Informatica Forense
Upcoming SlideShare
Loading in...5
×
 

Informatica Forense

on

  • 10,724 views

En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar ...

En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá combatir esta clase de transgresiones.

Statistics

Views

Total Views
10,724
Slideshare-icon Views on SlideShare
10,600
Embed Views
124

Actions

Likes
5
Downloads
720
Comments
0

3 Embeds 124

http://informaticaclaravilla.blogspot.com.es 97
http://informaticaclaravilla.blogspot.com 15
http://www.blogger.com 12

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Informatica Forense Informatica Forense Document Transcript

    • Contenido Introducción   Objetivos Objetivo Principal Objetivos específicos Desarrollo Generalidades Definición Importancia Usos Aspectos técnicos - Fases de un Análisis Forense Digital Identificación del incidente: búsqueda y recopilación de evidencias Descubrir las señales del ataque Recopilación de evidencias Preservación de la evidencia Análisis de la evidencia Preparación para el análisis: El entorno de trabajo Reconstrucción de la secuencia temporal del ataque Determinación de cómo se realizó el ataque Identificación del autor o autores del incidente Evaluación del impacto causado al sistema Documentación del incidente Utilización de formularios de registro del incidente El Informe Técnico El Informe Ejecutivo Herramientas Tipos de herramientas forenses Recolección de evidencias Monitoreo y/o control de computadoras Marcado de documentos Hardware Herramientas para realizar análisis forense Programas para informática forense Medidas adoptadas por Ecuador, realidad procesal El enfoque preventivo Valoración y gestión del riesgo Planificación Ahorro de costes y rendimientos óptimos en la respuesta forense Futuro Conclusiones y recomendaciones Conclusiones Recomendaciones Diccionario de términos Fuente de consulta Anexos Reforma Reglamento Ley de Comercio Electrónico Herramientas más conocidas para el análisis forense Esquema del proceso de respuesta a incidentes
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  INTRODUCCIÓN El uso y evolución de las Tecnologías de Información y la Comunicación (TICs), brinda nuevas oportunidades para que una institución esté innovada y pueda prevalecer frente a la competencia, transformando sustancialmente los procesos de intercambio y producción de información. Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques en contra de de la integridad de sistemas computacionales o redes ha causado ingentes pérdidas económicas especialmente en el sector comercial y bancario, debido a esto las empresas pierden credibilidad y se debilitan institucionalmente. Por esta razón se desarrollan herramientas que permite descubrir a los autores del delito y asegurar las pruebas del mismo. En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá combatir esta clase de transgresiones. Una de las herramientas es la informática forense, ciencia criminalística que sumada al impulso y utilización masiva de nuevas tecnologías en todos los ámbitos, está adquiriendo una gran importancia debido a la globalización de la sociedad de la información. La informática forense no ha sido totalmente conocida, razón por la cual su admisibilidad dentro de un proceso judicial podría ser cuestionada, pero esto no debe ser un obstáculo para dejar de lado esta importante clase de herramienta, debiendo ser manejada en base a rígidos principios científicos, normas legales y procedimientos. La aplicación de esto nos ayudará a resolver grandes crímenes apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales. El propósito de este documento es socializar sobre la informática forense, dando pautas para que se pueda manejar delitos informáticos con la debida recuperación de evidencia digital. Además la universidad debe aprovechar las bondades de la informática forense para realizar estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos. Informática Forense – Compilado por Quituisaca Samaniego Lilia 2   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  OBJETIVOS Objetivo Principal: Recolectar evidencia digital presente en toda clase de infracciones en los Delitos Informáticos. Objetivos específicos: Compensar de los daños causados por los criminales o intrusos. Perseguir y procesar judicialmente a los criminales informáticos. Aplicar medidas como un enfoque preventivo. Informática Forense – Compilado por Quituisaca Samaniego Lilia 3   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  DESARROLLO Generalidades Definición: “La informática forense es la ciencia que nos permite identificar, preservar, analizar y presentar, evidencia digital, que pueda ser usada como evidencia dentro de un proceso legal.” Según el FBI, la informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Importancia: La informática forense nace en vista de la necesidad del personal del derecho en poder afrontar nuevas tareas probatorias. Esta necesidad crea el nacimiento de los llamados detectives digitales o peritos informáticos. Los Informáticos forenses tienen la ardua labor de realizar investigaciones en busca de evidencia digital. Usos: Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia 4   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez que se tiene la orden judicial para hacer la búsqueda exhaustiva. Investigación científica: Academias y universidades aprovechan las bondades de la informática forense para realizar estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos, entre otros. Usuario final: Cada vez es más común que las personas usen herramientas de software para recuperar archivos borrados, encriptar documentos y rastrear el origen de un correo electrónico. Informática Forense – Compilado por Quituisaca Samaniego Lilia 5   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Aspectos técnicos - Fases de un Análisis Forense Digital Identificación del incidente: búsqueda y recopilación de evidencias Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva aparejado la búsqueda y recopilación de evidencias. Antes de comenzar una búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de forma metódica y profesional. Descubrir las señales del ataque Para iniciar una primera inspección del equipo deberá tener en mente la premisa de que debe conservar la evidencia, no haga nada que pueda modificarla. Deberá utilizar herramientas que no cambien los sellos de tiempo de acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto que no borren nada. Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad que incorpora el Sistema Operativo, o las que se hayan instalado se mantienen intactas deberemos utilizar otras alternativas. Piense que en muchos casos los atacantes dispondrán de herramientas capaces de modificar la información que el administrador verá tras la ejecución de ciertos comandos. Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Cuestione siempre la información que le proporcionen las aplicaciones instaladas en un sistema que crea comprometido. Recopilación de evidencias Si está seguro de que sus sistemas informáticos han sido atacados. En este punto deberá decidir cuál es su prioridad: A.- Tener nuevamente operativos sus sistemas rápidamente. B.- Realizar una investigación forense detallada. Piense que la primera reacción de la mayoría de los administradores será la de intentar devolver el sistema a su estado normal cuanto antes, pero esta actitud sólo hará que pierda casi todas las evidencias que los atacantes hayan podido dejar en “la escena del crimen”, eliminando la posibilidad de realizar un análisis forense de lo sucedido que le permita contestar a las preguntas de ¿qué?, ¿cómo?, ¿quién?, ¿de dónde? y ¿cuándo? se comprometió el sistema, e impidiendo incluso llevar a cabo acciones legales posteriores. Esto también puede llevarle a trabajar con un sistema vulnerable, exponiéndolo nuevamente a otro ataque. Informática Forense – Compilado por Quituisaca Samaniego Lilia 6   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Documentar detalladamente todas las operaciones que realice sobre los sistemas atacados. No escatime en la recopilación de datos incluso haga fotografías de los equipos y del entorno, cualquier evidencia puede ser definitiva. También sería recomendable que le acompañase otra persona durante el proceso de recopilación de evidencias, ésta actuaría como testigo de sus acciones, así que si es alguien imparcial mejor, y si puede permitirse que le acompañe un Notario mejor, recuerde los requisitos legales para que una evidencia pase a ser considerada como prueba en un juicio. Preservación de la evidencia Aunque el primer motivo que le habrá llevado a la recopilación de evidencias sobre el incidente sea la resolución del mismo, puede que las necesite posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación. En este proceso, es imprescindible definir métodos adecuados para el almacenamiento y etiquetado de las evidencias. Como primer paso deberá realizar dos copias de las evidencias obtenidas, genere