Indice

1. Introducción
2. Obteniendo datos volátiles
3. Obteniendo datos no volátiles
4. Clonando el disco
5. Referencias

Continuamos con la segunda parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la primera parte, puedes verla aquí.

Adquisición:

En esta segunda fase, procedemos a ejecutar los 3 pasos que visualizamos en el gráfico anterior para adquirir la evidencia sin alterarla o dañarla, se autentica que la informacion de la evidencia sea igual a la original.

Se debe definir los equipos y herramientas determinadas para llevar a cabo la investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.… Leer mas....

En este articulo describiremos de forma practica, como utilizar una Metodología de Análisis forense para responder a un incidente.

Identificación:

 … Leer mas....

No soy de profesion abogado y posiblemente en algunos casos, no haga uso exactos de los terminos tecnico-legales de un tema que quisiera referirme basado en mi experiencia de aproximadamente 10 años, como Perito, Consultor  Tecnico y como Auditor de profesion, respecto a los ultimos acontencimientos que van dandose con mayor frecuencia como son los embargos y las requisas de tecnologia de almacenamiento digital de informacion (PC, Portatiles, Celulares, etc.) que son realizadas ya sea por instrucciones de un JUEZ o de un FISCAL.… Leer mas.... | 2 Comments

NetworkMiner es una herramienta forense de análisis de redes para Windows (posible emulación en GNU/Linux con Wine).  El propósito de NetworkMiner es recolectar información (como evidencia forense) sobre los hosts de la red en vez de recoger información concerniente al tráfico de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el objetivo de detectar detalles específicos del host como  sistemas operativo, hostname, sesiones, etc. sin generar ningún tráfico en la red.… Leer mas.... | 1 Comment

Fuente: http://dmedianero.byethost15.com

m313 Security Blog

Este post pretende ser una introducción al análisis forense del uso de este conocido navegador web.
Cuando analizamos los rastros que deja un navegador en una máquina fundamentalmente nos interesa saber a qué URL’s ha accedido el usuario, su historial de navegación para establecer si realiza un uso adecuado del mismo, extensiones instaladas, etc.

En Mozilla Firefox casi todos esos datos se guardan en el perfil, que se haya en una ruta variable en función del sistema operativo en que se ejecute:
Linux: /home/usuario/.mozilla/firefox/directorio_del_perfil
Windows XP: C:\Documents and Settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\directorio_del_perfil
Windows Vista: C:\Users\usuario\AppData\Roaming\Mozilla\Firefox\Profiles\directorio_del_perfil
MacOS: /Library/Application Support/Firefox/Profiles/directorio_del_perfil

El experto en Seguridad de Base de datos David Litchfield, hablará su nueva herramienta y  paper con Jeff Moss, Fundador y Director de Black Hat. La herramienta, orablock, permite que a un investigador forense, para volcar los datos desde un archivo de datos Oracle – es decir, no hay necesidad de cargar el archivo de datos en la base de datos que causa modificaciones en el archivo de datos, se utiliza orablock para preserva las pruebas.… Leer mas....

Son tres entradas en las que los chicos de Honeyblog narran cómo algunos de los honeypots que tienen desplegados quedaron comprometidos.

Los enlaces en cuestión son:

1. Honeypot Compromises I, donde se narra el compromiso de una máquina SuSe 9.1 con una infraestructura Horde vulnerable.
2. Honeypot Compromises II, donde se documenta el compromiso de una Red Hat 8.0 con una versión no actualizada de phpAdsNew.
3. Honeypot Compromises III, en el que se narra cómo una máquina RedHat 8.0 quedó comprometida a consecuencia de una clave débil.

Cada noticia enlaza un PDF con el análisis completo. Muy interesante, a modo de instrucción… Leer mas....

Pasemos ahora a la etapa más crucial de este primer caso práctico de Análisis Forense a un Sistema Windows 2003 Server previamente comprometido.

Una vez que me hemos recolectado toda la información posible sobre aplicaciones, usuarios, Sistema Operativo, Dispositivos, etc, se hace necesario identificar con total claridad las distintas interacciones entre cada una de ellas.

Dicho de otra manera comenzaremos con un ciclo de análisis que implica mucho tiempo y mucha concentración, pues este conlleva a realizar un análisis concienzudo de cada uno de los eventos registrados por el sistema.