RFC 3227
RFC 3227
RFC 3227
almacenamiento
RFC 3227
Procedimientos de informática forense
• RFC 3161
• RFC 3227
RFC 3161
• TTP. Trusted third-party
• TSA. Time stamping authority (digital notary)
RFC 3227
• Es un documento que recoge las directrices para la recopilación de
evidencias y su almacenamiento, y puede llegar a servir como
estándar de facto para la recopilación de información en incidentes
de seguridad.
Principios durante la recolección de
evidencias
• Capturar una imagen del sistema tan precisa como sea posible.
• Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza
horario local o UTC.
• Minimizar los cambios en la información que se está recolectando y
eliminar los agentes externos que puedan hacerlo.
• En el caso de enfrentarse a un dilema entre recolección y análisis elegir
primero recolección y después análisis.
• Recoger la información según el orden de volatilidad (de mayor a menor).
• Tener en cuenta que por cada dispositivo la recogida de información
puede realizarse de distinta manera.
Orden de volatilidad
El orden de volatilidad hace referencia al período de tiempo en el que está accesible cierta
información. Es por ello que se debe recolectar en primer lugar aquella información que vaya a
estar disponible durante el menor período de tiempo, es decir, aquella cuya volatilidad sea
mayor. Lista en orden de mayor a menor volatilidad:
• Transparencia
• Los métodos utilizados para recolectar evidencias deben de ser
transparentes y reproducibles. Se debe estar preparado para
reproducir con precisión los métodos usados, y que dichos métodos
hayan sido testados por expertos independientes.
Procedimiento de recolección
Pasos
• ¿Dónde está la evidencia? Listar qué sistemas están involucrados en el incidente y de cuáles
de ellos se deben tomar evidencias.
• Establecer qué es relevante. En caso de duda es mejor recopilar mucha información que poca.
• Fijar el orden de volatilidad para cada sistema.
• Obtener la información de acuerdo al orden establecido.
• Comprobar el grado de sincronización del reloj del sistema.
• Según se vayan realizando los pasos de recolección preguntarse qué más puede ser una
evidencia.
• Documentar cada paso.
• No olvidar a la gente involucrada. Tomar notas sobre qué gente estaba allí, qué estaban
haciendo, qué observaron y cómo reaccionaron.
Procedimiento de almacenamiento
Cadena de custodia
• Debe estar claramente documentada y se deben detallar los siguientes puntos:
• ¿Dónde?, ¿cuándo? y ¿quién? descubrió y recolectó la evidencia.
• ¿Dónde?, ¿cuándo? y ¿quién? manejó la evidencia.
• ¿Quién ha custodiado la evidencia?, ¿cuánto tiempo? y ¿cómo la ha almacenado?
• En el caso de que la evidencia cambie de custodia indicar cuándo y cómo se realizó
el intercambio, incluyendo número de albarán, etc.
Dónde y cómo almacenarlo
• Se debe almacenar la información en dispositivos cuya seguridad haya sido
demostrada y que permitan detectar intentos de acceso no autorizados.
Herramientas necesarias
Existen una serie de pautas que deben de ser seguidas a la hora de seleccionar las herramientas con las que se
va a llevar a cabo el proceso de recolección:
• Se deben utilizar herramientas ajenas al sistema ya que éstas pueden haberse visto comprometidas,
principalmente en los casos de malware.
• Se debe procurar utilizar herramientas que alteren lo menos posible el escenario, evitando el uso de
herramientas de interfaz gráfico y aquellas cuyo uso de memoria sea grande.
• Los programas que se vayan a utilizar para recolectar las evidencias deben estar ubicados en un dispositivo
de sólo lectura (CDROM, USB, etc.).
• Se debe preparar un conjunto de utilidades adecuadas a los sistemas operativos con los que se trabaje.
• El kit de análisis debe incluir los siguientes tipos de herramientas:
• Programas para listar y examinar procesos.
• Programas para examinar el estado del sistema.
• Programas para realizar copias bit a bit.
Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.
Alternative Proxies: