Engineers Cyber Crime Incident Response Manual.en.Es (2)

TlMELY. Práctico fiable.

Incidente

Forensics Computer Toolkit

Douglas Schweitzer

Respuesta a Incidentes: Computer Toolkit

Forense

Respuesta a Incidentes: Informática Forense Kit de herramientas

Douglas Schweitzer

WILEY

Wiley Publishing, Inc.

Respuesta a Incidentes: Computer Toolkit ForensePublicado porWiley Publishing, Inc.10475 Cruce Boulevard, Indianapolis, IN 46256www.wi 1ey.corr

Copyright © 2003 por Wiley Publishing, Inc., Indianapolis, Indiana Publicado simultáneamente en Canadá

ISBN: 0-7645-2636-7

Fabricado en los Estados Unidos de América

10 9 8 7 6 5 4 3 2 1

ÍO / RR / QU / QT / EN

Ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación o transmitida en cualquier forma o por cualquier medio, sea electrónico, mecánico, fotocopia,, escaneado o de otro modo, excepto según lo permitido bajo las secciones 107 o 108 del 1976 de autor de Estados Unidos Ley, sin que el permiso previo por escrito de la editorial, o autorización a través del pago de la correspondiente tarifa por copia al Copyright Clearance Center, 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, fax (978) 646 -8700. Pide a la editorial para tal autorización deberán dirigirse al Departamento Legal, Wiley Publishing, Inc., 10475 Cruce Blvd., Indianapolis, IN 46256, (317) 572-3447, fax (317) 572-4447, E-Mail.: permcoordinator @ wi 1ey.com.

Límite de Responsabilidad / Renuncia de garantía: Mientras que el editor y el autor ha utilizado sus mejores esfuerzos en la preparación de este libro, hacen ninguna representación o garantía con respecto a la exactitud o la exhaustividad de los contenidos de este libro y específicamente renuncia a cualquier garantía implícita de comerciabilidad o aptitud para un propósito en particular. Ninguna garantía puede ser creado o ampliado por los representantes de ventas o por escrito materiales de ventas. El asesoramiento y las estrategias contenidas en el presente puede no ser adecuado para su situación. Usted debe consultar con un profesional en su caso. Ni el editor ño el autor será Hcapaces de cualquier pérdida de beneficios o cualquier otro perjuicio comercial, incluyendo pero no limitado a daños especiales, incidentales, consecuentes, o de otra índole.

Para información general sobre nuestra otra producciónís y servicios o para obtener soporte técnico, póngase en contacto con nuestro Departamento de Atención al Cliente dentro de los EE.UU. al (800) 762-2974, fuera de los EE.UU. al (317) 572-3993 o fax (317) 572 a 4,002.

Wiley también publica sus libros en una variedad de formatos electrónicos. Parte del contenido que aparece en la impresión pueden no estar disponibles en los libros electrónicos.

Biblioteca del Congreso en la publicación de datos en el archivo con el editor.

http://www.wi/

Marcas registradas: Wiley, el logotipo de Wiley Publishing, y la vestimenta relacionada con el comercio son marcas comerciales o marcas comerciales registradas de Wiley Publishing, Inc., en Estados Unidos y otros países, y no pueden ser utilizados sin permiso por escrito. Todas las demás marcas son propiedad de sus respectivos dueños. Wiley Publishing, Inc, no está asociado con ningún producto o compañía mencionados en este libro.

Sobre el autorDouglas Schweitzer es un especialista en seguridad en Internet con las certificaciones de Brainbench en seguridad en Internet y Sensibilización ITAA Seguridad de la Información. Douglas es un Asociado Certificado de Internet Webmaster, y él tiene A +, Network +, e i-Net + certificaciones de la Asociación de Industria de la Tecnología Informática. Él ha aparecido como un orador invitado para Internet de seguridad en varios programas de radio, incluyendo KYW de Filadelfia, así como en Algo que usted debe saber y Computer Talk América, dos de difusión nacional programas de radio. Él es también el autor de Seguridad de la red de códigos maliciosos: Una Completa Cuía para la defensa contra virus, gusanos y troyanos y Internet Security Made Easy: A Plain-Inglés Cuía de Protección de toda la Empresa en línea.

Créditos

ADQUISICIONES DEL EDITORKatie Feltman

Editor de proyectosMarcos Enochs

Editor TécnicoRussell Shumway

Copia del editorMaarten Reilingh

EDITORIAL MANAGERMary Beth Wakefield

Vicepresidente y editor del grupo EJECUTIVO

Richard Swadley

VICEPRESIDENTE Y EDITOR EJECUTIVOBob Ipsen

Editor EjecutivoCarol Long

Coordinadores de ProyectoCindy Phipps, Bill Ramsey

GRÁFICOS y especialistas en producciónBet Brooks, Sean Decker, Leandra Johnson, Puente de Stephanie, McMullan Kristin, el Papa Heather, Trippetti Julia

TÉCNICOS DE CONTROL DE CALIDADCocheyoW. Pierce, Robert Springer

Editor de permisosLaura Moss

MEDIOS DE ESPECIALISTA EN DESARROLLO

Travis Silvers

CORRECCIÓN DE TEXTOSKim Cofer

INDEXACIÓNVirginia Bess

Director editorial ejecutivoMaría Bednarek

Este libro está dedicado In Loving Memory of Mirhan "Mike" Arian, cuya visión y la camaradería son para siempre

perdido.

AgradecimientosEste libro no habría sido posible sin los esfuerzos combinados de un gran talento per-pyoe. En primer lugar quiero dar las gracias a mi agente, Carole McClendon de Producciones Waterside por su asis-tencia de nuevo mi búsqueda de un editor extraordinario. También me gustaría dar las gracias al indivi trabajadoraais en Wiley Publishing que ayudaron a hacer realidad este libro. Su entusiasmo, y el apoyo-fueron un tiro continuo en el brazo. En particular, me gustaría dar las gracias al editor de adquisiciones, Katie Feltman por su confianza en mí y por haberme ayudado a dar forma y perfeccionar el esquema inicial para el libro. También estoy agradecido al editor de proyectos, Enochs Como para todas sus sugerencias. Me gustaría dar las gracias a mi esposa y mejor amiga, Monique, ya que sin su ayuda, este libro no habría sido posible. Me quito el sombrero ante Russ Shumway, que, como mi editor técnico, hicieron un excelente trabajo asegurándose de que todos mis datos eran correctos y que sugirió una serie de adiciones que mantuvo este libro técnico de sonido. Gracias, también, a mis hijos Deran y Alex por su gran paciencia conmigo mientras me pasé muchas horas escribiendo.

ix

Contenido de un vistazo

Agradecimientos...............................................................ix

Introducción....................................................................xix

Capítulo 1 Informática forense y de incidentes

Fundamentos de respuesta................................................1Capítulo 2 Abordar las consideraciones de Aplicación de la ley.......27Capítulo 3 Preparación y Respuesta preliminar del forense............45Capítulo 4 Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos.............................................................................69Capítulo 5 Análisis y detección de código malicioso

y los intrusos ....................................................................91Capítulo 6 Recuperar y analizar pistas............................................115Capítulo 7 Procedimientos de recogida y

Preservar la evidencia....................................................135Capítulo 8 Incidente de contención y erradicación

de las vulnerabilidades ...................................................155Capítulo 9 Recuperación de Desastres y Seguimiento de................177Capítulo 10 En respuesta a distintos tipos de incidentes...................195Capítulo 11 La evaluación de seguridad del sistema para prevenir

Los ataques adicionales .................................................215Capítulo 12 Si tira todo junto............................................................235

Apéndice A ¿Qué hay en el CD-ROM ..............................................247Apéndice B Los puertos son atacadas comúnmente..........................257Apéndice C Ámbito de la orientación en la Ley Patriota de EE.UU. 2001 269Apéndice D Los registros informáticos y las Reglas Federales

de la evidencia ................................................................281Apéndice E Glosario ..........................................................................289

Contenido

Agradecimientos...............................................................ix

Introducción....................................................................xix

Capítulo 1 Informática forense y de incidentesFundamentos de respuesta................................................1La captura del criminal: Los fundamentos de la informática forense. . . . 2Reconociendo los signos de un incidente....................................5Preparación para Incidentes.......................................................14El desarrollo de un incidente de seguridad informática

Capacidad de Respuesta...........................................................16El Computer Security Incident Response Team........................17El proceso de notificación de incidentes....................................18Evaluación y contención............................................................19

Operaciones para la recuperación...................................................20Daños Análisis y Determinación...................................................20Procedimientos de cierre, mientras que preservar la evidencia.........21Recomendaciones NIPC para las víctimas......................................24

Construcción de una Respuesta a Incidentes / Forensic Toolkit25Resumen del capítulo.................................................................26

Capítulo 2 Abordar las consideraciones de Aplicación de la ley.......27Una mirada a la Cuarta Enmienda..............................................28Una breve introducción sobre la Ley de Libertad de Información....................................................................................................30Reporte violaciones a la seguridad de Aplicación de la Ley.....30Problemas de intercambio de información en computadora

La investigación de delitos......................................................33El papel de la Infraestructura Nacional

Centro de Protección...............................................................35Entendimiento Revelación y Descubrimiento............................36

La divulgación de contenidos.......................................................37Delitos Federales de informática y leyes...................................38La Ley de Fraude y Abuso de 1986...........................................39

Equipo de Fraude y Abuso de la ley de 1986 (EE.UU.) 18 USC 1030. .39Las enmiendas de la Ley abuso informático de 1994.................42La Ley Patriota de EE.UU. de 2001 ............................................43Resumen del capítulo.................................................................44

Capítulo 3 Preparación y Respuesta preliminar del forense............45Preparación de los sistemas operativos de recogida de datos....45

La importancia de los archivos de registro......................................46Procedimientos de Auditoría y registro...........................................46

xiv Tabla de contenidos

Auditoría de habilitación y registro en Windows NT..........................47

Una nota rápida acerca de la auditoría, registro, y el tamaño de archivo

de registro.............................................................................................49

El acceso centralizado..........................................................................51

Sincronización de la hora........................................................................52

Sellado de Tiempo..................................................................................53

La identificación de los dispositivos de red............................................54

Recopilación de datos de la memoria.....................................................55

Selección de las opciones de volcado de memoria adecuada..............57

Usando Dumpchkexe para ver el archivo de Windows memory.dmp 58

Realizar un volcado de memoria en los sistemas Unix.........................58

Imágenes Discos Duros..........................................................................59

Después de la Cadena de Custodia para la recolección de evidencia. . . .

61

Continuidad del Negocio y Planes de Contingencia...............................63

La TI-Proceso de Planificación de Contingencia................................63

Resumen del capítulo..............................................................................68

Capítulo 4 Del Registro de Windows, la papelera de reciclaje y almacenamiento de datos..............................................................................69

El Registro de Windows.........................................................................70

Estructura del Registro........................................................................70

Visualización y edición de la Secretaría..............................................71

Recolección de Datos del Registro......................................................73

Copia de seguridad del Registro y los procedimientos de restauración

.............................................................................................................74

Programas de registro de copia de seguridad (Shareware y Freeware)

.............................................................................................................78

La comprensión de almacenamiento de datos........................................78

El disquete............................................................................................79

La tabla de asignación de archivos de Windows....................................81

La nueva tecnología de Windows del sistema de archivos.....................82

La Papelera de Reciclaje.........................................................................83

La papelera está vacía, pero sigue siendo la Evidencia........................83

Seguimiento de archivos borrados A través de la papelera de reciclaje de

Windows..............................................................................................84

Recuperación de datos eliminados en Windows....................................85

Industrial-Strength utilidad de recuperación de...................................86

Unix / Linux de almacenamiento de datos del sistema de archivos ext2

................................................................................................................87

Eliminación de archivos ext2 en el......................................................87

Recuperación de archivos ext2 en el.....................................................87

Usando e2undel....................................................................................88

Resumen del capítulo..............................................................................89

Capítulo 5 Análisis y detección de código maliciosoy los intrusos.....................................................................91Procesos del Sistema..............................................................................92

La detección de los procesos anormales del sistema...........................92

Con el Administrador de tareas de Windows para ver los procesos en ejecución. . . . 94

Procesos por defecto en Windows NT, 2000 y XP................................96

Programas de vigilancia del proceso...................................................96

Tabla de contenidos

Archivos inusuales u Oculto...................................................................99

Visualización de archivos ocultos en Windows.....................................99

Visualización de archivos ocultos en Unix / Linux...........................101

Rootkits y backdoors............................................................................102

Detectar la presencia de un rootkit....................................................104

Detectar la presencia de una puerta trasera.......................................106

La eliminación de rootkits y troyanos...............................................111

La detección y defensa contra sniffers de red......................................112

Resumen del capítulo...........................................................................113

Capítulo 6 Recuperar y analizar pistas............................................115Cómo realizar búsquedas de palabras clave.........................................116

Industrial Strength Búsqueda por palabra clave Programas..............116

Freeware Herramientas para palabras clave de búsqueda..................117

Usando SectorSpyXP para realizar una búsqueda de palabras clave..118

Pautas generales para el examen del disco duro................................120

Al examinar el archivo de intercambio de Windows...........................121

Localización del archivo de intercambio de Windows.......................121

Viendo los contenidos del archivo de intercambio / Página..............123

Correo electrónico como evidencia......................................................123

Localización de E-Mail......................................................................124

Recuperación de correo electrónico eliminado..................................125

La recuperación de evidencia del Navegador Web..............................126

Localización de la evidencia Navegador de Historial.......................127

Localización de pruebas Web Cache.................................................128

Imprimir archivos de cola de impresión...............................................129

Localización de datos ocultos...............................................................130

Esteganografía...................................................................................130

Protegida con contraseña los datos comprimidos..............................131

Ejemplo de uso de Ultícompañero de ZIP Cracker............................132


Capítulo 7 Procedimientos de recogida yPreservar la evidencia....................................................135Recopilación de evidencia Postcompromise........................................135

Requisitos legales para la recolección de pruebas electrónicas.........136

Unix / Linux Banners Login..............................................................137

La Orden de la colección...................................................................139

Entender la volatilidad de la evidencia.................................................140

Creación de un disco en modo real Forense de arranque.....................141

La Verdad sobre el FAT.....................................................................142

Creación de un equipo con Windows en modo real disco de arranque 142

Creación de un disco de arranque de Linux......................................143

Utilizando rastreadores de paquetes para reunir pruebas.....................144

La construcción de un kit de herramientas de forense..........................146

El forense Toolkit (TCT)......................................................................147

Uso de ladrón de tumbas....................................................................148

Ejecución de ladrón de tumbas..........................................................148

xvi Tabla de contenidos

Después de la Cadena de Custodia.......................................................149

La admisibilidad de las pruebas...........................................................150

Autenticación.....................................................................................151

La mejor evidencia Regla...................................................................152

El Período de tiempo permisible para el examen de los computadores incautados. . . . 153

La evidencia de Preservación............................................................153


Capítulo 8 Incidente de contención y erradicaciónde las vulnerabilidades....................................................155La cuarentena y contención..................................................................156

Determinar el riesgo de operaciones continuas.................................156

Preservar la integridad.......................................................................157

Los mecanismos de auditoría.............................................................157

Detectados por el usuario vulnerabilidades técnicas..........................157

Formulario de Reporte de la vulnerabilidad......................................158

La ruptura de las conexiones de red e Internet.....................................159

De red y uso compartido de archivos Cuestiones.................................160

Configuración del uso compartido de archivos de Windows para

Máximum de Seguridad.....................................................................161

Windows XP Uso compartido de archivos.........................................162

Windows XP compartido simple de archivos....................................163

Creación de listas de control de acceso..............................................165

Archivo Deshabilitar Compartir impresoras y bajo Windows 95/98/Me

...........................................................................................................167

Reconociendo el modelo de confianza.................................................167

El modelo de confianza en las operaciones de informática...............168

ID de usuario y contraseña Trust.......................................................168

Sistema Operativo Fondo..................................................................169

El modelo de confianza y robo de identidad......................................171

Computer Security Awareness.............................................................171

Estrategias de Documentación Multimedia.......................................172

La fase de erradicación.........................................................................173

Endurecer sus defensas......................................................................173

Realizar el Análisis de Vulnerabilidades............................................173


Capítulo 9 Recuperación de Desastres y Seguimiento de................177Planificación de recuperación de desastres..........................................179

El desarrollo de un Plan de Recuperación de Desastres.....................180

Muestra de contingencia de recuperación de desastres Plan de..........181

Registros Electrónicos..........................................................................183

Autenticación de los registros electrónicos.......................................184

Los registros electrónicos como prueba............................................185

Seguridad de los registros..................................................................185

El sistema de alimentación ininterrumpida..........................................186

¿Cómo funciona UPS..........................................................................186

Beneficios de UPS..............................................................................187

Compra de un UPS............................................................................187

Tabla de contenidos

Comprensión de los datos de copia de seguridad Procedimientos.......187

Crear un plan de copia de seguridad..................................................188

Datos Herramientas de copia de seguridad.........................................188

Posterior al Incidente de Monitoreo y Análisis....................................190

Anticipándose a futuros ataques...........................................................191


Capítulo 10 En respuesta a distintos tipos de incidentes...................195En respuesta a incidentes de hackers....................................................195

Identificar el Hacker..........................................................................197

Incidentes activos Hacker..................................................................198

Supervisión de la actividad hacker....................................................200

Incidentes anteriores..........................................................................201

En respuesta a incidentes de códigos maliciosos.................................201

Caballos de Troya..............................................................................201

Los gusanos de Internet.....................................................................201

Aislar el sistema y avisar adecuada....................................................202

Contener el virus, gusano o caballo de Troya...................................202

INOCútarde el Sistema......................................................................202

Los sistemas de devolución al funcionamiento normal.....................202

Manejo de Uso inapropiado.................................................................202

Tipos de acoso...................................................................................203

Los incidentes de acoso sexual..........................................................203

Evitar demandas de acoso sexual.......................................................205

Directrices para desarrollar una política sobre acoso sexual.............206

Impiden que los trabajadores vean material inadecuado...................208

Espionaje industrial..............................................................................210

Defensa contra ataques internos...........................................................211


Capítulo 11 La evaluación de seguridad del sistema para prevenirLos ataques adicionales..................................................215Evaluación de las Políticas y procedimientos de seguridad.................216

El desarrollo de listas de control de directivas de seguridad................217

Lista de verificación de la directiva de auditoría-la muestra.............218

Una visión general del proceso informático de auditoría de seguridad 218

Las estaciones de trabajo de auditoría y servidores..............................219

El análisis de las estaciones de trabajo..............................................220

El análisis de los servidores de red.....................................................220

Cómo deshabilitar NetBIOS NuyoSesiones de l.................................221

Pruebas de Penetración.........................................................................223

In-House vs Outsourcing de..............................................................224

De pruebas de penetración de software para las auditorías internas. 225

De terceros de Pruebas de Penetración..............................................227

Ley de Portabilidad y Responsabilidad de Seguros

Ley de 1996 (HIPAA)........................................................................228

HIPAA...............................................................................................228

Tabla de contenidos

El Honeynet Project.................................................................232Resumen del capítulo...............................................................232

Capítulo 12 Si tira todo junto............................................................235El análisis de los ataques del mundo real...................................236Lecciones Aprendidas de Seguridad Otros..............................238

Lecciones aprendidas a partir del gusano Código Rojo....................239Lecciones aprendidas de los hackers............................................240

¿Dónde dirigirse para obtener información Up-to-Date...........242Tendencias futuras de la tecnología de seguridad....................244Resumen del capítulo...............................................................245

Apéndice A ¿Qué hay en el CD-ROM.................................................247

Apéndice B Los puertos son atacadas comúnmente..........................257

Apéndice C Ámbito de la orientación en la Ley Patriota de EE.UU.

2001 269

Apéndice D Los registros informáticos y las Reglas Federales

de la evidencia.................................................................281

Apéndice E Glosario...........................................................................289

IntroducciónEl 14 de mayo de 1999, de 54 años de edad, Sharon Guthrie se ahogó en la bañera de su Wolsey, South Dakota en casa. La autopsia reveló que entre 10 y 20 cápsulas que contenían Temazepan estaban presentes en su cuerpo. Las pastillas para dormir se le ha recetado a su esposo, el reverendo William Guthrie, pastor de la Primera Iglesia Presbiteriana de Wolsey. A pesar de sus negaciones de cualquier irregularidad en relación con la muerte de su esposa, póLos piojos no quedó convencido de su inocencia. A falta de una dura evidencia en el caso, pólos piojos decidió contratar los servicios de experto en informática forense, Judd Robbins. Varias de las computadoras de la Iglesia de uso frecuente por el Reverendo Guthrie fueron capturados y congelados. Después de varios días de examen de los archivos del ministro, Robbins finalmente hallado evidencias de que Guthrie había estado buscando el Internet para los métodos de matanza sin dolor y segura. Robbins también se encuentran notas detalladas acerca de las pastillas para dormir y letales agentes de limpieza para el hogar. El 11 de enero de 2000, un jurado de 12 miembros declarados culpables del asesinato de Guthrie. Menos de dos semanas más tarde, el juez de circuito Eugene Martín lo condenó a cadena perpetua.

Delitos InformáticosNo todos los delitos cometidos con un ordenador es un delito informático. Si alguien roba un código de acceso al teléfono y hace una cal de larga distanciayo, El código que ha robado está marcada por una computadora antes de la calyoes procesada. Sin embargo, este caso es más apropiado tratar como "fraude telefónico", no la delincuencia informática. Sería, sin embargo, califica como delito cibernético, si el código se obtuvo como resultado de la intrusión en un sistema informático. Aunque en este ejemplo parece sencillo, muchos casos no son tan fáciles de clasificar. Un empleado de banca que roba el dinero de un cajón de la caja está malversando. Un empleado del banco que escribe un programa de computadora para robar aleatoriamente cantidades muy pequeñas de las cuentas de numerosas también se puede malversar, sin embargo, la comisión (y fiscalía) este delito puede requerir un conocimiento práctico del sistema informático del banco. Como resultado, tal crimen puede rea-razonablemente ser caracterizada como un delito informático.

Según el Departamento de Justicia de EE.UU., los equipos suelen desempeñar tres papeles distintos en un caso penal. En primer lugar, una computadora puede ser el destino de un delito. Esto ocurre cuando la conducta se ha diseñado para llevar la información sin la autorización de, o causar daños a una computadora o red informática. El virus Melissa y Explore.Zip.Worm, junto con los cortes en el blanco Casa y otros sitios web, son ejemplos de este tipo de delitos.

En segundo lugar, una computadora puede ser incidental a un delito sin dejar de ser significativo en términos de hacer cumplir la ley. Por ejemplo, los narcotraficantes pueden almacenar datos de transacciones (por ejemplo, ñAmes, fechas y cantidades) en las computadoras, en lugar de en papel.

Por último, un ordenador puede ser la herramienta utilizada para cometer un delito (como el

fraude o la-unlawventa útil de los medicamentos recetados a través de Internet).

xix

xx Introducción

¿Qué es la Informática Forense?De acuerdo con equipo forense Judd Robbins, "Informática forense es simplemente la aplica-ción de la investigación de equipos y técnicas de análisis, en aras de determinar evidencia legal potencial." El tipo de las pruebas obtenidas a partir de un examen forense puede ser útil en una amplia gama de variedad de investigaciones:

• Litigios civiles, como los casos de divorcio, el acoso y la discriminación

• Las empresas que deseen adquirir la evidencia de malversación de fondos, fraude, o intelectual cuestiones de propiedad de robo

Individuosais la búsqueda de pruebas en la discriminación por edad, por despido injustificado, o sexual denuncias de acoso

• Investigaciones de compañías de seguros cuando se exijan pruebas relativas al segurofraude, homicidio culposo, compensación al trabajador, y otros casos relacionados con segurosreclamaciones

La evidencia digital puede ser buscada en una amplia gama de delitos informáticos, y los exámenes forenses utilizan una variedad de métodos para descubrir los datos que residen en una computadora sis-tema, o para la recuperación de borrado, la información de ficheros cifrado, o dañado. Cualquiera o todos de esta informa-ción puede ser de utilidad en los procesos de descubrimiento, el depósito, o el litigio.

La importancia de Respuesta a IncidentesEl análisis de las consecuencias de un equipo intrusión toma mucho más tiempo del que tarda un autor para cometer el delito. A menudo es la velocidad de la respuesta que determina el resultado, y el más preparado de una organización es cuando un incidente ocurre por primera vez, más rápido se puede responder en la estela del incidente. Con el uso cada vez mayor de tecnologías de la información (TI), las organizaciones de todo el mundo se enfrentan al reto de la protección de recursos valiosos en una avalancha interminable de amenazas. Los ordenadores, y las redes que los conectan, información, procesar, almacenar y transmitir información de los-que es crucial para el éxito del día a día las operaciones y por lo tanto invitar tar-se a los hackers y códigos maliciosos. La protección de los recursos críticos de TI no sólo requiere la adopción de las precauciones razonables para asegurar que estos sistemas y redes, sino también la capacidad de responder rápida y eficientemente cuando las defensas del sistema y la red de seguridad, han sido violados.

Por desgracia, la respuesta a incidentes de seguridad informática no es generalmente una tarea fácil. Correcto de respuesta a incidentes requiere conocimientos técnicos, la comunicación y la coordinación entre el personal a cargo del proceso de respuesta.

En tecnología de la información, incidente se refiere a un evento adverso en un sistema de información y / o de la red o la amenaza de la ocurrencia de tal evento. Ejemplos de incidentes

incluyen no autorizados en-AUTORIZADO uso de la cuenta de otro usuario, el uso no autorizado de los privilegios del sistema, y la ejecución de Malícódigos maliciosos que destruye los datos. Otros efectos adversos incluyen inundaciones, incendios, cortes de electricidad o calor excesivo que se traduce en fallos del sistema. Los eventos adversos, tales como los desastres naturales y las interrupciones de energía relacionados con los incidentes, aunque ciertamente no deseables, no son por lo general en el ámbito de

Introducción xxi

Los equipos de respuesta a incidentes y están mejor atendidas por la continuidad del negocio de una organización (de contingencia) planes. A fin de de respuesta a incidentes, por lo tanto, el término incidente se refiere a un evento adverso que se relaciona con seguridad de la información.

De manera similar, un evento es cualquier ocurrencia observable en un sistema y / o de la red. Algunos ejemplos de eventos incluyen la secuencia de arranque del sistema, un fallo del sistema, y la inundación de paquetes de datos dentro de una redtrabajar. Los eventos son importantes porque proporcionan a menudo una indicación de que un incidente está ocurriendo. En realidad, los acontecimientos provocados por errores humanos (por ejemplo, sin querer borrar un directorio de crítica y todos los archivos contenidos en ella) son los más costosos y perjudiciales. Eventos relacionados con la seguridad informática, sin embargo, están atrayendo a una cantidad cada vez mayor de la atención dentro de la comunidad informática en general, así como dentro del gobierno federal. Entre otras razones, el crecimiento sin par-leled de las redes y la abundancia de códigos maliciosos a disposición de los autores han dado como resultado en gran medida la exposición de los sistemas más a la amenaza del acceso remoto no autorizado.

Tipos de IncidentesDe acuerdo con la Ley Federal de Respuesta de Incidentes Centro de Cómputo (FedCIRC), el término incidente comprende las siguientes categorías generales de eventos adversos:

• Los ataques de código malicioso. Los ataques de códigos maliciosos incluyen los ataques de programas como virunses, los programas troyanos, gusanos y scripts utilizados por los crackers o piratas informáticos para obtener privilegios, contraseñas de captura, y / o modificar los registros de auditoría a los exeLude actividad no autorizada. El código malicioso es particularmente problemático en el que normalmente se escribe en un hombre-ner que disfraza su presencia, por lo que es difícil de detectar. Por otra parte, auto-replicante código malicioso, como virunses y los gusanos pueden REPLíCate rápidamente, con lo que haciendo de contención especialmente difícil.

• El acceso no autorizado. El acceso no autorizado abarca una serie de incidentes, de forma abusiva iniciar sesión en una cuenta de usuario (por ejemplo, cuando un hacker se conecta a un legítimoícuenta de usuario compañero) para el acceso no autorizado a archivos y directorios almacenados en un sistema o medios de almacenamiento mediante la obtención de privilegios de superusuario. El acceso no autorizado puede implicar además el acceso a los datos de la red mediante la plantación de un programa sniffer no autorizado o el dispositivo para capturar todos los paquetes que atraviesan la red en un punto determinado.

• La utilización no autorizada de los servicios. No es absolutamente necesario para acceder a la cuenta de otro usuario al asesinoétrar un ataque contra el sistema o red. Un intruso también puede obtener acceso a los programas de información o de la planta de caballo de Troya por el mal uso de servicios disponiblesvicios. Ejemplos incluyen el uso

del sistema de archivos de red (NFS) para montar el sistema de archivos de una máquina de servidor remoto o interdominio mecanismos de acceso en Windows NT para acceder a archivos y directorios en el dominio de otra organización.

• La interrupción del servicio. Los usuarios confían en los servicios prestados por los servicios de red y la informática. Las personas con malas intenciones puede interrumpir estos servicios en una variedad de maneras, incluyendo el Ing. borrar programas críticos, spam electrónico (inundaciones una cuenta de usuario con el correo electrónico), y que alteran la funcionalidad del sistema mediante la instalación de los programas de caballo de Troya.

Introducción

• El uso indebido. El mal uso se produce cuando alguien utiliza un sistema informático para fines que no sean oficiales, como por ejemplo cuando un legítimoíel usuario utiliza un compañero de Govemción informática para almacenar información personal los registros de impuestos.

• Espionaje. Espionaje es el robo de la información para subvertir los intereses oíuna corporación o Govemambiente. Muchos de los casos de acceso no autorizado a EE.UU. Govemsistemas de Ment durante la Operación Tormenta del Desierto y la Operación Escudo del Desierto eran la manifestación de espionaje actividad contra los Estados Unidos.

• Bromas. Bromas ocurrir cuando la información falsa acerca de los incidentes o vulnerabilidades se propaga. A principios de 1995, por ejemplo, varios usuarios con acceso a Internet distribuido información sobre un virus llamado Good Times, a pesar de que el virus no existía.

Es lamentable que a pesar de la implementación de servidores de seguridad sofisticados, poderosos intrusiósistemas de detección de n, y el software antivirus, los ordenadores y las redes que los conectan aún puede ser penetrado por hackers, crackers, y otros códigos maliciosos. Cuando sucede lo impensable, en respuesta a los incidentes y eventos es de suma importancia. Debido a que las fuerzas del orden tienen la altura-han fortalecido su interés en los delitos informáticos, la captura y preservación de evidencia crítica a través de los métodos básicos de forenses están incluidos en este libro. Las organizaciones requieren de estrategias para el manejo por ordenador, relacionados con la seguridad eventos con eficacia. Dicha estrategia incluye la preparación, detección y respuesta. La adopción de un lector enfoque práctico, este libro se armará con los conocimientos y las herramientas necesarias al MITípuerta de los riesgos y limitar la pérdida.

¿Quién debe leer este libro?Mientras que la informática forense es, naturalmente, de gran preocupación para los de la aplicación de la ley comunidad, cualquier usuario de la computadora o el propietario que quiera entender la forma de adquirir y manejar la evidencia digital potenciales se beneficiarán de la lectura de este libro. Además, el material de respuesta a incidentes presentados en este libro será una gran ventaja para los administradores de red, la seguridad per-sonal, e incluso los funcionarios ejecutivos que se encuentran cada vez más difícil mantener sus redes de organización libre de los efectos debilitantes y costosas de los hackers y malicioso a pesar de la código aplicación de las medidas de seguridad de gran alcance.

¿Cómo leer este libro?Este libro puede ser leído como un curso completo de introducción a la informática forense básicos

y respuesta a incidentes. Sin embargo, también se ha creado para servir como una guía y una herramienta, y muchos lectores ya estarán un poco familiarizado con los diferentes temas cubiertos. En consecuencia, cada capítulo es un completo componente independiente que se puede leer cada vez que el lector considere que sea práctico o en contra-veniente. Como el lector, es probable que se especializan en una o más de los áreas cubiertas en este texto. Sin embargo, la información presentada en este libro también debe proporcionar nuevos conocimientos y herramientas en otro áreas con el que aún no estén familiarizados.

Capítulo 1

Informática Forense y respuestas a incidentes Esencialesln este capítulo

• La captura del criminal: los fundamentos de la informática forense

• Reconociendo los signos de un incidente

• Los pasos necesarios para prepararse para un incidente

• Incidente de verificación

• Preservación de la evidencia clave

• Las medidas específicas de respuesta

• La construcción de un conjunto de herramientas

LA HI-TECHREVOLUTION DANDO EN EL MUNDO en comunicaciones y tecnología de la información realmente se ha hecho del mundo un lugar más pequeño. Con efectos sobre nuestras vidas tanto personales como profesionales, los Estados Unidos está invirtiendo más recursos en el avance de la tecnología de la informacióngía que en la gestión o la fabricación de bienes de consumo. La Internet se ha vuelto tan popular que ahora es más común para recibir un mensaje de correo electrónico que envió una carta convencional, en la correspondencia diaria. Las estimaciones actuales cifran la población de Internet en todo el mundo en más de 580 millones y sigue creciendo.

En esta época en constante evolución de la tecnología de la información, los requisitos de la aplicación de la ley están cambiando, también. Algunos delitos convencionales, especialmente los relacionados con las finanzas y el comercio, continuaéa ser cada vez más sofisticados tecnológicamente. Senderos de papel han dado paso a electrónicas senderos. Los delitos relacionados con el robo y la explotación de los datos se detectan todos los días. Como se evidencia en el asesinato de Sharon Guthrie, el crimen violento no es inmune a la utilización de la tecnología de la información. Recuerde, el Reverendo Guthrie fue condenado basándose en la evidencia forense extraída de su ordenador, es decir, el descubrimiento de los datos que indican que había visitado sitios Web que ofrecen las instrucciones para llevar a cabo un asesinato con tranquilizantes. No es desconocido para los que se ocupan de armas o drogas para almacenar el cliente ñAmes e información de contacto en bases de datos en sus ordenadores.

1

2 Respuesta a Incidentes: Computer Toolkit Forense

Al igual que la industria está transformando gradualmente de la fabricación de productos para el tratamiento de la información, la actividad delictiva tiene en gran medida, también se convierte en una dimensión en gran medida físicasión para una dimensi ciberón. Las investigaciones, una vez llevado a cabo en una forma material, más concreto, existen ahora por vía electrónica, llevó a cabo en línea o mediante el examen de hardware y software.

La captura del criminal: Los Fundamentos de la informática forenseInformática forense es la ciencia de adquirir, recuperar, conservar y presentar los datos que han sido procesados electrónicamente y almacenadas en soportes informáticos. Informática forense de la ciencia es una disciplina relativamente nueva que tiene el potencial de afectar en gran medida determinados tipos de investigaciones y enjuiciamientos. Como un mayor número de personas que ahora hacen uso de computadoras, más y más informacióninformación de todo tipo se almacena en ellos. Esto incluye información que es de significativa importancia a la de una organización dyoéntele o que tenga un impacto en un caso civil o criminal, como evidencia de fraude financiero, la malversación, la terminación del empleo ilícito, el incendio de acoso sexual, el robo, el fraude de compensación de trabajadores, la edad o la discriminación sexual, la pornografía infantil, robo de secretos comerciales, o la infidelidad conyugal, a la ñAME unos pocos.

Informática forense de la ciencia es diferente de las tradicionales disciplinas forenses. Para empezar, las herramientas y técnicas que se requieren son de fácil acceso para cualquier persona que quiera llevar a cabo un equipo FORENsic investigación. En contraste con el análisis forense tradicional, no es común la exigencia de que los exámenes de informática se realizan en prácticamente cualquier ubicación física, no sólo en un ambiente controlado. En lugar de producir conclusiones que requieren la interpretación de expertos, comordenador de la ciencia forense produce información directa y los datos que pueden jugar un papel importante en la detención o condena de ciber criminais.

La adquisición de la evidencia digital comienza cuando los elementos de información y / o física se recolecten o almacenen en previsión de que se examina. El término "evidencia" significa que el colector de la evidencia es reconocida por los tribunales y que el proceso de recolección también se entiende como un proceso legal, apropiado para la recolección de evidencia en la localidad en la que se está llevando a cabo. Un objeto de datos o un elemento físico sólo se convierte en evidencia cuando así se considere por un oficial de la ley o la persona designada. Las siguientes son algunas definiciones importantes los EE.UU. Oficina Federal de Investigaciones utiliza para delinécomían ciertos aspectos de la informática forense:

• Data Objects. Los objetos o información valiosa del potencial de valor probatorioéque están asociados con elementos físicos. Los objetos de datos puede ocurrir en diferentes formatos de archivo (por ejemplo, NTFS o FAT32) sin alteración de la información original.

• La evidencia digital. Información del valor probatorio valiosoéque se almacena o transmite en formato digital formulario.

• Elementos físicos. íMET en el que los objetos de datos o información puede ser almacenada y / o a través del cual los objetos de datos se transfieren.

• La evidencia digital original. Elementos físicos y los objetos de datos asociados con estos artículos en el momento de la adquisición o la incautación.

Capítulo 1: Fundamentos de Informática Forense y de respuesta a incidentes

3

• Duplícado digital de pruebas. Una reproducción digital precisa de todos los objetos de los datos contenidos en un elemento físico original.

Ninguna investigación que implica la revisión de los documentos, ya sea en un ambiente criminal o empresarial, está completo sin el niños coón de las maneja adecuadamente la prueba informática. Informática forense asegura la preservación y la autenticación de los datos informáticos, que se fragmentaüe, por naturaleza, y puede ser fácilmente alterado, borrado, o sometidos a las demandas de la manipulación, si no se manipula correctamente. Además, la informática forense facilita la recuperación y el análisis de los archivos borrados y otras formas de información convincente que normalmente son invisibles para el usuario.

A diferencia de la evidencia del papel, la prueba informática a menudo existe en los datos digitales almacenados en medios de almacenamiento de la computadora. El volumen de información que puede ser almacenada en los equipos actuales es increíblemente enorme. Existen numerosos tipos de medios de almacenamiento: disquetes, discos duros, discos ZIP, cinta magnética, magneto-ópticos cartuchos, CD-R, CD-RW, CD-ROM, DVD, así como flash, CompactFlash, Smart Media, Memory Stick y dispositivos de almacenamiento.

Un experto conocedor puede faciílitar el proceso de descubrimiento mediante la identificación de otros posibles evidenciasdencia que más tarde pueden ser incluidos en los procedimientos judiciales. Por ejemplo, durante las inspecciones in situ premisa, en los casos en discos de la computadora en realidad no son incautados o copia forense, el experto forense puede identificar rápidamente los lugares para buscar, signos que debe buscar, y el punto de adicionales, fuentes alternativas para las pruebas pertinentes . Estos pueden adoptar la forma de las versiones anteriores de archivos de datos (por ejemplo, notas u hojas de cálculo que todavía existen en el disco de la computadora o en un medio de copia de seguridad) o de manera diferente versiones de formato de los datos, ya sean creados o tratados por otros programas de aplicación (por ejemplo, , tratamiento de textos, hoja de cálculo, correo electrónico, calendario, programación, o de las aplicaciones gráficas).

A medida que el mundo Continúes avanzar en la era de la información, la necesidad de un análisis forense adecuado y bien planificada de respuesta a incidentes contingenciaúes a aumentar. Durante su 05 de septiembre 2001 del habla, "Los aspectos jurídicos de protección de infraestructura,"en el 2001 INFOWARCON conferencia en Washington, DC, Ronald Dick, director del Centro de Protección de Infraestructura Nacional, hizo la siguiente declaración:

La NIPC, en nombre de cada uno de sus organismos asociados, se ha comprometido firmemente a la fundamental proposición-ción que la investigación de delitos cibernéticos y eventos nacionales de seguridad debe lograrse de una manera que proteja los derechos de privacidad de nuestros ciudadanos, que es un elemento esencial derecho constitucional. Sabemos que sólo podemos tener éxito si nos mantenemos fieles a esos valores baseúES.

Sin embargo, hay razones para preocuparse de que intrusos cibernéticos están ganando la capacidad de permanecer anónimo, independientemente de su impacto en la vida humana y la seguridad nacional, y con independencia de si el gobierno puede hacer una demostración de que debe ser capaz de obtener la información necesaria para su captura. En pocas palabras, el cálculo previsto en la Constitución, que otorga al gobierno la capacidad de proteger al público, se está erosionando. En su lugar, la privacidad de criminais, y los enemigos extranjeros está acercándose a lo absoluto. Si continuaépor este camino, ninguna información de identificación estará disponible en el poder cuando el gobierno se muestra,

como se contempla específicamente en la Cuarta Enmienda, con una orden de "causa probable, estén corroborados mediante juramento o protesta y describan con particularidad el lugar que deba ser registrado y las personas o las cosas que hay que aprovechar ".

Como resultado de este cambio en el equilibrio entre la privacidad, la seguridad pública y la seguridad nacional, la lista de víctimas va en aumento y la World Wide Web se conoce como el Wild Wild West. Conforme pasa el tiempo, me parece que cada vez más individuos de laais me encuentro tienen conocimiento de primera mano de la computadora


crimen. Sus propias computadoras, y no sólo las computadoras de las personas que conocen - han sido infectados con un virus o gusano, su sitio web la compañía ha sido borrado o paralizado su presencia por un ataque de denegación de servicio, o de sus sistemas de información se han infiltrado en estado y de propiedad de su empresa ha caído en las manos de un intruso no identificado. De hecho, el paso del tiempo, entre los que se esfuercen por utilizar las computadoras, me encuentro con las organizaciones cada vez menos que han demostrado ser inmune a estas amenazas crecientes. Y, sospecho que la gente en esta sala, y los grupos que representan, no son diferentes. Si usted no cree que usted o su empresa ha sido afectada por algún tipo de delito cibernético, ya sea que simplemente no son conscientes de ello, o si eres un afortunado miembro de una clase rápida reducción. Una encuesta anual de la delincuencia informática se llevó a cabo en forma conjunta entre el Instituto de Seguridad Informática y el FBI lo confirma. En 1996, cuando le preguntamos a los administradores de sistemas, si alguien ha obtenido acceso no autorizado a sus equipos, menos de la mitad, 42 por ciento, respondió que sí. El año pasado, cuando se hizo la misma pregunta, más de la mitad de los encuestados, un total del 70 por ciento, respondió que sí. Y ahí está la ironía en el debate pri-vacidad. Respetuosos de la ley los ciudadanos están descubriendo que su privacidad está siendo cada vez más invadida por criminais. Mientras tanto, el criminais están ganando la privacidad. THe sido el director de la NIPC un poco más de ocho meses, habiendo ocupado diversos cargos de gestión diferentes en el Centro desde que llegó allí en 1998. He visto crecer y desarrollarse casi desde sus inicios. Tenga en cuenta que, hace apenas tres años, la infraestructura es relativamente un nuevo camino para el gobierno federal. El Presidente Clinton emitió Presidencial Decisión la Directiva 63 en mayo de 1998. Fue una llamada de calyo, Que estableció un nuevo marco para hacer negocios. Por primera vez, el gobierno federal creó una entidad interinstitucional, el Centro de Protección de la Infraestructura Nacional - la combinación de la aplicación de la ley de los Estados Unidos, militares y de inteligencia-las comunidades a trabajar directamente con el prítor privado para lograr lo que muchos dicen que el día de hoy es imposible: la eliminación de todas las vulnerabilidades de las infraestructuras vitales de la nación. La eliminación de todas estas vulnerabilidades, afirmó el Presidente, necesariamente requieren "enfoques flexibles y evolutivas" que abarcan tanto el público como príVate sectores, y la protección de la seguridad tanto nacional como internacional.

La preocupación del Sr. Dick de que "los ciudadanos respetuosos de la ley están descubriendo que su privacidad está siendo cada vez más invadida por criminais, mientras que el criminais están ganando la privacidad "se hace eco en el público y príVate sectores. Sin embargo, la aprehensión de ciber criminais, y siempre dentro de los límites de la ley al hacerlo, sigue siendo imprescindible. Procedimientos inadecuados en la recogida y tratamiento de las posibles pruebas que pueden hacer que las pruebas admisibles en un tribunal de justicia. La Ley Patriota de EE.UU. de 2001 introdujo cambios significativos a la búsqueda de las leyes federales y las convulsiones.

Para más información sobre la Ley Patriota de EE.UU. de 2001, véase el capítulo 2 y el Apéndice C.

Si bien está fuera del alcance de este libro para convertir al lector en un experto en medicina forense, la recolección adecuada de la evidencia informática puede confirmar o disipar las concems acerca de si un ¡Yoincidente judicial se ha producido. Este trabajo de investigación también pueden documentar las vulnerabilidades de ordenadores y redes después de un incidente ha sido verificada. Además, es posible que desee obtener una formación adicional antes de intentar algunas de las técnicas descritas en este libro.


5

Reconociendo los signos de un incidenteLa corriente casi incesante de los incidentes relacionados con la seguridad ha afectado a millones de ordenadores los sistemas y redes en todo el mundo y muestra pocas señales de amainar. La Tabla 1-1 muestra una lista de incidentes que fueron reportados al Centro de Respuesta Federal Computer Incident (FedCIRC) para el año calendario 2000. Si bien la respuesta de incidentes varíes en el enfoque en función de cada cir-posición, los goles en todos los casos son en su mayoría el mismo. En casi todos los casos, el enfoque es varias veces:

• Recuperar de forma rápida y eficiente desde el incidente de seguridad.

• Minimizar el impacto causado por la pérdida o robo de información (clasificada o no clasificada) o por la interrupción de los servicios informáticos críticos en los que ha ocurrido un incidente.

Responder de forma sistemática, siguiendo los procedimientos probados que disminuirá considerablemente el probabilidad de recurrencia.

• Saldo de operaciones y los requisitos de seguridad mientras permanece dentro de un presupuesto restricción.

• Ocuparse de las cuestiones legales de una manera eficiente. Una plétora de asuntos legales rodea el campo de la seguridad informática. Por ejemplo, el Departamento de Justicia de EE.UU. (así como algunas leyes federales y estatales) ha declarado ¡Yolegal para llevar a cabo ciertas técnicas de monitoreo. Siguiendo los protocolos y procedimientos adecuados, los que realizar los exámenes forenses puede estar seguro de que los estatutos legales no están siendo violados.

Tabla 1.1 Incidentes FedCIRC Resumen de la actividad para el año 2000

Contar Porcentaje Tipo

155 26% Raíz de un compromiso

138 23% Solicitud de información

113 19% Usuario compromiso

70 11% Reconocimiento

36 6% Virus

35 5% Denegación de servicio

24 4% El uso indebido de los recursos

24 4% Falsa alarma

9 1% Desconocido

7 1% Engaño


Es el consenso general entre los expertos en seguridad informática que la gran mayoría de los delitos informáticos no están detectados ño reportado. Hasta cierto punto, esto se debe a que muchos delitos informáticos no son abiertamente obvio. Para utilizar una analogía simple, cuando un elemento (especialmente importante) es robado, el propietario detecta fácilmente porque el elemento faltante. Sin embargo, si un hacker roba datos de la computadora por la copia, los datos originales permanecen, y sigue siendo accesible para el propietario. Hay una variedad de maneras incidentes pueden ocurrir y maneras diversas en las que el impacto una organización.

Algunos tipos comunes de incidentes informáticos son los siguientes:

• Empleado mal uso de los sistemas (por ejemplo, violaciónes de las políticas de uso de

Internet)

• El código malicioso (por ejemplo, virunses, los gusanos o troyanos)

• Las intrusiones o piratería

Monitoreo electrónico no autorizado (sniffers, keyloggers, etc)

• Web site defacement o vandalismo

• El acceso no autorizado a información confidencial

• Las herramientas automatizadas de escaneo y las sondas

• Sabotaje Ejecutivo (a través de espionaje o empleados descontentos)

Desafortunadamente, no hay soluciones generales para prevenir incidentes que se produzcan, y las soluciones lim-ITED que existen son caros y requieren una enorme cantidad de recursos de una organización. La opción de utilizar los métodos de respuesta a incidentes débiles (o no los métodos en todos) es, sin embargo, aún más caro y sólo agrava el daño que causan los incidentes. Lo que se necesita es un compromiso a largo plazo para prevenir y responder sistemáticamente a incidentes de seguridad en vez de hacer arreglos a corto plazo para los problemas seleccionados. La experiencia demuestra que la mayoría de las organizaciones no piensan en cómo van a responder a un incidente de seguridad informática hasta después de que han sido signifi-icantly víctima de uno. No se han evaluado (ño anticipados) el negocio de riesgo de no tener en su lugar formal de incidentes de detección y los mecanismos de respuesta.

Cuando no se sabe que un intrusión (o un intrusióintento de n) se ha producido, es difícil, a veces imposible, determinar después de que sus sistemas han sido comprometidos. Si la información necesaria para detectar una intrusión no se ha reunido y revisado, la organización no puede determinar qué datos sensibles, los sistemas y las redes están siendo atacados y lo que las infracciones de la confidencialidad, integridad o disponibilidad se han producido. Como resultado de una falta de capacidad para detectar los signos de intrusión, puede ocurrir lo siguiente:

No será capaz de detectar tales signos de una manera oportuna debido a la ausencia de nemecanismos de alerta necesarias y los procedimientos de revisión.

• Usted no será capaz de identificar las intrusiones debido a la ausencia de información de referenciacon el cual comparar el estado de funcionamiento actual. Las diferencias entre uno anteriorconfiguración y su estado actual puede proporcionar una indicación de que una intrusión tieneocurrido.


7

• No será capaz de determinar el alcance total de una intrusión y el daño que ha causado. Usted también será incapaz de decir si se ha eliminado completamente la presencia del intruso de sus sistemas y redes. Esto impedirá de manera significativa, y incluso aumentar, su tiempo de recuperación.

• Su organización puede ser objeto de acción legal. Los intrusos pueden hacer uso de los sistemas que se han comprometido a lanzar ataques contra otros sistemas. Si uno de sus sistemas se utiliza de esta manera, es posible que se celebrará Hpor no poder ejercer el debido cuidado adecuado con con respecto a la seguridad.

• Su organización puede experimentar un golpe empañar su reputación.

• Su organización puede sufrir la pérdida de oportunidades de negocio.

Reconociendo los signos de un incidente mientras se está produciendo es de suma importancia a la pérdida de mitigación. Algunos signos de que un incidente se ha producido son evidentes. Por ejemplo, un trabajador no seUn cuestionable adjunto de correo electrónico para detectar la presencia de código malicioso y, después de abrir un archivo adjunto, comprueba que su ordenador ya no funciona correctamente. En este ejemplo de un incidente de código malicioso, se puede inferir que el archivo adjunto de correo electrónico contenía algún tipo de código malicioso o guión, que afectó a una aplicación o sistema operativo.

Otros incidentes, tales como intrusiones en la red, a menudo son más difíciles de detectar. Los hackers están siempre buscando nuevas formas de infíltrado sistemas informáticos en red. Ellos pueden tratar de penetrar las defensas de una red de trabajo desde ubicaciones remotas. En algunos casos, los intrusos recurrir a medidas extremas, incluidos los intentos de física infíltrado de una organización para acceder a recursos de información. Los hackers suelen buscar las vulnerabilidades en la forma de software anticuado o sin parchear.

Las vulnerabilidades recién descubiertas en los sistemas operativos, servicios de red y protocolos son los principales objetivos, y los hackers suelen aprovechar de ambos. Intrusiones y su daño resultante puede llevarse a cabo en cuestión de segundos, debido al desarrollo de potentes y sofisticados pro-gramos. Disponible gratuitamente en sitios de hackers subterráneos Web, los hackers utilizan estos programas de gran alcance para descifrar contraseñas, pasar por alto fírewalls y la velocidad de la plumaétrar sistemas. El enfoque común para detectar-intrusiones en desarrollo es como sigue:

• Observe a sus sistemas para un comportamiento inesperado o algo sospechoso.

• Invertirípuerta de todo lo que consideran inusual.

• Si su investigación encuentra algo que no se explica por la actividad autorizada, de inmediato iniciar su intrusión los procedimientos de respuesta (los procedimientos de respuesta se tratan más adelante en este capítulo).

Incluso si su organización ha implementado medidas de seguridad (por ejemplo, fírewalls), es esencial que vigilar de cerca su sistema informático para detectar signos de intrusión. El monitoreo se puede complican debido a los intrusos a menudo ocultar sus actividades mediante la modificación de los sistemas que han irrumpido en. Un intrusión puede ser ya en marcha y

continuaédesapercibida porque a los usuarios, parece que cada cosa está funcionando normalmente (en la superficie). La siguiente lista de comprobación para Windows presenta impor-tantes indicios de que su sistema puede haber estado en peligro, junto con algunas soluciones útiles:

Respuesta a Incidentes: Computer Toolkit Forense

• Busque las cuentas de usuario inusuales o no autorizado o grupos. Hay varias maneras de hacer esto. Puede utilizar la herramienta Administrador de usuarios en Windows NT o la herramienta de Administración de equipos en Windows XP (vea la Figura 1-1) o el net user, el grupo de red, y net localgroup comandos en la línea de comandos (DOS). Si el sistema no requiere el acceso de invitados, asegúrese de que el incorporado en la cuenta de Invitado está deshabilitada.

Figura 1-1: La utilidad Administración de equipos bajo Windows XP Professional

Deshabilitar la cuenta de invitado en Windows XPPara deshabilitar la cuenta de invitado en Windows XP, siga estos pasos:

1. Haga clic en el botón Inicio.

1. De los hombres pop-upú, Seleccione la opción Panel de control. Se abre el control

Panel de la ventana.

2. En la ventana Panel de control, seleccione Cuentas de usuario.

2. En la ventana Cuentas de usuario, seleccione la opción "Cambiar una cuenta" la

opción, o haga clic en la cuenta de invitados ICón (si está disponible) en la parte

inferior de la ventana Cuentas de usuario.

3. Una vez abierta, la cuenta de invitado tiene un botón de activación que permite al

usuario activar la cuenta de invitado en o apagado.


9

• Con la herramienta de gestión de equipo, compruebe si todos los grupos para la adhesión de usuario no válido. En

Windows NT, 2000 y XP, varios de los grupos predeterminados dar privilegios únicos a los miembros de esos grupos. Por ejemplo, mientras que los miembros de los Operadores de configuración de red se han limitado los privilegios administrativos para administrar la configuración de características de red, los miembros del grupo Administradores tienen el poder de modificar casi cualquier aspecto del sistema operativo.

% Además de la mencionada herramienta integrada de gestión de Windows, otra utilidad gratuita

de auditoría¡utilidad ng es DumpSec por SomarSoft. Este programa de auditoría de seguridad

para Windows NT vertederos de los permisos (DACL) y la configuración de auditoría (SACL)

para el sistema de archivo, registro, impresoras, y participaciones en forma concisa y fácil de leer

en formato haciendo los agujeros en la seguridad del sistema más aparente. Para más

información o para descargar una copia de la visita de DumpSec www.somarasoft.com .

http://www.somarasoft.com/

• Revise los archivos de registro para las conexiones desde lugares inusuales o para cualquier actividad inusual.

Todas las versiones de Windows NT tiene un visor de eventos integrada que le permite comprobar el inicio de sesión inusual enFrios, las fallas de los servicios, o se reinicia anormales del sistema. Tenga en cuenta que si tu firewall, servidor web, o un router escribe registros a una ubicación distinta a la comprometido el sistema, que hay que examinar estos registros también.

Configuración de los archivos de registro y el examen se tratan en detalle en el capítulo 3.

• Búsqueda de los derechos de usuario no válidas. Para examinar los derechos de los usuarios utilizar la herramienta Administrador de usuarios en las políticas de derechos de usuario →. Hay más de dos docenas de los derechos que pueden ser asignados a usuarios o grupos. Normalmente, la configuración por defecto de estos derechos es seguro.

• Revise para ver si las aplicaciones no autorizadas se están ejecutando. Existen varios enfoques los hackers pueden tomar para iniciar un programa de puerta trasera, por lo tanto, puede que tenga que tomar una o más de las siguientes precauciones:

■Examine el registro de Windows. Todas las versiones de Windows vienen con un editor integrado en el Registro (ver Figura 1-2) que se puede acceder fácilmente tecleando regedit en el prompt de comando. Varios de los lugares más comunes de las aplicaciones que inician a través del Registro se ilustran en la Tabla 1-2.

|. ̂ " ̂_h0


■Busque los servicios no válidos. Algunos programas de puerta trasera se instalan como un servicio que se inicia automáticamente cuando Windows se carga en primer lugar. Servicios continuación, puede ejecutar como cualquier usuario con el inicio de sesión como el derecho de atención al usuario. Verifique los servicios que se inician automáticamente y estar seguros de que son indispensables. El archivo ejecutable de servicios también se deben analizar con un antivirus para asegurarse de que no ha sido sustituido por un troyano o backdoor. Los derechos de inicio de sesión controlar cómo el personal de seguridad se les permite el acceso a la computadora. Estos derechos se aplican si el acceso se realiza desde un teclado, o como un servicio que se activa cuando se carga Windows. Para cada método de inicio de sesión, existen dos derechos de inicio de sesión, para permitir un inicio de sesión en el ordenador y el otro para negar el registro en el equipo.

Programas de puerta trasera permite a los hackers acceder a su ordenador mientras está

conectado a Internet. Ellos pueden robar contraseñas, registrar las pulsaciones, e incluso

bloquear el equipo. El intruso debe engañar a un usuario ejecutar el programa en el ordenador

del usuario. Esto se logra generalmente mediante el envío del archivo a través de mensajes de

correo electrónico oa través de un servicio de mensajería instantánea.

¿Qué está ejecutando en el sistema?Para observar los servicios que se están ejecutando en su sistema Windows XP, haga lo

siguiente:

1. De los hombres de inicioú, Seleccione Panel de control → Rendimiento y

mantenimiento.

2. En la ventana Rendimiento y mantenimiento, seleccione Herramientas

administrativas.

3. Aparecen varios iconos, haga doble clic en Servicios de componentes.

4. Seleccione los servicios locales de la lista desplegable en el panel izquierdo. Si

intenta acceder a los servicios demasiado pronto, puede encontrarse con el mensaje

"Servicio de Datábase está bloqueado. "Este mensaje significa que algunos servicios

se siguen cargando o initializ-ción en el fondo, por lo que no puede ir a la lista de

servicios por el momento. Si espera unos segundos, usted será capaz de abrir el

cuadro de diálogo.

En versiones anteriores de Windows NT no hay otra manera de abrir esta lista:

1. De los hombres de inicioú, Seleccione Programas → Herramientas administrativas → Administrador de servidores.

1. Desde el Administrador de servidores, seleccione el equipo y, a continuación,

seleccione el equipo → Servicios de los hombresú ÍTEM.

2. Si usted posee los privilegios administrativos adecuados, que incluso será capaz de

ver qué servicios se ejecutan en equipos remotos, así. Basta con seleccionar el

equipo remoto desde el Administrador de servidores, a continuación, seleccione

Servicios → Informática de los hombresú.


11

■Supervisar las carpetas de inicio del sistema. Puede examinar todos los accesos directos, seleccione Inicio→ → Programas de inicio. Hay dos diferentes carpetas de inicio, uno para el usuario local y otro para todos los usuarios. Cuando un usuario inicia sesión, todas las aplicaciones, tanto en la carpeta Todos los usuarios y en la carpeta de inicio del usuario se han iniciado. Debido a esto, es importante para comprobar todo de las carpetas de inicio de aplicaciones sospechosas.

Figura 1-2: El Editor del Registro de Windows

Tabla 1-2 Los lugares comunes del programa de inicio

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ \ SessionManager

KnownDLLs

HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ \ SessionManager KnownDLLs

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run


HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx


HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ("run ="línea)

Seguido


Tabla 1-2 Los lugares comunes del programa de inicio (Continuación)

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run


HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \

RunOnceEx


HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows ("run =" valor)

RegCleaner (ver Figura 1-3), escrito por Jouni Vuorio, es un programa gratuito para Windows

que es muy útil en la recopilación de información importante acerca de los programas

inician automáticamente en el arranque del registro de Windows. Si las aplicaciones no

deseadas o servicios están presentes, este proprograma también le permite borrar la

entrada del registro correspondiente. Tenga en cuenta que la alteración del Registro puede

ser difícil borrar la entrada incorrecta puede hacer que una aplicación o el sis-tema operativo

inestable o inutilizable. RegCleaner se puede encontrar en www.vtoy.fi/jvl6/index

. Shtml.

http://www.vtoy.fi/jvl6/index

Figura 1-3: RegCleaner por Jouni Vuorio


13

• Revise las configuraciones de red para las entradas no autorizadas. Busque entradas no válidas para la retirada deajustes como WINS, DNS, el reenvío de IP, y así sucesivamente. Estos ajustes se pueden comprobar con la herramienta Propiedades de red o mediante el ipconfig / al 1comando en el símbolo (DOS) pedirá.

• Revise los archivos del programa de sistemas para las alteraciones. Compare las versiones de sus sistemas con las copias que usted sabe que no han sido alterados, tales como los de los medios de instalación originales. Tenga cuidado de confiar en las copias de seguridad, sino que también puede contener caballos de Troya.

• Compruebe que los puertos de escucha para las conexiones inusuales de otras máquinas mediante el uso de la red Números que hablan: un comando en el símbolo del sistema. Potente tercero de detección de puertos pro-gramas como SuperScan por Foundstone, Inc. también se puede utilizar para seuno de abiertos o activos puertos TCP / UDP. SuperScan (ver Figura 1-4) es un programa gratuito que se puede encontrar enwww.webattack.com.

http://www.webattack.com/

Para obtener una lista completa de puertos, consulte el Apéndice B.

Figura 1-4: SuperScan por Foundstone, Inc. no puede seuno de abiertos o activos puertos TCP / UDP.


Los programas troyanos son a menudo diseñados para imitar el mismo tamaño de archivo

como el legítimoícompañero de pro-grama que sustituyen. Como resultado, sólo comprobar las

propiedades del archivo y el tiempo de sellos asociados con las aplicaciones no es suficiente

para determinar si existe o no el legítimoíprogramas compañero han sido reemplazado por un

caballo de Troya. Una mejor alternativa es utilizar Tripwire.

Tripwire es un Unix basado en el sistema de archivos de comprobación de la integridad del

programa que garantiza la integridad de los archivos de sistema críticos-cos y directorios

mediante la identificación de todos los cambios realizados a los mismos. Mediante el uso de

Tripwire para intrusión la detección y evaluación de daños, usted será capaz de hacer un

seguimiento de cambios en el sistema que a su vez puede acelerar la recuperación de un

compromiso del sistema al reducir el número de archivos que hay que restablecer para

reparar el sistema.

Utilizando el software antivirus ayuda en la detección de ordenador virunses, los programas de puerta trasera y troyanos. Sin embargo, tenga en cuenta que, dado que los programas maliciosos se están creando continuamente, es importante mantener siempre actualizado su software antivirus actualizado.

Preparación para IncidentesAntes de la década de 1990, las amenazas a la seguridad informática (además de los errores humanos) eran principalmente físico-Cal y del medio ambiente, que consiste en el daño físico y ataques internos, tales como incendio, inundación o robo. Este tipo de amenazas se entienden fundamentalmente y se controlan fácilmente mediante el uso de métodos tradicionales y planes de contingencia. Hoy en día, una nueva categoría de amenazas de seguridad informática se ha convertido tan importante para comprender y controlar. Estas amenazas incluyen trans-regresiones por los intrusos no autorizados y los usuarios que aprovechan las vulnerabilidades del sistema, equipo virunses, los gusanos y caballos de Troya. Varios factores han contribuido a la creciente presencia de estas amenazas, tales como las siguientes:

• Incrementar la confianza de la sociedad en las computadoras. Hoy en día, casi todas las organizaciones, tanto públicas como príVate, se basa en los ordenadores y redes de comunicación. Debido a esta dependencia cada vez mayor, muchas agencias que sufren grandes pérdidas a la productividad de sus sistemas deben estar disponibles. Debido a la complejidad del sistema, la confianza en los sistemas informáticos a menudo se presenta riesgos no previstos y las vulnerabilidades.

• El código malicioso. PC virunses, los gusanos de correo de Internet y caballos de Troya en continua particular,épara sembrar el caos en la seguridad informática personal. Con lo mal que este problema se encuentra en pre-enviado, las dificultades de códigos maliciosos no hará sino empeorar. Esto es principalmente el resultado de la pro-

proliferación de las computadoras personales (con un mínimo de controles de seguridad integrado), redes de área local, y un flagrante desprecio por las prácticas informáticas seguras. El número de variantes y las imitaciones de virunSES también ha aumentado y no muestra signos de disminuir.

• Amplio área de redes (WAN). El uso de redes WAN, los gobiernos de enlace, las empresas, e instituciones educativas, contiúES a crecer. Una respuesta eficaz a un incidente de seguridad informática es importante que las agencias conectadas a través de redes de gran tamaño, como una intranet o en Internet. Debido a su interconectividad, un compromiso de un equipo puede afectar

Capítulo 1: Fundamentos de Informática Forense y de respuesta a incidentes15

otros sistemas que están conectados a la red, pero se encuentran en diferentes organizacio-nes, dando lugar a posibles consecuencias legales o financieras. Los equipos de respuesta a incidentes son conscientes de que intruso intenta lápizétrar los sistemas se producen a diario en numerosos lugares a través de-fuera de los Estados Unidos, sin embargo, muchas organizaciones siguen sin ser conscientes de que sus sistemas han sido penetrado o se han utilizado como trampolín para ataques contra otros sistemas.

• La reducción de las barreras a la piratería. La potencia informática es fácilmente disponible, como es la banda ancha conectividad. Los piratas informáticos pueden descargar herramientas fácilmente a través de Internet, por lo que poco cualificado los atacantes pueden lanzar ataques muy sofisticados.

Hoy en día, estar preparado para manejar un incidente de seguridad informática se ha convertido en una prioridad para la mayoría de los administradores del sistema. Dado que las empresas aumentar su presencia en línea y su dependencia de los activos de los sistemas de información, el número de incidentes informáticos también se eleva. Estas organizaciones están reconociendo finalmente la necesidad de adaptar sus posiciones de seguridad en consecuencia. Esto se logra-plished en tres etapas.

En primer lugar, las organizaciones deben desarrollar e implementar planes de seguridad y controles en un esfuerzo proactivo. En segundo lugar, tienen que trabajar para asegurar que sus planes y los controles son eficaces por la continua revisión y modificación de ellos para garantizar que la seguridad es siempre apropiada en el lugar. Por último, cuando los controles se pasan por alto, ya sea intencionalmente o no, las organizaciones deben ser preen comparación a actuar rápida y eficazmente a minimizar el impacto de estas fallas.

El principal objetivo de estas medidas de seguridad es para evitar un problema de seguridad operacional se convierta en un problema de negocio que afecta a los ingresos. Los administradores y otros usuarios pueden obtener directrices en este libro para pre-planear una respuesta a los incidentes y minimizar cualquier impacto negativo en un negocio. Esperar hasta que un incidente se ha producido de forma natural es demasiado tarde para comenzar a planificar cómo hacer frente a tal evento. Planificación de respuesta a incidentes requiere el mantenimiento de ambas funciones adminis-trativas y técnicas. Cada parte debe estar familiarizado con el otro papel, las responsabilidades, y capacidades.

Muchos de los programas de seguridad informática no son eficaces en el tratamiento de las clases más nuevos y menos comprendido-de amenazas a la seguridad. Las respuestas tradicionales, como el análisis de riesgos, planificación de contingencias, y las revisiones de seguridad informática, no han sido suficientes para controlar los incidentes y prevenir daños a gran escala. Abundan las anécdotas en las que los incidentes de seguridad empeoran o si no han sido erradicadas de un sistema. En consecuencia, algunas organizaciones gastan demasiado tiempo reaccionar a los incidentes recurrentes, sacrificar la comodidad y la productividad. Por temor a amenazas desconocidas, algunas instituciones han equivocadamente restringido el acceso a sus sistemas y redes. Lo que se necesita en lugar por lo tanto, es una forma fundamentalmente diferente de la respuesta de equipo de seguridad, una respuesta que es capaz de detectar

rápidamente y reaccionar a los incidentes de una manera que sea eficiente y rentable.

Una empresa siempre debe hacer el esfuerzo para erradicar un incidente de seguridad del

sistema de forma inmediata, por ejemplo, cuando las compañías no pueden enmendar sus

programas de correo electrónico en busca de fallos conocidos y publicación cized-, que puede

verse afectado por un virus que explota la imitación mismo error exacto.


Tener un incidente de seguridad informática la capacidad de respuesta se traduce en que una organización está pre-comparación para detectar y combatir los incidentes de seguridad informática de una manera hábil y eficiente. Esta capacidad es una combinación de personas técnicamente capacitadas, políticas y técnicas, con el objetivo de constituir un enfoque proactivo para el manejo de incidentes de seguridad informática. Tener una capacidad de respuesta a incidentes con los elementos tradicionales de la seguridad informática puede ofrecer a toda la organización de protección de los incidentes perjudiciales, el ahorro de los recursos de la organización y permitir que valiosas para un mejor aprovechamiento de la tecnología informática más. Muchas empresas, organizaciones y agencias gubernamentales han puesto en práctica las capacidades de respuesta a incidentes con gran éxito, ge-aliado de centrarse en el siguiente áreas:

• Respuesta eficiente. La eficiencia es uno de los aspectos más importantes de una capacidad de respuesta a incidentes de seguridad informática. Sin una capacidad eficiente de respuesta a incidentes es desordenado, galvanizado y eficaz, con la organización de mantenimiento de los mayores gastos y dejando vulnerables de nerabilities abierto y sin protección. Por ejemplo, las respuestas sin educación a los pequeños brotes de equipo virunses en realidad puede hacer que sus efectos mucho peores, dando lugar a cientos de ordenadores están infectados por el equipo de respuesta a sí mismo. Un buen equipo de seguridad incidenciacapacidad de respuesta de ayuda a Dent en la gestión de los gastos de respuesta a incidentes que son difíciles de rastrear, hace que la evaluación del riesgo más precisa, y mejora la formación de los usuarios y la sensibilización con respecto a la seguridad informática. Por el contrario, un esfuerzo de respuesta a incidentes ineficaz puede Perpetuoúcomieron los problemas existentes e incluso EXACérbate ellos.

• Centralización. Un incidente de seguridad la capacidad de respuesta deben utilizar medios centralizados de información y el manejo de incidentes. Aunque no cabe duda aumenta la eficiencia, sino que también permite una evaluación más precisa de los hechos, como por ejemplo si están relacionados con (a fin de evitar daños generalizados más rápidamente posible). En virtud de la centralización, los gastos de incidentes capacidad de respuesta y de arriba hacia abajo se puede mantener, y la duplicación de esfuerzos se puede reducir (posiblemente eliminar por completo). Las organizaciones pueden encontrar una significativa ahorro de costes como resultado.

• Mejora el conocimiento del usuario. Los beneficios de una capacidad de respuesta a incidentes incluyen el conocimiento de las amenazas de usuario mejorada y el conocimiento de los controles adecuados. Una capacidad de respuesta a incidentes ayudarán a la organización identificar las vulnerabilidades y emitir alertas de seguridad informática. La información relativa a la conciencia de seguridad puede ser difundida a través de salida de la organización mediante el uso de una variedad de mecanismos tales como una intranet de la empresa, sem narios, y talleres de capacitación. Esta información mejora enormemente la capacidad de los usuarios de la gestión de sus sistemas de manera eficiente y segura.

El desarrollo de un incidente de

seguridad informática Capacidad de respuestaDebido al volumen de negocio se realiza a través de Internet, reduciendo al mínimo las vulnerabilidades de seguridad y maximizar la respuesta a incidentes de seguridad de una manera eficiente y completa puede ser la situación crítica de la continuidad del negocio. Las organizaciones a menudo se encuentran, sin embargo, que no es necesario construir este Capadad completamente desde cero. Muchas organizaciones se dan cuenta de que ya poseen los bloques de construcción necesarios para las respuestas de incidentes suficientes. Estos incluyen servicios de asistencia, líneas centrales, y


17

personal con las habilidades técnicas necesarias. Los siguientes son características adicionales necesarias para una la seguridad del equipo de respuesta a incidentes capacidad de:

• Estructura. No hay una estructura única para una capa de seguridad informática de respuesta a incidentesdad. Dependiendo de las necesidades de la organización, esta capacidad puede tomar muchas formas. Si bien la centralización a menudo se presenta la estructura más rentable, algunas organizaciones encuentran que una estructura de distribución más amplia, a pesar de algunas coincidencias inevitables, más acorde con las estructuras existentes. Organizaciones muy pequeñas puede resultar práctica para compartir una incidenciadente capacidad de respuesta con una organización más grande. Gallinaee, una capaci de respuesta a incidentesdad estructura variará dependiendo de una variedad de factores. Informes centralizados y la centralización de los esfuerzos, sin embargo, en general, ayuda a disminuir los costos de operación y mejorar efiey y seguridad.

• Los mecanismos de alerta. La capacidad de respuesta a incidentes debe incluir la capacidad para llegar rápidamente a todos los usuarios mediante el envío de una alerta a una lista de correo central, o bien de la tele-teléfono de correo de voz, mensajes a través de buscapersonas o Memorándums o listas de gestión de contactos.

• Informes centralizados. De respuesta a incidentes efectiva depende de la capacidad de una organización para comunicarse de forma rápida y cómoda. Mecanismos de comunicación eficaces incluyen un centro de atención telefónica de un seguimiento de 24 horas, un centro de dirección de correo electrónico de mensajería, o un arreglo de buscapersonas / celular. Los usuarios son más propensos a comunicarse con su comunidadinformáticos de seguridad al personal de respuesta a incidentes, si la organización ha hecho que la comunica-ción directa (por ejemplo, los usuarios sólo tienen que recordar un número de teléfono).

• Personal. La organización debería crése comió a un grupo de individuosais que son responsables para el manejo de incidentes: un incidente de equipo equipo de respuesta. Seguridad informática personal de respuesta a incidentes debe diagnosticar y / o entender los problemas técnicos, por lo tanto el conocimiento técnico es un requisito fundamental para los miembros del equipo. Habilidades de comunicación Superior son igualmente importantes. Incidentes de seguridad informática puede generaciónétipo de situaciones de carga emocional, un hábil comunicador debe saber cómo resolver problemas técnicos con salida alimentar emociones negativas o que complica aún más la situación. Además, INCIel personal de respuesta independientes pueden pasar gran parte de su tiempo en la comunicación con los usuarios afectados y los administradores, ya sea directamente o mediante la preparación de información sobre alertas, boletines y otros materiales de orientación. Puede ser difícil, sin embargo, imperativo, para encontrar personal que tiene la mezcla correcta de técnica, las comunicaciones, y las habilidades sociales.

El incidente de seguridad informática Equipo de RespuestaLas redes y los recursos de TI siguen siendo vulnerables a la persistente ¡Yoactividad legal y malicioso y explotación de ambos enFfuentes ernal y externa. Las amenazas de seguridad más comunes son los sistemas de red. Amenazas de la red de seguridad incluyen la falsificación de identidad, la negación de ser-vicio, y el paquete de reproducción / modificación. El daño a los sistemas de TI de una intrusión en uno o más equipos pueden aceUR en un corto período de tiempo. Es esencial que todas las organizaciones tienen procedi-mientos en el lugar que se pueden activar sin demora. El hecho de no informar de un intrusión para la seguridad


el personal tendrá un impacto (y potencialmente compromiso) de los esfuerzos de seguridad del resto de la organiza-zación, así como sus clientes.

Para desarrollar una capacidad de respuesta a incidentes completa, todas las organizaciones necesitan un equipo de respuesta a incidentes. En el caso de los delitos informáticos o de sospecha de violaciónes de las políticas de usuarios, el equipo debe ser contratado. Previamente, el equipo debe contar con procedimientos escritos para la respuesta a incidentes, incluyendo lo que las condiciones lo permitan llamar a locales y / o las autoridades federales de aplicación de la ley. Por ejemplo, dentro de violaciónes de las políticas de usuario puede dar lugar a acciones administrativas, tales como los empleados suspensiónsión, o la terminación del empleo, mientras que otros, los delitos informáticos más graves pueden requerir que aplicación de la ley ser contactado.

En cualquier caso, el equipo de respuesta a incidentes debe proteger las pruebas. Para violaciónes de políticas y acciones administrativas, los procedimientos siguientes puede ser suficiente. Sin embargo, para los delitos informáticos más graves, las autoridades policiales puede dar instrucciones al equipo de incidente para esperar a su su llegada antes de actuar.

Las acciones necesarias para asegurar una escena de incidentes informáticos se sospeche pueden ser

• Asegurar la escena

• La documentación y el etiquetado de las pruebas

• El transporte de la evidencia

• Apagar el equipo (s)

El proceso de notificación de incidentesComo se mencionó anteriormente en este capítulo, todas las organizaciones deben establecer y poner en práctica una deFernal capacidad de respuesta de incidentes. Las intrusiones son sólo una forma de incidente de seguridad informática. Recuerde, un incidente de seguridad informática es cualquier evento adverso en el que algún aspecto de un sistema informático se ve amenazada. Esto podría incluir la pérdida de confidencialidad de los datos, la interrupción de la integridad de los datos, y la interrupción o la denegación de servicio. Los tipos de incidentes se clasifican en bajo, mémediano o alto Leveis dependiendo de su gravedad.

Bajo nivel de incidentes son los menos graves y deben ser resueltos dentro de un día hábil después de se produce el evento. Estos incluyen

• Pérdida de contraseñas

• Sospecha de intercambio no autorizado de las cuentas

• El uso indebido de las acciones

de hardware de ordenador no

intencionales

• Exploraciones infructuosas o sondas

De nivel medio de incidentes son más graves y deben ser tratados el mismo día que se produzca el evento (Normalmente en un plazo de dos a cuatro horas del evento). Estos incluyen


19

• Destrucción de propiedad en relación con un incidente de equipo

• Descarga ilegal de música con derechos de autor / software no autorizado

• La violación de acceso especial

• El uso no autorizado de un sistema de procesamiento o almacenamiento de datos

personales

• Un acto que resulta de la terminación del empleado hostil

El acceso al edificio ilegal

• El robo de personal (modévelocidad a la valiosaé) En relación a un incidente

informático

De alto nivel son los incidentes más graves. Debido a la gravedad de estas situaciones y la probabilidad de daños causados a la línea inferior de la organización, este tipo de incidentes deben manipularse inmediatamente. Ellos incluyen

• Destrucción de propiedad en relación con un incidente de equipo

• La pornografía infantil

• Pornografía

El robo de personal (más alta en valiosoéque por un incidente de nivel medio) en

relación a un incidente informático

• Ruptura en la computadora de sospecha

• Denegación de servicio (DoS)

• Descarga de software ilegal

• El código malicioso (por ejemplo, virunses, los gusanos, troyanos, scripts maliciosos y)

• El uso no autorizado de un sistema de procesamiento o almacenamiento de datos

prohibidos

• Los cambios en el hardware del sistema, el firmware (por ejemplo, el BIOS), o el software de los sistemas sindueño de temperatura de autorización

• Cualquier violación de la ley

Otros tipos de incidentes pueden incluir aislado casos de virunses o mal uso de computadoras el equipamiento, las acciones no intencionales, y las exploraciones comunes, sin éxito o sondas. Cuando nos enfrentamos a un incidente de segu-ridad, una organización debe ser capaz de responder de una manera que proteja a su propia información y ayuda a proteger la información de otras personas que podrían verse afectados por el incidente.

Evaluación y contenciónCada organización tiene que desarrollar en elFprocedimientos de presentación de informes ernal que definen las acciones que deben ser tomadas en respuesta y notificación de incidentes de seguridad informática. En un mínimum, enFernal procedimientos deben incluir la organización de la cadena de autoridad o jerarquía y requieren la participación de todo el personal de la organización de seguridad informática. Estos procedimientos también requieren lo siguiente:


Conservación de pruebas

Valoración

Contención y recuperación de las acciones

Daños determinación

Informe de la documentación

Las lecciones aprendidas

Identificatión de las acciones correctivas requeridas por los programas de seguridad de

la organización

Las organizaciones deben distribuir los procedimientos de seguridad informática a todo el personal apropiados que se encarguen de la detección, denuncia, o el manejo de incidentes de alto nivel. Las partes responsables deben ser instruidos para leer y familiarizarse con la política de notificación de incidentes. Individuosais asignados a la manipulación de incidente o de informes se puede organizar en un equipo de respuesta que se convierte en activa cuando el incumplimiento se identifica.

Todas las redes de la organización deben ser monitoreados en forma permanente. No es necesario para obtener e instalar intrusión de dispositivos de detección o software para cada servidor. Sólo los lugares más críticos necesitan tener intrusiódetección n instalado. Tan pronto como se detecta actividad sospechosa, personal cualificado designado para responder debe ser notificada a tomar medidas inmediatas.

El personal de gestión de nivel superior autorizados a tomar las medidas de contención debe evaluar el caso y tomar las medidas oportunas. Esto puede incluir el cierre de un sistema dentro de un plazo razo-nable después del descubrimiento de un intrusión para contener cualquier daño futuro. En casos extremos, si el equipo de respuesta a incidentes no responde adecuadamente o si el problema no está contenido en una manera oportuna (generalmente 12 horas), director de la organización general de información (ICÓ) O desígnate puede emitir una orden para que todo el sistema abajo. En dependencia directa del ICÓo de nivel superior del hombregestión debe ocurrir en los casos en que una evaluación preliminar indica que un daño significativo a los recursos de la organización puede haber ocurrido. Tras la confirmación, las acciones de respuesta a incidentes debe aplicarse de inmediato. La falta de cualquier funcionario en la cadena de información no debe retrasar la continuación de la NOTIFICACIÓN incidenteón o proceso de respuesta.

Operaciones para la recuperaciónTodas las organizaciones deben dar prioridad a aquellas acciones que apoyen la recuperación sin problemas de un sistema de comprometida. En ningún caso, un sistema comprometido, una página Web o aplicación que vuelva a funcionar normalmente sin la aprobación de la ICÓo la persona designada para hacerse cargo de la comcomputadora de seguridad. Oficiales de seguridad informática se reserve el derecho a examinar aún más el sistema para garantizar que la seguridad es adecuada en el lugar y contiúES para proteger a la organización. La organización debe reanudar el funcionamiento normal del sistema sólo puede restaurarse con la aprobación por la segudad del equipo. El personal de seguridad por lo general debe solicitar un período de 24

•

•

•

•

•

•

•

horas para responder al incidente con el poder de aprobar o rechazar el retorno del sistema para operaciones normales.

Daños Análisis y DeterminaciónUna evaluación de los daños de todos los incidentes de seguridad informática se debe iniciar inmediatamente después de la Conacciones entretenimiento y recuperación han llevado a cabo. Oficiales de seguridad informática debe impedirmina si el incidente se limita a un sistema o para músistemas ltiple y si hay algún impacto en


21

organizaciones externas. El impacto para cada sistema debe ser analizada para determinar si el control del sistema ha sido comprometido. Todos los sistemas comprometidos deben desconectarse de la exter-nales de comunicación inmediatamente o tan pronto como sea posible. Control de un sistema se pierde cuando un intruso obtenga el control de la raíz de gran alcance o las cuentas del sistema de alto nivel administrativo priv-vilegios. La determinación también debe hacerse si los archivos de registro han sido borrados o en peligro.

Procedimientos de cierre, mientras que preservar la evidenciaApagado de un sistema informático de manera que no se dañará la integridad de los archivos existentes es un procedimiento de seguridad informática complicado. En el caso de un incidente de sospecha de equipo, el gran cuidado se debe tomar para preservar las pruebas en su estado original. Si bien puede parecer que simplemente la visualización de archivos en un sistema no daría lugar a la alteración de los medios de comunicación originales, sólo la apertura de un fichero de cambios de TI. En un sentido legal, ya no es la evidencia original y en ese momento puede ser inadmisibles-ble en cualquier actuación jurídica o administrativa.

Al abrir un archivo también altera la fecha y hora del último acceso. En la superficie, esto puede no parecer una cuestión importante, sin embargo, que más tarde podría llegar a ser muy importante en la determinación de quién cometió la violación y cuando ocurrió. El aislamiento del sistema informático es lo ideal, pero si esto no puede llevarse a cabo debido a los requisitos de funcionamiento, no intente debería ser hecho para recuperar o ver los archivos en el ámbito local.

El aislamiento de un sistema informático para que la evidencia no se ha perdido es de suma importancia. Examen también se debe dar a otros medios de almacenamiento, notas escritas a mano, y los documentos que se encuentran en las proximidades del equipo en cuestión. Estos elementos pueden ser de valiosaéen una inversión posteriorí-Gación. Discos de ordenador, CD-ROMs, medios de almacenamiento en cinta, y / o discos duros adicionales se encuentra en el área de la computadora también deben estar aislados y protegidos.

Nadie, incluyendo a la persona sospechosa de cometer la violación alegada equipo, se debe permitir el contacto con los medios de almacenamiento o el ordenador implicado en el incidente de seguridaddente. Individuosais, con extensa experiencia en computación puede desarrollar programas que, con algunos de llaveaccidentes cerebrovasculares, pueden destruir todos los datos magnéticos en un disco duro.

Generalmente, el tipo de sistema operativo una compañía utiliza dicta la sincronización y la forma en que se alimenta una computadora. Con algunos sistemas operativos, simplemente tirando del cable de alimentación es el método preferido. Con otros sistemas, desconectar la fuente de alimentación sin permitir que el sistema operativo para iniciar, enFapagado ernal podría resultar en la pérdida de archivos o, en raras ocasiones, una rotura del disco duro. Las posibles pruebas que pueden residir en almacenamiento típica áreas como la hoja de cálculo, datábase, o archivos de procesamiento de textos. Sin embargo, las posibles pruebas que también pueden estar en el archivo de holgura (archivo de la demora es el espacio no utilizado en un cúmulo de datos que está en el final de la mayoría), archivos borrados y los archivos de intercambio de Windows. Evidencia potencial en estos lugares es por lo general en forma de fragmentos de datos-tos y puede ser sobrescrito fácilmente arrancando el ordenador y ejecute el sistema operativo.

Por ejemplo, cuando se inicia el sistema operativo Windows hasta (cargas), que genera nuevos archivos y abre los archivos existentes. Esto tiene el potencial para sobrescribir y destruir los datos o elementos de prueba es posible pre-riormente almacenan en el archivo de intercambio de Windows. Para usar otro ejemplo, cuando el procesamiento de textos o archivos de otros programas se abren y se ve, se crean archivos temporales y se sobrescriben actualizadas versiones de los archivos, por lo que la evidencia potencial almacenada en estos lugares expuestos a la pérdida. De acuerdo con los EE.UU. Departamento de Energía del Primer Manual de Servicio de respuesta, lo siguiente son las características básicas y los procedimientos (desglosado por sistema operativo) que se deben seguir cuando un operativo el apagado del sistema está garantizada.


MS-DOS SISTEMA OPERATIVOCaracterísticas

• El texto es sobre un fondo sólido (generalmente negro).

• El mensaje contiene una letra de unidad y utiliza las barras

contrarias.

• El indicador por lo general termina con un signo mayor que

(>).

Procedimientos de cierre

• Fotografiar la pantalla y anotar los programas en ejecución.

• Pulíel cable de alimentación de la pared.

Windows 3.X SISTEMA OPERATIVOCaracterísticas

• Gerente del Programa

• Barra de azulejos de colores

• Los hombres estándarúopciones




Windows NT 3.51 SISTEMA OPERATIVOCaracterísticas

• Gerente del Programa

• Barra de azulejos de colores

• Los hombres estándarúopciones

• Los iconos que representan equipos de la red y las personas





23

Windows 95/98/NT 4.0/2000 SISTEMA OPERATIVO

Características

• El botón de inicio tiene un símbolo de Windows.




UNIX / LINUX SISTEMA OPERATIVO

Características

• El botón de inicio tiene una versi Unix / Linuxón

símbolo. Procedimientos de cierre


• Haga clic para los hombresú.

• A partir de los hombresú, Haga clic en Consolé.

■ El usuario root del sistema está ajustado a #firmar. Si no está presente, cambie al usuario root (el tipo su -). En ese momento se le pedirá la contraseña de root. Si la contraseña está disponible, entrar en él. Al #, tipo de s incronización, s incronización, parada , Y e l s i s tema se apagará . Si no tienen la contraseña de root, pulíel cable de alimentación de la pared.

■ Si el #señal se muestra cuando en la consolaé, El tipo identificación y pulse Intro. Si usted ve que su ID de usuario es root, el tipo s incronización, s incronización, parada , Y pulse Enter . Es to cerrará la sistema. Si su ID de usuario no es root, pulíel cable de la pared.

Sistema operativo Mac OSCaracterísticas

• Un símbolo de Apple en el co superior izquierdamer

Las pequeñas líneas horizontales en los hombres de la ventanaúbar

• Un solo botón en cada comer de la ventana

• Papelera ICón



• Registre el tiempo de los hombresúbar.


• Haga clic en Especial.

• Haga clic en Cerrar.

• La ventana que dice que es seguro para tumen el equipo.


Recomendaciones NIPC para las víctimasAdemás de proteger sus sistemas, el Centro de Protección de la Infraestructura Nacional le recomienda tomar en cuenta también las siguientes acciones para aumentar las posibilidades de aprehender al autor:

• Responda rápidamente. Póngase en contacto con funcionarios encargados de hacer cumplir la ley.

Para más información sobre los pros y los contras de hacer frente a la ley, véase el capítulo 2.

• Si no está seguro de lo que las acciones a tomar, no detener los procesos de los sistemas o manipular archivos. Esto puede destruir los rastros de un intrusión.

• Siga las políticas de organización y procedimientos. (Su organización debe tener una computadora capacidad de respuesta de incidentes / plan).

• Utilice el teléfono para comunicarse. El atacante (s) puede ser capaz de monitorear el correo electrónico tráfico.

• Póngase en contacto con el equipo de respuesta a incidentes para su organización. Experiencia técnica rápida es crucial para prevenir mayores daños y proteger las posibles pruebas.

• Considere la posibilidad de la activación de identificación de llamadas en las líneas de entrada. Esta información puede ayudar a en la que conduce a la identificación de la fuente / vía de intrusión.

• Establecer puntos de contacto con el abogado general, el personal de respuesta a emergencias, y los funcionarios encargados de hacer cumplir. Contactos preestablecidos le ayudará en un esfuerzo de respuesta rápida.

• Haga copias de los archivos de un intruso pudo haber alterado o dejado atrás. Si usted tiene la experiencia técnica para copiar archivos, esta acción ayudará a los investigadores a determinar cuándo y cómo la intrusión puede haber ocurrido.

• Identificar un punto de contacto principal para manejar las posibles pruebas.

• Establecer un procedimiento de cadena de custodia que realiza el seguimiento que ha estado involucrado en el manejo de la evidencia y en el que se ha almacenado. Potencial de hardware / software de prueba que es no se controla adecuadamente puede perder su valiosoé.

• No en contacto con el presunto autor.


25

Construcción de una Respuesta a Incidentes / Forense Kit de herramientasHay dos cuestiones importantes cuando se trata de la recopilación de pruebas digitales: autenticidad e integridad. ¡Tienes que ser capaz de marcos alemanesónstrate que la evidencia es lo que usted dice es, carncorreo desde la que dicen que carne de, y no se ha modificado desde que lo obtuvo. ¿Cómo recoger y documentar la evidencia de preservar su autenticidad y la fiabilidad depende de las circunstancias y los sistemas informáticos que estamos tratando. Un conjunto fiable de las herramientas es inestimable para los responsables de la respuesta a incidentes. Un conjunto de herramientas adecuadamente equipada permite a su propietario para recoger evidencia de manera eficientecia para su posterior análisis y debe contener al menos amínimum los siguientes elementos básicos:

• Una herramienta para informar de cualquier abierto los puertos TCP y UDP y asignarlos a la propiedad o el proceso de aplicación

• Una herramienta para capturar y analizar los registros para identificar y realizar un seguimiento que ha tenido acceso a una comordenador del sistema

• Una utilidad para hacer una copia de seguridad de flujo de bits de un disco duro

• Una herramienta para examinar los archivos en una unidad de disco para la actividad no autorizada

• Un programa utilizado para documentar la hora del sistema CMOS y la fecha en un computador incautado en evidencia

Una utilidad de violación de contraseñas

• Una utilidad de búsqueda de texto que puede seun DOS y Windows, y lóCate dirigido palabras clave y / o cadenas de texto relacionadas con la informática en las investigaciones y seguridad informática comentarios

• Un forense de datos binarios herramienta de búsqueda que se utiliza para identificar el contenido específico de archivo de gráficos y / o palabras en idioma extranjero y las frases almacenadas en forma de datos informáticos

• Una herramienta para descubrir los archivos ocultos, tales como NTFS Altéflujos de datos rnate

• Una herramienta de recopilación de datos para capturar archivos de holgura y sin asignar (archivo borrado) de datos

La lista anterior incluye las herramientas básicas de forenses y no pretende ser exhaustiva.

Si bien hay una serie de herramientas para plataformas Windows, son relativamente pocos existen para el Unix o Linux. El forense Toolkit (TCT), un paquete de software que es el estándar de facto para la recogida de pruebas forenses de las plataformas Unix y la gran cantidad de herramientas forenses disponible para la plataforma Windows, se tratan en detalle en el capítulo 7.


Resumen del capítuloEl Internet es la red de operación de computadoras más grande del mundo. Debido a que es en gran medida de una red pública, las amenazas pueden provenir de todos los rincones del mundo. Para protegerse contra la amenaza cons-tante de los hackers, crackers, y otros códigos maliciosos, las organizaciones suelen hacer uso de firewalls, software antivirus, y intrusión sistemas de detección. A pesar de sofisticadas medidas de defensa, sin embargo, las computadoras y las redes que los conectan siguen siendo objeto de frecuentes ataques. Como resultado de este lamentable hecho, las organizaciones y gobiernos de todo el mundo debe permanecer preparado para responder a una variedad de amenazas por parte de cualquier incidente de seguridad informática que evita las medidas de seguridad.

Puntos principales tratados en este capítulo se incluyen

• El fundamentoais y la importancia de la informática forense y respuesta a incidentes

• ¿Cómo reconocer los signos de un incidente de seguridad informática

• Cómo comprobar que un incidente de seguridad informática se ha producido

• Los pasos básicos a todas las organizaciones deben seguir en la preparación para

responder a los incidentes

• Cómo comprobar que un incidente de seguridad se ha producido al mismo tiempo la

preservación de evidencia clave

• Los tipos específicos de medidas de respuesta útil contra los ataques de

hoy en día La importancia de la construcción de un conjunto de

herramientas forenses

Capítulo 2

Abordar las consideraciones de Aplicación de la leyln este capítulo

• Una mirada a la Cuarta Enmienda de la Constitución de

los EE.UU. Una breve introducción sobre la Ley de

Libertad de Información

• Los pros y los contras de tratar con la policía

• Intercambio de información en cuestiones de la investigación de delitos informáticos

• El papel de la Infraestructura Nacional Centro de Protección (INCP)

• Comprender la divulgación y el descubrimiento

• Una breve descripción de los delitos informáticos federales y las leyes

EXISTE UNA PREOCUPACIÓN CRECIENTE que individuosais, organizaciones y gobiernos de todo el mundo son cada vez más en situación de riesgo cuando deciden hacer caso omiso de las amenazas planteadas por los hackers, intrusos y códigos maliciosos. La erupción de los brotes de código malicioso durante los últimos años se pueden observar demostraciones de cómo un individuo puede causar daños generalizados por infectar a cientos de miles de miles de ordenadores en cuestión de horas, y que él o ella puede lóCate se dirige incluso cuando las vulnerabilidades son bien conocidas, muy difundido, y podría fácilmente ser protegidos. Sea cual sea su motivación, las acciones de estos individuosais son a menudo imposible de distinguir de una otra. Desde una perspectiva de aplicación de la ley, la captura de criminais, terroristas y agentes de inteligencia nunca ha sido más difícil que en el entorno cibernético de hoy.

En el ajuste de hoy, los ataques e intrusiones son encriptados, dividida en paquetes, y se envía en todo el mundo, de forma anónima pasa a través de los proveedores de Internet y las telecomunicaciones que están bajo ninguna obligación de llevar un registro de sus sistemas, o, más importante aún, cómo puede ser mal. Las autoridades policiales deben actuar con cuidado al llevar a cabo investigaciones criminales informáticos para atrapar a los perpetradores, mientras que la preservación de los derechos de privacidad y los derechos civiles de los demás.

En este capítulo se centra en los aspectos jurídicos relativos a los delitos informáticos y los la aplicación de la ley el papel desempeña en la investigación de delitos informáticos.

27


Una mirada a la Cuarta EnmiendaLa Cuarta Enmienda de la Constitución de los EE.UU. declara que "El derecho del pueblo a la seguridad de sus personas, domicilios, papeles y efectos contra registros e incautaciones irrazonables, no será inviolable, y no se expedirán al efecto mandamientos, sino por motivo fundado , estén corroborados mediante juramento o protesta y describan con particularidad el lugar que deba ser registrado y las personas o cosas a ser incautadas. "En el año 1900, la filosofía de la Corte Suprema en relación con la Cuarta Enmienda se orientó principalmente hacia la protección de la propiedad. El deseo de la Corte para proteger la propiedad era evidente en su Decisi 1928ón en Olmstead contra los Estados Unidos [277 EE.UU. 438 (1928)].

En Olmstead, la Corte Suprema sostuvo que el uso de una intervención telefónica para interceptar un príconversación telefónica privado no era una "búsqueda" para los propósitos de la Cuarta Enmienda. Uno de los motivos por los que la Corte justificó su resultado fue que no había habido intrusi físicaón en el domicilio de la persona. Bajo Olmstead'S, visión estrecha de la cuarta enmienda, la enmienda no era capaz de apli-en ausencia de física intrusión. Por lo tanto, sin culpa o la incautación de cualquier objeto material, la vigilancia se considera fuera del alcance de la Cuarta Enmienda a la interpretación del Olmstead caso.

En el histórico fallo de la Corte Suprema de 1967 Katz v EE.UU., Sin embargo, se consideró que la búsqueda es constitucional si no viófinales de una persona "razonable" o "de fiarícompañero de "expectativa de pri-vacidad. Charles Katz fue detenido por ¡Yojuego legal después de que usó un teléfono público para transmitir "información de juego." El FBI se había unido un dispositivo de registro electrónico en el exterior de la cabina de teléfono público que habitualmente utiliza Katz. Ellos argumentaron que se trataba de una acción legal, ya que en realidad nunca entró en la cabina telefónica. El Tribunal, sin embargo, falló a favor de Katz, que indica la Cuarta Enmienda permitido para la protección de una persona y no sólo puntal de una personacontra la pobreza ¡Yobúsquedas legales. Todo lo que un ciudadano "tiene por objeto preservar la mayor príVate, incluso en un área accesible al público, puede ser protegido por la Constitución. "

En la conclusión el caso de Katz, la Corte sostuvo que la penetración física de una constituciónaliado de protección área no es necesario antes de un registro e incautación se puede considerar que viófinales de la Cuarta Enmienda. De acuerdo con la Corte en Katz, "Una vez que se reconoce que la Cuarta Enmienda protege a las personas-y no simplemente 'áreas "- contra registros e incautaciones irrazonables se pone de manifiesto que el alcance de que la enmienda no puede dar vuelta a la presencia o ausencia de un examen físico intrusión en cualquier recinto dado. "Por lo tanto, aunque las actividades del gobierno en Katz no implicaba física intrusión, que se encuentren en violación de la privacidad en la que el peticionario justifica-fiably confiado y constituye por lo tanto "búsqueda y captura" en el sentido de la Cuarta Enmienda.

Cambio de la tecnología precipitó el cambio de la protección de la propiedad a la protección de la privacidad, y en 1968, justo un año después Katz, El Congreso aprobó el Título III del ÓLucha contra el Crimen y la Ley mnibus seguridad en las calles, la vigilancia del micrófono de autorización o de las escuchas telefónicas con fines policiales, y que requiere una orden judicial, basada en causa probable, antes de la vigilancia comolanza o las escuchas telefónicas.

La cuestión de la Cuarta Enmienda más básico, lo que se refiere a los casos federales de computación, se pregunta si una persona goza de una expectativa razonable de privacidad en la

información electrónica almacenada en los ordenadores (u otros dispositivos de almacenamiento electrónico) bajo control del individuo. Por ejemplo, ¿individuosais tienen una expectativa razonable de privacidad en el contenido de sus computadoras portátiles, discos flexibles, o buscapersonas? Si la respuesta es "sí", entonces el gobierno generalmente debe obtener un justificar antes de que se tiene acceso a la información almacenada en él.

Capítulo 2: Aplicación de la Ley relativas a consideraciones de

29

El 24 de julio de 2000, Kevin V. DiGregory, Fiscal General Adjunto para el Departamento de Justicia de EE.UU., hizo la siguiente declaración ante el Subcomité sobre la Constitución en relación con la Cuarta Enmienda y su aplicación en la era de la información:

No cabe duda de que la Cuarta Enmienda protege los derechos de los estadounidenses, mientras que trabajar y jugar en Internet tal como lo hace en el mundo físico. El objetivo es larga y noble de larga tradición: preservar nuestra privacidad mientras se protege la seguridad de nuestros ciudadanos. Nuestros padres fundadores reconocieron que para que nuestra sociedad democrática para que sea segura y nuestra libertad intacta, la policía debe tener la capacidad de invertirípuerta, detener y procesar a las personas por hechos delictivos. Al mismo tiempo, sin embargo, nuestros padres fundadores, celebrada en el desprecio desprecio del gobierno y el abuso de la intimidad en Inglaterra. Los fundadores de esta nación adoptó la Cuarta Enmienda para hacer frente a la tensionón que a veces puede surgir entre la privacidad y la seguridad pública. En virtud de la Cuarta Enmienda, el gobierno debe demónstrate causa probable antes de obtener una orden de búsqueda, detención, o intrusi parejaón sobre la privacidad.

Congreso y los tribunales han reconocido que la reducción de las intrusiones a la privacidad debe ser permitida bajo un umbral menos exigente. La Electronic Communications Privacy Act (ECPA), establece un sistema de tres niveles por los cuales el gobierno puede obtener la información almacenada de los proveedores de servicios electrónicos de comunicación de cationes. En general, el gobierno necesita una orden de registro para obtener el contenido de las comunicaciones no se recuperan, (como el correo electrónico), una orden judicial para obtener los registros de transacciones, y una citación judicial para obtener la información de identificación del suscriptor. Véase 18 USC § § 2701-11.

Además, a fin de obtener información del origen y destino en tiempo real, el gobierno debe obtener una "trampa y rastro" o "pen register" orden judicial que autorice el registro de dicha información. Véase 18 USC 3121, et seq.

Debido a la Val privacidadúes lo protege, la ley escuchas telefónicas, 18 USC § § 2510-22, conocido comúnmente como el título III, pone una mayor carga sobre la interceptación en tiempo real de alambre por vía oral, y las comunicaciones electrónicas de la Cuarta Enmienda requiere. En ausencia de una excepción legal, el gobierno necesita una orden judicial a las comunicaciones de escuchas telefónicas. Para obtener dicha orden, el gobierno debe demostrar que las técnicas de investigación habituales para la obtención de la información que tiene o es probable que fracasen o que son demasiado peligrosos, y que cualquier intervención se llevará a cabo a fin de garantizar que el intrusión es minimizada.

Las garantías para la privacidad representados por la Cuarta Enmienda y las restricciones legales sobre el acceso del gobierno a la información no impiden la aplicación efectiva de la ley. En su lugar, proporcionan límites de aplicación de la ley, aclarando lo que es recolección de evidencia aceptable y qué no lo es. Al mismo tiempo, aquellos que se preocupan profundamente por la protección de la privacidad individual también debemos reconocer que la policía tiene un papel crítico que desempeñar en la preservación de la privacidad. Cuando la policía investiga, aprehende con éxito, y persigue a un criminal que ha robado información personal de un ciudadano de un sistema informático, por ejemplo, aplicación de la ley es sin lugar a dudas trabajar para proteger la privacidad e impedir nuevas violaciónes de privacidad. Lo mismo ocurre cuando la policía detiene a un hacker que se comprometieron los registros financieros de un cliente del banco.

A medida que avanzamos en el siglo 21, debemos asegurarnos de que las necesidades de privacidad

y seguridad pública permanecen en el equilibrio y se reflejen adecuadamente en las nuevas y emergentes tecnologías que están cambiando la cara de las comunicaciones. Aunque la misión principal del Departamento de Justicia es hacer cumplir la ley, el Fiscal General Reno y todo el Departamento entender y compartir el legítimoípreocupaciones compañero de todos los estadounidenses con respecto a la intimidad personal. El Departamento ha sido y seguirá siendo el compromiso de proteger los derechos de privacidad de los individuosais. Esperamos con interés trabajar con el Congreso y otros interesados individuosais para hacer frente a estos asuntos importantes en los próximos meses.


Según el Departamento de Justicia de EE.UU., para determinar si una persona tiene una expectativa razonable de privacidad poder de la información almacenada en una computadora, ayuda para el tratamiento de la computadora como un recipiente cerrado, como una cartera o un gabinete de archivo. La Cuarta Enmienda prohíbe la aplicación de la ley general de acceso y visualización de información almacenada en una computadora sin una orden judicial si la ley se prohíbe la apertura de un recipiente cerrado y el examen de su contenidos en la misma situación (en las mismas circunstancias).

Mientras que una "expectativa razonable de privacidad" se aplica a las investigaciones policiales,

que no ofrece ninguna protección a los individuosáyos de las búsquedas por parte de sus

empleadores, padres y cónyuges.

Un breve panorama sobre la libertad de la Ley de InformaciónLa libertad de EE.UU. de Información (FOIA) es una ley que garantice el acceso público a los registros del gobierno de Estados Unidos. Bajo la Ley de Libertad de Información de todas las agencias federales están obligadas a divulgar los registros solicitados por escrito por cualquier persona. Sin embargo, las agencias pueden retener información PUR-suant a nueve exenciones previstas en el Estatuto.

La FOIA se aplica sólo a las agencias federales y no crése comió un derecho de acceso a los registros en poder del Congreso, los tribunales, o por agencias del gobierno estatal o local. Cada estado tiene sus propias leyes de acceso público que debe ser consultada antes de acceder a los registros estatales y locales. Si bien la FOIA ha abierto la puerta al intercambio de información entre el gobierno y el RPítor privado, también se ha convertido en uno de los mayores obstáculos para conseguir el prítor privado a revelar el delito cibernético información a organismos gubernamentales como el FBI.

En su 03 2000 testimonio ante el Subcomité Senatorial de Tecnologías de la Información, Terrorismo y de Gobierno, Harris N. Miller, presidente de la Asociación de Tecnología de la Información AméRica, declaró: "Las empresas se preocupan de que si el intercambio de información con el gobierno realmente se convierte en una calle de dos vías, solicitudes de la FOIA para obtener información que han proporcionado a la agencia podría resultar embarazoso y probablemente costosa. Muchos en la industria creen que la libertad de con-FOIA preocupaciones es el obstáculo más formidable, y que una exención para este tipo de intercambio de información es la única opción. "

Reporte violaciones a la seguridad de Aplicación de la LeyLa reticencia de las víctimas de intrusiones en la red para informar a las autoridades de tales intrusiones es una amenaza considerable para el futuro de la seguridad de la red. Al encontrar a un hacker en su sistema, por ejemplo, los administradores de red a veces lo consideran suficiente para ciósí al intruso de la cuenta y el parche de la vulnerabilidad que originalmente permitía el hacker para poder entrar. Esto es similar a patadas

Capítulo 2: Aplicación de la Ley relativas a consideraciones de 31

el hacker, luego de cerrar la puerta. Desafortunadamente, esto hace muy poco para ayudar con la seguridad en general. No sólo es el intruso libres para intentar la hazaña en la misma red de otra compañía, él o ella puede haber sido SAwy suficiente para dejar atrás un puerta trasera a través del cual Retumpara el sistema de explotación más tarde, sin ser detectado. Además, otras con malas intenciones puede leamde la explotación a través de la comunidad hacker y debido a la falta de respuesta de aplicación de la ley, participar en poner en peligro los sistemas informáticos.

Creer que un hacker está motivada únicamente por el deseo de demostrar sus destrezas de computación, sin ninguna intención real de dañar, robar o estafar es ingenuo. Lo que puede parecer un truco simple, con un riesgo real de daño puede, de hecho, ser parte de un plan más amplio para lanzar un ataque muy destructivo en contra de otros equipos sensibles. Los intrusos pueden poner en peligro numerosos sistemas, proceder a su recogida, como las tarjetas comerciales. Algunos piratas informáticos utilizan las computadoras "robado" como trampolín para lanzar ataques contra otros ordenadores, el cierre de la próxima víctima, tomando la información del sistema, y utilizar los datos robados en los esquemas de extorsión, o para participar en un sinnúmero de otros tipos de ¡Yoconducta legal. Con cada compromiso, la seguridad de todas las redes se ha debilitado. Si las víctimas no denuncian este tipo de incidentes, la policía no puede dar una respuesta eficaz y adecuada.

Los expertos del sector afirman que hay una gran variedad de motivos de la renuencia a informar comlos incidentes de seguridad informáticos. Existe la percepción por parte de algunas empresas que hay muy poco al revés de informar intrusiones en la red. Según Richard P. Salgado, Abogado Litigante de la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de EE.UU., la justificación por no informar de un intrusión incluye lo siguiente:

• "La empresa víctima no sabe qué entidad del orden público a la calyo. Sin duda, las razones por las víctimas, el p local o estatalóLos piojos no será capaz de comprender el delito, y el Servicio Secreto y el FBI no tendría ningún interés en mi sistema.

• Si la compañía de la víctima no denunciar el intrusión de un organismo competente, la ley de hacer cumplir lasción no se va a actuar. En su lugar, el hecho de la intrusión, será de conocimiento público, irremediablemente sacudiendo la confianza del inversor y el impulso de los clientes actuales y potenciales a los competidores que eligen no informar de las intrusiones.

• Si la policía actúa sobre el informe y conductoresís de una investigación, la policía no se encuentra el intruso. En el proceso, sin embargo, la empresa perderá el control de la investigación. Los agentes policiales que aprovechen los datos críticos y las computadoras tal vez todo, dañar el equipo y los archivos, el compromiso príVate información perteneciente a los clientes y proveedores, y ponen en grave peligro las operaciones normales de la empresa. Sólo los competidores se beneficiarán los clientes de huir y valiosa de valoresécae.

• Si la policía encuentra el intruso, el intruso probablemente sea un menor de edad, residir en un país extranjero, o ambos, y el fiscal se reducirá o ser incapaz de seguir el caso.

• Si el intruso no es un menor, el fiscal concluye que la cuantía de los daños infligida por el intruso es demasiado pequeño para justificar el enjuiciamiento.

Si la policía persigue con éxito el intruso, el intruso recibirá Proba-ción o en la cárcel más tiempo insignificante, sólo para utilizar su experiencia para encontrar hackers la fama y un trabajo lucrativo en la seguridad de red. "


Salgado afirma además que, aunque la lista anterior de las excusas puede parecer sorprendente, los obstáculos a los informes pueden ser máseome mejor informados los propietarios de ordenadores de red y operadores, y hábiles prácticas de investigación y enjuiciamiento. El riesgo que presenta, al no reportar las intrusiones es enorme. En el futuro previsible, las redes informáticas son sólo va a ser más complejo, más interconectado, y por lo tanto más vulnerables a intrusiones. Las redes también se va a exigir más importancia en nuestra príVate la vida, la defensa de nuestra nación y la economía mundial. Por estas razones, es imperativo que las organizaciones y de individuosais entender la importancia la presentación de informes intrusiones.

Una de las ventajas más notables de la cooperación entre los príorganizaciones privadas del sector y los organismos de aplicación de la ley es la distribución más rápida de información sobre las amenazas y las formas de contrarrestarlos. Por el contrario, las organizaciones de la prítor privado a veces encuentran que las llamadas en la aplicación de la ley para invertirípuerta de un delito informático puede dar lugar a lo siguiente:

• La pérdida de la privacidad de su información personal

• La pérdida de confianza de los consumidores

• Los ataques de represalia por parte del intruso

• Una paralización de la empresa como los agentes de la ley confiscar y revisar las pruebas

Aunque ha habido intentos de aliviar los temores antes mencionados y promover iniciativas de cooperación entre la policía y el RPítor privado, las víctimas de equipo intrusión siguen siendo reticentes a calyoen la aplicación de la ley cuando un intrusión tiene OCeurred. En su discurso de apertura del 05 de abril 2000 Cumbre de la ciberdelincuencia, el Fiscal General, Janet Reno, abordó estas cuestiones. Siguiente es un extracto de su discurso:

Aplicación de la ley, como la industria, tiene sus deberes, sus herramientas y sus limitaciones. Como fiscal de casi el 15 años en Miami, te puedo decir que sé cómo intrusiva de una investigación penal puede ser. He oído hablar de los banqueros mucho antes de que hablaba en términos de herramientas cibernéticas acerca de por qué no informó de un desfalco-ción, ¿por qué no querían que aguantar a una investigación criminal. Quiero sus opiniones, sus sugerencias-ciones acerca de lo que podemos hacer en cumplimiento de la ley para diseñar investigaciones que permitan alcanzar la verdad, que puedan hacerlo de acuerdo a los principyoes de la Constitución y hacerlo con el menor trastorno posible a sus empresas. Le pedimos a la industria a reconocer que la policía tiene mucho que ofrecer para hacer de Internet un lugar seguro para sus negocios y clientes. Pero también reconozco que es difícil para el gobierno para atraer un número suficiente de personas que tienen tanto en la técnica y el asesoramiento jurídico para hacer frente a las cuestiones crítico-cos los que nos enfrentamos. Me he sentido tan orgulloso de los funcionarios del Departamento de Justicia que han hecho tanto con recursos limitados, el equipo limitado. Y queremos trabajar con usted para entender mejor cómo podemos atraer a la gente, ¿qué podemos hacer para retenerlos, cómo podemos trabajar con usted en asociaciones público-privadas para alcanzar nuevas metas. Sélos funcionarios de mayor jerarquía de la sección del Departamento de Delitos Informáticos se reúnen periódicamente con los representantes de los proveedores de servicios de Internet, empresas de telecomunicaciones, y otros a través de grupo de información de la industria. El FBI Nacional del Centro de Protección de la Infraestructura y sus

escuadrones de delitos informáticos han trabajado para desarrollar el Programa de Infragard en las comunidades de todo el país, para construir relaciones. Y creo que las relaciones es lo que se trata. Hasta que el agente del FBI se sienta con su oficial de seguridad o de ofertas de uno en uno en términos de una investigación, las personas no se conocen entre sí. Pero cuando tienen esa experiencia, cuando se tiene una buena relación de trabajo, cuando se puede construir sobre una buena experiencia, se aprende mucho acerca de cómo podemos trabajar juntos. Me gustaría utilizar


33

esta oportunidad para asegurarse de que lo hacemos de la manera más eficaz posible. También hemos iniciado reuniones periódicas con la aplicación de la ley y el Consejo de Seguridad de la Alianza de Internet, un grupo industrial que incluye muchos de los más grandes proveedores de Internet. Industria y aplicación de la ley han hecho esfuerzos sinceros para cooperar y han logrado avances reales. La conferencia de hoy es otro paso en la dirección correcta. No estamos interesados en un enfoque de arriba hacia abajo. No sabemos mejor. Sabemos que la gente en el campo, el estado y la policía local, la industria puede decirnos lo que hay que hacer. Y podemos ofrecer un punto de vista que puede ser útil, también. No queremos que la regulación del gobierno invasor o un control de la Internet. Debemos reconocer que con la superposición de áreas de responsabilidad y control que se puede hacer mucho si definimos la función particular de cada uno. El prítor privado en ese sentido deberían tomar la iniciativa, creo que, en la protección de la seguridad de los sistemas informáticos del sector privado. Debemos tomar la iniciativa en los sistemas de gobierno a favor de TECCIÓN. Y tenemos que compartir información acerca de las vulnerabilidades de manera que cada uno puede tomar medidas para proteger nuestros sistemas contra los ataques. Una vez que los sistemas han sido víctimas, las autoridades deben tomar la delantera en la investigación de la red y otros delitos informáticos. Tenemos que asegurarnos de que tenemos las herramientas técnicas y legales necesarias para hacerlo. También queremos asegurar que tenemos la informacióninformación y la cooperación continua necesaria para invertir de manera eficazícompuerta estos casos. Siempre teniendo en cuenta que la víctima está preocupado por la confidencialidad, que la víctima está preocupado por la intrusión del proceso de aplicación de la ley en su negocio, tenemos que diseñar un enfoque que puede ser eficaz. Estos son los temas que nos enfrentamos conjuntamente. Esta es una oportunidad para hablar directamente, pero aún así tenemos otro desafío. ¿Qué sucede cuando se aprende la información sobre un tema en particular que si se vincula con otras diez personas o diez información de las empresas de otros indica una amenaza real para la seguridad nacional o una amenaza real a la Internet o de una amenaza real para la empresa? ¿Cómo podemos desarrollar la confianza que nos permita compartir la información? Si compartimos la información, ¿cómo podemos desarrollar un proceso que nos va a proporcionar un procedimiento para una alerta temprana a todos los interesados para evitar un mayor perjuicio a todos los interesados sin necesidad de interrumpir o interferir en sus procesos de negocio?

En su discurso, Reno sostuvo que con el fin de equilibrar los derechos constitucionales como la privacidad y la libertad de expresión con la seguridad y la seguridad, ACióla relación en sí debe ser forjado entre la policía y príVate industria. Como hemos visto sin embargo, las organizaciones suelen ser reacios a calyoen la aplicación de la ley por temor a la pérdida de datos confidenciales o la publicidad negativa. Sin embargo, es sólo cuando el delito cibernético es traído a la atención de aplicación de la ley por las empresas y otros víctimas que las medidas efectivas se pueden tomar para combatirlo.

Problemas de intercambio de información en investigaciones

de delitos informáticosIndividuosais y organizaciones de la prídel sector privado suelen ser las primeras víctimas de códigos maliciosos y hackers. Si bien este es un hecho lamentable, las agencias de aplicación de la ley siempre se benefician cuando el príVate acciones del sector de sus conocimientos y experiencia con ellos. En las agencias informativas del gobierno, tales como la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de EE.UU. (www.cybercrime.gov)y el Centro de Protección de Infraestructura Nacional (www.nipc.gov)recolectada de forma rutinaria la inteligencia de la industria en un esfuerzo para ayudar a resolver los casos de delitos informáticos y la prevenir las futuras.

http://www.nipc.gov/

http://www.cybercrime.gov/


Como se mencionó anteriormente en este capítulo, las organizaciones a menudo se concemed que la información compartida con el gobiemción podría hacerse público. En su testimonio de marzo de 2000, Harris Miller Asimismo, opinó lo siguiente:

Las empresas son reticentes a compartir información sensible acerca de las prácticas de prevención propio, intrusiones, y los crímenes reales, ya sea con Govemagencias de desarrollo o de los competidores. El intercambio de información es una propuesta arriesgada con menos de beneficios claros. Ninguna empresa quiere salir a la superficie la información que le han dado la confianza de que pueden poner en peligro su posición en el mercado, las estrategias, la base de clientes, o las inversiones de capital. Ño que corren el riesgo voluntariamente se abre a un litigio ficticio, pero costoso y consume mucho tiempo. Liberar la información sobre las violaciones de seguridad o vulnerabilidades de los lazos en sus sistemas sólo presenta tales riesgos. La publicidad negativa o la exposición como resultado de los informes de violaciónes de infraestructura de información puede llevar a las amenazas a los inversores - o peor - la confianza del consumidor en los productos de la empresa. Asimismo, las empresas temen revelar secretos comerciales a los competidores, y son comprensiblemente reacios a compartir información de propiedad. También temen compartir esta información, en particular con Govemambiente, puede conducir a una mayor regulación de la industria o del comercio electrónico en general.

Estas concems son relevantes si estamos hablando de entre la industria, la cruz de la industria, o de la industria / Govemción de intercambio de información. Combine esto con una históricaelas empresas la falta de confianza hacia la aplicación de la ley, o la preocupación de que los sistemas de la empresa puede llegar a ser atrapado en una investigación y por lo tanto pierden la producción / tiempo de desarrollo, y muchos les resulta más fácil guardar silencio y absorber el dolor infligido por intrusiones, incluso a un costo sustancial. También sería negligente si no recuerdan el comité de la necesidad de una compañía para proteger la privacidad de los clientes individuales. Los temores de la industria que las violaciones de privacidad de los clientes inocentes inadvertidamente oceur durante las investigaciones.

Pocas empresas de alta tecnología está interesado en ser percibida por sus clientes como los agentes activos de la aplicación de la ley. Agencias, por su parte, se ve a menudo como exige este tipo de información de la prítor privado, pero devolviendo poco a cambio. Permítanme ser franco. El intercambio de información no puede ser una calle de sentido único.

Bajo la Ley de Libertad de Información, la información tal como la magnitud de los daños causados por una infección de virus o hackers incidente así podría llegar a ser pública, dañando la reputación de una organización, y ayudar a la competencia como un efecto secundario. Al compartir los detalles de un ataque con la policía agenciasCIES, las organizaciones pueden aumentar sus probabilidades de detectar y reducir las amenazas de los ciber-criminales actividad.

El actual sistema legal de EE.UU. hace que sea complicado y difícil de compartir información sobre intrusión de los casos antes de que los arrestos se puede hacer. Para hacer frente a conce privacidadms, la información es que se debe preservar, clasificar y protegido, y todo lo que sea posible se debe hacer para asegurarse de que la información llegue sólo a las

manos adecuadas. Los datos confidenciales (por ejemplo, registros financieros personales y médicos) son rutinariamente transferidos a través de una serie de sistemas de información. Hay muchas maneras para salvaguardar esta información y garantizar que sólo aquellos que necesitan saber que acceder a él y, a continuación sólo en cantidades limitadas.


35

El papel del Centro de Protección de la Infraestructura NacionalEl Centro Nacional de Protección de la Infraestructura (NIPC) se estableció en la primera parte de 1998, con el propósito de servir como centro del gobierno de EE.UU. para la evaluación de la amenaza, advertencia, inves tigación-, y respuesta a amenazas o ataques contra nuestras infraestructuras críticas de información. Estas infraestructuras incluyen la banca, telecomunicaciones, energía, sistemas de agua, el gobierno de la ópera ciones, y los servicios de emergencia. Lo que sigue es una lista de las funciones del NIPC como se describe en su Sitio web (www.nipc.gov):

• La NIPC es el punto focal nacional para la recopilación de información sobre las amenazas a las infraestructuras críticas, así como el medio principal de facilitar y coordinar la respuesta del gobierno federal a un incidente, mitigar los ataques, la investigación de las amenazas, y seguimiento de los esfuerzos de reconstitución.

• La NIPC incluye investigadores y analistas con experiencia en delitos informáticos y la protección de la infraestructura. Está vinculado electrónicamente al resto del gobierno federalción, incluida la alerta y otros centros de operación, así como prítor privado Intercambio de información y análisis de los Centros (ISAC).

• La NIPC proporciona la aplicación de la ley y la información de inteligencia y los informes pertinentes a los federales, estatales y locales, así como prídel sector privado-ISAC. Antes de la difusión de dicha información, el NIPC se coordina con la comunidad de inteligencia para proteger a intereses de seguridad nacional.

• Cuando se detecta una condición de amenaza cada vez mayor, los problemas NIPC atacar a las advertencias y orientaciones de protección a la prídel sector privado-ISAC y los propietarios y operadores de equipo sistemas.

La NIPC combina los esfuerzos de la aplicación de la ley, la inteligencia y las comuni-dades de defensa. Por la combinación de esfuerzos, el INCP puede proporcionar una perspectiva única respuesta a la amenaza y la información obtenida de la investigación de incidentes, la recopilación de inteligencia, Enlace con el Exterior, y príVate cooperación con el sector. Esta perspectiva se asegura de que toda la información se analiza desde una punto de vista multidisciplinar.

Durante el desarrollo de las capacidades de protección de la infraestructura, el NIPC ha mantenido firme en dos principios rectores. "En primer lugar, el gobierno sólo puede responder con eficacia a las amenazas, centrándose en la protección de activos contra el ataque al mismo tiempo identificar, investigar y responder a aquellos que, no obstante se intenta o tener éxito en el


lanzamiento de esos ataques. Y en segundo lugar, el gobierno sólo puede ayudar a proteger las infraestructuras más importantes de este país mediante la construcción y la promoción de una coalición de confianza, una. . . entre todos los organismos del gobierno, dos. . . entre el gobierno y la prítor privado, tres. . . entre los intereses de negocio de la prítor privado en sí, y cuatro. . . en concierto con la mayor comunidad internacional. "El enfoque de la NIPC es desarrollar la capacidad de advertir, invertirípuerta, y crear asociaciones, así como iniciar la efectiva respuestas a incidentes de seguridad informática.


Entendimiento Revelación y DescubrimientoLas computadoras y la gran variedad de redes que los conectan se han convertido en indispensable para el buen funcionamiento de las empresas, gobierno, e incluso en nuestra propia vida. Cada vez más, la revelación y el descubrimiento implica datos que se generan por las computadoras, almacenada en las computadoras, o sólo puede ser descifrado por los ordenadores. La divulgación y el descubrimiento de dos procedimientos jurídicos distintos. El proceso de descubrimiento se produce durante el período en que un caso judicial pendiente. Tanto el demandante y el demandado partes determinar cuáles son los temas de su caso y qué evidencia existe de que se relaciona con el caso. Las normas de revelación previstas exigen que cada parte afirmativamente a revelar todos los hechos y testigos de los que tengan conocimiento, ya sea beneficioso o perjudicial para su caso-a la oposición partido.

Divulgación electrónica es la revisión y producción de material probatorio recuperado de formatos electrónicos. Esto puede incluir mensajes de correo electrónico, documentos de procesamiento de textos, hojas de cálculo, bases de datos y presentaciones. Estos datos pueden ser almacenados o que se encuentran en medios portátiles (por ejemplo, disquetes, discos compactos y cintas), discos duros, los datos residuales (por ejemplo, los datos eliminados), organizadores personales (tales como Palm Pilots), teléfonos móviles, y personal de los empleados computadoras.

Papel ya no es la única fuente de pruebas documentales o de texto. De hecho, muchos de los documentos que se crean hoy en día existen sólo en formato electrónico (digital). Esto ha hecho que la divulgación de papel casi arcaico. Sin embargo, la revelación y el descubrimiento de evidencia informática en los procesos civiles presenta algunos problemas específicos que evidencian el papel no lo haría. Entre los más comunes dificultades son

• La localización y el volumen de datos

• La preservación de la titular de los datos para el descubrimiento

• Recuperación de documentos que han sido eliminados de los ordenadores

• Recuperar incrustados mensajes de correo electrónico

• La realización de una inspección in situ

• La necesidad de contratar la asistencia de expertos

En este mundo cada vez mayor de la dependencia digital, muchos mensajes de correo electrónico y documentos de procesadores de textos nunca son totalmente eliminados. Por el contrario, continuaéa residir en algún lugar en el disco duro del usuario. Al pulsar Supr del teclado del ordenador, no son en realidad destruir el documento. Ño estás tirando el documento cuando lo coloca en la papelera de reciclaje de su computadora o de vaciar la Papelera (sistemas Windows y Mac). En su lugar, simplemente ha suprimido las "Instrucciones" que el equipo usa

para encontrar los datos. Los datos reales se mantiene hasta que llegan nuevos datos a lo largo y sobrescribe.

Capítulo 6 cubre el análisis y recuperación de datos en detalle.


Los sistemas operativos, dispositivos de almacenamiento de datos, y nuestra capacidad para acceder a distancia continua de datosépara evolucionar, lo que obligó procedimientos electrónicos de divulgación para evolucionar también. La idea de abordar estas cuestiones y hacerlo correctamente puede convertirse rápidamente en enormes proporciones. Es importante darse cuenta sin embargo, que ayuda profesional calificado está disponible para ayudar en el proceso de divulgación electrónica. Para comprender mejor la ley de divulgación actual, a continuación se presenta el Título 18, Parte I, Capítulo 121, Sección. 2702 del Código Penal Federal en lo que respecta a la divulgación de información de la computadora:

La divulgación de contenidos(A)Prohibiciones. Salvo lo dispuesto en el inciso (b)

1. una persona o entidad que presta un servicio de comunicaciones electrónicas al público a sabiendas no divulgará a ninguna persona o entidad el contenido de una comunicación, mientras que en almacenamiento electrónico por dicho servicio, y

2. una persona o entidad que presta servicio de computación remoto al público a sabiendas no divulgará a ninguna persona o entidad el contenido de cualquier comunicación que se realiza o mantenido en ese servicio -

A. en nombre de, y recibida por los medios de transmisión electrónica de (o creados pormediante el tratamiento informático de las comunicaciones recibidas por medio de la electrónicatransmisión de), un suscriptor o un cliente de dicho servicio, y

B. el único fin de proporcionar servicios de almacenamiento o procesamiento de la computadora, a talabonado o cliente, si el proveedor no está autorizado a acceder a los contenidos de loseste tipo de comunicaciones con fines de prestación de algún servicio que no sean de almacenamiento otratamiento informático, y

3. un proveedor de servicio de computación remoto o servicio de comunicación electrónica a lapúblico no podrán divulgar a sabiendas un expediente u otra información relativa a un subconjuntoprescriptor o cliente de este servicio (no incluye el contenido de las comunicacionesrefiere el apartado 1 o 2) a cualquier entidad gubernamental.

(B)Excepciones. Una persona o entidad podrá divulgar el contenido de una comunicación

1. a un destinatario destinatario o destino de la comunicación o de un agente de tal destinatario o destinatario;

1. lo autorizado en la sección 2517, 2511 (2) (a), o 2703 de este título;

2. con la autorización legal del originador o un receptor destinatario o destino de la

comunicación, o al abonado en el caso de servicio de computación remoto;

3. a un trabajador por cuenta ajena o autorizado, o cuyas instalaciones se utilizan para reenviar tales comunicación a su destino;

4. como puede ser necesariamente de la entrega del servicio o para la protección del derechos o la propiedad del proveedor de dicho servicio, o

2. a una agencia de aplicación de la ley -


A. si el contenido (i) se obtuvieron de manera involuntaria por el proveedor de servicios, y parece (II)pertenecer a la Comisión Öíun delito, o

B. si lo requiere la sección 227 de la Ley de Control de la Delincuencia de 1990 [42 USCA S 13032]; o

C. si el proveedor cree razonablemente que una emergencia que involucre un peligro inmediato dela muerte o lesiones corporales graves a cualquier persona que requiere la revelación de la informaciónsin demora.

(C) Excepciones para la divulgación de los registros de clientes. Un proveedor se describe en el inciso (a) podrá divulgar un registro u otra información relativa a un suscriptor o un cliente de dicho servicio, sin incluir el contenido de comunicaciones cubiertos por el inciso (a) (l) O (a) (2)

1. lo autorizado en la sección 2703;

2. con la autorización legal del cliente o suscriptor;

1. como puede ser necesariamente de la entrega del servicio o para la protección del derechos o la propiedad del proveedor de ese servicio;

2. a una entidad gubernamental, si el proveedor cree razonablemente que una emergencia que involucre un peligro inmediato de muerte o serio daño físico a cualquier persona que justifique la divulgación de la información, o

3. a cualquier persona que no sea una entidad gubernamental.

Debido a la aplicación universal generalizada de ordenadores, basado en el descubrimiento y la revelaciónque se ha convertido en lugar común en los litigios civiles. Mientras lo hace de muchas maneras prometen simplificar la preparación del juicio y la presentación, es complicado, y como tal, también tiene el potencial para aumentar dramáticamente los costos relacionados con este tipo de litigios. Por ordenador basada en el descubrimiento y la revelación puede ser costoso, como resultado de la mano de obra que debe ser aportado por los expertos contratados en el campo. La mayoría de los observadores creen que, a pesar de sus costos, por ordenador basada en el descubrimiento con el tiempo superará el descubrimiento convencional, como más y más información está habitualmente genera, transmite, Ted, y se almacena en las computadoras. Muchos de los costos asociados con la informática basada en el descubrimiento se puede evitar mediante una adecuada gestión del proceso de descubrimiento, así como la detección precoz de posibles problemas y sus soluciones.

Delitos Federales de informática y leyesEl FBI estima que la gran mayoría de las intrusiones informáticas no se detectan y los que se detectan no se notifican. La razón principal para que los ataques pocos son denunciados por las organizaciones es el temor de que los empleados, clientes y accionistas perderán la fe en la

organización si admiten que sus sistemas han sido atacados. No todo el equipo los robos pueden ser considerados delitos federales. En general, un delito informático rompe las leyes federales cuando se trata de uno de los siguientes:

El robo o el compromiso de la defensa nacional, relaciones exteriores, energía atómica, o de otro tipo información restringida

• Un equipo de propiedad de un gobierno de los EE.UU. departamento o agencia


• A tipos de bancos u otras instituciones financieras de la mayoría

• Interestatal o internacional de comunicaciones

• Las personas o equipos de otros estados o países

En los Estados Unidos, hay numerosas leyes federales que protegen contra los ataques a las computadoras, el uso indebido de contraseñas, las invasiones de la privacidad electrónica, y las transgresiones de otros ciber. Una de las eta-est proyectos de ley orientados hacia el mundo cibernético fue la Ley de Fraude y Abuso de 1986. Esta pieza central de la legislación regula los delitos informáticos más comunes, aunque muchas otras leyes también pueden ser utilizadas para procesar diferentes tipos de delitos informáticos. El acto modificó el Título 18 del Código de los Estados Unidos § 1030. Esta ley fue diseñada para complementar la Electronic Communications Privacy Act de 1986, que sirvió para prohibir la interceptación no autorizada de las comunicaciones digitales. Las Enmiendas de abuso informático ley de 1994 amplió la ley de 1986 para hacer frente a la transmisión de virus y otros códigos dañinos. Más recientemente, la Ley Patriota de EE.UU. de 2001 (más adelante en este capítulo) hizo otros cambios radicales en las leyes federales sobre delitos informáticos.

La Ley de Fraude y Abuso de 1986El 16 de octubre de 1986, el presidente Reagan firmó la ley de la Ley de Fraude y Abuso, que recibió un apoyo abrumador de la Cámara, el Senado y el Departamento de Justicia. La ley fue aprobada con la intención de aclarar las definiciones de fraude criminal y abuso de los delitos informáticos federales y fue diseñado para ayudar a eliminar algunas de las ambigüedades legales y los obstáculos para perseguir los delitos informáticos. También estableció nuevos delitos graves para el acceso no autorizado de "interés federal" ordenadores e hizo que el tráfico no autorizado en las contraseñas de una computadora por delitos menores. El siguiente es el texto de la Ley de Fraude y Abuso de 1986, acto en su forma original:

Equipo de Fraude y Abuso de la ley de 1986 (EE.UU.) 18 USC 1030(A) Quien

1. a sabiendas, tiene acceso a una computadora sin autorización o excede el acceso autorizado, y por medio de tal conducta obtiene la información que ha sido determinado por el Gobierno de Estados Unidos en virtud de una Orden Ejecutiva o estatuto que requiera protección contra su divulgación no autorizada por razones de defensa nacional o las relaciones exteriores, o cualquier otro dato restringidas, tal como se define en el apartado r. del artículo 11 de la Ley de Energía Atómica de 1954, con la intención o el motivo para creer que dicha información así obtenida se va a utilizar a la lesión de los Estados Unidos, o en beneficio de una nación extranjera;

2. intencionalmente acceso a una computadora sin autorización o excede el acceso autorizado, y por lo tanto obtiene la información contenida en un registro financiero de una institución financiera-ción, o de un emisor de la tarjeta tal como se define en la sección 1602 (n) del Título 15, o contenida en un archivo de una agencia de información de un consumidor, ya que dichos términos se definen en la Feria Credit Reporting Act (15 USC 1681 et seq.);


3. intencionalmente, sin autorización para acceder a cualquier ordenador oíun departamento o agencia de los Estados Unidos, tiene acceso a un ordenador de ese departamento o agencia que es para el uso exclusivo del Gobierno de los Estados Unidos o, en el caso de un ordenador no exclusivamente para tal uso, es utilizado por o para el Gobierno de los Estados Unidos y tal conducta afecta a la utilización de la operación por el Gobierno de dicho equipo;

4. a sabiendas y con intención de defraudar, acceso a una computadora de interés federal, sin autorización, o excede el acceso autorizado, y por medio de esta conducta fomenta el fraude previsto y se obtiene algo de valiosoé, A menos que el objeto del fraude y el Lo obtenido consiste únicamente en el uso del ordenador;

5. intencionalmente acceso a un equipo de interés federal, sin autorización y por medio de uno o más casos de este tipo de conducta se altera, daños, o destruye la información en cualquier computadora de interés federal, o la prevenciónís autorizado el uso de cualquier equipo, tales o información, y por lo tanto -

A. provoca la pérdida de uno o más otros de una valiosaéla agregación de $ 1,000 o más durante cualquierperíodo de un año, o

B. modifica o altera, o potencialmente modifica o altera el examen médico,diagnóstico médico, tratamiento médico o la atención médica de uno o más individuosais; o

6. a sabiendas y con intención de defraudar a los tráficos (como se define en la sección 1029), en cualquiercontraseña o información similar a través del cual se puede acceder a un ordenador sinautorización, si-

A. la trata afecta al comercio interestatal o extranjero, o

B. equipo se utilice por o para el Gobierno de los Estados Unidos, serásancionado conforme a lo dispuesto en el inciso (c) de esta sección.

(b) Quien intente cometer un delito en virtud del inciso (a) de esta sección, será castigado conforme a lo dispuesto en el inciso (c) de esta sección.(c) El castigo por un delito previsto en el inciso (a) o (b) de esta sección es

1. (A) una multa bajo este título o encarcelamiento por no más de diez años, o ambos, y en el caso de un delito previsto en el inciso (a) (1) de esta sección que no se produce después de una condena por otro delito en virtud del inciso como o un intento de cometer un delito punible en virtud de este párrafo, y (B) una multa bajo este título o encarcelamiento por no más de veinte años, o ambos, en el caso de un delito previsto en el inciso (a) (l) De esta sección que se produce después de una condena por otro delito en virtud del inciso tal, o un intento de cometer un delito punible en virtud de este párrafo, y

2. (A) una multa bajo este título o encarcelamiento por no más de un año, o ambos, en el caso de un delito previsto en el inciso (a) (2), (a) (3), o (a) (6) de la esta sección que no se produce después de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un

delito punible en virtud de este párrafo, y (B) en una multa bajo este título o encarcelamiento por no más de diez años, o ambos, el caso de un delito previsto en el inciso (a) (2), (a) (3), o (a) (6) de esta sección que se produce después de una condena por otro delito en virtud de dicha subsección,ción, o la tentativa de cometer un delito punible en virtud de este párrafo, y


3. (A) una multa bajo este título o encarcelamiento por no más de cinco años, o ambos, en el caso de un delito previsto en el inciso (a) (4) o (a) (5) de esta sección que no se produce después de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un delito punible en virtud de este párrafo, y (B) una multa bajo este título o encarcelamiento por no más de diez años, o ambos, en el caso de un delito previsto en el inciso (a ) (4) o (a) (5) de esta sección que se produce después de una condena por otro delito en virtud del inciso tal, o la tentativa de cometer un delito punible en virtud de este párrafo.

(d) El Servicio Secreto de Estados Unidos deberá, además de cualquier otra agencia que tenga dicha autoridad, tienen la autoridad para invertirídelitos de puerta en esta sección. Dicha autoridad del Servicio Secreto de Estados Unidos se ejercerán de conformidad con un acuerdo, que deberá ser suscrito por el Secretario de Hacienda y el Fiscal General.(e) Tal como se utiliza en esta sección -

1. el término "equipo" se refiere a un sistema electrónico, magnético, óptico, electroquímica, u otros datos de alta velocidad de procesamiento del dispositivo de realizar aritmética lógica, o las funciones de almacenamiento, e incluye a cualquier instalación de almacenamiento de datos o la facilidad de comunicaciones directamente relacionadas o que operan en conjunción con tales dispositivo, pero dicho término no incluye un automatizada máquina de escribir o tipografía, una calculadora de mano portátil, u otro dispositivo similar;

2. el término "computadora de interés federal" significa que una computadora-

A. exclusivamente para el uso de una institución financiera o del Gobierno de Estados Unidos, o,en el caso de un ordenador no exclusivamente para tal uso, utilizada por o para una institución financierala Constitución o el Gobierno de Estados Unidos y la conducta constitutiva del delitoafecta a la utilización de la institución financieraLa operación 's u operación del Gobiernode ordenador tales, o

B. que es uno de dos o más equipos utilizados en la comisión del delito, no todosque se encuentran en el mismo Estado;

3. el término "Estado" incluye el Distrito de Columbia, el Commonwealth de Puerto Rico, y cualquier otra posesión o territorio de los Estados Unidos;

4. el término "institución financiera" significa -

A. una institución con depósitos asegurados por la Federal Deposit Insurance Corporation;

B. la Reserva Federal o un miembro de la Reserva Federal incluyendo cualquier FederalBanco de la Reserva;

C. una universidad de créditoón con las cuentas aseguradas por la Universidad Nacional

de Créditoón Administración;

D. un miembro del sistema de Federal Home Loan Bank y cualquier banco de préstamo

hipotecario;

E. cualquier institución del Sistema de Crédito Agrícola bajo la Ley de Crédito Agrícola

de 1971;

F. un corredor-agente registrado con la Securities and Exchange Commission de conformidad con elartículo 15 de la Securities Exchange Act de 1934, y

G. la Securities Investor Protection Corporation;


el término "registros financieros", la información derivada de cualquier registro en poder de una institución financiera perteneciente a la relación del cliente con la entidad financiera;

el término "excede el acceso autorizado" significa tener acceso a un ordenador con la autorización y el uso de dicho acceso para obtener o modificar la información en la computadora que el accesser no tiene derecho para obtener o modificar, y

el término "departamento de los Estados Unidos" significa que el poder legislativo o judicial del gobierno o de uno de los departamentos ejecutivos enumerados en la sección 101 del título 5.

(F) Esta sección no prohíbe cualquier actividad que esté autorizado legalmente investigación, protección, o la inteligencia de una agencia de aplicación de la ley de los Estados Unidos, un Estado, o una política subdivisión de un Estado, o de una agencia de inteligencia de los Estados Unidos.

Como se puede ver, la legislación ha sido cuidadosamente diseñado para hacer frente a sólo federales e interestatales delitos informáticos. Este nació de la preocupación de que el acto podría viófinales de cada estado las leyes de delitos informáticos. Según la ley, una computadora de interés federal, es "exclusivamente para el uso de una institución financiera o del Gobierno de Estados Unidos, o, en el caso de un ordenador no exclusivamente para tal uso, utilizada por o para una institución financiera o el Reino Unido Gobierno de los Estados, y la conducta constitutiva del delito afecta a dicho uso, o que es una de dos o más equipos utilizados en la comisión del delito, no todos de los cuales se encuentran en el mismo Estado. "Las instituciones financieras cubiertas por el acto específicamente incluyen el seguro federal bancos, cajas de ahorro y cooperativas de crédito, corredores de bolsa registrados, miembros del Sistema Federal Home Loan Bank, la Administración de Crédito Agrícola y el Sistema de Reserva Federal. Una condena por un delito bajo la Ley de Fraude y abuso puede resultar en una pena de prisión de cinco años por una primera ofensa y diez años por un segundo-delito OND.

La Ley de Fraude y Abuso de 1986 carne acerca el resultado de años de investigación y discusión entre aquellos en la comunidad legislativa. Una de las principales razones de la demora del acto fue la enorme dificultad en la recolección de testimonios de las víctimas de delitos informáticos. Las organizaciones han sido (y continuaéser) muy reticentes a admitir que habían sido víctimas, ya que estaban preocupados por tener sus vulnerabilidades publicidad.

Las Enmiendas de abuso informático Ley de 1994Ya en la década de 1980 pantallas de ordenador fueron en gran medida basado en texto con monitores monocromáticos. Sin embargo, los chips de ordenador "guerras" de la década de 1990 cambió todo eso. La década de 1990 vio avances exponenciales en la potencia de los ordenadores personales y la capacidad, permitiendo a los ordenadores personales para manejar aplicaciones de gráficos más complejos. Una importante aplicación gráfica que cambió el mundo de la comcomputadoras fue el navegador Web. Con su punto y haga clic en la

5

.

7.

interfaz y facilidad de uso, el navegador de Internet ayudó a marcar el comienzo de la revolución de Internet.

Con más y más individuosais, y las organizaciones de compras en Internet y los equipos habilitados para descubrir y explorar el Internet, la nueva legislación era necesaria para mantenerse al día con el paisaje equipo en constante cambio. Al darse cuenta de la insuficiencia de la Ley de Fraude y Abuso de 1986, un nuevo crimen mil millonesíllamado el abuso informático Ley de Enmiendas de 1994 se convirtió en ley. Las enmiendas, que son una extensificaciónón de la Ley de Fraude y abuso, de manera significativa


aumentar las posibilidades de procesar con éxito a los piratas informáticos al cambiar la norma de "intención" de causar daño al "desprecio temerario" y haciendo frente a la transmisión de viruncódigo malicioso y otras sesiones. Además, mientras que las leyes anteriores, sólo protegidos "federales de interés computa-res" (máquinas pertenecientes a una agencia gubernamental o empresa de servicios financieros), las nuevas normas cubren los equipos "utilizados en el comercio interestatal", es decir cualquier PC conectado a Internet.

La Ley Patriota de EE.UU. de 2001Los trágicos acontecimientos del 11 de septiembre de 2001 se demostró que los Estados Unidos no es inmune a los ataques terroristas. Esta Ley Patriota de EE.UU. de 2001, también conocida como la unión y fortalecimiento de AméRica por los instrumentos adecuados necesarios para interceptar y Obstruir el Terrorismo de 2001, se convirtió en ley el 26 de octubre de 2001 por el presidente George Bush. El acto se elaboró con rapidez por la administración Bush como parte del compromiso del gobierno de EE.UU. para encontrar y eliminar el terror-istas. La legislación, que contiene varias disposiciones que afectan directamente a la tecnología de la información, se originó con el Fiscal General, John Ashcroft, quien pidió al Congreso poderes adicionales que, según él eran necesarios para luchar contra el terrorismo a raíz de los acontecimientos del 11 de septiembre de 2001. Pocas modificaciones se hicieron a la propuesta inicial de Ashcroft al Congreso, y mil millones de laíse convirtió en ley sin ningún tipo de audiencias o de marcado por un comité del Congreso.

La Ley Patriota de EE.UU. da a los funcionarios federales de mayor autoridad para rastrear e interceptar comunicaciones de, tanto para la aplicación de la ley y extranjeros con fines de inteligencia. It confiere al Secretario de Hacienda dispone de competencias normativas para combatir la corrupción de las instituciones financieras de Estados Unidos para los extranjeros con fines de blanqueo de dinero. La ley también intenta dar una mayor cióEstados Unidos de Se fronteras a terroristas extranjeros conocidos-tas y de detener y expulsar a los que están dentro de las fronteras de Estados Unidos, y reconoce nuevos delitos, nuevas penas y nuevas eficiencias de procedimiento para el uso contra los terroristas nacionales e internacionales. Aunque no es, sin garantías, los críticos sostienen que algunas de sus disposiciones van demasiado lejos. Aunque la Ley Patriota de EE.UU. otorga a muchas de las mejoras solicitadas por el Departamento de Justicia, los demás son preocupa que no va lo suficientemente lejos.

Entre las disposiciones más importantes y generales de la Ley Patriota de EE.UU., son medidas que

• Permita que la detención indefinida de los no ciudadanos que no son terroristas en materia de visados menorviolaciónes si no pueden ser deportados porque no tienen estado, su país de origense niega a aceptar, o debido a que sería sometido a tortura en su país de origen.

Minimizar judicial supervisión de teléfono federales y la vigilancia en Internet por la ley las autoridades competentes.

• Ampliar la capacidad del gobierno para llevar a cabo búsquedas secretas.

• Dar el fiscal general y el secretario de Estado el poder de des-ígnate grupos nacionales como organizaciones terroristas y deportar a cualquier extranjero que les pertenece a

ellos.

• Conceder el acceso a los registros del FBI amplio confidenciales de la empresa acerca de individuosais sin tener que mostrar evidencia de un crimen.

• Dar lugar a investigaciones en gran escala de los ciudadanos estadounidenses para fines de "inteligencia".

La Ley Patriota de EE.UU. modificado más de 15 leyes federales, incluyendo las leyes que rigen la comunidadordenador fraude y el abuso, el procedimiento penal, las escuchas telefónicas, la inteligencia extranjera y la inmigración.


Estos Aménuncióneamplió la autoridad del FBI y otras agencias federales de aplicación de la ley para tener acceso a las empresas, los registros médicos, educativos, y la biblioteca, incluyendo los datos almacenados y de las comunicaciones electrónicas. También amplió las leyes que rigen las escuchas telefónicas y de atrapar y traza los dispositivos de telefonía a Internet y las comunicaciones electrónicas. Estos procedimientos de vigilancia mejoradas son las que presentan el mayor desafío a la privacidad y confidencialidad de los datos electrónicos.

Para ver un resumen de los cambios importantes introducidos por la Ley Patriota de EE.UU. de

2001 que se refieren a comla delincuencia ordenador y pruebas electrónicas, vea el Apéndice

C.

Resumen del capítuloDurante la última década, las computadoras e Internet han llegado a desempeñar un papel fundamental en muchas de las vidas de nuestros ciudadanos. Cada día, millones de personas en todo el mundo conectarse a la Internet, donde navegar por la Web, enviar y recibir mensajes de correo electrónico, o realizar transacciones de comercio electrónico y actividades. Por desgracia, los malhechores tampoco se han dejado la revolución del ordenador pasar por ellos. Cuando compro-ting sus crímenes, un número creciente de criminais ahora aprovechar el uso de dispositivos de alta tecnología, como localizadores, teléfonos celulares, computadoras portátiles e Internet. Por ejemplo, el Internet puede ser utilizado para distribuir rápidamente virunses o para lanzar ataques de Denegación de Servicio (DoS) contra las redes de ordenadores vulnerables. No es raro que los traficantes de drogas o las armas a usar las computadoras para mantener una base de datos-base de sus operaciones ilícitas.

Según el Departamento de Justicia de EE.UU. en un boletín de julio de 2002, Búsqueda y embargaron computadoras y obtención de pruebas electrónicas en las investigaciones penales, "El espectacular aumento de la delincuencia informática exige a los fiscales y agentes de aplicación de la leyepara entender cómo obtener evidencia electrónica almacenada en las computadoras. Los registros electrónicos, tales como los registros de la red de computadoras, correos electrónicos, archivos de procesadores de texto y los archivos '. Jpg' de imagen, cada vez más proporcionar al gobierno importante (ya veces esenciales) las pruebas en casos criminales. El propósito de esta publicación es proporcionar a agente federal aplicación de la leyey los fiscales con orientación sistemática que les ayuden a entender las cuestiones legales que surgen cuando se buscan las pruebas electrónicas en las investigaciones criminales. "

Punto claveecubiertos en este capítulo son

• La Cuarta Enmienda y su papel en la investigación de delitos informáticos

• ¿Por qué la Ley de Libertad de Información sirve como elemento de disuasión a denunciar los delitos informáticos

• Las ventajas y desventajas de informar e involucrar a la policía en el ciber-la

investigación de delitos

• Los beneficios y los aspectos jurídicos del intercambio de información

La función del Centro de Protección de la Infraestructura Nacional en la lucha contra el delito cibernético

• La importancia de las leyes federales sobre delitos informáticos y su importancia en medicina forense exámenes

• Comprender la divulgación y el descubrimiento en la investigación de delitos informáticos

Capítulo 3

Preparación y Respuesta preliminar del forenseln este capítulo

• Preparación de los sistemas operativos de recolección de datos

• Habilitar la auditoría y el registro

• Uso de la sincronización de tiempo y sellado de tiempo

• La identificación de los dispositivos de red

• La recopilación de datos de la memoria

• Imágenes de discos duros

• A raíz de la cadena de custodia para la recopilación de la memoria

• La continuidad del negocio y planes de contingencia

EN RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA ES, EN GENERAL, NO UNA TAREA FÁCIL. De respuesta a incidentes eficaz requiere una mezcla de conocimientos técnicos, la comunicación, la responsabilidad y la coordinación entre todo el personal de respuesta de una organización. Hay varias etapas distintas de la respuesta al dirigirse a un incidente de seguridad informática: preparación, identificación, contienen ambiente, la erradicación, la recuperación, y seguimiento. Entendiendo la importancia de cada etapa es fundamental para llevar a cabo una respuesta eficiente. Todo el personal de jerarquía de una organización necesita para entender el proceso de respuesta para que puedan trabajar juntos para manejar todos los aspectos inesperados de los incidentes que puedan surgir. En este capítulo se centra en la preparación forense y respuesta preliminar y su papel en la mitigación de los efectos de los incidentes de seguridad informática.

Preparación de los sistemas operativos de recogida de datosDespués de la BIOS, el sistema operativo (SO) es el primer programa de software que usted encuentra cuando usted enciende su computadora. Permite que las aplicaciones (programas) para

comunicarse con el equipo y entre ellos a un nivel básico. Cada computadora de propósito general requiere algún tipo de sistema operativo que le dice a la computadora cómo opéritmo y la forma de utilizar otro software y / o hardware que está instalado en ese equipo. Hay esencialmente dos tipos de sistemas operativos, los reductores


hacia el usuario doméstico y las orientadas a las empresas o usuarios avanzados. En este capítulo se discute los más potentes sistemas operativos de redes.

Los sistemas operativos más utilizados se pueden dividir en tres familias: la familia de Microsoft Windows de sistemas operativos, de la familia Unix / Linux de sistemas operativos, y los sistemas operativos de Apple Macintosh. Cada una de estas familias ofrecen versiones de sistemas operativos que están específicamente dirigidos a la creación de redes, por lo que ampliamente utilizado por organizaciones de todo el mundo. De hecho, los sistemas Unix / Linux de funcionamiento, considera algunos de los sistemas más seguros, están diseñados específicamente para la creación de redes. La curva de aprendizaje de alta necesaria para configurar y mantener los equipos Unix / Linux basada, sin embargo, les ha impedido ser ampliamente aceptados.

En la familia de Microsoft, Windows NT 4.0, 2000 y XP se utilizan comúnmente operadores de redesating sistemas empleados por las redes de la organización. Debido a que son fáciles de configurar y usar, y tiene la mayor base de aplicaciones escritas para ellos, son uno de los sistemas operativos más populares y ampliamente utilizado en todo el mundo. La Apple Macintosh sistema operativo (en la actualidad en la versión OS X) es un sistema de red basado en Unix operativo con funciones de red potente y muchas características de seguridad. Sin embargo, debido a ciertas diferencias de arquitectura inherentes a los equipos de Apple, Mac OS basados en computadoras que no hayan alcanzado la popularidad de los sistemas operativos Windows. (Mac OS es, sin embargo, considerado por muchos como el más adecuado para las organizaciones que utilizan gráficos intensos programas como CAD / CAM).

Si bien todos los sistemas operativos actuales ofrecen alguna medida de seguridad, son los sistemas operativos de red que poseen las capacidades más grandes de seguridad. Permiten que la red de administraciones res para especificar los privilegios de acceso a los archivos individuales, directorios y dispositivos de hardware. A través de su amplio uso de la auditoría y los archivos de registro, sistemas operativos de red tienen el atractivo añadido de capturar y preservar las pruebas forenses potencial.

El Significarlcorreo de los archivos de registroLos archivos de registro han sido tradicionalmente la principal fuente para la documentación de los eventos que han ocurrido o están ocurriendo en los sistemas operativos. El propósito de la tala es capturar y preservar significativos eventos. Por ejemplo, el registro es útil en el caso de que se produzca un suceso y el administrador desea alguna idea de lo que ha ocurrido. Fuentes de evidencia de que los investigadores puedan tener a la mano en un sistema informático son los registros del sistema, logs de auditoría, los registros de aplicación, los registros de gestión de red, la captura de tráfico de la red, y los datos sobre el estado del sistema de archivos. Los registros se considera tradicionalmente el registro principal o una indicación de la actividad que ocurrió. Con la progresión de la stand-alone PC para sistemas en red, los registros de la red se han unido a los registros del sistema para ayudar a mejorar el registro de actividad de la computadora en curso.

Procedimientos de Auditoría y registroCon el fin de analizar la seguridad de los sistemas informáticos y detectar señales de un comportamiento inesperado y / o sospechas cious-, es indispensable reunir todos los datos generados por la aplicación, sistema, red, y actividades de los usuarios. Los archivos de registro contienen una gran cantidad de información sobre las actividades pasadas. Sistema administraciones res deben identificar los diversos mecanismos de registro y los tipos de registros (por ejemplo, acceso a archivos, sistema, red, etc), así como el tipo de datos registrados dentro de cada registro.

Capítulo 3: Preparación y Respuesta preliminar del forense 47

Dado que los archivos de registro a veces son la única evidencia de actividad sospechosa, la falta de que los mecanismos para registrar esta información y la falta de usarlos para iniciar los mecanismos de alerta significativamente disminuye la capacidad de una organización para detectar intrusión intentos y para determinar si los intentos han tenido éxito. Del mismo modo, pueden surgir problemas por no tener los procedimientos y los mecanismos necesarios en el lugar para analizar los archivos de registro que tener han registrado.

Los registros pueden ayudar a las organizaciones de

• Alertar a los administradores de sistemas de cualquier actividad sospechosa

• La determinación de la magnitud de los daños causados por la actividad de un intruso

• Ayudar a recuperar rápidamente los sistemas de

• El suministro de información o servir como pruebas necesarias para el procedimiento

judicial

Auditoría de habilitación y registro en Windows NTTodas las versiones de Windows NT (por ejemplo, 4.0, 2000 y XP) contienen poderosos características integradas de auditoría que permiten a determinar quién está accediendo a los archivos en su sistema. La auditoría proporciona una serie de beneficios que incluye ayuda para la solución de problemas de derechos de acceso a archivos y detectar lo que último usuario accede a un archivo en particular.

A diferencia de Unix o Linux, la auditoría está desactivada por defecto cuando Windows se instala por primera vez en un cálculonEsto significa que los eventos del sistema y numerosas actividades de los usuarios se no se registrará en los registros de sucesos. Desde una perspectiva de respuesta a incidentes, la ausencia de registros de este tipo hace que sea difí-culto para identificar cualquier intento de violar la seguridad de un sistema informático. Estos registros del registro de eventos también puede ayudar a los administradores de sistemas por lo que les permite distinguir entre las fallas en el difícilhardware o software, intrusiones en la red, y los errores en la configuración de cuentas de usuario.

En todas las versiones de Windows, para habilitar la auditoría, primero tiene que haber iniciado

sesión como un usuario administra-tiva. Solo los usuarios administrativos están autorizados a

modificar la clave de seguridad y / o configuración del sistema. El procedimiento varía

dependiendo de la versión de Windows que se utilice. Consulte el manual de usuario de

Windows para obtener más información sobre privilegios de administrador de cuentas para la

versión de Windows que utilice.

!

Para habilitar la auditoría / registro en Windows NT 4.0, haga lo siguiente:

1. De los hombres de inicioú, Seleccione Programas → Herramientas administrativas → Administrador de usuarios.

2. De las políticas de usuario del Administrador de los hombresú, Seleccione Cuentas, que activa la directiva de auditoría diálogo de la pantalla.


3. Ahora permitirá la fiscalización, estos eventos opción y luego seleccionar los eventos de auditoría siguientes:

■ En la columna Si no, seleccionar todos los eventos.

■ En la columna de éxito, seleccione los siguientes eventos: inicio de sesión y cierre de sesión, Administración de usuarios y grupos, cambios de directivas de seguridad, reiniciar, apagar, y el sistema.

4. Seleccione Aceptar para aceptar la directiva de auditoría. Ahora todas las opciones seleccionadas se escribirá en elregistro de eventos.

Al igual que su predecesor, NT 4.0, Windows 2000 deshabilita la directiva de auditoría de cada categoría por defecto, por lo que el registro de seguridad permanece vacío en un sistema operativo recién instalado.

El procedimiento general para habilitar la auditoría local / registro en Windows 2000 es el siguiente:

1. Inicie sesión en Windows 2000 con una cuenta que tenga derechos administrativos completos.

2. De los hombres de inicioú, Vaya a Herramientas administrativas → Política de seguridad local. Este abre la ventana de configuración de seguridad local.

3. En el panel izquierdo, haga doble clic en Directivas locales para expandirla.

4. Ahora, haga doble clic en Directiva de auditoría.

5. En el panel derecho, seleccione la directiva que desea habilitar o deshabilitar haciendo

doble clic en él.

6. Seleccione el deseado éxito y / o falla la casilla de verificación.

El procedimiento general para habilitar la auditoría local / registro en Windows XP es el siguiente:

1. Inicie sesión como Administrador.

2. Haga clic en el botón Inicio y seleccione Panel de control.

3. En el panel de control, seleccione Rendimiento y mantenimiento y, a continuación, seleccione Administrativo Herramientas.

4. Haga doble clic en Directiva de seguridad local de acceso directo para abrir y ampliar la

misma.

5. En el panel izquierdo, seleccione la directiva de auditoría para mostrar la configuración de políticas individuales, que se aparecen en el panel derecho. (Ver Figura 3-1).

6. Haga doble clic en cada opción en el panel de la derecha para habilitar la auditoría para cada tipo de auditoría deseado. (Ver Figura 3-2).

Recuerde, la forma más básica de tener intrusión la detección en Windows es para habilitar la auditoría. Esto le avisará a los cambios en las directivas de cuenta, intentaron hacks de contraseñas, y no autorizados acceso a los archivos, así como CRécomieron los archivos de registro que posteriormente pueden ser utilizados como evidencia.

Figura 3-2: La cuenta de Auditoría eventos de

inicio de sesión cuadro de diálogo Propiedades

de Windows XP Pro

Una nota rápida acerca de la auditoría, registro, y el tamaño de archivo de registroA veces es difícil determinar la cantidad exacta de la auditoría y se requiere el registro. Por ejemplo, si un disco duro local (que contiene los datos no sensibles o del público) se accede por muchas personas en el curso oíun día después de registro sólo los intentos fallidos podría ser suficiente. De hecho, todos los intentos de registro, posiblemente, puede ser una desventaja, porque la información resultante podría crécomía tanta actividad en los archivos de registro que le haría pasar por alto los eventos importantes. Por el contrario, si los datos se clasifican y sólo

Capítulo 3: Preparación y Respuesta preliminar del forense

Figura 3-1:El Windows XP Pro ventana de Configuración de seguridad local

deben tener acceso a un puñado de usuarios, es posible que desee realizar un seguimiento tanto intentos fallidos, así como los exitosos.


Por último, debido a que el tamaño predeterminado del archivo de registro de Windows es sólo 512K, los administradores con siste-mas con modétasa de uso de alta podría aumentar la cantidad de datos de los archivos de registro pueden con-tener. Si bien el procedimiento exacto varíES dependiendo de qué Versión de Windows se está utilizando, el procedimiento general es como sigue:

1. Haga clic en Inicio → Panel de control → Rendimiento y mantenimiento.

2. Seleccione Herramientas administrativas y, a continuación, haga doble clic en Visor de

sucesos.

3. En la ventana Visor de sucesos, resalte el registro que desea cambiar (vea la Figura 3-3).

4. De los hombres desplegablesúen la acción principal, seleccione → Propiedades.

5. En la ventana Propiedades de la aplicación, ajustar el mátamaño del registro de ximum consecuencia mediante la introducción de una valiosa nuevaéen la M

Figura 3-3: El Visor de sucesos de Windows XP

"áregistro ximum tamaño "de campo (ver Figura 3-4).

Figura 3-4: La aplicaciones de Windows

XP Cuadro de diálogo Propiedades

El acceso centralizadoLos archivos de registro son la mejor fuente de información para determinar si un sistema o red experimentan una amenaza de seguridad u otro problema. Con la proliferación de dispositivos interoperables, no es raro encontrar organizaciones que utilizan múltiple plataformas informáticas de red, tales como Windows, Linux o Novell NetWare. Como resultado, los administradores a menudo les resulta oneroso para tamizar a través de los archivos de varios operativos de registro del sistema para reunir pruebas y buscar las señales que indi-cado ha ocurrido un incidente. Para facilitar este proceso, registro centralizado a través del syslog proto-colo se emplea a menudo. Soporte para Syslog, que se incluye en los sistemas Unix y Linux, es un protocolo estándar de la industria utilizado para la captura de información de registro de los dispositivos de una red. Syslog es no incluido en los sistemas operativos Windows y Macintosh, sin embargo, hay solicitudes de terceros-ciones (más adelante en esta sección) disponibles para agregar esta capacidad a su sistema.

La premisa básica de registro centralizado es recoger los datos de registro y enviar esos datos a un ordenador que no sea el peligro. De esta manera, la ubicación de los datos de registro está centralizada y la integridad de los datos protegidos se mantiene. El acceso centralizado mantiene un único punto centralizado de almacenamiento de datos de registro, por lo que es más fácil de realizar copias de seguridad, asegurar, y analizar. Si bien una serie de mecanismos de registro existen para diversas plataformas, el objetivo de un sistema centralizado de registro mecanismo es

Capítulo 3: Preparación y Respuesta preliminar del forense

apoyar a las plataformas más utilizadas y populares. Cruz-plataforma centralizada de registroging software de producciónís de distintos fabricantes pueden ser instalados fácilmente en la red de una organización. Los siguientes dos basado en Windows sistema centralizado de registro de la producciónís son muy adecuadas para la tarea:


• Kiwi Syslog Daemon por las empresas Kiwi es un demonio syslog freeware para la plataforma Windows. De acuerdo con el fabricante que recibe, registros, indicadores, y remite mensajes del syslog recibidos de los ejércitos, tales como routers, switches, anfitriones de Unix, y cualquier otros sistemas-habilitados para registro de los dispositivos. Kiwi es en línea en www.kiwisy si og.com.

• GFI LANguard Security Event Log Monitor de por GFI Software, Ltd. es un sistema centralizado segu-ridad escáner de registro de eventos que, según su fabricante, se recuperan todos los registros de sucesos de los servidores y estaciones de trabajo y alerta al administrador de fallos de seguridad para la inmediata intrusión detección. Mediante el análisis de los registros de sucesos de Windows NT/2000 en tiempo real, GFI LANguard Security Event Log Monitor puede alertar a los eventos de seguridad importantes de HAP-rriendo en las estaciones de trabajo y servidores (por ejemplo, un usuario que intenta iniciar sesión como administrador, o una persona se han añadido al grupo de administradores). Debido a que GFI LANguard analiza los registros de sucesos del sistema, en lugar de oler el tráfico de red como el tradicional intrusión sistema de detección (IDS) de la producciónís no, no se ve afectada por los interruptores, el cifrado del tráfico IP, o de alta velocidad de transferencia de datos. Buscar en GFI www.gfi.com.

Por desgracia, siempre habrá fallas de seguridad que pueden ser explotadas. Mientras que ¡Yoentrada legal y el acceso a los sistemas informáticos no siempre pueden evitarse por completo, este tipo de problemas, al menos deben ser registrados y rastreados en un registro de auditoría con el fin de revelar los defectos de seguridad en sus sistemas y, posiblemente, la identificación de aquellos (los seres humanos u ordenadores) que se han aprovechado estos defectos. El registro de la información es de suma importancia en un entorno adecuadamente seguro. Registros por sí mismos, sin embargo, ofrecen muy poco si los archivos no están siendo recogidos y revisados.

http://www.gfi.com/

http://og.com/

http://www.kiwisysi/

Mientras que los permisos de archivos protege los archivos de registro de la alteración sin

privilegios, es posible que también desea proteger los archivos de registro de alteraciones no

autorizadas por tener los archivos de registro por escrito en un CD-ROM u otro de sólo lectura

medios de comunicación.

Sincronización de la horaMientras que el registro centralizado puede ser beneficioso para responder a incidentes de seguridad, sino que también presenta un problema único. Los dispositivos más en la red, los más probable que sus tiempos no se mantengan sincronizadas. Esta falta de sincronización puede suponer una dificultad para la respuesta a incidentes. La automatización de la sincronización de los relojes del sistema ahorra un tiempo considerable frente a un suceso. Otro de los beneficios de la sincronización es que la evidencia se fortalece cuando el IDS y el anfitrión reportar el mismo evento al mismo tiempo. Si su organización conductoresís negocios a través de múltiple zonas de tiempo, el uso del meridiano de Greenwich (GMT) para configurar los sistemas.

Si bien una serie de mecanismos de sincronización de tiempo existe para las plataformas informáticas diferentes, el objetivo de un sistema centralizado de tiempo de sincronización mecanismo para apoyar a las mayoría de las plataformas. Para el protocolo de Internet (IP) basados en redes, Network Time Protocol es el más comúnmente utilizado. El Network Time Protocol (NTP) proporciona un mecanismo para sincronizar la hora en las computadoras a través de Internet. Dispositivos de Unix, Linux y la mayoría de IP se han incorporado en el soporte nativo para la pro NTPprotocolo. Mientras que Windows no lo hace, puede utilizar NTP a través de la producción como de terceros gratuitoís como:


• AutomachronUno de Codificación de Guy, disponible en www.oneguycoding.com/automachron/~~V (Ver Figura 3-5).

• La NIST de servicios de Internet Time (ITS), disponible en www.boulder.nist.gov/timefreq/~~V servicio / its.htm.

• Hora mundial por PawPrint.net, Disponible en www.pawprint.net/wt/~~V .

http://www.pawprint.net/wt/

http://at/

http://PawPrint.net/

http://www.boulder.nist.gov/timefreq/

http://at/

http://www.oneguycoding.com/automachron/

Figura 3-5: Automachron

tiempo de sincronización

del programa

Con el fin de partiípar en la red de sincronización existente NTP y obtener la hora exacta y

confiable cuando se utiliza en Unix o Linux, por lo general

es necesario construir un archivo de configuración

adecuado, conocido comúnmente como ntp.conf. La

sintaxis exacta de este archivo de configuración varía en función del servidor de tiempo con el

que usted está tratando de sincronizar y la versión de Unix / Linux que esté utilizando. Los

usuarios están invitados a consultar con su Unix / Linux documentación para más detalles.

Sellado de TiempoUna de las primeras cosas que un hacker o intruso red intentan es modificar la fecha de entrada en un sistema informático. Es una ventaja para los hackers a buscar redes cuyo tiempo docks no están sincronizados. Además, mediante la falsificación de la fecha y hora, un hacker puede enviar un forense investiga-tor aún más lejos en un callejón sin salida. Hay dos formas de evitar este problema:

Yo


• Asegúrese de sincronizar los tiempos de todos los dispositivos de red

• Asegúrese de que la verificación del tiempo dentro de su sistema no puede ser distorsionada

Ordenador docks a menudo se compone de bajo costo circuitos oscilantes que fácilmente pueden desplazarse por diversos-rales segundos por día. Si bien esto puede no parecer un gran problema, que puede ascender a varios minutos en el transcurso de un año. La sincronización de los tiempos en todos los dispositivos de red añade un nivel de uniformidad de reloj a todas las partes respectivas de la red. Para evitar los intentos de hackers destinados a la falsificación de su tiempo de entrada en un sistema, una red debe emplear un dispositivo digital de sello de tiempo que puede ser utilizado en una fecha posterior para probar que un documento electrónico existía en el momento indicado en el sello de tiempo. Para ser fiable, los sellos de tiempo de debe seguir siendo auténtico, y la mejor manera de garantizar que un documento no ha sido falsificada es la de emplear los servicios de un dispositivo digital de sellado de tiempo de servicios (DTS). Si bien existen numerosas empresas que ofrecen este tipo de servicio, dos se destacan como líderes en este campo emergente.

• Datum, Inc. proporciona un acceso seguro y auditable de sellado de tiempo la tecnología para las transacciones electrónicas, las referencias de tiempo para las redes informáticas, y los motores de cifrado para distri-lución y la recepción de la información confidencial. Buscar en línea en el Datum www.datum.com.

• Evertrust.net mercados y produce alta calidad digital de estampado de tiempo de soluciones que ayudan a proteger la integridad de la documentación digital. Busque en línea enwww.evertrust.net.

La identificación de los dispositivos de redOrganizaciones de todo el mundo la experiencia en seguridad informática relacionados con eventos (como las causadas por intrusiones, ataques y códigos maliciosos) en una base regular. Como resultado, las empresas se encuentran luchando para evitar ataques e intrusiones siempre que sea posible, mientras que el seguimiento y tratar de responder a los eventos de seguridad críticos. Parte del proceso de respuesta a incidentes de previo es identificar rápidamente todos los dispositivos de red. Esto incluye la auditoría y el mapeo de las computadoras, servidores, hubs, switches, routers, etc, así como la comprensión de la física ubicaciones y configuración.

El mapa de la red es una representación gráfica de los dispositivos en una red. El mapa de la red es beneficioso desde el punto de vista de respuesta a incidentes, ya que ayuda a establecer una línea base de la red para futuras comparaciones y le ayuda a responder a los incidentes de seguridad por la rápida localización de los equipos o dispositivos sujetos a ataque. Específicamente, un mapa de la red le ayuda a

• Saber exactamente donde cada dispositivo se encuentra físicamente

http://www.evertrust.net/

http://Evertrust.net/

http://www.datum.com/

• Fácil de identificar a los usuarios y las aplicaciones que se ven afectados por un problema

• Sistemáticamente buscar en cada parte de su red para los problemas

Con el fin de asignar correctamente su red a la que se necesita saber

• ¿Qué dispositivos se encuentran en la red


• ¿Qué dispositivos se conectan a su red a Internet

• ¿Cómo se configuran los dispositivos

Durante un incidente de seguridad informática, el mapa de la red sirve como una referencia y un proyecto original. El mapa puede ser creada a mano usando cualquier dibujo o aplicación diagrama de flujo. Sin embargo, esto puede ser tanto complicado y requiere mucho tiempo. El método mejor y preferido es usar uno cualquiera de los muchos programas de software diseñados específicamente para esta tarea. Uno de estos programas, el WhatsUp Gold galardonado por el Ipswich, Inc. (www.ipswitch.com), es muy adecuado para la tarea. Otro programa que puede ayudar en el desarrollo de un mapa de la red es de GFI LANguard Network Security Scanner (Figura 3-6) por GFI Software, Ltd. (www.gfi.com). Tenga en cuenta que la respuesta a incidentes es el proceso de éxito frente a un suceso si el objetivo es recuperar sólo desde el incidente o para llevar a los perpetradores ante la fiscalía. Tener un mapa de la red puede ayudar a una orga-nización de manera eficiente responder a incidentes de seguridad informática por proporcionar rápidamente información acerca de la ubicación y el estado de los dispositivos de red.

Figura 3-6: GFI LANguard Network Security Scanner 3.0

Recopilación de datos de la memoriaLa memoria de computadora viene en dos formas, volátiles y no volátiles. La memoria no volátil se utiliza sobre todo en situaciones donde la información almacenada es necesario mantener durante períodos prolongados de tiempo. Ejemplos de la memoria no volátil son los chips de la

http://www.gfi.com/

http://www.ipswitch.com/

BIOS se encuentran en las placas base de ordenador o


la memoria flash utilizada por las cámaras digitales. Desde chips de BIOS requieren hardware especial para modificar cualquier información almacenada en ellos, es poco probable que contendrá la información relacionada con un incidente de seguridad. Por lo tanto, a un investigador forense, conservar los datos almacenados en los chips de BIOS no es tan importante como conservar los datos almacenados en la RAM.

La memoria volátil se presenta una situación diferente. Ejemplos de memoria no volátil son la memoria RAM (ran-dom memoria de acceso) chips utilizados por todos los equipos para cargar y almacenar los datos generados por el sistema operativo y las aplicaciones. Todos los datos almacenados en este tipo de memoria se pierde cuando la computadora está fuera de prisionero de guerra-so, con la pérdida de datos se evidencia potencial. Debidamente agrupada, los datos tomados de la memoria volátil puede ser útil para detener a un atacante y pueden producir evidencia útil, admisible.

Cuando la recopilación de pruebas se debe proceder de la volátil a la menos volátil. Aquí es una simple ejemplo del orden de volatilidad para un equipo típico.

1. Memoria

2. Los sistemas de archivos temporales

3. Disco

4. Configuración física de la red

La memoria es más alto en la lista debido a que es más volátil. Dado que la evidencia de un ataque puede escapar cuando la memoria se sobrescribe o se elimina, uno de los primeros pasos a tomar es realizar un volcado de datos. Esto es, el contenido de la memoria del sistema debe ser impresa o copiada mientras que todavía reside en la memoria. Cuando se realiza en el momento adecuado, esta operación se puede capturar y preservar las posibles pruebas mediante la documentación de todas las acciones de cualquier alteración del código de programación que existe en la memoria. La información obtenida de este proceso también puede servir como prueba de lo cual-Malícódigo cious operado en el sistema.

De manera predeterminada, Windows NT, al igual que la mayoría de los sistemas operativos de redes, sólo se genera un archivo de volcado de memoria en un fallo del sistema. Afortunadamente, Windows 2000 y XP incluyen una característica muy útil que te permite hacer de forma manual el sistema deje de responder y de generaciónéclasificar un archivo de volcado de memoria. En primer lugar, debe estar configurado para hacerlo, sin embargo.

Configuración de Windows 2000 y XP para generaciónétasa de un archivo de volcado de

memoria luego de un cuelgue del sistema requiere que se modifique el registro de Windows una

entrada de registro incorrecta puede causar problemas graves que conlleven la reinstalación del

sistema operativo. Utilice el Editor del Registro con cuidado y con extrema precaución. Antes de

modificar el Registro, asegúrese de hacer copias de seguridad. Además, es importante que

usted entienda el procedimiento para restaurar el Registro en caso ocurre un problema.

Copia de seguridad del Registro y los procedimientos de restauración se tratan en detalle en el capítulo 4.


Para configurar Windows 2000 para realizar un volcado de memoria manual, haga lo siguiente:

1. Haga clic en el botón Inicio y seleccione Ejecutar.

2. En el cuadro de diálogo Abrir, escriba la palabra Regedit para iniciar el Editor del

Registro.

3. Expanda el HKEY_LOCAL_MACHINE segmento de la Secretaría de lócado en la siguiente

clave:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \

Parameters

4. En los hombres Editarú, Haga clic en Agregar Valué, A continuación, agregue el siguiente registro de valoresúes:

Valué ÑAME: CrashOnCtrlScroll Tipo de datos: REG_DW0RD Valor: 1

5. Ciósí el Editor del Registro.

6. Reinicie el equipo para que los cambios se aplicarán.

Después de reiniciar el ordenador, puede generaciónétasa de un archivo Memory.dmp en la demanda, simplemente manteniendo pulsada la tecla Ctrl derecha y presionando la tecla Scroll Lock en dos ocasiones.

Los pasos anteriores también funcionan en Windows XP, sin embargo, el procedimiento para

agregar el CrashOnCtrlScrol 1Registro valiosaé es ligeramente diferente. En la clave

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ i8042prt \ Parameters

sección, seleccione Editar → → Nuevo DWORD Valué.Ñame la valiosaé CrashOnCtrlScrol

1. Ahora haga doble clic en la recién creada CrashOnCtrlScroll valiosaé para acceder a la

valiosa Editar valor DWORDé pantalla. Entrar 1en el valiosaé espacio de datos

proporcionado.

Selección de las opciones de volcado de memoria adecuada

|

En el sistema operativo Windows, existen tres tipos de volcados de memoria que pueden ser gene-ciadas: volcado de memoria completo, volcado de memoria del kernel, o el volcado de memoria pequeña. Para los exámenes forenses de inations, lo mejor es elegir el volcado de memoria completa a fin de captar la mayor información posible. Antes de activar manualmente el volcado, siga este procedimiento general:

1. Haga clic derecho en Mi PC y, a continuación, haga clic en Propiedades.

2. Haga clic en la ficha Opciones avanzadas y, a continuación, haga clic en el botón Inicio y

recuperación.

3. En Información de Depuración de escritura, seleccione la opción Volcado de memoria

completa.


La ubicación del archivo var memory.dmpíes ligeramente dependiendo de la ubicación de la

unidad en la que está instalado Windows y que versión de Windows que esté utilizando. Para

Windows NT 4.0 y 2000, la ubicación predeterminada es el directorio C: \ WINNT. Para Windows

XP por defecto direc-torio es C: \ WINDOWS. Si ha instalado NT o XP en un directorio que no sea

C, tendrá que sub-tituyen la letra de unidad adecuada para la ubicación de su directorio de

Windows, tales como D: \ WINNTor D: \ Windows.

Uso de Dumpchk.exe para ver el archivo de Windows memory.dmpLo primero que debe hacer después de crear un volcado de memoria es comprobar que la integridad del archivo memory.dmp está intacto. Afortunadamente, Microsoft proporciona una utilidad llamada Dumpchk, que es una utilidad de línea de comandos que puede utilizar para ver el contenido de un archivo de volcado de memoria y compruebe que se ha creado correctamente. Dumpchk se pueden encontrar en los lugares siguientes:

• En Windows NT 4.0 CD-ROM: Support \ Debug \ <Plataforma>\ Dumpchk.exe.

• En Windows 2000/XP CD-ROM: Instalar las herramientas de soporte ejecutando Setup.exe desde el soporteYHerramientas de carpeta en el CD-ROM. De forma predeterminada, Dumpchk.exe se instala en la carpeta Program Files \ Support carpeta Herramientas.

Después de localizar el Dumpchk.exe en su CD de Windows, copiar el archivo en el directorio por defecto de Windows (por ejemplo, C: \ Archivos para NT y 2000, o C: \ WIND0WS para XP). A continuación, puede ejecute la utilidad Dumpchk directamente desde el comando (DOS) del sistema con la siguiente sintaxis:

dumpchk.exe Memory.dmp

Realizar un volcado de memoria en los sistemas UnixBajo Unix, el sysdump comando se utiliza para generaciónétasa de una imagen de volcado sistema de contenidos de la memoria un sistema vivo, sin perturbar el funcionamiento normal del sistema operativo. La imagen de archivo de volcado se guarda en un archivo para su posterior análisis con la chocar utilidad. Crash es un sistema interactivo de comandos de Unix utilizado para el examen de una imagen del sistema. Consulte la documentación de Unix para obtener una lista completa de los comandos de choque.

Para genétasa de un vuelco del sistema de un sistema vivo en el archivo livedump, escriba el siguiente comando:

/ Etc / sysdump-i / dev / mem-n / livedump unix-o

Para usar la utilidad del accidente para analizar el archivo, use el siguiente comando:

/ Etc / crash-n-d livedump livedump

Una vez que el archivo de volcado de memoria se crea y se verificó su integridad, debe conservarse en forma adecuada para una futura revisión por un experto en informática forense o las autoridades legales. Gran parte de la información contenida en un archivo de volcado de memoria es complejo, requiere un conocimiento avanzado de la computadora progra-mación de entender, y está más allá de la capacidad del usuario medio. Sin embargo, el


los procedimientos antes mencionados para la recolección puede ser muy beneficioso cuando una organización desea capturar y preservar la memoria relacionada con la prueba informática cuando se realiza un análisis forense investigación.

Recuerde lo siguiente cuando se trata de la evidencia digital obtenida de un volcado de memoria:

• Todos los princip estándar forense y de procedimientoyoES debe aplicarse.

Al incautar evidencia relacionada con la memoria, las medidas adoptadas no deben cambiar

esas pruebas.

• Las personas que tienen acceso a la evidencia digital original, debe estar capacitado para tal fin.

• Toda la actividad relacionada con la incautación, el acceso, almacenamiento o transferencia de la evidencia digital debe ser plenamente documentado, en conserva, y que puede consultarse.

• Individuosais son responsables de todas las acciones tomadas con respecto a las pruebas digitales, mientras que tal evidencia se encuentra en su posesión.

• Cualquier individuo o grupo que es responsable de la incautación, el acceso, almacenamiento o transferencia de evidencia digital es responsable de cumplir con estos principyoES.

Con respuesta a incidentes y análisis forense informático, la salvaguardia y la protección de los datos es vital. A la informática forense bien informadas profesionales deben asegurarse de que un equipo sujeto sistema se manipulan con cuidado para asegurar que

• No hay evidencia potencial está dañado, destruido o comprometido de alguna manera por el procedimientos utilizados para invertiríla puerta del equipo.

• Extraído y la evidencia relevante, posiblemente, se maneja adecuadamente y protegido de la tarde daño físico o magnético.

• A continuación la cadena de custodia se ha establecido y mantenido.

• Las operaciones comerciales se ven afectados por una cantidad limitada de tiempo, en todo caso.

• Toda la información del cliente-abogado que inadvertidamente se adquiere durante una exploración forense-ración es de ética y respeto legal y no divulgada.

Imágenes Discos DurosEl principio rector de la informática forense es reunir a las posibles pruebas que luego serán analizados y presentados a un tribunal para demostrar la presencia de ¡Yoactividad legal. Es importante que al con-ducto de un examen de informática forense que no haya alteración, daño o alteración de los datos se produce. Para llevar a cabo un análisis forense adecuado el primer paso es recopilar evidencia informática. Debido a que existe un cierto grado de volatilidad de los datos almacenados en un disco duro, la imagen es uno de los primeros procedimientos que se llevarán a

cabo después de que los contenidos de la memoria de la computadora han sido copiados y en conserva.

Como su ñame lo indica, el disco duro de imágenes ofrece una imagen de espejo o una instantánea de los datos con-contenidas en el disco duro. La instantánea es una perfecta sector por sector de la copia de la unidad, incluyendo todos los espacios no utilizados, y sobrescribe parcialmente. El proceso de imágenes no es destructiva con los datos


y no requiere que el sistema operativo que se ha activado (calzada). Esto asegura que el sistema no se altera de ninguna manera durante el proceso de formación de imágenes y por lo tanto conserva su valiosa pruebaé. Una vez que se crea una imagen, el examen forense se llevó a cabo utilizando sólo la imagen (copia) y no el disco duro original.

La capacidad de almacenamiento de los discos duros de las computadoras ha crecido exponencialmente en los últimos años. Como resultado, los discos duros son capaces de almacenar enormes cantidades de datos, el proceso de toma de imágenes más complicado. El mejor enfoque para esta tarea es utilizar una herramienta de imágenes de disco. El proceso de simplemente encender el ordenador o utilizando una utilidad de software como Partition Magic de PowerQuest para copiar el disco duro original puede potencialmente contamiíNate la evidencia. La base archivo por archivo de copia no captura todos los datos residuales (por ejemplo, archivos eliminados, espacio de holgura, y intercambio de archivos) necesarios para realizar un análisis forense completo.

Cómo elegir y utilizar la herramienta adecuada es imprescindible en una investigación en informática forense. De acuerdo con las especificaciones de imágenes de disco publicados por el Instituto Nacional de Estándares y Tecnología (NIST), las exigencias de un alto nivel de imágenes de disco herramienta son las siguientes:

• La herramienta hará una DUPL flujo de bitsíCate o una imagen de un disco original o un discopartición en los medios de comunicación fijos o removibles.

La herramienta no modificará el disco original.

• La herramienta será capaz de acceder tanto a discos IDE y SCSI.

• La herramienta deberá ser capaz de verificar la integridad de un archivo de imagen de

disco.

• La herramienta deberá registrar los errores de entrada / salida (E / S).

• La documentación de la herramienta deberá ser correcta.

Además, los mandatos del NIST que los siguientes requisitos deben cumplirse por todas las herramientas de imágenes en disco:

La herramienta no deberá alterar el original.

• Si no hay errores de acceso a los medios de origen, a continuación, la herramienta deberá crése comió un flujo de bits DUPLíCate del original.

• Si hay errores I / O para acceder a los medios de origen, a continuación, la herramienta deberá crése comió un cualificado flujo de bits DUPLíCate. (Un cualificada de flujo de bits DUPLíCate se define como un DUPLíCate excepto en identificado áreas del flujo de bits). La identificados áreas se sustituyen por valoresúes especificada la documentación de la herramienta.

• La herramienta deberá registrar los errores de E / S, incluyendo el tipo de error y la ubicación del error.

• La herramienta deberá ser capaz de acceder a las unidades de disco a través de una o más de los siguientes inter-caras: acceso directo a la controladora de disco, Interrupt 13 interfaz BIOS, interrupción 13 del BIOS interfaz extendida, ASPI interfaz SCSI, o interfaz de Linux.

• La documentación debe ser correcta en la medida en que la obligatoria y todos los requisitos aplicados opcionales se refiere. Por ejemplo, si un usuario siguiendo procedimientos documentados de la herramienta produce el resultado esperado, entonces la documentación se considera correcta.


• La herramienta deberá copiar una fuente a un destino que es mayor que o igual al tamaño de la fuente, y deberá documentar el contenido del áreas sobre el destino que no forman parte de la copia.

• La herramienta deberá notificar al usuario si la fuente es mayor que el de destino.

Las siguientes dos imágenes de disco que las herramientas se encuentran entre los pocos elegidos que en la actualidad cumplir con la Afore-menciona los estrictos requisitos a lo dispuesto por el NIST:

• Linux dd es una utilidad gratuita para cualquier sistema Linux que pueda efectivamente la imagen y copia de todos los sectores en todos los SCSI e IDE. Esta utilidad incluye un mecanismo de MD5, que valores puedeíla fecha de los datos, imágenes y escribe al disco duro de la cinta, y cualquier otra extraíble medios de comunicación. Linux dd se puede encontrar en www.redhat.com .

• SnapBack DatArrest, por Columbia Data Producís, Inc. (CDP), es una completa solución de imágenes de disco que se ejecuta desde un solo disquete. Según su fabricante, se puede acceder a datos a una velocidad de hasta 300MB por minuto, así como copia de seguridad de DOS, Windows, Windows 95, Windows NT, y Unix desde el mismo disco, mientras que proporciona un registro legal de un exacto "imagen en tiempo "de los contenidos de la computadora. Incluso puede realizar copias de seguridad de un auto-destructiva (una trampa explosiva) de disco duro. Los detalles adicionales y los precios pueden ser encontrado en www.snapback.com.

Después de la Cadena de Custodia para la recolección de evidenciaOtra preocupación importante cuando la imagen de un disco duro es el de establecer una cadena de custodia. La evidencia de la cadena de custodia de las pistas de su fuente original a lo que se ofrece como prueba en los tribunales, que demostraría que la evidencia recogida es auténtico. Cadena de custodia puede ser una de las cuestiones más difíciles que enfrenta el profesional forense tratando de introducir una imagen digital (de la memoria o un disco duro) como prueba en un caso penal. Si el acusado alega que una imagen ha sido alterado o podría haber sido alterado, la carga de la prueba recae sobre la fiscalía para probar lo contrario. En muchos casos, el éxito de los argumento gira en torno a los procedimientos utilizados para salvaguardar la seguridad de las imágenes.

Para una probada de la cadena de custodia que se produzca

• La evidencia se representó en todo momento.

• El paso de la evidencia de una parte a otra está completamente documentado.

• La aprobación de pruebas de un lugar a otro está completamente documentado.

http://www.snapback.com/

http://at/

http://found/

http://www.redhat.com/

El fragmento que sigue, a partir de marzo de 2001 EE.UU. Boletín por Orin S. Kerr, Abogado Litigante de la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia de EE.UU., explica algunas de las cuestiones importantes que pueden surgir cuando el gobierno busca la admisión de los registros informáticos en las Reglas Federales de Evidencia.


Los registros informáticos y las Reglas Federales de EvidenciaLos registros informáticos se puede alterar fácilmente, y los partidos de oposición a menudo alegan

que los registros informáticos carecen de autenticidad, ya que han sido alterados o modificados después de su creación. Por ejemplo, en Los Estados Unidos contra Whitaker, \21F3d 595, 602 (7th Cir. 1997), el gobierno de recuperar los archivos informáticos de la computadora de un traficante de drogas llamado Frost. Los archivos de la computadora de Frost incluidos registros detallados de venta de narcóticos por parte de tres alias: "Yo" (Frost a sí mismo, es de suponer), "Gator" (el apodo de Frost co-acusado Whitaker), y "Cruz" (el apodo de otro distribuidor) . Después de que el gobierno permitió a Frost para ayudar a recuperar la evidencia de su equipo y se negó a establecer una cadena formal de la custodia de la computadora en el juicio, Whitaker argumentó que los archivos le IMPLICADOS-Ing a través de sus alias no habían sido debidamente autenticadas. Whitaker sostuvo que "con algunos golpes de teclado rápidos pocos, Frost fácilmente podría haber añadido el alias de Whitaker, 'Gator' a las impresiones de los dedos con el fin de Whitaker y para parecer más útil para el gobierno". Identificación. en 602.

Los tribunales han respondido con escepticismo a estas afirmaciones sin fundamento de que los registros informáticos han sido alterados. A falta de pruebas específicas que se produjo el sabotaje, la mera posibi-lidad de manipulación no afecta a la autenticidad de un registro informático. Ver Whitaker, \21F3D a 602 (disminución de molestar a la decisión del juez de primera instancia de que los registros informáticos eran admisibles por denuncia de la manipulación era "especulación casi con los ojos desorbitados ... [sin] la evidencia para apoyar esa hipótesis"); Los Estados Unidos contra Bonallo, 858 F2d 1427, 1436 (9th Cir 1988.) ("El hecho de que es posible modificar los datos contenidos en una computadora es claramente insuficiente para establecer poca confianza."); Los Estados Unidos contra Glasser, 773 F2d 1553, 1559 (llth Cir. 1985) ("La existencia de un sistema de seguridad hermético [para prevenir que la manipulación] no es, sin embargo, un requisito previo para la admisibilidad de las impresiones de computadora. Si tal requisito existía, sería prácticamente imposible de admitir por ordenador los registros generados, la parte contraria la admisión tendría que demostrar solamente que un mejor sistema de seguridad era viable ").. Identificación. en 559. Esto es consistente con la regla utilizada para establecer la autenticidad de otras pruebas, tales como los narcóticos. Véase Estados Unidos contra Alyoes, 106 F3d 695, 700 (6th Cir. 1997) ("El solo hecho que plantea la posibilidad de manipulación es insuficiente para hacer pruebas inadmisibles."). A falta de pruebas específicas de manipulación, las acusaciones de que los registros informáticos han sido alterados ir a su peso, no su admisibilidad. Ver Bonallo, 858 F2d en 1436.

La EE.UU. Boletín señala además: "Los estados mejor evidencia de que la regla para probar el contenido de la escritura, grabación, o una fotografía, la escritura original, de grabación o fotografía se requiere generalmente. Ver Reserva Federal. R. Evid. 1002. Los agentes y fiscales en ocasiones expresar la preocupación de que una impresión simple de un archivo de computadora almacena electrónica no puede ser un "original" con el fin de la mejor evidenciadencia regla. Después de todo, el archivo original no es más que una colección de Os y ls. En contraste, la impresión es el resultado de la manipulación del archivo a través de una complicada serie de procesos electrónicos y mecánicos. Afortunadamente, las Reglas Federales de Evidencia se refirió expresamente a esta preocupación. Reglas de Estado federal que [S] i los datos se almacenan en una computadora o dispositivo similar, cualquier impresión u otra salida legible a simple vista, que se muestra para reflejar los datos con precisión, es un original. "

El boletín mencionado se refiere a las Reglas Federales de Evidencia, que se puede encontrar en www.cybercrime.gov en la Sección de Delitos Informáticos y Propiedad Intelectual del


Departamento de Justicia de EE.UU.. Estas normas regulan la presentación de pruebas en los procedimientos, tanto civiles como penales, en los tribunales federales. Si bien no se aplican a los juegos en los tribunales estatales, las reglas de muchos estados han sido cerca el modelo de estas disposiciones. Cuando se trata de la cadena de custodia, auten-ticación o la identificación es de suma importancia. El estándar para la autenticación de los registros informáticos es el mismo que para la autenticación de otros registros. El grado de autenticación no varía simplemente porque un registro pasa a ser (o ha estado en un punto de estado) en forma electrónica.


En resumen, para las imágenes digitales, la cadena de custodia debe documentar la identidad de la indicaciónViduais que han tenido la custodia y el control de la imagen digital (s) desde el punto de captura hasta su archivo. Una vez que el archivo ha sido archivado, la cadena de custodia debe documentar la identidad de individuos de laais que tienen la custodia y el control de la imagen archivada.

Continuidad del Negocio y Planes de ContingenciaDebido a que casi todas las organizaciones hoy en día contamos con los ordenadores para el buen funcionamiento de sus funciones diarias, cualquier tipo de evento ya sea planificada o no, puede traer las operaciones de negocio a un alto. Si ocurre un desastre y su empresa no está preparado, las consecuencias pueden ser catastróficas y pueden ir desde el tiempo de inactividad prolongada a cerrar su negocio de forma permanente. Planificación asegura que la organización va a estar preparado para recuperar los datos y mantener el negocio después de un desastre, discapacitante. El siguiente es el Instituto Nacional de Estándares y Tecnología de TI Conla planificación de contingencia guía. Si bien NIST publica esta guía para los departamentos y agencias federales, organizaciones de los sectores público y prídel sector privado será más valiosa, también.

La TI-Proceso de Planificación de ContingenciaPara desarrollar y mantener un plan de contingencia de TI, las organizaciones deben utilizar el siguiente enfoque:

1. Desarrollar la declaración de política de planificación de contingencia-.

2. Llevar a cabo el análisis de impacto en el negocio (BIA).

3. Identificar los controles preventivos.

4. Desarrollar estrategias de recuperación.

5. Desarrollar un plan de contingencia de TI.

6. Plan de pruebas, entrenamiento y ejercicios.

7. Plan de mantenimiento.

Estos pasos constituyen elementos clave en un amplio TI de contingencia-la planificación de capacidades. La responsabilidad por el proceso de planificación general, cae bajo el auspicio de una posición, posiblemente, titulado coordinador de planes de contingencia o planificador de contingencia, que suele ser un recurso del hombre-gerente dentro de la agencia. El coordinador de la estrategia se desarrolla en cooperación con otros gestores de recursos asociados con el sistema o los procesos de negocio soportados por el sistema. The Concoordinador de contingencia de planificación también por lo general gestiona el desarrollo y ejecución del plan de contingencia. Todas las principales aplicaciones y los sistemas generales de apoyo deben tener un plan de contingencia.

1. DESARROLLO DE LA DECLARACIÓN DE LA POLÍTICA DE CONTINGENCIA DE PLANIFICACIÓNPara ser eficaces y asegurar que el personal entiende completamente la agencia de planificación de contingencia-los requisitos, el plan de contingencia debe basarse en una política claramente definida. La declaración de política de planificación de contingencia, debe definir los objetivos generales de la agencia de contingencia y establecer


la estructura organizacional y las responsabilidades para la planificación de contingencia de TI. Para tener éxito, séINOR gestión, más probable es que el director de información (ICÓ), Debe ser compatible con un programa de contingencia. Estos funcionarios deben ser incluidos en el proceso de elaboración de la política del programa, estructura-tura, los objetivos, funciones y responsabilidades. Como mínimo, la política de contingencia en caso de cumplir con las pautas federales contenida en los documentos Usted por el NIST SP 800-34, las agencias deberían eval-úse comían a sus respectivos sistemas de TI, operaciones, y los requisitos adicionales para determinar si conti-planificación de emergencia-requisitos son necesarios. Los elementos clave de política son los siguientes:

• Funciones y responsabilidades

• Alcance tal como se aplica al tipo (s) de la plataforma (s) y funciones de la organización sujeta a Concontingencia de planificación

• Las necesidades de recursos

• Los requisitos de capacitación

• El ejercicio y los horarios de las pruebas

• Plan de programa de mantenimiento

• La frecuencia de las copias de seguridad y almacenamiento de medios de copia de

seguridad

2. LLEVAR A CABO EL análisis del impacto empresarial (BIA)La BIA es un paso clave en el proceso de planificación de contingencias, ya que permite al coordinador de planes de contingencia para caracterizar completamente los requisitos del sistema, procesos y interdependencias dencias, así como utilizar esta información para determinar los requisitos de contingencia y las prioridades. El propósito de la BIA es correlacionar componente del sistema específicoecon los servicios esenciales que prestan, y en base a esa información, para caracterizar las consecuencias de una interrupción en el componente del sistemae. Los pasos clave se enumera recursos críticos de TI, la identificación de impactos y la interrupción tiempos permitidos de interrupción, y en desarrollo las prioridades de recuperación.

3. Identificar los controles PREVENTIVASEn algunos casos, la interrupción de los impactos identificados en la BIA puede mitigarse o eliminarse a través de medidas preventivas que disuadir, detectar, y / o reducir los impactos al sistema. Cuando sea factible y rentable, los métodos de prevención son preferibles a las acciones que sean necesarias para recuperar el sistema después de una interrupción. Los controles preventivos se deben documentar en el plan de contingencia, y el personal asociado con el sistema debe estar capacitado en cómo y cuándo utilizar los controles. Una variedad de controles preventivos está disponible, dependiendo del tipo y configuración del sistema, sin embargo, algunas de las medidas comunes se enumeran aquí:

• De tamaño apropiado de alimentación ininterrumpida (UPS) para proporcionar a corto plazo de energía de reserva a todos los componentes del sistemae(Incluidos los controles

medioambientales y de seguridad)

• Generadores de gasolina o diesel-para proporcionar a largo plazo de energía de reserva

• Sistemas de aire acondicionado con un exceso de capacidad adecuada para permitir el fracaso de ciertas componentee, Tal como un compresor

• Sistemas de extinción de incendios


• De incendio y detectores de humo

• Sensores de agua en el techo de sala de informática y el suelo

• Pl.áSTIC lonas que pueden ser desenrollado en los equipos informáticos para protegerlo de

daños por agua

Recipientes resistentes al calor y al agua para la copia de seguridad de medios de comunicación y no electrónicos vitales archivos

• Principal sistema de parada de emergencia el interruptor

• De almacenamiento externo de los medios de copia de seguridad, los registros no electrónicos y la documentación del sistema

• Los controles técnicos de seguridad, tales como la gestión de claves criptográficas y al privilegio, controles de acceso

• Copias de seguridad frecuentes y regulares

4. EL DESARROLLO DE ESTRATEGIAS DE RECUPERACIÓNLas estrategias de recuperación proporcionar un medio para restaurar las operaciones de TI de forma rápida y eficaz después de una interrupción del servicio. Las estrategias deben abordar los impactos y los tiempos de interrupción permitidas interrupción identificados en la BIA. Varias alternativas se debe considerar en el desarrollo de la estrategia, incluido el coste, tiempo de interrupción permisible, la seguridad y la integración con los más grandes, el nivel de organización planes de contingencia.

La estrategia de recuperación seleccionado debe responder a los impactos potenciales identificados en el BIA y deben integrarse en la arquitectura del sistema durante las fases de diseño e implementación del ciclo de vida del sistema.

La estrategia debería incluir una combinación de métodos que se complementan unos a otros a favorVide capacidad de recuperación sobre el espectro completo de los incidentes. Una amplia variedad de enfoques de recuperación puede ser considerado, la elección adecuada depende de la incidencia, el tipo de sistema, y sus necesidades operativas. Los métodos específicos de recuperación puede incluir los contratos comerciales con frío, caliente o hot-site vendedores, sitios móviles, reflejados sitios, los acuerdos de reciprocidad con en elForganizaciones ernal o externos, y de nivel de servicio (SLA) con los proveedores de equipos. Además, las tecnologías, tales como matrices redundantes de discos independientes (RAID), cambio automático de conmutación por error-, los de alimentación ininterrumpida (SAI), y los sistemas de espejos deben ser considerados cuando el desarrollo de una estrategia de recuperación del sistema.

5. DESARROLLAR UN PLAN DE CONTINGENCIA TIEl desarrollo de TI plan de contingencia es un paso crítico en el proceso de implementación de un Comprehensive contingencia-la planificación del programa. El plan contiene las funciones detalladas, las responsabilidades, los equipos y los procedimientos asociados con la restauración de un sistema informático después de una interrupción. El plan de contingencia debe documentar las capacidades técnicas diseñadas para apoyar las operaciones de contingencia. La contingencia-plan de emergencia debe adaptarse a la organización y sus necesidades. Los planes deben equilibrar los detalles con la flexibilidad, por lo general cuanto más detallado sea el plan, el

menos escalable y versátil, el enfoque. La información presentada en el NIST SP 800-34 pretende ser una guía, sin embargo, el formato del plan pueden ser modificados según sea necesario para satisfacer mejor sistema específico del usuario, operativos y de organilos requisitos de inmunización.

En su enfoque, el plan de contingencia debe incluir cinco componentes principales: Apéndices información de apoyo, de notificación / activación, recuperación, reconstrucción, y el Plan. La primera


y los componentes últimos proporcionan información esencial para garantizar un plan integral. La notificación / activación, recuperación y las fases de reconstitución frente a las acciones específicas que el organización debe tomar después de una interrupción del sistema o de emergencia.

• El componente de Apoyo a la Información incluye una introducción y una sección de concepto-de-operaciones que proporciona información fundamental o la información contextual que hace que el plan de contingencia más fácil de entender, implementar y mantener. Estos detalles ayudan a conocer la aplicabilidad de la guía, en la toma de decisiones sobre cómo utilizar el plan, y en el suministro de información sobre dónde los planes asociados y información fuera del alcance del plan se puede encontrar.

• La fase de notificación / activación define las acciones iniciales adoptadas una vez a la disrupción del sistemación o de emergencia se ha detectado o parece ser inminente. Esta fase incluye las actividades de recuperación para notificar al personal, evaluar los daños en el sistema, y poner en práctica el plan. A la finalización de la fase de notificación / activación, el personal de la recuperación será preparado para llevar a cabo las medidas de contingencia para restaurar las funciones del sistema sobre una base temporal.

• La fase de recuperación comienza después de que el plan de contingencia ha sido activado, la evaluación de daños se ha terminado (si es posible), el personal han sido notificados, y apropiada los equipos se han movilizado. Las actividades de recuperación de fase se centran en las medidas de contingencia para ejecutar temporales TI capacidades de procesamiento, a reparar el daño al sistema original, y restaurar la capacidad operativa en la instalación original o nuevo. A la finalización de la fase de recuperación, el sistema informático estará en funcionamiento y llevar a cabo las funciones desig-nados en el plan. Dependiendo de las estrategias de recuperación definidas en el plan, estas funciones podrían incluir temporalmente el procesamiento manual de recuperación, y la operación en un altésistema de rnate, o la reubicación y recuperación en un altérnate sitio. Los equipos con responsabilidades de recuperación deben entender y ser capaz de llevar a cabo estas estrategias de recuperación de sobra que si el plan de trabajo no está disponible durante las etapas iniciales del evento, aún puede realizar las actividades necesarias.

• En la fase de reconstitución, las actividades de recuperación han sido terminados, y las operaciones normales se transfieren de nuevo a las instalaciones de la organización. Si la instalación original es irrecuperable, las actividades en esta fase también puede aplicarse a la preparación de una nueva planta para apoyar sistematem requisitos de procesamiento. Una vez que el sitio original o nuevo se restaura el nivel que puede soportar el sistema de TI y sus procesos normales, el sistema puede ser la transición de vuelta a la original o al sitio nuevo. Hasta que el sistema principal se restablezca y probado, el sistema de contingencia en caso de continuaéde opétasa. La fase de reconstitución debe especificar los equipos responsables de la reparación o sustitución tanto en el sitio y el sistema de TI.

• Apéndices del Plan de Contingencias proporcionar detalles importantes que no figuran en el cuerpo principal del plan. En los apéndices se debe reflejar los requisitos específicos de contingencia técnicos, operativos y de gestión del sistema dado. Apéndices pueden incluir,

pero no se limi-limitada a la información de contacto para el personal del equipo de planificación de contingencias, información de contacto de proveedores, incluyendo el almacenamiento fuera del sitio y altéPOC rnate sitio; operativos estándar procedi-mientos y listas de comprobación para la recuperación del sistema o los procesos, equipos y requisitos del sistema de las listas de hardware, software, firmware y otros recursos necesarios para apoyar las operaciones del sistema, los acuerdos con proveedores, acuerdos de reciprocidad con otras organizaciones y otros actas del registro civil, descripción de direcciones y sometidas a la altérnate sitio, y BIA.


Los planes deben tener el formato para proporcionar una dirección rápida y clara en el caso de aquel personal no están familiarizados con el plan o los sistemas están llamados a realizar operaciones de recuperación. Los planes deben ser claros, concisos y fáciles de implementar en caso de emergencia. Siempre que sea posible, listas de control y los procedimientos paso a paso se debe utilizar. Lenguaje conciso y bien formateado, reduce la probabilidad de la creación de un plan excesivamente complejo o confuso.

6. PLAN DE PRUEBAS, entrenamiento y ejerciciosPlan de pruebas es un elemento crítico de una capacidad de contingencia viable. Prueba permite plan de deficiencias-cias para ser identificados y tratados. Las pruebas también ayuda a evalúcomió la capacidad del personal de recuperación para aplicar el plan con rapidez y eficacia. Cada elemento de contingencia de TI plan debe someterse a prueba para confirmar la eficacia de los procedimientos individuales de recuperación y el plan general. El siguiente áreas deben ser abordados en una prueba de contingencia:

• Sistema de recuperación a una altéla plataforma de los medios de copia de seguridad rnate

• La coordinación entre los equipos de recuperación

• EnFconectividad ernal y externa

• El rendimiento del sistema utilizando altéequipos rnate

• Restauración de las operaciones normales

• Los procedimientos de notificación

Capacitación para el personal con responsabilidades plan de contingencia-deben complementar las pruebas. La capacitación debe ser proporcionada al menos una vez al año, los nuevos empleados con responsabilidades de planes deberían recibir una formación poco después de ser contratados. En última instancia, del plan de contingencia, el personal debe estar capacitado en la medida en que los que son capaces de ejecutar sus respectivos procedimientos de recuperación, sin la ayuda del documento real. Este es un objetivo importante en el caso de que las versiones en papel o electrónica del plan no están disponibles para las primeras horas después de algún desastre. El personal de recuperación debe ser capacitación en los elementos del plan siguientes:

• Propósito del plan

• Cruz-equipo de coordinación y comunicación

• Los procedimientos de notificación

• Los requisitos de seguridad

• Equipo de los procesos específicos (notificación / activación, recuperación y las fases de la

reconstitución)

• Las responsabilidades individuales (notificación / activación, recuperación y las fases de la

reconstitución)


7. PLAN DE MANTENIMIENTOPara ser eficaz, el plan debe ser mantenido en un estado listo que refleje con precisión los requisitos del sistema, procedimientos, estructura organizativa y las políticas. Los sistemas de TI sufren cambios frecuentes debido a las necesidades de negocio cambiantes, actualizaciones tecnológicas, o inte nuevamAl o extemAl políticasCIES. Por lo tanto, es esencial que el plan de contingencia se revisarán y actualizarán regularmente, como parte del proceso de la organización de gestión del cambio para que la información nueva se documenta y se revisan las medidas de contingencia en caso necesario. Como regla general, el plan debe ser revisado la exactitud e integridad por lo menos una vez al año o cuando se produzcan cambios significativos a cualquier ele-mento del plan. Algunos elementos, tales como listas de contactos, se requieren revisiones más frecuentes. Dependiendo del tipo de sistema y la criticidad, puede ser razonable para evalúse comió el contenido del plan y procedimientos con mayor frecuencia.

Resumen del capítuloMuchas organizaciones no están suficientemente preparados para hacer frente a la computadora (o red) intrusiones y son más propensos a responder a la necesidad de prepararse y responder a los incidentes sólo después de ha ocurrido una infracción. Incluso con la seguridad sofisticados y medidas preventivas en el lugar, las intrusiones pueden - y no - sucederá. La mejor defensa es un buen ataque. Las organizaciones necesitan una estrategia - incluyendo la preparación y los planes para la detección y la respuesta - a la manipulación de intrusiones con eficacia. En este capítulo se centra en la preparación, que incluye la selección, instalación, y familiarizarse con va-generales técnicas y herramientas que le ayudarán en el proceso de respuesta y le ayudará a recopilar y mantener datos relacionados con un intrusión.


• Cómo preparar los sistemas operativos para recoger y conservar las pruebas a través de la tala yauditoría

Los beneficios de la sincronización de tiempo, sellado de tiempo, y su papel en el fortalecimiento de una capacidad de organización de respuesta a incidentes

• La importancia de la identificación y mapeo de los dispositivos de red de respuesta a incidentes

Los procedimientos para la recopilación de pruebas de la memoria y la imagen de los

discos duros

La importancia de adherirse a una cadena de custodia en su caso las posibles pruebas es ser admisible en un tribunal de justicia

• La criticidad de la planificación de la continuidad en la preparación de respuesta a incidentes

Capítulo 4

Del Registro de Windows, la papelera de reciclaje y almacenamiento de datosln este capítulo

• Una visión general de la estructura del Registro de Windows

• La recopilación de datos del Registro

• Edición del registro y los procedimientos de copia de seguridad

• La comprensión de Windows de

almacenamiento de datos La tabla de asignación

de archivos de Windows (FAT)

• El seguimiento y la recuperación de archivos borrados a través de la papelera de reciclaje de

Windows

• Almacenamiento de datos utilizando el sistema Unix / Linux ficheros ext2

• Recuperar archivos borrados en ext2

A NIVEL MUNDIAL,'S estima que aproximadamente el 90 por ciento de PCsejecutar una versión u otro del sistema operativo de Microsoft Windows. De hecho, la naturaleza casi omnipresente de los sistemas operativos de Microsoft Windows fue el foco de un Departamento muy publicitado juicio Justicia de EE.UU. de defensa de la competencia. Con su interfaz fácil de usar y de gran popularidad, Windows contingenciaúes ser el blanco principal de los ataques de los hackers y otros intrusos que utilizan códigos maliciosos. Recientes estudios-s indíindican que no actualizados y sin protección equipos basados en Windows que se han conectado a Internet por lo general comprometido en menos de 72 horas.

A pesar del uso de servidores de seguridad potentes y sofisticados intrusiósistemas de detección de n, incluso un sistema de protección puede llegar a ser la víctima de un ataque. Para ser eficaz, el personal de respuesta a incidentes de hoy en día deben ser entrenados en técnicas de investigación, de respuesta a incidentes tacéls, y los procedimientos legales para la recopilación de pruebas. Un blanco popular para los intrusos maliciosos es el Registro de Windows. Los piratas informáticos con conocimientos puede tener acceso al Registro y manipúcontraseñas de

los usuarios finales, la configuración de DNS, los derechos de acceso, u otras características que puedan necesitar para cumplir sus objetivos. Para complíCate es más importante, el Registro de Windows es grande, así como dinámica, y la información en el Registro es diversa, por lo que es difícil de controlar.

Este capítulo se centra en las funciones del Registro de Windows y el juego de almacenamiento de datos en la investigación forense y los procedimientos de respuesta a incidentes. Ofrece manejo de incidentes con el conocimiento y las herramientas necesarias para proteger el Registro mientras que con éxito investigar y responder aincidentes informáticos dentro de sus organizaciones.

69


El Registro de WindowsEl Registro de Windows es un datábase, donde toda la información acerca de un equipo se almacena. La Registro se utiliza para almacenar

• Configuración del sistema operativo

• Solicitud de información de configuración

• Información de configuración de

hardware Información del usuario la

seguridad

• La información del usuario actual

Todo, desde las aplicaciones instaladas y las opciones del panel de control de los colores mostrados en la pantalla se almacena en el Registro de datábase. Con Windows 9.x, la Secretaría está contenida en dos archivos (System.dat y User.dat), ubicado en el directorio de Windows. También se encuentra en el directorio de Windows son copias de seguridad del Registro de llamadas System.daOy User.daO. Con Windows NT/2000, los archivos de registro se conoce como urticaria y se almacenan en varios directorios dentro del sistema operativo NT. Antes de la llegada de Windows 95, las funciones del Registro se ha realizado por WIN.INI SYSTEM.INI, y de otra índole. INI archivos que están asociados con las aplicaciones.

Estructura del RegistroEl Registro tiene una estructura jerárquica similar a la estructura de directorios en el disco duro. Cada rama principal, representada por una carpeta ICón en el Editor del Registro (también conocido como REGEDIT, ver Figura 4-1) se llama una colmena. Ubicado dentro de las colmenas son las claves. Cada tecla puede contener otras claves llamadas subclaves junto con sus valoresúES. Es el valúES que contienen la información real que se almacena dentro el Registro.

Lo que sigue es un resumen de las seis ramas principales del registro. Tenga en cuenta que cada rama contiene una parte específica de la información almacenada en el Registro:

HKEY_CLASSES_R00T. Esta rama del Registro contiene la asociación de archivos tipos, Object Linking and Embedding información (OLE), y los datos de acceso directo. Esta clave, junto con el puntero al \ C1culos subclave, proporciona compatibilidad con versiones anteriores de Windows 3.x para OLE y DDE apoyo.

• HKEY_CURRENT_USER. Esta rama apunta a la sección de HKEY_USERS apropiado para el usuario actualmente conectado a la PC.

• HKEY_LOCAL_MACHINE. Esta rama contiene información específica sobre hardware, software, y otras preferencias para el PC local. Esta información se utiliza para todos los usuarios que inician sesión en este equipo.

HKEY_USERS. Esta rama contiene las preferencias individuales para cada usuario de la computadora. Cada usuario está representado por un identificador de seguridad (SID) subclave situada bajo la principal rama.

Capítulo 4: Registro de Windows, la papelera de reciclaje y almacenamiento de datos 71

• HKEY_CURRENT_CONFIG. Esta rama enlaces a HKEY_LOCAL_MACHINE \ Config para información específica del equipo.

• HKEY_DYN_DATA. Esta rama contiene información que se debe mantener en la memoria RAM. De Windows en ocasiones, los swaps de información a la unidad de disco duro, que se actualiza System.dat o User.dat, pero la información en HKEY_DYN_DATA permanece en la memoria RAM. Esta rama tiene no aparece en Windows XP o Windows 2000.

Dentro de las claves de registro, hay cinco tipos de valoresúES. Lo que sigue es una lista de valoresúES junto con un breve explicación de sus funciones:

• Cadena o REG_SZ. Este tipo es una cadena estándar, que se utiliza para representar texto legible valúES.

• Binario o REG_B yoNary. Este tipo almacena el valiosoécomo datos binarios primas. La mayoría del hardware información de los componentes se almacenan como datos binarios y se muestra en el Editor del Registro en formato hexadecimal.

• DWORD o REG_DW0RD. Este tipo representa los datos como un número de cuatro bytes y es com-comúnmente utilizado para booleana ValúES, por ejemplo, cuando se desactiva 0 y 1 está activado. Además, muchos parámetros para los controladores de dispositivos y servicios son de este tipo y se pueden visualizar en formato binario, hexadecimal y en formato decimal.

• Multistring valiosaéo REG_MULTI_SZ. Este tipo es un múltiple de cadena para representar valoresúes que contienen listas o múltiple Valúes, cada entrada está separada por un carácter nulo.

• De cadena expandible valiosaéo REG_EXPAND_SZ. Este tipo es una cadena de datos expansible, que es decir, una cadena que contiene una variable para ser sustituido cuando es llamado por una aplicación. Por ejemplo, la cadena "% SystemRoot%" se sustituye por la ubicación real del directorio que contiene los archivos de sistema de Windows NT.

Visualización y edición de la SecretaríaAntes de hacer cualquier cambio en el Registro, siempre se debe hacer una copia de seguridad del Registro en primer lugar. Cualquier error o errónea bañoFRies hizo cuando se utiliza el Editor del registro puede hacer que Windows se comportan de forma errática o, peor aún, es posible que Windows no se carga en absoluto. El Registro no puede ver o editar con un editor de texto estándar. Dado que los datos de registro se almacenan en archivos binarios, para ver o editar el Registro, debe utilizar un programa incluido en Windows llamado REGEDIT o un programa de terceros específicamente diseñado para la edición del Registro. Desde REGEDIT no aparece en los hombres Inicio de Windowsú, Debe acceder a través de un comando (DOS) del sistema o utilice los hombres Runú. Para ejecutar este proprograma, simplemente haga clic en Inicio, luego en Ejecutar, y escriba regedit en el campo de entrada (ver Figura 4-2) o el tipo regedit en el símbolo del sistema cuando el Editor del Registro. Para obtener información más detallada acerca de cómo modificar el Registro, siga estos pasos, mientras que el Editor del Registro está abierto:

1. En la parte superior del editor, seleccione Ayuda a los hombresú, A continuación, en Temas

de Ayuda.

2. Seleccione la ficha Contenido, a continuación, seleccione Cambiar claves y ValúES.

3. Seleccione el tema que desee.


Figura 4-1:El Editor del Registro de Windows (regedit)

Abrir: Escriba el ñombre del recurso de Internet

un programa, una carpeta y Windows w \ \ \

documentar, o abrirlo para usted

33

1 JJifJiFH

A

Aceptar

Cancelar Navegar ■ ■ ■ Yo

Figura 4-2: Lanzamiento REGEDIT en

el cuadro de diálogo Ejecutar de

Windows

Una alternativa de Editor del Registro (Regedt32.exe) está disponible para su uso con Windows

NT/2000. Incluye algunas características adicionales que no se encuentran en la versi normaón.

Las características avanzadas incluyen la capacidad para ver y modificar los permisos de

seguridad, y a capacidad de crécomieron y modificar el extensa cadena de valoresúes

REG_EXPAND_SZ y REG_MULTI_SZ.

Capítulo 4: Registro de Windows, la papelera de reciclaje y almacenamiento de datos

73

Recolección de Datos del RegistroMuchos sitios web de hackers subterráneos hincapié en la importancia del registro de Windows. Permisos incorrectos u opciones de seguridad puede permitir el acceso remoto al Registro. Los hackers pueden explotar esta característica para comprometer un sistema o para formar la base para el ajuste de la asociación de archivos y permisos para permitir que el código malicioso.

Por ejemplo, un hacker podría ocultar procesos, archivos y claves del Registro. Como se describe en el capítulo 1, un método simple para cargar una aplicación en el inicio es añadir una entrada (clave) a la siguiente Sección del Registro:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ CurrentVersion \ Run

Si bien este es un lugar común para el lanzamiento de fiaríaplicaciones de software compañero, sino que también puede ser utilizado por los hackers o los codificadores maliciosos para provocar una peligrosa de una aplicación (como un caballo de Troya o un capturador de teclado de carrera) que será lanzado la próxima vez que se inicia el equipo. Si bien los datos de registro pueden ser vistos a través de la incorporada en Windows Registry Editor (regedit), la mayoría de valoresúes en el Registro son leer y actualiza sólo las aplicaciones que lo utilizan.

Uno de los primeros pasos para reunir información sobre un comprometido equipo de Windows es la recopilación de datos volátiles. Datos volátiles se puede definir como información activa temporalmente refleja el estado actual de la máquina. Esto incluye los contenidos de los registros, cachés, memoria física y virtual, así como información acerca de las conexiones de red, acciones, procesos que se ejecutan, discos, unidades de discos flexibles, cintas, CD / ROM, y la actividad de impresión. Una herramienta útil para la recogida de la volatilidad de los datos del Registro es Regmon (ver Figura 4-3), por Mark Russinovich y Bryce Cogswell. Regmon es una utilidad gratuita que muestra, captura y registra toda la actividad del Registro en tiempo real. Debido a que tiene la capacidad de monitorear, capturar y registrar la actividad del Registro, que es útil como un inci-dente de respuesta y una herramienta forense. Para obtener información adicional o para descargar Regmon, visite www.sys interna- s.com .

Otra herramienta útil programa gratuito para el seguimiento y registro de los cambios en el Registro de Windows es InCntrl5 (ver Figura 4-4), escrita por Neil J. Rubenking. InCntrl5 supervisa los cambios realizados al registro, las unidades y del INI. Y archivos de texto de equipos basados en Windows. Aunque fue diseñado principalmente para rastrear los cambios que se producen en todo el sistema al instalar software nuevo, también es muy útil cuando se realiza un

http://www.sysinternals.com/

examen forense, ya que permite el examinador de comparar los cambios realizados en un sistema, tanto antes como después de un compromiso del sistema. InCntrl5 se puede descargar en www.extremetech.com.

http://www.extremetech.com/


:> 'Registro de Monito

-Sysintemals: www.svsinternals.CDm B0EEditar archivo Q |> nes de ayuda

U I % B et ■ - • I v 9 1 44 glít | Hora Proceso Fleques! | Camino |

ResultadOtro

52889 602.48186195 worldtime.e .. CreateKey H KLM \ S istema \ CLirrentContrül5 et \ 5 ervi.

SUCCE ..

Clave: 0xE1B ...

5289Q 602 48194073 worldlirne OpenKey H KLM \ S jisterrACurrentControlS ErAS ervi. SUCCE. KeyOxEIB ...52891 602 48201951 werldlime fi OpenKe ^ HKLM \ Soltware \ Palicies \

MicrosoltWi ..NOTFO.

52882 602.48205886 WorldTime

e ..

Quer ^ Valor H KLM \ SysterrACurrentControlS et \ 5 ervi.

5UCCE ..52883 602.48208656 WorldTi

mee ..

QueryValue H KLM \ Systern \ CLirrentCoritrol5 et \ 5 ervi.

SUCCE ..52894 60248215360 worldlirne Método

CloseKeyH KLM \ JisterrACurrentControlS S et \ S ervi. SUCCE. KeyOxEIB.

52895 60248218129 werldlime e CloseKe ^ H KLM \ JisterrACurrentControlS S et \ S ervi. SUCCE. Clave: 0xE1B ...52896 602.48306461 WorldTi

mee ..

CreateKey H KLM \ System \ CLirrentControl5 et \ 5 ervi.

5UCCE ..

Clave: 0xE1B ...52837 602.48313250 WorldTi

mee ..

OpenKey H KLM \ S ysterrACurrentControrS et \ 5 ervi. SUCCE ..

Clave: 0xE1B ...52898 60248316689 worldlirne OpenKey HKLM \ Sollware \ Policies \ MicrosollWi .. NOTFO.52899 602 48320879 werldlime e Quer ^ Valor H KLM \ JisterrACurrentControlS S et \ S ervi. SUCCE. "DS-1000"

52800 602.48328671 WorldTime

e ..

Quer ^ Valor H KLM \ S jistenACurrentControrS et \ 5 ervi.

5UCCE ..

"DS-1000"52801 602.48335785 WorldTi

mee ..

Método CloseKey

H KLM \ S ysterrACurrentControrS et \ S ervi. SUCCE ..

Clave: 0xE1B ...52902 602 48338729 worldlirne Método

CloseKeyH KLM \ S ysterrACurrentControrS et \ S ervi. SUCCE. KeyOxEIB ...

52903 602.48410385 werldlime e CrealeKe ^ H VSysterrACurrentControlS KLM et \ S ervi. SUCCE. Clave: 0xE1B ...52804 602.48417080 WorldTi

mee ..

OpenKey H KLM \ SysteríACurrentControlS et \ S ervi.

5UCCE ..


mee ..

ÜpenKey HKLM \ Software \ Policies \ MicrosoftWi ..

NOTFO.52906 602 48424214 worldlirne OueryValue H KLM \ S ysterrACurrentControrS et \ S ervi. SUCCE.52907 602.48426644 werldlime e Quer ^ Valor H VSysterrACurrentControlS KLM et \ S ervi. SUCCE.52808 602.48434271 WorldTi

mee ..

Método CloseKey

H KLM \ SysteríACurrentControlS et \ S ervi.

5UCCE ..


mee ..

Método CloseKey

H KLM \ S ysterrACurrentControrS et \ S ervi. SUCCE ..

Clave: 0xE1B ...52910 60248476427 worldlirne Método

CloseKeyH KLM \ S ysterrACurrentControrS et \ S ervi. SUCCE. Clave: 0xE12 ..

52911 60248531322 werldlime e CloseKe ^ H VSysterrACurrentControlS KLM et \ S ervi. SUCCE. Clave: 0xE12 ..52812 602.48535848 WorldTi

mee ..

Método CloseKey

H KLM \ SysteriACurrentControlS et \ S ervi.

5UCCE ..

Clave: 0xE11 ...52813 603.38787126 Euplorer.EX. QueryValue HKLM \ SYSTEM \ ControlSet001 \

3ervic.SUCCE .

."\ Device \ {...

52914 60338790649 Explorer.EX. OueryValue HKLM \ SY9TEM \ ControlSet001 \ 9ervic.

SUCCE. "" \ Device \ {...52915 60338015842 Euplorer.EX. GpenKe ^ HKLM \ SYSTEM \ CurrentControlSet \ 9e SUCCE. Clave: 0xE11 ..52816 603.33025883 Explorer.EX. Quer ^ Valor HKLM \ SYSTEM \ CurreiitContror3et \

Se.5UCCE .

.0x0

52817 603.33023503 Euplorer.EX. QueryValue HKLM \ SYSTEM \ CurreiitContror3et \ Se.

NOTFO.52918 60338038135 Explorer.EX. Método

CloseKeyHKLM \ SY9TEM \ CurrerlContralSet \ 9e SUCCE. KeyOxEII ..

52919 60338096634 Euplorer.EX. Quer ^ Valor HKLM \ SY9TEM \ ControlSet001 \ Serv¡c.

SUCCE. "\ Device \ {...52820 603.33033386 Explorer.EX. Quer ^ Valor HKLM \ SYSTEM \ Control5et001 \

Services.5UCCE .

."\ Device \ t...

52821 603.38161251 Euplorer.EX. OpenKey HKLM \ SYSTEM \ CurreiitContror3et \ Se.

SUCCE ..

Clave: 0xE11 ...52922 603 38195609 Explorer.EX. OueryValue HKLM \ SY9TEM \ CurrerlContralSet \ 9e SUCCE. 0x052923 603 38198710 Euplorer.EX. Quer ^ Valor HKLM \ SY9TEM \ CurrentControlSet \ 9e NOTFO.52824 603.33174386 Explorer.EX. Método

CloseKeyHKLM \ SYSTEM \ CurreiitContror3et \

Se.5UCCE .

.Clave: 0xE11 ...

Figura 4-3: La utilidad Regmon

Figura 4-4: La lnCntrl5 Utilidad

Copia de seguridad del Registro y los procedimientos de restauraciónEl Registro es un componente crítico del sistema operativo. Cuando está dañado, Windows no se carga correctamente. Sin ella, Windows no se carga en absoluto. Cuando un sistema ha sufrido un

http://www.svsinternals.CDm/

compromiso, una copia de seguridad de la Secretaría tiene un rol importante en la respuesta a incidentes. Es obligatorio que apropiadas se tomen precauciones para proteger los datos esenciales que se requiere para la recuperación en el


75

caso de daños a un sistema Windows, especialmente en su registro. Además, dado que los piratas informáticos y los codificadores maliciosos a menudo apuntan a la Secretaría, una copia de seguridad o copiaíun Registro adulterado puede ser utilizado como una base de comparación cuando se realiza un examen forense de una afectada de cómputonEl concepto de copias de seguridad de archivos con frecuencia es ignorada y / o mal entendido entre los usuarios de computadoras organizacionales. Por desgracia, las consecuencias de no adecuadamente el respaldo de archivos se puede poner una organización fuera del negocio. Los siguientes son los procedimientos generales de copia de seguridad para Windows NT 4.0, 2000, y XR

Windows NT 4.0En Windows NT 4.0, hay dos métodos que se que se pueden utilizar con el fin de respaldar y restaurar todo el Registro. La primera (y preferido) método consiste en utilizar el. Herramienta integrada de seguridad de Windows NT (Ntbackup.exe) y utilice la opción de realizar copias de seguridad ya sea de seguridad o restaurar el Registro Este pro-grama, que es parte de Windows NT 4.0, se puede invocar simplemente escribiendo ntbackup en el cuadro de comando Ejecutar en los hombres de inicio de Windowsúo en el símbolo del sistema. Tenga en cuenta que al emplear este método se necesita una cinta de funcionamiento, Zip o CD-RW a recibir la copia de seguridad.

El método de copia de seguridad de segunda es utilizar RDISK con la rdisk / s comando. Windows NT con-tiene una utilidad RDISK que se utiliza para extraer los datos esenciales (de la Secretaría de un sistema Windows NT) necesarios para la recuperación en caso de que el Registro se ha dañado. Cuando se utiliza con el / S opción, RDISK ayuda en la recuperación de las cuentas de usuario, grupos, políticas y controles de acceso mediante la extracción de Administrador de cuentas de seguridad (SAM) de la información. Después de utilizar este procedimiento, los datos extraídos inicialmente se escriben en archivos en un directorio llamado de reparación, que normalmente se encuentra en el C: \ WINNT \ directorio.

La utilidad RDISK no tiene la intención de hacer una copia de seguridad completa de un

registro de Windows NT 4.0. Los archivos de datos sólo se RDISK destinado a contener la

información esencial necesaria para una rápida recuperación, no todo el contenido del

Registro. Para realizar una copia de seguridad completa del Registro de Windows NT 4.0, una

herramienta de utilidad más amplio (como Ntbackup.exe) o una utilidad de terceros

específicamente diseñado para copia de seguridad del registro debe ser utilizado.

WINDOWS 2000Con el fin de hacer una copia de seguridad de todo el Registro en Windows 2000, es necesario utilizar la utilidad Copia de seguridad de Windows 2000. Mientras que la utilidad de copia de seguridad se utiliza a menudo para crése comió un disco de reparación de emergencia (ERD), también se puede utilizar para realizar copias de seguridad y restaurar el estado del sistema, que incluye el Registro, el Registro de clases COM + datábase, y otros archivos críticos necesarios para arrancar el ordenador.

El procedimiento de copia de seguridad del estado del sistema en un equipo con Windows 2000 es el siguiente:

{

1. Haga clic en Inicio y, a continuación, seleccione Programas.

2. Vaya a Accesorios, luego Herramientas del sistema.

3. En Herramientas del sistema, seleccione el programa de copia de seguridad.

4. Bajo el programa de copia de seguridad, seleccione (haga clic en) la pestaña Copia de

seguridad.


Seleccione el estado del sistema casilla de verificación. (Todos los componentes para realizar copias de seguridad son Usted en el panel de la derecha. No se puede seleccionar individualmente cada elemento.)

Durante la copia de seguridad del estado del sistema, debe seleccionar la copia de seguridad la

carpeta WinnttCarpeta Sysvol. Esta opción ¡s también se requiere durante el proceso de

restauración con el fin de tener un volumen de trabajo del sistema (SYSVOL) después de la

recuperación.

EUR

El procedimiento para restaurar el estado del sistema desde una copia de seguridad en un equipo con Windows 2000 es el sigue:

1. Haga clic en Inicio y, a continuación, seleccione Programas.

2. Vaya a Accesorios, a continuación, elija Herramientas del sistema.


4. Bajo el programa de copia de seguridad, seleccione la ficha Restaurar.

5. En la ficha de restauración, seleccione los medios de copia de seguridad adecuadas y el

Estado del sistema para restaurar.

Al igual que con el procedimiento del sistema de copia de seguridad del Estado, durante la

operación de restauración, la carpeta WinnttSysvol también debe ser seleccionado para ser

restaurado con el fin de tener un volumen de sistema activo de trabajo después de que el proceso

de recuperación. Asegúrese de que la opción avanzada para restaurar los "puntos de unión y de

datos", también se selecciona antes de la la restauración. Esto asegura que los puntos de

unión del volumen se vuelve a crear.

6. En el cuadro Restaurar archivos en, seleccione la ubicación original.

7. Haga clic en Iniciar.

8. Después de que el proceso de restauración haya finalizado, reinicie el equipo.

Si desea restaurar el estado del sistema en un sistema comprometido o dañado, lo mejor es por formar los pasos antes mencionados, mientras que el equipo está funcionando en modo seguro. Con el fin de iniciar el equipo en modo seguro, siga estos pasos:

1. Encienda el ordenador y pulse la tecla F8 tan pronto como usted ve el arranque de Windows 2000 hombresú.

2. Usando las flechas del teclado, seleccione la opción apropiada del Modo a prueba de errores y a continuación, pulse Intro.

3. Ahora, Windows se iniciará en modo seguro.


77

WINDOWS XPAl igual que Windows 2000, hacer copia de seguridad del estado del sistema (registro, el Registro de clases COM + datábase, y los archivos críticos de arranque) en Windows XP, la necesidad de emplear la utilidad de copia de seguridad.

El procedimiento para realizar copias de seguridad del estado del sistema en un equipo con Windows XP es el siguiente:

1. Haga clic en Inicio y, a continuación, seleccione Todos los programas.



4. De forma predeterminada, la pantalla de copia de seguridad y restauración de Wizard.

5. Seleccione el modo avanzado, a continuación, haga clic en el Asistente para la copia botón

Opciones avanzadas.

6. La pantalla del asistente de copia de seguridad. Haga clic en Siguiente.

7. En el ¿Qué hacer copia de seguridad del panel, seleccione la opción "Sólo una copia de seguridad del estado del sistema de datos" (ver Figura 4-5), a continuación, seleccione Siguiente para elegir el ñombre y ubicación de los archivos de copia de seguridad.

8. Haga clic en Finalizar para completar el proceso.

Figura 4-5: El Asistente para la copia de Windows XP

El procedimiento para restaurar el estado del sistema desde una copia de seguridad en un equipo con Windows XP es tan sigue:

1. Haga clic en Inicio y, a continuación, seleccione Todos los programas.



4. De forma predeterminada, la pantalla de copia de seguridad y restauración de Wizard.

5. Seleccione el modo avanzado, a continuación, haga clic en el botón Opciones avanzadas

Asistente de restauración.


6. En la recepción a la restauración de pantalla del asistente, seleccione Siguiente.

7. Seleccione el archivo de copia de seguridad que desea restaurar y seleccione Restaurar para finalizar el proceso.

Programas de registro de copia de seguridad (Shareware y Freeware)El proceso de copia de seguridad del Registro varíes entre las versiones de Windows. En lugar de la lista a todos ellos, los usuarios interesados en aprender cómo hacer una copia de forma manual en el marco de su particular versi de Windowsón puede encontrará las instrucciones detalladas en el http://support.ru icrosoft.com .

Las versiones posteriores de Windows tienen una utilidad integrada de restauración que toma instantáneas periódicas de los archivos críticos del registro y de otro tipo y las guarda en un lugar especial. Esto permite a los usuarios para hacer retroceder la configuración del sistema operativo para una copia de trabajo en el caso de que el registro se corrompe o alterado por código malicioso. Afortunadamente, hay docenas de utilidades freeware y shareware que puede realizar fácilmente copias de seguridad del Registro y la restauración, con sólo unos clics del ratón. Para aquellos que están entresado, las siguientes son tres los sitios Web que contienen copias de seguridad del Registro y la restauración y gratuito programas shareware, junto con numerosos otros servicios públicos:

• http://freeware.intrastar.net/registry.htm

• www.webattack.com

• www.davecentral.com

La comprensión de almacenamiento de datosPara entender la recuperación de datos forense, es importante apreciar primero cómo y dónde se almacenan los datos. Casi todas las computadoras de escritorio y servidor en uso hoy en día contiene uno o más de disco duro Dri-VES. A diferencia de los disquetes, discos Zip, que contienen una delgada pl flexiblesála película stic para almacenar datos, unidades de disco duro tiene un plato fuerte con un recubrimiento especial que almacena los datos digitales magnéticos. Esto es muy diferente desde el CD-ROM (por ejemplo, CD-R y CD-RW) Los discos, que almacenan los datos digitales en forma de micro-escópica manchas reflectantes y no reflectantes a lo largo de ranuras en el disco.

El disco duroEl disco duro es uno de los componentes más importantes de la computadora de hoy en día. La unidad de disco duro tiene la gran mayoría de los datos almacenados en un ordenador. Desde el

http://www.davecentral.com/

http://www.webattack.com/

http://freeware.intrastar.net/registry.htm

http://support.ruicrosoft.com/

punto de vista de respuesta a incidentes, el disco duro debe ser protegida por la valiosaéde los datos contenidos en ella. Desde el punto de vista forense, el disco duro, a causa de los archivos de registro y rincones de almacenamiento de datos y grietas, puede ser una valiosa fuente de evidencia potencial.

En un tiempo, unidades de disco duro se llaman unidades de Winchester. Este término se remonta a la década de 1960 cuando IBM desarrolló una alta velocidad de disco duro que tenía 30 MB de almacenamiento fijo-disco y 30 MB de disco extraíbles de almacenamiento. La unidad, denominada 30-30, pronto se ganó el apodo del famoso Winchester Winchester 30-30 rifle. El apodo de Winchester no tenía valiosa técnicaé, Que simplemente estaba tan extendido que todos los discos duros de alta velocidad se refiere, como pronto "Winchester" unidades.


79

Los discos duros almacenan datos en uno o más platos de óxidos metálicos, cada uno con dos lados sobre el cual los datos pueden ser almacenados. Las bandejas de disco duro están hechos de vidrio o aluminio. Un disco duro típico contiene varios de estos discos de 3,5 pulgadas, que puede contener decenas de miles de millones de bits individuales de datos. Densidad de área ha sido el indicador principal de la tasa de crecimiento de capacidad de disco duro. Cuanto mayor sea la densidad de área de los platos de un disco duro, los bits de datos más que pueden ser empacados en cada centímetro cuadrado de bandeja Real Estáte. Estos discos, que giran a una velocidad de entre 3.600 y 10.000 revoluciones por minuto, titulares de las cargas magnéticas que hacen de los datos almacenados en los discos. Una unidad de disco duro tiene una lectura / escritura de la cabeza por plato, que está conectado a un brazo actuador. Esta cabeza en realidad flota sobre un colchón de aire generado por los discos que gira rápidamente. La distancia que el flotador cabezas es sólo de 1 a 2 micro-pulgadas (una millonésima de pulgada) por encima de la superficie de los platos. Debido a estas tolerancias extremas, la unidad de disco está sellado para evitar que la suciedad o el polvo de en la unidad.

Toda la información contenida en una unidad de disco duro se almacena en las pistas, que son círculos concéntricos colocados en la superficie de cada plato, muy parecido a los anillos anuales de un árbol. Desde una pista en el disco duro sería demasiado grande para un sistema operativo para gestionar como una unidad única y continua, múpistas ltiple se utilizan. Las pistas están numeradas, a partir de cero, y comienzan en la parte exterior del plato y aumento (0, 1, 2, 3, y así sucesivamente) hacia el centro. Un disco duro moderno tiene decenas de miles de pistas en cada disco. Cada pista puede contener muchos miles de bytes de datos. Incluso con múpistas ltiple, almacenamiento de datos aún requiere de una enorme cantidad de recursos del sistema operativo para leer y escribir datos. Sería ineficiente para hacer una pista de la unidad mínima de almacenamiento en el disco, ya que esto significaría un pequeño archivo también ocupan una gran cantidad de espacio en disco. Obviamente, tener un pequeño fichero que ocupan una gran árazones de espacio en disco es un desperdicio, y por esa razón, las pistas del disco se divide en divisiones más pequeñas numeradas conocidas como sectores. Los sectores son la unidad básica de datos de almacenamiento en un disco duro.

El disqueteLa unidad de disquete fue inventado en 1967 por Alan Shugart, mientras él trabajaba como ingeniero en IBM. Fue uno de los s ShugartéINOR ingenieros, David Noble, que en realidad el primero en proponer el concepto de un disco flexible de los medios de comunicación protegido por un plástic chaqueta con un forro de tela. Este concepto se hizo realidad cuando la primera unidad de disquete fue creado. Shugart deja IBM en 1969 para trabajar para Memorex y luego a la izquierda de Memorex en el año 1973 para formar su propia compañía, Shugart Associates, que diseñó y desarrolló las unidades de disquete-. La interfaz de disco flexible desarrollado por su empresa fue la base para el disco de las unidades de disco todavía está en uso hoy en día. Los disquetes fueron los primeros 8 pulgadas de diámetro y un poco engorroso.

Por los avances a mediados de 1970 en la tecnología permite a los ingenieros crése comió un menor de 5,25 pulgadas disquete con una capacidad inicial de 360K. En el disco de mediados de los 1980 discos alcanzado su tamaño actual de 3,5 pulgadas, sin embargo, que sólo tenían una capacidad inicial de 720K. A mediados de la década de 1990 el estándar de 3,5 pulgadas disco alcanzó su cenit en el 2.88MB. Dado que los requisitos de almacenamiento de datos sigue creciendo, la capacidad del disco siguieron su ejemplo. Mientras que el tamaño del disco físico no ha cambiado mucho, la cantidad de datos que un

disco puede almacenar se ha incrementado dramáticamente. De hoy en día súper discos como el LS-120 y el disco Iomega Zip ahora puede mantener a millones de bytes de datos en el mismo tamaño de disco de 3,5 pulgadas de diámetro del disco original.

El interior de una unidad de disco estándar tiene muchas similitudes con el interior de una unidad de disco duro. La mayoría de las unidades de disquete tiene dos de lectura / escritura de cabezas, lo que significa que son de doble cara. Una cabeza se utiliza para leer y escribir datos en el disquete mientras que el otro se utiliza para borrar una pista antes de los datos


está escrito por la otra cabeza. Al igual que con un disco duro, el mecanismo de la cabeza se mueve por un actuador. Utilizando un diseño similar al de las primeras unidades de disco duro, un motor mueve las cabezas dentro y fuera, dándoles la posibilidad de situarse por encima de cualquier pista en el disco para almacenar y recuperar datos.

La ventaja de los discos es que son portátiles, por lo que es fácil de transferir datos desde un ordenador a otro. El inconveniente de los disquetes es que no son un m fiableémediano para su almacenamiento-Ing archivos importantes ya que el polvo, arañazos, humedad, y los campos magnéticos pueden dañarlos.

Desde un punto de vista de respuesta a incidentes y forense, el disco tiene un papel importante. Uno nunca debe permitir que un equipo sospechoso de arrancar desde su disco duro o utilizar su sistema operativo para realizar tareas de investigación. Muchas veces la evidencia es borrado o alterado durante el proceso de arranque normal. Además, usted no sabe qué tipo de procedimientos de limpieza están esperando en el proceso de arranque. Al llevar a cabo una investigación forense siempre debe arrancar desde un disquete. Tenga en cuenta que el BIOS del equipo puede que necesite ser modificado a través del programa de configuración del BIOS para permitir que el equipo para arrancar desde un disquete. Este procedimiento exacto varíES, dependiendo del tipo de BIOS que se utilizan en la fabricación de chips de la computadora. Una vez que esté seguro de que puede arrancar desde la unidad de disquete, el disco duro puede ser examinado.

El programa de configuración del BIOS que normalmente sólo se puede entrar durante el

proceso de arranque, sin embargo, algunos BlSistemas operativos permiten la entrada en el

programa de instalación utilizando una combinación de teclas en cualquier momento. Una

norma universal reciente ha comenzado a surgir, el uso de la tecla Supr para entrar en el

programa de instalación duranteING en el proceso de arranque. Esto parece ser cierto para el B

dos más populareslSistemas operativos, IAM y el Premio, así como varios otros. Mayores BlSO

puede utilizar una multitud de extrañas combinaciones de teclas, incluyendo Ing. pero no se

limitan a: Ese, F1, F2, F10, Ctrl + Esc, Alt + Esc, Ctrl + Alt + Esc, Ctrl + Alt + Enter,

Complementos y, a varios otros.

El CD-ROMCompact Disc-Read Only Memory, mejor conocido como un CD-ROM, es un tipo de disco óptico capaz de almacenar enormes cantidades de datos. Mientras que el tamaño más común para tales enfermedadeses es de alrededor de 650 a 700 MB, gran capacidad de los CD-ROMs son capaces de almacenar incluso más que eso. Un 700MB solo CD-ROM tiene la capacidad de almacenamiento de alrededor de 700 disquetes, almacenamiento suficiente para contener cerca de 300.000 páginas de texto. En 1978, Phillips y Sony Corporation unieron sus fuerzas en un esfuerzo para producir el CD de audio actual. Sony presionó para que un disco de 12 pulgadas, mientras que Phillips quería una más pequeña, el disco más portátil. Con el tiempo los detalles

resueltos, el actual estándar de 4.72 pulgadas (120mm) del disco fue anunciado en 1982. La leyenda cuenta que este tamaño fue elegido porque podía contener la Novena Sinfonía de Beethoven en su totalidad.

Desde su introducción por Sony y Philips, el disco compacto ha tenido un impacto notable sobre cómo la gente escucha música. CD-ROM han afectado la forma en que ver películas, compartir fotografías, y leer libros. Las ventajas de CDs incluyen su pequeño tamaño, gran capacidad de datos, de bajo costo manu-facturero y robustez física. Con la continua cooperación de Sony y Phillips, más específiíciones fueron anunciados a finales de 1980 que condujeron a la utilización de la unidad de CD-ROM para el almacenamiento de los datos informáticos.


81

La tecnología de CDAunque idénticos en tamaño y apariencia a los CD de audio, CDs de ordenador están diseñados para almacenar datos informáticos, además de los datos de audio. CD-ROM se hacen oíuna delgada película metálica de aleación de aluminio rodeado por policarbonato. La película metálica es la parte del CD, donde la información digital, se almacena. La carcasa de policarbonato claro, simplemente protege a la película y proporciona una rigidez en el disco. Estos CDs son una sola cara, todo de la lectura se realiza desde la parte inferior de la unidad de CD y un la etiqueta se coloca generalmente en la parte superior.

La información almacenada en la película metálica del CD puede ser leído sólo por l que refleja un bajo consumo de energíaáservicios fuera de la película de aluminio. Un receptor de luz especial en la unidad de CD-ROM toma nota de que la luz se refleja y donde la luz está ausente. La ausencia de luz reflejada es causada por pequeños pozos grabada en la superficie de los estratos de aluminio. Pozos individuales son sólo 0,12 micrones (millonésimas de pulgada) de profundidad y están grabados en la pista en espiral que atraviesa desde el borde exterior del disco a su centro (similar a la vieja usanza de vinilo discos analógicos). La ausencia de hoyos (la superficie o puntos altos) se conoce como tierras. A l bajo consumo de energíaáservicios lee los pozos y tierras, que se convierten por la unidad de CD-ROM en código binario (Os y ls). Este binario (nativo) código de computadora son los datos reales utilizados por el equipo. Standard discos CD-ROM son de sólo lectura y no puede ser alterado o borrado. Esto cambió con el advenimiento de los CD-R y CD-RW.

CD-R y CD-RWCD-R es la abreviatura de CD grabable. CDs grabables son también conocidos como WORM (Write Once, Read Múltiple) los medios de comunicación, y trabajan de una manera similar a un CD estándar. La ventaja de CD-R sobre otros tipos de medios ópticos es que los datos se pueden leer de estos discos con un reproductor de CD estándar. La desventaja es que los discos no pueden ser reutilizados una vez los datos se han escrito en ellos. Una tecnología relacionada llamada CD regrabable (CD-RW) le permite borrar discos y volver a usarlos, pero el CD-RW no funciona en todos los reproductores de CD, en especial los más viejos. CD-regrabables unidades son capaz de escribir CD-R y CD-RW.

Una de las principales aplicaciones de los discos grabables de CD-está archivado. Al colocar información crítica del sistema, tales como copias de seguridad del registro y del estado del sistema en un CD-R, usted está asegurando que el material contenido en los discos es auténtico. Al llevar a cabo una investigación forense, discos CD-R son útiles para la gran cantidad de datos que puede contener y también porque los datos una vez que se escribe en ellos no pueden ser alterados o borrados, ayudando a preservar la cadena de custodia.

La tabla de asignación de archivos de WindowsEl File Allocation Table (FAT) le dice al sistema operativo Windows, que los sectores se utilizan para los archivos de Tain-cer. En términos sencillos, la FAT es una tabla de contenido que utiliza el sistema operativo de lócate archivos en un disco. Archivos de cambiar de tamaño y llegar a ser más grande o más pequeño después de los datos se ha añadido o eliminado. Cuando esto sucede, los

datos pueden no encajar de nuevo en el mismo sitio exacto en el disco duro. Los datos demasiado grandes se rompe en trozos, y las piezas se almacenan en varios lugares del disco duro. Esta redistribución se llama fragmentación. El trabajo de la FAT es llevar un registro de todos los archivos en el disco duro la inclusión de estos fragmentos. Si la Tabla de asignación de archivos se daña o se pierde, a continuación, un disco es ilegible por el sistema operativo. En los servidores de archivos, los datos de FAT a veces se mantienen en la memoria RAM del ordenador para un acceso rápido y se pierde con facilidad si los fallos del sistema (como el resultado de una fallo de alimentación, por ejemplo).


Hoy en día, FAT viene en tres versiones diferentes:

• FAT12. El tipo más antiguo y original de FAT, que utiliza un número binario de 12 bits para mantener el número de clúster. FAT12 sólo puede utilizarse en volúmenes de almacenamiento de 16 MB o menos. No es por tanto más adecuado para volúmenes muy pequeños y se usa en discos y particiones de disco duro de menos de unos 16 MB. (Este último es raro hoy en día.)

• FAT16. El uso de un número binario de 16 bits para mantener el número de racimos, FAT16 se utiliza en los sistemas y para particiones pequeñas en los sistemas modernos. Un disco duro con FAT16 sólo puede contener un máximum de 65.526 grupos. FAT16 se usa para volúmenes de disco duro varían en tamaño desde 16 MB hasta 2 GB (dos mil millones de bytes). La asignación virtual de archivos de tabla (VFAT) del sistema, utilizado por Windows 95 y versiones posteriores, es una variante de FAT16 que permite al sistema operativo para eludir la juntaíd 8,3 de nombre de archivo limitación (por ejemplo, un archivo autoexec.bat en ocho letras ñAME es seguido por el DOS de tres caracteres extensificaciónón) que plagado DOS y permite el uso de archivo ñames hasta 255 caracteres de longitud.

• FAT32. El más reciente versión de la FAT, FAT32 es compatible con las versiones más recientes de Windows a partir de la SR2 Windows 95 reléASE. FAT32 utiliza realmente una de 28 bits, no una de 32 bits, el número de sistema binario. Esto es porque el uso común ATA de disco duro de interfaz que accede a los datos en un disco duro está limitada a direccionamiento de 28 bits. Sin embargo, 28 bits es todavía suficiente para permitir que enormes volúmenes de disco duro de hasta 2 TB (dos billones de bytes) de tamaño. Además, FAT32 utiliza el espacio de manera más eficiente. FAT32 utiliza clústeres menores (por ejemplo, grupos de 4 KB para unidades de hasta 8 GB de tamaño), lo que resulta en el uso de 10 a 15 por ciento más eficiente del espacio con respecto a las grandes unidades FAT.

El número de bits de datos utilizados por el sistema de archivos FAT es lo que le da su ñAME. Otra característica importante del sistema de archivos FAT es que los discos FAT por lo general contienen dos copias de la grasa (la segunda copia de la FAT sigue inmediatamente a la primera). En tanto FAT12 y FAT16 sistemas, todas las copias del FAT se mantienen sincronizados entre sí, pero sólo la primera copia se lee nunca. Microsoft alega que las copias próximos de FAT se utilizan cuando el primero es físicamente inutilizable, pero esto no parece cierto para todas las versiones de sus sistemas operativos. En FAT32, existe un campo en el BPB (BIOS Parameter Block) que le dice al sistema operativo que copiar de usar y si desea sincronizar todas las copias. El BPB almacena una gran cantidad de información sobre el mismo volumen, como su tamaño, el número de bytes por sector, el número de sectores por cluster, y varios otros elementos de información. En resumen, FAT32 utiliza el BPB para saber cómo hacer frente a un volumen FAT.

La nueva tecnología de Windows del

sistema de archivosCon la llegada de Windows NT, Microsoft reemplazó el antiguo sistema de archivos FAT con un más rápido, más forma segura y sólida para proporcionar acceso a los archivos del disco y: el New Technology File System (NTFS). Mientras que Windows NT puede utilizar el sistema más antiguo de estilo de archivos FAT, el sistema de archivos NT ofrece una combinación de rendimiento, fiabilidad y compatibilidad que no se encuentra en el sistema de archivos FAT. Está diseñado para llevar a cabo rápida y eficazmente las operaciones normales de archivos, tales como lectura, escritura y búsqueda. Para aplicaciones muy grandes, NTFS admite volumen de expansión. Volumen de expansión significa que los archivos y direc-torios pueden ser distribuidos a través de varios físicos unidades de disco duro. Uno de los beneficios de una NTFS es


83

que funciona en los discos duros de cualquier tamaño. Aunque hay un málímite ximum tamaño físico del sistema de archivos de NT, ese número es tan grande que pasarán décadas antes de la tecnología de disco duro superior a su capacidad.

En el corazón de NTFS es la tabla maestra de archivos o MFT. La MFT es análoga a la de archivos FAT sis-tema de la tabla de asignación de archivos, porque los mapas de MFT todos los archivos y directorios en el disco. La MFT se divide en unidades discretas conocidas como registros. En uno o más registros de MFT, NTFS almacena el metadatos. Los metadatos son datos que describen las características de un archivo o directorio (la configuración de seguridad y otros atributos, tales como de sólo lectura u oculto) y su ubicación en el disco.

La Papelera de ReciclajeCon la llegada de Windows 95, Microsoft presentó a sus usuarios del sistema operativo la capacidad de colocar los archivos borrados en una papelera de reciclaje para su almacenamiento. El propósito de la Papelera de reciclaje era proporcionar informáticos com-los usuarios la posibilidad de reclamar - en un momento posterior - Los archivos que se habían colocado allí. Cada vez que un archivo o carpeta se elimina ese artículo se envía a la papelera de reciclaje, y permanece en el disco duro hasta la Papelera de reciclaje está vacía. Antes de la papelera de reciclaje se vacía, todos los archivos almacenados en ella puede ser restaurados a sus ubicaciones originales.

Tenga en cuenta que los archivos o carpetas eliminados de disquetes, discos Zip, o servidores de red no se almacenan en la papelera de reciclaje. Cuando los elementos de los medios extraíbles se han eliminado, Windows simplemente pide una de confirmación de la eliminación. Además, los elementos eliminados desde el interior de un programa de aplicación (como un procesador de textos) puede o no ser enviado a la Papelera de reciclaje de Windows. Entonces, ¿qué sucede cuando un usuario se vacía la papelera de reciclaje? Son los archivos o carpetas que había eliminado ido para siempre? Las secciones siguientes tratan de cómo realizar un seguimiento de los archivos eliminados a través de la papelera de reciclaje de Windows.

La papelera está vacía, pero sigue siendo la EvidenciaTodos los datos digitales almacenados en un ordenador, incluso cuando se coloca en la Papelera de reciclaje - puede estar sujeto a citar en cualquier momento. Antes de que el uso generalizado de las computadoras, criminais, objeto de sus pistas mediante el uso de una trituradora para destruir los documentos en papel que contenían pruebas incriminatorias. Legitíorganizaciones y empresas de yerba mate también se utilizan trituradoras para limitar y reducir la cantidad de información clasificada que han acumulado. Hoy en día, trituración de papel ya no es una solución viable para la gran cantidad de documentos digitales que se crean en nuestro mundo interconectado. Dado que la gran mayoría de los documentos de papel hoy origíNate de las computadoras, triturar la copia en papel no hace nada para borrar la copia digital almacenado en el disco duro del ordenador. En muchas investigaciones, las pruebas necesarias para hacer o deshacer un caso aún se encuentra en el disco duro del sospechoso.

La evidencia digital tiene muchas formas, incluyendo sensibles de procesamiento de textos documentos, el cliente datábase de las listas, registros financieros, y los mensajes de correo electrónico, a ñAME unos pocos. Incluso cuando un usuario envía documentos incriminatorios a la papelera de reciclaje y luego la vacía, la información real (datos digitales) se mantiene en su lugar original en el disco duro por un período de tiempo - hasta que los sistemas operativos-

temperatura sobrescribe la ubicación original donde se almacenaba el documento incriminatorio. Sólo el "mapa" que Windows utiliza para lóCate los datos han sido destruidas. De hecho, la evidencia forense de esta naturaleza se utilizó durante las audiencias del juicio político de alto perfil para el presidente Bill Clinton cuando los expertos forenses informáticos recuperar los datos borrados de la computadora de su casa de Monica Lewinsky, así como "su" equipo en el Pentágono. La mecánica del sistema de archivos utilizado por Windows para almacenar, recuperar y eliminar los datos se tratan en detalle más adelante en este capítulo.


Seguimiento de archivos borrados A través de la papelera de reciclaje de WindowsCuando se elimina un archivo o una carpeta mediante el Explorador de Windows o Mi PC, el archivo aparece inmediatamente en la papelera de reciclaje. Como se mencionó anteriormente, el archivo o carpeta se queda en la papelera de reciclaje hasta que la Papelera de reciclaje está vacía o el archivo se restaura. Los archivos más antiguos también se eliminan automáticamente de la papelera de reciclaje cuando los archivos más recientes se eliminan y cuando el contenido de los archivos más antiguos de la papelera de reciclaje supera el máximum tamaño asignado para las propiedades de la papelera de reciclaje. La papelera de reciclaje de caja de Propiedades (ver Figura 4-6) se puede acceder haciendo clic derecho en la Papelera de reciclaje ICón en el El escritorio de Windows.

Figura 4-6: Las Propiedades de Papelera

de reciclaje caja en Windows XP Pro

Para cada disco duro local en el ordenador del usuario, una carpeta oculta denominada Recycled se crea. Esta carpeta contiene archivos borrados desde Mi PC, Explorador de Windows y algunas aplicaciones de Windows. El sistema operativo Windows realiza un seguimiento de los archivos enviados por el usuario a la papelera de reciclaje por Gen-erating archivos temporales de Información. Cuando un archivo o carpeta se elimina, la ruta completa, incluido el archivo original ñAME, se almacena en un archivo oculto llamado especial de información en la carpeta de reciclado. El borrado se cambia el nombre del archivo, con la siguiente sintaxis:

D <originales letra de la unidad del archivo> <#>. <origina 1extensificaciónón)

Como se mencionó anteriormente en esta sección, cada unidad de disco duro local tiene su propia carpeta de reciclado. Los archivos borrados de muchas aplicaciones de Windows también se mueven a la carpeta de reciclado en la unidad de la que se eliminan. Haga doble clic en la papelera de reciclaje de ICón muestra la lista de carpetas de todos los archivos borrados que

están disponibles para la restauración. Al hacer clic en el archivo y restauración de la elección, el archivo original se cambia el nombre y restaurado a su estado original ñAME y la ubicación.

Para quienes llevan a cabo una investigación forense, de reciclaje de los archivos de Información de la papelera de servir como una ventana al pasado, documentando las actividades de un usuario de eliminación de archivos. El sistema operativo Windows contiene numerosos archivos de reciclaje Papelera de Información repartidos por todo escondido áreas de la unidad de disco duro. Incluso después de la Papelera de reciclaje ha sido vaciados, los rastros de los archivos temporales permanecen Información. Mediante el uso de programas freeware fácilmente disponibles, como PC Inspector File Recovery por Convar Deutschland GmbH, un investigador puede


85

suelen determinar cuando un usuario elimina determinados archivos, incluso si los archivos fueron desde hace mucho tiempo vaciado de la Papelera de reciclaje (ver Figura 4-7). Para más información sobre PC Inspector File Recovery o para descargar una copia, visite www.convar.de._

Los registros de Información antes mencionados archivo de ayuda para contar historias sobre historiales de archivos, e incluso el estado emocional del usuario. Como los archivos se eliminan automáticamente por el sistema operativo no dejar constancia en el archivo de información, un archivo de registro información indica que un usuario sabiendas eliminar un archivo en cuestión. No es infrecuente encontrar archivos borrados durante un cierto período de tiempo, como por ejemplo cuando el usuario puede haber sentido que la sospecha se centró sobre él. Un investigador forense experto es capaz de recuperar estos Información de archivos, que son a menudo vital para la creación de un argumento convincente.

Figura 4-7: PC Inspector File Recovery por Convar Deutschland

GmgH que muestra los archivos borrados recientemente

Recuperación de datos eliminados en WindowsComo se mencionó anteriormente, para comprender cómo se recuperan los archivos borrados, primero es necesario tener una comprensión de cómo se almacenan los archivos en un disco. Con esto detrás de nosotros, el siguiente paso en la recuperación de datos borrados es entender lo que sucede cuando un usuario borra un archivo en cualquiera de los sistemas de archivos antes

http://www.convar.de._/

mencionados de Windows. Independientemente del sistema de archivos utilizado por Windows, cuando un usuario borra un archivo, el sistema operativo Windows no elimina realmente el archivo. En cambio, el sistema operativo se mueve la entrada del archivo de directorio (entrada FAT) y la información sobre la ubicación original del archivo en una carpeta oculta que representa a la Papelera de reciclaje. Los datos físicos reales no se elimina, o incluso movido, sólo la ubicación del directorio (entrada FAT) cambios.