una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya también en el etiquetado la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original. Otro aspecto a tener en cuenta, y que está relacionado con el comentario anterior, es el proceso que se conoce como la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Deberá preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento. Informática Forense – Compilado por Quituisaca Samaniego Lilia 7   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Análisis de la evidencia Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de forma adecuada, el Análisis Forense reconstruirá con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando conozcamos cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. Preparación para el análisis: El entorno de trabajo Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de trabajo adecuado al estudio que desee realizar. Es recomendable no tocar los discos duros originales y trabajar con las imágenes que recopiló como evidencias, o mejor aún con una copia de éstas, tenga en cuenta que necesitará montar esas imágenes tal cual estaban en el sistema comprometido. Prepare dos estaciones de trabajo, en una de ellas, que contendrá al menos dos discos duros, instale un sistema operativo que actuará de anfitrión y que le servirá para realizar el estudio de las evidencias. En ese mismo ordenador y sobre un segundo disco duro, vuelque las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado. En el otro equipo instale un sistema operativo configurado exactamente igual que el del equipo atacado, además mantenga nuevamente la misma estructura de particiones y ficheros en sus discos duros. Si no dispone de recursos, puede utilizar software como VMware, que le permitirá crear una plataforma de trabajo con varias máquinas virtuales (varios equipos lógicos independientes funcionando sobre un único equipo físico). Informática Forense – Compilado por Quituisaca Samaniego Lilia 8   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Reconstrucción de la secuencia temporal del ataque El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello recopile la siguiente información sobre los ficheros: • Inodos asociados. • Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado). • Ruta completa. • Tamaño en bytes y tipo de fichero. • Permisos de acceso. • Usuarios y grupos a quien pertenece. • Si fue borrado o no Sin duda esta será la información que más tiempo le llevará recopilar, pero será el punto de partida para su análisis, podría plantearse aquí dedicar un poco de tiempo a preparar un script que automatizase el proceso de creación del timeline. Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, inodos y fechas MAC muy distintas a las de los ficheros más antiguos. La idea es buscar ficheros y directorios que han sido creados, modificados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes. Piense que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar, como por ejemplo en los directorios temporales. Determinación de cómo se realizó el ataque Una vez que disponga de la cadena de acontecimientos que se han producido, deberá determinar cuál fue la vía de entrada a su sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha. Estos datos, deberá obtenerlos de forma metódica, empleando una combinación de consultas a archivos de logs, registro, claves, cuentas de usuarios, etc. Identificación del autor o autores del incidente La identificación de sus atacantes será de especial importancia si tiene pensado llevar a cabo acciones legales posteriores o investigaciones internas a su organización. Deberá realizar algunas pesquisas como parte del proceso de identificación. Primero intente averiguar la dirección IP de su atacante, para ello revise con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. Informática Forense – Compilado por Quituisaca Samaniego Lilia 9   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  También podría encontrar esta información en fragmentos de las evidencias volátiles, la memoria virtual o archivos temporales y borrados, como restos de e-mail, conexiones fallidas, etc. Otro aspecto que le interesaría averiguar es el perfil de sus atacantes, aunque sin entrar en detalles podrá encontrarse con los siguientes tipos de “tipos”: • Hackers: Son los más populares y tienen hasta su propia película (HACKERS de Iain Softley, 1995). Se trata de personas con conocimientos en técnicas de programación, redes, Internet y sistemas operativos. Sus ataque suelen tener motivaciones de tipo ideológico (pacifistas, ecologistas, anti-globalización, anti-Microsoft, etc.) o simplemente lo consideran como un” desafío intelectual”. • SciptKiddies: Son una nueva especie que ha saltado a la escena de la delincuencia informática recientemente. Se trata de jóvenes que con unos conocimientos aceptables en Internet y programación emplean herramientas ya fabricadas por otros para realizar ataques y “ver que pasa”. • Profesionales: Son personas con muchísimos conocimientos en lenguajes de programación, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques taques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparación del mismo, realizando un estudio meticuloso de todo el proceso que llevará a cabo, recopilando toda la información posible sobre sus objetivos, se posicionará estratégicamente cerca de ellos, realizará un tanteo con ataques en los que no modificará nada ni dejará huellas. Evaluación del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el análisis forense le ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Esto le permitirá evaluar el compromiso de sus equipos y realizar una estimación del impacto causado. Generalmente se pueden dar dos tipos de ataques: Ataques pasivos: en los que no se altera la información ni la operación normal de los sistemas, limitándose el atacante a fisgonear por ellos. Ataques activos: en los que se altera, y en ocasiones seriamente, tanto la información como la capacidad de operación del sistema. Además existen otros aspectos del ataque como los efectos negativos de tipo técnico que ha causado el incidente, tanto inmediato como potencial. Por ejemplo ataques al cortafuegos, el router de conexión a Internet o Intranet, el servidor Web corporativo, los servidores de bases de datos, tendrán diferente repercusión según el tipo de servicio o negocio que preste su organización y las relaciones de dependencia entre sus usuarios. Informática Forense – Compilado por Quituisaca Samaniego Lilia 10   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Documentación del incidente Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el incidente. Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá que mantener informados a las personas adecuadas de la organización, por lo que será interesante que disponga de diversos métodos de comunicación. Además, necesitará tener preparados una serie de formularios y presentar tras la resolución del incidente al menos dos tipos de informes uno Técnico y otro Ejecutivo. Utilización de formularios de registro del incidente El empleo de formularios puede ayudarle bastante en este propósito. Éstos deberán ser rellenados por los departamentos afectados por el compromiso o por el propio equipo que gestionará el incidente. Alguno de los formularios que debería preparar serán: • Documento de custodia de la evidencia. • Formulario de identificación de equipos y componentes. • Formulario de incidencias tipificadas. • Formulario de publicación del incidente. • Formulario de recogida de evidencias. • Formulario de discos duros. El Informe Técnico Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense. A modo de orientación, deberá contener, los siguientes puntos: • Antecedentes del incidente. • Recolección de los datos. • Descripción de la evidencia. • Entorno del análisis. o Descripción de las herramientas. • Análisis de la evidencia. o Información del sistema analizado. Características del SO. Aplicaciones. Servicios. Vulnerabilidades. Metodología. • Descripción de los hallazgos. o Huellas de la intrusión. Informática Forense – Compilado por Quituisaca Samaniego Lilia 11   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  o Herramientas usadas por el atacante. o Alcance de la intrusión. o El origen del ataque • Cronología de la intrusión. • Conclusiones. • Recomendaciones específicas. • Referencias. El Informe Ejecutivo Este informe consiste en un resumen del análisis efectuado, pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido a personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración, e incluso algunos directivos. En este informe deberá constar lo siguiente: • Motivos de la intrusión. • Desarrollo de la intrusión • Resultados del análisis. • Recomendaciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia 12   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Herramientas Tipos de herramientas forenses. Recolección de evidencias Existen un gran número de herramientas que se pueden utilizar para la recuperación