Escolar Documentos
Profissional Documentos
Cultura Documentos
INFORMATICO
DEFINICIONES
ENCASE http://www.encase.com/products/ef_index.asp
FORENSIC TOOLKIT http://www.accessdata.com/products/utk/
WINHEX http://www.x-ways.net/forensics/index-m.html
http://www.e-evidence.info/vendors.html
LA MAYOR PARTE DE LAS TÉCNICAS SE BASAN
EN LA RECUPERACIÓN DE INFORMACIÓN DE
DISCOS DUROS Y RÍGIDOS.
ENCASE http://www.guidancesoftware.com/products/EnCaseForensic/index.shtm Que
puede realizar duplicaciones exactas del contenido de un disco, incluso de forma
remota.
SMART
http://www.asrdata.com/SMART/
Es una utilidad que permite instalar en un disco las imágenes capturadas con
Encase.
Forensic Toolkit
http://www.accessdata.com/Product04_Overview.htm?ProductNum=04
Conjunto de herramientas de análisis forense.
Disk Doubler II
http://www.lec.cz/en/produkty_datove_diskdoubler_II2.html
Un duplicador hardware de discos.
F o r e mo s t
h t t p :/ /f or e m os t . s ou r c ef or g e .n et /
P e r m it e ex t r a e r f i c h e r o s d el i n t er i o r d e u n a i m a g en d e d i s c o.
H e r r a m i e n t a s de r e c up e r a ci ó n de a r c h i v os .
C IA U n e r a s e - h t t p : / /w w w . c i a u n er a s e .c om /
F i l e R e c ov e r - h t t p : // w w w . f i l e r ec o v er .c o m /d o w n l oa d . h t m l
R - St u di o - h t t p : / /w w w . r - s t u d i o. c o m /
O n t r a ck E a s y R e c ov e r y - h t t p :/ /w w w . on t r a c k . c o m /e a s yr e c o ve r y /
G e t D a t aB a ck - h t t p : // w w w . r u n t i me . or g /
Sl e u th K i t
h t t p :/ /w w w .s l e u t h ki t . or g/i n f or m e r /
S i s e h a n b o r r a d o p a r t i c i o n es c o n f d i sk .
NTFS Reader
h t t p :/ /w w w .n t f s .c om /p r od u c t s . h t m
E s un p r o g r a ma W i nd o w s q u e g en er a u n a i m a g en d e f lo p p y d i sk p a r a a r r a n c a r e n
F r ee D o s y p e r m it e l ee r y c o p ia r f i c h e r os d e n t r o de particiones NTFS.
Crear imágenes de discos de arranque de sistemas operativos
Bootdisk - http://www.bootdisk.com/
Winimage - http://www.winimage.com/winimage.htm
PEBuilder - http://www.nu2.nu/pebuilder/
Wotsit Format
http://www.wotsit.org/
Contiene las especificaciones de múltiples formatos de archivos.
Gestión de particiones.
C o n t ro l de i n t e g ri da d de fi ch e r o s
T ri p w i re
h t t p : / / www . t r i p w i r e . c o m / d o wnlo a d s /in d e x . c f m
O s i ri s
h t t p : / / o sir is. sh m o o . c o m /
J o h n t h e Ri p p e r
h t t p : / / www . o p e n w a l l . c o m / j o hn /
E s e l c ra c k e a d o r d e c o n t r a se ña s d e f u e rz a b ru ta m á s fa m o so , p ro b a b le m e nt e
p o r s e r g ra tu i t o y u n o d e lo s p rim e ro s.
O p e n W al l
h t t p : / / www . o p e n w a l l . c o m / PR /
E s u na re c o p i l a c i ó n d e r e c u p e ra d o re s d e c o nt ra se ñ a s
R u s s i an Pa s s w o r d Cr ac k e rs
h t t p : / / www . p a s sw o r d - c r a c k e rs. c o m / I nc lu y e c ra c k e a d o re s p a ra c o m p re s o re s,
p a r a u t ilid a d e s d e c i fr a d o , B IO S , f o rm a t o s d e f ic h e ro s (O f f ic e , P D F , e t c . ),
b a se s d e d a t o s, S i s t em a s O p e ra t iv o s, A p lic a c io ne s, e t c . se inc lu y e n a d e m á s
enlaces sobre los algoritmos y su s d e b ilid a d e s
MDcrack
http://membres.lycos.fr/mdcrack/
Es capaz de rompe r hashes MD4, MD5 y NTLM1
Offline NT Password Registry editor
http://home.eunet.no/~pnordahl/ntpasswd/
Permite recuperar o restablecer una contraseña en Windows.
Recuperar o restablecer una contraseña en Windows 2000
Chntpw - http://www.cgsecurity.org/index.html?ntfs.html
pwdump3 - http://archives.neohapsis.com/archive s/ntbugtraq/2001-
q1/0007.html
Dumpsec - http://www.somarsoft.com/
LC5
http://www.atstake.com/research/lc/download.html
Es la última versión del famoso crackeador de passwords comercial
L0phtCrack, antiguo grupo de hacking ahora reconvertido en el empresa @Stake.
Se trata de un software de recuperación de passwords por fuerza bruta y por
diccionario para Microsoft Windows.