Como se mencionó anteriormente en este capítulo, cuando la Papelera de reciclaje está "lleno" - ya no es capaz de mantener los datos eliminados de los archivos más antiguos se purgan en primer lugar. Si bien es posible pasar por alto la papelera de reciclaje, mantenga pulsada la tecla Mayús al eliminar un archivo, los datos del archivo pero seguirá siendo. Cuando se eliminan archivos bajo el sistema de archivos FAT, Windows modifica la entrada de los datos borrados es gordo, al indicar que los en-Frios están ahora disponibles para su reutilización. En NTFS, el proceso es similar. Sólo la entrada del directorio de archivos, grupos de datos, y la entrada MFT se marcan como disponibles. El archivo de los datos sigue siendo, sin embargo, hasta que los grupos se reciclan para almacenar algún otro archivo. En cualquier caso, una vez que los grupos de discos que fueron ocupados inicialmente por un archivo eliminado han sido sobrescritos por los nuevos datos, el archivo se ha ido para siempre.

Cuando se crean archivos de computadora, su longitud varíES dependiendo del contenido de los datos que están siendo almacenados. En DOS y Windows, los archivos se almacenan en bloques de datos de longitud fija, llamados clusters. Puesto que los tamaños de archivo rara vez coinciden con el tamaño de uno o múagrupaciones ltiple perfectamente, el espacio de almacenamiento de datos, conocida como la holgura del archivo, existe desde el final de un archivo al final del último grupo asignado a ese archivo. De los cursos varía en longitud, dependiendo de los sistemas operativos y el archivo en cuestión. Grandes clustamaños ter significan más file slack y los residuos también más de espacio de almacenamiento, sobre todo cuando se trata de Windows 95. Sin embargo, este inconveniente puede ser útil para el investigador forense informático desde holgura de archivo puede ser una importante fuente de pruebas.

Holgura archivo tiene el potencial para contener bytes seleccionados al azar de los datos de la memoria del ordenador. Esto sucede porque DOS / Windows normalmente almacena los datos en bloques de 512 bytes llamados sectores. Las agrupaciones se componen de grupos o bloques de los sectores. Si no hay suficientes datos almacenados para comple-tamente llenar el último sector en un archivo, el sistema operativo DOS y Windows se rellenará el espacio restante con datos tomados de buffers de memoria de la computadora. Estos datos seleccionados al azar de la memoria RAM se denomina holgura ya que se extrae de la memoria de acceso aleatorio del ordenador. Memoria RAM holgura puede contener cualquier información que se ha creado, descargar, copiar, ver o modificado desde el ordenador se arranca pasado. Si el equipo no se ha cerrado por un período prolongado de tiempo, los datos almacenados en el archivo de la holgura puede venir de las sesiones de trabajo que se produjeron en el pasado. Debido a la holgura de archivos potencialmente contiene datos aleatorios "prestados" de la memoria del ordenador, es posible identificar el inicio de sesión de red ñAmes, las contraseñas y otra información sensible asociada con el uso del ordenador todos los días. Es importante no olvidar que la holgura de archivos también se puede existen en los disquetes, discos Zip, y otros dispositivos de medios extraíbles.

Industrial-Strength utilidad de recuperación deSi bien existen numerosas utilidades freeware y shareware disponibles para la recuperación de

datos, sólo unos pocos poseen las cualidades necesarias para ser utilizado cuando se realiza una investigación informática forense investiga-ción. Además de la recuperación de archivos de PC Inspector se ha mencionado anteriormente, otra utilidad de los datos de una excelente recuperación es EasyRecovery Professional por Kroll Ontrack, Inc. De acuerdo con su fabricaciónnEasyRecovery Professional incluye capacidades avanzadas de recuperación de datos que le permiten buscar y recuperar numerosos tipos de archivos. Además, EasyRecovery Professional incluye un disquete de arranque de emergencia para ayudar a recuperar datos de sistemas comprometidos que ya no son capaces de cargar Windows. Para precios e información adicional, visita www.ontrack.com.

http://www.ontrack.com/

http://visit/


87

Unix / Linux de almacenamiento de datos Uso de el sistema de archivos ext2Todos los sistemas operativos utilizan los sistemas de archivos, y todos los sistemas de archivo realizan las mismas funciones básicas. El objetivo fundamental de cualquier sistema de archivos es la organización de los datos y de manera eficiente el acceso a esos datos. En consecuencia, mientras que los sistemas de archivos comparten algunos rasgos comunes, a menudo difieren en la forma de almacenar datos. Unix ha sido por varias décadas, por lo que es uno de los sistemas operativos más antiguosTEMS, y sistemas de archivos UNIX son muy diferentes de los sistemas de archivos de Windows.

Ext2 es tradicionalmente un sistema de archivos de Unix, sin embargo, también es utilizado por Linux. En ext2, los datos se almacenan en los discos en los bloques. El tamaño de bloque típico es pequeño, alrededor de 4K de tamaño. El archivo de metadatos (datos sobre los datos) se almacena en inodos. Un inodo almacena toda la información acerca de un archivo con la excepción de su ñAME. En ext2, los directorios de almacenar el archivo ñAmes y sus nodos-i asociados. Los directorios se almacenan como archivos normales en el disco, pero marcó como un directorio con la información contenida en el inodo. Los directorios están estructurados en forma de un árbol jerárquico. Cada directorio puede contener archivos y subdirectorios. Los directorios se implementan como un tipo especial de archivo. De hecho, un directorio es un archivo que contiene una lista de en-FRies. Cada entrada contiene un número de inodo y un archivo ñAME. Los sistemas de ficheros ext2temperatura es capaz de manejar discos duros de gran tamaño. Mientras que el original Versión de ext2 se limitaba a un máximo de sistema de archivos de tamaño de 2 GB, los cambios recientes han elevado el límite de 4 TB. En consecuencia, ahora es posible utilizar discos grandes sin la necesidad de crécomían muchas 2GB (o menos) las particiones. Además de ser capaz de manejar discos duros más grandes, el sistema de archivos ext2 también prevé el uso de archivo largo ñAmes. Se utiliza el directorio de longitud variable enFRies. Al igual que FAT32, el máximum nombre de archivo tamaño es de 255 caracteres, sin embargo, es posible extender este límite a 1.012 caracteres, si es necesario.

Eliminación de archivos ext2 en elEn ext2, cuando se elimina un archivo, la información completa de inodos se conserva. Sólo su ñAME se retira del directorio, y el tiempo de la supresión en el inodo es marcado. En otras palabras, sólo la asociación entre el archivo ñAME y el inodo se retira. Dado que los datos de inodos y bloques de datos no son inmediatamente sobrescribe todos los datos necesarios para

recuperar un archivo (con la excepción del archivo ñAME) permanece en el disco. Sin embargo, la capacidad de recuperar archivos borrados es limitada ya que los datos borrados se pueden sobrescribir en cualquier momento después de su eliminación. Una vez que esto sucede, los datos es ido para siempre.

Recuperación de archivos ext2 en elEl primer paso hacia la recuperación de archivos ext2 en el es para desmontar de inmediato el sistema de archivos en el disco duro donde se encuentra el archivo eliminado. Esto ayuda a minimizar cualquier riesgo de accidente sobre-escribir el archivo eliminado, mientras que llevar a cabo el proceso de recuperación. La sintaxis básica o el comando de desmontar un dispositivo de Unix o Linux es unmount / dev / dévicoénombre.


Todos los datos escritos en el sistema de archivos que contiene el archivo borrado (ya sea

por usted o por cualquier otro proceso que se ejecuta en su máquina) tiene el potencial de

sobrescribir algunos de los datos que usted espera recuperaránnSi usted es incapaz de

desmontar el sistema de archivo porque el archivo eliminado se encontraba en su sistema de

archivos raíz, por ejemplo, es posible que desee considerar la posibilidad de retirar la unidad

de disco duro y la volver a instalarlo en otra máquina Unix o Linux como una unidad que no

sea raíz.

Usando e2undelEl procedimiento fundamental para la recuperación de datos en ext2 implica la búsqueda de los datos borrados en el dispositivo de partición en bruto y luego haciendo visible de nuevo al sistema operativo. Hay dos maneras de lograr esto. El primer método consiste en eliminar el indicador de eliminación de los inodos de los datos eliminados. Este enfoque es algo complicado porque requiere algún conocimiento de programación y el uso de herramientas de depuración. El procedimiento preferido y más seguro es para descubrir que los datos se encuentra en la partición, y luego copiar los datos en un archivo nuevo en otro sistema de archivos.

El mejor método para recuperar los datos eliminados en el marco del sistema de archivos ext2 es el uso de una práctica utilidad gratuita llamada e2undel. Este útil programa recupera los datos de los archivos borrados de ordenadores que utilizan el sistema de archivos ext2. Entre sus principales características es una biblioteca integrada que te permite recuperar archivos borrados por ñAME. Uno de los mayores beneficios de esta utilidad es que no requiere un conocimiento extenso de los sistemas de archivos ext2 de comandos con el fin de usarlo. La sintaxis básica para la recuperación de datos utilizando ex2undel es como sigue:

e2undel-d dispositivo -S camino [-A] [-t]

A continuación se muestra lo que los comandos de la línea anterior significa:

-D es la ubicación del sistema de archivo en el que desea buscar los archivos borrados (por ejemplo, / Dev / hdOpara la primera partición en el disco IDE).

-S es el directorio donde desea guardar los archivos recuperados.

-Un recupera todos los archivos borrados, y no sólo aquellos enumerados en el archivo de registro UNDEL.

-T los intentos de determinar el tipo de archivos borrados, sin ñAmes (esta opción sólo funciona en combinación con el -Un de comandos).

Mientras que la opción-siempre se debe usar, la opción de t no es obligatorio. Para obtener

información adicional acerca de los comandos e2undel o para descargar una copia de esta

utilidad, visite http:// sourceforge.net/projects/e2undel .

http://sourceforge.net/projects/e2undel


89

Resumen del capítuloAunque la mayoría de las organizaciones emplean los firewalls y intrusiósistemas de detección n para proteger su red de obras, que siguen siendo víctimas de ataques con éxito por tecnológicamente SAwY los intrusos de la red. Con el fin de luchar contra el modo demDías merodeadores de la red, personal de la red debe estar entrenado en investi-tigative técnicas, tácticas de respuesta a incidentes y los procedimientos legales para la recopilación de pruebas. Debido a que Windows es el sistema operativo más utilizado, es también el objetivo más popular para los hackers, crackers, y los usuarios de código malicioso. Los ataques de red puede venir de fuentes externas o internas del personal. Dos objetivos comunes son el registro de Windows y los sistemas de almacenamiento de datos. Mientras que los intrusos de la red a menudo intentan cubrir sus huellas mediante la eliminación de determinados archivos, una serie de métodos y herramientas de software están disponibles para ayudar en la recuperación de estos datos aparentemente perdidos. Puntos principales tratados en este capítulo se incluyen

• Una visión general del Registro de Windows y su papel en la respuesta a incidentes

• Cómo ver, editar, preservar y proteger los datos del Registro de Windows

• Descripción general de Windows y Unix / Linux estructuras de almacenamiento de datos

• Cómo recoger la evidencia de los archivos eliminados a través de la papelera de reciclaje de

Windows

• Los procedimientos para la recuperación de datos borrados en sistemas de archivos FAT y ext2

Capítulo 5

Análisis y detección de código malicioso y Los intrusosln este capítulo

• El análisis de los procesos anormales del sistema

• La detección de archivos inusuales o escondidos

• Localización de los rootkits y puertas traseras

• Detección y prevención de sniffers de red

EL INTERNET HA CAMBIADO LA FORMA DE HACER NEGOCIOS. Casi todo lo que es accesible con un clic del ratón. Mientras que individuosais, y las organizaciones utilizan Internet a diario para enviar mensajes de correo electrónico, comercio electrónico o la mensajería instantánea, rara vez se consideran los peligros que plantea el hack-res, virunses, gusanos y caballos de Troya como clic de distancia desde el sitio web al sitio web. Ponemos la confianza en nuestros ordenadores y se supone que ofrecen protección para nuestra información confidencial. El Internet no regulada alberga numerosas amenazas. Mientras que los hackers, crackers, y respetuoso de la ley ciu-dadanos viven todos juntos en el mundo cibernético, el usuario medio de Internet no suele ser consciente de la presencia de individuos malévolosais. El código malicioso en forma de virungusanos ses, y caballos de Troya atraviesa el Internet, la explotación de fallas que existen en los sistemas operativos y aplicaciones de muchos un usuario inocente.

Debido a estas amenazas cibernéticas, los individuosais y las organizaciones necesitan cambiar la forma de opétasa y gestionar sus redes. Entrenamiento en seguridad con frecuencia se centra en cuestiones de seguridad básicas y no en respuesta a las amenazas de Internet. Durante el entrenamiento típico de sensibilización de los usuarios los detalles de archivos adjuntos de mensajes de correo electrónico (y su capacidad para ocultar código malicioso o hacerse pasar por legítimoídocumentos o archivos gráficos compañero) no se tratan suficientemente. No podemos culpar a los usuarios informáticos com-para la proliferación del virus, si se ven envueltos en un entorno informatizado, sin haber estado expuesto a algunos conceptos básicos de respuesta a incidentes. Este capítulo se centra en detectar, analizar y responder a las amenazas planteadas por los intrusos y los codificadores maliciosos.

91


Procesos del SistemaEn pocas palabras, una proceso es un programa de ejecución. A menudo, un hilo se confunde con un proceso. Similar a un proceso, una hilo es la unidad de ejecución para que el sistema operativo asigna procesa-miento de tiempo (un intervalo de tiempo), y consiste sólo en el flujo de datos y control. Temas ofrecer una técnica de programación útil para dividir el trabajo en septiembreápiezas de cambio. Ejecución de los hilos es monitoreado y programado únicamente por el sistema operativo, y cada proceso se inicia con la ejecución oíun solo hilo, generalmente se llama el hilo principal. Incluso donde hay mútemas ltiple, todavía utilizar sólo el espacio de direcciones oíun solo proceso.

Cada programa que se ejecuta en un equipo que utiliza al menos un proceso, que consiste en la dirección de memoria (espacio) asigna al proceso por el ordenador para ejecutar el programa y la capacidad de sistema operativo de la computadora para supervisar el programa en todo el proceso de ejecución. En tiempos modernos de 32 bits los sistemas operativos multitarea, los procesos son manejados en su mayor parte como entidades aisladas de manera que si se bloquea el proceso, los otros generalmente no están afectadas. Los recursos que utilizan (memoria, disco, I / O, y el tiempo de CPU) son virtuales en la naturaleza, lo que significa que cada proceso tiene su propio conjunto de recursos virtuales, no tocadas por otros procesos. Incluso cuando se ejecutan varios programas al mismo tiempo, cada proceso tiene su propio espacio de direcciones y el flujo de control. Por lo tanto, un proceso es un lugar para trabajar y una manera de no perder de vista lo que un programa está haciendo.

La detección de los procesos anormales del sistemaSeguimiento procesos del sistema pueden ser tanto complicado y requiere mucho tiempo. La capacidad para identificar procesos sospechosos o anormales requiere en primer lugar un conocimiento profundo de los tipos de procesos que normalmente se esperan que se ejecuta en un sistema en un momento dado, así como la forma en que deben comportarse. Sin embargo, debido a la enorme cantidad de procesos que se ejecutan al mismo tiempo y su naturaleza en constante cambio, es casi imposible para una sola persona para supervisar todos ellos continuamente. Para hacer el trabajo de los recursos del sistema de control más fácil, algunas organizaciones se dividen entre varios sistema de monitoreo personal diferente. Cada individuo se le asigna un particular los recursos del sistema para monitorear.

El valiosoéde información que se desprende de una instantánea periódica de los procesos actualmente en ejecución es limitado. Las organizaciones pueden necesidad de utilizar una serie de recopilación de información y lun.cia de la vigilancia de mecanismos para ayudar en la recopilación y análisis de los datos asociados a los procesos, y alertar al personal de respuesta a incidentes de cualquier actividad sospechosa.

En general, los monitores deben buscar los siguientes signos:

• La utilización de recursos o comportamiento inusual proceso de

• Falta de procesos

• Los procesos de Alta

• Los procesos que tienen la identificación del usuario inusual asociada con ellos (por

ejemplo, una identificación que pertenece a una persona no empleada por la organización)

Procesos anormales del sistema pueden ser causados por

• Los programas que inician una sesión de un usuario'S las pulsaciones de teclado o monitor y roban contraseñas

Capítulo 5: Análisis y detección de códigos maliciosos e intrusos

93

• El código malicioso (virunses, los gusanos de Internet, y aplicaciones de caballos de Troya)

• Spyware (software que transmite información a un tercero sin notificar el usuario)

Como se mencionó en el capítulo 1, los archivos de registro se debe comprobar para las conexiones desde lugares inusuales o para cualquier actividad inusual. Todas las versiones de Windows NT tiene un visor de eventos integrada que le permite comprobar el inicio de sesión inusual enFrios, las fallas de los servicios o procesos anormales. Los datos recogidos a partir de archivos de registro puede ayudar en el análisis del comportamiento del proceso.

Estos incluyen los siguientes:

• El proceso ñAmes y los tiempos de arranque

• El estado del proceso (por ejemplo, la duración del tiempo, los recursos consumidos, y

así sucesivamente)

• Que el usuario ejecutó el proceso de

• La cantidad de recursos del sistema utilizado (por ejemplo, CPU, memoria, disco y tiempo) procesos específicos en el tiempo

• Sistema y de usuario, procesos y servicios de ejecución en un momento dado

• El método por el que normalmente cada proceso iniciado (por ejemplo, el administrador del sistema, otros usuarios, otros programas, o generado a partir de otros procesos) y lo que la autorización y privilegios han sido asignados a los procesos

• Los dispositivos de hardware utilizados por los procesos específicos

• Archivos abiertos actualmente por procesos específicos

Al revisar los registros del sistema operativo o la red, fíjese en lo siguiente:

• Procesos que consumen recursos excesivos (por ejemplo, tiempo de memoria, disco o

CPU)

• Los procesos que comienzan o correr en momentos inesperados

• Procesos inusuales, no el resultado de las actividades normales autorizadas (por ejemplo, el paquete oler, descifrado de contraseñas, y así sucesivamente)

• Los procesos que antes de tiempo largoíNate

• Anteriormente las cuentas de usuario inactivas que de repente empiezan a generar procesos y consumir ordenador o una red de recursos

• Procesos inesperados o desactivado con anterioridad, que pueden indíindican que un

hacker o intruso ha instalado su propia versión de un proceso o servicio

• Una estación de trabajo o terminal que comienza a exhibir anormal de entrada / salida de la conducta

• Múltiple con procesos similares ñAmes (por ejemplo, cuando un virus de ordenador ejecuta Explorer.exe utilizando una letra mayúscula para disfrazarse en lugar del proceso real, que se llama explorer.exe por el sistema operativo)

• Un número inusualmente grande de los procesos en ejecución


Con el Administrador de tareas de Windows para ver Los procesos en ejecuciónDe tareas de Windows Managerprovides información sobre los programas y procesos que se ejecutan en el equipo. También muestra las medidas de desempeño más comúnmente utilizados para los procesos en ejecución. Mientras que el Administrador de tareas es útil para monitorear los indicadores clave de por su equiporendimiento, sino que también le permite ver rápidamente el estado de los programas y procesos que se ejecutan e incluso términoínate los programas (cuando se congelan o dejar de responder). Usted puede evaluar la actividad de procesos que se ejecutan con numerosos parámetros de visualización y gráficos y datos sobre uso de CPU y de memoria (ver Figuras 5-1, 5-2 y 5-3). La ñombre del programa Administrador de Tareas es taskmgr.exe, y hay varias maneras en las que para acceder al programa. Una forma es escribir taskmgr en el cuadro Ejecutar a los hombres de inicioúo en el comando (DOS) del sistema para que aparezca el programo. Otro método de acceso conveniente es crése comió un vínculo de acceso directo al programa directamente en el escritorio de Windows. Por último, puede pulsar Ctrl + Alt + Supr (también conocido como "el saludo de tres dedos") en cualquier tiempo, mientras que el sistema operativo se está ejecutando.

Para crése comió un acceso directo del escritorio con el programa de taskmgr.exe, primero es

necesario la ubicación de este archivo en el sistema operativo Windows. La ubicación

predeterminada es C: \ windows \ system32 para Windows NT y 2000 y

c: \ windows \ system32 para el X WindowR

Figura 5-1: El Windows XP ventana del

Administrador de tareas que muestra todos los

Capítulo 5: Análisis y detección de códigos maliciosos e intrusos 95

Seleccionar Columna

■ 1Seleccione las columnas que aparecen en la página de proceso

del Administrador de tareas.

WImagen ÑAME 1 Errores de página Delta

r PID (identificador de proceso)

VTamaño de la memoria virtual

WUso de la CPU VPagedPool

r Tiempo de CPU VNo paginado

WUso Mernory Una prioridad base

VUso de la memoria del Delta VRecuento de identificadores

VPico Mernory Uso VRecuento de subprocesos

| Del ~ ~ Página Fallas r objetos GDI

VObjetos USUARIO r l / OWrites

r 1/0 Lecturas r 1/0 Bytes Escriba

V1/0 ReadBytes r 1 / Otros 0

^ ID de la sesión | ~ 1/0 OtherBytes

WUsuario ÑAME

1 Aceptar | Cancelar

Figura 5-2: El cuadro Seleccionar

columnas en Windows XP Task

Manager

Figura 5-3: Ver el rendimiento de la CPU

con Windows XP Task Manager


Procesos por defecto en Windows NT, 2000 y XPCon el fin de detectar procesos irregulares o no autorizados a través del Administrador de tareas de Windows, es útil para comprender qué procesos se ejecutan de forma predeterminada durante las operaciones normales del sistema. Hay un número-número de procesos por defecto que se ejecuta automáticamente por el sistema operativo Windows (que varían dependiendo de qué versión de Windows se está utilizando). La siguiente es una lista alfabética de algunos de los procesos por defecto que se suelen ejecutar en Windows NT/2000/XP, junto con un breve explicación de sus funciones:

• Csrss.exe. Csrss o Client / Server Run-time Subsystem es un subsistema esencial que debe permanecer en funcionamiento en todo momento. Csrss proporciona apoyo texto de la ventana, cierre, y de difícil control de errores para los subsistemas de entorno de Windows NT.

• Explorer.exe. Esta es la interfaz gráfica de usuario en la que vemos la barra de tareas familiares y entorno de escritorio. Explorer permite a los usuarios de los documentos abiertos y aplicaciones de varios iconos de Windows y menús en cascada.

• Lsass.exe. Este proceso ayuda a la administración de manejar la seguridad en el equipo local, incluido el acceso de usuarios y permisos. Este proceso es responsable de la autenticación de usuarios para el servicio Winlogon y es compartido por el servicio Netlogon.

• Mstask.exe. Este es el servicio Programador de tareas. Es responsable de la ejecución de tareas, a veces que están predeterminadas por el usuario.

• Services.exe. Este es el Gerente de Control de Servicios de Windows, que es responsable de iniciar y detener servicios del sistema y trabaja con otras máquinas Windows en el de red para mantener una lista actualizada de los recursos disponibles.

• Smss.exe. Subsistema de Session Manager se encarga de iniciar la sesión del usuario. SMS se inicia el subproceso de sistema y es responsable de una serie de acciones, incluyendo el lanzamiento de los Winlogon y Win32 (Csrss.exe) los procesos y el establecimiento de las variables del sistema.

• Spoolsv.exe. Este es el servicio de cola de Windows y es responsable de la gestión de impresión en cola, y los trabajos de fax.

• Svchost.exe. Un proceso genérico, que actúa como host de otros procesos en ejecución de la DLL, por lo tanto, no se sorprenda de ver más de una entrada para este proceso.

• Sistema. Este sistema permite en modo kernel de las discusiones que se ejecutan como el proceso del sistema.

• Proceso inactivo del sistema. Este proceso es un solo hilo que se ejecuta en cada procesador. Su solétarea se representa el tiempo del procesador cuando el sistema no está procesando otros subprocesos.

Programas de vigilancia del procesoEn el mundo no virtual, cuando una tarea compleja debe llevarse a cabo, las herramientas están disponibles para hacer el trabajo más fácil. El mismo principio se aplica en el mundo virtual de las computadoras. Como se mencionó anteriormente en este capítulo, seguimiento de los procesos del sistema puede ser lento y complejo. La mayoría de Unix operaating sistemas vienen con una herramienta de línea de comandos denominada ps. La ps comando le permite a la lista de los procesos que están siendo ejecutados por la máquina en la que se ha introducido el comando. Los administradores


se puede utilizar junto con el -Ef opción (por ejemplo, ps-ef) Para obtener una lista completa de todos los procesos del sistema Unix. Mientras que Windows NT, 2000 y XP vienen con el Administrador de tareas, que no ofrecen un nivel significativo de detalles acerca de los procesos individuales. Por suerte, hay varios programas disponibles que pueden hacer el trabajo de los procesos de supervisión del sistema menos oneroso. En el sitio Web de Sysinternals (www.sysinternals.com)no es un conjunto de avanzadas herramientas para descargar software gratuito llamado PsToolscoded por Mark Russinovich. Se puede asistir en el seguimiento y la recopilación de una información más detallada sobre los procesos del sistema bajo el sistema operativo Windows. El conjunto PsTools incluye las siguientes herramientas, que se pueden descargar de forma individual o como paquete:

• PsExec ejecuta procesos de forma remota.

• PsFile archivos espectáculos abre desde una localización remota.

• PsGetSid muestra el SID (identificador de seguridad) de un equipo o un usuario.

• Sallnfo listas de información sobre un sistema.

• PsKill Finaliza los procesos de ñombre o ID del proceso.

• PsList muestra información detallada acerca de los procesos.

• PsLoggedOn muestra quién está conectado a nivel local como a través de recursos compartidos.

• PsLogList vertederos de los registros del registro de eventos.

• PsService puntos de vista y los servicios de los controles.

• PsShutdown se apaga y reinicia opcionalmente un equipo.

• PsSuspend suspende procesos.

• PsUptime muestra el tiempo que un sistema ha estado funcionando desde su último reinicio.

Dado que todos los PsTools son las herramientas de línea de comandos, que se debe ejecutar desde un comando (DOS) del sistema. Usted tendrá que agregar la carpeta que se almacenan en la ruta de acceso del sistema a fin de ejecutar desde cualquier directorio que no sea el directorio o carpeta en la que fueron colocados. Por plac-ción de estas herramientas en el directorio Winnt (Windows NT/2000) o el directorio de Windows (Windows XP), que se incluirá automáticamente en la instrucción de ruta de su sistema. Si usted desea poner estas herramientas en su propio directorio (por ejemplo, C: \ PsTools)y aún así tener Windows lóCate ellas automáticamente, realice los siguientes pasos.

En Windows NT 4.0, haga lo siguiente:

1. Haga clic derecho en Mi PC de la ICón.

2. Seleccione Propiedades en el contexto de los hombresú.

3. Haga doble clic en Sistema de ICón.

4. Haga clic en la ficha Entorno.


5. Seleccione Ruta de la lista de variables del sistema.

6. Editar la instrucción de ruta mediante la adición del directorio en el que se almacena PsTools.


En Windows 2000, XP, haga lo siguiente:

1. Haga clic derecho en Mi PC de la ICón. (En Windows XP, el icono Mi PC Icón puede ser situado en los hombres comienzan aú.)

2. Seleccione Propiedades en el contexto de los hombresú.

3. Seleccione la ficha Opciones avanzadas.

4. Haga clic en el botón Variables de entorno.

5. Desde la ventana de Variables del sistema, resalte la entrada Path y seleccione Editar.

6. Add (agregar) la ubicación del directorio de PsTools a la lista de directorios en la ruta con un punto y coma inmediatamente después de la última declaración en el Camino, a continuación, añadir la ubicación del Directorio de PsTools (ver Figura 5-4).

Figura 5-4: Adición de la ubicación del

directorio de PsTools a su lista de directorios a

través de Windows XP Pro Variables

Ambientales utilidad de edición de

Otra herramienta útil en el sitio Web Sysinternal es Process Explorer (ver Figura 5-5) por Mark Russinovich. Con esta poderosa de apuntar y clic, basada en Windows, la utilidad freeware, usted puede averiguar quién es el dueño de cada proceso, y, para cada uno de estos procesos, qué archivos, claves de registro y otros objetos están abiertos. Además, el proceso muestra el Explorador de archivos DLL que se ha cargado y que los identificadores abiertos a cada proceso. Esto hace que sea una herramienta poderosa para la comprensión de la deFcomportamiento ernal de

aplicaciones, así como para localizar las fugas del mango y Versi DLLón desajustes.

Figura 5-5: Process Explorer 5.25

Archivos inusuales u OcultoA veces es difícil determinar si un sistema ha sido comprometido. Es importante por lo tanto, a realizar búsquedas periódicas de los archivos inusuales o escondidos que pueden tener intrusi anuladasón la detección y protección antivirus. Los archivos ocultos se puede utilizar para ocultar las herramientas de hackers, códigos maliciosos, y la información sensible (por ejemplo, obtener contraseñas de programas, archivos de contraseñas de otros siste-mas, y así sucesivamente). Un número de programas maliciosos desarrollados recientemente han aprovechado el comportamiento predeterminado de los sistemas operativos Windows para ocultar las extensiones de archivo. Este comportamiento se puede utilizar para engañar a los usuarios en la ejecución de código al hacer un archivo parece ser algo que no es. Múltiple de correo electrónico-a cargo virunses son conocidos para aprovechar esta vulnerabilidad.

Visualización de archivos ocultos en WindowsLos sistemas operativos Windows contienen la opción de "Ocultar las extensiones de archivo para tipos de archivo conocidos". La opción está activada por defecto, pero un usuario puede optar por desactivar esta opción con el fin de tener el archivo extensiones mostrada por Windows.

Para mostrar los archivos ocultos, carpetas y extensiones de archivos en Windows, haga lo


siguiente pasos.


Para Windows NT, haga lo siguiente:

1. Haga clic en el botón Inicio, seleccione Configuración, Panel de control.

2. De los hombres Verú, Seleccione Opciones.

3. Haga clic en la ficha Vista.

4. En la ficha Ver, seleccione "Mostrar todos los archivos".

5. Desmarque la opción "Ocultar extensiones de archivo para tipos de archivo conocidos"

opción.

6. Haga clic en Aceptar para completar los cambios.

Para Windows 2000, haga lo siguiente:

1. Haga clic en el botón Inicio, seleccione Configuración, Panel de control.

2. De los hombres Herramientasú, Seleccione Opciones de carpeta.


4. En "Archivos y carpetas ocultos", seleccione "Mostrar archivos y carpetas ocultos".


opción.

6. Desmarque "Ocultar archivos protegidos del sistema." (Nota: Windows 2000 mostrará un cuadro de diálogo solicitando confirmación. Asegúrese de leer y entender la información contenida en el cuadro de diálogo, a continuación, haga clic en Sí.)

7. Haga clic en Aceptar para completar

los cambios.

Para Windows XP, haga lo siguiente:

1. Haga clic en el botón Inicio y seleccione Panel de control.

2. De los hombres Herramientasú, Seleccione Opciones de carpeta.


4. En "Archivos y carpetas ocultos", seleccione "Mostrar archivos y carpetas ocultos".


opción.

6. Desmarque "Ocultar archivos protegidos del sistema." (Nota: Windows XP mostrará un cuadro de diálogo cuadro de confirmación. Asegúrese de leer y entender la información contenida en el cuadro de diálogo, a continuación, haga clic en Sí.)

7. Haga clic en Aceptar para completar los cambios.


ln todas las versiones de Windows, puede ver los archivos ocultos en el símbolo del sistema,

escriba dir / ah.

Visualización de archivos ocultos en Unix / LinuxIncluso cuando se utiliza en Unix o Linux, es importante buscar en el sistema de archivos inusuales o escondidos. En los sistemas Unix y Linux, estos son los archivos que comienzan con un punto y normalmente no se muestran por el 1scomando. (El 1scomando muestra todos los archivos y subdirectorios que tiene en un directorio determinado.) Estos archivos se utilizan a menudo por los hackers para ocultar las herramientas y programas para descifrar contraseñas. Una técnica común usada con sistemas Unix / Linux es poner un directorio oculto o un archivo en una cuenta de usuario con una inusual ñAME como .. (Punto-punto-espacio) o .. AG(Punto-punto-de control-G). Por suerte, la incorporada en el programa Buscar en Unix puede ayudar a buscar estos tipos de archivos ocultos. Aquí hay dos ejemplos:

find / -ñAME ".. " -Print-xdev find / -ñAME "*." -Print-xdev

Otro truco favorito de hackers es explotar programas SUID de root. (SUID root se refiere al conjunto raíz ID de usuario.) SUID root permite que el programa para llevar a cabo las funciones que sólo los administradores del sistema con privilegios de root completas se les permitiría llevar a cabo. Los programas que se ejecutan como root tiene acceso completo a un sistema Unix, y los programas SUID ejecutarse como root, independientemente de quién los está ejecutando. Programas que se ejecutan rutinas de bajo nivel de red y funciones de control, tales como pantalla gráfica, el cambio de contraseñas, e inicio de sesión son todos ejemplos de programas que requieren de un usuario con privilegios de root completas para su ejecución. Los intrusos suelen dejar copias de SUID / Bin / sh o / Bin / hora que les permita tener acceso de root después. Encontrar todos los programas SUID en su sistema y hacer un seguimiento de lo que son. De esta manera, usted se dará cuenta de los cambios, lo que podría indícado un posible intruso. Utilice el siguiente comando para encontrar e imprimir una lista de todos los programas o archivos que se SUID root:

find /-type f-perm -4000-print | raíz de correo

También es posible que desee navegar por la lista de todos los programas SUID y lócado a los que rara vez o nunca. Usted puede desactivar (deshabilitar) el bit SUID con el chmod (Modo de cambio) comdemanda. Esencialmente, chmod se refiere a establecer los privilegios de acceso para un archivo. Para ejecutar chmod en un archivo o directorio, debe ser su propietario o un super-usuario con privilegios de root. El siguiente paso en el control-ling programas con suid root es el de analizar los programas que no debe ser SUID root o los que se puede quitar sin obstaculizar el funcionamiento del sistema. La lista de programas que no debe ser var SUID rootíES de un sistema a otro. En general, antes de apagar el SUID root, primero debe determinar la función del programa y luego decidir si

es un programa esencial o si debe ser SUID root.


Una cuenta de superusuario es una cuenta con privilegios de acceso sin restricciones a todos

los archivos y los comandos. Muchas de las tareas administrativas sólo pueden ser realizadas

por una cuenta de superusuario. Por convención, el nombre de usuario para la cuenta de

superusuario es root.

La sintaxis exacta para la eliminación de raíz var SUIDíes en función de los archivos que desea modificar. Asumiendo que usted desea quitar el bit SUID en / Usr / bin / passwd, la sintaxis es

chmod-s / usr / bin / passwd

El principio rector común con los programas SUID root es para limitarlas a sólo aquellos que sean necesarios. Los administradores de sistemas se les anima a examinar la función de cada programa para determinar si se debe establecer como superusuario, o no.

Rootkits y backdoorsLa máxima afirma: "Se necesita un ladrón para atrapar a un ladrón." Lo mismo puede decirse de los piratas informáticos. Para atrapar a un pirata informático, se debe tener un conocimiento general de las herramientas y técnicas de los hackers emplean a más deeoyo los usuarios y sistemas. Una de las herramientas de hacker más utilizadas para lograr este obje-tivo es el rootkit. Un rootkit se utiliza para llevar a cabo las siguientes funciones:

• Evitar el registro de la actividad

Establecer puertas traseras para

el reingreso

• Ocultar o eliminar la evidencia de la entrada inicial

• Ocultar el contenido de archivos específicos

• Ocultar archivos y directorios

• Reunir información de inteligencia (por ejemplo, nombres de usuario y contraseñas)

Un rootkit se llevó por su ñno porque ame la caja de herramientas se compone de herramientas para agrietarse raíz, pero en lugar porque se compone de herramientas para mantener o mantener las raíces. Bajo Unix y Linux, la raíz es el más alto privilegio. Los usuarios con privilegios de root tiene acceso a todos los aspeecios de la operac-Ing sistema de acceso de root, porque implica el control de una máquina.

Los rootkits son utilizados por intrusos para ocultar y asegurar su presencia en un sistema informático. Si bien hay rootkits disponibles para el sistema operativo Windows, los rootkits de Windows son en la actualidad no está tan extendido como sus homólogos de Unix y suelen ser detectados por cualquier antivirus de buena reputación suaveware. En Unix y Linux, los administradores de red por lo general confían en el ps comando para mostrar una lista de todos los procesos del sistema y la 1scomando para listar todos los archivos ubicados en un directorio del disco duro. Un rootkit generalmente contiene un conjunto de utilidades de hackers, tales como registro de limpieza de las secuencias de comandos y sniffers de paquetes de red. Además, los rootkits contienen sustitutos especializados del núcleo de Unix y Linux utildades, tales como netstat, ifconfig, ps, y Yos. A pesar de que los piratas primero debe tener

acceso a


los sistemas de las víctimas antes de que puedan instalar sus rootkits, su facilidad de uso, la disponibilidad generalizada, y la cantidad de destrucción que son capaces de causar que los rootkits una seria amenaza para computadoras de trabajo netos-los administradores. Inevitablemente, la mayoría de los sistemas informáticos se infiltraron por un intruso o infectados por algún tipo de código malicioso. A continuación el Departamento de Justicia de EE.UU. pública de prensa reléASE demuestra que incluso las agencias gubernamentales como la NASA no son inmunes a rootkit Exploits:

01 de diciembre 2000

Noticias Rel. é ASE Hacker se declara culpable en Nueva York a cortar en dos Propulsi Chorro de la NASA se declaraón

aula de informática Situado en Pasadena, CaliforniaMary Jo White, el Fiscal de los Estados Unidos para el Distrito Sur de Nueva York, anunció que

RAYMOND Torricelli, a / k / a "Rolex", un miembro de un grupo de hackers conocido como "# conflicto", se declaró culpable hoy en el tribunal federal de Manhattan de los cargos de última hora en dos computadoras propiedad y mantenidos por la Administración Nacional de Aeronáutica y del Espacio Propulsi a Chorro de laón de laboratorio ("JPL"), con sede en Pasadena, California.

De acuerdo a una demanda presentada anteriormente, Torricelli utilizó uno de esos equipos para hospedar una sala de chat de Internet y los programas instalados diseñados para obtener nombres de usuario y contraseñas desde el otro equipo.

Al declararse a una información de cinco cargos, Torricelli admitió que, en 1998, él era un pirata informático, y un miembro de una organización de hacking conocida como "# conflicto". TORRICELLI admitió que, operando desde su residencia en New Rochelle, utilizó su ordenador personal para ejecutar programas diseñados para buscar en Internet, y buscar ordenadores que eran vulnerables a intrusión; ". rootkit", una vez estos equipos se encuentran, equipo de Torricelli entonces obtener acceso no autorizado a las computadoras mediante la carga de un programa conocido como acuerdo con la demanda, "rootkit" es un gramo a favor de que, cuando se ejecuta en un ordenador, permite a un hacker tener acceso completo a todas las funciones de una computadora sin haber obtenido estos privilegios de los usuarios autorizados de ese equipo.

De acuerdo con la acusación y la denuncia, una de las leyes Torricelli computadoras accede fue utilizado por la NASA para llevar a cabo el diseño de satélites y el análisis de la misión relativa a las futuras misiones espaciales, y otro fue utilizado por JPLS tierra de sistemas de comunicaciones como una sección de correo electrónico y el servidor Web interno. Después de obtener este acceso no autorizado a computadoras, que la intrusión y la carga de "rootkit", TORRICELLI bajo el seudónimo de "Rolex", utiliza muchos de los equipos para hospedar sala de chat discusiones.

En su alocución de culpabilidad, TORRICELLI admitió que, en estas discusiones, invitó a los chat de otros partici-pantes para visitar un sitio Web que les permita ver las imágenes pornográficas, y que él ganó 0,18 dólares por cada visita a una persona hecha a ese sitio Web. De acuerdo con la demanda, Torricelli ganó aproximadamente $ 300 a $ 400 por semana a partir de esta actividad.

TORRICELLI también se declaró culpable de los nombres de usuario y contraseñas de interceptación que atraviesan las redes informáticas de una computadora propiedad de San JosééLa Universidad del Estado, y la posesión de las contraseñas robadas y nombres de usuario que se utilizan para tener acceso gratuito a Internet, o para obtener acceso no autorizado a computadoras aún más. TORRICELLI admitió, como parte de su alocución de culpabilidad, que cuando obtuvo las contraseñas que fueron cifrados, que usaría un programa de violación de contraseñas conocido como "John-the-Ripper" para descifrar las contraseñas.

Además, Torricelli se declaró culpable de posesión de los números robados de tarjetas de crédito. Como parte de su alegato, Torricelli admitió que usó uno de esos números de tarjeta de crédito para comprar el servicio telefónico de larga distancia. Como se alega en la demanda, Torricelli obtenido estos números de tarjetas de crédito de otros individuosais, y las guardó en su computadora.


Como se describe en la demanda, la mayor parte de las pruebas obtenidas en contra de Torricelli fue obtenida a través de un registro de su ordenador personal. De acuerdo con la demanda, además de miles de contraseñas robadas y numerosos números de tarjetas de crédito, los investigadores encontraron las transcripciones de las conversaciones sala de chat en el que las leyes Torricelli y los miembros de "# conflicto" discutir, entre otras cosas, (1) pausa-ción en otras computadoras (una práctica conocida como "hacking"), (2) la obtención de números de tarjetas de crédito-ción pertenecen a otras personas y usar esos números para hacer compras no autorizadas (una práctica conocida como "carding"), y (3) usando sus computadoras para alterar electrónicamente los resultados de los MTV Movie Awards anuales.

Jefe de los Estados Unidos el juez de distrito Michael B. Mukasey establece la sentencia en el caso el 7 de marzo de 2001, a las 9:15 AM En la sentencia, Torricelli se enfrenta a hasta 10 años de prisión y una multa de 250.000 dólares cada uno en el fraude de tarjetas de crédito y los gastos de contraseñas de posesión, de 5 años de prisión y una multa de 250.000 dólares por el cargo de la interceptación de contraseñas, y un año de prisión y una multa de $ 100.000 en cada uno de los cargos involv-Ing su acceso no autorizado de los dos ordenadores de la NASA.

La Sra. Blanca elogió los esfuerzos de investigación de la Administración Nacional de Aeronáutica y del Espacio, Oficina del Inspector General, los delitos informáticos División; la Rochelle, Nueva York, póDepartamento de piojos, y la Oficina Federal de Investigaciones.

La Sra. White dijo: "Internet no es un refugio seguro para criminais. Como demuestra este caso, hack-res que utilizan Internet para cometer fraude de tarjetas de crédito, robar príVate contraseñas y nombres de usuario, y tener acceso a las computadoras del gobierno restringidos, dañando los equipos, no son bromistas, que son inofensivos criminais, y se tratará vigorosamente. "

En una declaración escrita a la corte, Torricelli dijo que irrumpió en las computadoras de la NASA conocida como HEIDI.JPL.NASA.GOV entre el 17 y 25, de 1998, con una herramienta de rootkit que podría darle acceso a la raíz de todos los archivos en ese equipo. En el momento se ha instalado el rootkit, Torricelli, declaró: "Yo no sabía que estaba siendo instalado en los equipos pertenecientes a la NASA, yo sabía que estaba siendo instalado en los equipos que no estaba autorizado a acceder. "

El 5 de septiembre de 2001, Raymond Torricelli fue condenado a cuatro meses de prisión y cuatro meses de arresto domiciliario. Además, Torricelli fue condenado a pagar 4.400 dólares en restitución a La NASA.

Detectar la presencia de un rootkitLa entrada de un sistema informático por un intruso puede dejar rastros de evidencias a través de archivo de registro de varios men-sajes. La mayoría de los rootkits son herramientas que automáticamente eliminan los mensajes sospechosos o incriminatoria de los archivos de registro. Uno de los indicadores más comunes que un rootkit se ha utilizado es cuando uno o más de las utilidades del núcleo del sistema que funcionó a la perfección en el pasado de repente empieza a comportarse de forma errática debido a los intrusos han reemplazado a estas utilidades con las versiones de rootkits diseñados para ocultar sus actividades maliciosas. Por ejemplo, una línea de comandos de cambiar a netstator ps, que solía usar sin problemas todos los días, podría empezar Retumla posibilidad de generar un mensaje de error. La utilidad con la que se sustituye el uno original puede ser de una diferente Versión o podrían haber sido com-apilados con diferentes

http://HEIDI.JPL.NASA.GOV/

opciones, y como resultado, no tiene las mismas características que el original.La detección de rootkits es de vital importancia, sin embargo, puede ser una de las tareas más

desalentadoras de cualquier administrador del sistema. Los rootkits entran en la categoría de código malicioso y se detectan tanto en la misma forma que virunses, gusanos o troyanos son. De hecho, la mayoría de los rootkits contienen puerta trasera de caballo de Troya


componentes que les permiten recuperar entrada en una fecha posterior. Un hacker cuidadoso y sofisticado no dejar evidencias de encontrar. Otros pueden dejar huellas que pueden ser recogidos, pero sólo por aquellos familiarizado con los detalles del sistema operativo y el diseño de la red.

Con unidades de disco duro cada vez más grandes y de los sistemas operativos más complejos, no es infrecuente tener decenas de miles de archivos y numerosos procesos en ejecución. Esto puede hacer que localizar o detectar un rootkit análogo a encontrar una aguja en un pajar. Como se mencionó anteriormente en este capítulo, la mayoría de los modernos rootkits simplemente reemplazar a los servicios estándar con versiones "especializada". Además, las instalaciones de rootkit a menudo forjan de sello de tiempo y la información de tamaño de archivo en un esfuerzo por evitar que los administradores del sistema a partir de confirmar visualmente la integridad de los servicios públicos a través de el sistema Unix / Linux 1scomando.

Manual de InspecciónUna manera de detectar la presencia de un rootkit es a través de la inspección manual, que normalmente se lleva a cabo utilizando el cadenas comando. La cadenas utilidad, que es estándar en todos los modernos Unix / Linux plataformas, sólo muestra las porciones de lectura de un archivo binario. La cadenas utilidad busca cadenas imprimibles en archivos regulares y escribe esas cadenas a la salida estándar de la impresora. Una cadena es cualquier secuencia de cuatro o más caracteres imprimibles que terminan con una nueva línea o un nuyol carácter. Para el administrador de sistemas con experiencia, el cadenas comando puede producir datos legibles tales como el ñAmes de archivos donde se guardan las contraseñas de intrusos, las versiones de la biblioteca con la que se compiló el rootkit, y otra información que normalmente no se correlacionan con los datos originales en el archivo de destino. La sintaxis exacta utilizada con el cadenas comando varíES dependiendo de qué Versión de Unix o Linux se utiliza. En general, la sintaxis de la cadenas comando es como sigue:

cadenas [-A] [-] [-o] [-t (d) (o) (x)] [-n] [archivo ñame, etc. ]

Para obtener una lista de las banderas utilizadas, véase el cuadro 5-1.

Tabla 5-1 Banderas utiliza en el comando de Unix / Linux Cuerdas

-Un o -Este indicador busca en el archivo completo (no sólo la sección de datos) para las cadenas imprimibles.

-N (Número) Esta bandera es idéntica a la -Número bandera y especifica una longitud mínima de la cadena que no sea el predeterminado de cuatro caracteres. La máximum valiosaé de una cadena de longitud es 4.096.

-O Esta bandera es idéntica a la -T o bandera y las listas de cada cadena octal precedido por su desplazamiento en

el archivo.

-T (Formato) Esta bandera muestra cada cadena precedido por su desplazamiento desde el inicio del archivo. El formato es

dependiente del carácter utilizado como la variable de formato, algunas de las cuales se

enumeran a continuación:

describe el desplazamiento en formato decimal.

oescribe el desplazamiento en formato octal.

Seguido


Tabla 5-1 Banderas utiliza en el comando de Unix / Linux Cuerdas (Continuación)

xescribe el desplazamiento en formato hexadecimal.

A /oFe;Cuando la junta y las banderas de formato-t se definen más de una vez acerca de un

comando línea, la última bandera especifica controla el comportamiento del comando de las

cadenas.

-Número Esta bandera especifica un mílongitud de la cadena nimum distinta de la predeterminada de los

cuatro personajes. La máximum valiosaé de una longitud de cadena es 4.096. Esta bandera

es idéntica a la n- (Número) bandera.

expediente Este indicador identifica el archivo que desea buscar.

PROGRAMAS de detección de rootkitsChkrootkit es una colección de pequeñas utilidades gratuitas para detectar la presencia de rootkits conocidos en un sistema Linux. Aunque es posible encontrar independientes guiones de detección para casi todos los rootkits, chkrootkit se diferencia por su capacidad para detectar un gran número de diferente los rootkits usando una sola aplicación. Además de la detección de firmas conocidas de rootkit, chkrootkit también ejecuta algunas pruebas genéricas que pudieran ayudar en el descubrimiento de rootkits que en realidad no son soportados por la aplicación. Para obtener más información o para descargar una copia, visite www.chkrootkit.org.

Para los sistemas Windows y Unix-, intacta por el Pedestal Software (www.pedestalsoft ware.com)puede ayudar a detectar la presencia de un rootkit, así como otras violaciones del sistema. Intacto detecta rootkits mediante el control de cambios en los sistemas informáticos. En concreto, el programa toma una instantánea de los objetos del sistema y, a continuación compara la instantánea con el sistema activo en tiempo real. Al informar sobre los cambios inesperados, Intacto detecta intrusiones no autorizadas, los efectos de virunses, los caballos de Troya, programas deshonestos, corrupción de archivos de instalación, y alteraciones de la seguridad, y los cambios en la configuración de auditoría. Como hemos visto anteriormente en este libro, los cambios, adiciones y / o supresiones menudo evidencia de que un compromiso de la integridad de un sistema que ha ocurrido.

Detectar la presencia de una puerta traseraLos atacantes suelen instalar puertas traseras en un sistema por lo que fácilmente puede entrar de nuevo que el sistema más tarde. ID de inicio de sesión y contraseñas ocultas pueden ser

http://ware.com/

http://www.pedestalsoft/

http://www.chkrootkit.org/

colocados en un sistema por el legítimoícompañero de hardware o fabricantes de software como un medio para sus técnicos para obtener acceso para reparaciones o mantenimiento. Los piratas informáticos utilizan a veces estos identificadores de inicio de sesión y contraseñas ocultas o utilizar los caballos de Troya para establecer ¡Yolegales y autorizados los ID de inicio de sesión y contraseñas en los sistemas informáticos. Si bien se puede instalar puertas traseras para acceder a una variedad de servicios, los que proporcionan acceso interactivo son de particular interés en materia de seguridad de la red.

La puerta trasera para la mayoría de los intrusos ofrece tres funciones principales:


1. Volviendo en el sistema con la menor cantidad de visibilidad. La mayoría de las puertas traseras ofrecen una manera de evitar que se registren, y muchas veces de una máquina puede parecer que no tienen a nadie incluso en línea, mientras que un intruso lo está utilizando.

2. Volviendo a una máquina, incluso si el administrador intenta para asegurarlo (por ejemplo, por cambiar todas las contraseñas).

3. Permitir que el hacker para recuperar la entrada en el sistema en el menor tiempo posible. La mayoría de los intrusos tratan de volver a la máquina con facilidad, sin tener que rehacer todo el trabajo de la explotación de un agujero para acceder.

Utilizando una puerta trasera para entrar de nuevo un sistema es una técnica popular utilizada por los piratas informáticos. Dado que las herramientas de puerta trasera están disponibles en los sitios Web de hackers, piratas informáticos, incluso menores de edad los utilizan para conseguir la entrada. Usando una vueltala puerta es una amenaza para la infraestructura de información y un crimen que el gobierno de EE.UU. toma en serio. ¿Cómo el gobierno considera que la amenaza se evidencia en el siguiente Departamento de EE.UU. de Justicia de prensa reléASE:

21 de septiembre 2000Hacker JUVENIL CONDENADO A SEIS MESES DE Centro de DetenciónCaso marca por primera vez un hacker de menores condenados a servir a tiempoWASHINGTON, DC-El Departamento de Justicia anunció hoy que un joven de 16 años de edad, de

Miami, se declaró culpable y fue sentenciado a seis meses en un centro de detención para los dos actos de la delincuencia juvenil. Bajo los estatutos de los adultos, esos actos habrían sido violaciónes de intervención telefónica federal y com putadora-leyes contra el abuso de interceptar las comunicaciones electrónicas en redes informáticas militares y para la obtención ilegal de información de las redes de computadoras de la NASA.

"Entrar en una propiedad ajena, si se trata de un robo o un equipo intrusión, es un crimen serias, "dijo la Fiscal General Janet Reno. "Este caso, que es la primera vez que un hacker juvenil será un tiempo en un centro de detención, demuestra que tenemos equipo intrusión en serio y están trabajando con nuestros socios ción de justicia para luchar agresivamente contra este problema ".

El joven, quien es conocido en Internet como "cOmrade ", admitió hoy en los EE.UU. Tribunal de Distrito en Miami que él era responsable de las intrusiones informáticas del 23 de agosto de 1999, al 27 de octubre de 1999, en una red informática militar utilizada por la Agencia de Defensa de Reducción de Amenazas (DTRA). DTRA es una agencia del Departamento de Defensa encargado de reducir la amenaza a los EE.UU. y sus aliados de armas nucleares, biológicas, químicas, convencionales y especiales.

Al declararse culpable, "cOmrade "también admitió que tuvo acceso no autorizado a un servidor informático, conocido como un" router ", ubicado en Dulles, Virginia, e instalaron un medio oculto de acceso o" de vueltapuerta "en el servidor. El programa intercepta más de 3.300 mensajes electrónicos desde y hacia DTRA personal. También interceptado por lo menos 19 usuario ñAmes y contraseñas de cuentas de equipo de DTRA em-pleados, incluyendo al menos diez nombres de usuario y contraseñas

en los equipos militares."El Departamento de Defensa toma muy en serio cualquier amenaza contra su infraestructura de

información", dijo Joseph A. McMillan, Agente Especial a Cargo de la Oficina del Departamento de Defensa de mitad de campo del Atlántico. "Todos los segmentos


de la sociedad, ya sean adultos o jóvenes, que tienen la intención de amenazar la información del Departamento de Defensa de la infraestructura, debe ser consciente de que se tomarán medidas para identificar e invertir bienípuerta de sus actividades y buscar las acciones judiciales necesarias ".

Además de las intrusiones en computadoras en el Departamento de Defensa el 29 de junio y 30 de 1999, c "Omrade "acceso ilegal a un total de 13 ordenadores de la NASA ubicado en el Marshall Space Flight Center en Huntsville, Alabama, con dos proveedores de servicios diferentes a los orig ínate los ataques. Como parte de su acceso no autorizado, obtuvo y descargar el software propietario de la NASA valorado en aproximadamente $ 1,7 millones. El software apoyado la Estación Espacial Internacional (ISS) el entorno físico, incluyendo el control de la tempe-ratura y la humedad dentro de la sala de estar.

Como resultado de la intrusión y el robo de datos, los sistemas informáticos de la NASA fueron cerrados por 21 días en julio de 1999. Este cierre dio lugar a un retraso en la entrega de software de costos de los programas de la NASA de aproximadamente $ 41.000 en la mano de obra del contratista y los costos de reemplazo de equipos informáticos.

Además de cumplir seis meses en un centro de detención, ya que las condiciones de su declaración de culpabilidad ", cOmrade "va a escribir cartas de disculpa al Departamento de Defensa y la NASA y ha accedido a la divulgación pública de información sobre el caso."

Tan inquietante como la prensa anterior reléASE es decir, que no refleja otra alarmantes características-tic de puertas traseras. Las puertas traseras son, por diseño, difícil de detectar. Un esquema común para enmascarar su presencia es para ejecutar un servidor de un servicio estándar (como telnet, por ejemplo), pero en un puerto no dis-distinguido en lugar del conocido puerto asociado con el servicio, o tal vez en un conocido puerto asociado con un servicio diferente.

Puertas traseras DETECCIÓNUn buen número de puertas traseras son ejecutados por un tipo de código malicioso llamado un caballo de Troya. De hecho, muchos de ellos contienen rootkits "de troyanos" versiones de los programas más utilizados y utilidades del sistema. Dos aplicaciones populares caballos de Troya son BackOrifice y SubSeven, operando tanto como un servidor en el sistema que infectan. Este servidor se abre una puerta trasera, permitiendo el acceso desde el exterior es posible, y esto permite que el sistema infectado pueda acceder a los piratas informáticos que a continuación se puede hacer prácticamente cualquier cosa en un sistema, incluyendo el robo o eliminación de archivos. Algunas de las capacidades poseído por son troyanos de puerta trasera Usted aquí:

• Cargar o descargar archivos

• Mover, copiar, renombrar o eliminar archivos

• Borrar discos duros y discos de datos

• Ejecutar los programas de

• Ver la pantalla como lo ve

• Entrar pulsaciones de teclas (incluso la entrada de contraseñas ocultas)

• Abierto, ciósí, y se mueven Windows

• Mueva el cursor del ratón

• Vea todas las conexiones abiertas hacia y desde su ordenador

• Cióconexiones de Se


109

Existen numerosos troyanos de puerta trasera que circulan en el medio silvestre. Si bien la mayoría son detectados por los antivirus, resulta útil saber un poco sobre cada uno de ellos. Lo que sigue es una breve lista de los troyanos de puerta trasera:

• BackOrifice / BackOrifice 2000 (BO2K). Atrás oíFICE (o B02K) es probablemente el troyano más avanzada en circulación y requiere de una empinada curva de aprendizaje, por lo que es el más difícil de poner en su lugar.

• Haga copias de seguridad de la Construcción. Esta puerta trasera permite muy poco frecuente que el hacker tenga acceso a los discos duros de un sistema. Siempre se ejecuta en el puerto 5400, lo que se aconseja que los usuarios simplemente bloquear ese puerto en sus firewalls.

• Barok. Este troyano recoge contraseñas de acceso telefónico y las envía al hacker. La forma más sencilla para defenderse de la Barok: No seleccione la opción "Siempre recuerdo a mi pasopalabra "en cuadros de contraseña.

• Blade Runner. Este troyano sofisticado se orienta más hacia las habilidades de los conocedores de sis-tema galletas, ya que contiene componentes que están más allá de las habilidades de los hackers promedio.

• Cyn. Este troyano en particular es similar en forma y características de la SubSeven, sin embargo, incluye una función adicional que permite a un hacker para restablecer la CMOS del sistema.

• Deepthroat. Garganta profunda es un sencillo de usar y tiene opciones de Troya casi tantos como el SubSeven.

• Girlfriend. No hay mucho para distinguir este troyano, ya que contiene la norma FEA-ciones comunes a la mayoría de las puertas traseras de Troya. Cortafuegos más respetable puede bloquear la novia.

• Hack'a'tack. Este fácil de usar y colorido de control remoto de Troya en realidad es bastante raro. Desde este troyano siempre se ejecuta en el puerto 31787, que es relativamente fácil de defender por igual bloqueando el acceso al puerto 31787 en el firewall.

• Autobús. Este troyano común es potente a pesar de su simplicidad. Incluso cuenta con un built-en el escáner y opera a través del puerto 54321 por defecto.

• SubSeven (alias Backdoor-G). Con su pequeña curva de aprendizaje y numerosas funciones, SubSeven es probablemente el caballo de Troya más popular (desde el punto de vista del hacker) y de gran alcance. El troyano SubSeven puede configurarse para informar a alguien cuando el ordenador se ha infectado se conecta a Internet. El hacker (que infecta el sistema con el SubSeven) A continuación se proporciona la información

que él o ella puede usar en contra de la sistema u organización.

Dado que la puerta trasera se accede desde una ubicación remota fuera de la red de una organización, su detección se logra por medio de conexiones a los puertos del sistema de control diferentes. Desde servidores de seguridad se supone que controlar y limitar las actividades portuarias, que son la opción natural para detectar la presencia de una puerta trasera. Sin embargo, puesto que las solicitudes de caballo de Troya a menudo se disfrazan de fiaríaplicaciones de yerba mate, usando un firewall no garantiza que la presencia de una puerta trasera será detectado.


El Apéndice B proporciona una lista de los puertos de uso común por los rootkits y backdoors.

Dado que los productos antivirus más reconocidos son capaces de detectar cualquiera de las aplicaciones de caballos de Troya antes mencionados, se considera obligatorio para la seguridad en Internet. El software antivirus no está exenta de defectos, sin embargo. La mayoría de los productos antivirus se basan en que los usuarios actualicen regularmente su firmas de virus para ayudar en la detección de troyanos de puerta trasera (o cualquier otro código malicioso para el caso). Los virus informáticos están constituidos por cadenas de código auto-replicante, que se llama el binario de signatura. El software antivirus funciona mediante la comparación de las firmas binarias de todos los archivos entrantes en contra de cualquier conocido firmas virales binarios almacenados en su ddtála base con el fin de determinar si ese código es sospechoso o peligroso.

Para más información sobre firmas de virus, echa un vistazo a otro libro que escribió,

Seguridad de la red de códigos maliciosos: Una guía completa a la defensa contra virus,

gusanos y troyanos (2002, Wiley).

Por desgracia, a veces no para detectar nuevas variantes para el que la firma aún no es capaz de dis-. Un medio más eficaz para determinar si un troyano o puerta trasera se ha instalado en un sistema es recoger la información específica del sistema infectado en sí. Hay varias herramientas gratuitas que pueden ser empleadas para recopilar esta información. Éstos son algunos de los favoritos personales:

• Fportexe. Fport es una utilidad de Windows-solamente por Foundstone, Inc. fport no sólo informa de todos los TCP abierto / IP y UDP, pero también traza de nuevo a la aplicación propietaria. Mientras que esta misma información podría ser obtenida mediante Windows netstat-an comando, va un paso más allá al trazar los puertos a los procesos en ejecución, con el ID del proceso, ñame, y la ruta. Fport se puede utilizar para identificar rápidamente desconocidos puertos abiertos y sus aplicaciones asociadas. Para más información o para descargar una copia sin costo alguno, visita www.foundstone.com.

• Superscan. También por Foundstone, Inc., SuperScan es un potente scanner de puertos TCP, emisor de ultrasonidos, y de resolución de nombre de host. Este programa es extremadamente rápido y versátil y se puede conectar a cualquier puerto abierto descubierto utilizando una función de las solicitudes de ayuda especificados por el usuario.

• Nmap. Nmap (Network Mapper) es una utilidad de código abierto útil para explorar las conexiones de red y auditoría de seguridad. Nmap determina qué hosts están disponibles en la red, así como los puertos que están utilizando. Nmap se ejecuta en la mayoría de los ordenadores que utilizan los sistemas Unix y Linux. Viene tanto en consolaéy la gráfica de ver-siones. Nmap es un software gratuito, disponible con código fuente completo bajo los términos de la GNU Licencia Pública General (GPL) en www.insecure.org / nmap .

http://www.insecure.org/nmap

http://www.foundstone.com/


• Listdlls.exe. ListDLLs, una utilidad gratuita de Windows, Mark Russinovich, es capaz de mostrar la ruta completa ñAmes de módulos cargados - no sólo su base ñAmes. Además, ListDLLs bandera cargados DLL que tienen diferentes versión número que sus correspondientes archivos en disco (que se produce cuando el archivo se actualiza después de un programa carga el archivo DLL), y pueden ¡Yolúdemostrar qué DLL han sido reubicadas debido a que no se cargan en su dirección base. Esta útil herramienta se puede descargar en www.sysinternals.com .

Puertas traseras DETECCIÓN con el comando netstatLa netstat comando es una herramienta útil para el control de configuración de la red y la actividad. Mediante el uso netstat, usted puede averiguar qué puertos del ordenador están abiertos, que a su vez ayuda a determinar si su ordenador ha sido infectado por un troyano. La netstat comando enumera todas al aire libre conexiones desde y hacia su PC.

Unix, Linux y Windows todos soportan el netstat comando. Para usarlo en Windows, abra una de comandos (DOS) del sistema y escriba el comando netstat-a, Que enumera todas las conexiones abiertas van desde y hacia su PC. Si usted descubre cualquier conexión que usted no reconoce, es necesario rastrear el proceso que está utilizando esa conexión. Usted puede utilizar un programa freeware llamado TCPView útil para hacer esto. TCPView es un programa de Windows que proporciona detalladas listas de todos los puntos finales TCP y UDP (por ejemplo, clientes, servidores, etc) en su sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP.

En Windows NT, 2000 y XP, TCPView también informa de la ñombre del proceso que posee el punto final. TCPView proporciona información adicional que se puede lograr cuando se utiliza el programa netstat integrado que viene con Windows. TCPView se puede descargar en www. sysinternals.com . Al igual que con Windows, en Unix o Linux cuando se ejecuta el netstat-a comando, ver un listado de todas las conexiones, junto con sus puertos de escucha.

La eliminación de rootkits y troyanosUna vez que se ha descubierto que un equipo está infectado con un rootkit o troyano de puerta trasera, la eliminación del programa en cuestión es el siguiente paso lógico. Debido a la inundación de rootkits y troyanos de puerta trasera en la naturaleza, es imposible hacer una lista de los procedimientos de traslado de todos ellos, sin embargo, las directrices generales para la eliminación son los siguientes.

Las medidas necesarias para eliminar un troyano:

1. Identificar el archivo de caballo de Troya en el disco duro del sistema.

http://sysinternals.com/


1. Descubra cómo se está iniciando (por ejemplo, a través de carpetas del Registro, de inicio, y así sucesivamente) y tomar la acción (s) necesarias para evitar que se reinicie después de un reinicio.

2. Reinicie el equipo y eliminar el caballo de Troya.


Los pasos básicos que intervienen en la recuperación de un rootkit son los siguientes:

1. Aislar la máquina afectada. (Desconectarlo de la red y / o Internet).

2. Determinar la gravedad de la transacción. (Hay otros equipos de la red también infectado?)

3. Comenzar la limpieza por la reinstalación del sistema operativo y las aplicaciones a partir de una confianza (Limpia) de copia de seguridad.

A menudo, los troyanos de puerta trasera se puede detectar simplemente actualizando sus

firmas de software antivirus.

La detección y defensa contra Sniffers de redUn analizador de paquetes de red es una utilidad que monitoriza y registra la actividad de la red en un archivo por la inhalación de tráfico, pero sin modificar los paquetes de la red en modo alguno. En los primeros días de la computación, rastreadores eran dispositivos de hardware que estaban conectados físicamente a la red. Ahora inhalación se hace por software, con lo que la red de oler a cualquier persona que desee realizar esta tarea. Hacker sitios web están llenos de rastreadores que logran funcionar en cualquier plataforma de sistema operativo. De hecho, es común que un hacker o cracker para emplear un sniffer de red para capturar nombres de usuario y contraseña, datos que se pasa sin encriptar (en texto plano, un formato de formato ASCII que se puede leer en el Bloc de notas, por ejemplo) sobre la red.

Por desgracia, casi todos los rootkit incluye utilidades para olfatear el tráfico de red. Un dis-turbingly poderosa aspecto de la captura de paquetes es su capacidad para colocar la máquina que aloja el adaptador de red en modo promiscuo. Los adaptadores de red que se ejecutan en modo promiscuo reciben no sólo los datos dirigidos a la máquina que aloja el software de sniffing, sino también todo los datos de tráfico en la red conectado físicamente local. Esta capacidad permite rastreadores de paquetes para ser utilizado como potentes herramientas de espionaje.

La detección de sniffers de red es difícil pero no imposible. En Unix y Linux, el ifconfig comando permite que el administrador privilegiado (superusuario) para determinar si las interfaces están en modo promiscuo. Cualquier interfaz funcionando en modo promiscuo es escuchar a todos ellos netosel tráfico de trabajo, un indicador clave de que un sniffer de red se está utilizando. Para comprobar los interfaces de uso de ifconfig, sólo tienes que escribir ifconfig-a y buscar la cadena Promisc. Si esta cadena está presente, su interfaz está en modo promiscuo, y hay que proémás allá, utilizando las herramientas integradas, como la ps utilidad para identificar el proceso de ofender. Para sistemas basados en Windows, una herramienta gratuita llamada PromiscDetect mano se puede utilizar para detectar rápidamente cualquier adaptador que se ejecutan en modo promiscuo. PromiscDetect es una herramienta de línea de comandos que se puede descargar en www.ntsecurity.nu/toolbox/~~V promiscdetect / y funciona en Windows NT 4.0, 2000 -, y los sistemas basados en XP.

http://www.ntsecurity.nu/toolbox/


A la luz del hecho de que un rastreador de promiscuidad sólo puede interceptar el tráfico de datos que se comparte en su segmento de lo local área de la red, promiscua inhalación se puede prevenir mediante el uso de la red interruptores en lugar de centros de la red estándar.

Un estándar de concentrador Ethernet opera por retransmitir los datos que recibe a todos los equipos también conectados al concentrador. En tal ambiente paquetes destinados a una máquina son recibidos por todas las otras máquinas, también. Esto es diferente de un interruptor que puede identificar el equipo específico en el segmento de LAN para las que está destinada cualquier datos recibidos. Un interruptor retransmite los datos recibidos sólo en el segmento de LAN que contiene el receptor previsto. En otras palabras, un interruptor es una "inteligente" que envía paquetes a la computadora destinada sólo y no lo difunde a todos los equipos de la red, como se hace en los cubos de Ethernet. Cuando los conmutadores se utilizan en lugar de los centros, cada equipo ocupa su propio segmento de LAN, y que sólo el segmento lleva el tráfico de datos destinados a esa máquina. Esta segmentación de LAN hace promiscua en modo paquete Rastreadores completamente ineficaz en los casos en que el sniffer no está conectado a la misma red.

Resumen del capítuloDebido a que los ciber-amenazas que provienen de individuosais y código malicioso están constantemente cambian-do, las organizaciones necesitan cambiar la manera en que se acercan a la protección de sus redes. Por desgracia, la capacitación de seguridad a menudo se centra en los problemas de seguridad más localizadas y básica y no en la respuesta a las amenazas externas, como hackers y programadores maliciosos. Los rootkits son una de las herramientas utilizadas por los intrusos para ocultar y proteger su presencia en el sistema, y puertas traseras, uno de los componentes de un rootkit, son utilizados por los hackers para volver a entrar en un sistema. A menudo, un intruso consigue la capacidad de camuflaje completo, apoyándose en un administrador de confiar en la salida de varios programas del sistema. Por ejemplo, cuando un rootkit está instalado correctamente, el administrador no será capaz de distinguir la diferencia entre el original y los modificados ver-siones, lo cual es difícil de detectar. En este capítulo se centra en las herramientas, técnicas y metodologías básicas que pueden ser utilizados por los administradores de sistemas para detectar la presencia de rootkits, de back-puertas, y rastreadores de la red.


• El papel de los procesos del sistema y su importancia en la detección de programas ocultos

• Cómo detectar los archivos inusuales y ocultos, que a menudo son el signo de un sistema de compromiso

• Las herramientas y técnicas para detectar y eliminar rootkits y backdoors

• Las amenazas planteadas por sniffers de red y la forma de detectar y eliíNate les

Capítulo 6

Recuperar y analizar Las pistasln este capítulo

• Realizar búsquedas de palabras clave para desarrollar pruebas

• Localizar y examinar el archivo de intercambio de Windows para pruebas

• Localización y recuperación de correo electrónico pruebas

pruebas Recuperación de la memoria caché del navegador

web

• Viendo el historial del navegador Web

• La importancia de los archivos de cola de impresión de Windows o metarchivos

mejorados (EMF)

• Localización de los datos ocultos y las contraseñas en los equipos

EN EL PASADO, LA GRAN MAYORÍA DE LOS CRÍMENES SE RESUELVEN USANDO LAS PRUEBAS, tales como huellas dactilares, huellas, documentos de papel y otros objetos tangibles, extraída de la escena del crimen. Si bien este tipo de pruebas continuaéque informe a la policía con los hechos importantes, la tecnología se ha añadido otro elemento para el examen: la evidencia digital. Más información a veces puede ser adquirida a partir del análisis de una computadora y su contenido que de una huella dactilar. Como en el caso del asesinato de Sharon Guthrie señala en la Introducción de este libro, a veces la historia de un crimen puede ser contada a través de la recuperación de los archivos olvidados o se cree que han sido eliminados. Afortunadamente, la policía y los profesionales del derecho son rápidamente empezando a reconocer que la informática forense proporciona evidencia vital y, posiblemente, puede ser la clave para resolver ciertos crímenes. Con una mayor importancia que ahora se coloca en evidencia digital, se ha convertido en crucial que las pruebas se manejan y se examinaron correctamente.

Como las computadoras se vuelven más extendida en el entorno corporativo, los empleadores deben salvaguardar la información crítica del negocio. Una preocupación importante de hoy es la posibilidad de que los datos podrían resultar dañados, destruidos o robados por un empleado descontento. Si hay una computadora en la escena del crimen, hay una buena probabilidad de que un valioso testimonio se almacena en ese equipo. Una proporción cada vez mayor de la actividad criminal, incluyendo delitos de cuello blanco, se está cometiendo con la ayuda de las

computadoras. No hay duda de que la obtención de pruebas es tanto un proceso que consume tiempo y compleja. Este capítulo se centra en las herramientas y procedimientos para la recuperación y el análisis digital de pistas.

115


Antes de realizar una búsqueda de cualquier equipo, primero debe revisar los procedimientos

legales para buscar y aprovechar las computadoras y la obtención de pruebas electrónicas. En

los EE.UU. esto se puede encontrar en www.cybercrime.gov .Sin una formación

adecuada, sin darse cuenta, puede destruir pruebas cruciales. Además, también puede ser

considerado penalmente o civilmente Hpoder de sus acciones si lo hace la búsqueda sin la

debida autorización.

Cómo realizar búsquedas de palabras claveAnálisis de datos implica una variedad de técnicas. Uno de los métodos utilizados para descubrir dirigido informa-ción es la búsqueda por palabra clave. Por ejemplo, una investigación informática forense es a veces por formado para tratar de determinar si un equipo específico ha sido utilizado para enviar mensajes inapropiados u ofensivos. Esta revisión puede incluir volver a crear el uso de un empleado de Internet, recuperar archivos borrados de internet, y realizar búsquedas de palabras clave para obtener información que aparece en los mensajes ofensivos. Estos métodos pueden ser efectivos incluso cuando el individuo ha hecho un intento de cubrir sus pistas electrónicas. Búsquedas por palabras clave se utilizan para los siguientes propósitos:

• Para lócate ocurrencias de palabras o cadenas de texto en los datos almacenados en archivos o flojos y UNALarchivo que se encuentra el espacio

• Las auditorías internas para identificar violaciónes de la política corporativa

Para encontrar pruebas en las investigaciones corporativas, civiles y penales, que implican por ordenadorpruebas relacionadas con

• Para buscar texto incrustado en formato de tratamiento de textos o fragmentos de documentos comodocumentos

Debido al enorme tamaño del disco duro moderno, es muy difícil de evaluar de forma manual todos los archivos almacenados en el disco. En consecuencia, las herramientas forenses de búsqueda de texto están disponibles para ayudar de forma rápida y fácil de descubrir a las pruebas pertinentes. El uso de software automatizado, las palabras clave se pueden utilizar en la búsqueda de todo tipo de soportes informáticos, incluyendo unidades de disco duro, disquetes / extraíble, y discos CD-RW. Al realizar una búsqueda de palabras clave, la lista de palabras debe ser lo más corto posible y utilizando palabras comunes o palabras que son una parte de otras palabras debe ser evitado. En tales casos, las palabras deben estar rodeado con espacios. Por ejemplo, la palabra "copyright" está integrado en casi todos los archivos ejecutables en Windows. Si usted busca en ella, obtendrá litrosaliarse miles de visitas.

Industrial Strength Búsqueda por palabra clave Programas


Hay varios programas disponibles para Unix, Linux y Windows que automatizan la tarea de una búsqueda por palabra clave. Por desgracia, las versiones comerciales de estos producís son un poco caros y suelen incluir muchas otras funciones (Forense suite), además de su capacidad para per-formar búsquedas básicas por palabra clave. He aquí algunos ejemplos:

Capítulo 6: Recuperación y análisis de pistas 117

• Forensic Toolkit por AccessData Corporation ($ 595)

• Revestir por Guidance Software, Inc. ($ 1.995-$ 2,495)

Maresware suite por Mares and Company, LLC ($ 325-$ 950)

Freeware Herramientas para palabras clave de búsquedaAfortunadamente, hay varias potentes utilidades freeware que será suficiente para la gran mayoría de las orga-nizaciones o individuosais que llevan a cabo la tarea de una búsqueda por palabra clave forenses. Si bien no lo hacen con-mantener algunas de las características adicionales de las versiones comerciales, cuando son combinados con algunas de las otras herramientas forenses gratuitos mencionados en este libro, que ayudan a construir rápidamente un potente conjunto de herramientas que se pueden recolectar y preservar evidencia digital potencial. Aquí están tres de mis favoritos personales para la plataforma Windows:

• BinText por Foundstone, Inc. (actualmente en Versión 3.0) es un texto pequeño, rápido y poderoso extractor. BinText puede extraer el texto de cualquier tipo de archivo, tales como texto sin formato, Unicode y cadenas de recursos. Además, esta útil herramienta proporciona información detallada de cada elemento mediante un accesorio opcional (avanzado) y el modo de vista de filtrado de palabras clave para ayudar a prevenir la de cualquier texto no deseado de ser Usted. La lista recopilada puede ser buscado y se guarda en un septiembreátipo de archivo, ya sea como un archivo de texto plano o en un formato tabular. Para obtener más información o para descargar una copia, visite www.foundstone.com.

• Disco Investigador por Kevin Soloway (www.theabsolute.net/sware/)Es otro FOREN-utilidad de software gratuito que puede sic reunir una variedad de información desde el disco duro del usuario. Disk Investigator ayuda a descubrir todo lo que está "escondido" en un disco duro de la computadora, ayuda en la localización de los datos sensibles con funciones de visualización de búsqueda, y muestra el verdadero contenido de la unidad. Al pasar por el sistema operativo y directamente leyendo los sectores crudos de accionamiento, investigador del disco los archivos de ayuda de búsqueda de usuarios y grupos de palabras clave específicas o de contenido.

• SectorSpyXP por Nick McCamy Lexun de dominio público (véase la Figura 6-1) es una comunidad de gran alcanceordenador forense herramienta que puede ser utilizado por la policía o cualquier persona que desee buscar y recuperar la evidencia a la izquierda en discos duros de ordenador y disquetes. Aunque no es tan potente o flexible como EnCase (la principal herramienta para tales fines), SectorSpyXP es todavía muy poderosa y libre. SectorSpyXP examina todos los datos en un disco duro o disquete a nivel sectorial e incluso contiene documentación detallada sobre cómo utilizarlo para realizar una búsqueda por

http://www.theabsolute.net/sware/

http://www.foundstone.com/

palabra clave para buscar y recuperar pruebas incriminatorias. Se puede utilizar para recuperar la información perdida, el texto que se ha suprimido y eliminado de la Papelera de reciclaje, e incluso información que no se encuentra en otros programas de recuperación de archivos. Este programa funciona en Windows 2000 y XP. Para obtener información adicional acerca de SectorSpyXP, inclui-Ing enlaces a sitios web donde se puede descargar una copia, visite http://home.carolina .rr.com / lexunfreew son.

http://rr.com/lexunfreew

http://home.carolina/

Figura 6-1: SectorSpyXP

Usando SectorSpyXP para realizar una búsqueda de palabras claveSectorSpyXP recupera la información y la escribe en un archivo de texto llamado el archivo de datos (o el archivo de recuperación de datos para los que no están utilizando el programa forense). La ñombre del archivo de datos es siempre SectorSpyXP.txt y está escrito en una unidad de un disco (disquete) como el defecto.

Usted no tiene que escribir en el disco, sin embargo. Si el análisis de un disquete en la unidad A, debe escribir los datos a otra unidad. Por otra parte, no puede ser que se trate con la contaminación de las unidades de disco duro que está trabajando, en cuyo caso se podría escribir en los discos duros en lugar de a un disquete.

Cuando SectorSpyXP se pone en marcha, de inmediato se ve en la unidad A de un disco con una llave en ella. Si un el disco no se encuentra o la clave no se encuentra, SectorSpyXP supone que desea el archivo de datos que se escriben en la unidad A. Si no quiere escribir en un disquete en la unidad A, siga las instrucciones en la sección siguiente.

Escribir el archivo de pruebas a un lugar que no sea una UNIDADPara escribir los archivos de evidencia a un lugar que no sea un disco en la unidad A, debe cr ése comió un simple archivo de texto (que debe ser llamado SectorSpyXPFilePath.txt) que contiene la ruta ñAME de la ubicación donde desea que el archivo de pruebas para ser escrito. Esta es la llave que busca SectorSpyXP cuando sea lanzado. Siga estos sencillos pasos:

1. Crése comió un archivo de texto llamado SectorSpyXPFilePath.txt.

2. En la primera línea, escriba la ruta completa ñAME de la ubicación donde desea que los archivos de evidencia a ser escrito. Ejemplo 1: Si desea que el archivo que se encuentra en el directorio raíz de la unidad D, escriba D: \. Ejemplo 2: Si desea que el archivo que se


encuentra en D: \ Mis Prueba gratuita 1e, tendría que escribir D: \ Mis pruebas ExpedienteV

Capítulo 6: Recuperación y análisis de pistas

119

3. Recuerde siempre poner el último \al final de la ruta ñAME.

4. No incluya el ñombre del archivo de texto.

5. Guarde el archivo y copiarlo en un disquete.

6. Asegúrese de que el disco se inserta al inicio SectorSpyXP.

7. Usted puede quitar el disco una vez que haya comenzado SectorSpyXP. No se puede cambiar la ruta del archivo pruebas ñame sin tener que reiniciar SectorSpyXP.

Si el análisis de un disquete, no quiero escribir el archivo de datos a la

misma. Siga las instrucciones anteriores para escribir el archivo de datos a

otra ubicación. Inserte el disco con el archivo de clave SectorSpyXPFilePath.txt, a

continuación, poner en marcha SectorSpyXP. Retire el disco y reemplazarlo con el que desea

analizar.

USO DE SECTORSPYXP buscar información específicaCuando se utiliza SectorSpyXP, hay dos métodos que puede utilizar para buscar información específica.

MÉTODO 1 Escriba el texto que desea buscar y haga clic en el botón Buscar siguiente (para el ejemplo que se muestra en la Figura 1.6, el texto de búsqueda es "Freeware Lexun"). Buscar siguiente busca la primera aparición de "dominio público Lexun" dentro de un sector, a partir del sector que se muestra actualmente, y resalta el texto en rojo. No pone de manifiesto las repeticiones posteriores de "dominio público Lexun" dentro del mismo sector. Al hacer clic en Buscar siguiente otra vez, busca la primera aparición de "dominio público Lexun" en el siguiente sector. Esto evita tener que hacer clic repetidamente en Buscar siguiente, cuando el texto "Freeware Lexun" existe muchas veces dentro de un sector. Explicado de otra manera, en Buscar siguiente busca la primera aparición de "dominio público Lexun" en el siguiente sector que se encuentra y deje de mirar-ción de "dominio público Lexun" en el sector de la actual una vez que ha encontrado la primera aparición de la misma. Nota que puede buscar sólo en la dirección de avance.

El botón de mayúsculas y minúsculas, por supuesto, determina si el texto de búsqueda distingue entre mayúsculas y minúsculas o no. En nuestro ejemplo, el botón de mayúsculas y minúsculas se presiona, y las búsquedas de "dominio público Lexun" sólo tendrá éxito si ninguna de capitalización (o su ausencia) coincide exactamente. Por ejemplo, "Lexun freeware" no sería un éxito en este ejemplo, pero lo que sería si el botón de mayúsculas y minúsculas no se ha pulsado.

MÉTODO 2 La búsqueda se puede hacer para obtener una lista de palabras clave que se han introducido en un archivo de texto Siguiendo este procedimiento:

1. Crése comió un archivo de texto llamado findnextlist.txt, y dentro de ese archivo, escriba las palabras clave, una por línea.Por ejemplo:palabra clavelclave2

EUR

Palabra clave3

2. Coloque el archivo donde se realizará el expediente de prueba por escrito.

3. Para utilizar la lista en las búsquedas, el tipo findnextlist en el Buscar siguiente cuadro de edición como se describe en Método 1.

4. SectorSpyXP se detiene y muestra alguna de las palabras clave que encuentre.


Pautas generales para el examen del disco duroHay varias maneras de ir sobre la búsqueda de unidad de disco duro a un sospechoso para incriminar palabra evidencia. Un método consiste en dejar el disco duro en el ordenador del sospechoso y, usando un programa como BinText o SectorSpy, busque en el disco duro se sospecha de ciertas palabras clave (la evidencia). Este método no está exento de fallas, sin embargo. La evidencia podría ser borrado o alterado durante el proceso normal el proceso de arranque del ordenador.

Mientras que usted podría arrancar el ordenador con un disquete de arranque especial o incluso una unidad de CD-ROM, a continuación, tendría que comprar uno de los más complicados basados en DOS forenses util-dades, como la búsqueda de texto Plus o Pro DiskSearch las nuevas tecnologías, Inc . (www.forensics-intl.com) para realizar la búsqueda por palabra clave. Por desgracia, estas utilidades sólo se proporcionan a la policía o el personal del gobierno. La libertad, aunque sea un poco más complicado, la alternativa es quitar el disco duro del sospechoso y hacer una copia o clon mediante la colocación de ese disco duro en otro ordenador con un disco duro o partición lo suficientemente grande como para contener un clon exacto del origdisco duro inal.

http://www.forensicsintl.com/

1 En el disco duro la eliminación también es necesario cuando el ordenador de un sospechoso tiene

una contraseña de arranque del sector ini-ciadas en el BIOS, impide que el equipo arranque a

través de disquete, CD-ROM o disco duro.

Si se realiza correctamente (como se describe en el capítulo 3), la unidad clonada o fotografiado será un sector por sec-tor copia (según lo dispuesto por el NIST) del disco duro original. Esto preserva el estado del disco duro original, permitiendo al mismo tiempo minucioso examen forense de los datos contenidos en la reproducción utilizando el BinText o programas SectorSpy.

Para individuosáyos u organizaciones que deseen hacer un clon rápido o copia de una partición

del disco duro para su personal o con fines internos de una organización, una práctica utilidad

llamada DrvClonerXP está disponible en el dominio público Lexun

http://home.carolina.rr.com/lexunfreeware~~V .

http://home.carolina.rr.com/lexunfreeware

Una vez que la copia o clon del disco duro de un sospechoso ha sido hecho, el original no debe ser tocado. Siempre estudiar las copias secundarias. Los cambios realizados en el origenais afectar el resultado de un análisis posterior realizado a las copias. Asegúrese de que no se quede ninguna extracción de datos o programas de copia que tienen el potencial de modificar los tiempos de acceso de archivos, como el alquitrán (Unix / Linux) y xcopy (DOS / Windows). Por último, asegúrese de quitar todas las oportunidades externas para el cambio y, en general, analizar la evidencia sólo después de que ha sido recogido.

La recogida y preservación de pruebas se tratan en mayor detalle en el capítulo 7.


121

Al examinar el archivo de intercambio de WindowsEl archivo de intercambio de Windows (archivo de paginación en Windows NT/2000/XP) es el espacio en un disco duro reservado para el sistema operativo para hacer lo que se llama paginación. En las condiciones en la memoria física (RAM) ya no está disponible (por ejemplo, cuando se ejecutan varios programas al mismo tiempo), Windows se llevará a las páginas más antiguas no utilizados (cada página que consiste en un trozo de 4K de datos) de la memoria y moverlos en la memoria virtual. Las nuevas páginas de datos del programa que está usando puede ser guardado en la memoria física. Este proceso se denomina a menudo como intercambio, gallinaee el término archivo de intercambio. El archivo de intercambio es esencialmente nada más que un solo archivo grande que contiene, por-quizás miles de estas páginas.

La memoria física es un concepto fácil de entender ya que es la cantidad de RAM instalada en su sistema. La memoria virtual, sin embargo, no tiene nada que ver con la cantidad de memoria física instalada, pero es la cantidad de memoria que el sistema operativo y las aplicaciones que estás ejecutarNing percibir a estar disponible a través de paginación.

El archivo de intercambio es importante cuando se realiza una investigación forense ya que un gran volumen de datos puede existir en el archivo de intercambio de los cuales el usuario de la computadora no tiene conocimiento. Los archivos de intercambio de Windows puede proporcionar el especialista en informática forense, con pistas para la investigación que de otra manera no ser descubiertos. Los archivos de intercambio de Windows puede ser dinámico (temporal) o permanente, dependiendo de la versiónsión de Windows involucrados y los ajustes seleccionados por el usuario de la computadora o el administrador del sistema.