de evidencia, la utilización de herramientas sofisticadas es necesaria. Esto se debe a la gran cantidad de datos que pueden estar guardados en la computadora, la gran cantidad de extensiones y formatos con los que nos podemos encontrar dentro de un mismo sistema operativo. Es necesario recopilar información que sea correcta y que sea comprobable, es decir verificar que no ha sufrido alteraciones o corrupción. Cabe aclarar que las herramientas sofisticadas nos ayudan a disminuir los tiempos para poder analizar toda la información recopilada. Por otro lado nos encontramos también la simplicidad con la que se pueden borrar los archivos de la computadora como así también las distintas herramientas de encriptación y contraseñas. Monitoreo y/o control de computadoras Hay ocasiones en las que necesitamos saber cual ah sido la utilización que se le ah dado a la computadora antes de que se le realice la pericia por lo tanto tenemos herramientas que controlan que se le da ah la computadora para poder recopilar la información. Dentro de las herramientas nos encontramos con algunas de mucha simpleza como lo es un key logger, el cual almacena en un archivo de texto todo lo que ingresamos por el teclado. De esta misma forma tenemos los intermedios que guardan screenshots de la pantalla que ve el usuario observado y los de mayor complejidad que nos permiten tomar el control de la computadora en su totalidad además de observar lo que hace el usuario. Marcado de documentos Una herramienta interesante es aquella que permite hacerle una marca a un documento importante, esto es de gran utilidad si nos encontramos con un caso en el que se esta sustrayendo información, ya que al marcar el documento se lo puede seguir y detectarlo con facilidad. La intención principal de la seguridad está centrada en prevenir los ataques. Nos encontramos con algunos sitios los cuales tienen información confidencial o de mucho valor los cuales intentan protegerse a través de mecanismos de validación. Pero lo cierto es que nada es seguro en su totalidad siempre hay algo que se nos escapa por lo tanto debemos estar preparados para saber actuar ante algún posible ataque. Hardware Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas como DIBS las cuales son las que nos permiten poder recuperar la información sin alterar los datos. Pero seguimos teniendo el inconveniente de que cuando encendemos la computadora se modifican los registros de la misma. Informática Forense – Compilado por Quituisaca Samaniego Lilia 13   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Herramientas para realizar análisis forense Herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos borrados o recolección de evidencia digital. Outport: Programa que permite exportar los datos desde Outlook a otros clientes de correo (p.e. Evolution). Probado por con Outlook 2000 y Evolution 1.0.x y 1.2.x. AIRT (Advanced incident response tool): Conjunto de herramientas para el análisis y respuesta ante incidentes, útiles para localizar puertas traseras. Foremost: Utilidad para Linux que permite realizar análisis forenses. Lee de un fichero de imagen o una partición de disco y permite extraer ficheros. WebJob: Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operación. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web. HashDig: Automatiza el proceso de cálculo de los hashes MD5 y comprobación de integridad, distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia. Md5deep: Conjunto de programas que permiten calcular resúmenes MD5, SHA-1, SHA-256, Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin, *BSD, OS X, Solaris y seguro algunos mas. Automated Foresic Análisis: Herramienta para análisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan información interesante para un análisis forense. Gpart: Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un fichero o dispositivo. TestDisk: Programa que permite chequear y recuperar una partición eliminada. Soporta BeFS (BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid, Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003), ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI’s Journaled File System. Dump Event Log: Herramienta de línea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. Fccu-docprop: Utilidad de línea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS. Utiliza la librería libgsf para obtener los meta datos. Fccu.evtreader: Permite analizar ficheros de log de eventos de Windows. GrokEVT: Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Event Log Parser: Script PHP que, pasándole un fichero de log de Windows, permite extraer su contenido en un fichero de texto ASCII. Informática Forense – Compilado por Quituisaca Samaniego Lilia 14   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Programas para informática forense Herramientas que permiten la recuperación de datos como así también el análisis de los navegadores. Los programas son lo siguientes. Srprint: Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauración del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de creación y borrado de ficheros que ya no estén presentes en el sistema. iDetect Toolkit: Utilidad que asiste a un investigador forense en el análisis de la memoria de un sistema comprometido. Pasco: Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la información de un fichero index.dat obteniendo como resultado campos separados por tabuladores que pueden importarse fácilmente a una hoja de cálculo. Web Historian: Asiste en la recuperación de las URLs de los sitios almacenados en los ficheros históricos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla Firefox, Netscape, Opera y Safari. Rifuiti: Herramienta para el análisis forense de la información almacenada en la Papelera de Reciclaje de un sistema Windows. Reg Viewer: GUI en GTK 2.2 para la navegación de ficheros de registro de Windows. Es independiente de la plataforma en que se ejecute. RegParse: Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. Abre el fichero en modo binario y parsea la información registro a registro. Regutils: Herramientas para la manipulación de ficheros ini y de registro de sistemas Windows 9x desde UNIX. Allimage: Esta herramienta para Windows nos permitirá crear imágenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos. ProDiscover Basic Edition: Completo entorno grafico para el análisis forense de sistemas bajo entornos Windows. Permite realizar imágenes, preservar, analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del análisis. FTK Imagen: Herramienta que nos permitirá realizar imágenes de un dispositivo comprometido. Entre sus características también esta la conversión entre diferentes formatos de imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita. También existe una versión lite, cuya funcionalidad es más reducida. PyFlag: Avanzada herramienta para el análisis forense de grandes volúmenes o imágenes de log. Desarrollada en python posee una interfaz accesible mediante el navegador web. Entre sus características posee la de integrar volatility, facilitando de esta forma el análisis de ficheros de imagen de la memoria física de un sistema Windows. PlainSight: Completo entorno para el análisis forense de sistemas. Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavía se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista. Informática Forense – Compilado por Quituisaca Samaniego Lilia 15   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Medidas adoptadas por Ecuador, realidad procesal Desde 1999 se puso en el tapete de la discusión el proyecto de Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas. Se conformaron comisiones para la discusión de la Ley. Cuando la ley se presentó en un principio, tenía una serie de falencias, que con el tiempo se fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la misma, es decir los llamados Delitos Informáticos, como se les conoce, se sancionarían de conformidad a lo dispuesto en nuestro Código Penal por lo que no se tomaba en cuenta los adelantos de la informática y la telemática presentando inseguridad en el comercio telemático ante el posible asedio de la criminalidad informática. Pero en el año 2002 se aprobó un texto definitivo de la Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas, y en consecuencia las reformas al Código Penal que emitía frente a los Delitos Informáticos. De acuerdo a la Constitución Política del Ecuador y la reciente Reforma señala que “El Ministerio Público prevendrá en el conocimiento de las causas, dirigirá y promoverá la investigación pre - procesal y procesal penal”. Ahora el problema que se advierte por parte de las instituciones llamadas a perseguir las llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto del Miniterio Público como de la Policía Judicial, esto en razón de la falta por un lado de la infraestructura necesaria, como centros de vigilancia computarizada, las modernas herramientas de software y todos los demás implementos tecnológicos necesarios para la persecución