Inicio wiki
Aula Virtual
 Administración de Sistemas Operativos
Inicio ASO Aula Virtual

Vistas
  •   Unidad 5. Análisis forense
De ASO

Los cortafuegos y los sistemas de detección de intrusos (IDS) son medidas preventivas que alertan y protegen contra la mayoría de los ataques. Pero, ¿qué pasa cuando un atacante “salta” las medidas de seguridad? Cuando el sistema informático ha sido atacado, el administrador debe buscar evidencias para poder responder a las siguientes preguntas:

  • ¿Qué ha pasado?
  • ¿Qué consecuencias ha tenido?
  • ¿Se ha modificado o copiado información?
  • ¿Cómo se ha realizado la intrusión?
  • ¿Quién ha sido?

Una vez detectada la intrusión lo último que debe hacer es dejarse llevar y actuar de forma inconsciente ya que puede alterar y/o eliminar las pruebas. A la hora de actuar, es importante hacerlo de forma meticulosa y tomar nota de todos los pasos que se realizan porque es posible que los tenga que utilizar para testificar en un juicio.

El análisis forense se realiza en tres fases:


Existes muchas aplicaciones, dependientes del sistema operativo, que permiten la obtención y análisis de evidencias digitales. Actualmente, la herramienta más utilizada es Sleuthkit o su predecesora The Coroner’s Toolkit (TCT) enfocadas a proporcionar todas las herramientas necesarias para el análisis forense. También han surgido distribuciones live-cd específicas para el análisis forense (p.e. BackTrack, FIRE) que incluyen las herramientas necesarias para la búsqueda y análisis de evidencias digitales. Si desea más información, puede descargarse la distribución LiveCD _BackTrack del sitio Web www.remote-exploit.org/index.php/BackTrack.