Archivos permanentes de intercambio son más importantes para un especialista en informática forense, ya que su tamaño sigue siendo estática y conservar sus datos durante largos periodos de tiempo que los archivos de intercambio dinámico. Archivos permanentes de intercambio puede contener cantidades enormes de datos. Debido a las enormes cantidades de datos que puedan contener, que debe buscar antes de tiempo por el especialista en informática forense en cualquier examen (como evidencia potencial en relación con el uso anterior de la computadora sujeto). Los archivos de intercambio de Windows pueden contener datos fácilmente reconocibles como números de tarjetas de crédito, números de teléfono, de paso apalabras, y fragmentos de texto en el idioma Inglés.

Cada vez que un equipo se ejecuta, existe la posibilidad de información en el archivo de intercambio de Windows que se sobrescriba. El archivo de intercambio puede resultar muy útil desde una perspectiva de pruebas, puesto que los fragmentos de sesiones de trabajo de Windows pueden permanecer en el archivo de intercambio de Windows. El archivo de intercambio de Windows actúa como un buffer de datos enorme, y muchas veces terminan documentos enteros en este archivo. Por lo tanto, cuidado con aná-lisis del archivo de intercambio puede resultar en el descubrimiento de evidencia valiosa cuando Windows se tratara.

Localización del archivo de intercambio de WindowsEn la mayoría de las instalaciones de Windows, la ubicación predeterminada para el archivo de intercambio está en el directorio raíz de la unidad donde está instalado Windows, por lo general en la unidad C. Sin embargo, desde el sistema operativo Windows se puede instalar en otras particiones del disco duro (por ejemplo, D , E, y así sucesivamente) y porque el archivo de

intercambio puede haber sido movido de su configuración predeterminada por el usuario, la ubicación exacta del archivo de intercambio puede variar. Como regla general, el archivo de intercambio se encuentra normalmente en el directorio raíz de la partición donde está instalado Windows. En Windows 95/98/ME el archivo de intercambio se llama win386.swp, y en Windows NT/2000/XP que se llama pagefile.sys. Si no está seguro de la ubicación del archivo de intercambio / página, siempre se puede realizar una búsqueda para que mediante la utilidad de búsqueda de Windows situado en el inicio hombresú.

Desde pagefile.sys es un archivo oculto del sistema, primero debe asegurarse de que Windows se ha creado para ver los archivos ocultos y no ocultar archivos protegidos del sistema operativo. Estas opciones se pueden encontrar en el cuadro de diálogo Opciones de carpeta (ver Figura 6-2), utilizando los procedimientos que fueron descritos en


Capítulo 5. Una vez que Windows se ha configurado para ver archivos ocultos del sistema, sólo tiene que iniciar la búsqueda servicios públicos y el tipo ñombre del archivo de intercambio para el que desea buscar (por ejemplo, pagefi 1e. Sistema) Y deje que Windows lócado para usted (vea la Figura 6-3).

Figura 6-2: La carpeta de Windows XP Opciones de caja de

Figura 6-3: La utilidad de Windows XP Buscar


123

Viendo los contenidos del archivo de intercambio / PáginaPor desgracia, viendo el contenido de un archivo de intercambio / página no es tarea fácil. El archivo de intercambio / página está com-puesto por miles de páginas de 4K individuales de datos. El principal inconveniente es que usted no puede ver el contenido del archivo de intercambio, mientras que el sistema operativo se carga. Más importante aún, una vez que la compu-tadora se reinicia y el sistema operativo se inicia, o se elimina elíd archivo de intercambio y asigna uno nuevo porque el archivo se percibe como una transitorio o un archivo temporal. Por esta razón, una buena imagen del disco duro (como se describe en el Capítulo 3) se debe realizar antes de que el equipo sospecha de que se reinicie. Puede conservar el estado del archivo de intercambio, en primer lugar de apagar el equipo, entonces reiniciar con un disquete de arranque o CD-ROM. De hecho, muchas de las mejores suites forenses incluyen utilidades para arrancar el ordenador sin necesidad de sospecha de que se cargue el sistema operativo y poner en peligro la integridad de cualquier evidencia potencial contenida en el archivo de intercambio.

Intercambio de archivos pueden ser vistos como cualquier otro archivo con programas de software populares como Norton Commander o DiskEdit Norton o cualquier otro editor binario. El problema es que los archivos de intercambio pueden ser muy grandes, con algunas 200MB más de tamaño. Además, contienen principalmente información binaria, que no es legible. Buscando pistas en el archivo de intercambio al ver que con la norma binaria edición utililazos es tedioso y lo más probable es infructuosa debido al volumen de datos involucrados. Con el fin de desentrañar el contenido de los archivos de intercambio, más productivos, herramientas especializadas son necesarias como EnCase (www.guidancesoftware.com)o filter_lpor New Technologies, Inc. (www.forensics-intl.com) de modo que los numerosos fragmentos de datos del archivo de página puede ser extraído y montado. Estas herramientas pueden ahorrar cantidades significativas de tiempo en la identificación de todo tipo de clientes potenciales de los contenidos del archivo de intercambio de Windows. Por desgracia, estas herramientas pueden ser demasiado caro para el usuario casual y puede requerir una formación especial, también. Esto hace que el archivo de intercambio mejor análisis deja a la legislación entrenados cumplir-ción o de los especialistas forenses.

Las palabras clave específicas o cadenas de texto legible almacenada en el archivo de intercambio de

Windows pueden ser localizados con herramientas como SectorSpy, como se mencionó

anteriormente en este capítulo.

Correo electrónico como evidenciaAntes de la invención del teléfono, escribir cartas era el principal medio de comunicación a través de grandes distancias geográficas. Hoy en día, las personas cometen una gran cantidad de material para revelar el texto escrito en forma de correo electrónico (e-mail) mensajes. Si los mensajes de involucrar a ter-rorists, directores ejecutivos corruptos o traficantes de drogas locales, la sobreabundancia de mensajes de correo electrónico y los archivos electrónicos que

http://www.forensicsintl.com/

http://www.guidancesoftware.com/

circulaníse comió el mundo o se almacenan en los ordenadores representa un tesoro de evidenciadencia para el investigador forense o al funcionario policial.

Mensajes de correo electrónico enviados o recibidos en el sistema informático de un empleador están sujetos al descubrimiento y la revisión por parte de funcionarios policiales en las investigaciones criminales, sin embargo, los procedimientos adecuados, deberá cumplir con las Reglas Federales de Evidencia. (De hecho, gran parte de la evidencia de que el Departamento de Justicia presentó a la corte con respecto a la contraria a la competencia de Microsoft


las actividades se basan en correo electrónico dentro de la empresa los mensajes que los funcionarios dentro de la empresa enviado a unos a otros.)

Durante la búsqueda de pruebas de correo electrónico, la regla más importante a recordar es que las leyes de privacidad siguen siendo válidas, y los aspectos legales son complicadas. Mensajes de correo electrónico que aún no han sido enviados pueden llegar a ser la evidencia de la computadora de un sospechoso si hay una justificación válida para la búsqueda de ellos. Entrantes mensajes de correo electrónico, sin embargo, son tratados de una manera diferente. Ellos primero tienen que ser descargados por el destinatario de un servidor de correo (ya sea ubicado en el ISP o el servidor local de una organización) antes de que se puede acceder a las pruebas y se utiliza contra el beneficiario. Para ver o eliminarlos del servidor de correo antes de el destinatario ha descargado los viola la ley federal, aun cuando hay una razón válida para realizar una búsqueda. La ley federal prohíbe estrictamente a los terceros el acceso a mensajes de correo electrónico antes de que hayan sido descargados desde un servidor. Por el contrario, varios casos judiciales recientes han confirmado que revisar el correo electrónico después de transmisión es legal, ya que se considera como similar a la búsqueda a través de un archivo en el cajón de un empleado.

Se recomienda encarecidamente que usted consulte con un abogado antes de emprender cualquier búsqueda.

Para más información sobre las Reglas Federales de Evidencia, vea el Apéndice D.

Localización de E-Mail

Como vimos en el capítulo 4, borrar algo que no quiere decir que ha sido permanentemente borrado. Cuando se elimina un mensaje de correo electrónico, en realidad está diciendo a su equipo que el espacio del correo electrónico una vez ocupado ya está disponible para ser sobrescritos por los nuevos datos. Sin embargo, con tamaños de disco duro que llegan ahora a proporciones gigantescas, puede tomar meses o incluso años antes de los datos eliminados han sido sobrescritos por los nuevos datos. Incluso cuando los archivos son sobrescritos, los fragmentos de los documentos puede continuaéde existir (a veces en varios lugares de una computadora) debido a la fragmentación de la los datos almacenados en los discos duros.

La fragmentación se produce cuando un archivo de datos cambia de tamaño y entonces no se ajusta de nuevo en el árazón de un disco duro desde donde se recuperó. Cuando los datos del disco duro se ha convertido en más grande, como cuando se agrega texto a un documento de procesamiento de textos, algunos de ellos se guardará en su ubicación original, mientras que los datos que no caben allí se guarda en otra parte. Por lo tanto, si usted hace un montón de creación del archivo - copiar, borrar y sobrescribir - archivos tienden a ser dividida en pedazos con el fin de llenar todos los vacíos espacios de un disco duro.

El uso de la mensajería de correo electrónico tan importante (y posiblemente condenar) la prueba de los titulares de todo el mundo cuando Kenneth Starr lanzó evidencia que apoya en su investigación del Presidente Clinton, que incluyó eliminados mensajes de correo electrónico recuperados de la computadora de Monica Lewinsky. Muchos usuarios de continuadoreséa pensar en mensajes de correo electrónico como príVate y segura, mientras que no deja su


125

compañía integraciónmAl comunicaciones (o de su personal en el hogar) de la red. Ha habido menos incidentes de conteo de los empleados que circulan mensajes de correo electrónico que consiste de chistes subidos de tono, insultos raciales, comentarios difamatorios, observaciones relacionadas con el género, las observaciones relacionadas con la edad, y control inapropiado-diezíque se han sometido a ellos ya sus empleadores la responsabilidad por ello.

Dado el uso casi universal de la mensajería de correo electrónico como herramienta de comunicación de la elección en la mayoría de las organizaciones, no es de extrañar que muchos investigadores se centran específicamente en el correo electrónico durante el proceso de descubrimiento. Sin embargo, e-mail plantea el investigador forense con varios desafíos.

• Mensajes de correo electrónico a menudo tienen archivos adjuntos, que también pueden contener elementos de vital importancia.

• Mensajes de correo electrónico se pueden encontrar en una serie de diferentes lugares, tales como buzón de correo electrónico del remitente / Salida, en el buzón de un servidor de red, o en los medios de copia de seguridad.

• El alto volumen de mensajes de correo electrónico a menudo requiere el uso de palabras clave para enfocar un revisar.

Debido a estas dificultades, la localización de mensajes de correo electrónico y archivos adjuntos, si los hubiere, para su uso como prueba depende de si el mensaje de correo electrónico fue enviado, recibido o eliminado. Si el mensaje no ha sido eliminado, la localización es por supuesto no es difícil. Mientras que los programas individuales varían, la mayoría por e-mail programas de mensajería incluyen los lugares de almacenamiento siguientes:

• Bandeja de entrada. Almacenamiento de mensajes de correo electrónico una vez que se han recibido

• Bandeja de salida. Almacenamiento de mensajes de correo electrónico que han sido enviados a su destino o destinatario

• Proyecto. De almacenamiento para terminar mensajes de correo electrónico que aún no han sido colocados en el Bandeja de salida para la entrega

• Los mensajes enviados. Una copia de todos los mensajes que han sido enviados a un destinatario, almacenados por el cliente de correo electrónico para futuras referencias

Recuperación de correo electrónico eliminadoEs lamentable que la mayoría de las organizaciones tratan mensajes de correo electrónico de manera muy diferente de lo que hacen los demás documentos de oficina y enFMemor ernalándums. En lugar de archivar los mensajes, los usuarios tienden a tratar a mensajes de correo electrónico como de usar y tirar es posterior-notas que se leen y se desecha con muy poco después de pensamiento. La mayoría de los mensajes de correo electrónico se eliminan inmediatamente después de que el destinatario haya terminado de leer o responder a ellos. Hay algo (una temporalidad percibida) sobre el m elec-trónicoémediano que hace que la gente a hacer

comentarios informales que no pusieran en el papel. Los usuarios tienden a ser más descuidados en retener los correos electrónicos, simplemente porque no pensar en ellos como verdadera documentos.

Debido a los altos costos involucrados en la retención de correo electrónico, muchas organizaciones no archivar o una copia de seguridad oíd mensajes de correo electrónico. Si usted sospecha que un usuario ha eliminado recientemente un incriminatorias mensaje de correo electrónicosalvia, encontrar ese mensaje puede ser tan simple como buscar en el correo electrónico eliminado carpeta en aplicación de correo electrónico del usuario. El procedimiento exacto varía en función del software de correo electrónico está siendo utilizado. En general, cuando un usuario borra el correo electrónico de su cliente de correo electrónico, por lo general se puede recuperar durante varios días después se produjo la eliminación. El mensaje de correo electrónico no está completamente eliminado, pero


sólo se trasladó a la eliminados íMET carpeta. Hasta que esta carpeta se vacía de forma permanente, puede mover los elementos detrás de él en su Bandeja de entrada o cualquier otra carpeta en el movimiento ícuadro de diálogo de MET (ver Figura 6-4).

Para restaurar un borrado mensaje de correo electrónico en Outlook o Outlook Express (XP), siga estos pasos:

1. Inicie el programa Outlook o Outlook Express E-mail.

2. Seleccione la eliminados íMET carpeta (Outlook) o eliminados íAtajo de TEMS (Outlook XP) de la ventana de la izquierda.

3. Haga clic con el eliminado mensaje de correo electrónico, a continuación, seleccione "Mover a carpeta" en el menú desplegable hombresú.

4. En la lista de carpetas en el movimiento ícuadro de TEMS, seleccione la carpeta donde desea que el eliminar mensaje de correo electrónico que desea mover.

Figura 6-4: El movimiento íMET cuadro en

Microsoft Outlook para Windows XP Pro.

La posibilidad de recuperar los datos eliminados se vuelve más complicado una vez que el

mensaje de correo electrónico se ha suprimido definitivamente. Una vez que esto ha ocurrido,

es necesario utilizar los procedimientos de recuperación de datos descritos en el Capítulo 4 y /

o utilizar programas como Investigador SectorSpy o disco para realizar una búsqueda por

palabra clave para tratar de recuperar cualquier correo electrónico específica de texto.

La recuperación de la evidencia de la Web NavegadorLa mayoría de los navegadores web almacenan las copias de las páginas Web visitadas recientemente. La caché de web es la forma en su navegador de Internet de que le ahorra tiempo al descargar las páginas Web. Muchos usuarios de Internet valoran el tener una descarga rápida

de las páginas web que visita con frecuencia, sobre todo si se utiliza un lento dial-up tipo de conexión a Internet. El almacenamiento en caché del navegador web implica el almacenamiento de la información se ve desde las páginas Web que pueden incluir enlaces, imágenes (imágenes), y el texto de la página Web en su ordenador. Al almacenar los elementos de la caché, la información contenida en las páginas Web que se han visitado con anterioridad, cuando se cargan más rápido


127

acceder posteriormente, debido a que ya se han cargado una vez y se almacena en la caché del navegador. Por ejemplo, cuando un usuario solicita una página web que él o ella ha visitado antes, el primer navegador busca en la caché, si comprueba que la página no se carga la página en caché en lugar de conectarse a la Web para descargar una nueva. Cachés web revelan mucho acerca de los sitios Web que un usuario ha visitado. La mayoría de los navegadores web actuales (por ejemplo, Internet Explorer y Netscape Navigator) realizar el almacenamiento en caché Web.

Localización de la evidencia Navegador de HistorialOtra forma de los usuarios de Internet sin darse cuenta puede revelar sus hábitos de navegación es a través de la característica de completado automático se encuentra en algunos de los navegadores Web más recientes. La línea de dirección URL en la parte superior del navegador contiene un cuadro de lista desplegable de los sitios visitados recientemente y se completa automáticamente las direcciones web introducido parcialmente para usted. Como un usuario selecciona una dirección URL o empieza a escribir uno de cada, las URL visitadas por el usuario en el pasado parecen. Además, la mayoría de los navegadores de mantener un historial de todas las URL que el usuario ha navegado. La longitud de tiempo que los archivos permanecen en la historia puede ser ajustado por el usuario. Bajo Windows XP por ejemplo, la configuración predeterminada coloca el límite en sólo los últimos 20 días, sin embargo, esto puede ser modificado por el usuario a tan sólo 0 días o tan largo como 99 días. Usted puede rastrear los hábitos de navegación de un usuario al ver la lista del navegador de la historia. Los siguientes son los pasos a seguir para dos navegadores web más populares. Para Netscape Navigator, siga estos pasos:

1. Abra los hombres Communicatorú.

2. Seleccione Herramientas, luego en la Historia.

3. Para ver una página Web en particular, haga doble clic en una línea dentro de la lista.

Puede ordenar la lista del historial, haga clic en una de las categorías (por ejemplo, ubicación, título,

etc a) en sentido ascendente, descendente, o por orden alfabético.

Para Internet Explorer, hay varias maneras de lócate sitios Web y las páginas recientemente vistos. Para encontrar páginas visitadas recientemente, siga estos pasos:

1. En la barra de herramientas, haga clic en el botón Historial. Una barra de Historia aparece a la izquierda, que contiene enlaces para los sitios Web y las páginas visitadas en los días anteriores y semanas.

2. En la barra Historial, haga clic en un día o una semana para expandir la lista.

3. Seleccione una carpeta de sitio Web haciendo clic en él, lo que muestra las páginas

individuales.

4. A continuación, haga clic en la página de ICón para mostrar la página Web.

Los procedimientos siguientes sólo se mostrará la historia para el usuario actualmente

conectado, y si arranca el ordenador a través del sistema operativo. Esto no funcionará si usted

ha montado el disco de la imagen como un disco duro secundario (el método recomendado

para evitar el cambio de los datos durante el proceso de examen).

|


Para ordenar o buscar en la barra Historial, haga clic en la flecha que aparece junto al botón Ver

en la parte superior de la Historia bar.

Localización de pruebas Web CacheLa memoria caché del navegador web contiene datos que pueden indicar un investigador forense, un montón Acerca de ING surf hábitos de los usuarios. Por ejemplo, en Estados Unidos v Tucker, 150 F.Supp.2d 1263 (D. Utah, 2001), una convicción-ción fue ampliamente apoyada por la evidencia encontrada en forma de archivos de caché de Internet que el navegador del acusado guarda en su disco duro cuando se les ve en los sitios Web. Como se dijo anteriormente en esta sección, todos los navegadores web actuales utilizan un sistema de almacenamiento en caché para acelerar la carga de las páginas web más visitados. En Netscape Navigator e Internet Explorer, las páginas Web se almacenan en una carpeta especial en el disco duro del usuario, sin embargo, Navigator también utiliza la memoria (RAM) para mejorar aún más el sistema de almacenamiento en caché. En el navegador, el usuario puede controlar tanto la cantidad de memoria (RAM) que se asignan a las páginas de almacenamiento en la memoria, así como la ubicación y la cantidad de espacio en el disco duro que se utiliza para almacenar en caché. En el Explorador de que sólo se puede ajustar la cantidad de espacio en disco duro. Los siguientes son los pasos que se utilizan para administrar la configuración de la caché de estos dos navegadores más populares. Para gestionar la configuración de caché de Netscape Navigator, siga estos pasos:

1. Inicie el navegador Web.

2. Seleccione Editar en la barra de herramientas de los hombresúy seleccione Preferencias.

3. En la sección Categoría en el lado izquierdo, haga clic en el signo + para expandir la avanzada Configuración.

4. Haga clic en caché en la parte superior de la lista Configuración avanzada.

5. Ahora verá la pantalla de administración del caché, así como la ubicación donde los archivos de caché se encuentran en el disco duro del ordenador.

Después de determinar la ubicación exacta del archivo de caché de disco duro, vaya a la

carpeta de caché para ver su contenido o copiar los archivos a un disco para su examen

forense.

Para administrar Microsoft Internet Explorer (6.0) configuración de la caché, siga estos pasos:

1. Inicie el navegador Web.

1. Seleccione Herramientas en la barra de herramientas de Explorer y, a continuación, seleccione Opciones de Internet para mostrar la pantalla Opciones de Internet. (También puede hacer clic en el IC de Internet Explorerón en su Iniciar los hombresúy seleccione Propiedades.)


129

3. En la pestaña General, seleccione el botón Configuración en Archivos temporales de Internet. (Por defecto, Explorer almacena las páginas en caché en el disco duro en una carpeta llamada Temporal Los archivos de Internet.)

4. Seleccione Ver archivos para mostrar el contenido de la caché Web.

Al igual que con muchos aspectos de la informática forense, herramientas gratuitas disponibles que pueden simplificar De otra manera las tareas complicadas. Cuando se trata de la visualización de los archivos de caché del navegador en Windows, uno de mis favoritos de herramientas de software libre es CacheMonitor II por David M. Pochron de Software enigmático. CacheMonitor muestra el contenido de la caché del navegador entero en una ventana de la lista conveniente, incluyendo cambios en los archivos almacenados en caché en la columna de estado (en el monitor). Otra característica interesante de este programa es que te permite exportar fácilmente todo el contenido de la caché (En el texto de forma-to) para la preservación de un medio extraíble como un disco Zip o CD-R. Esta útil herramienta gratuita se puede descargar en www.mindspring.com/ ~ dpoch/enigmatic/cachemonitor2.html y en varios sitios web gratuitos.

Imprimir archivos de cola de impresiónEl 13 de diciembre de 1999, Michael Dickman Craig fue detenido por el FBI y la P de San DiegoóDepartamento de piojos, poco después del robo de las 5:00 pm del Banco de AméRica en La Jolla. Dickman, un ex ejecutivo de biotecnología conocido como el bandido de dientes separados por los medios de comunicación locales, creados pagarés a la vista en su procesador de textos mediante la impresión de los pagarés a la vista (sin tener que guardarlas como archivos en su computadora). Sin embargo, los examinadores cualificados de la San Diego Laboratorio Regional Forense fueron capaces de recuperar los pagarés a la vista en forma de archivos EMF eliminados desde el disco duro de la computadora portátil de Dickman. Esta evidencia jugó un papel central en la asegurar la convicción de la Bandit de dientes separados de.

Impresión bajo Windows consiste en un proceso llamado "cola de impresión" en la que el sistema operativo crea una copia temporal del archivo a imprimir, conocido como un metarchivo mejorado (EMF). Cuando se imprime un documento, Windows crea primero una copia de ese archivo (CEM) en el disco duro y luego envía esa copia a la impresora. Incluso si el usuario no se guarda el documento, que la impresora versión temporalmente reside en el disco. Después de finalizar la impresión, los archivos EMF son normalmente eliminados por Windows, un proceso invisible para el usuario. Dado que estos son los archivos borrados, es necesario seguir los procedimientos y utilizar las herramientas incluidas en el capítulo 4 para recuperarlos.

Bajo ciertas condiciones, los usuarios pueden tener la opción de administrador de trabajos de impresión de Windows configurado para conservar y no eliminar automáticamente los archivos de cola de impresión. El procedimiento general para determinar si tiene Windows XP han establecido para retener los archivos de impresión de cola de impresión es el siguiente:

1. Haga clic en el botón Inicio de Windows y vaya a Impresoras y faxes.

http://www.mindspring.com/~dpoch/enigmatic/cachemonitor2.html

1. En Impresoras y faxes, haga clic en la impresora Icón con la marca de verificación (este es el por defecto) y seleccione Propiedades.

2. Si "Conservar los documentos impresos" está seleccionado en la pantalla Propiedades de la impresora (vea la Figura 6-5), a continuación, Windows está configurado para guardar los archivos de cola de impresión.

Figura 6-5: Conservar los archivos de cola de

impresión en el Propiedades de la impresora

cuadro de

Bajo estas circunstancias, una simple búsqueda de la unidad de disco duro del usuario para los archivos *. EMF (utilizando la utilidad integrada de búsqueda de Windows) se encuentra, mostrar, e incluso le permiten copiar archivos de impresión EMF de cola de impresión a medios extraíbles para la preservación y / o su posterior análisis.

Localización de datos ocultosEn algún momento durante una investigación de los delitos informáticos, un médico forense intentará descubrir los archivos que han sido intencionalmente ocultados por un perpetrador. Es fácil para criminais para ocultar el delito cibernético pruebas y otra información pertinente dentro de un ordenador. Las cartas, hojas de cálculo, pie-Turas, y la evidencia potencial de otro puede ser comprimido cifrado, y / o protegidos con contraseña usando una variedad de programas gratuitos. Ciber criminais incluso han sido conocidos por manipúlas extensiones de archivos finales para ayudar a disfrazar los verdaderos atributos de un archivo.

EsteganografíaLa esteganografía es la práctica de ocultar un mensaje o archivo dentro de otro mensaje o un archivo conocido como archivo de soporte. La esteganografía es una forma de ocultar un mensaje de tal manera que cualquiera puede ver, pero sólo unos pocos saben lo que debe buscar para poder decodificar o recibir el mensaje oculto. Steganographers puede ocultar un mensaje o imagen en cualquier uno de los siguientes:

• Otra imagen


• Un archivo de audio

• Un archivo de vídeo o una película


131

Además, un archivo de audio o de vídeo se puede ocultar dentro de otro archivo multimedia, como un archivo gráfico de gran tamaño. La esteganografía se diferencia de la criptografía en la que, si bien la criptografía funciona para ocultar el contenido de un mensaje, la esteganografía trabaja para ocultar la existencia misma del mensaje. Desafortunadamente, la mayoría de los métodos esteganográficos en uso hoy en día son invisibles a los sentidos del observador, y en la actualidad hay pocas herramientas a disposición del público para detectar el uso de la esteganografía. Si usted sospecha que un autor ha ocultado un archivo de texto, imagen u otro contenido dentro de una imagen, un programa gratuito muy útil existe que puede ayudarle a detectar si ese archivo se utiliza la esteganografía. La herramienta automatizada, stegdetect, es capaz de detectar varios métodos diferentes esteganográficos utilizadas para incrustar información oculta en las imágenes JPEG. Stegdetect se puede encontrar en www.outguess.org/~~V detection.php con las versiones disponibles para Unix / Linux y Windows.

Protegida con contraseña los datos comprimidosHay veces en una investigación cuando un equipo forense se encontrará con los archivos que el usuario ha comprimido y protegido con contraseña. Existen numerosas razones Esto podría ocurrir, por ejemplo, cuando los empleados de repente salir de la organización sin desproteger los archivos que han dejado atrás. Protegidos con contraseña los archivos Zip son fáciles de hacer, ya que hay numerosos pro-gramas disponibles en Internet (muchos de ellos son freeware) que permiten a un individuo para comprimir documentos o archivos. Esto permite que el documento o los archivos que ocupan mucho menos espacio en el disco duro e incluso reduce el tiempo necesario para transmitir ese documento a través de Internet, una gran ayuda para las conexiones a Internet más lentas. Algunos archivos comprimidos se puede preparar para que automáticamente descomprimir (descomposición de prensa), después de que el usuario simplemente hace clic en el IC de archivos comprimidosón. De esta forma el destinatario no necesita ningún software especial para descomprimir el archivo después de que se recibe. Además, el documento o archivo puede tener la protección de contraseña que se le aplica de manera que cuando un usuario intenta descomprimir el archivo, él o ella tiene que proporcionar la contraseña apropiada o el archivo no descomprime correctamente.

Cuando un documento o archivo que se encuentre que requiere introducir una contraseña antes de que pueda ser descomprimido, hay varias opciones. Usted puede calyoen una empresa que se especializa en la obtención ilegal de contraseña y la recuperación, o puede tratar de romper la contraseña usted mismo mediante el uso de cualquiera de los muchos comerciales o freeware Zip de descifrado de contraseñas servicios públicos disponibles en Internet.

Dos empresas que se especializan en este floreciente campo son:

• Crackers de contraseñas, Inc. (www.pwcrack.com)

• Descuento recuperación de la contraseña (www.discountpasswordrecovery.com)

Si usted desea para tratar de descifrar el password a ti mismo, cientos de programas shareware / freeware disponibles. Los siguientes programas están entre los más populares:

http://www.discountpasswordrecovery.com/

http://www.pwcrack.com/

http://www.outguess.org/

• ZIP Password Finder por Astonsoft (www.astonsoft.com)

• Cain & Abel v2.5 beta20 para Windows NT/2000/XP (www.oxit.it)

• Ultícompañero de ZIP Cracker por VDG Software (www.vdgsoftware.com)

http://www.vdgsoftware.com/

http://www.oxit.it/

http://www.astonsoft.com/


Ejemplo de uso de Ultícompañero de ZIP CrackerDigamos que usted está realizando un examen forense del disco duro del usuario y el encuentro de un documento comprimido o incluso un documento de Word o Excel que requiere una contraseña (para extraer y ver). Uso ZIP Cracker, siga estos pasos:

1. Inicio ZIP Cracker haciendo doble clic en el programa de ICón.

1. Lócado el documento o archivo que desea tener una contraseña para reciclar (agrietado) mediante el uso de ZIP Cracker integrado en el navegador de archivos. En nuestro ejemplo, el documento se llama Introduction.zip y se encuentra en el escritorio. El archivo es un documento comprimido protegido por contraseña Palabra (ver Figura 6-6) que se comprimió usando ZipItFast! 2,0, de MicroSmarts Enterprise.

2. El Asistente para Recuperar Contraseña comienza, y ofrece una serie de sugerencias sobre la manera de acelerar el procedimiento de recuperación de contraseña. Usted puede optar por seguir sug del programasugerencias, o que salte y vaya directamente a la formación de grietas en la contraseña. En la prueba, yo uso el mayúsculas y minúsculas, contraseña alfanumérica "L46mP", y tomó este programa poco más de dos minutos para romper en mi PC.

Figura 6-6: Usando ZIP Cracker para eludir una contraseña

Un punto importante a recordar es que el descifrado de contraseñas puede ser una tarea de tiempo, sobre todo si las contraseñas son más de cinco caracteres de longitud. Algunos criminais seguir las reglas de contraseñas seguras mediante el uso de una mezcla de letras mayúsculas y minúsculas así como caracteres alfanuméricos. Las compañías que se especializan

en la recuperación de la contraseña tiene poderosos computa-res que utilizan software sofisticado y por lo general se puede recuperar una contraseña en una fracción del tiempo que uno podía con cualquiera de estos programas freeware / shareware.


133

Resumen del capítuloInformática forense con frecuencia implica el uso de la tecnología informática para descubrir evidencia electrónica. La posibilidad de recuperar la información buscada es cada vez más importante, ya que muchos negocios-dad y los registros financieros que ahora sólo existen en formato electrónico. Utilizando herramientas forenses informáticas y técnicas, un investigador puede descubrir muchos tipos diferentes de datos, incluso los protegidos con contraseña documentos y archivos borrados, esconden en el equipo. Detección electrónica consiste en analizar los sistemas de una sus-pecto de computación y medios de almacenamiento de lóCate tales pruebas, oíd mensajes de correo electrónico, los archivos ocultos y archivos eliminados y documentos. Investigadores forenses informáticos también pueden romper las contraseñas como parte de sus investigaciones. La clave es ser capaz de tener acceso a los medios electrónicos necesarios y tener el know-how para descubrir las pruebas pertinentes una vez que tenga el equipo. Puntos principales tratados en este capítulo se incluyen

• Entender las herramientas y técnicas para realizar una búsqueda por palabra clave

• La importancia del archivo de intercambio de Windows cuando se realiza una investigación

forense

• Cómo lóCate y reserva por e-mail pruebas

• Cómo recuperar datos de una memoria caché del navegador Web

• Cómo revisar y conservar los archivos de historial del navegador Web

• ¿Cómo extraer información de los archivos de cola de impresión, incluso cuando los documentos no fueron guardada por el usuario

• Cómo lóCate y recuperar los datos ocultos y protegidos por contraseña

Capítulo 7

Los procedimientos para recoger y preservar evidencialn este capítulo

• La recopilación de pruebas después de comprometer el sistema

• Entender la volatilidad de la evidencia

• Creación de un disco real, el modo de arranque

• Utilizando rastreadores de paquetes para reunir pruebas

• La construcción de un conjunto de

herramientas forenses A raíz de la cadena

de custodia

• La admisibilidad de las pruebas

ES IMPORTANTE RECORDAR UNO DE LOS PRINCIPIOS BÁSICOS DE LA U. S. ordenamiento jurídico; que, sin evidencia de un crimen, no hay delito. Las medidas adoptadas en la escena del crimen en el inicio de una investigación puede jugar un papel crítico en la resolución de un caso. Cuidado, investigación a fondo es fundamental para garantizar que la evidencia física potencial no está contaminado o destruido o que los posibles ingenio-sas no se pasa por alto. Es de suma importancia que el mayor cuidado se toma en la colec-ción y conservación de pruebas.

Investigaciones de incidentes se llevan a cabo para descubrir la causa (s) de un incidente. Si la investigacionesción se hace a fondo, señala la información crucial para prevenir el evento vuelva a ocurrir. Para lograr esto, los investigadores deben mantener las habilidades y conocimientos para planificar y llevar a cabo una investigación efectiva. Incluso bajo las mejores circunstancias, la evidencia puede ser difícil de col seleccionar. Cuando la evidencia es en formato electrónico, el investigador se enfrenta a otro nivel de complejidad, tales pruebas no tiene ninguna de la permanencia de las pruebas convencionales y es aún más difícil para formar en evidencia fácilmente explicable. Este capítulo se centra en los procedimientos básicos de la evidencia recolección y conservación.

Recopilación de evidencia PostcompromiseLa evidencia electrónica puede ser costoso para recoger tanto en términos de horas-hombre y el tiempo de inactividad del sistema. Los procesos pueden consumir mucho tiempo y complicado. Los sistemas afectados pueden no estar disponibles para un uso normal durante un tiempo prolongado mientras la recopilación de análisis y los datos se lleva a cabo. Hay dos


simples razones para esto: la rendición de cuentas y la prevención. El atacante es responsable de los daños causados, y la única manera de traerlo a la justicia o para solicitar una remuneración adecuada es con evidencia de marcos alemanesónstrate que el ataque fue el resultado de su acción.

La víctima, por el contrario, tiene una responsabilidad con el público en general. La información recopilada después de un compromiso puede ser examinada y utilizada por otras personas para prevenir nuevos ataques. Las víctimas también pueden tener la obligación legal de realizar un análisis de las pruebas recogidas, por ejemplo, si el ataque a su sistema era parte de un gran ataque cometido contra varios sistemas de diferentes compañías. Cuando llegue el momento de comenzar la recolección de pruebas, la primera regla que debe seguirse es la de no apresurarse. Ansiedad niveleseis está seguro de ser alta, y una reacción instintiva hará que la gente a buscar respuestas más rápidamente posible. Sin embargo, si el investigador se apresura a través de los procedimientos de recolección de datos, la evidencia puede ser pasado por alto, manchado, o se pierde. Un error en la recolección y preservación de la evidencia es a menudo irreversible.

Requisitos legales para la recolección de pruebas electrónicasCuando la recopilación de pruebas después de que un crimen ha sido cometido, ciertas restricciones legales deben ser FOLseguido si los datos deben ser admisibles en un tribunal de justicia. Como estos requisitos son muy amplias, complejas y varían de país a país, que está fuera del alcance de este libro elucífecha todos ellos, sin embargo, este capítulo trata de aquellos que son comunes a la mayoría de las investigaciones.

Un obstáculo para ser máseomí cuando la recopilación de pruebas es el mantenimiento de los derechos de privacidad de los sistemasusuarios tem. Los usuarios de las redes corporativas perder sus derechos a la intimidad cuando la organización o el administrador del sistema institutos uso de una pancarta de inicio de sesión en su red. La pancarta de inicio de sesión esta-blece que las actividades del usuario se controlarán durante la duración del tiempo que utilizan el sistema. La pancarta que advierte a los usuarios en caso de que se determine que ha actuado en violación de la política de seguridad de la organización durante el uso de la red, que estará sujeto a acciones legales. Cuando la organizaciónción no se ha incorporado como una bandera, que establece las expectativas de la organización de los usuarios, fiscales e incluso transgresiones conocidas puede ser imposible. Acusados culpables han sido absueltos de los cargos simplemente porque se les había dado ningún aviso explícito de la prohibición de la organización del sistema incorrecta / uso de la red. Por otro lado, el derecho del usuario a la privacidad ha llevado a algunos individuosais que han sido objeto de seguimiento sin darle previo aviso para hacer reclamaciones legales contra la sus empleadores.

Instalación de un cartel de inicio de sesión de Windows NT 4.0 se puede lograr utilizando el regedit programa. Implementación de un mensaje de inicio de sesión implica la modificación de dos claves relacionadas. Recuerde, la edición del Registro implica un cierto riesgo. Lo mejor es realizar copias de seguridad por primera vez en el Registro con el favor de copia de seguridad del Registro-procedimientos en el capítulo 4.

Para editar las teclas en NT 4.0, haga lo siguiente:

1. Ejecute el Editor del Registro (Regedt32.exe).

2. Ir a la siguiente clave del Registro: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ De Windows NT \ CurrentVersion \ Winlogon.

3. Edite el ValuN eAME escribiendo LegalNoticeCaption.(Contiene el texto de la leyenda de el cuadro de diálogo, que será presentado al usuario.)

4. Edite el ValuN eAME escribiendo LegalNoticeText (Este contiene el texto, que se aparecen en el cuadro de diálogo.)

5. Salga del Editor del Registro y reinicie el equipo para que el cambio surta efecto.

Capítulo 7: Procedimientos para recoger y preservar evidencia 137

Windows 2000/XP no utiliza el LegalNoticeCaption o la configuración del Registro LegalNoticeText. En su lugar, usted necesita utilizar la consola de Directiva de seguridad localépara establecer un aviso legal, como se muestra en los pasos siguien-tes:

1. Haga clic en Inicio, Configuración, Panel de control.

2. Haga doble clic en Rendimiento y mantenimiento (sólo para XP), luego Herramientas administrativas, Configuración de seguridad local, Directivas locales y opciones de seguridad.

3. Define el texto del mensaje para ser visto por los usuarios que intentan iniciar la sesión.

4. Establecer título del mensaje para los usuarios que intentan iniciar una sesión en inicio de sesión

interactivo.

5. Cierre la sesión a continuación, volver a entrar en la prueba.

Unix / Linux Banners LoginLas banderas de inicio de sesión para los sistemas operativos Unix / Linux varían dependiendo de la versi particular,ón que se utiliza. Para muchos sistemas contemporáneos (por ejemplo, Sun o Linux), creando el archivo / Etc / issue en el directorio raíz que contiene el texto de la pancarta hace que el texto de la pancarta para ser des-jugó antes de la consolaésesión y antes de que todos los inicios de sesión interactivos, tales como telnet, rsh, y rlogin. La / Etc / issue archivo es un archivo de texto usado en Unix y Linux con el fin de insertar la información sobre el sistema y hacer que la información que aparece en el inicio de sesión del usuario. Puesto que es un archivo de texto, también se puede utilizar para CRécomió una pancarta de inicio de sesión y se pueden personalizar a su gusto. Sistemas Linux utilizan dos tipo de archivos, / Etc / issue para la consolaéinicios de sesión y / Etc / issue.net para telnet inicios de sesión, así que Asegúrese de colocar el texto de la pancarta en ambos.

Para otros sistemas Linux (que no responden a la / Etc / issue archivo), poner el texto de la pancarta en el archivo / Etc / motd. El contenido de este archivo se muestran por el mundial / Etc / .login y el / Etc / profile archivos, dependiendo de la shell de empezar (Sh o CSH), inmediatamente después de un inicio de sesión exitoso. Visualización de la / Etc / motd presentar inmediatamente después de inicio de sesión es también una opción para el demonio de Secure Shell (Sshd), y esto se puede establecer en el / Usr / local / etc / sshd archivo de configuración. Para máquinas que no utilizan ninguno de estos métodos para la visualización de banners, consulte las páginas de manual para cada servicio para ver si hay un mecanismo de banners disponibles.

Al crear un banner de inicio de sesión, se debe tener cuidado en la formulación de su texto. La bandera debe estar correctamente redactado con el fin de ser válida. El siguiente es un Departamento de EE.UU. de mensaje muestra Justicia aprobado que se puede utilizar en una bandera de inicio de sesión:

ADVERTENCIA ** ** ATENCION ** ATENCION ** ATENCION ** ATENCION ** ATENCIONSe trata de una organización { ÑAquí ame} sistema informático, que se puede acceder yutiliza sólo para las empresas por personal autorizado. El acceso no autorizado o el uso de

http://ssue.net/

este sistema informático puede someter a los violadores a los derechos civiles penales, y / oadministrativo acción.Cualquier información sobre este sistema de computación pueden ser interceptados, grabados, leer,copiado, y divulgada por y para el personal autorizado para fines oficiales,incluso las investigaciones penales. El acceso o uso de este sistema informáticocualquier persona, sea autorizado o no autorizado, constituye el consentimiento de éstostérminos.ADVERTENCIA ** ** ATENCION ** ATENCION ** ATENCION ** ATENCION ** ATENCION


La expectativa de la vida privada no se basa en hechos y circunstancias específicas, sino de si la expectativa de privacidad es la que la sociedad en general reconoce. Las políticas de la organización podrá eliminar cualquier expectativa de privacidad. Por ejemplo, si la política de la organización afirma que el lugar de trabajo escritorio de un empleado (o computadora) se pueden buscar en cualquier momento o si una copia de la llave de la mesa se mantiene por la administración, entonces no hay ninguna expectativa razonable de privacidad.

Un equipo por el empleador emitida es una parte del lugar de trabajo porque, aunque se utiliza principalmente por el empleado, que es propiedad y está bajo el control del empleador. El equipo sigue siendo parte del lugar de trabajo, incluso cuando el empleado ha puesto la información personal en él y también cuando el empleo del empleado se termina. Aunque el empleado puede tener un cierto grado de expectativasción de la vida privada, un empleador público puede buscar en el contenido de la computadora de un empleado sin una orden judicial cuando se enfrenta a una supuesta violación de su Política de Uso Aceptable (AUP) siempre que el registro es razonable en sus inicios y en su alcance, y es el trabajo relacionados. Cuando una búsqueda en el lugar de trabajo no está relacionado con el trabajo, cualquier intento de adquirir la evidencia de actividad criminal o un registro de la propiedad personal de un empleado en el lugar de trabajo sin el consentimiento requiere una orden judicial.

La Cuarta Enmienda de la Constitución de los EE.UU. regula la cuestión de la privacidad. Un caso en la corte central que aborda el tema de la privacidad es el lugar de trabajo O'Connorv. Ortega, 480 EE.UU. 709 (1987) en el que los Estados Unidos Tribunal Supremo sostuvo que la búsqueda de la empresa pública de la oficina del empleado era razonable en sus inicios, ya que su propósito era encontrar pruebas de la supuesta mala conducta del empleado y para recuperar relacionadas con el trabajo de materiales. Como empleado de un hospital del estado, el Dr. Ortega es el principal responsable de la capacitación de médicos en la residencia psiquiátrica-dencia del programa. Los funcionarios del hospital se preocupó por la falta de decoro en la gestión del programa, debido principalmente a cargos en su contra relacionados con el acoso sexual de las mujeres y los empleados del hospital de acción disciplinaria inapropiada contra un residente. En espera de una investigación de estas denuncias, el Dr. Ortega fue puesto en licencia administrativa. Durante la licencia, los funcionarios del hospital buscó en su oficina y se apoderaron de objetos personales de su escritorio y gabinetes de archivos que posteriormente fueron utilizados en los procedimientos administrativos como resultado de su alta del hospital. El Dr. Ortega presentó una demanda contra funcionarios de un hospital en la Corte de Distrito Federal, bajo 42 USC 1983, alegando que la búsqueda de su cargo violaba la Cuarta Enmienda. El Hospital mantiene la búsqueda era jus-tified el fin de proteger la propiedad del Estado e invertirícargos de puerta de mala conducta el Dr. Ortega. El Dr. Ortega argumentó que la búsqueda de una violación de sus derechos de la Cuarta Enmienda, ya que fue un intento de des-cubrir y reunir las pruebas para ser usado en su contra en un procedimiento administrativo.

Por otra parte, la Jueza O'Connor, se unió a cargo del juez Rehnquist, White Justicia, y la Justicia Powell, llegó a la conclusión de que:

Allanamientos y decomisos por parte de los empleadores del gobierno o los supervisores de la príla propiedad privado de sus empleados están sujetos a las restricciones de la Cuarta Enmienda. La expectativa de privacidad en su lugar de trabajo se basan en las expectativas de la sociedad que tienen profundas raíces en la historia de la enmienda. Sin embargo, las realidades operativas de los lugares de trabajo puede hacer que las expectativas de algunos de los empleados públicos de privacidad razonable cuando un intrusión es por un supervisor en lugar de un oficial de la ley. Algunas oficinas del gobierno

puede ser tan abierta a sus compañeros de trabajo o el público que ninguna expectativa de privacidad es razonable. Dada la gran variedad de entornos de trabajo en el sector público, la cuestión de si un empleado tiene una expectativa razonable de privacidad deben ser abordados en una base de caso por caso. Debido a que el expediente no revela en qué medida los funcionarios de un hospital puede haber tenido motivos de trabajo para entrar en la oficina del demandado, la Corte de Apelaciones debería haber remitido el asunto al Tribunal de Distrito para su posterior determinación. Sin embargo, la mayoría de este Tribunal está de acuerdo con la determinación de la Corte de Apelaciones que el demandado tenía una expectativa razonable de privacidad en su


oficina. Independientemente de cualquier expectativa de privacidad en la propia oficina, la evidencia indiscutible apoya la conclusión que el demandado tenía una expectativa razonable de privacidad, al menos en su escritorio y archivadores.

Una vez que esté seguro de que todos los procedimientos legales han sido cubiertos adecuadamente, el siguiente paso es recoger en realidad la evidencia. Los siguientes son los pasos generales que deben seguirse para la evidencia colección:

Las restricciones de la Enmienda 4 º sólo se aplican a las organizaciones del gobierno y sus

agentes. No hay ninguna restricción modificación cuarto en PRíVate organizaciones. Podrán,

sin embargo, se regirán por las leyes de privacidad estatales o locales. Expectativa de

privacidad es un concepto que se aplica (en el sentido legal) sólo a las cuestiones 4 ª

Enmienda.

La Orden de la colecciónSi la recolección de evidencias se realiza correctamente y de manera ordenada, es mucho más útil en la apre-hending el atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en el caso de un proceso judicial. Orden de cobro deben llevarse a cabo siguiendo los siguientes pasos básicos:

1. Buscar la evidencia. Averiguar dónde está la evidencia de que usted está buscando se almacena en el sistema. Hacer una lista de verificación le puede ayudar en el proceso de recolección, y se puede utilizar para a comprobar que todo lo que está buscando está ahí.

2. Determinar la relevancia de los datos. A medida que descubren pruebas, usted debe decidir qué partes de ella son relevantes para el caso que nos ocupa. Para estar seguro, usted debe overcollect en vez de exelude posi-ble las pruebas. Tenga en cuenta, sin embargo, que hay que trabajar rápido, no pierdas el tiempo de collecting información que será de ninguna utilidad para su caso.

3. Posición volatilidad. Una vez que haya determinado qué partidas a cobrar, debe decidir en qué orden para reunirlos. El principal factor determinante es que los elementos que tienen más probabilidades de ser volátiles (los elementos que pueden degradar o inutilizables) debe ser recolectó en primer lugar. Usar y apegarse a la orden una vez que has establecido asegura que la pérdida de útiles (por ejemplo, no corrompida) evidencia sigue siendo mínima. Comience con los artículos que has clasificados como los más volátiles y seguir con los clasificados como menos. (La volatilidad se explora con más detalle en la siguiente sección.)

4. ElimíNate la interferencia exterior. Es crucial que evite la alteración de los datos originales, ya que es mucho más fácil para evitar la manipulación de lo que es para rectificar las consecuencias de la manipulación. Como sólo los datos alterados pueden introducir como evidencia, el mayor cuidado se debe tomar para impedir cualquier contaminación exterior posible. Atacantes conocedores se han conocido para instalar una interruptor de hombre muerto, que puede eliminar la evidencia, una vez un equipo está desconectado de la de red o de Internet.

5. Recoger la evidencia. Ahora usted puede iniciar el proceso de recolección. Utilice todas las herramientas que tenemos disponibles para esta tarea. A medida que reunir pruebas, continuaépara examinar los elementos


que ya ha recogido, como nuevas piezas que recogen pueden influir en lo que se tiene en cuenta WOR-tu información. Usted puede venir a darse cuenta de que has pasado algo por alto. Ahora es el tiempo necesario para hacerlo.

6. Documento de todo. Su método de recolección de la evidencia que usted presente podrá ser puesto en duda más tarde, así que asegúrese de mantener un registro de todo lo queHe hecho en el proceso de recolección. Las marcas de tiempo, las firmas digitales, y las declaraciones firmadas le servirá y más tarde, incluir toda la justificación que pueda.

Entender la volatilidad de la evidenciaCon el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema sea más como un detective que como usuario de la computadora. Solución de los delitos informáticos tiene mucho en común con su físico de resolución de crímenes de contrapartida. Por lo general no tienen mucho tiempo para resolver un misterio. La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios. Asimismo, cada paso que usted tome podrá destruir la información, por lo que todas las medidas que tome deben ser bien la primera vez, o información valiosa se puede perder. Como se dijo anteriormente, se debe respetar la protección de la Cuarta Enmienda del derecho de un usuario a la privacidad. Es imperativo que no se recabe la información de áreas que normalmente no tienen razón alguna para acceder (como porarchivos personales) a menos que hayan notificado al usuario (por ejemplo, a través de un banner de inicio de sesión) que toda la información almacenada en el equipo es objeto de embargo en todo momento, o si tiene razones suficientes para creer que un incidente de seguridad válida que está ocurriendo o ha ocurrido. En general, la evidencia informática debe ser

• Admisible. Las pruebas deben cumplir con ciertas normas legales antes de que puedan presentarse un tribunal. Esto se explica más adelante en este capítulo.

• Auténtico. Debe ser posible vincular positivamente el material probatorio a los hechos, demostrando que la evidencia se relaciona con el incidente de una manera relevante.

• Completa. Se debe contar toda la historia y no sólo una perspectiva particular. No sólo debe reunir pruebas que puedan demostrar las acciones del atacante, pero también evidencia de que podría ser su inocencia.

• Confiable. No debe haber nada acerca de cómo la evidencia fue recogida y, posteriormente, manejado que arroja dudas sobre su autenticidad y veracidad.

• Creíble y comprensible. La evidencia debe ser fácilmente creíble y capaz de entender por un tribunal de justicia. No tiene sentido en la presentación de la salida de un volcado de memoria si un jurado no tiene idea de lo que significa.

La evidencia volátil es evidencia de que la rapidez puede desaparecer o es sólo de carácter temporal. Este tipo de pruebas tiene que ser recogidos antes de la máquina está desconectada de

la red y apagado. Cuando la recopilación de pruebas se debe proceder de la más volátil de los menos volátiles. El siguiente es un ejemplo de la orden de la volatilidad para un sistema típico.

Capítulo 7: Procedimientos para recoger y preservar evidencia

141

• Memoria (Física y virtual)

• Los procesos en ejecución (Spoolsv.exe, EXPLORER.EXE, y así sucesivamente)

• Red del Estado (Conexiones y todo lo que se ejecuta en modo promiscuo)

• Sistemas de almacenamiento permanente (Discos duros, disquetes, cintas, y CD-RWs/ROMs)

Es muy fácil de destruir involuntariamente las pruebas volátil. Cuando usted está en el proceso de collecting pruebas volátil, recuerde siempre que tome las siguientes precauciones:

• No apague el sistema hasta que haya completado todos los procedimientos de recolección de pruebas para pruebas volátil. Muchas pruebas se pueden perder cuando un sistema está apagado, y el atacante puede haber alterado la puesta en marcha y apagado y servicios para destruir la evidencia.

• No confíes en los programas en el sistema. Los intrusos se han conocido para reemplazar los comandos del sistema. Ejecute sus programas de obtención de pruebas en los medios de comunicación debidamente protegidos (vea la siguiente sección, "Creación de un disco en modo real Forense de arranque").

• No ejecute programas que modifican el tiempo de acceso de todos los archivos en el sistema (por ejemplo, tar o xcopy).

• Cuando la eliminación de la interferencia externa, tenga en cuenta que sólo tiene que desconectar de la red puede provocar un cambio de hombre muerto, que puede detectar cuando el equipo se desconecta-desconectada de la red y eliminar rápidamente las pruebas.

Creación de un disco en modo real Forense de arranqueAl llevar a cabo un examen forense de un sistema basado en Windows, lo mejor es arrancar el comordenador con un disco de arranque controlado, lo que puede controlar el proceso de arranque inicial para que el sistema funcio-namiento no se puede empezar a escribir en el disco. Algunos sistemas operativos empezar a escribir en el disco durante el proceso de arranque, cambio de los tiempos de acceso al disco y posiblemente sobrescribir los datos que sean pertinentes a su caso. De hecho, el simple acto de arranque de un equipo basado en Windows se actualizará cientos de archivos, dejando evidencia potencial comprometido o destruido, y por lo tanto ya no está disponible para su uso como prueba. Durante un examen forense, todo el acceso de los medios de almacenamiento originales se realiza normalmente en un nivel bajo, con frecuencia a un nivel en modo real o DOS. La razón de esto como se mencionó anteriormente en esta sección es que todas las versiones de Windows (Windows 95/98/Me / NT/2000/XP) directamente escribir en cualquier medio de otra unidad fija en un equipo durante el proceso de arranque normal. Dichas escrituras se producen incluso cuando el soporte original se encuentra en una unidad secundaria en el ordenador. La mayoría de los examinadores forenses utilizan

un disco de arranque en modo real.

A las botas de arranque controlados por un ordenador de disco en modo real. Modo real limita el procesador a 1 MB de memoria y no ofrece la gestión de memoria o las funciones de protección de memoria. La frase se utiliza a menudo para describir a los controladores de dispositivos que sólo opétasa en este modo. MS-DOS se ejecuta en modo real. Esto está en contraste con el modo protegido, que permite al ordenador acceder a la mayor cantidad posible de memoria. En el modo protegido, las diferentes partes de la memoria son asignados a los diferentes programas. Este


manera, la memoria está protegida en el sentido de que sólo el sistema operativo permitirá el acceso al mismo. Todo el modo dem-Día de funcionamiento de los sistemas opétasa en este modo. Un verdadero modo real disco de arranque se inicia un equipo en su estado más básico (el nivel de DOS) y no se carga ningún avanzados controladores de dispositivo en modo protegido. Esto ayuda a preservar el estado del sistema operativo. Una vez cargados a través del disco de arranque en modo real, los servicios forenses a continuación, se puede ejecutar en DOS (real) de modo de reunir pruebas.

Muchas herramientas forenses, tales como El Forense v2.0 Toolkit de Foundstone, Inc. (Www. foundstone.com) son lo suficientemente pequeños para toda la suite de utilidades forenses para ser colocados en un disquete de arranque único. Después de arrancar una máquina con Windows NT desde el disquete de arranque, las herramientas adecuadas se puede ejecutar directamente desde el disco flexible, ayudando a los investigadores para recolectar y preservar las pruebas.

La Verdad sobre el FAT

FAT es una abreviatura de File Allocation Table. Hay varios tipos diferentes de tablas de asignación de archivos, como FAT12, FAT16, FAT32 y NTFS. Cada FAT tiene sus propias limitaciones y capacidades. Discos con formato FAT12 sólo reconocen los tamaños de partición DOS hasta 32 MB. Antes de MS-DOS 3,30, este era todo lo que existía. MS-DOS 3.30 a través de MS-DOS FAT16 7,00 apoyado, que soporta particiones esto hasta 2GB de tamaño. Con MS-DOS 7.10 y 8.00, FAT32 fue introducido. FAT32 particiones esto puede ser de hasta 2 TB de tamaño. Windows 2000 (NT 5.0) fue la primera versión de Windows para soportar todas las versiones de los sistemas de archivos de Microsoft de forma nativa. Windows 2000 soporta FAT12, FAT16, FAT32 y NTFS al igual que todas las versiones de Windows XP. MS-DOS 7.00 a través de 8,00 no fueron puestos en libertad como un unidad independiente, sino que se integraron en la serie de Windows 9x. MS-DOS 7.00 es integrado en Windows 95 Rel. originaléASE y Windows 95 OSR 1.0. MS-DOS 7.10 se integra en Windows 95 OSR 2.0 a través de Windows 98 Segunda edición. MS-DOS 8.00 se integra en Windows Millennium Edition.

Creación de un equipo con Windows en modo real disco de arranqueLos tres archivos básicos que deben estar en un disco en modo real para hacer que arranque son:

• IO.SYS

• MSDOS.SYS

• COMMAND.COM

Estos archivos deben residir en el sector de arranque del disco, o el disco no va a ser de inicio. La forma más común de crear un disco de arranque es escribiendo SYS A: en el símbolo del sistema

http://COMMAND.COM/

para transferir los archivos del sistema operativo de arranque para el sector de arranque del disquete en la unidad A:. Sin embargo hay otra manera un poco más complicado de crése comió un disco de arranque.eht

1. Primera vez que arranque Windows para el indicador de DOS, e inserte un disquete vacío formateado en la unidad A:.

2. Ahora en el símbolo del sistema, escriba las siguientes líneas, pulsando Enter al final de cada línea:

attrib io.sys-r-h-s copia io.sys a:


attrib io.sys + r + h + s attrib A: \ IO.SYS + R + h + s attrib msdos.sys-r-h-s msdos.sys una copia: attrib msdos.sys + r + h + s attrib A: \ msdos.sys + R + h + s attrib command.com -R-s copia command.com R: attrib command.com + R + s attrib a: \ command.com + R + s

Una vez terminado, el disco de inicio que ha creado se puede utilizar para iniciar un equipo en modo real (DOS) que le permite llevar a cabo un examen forense de la unidad de disco duro de la computadora usando cualquier Util-dades es posible que han introducido en el disco.

Creación de un disco de arranque de LinuxPuede haber ocasiones en que un examen forense debe llevarse a cabo en un equipo que utiliza el sistema operativo Linux. Con el fin de crése comió un disco de arranque de Linux, realice los siguientes pasos:

1. Inicie el sistema operativo Linux, e inicie sesión como usuario root.

2. Compruebe la versi kernelón del sistema operativo Linux. En el símbolo del sistema, únombre-r.

http://command.com/

http://command.com/

http://command.com/

2La versi kernelón se mostrará y debe ser algo como esto: 04/02/12.

3. Inserte un disco (vacío) disquete en la disquetera. (En virtud de la unidad Linux es un llama fdO.)

3. En el símbolo del sistema, mkbootdisk el dispositivo / dev / fdO04/02/12.

Yo

El ejemplo aquí utiliza el kernel versión 04/02/12, sin embargo, tendrá que sustituir el kernel

Versión como se determina en el paso 2.

5. Usted debe tener un disco de arranque dentro de aproximadamente un minuto. Todos los datos anteriores sobre el disquete se borrará.


Tenga en cuenta que este disco de inicio está pensada principalmente para que pueda acceder a las particiones Linux desde el que se necesita para recuperar los datos o información y le permitirá el acceso a las particiones de Linux sólo.

Utilizando rastreadores de paquetes para reunir pruebasInvestigaciones informáticas a veces justificar la captura de datos en tiempo real a medida que viaja en el tiempo real a través de la red informática de una organización. Para capturar datos de red, software especial o de disco duroWare se necesita. La captura y visualización de estos paquetes de datos o datagramas a medida que atraviesan una red que se conoce como paquetes snifñng, y los programas diseñados para este propósito son llamados sniffers, analizadores de protocolo, o analizadores de red. Un analizador de paquetes es análoga a una intervención telefónica del teléfono, sólo que esta intervención telefónica se conecta a las redes informáticas y escuchar a escondidas en el tráfico de red.

Olfateando se hizo popular con Ethernet, que se conoce como un compartida mémediano la red se utiliza comúnmente en las redes de la organización. Debido a Ethernet envía los datos por transmitir todos los paquetes de datos a todas las máquinas conectadas a la red local, no es necesario para recibir los paquetes que fueron destinados a otras máquinas. En otras palabras, el tráfico en un segmento de red Ethernet no pasa todos los hosts que están conectados a ese segmento. Interfaces Ethernet admite una característica comúnmente llamado modo promiscuo, en el que la interfaz escucha al tráfico de la red promiscuidad-riormente. El hardware de Ethernet se encuentra comúnmente en las computadoras tienen un filtro especial que la prevencióníCuál es el equipo anfitrión de la ver el tráfico dirigido a otros equipos. Oler los programas básicamente eludir el filtro, y por lo tanto se puede ver el tráfico de todo el mundo. Ejecución de un sniffer en una red es una excelente manera de reunir pruebas del uso indebido de equipo o como una intrusiósistema de detección de n para comprobar si hay actividad de red sospechosa. Controvertido sistema Carnivore del FBI, que se instala en las instalaciones del ISP para reunir pruebas, es un ejemplo de un sniffer de red. Para el investigador la delincuencia informática, hay muchos rastreadores de los cuales elegir. La siguiente es una pequeña muestra de algunos sniffers de red más populares:

• Snort. Snort es un código abierto (gratuito) de la red intrusión sistema de detección para Unixy Linux, y es capaz de realizar análisis en tiempo real del tráfico y paquetesel registro en las redes IP. Mientras que sobresale como un intrusión sistema de detección, que también puede serutilizado como un analizador de paquetes recta. Para obtener más información o para descargar una copia, visitewww.snort.org.

http://www.snort.org/

• NGSSniff. NGSSniff es un pequeño y fácil de usar, la captura de paquetes de red y análisis de pro-gramo. Se requiere Windows 2000 o XP para opélos usuarios de tarifas y permite capturar, guardar,y analizar el tráfico en su red. Este analizador de paquetes pequeños puede ser descargado enwww.nextgenss.com / productos y ngssniff.html.

• Ethereal. Ethereal es un analizador de protocolos de red gratuito con versiones tanto para elUnix y los sistemas operativos Windows. Permite examinar datos de una red en vivoo desde un archivo de captura en el disco. Usted puede navegar de forma interactiva los datos capturados, verresumen e información detallada de cada paquete. Puede ser descargado desde www.ethereal.com.

http://www.nextgenss.com/products/ngssniff.html


145

• AnalogX PacketMon. AnalogX PacketMon, disponible para Windows 2000/XP, le permite capturar los paquetes IP que pasan a través de una interfaz de red, incluso si origíNate desde un equipo remoto en la red. Una vez que el paquete es capturado, puede usar el visor integrado para examinar la cabecera, así como el contenido. Usted puede incluso exportar los resultados en un archivo de texto ASCII estándar para ver a su favorito de edición de texto de programa. AnalogX PacketMon puede ser descargado desde www.analogx.com.

Una vez que sean capturados, usted puede fácilmente buscar cadenas específicas de texto legible en todos los paquetes mediante el uso de la capacidad de búsqueda que se construye en muchos de captura de paquetes de programas. Por ejemplo, digamos que usted sospecha que un trabajador de visitar sitios Web inadecuados que violen la política de la compañía de Internet. Si ese trabajador es sawy suficiente para borrar archivos temporales de Internet y eliminar todos los en-Frios en el historial del navegador, sería difícil reunir pruebas suficientes. Mientras que usted podría usar un programa como Inspector File Recover de PC para descubrir los datos borrados, un método más fácil y más rápida sería la de capturar y conservar los paquetes de red en tiempo real. Usando un programa como AnalogX PacketMon, por ejemplo (véase la Figura 7-1), puede seuna a través de cada paquete individual capturado en busca de señales de cadenas de texto comprometedores (ver Figura 7-2). Además, muchos de los analizadores de paquetes antes mencionados puede ser configurado de manera que cuando el software ve un paquete que se ajusta a ciertos criterios, se log (preservar) que los datos en un archivo. El uso más popular de la

Figura 7-1:Analógica X PacketMon la captura de paquetes de red TCP / IP

http://www.analogx.com/

detección de paquetes por la forense investigar caimanes es para la captura de paquetes que contengan palabras clave que son de beneficio para la investigación.

Figura 7-2: La producción de los paquetes capturados que muestra los datos de HTML

La construcción de un kit de herramientas de forenseEl componente esencial de toda la investigación del delito informático es la colección de suaves especializadasoftware herramientas (toolkit) que puede extraer y proporcionar información detallada sobre el equipo o red de trabajo que se examina. Kits de herramientas vienen en dos tipos: uno que montar a ti mismo y una prefabricada que descargar o comprar como un conjunto de cualquiera de suave forenses muchaslos vendedores de consumo. Durante una investigación de equipo, hay momentos en los que se requieren para controlar el tráfico, de la aspiración de datos, e incluso romper las contraseñas. Una respuesta a incidentes / toolkit forense debe contener los programas necesarios para realizar cada una de estas tareas. Además, prefabricado toolksu por lo general contienen todo las herramientas necesarias para DUPLíCate, la captura, y / o analizar los archivos del sistema y los datos almacenados en el disco.

Aquellos que deseen utilizar un kit de herramientas prefabricadas forense puede utilizar el Kit de herramientas de forense de AccessData (www.accessdata.com)o la evidencia Corporate Suite de procesamiento de las nuevas tecnologías, Inc. (www.forensics-intl.com). Aquellos que deseen montar su kit de herramientas personalizado puede hacerlo a través de una combinación de utilidades freeware y / o shareware. Los siguientes son los tipos de herramientas (los ejemplos específicos de este tipo de herramientas se dan en este libro) es posible que desee incluir la hora de realizar un examen de informática forense básica:

• Una herramienta para capturar el tráfico de la red para el análisis (por ejemplo, un

rastreador de red)

• Una utilidad para crécomió imágenes de disco o clones a nivel de bits

• Una herramienta para crackear las contraseñas

• Una herramienta que informa abiertos puertos TCP / IP y los asigna de nuevo a su

proceso de ser dueño de


http://www.forensics-intl.com/

http://www.accessdata.com/

• Una herramienta para recuperar borrados (borrado) de datos

• Una utilidad para realizar copias de seguridad y editar el Registro de Windows

• Una utilidad para mostrar toda la actividad del sistema de archivos en tiempo real

• Una herramienta para analizar las propiedades del archivo


147

• Una herramienta de monitorización que muestra toda la actividad del Registro en tiempo

real

• Una utilidad que muestra los recursos compartidos de red como local y remota

• Una herramienta de monitorización que muestra los inicios de sesión, los cierres de sesión,

y el uso de privilegios

• Una herramienta que muestra los archivos abiertos, los procesos de objetos,Las claves de registro, archivos DLL y los propietarios de los procesos de objetos

La lista anterior está pensado sólo como un ejemplo y no es todo incluido.

Además, al seleccionar las herramientas, hay algunas pautas a seguir:

• Herramientas de línea de comandos son los mejores aquí, evitar las herramientas que

utilizan un Windows (GUI) de la interfaz.

• Crése comió varios disquetes que contienen sus herramientas de recolección de datos más

importantes.

• Utilice las herramientas probadas que sabemos que funcionan.

El forense Toolkit (TCT)Kit de herramientas de Instrucción (TCT), escrito por Dan Farmer y Wietse Venema, es una colección de FOREN-programas de SIC que se utiliza para el examen y el análisis de un sistema Unix después de un sistema de com-promete. TCT incluye una variedad de utilidades para el estudio y la recopilación de datos a partir de un cálculonLas partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representanteórter). (Vaya a www. porcupine.org / o forense tct.html y / o www.fish.com/tct/~~V para más información.) Los programas adicionales incluidos en TCT son:

• archivo. Este programa intenta determinar el tipo de contenido de un archivo.

• ICAT. Esto copia del programa (el gato (l)) Archivos por número de inodo.

• ils. Este programa muestra la información del sistema de archivos de inodo.

• lastcomm. Una máquina portátil de 1astcomm comando que muestra la información en sentido inverso crono-orden lógico de todos los comandos ejecutados previamente.

• major_minor. Este programa es utilizado internamente por TCT y emite dos rutinas de PERL, dev_major () y dev_minor (), Que tienen un número de dispositivo tal como lo devuelve stat () y luego se rompe para arriba en el número el número de dispositivo mayor y menor, respectivamente.

• md5. Esta es la herramienta RSA MD5 firma digital.

http://www.fish.com/tct/

http://porcupine.org/forensics/tct.html


• pCAT. Este programa copia el espacio de direcciones de un proceso en ejecución.

• reconfiguración. Este programa trata de encontrar todos los archivos correspondientes en el sistema actual.

• strip_tct_home. Este programa es utilizado internamente por TCT y las tiras a una variable de varios archivos.

Uso de ladrón de tumbasLadrón de tumbas es la principal herramienta de TCT de recolección de datos. Hay varias opciones de comandos disponibles para el usuario cuando se utiliza ladrón de tumbas que se puede especificar qué tipo de información ladrón de tumbas deberían reunir y dónde guardar la información una vez que se ha recogido. Por razones de simplicidad, los ejemplos siguien-tes se ejecutará ladrón de tumbas en la configuración predeterminada y con los comandos para recoger el máximum cantidad de datos. Ladrón de tumbas es una herramienta poderosa y puede realizar las siguientes tareas:

• Recopilar datos de inodos sin asignar áreas del sistema de archivos

• Registro stat () información en todos los archivos

• Registro md5 las sumas de comprobación de todos los archivos

• Guarde los archivos abiertos que han sido desvinculados desde el compromiso del

sistema

• Guardar archivos de ciertos definidos en los archivos de configuración TCT

• Guardar la información de las herramientas del sistema

• Registrar la información de la / Dev directorio

• Recopilar información, tales como ssh claves y rhosts y host.equiv archivos

Ejecución de ladrón de tumbasAunque la herramienta ladrón de tumbas no requiere privilegios de root para ejecutarse, debe ejecutarse en la raíz con el fin de recuperar las raíces y otros procesos para su posterior análisis. Inicio ladrón de tumbas para recoger el conjunto predeterminado de datos escribiendo lo siguiente:

• Al emitir el comando siguiente se ejecuta ladrón de tumbas en su formato por defecto:

# / Ladrón de tumbas

• Si desea recoger el máximum cantidad de datos, también es necesario para proporcionar la opción -E,como se muestra aquí:

# / Ladrón de tumbas -D-E-v /

• En esta línea, la opción -D dirige la herramienta a utilizar el directorio real (/ TCT-datos) como elubicación (directorio) para almacenar todos los resultados. Opción -V dirige la herramienta de crése comió un mayorverbose (detallado) explicación de su progreso. El último argumento, /, los controles quedirectorio se utiliza como punto de partida para cualquier análisis de disco.


149

Las dos líneas anteriores se supone que ya se encuentran en el directorio (o disquete) en la tumba-

programa de ladrón se encuentra.

LeamING utilizar todas las herramientas de TCT correctamente se requiere una gran cantidad de tiempo y esfuerzo. Usted debe revisar cuidadosamente toda la documentación y poner a prueba todos los componentes antes de usarlos, para que en-ponerse de pie y sacar el máximo provecho de todas sus características.

Después de la Cadena de CustodiaEs importante para garantizar en todo momento que el personal que imparte una investigación de equipo entiendan y cumplan con adecuados procedimientos de recopilación de pruebas. Esto incluye seguir una cadena de custodia para garantizar la evidencia recogida es de confianza para su uso en un caso legal posible. La cadena de custodia es un registro de pruebas de manejo desde el momento de la incautación de las pruebas el tiempo se presenta en un tribunal de justicia. El proceso de la cadena de custodia se utiliza para mantener y documentar la historia cronológica de la evidencia. Los documentos deben incluir el ñame o las iniciales del INDIindividuo (s) de reunir las pruebas, cada persona o entidad que posteriormente tenga la custodia de la misma, las fechas en que los artículos fueron recogidos o transferidos, la víctima o del sospechoso ñame, y una breve des-cripción de la partida. Sin una adecuada cadena de custodia, es difícil si no imposible de mantener que las pruebas pertinentes no ha sido alterado o puesto en el equipo después de la convulsión. Los tribunales y el público en general siguen considerando los medios electrónicos de fragmentaciónüe y susceptibles a los cambios inexplicables.

Dado que la cadena de custodia es tan importante en las investigaciones forenses, lo mejor es tener dos investigadores forenses asignados a cada incidente de cada paso del camino. En concreto, tener una per-sona documento de lo que el otro está haciendo y cómo lo están haciendo proporciona un registro detallado y preciso de la manipulación de la evidencia. Es importante incluir en la documentación de los tiempos y las fechas que habían tomado medidas, así como el ñAmes de los involucrados.

Si nada más, por tener una amplia documentación, usted debería ser capaz de refutar las alegaciones de mala gestión. Además, la documentación detallada puede proporcionar un buen punto de referencia para correr las memorias de los médicos forenses cuando la duración del examen convierte prolongado.

Tome notas escritas a medida que trabaja, y proporcionar tanta información como puedas sobre lo siguiente:

• La fecha y hora actuales (incluyendo la zona horaria adecuada)

• Hardware averiado o los problemas más importantes

• Notas sobre la evidencia encontrada, que entrará en su informe final con más detalle. Se trata, esencialmente, sería señala que cualquier persona puede recoger y, de un vistazo, saber exactamente donde lo dejó en su evaluación de la computadora incautada y de los medios de comunicación.


Técnicas especiales (por ejemplo, sniffers, crackers de contraseñas, etc.) Que se utilizan por encima y por allá de los procesos normales.

• Utiliza fuentes externas (por ejemplo, empresas de terceros o productos que ayudaron aasistencia e información)

Además, es importante que la portátil utilizado para registrar información ser del tipo que no permite ninguna de las páginas que deben eliminarse. Usted tendrá que registrar el quién, qué, dónde, cuándo y el cómo del proceso de investigación. Dado que este portátil es un componente esencial en el mantenimiento de la cadena de custodia, toda la información registrada debe ser lo más detallado posible. íMET para ser registrado en el cuaderno debe incluir lo siguiente:

• La ñAmes de todo el personal involucrado en la investigación, incluyendo una lista de los administradores responsable del mantenimiento de rutina de los sistemas

• Un registro de todas las aplicaciones que se ejecutan en el ordenador del sospechoso

• Una lista de los que tenía acceso a las pruebas recogidas incluyendo la fecha y hora de acceso, así como la fecha y hora de las acciones tomadas por aquellos que tienen acceso. Además, el reloj del sistema afectado debe ser comparado con el tiempo real actual y las discrepancias deben tenerse en cuenta con el reloj del sistema permanece inalterada. Ajuste del reloj posteriormente se puede considerar la manipulación de datos, dejando la evidencia resultante inadmisible.

• Los detalles de la evaluación inicial que conduce a la investigación formal

Las circunstancias que rodearon el incidente sospechosos, que inicialmente informó de la incidente sospechoso junto con la fecha y la hora

• Una lista completa de todos los sistemas informáticos incluidos en la investigación junto con el sistemaespecificaciones

Una copia impresa de las políticas de la organización y pancartas de inicio de sesión que se relacionan con el acceso a y el uso de sistemas informáticos

• Una lista completa de los pasos utilizados para recopilar y analizar las pruebas

La admisibilidad de las pruebasLa revolución del ordenador personal ha creado nuevos retos para la aplicación de la ley con respecto a la forma en que se tomaron pruebas de un delito, analizados y presentados en la corte. Antes de que un comregistro de ordenador puede ser usado como evidencia, en primer lugar, debe ser probado para que sea auténtico. El estándar para la autenticación de los datos informáticos es similar a la autenticación de otros tipos de registros. La extensión de autenticación no difiere simplemente porque un registro pasa a estar en un formato digital. Una

guía completa de los registros informáticos que ofrece como prueba está fuera del alcance de este libro. Sin embargo, las secciones siguientes se describen algunas de las cuestiones más importantes que pueden surgir cuando la búsqueda de la admisión de la prueba informática.


151

AutenticaciónEn los últimos años, el ordenador personal se ha convertido en una poderosa herramienta utilizada en la perpetración-ción de casi todos los tipos de actividad delictiva. Los actos atroces del 11 de septiembre de 2001 se demostró que la actividad criminal y terrorista puede ser coordinada a escala mundial utilizando las comunicaciones cifradas de internet, ocultos a las fuerzas del gobierno y la ley. El uso de un ordenador para CRéinformación apropiada y tienda a menudo deja tras de sí huellas digitales electrónicas "" que puede, de hecho, hacer o deshacer un caso penal. Afortunadamente para aplicación de la ley por ordenador pruebas espe-cialistas, los ordenadores personales no fueron diseñados para ser seguros. Como resultado, las contraseñas, tiempo y fecha de sellos, y otra información valiosa forense se escriben en varias ubicaciones en comunidades de disco duro informáticos durante la actividad normal del sistema operativo.

Desafortunadamente, los registros informáticos se puede modificar fácilmente, y los abogados defensores a menudo afirman que los registros informáticos carecen de autenticidad, ya que pueden haber sido alterados o modificados después de que fueron creados. Autenticación de evidencia informática hasta ahora ha sido gobernado por las leyes de la existencia mucho antes de que el uso del ordenador llegó a ser tan generalizada. Autenticación de evidencia informática plantea problemas específicos en los casos de los delitos informáticos. Usted debe ser capaz de demostrar que no se altere ninguna de las pruebas después de que el equipo carne en su posesión. Esta prueba le ayudará a refutar las acusaciones de que haya modificado o alterado la evidencia original.

Cuando la duplicación y almacenamiento de los datos capturados de la computadora de un sospechoso, la autenticidad de los datos originales deberán ser conservados con un método probado para asegurar que los datos copiados, es idéntica a la original. La mejor manera de autenticar la evidencia de datos es a través de la utilización de sumas matemáticas, que son una forma popular y legalmente aceptados para comprobar la validez de la copia de los datos originales. De verificación son avanzados algoritmos matemáticos, aplicados a la información almacenada en un disco o un archivo, lo que geévotar una salida numérica única. El resultado es que una com-paración se puede hacer entre el original y la copia. Las sumas de comprobación de identidad entre el original y una copia que muestra una copia exacta se ha producido. Es imposible cambiar la información en la unidad sin necesidad de cambiar las sumas de comprobación.

La mayoría de los forenses informáticos especialistas en aplicación de la ley dependen de autenticación a través de las sumas de comprobación para verificar que los matemáticos restaurado la corriente de bits imágenes en el espejo de una unidad de disco de la computadora y los archivos relevantes coinciden exactamente con el contenido del equipo original. Estas comparaciones ayudan a resolver las cuestiones que puedan plantearse durante el litigio acerca de la exactitud y la autenticidad de la imagen en el espejo restaurado. También protegen a la especialista en informática-forense de cualquier aleciones que los datos se alteran o plantadas por agentes del orden o de otras partes interesadas durante el el procesamiento de la evidencia ordenador.

La unidad de disco duro siempre debe ser reflejados con un organismo especializado de flujo de bits del producto de copia de seguridad. Informática forense servicios como los ofrecidos por Guidance Software (www.guidancesoftware. com) X-Ways Software (www.sf-

http://www.sf-soft.de/

http://www.guidancesoftware/

soft.de), y Nuevas Tecnologías (www.forensics-intl.com)Ofrecemos el flujo de bits en el disco duro de imágenes de software que proporcionan la autenticación necesaria matemático de los datos copiados, permitiendo que los datos que se utilizará como prueba en un tribunal de justicia.

Las cuestiones relacionadas con la autenticación de los datos informáticos son por lo general en forma de disputas sobre la exactitud de los documentos recuperados de los ordenadores. De acuerdo con las Reglas Federales de Evidencia, el proponente de la evidencia generada por computadora deben presentar pruebas ", que describe el proceso o el sistema utilizado para producir la evidencia" y "muestra que el proceso produce una exacta como resultado. "

http://www.forensics-intl.com/

http://www.sf-soft.de/


Hay tres fases en las que los errores pueden ser introducidos en relación con authenticatión de las pruebas:

1. Cuando los datos se introducen en la computadora

2. Cuando el ordenador procesa los datos

3. Cuando los datos generados por el ordenador se evalúa

La regla más importante en el análisis de evidencia informática es nunca utilizar COM del sospechosoordenador para ver los datos. En su lugar, usted debe utilizar siempre un septiembreáequipo tasa para ver o analizar una copia de los datos. Otra regla importante a seguir en la recuperación y / o análisis de los datos de la computadora es para asegurarse de que un limpiar (Forense estéril) designado computadora se utiliza. De lo contrario, puede encontrarse con el argumento de que los datos del equipo utilizado para el análisis ha contaminado los datos incautados a los sospechosos. Cuando sea posible, no debe examinar el equipo de destino directamente. Lo mejor es hacer primero una copia del disco y luego realizar todos los exámenes en contra de la copia porque el acto de mirar el disco puede modificarlo por las fechas de archivo y los tiempos cambiantes.

La autenticidad de los registros generados por computadora en ocasiones implica la fiabilidad de

los programas de ordenador que crécomieron los registros. Por ejemplo, un registro generado

por computadora podría no ser auténtico si el programa que crea el registro contiene errores

graves de programación. Cuando porla formación de una imagen del disco duro, lo mejor es

utilizar un producto de buena reputación.

La Prueba de FryeLa prueba más común para la admisibilidad de las pruebas es la prueba de equipo de Frye, que se originaron de la Corte de Apelaciones del Distrito de Columbia en una Decisión rechazar la admisibilidad de una prueba de presión arterial sistólica engaño (un precursor de la prueba del polígrafo). El tribunal declaró que la admisión de esta nueva técnica depende de su aceptación por la comunidad científica. Debido a que la prueba no fue "suficientemente demuestre que ha adquirido gran importancia en el ámbito específico al que pertenece," el tribunal rechazó la alegación de la demandada y confirmó su condena por asesinato. Aunque la prueba Frye ya no se usa en los tribunales federales, todavía se está utilizando en diversas formas en los tribunales estatales.

La mejor evidencia ReglaSegún el Departamento de Justicia de EE.UU., los estados mejor evidencia de la regla, "Para probar el contenido de un escrito, grabación o fotografía, el" original "por escrito, grabación o fotografía es Ordinar-ilia requiere". Afortunadamente, las Reglas Federales elementos de prueba se refirió expresamente a esta preocupación. Esta norma establece que "para probar el contenido de un escrito, grabación o fotografía, la escritura original, grabación o fotografía se requiere, salvo disposición en contrario en el presente reglamento o por ley del Congreso." Las Reglas

Federales, mientras se mantiene la misma política central de la mejor evidenciaregla de pendencia, han hecho aceptable para introducir en la sala del tribunal una amplia selección de muchas formas de evidencia electrónica. Cuestiones de admisibilidad no se refieren a si la introducción de datoses producida en un disco duro, un DUPLíCate disquete, o una impresión de cualquiera de ellos. El tribunal es más bien interesados en saber si los datos originales son auténticos y si todas las copias presentadas son pecisa. Como resultado, cualquier impresión auténtica de datos informáticos siempre se considera que cumplen la requisitos de la norma de mejor evidencia.


153

Los registros públicos - si se han producido a través de actividades comerciales normales y si se han establecido como auténtico-son admisibles como prueba en el estado de los EE.UU. y los sistemas de las cortes federales, aun cuando dichos registros son producidos por los sistemas automatizados.

Para más información sobre las Reglas Federales de Evidencia, gire en el anexo D.

El Período de tiempo permisible para el examen de Ordenadores incautadosA pesar de la aplicación de los mejores esfuerzos para analizar los ordenadores incautados con rapidez, el examen forense de los ordenadores a veces puede tardar meses en completarse porque los ordenadores son capaces de almacenar cantidades tan enormes de datos. Como resultado, los sospechosos cuyos ordenadores se han incautado puede ser privado de su hardware de la computadora por períodos prolongados. Incluso la Cuarta Enmienda, sin embargo, no impone ninguna limitación específica o restricciones en la duración que se apoderó de las pruebas pueden ser retenidos con el fin de llevar a cabo un examen forense.

Algunos jueces sin embargo, han comenzado a tener una opinión diferente. En los últimos años, varios jueces se han negado a firmar órdenes de allanamiento se autoriza la incautación de los equipos a menos que el examen forense se prevé que se llevó a cabo de forma relativamente rápida, como el plazo de 30 días. En casos extremos, algunos jueces han impuesto límites de tiempo tan corto como siete días, y varios han obligado a espelimitaciones específicas de tiempo, cuando las autoridades legales se aplican a una orden judicial para incautar ordenadores realice operaciones-Ing. empresas.

La evidencia de PreservaciónConservación de las pruebas es la preocupación fundamental de cualquier investigación criminal, y la prueba informática no es una excepción. Destructivos programas de caballo de Troya, por ejemplo, puede destruir permanentemente la prueba informática en cuestión de segundos. Dado que la evidencia electrónica puede ser alterada sin dejar rastro, copias originales de los datos de prueba se debe colocar en lugar seguro. Toma de imágenes de las pruebas deben ser almacenados en los medios de comunicación adecuados o de almacenamiento masivo confiable como medios ópticos.

Debido a que son rápidos y fiables y ofrecen una larga vida útil, discos CD-R puede ser utilizado como medio de almacenamiento masivo. En un plazo de cinco a diez años, los medios de disquetes o de propiedad, como los discos Zip, tal vez ya no esté ampliamente disponible. Además, los datos almacenados en los discos magnéticos de los medios tiende a degradarse con el tiempo. Esto significa que las pruebas podrían en algún momento dejar de ser objeto de reembolso. Como los casos de delitos informáticos pueden tomar varios años en llegar a juicio, los medios de

comunicación seguras de almacenamiento y espacio para almacenar la evidencia original es de vital importancia para evitar cualquier contaminación o alteración de datos.

El investigador debe estar seguro de conservar todos los registros de los sistemas, incluidos los que están al día y todos los registros que fueron archivados con anterioridad. Posterior comparación de estos registros puede incluso descubrir la presencia de los incidentes detectados con anterioridad. Los registros pueden ofrecer una prueba del tipo de intrusión introducirse en el sistema así como la fuente de la intrusióN y su ULTícompañero de destino.


Resumen del capítuloEn este constante cambio, de alta tecnología del mundo, la recolección y preservación de las pruebas de un delito informático puede ser una tarea tediosa. Algunas de las razones más comunes para la recolección de evidencia inadecuada son la falta de políticas escritas, la falta de capacitación de respuesta a incidentes, y una fractura de la cadena de custodia. El establecimiento de la fiabilidad y la autenticidad depende de la precisión del proceso utilizado para producir el registro, la fuente de información en el registro, y el método y el momento de su preparación. En este capítulo se examinan los procedimientos básicos para la recolección y preservación de la evidencia relacionada con la informática. Puntos principales tratados en este capítulo se incluyen

• Los requisitos generales legales para llevar a cabo la recopilación de pruebas

• El orden de recogida de pruebas equipo volátiles

• Cómo crése comió un disco de arranque en modo real y su papel en la informática

forense

• Los beneficios de usar un analizador de paquetes para reunir pruebas

• Cómo construir un kit de herramientas de informática forense

• ¿Por qué la cadena de custodia puede hacer o romper una investigación de los delitos

informáticos

• La importancia de la preservación de pruebas

Capítulo 8

Incidente de contención y Erradicación de Vulnerabilidadesln este capítulo

• Descripción de los procedimientos de cuarentena y la contención

• La ruptura de las conexiones de red e Internet

• La comprensión de los riesgos del uso compartido de la red y el archivo

• Reconociendo el modelo de confianza

• Cambio de contraseñas

• Seguridad de sensibilización a través de estrategias de documentación multimedia

• Erradicación de las vulnerabilidades

ULA SEGURIDAD OMPUTER EL MANEJO DE INCIDENTES SE PUEDE DIVIDIR EN SEIS FASES GENERALES:preparación, identificatión, la contención, la erradicación, la recuperación y seguimiento. Apreciando lo que puede salir mal en cada una de estas fases le ayudará a responder rápida y eficientemente a cada incidente. Como ya hemos establecido, en respuesta a incidentes de seguridad informática en general, no es una tarea fácil. De respuesta a incidentes requiere una mezcla de conocimientos técnicos, la comunicación y coordinación entre el personal que responden al incidente. Incluso los propios incidentes son cada vez más complejo. Las nuevas vulnerabilidades de seguridad que exponen sistemas y redes de acceso no autorizado o denegar el servicio Constantemente se están descubriendo.