de los Delitos Informáticos, de igual manera falta la suficiente formación tanto de los Fiscales que dirigirán la investigación como del cuerpo policial que lo auxiliara en dicha tarea, dado que no existe hasta ahora en nuestra policía una Unidad Especializada, como existe en otro países. Por tanto es esencial que se formen unidades Investigativas tanto policiales como del Ministerio Público especializadas en abordar cuestiones de la delincuencia informática e informática forense. Estas unidades pueden servir también de base tanto para una cooperación internacional formal o una cooperación informal basada en redes transnacionales de confianza entre agentes de aplicación de la ley. La masificación de virus informáticos globales, la difusión de pornografía infantil e incluso actividades terroristas son algunos ejemplos de los nuevos delitos informáticos y sus fronteras que presentan una realidad difícil de controlar. Con el avance de la tecnología digital, ha surgido una nueva generación de delincuentes que expone a los gobiernos, las empresas y los individuos a estos peligros. Debemos exigir entonces contar no solo con leyes e instrumentos eficaces y compatibles que permitan una cooperación idónea entre los estados para luchar contra la Delincuencia Informática, sino también con la infraestructura tanto técnica como con el recurso humano calificado para hacerle frente a este nuevo tipo de delitos transnacionales. Es por eso que el Ministerio Público tiene la obligación jurídica en cumplimiento de su mandato constitucional de poseer un cuerpo especializado para combatir esta clase de criminalidad a fin de precautelar los derechos de las víctimas y llevar a los responsables a juicio, terminando así con una cantidad considerable de esta clase de infracciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia 16   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  El enfoque preventivo Este enfoque nace, precisamente, como sistematización del proceso forense antes de que el incidente ocurra, es decir, a priori, cuando podemos planificar con calma y con recursos los pasos que vamos a dar en el tratamiento de cada tipo de incidente. Las probabilidades de conseguir evidencias de calidad cuando establecemos una relación con el cliente anterior al incidente aumentan de forma exponencial; porque la estructura organizativa, las plataformas e infraestructuras de una organización se adapten para obtener las mejores evidencias forenses. Cabe mencionar las consecuencias en el ahorro de costos cuando la planificación de la respuesta ha sido preventiva y no responde a necesidades de urgencia en el tratamiento de un incidente que ya ha ocurrido y, por supuesto, es extremadamente importante poder documentar y hacer seguimiento de todos los procesos de negocio y de sus infraestructuras asociadas. Valoración y gestión del riesgo La prevención forense parte de la gestión de riesgos de la organización. Contando con un correcto mapa de activos y riesgos valorados sobre estos, podemos determinar recursos que necesitan especial atención desde la perspectiva de seguridad. De las matrices de valoración de activos, amenazas y vulnerabilidades, controles de mitigación y riesgos efectivos podemos deducir tecnologías aplicables y una aproximación de coste- inversión para una organización en particular; toda esta información puede obtenerse de la gestión de riesgos, ya sea cuantitativa (donde aproximas impactos por costes y pérdidas económicas) o cualitativa (con una aproximación subjetiva y no cuantificable de forma económica). Por ejemplo, identificar un activo con un gran peso, alto impacto en la organización y escasos controles de mitigación podría llevarnos a valorar la implantación de sistemas avanzados de vigilancia de éste con herramientas de detección de intrusos. Planificación De acuerdo con el mapa de activos y riesgos podemos tomar una serie de decisiones que hagan óptima la distribución de recursos dedicados a la práctica forense. Así, podemos incidir en las ventajas de contar con un procedimiento detallado de respuesta a incidentes que nos ayude a coordinar cómo queremos gestionar y responder a las situaciones de crisis que puedan darse en el futuro. Por supuesto, planes de continuidad, contingencia y gabinetes de crisis son también imprescindibles en tanto que establecen los protocolos y las estrategias de recuperación en caso de fallo. Todos estos proyectos que cubren las necesidades principales planteadas por la organización pueden ser limitados en lo que se refiere a la recuperación de evidencias. Lo habitual es plantear procedimientos que garanticen la continuidad de la operación y que ayuden a responder a un incidente desde la perspectiva de la disponibilidad. ¿Qué ocurre con la preservación de la evidencia? ¿Y con la protección de los activos frente a futuras amenazas del mismo tipo? Debemos tener presente las consecuencias derivadas de cualquier tipo de incidente relacionado con nuestra organización. Dedicando un esfuerzo dentro de la planificación de la respuesta a incidentes o dentro de la gestión de la continuidad de negocio, podemos mejorar en muchos niveles nuestra dinámica de Informática Forense – Compilado por Quituisaca Samaniego Lilia 17   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  documentación y protección de la evidencia. Con una buena política de uso de estas evidencias podemos obtener resultados directos en la prevención de acciones dañinas para la organización (malas prácticas, tiempos de parada, etc.) e incluso podemos llegar a hablar de prevención de ciertos tipos de fraude detectables mediante estas evidencias. Ahorro de costes y rendimientos óptimos en la respuesta forense Los presupuestos en materia seguridad cada vez son mayores en todas las organizaciones. En empresas consideradas de baja inversión como pueden ser las tradicionales PYMES, la orientación ha cambiado y se estima que a lo largo de los años próximos la inversión, en este tipo de empresas va a aumentar. En la mayor parte de los casos dedicar un leve esfuerzo en materia de prevención forense puede reducir la potencialidad del incidente de seguridad de forma drástica. La mejor formación de los equipos de respuesta trabajando antes de una situación de emergencia ayuda, con un coste de inversión mínimo, a evitar situaciones de pánico, a asegurar el correcto tratamiento de un incidente, a garantizar la calidad de las evidencias recopiladas, a conseguir una respuesta óptima frente a todas las situaciones conocidas o previstas, y a mejorar la respuesta frente a situaciones nuevas. Con todo lo antes mencionado podemos hablar con cifras reales de reducción de casos de fraude o de incidentes en función a prácticas de mejora de la respuesta forense. Si un proceso de negocio es gestionado correctamente desde la prevención en materia forense estamos hablando de la posibilidad de realizar un seguimiento estricto que pueda llevar a la detección de patrones de malas prácticas, problemas que estén en marcha y a la utilización de evidencias de calidad que previamente hemos obtenido, protegido y puesto a disposición de los responsables pertinentes. Futuro Los diversos fabricantes e integradores que trabajan en el mercado tecnológico ya incluyen dentro de sus soluciones herramientas y soluciones diversas en materia de protección de evidencias. Incluso fabricantes especializados en herramientas forenses han desarrollado soluciones preventivas que permiten la vigilancia ante-mortem. Existen soluciones con altas capacidades de correlación de eventos de diferentes fuentes, integración con diferentes soluciones de SIEM, sistemas de alerta temprana (con notificaciones de incidentes que ocurren en otras zonas geográficas), técnicas de gestión de evidencias y todo tipo de mejoras en infraestructuras que, hasta ahora, se planteaban como “valor añadido” pero que, la evolución natural de los mercados, ha llevado a considerar como necesidades particulares. El auge de las tecnologías de virtualización que permiten, entre otras cosas, obtener copias “en caliente” del sistema en funcionamiento o interceptar determinadas operaciones a nivel de núcleo abren otra puerta en materia de prevención forense. Incluso con la emergencia de aplicaciones derivadas de la filosofía del “Trusted Computing” podemos hablar de interceptar problemas detectados por vulneraciones de la política específica de un proceso de negocio determinado o del uso indebido de algún tipo de recurso. Podríamos hablar de sistemas de control que mediante las trazas de auditoria y el conocimiento forense adquirido nos permitieran bloquear intentos de fraude antes o durante de su ejecución. Informática Forense – Compilado por Quituisaca Samaniego Lilia 18   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES • La informática forense es una herramienta indispensable que toda organización debe contemplar dentro de su política de seguridad y enmarcarla dentro del proceso de respuesta a incidentes en los sistemas informáticos. • Las herramientas que el mercado