analisis forense digital

Análisis Forense Digital

1

LICENCIA

Copyright (c)

2.006 - 2.007 Miguel López Delgado.

Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2 or
any later version published by the Free Software Foundation; with no
Invariant Sections, no Front-Cover Texts being “Análisis Forense Digital”, and noBack-Cover Texts.
A copy of the license is included in the section entitled "GNU Free Documentation License".

El presente documento se distribuye bajo la licencia conocida como “GNU Free Documentation License”: http://www.gnu.org/copyleft/fdl.html.

Todos los nombres propios de programas, sistemas operativos, equipos hardware, etc., que
aparecen en este libro son marcas registradas por susrespectivos fabricantes, compañías u
organizaciones.

Análisis Forense Digital

2

Análisis Forense Digital
Computer Forensics

“Análisis Forense Digital”
Segunda Edición:
Primera Edición:

Autor:

Web:
e-mail:

junio 2007, revisada y adaptada para su publicación en CriptoRed
junio 2.006

Miguel López Delgado
Ingeniero Técnico Industrial
Experto Profesional en SeguridadInformática
www.codemaster.es
codemaster@telefonica.net

A mis hijos Manuel y Paula, por ser una
fuente constante de inspiración.

Análisis Forense Digital

3

1
Índice
1.- Índice.

3

2.- Introducción.
Antecedentes.
Conceptos y terminología.
Prevención de ataques a sistemas.
Preparación y respuesta ante incidentes.
Aspectos legales.

4
4
5
6
7
8

3.- Fases de unAnálisis Forense Digital.

10

Identificación del incidente: Búsqueda y recopilación de evidencias.
Descubrir las señales del ataque.
Recopilación de evidencias.
Preservación de la evidencia.
Análisis de la evidencia.
Preparación para el análisis: El entorno de trabajo.
Reconstrucción de la secuencia temporal del ataque.
Determinación de cómo se realizó el ataque.
Identificación del autor oautores del incidente.
Evaluación del impacto causado al sistema.
Documentación del incidente.
Utilización de formularios de registro del incidente.
El Informe Técnico.
El Informe Ejecutivo.
4.- Herramientas para Análisis Forense Digital.
Software de Libre Distribución y Open Source.

10
10
13
15
16
17
17
19
20
21
22
22
23
23
24
24

5.- Conclusiones.

27

6.-Bibliografía y referencias.

28

7.- URLs.

28

Apéndices.
A.1.- Esquema del proceso de respuesta a incidentes.
A.2.- Ejemplo de e-mail de notificación sobre incidentes a un ISP.
A.3.- Glosario de términos.

29
29
30
31

Análisis Forense Digital

4

2
Introducción
Antecedentes
Un jueves por la tarde comienza a circular por Internet un nuevo “gusano”. Éste aprovecha unavulnerabilidad de Microsoft Windows XP que había sido publicada oficialmente un
par de semanas atrás y que se acompañó del correspondiente “parche”. Se conoce que el “gusano” se extiende auto enviándose por e-mail usando todas las direcciones que encuentra en el
sistema infectado, además está programado para generar diferentes nombres de archivos adjuntos y sus extensiones pueden variar, al tiempo queelige entre un centenar de asuntos y
cuerpos de mensaje diferentes. Cuando el “gusano” infecta un sistema realiza una escalada de
privilegios hasta obtener derechos de Administrador, realizando entonces la descarga, desde
diferentes direcciones IP y vía FTP, de un agente para la ejecución de ataques de denegación
de servicio distribuido (DDoS). Aunque los fabricantes de software antivirusalertan inmediatamente del “gusano” su expansión ha sido muy rápida y aún no se dispone de su firma. Su
organización ya ha sufrido una infección importante por la ejecución del “gusano” unas tres
horas antes de que dispusiese de la firma para su antivirus y este se encuentra activo en algunos sistemas de su red.
Ante un escenario de este tipo, podríamos hacernos las siguientes preguntas:
¿Tiene...