Con cada vez mayores demandas de procesamiento oportuno de los mayores volúmenes de información viene un aumento de la amenaza de interrupción del sistema de información. En algunos casos, las interrupciones de sólo unas pocas horas son inaceptables. El impacto causado por la incapacidad para procesar los datos deben ser evaluados, y deben tomarse medidas para asegurar la disponibilidad de los sistemas considerados esencial para el funcionamiento normal de una organización. Los que están en la gestión están obligados a identificar las aplicaciones críticas de informática y desarrollar planes de contingencia para que la probabilidad de pérdida de datos en favorprocesamiento y el apoyo de las telecomunicaciones se reduce al mínimo.

Las secuelas de un incidente con frecuencia se debilita, lo que requiere semanas o incluso meses antes de la integridad de los sistemas comprometidos se restablece. Además, si el autor

es sorprendido y buscó el enjuiciamiento, es razonable anticípaté de que la defensa va a hacer todo lo posible para echar una sombra de incertidumbre y falta de fiabilidad en el procesamiento. Por esta razón, una


clara y efectiva metodología de manejo de incidentes debe estar en su lugar, sobre todo cuando la policía va a ser llevado pulg Este capítulo se centra en la contención y erradicación de la fases del modelo de respuesta a incidentes.

La cuarentena y contenciónDurante esta fase, el objetivo es limitar el alcance y la magnitud oíun incidente para evitar la incidenciadente de causar más daño. Esta etapa de respuesta a incidentes consiste en limitar el alcance y la magnitud de un incidente. Debido a que tantos incidentes observar hoy en día implican el uso de código malicioso, los incidentes se puede propagar rápidamente, dando lugar a un daño generalizado y el compromiso de una gran cantidad de información sensible. No es raro encontrar que cada estación de trabajo sin protección-ción conectado a una LAN ha sido infectado cuando hay un brote de virus. El gusano Nimda afectó a más de un millón de computadoras en un período de sólo tres días. La infección se duplicó antes de que se contenía. La contención se debe iniciar inmediatamente después de la detección o sospecha de que un incidente de seguridad está en curso. Los siguientes pasos deben tomarse en la fase de contención:

• Estudiar la situación y el alcance de los daños.

• Sea discreto y no mirar para el atacante utiliza métodos obvios.

• Evite el uso de aplicaciones potencialmente comprometidos desde el intruso (s) que haya instalado o se ocultan los caballos de Troya u otros códigos maliciosos similares, en lugar de los archivos del sistema.

• Copia de seguridad del sistema y del registro (Windows). Es importante para obtener una copia de seguridad completa del sistema con el fin de adquirir evidencia de ¡Yoactividad legal. Realice copias de seguridad a los nuevos (no usados) los medios de comunicación y las cintas de copia de seguridad de la tienda en un lugar seguro.

• Determinar el riesgo de las operaciones continuadas (cubierto en la siguiente sección).

• Cambie las contraseñas en los sistemas comprometidos y en todos los sistemas que interactúan regularmente con los sistemas comprometidos.

Los procedimientos de contraseña se tratan en detalle más adelante en este capítulo.

Determinar el riesgo de operaciones continuas

Si el sistema se apaga por completo, desconectado de la red, ni se le permitirá a la Continuépara funcionar en su estado operativo normal, de modo que la actividad en el sistema se puede controlar? La respuesta depende del tipo y la magnitud del incidente. En el caso de un virus inofensivo o molestias de tipo, puede que sólo sea necesaria para ejecutar el antivirus para detectar y erradicar la

Capítulo 8: La contención de incidentes y Erradicación de la VuYonerabiYodades 157

cualquier virunses sin tener que apagar el sistema infectado por completo. Sin embargo, si el sistema de con-tiene la información clasificada o sensible, o si los programas críticos de riesgo de corromperse, es general-mente en cuenta que el sistema se apaga o se por lo menos temporalmente desconectado de la red. Por otro lado, si hay una posibilidad razonablemente buena de que un autor puede ser identificadas y capturadas por dejar que un sistema de continuaépara funcionar de forma normal, esa táctica puede ser considerado. Permitir que un sistema funcione en estas circunstancias, sin embargo, debe sopesarse contra el riesgo de perturbar o poner en peligro los datos. Una vez más, trabajar dentro de su cadena de mando en la organización Para llegar a este tipo de crítica Decisión.

Preservar la integridadLa información tiene integridad cuando tanto ella como los sistemas que lo han manipulado se consideran dignos de confianza. Para los sistemas de ser digno de confianza, los errores que han sido (y continuaéa) reducido en cada momento posible. Esto incluye errores que son el resultado de tanto intencional explotación, así como aquellas que se derivan de maltrato involuntario.

Los mecanismos de auditoríaCuando la actividad atípica se detecta en el sistema informático de su organización, personal de seguridad deberá ser advertido de que los mecanismos de auditoría del sistema. Actividad inusual puede ser en forma de repetidas (sin éxito) los intentos de obtener acceso al sistema. El mecanismo de auditoría se puede configurar para efectuar la notificación después de un número predeterminado de intentos fallidos se han hecho para acceder al sistema. El mecanismo de auditoría sonarán las alarmas diferentes, dependiendo del grado y el sig-nificanee del incidente de seguridad o comprometer el sistema.

Detectados por el usuario vulnerabilidades técnicasLa mayoría de las vulnerabilidades conocidas en la actualidad técnicas de aplicaciones y sistemas operativos fueron descubiertos inicialmente por los usuarios finales. Las vulnerabilidades se han descubierto, cuando estos usuarios intentan ejecutar un programa o cambiar las configuraciones del sistema. Si una vulnerabilidad técnica que puede ser utilizado para socavar el sistema o la seguridad de la red se descubre, inmediatamente documentar que la vulnerabilidad. Además, registra información acerca de la vulnerabilidad mediante un formulario de notificación de la vulnerabilidad, por lo que Asegúrese de que el siguiente se pone de manifiesto:

• ¿Cuál es la vulnerabilidad

• ¿Cómo la vulnerabilidad puede derrotar a los mecanismos de seguridad

• ¿Cómo aprovechar la vulnerabilidad (incluidas las condiciones especiales bajo las cuales la vulnerabilidaddad entre centroseURS)

El siguiente es un ejemplo de un "Formulario de presentación de informes de vulnerabilidad", utilizada por los militares de EE.UU.. No se pretende como un ejemplo de todo incluido, pero puede ser utilizado como aémplate para la construcción de su propia forma adecuada a las necesidades específicas de su organización:


Formulario de Reporte de la vulnerabilidadA. Información General:

1. Fecha del informe:___________________

2. ÑAME:___________________________

3. Organización:______________________

4. Dirección de correo electrónico:__________

5. Número de teléfono:__________________

6. Hardware / Software:

una. Lista de hardware y configuración del sistema:

b. Descripción del software:(1) Sistema operativo (incluye reléASE número):___________

(2) Describa los únicos atributos, principalmente, a nivel local modificados propiedades especiales de seguridad:_______________________

B. Describir la naturaleza y el efecto de la vulnerabilidad en los términos más generales como sea posible:

C. Descripción de la vulnerabilidad técnica:

1. Un escenario que describe las condiciones específicas de marcos alemanesónstrate la debilidad o deficiencia de diseño. La descripción suficientemente deben describir las condiciones para que la debilidad o deficiencia de diseño se puede repetir sin más información. Esta situación puede incluir la fuente o del código objeto.

2. Describir el impacto o efecto específico de la debilidad o deficiencia de diseño en términos de lo siguiente: (1) la denegación de servicio, (2) alteración de la información,

y / o (3)-compromisIng. de datos. Cite ejemplos específicos, según corresponda.

Capítulo 8: La contención de incidentes y Erradicación de la VuYonerabiYodades159

D. Soluciones sugeridas: Describa cualquier código o procedimientos que usted pudo haber descubierto que cuando se aplica-mentado puede reducir el impacto de la vulnerabilidad se define técnico.

E. Información Adicional:

1. Características del sistema:

una._______________________________________Ubicación:

b. Propietario:________________________________

c. Conexiones de red:__________________________

d. Cuenta o Número de serie (s):__________________

2. Sistema de uso y la más alta clasificación de los datos en el sistema:

3. Información adicional que precise:

El próximo Decisión en las preocupaciones de cuarentena y la contención de la situación operativa del sistema comprometido en sí. Si el sistema se cerrará completamente, desconectada de la redtrabajo, o permitir que continuamenteépara funcionar en su condición de funcionamiento normal, de modo que la actividad en él se puede controlar? La respuesta depende del tipo y la magnitud del incidente. En el caso de una no destructiva (por ejemplo, molestias) el tipo de virus, es casi seguro que la mejor manera de utilizar hasta a software antivirus actualizado para eliminar rápidamente que el virus sin necesidad de apagar el sistema infectado hacia abajo. Si el sistema contiene datos confidenciales, esta información puede estar en riesgo, y es generalmente la mejor manera de apagar el sistema (o por lo menos temporalmente desconectarlo de la red o Internet).

La ruptura de las conexiones de red e InternetLos intrusos siempre están buscando nuevas formas de irrumpir en los sistemas. Todos hemos visto o escuchado relatos de cómo los hackers introducirse en los sistemas informáticos y robar o destruir información confidencial. Con entusiasmo desarrollar y emplear sofisticados programas de forma rápida la plumaétrar sistemas. En consecuencia, las intrusiones y el daño que causan a menudo se logra en cuestión de segundos. Al proteger una red contra hackers, crackers, y amenazas por códigos maliciosos, las herramientas principales son intrusión los sistemas de

detección, firewalls, software antivirus, copias de seguridad, y los usuarios de una buena educación. Sin embargo, cuando un administrador del sistema cree que su sistema de tiene no obstante, en peligro, una de las acciones recomendadas es desconectar el ordenador de la red, impidiendo el acceso aún más por el hacker. Esto es particularmente útil con com gravelos incidentes de seguridad informáticos. Un incidente de seguridad informática seria se puede definir como el tipo de incidente que ponga en peligro la integridad, la privacidad y / o la disponibilidad de otros equipos y redes.


Entre los ejemplos de incidentes graves de seguridad informáticaeincluyen los robos en las cuentas con privilegios (por ejemplo, las cuentas Unix root o administrador de cuentas NT) se utilizan sin autorización, de incidentesedonde el tráfico de red se controla sin autorización, y el incidenteeque computa-res o redes son el origen o el destino de un ataque de Denegación de Servicio. Además, si un virus de la salud sea grave, como un gusano de rápida propagación o el caballo de Troya peligroso, usted debe inmediatamente desconectar el ordenador infectado de la red. Si el ordenador está conectado a la red mediante una conexión Ethernet, simplemente quitar el cable Ethernet de la toma de corriente Ethernet inmediatamente cortar la conexión. Si utiliza acceso telefónico a través de un módem, retire el cable que conecta el módem a la toma de teléfono. Los usuarios deben abstenerse de utilizar el ordenador para acceder a Internet / e-mail hasta que el equipo ha sido escaneado con el software de puesta al día de antivirus y está seguro de que ya no está infectado con código malicioso.

Después de cortar la conexión, a continuación, puede examinar la información del archivo de registro para el intento de conexión y de inicio de sesióne, Y comparar los originales (siempre y proveedor) las aplicaciones a las que actualmente resi-ción en el sistema. Esto le permite detectar si los archivos han sido modificados por el hacker, tal vez para su uso como una puerta trasera para permitir más acceso a la red para llevar a cabo acciones malévolas.

De red y uso compartido de archivos CuestionesCuando un equipo forma parte de una red o tiene una conexión permanente a Internet, como por ejemplo a través de un T-l, DSL o módem de cable, se debe desconectar el equipo de la red y de Internet, una vez el código malicioso ha sido descubierto. La razón más importante de esto es que muchos de los tipos más peligrosos de códigos maliciosos los gusanos y caballos de Troya - puede utilizar NET Windowstrabajar las acciones a proliferar. Uso de recursos compartidos de red para la proliferación no es un concepto novedoso para el código malicioso. El infame gusano Klez de 2002 era notorio para la explotación de recursos compartidos de red y causó la Agencia de Protección de la Infraestructura Nacional (NIPC) para emitir la siguiente advertencia:

Propagación de la W32/Klez.h @ mm y variantes del gusanoe26 de abril 2002El Centro Nacional de Protección de la Infraestructura (NIPC) Continúes para controlar un gusano de correo masivo llamado Klez.h. La NIPC está emitiendo esta alerta debido a la información recibida de los socios de la industria, combinado con el sorprendente número de infecciones reportadas en estado salvaje durante los últimos cuarenta y ocho horas. Klez.H falsifica una dirección de correo electrónico se encuentra en el sistema destinado a la víctima y puede parecer que ha sido enviado desde una fiesta familiar. Cuenta con más de 100 líneas de asunto seleccionados al azar y utiliza varios datos adjuntos de archivo diferente ñames, cuando se instale. El gusano también se disfraza como una "herramienta de la inmunidad Klez.E" con el asunto "Inmunidad Klez.E gusano." El gusano también intenta deshabilitar los programas comunes de escaneo de antivirus como McAfee, Antivir, Norton, Seuno, AVConsol, F-Secure, Sophos, y otros.

Klez.H también INFEect la máquina víctima con el virus Elkern, que puede ser detectada como

NGVCK.a. El virus Elkern aleatoriamente INFEeTS archivos ejecutables en el equipo local y recursos compartidos de red y reemplaza el contenido de estos archivos con caracteres aleatorios para mantener el tamaño del archivo original. Esto hará que la mayoría de los sistemas a chocar y por lo menos destruir a los archivos críticos del sistema operativo.

Los usuarios se les recomienda actualizar sus firmas antivirus y visite los siguientes sitios Web de Microsoft para las actualizaciones apropiadas para Outlook e Internet Explorer 5.x:

www.microsoft.com/technet/treeview/default.asp?url=/technet/security/~~V bul 1etin/MS01-020.asp, o http://support.ru icrosoft.com / default.aspx? cienciad = kb; en-us; Q262631.

http://support.ru/

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/


Si usted ha compartido archivos o carpetas, desactivarlas. Una vez que haya completado el procedimiento la eliminacióndes decir,re, si más adelante decide volver a habilitar el intercambio de archivos, se recomienda que usted no comparte la raíz de la unidad C, pero en su lugar, compartir carpetas específicas individuales. Estas carpetas compartidas debe ser protegido por contraseña con una contraseña segura.

Configuración del uso compartido de archivos de Windows para Máximum de SeguridadSi usted simplemente no tiene que compartir archivos en su computadora o compartir archivos en la computadora de otra persona, debe quitar el intercambio de archivos de Windows. Si desea conservar el cliente para redes Microsoft componente, aún debe deshabilitar compartir archivos e impresoras para que su equipo no dar a conocer su contenido de unidades de disco a cualquier otra persona en su red local (LAN) o en Internet. Esto le permite utilizar los archivos en otro equipo o servidor, pero no permitir que otros utilicen los archivos en su computadora.

Los pasos siguientes se explica cómo configurar el uso compartido de archivos para máximum de seguridad y se supone que Windows está instalado en su ubicación predeterminada, la unidad C:. Si Windows está instalado en una ubicación diferente, como la unidad D, se deben sustituir ese lugar la letra de unidad particular, al utilizar estos pasos.

Para Windows NT/2000, realice los siguientes pasos:

1. Haga doble clic en Mi PC.

2. Haga clic en la unidad C, a continuación, seleccione la opción Compartir con los hombres desplegablesú.

1. Compruebe el Compartir ñAME. La unidad normalmente se comparten como C $, que es el recurso por defecto necesarios para la administración del sistema. Si hace clic en el botón Permisos, debería ver el mensaje "Este ha sido compartido con fines administrativos. El permisones no se puede compartir. "

2. Haga clic en los hombres desplegablesúpara el recurso compartido ñAME para determinar si la unidad está compartida con cualquier otro ñAmes.

3. Si la unidad no se comparte con ninguna otra ñAmes, entonces usted no necesita seguir adelante. Si la unidad está compartida con un ñAME no sea el predeterminado C $, entonces usted tiene que quitar o modificar las carpetas específicos que no desean compartir siguiendo los pasos 6 a 8.

3. Seleccione una carpeta específica y haga clic en él, a continuación, seleccione "No compartir esta carpeta."

4. Si no desea eliminar por completo un recurso compartido, que puede aumentar la seguridad mediante la selección de los permisos y modificar la configuración para que sólo determinados usuarios y / o grupos pueden escribir en él.

5. Para cada archivo o carpeta compartida, de forma individual comprobar los permisos para verificar que sólo se requiere los usuarios tener acceso de escritura.


Para aquellos que se sienten cómodos utilizando la línea de comandos en Windows NT, 2000 o XP,

hay una altérnate opción para eliminar de Windows shares.At el comando (DOS) del sistema,

escriba net share.La salida resultante devuelve una lista de todas las acciones que actualmente

presentes en el disco duro. Tenga en cuenta que el recurso por defecto ñAmes como C $,

Admin $ y US $ CCE debe ser ignorada. Sin embargo, cualquier otro acciones de la lista se

pueden eliminar mediante el uso de la siguiente sintaxis: sharename net share / eliminar.

Windows XP Uso compartido de archivosDe forma predeterminada, el intercambio de archivos está desactivado en Windows XP. Sin embargo, para comprobar la presencia de cualquier compartir archivos o carpetas, siga estos pasos:

1. Haga clic en el botón Inicio y, a continuación, haga doble clic en Mi PC.

2. Haga clic en la unidad C, a continuación, seleccione Compartir y seguridad en el menú desplegable hombresú.

3. Haga clic en el enlace "Si usted entiende el riesgo, pero aún desea compartir la raíz de la unidad, haga clic aquí "(ver Figura 8-1).

4. En el uso compartido de red y la porción de Seguridad de la ventana, mira a ver si uno de los dos cuadros de la radio está activada. Para deshabilitar el uso compartido, quita los dos.

5. Cióen sí el intercambio y el cuadro de diálogo Seguridad.

6. Con Mi PC aún abierta, haga doble clic en la carpeta de documentos compartidos (ver Figura 8-2). Si contiene los accesos directos a archivos o carpetas y usted no quiere que comparten, simplemente borrarlos haciendo clic derecho sobre ellos y seleccionando Eliminar en el desplegables los hombresú.

Figura 8-1: La pestaña Compartir de las propiedades del disco de Windows XP Pro

Capítulo 8: La contención de incidentes y Erradicación de la VuYonerabiYodades

163

Figura 8-2: Windows XP Pro carpeta Documentos compartidos debajo de Mi PC

Windows XP compartido simple de archivosDe forma predeterminada, la característica de Compartición Simple de Archivos está activada en Windows XP Professional. Mientras más fácil de usar que navegar por las opciones de uso compartido avanzado de archivos, esta característica es el más adecuado para los miembros de un grupo de trabajo más pequeños en lugar de miembros de un dominio, que se utiliza normalmente en grandes redes corporativas. Si usted desea utilizar avanzadas de Windows XP para compartir archivos, es necesario disCompartir poder simple de archivos de una mayor seguridad y control. Para ello, siga estos pasos:

1. Haga clic en Inicio y, a continuación, seleccione Mi PC.

2. En virtud de los hombres Herramientasúen la parte superior de la ventana, seleccione Opciones

de carpeta.

3. En Opciones de carpeta, seleccione Ver.

4. Desplácese hasta la parte inferior de la lista de configuración avanzada y desactive la "Utilizar uso compartido simple de archivos" (ver Figura 8-3).

5. Haga clic en Aceptar.

Figura 8-3: Windows XP Pro en Opciones de carpeta

Una vez compartido simple de archivos ha sido desactivado, puede modificar las opciones de uso compartido específicos para cualquier carpeta que se encuentra en Mi PC de la siguiente manera:

1. Haga clic derecho sobre la carpeta y, a continuación, seleccione Compartir y seguridad en el menú desplegable hombresú.

2. Seleccione la pestaña Compartir, a continuación, seleccione la opción "Compartir esta carpeta" y, a introducir una cuota de ñAME. En este ejemplo, la carpeta se llama documentos de Doug (ver Figura 8-4).

3. Puede añadir un comentario (Si se desea), que describe la acción y aparece en Mis sitios de red en otros equipos.

4. Usted puede dejar el "Límite de usuarios" opción de paz. En XP profesional, la m por defectoáximum límite es 10.

5. Haga clic en el botón Permisos (Consulte la sección "Creación de listas de control de acceso" a continuación) y proceder a hacer los ajustes que desee con respecto a cómo esta


carpeta se comparte con otros usuarios (ver Figura 8-5).


165

Figura 8-4: La pestaña Compartir en Mis documentos

Propiedades de Windows XP Pro

Figura 8-5: Permisos pestaña Compartir en Mis

Documentos Propiedades de Windows XP Pro

Creación de listas de control de accesoCuando la modificación de uso compartido de archivos en Windows XP, te darás cuenta de que, por defecto, el grupo Todos tiene la opción Control total facturado. Esto significa que todo los usuarios pueden leer, escribir, e incluso borrar archivos. Desde un punto de vista de seguridad, esto no es aceptable. En cambio, las listas de control de acceso debe estar configurado para especificar quién tiene acceso y en qué. Para hacer esto en Windows XP, siga estos pasos:


1. Con la ventana abierta de permisos, haga clic en el botón Agregar y, a continuación, elija Tipos de objetos.

2. Anule la selección de "Built-in de seguridad principais "y la opción de Grupos (ver Figura 8-6), ya que desea ver sólo los usuarios.

3. Haga clic en Aceptar, a continuación, seleccione Opciones avanzadas y, haga clic en Buscar

ahora.

4. Haga clic en los usuarios que deben tener acceso a este recurso compartido (ver Figura 8-

7).

5. Haga clic en Aceptar, y los usuarios se agregan. Usted puede repetir este proceso para

agregar usuarios adicionales.

Figura 8-6: Tipos de objeto de ventana en Windows XP Pro

Figura 8-7: Seleccionar usuarios o grupos de ventanas en Windows XP Pro

6. Cuando termine, haga clic en Aceptar.

Yo


167

De forma predeterminada, los usuarios nuevos agregados tienen acceso de sólo lectura. Si

usted quiere que ellos tienen acceso lectura / escritura, a continuación, haga clic en el cuadro

Cambiar. Tendrá que hacer esto para cada usuario mediante la selección de cada usuario en la

lista, a continuación, especifique permiso de cambio. Para evitar el acceso de invitados a este

recurso compartido, debe quitar el grupo Todos. Selecciónelo y haga clic en el botón Quitar.

Archivo Deshabilitar Compartir impresoras y bajo Windows 95/98/MeEn situaciones en las que tienen un equipo independiente conectado a Internet, a menudo se recomienda que deshabilite compartir archivos e impresoras para evitar cualquier acceso no autorizado al ordenador a través del Internet. Para deshabilitar el compartir archivos e impresoras, siga estos pasos:

1. En el escritorio de Windows, haga clic en el Entorno de red ICón y seleccione Propiedades.

2. Haga clic en la ficha Configuración y, a continuación, seleccione Cliente para redes

Microsoft.

3. Haga clic en Compartir archivos e impresoras.

4. Anule la selección de las dos casillas, a continuación, seleccione Aceptar.

Si no desea deshabilitar compartir archivos e impresoras, siga estos pasos:

1. En el escritorio de Windows, haga doble clic en el icono Mi PC ICón.

2. Haga clic en la unidad C, y luego seleccione la opción Compartir.

3. Si ves a compartir, a continuación, siga los pasos del 5 al 8.

4. Si la residencia está marcada, entonces usted no tiene que seguir adelante.

5. Si no se comparte es marcada, entonces se recomienda que habilite esta opción con un cheque-ción compartida.

6. Si tiene que compartir este volumen del disco duro, a continuación, en el tipo de acceso, marque ya sea lecturaSólo o Depende de la contraseña.

7. Usted puede crécomió septiembreácontraseñas de tarifas para el acceso de sólo lectura y completa. Dar el acceso pleno Contraseña sólo a aquellos que lo requieran.

8. Para otros archivos y carpetas compartidas, asegúrese de que el tipo de acceso está configurado correctamente.

Reconociendo el modelo de confianzaLa confianza es una parte esencial de cualquier relación. El rector principyoe de la seguridad supone que existe un modelo de confianza que define las relaciones de confianza entre todos los componentes involucrados. Un modelo de confianza es un medio para ayudar a reconocer y visualizar los distintos grados de confianza, intencionalmente o no concedido a individuosais, en base a los riesgos asociados con la concesión


confianza. Tener un modelo de confianza completa proporciona una mayor conciencia de los riesgos planteados por vulnera-nerabilities y amenazas. La información proporcionada por un modelo de confianza le permitirá a su organización para evaluar sus vulnerabilidades y amenazas y encontrar soluciones a cualquiera de MITípuerta de ese riesgo o elegir aceptarlo.

Tradicionalmente, los equipos independientes y pequeñas redes se basan en algún tipo de autenticación de usuariotión y control de acceso para garantizar la seguridad. La autenticación se realiza a través de un mecanismo de control, que verifica la identidad de un usuario del sistema. Una vez identificado, el usuario tiene autorización para utilizar, cambiar o ver ciertos recursos informáticos. Actualmente, varios enfoques diferentes están siendo utilizados en el intento de autenticar de forma fiable los usuarios. Esto incluye contraseñas, firmas digitales, tarjetas inteligentes y biometría, a ñAME unos pocos.

El modelo de confianza en las operaciones de informáticaDe hoy en día la seguridad de información se basa en relaciones de confianza con opétasa. Sin embargo, con la confianza viene el riesgo de que la confianza va a ser violado. A fin de combatir esta posibilidad, los mecanismos de confianza deben ser implementadas para garantizar la fiabilidad de la confianza. A continuación se presentan algunas de las formas de la confianza mecanismos se pueden implementar en el entorno del ordenador.

ID de usuario y contraseña TrustEn la mayoría de las organizaciones cuando un usuario se le da acceso a una cuenta de equipo, él o ella se le asigna un ID de usuario y una contraseña para acceder a esa cuenta. Junto con el ID de usuario y la contraseña son ciertos fideicomisos que las hereda de usuario, que permiten acceso a los recursos del equipo. Sin un ID de usuario y contraseñas, no hay confianza se da porque el equipo no tiene otra manera de identificar al usuario. El ID de usuario y la contraseña son análogos a una llave que abre la puerta que permite la entrada. El principal riesgo asociado con los identificadores de usuario y contraseñas es que la ID y las contraseñas pueden ser perdidos, robados o explotados (ilegalmente). Las organizaciones pueden MITípuerta de estos riesgos mediante la institución y siguiendo las políticas de contraseñas sólidas y prácticas. Esto se puede lograr mediante la aplicación de las directrices que se encuentran en "la protección de contraseña 101" publicado por el Centro de Protección de Infraestructura Nacional.

Protección por contraseña 101Cada año miles de ordenadores son acceso ilegal a causa de contraseñas débiles. ¿Cuántos usuarios son culpables de alguna de las siguientes cosas:

• Escribir una contraseña en una nota adhesiva colocada en o cerca de su computadora.• Usando una palabra que se encuentra en un diccionario. Así es, un diccionario. Cualquier diccionario!• Usando una palabra de un diccionario seguido por 2 números.• Utilizando el ñAmes de la gente, lugares, animales domésticos o comunes otros ÍMET.• Compartiendo su palabra con otra persona.• Utilizando la misma contraseña para más de una cuenta, y por un período prolongado de tiempo.• Uso de la contraseña por defecto proporcionada por el proveedor.

Es probable que, si eres como la mayoría de los usuarios de computadoras, usted contestó sí a una o varias de las preguntas anteriores. El problema es que los hackers son conscientes de estos problemas,

así y apuntar a los que no toman las precauciones correctas.

¿Por qué hay un problema?Las contraseñas son una de las primeras líneas de defensa que tienen los usuarios para proteger sus sistemas. Por desgracia, la gente no está acostumbrada a tener que recordar contraseñas difíciles compuestas por cifras y extrañas acters caracte-. El número cada vez mayor de contraseñas necesarias para trabajar en el mundo de hoy sólo lo hace


169

problema peor. Muchas personas han compensado este problema al escribir su contraseña y mantener esa información en una garantía árazones, como pegado a una pantalla de ordenador.

Una de las primeras cosas que un hacker intentará hacer contra un sistema que se ejecuta un programa que intentará adivinar la contraseña correcta de la máquina de destino. Estos programas pueden contener todo el dic-cionarios de varios idiomas diferentes. Además de las palabras que se encuentran en los diccionarios, estos programas a menudo contienen las palabras de la cultura popular, tales como películas de ciencia ficción y noviembreeis.

Los hackers les gusta atacar las debilidades de la gente. Una de las principales debilidades es la renuencia a recordar varias, largo, difícil de adivinar palabras tales como contraseñas. Por lo tanto, una vez que se elija, la probabilidad de que la misma contraseña se utiliza para varias cuentas es muy alto. Esto es similar al problema con contraseñas por defecto porque los usuarios tienen tendencia a mantener la misma contraseña para un largo período de tiempo, permitiendo así que el atacante mucho más tiempo para obtener acceso a un sistema.

¿Qué puedes hacer?

Recordar contraseñas largas puede ser difícil, pero hay algunas técnicas básicas de los usuarios pueden emplear para disminuir el dolor. En primer lugar, elegir una frase que pueda recordar. Como ejemplo, vamos a utilizar la frase "La perla en el río." A continuación, puede tomar un número que está familiarizado con el, como un cumpleaños. Para este ejemplo usaremos 04/07/01. A continuación, usted puede tomar la primera letra de la frase y se entrelazan con la fecha elegida para hacer algo similar a t7p4i0tlr. Este método crea una contraseña que no se puede encontrar en cualquier diccionario, y es exclusiva de la persona que lo creó.

Es importante recordar sin embargo, que cualquier contraseña puede adivinar si se le da tiempo suficiente. Por lo tanto, es importante para cambiar su contraseña en la cantidad de tiempo que le tomaría a un atacante adivine. Por ejemplo, con la contraseña anterior puede llevar a un atacante de 60 días en un equipo muy rápido para adivinar lo que es. Con el fin de garantizar la seguridad de su sistema a continuación, el usuario debe cambiar su contraseña antes de los 60 días llegará a su fin.

Mientras que la contraseña de seguridad es un elemento disuasorio muy importante para los piratas informáticos tengan acceso a tu sistema, es sólo un componente de la "defensa en profundidad" principyoe. Lo que esto significa, se las contraseñas deben ser utilizados junto con otras medidas tales como software antivirus actualizado y un firewall personal, como Zone Alarm.

Recuerde que la primera línea de defensa en el sistema informático la confianza es la protección de las contraseñas y el ID de usuario.

Con el aumento de potencia de cálculo, se tarda menos tiempo que nunca para adivinar las

contraseñas. Por lo tanto, contraseñas seguras deben combinarse con los bloqueos de cuentas

(bloquear la cuenta después de un númeronúmero de conjeturas erróneas) o el atacante

puede adivinar el tiempo.

!

Sistema Operativo FondoConfianza del sistema operativo es uno de los tipos más complejos de la confianza, porque el sistema operativo realiza las funciones de muchos, incluido el intercambio de datos, comunicaciones de red y autenticación-ción, cuando los usuarios inician sesión. Cuando un sistema operativo está inicialmente instalado y configurado, algunos servicios están habilitadas por defecto. En los sistemas Unix, por ejemplo, Trivial File Transfer Protocol (TFTP) y echo dos servicios predeterminados que permiten la plena confianza ejecutando como root. Con Windows NT, algunos servicios Web y el Protocolo de transferencia de archivos (FTP) están habilitadas por defecto.


Desafortunadamente, los administradores de sistemas a menudo no saben que los servicios de los que no sean necesarios pueden ser explotadas por los hackers-se dejan en ejecución en el sistema, dejándolos vulnerables a los ataques.

La forma más fácil de MITípuerta de los riesgos de estos sistemas operativos es reducir al mínimo la cantidad de servicios que se ejecutan, por ejemplo, sólo la ejecución de los servicios que se necesitan en las estaciones de trabajo y servidores. El escarabajo de Código Rojo, por ejemplo, con éxito abrumado muchas redes ya que los empleados se habían instalado los servicios Web en sus estaciones de trabajo individuales. Si bien habrá oca-siones, cuando algunos individuosais puede ser necesario para ejecutar servidores Web en sus estaciones de trabajo para desarrollo y pruebas, más de las veces, estos servicios de servidor Web proporciona la función poco más que la creación de un potencial de salto de punto de partida para un gusano o un ataque hostil. Para los responsables de la gestión de un gran número de estaciones de trabajo, se convierte en una tarea onerosa para elimíNate selección los servicios de estación de trabajo de todos y cada uno.

Aunque la reducción de la cantidad de servicios que se ejecutan en un equipo funcionalidad de ciertos límites, se endurece el sistema en términos de seguridad. Endurecimiento de los servidores y estaciones de trabajo es sólo un primer paso en la prevención de los hackers de irrumpir en un sistema informático mediante la limitación de lo que el atacante es capaz de explotar y utilizar. Mientras que algunos servicios, tales como el servicio WWW en un servidor Web son requeridos, es importante también tener al tanto de las actualizaciones, parches y revisiones de todo servicios.

En equipos basados en Windows, usted puede detectar fácilmente los servicios que funcionan mediante el uso de un programa como Process Explorer. Con Process Explorer en marcha y funcionando, seleccione las opciones → Servicios Resaltar los hombresúelemento. A continuación, puede hacer clic en cualquiera de los servicios destacados para ver los detalles del servicio, que aparecen en el panel inferior de Process Explorer (ver Figura 8-8). Process Explorer se puede descar-cargado desde www.sysinternals.com._

Figura 8-8: Process Explorer de Mark Russinovich

http://www.sysinternals.com._/


El modelo de confianza y robo de identidadSe estima que el robo de identidad se ha convertido en el delito de más rápido crecimiento económico en América y tal vez el delito de más rápido crecimiento de cualquier tipo en nuestra sociedad. El robo de identidad ha sido denominado por algunos como el crimen del nuevo milenio. Puede llevarse a cabo de forma anónima, a menudo con facilidad, por una variedad de medios, y su impacto sobre la víctima pueden ser devastadores. El robo de identidad es simplemente el robo de información de identidad, como un ñAME, fecha de nacimiento, número de Seguro Social (SSN), o un número de tarjeta de crédito. Comisión Federal de Comercio (FTC) informa de que su sitio de Consumer Sentinel, que ofrece la ley Web con acceso a más de 300.000 quejas sobre todos los tipos de fraude al consumidor - que ha recibido más quejas sobre robo de identidad y el fraude que cualquier otra categoría de fraude al consumidor.

Tener un modelo de confianza o un método para asegurar la identidad es un excelente método para resolver el problema de robo de identidad. De hecho, un modelo de confianza es esencial para cualquier infraestructura de seguridad. Una infraestructura de seguridad basada en las credenciales de seguridad aborda los problemas de fraude y robo de identidad cuando las credenciales de seguridad están identificados y autenticados.

Computer Security AwarenessSe ha dicho, "El único sistema informático seguro es aquel que está desconectado o apagado." Dado que no es realista dejar ordenadores fuera de todo el tiempo, los empleados y todos los otros usuarios de la necesidad de comprender los riesgos a los sistemas y se preparan para protegerse contra ellos. Un sonido de la computadora-seguridad-la conciencia programa educa a los usuarios informáticos de la organización sobre las amenazas potenciales que enfrenta la infraestructura de la empresa información. Con este conocimiento, los empleados están mejor pre-en comparación a reconocer los problemas potenciales de seguridad. Una vez que el problema ha sido identificado, los empleados deben estar familiarizados con los procedimientos de notificación adecuados, incluyendo la cadena de mando. Dado que la seguridad se puede comparar a un blanco en movimiento, la conciencia de seguridad debe seguir siendo un evento en curso. Puesto que las amenazas y vulnerabilidades de seguridad son caprichosas de la naturaleza, la seguridad siempre debe estar preparado, e incluyen una respuesta automática. Una buena pauta a seguir es la Sección 5 de la Ley de Seguridad Informática 1997, que ordena la formación de seguridad siguiente para las agencias federales:

SEC. 5. SISTEMA FEDERAL DE COMPUTADORA DE ENTRENAMIENTO DE SEGURIDAD.

(A) En general. - Cada agencia federal deberá prever la capacitación periódica obligatoria de la conciencia de seguridad informática y la práctica aceptada de seguridad informática de todos los empleados que están involucrados con el manejo, uso o funcionamiento de cada sistema informático

federal dentro o bajo la supervisión de ese organismo. Dicha formación será1. siempre de acuerdo con las directrices elaboradas de conformidad con la sección 20 (a) (5) de la

National Bureau of Standards Act (añadido por el artículo 3 de esta Ley), y de conformidad con los reglamentos emitidos en virtud del inciso (c) de esta sección de los empleados civiles federales, o

2. proporcionada por un programa de entrenamiento alternativo aprobado por el jefe de ese organismo sobre la base de una determinación de que el programa de formación alternativa es al menos tan eficaz en el cumplimiento de los objetivos de esas directrices y reglamentos.


(B) Objeto.-Formación de Formación en esta sección se pondrá en marcha dentro de los 60 días después de lala emisión de las regulaciones descritas en el inciso (c). Dicha capacitación se diseñarán

1. para aumentar la conciencia de los empleados de las amenazas y la vulnerabilidad de los sistemas informáticos, y2. para fomentar el uso de mejores prácticas de seguridad informática.

(C) Regulations.-Dentro de seis meses después de la fecha de la promulgación de esta Ley, el Director de laOficina de Administración de Personal dictará disposiciones que prescriban los procedimientos y el alcance de lade capacitación que se proporcionan los empleados civiles federales en virtud del inciso (a) y la manera en que talesenseñanzas se llevó a cabo.

Concienciación sobre la seguridad pueden presentarse en muchas formas, tales como banderas de inicio de sesión que recuerdan comlos usuarios informáticos sobre la seguridad cada vez que inicien sus equipos de audio y vídeo documentación. Independientemente de los métodos se emplean, el objetivo principal es aumentar la conciencia constante de nuestros empleados de las amenazas y la vulnerabilidad de los sistemas informáticos, y fomentar el uso de mejora de las prácticas de seguridad informática dentro de la organización.

Estrategias de Documentación MultimediaCon los acontecimientos del 11 de septiembre, aún está fresco en nuestra memoria de 2001, se nos recuerda que la conciencia de seguridad nunca ha sido más importante. Las personas son, sin duda, los aspectos más desafiantes de la seguridad que toda organización tiene que enfrentar. La organización debe convencer a todos los usuarios de computadoras que la seguridad de la información es responsabilidad de todos y no sólo del sistema de admi-res. Los usuarios deben estar convencidos de que pueden ser afectados directa o indirectamente por una garantía com-promesa.

Como se mencionó anteriormente en este capítulo, la seguridad es un objetivo en movimiento complejo. Mientras el mundo gradualmente-mente se vuelve más dependiente de la red, es esencial que el equipo de concienciación de seguridad de programas que se benefician todo los usuarios de computadoras se desarrolló e implementó. Una vez que se logra este objetivo, los usuarios pueden reconocer y reaccionar ante las violaciones de seguridad de la información. Sin esta conciencia, los usuarios siguen siendo ingenuos ante las amenazas de seguridad informática.

Cuando se trata de la conciencia de seguridad informática, los videos pueden ser uno de los más eficaces métodosSAO para la comunicación. Sin embargo, ellos vienen con un precio. El costo de producir su propio video puede llegar a varios miles de dólares por minuto de producto terminado. Para organizaciones con grandes presupuestos de TI de seguridad, esto no puede parecer un gasto excesivo. Para los más pequeños, más presupuesto-con-restringidas las organizaciones, sin embargo, hay una altemAtive. Numerosos proveedores de terceros venden ya hechas vídeos de seguridad informática que pueden ser adecuados para una amplia variedad de

organizaciones. Estos vídeos son generalmente mucho menores que los costos asociados con la producción in-house-propriVídeos monetarias de seguridad.

Los siguientes son dos vendedores que producen excelentes productos de sensibilización de seguridad, incluyendo las variablesOus carteles, cintas de audio, videos y CD-ROMs.

• Commonwealth Films:www.commonwealthfi 1ms.com

• Su inteligencia natural, Inc:www.nativeintelligence.com / conocimiento / index.asp

Tenga en cuenta que desde que usted puede volver a usar el video, una computadora relacionada con la seguridad de vídeo sería una excelente herramienta en su programa de concienciación sobre la seguridad.

http://www.nativeintelligence.com/awareness/index.asp

http://www.nativeintelligence.com/awareness/index.asp

http://www.commonwealthfi/


La fase de erradicaciónLa prioridad, después de al lado que contiene los daños causados por un incidente de seguridad informática-es eliminar la causa del incidente. Los hackers y crackers sin descanso buscan las vulnerabilidades de seguridad en el software nuevo o ya existente, especialmente cuando el proveedor de software no se ha desarrollado un parche o donde la organización no ha podido descargar una corrección disponible (lo que habría eliminado la vulnerabilidad de los). La fase de erradicación se asegura de que se elimina el problema y las vulnerabilidades que permiten el reingreso al sistema se eliminan, también. En el caso de un incidente de virus, se debe eliminar el virus de todos los sistemas y medios de comunicación (por ejemplo, los disquetes, los medios de copia de seguridad) mediante el uso de uno o más probadas aplicaciones comerciales de erradicación del virus. Si hay fallas en el sistema operativo o las aplicaciones para las que hay cambios, que debe ser reparado inmediatamente.

Recuerde, muchos intrusos de red dejan restos (backdoors, spyware, etc) que pueden resultar difíciles de lóCate. Su organización debe FíRST concéntrate en la erradicación de cualquier código malicioso (por ejemplo, los caballos de Troya, gusanos, etc), ciósE los puertos innecesarios abiertos, y más tarde concéntrate acerca de los peligros más benignas (por ejemplo, fraude / molestias virunSES), sobre todo cuando no presentan un riesgo lo suficientemente grave como para justificar el costo de la erradicación. Utilice la información recopilada durante los procedimientos de contención para recoger información adicional. Si un método de ataque único no se puede determinar, la lista y el rango de las posibilidades.

Endurecer sus defensasAplicar las técnicas adecuadas de protección mediante la adición de los cortafuegos, filtros del router, intrusióción n detección de sistemas y / o mover el sistema a una nueva dirección IP. En casos extremos, la organización puede resultar beneficioso para migrar estaciones de trabajo o servidores a un sistema operativo más robusto y seguro como Linux o Unix. También debe eliminar todas las aplicaciones innecesarias y las cuentas por defecto en ciósE posibles puntos de acceso no autorizado. Ciertamente, nunca se debe olvidar el elemento humano. De ingeniería social ataques se centran en pasar por las herramientas de seguridad más sofisticados disponibles enfocándose en el eslabón más débil de la cadena de seguridad, el vínculo humano. Social ingeniería es la ciencia de hacer que la gente a cumplir con sus deseos. Centrándonos en el vínculo humano se asegura de que ningún sistema de seguridad informática es innecesariamente sometidos a los ataques de ingeniería social.

Realizar el Análisis de VulnerabilidadesUtilice una herramienta de análisis de la vulnerabilidad a la seuno de los sistemas vulnerables que están conectados a sistemas afectadosMET. El personal de seguridad de rutina auditar sus sistemas con las mismas escáneres y sniffers (herramientas) que los hackers y crackers utilizan para comprometer las redes. Un enfoque más agresivo para vulnerabilidaddad implica el análisis de las pruebas de penetración. Las pruebas de penetración se ve en la seguridad de la organización desde un punto de vista externo. Escáneres de puertos y la vulnerabilidad son las herramientas básicas tanto del atacante que se comprueben los servicios mal configurados o sin

parches, y para el administrador del sistema tratando de encontrar y tapar los huecos antes de que son explotados. Para los sistemas operativos Unix o Linux, numerosas escáneres de vulnerabilidad están disponibles, aquí son varias:

• Nessus por Renaud Deraison es un escáner de software de seguridad gratuito que las auditorías de una red especificadas de forma remota y determina si los hackers podrían poner en peligro o explotación de que de alguna manera. Para obtener más información o para descargar una copia, visitewww.nessus.org.

http://www.nessus.org/


• SAINT por SAINT Corporation es un acrónimo de "Herramienta de administración de seguridad de red integrada" y se utiliza para seun Unix / Linux los sistemas informáticos para descubrir el potencial áreas de debilidad y luego recomendar soluciones. Entre algunas de sus muchas características, SAINT evaluación de la vulnerabilidad puede detectar y reparar los posibles puntos débiles en la seguridad de su red antes de que puedan ser explotadas por intrusos. Además, el santo puede anticípaté y prevenir vulnerabilidades de los sistemas comunes y demónstrate que su organización de las computadoras los sistemas están en conformidad con las regulaciones de privacidad de datos, como la Ley Gramm-Leach-Bliley (GLBA), Health Insurance Portability and Accountability Act (HIPAA), y Niños en Internet Privacy Protection Act (COPPA). Para información sobre precios o para descargar una copia gratuita de prueba, visite www.saintcorporation.com.

• GFI LANguard Network Security Scanner (N.S.S.) le permite no sólo seuno de su red-trabajar, pero le permite hacerlo desde el punto de vista del hacker. Es capaz de identificar todos los ordenadores conectados a la red de su recopilación de información de NetBIOS, puertos abiertos, y los recursos compartidos de red a la ñame sólo una de sus muchas características. LANguard Network Scanner también puede dis-play instalado los parches del programa (también conocido como hot fixes) y seuno de los problemas de seguridad conocidos. Si cualquier problema de seguridad se encuentran, este programa proporcionará un enlace web para más informacióninformación. N.S.S. contiene una gran ddtábase de las vulnerabilidades comunes, como CGI, FTP, y las hazañas del Registro. Este programa permite al usuario personalizar el datáde base, añadir cus-tom criterios, e incluso especificar banderas de alerta sobre la base de las preferencias del usuario. Con la información de LANguard NSS, su organización puede asegurar de forma proactiva su red, cerrando puertos innecesarios y acciones. Este programa también producirá convenientes informes basados en HTML para su distribución a través de Internet o una intranet de la empresa, si es necesario. Incluso para los no profesionales, este programa ofrece información en profundidad acerca de la LAN. Mientras que el software gratuito versión tiene algunas características avanzadas con discapacidad (por ejemplo, los análisis programados, un generador de informes y la implementación de la comparación de resultados), todavía es muy adecuado para la gran-dad de los usuarios. Para obtener más información o para descargar una copia, visite www.gfi.com.

• La herramienta Microsoft Baseline Security Analyzer (MBSA) es una utilidad basada en software que permite a los usuarios seun equipos basados en Windows para los problemas de seguridad comunes, tales como un suavesoftware o configuración errónea de la falta de aplicación de parches y actualizaciones.

http://www.gfi.com/

http://www.saintcorporation.com/

Resumen del capítuloLas repercusiones de un incidente de seguridad informática a menudo requieren una cantidad significativa de tiempo y peoplepower antes de la integridad de los sistemas en peligro puede ser restablecida. El objetivo principal de respuesta a incidentes es la de limitar la primera efeect de un incidente de seguridad informática y, a continuación para restablecer rápidamente la continuidad del negocio. Decisiones inmediatas deben ser tomadas considerando una serie de cuestiones, como la posibilidad de apagar un sistema, desconecte el sistema de la red, o simplemente controlar el sistema por actividad sospechosa. Incidente de contención y erradicación de las vulnerabilidades son dos fases importantes, críticos del plan general de incidentes de una organización de respuesta.


175


Una breve descripción de los procedimientos informáticos de incidentes de seguridad de cuarentena y la contención

• Los pros y los contras de la ruptura de las conexiones de red e Internet durante la contienención fase del modelo de respuesta a incidentes

• Una visión general de los riesgos del uso de recursos compartidos de red y el archivo en Windows basada en redobras, incluidas las medidas sobre la manera de MITípuerta de los riesgos

• La importancia de la subestimación de la seguridad informática modelo de confianza y su papel en una general de la organización de plan de respuesta a incidentes

• Los procedimientos apropiados de contraseñas y la importancia de los cambios de contraseña frecuentes

• ¿Cómo fomentar la conciencia de toda la compañía de seguridad utilizando documentación multimedia estrategias

• Una visión general de los pasos involucrados en la erradicación de las vulnerabilidades de seguridad informática

Capítulo 9

Recuperación de Desastres y Seguimiento deln este capítulo

• Entendimiento de desastres de recuperación de la planificación

• La importancia de los registros de incidentes

• UPS y los procedimientos de copia de seguridad

• Después del incidente de vigilancia de los sistemas de

• Anticipando nuevos ataques

GRACIAS A SU MAYOR DEPENDENCIA DE LA INTERNET, organizaciones alrededor del mundo enfrentan diariamente a las amenazas de los hackers, crackers, equipo virunses gusanos, y de la red, que a menudo explotan una variedad de deficiencias en los sistemas informáticos y de causar un daño significativo. Debido al aumento de la conectividad con-provocado por la Internet, los daños causados por aparentemente aislados incidentes de seguridad informática puede propagarse rápidamente a otros sistemas informáticos conectados a Internet, causar numerosas pérdidas económicas. Un plan de recuperación de desastres debe ser adaptado a la exposición de su organización a un riesgo y debe proporcionar información concreta y procedimientos para orientar las decisiones y operaciones en tiempos de crisis.

Procedimientos de recuperación de desastres debe incluir lo siguiente:

• Restaurar el sistema después de un compromiso. Una vez que un compromiso ha sido erradicada, el siguiente paso lógico es restaurar el sistema a su estado precompromise en pleno funcionamiento.

• La validación del sistema. Una vez que el sistema ha sido restaurado, compruebe que la operación fue un éxito y el sistema vuelve a su estado normal de funcionamiento.

• Decidir cuándo las operaciones de restauración. La gerencia puede decidir abandonar el sistema en línea, mientras que actualizaciones del sistema operativo y los parches están instalados.

• El seguimiento de los sistemas. Una vez que e

l sistema esté en línea, continuaépara vigilar la espaldapuertas que puedan tener eludido detección.

177


Saber cómo reaccionar adecuadamente en una emergencia es fundamental para tomar decisiones que minimicen el daño resultante y restaurar rápidamente las operaciones. En su 07 de diciembre, Boletín destacados de 2001, la Agencia de Protección de Infraestructura Nacional emitió el siguiente:

11 de septiembre 2001Incidente TerroristaeLecciones aprendidas: nuevos enfoques necesarios para la recuperación de desastres y de negociosContinuidad de Planificación

Tres temas principales se puede observar en los numerosos artículos en los que los profesionales técnicos han estado discutiendo el impacto de los incidentes del 11 de septiembre.

Lecciones EmergentesEn primer lugar, la recuperación de desastres planes de la mayoría de las organizaciones tienden a

centrarse en sistema de información dis-capacidad ("up-time") los temas. En segundo lugar, el concepto en evolución del alcance de los impactos se ha traducido en una reevaluación fundamental por tanto prí". peor de los casos" tor privado y las organizaciones gubernamentales del significado de la tercera y más importante, parece que hay una síntesis emergente de los dos primeros temas: los incidentes se han traducido en una creciente conciencia de la necesidad de planes de continuidad de negocio y recuperación de desastres planes para complementarse entre sí.

Infraestructura de servicios financierosMuchas grandes organizaciones de servicios financieros restaurar rápidamente sus sistemas de

información en el altérnate sitios. Los sistemas de demostrar la estabilidad en altos volúmenes de transacciones en los mercados reabrieron y se reanuda negocio. Los factores que contribuyen a la reanudación exitosa de las operaciones incluyen inversiones en tiempo real de copia de seguridad de datos y todas las capacidades de sitios calientes, las pruebas frecuentes desastres plan y las actualizaciones, las lecciones aprendidas durante la remediación Y2K y otros planes para las funciones críticas tales como diciembre-imalization NASDAQ conversión del plan.

Los servicios tradicionales de recuperación de desastres de Empujado a los nuevos límitesLas compañías que ofrecen servicios de recuperación de desastres han reportado un número récord

de organizaciones sub-mitting alertas de desastres y las declaraciones de desastre. Además, en muchos casos la naturaleza de los servicios requeridos es también significativamente más amplia que en anteriores desastres como el huracán Floyd en 1999 y el ataque al World Trade Center de 1993.

Necesidad de reevaluar cuestiones de riesgoDurante los últimos 15-20 años, se centran en la reducción de costes y aumenta la productividad ha

contribuido a la consolidación de las operaciones de la organización, información, personas, procesos, y la cadena de suministro de las relaciones. Los incidentes del 11 de septiembre muestran estas tendencias presentan nuevos potenciales de los fracasos que no se han reflejado en la recuperación de desastres y los planes de muchas de continuidad del negocio. Además, los incidentes también señalan los factores de riesgo relacionados con el ciósí la proximidad a otros "alta valiosaéobjetivos "y la infraestructura de las dependencias entre las telecomunicaciones, la energía y el transporte.

Infraestructura Crítica y Empresa Implicaciones de redEl Princip básicayoes de preparación de emergencia se han utilizado durante décadas y continua

puedeéser una base para abordar los nuevos desafíos. Sin embargo, dos nuevos enfoques de planificación deben ser abordados. En primer lugar, el ámbito de la planificación de recuperación de

desastres debe ser ampliado más allá de su enfoque tradicional en la pri-Marily cuestiones operativas para incluir medidas de seguridad de seguridad también. En segundo lugar la planificación, la continuidad del negocio junto con la planificación de recuperación de desastres debe ser abordado como un requisito de negocio de toda la empresa la operación.

En este boletín, el NIPC hace hincapié en la necesidad de contar con procedimientos de recuperación de desastres y continuidad de negocio que se complementan entre sí. No importa cuántas precauciones son empleados y

Capítulo 9: Recuperación de Desastres y Seguimiento de 179

forzada, la mayoría de la gente en el campo de la seguridad informática de acuerdo en que no hay computadoras completamente seguro. Cuando sucede lo impensable, un plan de emergencia bien diseñado de recuperación describe la preparación y las medidas necesarias para responder eficazmente a la catástrofe, asigna y / o delega responsabilidades, e incluso describe los procedimientos para probar y mantener el plan. Además, un plan de recuperación de desastres debe ser evaluado con mayor frecuencia y actualizado para reflejar el hardware actual, el software, procedimientos, aplicaciones críticas, y el personal. El tipo y grado de pruebación adoptada por una organización dependerá de los siguientes factores:

• El costo de la ejecución del plan de pruebas

• Presupuesto disponibilidad

• La complejidad del sistema de información y de los componentes

Planificación de recuperación de desastresEl mejor enfoque para la recuperación de desastres se centra principalmente en la planificación y la prevención. El objetivo de la planificación de recuperación de desastres es permitir a una organización para resistir un desastre y restablecer, nioperaciones normales de negocio. Para sobrevivir, la organización debe asegurar que las operaciones críticas se puede reanudar el procesamiento normal dentro de un plazo razonable. Por lo tanto, los objetivos de la empresa con-plan de continuidad debe ser como sigue:

• Identificar fallas y vulnerabilidades e implementar un programa de prevención de

desastres

• Minimizar las interrupciones a las operaciones comerciales

• Facilílitar las tareas de recuperación

• Reducir la complejidad de los esfuerzos de recuperación

En el clima de negocios actual, las interrupciones del equipo a largo plazo tienen un impacto dramático en los resultados de una organización. Las estrategias de recuperación por lo tanto, debe incorpótasa tanto de los activos de tecnología de información y gestión de personal que tienen la responsabilidad de proteger esos activos. Además, las organizaciones deben entrenar a sus empleados para ejecutar los planes de recuperación haciendo lo siguientes:

• Hacer que los empleados tomen conciencia de la necesidad de un plan de emergencia de recuperación de la reanudación / negocio

• Informar a todos los empleados de la existencia del plan y el establecimiento de

procedimientos a seguir en el caso de una emergencia

• Formación de todo el personal con responsabilidades definidas en el Plan para llevar a cabo el desastre de recuperación y continuidad de negocio procedimientos

• Ofrecer la oportunidad a los equipos de recuperación para practicar su recuperación de desastres y habilidades de continuidad de negocio


El desarrollo de un Plan de Recuperación de Desastres

Todos los planes de recuperación de desastres correcta comienza con un análisis de impacto en el negocio para determinar qué funciones son absolutamente esenciales para la organización. Cualquiera que sea razonablemente objetiva puede evalúcomió lo que de los procesos de la organización y funciones son fundamentales y decidir cuáles deben ser recuperados por primera vez cuando una situación de recuperación se presenta. Menos importante áReas puede ser recuperado después de todos los elementos vitales están funcionando adecuadamente.

Individuosairesponsable de las aplicaciones críticas del sistema de la organización s debe desarrollar y aplicar procedimientos regulares para realizar copias de seguridad de datos importantes y pro-gramas informáticos. Copias de seguridad de recuperación de desastres deben estar ubicados en un lugar seguro lejos de las instalaciones del edificio. El éxito de la recuperación de los sistemas de aplicación es totalmente dependiente de la precisión - y moneda - de los datos de copia de seguridad disponibles para recuperarlo.

No existe un plan de recuperación de desastres única que se aplicará a todas las organizaciones. En su lugar, estos planes deben adaptarse a las necesidades particulares de su organización. Sería imposible cubrir todos los escenarios posibles, sin embargo, todos los planes de recuperación ante desastres debe incluir la siguiente clave puntos:

Ofrecer una gestión con una comprensión de todos los recursos necesarios para desarrollar y mantener un plan de recuperación ante desastres eficaz. Además, la organización debe contar con el apoyo decidido de todos los miembros del grupo (por ejemplo, de gestión, o personal) para apoyar y partiípar en el esfuerzo.

• Formación de un equipo de respuesta a incidentes que incluye representantes de todas las claves división de la organización.

• Definir requerimientos de recuperación desde la perspectiva de las funciones empresariales.

• Identificar los riesgos. Cada riesgo debe ser identificado, junto con los pasos que serían fuera necesario para impedir que esto ocurra en el primer lugar. Evitar una crisis probablemente más barato que reparar después del hecho. Todos los planes de emergencia deben comenzar con un enfoque en la prevención.

• Documentar el impacto de una pérdida prolongada de las operaciones y funciones de negocio clave. Es imposible para un plan de recuperación de desastres para justificar cada gasto incluido en todos los procesos de negocio y su aplicación en el proceso de recuperación. La organización por lo tanto, debe inventario y establecer prioridades procesos críticos de negocio.

• Seleccione los equipos de recuperación para supervisar el proceso de recuperación de desastres y garantizar que el equilibrio requerido se mantiene durante el desarrollo del plan de recuperación de desastres.

• Desarrollar un plan de contingencia que es comprensible, fácil de usar, y fáciles de mantener por todos los miembros de la organización.

• Definir cómo las consideraciones de planificación de contingencia deben ser incorporados en la planificación de su negocio en marcha. Los procedimientos del sistema de desarrollo también debe ser definido para que el planes para seguir siendo viable.

Para aquellos que deseen construir su propio desastre informático plan de recuperación, el siguiente Concontingencia y desastres directrices del plan de recuperación del Sistema de Virginia Community College


demónstrate los pasos necesarios para crése comió un desastre informático plan de recuperación. Estas directrices son no pretende ser exhaustiva, sino más bien se debe utilizar como en elémplate:

Muestra de contingencia de recuperación de desastres Plan deDeclarar el propósito del plan de recuperación de desastres.

I.ASSUMPTIONSEnumerar y describir las cosas que podrían ser asumidos en el plan. La lista de supuestos no se incluya a todos. Algunas hipótesis pueden ser:

1. Todos los recursos y el personal puede estar disponible tan pronto como sea posible.

2. Todos los miembros de los equipos de recuperación de desastres que las copias más recientes de la catástrofe plan de recuperación.

3. Los usuarios se continuaéde opétasa a través de un modo manual.

4. Las copias de seguridad se pondrá a disposición tan pronto como sea posible.

II. PROCESAMIENTO DE DATOS / ENTORNO EMPRESARIALProporcionar una descripción detallada de su negocio y / o el medio ambiente de procesamiento de datos.

III.WHEN UN DESASTRE SE RECONOCEIndique el curso de las acciones que deben ocurrir cuando un desastre se reconoce. La siguiente es una ejemplo:

En el caso de un desastre, el coordinador de la planificación para desastres debe ser contactado. El coordinador debe ponerse en contacto con el equipo de manejo de emergencias. El equipo de manejo de emergencias deben ir a la árazones de la catástrofe, evaluar los daños y proporcionar el coordinador con los resultados de la evaluación lo más pronto posible. El coordinador de planificación de desastres deben decidir qué otros equipos para ponerse en contacto en función del tipo y la gravedad de la catástrofe. Las operaciones de recuperación de desastres no debe comenzar hasta que el coordinador ha designado el plan de operaciones.

IV. EQUIPOS de recuperación de desastresOrganizar equipos de recuperación de desastres para manejar diferentes funciones durante el período comprendido entre el primero que se informó del desastre hasta su completa recuperación se ha completado. Dependiendo del tamaño de su sitio, el tamaño de cada uno de sus equipos pueden variar, así como el número de equipos. Cada equipo es responsable de el desarrollo de un conjunto de acciones a seguir para faciíTate una recuperación ordenada de un desastre.

A. Planificación de Desastres Coordinador

Determinar quién es el coordinador de recuperación de desastres debe ser. Enumerar las funciones de coordinador de recuperación de desastres. Algunas funciones podrían ser

1. Servir como el contacto principal y coordíNate los esfuerzos de recuperación.

2. Póngase en contacto con todo el personal de apoyo que participan en el esfuerzo de

recuperación.

3. Proporcionar a todo el personal de apoyo con una copia del plan.


4. Póngase en contacto con el personal de gestión.

5. Mantener el plan de recuperación de desastres.

B. Equipo de Gestión de Emergencias

Determinar quiénes son los miembros del equipo de gestión de emergencias será. Enumerar las responsabilidades del equipo de manejo de emergencias. Algunas funciones podrían ser

1. Evaluar los daños.

1. Proporcionar un estado de detalle del desastre para el coordinador de planificación de desastres tan pronto como sea posible.

2. Póngase en contacto con todos los proveedores, contratistas, o los recursos externos necesarios para restablecer los servicios de el dañado áreas.

2. Proporcionar un estado general de la catástrofe para el personal de la universidad.

3. Determinar las prioridades. Debe haber un marco mínimo de tiempo aceptable el colegio funcionará con las operaciones de degradados antes de que el plan de copia de seguridad se lleva a cabo.

3. Asegúrese de que todo el personal de apoyo necesario ha sido contactado para prestar

asistencia.

4. Determinar un marco de tiempo general para que todos los servicios serán restaurados.

C. Equipo de Apoyo Técnico

Determinar quiénes son los miembros del equipo de soporte técnico será. Lista de las res-los lazos del equipo de soporte técnico. Algunas funciones podrían ser

1. Determine qué hardware / software se ha dañado.

2. Revise el análisis de la evaluación de riesgos y análisis de impacto en el negocio y determinar cuáles son las aplicaciones críticas / no críticas son y para determinar quién es responsable de cada aplicación.

3. Lista de los procedimientos a crécrear un entorno nuevo para el hardware o para la compra de nuevo hardware (dar a los procedimientos reales).

4. Procedimientos para restaurar la lista de software crítico / aplicaciones (dar a los

procedimientos reales).

5. Lista de los procedimientos para restaurar el software no crítico / aplicaciones (dar a

los procedimientos reales).

6. Póngase en contacto con los propietarios de aplicaciones para determinar su papel en

el proceso de recuperación.

D. Equipo de Proyectos Especiales

Determinar quiénes son los miembros del equipo de proyectos especiales será. Enumerar las responsabilidades del equipo de proyecto especial. Algunas funciones podrían ser

1. Proporcionar el transporte a / desde las instalaciones de copia de seguridad.

2. Haga cualquier teléfono de cal necesariayos.

1. Pedido de suministros, el trabajo completa el papeleo necesario, y prestar asistencia cuando sea necesario para todos los grupos de apoyo.

Capítulo 9: Recuperación de Desastres y Seguimiento de

183

Cliente E. Equipo de Apoyo

Determinar quiénes son los miembros del equipo de atención al cliente será. Enumere los vínculos de responsabilidades del equipo de atención al cliente. Algunas funciones podrían ser

1. Notificar a los clientes de ordenador de la catástrofe y darles un marco de tiempo para la recuperación.

2. Ayudar a los clientes desarrollar procedimientos manuales para llevar a cabo el trabajo si los recursos son disponible para una larga duración de tiempo.

3. Tener una lista de clientes de la prioridad de su día a día del trabajo.

V. PROCEDIMIENTOS DE RESPUESTA A EMERGENCIASEnumerar los procedimientos de respuesta de emergencia apropiada para cualquier incidente o actividad, que puede ame-ger la vida, la propiedad, o la capacidad para llevar a cabo funciones esenciales.

VI. LISTA DE TELEFONOS DE EMERGENCIAHaga una lista de los números de emergencia los servicios telefónicos en su áREA, por ejemplo, fuego y pólos piojos, servicio de aire acondicionado, servicio de seguridad, y así sucesivamente. Además, una lista de todos los ñAmes y telenúmeros de teléfono (particular y trabajo) de todos los miembros de los equipos de recuperación de desastres. También se pueden listar los números de teléfono de cualquier hardware y / o proveedores de software, así como cualquier otro de importancianúmeros de teléfono tantes.

VIllinois. MANTENIMIENTO DEL PLANEsta debe ser la responsabilidad del Coordinador de Planificación de Desastres. Enumerar los pasos de la coor-nador debe tomar para mantener este plan. Algunos pasos podría ser

1. Elaborar un calendario para poner a prueba el plan (por lo menos una vez al año).

2. Mantener el plan actualizado con la información más reciente.

3. Asegúrese de que el plan está salvaguardada en la oficina y es una copia en los archivos de un seguro fuera del sitio ubicación.

Registros ElectrónicosOrdenadores producir registros electrónicos, incluyendo gráfico numérico, y la información de texto, que puede almacenarse en cualquier m almacenamientoémediano capaz de ser leído por

un ordenador. Esto incluye, pero no se limita a, los medios magnéticos, tales como cintas y discos y discos ópticos.

La creación de registros electrónicos depende de las aplicaciones de software, hardware, sistema operativo, los medios, y formatos de archivos que componen el tipo de sistema informático utilizado. El personal de la organización que son responsables de los registros debe estar preocupado por - y ayudar a los demás empleados entienden - los métodos utilizados para crécomió sus registros y la documentación del sistema que creó los registros con el fin de garantizar la capacidad de recuperar, leer, y usar los registros en el futuro.


Cada m de almacenamiento electrónicoémediano pueden clasificarse en dos tipos, los medios magnéticos y medios ópticos. Cada tipo tiene ciertas ventajas e inconvenientes. Por ejemplo, la información almacenada en medios magnéticos (por ejemplo, duro y los disquetes) es más propenso a la corrupción por fuentes externas (tales como fuertes campos magnéticos). Los medios ópticos (como CD-ROM) no son propensos a cor magnéticacorrupción pero pueden ser dañados por arañazos superficiales profundas que impiden que la láservicio de la lectura de los datos almacenada en el disco.

Ejemplos de medios de almacenamiento comúnmente usados incluyen

• Los discos duros

• 3,5 pulgadas de disquetes

• Los discos Zip

• CD-ROM (por ejemplo, CD-R, CD-RW, y DVD)

• De memoria flash

• Los cartuchos de cinta

Los anteriores son sólo algunos de los muchos tipos de medios electrónicos de almacenamiento actualmente en uso. La tecnología de almacenamiento está en constante evolución, nuevos medios y formatos se están desarrollando constantemente e intro-ducida. Los usuarios, administradores de redes y personal de seguridad de gestión conjunta y debe reevaluar periódicamente los medios electrónicos adecuados para fines comerciales o para su archivo. Cada m almacenamientoémediano tiene una vida diferente. Debido a esto, los datos registrados pueden necesitar ser transferido a un nuevo tipo de almacenamiento mémediano o el formato para extender su vida preservada.

La correcta selección de formatos de software, medios de comunicación y archivo que se utilizará para la creación de registros electrónicos se asegura de que los registros están adecuadamente legible, recuperable, y duplicar hasta el momento en que ya no son necesarios. Instrucciones para la recuperación o conservación deben estar documentados de manera de asegurar a largo plazo de uso. Esto debe incluir los atributos físicos de los registros, plataformas de hardware y software necesario para recuperar los registros.

Implementar y mantener un programa eficaz de seguridad los registros deben incorpócalificar el siguientes:

• Asegúrese de que sólo el personal autorizado tiene acceso a los registros electrónicos

• Proveer para backup y recuperación de registros para proteger contra la pérdida de información

• Asegúrese de que el personal correspondiente esté capacitado para proteger la electrónica sensible o clasificada archivos

• Minimizar el riesgo de alteración o supresión no autorizada de los documentos

electrónicos

Autenticación de los registros electrónicosLa autenticación es la confirmación de que el registro es exacta y completa. Todos los registros que requieran la autenticación debe estar fechado y firmado, rubricado, sellado, o atestigua lo contrario. Por lo general, los registros en papel pueden ser autenticados por la mayoría de formas de autenticación fuerte registro de copia son


185

visible en la parte delantera del disco. Los métodos para la autenticación de los documentos electrónicos, sin embargo, son más diversos. Estos métodos incluyen, pero no se limitan a, los siguientes:

• Una copia de un documento que acompaña a los medios de comunicación electrónicos que contienen infor-mación sobre el registro electrónico que puede ser utilizado para identificar, recuperar, o de indexación

• Colocación de un sello de autenticación para los medios de comunicación

• Vinculación de una firma digital para el archivo electrónico o un documento

Los registros electrónicos como pruebaComo se mencionó en el capítulo 2, los registros electrónicos podrán ser admitidos como evidencia para su uso en los tribunales procedi-miento sólo cuando una estricta cadena de custodia se siguieron. Las organizaciones deberían implementar los siguientes procedimientos para mejorar la admisibilidad jurídica de los documentos electrónicos:

• Documento que el mismo género de los registros generados y almacenados electrónicamente se creanpor el mismo proceso cada vez y tener un enfoque de recuperación estándar.

Fundamentar que los procedimientos de seguridad impiden que además no autorizado, MODIFICACIón, o la eliminación de un registro y garantizar la protección del sistema frente a problemas tales como la energía interrupciones.

• Identificar los medios de comunicación electrónicos en los que los registros se almacenan a lo largo de su ciclo de vida, y soy eláximum tiempo que los registros restantes en cada tipo de almacenamiento de mémediano.

• CoordíNate todo lo anterior con la adecuada séINOR personal de administración y legales un abogado.

Seguridad de los registrosAquellos que crécomió código malicioso están encontrando maneras más eficaces para eludir las medidas de seguridad como programas antivirus, intrusión los sistemas de detección y firewalls. Para empeorar las cosas, las nuevas formas de códigos maliciosos están comenzando a parecer que garantizar que los archivos adjuntos no tiene que ser abierto con el fin de infectar un ordenador. Además, los virus, gusanos y caballos de Troya pueden buscar la información más dañino (por ejemplo, los archivos que contienen palabras como "confidencial", "príVate "," privilegiada "," clínica "o" password ") para enviar a seleccionar direcciones de correo electrónico se

encuentra en la memoria de la computadora infectada o predeterminados direcciones de correo electrónico.

Cuando se trata de seguridad de la información, más niveleseis de la protección de su organización utiliza, más difícil es para un hacker, cracker, o agente maliciosas para comprometer el sistema o robar datos críticos. Por ejemplo, puede que le resulte beneficioso para mantener los datos críticos o sensibles en forma cifrada en un m extraíbleémediano (por ejemplo, disquete, Zip, o un disco CD-RW), en lugar de en el disco duro del sistema. Esto le permite mantener a los medios almacenados con seguridad en un lugar seguro área. La utilización de programas antivirus con las definiciones de virus se actualicen con frecuencia, la instalación de un firewall adecuado, mantener los datos sensibles en disquetes, desconectar el equipo cuando no esté en uso, con sofisti-domesticadas sistemas de contraseñas y cifrado, y la aplicación de otros enfoques, de manera similar, todo ello contribuye a la


la prevención de los datos sensibles no se vean comprometidas. Además, la organización debe implementar y mantener un programa eficaz de los registros de seguridad que incorpora el siguiente:

• Asegúrese de que sólo el personal autorizado tiene acceso a los registros electrónicos.

• Minimizar el riesgo de la modificación o supresión no autorizada de los documentos electrónicos por almacenar datos confidenciales en medios extraíbles.

• Asegúrese de que el personal correspondiente esté capacitado para proteger la electrónica sensible o clasificada registros.

• Proveer para backup y recuperación de registros para proteger contra la pérdida de información.

• Asegúrese de que la seguridad de registros electrónicos se incluye en información general de su organizaciónmación planes de seguridad.

El sistema de alimentación ininterrumpidaEs un hecho de la vida: los dispositivos electrónicos (incluidos los sistemas informáticos) son sometidos a veces a trastornos de alimentación eléc-Cal. El hardware puede ser sometido a los daños de una subida de tensión o pico de tensión se produce en su fuente externa de alimentación de corriente alterna (AC). Además de daños en el hardware, la pérdida de datos también puede ocurrir cuando hay una caída repentina de la tensión (el hundimiento de energía), o cuando se produce un apagón total. Estas interrupciones del suministro eléctrico también puede causar la CPU y los periféricos para hacer frente a problemas intermitentes, tales como bloqueos de teclado, la degradación del rendimiento del hardware, o la pérdida total de datos.

Una fuente de alimentación ininterrumpida (SAI) es una parte importante de un plan de respuesta a incidentes, ya que actúa como un sistema de suministro de energía global. En el caso de un apagón, un ge-ator no puede suministrar la energía necesaria para mantener ininterrumpida su sistema informático operación. Un UPS es esencialmente una batería que se encuentra entre una computadora y el poder de corriente alterna, el aire acondicionado lo mantiene cargado y funcionando, y el SAI suministra, incluso, de energía estable a su equipo cuando la alimentación de CA externa falla.

¿Cómo funciona UPSHay dos tipos diferentes de sistemas en uso hoy en día: a continuas subidas y un SAI de reserva. El UPS de reserva está diseñado de manera que la fuente de alimentación utiliza normalmente es la fuente de energía primaria o (CA) de alimentación de salida. La fuente secundaria de energía eléctrica, la batería del SAI, sólo se activa si la fuente primaria de energía se interrumpe. En otras palabras, la potencia de CA de la pared es siempre una de estas fuentes, y la batería contenida dentro de la UPS es la otra. Un interruptor se emplea para controlar cuál de estas fuentes acciona el equipo en un momento dado. El interruptor del PRImary de origen a la secundaria sólo cuando se

detecta que la energía primaria se ha ido fuera. Se cambia de nuevo de la fuente de energía secundaria a la primaria cuando detecta que el principal fuente de alimentación ha vuelto.

En un UPS continuo, el equipo siempre se está ejecutando el suministro de energía de la batería, con la batería de con-continuamente se recarga con una fuente de alimentación de CA externa. La ventaja de este tipo de UPS es que no hay conversión necesaria. Esta configuración proporciona un suministro estable y constante de energía.


187

Los sistemas UPS Standby se encuentran comúnmente en el small-office/home-office (SOHO), medio ambiente, ya que cuestan mucho menos que el tipo continuo de UPS. Si bien es más costoso que el tipo de espera, las continuas subidas prevé extremadamente limpio y estable de energía y como tal es más susceptibles de ser utilizados con aplicaciones críticas.

Beneficios de UPSIndependientemente de qué tipo de UPS se emplea, cuando una repentina pérdida de alimentación de CA se produce, la batería en el SAI suministrará energía el tiempo suficiente para su personal para ahorrar y ciósE archivos y desconectar adecuadamente a sus equipos. UPS de protección garantiza que los equipos no se dañen y que los datos valiosos y los ajustes personalizados se conservarán. Sistema de UPS Muchos tienen alarmas sonoras que alertan a los usuarios los cambios en el entorno operativo y condiciones de la batería. Además, algunos sistemas UPS ofrecen apagado automático seguro de muchos sistemas operativos en el caso de un poder a prueba de Ure se produce mientras el ordenador o el servidor está sin vigilancia, por ejemplo en la noche o los fines de semana.

Compra de un UPSAntes de comprar un SAI, primero debe decidir sobre el nivel de protección requerido para satisfacer las necesidades específicas de su organización. Una UPS debe ser capaz de suministrar energía a la computadora el tiempo suficiente para faciíTate un cierre suave y ordenada, evitando así la corrupción de archivos normal y otros problemas asociados con una súbita interrupción en el servicio. En general, un UPS proveerá de energía durante al menos 10 a 20 minutos para permitir a los usuarios el tiempo suficiente para salvar a su trabajo y el plazoíNate programas en ejecución. Dado que la mayoría de los problemas de alimentación en último lugar sólo por un tiempo, la protección de UPSción debe eliminar las fuentesíNate pérdida del servicio para la mayoría de los problemas eléctricos se encuentran en la mayoría de los entornos de oficina. El tamaño de las UPS que usted necesita depende de la cantidad de energía que consume el equipo. Si usted tiene una computadora de escritorio estándar con sólo uno de cadaFunidad de disco duro ernal, una pequeña UPS (como el APC Back-UPS populares 300) debería ser suficiente. Para que un ordenador o un servidor con varios discos duros o periféricos numerosos, un SAI más grandes se requiere. Para obtener más información sobre el rendimiento y tamaño de UPS, visite la American Power Conversión Corporación UPS Selector de sitio Web en www.apee.com / modelo / tamaño / apc para más detalles.

Comprensión de los datos de copia de seguridad Procedimientos

http://www.apee.com/template/size/apc

Copia de seguridad de datos es algo que todo el mundo tiene que hacer, pero muchos de nosotros nos olvidéis de hacer con regularidad. Cuando deshuelgas aster, una copia de seguridad puede ser la única esperanza de recuperar algunos datos originales. Varios antivirus y de seguridad de Internet la producciónís de forma automática una copia de seguridad de datos críticos, e incluso el lugar que los datos sobre protección áreas de disco duro del usuario. Sin embargo, algunos hackers son tan sofisticados que incluso los mejores medidas de seguridad puede no ser suficiente para frustrar un ataque. Cuando un hacker experto tiene éxito en destruir los datos, bien planificadas regularmente copias de seguridad puede ahorrar una gran cantidad de tiempo, dinero y molestias. Los datos críticos debe estar respaldada con más frecuencia, tal vez al día o incluso más a menudo para los datos de vital importancia. Datos que no se pueden respaldar con menos frecuencia, una copia de seguridad semanal o mensual sería suficiente si la mayor parte de los datos no cambian con frecuencia.


Los tres tipos de respaldos comúnmente utilizados son los siguientes:

• Normal: Copias de seguridad normales copiar todos los archivos seleccionados y, a continuación marcar todos los archivos como una copia de seguridad. La ventaja de este tipo de copia de seguridad es que le permite recuperar rápidamente los archivos con una cantidad mínima de pérdida de datos porque todos los archivos actuales se encuentran en la copia de seguridad. El inconveniente a este tipo de copia de seguridad es que es muy lento.

• Diferencial: Copias de seguridad diferenciales copiar sólo los archivos que han sido añadidos o modificados desde la última copia de seguridad diferencial se llevó a cabo pero no marcar los archivos como una copia de seguridad. Restauración de archivos sólo se requiere que se comience con la última copia de seguridad completa, a continuación, pasar directamente a la copia de seguridad diferencial. La ventaja de este tipo de copia de seguridad es que es más rápido, mientras que la desventaja es que requiere más tiempo restauración archivo porque los archivos no están en una pieza continua.

• Incremental: Muy similar a las copias de seguridad diferenciales, copias de seguridad incrementales copiar sólo los archivos que se han agregado o cambiado desde la última copia de seguridad completa o incremental. A la inversa, a diferencia de los respaldos diferenciales, que hacer marcar los archivos como una copia de seguridad. Para restaurar los archivos sólo se necesita para comenzar con la última copia de seguridad completa, a continuación, realizar los incrementos en su orden respectivo. La ventaja de este tipo de copia de seguridad es que consume la menor cantidad de tiempo y espacio.

Crear un plan de copia de seguridadEs importante que su organización des-ígnate una persona como coordinador y encargado del registro de todas las copias de seguridad. Un plan de copia de seguridad se debe crear, poner por escrito, y se mantiene con las políticas de seguridad de la organización y la documentación de los procedimientos. Los siguientes artículos deben ser incluidos en el plan de copia de seguridad:

• La ñAME de la copia de seguridad de coordinador y / o encargado del registro

• El tipo de copia de seguridad de los datos que requiere

• La frecuencia de las copias de seguridad de datos

• La ubicación de almacenamiento de datos en el sitio

• La ubicación de almacenamiento de datos externo

• El método utilizado para realizar copias de seguridad de datos, junto con una lista de

verificación de los procedimientos

Datos Herramientas de copia de seguridadNumerosas herramientas están disponibles para individuosais y organizaciones para que el proceso de copia de seguridad de datos fácil y sin dolor. Casi todos los programas de software de

copia de seguridad proporcionan para que este proceso se lleva a cabo automáticamente. El uso de la automatización asegura que la realización de copias de seguridad regulares no se desanime o se olvidan. Para los usuarios de Unix o Linux, muchos programas gratuitos con esta función automática están disponibles en www.storagemountain.com.Para usuarios de Macintosh, el software de copia de seguridad de software gratuito se puede encontrar en www.versiontracker.com.Los usuarios de Windows, en su mayor parte, tienen que buscar más ya que el software de copia de seguridad se suministra con el sistema operativo Windows. Mientras que la incorporada en el programa de copia de seguridad de Windows puede carecer de algunas de las características avanzadas de producción más sofisticados de terceros copia de seguridadís, su funcionalidad es suficiente para que sea muy útil para individuosais de las organizaciones.

http://www.versiontracker.com/

http://at/

http://www.storagemountain.com/


189

Los programas de copia de seguridad proporcionados por versiones posteriores de Windows-como el 2000 y XP - que dramáticamente mejorado en versiones anteriores. En Windows XP, por ejemplo, la copia de seguridad integrada en suavesoftware se encuentra en la carpeta Herramientas del sistema en Accesorios, en los hombres comienzan aú. Para otras versiones de Windows, los usuarios deben revisar sus manuales para la ubicación exacta de la copia de seguridad programa. Una vez activado, el Backup and Restore Wizard consultas del usuario en cuanto a si una copia de seguridad o restauración de los datos que se desea (ver Figura 9-1). La siguiente pantalla le pide a los usuarios seleccionar qué archivos en su ordenador que desea hacer copia de seguridad (vea la Figura 9-2). Hay varias opciones aquí. Sin embargo, si los usuarios seleccionar la última opción, "Elegir lo que deseo hacer copia de seguridad", que luego se cuenta con una pantalla que les obliga a seleccionar los archivos que desea respaldar (ver Figura 9-3). Después de seleccionar-ción de los archivos correspondientes, los usuarios se le solicitará que elija un destino para sus datos de copia de seguridad (vea la Figura 9-4).

En esta ilustración, el destinatario de los datos de copia de seguridad es una unidad Iomega Figura 9-1: El asistente de copia de seguridad o restauración en Windows XP Pro

Figura 9-2: Especificación de lo que usted desea una

copia de seguridad utilizando el Asistente para copia de

Zip. Las copias de seguridad se puede escribir en otros tipos de medios, así, como una unidad de cinta o un disco de CD-I.

Figura 9-4: Elegir el destino para guardar la copia de seguridad

en la copia de seguridad y restauración de Asistente para

Windows XP Pro

Post-lMonitoreo y Análisis de ncidentLeamING de errores es un componente esencial de la respuesta a incidentes. No espere hasta el próximo ataque se produce a Icama partir de un ataque anterior. Es importante tomarse el tiempo después de cada incidente para ver si todos los procedimientos, procesos, herramientas, técnicas y configuraciones deben ser modificados o mejorado.

A raíz de un incidente de seguridad informática, varias acciones deben llevarse a cabo. Estas acciones se pueden resumir como sigue:

• Valíla fecha, el ataque se ha desplomado

Examine los archivos y registros para obtener detalles sobre el ataque


Figura 9-3: Copia de seguridad de las combinaciones

en la copia de seguridad y el Asistente de restauración


• Determinar si la acción legal se justifica o posible

• Vuelva a evaluar o modificar la seguridad global de la red informática

Después de un incidente ha sido resuelto, un autopsia debe llevarse a cabo de manera que la organiza-ción puede aprender de la experiencia y, si es necesario, actualizar sus procedimientos. Los siguientes tipos de Información sobre el incidente deben ser examinados:

• ¿Cómo comenzó el incidente

• ¿Qué vulnerabilidades o fallas fueron explotados

• ¿Cómo se accedía

• ¿Cómo la organización se dio cuenta del incidente

• ¿Cómo el incidente se resolvió finalmente

• Ya sea que los actuales procedimientos de respuesta a incidentes eran adecuados o

exigen la actualización

Como resultado de un análisis post-incidente, el personal de seguridad informática puede ser necesario para emitir alertas o avisos a todos los empleados de la organización acerca de las acciones a tomar para reducir las vulnerabilidades que fueron explotadas durante el incidente. La organización también puede ser necesario actualizar los manuales de operaciones de la computadora para reflejar los nuevos procedimientos. Además, el personal de seguridad informática debe utilizar un análisis post-incidente para determinar su impacto en la organización en el manejo y la resolución del incidente.

Anticipándose a futuros ataquesCada día las organizaciones de todo el mundo enfrentan el enorme desafío de proteger la integridad, confidencialidad y disponibilidad de sus activos digitales. La vulnerabilidad de los activos digitales de una corporación sigue siendo una preocupación cada vez mayor. Correctamente la previsión y la planificación de las interrupciones imprevistas de las operaciones comerciales es cada vez más importante en mantener la competitividad en el entorno empresarial de hoy. De los hackers romper y sabotear los sistemas de código malicioso destrucción y eliminación de los datos críticos, las interrupciones pueden costar a las compañías millones de dólares en pérdidas. Ser consciente de los diferentes métodos utilizados por los hackers que tratan de infíltrado red de una organización permitirá a los responsables de la seguridad de la información a una mejor anticípaté y defenderse contra estos ataques.

Es un hecho desafortunado que durante años los hackers han estado explotando las debilidades de seguridad de computadoras conectadas a Internet. El Internet es una red pública y el número de usuarios en todo el mundo con acceso a Internet es asombroso. Las estimaciones actuales cifran la

Internet global pobla-ción en más de 500 millones de dólares. Ya que cualquiera con una conexión a Internet tiene el potencial para ser un hacker o cracker, el ciberespacio puede ser un lugar peligroso. Los hackers tienen ahora más herramientas disponibles que nunca antes. Con el número de denuncias de ataques aumenta día a día, la necesidad de Anticílos ataques de paté de futuros nunca ha sido más crítico.

Afortunadamente, no todos los ataques informáticos tienen éxito. De hecho, muchos intentos de hacking son por formado simplemente para "adquirir" información acerca de un sistema informático - que seuna de las debilidades o vulnerabilidades o en preparación para un ataque futuro. El empleo de las herramientas del oficio o mediante el uso


la ingeniería social, los hackers pueden instalar puertas traseras o adivinar contraseñas para obtener subrepticiamente ¡Yolegal entrada en un sistema conectado a Internet. En casos extremos, los ataques han causado los sistemas y redes de todo a la caída, negó de servicios informáticos de fiarílos usuarios de pareja, o como resultado del robo de grandes sumas de dinero. La prensa lo siguiente reléasa del Departamento de Justicia de EE.UU. muestra lo fácil que es para los piratas informáticos ubicados al otro lado del mundo para acceder y defraudar, en este caso, en línea los sistemas de intercambio monetario.

04 de octubre 2002 EE.UU. Departamento de Justicia El Fiscal Federal del Distrito Oeste de Washington

Hacker RUSO SENTENCIADO A TRES AÑOS DE PRISIÓNJohn McKay, fiscal federal para el Distrito Oeste de Washington, y Charles E. Mandigo, Agente

Especial a Cargo, Seattle División, la Oficina Federal de Investigación, ha anunciado hoy que el jefe Juez Federal de Distrito John C. Coughenour ha condenado Vasiliy Gorshkov, de 27 años, de Chelyabinsk, Rusia, para servir a 36 meses de prisión por sus convicciones en el juicio el año pasado en 20 cargos de conspiración, diversos delitos informáticos y fraudes cometidos contra la red de Speakeasy de Seattle, Washington; Nara Bank de Los Angeles, California; central del Banco Nacional de Waco, Texas, y la línea de crédito de tarjetas de pago PayPal, la empresa de Palo Alto, California. Gorshkov También se le ordenó pagar una indemnización de casi 700.000 dólares por las pérdidas que causó en Speakeasy y PayPal.