maneja ya están muy consolidadas y los procedimientos en uso son aplicados por todas las empresas y expertos de estas. • En el ámbito preventivo existen acciones dispersas dentro de otros proyectos de mayor entidad como los planes de continuidad, contingencia y respuesta a incidentes, pero que adolecen de cierta seguridad en lo que a requisitos forenses se refiere. • La protección de las evidencias, firma digital de estas, controles de acceso, vigilancia y las implicaciones legales asociadas; llevan a plantear nuevos modelos de gestión de la seguridad. • Incidir en el enfoque preventivo de la práctica forense para: • Garantizar la calidad de las evidencias. • Dar mejor gestión y control de los procesos de negocios. • Asegurar el menor costo en la gestión anterior a un incidente sin la presión de una situación de emergencia. RECOMENDACIONES • En la era de la información, en la que las tecnologías avanzan a paso agigantado, nos encontramos con profesionales capacitados y de gran utilidad en la resolución de problemas informáticos, pero no han sido reconocidos en muchos ámbitos de nuestra sociedad y sin embargo son de gran utilidad, estos profesionales deben especializarse es este tipo de herramientas que permitirán generar confianza en los juicios por Delitos Informáticos. • La Informática forense aporta soluciones, tanto a grandes empresas como a PYMES, por lo que éstas deben gestionar para que se realicen estudios científicos, especialmente en centros de investigación como las Universidades. • Se debe destacar la necesidad de aplicar metodologías y procedimientos específicos con el fin de asegurar la garantía de calidad de las evidencias durante todo el proceso forense, haciendo hincapié en la recopilación y custodia de las evidencias digitales. Informática Forense – Compilado por Quituisaca Samaniego Lilia 19   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  DICCIONARIO DE TÉRMINOS Trusted Computing.- Permitir solo la ejecución de programas firmados o validados por la organización. Inodo.- En informática, un inodo o (i-node en inglés) es una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el caso de Linux. Un inodo contiene las características (permisos, fechas, ubicación, pero NO el nombre) de un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros. El término "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que almacenan archivos regulares, directorios, y enlaces simbólicos. El concepto es particular-mente importante para la recuperación de los sistemas de archivos dañados. Cada inodo queda identificado por un número entero, único dentro del sistema de ficheros, y los directorios recogen una lista de parejas formadas por un número de inodo y nombre identiticativo que permite acceder al archivo en cuestión: cada archivo tiene un único inodo, pero puede tener más de un nombre en distintos o incluso en el mismo directorio para facilitar su localización. Vigilancia ante-mortem.- Vigilancia realizada antes de que ocurra el incidente. Vigilancia post-mortem.- Vigilancia realizada después de que ocurra el incidente. Exploit.- Es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa. El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas para su ataque. Informática Forense – Compilado por Quituisaca Samaniego Lilia 20   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  FUENTE DE CONSULTA Pablo Román Ramírez G. (2008). “Informática forense: un enfoque preventivo”. Revista ALI Base informática ALI® ASOCIACION DE INGENIEROS E INGENIEROS TECNICOS EN INFORMATICA • Nº 43 • 2008 Miguel López Delgado. “Análisis Forense Digital”. http://www.codemaster.es Equipo de Investigación de Incidentes y Delitos Informáticos. “Investigaciones Digitales”. http://www.eiidi.com Sitios web: • www.auditoresdesistemas.com • www.criptored.upm.es • www.ioce.org • www.dfrws.org • www.isaca.org • www.e-fense.com • www.opensourceforensics.org • www.forensics-es.org • www.securityfocus.com Descarga de programas-herramientas: • FTK http://www.foundstone.com • HELIX CD http://www.e-fense.com/helix/ • F.I.R.E. Linux http://biatchux.dmzs.com   Informática Forense – Compilado por Quituisaca Samaniego Lilia 21   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  ANEXOS A.1 Reforma Reglamento ley de comercio electrónico A.2 Descripción de algunas herramientas reconocidas para el análisis forense A.3 Esquema del proceso de respuesta a incidentes. Informática Forense – Compilado por Quituisaca Samaniego Lilia 22   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  A.1 Reforma Reglamento ley de comercio electrónico REGISTRO OFICIAL Año II -- Quito, Lunes 6 de Octubre del 2008 -- Nro. 440 FUNCION EJECUTIVA DECRETO: 1356 Expídase las reformas al Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. N" 1356 Rafael Correa Delgado PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Considerando: Que, mediante Ley No. 67, publicada en el Suplementó del Registro Oficial No. 577 de 17 de abril del 2002 se expidió la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos; Que, mediante Decreto No. 3496, publicado en el Registro Oficial 735 de 31 de julio del 2002 se expidió el Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos; Que, de conformidad con lo dispuesto en el artículo 37 de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, el Consejo Nacional de Telecomunicaciones "CONATEL", es el organismo de autorización, registro y regulación de las Entidades de Certificación de Información y Servicios Relacionados Acreditadas; Que, de conformidad con lo dispuesto en el artículo innumerado 4 del artículo 10 de la Ley Especial de Telecomunicaciones reformada, la Secretaría Nacional de Telecomunicaciones "SENATEL", es el organismo de ejecución del CONATEL; Que, la Disposición General Séptima de la Ley No. 67, señala que: "La prestación de servicios de certificación de información por parte de Entidades de Certificación de Información y Servicios Relacionados Acreditadas, requerirá de autorización previa y registro: Que, la Disposición General Octava de la Ley No. 67 señala que "El ejercicio de actividades establecidas en esta ley, por parte de instituciones públicas o privadas, no requerirá de nuevos requisitos o requisitos adicionales a los va establecidos, para garantizar la eficiencia técnica y seguridad jurídica de los procedimiento e instrumentos empleados. "; Que. es necesario armonizar el régimen de acreditación de Entidades de Certificación de Información y Servicios Relacionados a fin de que guarden concordancia con lo dispuesto en la Ley No. 67; Que, es prioridad del Estado Ecuatoriano que empresas unipersonales o personas jurídicas de derecho público o privado, previa acreditación del CONATEL, en calidad de Entidades de Certificación de Información y Servicios Relacionados Acreditadas, emitan certificados de firma electrónica y puedan prestar otros servicios relacionados, permitiendo así el ejercicio de las actividades previstas en la Ley No. 67; y, Que. es necesario promover políticas que susciten y fortalezcan el desarrollo y aplicación efectiva del comercio electrónico. En ejercicio de la facultad prevista en el artículo 171 numeral 5 de la Constitución Política de la República, Decreta: Expedir las siguientes REFORMAS AL REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS. Informática Forense – Compilado por Quituisaca Samaniego Lilia 23   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  Art. 1.- Reemplazar en el segundo inciso del apartado b) del artículo 15 las palabras "o la Entidad de registro" por "o el tercero vinculado". Art. 2.- Sustituir el artículo 16 por el siguiente: "Sin perjuicio de la reglamentación que emita el CONATEL, para la aplicación del artículo 28 de la Ley No. 67, los certificados de firma electrónica emitidos en el extranjero tendrán validez legal en el Ecuador una vez obtenida la . revalidación respectiva por una Entidad de Certificación de Información y Servicios Relacionados Acreditada ante el CONATEL, la cual deberá comprobar el grado de fiabilidad de dichos certificados y de quien los emite ". Art. 3.- Sustituir el inciso segundo del artículo 17 por el siguiente: "Los certificados de firma electrónica emitidos y revalidados por las Entidades de Certificación de Información y Servicios Relacionados Acreditadas por el CONATEL, tienen carácter probatorio". Art. 4.- Agregar a continuación del artículo 17, los siguientes artículos: " Art. ... Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados: "Se crea el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados, a cargo de la Secretaría Nacional de Telecomunicaciones. El CONATEL emitirá la reglamentación que permita su organización y funcionamiento." "Art.... Acreditación: La acreditación como Entidad de Certificación de Información y Servicios Relacionados, consistirá en un acto administrativo emitido por el CONATE!. a través de una resolución la que será inscrita en el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados. El plazo de duración de la acreditación será de 10 años renovables por igual período, previa solicitud escrita presentada a la Secretaria Nacional de Telecomunicaciones con tres meses de anticipación al vencimiento del plazo, siempre y cuando la Entidad de Certificación de Información y Servicios Relacionados Acreditada haya cumplido con sus obligaciones legales y reglamentarias, así como las que consten en la resolución de acreditación. La acreditación como Entidad de Certificación de Información y Servicios Relacionados comprende el derecho para la instalación, modificación ampliación y operación de la infraestructura requerida para tal fin y estará sujeta al pago de valores, los que serán fijados por el CONATEL. "Art. ... Requisitos para la Acreditación: El peticionario de una acreditación como Entidad de Certificación de Información y Servicios Relacionados, deberá presentar los siguientes documentos: a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones, detallando nombres y apellidos completos del representante legal, dirección domiciliaria de la empresa unipersonal o compañía; b) Copia de la cédula de ciudadanía del representante legal o pasaporte según corresponda; c) Copia del certificado de votación del último proceso eleccionario (correspondiente al representante legal, excepto cuando se trate de ciudadanos extranjeros); d) Copia certificada e inscrita en el Registro Mercantil (excepto las instituciones públicas) del nombramiento del representante legal; e) Copia certificada debidamente registrada en el Registro Mercantil, de la escritura de constitución de la empresa unipersonal o compañía y reformas en caso de haber/as (excepto las instituciones públicas); f) Original del certificado de cumplimiento de , obligaciones emitido por la Superintendencia de Compañías o Bancos y Seguros según corresponda, a excepción de las instituciones del Estado; g) Diagrama esquemático y descripción técnica detallada de la infraestructura a ser utilizada, indicando las características técnicas de la misma; Informática Forense – Compilado por Quituisaca Samaniego Lilia 24   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  h) Descripción detallada de cada servicio propuesto y de los recursos e infraestructura disponibles para su prestación. La SENATEL podrá ordenar inspecciones o verificaciones a las instalaciones del peticionario cuando lo considere necesario; i) Documentos de soporte que confirmen que se disponen de mecanismos de seguridad para evitar la falsificación de certificados, precautelar la integridad, resguardo de documentos, protección contra siniestros, control de acceso y confidencialidad durante la generación de claves, descripción de sistemas de seguridad, estándares de seguridad, sistemas de respaldo; j) Ubicación geográfica inicial, especificando la dirección de cada nodo o sitio seguro; k) Diagrama técnico detallado de cada "Nodo" o "Sitio Seguro" detallando especificaciones técnicas de los equipos; l) Información que demuestre la capacidad económica y financiera para la prestación de servicios de certificación de información y servicios relacionados; m) En caso de solicitud de renovación de la acreditación y de acuerdo con los procedimientos que señale el CONATEL, deberán incluirse los requisitos de carácter técnico, la certificación de cumplimiento de obligaciones por parte de la Superintendencia de Telecomunicaciones, en la que constará el detalle de imposición de sanciones, en caso de haber/as y el informe de cumplimiento de obligaciones por parte de la Secretaria Nacional de Telecomunicaciones" "Art. ... Procedimiento de Acreditación: La solicitud acompañada de todos los requisitos establecidos será presentada ante la Secretaría Nacional de Telecomunicaciones, la que dentro del término de tres días procederá a publicar un extracto de la misma en su página WEB institucional. Dentro del término de 15 días contados desde la fecha de presentación de la solicitud, la SENATEL remitirá al CONATEL los informes técnico, legal y económico--financiero en base a la documentación presentada. El CONATEL, dentro del término dé 15 días resolverá el otorgamiento de la acreditación. Copia certificada de la resolución de acreditación será remitida a la Secretaría Nacional de Telecomunicaciones dentro del término de dos días, a fin de que ésta dentro del término de cinco días, previo el pago por parte del solicitante, de los valores que el CONATEL haya establecido para el efecto, realice la inscripción en el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados y efectúe la notificación al peticionario. En el evento de que el peticionario no cancele los valores correspondientes por la acreditación dentro del término de 15 días, el acto administrativo quedará sin efecto automáticamente y la Secretaría Nacional de Telecomunicaciones procederá al archivo del trámite". "Art. ... Contenido mínimo de la Acreditación: La resolución de acreditación para la prestación e servicios de certificación de Información contendrá al menos lo siguiente: a) Descripción de los servicios autorizados; b) Características técnicas y legales relativas a la operación de los servicios de certificación de información y servicios relacionados autorizados; c) Obligaciones y responsabilidades de las Entidades de Certificación de Información y Servicios Relacionados de acuerdo a lo establecido en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos; d) Procedimientos para garantizar la protección de los usuarios aún en caso de extinción de la acreditación; y, e) Causales de extinción de la acreditación". " Art. ... Operación: Una vez otorgada y registrada la acreditación, la Entidad de Certificación de Información y Servicios relacionados dispondrá del plazo de seis (6) meses para iniciar la operación. Vencido dicho plazo la Superintendencia de Telecomunicaciones informará a la Secretaría Nacional de Telecomunicaciones si el titular de la acreditación ha incumplido con esta disposición, en cuyo caso se extinguirá la resolución de acreditación. La Entidad de Certificación de Información y Servicios Relacionados podrá pedir, por una sola vez, la ampliación del plazo para iniciar operaciones mediante solicitud motivada. Dicha ampliación, de concederse, no podrá exceder de 90 días calendario." Art. ... Extinción de la acreditación: La acreditación se extinguirá por las siguientes causas: Informática Forense – Compilado por Quituisaca Samaniego Lilia 25   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  a) Terminación del plazo para la cual fue emitida: b) Incumplimiento de las obligaciones por parte de la Entidad de Certificación de Información y Servicios Relacionados Acreditada; c) Por resolución motivada del CONATEL, por causas técnicas o legales debidamente comprobadas, incluyendo la presentación de información falsa o alteraciones para aparentar cumplir los requisitos exigidos, así como la prestación de servicios o realizar actividades distintas a las señaladas en la acreditación; d) Cese temporal o definitivo de operaciones de la Entidad Acreditada por cualquier causa; y, e) Por las causas previstas en el Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva. Una vez extinguida la acreditación el CONATEL podrá adoptar las medidas administrativas, judiciales y extrajudiciales que considere necesarias para garantizar la protección de la información de los usuarios y el ejercicio de los derechos adquiridos por estos." "Art ... Terceros Vinculados: Con sujeción al artículo 33 de la Ley. No. 67, la Prestación de Servicios ele Certificación de información podrá ser proporcionada por un tercero vinculado contractualmente con una Entidad de Certificación de información v Servicios Relacionados Acreditada ante el CONATEL: para lo cual el tercero vinculado deberá presentar la documentación que justifique la vinculación. La Secretaria Nacional de Telecomunicaciones analizará que la documentación que presente el peticionario corresponda a la que establece el presente Reglamento y si cumple con todos los requisitos procederá con el registro correspondiente. El plazo de duración del registro será igual al plazo de duración de la relación contractual del tercero vinculado con la Entidad de Certificación de Información y Servicios Relacionados. En todos los casos, la responsabilidad en la prestación de los servicios, será de la Entidad de Certificación de Información y Servicios Relacionados Acreditada ante el CONATEL" "Art. Procedimiento de Registro de los terceros vinculados.- El registro de terceros vinculados consiste en una razón o marginación realizada por la Secretaría Nacional de Telecomunicaciones. Las solicitudes de registro de terceros vinculados con las Entidades de Certificación de Información y Servicios Relacionados Acreditadas, deberán estar acompañadas de los siguientes documentos y requisitos: a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones, detallando nombres y apellidos completos del representante legal, dirección domiciliaria de la empresa unipersonal o compañía; b) Copia de la cédula de ciudadanía del representante legal o pasaporte según corresponda; c) Copia del certificado de votación del último proceso eleccionario (correspondiente al representante legal, excepto cuando se trate de ciudadanos extranjeros), d) Copia certificada e inscrita en el Registro Mercantil (excepto instituciones públicas) del nombramiento del representante legal; e) Copia certificada debidamente inscrita en el Registro Mercantil, de la escritura de constitución de la empresa unipersonal o compañía y reformas en caso de haberlas, excepto para instituciones públicas; f) Original del certificado de cumplimiento de obligaciones emitido por la Superintendencia de Compañías o Bancos y Seguros según corresponda, a excepción de instituciones del Estado; g) Documentos que certifiquen la relación contractual con la Entidad de Certificación de Información y Servicios Relacionados Acreditada; h) Descripción de los servicios a prestar en calidad de tercero vinculado. En todos los casos, el documento de relación contractual deberá establecer claramente las responsabilidades legales de cada una de las partes ante los usuarios y autoridades competentes. La Secretaría Nacional de Telecomunicaciones, entregará al peticionarlo el certificado de registro dentro del término de 15 días contados desde la fecha de presentación de la solicitud, previo el pago de los valores establecidos por el CONA TEL." Informática Forense – Compilado por Quituisaca Samaniego Lilia 26   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  "Art. ... Modificaciones: Las modificaciones de las características técnicas de operación o prestación de los servicios, así como de la variedad o modalidad de los mismos, que no alteren el objeto de la acreditación, requerirán de notificación escrita a la Secretaría Nacional de Telecomunicaciones y de la aprobación de esta. Cuando la modificación incluya la prestación de servicios adicionales a los autorizados, la Entidad de Certificación de Información y Servicios Relacionados deberá cancelar el valor establecido para tal efecto." "Art. ... Recursos Administrativos: Los actos administrativos que emitan el CONATEL y la SE.NATEL, están sometidos a las normas, recursos y reclamaciones del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva. " ".Art. ... Acreditación para Entidades del Estado: Las instituciones del Estado señaladas en el artículo 118 de la Constitución Política de la República, de acuerdo a lo señalado en la disposición general Octava de la Ley 67, podrán prestar servicios como Entidades de Certificación de Información y Servicios Relacionados, previa Resolución emitida por el CONATEL. Las instituciones públicas obtendrán certificados de firma electrónica, únicamente de las Entidades de Certificación de Información y Servicios Relacionados Acreditadas, de derecho público." "Art.... Garantía de Responsabilidad: De conformidad con lo dispuesto en el apartado h) del artículo 30 de la Ley No. 67, las Entidades de Certificación de información y, Servicios Relacionados Acreditadas deberán contar con una garantía de responsabilidad para asegurar a los usuarios el pago de los daños y perjuicios ocasionados por el incumplimiento de las obligaciones. Esta garantía será incondicional, irrevocable y de cobro inmediato y podrá consistir en pólizas de seguro de responsabilidad previstas en el artículo 43 de la Codificación de la Ley General de Seguros u otro tipo de garantías que están autorizadas conforme lo dispuesto en el artículo 51, letra c) de la Ley General de Instituciones del Sistema Financiero. Como parámetros iniciales se establecen: a) Para el primer año de operaciones, la Entidad de Certificación de Información y Servicios Relacionados Acreditada, deberá contratar y mantener, a favor de la Secretaría Nacional de Telecomunicaciones, una garantía de responsabilidad para asegurar a los usuarios el pago de los daños y perjuicios ocasionados por el posible incumplimiento de las obligaciones, cuyo monto será igual o mayor a cuatrocientos mil dólares de los Estados Unidos de América (U.SD $ 400.000,00). En el contrato de prestación de servicios que suscriba la Entidad de Certificación de información con los usuarios, se deberá incluir una cláusula relacionada con los aspectos de esta garantía, tales como: monto asignado a cada usuario, mecanismos de reclamación y restitución de valores". b) Para el segundo año de operaciones y hasta la finalización del plazo de la acreditación, la Entidad de Certificación de Información y Servicios Relacionados Acreditada deberá contratar a favor de la Secretaría Nacional de Telecomunicaciones, una garantía, cuyo monto estará en función de un valor base de garantía por certificado y que será determinado por el CONATEL. En la regulación que emita el CONATEL para establecer el valor base de garantía de responsabilidad por certificado, se considerará la evolución del mercado y la protección de los derechos de los usuarios, observando lo dispuesto en el artículo 31 de la Ley. No. 67. La Entidad de Certificación de Información y Servicios Relacionados Acreditada quedará exenta de responsabilidad por daños y perjuicios cuando el usuario exceda los límites de uso indicados en el certificado. La Entidad de Certificación de Información y Servicios Relacionados Acreditada, previo al inicio de las operaciones, remitirán a la Secretaría Nacional de Telecomunicaciones, a satisfacción de ésta, el original de la garantía. Asimismo, durante el plazo de vigencia de la acreditación dichas Entidades remitirán a la Secretaría Nacional de Telecomunicaciones, hasta el 31 de enero de cada año, el original de la garantía mencionada en el apartado b) del presente artículo. "Art.... Procedimiento de ejecución de la Garantía de Responsabilidad: Cuando el usuario de una Entidad de Certificación de Información y Servicios Relacionados Acreditada considere que ha existido incumplimiento en la prestación del servicio que le haya ocasionado daños y perjuicios, este podrá presentar a la Secretaría Nacional de Telecomunicaciones, hasta en el término de 15 días contados desde que se produjo el incumplimiento, una solicitud motivada a fin de que esta: a) A l amparo de lo dispuesto en el artículo 31 de la Ley No. 67, ponga en conocimiento de la Entidad de Certificación de Información y Servicios Relacionados el reclamo formulado y solicite que Informática Forense – Compilado por Quituisaca Samaniego Lilia 27   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  dentro del término perentorio de 5 días, presente sus descargos o en su defecto reconozca el incumplimiento. b) Vencido el término señalado en el numeral anterior, la Secretaría Nacional de Telecomunicaciones con o sin la presentación de los descargos respectivos por parte de la Entidad de Certificación y Servicios Relacionados Acreditada, dentro del término de cinco días, resolverá sobre la procedencia del reclamo formulado por el usuario, el que de ser estimado total o parcialmente dará lugar a que disponga a la compañía aseguradora o institución financiera la ejecución parcial de la garantía de responsabilidad por el monto de los daños y perjuicios causados, los que no podrán reconocerse por un valor superior al pactado en el contrato del usuario. Sin perjuicio de lo anterior, el usuario podrá considerar el inicio de las acciones que estime pertinentes en contra de la Entidad de Certificación de Información y Servicios Relacionados, por los daños y perjuicios no cubiertos por la garantía de responsabilidad. "Art. ... Control: La Superintendencia de Telecomunicaciones realizará los controles necesarios a las Entidades de Certificación de Información y Servicios Relacionados así como a los Terceros Vinculados, con el objeto de garantizar el cumplimiento de la normativa vigente y de los términos y condiciones de autorización y registro. Supervisará e inspeccionará en cualquier momento las instalaciones de los prestadores de dichos servicios, para lo cual deberán brindar todas las facilidades y proporcionar la información necesaria para cumplir con tal fin; de no hacerlo estarán sujetos a las sanciones de ley. Art. 5.- Sustituir en el primer y segundo inciso del artículo 18, las palabras "o de la Entidad de registro" por "o del tercero vinculado" y "de la Entidad de registro" por "del tercero vinculado" y agregar a continuación del mismo lo siguiente: "La Entidad de Certificación de Información y Servicios Relacionados Acreditada no podrá ceder o transferir total ni parcialmente los derechos o deberes derivados de la acreditación. Es responsabilidad de las Entidades de Certificación de Información y Servicios Relacionados Acreditadas emitir certificados únicos. Cada certificado deberá contener un identificador exclusivo que lo distinga de forma unívoca ante el resto y solo podrán emitir certificados vinculados a personas naturales mayores de edad, con plena capacidad de obrar. Está prohibida la emisión de certificados de prueba o demostración. El formato de los contratos que las Entidades .de Certificación de Información y Servicios Relacionados suscriban con los usuarios, deberán ser remitidos a la Secretaría Nacional de Telecomunicaciones, previo al inicio de operaciones o cuando dicho formato sea modificado". Disposición Transitoria: Los trámites pendientes relacionados con la acreditación como Entidades de Certificación de Información y Servicios Relacionados deberán adecuarse a lo dispuesto en este decreto. Artículo Final.