro lado, al hacer referencia a los procesos geológicos nos referimos a los procesos autónomos del sistema, aquellos sobre los que los humanos no tiene control alguno, como la asignación y el reciclado de bloques de memoria, la asignación de ID para archivos o procesos. Los procesos detipo geológico destruyen las evidencias arqueológicas que quedan en el sistema, es decir, los procesos autónomos sobrescriben los datos que pueden haber quedado almacenados por el accionar de una persona.
1.1 ANTECEDENTES
Cuarenta años atrás, las computadoras eran máquinas colosales que sólo eran utilizadas por corporaciones multinacionales y agencias gubernamentales en países poderosos....
Leer documento completo
Regístrate para leer el documento completo.