Cain
http://www.oxid.it/cain.html
Software muy conocido para la recuperación de password Windows.
Rainbowcrack
http://www.antsight.com/zsl/rainbowcrack/
Permite agilizar el cracking de contraseñas mediante precomputación
de hashes.
Winrtgen
http://www.oxid.it/projects.html
Se puede agilizar la generación de tablas para Rainbowcrack.
Revelation
http://www.snadboy.com/
Utilidad freeware para revelar las contraseñas ocultas en el GUI de
Windows.
METODOLOGÍA
1. FASE DE IDENTIFICACION
1 . 3 . 1 P R I OR I D A D E S D E L A D MI N I S TR A D O R
Las prioridades del administrador se basan en la criticidad de los daños producidos por el
incidente.
L a e xt e n s i ó n d e l o d añ o s p r o d uci d o s e s :
G r av e s . - Q ue e l i n ci d e n t e p r o d uj o d añ o s m uy s e v e r o s s o b r e l o s s e r v i c i o s o
i n fo r m ac i ó n .
M o de r ad o s . - Q ue e l i n ci d e n t e c aus o m o l e s ti a s y p é r d i d a d e i n fo r m ac i ó n .
L e v e s . - Q ue e l i n ci d e n t e p r o d uci d o n o t i e n e m ay o r i m p o r t a n ci a, n o s e pr o duj o
n i n g ún t i po d e p e r d i d a p e r o s i un co r t e o m ol e s t i a e n l o s s e r v i ci o s .
L a cr i t i c i dad d e l o s r e cu r s o s a fe c t ad o s e s :
A l t a. - Lo s r e c ur s o s af e ct a d o s s o n m uy i m p o r t an t e s d e n t r o de l a un i v e r s i d ad y
co m o t al co m p r o m e t e n e l n o r m al f un c i o n a m i e n t o y p r e s t a ci ó n de s e r v i ci o s .
M e di a. - Lo s r e c ur s o s af e ct a d o s c aus an m o l e s t i as a un ár e a de l a un i v e r s i dad .
B aj a. - Lo s r e cur s o s af e c t ad o s caus an ci e r t a s m o l e s t i as p e r o s e pue de s e g ui r c o n
e l n o r m a l fu n c i o n am i e n t o d e l o s e q ui p o s .
1.3.2 TIPO DE DISPOSITIVO
Sistemas informáticos
Redes
Redes Inalámbricas
Dispositivos móviles
Sistemas embebidos16
Otros dispositivos
Una vez que se cuenta con todas las evidencias del incidente
es necesario conservarlas intactas ya que son las “huellas del
crimen”, se deben asegurar estas evidencias a toda costa. Para
ello se sigue el siguiente proceso:
El objetivo es reconstruir con todos los datos disponibles la línea temporal
del ataque, determinando la cadena de acontecimientos que tuvieron lugar
desde el inicio del ataque, hasta el momento de su descubrimiento.
3 . 1 P RE P A R A C I O N P A R A E L A N A L I S I S
Introducción
Antecedentes del incidente
Recolección de los datos
Descripción de la evidencia
Entorno del análisis
Descripción de las herramientas
Análisis de la evidencia
Información del sistema analizado
Características del SO
Aplicaciones
Servicios
Vulnerabilidades
Metodología
Descripción de los hallazgos
Huellas de la intrusión
Herramientas usadas por el atacante
Alcance de la intrusión
El origen del ataque
Cronología de la intrusión
Conclusiones
Recomendaciones específicas
Referencias
Anexos
4.1.2 INFORME EJECUTIVO
E s t e i n f o r m e c o n s i s t e e n u n re su m e n d e l a n á l i si s e f e c tu a d o p e r o e m p l e a n d o u n a
explicación no técnica, con lenguaje común.
I n t ro d u c ci ó n . - De s c r i p c i ó n d e l o b j e t i v o d el a n á l i si s d e l si st em a p r ev i a m en t e
a t a c a d o y c o m p r o m e t i d o , t a m b i én se i n c l u y e l a i n f o rm a c i ó n d e l a e v i d e n c i a
proporcionada.
A n á l i s i s . - D e s c r i p c i ó n d e l en t o rn o d e t ra b a j o y d e l a s h e rra m i e n t a s d e a n á l i si s
f o r e n s e s el e c c i o n a d a s a s í c o m o l a c a n t i d a d d e t i e m p o e m p l e a d o e n e l m i sm o .
S u ma r io d e l i n c i d e n t e . - Re su m en d e l i n c i d e n t e t ra s e l a n á l i si s d e l a e v i d e n c i a
aportada.
P ri n c i p a l e s C o n cl u s i o n e s d e l a n á lis is . - D e t a l l e d e l a s c o n c l u si o n e s a l a s q u e
s e l l eg o u n a v e z t e r m i n a d o e l p r o c e so d e a n á l i si s.
S o l u ci ó n al i n c i d e n t e . - D e sc ri p c i ó n d e l a so l u c i ó n p a ra re c u p e ra c i ó n d e l
incidente.
R e co m e n d a c i o n e s f i n a l e s . - p a so s q u e se d e b en rea l i z a r p a ra g a ra n t i z a r l a
s eg u r i d a d d e l o s eq u i p o s y q u e e l i n c i d e n t e n o v u e l v a a su c e d e r.