Según las pruebas presentadas en el juicio y otros registros de la corte:Gorshkov fue uno de los dos hombres de Chelyabinsk, Rusia, que se convenció de viajar a la De los

Estados Unidos como parte de una operación encubierta del FBI. La operación arósí de una investigación del FBI en todo el país intrusiones en computadoras rusas que fueron dirigidas a los proveedores de servicios de Internet, sitios de comercio electrónico, y los bancos en línea en los Estados Unidos. Los piratas informáticos utilizan el acceso no autorizado a los ordenadores de las víctimas para robar información de tarjetas de crédito y otra información financiera personal, y luego, a menudo tratado de extorsionar a las víctimas con la amenaza de exponer los datos sensibles a los públicos-pub o daño de las víctimas computadoras . Los hackers también defraudó a PayPal a través de un esquema en el que tarjetas de crédito robadas fueron utilizados para generaciónétasa de efectivo y el pago de partes computacionales adquiridos a los proveedores en los Estados Unidos. El FBFoperación encubierta s se estableció para atraer a las personas responsables de estos crímenes para llegar a territorio de los EE.UU..

Como parte de la operación, el FBI creó una empresa de informática puesta en marcha de seguridad llamado "Invita" en Seattle, Washington. Haciéndose pasar por personal de Invita, el FBI se comunicó con Gorshkov y el otro hombre, Alexey Ivanov, por e-mail y teléfono durante el verano y el otoño de 2000. Los hombres estuvieron de acuerdo en una reunión cara a cara, en Seattle. Como paso previo a su viaje a los Estados Unidos, el FBI organizó una red de ordenadores para los dos hombres para introducirse en y demónstrate sus habilidades de hacker. Los hombres irrumpieron en el éxito de la red de prueba.

Gorshkov e Ivanov llegó a Seattle, Washington, el 10 de noviembre de 2000, y fue una reunión a cabo en la oficina de invitación. Sin saberlo, los hombres rusos, los participantes en la reunión fueron los agentes encubiertos del FBI y de la reunión fue grabada en audio y video. Durante la reunión, Gorshkov discute su destreza en la piratería y asumió la responsabilidad de varios incidentes de

piratería y actividades. Gorshkov restó importancia a cualquier preocupación por el FBI, explicando que el FBI no podía conseguir en Rusia. Cuando se le preguntó acerca de su acceso a las tarjetas de crédito, Gorshkov se negó a hablar de ello mientras se encontraban en los Estados Unidos y agregó que "este tipo de preguntas es más discutido en Rusia".

En la conclusión de la reunión Invita secreto, los dos hombres fueron arrestados. Ivanov fue transportado al Distrito de Connecticut para enfrentar cargos por un equipo intrusión en la línea


193

Oficina de Información de Vernon, Connecticut. Gorshkov e Ivanov fueron acusados en el Distrito Oeste de Washington de conspiración y otros delitos que involucran 19 Speakeasy, el Banco de Nara, Centro Nacional de Banco de Waco, y PayPal.

Pocos días después de que los dos hombres fueron arrestados, el FBI tuvo acceso a través de Internet a dos de los equipos de los hombres en Rusia. El FBI copiar grandes volúmenes de datos de las cuentas de Gorshkov e Ivanov y se examinaron los datos de conformidad con una orden de registro emitida por un Juez Magistrado de los Estados Unidos. Desafío preventiva Gorshkov a la copia del FBI y la búsqueda de los datos rusos fue negado por Coughenour Juez Presidente en una orden por escrito de 23 de mayo de 2001.

Los datos copiados de las computadoras rusas proporcionan una gran cantidad de evidencia de la piratería informática de los hombres y el fraude. Tenían grandes bases de datos de información de tarjetas de crédito que fue robado de los proveedores de servicios de Internet como Lightrealm de Kirkland, Washington. Más de 50.000 tarjetas de crédito se encuentra en los dos equipos rusos. Los equipos rusos que también figuran robo de cuenta bancaria y otra información financiera personal de los clientes de la banca en línea en Nara Banco Central y el Banco Nacional-Waco.

Los datos de las computadoras rusas revelaron que los conspiradores habían obtenido el control no autorizado sobre numerosos equipos - incluyendo los ordenadores de un distrito escolar en el condado de St. Clair, Michigan - y luego utiliza los ordenadores comprometidos para cometer un fraude masivo que involucra PayPal y la compañía de subastas en línea e-Bay. El fraude consistía en el uso de programas informáticos para establecer miles de anónimos cuentas de correo electrónico en los sitios web de correo electrónico como Hotmail, Yahoo! y MyOwnEmail. Programas Gorshkov luego creó las cuentas asociadas en PayPal al azar con iden-dades y las tarjetas de crédito robadas. Otros programas informáticos permiten a los conspiradores para el control y maniúa finales de la Bahía de e-subastas para que pudieran actuar como vendedor y el postor ganador en la misma subasta y luego efectivamente se pagan con tarjetas de crédito robadas.

El caso fue investigado por agentes del FBI Especial Marty Prewett y Schuler Michael, que se otorgaron el Premio Anual del Director de Investigación Penal excepcional por el Director del FBI por su trabajo sobre el caso.

Cualquier número de defectos o debilidades de los sistemas informáticos pueden dejar vulnerables a los ataques. Recuerde, ellos son los más vulnerables en las siguientes situaciones:

• Los usuarios sin experiencia o sin entrenamiento vi por accidenteófinales de buenas prácticas de seguridad de involun-tently a conocer sus contraseñas.

• Las contraseñas débiles son elegidos que pueden ser fácil de adivinar.

Una debilidad identificada sistema o red de seguridad va sin corregir.

Intencionalmente diseñados amenazas maliciosas instalar programas de software que ponen en peligro o sistemas de información y daños.

Los atacantes utilizan una variedad de diferentes métodos para explotar esta vulnerabilidad de computadoras. Aquí son algunos ejemplos:

• Craqueo de contraseñas. Una técnica en la que los atacantes tratan de adivinar o robar contraseñasobtener acceso a los sistemas informáticos


• Sendmail. Un tipo común de ataque en el que el atacante instala código malicioso en un mensaje de correo electrónico que agrega una contraseña en el archivo de contraseñas del sistema, con lo que dando a los privilegios atacante totales del sistema

• La detección de paquetes. Una técnica en la que los atacantes insertar subrepticiamente un programa de software que captura contraseñas e identificaciones de usuario

Una vez que el acceso se ha ganado, los hackers utilizan el sistema informático como si fuesen de fiarísu compañero, los usuarios autorizados. El empleo de una variedad de técnicas, los hackers a menudo intentan cubrir sus huellas para evitar la detección y robar información, tanto de los sistemas comprometidos, así como la sistemas conectados a ellos.

Resumen del capítuloNo hay un plan de recuperación de desastres que aplique a las necesidades de cada organización. Planes de recuperación de desastres debe ser adaptado a los requisitos de seguridad de su organización y la exposición al riesgo. Dado que los planes de recuperación de desastres proporciona información detallada y procedimientos bien definidos, que actúan como modelos para orientar las decisiones críticas y las operaciones en situaciones de emergencia. Procedimientos de recuperación de desastres puede incluir cualquier número de eventos que incluyen la restauración posterior a la transacción, la validación y el seguimiento de los sistemas informáticos de la red. Saber cómo reaccionar adecuadamente en una emergencia es fundamental para MAK-Ing decisiones rápidas que el MITípuerta de los daños y restaurar rápidamente las operaciones. Puntos principales tratados en este capítulo se incluyen

• Los beneficios de la planificación avanzada de la hora de preparar un plan de recuperación de desastres

• La importancia de los registros de incidentes y de su papel general en una organización empre-dad planificación de la continuidad

¿Por qué la fuente de alimentación ininterrumpible (UPS) y los procedimientos de copia de seguridad son indispensables para una los desastres de la organización y el plan de continuidad del negocio

• Cómo examinar los ataques anteriores pueden ayudar a la respuesta de incidentes forma de futuro y negocio la continuidad de la planificación

• ¿Por qué la anticipación y la planificación de las interrupciones imprevistas de las operaciones de negocios ayuda a las organizaciones mantenerse competitivos en el actual clima empresarial

Capítulo 10

En respuesta a distintos tipos de incidentesln este capítulo

En respuesta a los ataques de hackers o una galleta

• Respondiendo a los ataques de códigos maliciosos

• Manejo de uso inadecuado

• El reconocimiento y la gestión de incidentes relacionados con el acoso sexual

• Entender el espionaje industrial

• La defensa contra los ataques internos

PREPARACIÓN PARA MANEJAR UN INCIDENTE DE SEGURIDAD INFORMÁTICA SE HA CONVERTIDO EN UNA PRIORIDAD paramuchos administradores de sistemas informáticos. Con los ataques de virus y las historias de piratas que abundan, organiza-ciones son cada vez más diligente en la protección de sus activos de información que nunca antes. Como las organizaciones a aumentar su presencia en Internet y la dependencia de los activos de tecnología de la información, el número de incidentes informáticos se elevará. Después de un incidente que ocurre es, por supuesto, demasiado tarde para comenzar a planear la forma de abordar la situación. Un incidente de seguridad informática puede ocurrir a cualquier hora del día o de noche, aunque la mayoría de los hackers / cracker se produzcan incidentes durante horas libres, cuando los piratas informáticos no esperan que los administradores del sistema a cuidar su rebaño. En contraste, los incidentes de gusano y virus puede ocurrir en cualquier momento del día. Por lo tanto, las consideraciones de tiempo y distancia en respuesta a los incidentes son muy importantes. Este capítulo se centra en varios tipos de equipo común de seguincidentes Pública y de los procedimientos básicos para contener y MITípuerta de su daño.

En respuesta a incidentes de hackersHacker incidentes requieren una respuesta un tanto diferente al de los incidentes de virus. Algunos hackers son altamente calificados, el empleo de técnicas sofisticadas, y hacen todo lo posible para evitar ser detectados. Para complíCate aún más las cosas, un hacker puede ser también alguien que trabaja para una orga-nización (un empleado) la participación en after-hours

¡Yoactividad legal, como el acceso no autorizado a información sensible o tal vez descifrado de contraseñas. Ya sea que se origíNate desde el interior o exterior, todos los incidentes de hackers necesitan ser tratados como verdaderas amenazas a los sistemas informáticos de la organización.

195


Incidentes de piratería se puede dividir en tres categorías generales:

• Esos intentos que implican para acceder a un sistema de

• Las sesiones activas, o en vivo, en un sistema

• Eventos descubierto después de que el hecho de

De los tres, una sesión de hackers activo es la más grave y deben ser tratados tan pronto como sea posible. Hay dos métodos básicos para el manejo de un incidente de hacking activo. El primer método consiste en bloquear rápidamente el pirata fuera del sistema. Para ello, primero debe identificar el punto del hacker de la entrada en el sistema. Estos son algunos puntos de entrada comunes que los hackers buscan cuando se trata de obtener una forma en:

• De acceso al puerto. Es común que las aplicaciones de Internet que se configura para escuchar en un puerto predecesor y una multa para las conexiones entrantes. Los piratas informáticos utilizan habitualmente analizadores de puertos abiertos en busca de puertos TCP / IP como un posible medio para poder entrar. Ellos pueden usar estos puertos abiertos para conectarse a su sistema y acceder a sus datos. Los puertos más que están abiertas en un sistema, mayor será la probabilidad de intrusión.

• Acceso a Internet. Los piratas informáticos suelen escribir scripts simples que al azar generaciónéde velocidad y mesa de ping grandes grupos de direcciones IP, en busca de ordenadores o servidores que responden. La respuesta se llama un reconocimiento de ping y es una característica estándar de la utilidad ping popular. Una vez que una dirección IP responde, el atacante tratará de obtener acceso al servidor a través de un protocolo común que se llama Telnet Telnet es el principal protocolo de Internet para crear una conexión con una máquina remota. Le da al usuario la oportunidad de estar en un sistema informático y hacer un trabajo en otro, que puede ser a través de la calle o miles de kilómetros de distancia. Cuando los usuarios iniciar sesión en un servidor Telnet, por lo general, escriba una cuenta ñombre y contraseña. Los piratas informáticos pueden acceder sesiones TELNET y posiblemente configurar el programa TELNET para grabar nombre de usuario y combinaciones de contraseñas.

Caballo de Troya. Los troyanos son un poco diferente de virunses. Están transmite de la misma manera como los virus, pero no REPLíCate ño ellos se hacen evidentes. En su lugar, se sientan en silencio en su sistema informático conectado a Internet y la generación deétasas de los puertos abiertos. Los hackers de arrastre para los equipos que han sido infectados por troyanos y luego usarlos para acceder a esos sistemas. BackOrifice y NetBus son ejemplos de bienconoce los caballos de Troya.

El segundo método consiste en permitir al hacker continuaésu ataque, mientras que se intenta recoger la información potencial que podría conducir a la identificación y la posible condena penal de los piratas cibernéticos. Un método para identificar la fuente de un ataque (s) está examinando cuidadosamente los archivos de registro del sistema y las conexiones de red activas.

Asegúrese de hacer copias de toda la información de auditoría. Captura de proceso del sistema y la información de estado en septiembre unáarchivo índice, y luego guardar ese archivo en un lugar seguro. Programas como Process Explorer, por Mark Russinovich (www.sysinternals.com), son exce-prestado para esta tarea.


Capítulo 10: En respuesta a distintos tipos de incidentes

197

Identificar el HackerUna vez que la fuente de los ataques ha sido identificado, el siguiente paso es tratar de obtener la iden-tidad del hacker o cracker. En su boletín de mayo 2001 "Seguimiento de un hacker" Daniel A. Morris, Asistente Fiscal de los Estados Unidos Informática y Coordinador de Telecomunicaciones para la Distrito de Nebraska declara lo siguiente:

Pistas sobre la identidad de un hacker a menudo existen en el ciberespacio y en el mundo real si el investigador sabe dónde buscar. Los sistemas informáticos de interés para los hackers suelen realizar un seguimiento de todos los intentos de acceso autorizados y no autorizados. Records, llamado registros informáticos, proporcionar pistas útiles y crítica a menudo que un agente entrenado o un especialista en informática puede utilizar como punto de partida para trazar la ruta seguida de un ordenador a través de la web en todo el mundo, para descubrir el ordenador uno de los millones en el mundo del que uno intrusión se llevó a cabo.

Todos los ordenadores a través de Internet se les asigna una diferente numérica Protocolo de Internet (IP) mientras que las direcciones en línea, similar a país, ciudad, calle y número de viviendas. A menos que el hacker cambia los registros de la víctima una vez que él o ella gana el acceso no autorizado, los registros de la víctima debe hacer una lista precisa la dirección del equipo desde el que se tuvo acceso no autorizado. Esa dirección puede no ser propio ordenador del hacker, sino que otro equipo que el hacker ha secuestrado o una cuenta que posee en el ordenador de un tercero, como se explica en más detalle a continuación.

Herramientas de búsqueda están disponibles en línea para identificar al propietario de la red a través del cual se puso en marcha un ataque. Para ver cómo funciona esto, consulte www.arin.net ,operado por el Registro Americano de Internet Números.

Obstáculos para la identificación del HackerDebido a la composición de la Internet, a veces es difícil para la policía para descubrir la identidad

de un hacker.1. Un hacker podría ocultar o "parodia de su Protocolo de Internet (IP), o de forma intencionada

podría subir sus comunicaciones a través de muchos Intermedícomió ordenadores dispersos por todo el mundo antes de llegar a un equipo de destino. Entonces, el investigador debe identificar todos los puntos intermedios para encontrar la ubicación de los hackers, pero por lo general sólo se puede trazar el hacker de nuevo un punto de rebote a la vez. Citaciones y órdenes judiciales a cada punto de rebote puede ser nece-sario para identificar al hacker.

2. Algunas de las víctimas no mantiene los logs o no descubrir las actividades de un hacker hasta que es demasiado tarde para obtener los registros de proveedores del hacker de servicios de Internet (ISP). Una víctima que no tiene constancia de la dirección IP del ordenador desde el que se obtuvo acceso no autorizado, los límites de los agentes del orden a las técnicas tradicionales de investigación, que por sí solo puede ser inadecuada para identificar al hacker.

3. Algunos ISP no llevan registros o no mantenerlos el tiempo suficiente para ser de ayuda para los agentes del orden. Cuando el investigador determina la identidad de un ISP de los registros que serán necesarios, el fiscal debe enviar una carta de retención en virtud de 18 USC § 2703 (f) que requiere el ISP para preservar los registros, mientras que una orden judicial u otro proceso se está obteniendo.

http://www.arin.net/

4. Algunos piratas informáticos alterar los registros al obtener acceso no autorizado, el cual oculta la evidencia de sus crímenes.


5. Algunos lleva ir a través de países extranjeros, no todos los que consideran un delito la piratería.Tratados, convenios y acuerdos están en su lugar con algunos países, y hay"24/7" contactos en decenas de países alrededor del mundo que pueden ser contactados para obtener ayuda.Cuando un puntos de ventaja a un país extranjero, el investigador debe ponerse en contacto con un CTC o CCIPS

abogado en www.cybercrime.gov .Algunos de los investigadores la información que necesitan para seguir un hacker podría estar disponible para el público en general en Internet. No hay restricciones especiales para el acceso de un investigador y el uso de la información - de la misma manera que la información disponible en una biblioteca pública puede ser utilizado por los investigadores sin una autorización especial. Motores de búsqueda comunes, tales como www.dogpile.com ,www.lycos.com ,www.excite.com,www.google.com ,o www.netscape.com se puede utilizar para encontrar información sobre un nombre de usuario o nick de la persona o grupo que solicita crédito por un equipo intrusión.

Incidentes activos HackerIncidentes de hackers activos incluyen cualquier actividad de los hackers en vivo o en curso o los comandos iniciados por una persona no autorizada. Ejemplos de actividad pirata activo incluyen los siguientes:

• Activo rlogin (login remoto)

• Sesión TELNET Activa (emulación de terminal)

• Activa sesión de FTP (protocolo de transferencia de archivos de la sesión)

• Intentos exitosos de devolución de llamada

Como se mencionó anteriormente en este capítulo, cuando la actividad de hackers activos se descubre, uno de los dos deci-siones se debe hacer. Su organización puede permitir que la actividad continuaémientras reunir pruebas o cortar el acceso de los hackers lo que efectivamente bloquear el hacker fuera del sistema. Desde que un hacker puede causar una cantidad significativa de daño en un tiempo muy corto, es muy importante que una reacción rápida tomarse la hora de responder a ataques de hackers activos. Si una Decisión se hizo para eliminar que el pirata informático del sistema, los siguientes pasos se deben tomar:

• Bloquee el hacker. Mata a todos los procesos activos o de ejecución que el hacker está utilizando y eliminar todos los archivos o programas que él o ella pueden haber dejado en el sistema. Cambiar pasar de las palabras en las cuentas de acceso por el hacker / cracker y asegúrese de mantener un registro de todas las medidas adoptadas.

• Restaurar el sistema. Restaurar el sistema a un estado normal, y restaurar los archivos de datos o que el hacker / cracker puede haber modificado. Instale los parches o correcciones a la ciósE cualquier vulnerabilidad de seguridad que el hacker / cracker

http://www.netscape.com/

http://www.google.com/

http://www.excite.com/

http://www.lycos.com/

http://www.dogpile.com/


podría haber explotado. Además, instalar los parches para las vulnerabilidades de otros de los que el hacker no se han aprovechado, e informar a las personas apropiadas. Todas las medidas adoptadas para restaurar el sistema a un estado normal debe ser docu-implementadas en el libro de registro de este incidente.

Capítulo 10: En respuesta a distintos tipos de incidentes 199

• Notificar a las autoridades. Una vez que el incidente ha sido contenido y el hacker retirado del sistema, el siguiente paso es ponerse en contacto con las autoridades competentes. Varias agencias (véase el cuadro 10-1) pueden ser llamados una vez que ha ocurrido un incidente y se ha detectado.

• Seguimiento. Después de terminada la investigación, un informe que describe el incidente debe ser escrito y distribuido a todo el personal de respuesta a incidentes y seguridad. Debe incluir todas las acciones que fueron tomadas por la organización en respuesta al incidente.

Tabla 10-1 contra los delitos informáticos Información de Contacto (EE.UU. Departamento de Justicia)

Tipo de delito

Informática intrusión (hacking)

Contraseña tráfico

Derechos de autor (software,

película, y grabación de sonido)

la piratería

El robo de secretos comerciales

Apropiados federales de investigación los organismos de aplicación de la ley

Oficina local del FBI

NIPCPresentación de informes en línea:

www.nipc.gov Tel: 202-323-3205

Teléfono gratuito: 888-585-9078 E-

mail: nipc.watch @ fbi.gov

Servicio Secreto de EE.UU. oficina local de


NIPC

Presentación de informes en línea:

www.nipc.gov Tel: 202-323-3205

Teléfono gratuito: 888-585-9078 E-

mail: nipc.watch @ fbi.gov



Si importados, Servicio de Aduanas de EE.UU.

Oficina local

Teléfono gratuito: 800-232-2538 o 800-BE-ALERT


mailto:[email protected]




Seguido


Tabla 10-1 contra los delitos informáticos Información de Contacto (EE.UU. Departamento de Justicia)

(Continuación)

Tipo de delito

Marcas de la falsificación

La falsificación de moneda

La pornografía infantil o la explotación

ContinuedChild la explotación y los

asuntos de fraude en Internet que

tienen un nexo de correo

Fraude en Internet

Internet acoso amenazas

de Internet con bomba

La trata de artefactos explosivos o

incendiarios o armas de fuego a

través de Internet

Apropiados federales de investigación los organismos de aplicación de la ley


Si importados, Servicio de Aduanas de EE.UU.Oficina local





Si importados, Servicio de Aduanas de EE.UU.

Oficina local


Postal de los EE.UU. Servicio de Inspección de la oficina local de

El Centro de Quejas de Fraude en Internet



Comisión Federal de Comercio

Si el fraude de valores, Securities and Exchange Commission



La oficina local de ATF

Oficina local del

FBI ATF oficina

local

Supervisión de la actividad hackerNo existe un procedimiento único para el control de la actividad de un hacker. Cada incidente debe ser manejado de forma individual. Una vez que la Decisión se ha hecho para dejar de vigilar las actividades de un hacker y en lugar de tener el hacker retirado del sistema (s), el procedimiento mencionadodes decir,res para la eliminación de los hackers deben ser seguidas.


201

Incidentes anterioresDe vez en cuando, hay casos en que se descubra un incidente de seguridad después de los hechos. Cuando esto sucede, no siempre hay una gran cantidad de pruebas disponibles para determinar que se infiltró en el sistema o la forma en que obtuvieron acceso al sistema. Cuando un empleado descubre que alguien cortó con éxito en el sistema informático de la organización, él o ella debe notificar a equipo de respuesta a incidentes personal dentro de un día laborable.

SeguimientoDespués de terminada la investigación, un informe sobre el incidente y las acciones que se tomen deben ser por escrito y distribuido a todo el personal de seguridad informática en su organización.

En respuesta a incidentes de códigos maliciososMientras que el código malicioso se presenta en varias formas diferentes (por ejemplo, Virunses, los gusanos o caballos de Troya), los procedimientos claves para el manejo de ellos son casi los mismos - por ejemplo, sistemasTEM aislamiento y la necesidad de una respuesta rápida. Un virus informático es un pequeño programa escrito para modificar o cambiar la forma en que un equipo funciona. En general, un virus de ordenador debe cumplir dos requisitos:

• Debe ser de aplicación inmediata.

• Se debe auto-replicarse.

Algunos virunsesiones están diseñadas para interrumpir las operaciones normales de ordenador por las aplicaciones de dañar, borrar archivos, o, en casos extremos, formatear el disco duro. Otros están mejor clasificadas como Nui-Sances y no están diseñados para causar ningún daño real y duradera. En lugar de causar daño, vir benignaunSES simplemente REPLíCate sí mismos y darse a conocer mediante la presentación de los usuarios con mensajes de audio, vídeo o texto. Incluso los llamados "virus inofensivos", sin embargo, puede crécomieron los problemas de red de una organización por la memoria de la computadora utilizada por ocupante legítimoílos programas de mate y ralentizando las operaciones del sistema.

Caballos de TroyaMientras que son más sofisticados que un virus informático sencillo, caballos de Troya son programas destructivos que se hacen pasar por aplicaciones inofensivas. A diferencia de los virus, caballos de Troya no se auto-replican, sin embargo, pueden ser igual de sosa cáustica. Uno de los tipos más insidiosos de Troyano es un programa que pretende eliminar de tu ordenador de virus, sino que introduce,virus en su ordenador.

Los gusanos de Internet

Los gusanos informáticos representan una seria amenaza a la Internet, porque son programas auto-replicantes y autosuficiente - a menudo se transmiten a través de mensajes de correo electrónico - que infectan a los sistemas vulnerables, a veces con resultados desastrosos, otras veces con un impacto mínimo. Su carácter automático


los hace poderosos y de rápida propagación, y destructiva. Un gusano es similar a un virus en muchos aspectos, excepto que es un programa autónomo que es capaz de propagarse rápidamente copias funcionales de sí mismo-o sus segmentos, a otros sistemas informáticos a través de redes sin depender de otros programas para organizar su código . VirunSES, por otro lado, necesitan típicamente se adhieren a organizar programas con el fin de propagación.

Aislar el sistema y avisar adecuadaUna vez que un caballo de virus informático, gusano o caballo de Troya que se descubre, el equipo infectado (s) deben estar aislados de los restantes equipos de la red tan pronto como sea posible. Cuando un gusano se sospecha de una Decisión se debe hacer para desconectar de la red LAN a través de Internet. El aislamiento es un método simple para la rápida detención de la propagación oíun gusano. Sistemas de sospechosos de estar infectados no debe ser prisionero de guerra-so de apagado o reiniciado. Esto es debido a que algunos virunses infectar a un sector de arranque del equipo y por lo tanto puede destruir parte o la totalidad de los datos del disco duro si el sistema es reiniciado. Además, el reinicio de un sistema podría destruir la información necesaria o las pruebas. Por último, notificar al personal de respuesta a incidentes tan pronto como cualquier código malicioso es detectado. Si no es posible llegar a ellos, póngase en contacto con cualquier miembro del personal de seguridad.

Contener el virus, gusano o caballo de TroyaTodos los procesos sospechosos ahora debe ser detenido y eliminado del sistema. Haga una copia de seguridad completa del sistema y copia de seguridad de tienda que en un lugar seguro. Las cintas deberán ser cuidadosamente etiquetados para unsus-pecting la gente no va a utilizar en el futuro. Después de eso, eliminar todos los archivos sospechosos de estar infectados o de código malicioso. En el caso de un ataque del gusano, puede ser necesario para mantener el sistema (s) aislado del mundo exterior hasta equipos han sido limpiados para prevenir la propagación adicional.

INOCútarde el SistemaUna vez que el código malicioso se ha contenido, el siguiente paso es utilizar hasta a un software antivirus actualizado para eliminar el resto del código del virus. Además, debe actualizar y parchear los sistemas operativos y aplicaciones contra los ataques más. Antes de la aplicación de las correcciones, puede ser necesario para evaluar el nivel de daño en el sistema. Si el código del virus o un gusano que ha sido rápidamente detenido, entonces la tarea de evaluar el daño no es especialmente difícil. Sin embargo, si el código malicioso fue exitosa y ha causado un daño significativo, entonces puede ser mejor para restaurar el sistema a partir de cintas de copia de seguridad. Una vez que el sistema se pone de nuevo en un modo seguro, entonces todos los parches o correcciones deben ser implementado y probado.

Los sistemas de devolución al funcionamiento normalAntes de traer de vuelta a los sistemas de funcionamiento normal, todos los usuarios deben ser notificados de que los sistemas están regresando a un estado en pleno funcionamiento. Se recomienda que todos los usuarios cambiar sus contraseñas. Antes de restaurar la conectividad a Internet, compruebe que todas las partes afectadas han logrado erra-icated el problema y se inocularon sus sistemas.

Manejo de Uso inapropiadoLa operación ordenada y fluida de la red informática de una organización depende de la conducta apropiada de los usuarios quienes deben adherirse a estrictos reglamentos para el uso de computadoras. En general, esto requiere la utilización eficiente, ética y legal de los recursos de la red. En otras palabras, todos computación

Capítulo 10: En respuesta a distintos tipos de incidentes 203

los recursos deben ser utilizados de una manera ética y responsable. Utilización de los recursos de tecnología de información puede ser categorizada como tolerable aceptable o prohibido:

El uso aceptable de los recursos de tecnología de la información es el uso legal conforme con el aceptables las políticas de organización del uso de computadoras.

• Uso tolerable es el uso legal para otros fines, que no influyen en la organización de política de uso aceptable.

• Prohibida la utilización es ¡Youso legal y cualquier otro uso que no es ni aceptable ño tolerable.

Las siguientes directrices están destinadas a ayudar a las organizaciones a entender y responder a las diversas Leveis del uso de ordenadores inapropiado.

• Molestias. Estos delitos en general, muestran una falta de consideración de otros usuarios de computadoras, pero no pongan en peligro la integridad de la privacidad o la computadora o viófines de cualquier ética principyoES. En otras palabras, el individuo simplemente mostró poco juicio. La organización debe responder mediante la emisión de al usuario una verbal, correo electrónico, o en papel advertencia de que sus acciones no eran aceptables.

• Ética cuestionable. Estos delitos suelen implicar violaciónes donde la ética de las acciones están en cuestión o cuando la integridad de una persona o un ordenador privacidad fue violada. La orgazación podía responder suspendiendo el acceso de cuenta del usuario o la computadora hasta una reunión formal con un miembro del personal de Tecnología de la Información ha sido atendida. Una copia de la política de la organización de acceso a Internet deben ser entregadas al usuario con la espe-específico árazón u ofensa destacó.

• Penal. Esto es cuando un usuario comete un delito que requiere una investigación por la ley local, estatal, o la aplicación de la ley federal. Cualquier usuario de la comisión de un delito debe renunciar a todo derecho a privilegios de las computadoras de la organización. Cualquier y toda información solicitada por leyes locales, estatales, o aplicación de la ley federal debe ser proporcionada. Si el usuario es encontrado culpable del delito (s) objeto de la investigación, su empleo con su organización debe ser terminado.

Tipos de acosoLos tribunales de EE.UU. definen dos categorías de acoso sexual, acoso quid pro quo sexual y el acoso sexual, ambiente hostil. Quid pro quo se produce cuando la víctima sufre consecuencias concretas, físicas o económicas, por ejemplo, un empleado que es despedido, degradado o en su defecto recibir una promoción para rechazar el acoso sexual. El segundo tipo, el acoso sexual, ambiente hostil, se produce cuando se han producido avances no deseados que han sido lo suficientemente "grave o frecuente" con el fin de modificar los términos y condiciones de

empleo, incluso en ausencia de las consecuencias monetarias o económicas.

Los incidentes de acoso sexualCasi todos los conductores el lugar de trabajo hoyíCuál es algún elemento de sus operaciones comerciales a través del uso de las computadoras. Mientras que la ayuda en la eficiencia de los equipos de trabajo, uso de la computadora también da amplia lugar a un nuevo conjunto de preocupaciones de los lugares de trabajo.


El acoso sexual es una atención no deseada de naturaleza sexual por una persona o personas que conocen cada vez más-o debería haber sabido razonablemente que la atención no es bienvenido en el receptor o recip ients. El acoso sexual incluye avances inoportunos, solicitud de favores sexuales, o cualquier otra conducta no deseada de naturaleza sexual (incluidos los que a través del correo electrónico, mensajería instantánea, y así sucesivamente). Estas acciones pueden estar en la forma de:

• Repetidos coqueteos ofensivos sexuales, avances o proposiciones

• Comentarios de naturaleza sexual sobre el cuerpo de un individuo

• Uninvited contacto físico como tocar, abrazar, acariciar o pellizcar

• Sugerente el comportamiento

• Prolongada o mirando mirando de reojo a una persona

• Chistes de contenido sexual delante de la gente que encuentran ofensivos

• Ofensiva de teléfono

calyola ofensiva de

mensajes de correo

electrónico

• Visualización de objetos sexualmente sugestivos o

imágenes Material de lectura ofensiva

La mayoría de la gente piensa que el acoso sexual consiste en las relaciones interpersonales en el lugar de trabajo. Sin embargo, el acoso sexual también abarca los usos de la tecnología electrónica, incluyendo la correspondencia por e-mail. Correo Electrónico uso de contingenciaúes para crecer y expandirse. E-mail de mensajes es particularmente prevalente en el lugar de trabajo, donde la mayoría de los empresarios más importantes tienen sistemas de correo electrónico. Esta persistencia del uso de mensajes de correo electrónico, junto con la percepción de que el correo electrónico es temporal, confi dencial, e informal, los resultados en algunas impactantes y sorprendentes mensajes de correo electrónico que se envía en el lugar de trabajo. Lo mismo es cierto para la mensajería instantánea. La mensajería instantánea es un tipo de comunica-ciones de servicio que permite a un usuario llevar a cabo un príVate chatear con otra persona. Normalmente, el sistema de mensajería instantánea avisa al usuario cada vez que alguien en la lista de contactos del usuario está en línea. Un usuario puede iniciar una sesión de chat con esa persona en particular. Este tipo de comunicación busca constantemente la intranet de Internet o empresa en busca de personas en la lista de contactos. El rápido crecimiento de la mensajería instantánea está provocando un crecimiento igualmente rápido en el riesgo de cualquier tipo de negocio con los empleados que lo utilizan. La mensajería instantánea, o IM, es otra manera para que los empleados se meten en problemas mediante la publicación de mensajes ofensivos o inapropiados o incluso como un medio para acosar sexualmente otro individuo.

En 1998, los EE.UU. Corte Suprema aumentó la responsabilidad de los empleadores frente a los

incidentes involv-ción de acoso sexual. Dos hitos de 1998, las decisiones de la Corte Suprema (que involucra el uso de mensajes de correo electrónico) abordó la cuestión de la responsabilidad del empleador cuando uno o más super-Sors conductoresís de él o ella fuera del alcance de la autoridad de los empleados y crea un ambiente de trabajo sexualmente hostil de otro empleado. En estas dos decisiones, la Corte Suprema clar-cado que "El empleador está sujeto a la responsabilidad civil subsidiaria a un empleado víctima de un ambiente hostil creado accionable por un supervisor inmediato (o sucesivamente alta) la autoridad sobre el empleado. Cuando ninguna acción tangible de empleo que se adopte, un empleador puede plantear la defensa de una defensa afirmativa a responsabilidad civil o daños, salvo prueba por la preponderancia de la


205

pruebas. Sin defensa afirmativa está disponible, sin embargo, cuando el acoso del supervisor culmina en una acción laboral tangible, como la descarga, la degradación, o indeseables reasignación. "

El tribunal también dio a los empleadores un incentivo para aplicar las directrices recién sexuales claros y efectivos de acoso, sosteniendo que "si bien la prueba de que un empleador ha promulgado una política de lucha contra el acoso con el procedimiento de queja no es necesario en todos los casos como una cuestión de derecho, la necesidad de una política declarada de acuerdo a las circunstancias de empleo adecuada, puede dirigirse en cualquier caso, cuando la tramitación del primer elemento de la defensa. Y si bien la prueba de que un empleado no cumplió con la obligación correspondiente de un cuidado razonable para evitar el daño no se limita a mostrar los fallos razonable utilizar cualquier procedimiento de queja previsto por el empleador, una demostración de esa falta normalmente será suficiente para satisfacer la carga del empleador bajo el segundo elemento de la defensa ".

En esencia, la Corte Suprema de Justicia declaró que la empleador es responsable de las acciones del empleado, incluso cuando el empleador no tiene conocimiento de que el empleado no apropiado y / o ¡Yocomportamiento legal. Un empleador no puede alegar que no sabían sobre el acoso sexual porque la víctima no les informó, ño puede que dicen que no tenían conocimiento de la conducta del perpetrador por el. Obviamente, su organización por lo tanto, debe tomar todas las medidas posibles, utilizando los recursos disponibles, hardware, software, personal, y así sucesivamente - para asegurar que los empleados permanecer en el cumplimiento de las políticas de la empresa.

Evitar demandas de acoso sexualHoy en día, en casi todas las profesiones, los hombres y mujeres deben compartir el mismo lugar de entorno. Como resultado, el acoso sexual se ha convertido en un problema de montaje que debe ser abordado seriamente. Con el fin de prevenir posibles problemas de acoso sexual de litigio, organiza-ciones deben desarrollar, de manera prominente publicar en lugares centrales, y fuertemente hacer cumplir las directrices que detalles de lo que se considera un comportamiento laboral aceptable.

Si su organización no tiene actualmente una política de acoso sexual, usted debe crécomió / obtener una tan pronto como sea posible. La política de la organización de acoso sexual debe comunicar que la organización ha adoptado una "tolerancia cero" hacia el acoso sexual. En adi-ción, que debe ser revisado por un abogado que se especializa en la discriminación y las leyes laborales.

Una vez terminado, asegúrese de que se distribuye y redistribuye después de actualizar a todos los empleados, ya sea como un manual o en forma de memorándum. También puede desear tener cada empleado que firmar para confirmar que han recibido y leído la política. La política, así como el procedimiento de denuncia, debe ser escrito de una manera que va a ser entendido por todos los empleados en la organizaciónción de mano de obra. Muchas organizaciones tienen empleados que no tienen fluidez en el idioma Inglés. Bajo esta circunstancia, puede ser necesario para que su política de acoso sexual traducida o comunicarse con ellos en su lengua materna. Si es posible, la organización debe proporcionar formación a todos los empleados para asegurarse de que conozcan sus derechos y responsabilidades.

Una política de acoso sexual debe proporcionar diferentes vías para que los empleados presentar sexuales denuncias de acoso. Estas pueden incluir:

• La capacidad de ponerse en contacto con su supervisor

• Una línea telefónica especial

• La capacidad de ponerse en contacto con el departamento de recursos humanos


Además, el empleado debe tener la opción de hablar con un representante de la organización masculina o femenina. La organización debe asegurarse de que los supervisores y gerentes a entender sus responsabilidades en virtud de la política contra el acoso de la organización y procedimiento de denuncia. La formación continua de los individuosais puede ayudar a lograr ese resultado. Esta formación debe explicar los tipos de conducta que vióa finales del empleador de la política contra el acoso, la gravedad de la política, las responsabilidades de los supervisores y gerentes cuando se enteran de un presunto acoso, y la prohibición de las represalias.

Directrices para desarrollar una política sobre acoso sexualEn general, es la responsabilidad de los empleadores a establecer, difundir y hacer cumplir las políticas contra el acoso y los procedimientos de denuncia. Como se ha dicho por la Corte Suprema ", el Título VII está diseñado para fomentar la creación de políticas contra el acoso y eficaces de reclamación mecanis-mos" (Ellerth, 118 S. Ct. En 2270). Si bien la Corte señaló que esta "no es necesario en cada caso como una cuestión de derecho", el no hacerlo hará que sea difícil para un empleador de probar que con la debida diligencia para prevenir y corregir el acoso.

De acuerdo con los EE.UU. Comisión de Igualdad de Oportunidades en el Empleo (EEOC), una política contra el hostigamiento y el procedimiento de denuncia deberá contener, al amínimum, la siguiente elementos:

• Una explicación clara de las conductas prohibidas• La garantía de que los empleados que hacen las denuncias de acoso o proporcionar

información relacionada con estas reclamaciones serán protegidos contra las represalias• Una queja describe claramente el proceso que proporciona vías de acceso de la denuncia• La garantía de que el empleador proteger la confidencialidad de las denuncias de acoso a la

medida de lo posible• Un proceso de queja que proporciona una investigación inmediata, exhaustiva e imparcial• La garantía de que el empresario tomará las medidas correctivas inmediatas y apropiadas

cuando se determina que el acoso se ha producido

A fin de aclarar algunos de los elementos anteriores, la EEOC ofrece las siguientes explicaciones:

Prohibición del acosoPolítica de un empleador debe dejar claro que no va a toléEl acoso por razón de sexo la tasa (con o

sin conducta sexual), la raza, color, religión, origen nacional, edad, discapacidad, y la actividad protegida (Le., la oposición a la discriminación prohibida o la participación en el proceso de reclamación oficial). Esta prohibición debe abarcar el acoso por cualquier persona en el lugar de trabajo - los supervisores, compañeros de trabajo, o no empleados. La administración debe transmitir la gravedad de la prohibición. Una forma de hacerlo es para la mándate a "venir desde arriba", es decir, desde la alta gerencia.

La política debe alentar a los empleados a denunciar el acoso antes de que sea grave o perva SIVE. Mientras que los incidentes aislados de hostigamiento en general, no vióla ley federal de finales, como un patrón de inci-estudiantes puede ser ilegal. Por lo tanto, para cumplir con su deber de cuidado preventivo, el empleador debe dejar claro a los empleados que va a detener el acoso antes de que se eleva al nivel de una violación de la ley federal.

Protección contra las represaliasUn empleador debe dejar claro que no va a tolétasa de un trato desfavorable de los empleados, ya

que denunciar el acoso o proporcionar información relacionada con esas denuncias. Una política contra el acoso y el procedimiento de queja no será eficaz sin esa garantía.


207

La dirección debería emprender las medidas necesarias para asegurarse de que las represalias no se produce. Por ejemplo, cuando la administración investiga una denuncia de acoso, el funcionario que las entrevistas a las partes y los testigos deben recordar a estos individuosais acerca de la prohibición contra las represalias. La administración también debe analizar las decisiones de empleo que afectan a la queja y los testigos durante y después de la investigación para asegurarse de que tales decisiones no se basan en motivos de represalia.

Proceso de queja efectivaProcedimiento de un empleador denuncia de acoso debe ser diseñado para alentar a las víctimas a

presentarse. Para ello, se debe explicar claramente el proceso y asegurarse de que no hay obstáculos no razonables a las quejas. Un procedimiento de denuncia no debe ser rígida, ya que podría derrotar a la meta de prevenir y corregir el acoso. Cuando un empleado se queja a la gerencia sobre el presunto acoso, el empleador está obligado a invertirípuerta de la acusación, independientemente de si se ajusta a un formato determinado, o se haga por escrito.

El procedimiento de queja debe proporcionar puntos de acceso de contacto para la denuncia inicial. Un proceso de queja no es eficaz si los empleados son siempre necesarias para quejarse primero de sus super-Sors sobre presunto acoso, ya que el supervisor puede ser un acosador. Por otra parte, un cuidado razonable para prevenir y corregir el acoso de un empleador requiere para instruir a todos los supervisores para reportar las quejas de acoso a los funcionarios pertinentes.

Es aconsejable que un empleador desígnate al menos un funcionario fuera de la cadena de un empleado de la com-demanda para recibir las quejas de acoso. Por ejemplo, si el empleador tiene una oficina de recursos humanos, uno o más funcionarios de esa oficina podría ser autorizado a tomar las denuncias. Permitir que un empleado para eludir su cadena de mando proporciona seguridad adicional de que la queja será manejada de manera imparcial, ya que un empleado que denuncie acoso por parte de su supervisor puede sentir que los funcionarios dentro de la cadena de mando estarán más dispuestos a creer que el supervisor versión de los acontecimientos.

También es importante para la lucha contra la política sobre el acoso de un empleador y el procedimiento de reclamación que contenga información sobre los plazos para la presentación de los cargos de acoso ilegal ante la EEOC o la Feria Estatal de las agencias de prácticas de empleo y para explicar que el plazo se extiende desde la última fecha de acoso ilegal , no desde la fecha que la queja de que el empleador se ha resuelto. Mientras que un proceso de denuncia del sistema debería hacer posible que un empleado para retrasar la hora de decidir si para presentar una denuncia hasta que la denuncia ante el empleador se ha resuelto, él o ella no está obligada a hacerlo.

ConfidencialidadUn empleador debe dejar claro a los empleados que va a proteger la confidencialidad de las

denuncias de acoso a la medida de lo posible. Un empleador no puede garantizar la total confidencialidad, ya que no puede realizar una investigación efectiva, sin revelar cierta información al presunto acosador y de los posibles testigos. Sin embargo, la información sobre la denuncia de acoso debe ser compartida solamente con aquellos que necesitan saber acerca de ella. Los registros relativos a las denuncias de acoso debe mantenerse confidencial, sobre la misma base.

Un conflicto entre el deseo de un empleado de la confidencialidad y el deber del empleador de invertiríla puerta puede surgir si un empleado informa al supervisor acerca de un supuesto acoso, pero le pide que él o ella para mantener el asunto confidencial y no tomar ninguna acción. La falta de acción por parte del supervisor en estas circunstancias podría dar lugar a la responsabilidad del empleador. Si bien puede parecer razonable para que el empleado para determinar si pur-demandar a una denuncia, el empleador debe cumplir con su deber de prevenir y corregir el hostigamiento. Una meca-nismo para ayudar a evitar este tipo de conflictos sería que el empleador cuente con una línea telefónica de

información que los empleados pueden utilizar para discutir sus preocupaciones sobre el acoso de forma anónima.


Proceso de investigación eficazUn empleador debe establecer un mecanismo para una investigación inmediata, exhaustiva e

imparcial sobre el presunto acoso. Tan pronto como se entera de la gestión de acoso sobre la presunta, se debe determinar si una detallada investigación de los hechos es necesario. Por ejemplo, si el presunto acosador no niega la acusación, no habría necesidad de interrogar a los testigos, y el empleador puede determinar de inmediato las medidas correctivas apropiadas.

Si una investigación de los hechos es necesario, debería ponerse en marcha inmediatamente. La cantidad de tiempo que se necesitará para completar la investigación dependerá de las circunstancias particulares. Si, por ejemplo, múltiple individuosais fueron hostigados al parecer, a continuación, se necesitará más tiempo para entrevistar a las partes y los testigos.

Puede ser necesario llevar a cabo Intermedícomió medidas antes de completar la investigación para garantizar que el acoso no se produce una. Ejemplos de estas medidas están haciendo cambios en la programación con el fin de evitar el contacto entre las partes, la transferencia del presunto acosador, o colocando el presunto acosador no disciplinario licencia con goce de sueldo en espera de la conclusión de la investigación. El autor no debe ser transferido involuntariamente o no cargados, ya que estas medidas podrían constituir una represalia ilegal.

El empleador debería garantizar que la persona que realiza la investigación objetiva se reunirán y considerar los hechos relevantes. El presunto acosador no debe tener autoridad de supervisión sobre la persona que realiza la investigación y no debe tener ningún tipo de control directo o indirecto sobre la investigación. Quien realiza la investigación debe estar bien entrenado en las habilidades que se requieren para entrevistar a los testigos y la evaluación de la credibilidad.

Impiden que los trabajadores vean material inadecuadoEs un hecho lamentable que los trabajadores pueden perder sus empleos debido a la forma en que utilizan Internet en el trabajo. Es importante que cada organización asegurarse de que todos los empleados comprendan y respeten todos los accesos a Internet y de uso aceptable (IAP / AUP) póLices. Sin importar lo que permite a la empresa en materia de política, es aconsejable utilizar siempre en línea una conducta apropiada. Además, el lenguaje de los e-mails Siempre debe seguir siendo profesional.

ACCESO A INTERNET / Políticas de Uso AceptableAcceso a Internet o las políticas de uso aceptable (IAP / AUP) son cada vez más común. Un IAP / PUA describe lo que se considera el uso de Internet apropiado e inapropiado en el lugar de trabajo. Ellos suelen decir que los empleados no pueden enviar o recibir correo electrónico personal de mensajes a través de sus direcciones en el trabajo. Además, pueden limitar la navegación personal a la hora de la comida de un trabajador o se rompe. Tenga en cuenta que hay dos tipos de actividad en línea, acceso a Internet y el uso de la mensajería de correo electrónico. Asegúrese de que sus empleados comprendan todos los parámetros de la IAP de su organización / PUA. Muchas empresas son cada vez más restrictiva en cuanto al uso personal de mensajes de correo electrónico, porque ellos no quieren que la organización se asocia con la transmisión de cualquier material cuestionables.

Utilizar los FiltrosUn filtro de contenidos es un programa de software que admita o bloquea el acceso a contenidos de Internet, dependiendo de si o no el contenido cumple con un conjunto

predeterminado de criterios. Algunos filtros sólo seuno para ciertas palabras clave prohibidas. Otros pueden permitir uso de la computadora sólo durante determinados intervalos de tiempo o tal vez limitar la cantidad de tiempo total que pasan en línea por los usuarios individuales.


209

Hay muchos productos disponibles que ofrecen Internet de contenífiltrado. Dos populares de filtrado de contenido de los programas son Net Nanny por BioNet Systems, LLC (www.netnanny.com)y CyberPatrol por el Surf Patrol pes decir, (www.cyberpatrol.com). Cada uno ofrece numerosos contenífiltración características, tales como

• URL negro aparece (direcciones URL que no están permitidos)

• White URL (direcciones URL que figuran las que se permite)

• La capacidad de crécomió y administrar listas personalizadas

El apoyo a los navegadores de Internet más recientes de Microsoft y Netscape

• Mayor apoyo a nivel de filtro para Web con capacidad de clientes de correo electrónico

• La capacidad de filtrar los datos entrantes y salientes

Además de los programas antes mencionados, un programa freeware llamado iProtectYou realiza muchas de las mismas funciones (véanse las figuras 10-1 y 10-2). Producido por SoftForYou (www.soft foryou.com), este útil programa permite el bloqueo de mensajes de correo electrónico, sesiones de chat y mensajes instantáneos que contienen palabras inapropiadas. Además, se puede restringir el tiempo de Internet con un programa predeterminado y le permite tener el control sobre qué sitios web se puede acceder y qué programas tienen acceso a Internet. Las opciones incluyen el establecimiento de niveleseis de la sensibilidad, el Ing. solicitud de los archivos de registro detallados de la Web y la actividad de la aplicación, y hacer ajustes sensibles al tiempo. Su organización puede especificar septiembreápatrones de frecuencia, palabras clave, o bloques de sitios web, grupos de noticias y publicidad, y editar la lista de palabras inapropiadas. El programa llega con una gran lista integrada de los sitios preseleccionados no deseados y las palabras clave.

Hay numerosas razones por las organizaciones emplean el uso de filtros de contenido. Cada vez más, las organizaciones están descubriendo que la creación de Internet aceptables las directrices de política de uso e informar a todo el personal de organización de que la política puede no ser suficiente para proteger a la gestión de la persecución penal ¡Yomaterial legal o inapropiado puede encontrar en los ordenadores. Otras organizaciones que simplemente prefieren tener la tranquilidad de saber que no es material inapropiado permitido o vistos por cualquier persona en sus redes.

Figura 10-1: iProtectYou la pantalla de inicio rápido

http://www.soft/

http://www.cyberpatrol.com/

http://www.netnanny.com/


Figura 10-2: ¡ProtectYou Panel de control y las opciones asociadas

Mientras que beneficioso, contení filtros a veces puede plantear problemas mediante la

prevención de fiaríBúsquedas compañero que se produzcan. Por ejemplo, un Contení filtro

puede dejar de una página Web desde la carga, ya que con-contenidas la palabra "hardcore",

aun cuando no se utiliza en un contexto sexual.

Espionaje industrialEl espionaje industrial es una extensificaciónón de la recopilación de inteligencia competitiva visto entre corporaciones de otras organizaciones, incluso nacional Govemtos. Las razones para tomar parte en las industriasjuicio gama de espionaje de un deseo de obtener la superioridad y la dominación en una industria en particular a la búsqueda de lograr simplemente un mejor nivel de seguridad dentro de la propia organización. La ganancia monetaria es una motivación más fuerte para las organizaciones y los individuos conocedoresais de participar en espionaje industrial.

Quienes realicen el espionaje industrial a través de la transgresión en los sistemas informáticos y redes de espías cibernéticos - - a menudo tienen un apoyo sustancial monetaria de las empresas y Gove, inclusomtos. A diferencia de run-of-the-mill hackers dando una vuelta, estos espías cibernéticos a menudo tienen a su estado de disposición de equipos de última generación e incluso el personal dónde y cuándo podría lo necesitan.

La Internet y los sistemas en red de computadoras han facilitado la ocupación de estos espías cibernéticos, sin importar si se está trabajando desde dentro o desde fuera de los sistemas que atacan. Equipo informático en red los sistemas de seguridad puede ser violado y espiado-de los sitios en cualquier parte del mundo, incluyendo los sitios dentro de la propia organización. (Más información sobre los ataques internos se incluye en la siguiente sección.) A diferencia de los espías de incluso el pasado reciente, espía hoy en día sólo tiene que estar presente en un sentido cibernético, no necesariamente en un sentido físico.

Independientemente de desde donde viene el ataque, el equipo de alta tecnología utilizados en la actualidad a veces deja a las organizaciones conscientes de que su sistema ha sido penetrado sin autorización. Aún cuando una organización no sabe de su sistema de ordenador ha sido comprometido, no puede ser capaz de


211

cuantificar la cantidad, en su caso, los ingresos se perdió como consecuencia de ello. Cuando los elementos materiales han sido robados (discos, documentos, etc) esos delitos son a veces sólo se reportan como robos o robo IES-, con la valiosaéde la información perdida no se dio cuenta y no se incluyen en el recuento.

Las organizaciones deben recordar que los ex empleados, tanto los que se van en buenos términos y los que están descontentos, puede seguir siendo una amenaza para la seguridad del sistema. Ya sea que son alimentadas por el deseo de venganza, son abordados por un tercero con el incentivo monetario o que están empezando su propio negocio en la misma industria, los ex empleados pueden tener un conocimiento suficiente como para afectar gravemente los activos de su organización, la productividad y incluso la confidencialidad del cliente.

Los ex empleados no son el solériesgo para la seguridad de la organización del sistema informático. Los incidentes de seguridad pueden surgir de los empleados actuales, también. Personal temporal, subcontratistas dores, y los empleados de la compañía desde hace mucho tiempo todos puedan tener suficiente acceso a la información de la organización privilegiada y valiosa. Algunos empleados deliberadamente revelar información clasificada (de nuevo, con fines de lucro o con mala intención), sin embargo, otros podrían revelar dicha información sin darse cuenta. Los que se dedican al espionaje industrial, se ha sabido que se hacen pasar por técnicos de la casa y las contraseñas de solicitud con el fin de hacer su trabajo el mantenimiento o la reparación de un ordenador de la empresa. Empleados Misguided gusto por ayudar a transmitir dicha información. A veces, los empleados simplemente dar información, como contraseñas, después de recibir un sonido de teléfono oficial o importante Calyoque lo solicite.

Defensa contra ataques internosLas amenazas informáticas y de red de seguridad puede venir desde el exterior o dentro de una organización. Fuera de las amenazas, como hemos visto, pueden ser los hackers o crackers situados al otro lado del mundo. Sin embargo, una amenaza de la red más y más común puede origíque reciben, sólo en la oficina de al lado en la forma de un empleado malévola o descontentos. El trabajo de los responsables de la información de segudad es para detectar actividades sospechosas y encontrar los eslabones débiles de la red informática de la organización. Esto es análogo a cuando un guardia de seguridad pone a prueba una puerta o ventana para asegurarse de que está bloqueado. Mientras que un servidor de seguridad puede evitar que los hackers, crackers y script kiddies (menos informados, los piratas informáticos nacientes) entre en contacto con, los firewalls no protegen contra el parecer de fiarílos usuarios de yerba mate que son ya dentro del firewall.

Con los ordenadores conectados en red, cualquiera tiene el potencial de acceder a la información contenida en toda la red. Mientras que el personal de seguridad de forma rutinaria se centran en los ataques externos, la cruda realidad es que la red es más probable que se vea comprometida por las personas situadas en el interior de su organización. Las estrategias típicas incluyen el robo de información privilegiada o adivinar una contraseña de administrador del sistema y luego darse a sí mismos el acceso a los recursos a los que no tienen derecho, tales como nóminas, registros contables, o de material patentado. Este tipo de delito informático se puso de manifiesto en el otoño de 2000, cuando Cisco Systems, Inc. empleado Pedro Morch (mientras todavía está empleado de Cisco Systems), intencionalmente excedido su acceso autorizado a los sistemas informáticos de Cisco Systems. De acuerdo con su declaración de

culpabilidad con el Departamento de Justicia de EE.UU., el Sr. Morch, a fin de obtener información confidencial que él sabía que no estaba autorizado a tener, registrado en el sistema informático, tanto como un administrador y bajo su propio nombre de usuario de una estación de trabajo que pertenece a otro ingeniero de software de Cisco. Lo hizo porque el ordenador del otro ingeniero tenía una grabadora de CD capaz de "quemar" CDs. El Sr. Morch admitió que quemó una serie de CD en el ordenador del otro empleado, utilizando los CDs grabables que se obtiene de la plataforma por encima de su equipo


controlar, y el material obtenido, que incluyó los materiales propiedad de Cisco en relación con ambos lanzados Cisco producciónís, y entonces en curso los proyectos de desarrollo.

El uso de contraseñas seguras pueden ayudar a evitar la información privilegiada - y otros-

de adivinar las contraseñas.

Personal de seguridad de la organización deben ser diligentes en la forma de gestionar y supervisar el registro de los sistemas en red. El personal de seguridad de rutina frente a la tarea que consume tiempo de recoger, analizar y descifrar múltiple de los sistemas de archivos de registro. Incluso un descuido simple podría ser la causa de un fallo de seguridad. Esto podría suceder en un número de maneras, por ejemplo, cuando un administrador del sistema se olvida de salir de una consola de gestióné, Cuando alguien trae una persona infectada lap-top en la oficina desde su casa, oa través de un agujero de seguridad creado por un mal configurados de acceso inalámbrico punto.

Afortunadamente, la mayoría de los más avanzados intrusiósistemas de detección de n, como Tripwire y CyberCop, se centran tanto en el exterior y deFernal ataques. Debido a los ataques internos pueden provenir de direcciones posibles tantos, estos Producís abordar el problema de información privilegiada con una gran variedad de enfoques.

Puesto que la mejor defensa es un buen ataque, escaneo de vulnerabilidades es una de las mejores maneras para que una organización para encontrar y tapar los agujeros de seguridad en su red. Análisis de vulnerabilidad es beneficioso para prevenir tanto el exterior y enFernal ataques. Dos populares escáneres de vulnerabilidad de red utilizado en la actualidad son SAINT y escáner de Internet de ISS:

• SAINT. SAINT es la herramienta del administrador de seguridad de red integrada. En su modo predeterminado, que recoge información tanto de equipos remotos y redes como sea posible. La información recopilada incluye la presencia de diversas redes de información ser-vicios, que son posibles fallos de seguridad. Estos defectos aparecen a menudo en forma de forma incorrecta los servicios de red configurados, conocidos errores en el sistema o los servicios públicos de red, o débiles parámetros de configuración de políticas.

• ISS Internet Scanner. Los responsables de la seguridad de la red de su organización a menudo eligen escáner de Internet de ISS para el análisis de las vulnerabilidades de su red. Escáner de la ISS en Internet se centra en el aspecto más importante de la gestión del riesgo organizacional de la red: la identificación y corrección de las vulnerabilidades técnicas. Internet Scanner realiza sondeos programados y selectivo de servicios de comunicación de su redvicios, sistemas operativos, aplicaciones clave, y los routers en busca de las vulnerabilidades más utilizadas por las amenazas sin escrúpulos (al problemaé, Invertirípuerta, y atacar a su redtrabajo). Internet Scanner analiza sus condiciones de vulnerabilidad y proporciona a su organización con una serie de acciones correctivas.


213

Es un hecho lamentable que los incidentes de seguridad más devastadores origíNate desde el interior de su propia organización. Proactiva de análisis de seguridad proporciona una evaluación significativa de la seguridad del sistema de su organi-zación contra las amenazas conocidas. Análisis de seguridad pueden ofrecer sugerencias para la efectiva contramedidas, mejorando aún más la seguridad. Análisis proactivo también puede conducir a una detección más rápida de, y tal vez reducir los daños a los sistemas de incumplimiento. Con el análisis de vulnerabilidad a cabo a intervalos regulares, su organización puede ser conscientes del potencial de vulnerabilidad de seguridadhabilidades a medida que ocurren.

Resumen del capítuloLa juntaíd adagio dice que una onza de prevención vale una libra de cura. La seguridad informática no es una excepción a esta máxima. Siempre que sea posible, usted quiere tomar una postura proactiva y prevenir los incidentes de seguridad que suceda en el primer lugar. Desgraciadamente, no vivimos en un mundo perfecto. Es virtualmente imposible impedir todo incidentes de seguridad. Sin embargo, cuando la seguridad inci-dente no suceda, es necesario asegurarse de que su impacto es mínimo. Existen diversas medidas de respuesta de su organización puede tomar para minimizar el número y el impacto de incidentes de seguridad que se llevan a cabo. En este capítulo se centra en la comprensión de los diversos tipos de incidentes de seguridad informáticaestudiantes que enfrentan las organizaciones y los procedimientos básicos para responder a esos incidentes y limitar su impacto.


• Procedimientos básicos para hacer frente a hackers, crackers, y los ataques de códigos

maliciosos

• Cómo reconocer y manejar el uso del ordenador inadecuado

• Procedimientos para el reconocimiento y la gestión de incidentes relacionados con el

acoso sexual Los aspectos legales de espionaje industrial

• Cómo buscar y defenderse contra los ataques internos

Capítulo 11

La evaluación de seguridad del sistema para prevenir nuevos ataquesln este capítulo

• Evaluación de las políticas y procedimientos de seguridad

• El desarrollo de listas de control de

políticas de seguridad Una visión general

del proceso de auditoría de seguridad

• Los pasos básicos para la estación de trabajo y las auditorías del servidor

• Los beneficios de las pruebas de penetración

• Comprensión de los problemas de cumplimiento de HIPAA

• El Honeynet Project

LA RED INFORMÁTICA ES UNA HERRAMIENTA CLAVE EN EL MUNDO DE LOS NEGOCIOS DE HOY S. Sin embargo, con los hackers, crackers, y lleno de códigos maliciosos, la necesidad de una toma de conciencia mayor seguridad y medidas a adoptar se ha convertido en un imperativo. Informática criminais vienen en muchas variedades, frente a los piratas a sus compañeros de trabajo. Muchos oficiales de seguridad de la empresa creen que el eslabón más débil de la seguridad informática la cadena es el empleado - ya sea descontento o simplemente perezosos.

Un componente crítico de la respuesta a incidentes es la pista de auditoría. Auditoría ayuda a definir los eventos que permiten los administradores de seguridad para determinar exactamente lo que ha sucedido en su red. Cuando un sistema se rompe, el administrador del sistema tiene que saber lo que ha sucedido para reparar la violación y la formaúfinales de un plan para prevenir futuros ataques. La parte más difícil de responder a una violación de la red es el rastreo del criminal y la evaluación de daños y perjuicios. Una auditoría de seguridad integral evalúa las prácticas de su organización y funcionamiento de la red para asegurar que sus sistemas sean seguros, tanto en elFamenazas ernal y externa. Una auditoría de seguridad de la red debe incluir lo siguiente:

• E

val

uac

ión

de

las

pol

ític

as

de

seg

uri

dad

act

ual

es,

pro

ced

imi

ent

os

y

prá

ctic

as

• U

na

eva

lua

ció

n de la vulnerabilidad

• Pruebas de penetración

• La inspección visual de la seguridad física de la red

215


Las auditorías de seguridad puede ayudar a su organización a desarrollar un amplio informe adecuado tanto para personal administrativo y técnico. Dicho informe deberá incluir la siguiente información:

• Una lista de las vulnerabilidades encontradas, incluyendo el riesgo y la probabilidad de que los usuarios maliciosos,los piratas informáticos, clientes y socios de negocios que explotan estas fallas

Las recomendaciones dadas para aplicar la revisión y reparación de vulnerabilidades

• Una lista de las posibles causas de las vulnerabilidades

• Recomendaciones para la prevención de las vulnerabilidades de este tipo que surjan en

el futuro

En resumen, las auditorías de seguridad a la organización minimizar el riesgo de interrupciones no programadas, daño o destrucción de sus activos de información, pérdidas financieras, y los otros efectos perjudiciales de las brechas de seguridad. En este capítulo se centra en el proceso de auditoría y los procedimientos, las cuestiones de la HIPAA Ance cumplimiento, en beneficio de las pruebas de penetración y su papel en la planificación de respuesta a incidentes. El capítulo concluye con cómo las lecciones aprendidas del Proyecto Honeynet están ayudando a dar forma al futuro de la respuesta a incidentes.

Evaluación de las Políticas de Seguridad y ProcedimientosLas medidas de seguridad son más eficaces cuando se desarrolló a partir de bien planificado, integral y ampliamente comunicados políticas de la organización. La necesidad de la seguridad informática se incrementa impulsando a las organizaciones a adquirir e implementar soluciones innovadoras de seguridad para sus redes informáticas. Desafortunadamente, muchas organizaciones carecen de una estructura política de copias de seguridad de los técnicos de seguridad de sis-temas que despliegan. Mientras que muchos han puesto en marcha diversas políticas de seguridad, estas políticas son a menudo incompletos o no actualizados.

La política de su organización de seguridad informática debe tener los siguientes objetivos:

• Establecer políticas para proteger las redes de su organización y los sistemas informáticos de la abuso y uso inadecuado.

• Establecer métodos que ayudarán en la identificación y prevención del abuso de la las redes de organización y sistemas informáticos.

Proporcionar un método eficaz para responder a las preguntas y quejas relativas a abusos, reales o no confirmada - de las redes de la organización y el sistema de ordenador.

• Establecer procedimientos que protejan su reputación profesional, mientras que permitepara cumplir con las responsabilidades de la organización (legal y ético) en relación con el equiposistema de conexión de Internet.

Capítulo 11: Evaluación del sistema de seguridad para prevenir nuevos ataques

217

Una política de información bien diseñado de seguridad es la clave para el éxito de cualquier información en materia de seguridad las acciones. Dado que las políticas tienen un impacto profundo en todos los esfuerzos de seguridad, que debe estar bien desarrollada, aplicada, mantenida, y auditados periódicamente. Las políticas necesitan una revisión periódica para asegurar que se continuaépara reflejar la estrategia de seguridad de su organización en general. Una política débil puede salir de una empresa vulnerable a todo tipo de errores humanos, desde la selección de una demasiado fácil adivinar- contraseña para instalar el software que puede causar brechas de seguridad.

Al evaluar una política de seguridad, asegúrese de incluir lo siguiente:

• Una explicación de la razón de la política

• La fecha efectiva de la política, así como la fecha en que expira

• Una lista de los que: (a) autorizó a la política, (b) construir la política, (c) aprobó la política, (d) mantendrá la política, y (e) hacer cumplir la política

• Una lista del personal y el personal que se verán afectados por la política

• Un resumen de las acciones que la organización espera de sus usuarios

• Los métodos que se utilizarán para hacer cumplir la política

• Los reglamentos y leyes en que se basa la política (entre ellos el de la casa de regulaciónciones de su organización)

• ¿Qué activos de información deben ser protegidos

• Los métodos y procedimientos que el personal se van a seguir para la presentación de informes de seguridad violaciónes (ya sea real o sin fundamento)

Los rápidos avances en tecnología de la información requieren que la organización de seguridad de las políticascas de frecuencia crítica. La frecuencia de las auditorías de la política depende de la seguridad de la organización necesita, así como el conocimiento tecnológico de su personal. Generalmente, sin embargo, cada nuevo cambio tecnológico tiene el potencial para requerir un cambio de política correspondiente. Como resultado de ello, una buena regla general es revisar todas las políticas de seguridad de la organización (o no) por lo menos una vez al año.

El desarrollo de listas de control de directivas de seguridadAuditoría de una política de seguridad está diseñado para hacer frente a la tendencia por parte de los seres humanos para hacer de vez en cuando errores. A raíz de esos errores, la necesidad de las organizaciones para llevar a cabo un seguimiento periódico y la revisión se vuelve extremadamente importante. Además, las nuevas vulnerabilidades de los lazos se están encontrando constantemente, y puede llegar a ser demasiado difícil para una organización para

mantenerse en la parte superior de las vulnerabilidades sin asistencia externa.Una de las maneras de manejar una auditoría es mediante el uso de listas de control de

auditoría, que son más beneficiosas cuando se inició como parte de un plan más amplio para desarrollar e implementar su política de seguridad en toda la organización. Listas personalizadas son una buena idea si usted quiere maximizar la eficacia de cualquier pauta determinada.


Lista de verificación de la directiva de auditoría - MuestraLa siguiente lista de verificación aborda formas de personalizar una política de seguridad de su organización espe-específica las necesidades:

• Tiene una amplia gama de empleados dentro de la organización - representativo de una variedad de posiciones y de trabajo de leveis - han participado en el desarrollo de la política de seguridad?

• Ha sido redactado de la política de una manera que pueda ser entendido y seguido por todo el personal miembros?

• ¿Ha sido informado el personal de sus roles y responsabilidades de seguridad por escrito?

• ¿Las necesidades y expectativas de su organización ha comunicado a su personal, tanto inicialmente y de manera permanente?

Que su personal recibió capacitación en seguridad específicamente adaptados a las necesidades de su posición?

• ¿Están todos los nuevos empleados lo suficientemente capacitados en cuanto a sus funciones de seguridad, responsabilidades, y las expectativas?

• ¿Son las oportunidades apropiadas previstas para el personal que exponga las preocupaciones de seguridad y pedir preguntas sobre las políticas y procedimientos de seguridad?

• Es el tiempo adecuado para la lectura de siempre y la revisión de los acuerdos de seguridad antes de utilizarEstrategia Europea de Empleo y los de fuera están obligados a firmar y presentar ellos?

• Haga que sus desarrolladores de políticas revisó las políticas relacionadas con la seguridad (prácticas) de otras organizaciones en la misma línea de trabajo o de aquellos con los que realizarán sus negocios? La cooperación en este momento se asegura de que todas las partes involucradas estarán satisfechos con las transacciones futuras.

• Ha noticias del compromiso de su organización para la seguridad ha compartido con el público?

• Ha objetivos de la política y los objetivos se ha traducido en normas de seguridad de la organización que están diseñados para modificar el comportamiento del personal?

• Ha sido un administrador designado específicamente para ser responsable de su organización de seguridad?

• ¿Son estas las normas de seguridad aplicadas por igual a todos los niveleseis de su organización?

• Tienen problemas de seguridad se han incluido como parte de las revisiones de desempeño de los empleados?

• ¿Son extraños (por ejemplo, técnicos de reparación y de organizaciones externas) que se requieren para firmar un contrato de reconocimiento de que son conscientes de sus responsabilidades y que se atendrá a las normas de seguridad de su organización y los reglamentos?

• ¿Las políticas de seguridad crítica - y si es necesario, revisada por lo menos una vez al año?

Una visión general del proceso informático de auditoría de seguridadEl propósito de una auditoría de seguridad informática es proporcionar un análisis detallado de la eficacia de las medidas de seguridad de su organización actual. La información obtenida durante el proceso de auditoría


219

le ayudará a priorizar y arreglar el problema de áreas, lo que minimiza el riesgo de apagones imprevistos, presa de la edad o el robo de los activos de información sensible, causar daños a su reputación, y la pérdida financiera. Cada vez que un sistema se modifica o se reconfiguran, los agujeros de seguridad puede ser abierto, permitiendo que la red se vuelven vulnerables a los ataques. Aun cuando no ha habido cambios realizados en la red de su organización, usted todavía puede ser víctima de un ataque que aprovecha una vulnerabilidad descubierta recientemente, de con-reafirmante que incluso los sistemas estáticos requieren una auditoría periódica.

En el desarrollo de una política de seguridad para su organización, asegúrese de incluir información sobre cómo se va a probar su red (s). Una vez que la auditoría de seguridad inicial ha sido completada, las deficiencias encontradas deben ser rápidamente corregido. Además, su política de seguridad debe detallar cómo va a garantizar que nevo fallos o huecos de seguridad serán tratados.

Los pasos siguientes describen el básico de seis pasos de seguridad informática proceso de auditoría:

• El análisis de vulnerabilidades. Determinar la adecuación de la seguridad de su organización medi-das, identificar las deficiencias de seguridad, y evalúcomió la eficacia de su actual segumedidas de bioseguridad. El análisis debe incluir el riesgo y la probabilidad de que los codificadores maliciosos, hackers, y conocedores de la explotación de estos defectos.

• Red de evaluación y análisis de la infraestructura. Examine los dispositivos de hardware, intrusión los sistemas de detección, routers y firewalls para las vulnerabilidades que dejan a uno abierto a la intrusiones.

• La evaluación de riesgos. Lista de las garantías que ya tiene en marcha para la protección contra las amenazas potenciales de la evaluación de su relación SIGNIFICATIVASee en términos de pérdida potencial para todos áreas de su sistema. Los resultados de esta evaluación se puede utilizar para determinar qué átintos necesitan la mayor atención en primer lugar.

• Acceso y evaluación de políticas. Examinar la disponibilidad de cada usuario y el acceso a los recursos del sistema informático. Asegúrese de incluir una revisión de las políticas de contraseñas, las políticas de copia de seguridad, la política de acceso a Internet, la política de seguridad de red, la política de acceso remoto, la política de escritorio, la política de la plataforma de servidor, la política de seguridad de las aplicaciones, las cuentas personales basados en Internet y, en general, las directrices para la desarrollo y aplicación de las normas de política toda la organización.

• La seguridad física. Examinar los activos físicos de computación para la protección contra el vandalismo, acceso no autorizado y la manipulación. Incluir una revisión de todos los equipos informáticos de la organización y los equipos asociados, tales como estaciones de trabajo, servidores, terminais, routers, switches, medios de almacenamiento extraíbles, copias impresas de la documentación, e instalaciones de apoyo.

• Las conclusiones y recomendaciones del informe. Incluya todos los hallazgos resultantes de los análisis y evaluaciones realizadas, así como recomendaciones para la aplicación de contramedidas a cualquiera de las vulnerabilidades descubiertas durante la auditoría de seguridad.

Las estaciones de trabajo de auditoría y servidoresLa seguridad es un problema grave en la computación de hoy en día con las amenazas que afectan a todos. Las auditorías en estaciones de trabajo y servidores de evaluar la forma en que estos activos de información críticos llevando a cabo y ayudar a analizar donde se requiere mayor atención. Como muchas organizaciones se esfuerzan para el crecimiento en el


mercado mundial, que buscan cada vez más a utilizar la información generada por ordenador para aprovechar una ventaja competitiva. La auditoría puede ayudar a la estación de trabajo correcta y las deficiencias del servidor de tiempo que proporciona una herramienta útil para la planificación de futuras mejoras en el sistema.

El análisis de las estaciones de trabajoAl realizar una evaluación de su organización de redes informáticas, asegúrese de examinar indi-estaciones de trabajo duales para lo siguiente:

• Ha permitido al usuario una pantalla de bloqueo de

estación de trabajo? Tiene una contraseña de BIOS

han implementado?

• Son los datos sensibles almacenados en una estación de trabajo de una manera segura?

• Haga que todos los protocolos de red no utilizados o innecesarios ha eliminado?

• ¿Son los servicios innecesarios, tales como US (Server de Microsoft Internet Information), pre-ventilación de la que se ejecuta en la estación de trabajo?

• Es la protección antivirus instalado, actualizado y en funcionamiento?

• ¿Son todos los archivos innecesarios y carpetas descarta que puedan compartir en la

estación de trabajo?

• Ha sido el sistema operativo actualizado y las correcciones contra vulnerabilidades

conocidas?

• ¿Existe un procedimiento para automatizar la copia de seguridad frecuentes de los

datos?

El análisis de los servidores de redAdemás, asegúrese de examinar también los servidores de red para lo siguiente:

• Que los servidores se encuentra en un lugar seguro árazón que la prevencióníacceso no

autorizado, s? Tiene una contraseña de BIOS han implementado?

• Tiene todos los datos sensibles han almacenado en una partición NTFS?

• Han sido deshabilitado por defecto las cuentas?

• Tiene los protocolos de administrador del sistema no consolidados innecesarios o no utilizados, tales como IPX / SPX, NetBIOS, y así sucesivamente?

• Tener servicios de tales innecesarios como SMTP, NTP y FTP sido removido o

desactivado?

• Es un software de protección antivirus instalado y actualizado con regularidad?

• ¿Alguno de carpetas compartidas han dado permisos exclusivos para los usuarios

individuales?

• Tener los Service Packs y parches de seguridad instalados cuando esté disponible?

• Es el administrador de red en la lista de la organización de seguridad de correo (para que sea recuerda a aplicar las correcciones y actualizaciones en el momento oportuno)?

• Copias de seguridad completas se hizo en forma frecuente y regular?


221

• Ha sido su administrador de red crea y se almacena de forma segura los discos de

reparación de emergencia? Ha de auditoría y cuenta de explotación forestal ha

encendido?

• Están los registros de eventos de seguridad revisados de forma regular?

• Tiene la característica de ejecución automática sido deshabilitada para el uso de CD-ROM?

• Están los registros de auditoría que se controla?

• Tiene el servidor de reloj de tiempo real se sincroniza con un servidor de hora central?

• ¿Ha descifrado de contraseñas herramientas ha utilizado para detectar contraseñas débiles o

fáciles de adivinar?

• Tiene un intrusi basado en hostósistema de detección de n (IDS) ha empleado?

• Ha de disquetes ha deshabilitado?

• Ha sido habilitada para la auditoría de la copia de seguridad y restauración de los datos?

• ¿Ha sido desactivado inicio de sesión anónimo o restringido?

• Tener NetBIOS nuyosesiones de l ha deshabilitado? (Vea el procedimiento se detalla a

continuación.)

• ¿La cuenta de administrador ha cambiado el nombre?

En su caso, tiene la clave SAM datála base se ha cifrado con cifrado de 128 bits? (Utilice Syskey.exe de NT 4.0.)

• Han sido los procedimientos y directrices establecidos para responder a los incidentes?

Cómo deshabilitar NetBIOS NuyoSesiones de lEl nuyol período de sesiones es una de las hazañas más utilizados en la piratería de Windows. Nuyol sesiones son conexiones no autenticadas (no se utiliza un nombre de usuario o contraseña) para el sistema Windows NT/2000/XP. El nuyol período de sesiones es tan común que es Usted como el número cinco de vulnerabilidad de Windows en el SANS / FBI Top de la lista 20 (ver www.sans.org/top20/~~V # W5). El IraqiWorm (también conocido como Iraq_oil.exe) de diciembre de 2002 fue un ejemplo de cómo el código malicioso puede ser usado para explotar basados en Windows NT ordenadores con el anonimato nuyosesiones de l totalmente habilitada o con el débil (o el nuyol) las contraseñas utilizadas en las cuentas privilegiadas. El IraqiWorm propaga mediante la explotación basados en Windows NT los ejércitos, que tenía las siguientes configuraciones de seguridad débiles:

• Anónimo nuyosesiones de l totalmente habilitado

• Débil (o nuyol) Las contraseñas de cuentas de usuarios privilegiados

Nuyol sesiones de aprovecharse de las fallas en la estructura de archivos común de Internet del Bloque de sistema / servidor de mensajería (CIFS / SMB). Se puede establecer una nuyol

http://www.sans.org/top20/%23W5

período de sesiones con un host de Windows NT/2000/XP, simplemente iniciando sesión con un nuyol nombre de usuario y contraseña. Usando un nuyol conexión que permite para recopilar información importante desde el host, tales como las siguientes:

• Una lista de usuarios y grupos

• Una lista de los equipos de la red


• Una lista de recursos compartidos de archivos disponibles

• Una lista de usuarios y sus identificadores de seguridad de host (SID)

En otras palabras, nuyol sesiones de permitir a un usuario no autenticado para obtener una lista de cuentas de usuario válidas y los grupos a los que pertenecen los usuarios. El acceso a dicha información simplifica en gran medida un ataque de contraseñas por fuerza bruta en contra de las cuentas de usuario. La mejor defensa contra este tipo de ataque consiste en desglosarcapaz de nu NetBIOSyol sesiones dentro del sistema operativo Windows en sí. Los pasos siguientes muestran cómo.

PARA WINDOWS XPPara deshabilitar NetBIOS nuyosesiones de l dentro de Windows XP, haga lo siguiente:

1. Haga clic en el botón Inicio y vaya al Panel de Control.

2. En el panel de control, haga clic en Rendimiento y mantenimiento.

3. Haga clic en la IC Herramientas de Administraciónón.

4. Haga doble clic en Configuración de seguridad local.

5. Expanda la carpeta Directivas locales en el panel izquierdo, a continuación, resalte la carpeta

Opciones de seguridad.

6. En la carpeta de opciones de seguridad (ver Figura 11-1), asegúrese de que las dos políticas están habilitadas:

Acceso de red: no permitir enumeraciones anónimas de cuentas SAM

Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Figura 11-1: La carpeta de opciones de seguridad dentro de la carpeta local de Windows XP Professional Políticas


223

PARA WINDOWS 2000Para deshabilitar NetBIOS nuyol dentro de las sesiones de Windows 2000, haga lo siguiente:

1. Haga clic en el botón Inicio y vaya al Panel de Control.

2. En el panel de control, haga doble clic en Configuración de seguridad local.

3. Vaya a las políticas locales.

4. Abra la carpeta Opciones de seguridad.

5. Seleccione "restricciones adicionales de las conexiones anónimas" en el panel sobre Políticas la derecha.

6. De los hombres desplegablesúdenominado "ajuste de la política local", seleccione "No obtener acceso sin permisos anónimos explícitos. "

7. Haga clic en Aceptar.

PARA WINDOWS NTDesafortunadamente, en Windows NT 4.0, tendrá que editar el registro para deshabilitar NetBIOS nuyosesiones l. Siguiendo los procedimientos de registro de edición y copia de seguridad descritos en el Capítulo 4, edición la siguiente clave del registro de la siguiente manera:

HKEY_LOCAL_MACHINE / System / CurrentControlSet / Control / IDS / = RestrictAnonymous l

El bloqueo de los siguientes puertos en el router o firewall también puede ayudar a defenderse contra NetBIOS sesión nula-ataques:

Número de puerto

Puerto de protocolo Descripción del puerto

135 TCP DCE / RPC Portmapper

137 TCP / UDP NetBIOS ÑAME Servicio

138 TCP / UDP Servicio de Datagrama de NetBIOS

139 TCP NetBIOS Session Service

445 TCP Microsoft-DS (Windows 2000 CIFS / SMB)

Pruebas de PenetraciónLas pruebas de penetración es el proceso de análisis, el sondeo, y la identificación de las vulnerabilidades de seguridad en una red en la medida en que podrían ser explotadas por terceros. Mediante la simulación de un ataque malicioso en el mundo real, usted puede saber si su red es

segura o no. Pruebas de penetración


es una herramienta importante y necesaria para determinar el estado de las políticas de seguridad actuales y procedimientos de su organización, ya que puede:

• Crécomió la base para la construcción de un entorno seguro y protegido en el que hacer negocios

• Descubre los puntos débiles de su red que permite a su organización para hacerles frente antes de que un atacante malicioso puede explotar

• Perfil de las debilidades con base en el riesgo de niveleseis, la gravedad y la habilidad necesaria para llevar a cabo hazañas

• Identificar las vulnerabilidades, incluyendo cualquier error de configuración, que pueden ser explotadas por un atacante remoto

• Proporcionar recomendaciones específicas para fortalecer la seguridad y el MIT paraípuerta de los riesgos descubierto

Los hackers habitualmente pasan su tiempo buscando sistemas informáticos para los agujeros de seguridad en la forma de las vulnerabilidades. Estos agujeros de seguridad puede ser causada por una serie de cuestiones, tales como misconfiguración y / o defectos de programación. Para proteger los sistemas informáticos de la organización de los hackers, crackers, script kiddies, y otros códigos maliciosos, es necesario comprobar en busca de vulnerabilidades y exploits conocidos dentro de sus sistemas de redes. Las vulnerabilidades pueden estar compuestos de los insectos, puertas traseras de aplicación o software espía (código de computadora utilizado para controlar, registrar o impedir la actividad en un equipo sis-tema sin el conocimiento de su usuario (s)) que han entrado en aplicaciones o sistemas operativos en forma de código malicioso.

Cuando se trata de seguridad de la red, no hay mejor manera de encontrar los puntos débiles que por realizar pruebas de penetración-ción sobre una base regular. Hay razones de peso para llevar a cabo la penetración prueba con regularidad:

• Nuevos exploits son liberados casi a diario.

• Los parches y actualizaciones de software y hardware son frecuentemente puestos en libertad.

Con sistema operativo y las actualizaciones de las aplicaciones, la posibilidad de una nueva brecha que se presentó pueden ocurrir.

In-House vs Outsourcing dePara llevar a cabo una prueba de penetración, las organizaciones tienen sólo dos opciones: o bien realizar la prueba de penetración en la empresa o tercerizar la tarea a una empresa de seguridad que se especializa en dicha prueba.

Sólo hay dos circunstancias en las que deben ser las pruebas de penetración realizados en la

casa. La primera razón sería si hay consideraciones monetarias o presupuestarias. La segunda razón sería en situaciones extremas, donde la seguridad de sus datos es tan vital y / o clasificados que fueralado de individuosais no pueden tener conocimiento de ella.


225

De pruebas de penetración de software para las auditorías internasComo era de esperar, hay literalmente docenas de productos disponibles que permiten a una organización para llevar a cabo una prueba de penetración en la casa de su red (s). Una búsqueda rápida en Internet demuestra este punto. Para sistemas basados en Windows, los productos como iNETPATROL y LANPATROL de Sistemas de Red de Seguridad (www.netsecuritysys.com)y VIGILANTe.com SecureScan NX (Www. vigilante.com ) son muy populares. Para los sistemas de Unix-/Linux-based, Nessus (www.nessus.org)y la herramienta de Administrador de Seguridad de Redes Análisis (SATÁN) (www.porcupine.org / satanás)tener ha utilizado durante años para llevar a cabo pruebas internas de penetración y auditorías de red.

Si su presupuesto es muy limitado, un producto gratuito es útil escáner disponibles NetBrute llamado por el software de Logic Raw (www.rawlogic.com), que puede realizar tres diferentes penetraciónción en las pruebas de los equipos basados en Windows. NetBrute le permite seun ordenador o una sola múLas direcciones IP-por ltiple de archivos de Windows está disponible y los recursos de impresión compartida (ver Figura 11-2). Este es probablemente uno de los agujeros de seguridad más peligrosas y fácil de explotar, y no es raro que los usuarios inexpertos disponer de sus impresoras o su disco duro completo compartido sin ser conscientes de ello. Esta herramienta le ayuda a concentrarse en estos recursos, por lo que puede conseguir con un cortafuegos o informar a sus usuarios sobre cómo configurar correctamente sus acciones con mayor seguridad.

PortScan (véase la figura 11-3), que se incluye en NetBrute, que permite a seUn solo equipo o múltiple direcciones IP para los servicios de Internet disponibles. Esto le permite identificar qué puertos TCP deben ser bloqueada por el firewall, si desea garantizar su seguridad. Por otra parte, que le permite identificar los servicios no utilizados que se están ejecutando, por lo que se puede detener.

WebBrute (ver Figura 11-4), también forma parte de NetBrute, que permite a los seuna de sus directorios Web que están protegidos con autenticación HTTP, poniendo a prueba la fuerza de seguridad de las contraseñas de los usuarios. Esto le permite cumplir mejor sus políticas de mantenimiento de contraseñas para garantizar que los usuarios no están utilizando contraseñas fáciles de adivinar, o contraseñas que coincidan con su nombre de usuario.

Figura 11-2: La búsqueda de los archivos de

Windows está disponible y los recursos de impresión

http://www.rawlogic.com/

http://www.porcupine.org/satan

http://www.porcupine.org/satan

http://www.nessus.org/

http://vigilante.com/

http://VIGILANTe.com/

http://www.netsecuritysys.com/


Figura 11-3: PortScan le permite escanear un solo

equipo o múltiple direcciones IP disponibles para

Servicios de Internet.

Figura 11-4: WebBrute le permite seuna de sus

directorios Web que están protegidos con autenticación

HTTP, poniendo a prueba la fuerza de seguridad de las

contraseñas de los usuarios.


