la configuración horaria del sistema. Con dicha opción podremos validar las
fechas y las horas que podemos identificar para que no sean cuestionadas ante
otro peritaje por ejemplo.
Después de identificar la configuración horaria, podremos realizar el estudio
de la línea de tiempo también conocida como timeline y conocer cuáles han
sido las acciones realizadas desde la instalación hasta el momento que se ha
clonado el disco.
Las herramientas por excelencia para esta fase de análisis e investigación son
el EnCase y el Sleunth kit & Autopsy. El EnCase es una aplicación propietaria
para la realización de análisis forense mientras que Sleunth kit & Autopsy es un
conjunto de herramientas de software libre creadas por Dan Farmer y Wietse
Venema. Estas aplicaciones funcionan sobre Windows y GNU/Linux respectivamente,
pero son capaces de analizar sistemas Unix, Linux, Mac OS X y
Microsoft.
A continuación se muestra la pantalla principal de la herramienta autopsy en
la figura 9. Como se puede observar, dicha aplicación está en un entorno web,
con lo que permite a un investigador trabajar de forma remota aunque en este
caso, como observaréis, ha sido de manera local.
Como podéis ver, la pantalla principal nos permite tres opciones. La primera
opción permite abrir un caso que ya ha sido empezado, la segunda crear un
nuevo caso, y la tercera obtener información de ayuda. En este caso de prueba
crearemos uno nuevo para mostrar la sencillez de Autopsy. Véase la figura 10
a modo de ejemplo.
Lo primero que nos pide es el nombre del caso, a nuestro ejemplo lo llamaremos
"caso UOC". Después nos pide la descripción en una línea de texto con
lo que tiene que ser clara y concisa. Por último nos pide los nombres de los
investigadores.
Una vez creado el nuevo caso, tendremos que añadirle los equipos afectados.
En este caso añadiremos uno que se llama Zeus, cuya misión es la monitorización
de los demás servidores utilizando el software Nagios. También nos va a
pedir la zona horaria para poder así correlacionar la información de los demás
equipos involucrados que estén en diferentes zonas, así como el desfase del
reloj.
Una vez añadido el equipo, nos saldrá el siguiente menú que se ve en la figura
En primer lugar nos informa de que no tenemos añadida ninguna imagen de
ningún dispositivo de almacenamiento y nos dice que seleccionemos el botón
de "añadir una imagen". Una vez añadida dicha imagen, tendremos opción a:
• Realizar la actividad de línea de tiempos.
• Comprobar la integridad de la imagen.
• Ver la base de datos de los HASH.
• Ver las notas que se hayan añadido.
• Ver la secuencia de eventos.
Si pinchamos en añadir imagen del disco, nos saldrá la siguiente pantalla que
se observa en la figura
En primer lugar debemos indicar la ruta completa de la localización de la imagen,
en nuestro caso es /mnt/clonacion/hda_con_incidencias.dd .
Después indicamos qué tipo de imagen es, de todo el disco o solo de una partición,
así como el método de importación.
Como se puede observar en la figura 14, todo se realiza de una manera bastante
sencilla y en un entorno muy amigable. Además, si hubiese alguna duda,
dicho aplicativo tiene una ayuda bastante completa, por lo que no es necesario
explicar su utilización. Además, en el siguiente apartado se describe cómo
se lleva a cabo un análisis forense por un incidente de seguridad.
Deja tus Comentarios Dudas y Aportes !
Sign up here with your email
Déjame tus dudas y comentarios: Conversion Conversion Emoticon Emoticon