- Las reformas al presente reglamento entrarán en vigencia a partir de su publicación en el Registro Oficial. Dado en el Palacio Nacional, en San Francisco de Quito, el día de hoy 29 de septiembre del 2008. f.) Rafael Correa Delgado, Presidente Constitucional de la República. Es fiel copia del original.- Lo certifico. f.) Abg. Oscar Pico Solórzano, Subsecretario General de la Administración Pública. Informática Forense – Compilado por Quituisaca Samaniego Lilia 28   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  A. 2 Herramientas más conocidas para el análisis forense Autopsy Forensic Browser Es una herramienta que esta basada en línea de comandos del Sleuth Kit. La unión de estas herramientas las cuales están instaladas en un servidor utilizando un sistema basado en una plataforma Unix los cuales conformar una completa herramienta forense la solamente necesita de un sistema operativo y un browser para poder hacer uso de la misma. Otro punto destacable es que puede analizarse tanto una computadora con Windows como con Unix ya que soporta sistemas de archivos como NTFS, FAT, UFS1/2 y Ext2/3. El funcionamiento esta basado principalmente en una buena práctica forense basándose en un análisis muerto y uno vivo. En el caso del muerto se hace la investigación desde otro sistema operativo y con el sistema en cuestión a investigar sin cargar. Por lo tanto los datos que obtendremos serán referidos a la integridad de los archivos, logs del sistema, la estructura que tienen los ficheros y los elementos que han sido borrados. En el caso del vivo se analiza el sistema en cuestión cuando éste esta en funcionamiento por lo que se analizan ficheros, procesos, memoria, etc luego de que se confirma que hay evidencia se puede adquirir el sistema a través de una imagen por lo que se puede realizar a posteriori un análisis de sistema muerto. Esta herramienta forense puede brindarnos evidencia a través de: Listado del archivo: Nos ofrece un análisis de los archivos, los directorios e incluye los nombres de archivos que se han eliminado. El contenido de archivos: Nos permite observar el formato raw, hex y/o ASCII. Una vez que se descifran los datos, se procede a desinfectar la autopsia para evitar que los datos se corrompan. Bases de datos de Hash: Los archivos son catalogados como benignos o malignos para el sistema apoyándose en la biblioteca de referencia del software NIST y las bases de datos que fueron creadas por el usuario. Clasificación de tipos de archivo por extensiones: Agrupa los archivos basándose en sus firmas internas para reconocer extensiones conocidas. La autopsia también puede extraer solamente imágenes gráficas y comparar el tipo de archivo para poder identificar si en los archivos se han modificado las extensiones para ocultarlos. Línea de tiempo de la actividad del archivo: Esto es bastante útil para poder tener en cuenta que es lo que se ah hecho con el archivo es decir cuando ah sido movido, modificado o incluso borrado. Esto resulta de gran ayuda cuando se tienen muchos archivos y no se sabe bien que es lo que se esta buscando debido a que si notamos un gran interés por el usuario sobre un archivo es por que algo tiene que tener de importancia y que puede servir de evidencia. Búsqueda de palabra clave: a través de la secuencia de ASCII y expresiones regulares se pueden realizar la búsqueda de palabras que sirvan para encontrar evidencia en la computadora. Esta búsqueda se puede efectuar sobre una imagen completa del sistema de archivos. Análisis de los meta datos: Los meta datos tienen la información sobre los archivos y directorios. Esta herramienta nos permite tener una visión de los detalles de cualquier estructura Informática Forense – Compilado por Quituisaca Samaniego Lilia 29   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  de los meta datos de los ficheros. Lo cual es de suma importancia a la hora de recuperar los datos que fueron eliminados. Detalles de la imagen: Con esta opción podemos observar con detenimiento los ficheros llegando al punto de poder conocer cual era la ubicación en el disco y las fechas de actividad. Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o más anfitriones. Cada anfitrión se configura para tener su propia posición, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada anfitrión puede contener unas o más imágenes del sistema de ficheros para analizar. Secuenciador de acontecimientos: Los ataques se pueden obtener desde el log de un IDS. Esta herramienta califica los ataques para poder identificar de manera más simple como ocurrió la secuencia de los ataques. Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrión y investigador. Esto permite hacer notas rápidas sobre archivos y estructuras. Integridad de imagen: Es vital corroborar que los datos que estamos analizando no están corruptos ni han sido modificados para que tengan veracidad las evidencias encontradas. Informes: La herramienta puede crear los informes para los archivos y otras estructuras del sistema de ficheros. Registros: Los registros de la intervención se crean en un caso, un anfitrión, y un nivel del investigador para poder recordar fácilmente las acciones y los comandos ejecutados. The Forensic ToolKit Se trata de una colección de herramientas forenses para plataformas Windows, creado por el equipo de Foundstone. Este ToolKit le permitirá recopilar información sobre el ataque, y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd.exe. Comando Función afind Realiza búsqueda de archivos por su tiempo de acceso, sin modificar la información de acceso al mismo. hfind Busca archivos ocultos en el Sistema Operativo. Busca flujos de datos ocultos en el disco duro, éstos son distintos de los archivos ocultos y no aparecerán con herramientas normales del sistema sfind operativo. Su importancia radica en que pueden usarse para ocultar datos o software dañino. filestat Ofrece una lista completa de los atributos del archivo que se le pase como argumento (uno cada vez). Permite obtener información sobre un sistema que utiliza las opciones de sesión hunt NULL, tal como usuarios, recursos compartidos y servicios. Informática Forense – Compilado por Quituisaca Samaniego Lilia 30   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitirá elegir entre arrancar un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos de un entorno con un conjunto de herramientas, casi 90 Mb, que nos permitirá principalmente interactuar con sistemas “vivos”, pudiendo recuperar la información volátil del sistema. En el arranque Linux, disponemos de un Sistema Operativo completo, con un núcleo modificado para conseguir una excelente detección de hardware, no realiza el montaje de particiones swap, ni ninguna otra operación sobre el disco duro del equipo sobre el que se arranque. Es ideal para el análisis de equipos “muertos”, sin que se modifiquen las evidencias pues montará los discos que encuentre en el sistema en modo sólo lectura. Además de los comandos de análisis propios de los entornos UNIX/Linux, se han incorporado una lista realmente interesante de herramientas y ToolKits, alguno de ellos comentados anteriormente como el Sleuth Kit y Autopsy. F.I.R.E. Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificación sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad. Este live CD está creado y mantenido por William Salusky y puede descargarse gratuitamente desde la dirección http://biatchux.dmzs.com. En esta distribución podrá disponer de una serie de funcionalidades que le aportará muchas ventajas en su análisis, entre las que cabe destacar: • Recolección de datos de un sistema informático comprometido y hacer un análisis forense. • Chequear la existencia de virus o malware en general desde un entorno fiable. Posibilidad de realización de test de penetración y vulnerabilidad. Recuperación datos de particiones dañadas. • Las herramientas que posee F.I.R.E son conocidas y muy recomendables, aunque sin entrar en detalles sobre cada una de ellas, podrá encontrar las siguientes: • Nessus, nmap, whisker, hping2, hunt, fragrouter. Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort. Chkrootkit, F-Prot. • TCT, Autopsy. • Testdisk, fdisk, gpart. • SSH (cliente y servidor), VNC (cliente y servido) • Mozilla, ircII, mc, Perl, biew, fenris, pgp. Informática Forense – Compilado por Quituisaca Samaniego Lilia 31   
    • Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS  A.3 Esquema del proceso de respuesta a incidentes. Fuente: “Una Propuesta Metodológica y su Aplicación en The Sleuth Kit y EnCase Descargar en  disco”. Octubre de 2005.  Informática Forense – Compilado por Quituisaca Samaniego Lilia 32