227

De terceros de Pruebas de PenetraciónSe necesita un verdadero experto para darse cuenta de la magnitud de la obra de un hacker. Contratante con un tercero ajeno para realizar pruebas de penetración no requiere que una organización ceder el control del proceso de prueba completa. Por ejemplo, cuando se utiliza un tercero para las pruebas de penetración, se puede optar por dar tan poco o información tanto acerca de su red que desee. Normalmente, las organizaciones optan por externalizar las pruebas de penetración por varias razones:

• Para determinar el grado de vulnerabilidad del sistema que no puede ser detectado mediante el uso de las auditorías internas

• Como preludio a la reestructuración del sistema de la organización de seguridad y para mejorar la percepción valiosaéde la reputación de la organización

• Para mostrar a los clientes con seguridad se puede realizar transacciones de comercio electrónico a través de Internet

El mayor beneficio para las pruebas de penetración de outsourcing es el uso de un ataque sin conocimiento. El ataque no-conocimiento, cuando es realizada por los probadores que no tienen tinformación real sobre la ubicación de destino, está diseñado para proporcionar la prueba de penetración más realista posible y por lo general comprende la reunión de una cantidad significativa de información sobre el sistema de destino antes de lanzar un ataque.

Lo mejor es casi siempre si un tercero realiza este tipo de ejercicio debido a que en Fernal personal de seguridad son demasiado conocimiento sobre el entorno de su organización para ser lo suficientemente objetiva. Un ataque a gran conocimiento, por el contrario, se lleva a cabo con los probadores de haber excedan de los importes de información sobre los entornos específicos. Este tipo de pruebas está diseñado para simúfinales de un atacante que tiene intícompañero de conocimiento de los sistemas de la organización de destino, como un empleado real.

Sólo personal capacitado y profesionales con experiencia deben llevar a cabo las pruebas de penetración. Si bien las pruebas de terceros a menudo pueden ofrecer resultados objetivos, las organizaciones a veces ser víctima de los piratas informáticos que utilizan una simulación para encontrar vulnerabilidades para sus propios fines. Para combatir esto, algunas organizaciones tratan de protegerse de las pruebas de penetración sin escrúpulos al tener a su personal de seguridad supervisar los procedimientos de pruebas de penetración.

Durante la búsqueda de un proveedor de terceros para las pruebas de penetración / vulnerabilidad, lo mejor es utilizar una organización bien establecida, con un buen historial conocido. Lo que sigue es una breve lista de varios proveedores populares:

• Sistemas en guardia, Inc. (www.engarde.com/)

• Red Hat, Inc. (www.redhat.com / servicios / enfoque / security /

testing.html)ITSecure(www.itsecure.com.au/~~V)

• VIGILANTE (www.vigi 1ante.com /)

http://www.vigi/

http://www.itsecure.com.au/

http://www.redhat.com/services/focus/security/testing.html

http://www.redhat.com/services/focus/security/testing.html

http://www.engarde.com/

Para más información sobre los proveedores de terceros que proporcionan la penetración /

pruebas de vulnerabilidad, echa un vistazo a la lista de la Revista Seguridad de la Información

de los proveedores en www.infosecuritymag.com/ vendor_links.shtml.

http://www.infosecuritymag.com/


Ley de Portabilidad y Responsabilidad de 1996 (HIPAA)HIPAA es un acrónimo de la Health Insurance Portability and Accountability Act de 1996. Mientras que la ley contiene numerosas disposiciones relativas a la salud y la portabilidad de los beneficios, sino que también contiene disposiciones que exijan la seguridad de los datos de registros médicos confidenciales y personales almacenados y transmitidos por las entidades, tales como los planes de salud, centros de salud, y proveedores de salud, todos los cuales son obligados a utilizar las normas de seguridad de HIPAA para desarrollar y mantener la seguridad de toda la información individual de salud electrónica. Una entidad que es uno o más de estos tipos de entidades se conoce como una "entidad cubierta" en los reglamentos de la Simplificación Administrativa. Un aspecto importante en lo que respecta a la respuesta del incidente es la Simplificación Administrativa de HIPAA provisión. Esta provisión requiere que las entidades cubiertas que mantienen o transmitir "información identificable del paciente" para desarrollar y aplicar políticas formales, procedimientos y prácticas que salvaguardan la integridad, confidencialidad y disponibilidad de sus datos electrónicos. Las normas de seguridad incluyen numerosos requisitos con arreglo a las siguientes cuatro categorías generales:

• Los procedimientos para salvaguardar la integridad, confidencialidad y disponibilidad de los datos. Estos son documentadas, las prácticas formales para seleccionar y llevar a cabo las medidas de seguridad de protegerse de los datos, así como la conducta del personal en relación con la protección de datos.

• Medidas de seguridad físicas. Estos se refieren a la protección de la computadora de su organización siste-mas, los edificios y equipos contra incendios y otros desastres naturales y ambientales, así como de intrusión. Medidas de seguridad físicas también incluyen el uso de cerraduras, llaves, y las medidas administrativas para controlar el acceso a los sistemas informáticos y las instalaciones.

• Los servicios técnicos de seguridad. Estos incluyen los procesos que se ponen en marcha para proteger y controlar y vigilar el acceso de la información.

• Los mecanismos técnicos de seguridad. Estos incluyen los procesos que se ponen en su lugar y llevado a cabo para evitar el acceso no autorizado a los datos transmitidos a través de su organización red.

Los procedimientos anteriores deberán adaptarse a las necesidades individuales de su organización. No tienen que ser presentados en el mismo formato o dividirse en cuatro categorías.

Las directrices finales para la HIPAA se encuentran en www.cms.gov.

http://www.cms.gov/

HIPAALos Centers for Medicare & Medicaid (CMS) son responsables de la aplicación de diversas disposiciones de la ley HIPAA. Las disposiciones de la Simplificación Administrativa del Seguro de Salud


229

Ley de Portabilidad y Responsabilidad de 1996 (HIPAA, el título II) requieren que el Departamento de Salud y Servicios Humanos de establecer estándares nacionales para transacciones electrónicas de la salud y los identificadores nacionales para los proveedores, planes de salud y de los empleadores y de ofrecer las siguientes pautas abordar la seguridad y la privacidad de los datos de salud para las entidades cubiertas:

Procedimientos administrativos para proteger la integridad DATOS, ConfidentiaUTY, Y DISPONIBILIDAD

A. Certificación Cada organización deberá evalúcomió su sistema informático (s) o la redtrabajo de diseño (s) para certificar que la seguridad apropiada se ha implementado. Esta evaluaciónpodría llevarse a cabo de forma interna o por una agencia de acreditación externa.

Estamos, en este momento, solicitar la opinión sobre los mecanismos adecuados para permitir la evaluación independiente-ción de su cumplimiento. Estaríamos especialmente interesados en las aportaciones de quienes se dedican a la salud electrónica de datos (EDI), así como la certificación y de auditoría independientes orga-nizaciones abordar las cuestiones de las pruebas documentales de las medidas adoptadas para su cumplimiento; necesidad o conveniencia de verificar de manera independiente , validación y pruebas de cambios en el sistema, y certificaciones ciones de los necesarios para la producción off-the-shelfís utilizado para cumplir con los requisitos de este reglamento.

Asimismo, solicitar comentarios sobre la medida en que la obtención de la certificación externa crécomió una carga excesiva para los proveedores pequeños o rurales.

B. Cadena de Acuerdo de socio de confianza Si los datos se procesan a través de un tercero, las partesestaría obligado a entrar en una cadena de contrato de socio de confianza. Este es un contrato en el que ellas partes se comprometen a intercambiar electrónicamente datos y para proteger los datos transmitidos. El remitente y elel receptor se requieren y dependen unos de otros para mantener la integridad y confidencialidad de losla información transmitida. Múltiple de dos partidos los contratos pueden estar involucrados en el movimiento infor-ción de la parte de origen a la ULTícompañero de la parte receptora. Por ejemplo, un proveedor pueden concontrato con un centro de información para transmitir las reclamaciones a la cámara de compensación, la cámara de compensación, a su vez,podrán contratar con otro centro o con un pagador de la transmisión continua de las personasreclamaciones. Estos acuerdos son importantes para que el mismo nivel de seguridad se mantendrá en todos loseslabones de la cadena cuando la información se mueve de una organización a otra.

C. Plan de Contingencia Nosotros necesitaríamos un plan de contingencia de estar en vigor para responder a los sistemasemergencias tem. La organización estaría obligado a realizar copias de seguridad periódicas de los datos, tienen

disponibles las instalaciones críticas para la continuación de las operaciones en caso de una emergencia y tienen desas-ter los procedimientos de recuperación en su lugar. Para satisfacer el requisito, el plan se incluyen los siguientes:

• Aplicaciones y análisis de datos respecto a la criticidad

• Un plan de datos de copia de seguridad

• Un plan de recuperación de desastres

• Un modo de operación de emergencia el plan

• Pruebas y revisión los procedimientos

D. Mecanismo formal de Registros del proceso No sería un mecanismo formal para el proceso de-ción de registros, es decir, las políticas y procedimientos documentados para la rutina y la recepción no son de rutina,


manipulación, almacenamiento, difusión, transmisión y / o eliminación de información de salud. Esto es importante para limitar la pérdida accidental o de la divulgación de la información segura debido al proceso de cuestiones.

E.Información de Control de Acceso La entidad estaría obligada a establecer y mantener formal,políticas y procedimientos documentados para la concesión de diferentes niveleseis de acceso a la atención de la salud informaciónción. Para satisfacer este requisito, las siguientes características que se deben proporcionar:

• Acceda a las políticas y procedimientos de

autorización de establecimiento de acceso a las

políticas y procedimientos

• El acceso de modificación de las políticas y procedimientos

El control de acceso también se discute más adelante en este documento en la exigencia de la seguridad del personal y en las medidas de seguridad físicas, los servicios técnicos de seguridad y los mecanismos técnicos de seguridad categorías.

F. De Auditoría Interna No sería un requisito para un curso enFproceso de auditoría ernal, que esla revisión a la casa de los registros de la actividad del sistema (por ejemplo, los inicios de sesión, accesos de archivos, y la seguridad interincidentes de seguridad social) mantenido por una entidad. Esto es importante para permitir a la organización para identificarviolaciónes de seguridad potenciales.

G. Personal de Seguridad No sería un requisito de que todo el personal con acceso a la saludla información debe estar autorizado para hacerlo después de haber recibido las autorizaciones pertinentes. Esto es importantepara evitar el acceso innecesario o inadvertida para asegurar la información. El personal de seguridadrequisito requerir a las entidades para cumplir con las siguientes condiciones:

• Asegurar la supervisión de personal que realiza actividades de mantenimiento de los sistemas técnicos de las personas autorizadas y con conocimientos.

• Mantener acceso a los expedientes de autorización.

• Asegurarse de que operativo, y en algunos casos, el personal de mantenimiento tiene

acceso adecuado.

• Emplear procedimientos de personal de limpieza.

• Emplear la política de personal de seguridad / procedimientos.

• Asegúrese de que los usuarios del sistema, incluido el personal de mantenimiento técnico, están capacitados en sistema de seguridad.

H. Gestión de la Configuración de Seguridad La organización se requiere para implementar medi-das, las prácticas y procedimientos para la seguridad de los sistemas de información. Estos serían coordinó y se integra con otras prácticas del sistema de gestión de configuración con el fin de crécomió y gestionar la integridad del sistema. Este proceso de integración es importante para asegurar que los cambios de rutina al hardware del sistema y / o software no contribuyen o crécomieron las debilidades de seguridad. Este requisito se incluyen los siguientes:


231

• Documentación

• Hardware / software de instalación y revisión de mantenimiento y pruebas de las funciones de

seguridad

• Procedimientos de inventario

• Pruebas de seguridad

• Análisis de virus

I. Procedimientos de Seguridad de Incidentes No sería un requisito para poner en práctica los procedimientos de seguridad precisas y actuales del incidente. Estas son las instrucciones formales y documentados para informar sobre las violaciones de seguridad, de modo que violaciónes de seguridad denunciados y tramitarán con prontitud. Estas instrucciones se incluyen los siguientes:

• Procedimientos relativos al informe

• Procedimientos de respuesta

J. Gestión de Procesos de Seguridad Un proceso para gestión de la seguridad sería necesario. Esto implica crear, administrar y supervisar las políticas para garantizar la prevención, detección, Con entretenimiento, y la corrección de fallos de seguridad. Nos exigen que la organización tenga un proceso de gestión de la seguridad formal para abordar toda la gama de cuestiones de seguridad. Hombre de seguridadgestión incluye las siguientes características obligatorias de aplicación:

• Análisis de riesgos

• Gestión del riesgo

• Una política de sanciones

• Una política de seguridad

K. Procedimientos de terminación No sería un requisito para poner en práctica procedimientos de terminaciónprocedimientos, que son las instrucciones formales y documentados, incluyendo las medidas de seguridad adecuadas, para la terminación del empleo de un empleado o el acceso de un usuario interno / externo. Estos procedimientos son importantes para prevenir la posibilidad de acceso no autorizado a proteger los datos de los que ya no están autorizados a acceder a los datos. Procedimientos de terminación se incluyen los siguientes mandaTory las características de implementación:

• Cambio de cerraduras de combinación

• La eliminación de las listas de acceso

• La eliminación de la cuenta de usuario (s)

• En cuanto a de llaves, fichas o tarjetas que permiten el acceso

L. Formación Esta norma propuesta requeriría capacitación en seguridad para todo el personal con respecto a las habilidades de vulnerabilidad de la información de salud en posesión de una entidad y los procedimientos que deben ser seguidas para asegurar la protección de esa información. Esto es importante porque los empleados necesitan


comprender sus responsabilidades de seguridad y hacer de la seguridad una parte de su día a día. Las características de ejecución que se requerirían para ser incorporado a continuación:

• La sensibilización de todo el personal, incluida la gestión (esto también se incluye como un requisito en virtud de medidas de seguridad físicas)

• Recordatorios periódicos de seguridad

• Formación de usuarios concemción de protección contra virus

• Formación de usuarios en la importancia del éxito de monitoreo de inicio de sesión / fracaso, y cómo informar discrepancias

• Formación de usuarios en la gestión de contraseñas

El Honeynet ProjectTodos hemos oído la expresión: se puede coger más moscas con miel que con vinagre, la premisa es que es más fácil para atraer y atrapar las cosas que queremos en lugar de perseguirlos y atraparlos. Si bien este Princip mismoyoe se aplica a los honeypots, el propósito del Proyecto Honeynet es ligeramente diferente.

Fundada en abril de 1999 por Lance Spitzner, un antiguo oficial del Ejército Forc rápida de Despliegueé, El Honeynet Project es un grupo de investigación sin fines de lucro de 30 profesionales de la seguridad dedicados a la seguridad de la información. Sin ingresos o rentas, toda la investigación del Proyecto Honeynet se lleva a cabo sobre una base estrictamente voluntaria. El objetivo del proyecto es estudiar las herramientas, tacéls, y motivos de los blackhat (pirata informático) de la comunidad y compartir estas lecciones con la comunidad de seguridad en general.

Tradicionalmente, la mielpoFe son sistemas de un solo ordenador utilizados para atraer a los agresores hacia un objetivo fácil de atacar. Honeynets, por otro lado, no son realmente diseñado para atraer a los piratas. En cambio, redes trampa son conjuntos de ordenadores diseñados para permitir que los hackers entrar en una red falsa al mismo tiempo a los investigadores para ver todos sus movimientos. Diseñado para la investigación, que se utilizan para ayudar a los expertos de seguridad en una mejor comprensión del funcionamiento de la comunidad blackhat.

El Honeynet Project es valiosa porque los datos recogidos por la red trampa nos ayuda a predecir mejor las tendencias de ataque y encontrar nuevas herramientas de hackers que están en el medio silvestre. Cuando un método de ataque o herramienta nueva que se descubre, los que participan en las organizaciones Honeynet Project alerta comunicará a Seguridad, como el Computer Emergency Response Team (CERT) o la Administración de sistemas y de redes, y el Instituto de Seguridad (SANS). Estas organizaciones ayudan a difundir estos datos importantes de las publicaciones de la liberación, que a su vez eleva la conciencia de seguridad de las amenazas y vulnerabilidades que existen a través de Internet.

Resumen del capítulo

El gobierno de EE.UU. estima que los costos de recuperación de los ataques cibernéticos reportados en el 2001 solo fue de $ 13 billones a nivel nacional. La mejor manera de evitar estos costos, es proteger los activos críticos de información y recursos. Las auditorías de seguridad están diseñados para encontrar vulnerables áreas donde los hackers, crackers, y conocedores pueden obtener acceso no autorizado a sus sistemas informáticos. Una seguridad integral


233

auditoría evalúa las prácticas de su organización y funcionamiento de la red para asegurar que sus sistemas sean seguros tanto de interior y extemal amenazas. La detección de vulnerabilidades e intrusiones a través de auditorías de seguridad ayuda a determinar si las infraestructuras de seguridad, políticas y procedimientos de estafadorestinuépara proporcionar el nivel de protección exigido por sus organizaciones. Algunas industrias, como las instituciones gubernamentales y de salud-ya están obligados a someterse a auditorías de seguridad integral que comprobar la seguridad en los sistemas tradicionales. En este capítulo se centra en la comprensión de tales procedimientos de auditoría básicos como la evaluación de las políticas de seguridad actuales, procedimientos y prácticas, la evaluación de vulnerabilidad y pruebas de penetración. Puntos principales tratados en este capítulo se incluyen

• Los procedimientos para la evaluación de las políticas y procedimientos de seguridad y cómo equipo auditorías de seguridad ayuda del MITíriesgos de puerta a los activos de información

• Cómo desarrollar y aplicar listas de control de políticas de seguridad

Una visión general del proceso de auditoría de seguridad y su papel en la respuesta a incidentes

• Los pasos básicos para llevar a cabo auditorías y estación de trabajo del servidor y su importancia en el general del equipo proceso de seguridad

• Los pros y los contras de las pruebas de penetración de la casa y cuándo y por qué la externalización es veces superiores

• Comprensión de los problemas de cumplimiento de HIPAA para las entidades cubiertas y cómo se relacionan con incidente de la preparación de la respuesta

• Un breve recorrido por el Honeynet Project

Capítulo 12

Si tira todo juntoln este capítulo

• El análisis de la vida real los ataques

• Las lecciones aprendidas de los demás

• ¿A dónde ir para obtener información puesta al día

• Tendencias futuras en la tecnología de seguridad

EN FEBRERO DE Informes 7, de 2000, el NIPC recibidas que Yahoo había experimentado un ataque de Denegación de Servicio. En los días que siguieron, varias otras compañías (incluyendo Cable News Network, eBay, Amazon.com,Buy.com, Y ZDNet) también informó de la denegación de la interrupción del servicio a las oficinas de campo NIPC y el FBI. Desafortunadamente, los atacantes utilizaron falsa Direcciones IP, lo que significa que la dirección que aparecía en el registro del objetivo no era la dirección real del sistema que envió a los men-sajes. Además, muchas de las víctimas no habían guardado los registros completos de la red. Estos ataques de denegación de servicio como resultado millones de dólares en ingresos perdidos. El sector empresarial, los medios de comunicación, e incluso gobiernosagencias de desarrollo se quedaron exasperado.

Una denegación de servicio (DoS) no es un virus (como algunos suponen), pero un método utilizado por los hackers para evitar o negar el legítimoílos usuarios el acceso a un compañero de computaciónnLos ataques DoS son típicamente ejecutarse una utilizando herramientas especialmente diseñadas que inundan un equipo con tantas solicitudes de datos que la computadora deja de funcionar y no puede proporcionar información a fiarílos usuarios de mate. El ataque de manera efectiva se apaga el ordenador afectado gallina,ee la Negación de Servicio apodo. Una analogía sería que alguien lanza un programa automatizado para tener cientos de teléfono de calyos colocado simultáneamente a la centralita de una organización. Los esfuerzos de afrontamiento por parte de personal de la organización sería máseoyo en ningún momento, y muchas personas que llaman recibirán señal de ocupadoais, debido a la gran cantidad de tráfico telefónico.

235

http://Buy.com/

http://Amazon.com/


El análisis de los ataques del mundo realFue en el otoño de 1999 que la primera NIPC comenzó a recibir informes acerca de una nueva serie de exploits y herramientas de ataque colectivamente llamados ataques distribuidos de denegación de servicio (o DDoS) herramientas. Variantes de DDoS incluyen herramientas conocidas como Trinoo, neto de Inundaciones tribales (TFN), TFN2K y Stacheldraht (Germán de "alambre de púas"). Estas herramientas básicamente funcionan de la siguiente: los hackers obtener acceso no autorizado a un sistema informático (s) y código de software a cabo en lo que transforma ese sistema en un maestro (también denominada controlador). Los hackers también invaden y luego colocar el código malicioso en las redes de otros, por lo que estos sistemas se conviertan en agentes (también conocido como zombis, demonios o esclavos). Cada maestro es capaz de controlar múltiple agentes. En ambos casos, los propietarios de la red normalmente no son conscientes de que instrumentos peligrosos se han colocado (y residir) en sus sistemas, convirtiéndose así en la terceravíctimas en el delito previsto.

Notas Vatis Michael, director de la NIPC ", los" amos "se activan de forma remota o mediante laFernal programación (como un comando para iniciar un ataque en un momento determinado) y se utilizan para enviar información a los agentes, activando su capacidad de DDoS. Los agentes entonces genétasa de nume-rosas solicitudes de conexión con el ataque de ULTíobjetivo de su compañero (s), por lo general usando un ficticio o 'falso' IP (Internet Protocol), lo que proporciona una identidad falsa en cuanto al origen de la solicitud. Los agentes actúan en el Servicio de Informaciónón para generaciónéuna opinión por alto volumen de tráfico de varias fuentes. Este tipo de ataque se conoce como una inundación SYN, como el SYN es el esfuerzo inicial por el equipo de envío para hacer una conexión con el equipo de destino. Debido al gran volumen de peticiones SYN al ordenador destino de la nación se abruma en sus esfuerzos por reconocer y completar una transacción con los equipos emisores, degradantes o negando su capacidad para completar el servicio con el legítimoílos clientes se aparean - Henee el término "denegación de servicio." Estos ataques son especialmente dañinos cuando se coordinan a partir de músitios ltiple - Henee el término "Distributed Denial of Service".

Mientras que los ataques DDoS eran costosos, el elemento más preocupante es que no pescaron gran parte de la industria de seguridad informática por sorpresa, simplemente porque eran algo inesperado y la industria no estaba preparada. Estar preparado y actuar con rapidez son el sello distintivo de un incidente de sonido la respuesta del programa.

Incluso las compañías de seguridad informática no son inmunes a los ataques. A las 2:00 am, 11 de enero 2002, el GRC.com Sitio Web (casa de Gibson Research Corporation) fue eliminado de la Internet por un nuevo tipo de ataque llamado Distributed Denial reflejada de ataque Servicio o DRDOS. Según el presidente de Cruz Roja Guatemalteca, Steve Gibson, "Tal vez el aspecto más sorprendente de este ataque fue que la fuente aparente fue de cientos de niños en Internet 'routers de núcleo", que pertenece a los servidores web Yahoo.com,, E incluso una máquina con una dirección IP a la resolución de 'Gary7.nsa.gov. Nos parecía estar bajo los ataques de cientos de máquinas muy potentes y bien comunicada. "

A medida que la sofisticación de los hackers maliciosos crece y la oferta disponible de la inseguridad y el peligro fácilmente conectados a Internet máquinas de acogida cohetes, ancho de banda que consume Denegación de Servicio Distribuida (DDoS) ataques cada vez más frecuentes. Esto se debe al hecho lamentable de que las herramientas de gran alcance, a distancia

http://yahoo.com/

http://GRC.com/

de ataque de Internet están ahora encontrando su camino en las manos de los adolescentes o script kiddies que utilizan su fuerza destructora con poca consideración para, o remordimiento por las consecuencias.

Mientras ataques de denegación de servicio son sólo un tipo de amenaza que enfrentan las organizaciones que realizan comercio electrónico, numerosas otras amenazas reside mucho más cerca de casa, en la forma del empleado descontento o malicioso. La publicación reciente de las siguientesePulse RELéASE es un ejemplo de un tal ataque.

Capítulo 12: tirar todo junto 237

17 de diciembre 2002 EE.UU. Departamento de JusticiaFiscal FederalDistrito de Nueva JerseyEmpleado descontento de UBS Paine Webber acusado deAl parecer Liberar "bomba lógica" en los ordenadoresNEWARK-Un equipo descontentos administrador de sistemas de UBS Paine Webber fue acusado hoy con el uso de una "bomba lógica" para causar más de $ 3 millones en daños a la red informática de la empresa, y con fraude de valores por su fallido plan para reducir las acciones de la compañía con la activación de la bomba lógica, EE.UU. fiscal Christopher J. Christie anunció.

Roger Duronio, 60, de Bogotáá, Nueva Jersey, fue acusado hoy de una acusación de dos cargos emitida por un gran jurado federal, según la Fiscal Asistente de EE.UU. William Devaney.

La acusación alega que Duronio, que trabajó en las oficinas de PaineWebber en Weehawken, Nueva Jersey, puso la bomba lógica en unos 1.000 de los cerca de 1.500 ordenadores conectados en red PaineWebber en las sucursales de todo el país. Duronio, quien en repetidas ocasiones expresó su descontento con su salario y bonos en Paine Webber renunció a la compañía el 22 de febrero de 2002. La bomba lógica Duronio supuestamente plantado se activó el 4 de marzo de 2002.

En previsión de que el precio de las acciones de la compañía matriz de UBS Paine Webber, la UBS, AG, se reduciría en respuesta a los daños causados por la bomba lógica, Duronio, también han comprado más de $ 21.000 de "opción de" contratos de UBS, las acciones de AG, de acuerdo con el documento de carga. Una opción de venta es un tipo de seguridad que se incrementa en valiosoécuando el precio de las acciones cae. Las condiciones del mercado en el momento sugieren que no había tal impacto en la UBS, AG precio de acciones.

PaineWebber informar, de inmediato lo que había sucedido a los investigadores del gobierno y de la Oficina del Fiscal de EE.UU., y ha sido de gran ayuda y de cooperación en la investigación por Electronic los EE.UU. Servicio Secreto de Tareas de Delitos Forcé.

Duronio está programado para hacer una aparición inicial en el tribunal a las 2:00 antes de que EE.UU. juez federal Madeline Cox Arleo.

"El cibercrimen contra las instituciones financieras es un problema importante", dijo Christie. "Aunque el daño estaba contenida en este caso, el potencial de daño catastrófico en otros casos es siempre allí. Vamos a procesar a ciber criminais, y los puso en la cárcel. "

La acusación formal alega que, desde noviembre de 2001 a febrero, Duronio construyó la bomba lógica programa de ordenador. El 4 de marzo, como estaba previsto, el programa de Duronio activó y comenzó delet-Ing archivos en más de 1.000 de los ordenadores de UBS PaineWebber. Le costó a PaineWebber más de $ 3 millones para evaluar y reparar los daños, de acuerdo con la acusación.

Como uno de los sistemas informáticos de la empresa a los administradores, Duronio tenía la responsabilidad de, y el acceso a toda la red de UBS Paine Webber equipo, de acuerdo con la acusación. Él también tenía acceso a la red de su ordenador personal a través de acceso seguro a Internet.

Duronio se carga en el Primer Cargo de la Acusación de fraude con valores, que lleva amápena de ximum de 10 años en prisión federal y una multa de $ 1 millón. Se le acusa en el Segundo Cargo de fraude y otras actividades conexas en relación con ordenadores. Ese cargo conlleva una mápena de prisión ximum de 10 años y una multa de 250.000 dólares o, alternativamente, dos veces el beneficio obtenido por el demandado o la pérdida sufrida por la víctima.

En febrero y marzo de 2002, según la acusación, Duronio gastó aproximadamente $ 21762 en la compra de 318 contratos de opciones put-de las acciones de UBS AG, todos expiran el 15 de marzo. Una "opción de venta" es un contrato de seguridad que le da al comprador el derecho de vender 100 acciones de acciones de una empresa por un período fijo por acción el precio en una fecha determinada. Cuanto menor sea el precio de la acción cae, el más valioso poder el contrato de opción de venta se

convierte en. Si el contrato se vende en o antes de la fecha de caducidad de la acción en o debajo de un determinado "precio de ejercicio", se obtiene ganancia.


Es un hecho lamentable que prácticamente cualquier Intemet-ordenador conectado puede convertirse en el objetivo oíun ataque desde cualquier punto en todo el mundo. El siguiente comunicado público en reléASE demuestra que incluso los militares de EE.UU. pueden ser víctimas de un ataque hacker malicioso de una tierra extranjera.

12 de noviembre 2002 EE.UU. Departamento de JusticiaFiscal FederalDistrito Este de Virginia2100 Jameison AvenidaAlexandria, VA 22314Londres, Inglaterra Hacker acusado en virtud de Fraude InformáticoActa de Abuso y de acceso a computadoras militaresPensilvaniaúl J. McNulty, fiscal federal para el Distrito Este de Virginia, anunció que GaryMcKinnon, de Londres, Inglaterra, fue acusado formalmente en Alejandría hoy por un gran jurado federal en sietecargos de fraude informático y la actividad relacionada. McKinnon se enfrenta por cada cargo un mápena de ximum10 años de prisión y una multa de 250.000 dólares. Los Estados Unidos tiene la intención de solicitar formalmente que elGran Bretaña extraditar a McKinnon.

Según la acusación, entre marzo de 2001 y marzo de 2002, Gary McKinnon acceso y dañados sin autorización 92 equipos que pertenecen al ejército de Estados Unidos, la Marina, Aire Forcé, El Departamento de Defensa y la NASA, y 6 equipos que pertenecen a una serie de príVate empre-sas. Un recuento de los cargos de McKinnon con el acceso y dañar sin autorización una computadora usada por los militares para la defensa nacional y la seguridad. Otros equipos hackeados por McKinnon son equipos ubicados en bases militares de los Estados Unidos y el Pentágono. La acusación alega que Gary McKinnon escaneado un gran número de equipos en la red. Mil, fue capaz de acceder a los ordenadores y obtener privilegios administrativos. Una vez que fue capaz de acceder a los ordenadores, McKinnon instalado una herramienta de administración remota, una serie de herramientas de hackers, copiar archivos de contraseñas y otros archivos, eliminar una serie de cuentas de usuario, y borró archivos críticos del sistema. Una vez dentro de una red, McKinnon entonces utilizar el ordenador hackeado para encontrar militar y de las víctimas de la NASA. En última instancia, McKinnon causado una red en el Washington DC árazones para cerrar, resultando en la pérdida total de acceso a Internet y servicio de correo electrónico a aproximadamente 2.000 usuarios por tres días.

La pérdida estimada de las distintas organizaciones militares, de la NASA, y el RPílas empresas privadas es de aproximadamente $ 900.000.

El caso fue procesado como el resultado de una investigación de 17 meses por la Unidad de Ejército de los EE.UU. Comando de Investigación Criminal de Delitos Informáticos de Investigación (CCIU), Oficina de la NASA del Inspector General, Servicio Naval de Investigación Criminal, 902o Inteligencia Militar Grupo de Información del Poder Guerra, de Defensa Servicio de Investigación Criminal, el Forc AireéOficina de Investigaciones Especiales, y la Unidad Nacional de Alto del Reino Unido Tech Crime. También ayuda en la investigación eran del Ejército de los EE.UU. Computer Emergency Response Team ubicada en Fort Belvoir, Virginia., El Ejército de Emergencia Regional Equipo de Respuesta en el Fuerte Huachuca, el incidente naval Equipo de Respuesta, y el Departamento de Defensa de Equipo Equipo de Respuesta a Emergencias.

Lecciones Aprendidas de Seguridad OtrosA menudo se dice que la sabiduría es aprender de los errores de otros para que no los repita usted mismo. Es ciertamente el caso de la seguridad informática y respuesta a incidentes. Cuando la enseñanza de la respuesta a incidentes, los ejemplos de fracasos en el mundo real son un método eficaz para la demostración y la


actuar como una advertencia de precaución para el futuro personal de seguridad informática. Mediante la revisión de algunos comunes a la seguridad de información errores, por ejemplo, el personal de respuesta a incidentes de seguridad pueden refinar las políticas-CIES a corregir las deficiencias. Éstos son algunos errores comunes:

• Instalación de programas y servicios innecesarios

• Apertura de archivos adjuntos de correo de mensajes de personas desconocidas

• No es mantenerse al día sobre los parches de software, especialmente aquellas relacionadas

con la seguridad

• Si no se instala el software antivirus y mantener sus patrones de virus

actuales La falta de capacitación adecuada para administrar el

sistema

• No implementación de cifrado o intrusión sistemas de detección

• El manejo inadecuado de los datos sensibles

• Compartir contraseñas o el uso de contraseñas débiles

• Propagación de cota de malla y las bromas de virus

Lecciones aprendidas a partir del gusano Código RojoEn julio de 2001, otro gusano de Internet en los titulares. Conocido como Código Rojo, este gusano fue mali-cious código que una máquina infectada y después se propagan en una red de intentar infectar a otras personas, la explotación de una vulnerabilidad conocida en el servidor Microsoft Internet Information (US) de software. A pesar de que el gusano podría ser derrotado por el parche de la vulnerabilidad y reiniciar el sistema, que tenía un secundario, inesperado y dañino - efecto secundario. Algunas de las redes infectadas se impregna con el tráfico de Internet y experimentaron retrasos significativos. El gusano también reveló una serie de fallas en ciertos tipos de equipos de redes, especialmente aquellas que permiten la gestión a través de una interfaz web. Muchos dispositivos de red, simplemente falló en la cara de la memoria intermedia Código Rojo desbordamiento.

Es importante entender y recordar que cuando se hacen excepciones en materia de seguridad políti-cas, que pueden tener consecuencias graves. Por ejemplo, si una organización diseña una red completael sistema de trabajo de seguridad e instala un cortafuegos para bloquear las conexiones entrantes no autorizadas, pero permite que las consultas Web de Internet, el cortafuegos y llegar a un sin parchear US servidor web, el diseño de la seguridad se convierte en toda minada. La lección aprendida aquí es que la tradicional de paredes de fuego no ayuda cuando usted deliberadamente abrir un agujero de seguridad en el servidor Web y eludir la protección del perímetro.

Mientras que muchos servidores Web realizado bastante bien en la cara del ataque Code Red, la característica más des-nombramiento de los incidentes Code Red fue el fracaso de la comunidad de administrador del sistema para abordar el problema de una manera oportuna. A pesar de las numerosas advertencias, muchos administradores no han aplicado parches disponibles para sus sistemas. Puede haber habido dos razones para ello. Es posible que muchos equipos se ejecuta sin

ningún tipo de administrador del sistema pre-enviado o que algunos administradores de sistemas se acaba haciendo caso omiso de la gran cantidad de advertencias de seguridad.

El aumento de las capacidades de los paquetes de códigos maliciosos se han traducido en impactos más devastadores. Varias otras tendencias también se hicieron evidentes durante el año 2001. Uno de los más significativos fue la incorporación de las capacidades de los gusanos, caballos de Troya (puertas traseras), y virunSES todo ello combinado en un paquete único y poderoso. Los ataques de códigos maliciosos durante el año 2001 también se incluyen las técnicas de


propagar más rápidamente que nunca antes. El breve intervalo entre el gusano Code Red y la reléasa del gusano Nimda continuó la tendencia de larga data de los paquetes de código malicioso están modificando sobre la base de las lecciones aprendidas de anteriores ataques malévolos. Esto dio lugar a aún más avanzados paquetes de códigos maliciosos.

Lecciones aprendidas de los hackersLas lecciones aprendidas de las intrusiones tienden a centrarse en cómo el intruso entró y qué tipo de vulnerabilidad de nerabilities fueron explotados. Debido a su amplio uso, basados en Windows los sistemas informáticos son el objetivo principal para muchos tipos de ataques, en particular con programas troyanos como NetBus, SubSeven y BackOrifice. Como se señaló en la sección anterior, la mayor parte de estos sistemas se compro-metían mucho antes de que nadie se dio cuenta de que algo andaba mal. La mayoría de los administradores del sistema se dio cuenta de caballo de Troya o programas de puerta trasera sólo después de que los usuarios autorizados se quejó de mal funcionamiento del sistema y la causa de la utilización del sistema de alta se remonta a uno de estos programas no autorizados. Otra lección aprendida es que la actividad de los hackers - o hacktivity - normalmente aumenta en las épocas de tensionón. Este argumento se ve reforzado por el aviso siguiente de la Infraestructura Nacional Centro de Protección (INCP), que advierte de la creciente amenaza de hackers, debido a las crecientes tensiones entre los EE.UU. e Irak actividad.

Alienta a aumentado de Seguridad Cibernética como Irak - EE.UU. aumentar las tensiones 11 de febrero 2003El Centro Nacional de Protección de la Infraestructura (NIPC) está emitiendo este documento para aumentar la conciencia-dad de un aumento en las actividades mundiales de la piratería como resultado de las crecientes tensiones entre Estados Unidos e Irak.

La experiencia reciente ha demostrado que durante una época de gran tension internacionalón, ¡Yoactividad cibernética jurídica: envío de correo basura, desfiguraciones Web, ataques de denegación de servicio, etc, a menudo se intensifica. Esta actividad puede origíNate dentro de otro país, que es parte de la tensionón. Puede ser patrocinado por el estado o anima-edad, o que proceden de organizaciones nacionales o individuosais independiente. Además, simpático individuosais y organizaciones en todo el mundo tienden a llevar a cabo actividades de hacking, que ven como algunos técnicos que contribuyen a la causa. A medida que aumentan las tensiones, es prudente tener en cuenta, y prepararse para este tipo de ¡Yoactividad legal.

Los ataques pueden tener uno de varios motivos:• El activismo político atacar a Irak, o los que simpatizan con Irak por los autodenominados

"patriota" los piratas informáticos.• El activismo político o ataques dirigidos perturbadores de los Estados Unidos por los sistemas de

los que se oponen a cualquier posible conflicto con Irak.• La actividad criminal disfrazado o el uso de la actual crisis para alcanzar objetivos personales.

Independientemente de la motivación, el NIPC reitera que dicha actividad es ¡Yolegal y sanciona como delito grave.

El Gobierno de EE.UU. no aprueba la llamada "piratería patriótico" en su nombre. Otros, incluso los hackers Apatriotic®puede ser engañado para lanzar ataques contra sus propios intereses mediante la explotación de código malicioso que pretende atacar el otro lado, cuando en realidad está diseñado para atacar los intereses de la parte de enviarlo. En los hackers Éstas y otras formas Apatriotic®riesgo de convertirse en herramientas de su enemigo. Durante los tiempos de interrupción ciber posible aumento, los propietarios u operadores de computadoras y sistemas de red trabajado deberían revisar sus posturas

defensivas y procedimientos, y subrayan la importancia de reforzar la vigilancia del sistema. Los usuarios de computadoras y administradores de sistemas pueden limitar los posibles problemas mediante el uso de "mejores prácticas de seguridad" los procedimientos. Algunas de las medidas más básicas y eficaces que se pueden tomar son:


Aumentar la sensibilización de los usuarios de actualización de software antivirusDetener los archivos adjuntos potencialmente hostiles / sospechosos en el servidor de correo electrónico Utilizar filtrado para maximizar la seguridad

Establecer políticas y procedimientos para dar respuesta y recuperación de todos los usuarios deben ser conscientes de que el código malicioso (por ejemplo, los gusanos y virus) pueden ser introducidos para propagarse rápidamente mediante el uso de títulos patrióticos o pegajosa de lo contrario, animando a los usuarios a hacer clic en un documento, pie-Tura, la palabra, etc, que se extiende de forma automática el código dañino. Para listas de control de seguridad adicionales, por favor consulte los siguientes sitios:

www.cert.org / mejora de la seguridad www.unixtools.com / securecheck www.microsoft.com/technet/treeview/default.asp?url=/technet/~~V seguridad / herramientas / tools.asp www.sans.org / topten.htmLa NIPC insta a los beneficiarios de este documento para informar intrusiones en computadoras y /

o otros delitos federales, estatales, o la policía local, la oficina local del FBI en http://www.nipc.gov/ incidente / cirr.htm, y otras autoridades competentes. Los beneficiarios pueden reportar incidentes en línea para http://www.nipc.gov/incident/cirr.htm . El reloj NIPC y de alerta puede ser alcanzado en (202) 323-3204 / 3205/3206 o NIPC . [email protected] .

Es importante recordar que su organización siempre debe tratar a los activos de información, ya que trataría a cualquier otro activo valioso. Así como usted no volvería a caminar lejos de su escritorio dejando dinero en efectivo o de otros objetos de valor desatendidos, usted debe tener cuidado para proteger sus activos de información de manera similar. Recuerde siempre tomar las siguientes precauciones:

• Proteja su equipo de cómputo. Guárdelo en un entorno seguro. Asegúrese de mantener la comida, la bebida y el humo del cigarrillo fuera de ella en todo momento. Además, sabemos que el fuego equipo de supresión se encuentra, y aprender a usarlo.

• Proteja su área. Mantenga a las personas no autorizadas lejos de los equipos informáticos y de información sensible y recuerda a cuestionar a cualquier extraño que en su área.

• Proteja su contraseña. Nunca escriba o se la dé a nadie. Además, no utilice ñAmes, números o fechas en las que puede ser identificado personalmente con usted. Recuerde que no sólo se cambian con frecuencia, sino también para cambiar de inmediato si usted piensa que ha sido comprometida.

• Proteja sus archivos. No permitir el acceso no autorizado a sus archivos y datos, y recuerde nunca deje su equipo desatendido con su contraseña activada, siempre firmar!

• Proteger contra códigos maliciosos. No utilizar software no autorizado, y copia de seguridad crítico de suarchivos de cal antes de implementar cualquier nuevo software.

• Guarde bajo llave los medios de almacenamiento que contiene los datos sensibles. Si los datos o la información es sensible o crítica a su organización, siempre asegúrese de


http://www.nipc.gov/incident/cirr.htm


http://www.sans.org/topten.htm

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/

http://www.unixtools.com/securecheck

http://www.cert.org/security-improvement

encerrar en un lugar seguro.

• Copia de seguridad de sus datos. Mantenga copias de sus datos importantes en un lugar seguro, fuera de su inmediata área, y recuerda hacer copias de seguridad de datos con la frecuencia necesaria.

• Informe violaciónes de seguridad. Dígale a su administrador de sistema o administrador de seguridad de la red si usted ve cualquier cambio no autorizado a sus datos. Reporte de inmediato cualquier pérdida de datos o programas, ya sea copia automatizada o dura.


Ya sea que los incidentes de seguridad informática vienen de virunses, los ataques de hackers, o travesuras equipo iniciados por empleados descontentos, las exigencias de respuesta apropiadas que su organización continuaéoperaciones mientras que la inversión daños, investigar las causas, la comunicación con los clientes, y puesta en marcha, incluso las investigaciones y la búsqueda de recursos legales. Mientras que el Princip básicayoes de preparación de emergencia se han utilizado durante décadas y se continuaéser la base para abordar los nuevos retos - dos nuevos enfoques de planificación también debe abordarse. En primer lugar, el ámbito de la planificación de recuperación de desastres debe ser ampliado más allá de su enfoque tradicional en las cuestiones operativas sobre todo para incluir medidas de seguridad de seguridad, también. En segundo lugar la planificación, la continuidad del negocio junto con la planificación de recuperación de desastres debe ser abordado como una operación comercial a nivel corporativo requisito.

¿Dónde dirigirse para obtener información Up-to-DateEl Internet está creciendo a un ritmo increíble, con, dicen los expertos, cientos de nuevos sitios apareciendo cada día. Es posible que cualquier persona de crear un sitio Web, la colocación de información sobre el mismo que dicen es creíble, sin embargo, es difícil de justificar tales declaraciones y verificar que la información publicada corresponde al día y precisa. Hay un gran número de recursos disponibles a través de Internet. Las empresas comerciales, organizaciones, instituciones educativas, comunidades y los individuosais sirven como proveedores de información para la comunidad de Internet electrónica. Esta puesta en común de recursos y la información es un ejemplo de cooperación entre el sector público, prícían al sector privado y gubernamental sec-tores de la sociedad y ha animado a extensas comunicaciones profesionales y personales a través de-el mundo.

SawY los miembros de la comunidad de Internet electrónica, sin embargo, son conscientes de que hay pocas, si alguna, controles de calidad de la información que está disponible. Los datos precisos y fiables puede compartir la pantalla del ordenador con los datos que sean inexactos, poco confiables, o falsas y engañar deliberadamente-Ing. Además, las diferencias entre los tipos de datos pueden ser imperceptibles, sobre todo para aquellos que no son expertos en el tema que nos ocupa. Debido a que Internet no cae bajo la respon-sabilidad de cualquier organización o institución, es poco probable que los controles de calidad universales se establecerá en un futuro próximo. A la luz de esta falta de un único órgano de gobierno, los usuarios de Internet deben estar preparados para convertirse en consumidores críticos especializados de la información que encuentran y cosechar.

Cuando se trata de la informática forense y respuesta a incidentes, varios sitios Web creíbles que están disponibles hacer proporcionar información precisa y actualizada. Lo que sigue es una breve lista de los sitios Web que ofrecen hasta al día la seguridad informática, respuesta a incidentes, y la información forense.

• El Centro de Coordinación CERT (CERT / CC) (www.cert.org ). Funcionando como un centro de conocimientos especializados de seguridad de Internet, el Centro de Coordinación CERT se encuentra en el Instituto de Ingeniería de Software, un centro financiado con fondos federales la investigación y el desarrollo operado por la Carnegie Mellón de la Universidad. La

http://www.cert.org/

información proporcionada en este sitio abarca desde la protección de los sistemas frente a los problemas potenciales para reaccionar a los problemas actuales para la predicción de problemas en el futuro. Sus centros de trabajo de todo el manejo de incidentes de seguridad informática y vulnerabilidades, la publicación de alertas de seguridad, la investigación a largo plazo los cambios en los sistemas en red, y el desarrollo de información y capacitación para ayudar a mejorar la seguridad informática.

• El Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST) (www.first.org ). Al reunir a una amplia gama de equipos de seguridad informática de respuesta a incidentes de las diferentes administraciones, comerciales, e instituciones educativas, primera tiene por objeto fomentar la

http://www.first.org/


la cooperación y la coordinación de la prevención de incidentes. Además, promueve, ante todo la reacción rápida ante incidentesepor fomentar el intercambio de información entre los miembros de la Internet y la comunidad de seguridad informática en general.

• El Centro Nacional de Protección de la Infraestructura (NIPC) (www.nipc.gov ). Sirviendo como unnacional de la infraestructura crítica evaluación de la amenaza, la advertencia, la vulnerabilidad, y la leyinvestigación de la aplicación y la entidad de respuesta, el NIPC proporciona advertencias oportunas delas amenazas internacionales, el análisis integral y la investigación y aplicación de la leyrespuesta. De acuerdo con loeSitio Web, la misión de la NIPC es

■ "Detectar, disuadir, evaluar, prevenir, responder, e invertirípuerta de los actos ilícitos que involucran las tecnologías informática y de información y de los actos ilícitos, tanto físicos y cibernéticos, que amenazar o atacar nuestras infraestructuras críticas

■ Administrar equipo intrusión las investigaciones

■ Apoyo a la aplicación de la ley, lucha contra el terrorismo, y contrainteligencia extranjera

■ Misiones relacionadas con los delitos cibernéticos y intrusión

■ Apoyar a las autoridades nacionales de seguridad cuando los actos ilícitos van más allá de la delincuencia y son en el extranjero patrocinados por los ataques a interés de los Estados Unidose

■ Coordíla formación de investigadores cibernéticos Nate y protectores de infraestructura en gobiernoción y el RPítor privado "

• El Instituto SANS (www.sans.org ). Compuesto por profesionales de la seguridad, auditores, así como los administradores de sistemas y redes, la misión del Instituto SANS es compartir las lecciones que han aprendido y encontrar soluciones a los desafíos que enfrenta la comunidad de seguridad informática en general. En el corazón de SANS son los profesionales de la seguridad en muchas agencias gubernamentales, corporaciones y universidades de todo el mundo que ofrecen a cientos de horas-hombre cada año la investigación y la enseñanza para ayudar a toda la información seguridad de la comunidad.

• La Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) (www.cybercrime.gov). Una división del Departamento de Justicia de EE.UU., CCIPS consistenede los abogados que se centran exclusivamente en las cuestiones planteadas por la computadora y la propiedad intelectual crimen. Abogados CCIPS ayudar a

■ Asesorar a los fiscales federales y agentes de aplicación

de la leyeOpina sobre la legislación y proponer

■ Coordínate los esfuerzos internacionales para combatir la delincuencia informática

■ Litícasos de puerta


http://www.sans.org/


■ Capacitar a los grupos de aplicación de la ley

Otro áreas de conocimiento que poseen los abogados CCIPS incluyen el cifrado, las leyes electrónicos pri-Vacy, registro e incautación de las computadoras, comercio electrónico, las investigaciones de hackers, y delitos de propiedad intelectual.


• El Computer Security Resource Center (CSRC) (www.csrc.nist.gov ). Como una división del Instituto Nacional de Estándares y Tecnología, la misión de la CSRC, por su página web, es ayudar a mejorar la seguridad informática por

■ "El aumento de la conciencia de los riesgos de TI, vulnerabilidades, y los requisitos de protección, espe-particularmente para las tecnologías nuevas y emergentes

■ Investigar, estudiar y asesorar a los organismos de vulnerabilidades de TI, y la elaboración de las técnicas de la seguridad económica y la privacidad de los sensibles sistemas federales

■ Elaboración de normas, parámetros, pruebas y validación de programas de: promover, medir y valoresífecha de la seguridad en los sistemas y servicios; a Edúcate a los consumidores, y establecer al mínimum requisitos de seguridad para los sistemas federales

■ Desarrollar una guía para aumentar asegurar las TI de la planificación, ejecución, gestión, y la operación "

Tendencias futuras de la tecnología de seguridadComo la sociedad se ha vuelto cada vez más dependientes de los ordenadores para crear, transmitir y almacenar los documentos esenciales y de datos, la cantidad de robos no autorizada de información confidencial almacenada en y transmitida de ordenadores ha aumentado proporcionalmente. Como resultado, las tendencias actuales en la tecnología de seguridad están dirigidas a la mejora de los sistemas de seguridad existentes, centrándose en nuevos requisitos de seguridad y / o satisfacción del cliente. Ejemplos de esto son intrusión la detección de sistema-MET (IDSS) y los cortafuegos. Con las mejoras constantes, IDS y firewalls están siendo continuamente mejorado para producir menos falsos positivos al tiempo que mejora su estabilidad y fiabilidad general. En adi-ción, el movimiento hacia la integración de varios dispositivos de seguridad informática, tales como el IDSS y servidores de seguridad - también está empezando a aparecer.

Otro área de seguridad informática que es cierto para mostrar grandes avances es el mejorar la-ción de la seguridad de las tecnologías inalámbricas. El acceso inalámbrico es rápidamente la ampliación de alcance de la red, proporcionando un acceso cómodo y barato, sobre todo en lugares de difícil acceso para el cableado. Como las redes de expandirse más allá de las fronteras físicas, los usuarios inalámbricos de ordenador luchan por mantener el control sobre el uso de la red, la privacidad y seguridad. Afortunadamente, la industria inalámbrica ha respondido con técnicas de seguridad inno-vadoras, tales como Rapid Re-codificación, Protocolo de Integridad de Clave Temporal (TKIP) y Advanced Encryption protocolo Standard (AES), que ayuda a ofrecer un conjunto de herramientas de seguridad más eficaz a la comunidad inalámbrica.

La capacidad de reaccionar rápidamente a los incidentes de seguridad cuando se producen es

http://www.csrc.nist.gov/

la parte fundamental y esencial componente de la mayor parte de un plan de seguridad global. Tendencias futuras en la seguridad de la computadora sin duda se ocupará de este tema y pueden incluir un aumento en la externalización de los servicios de seguridad. Esto se debe principalmente a consecuencia de la creciente complejidad en la gestión de la seguridad y el aumento del riesgo y la gravedad de las amenazas de seguridad que enfrentan las organizaciones hoy en día. En el futuro, la autenticación fuerte también jugará un papel clave e incluso puede actuar como base para los sistemas monetarios flexibles y seguras. El campo de la seguridad informática está en continua evolución, y es común ver a más preguntas que hay soluciones.


Resumen del capítuloComo consecuencia de las secuelas del 11 de septiembre, la sociedad ha comenzado a tomar interés en la conciencia de seguridad y el terrorismo. Individuosais y de las organizaciones se están dando cuenta de que tienen en su lugar las infraestructuras básicas y los procesos estándar para la gestión de la vulnerabilidad, la gestión de crisis y manejo de incidentes son un necesidad para mitigar los riesgos, daños y la interrupción del negocio. Toma de conciencia general, la seguridad básica y la seguridad informática ha mejorado drásticamente en comparación con las políticas de seguridad en lugar de sólo unos pocos años atrás. - Los tiempos de respuesta a los ataques, emergencias y graves vulnerabilidades remotas nuevas - han mejorado notablemente, sobre todo en las empresas comerciales y organizaciones de gran tamaño. Sin embargo, la experiencia nos recuerda que los hackers, crackers, y otros códigos maliciosos se continuaéque proliferan en la Internet del futuro, y van a utilizar métodos sofistica-domesticadas y la novela de ataque. Esto forzamientoéla comunidad de seguridad informática para contrarrestar mediante el desarrollo de nuevas herramientas y métodos para combatir esas amenazas y la captura de las pruebas de enjuiciar a ciber criminais.


• El análisis de varios métodos de ataque del mundo real y cómo la falta de preparación y falla uno para actualizar y parchar los sistemas vulnerables pueden tener efectos devastadores

• ¿Cómo las lecciones aprendidas de otras personas puede ayudar a perfilar los futuros procedimientos de respuesta a incidentes y la seguridad informática en general,

• Los sitios populares de Internet donde se puede hasta al día la información se encuentran en relación con equipo seguincidentes ridad y la medicina forense

• Una visión general de algunas de las tendencias futuras en la tecnología de la información de seguridad

Apéndice A

¿Qué hay en el CD-ROMEn este apéndice se proporciona información sobre el contenido del CD que acompaña a este libro. Para la información más reciente y más grande, por favor, consulte el archivo README situado en el directorio raíz del CD. Esto es lo que encontrará:

• Requisitos del sistema

• Uso del CD de Windows y Linux

• ¿Qué hay en el CD

• Solución de problemas

Requisitos del sistema

Asegúrese de que el equipo cumple los requisitos mínimos del sistema Usted en esta sección. Si su equipo no coincide con la mayoría de estos requisitos, usted puede tener un problema con el contenido del CD.

Para Windows 9x, Windows 2000, Windows NT4 (con Service Pack 4 o posterior), Windows Me o Windows XP:

• PC con un procesador Pentium a 120 MHz o más rápido

• Al menos 32 MB de memoria RAM total instalada en el equipo; para un mejor rendimiento, por lo menos 64 MB, se recomienda

• Espacio libre en disco de al menos 50 MB para la instalación de todos los servicios públicos

• Tarjeta de interfaz de red Ethernet (NIC) o un módem con una velocidad de al menos

28.800 bps

• Una unidad de CD-ROM

Para Linux:

• PC con un procesador Pentium a 90 MHz o más rápido

• Al menos 32 MB de memoria RAM total instalada en el equipo; para un mejor rendimiento, por lo menos 64 MB, se recomienda

• Tarjeta de interfaz de red Ethernet (NIC) o un módem con una velocidad de al menos 28.800 bps

• Una unidad de CD-ROM

247


Uso del CD de WindowsPara instalar los temas del CD al disco duro, siga estos pasos:

1. Inserte el CD en la unidad CD-ROM de su ordenador.

2. Aparecerá una ventana con las siguientes opciones: Instalar, Explorar, libros electrónicos, y Salir.

Instalación: Te da la opción de instalar el software suministrado y / o el autor-creó ejemplos en el CD-ROM.

Explora: Permite ver el contenido del CD-ROM en su estructura de directorios.

Libro-e: Permite ver una versi electrónicaón del libro.

Salida: Cierra la ventana de ejecución automática.

Si no han de ejecución automática habilitada, o si la ventana de ejecución automática no aparece, siga estos pasos pasos para acceder al CD:

1. Haga clic en Inicio → Ejecutar.

1. En el cuadro de diálogo que aparece, escriba d : \ Setup.exe , DondeUfes la letra de la unidad de CD-ROM. Esto nos lleva a la ventana de ejecución automática se describe en el conjunto anterior de pasos.

2. Elija la instalación, Explora, libro electrónico, o la opción de salida de los hombresú. (Vea el Paso 2 en la la lista anterior para una descripción de estas opciones.)

Uso del CD con LinuxPara instalar los temas del CD al disco duro, siga estos pasos:

1. Inicie sesión como root.

2. Inserte el CD en la unidad CD-ROM de su ordenador.

1. Si el equipo se ha auto-montaje habilitado, esperar a que el CD para montar. De lo contrario, siga estos pasos:

una. Instrucciones de línea de comandos:

En el símbolo del sistema:

mount / dev / cdrom / mnt / cdrom

(Esta monta el CD-ROM dispositivo para el mnt / cdrom directorio. Si el dispositivo

cuenta con una dife-ent ñame, el cambio CD-ROM a dicho dispositivo ñAME - por ejemplo, CD-ROMl.)

Apéndice A: ¿Qué hay en el CD-ROM

249

b. Gráfica: Haga clic con el IC de CD-ROMón en el escritorio y seleccione el Monte de CD-ROM. Con esto se montará el CD-ROM.

4. Explorar el CD y siga las instrucciones de instalación individuales para la producciónísUsted a continuación.

4. Para extraer el CD de la unidad de CD-ROM, siga estos pasos:

una. Instrucciones de línea de

comandos:

En el símbolo del sistema:

umount / mnt / cdrom

b. Gráfica: Haga clic con el IC de CD-ROMón en el escritorio y seleccione UMountCD-ROM. Esto desmonta la unidad de CD-ROM.

¿Qué hay en el CDLas siguientes secciones proporcionan un resumen del software y otros materiales que encontrarás en la el CD.

Listas de autorA continuación se presentan las listas de verificación que describen los pasos básicos y los procedimientos para la recolección de datos, la preservación de pruebas, y respuesta a incidentes. Más listas de control se encuentra en el CD.

DESARROLLO DE UNA SEGURIDAD de respuesta a incidentes

❑ Definir su organización'S la estructura general de respuesta a incidentes.

❑ Desarrollar e implementar mecanismos de alerta que permitan una acción rápida.

❑Establecer una estructura de información centralizada.

❑ Designar y capacitar al personal de respuesta a incidentes.

PREPARACIÓN DE LOS SISTEMAS DE RECOPILACIÓN DE DATOS

❑ Habilitar el registro y la auditoría en todas las estaciones de trabajo y servidores.

❑ Haga todas las estaciones de trabajo y servidores de tiempo sincronizados

con un fiable y precisa Servidor horario de Internet, como www.time.nist.gov .

❑ El uso de sellado de tiempo y asegurarse de que la verificación de los sellos de tiempo dentro de su sistema no se puede modificar o distorsionada.

❑ Identificar los dispositivos de red mediante la creación de un mapa de red para servir como una representación gráfica de línea de base y los dispositivos de la red para referencia futura.

http://www.time.nist.gov/


DETECCIÓN DE CÓDIGO MALICIOSO e intrusos

❑ Analizar los procesos anormales del sistema a través del Administrador de tareas de Windows o de terceros herramientas como Process Explorer.

❑ Detectar archivos inusuales o escondidos mediante la modificación de Windows para mostrar ciertos tipos de archivos ocultos.

❑ Lócate rootkits y puertas traseras en los sistemas Unix y Linux mediante el uso de programas de terceros como Intacta por el software de pedestal o por medio de la inspección manual.

❑ Seuna de puertas traseras y sniffers de red mediante el netstat-n y ifconfig-a comandos.

Recuperar y analizar PISTAS

❑ Realice búsquedas de palabras clave que utilizan las herramientas de terceros como el investigador del disco o BinTex.

❑ LóCate y examinar el archivo de intercambio de Windows para las pruebas. En Windows 95/98/ME, el archivo de intercambio se llama win386.swp, y en Windows NT/2000/XP, se llama pagefile.sys.

❑ Lócar y recuperar el correo electrónico pruebas. Mensajes de correo electrónico se pueden encontrar en una serie de dife-rentes lugares, tales como buzón de correo electrónico del remitente / salida, el buzón de un servidor de red, o los medios de copia de seguridad.

❑ Recuperar datos desde la memoria caché del navegador web y la historia. Cachés web revelan mucho acerca de los sitios Web que un usuario ha visitado. La mayoría de los navegadores web actuales (por ejemplo, Internet Explorer y Netscape Navigator) proporciona servicios de caché web y mantener la navegación historia.

❑ Reunir pruebas de la cola de impresión de Windows (EMF). Aunque nunca un usuario guarda un documento de procesamiento de textos, las versiones temporales de documentos de procesamiento de textos-algunos-veces permanecen en el disco duro.

❑ Lócate de datos en las extensiones de archivos ocultos o enmascarados. Asegúrese de seuna de las pruebas escondidas en las imágenes esteganográficos y protegidos con contraseña archivos comprimidos.

Procedimientos básicos para recoger y preservar evidencia

❑ Entender la volatilidad de las pruebas. Algunas pruebas, como los datos en la RAM de la computadora, sólo existe mientras el ordenador está encendido.

❑ Crése comió un disco de arranque en modo real, porque el simple acto de encender el ordenador puede destruir posibles pruebas. Mediante el uso de un especial modo real disco de arranque, un forense de investi-gación puede llevarse a cabo sin tener que arrancar el ordenador a través de la unidad de disco duro.

❑ El uso de analizadores de paquetes para reunir pruebas. Investigaciones informáticas a veces justificar la captura de "vivos" de datos a medida que viaja en el tiempo real a través de equipo de una organización red.


251

❑ Construir un conjunto de herramientas forenses. Esencial para cualquier investigación de equipos, herramientas vienen en dos tipos, aquellos que se monten a sí mismo ya los pre-fabricados que se descargan o COMPRA como una suite de cualquier uno de los muchos proveedores de software forense.

❑ Sigue una cadena de custodia. La cadena de custodia es un registro de manejo de la evidencia desde el momento del embargo a la vez la evidencia es presentada en un tribunal de justicia.

❑ Asegúrese de que la admisibilidad de las pruebas a través de la autenticación. Antes de que un registro de la computadora puede ser utilizada como prueba, en primer lugar, debe ser probado para que sea auténtico.

INCIDENTE DE CONTENCIÓN Y ERRADICACIÓN DE LA VULNERABILIDAD

❑ Contener el incidente. El objetivo es limitar el alcance y la magnitud de un incidente de pre-ventilar el incidente de causar más daño.

❑ Determinar el riesgo de las operaciones continuadas. Si el sistema contiene información clasificada o sensible-tiva o si los programas críticos corren el riesgo de quedar dañado, por lo general se recomienda que el sistema se apague o por lo menos temporalmente desconectado de la red.

❑ Sever conexiones de red e Internet. Por ejemplo, si un virus de la salud sea grave, como un gusano de rápida propagación o el caballo de Troya peligroso, Ud. debe reportar inmediatamente des-conectar el ordenador infectado de la red.

❑ Comprender los riesgos del uso de recursos compartidos de red y el archivo. Muchos virunses y los gusanos se utilizan acciones de archivos de red como un medio para apuntalarála puerta a través de una red.

❑ Establecer un modelo de confianza. Un modelo de confianza es un medio para ayudar a reconocer y visualizar los distintos grados de confianza, intencionalmente o no concedido a individuosais, basado en los riesgos asociados a la concesión de la confianza.

❑ Cambie periódicamente las contraseñas. Las contraseñas son una de las primeras líneas de defensa que tienen los usuarios para proteger sus sistemas. Cambiar con frecuencia o después de un compromiso del sistema es obligatoria.

❑ Promover la concienciación sobre la seguridad mediante el uso de las estrategias multimedia de documentación que puede ser fácilmente o de forma periódica a todos los miembros de la organización.

RECUPERACIÓN DE DESASTRES Y SEGUIMIENTO

❑ Desarrollar un Plan de Recuperación de Desastres. Saber cómo reaccionar adecuadamente en una emergencia es fundamental para la toma de decisiones que reduzcan al mínimo el daño resultante y restaurar rápidamente operaciones.

❑ Desarrollar procedimientos de registros de incidentes. Los métodos utilizados para CRécomió sus registros deben ser documentados para asegurar la capacidad de recuperar, leer y utilizar esos registros en el futuro.

❑ Utiliza un sistema de alimentación ininterrumpida (SAI). En el caso de una falla de energía, una generación de Tor no puede suministrar la energía necesaria para mantener ininterrumpida la operación de sistema informático o realizar un cierre ordenado de una estación de trabajo o servicion


❑ Realice copias de seguridad periódicas. Cuando ocurre un desastre, una copia de seguridad puede ser la única esperanza de recuperar los datos originales.

❑ Después de un incidente, para supervisar los sistemas de actividad inusual o sospechosa. Además, un post-mortem examen debe llevarse a cabo para que la organización puede aprender de la experiencia y, si es necesario, actualizar sus procedimientos.

❑ Anticípaté y un plan para futuros ataques. Correctamente la previsión y la planificación de las interrupciones imprevistas de las operaciones de negocio es importante para mantener la competitividad.

SoftwareEl CD contiene el siguiente shareware, freeware y software de prueba / demo programas para las plataformas Windows y Linux. Como herramientas básicas para llevar a cabo una in-house equipo de investigación forense, estos programas le ayudan a recopilar, preservar y analizar la evidencia relacionada con la informática.

• Autopsia Forense navegador (Software de prueba) es una interfaz gráfica a la Pieza de línea de comandosambientales herramientas de análisis forense en el kit de juego Sleuth @ (tarea). Juntos, TAREA y Autopsia proporcionan muchas de las mismas características comerciales de las herramientas de análisis forense digital para el análisis de los sistemas de archivos de Windows y Unix (NTFS, FAT, FFS, ext2fs y Ext3FS). Para información adicional, visite www.atstake.com/research/tools/autopsy/~~V.

• Byteback, por Assist Tech, Inc., es una demostración profesional de recuperación de datos y el ordenador-investiga-ción de servicios públicos. Algunos de sus principales características son la posibilidad de clonar un disco o una imagen utilizando una copia del sector físico de la mayoría de los medios de comunicación a gustar los medios de comunicación (clon) o un archivo comprimido (imagen). Byteback puede reparar automáticamente las particiones y discos de arranque de FAT12, FAT16, FAT32 y NTFS, y ofrece la recuperación de archivos individuales para estos entornos. Byteback contiene un editor de sector de gran alcance para trabajar con datos en bruto. Para obtener más informacióninformación, visite www.toolsthatwork.com / byte.shtml.

• Cain & Abel es una herramienta de recuperación de contraseña para los sistemas operativos de Microsoft. Se permite una fácil la recuperación de varios tipos de contraseñas por inhalación de la red, agrietamiento cifrados pasan de palabras a partir de diccionario y ataques de fuerza bruta, la decodificación revueltos contraseñas, revelan-Ing cuadros de contraseña, y el análisis de protocolos de enrutamiento. Para obtener más información, visitewww.oxid.it / projects.html.

http://www.oxid.it/projects.html

http://www.toolsthatwork.com/byte.shtml

http://www.atstake.com/research/tools/autopsy/

• Kiwi Syslog Daemon es un demonio del syslog freeware para Windows. Recibe, registra,pantallas, y remite mensajes del syslog de los anfitriones, tales como routers, switches, Unixanfitriones, y cualquier otro dispositivo habilitado para syslog. Para obtener más información, visite www.kiwisyslog.com.

• MaresWare suite (Software de prueba) proporciona un conjunto de herramientas para la investigación de los registros informáticosademás de las capacidades de análisis de datos. Esta suite paquete de más del 40 septiembreáprogramas de tarifas permite a losque para llevar a cabo una variedad de tareas y le da el control para llevar a cabo una investigación oanálisis en la forma que desee. Para obtener más información, visite www.dmares.com/ maresware / suite.htm.

http://www.dmares.com/


253

• Incautación PDA (Demoware), por el paraben, es una completa herramienta que permite que los datos de PDA a adquirir, ver, e informaron sobre, todo ello en un entorno Windows. Para obtener más información, visite www.paraben-forensi es.com / pda.html .

• ProDiscover DFT (Demoware), por Caminos de Tecnología, ofrece a los examinadores forenses una aplicación integrada de Windows para la recolección, análisis, gestión y presentación de informes de las pruebas disco de la computadora a un precio asequible. Las características incluyen la capacidad de generaciónétasa de flujo de bits de copia de disco a disco nuevo, recuperar archivos eliminados que figuran en el espacio de holgura y de visualización de datos contenidos en Windows NT/2000 Altéflujos de datos rnate. Dado que este producto se actualiza con frecuencia, visite www.techpathways.com actualizaciones de productos y adicionales información.

• RegCleaner es un programa fácil de usar freeware que permite que el usuario para detectar y eliminar oíd y obsoletas del registro enFRies. Las características incluyen la capacidad de eliminar los tipos de archivos, oíd de software enFrios, y los archivos no utilizados DLL. Para obtener más información, visitewww.vtoy.fi/jvl6/shtml/regcleaner.shtml.

• El @ stake Sleuth Kit (TASK) software de código abierto permite a un investigador para examinar los sistemas de archivos de un ordenador de una manera no intrusiva. TAREA es una colección de basados en Unix de línea de comandos herramientas que se pueden analizar las ECAs NTFS, FAT, ext2fs y Ext3FS sistemas de archivos. TAREA lee y procesa las estructuras del sistema de archivos y por lo tanto no requiere el apoyo del sistema operativo para los sistemas de archivos. Estos pueden ser usados durante la respuesta a incidentes en los sistemas vivos a pasar por alto los ficheros del núcleo y punto de vista que están siendo ocultadas por los rootkits. Para obtener información adicional, visita www.atstake.com/research/tools/task/~~V.

• Ultícompañero de ZIP Cracker (Software de prueba), por el VDG de software, está diseñado para recuperar las contraseñas perdidas para varios tipos de archivos, tales como: MS-Word (*. DOC) en la Oficina 97-XP, MS-Excel documentos (*. XLS) en la Oficina 97-XP y archivos ZIP creados por PKZIP, WinZip y muchos otros. El programa utiliza un Asistente para contraseña y proporciona un fácil paso a paso de recuperación de contraseña. Para obtener más información, visitewww.vdgsoftware.com / uzc.html.

Shareware adicional, freeware y software de prueba / demo informática forense programas para las plataformas Windows y Linux son Usted continuación.

Producto ÑAME Empresa ÑAME Tipo de software URL

Advanced Password ElcomSoft Co. Ltd. shareware www.elcomsoft.com

Recuperación de software

http://www.elcomsoft.com/

http://www.vdgsoftware.com/uzc.html

http://www.atstake.com/research/tools/task/

http://visit/

http://www.vtoy.fi/jvl6/shtml/regcleaner.shtml

http://www.techpathways.com/

http://www.paraben-forensi/

Automachron Un individuo de codificación

gratuito www.oneguycoding.com/

Automachron

BlindWrite Suite VSO-Software Demo www.blindwrite.com

Conversiones Plus DataViz, Inc. juicio www.dataviz.com

Seguido

http://www.dataviz.com/

http://www.blindwrite.com/

http://www.oneguycoding.com/


(Continuación)

Producto ÑAME Empresa ÑAME Tipo de software URL

Detective Tech Assist, Inc. Demo www.toolsthatwork.com

dtSearch Desktop dtSearch Corp. evaluación www.dtsearch.com

E-mail Examiner Paraben Corporation Demo www.paraben-forensics.com

Emulador Paragon Technologie Demo www.paragon-gmbh.com

Personal Edition GmbH

F.I.R.E. DMZ Services, Inc. Demo www.dmzs.com

LADS Frank Heyne Software gratuito www.heysoft.de / index.htm

LC4 Atstake Limited juicio ~~V

lc/application/lc4setup.exe

Linux dd Red Hat Software, Inc. gratuito www.redhat.com

Nmap Fyodor gratuito www.insecure.org/nmap/

Índex.html # download

OfficeRecovery Recoveronix Ltd. Demo www.officerecovery.com

Empresa

pdd Paraben Corporation Demo www.paraben-

forensics.com

PLAC desconocido gratuito http://sourceforge.net/

~~V proyectos y plac

TRINUX desconocido gratuito http://trinux.sourceforge.net

UniAccess ComAxis Tecnología Demo www.comaxis.com

WinHex X-Ways Software

Technology

shareware www.x-ways.com

Para obtener descripciones de los productos enumerados anteriormente, consulte el archivo Read Me en el CD.Programas shareware son totalmente funcionales versiones de prueba de los programas de

derechos de autor. Si te gusta un programa en particular, registrar a sus autores por una tarifa nominal y recibir licencias, versiones mejoradas y soporte técnico. Programas Freeware son juegos con derechos de autor, las aplicaciones y utilidades que son gratis para uso personal. A diferencia de version de prueba, estos programas no requieren de una cuota o prestar apoyo técnico. El software GNU se rige por su propia licencia, que se incluye en el interior la carpeta del producto GNU. Vea la Licencia GNU para más detalles.

http://www.x-ways.com/

http://www.comaxis.com/

http://trinux.sourceforge.net/

http://sourceforge.net/

http://sourceforge.net/

http://www.parabenforensics.com/

http://www.parabenforensics.com/

http://www.officerecovery.com/

http://www.insecure.org/nmap/

http://www.insecure.org/nmap/

http://www.redhat.com/

http://www.atstake.com/research/

http://www.atstake.com/research/

http://www.heysoft.de/index.htm

http://www.dmzs.com/

http://www.paragon-gmbh.com/

http://www.paraben-forensics.com/

http://www.dtsearch.com/

http://www.toolsthatwork.com/

Prueba, demostración o evaluación versiones suelen ser limitados, ya sea por tiempo o funcionalidad (como no ser capaz de salvar los proyectos). Algunas versiones de prueba son muy sensibles a los cambios de fecha del sistema. Si se altera la fecha de su computadora, los programas "time out" y dejará de ser funcional.

Apéndice A: ¿Qué hay en el CD-ROM 255

eBook versión de los Respuesta a Incidentes: Informática Forense Kit de herramientasEl texto completo de este libro es en el CD en formato de documento portátil de Adobe (PDF). Con los ataques a los sitios Web de Internet y las redes que abundan, los usuarios de computadoras se recuerda regularmente de estos hechos. Las organizaciones y empresas que realizan operaciones a través de Internet a menudo tienen sus redes de infiltrados sin su conocimiento. Mientras hay un Internet, también habrá cibernético criminais. Tan pronto como los destinados a industria de la seguridad informáticaúfinales de sofisticados dispositivos contraactuación, intenta descubrir que se derivarán igualmente sofisticado Hack-res. Ser cautelosos y vigilantes restante servirá para inhibir en gran medida los ataques cibernéticos sobre organización de negocios, y los sistemas personales de los usuarios. El propósito de este libro es proporcionar la información y las herramientas para esta tarea en un fácil de leer. Se permitirá a cualquier persona para responder de manera efectiva a los incidentes, mientras que al mismo tiempo la recolección y preservación de evidencia clave.

Puede leer y buscar a través de el fichero con el programa Adobe Acrobat Reader (también incluido en el CD). Adobe Acrobat Reader es un software libre para la visualización de formato de documento portátil (PDF) archivos y es compatible con casi todas las principales plataformas de sistemas operativos.

Solución de problemasSi tiene dificultades para instalar o utilizar cualquiera de los materiales en el CD, probar el seguimientoque ofrece soluciones para:

• Desactive cualquier software antivirus que pueda estar ejecutándose. Instaladores veces imitan la actividad del virus y puede hacer que su equipo creen erróneamente que se está infectado por un virus. (Asegúrese de activar el software antivirus de nuevo más tarde.)

• Ciósí todos los programas en ejecución. Cuantos más programas que está ejecutando, menos memoria que está disponible para otros programas. Los instaladores también suele actualizar los archivos y programas, si se mantiene otros programas en ejecución, la instalación puede no funcionar correctamente.

• Referencia del Léame. Por favor, consulte el archivo README situado en el directorio raíz del CD-ROM para la información más reciente en el momento de la publicación.

Si todavía tiene problemas con el CD, por favor, calyola atención al cliente el número de teléfono: (800) 762 a 2974. Fuera de los Estados Unidos, calyo1 (317) 572-3994. También puede comunicarse con Servicio al Cliente por e-mail a techsupdum @ wi 1ey.com. Wiley Publishing, Inc. proporcionará apoyo técnico sólo para la instalación y otros temas generales de control de calidad, para el apoyo técnico en la aplicaciones propias, consulte con el proveedor del programa o el autor.

Apéndice B

Los puertos son atacadas comúnmenteLa siguiente tabla muestra ejemplos de puertos comúnmente atacadas explotadas por los hackers y troyanos. Si usted encuentra sondas dirigidas contra los puertos que normalmente no se utilizan, puede ser alguien que intenta conectarse a un troyano dentro de su red. Tenga en cuenta que algunos troyanos se puede configurar para usar cualquier puerto y que los ilustrados aquí no son más que los números de puerto usados. El conocimiento de estos puertos comúnmente atacadas ayuda a que sea más fácil localizar la causa de una intrusión de seguridadsión, y para ayudar a protegerse contra futuros ataques.

Puerto # Protocolo Tipo de ataque

0 ICMP Haga clic en atacar a

8 ICMP Ping ataque

9 UDP Chargen

19 UDP Chargen

21 TCP El servicio FTP, Dolly de Troya

23 TCP Servicio Telnet

25 TCP SMTP, Antigen

31 TCP Agente 31, Hacker's Paradise

41 TCP Garganta Profunda

53 TCP DNS

58 TCP El programa de instalación de MS

69 TCP W32.Evala.Worm

70 TCP W32.Evala.Worm

79 TCP Firehotcker

80 TCP Ejecutor

Seguido 257

http://W32.Evala.Worm/

http://W32.Evala.Worm/



90 TCP Ocultos 2.0 puerto

110 TCP ProMail Troya

113 TCP Kazimas

119 TCP Happy99

121 TCP Jammer Killah

129 TCP Password Generator Protocolo

135 TCP / UDP NetBIOS remota CALyo

137 TCP / UDP NetBIOS ñAME (ataque DoS)

138 TCP / UDP Datagramas NetBIOS

139 TCP UDP Sesión NetBIOS (ataque DoS)

146 TCP Infector 1,3

421 TCP Los wrappers TCP

456 TCP Hacker's Paradise

531 TCP Rasmin

555 TCP Sigilo espía, Phaze, 7-11 de Troya

666 TCP Ataque FTP

777 TCP AIM aplicación espía

901 TCP Backdoor.Devil

902 TCP Backdoor.Devil

911 TCP Dark Shadow


1000 TCP Der Spaeher

1001 TCP Silencer, WebEx

1011 TCP Hacer Yomente de Troya



1024 TCP NetSpy

1025 UDP Disidente's Matriz de 1.2-2.0

Apéndice B: Los puertos son atacadas comúnmente 259


1027 TCP ICQ

1029 TCP ICQ

1032 TCP ICQ

1033 TCP NetSpy

1034 TCP Backdoor.Systec

1042 TCP Bla Troya

1045 TCP Rasmin

1090 TCP Xtreme

1170 TCP Voz de streaming de audio

1207 TCP Softwar

1214 TCP Uso compartido de archivos KaZaa (no es un troyano)

1234 TCP Ultors Troya

1243 TCP SubSeven

1245 TCP VooDoo Dolí

1269 TCP Disidente's Matriz

1349 UDP BackOrifice DLL Comm

1394 TCP GoFriller, Backdoor G-1

1492 TCP FTP99CMP

1505 TCP / UDP FunkProxy

1509 TCP Psyber Streaming Server

1533 TCP Backdoor.Miffice

1600 TCP Shivka-Burka

1604 TCP / UDP Examinador ICA

1722 TCP / UDP Backdoor.NetControle

1807 TCP SpySender

1981 TCP Shockrave

1999 TCP BackDoor

Seguido



2000 TCP / UDP BackDoor.Fearic

2001 TCP Trojan Cow

2002 TCP TransScout

2003 TCP TransScout

2004 TCP TransScout

2005 TCP TransScout

2023 TCP Destripador

2090 TCP Backdoor.Expjan

2115 TCP Errores

2140 TCP / UDP Garganta Profunda

2155 TCP lllusion Mailer

2283 TCP HLV Rat5

2565 TCP Huelguista

2583 TCP WinCrash

2716 TCP La Oración de 01.02 a 01.03

2721 TCP Fase Cero

2801 TCP Phineas Phucker

2989 UDP Rata

3024 TCP WinCrash

3028 TCP Ring Zero

3129 TCP Maestro's Paradise

3150 TCP / UDP Garganta Profunda

3256 TCP W32.HLLW.Dax

3332 TCP Q0 BackDoor

3410 TCP OptixPro.12

3456 TCP / UDP Backdoor.Fearic

3459 TCP Eclipse 2000

http://W32.HLLW.Dax/

3700 TCP Portal of Doom



3737 TCP Backdoor.helios

3791 TCP Eclypse

3801 UDP Eclypse

4092 TCP WinCrash

4100 TCP WatchGuard Firebox administrador DoS Expl

4128 TCP Backdoor.rcserv

4567 TCP Lima de uñas

4590 TCP ICQ Troya

5000 TCP Sokets de Trois v1./Bubbel

5001 TCP Sokets de Trois v1./Bubbel

5011 TCP Ootlt

5031 TCP Red Metropolitana de 1,0

5032 TCP Red Metropolitana de 1,04

5152 TCP Backdoor.laphex.client

5321 TCP Firehotcker

5400 TCP Blade Runner



5503 UDP Shell remoto de Troya

5512 TCP Xtcp

5521 TCP lllusion Mailer

5550 TCP Xtcp

5555 TCP ServeMe

5556 TCP BO Fácil

5557 TCP BO Fácil

5558 TCP Backdoor.Easyserv

5569 TCP Robo-Hack

Seguido



5637 TCP PC Crasher

5638 TCP PC Crasher

5714 TCP WinCrash

5741 TCP WinCrash

5742 TCP WinCrash

6000 TCP La Cosa 1.6

6112 TCP / UDP Battle.net Juego (no es un troyano)

6346 TCP Gnutella clon (no es un troyano)

6400 TCP La Cosa

6667 TCP Sub-7 de Troya (nuevo ICQ notificación)

6669 TCP Vampyre



6711 TCP SubSeven, Backdoor.G

6712 TCP SubSeven

6713 TCP SubSeven

6723 TCP Mstream ataque del controlador


6776 TCP SubSeven, Backdoor.G

6838 UDP Mstream agente controlador de

6912 TCP Sh * t Montón

6939 TCP Adoctrinamiento

6969 TCP Backdoor.Sparta.B

6970 TCP Puerta Crasher

7000 TCP Grab a distancia

7028 TCP / UDP Troya Desconocido

7300 TCP Net Monitor

http://Battle.net/


Apéndice B: ataca comúnmente Puertos 263





7410 TCP Backdoor.phoenix

7597 TCP QAZ (troyano de acceso remoto)

7614 TCP Backdoor.GRM

7789 TCP ICKiller

7983 UDP MStream gestor-agente

8012 TCP Backdoor.Ptakks.b

8080 TCP Ring Zero

8787 TCP / UDP BackOrifice 2000

8811 TCP / UDP Backdoor.Fearic

8879 TCP / UDP BackOrifice 2000

8888 TCP W32.Axatak

8889 TCP W32.Axatak

9325 UDP MStream agente controlador de

9400 TCP InCommand

9696 TCP Backdoor.gholame

9697 TCP Backdoor.gholame





9876 TCP El atacante de Cyber

9878 TCP Trans Scouts

9989 TCP ¡Ni-Killer

9999 TCP La Oración de 01.02 a 01.03

Seguido



10008 TCP Queso del gusano

10067 TCP / UDP Portal of Doom

10167 TCP / UDP Portal of Doom

10498 UDP Mstream gestor-agente

10520 TCP Shivers ácido

10607 TCP Coma

10666 TCP Emboscada

11000 TCP Senna espía

11050 TCP Control del sistema

11223 TCP ProgenitoraseTroya

11831 TCP Servidor Latino

12076 TCP GJamer

12223 TCP Hack'99, KeyLogger

12345 TCP Netbus, Ultor's de Troya

12346 TCP Netbus

12361 TCP Whack-a-Mole

12362 TCP Whack-a-Mole

12456 TCP NetBus

12631 TCP Whackjob

12701 TCP Eclypse 2000


13000 TCP Senna espía

13700 TCP Kuang2 el Virus


15432 TCP Backdoor.Cyn

16322 TCP Backdoor.Lastdoor

16484 TCP Mosucker

16959 TCP SubSeven DEFCON8 2,1 Backdoor



16969 TCP Prioridad

17300 TCP El virus de la Kuang2

18753 UDP Eje manejador al Agente

20000 TCP Milenio

20001 TCP Milenio

20034 TCP NetBus Pro 2

20203 TCP En línea!

20331 TCP Bla Troya

20432 TCP Eje del cliente a los controladores

20433 TCP Agente del eje a los controladores

20480 TCP Trojan.Adnap

21554 TCP / UDP GirYoAmigo

22222 TCP Prosiak

22784 TCP Backdoor-ADM

23476 TCP Donald Dick

23477 TCP Donald Dick

26274 TCP / UDP Delta Fuente

27374 UDP Sub-7 2.1

27379 TCP Backdoor.optix.04

27444 UDP Trin00/TFN2K

27573 TCP / UDP Sub-7 2.1

27665 TCP TrinOO Ataque DoS

29559 TCP Servidor Latino

29891 TCP La inexplicable

29999 TCP Backdoor.Antilam.20

30029 TCP AOL Troya

30100 TCP NetSphere

Seguido

http://Backdoor.Antilam.20/

http://Backdoor.optix.04/



30101 TCP NetSphere

30102 TCP NetSphere

30133 TCP NetSphere final

30303 TCP Sockets de Troie

30999 TCP Kuang2

31335 UDP TrinOO Ataque DoS

31336 TCP BO-Whack

31337 TCP Netpatch

31337 UDP BackOrifice (BO)

31338 TCP NetSpy DK

31338 UDP Profundo BO

31339 TCP NetSpy DK

31666 TCP BOWhack

31785 TCP Hack'a'Tack

31787 UDP Hack'a'Tack




32418 TCP Ácido de la batería

33270 TCP Trinidad Troya

33333 TCP Prosiak

33390 UDP Troya Desconocido

33911 TCP Espíritu de 2001, un

34324 TCP BigGluck, TN

37651 TCP Sin embargo, otro troyano

40412 TCP El espía

40421 TCP Agente, el capitán's del Paraíso



Apéndice B: Los puertos son atacadas comúnmente





47252 TCP Delta Fuente

47262 UDP Delta Fuente

47891 TCP Backdoor.antilam.20

49301 UDP OnLine keylogger

50505 TCP Sockets de Trois-v2.

50776 TCP Fore

51234 TCP Backdoor.Cyn

53001 TCP Remoto de apagado de Windows

54320 TCP BackOrifice 2000

54320 UDP BackOrifice

54321 TCP Del autobús escolar, BackOrifice

54321 UDP BackOrifice 2000

56565 TCP Backdoor.Osirdoor

57341 TCP / UDP NetRaider Troya

58008 TCP BackDoor.Tron

58009 TCP BackDoor.Tron

59211 TCP BackDoor.DuckToy


61000 TCP Backdoor.mite

61348 TCP Bunker-Hill de Troya

61466 TCP Telecommando



65000 TCP Stacheldraht, Diablo

http://Backdoor.antilam.20/

65535 TCP Adore Worm / Linux

Apéndice C

Ámbito de la orientación en EE.UU. Ley Patriota de 2001El 26 de octubre de 2001, el presidente Bush firmó la Ley Patriota de EE.UU. (USAPA) en la ley. Esta nueva ley ha dado nuevos poderes tanto a la aplicación de la ley nacional e intemlas agencias de inteligencia y operativas ha eliminado los controles y equilibrios que no daban los tribunales la oportunidad de asegurarse de que estos poderes no fueron objeto de abusos. Después está el Departamento de EE.UU. de orientación de campo de Justicia en relación con los delitos informáticos y la recopilación de pruebas electrónicas en el marco del Patriot EE.UU. Ley de 2001.

Delitos Informáticos y Propiedad Intelectual (CCIPS) Guía de campo de nuevas autoridades que se relacionan con delitos informáticos y las pruebas electrónicas, promulgado en la Ley Patriota de EE.UU. de 2001Sección 202 Autoridad para interceptar las comunicaciones de voz en las investigaciones de piratería informáticaLa ley anterior: Bajo la ley anterior, los investigadores no pudieron obtener una orden judicial para interceptar comunicaciones por cable (las relativas a la voz humana) por violaciónes de la Ley de Fraude y Abuso (18 USC § 1030). Por ejemplo, en varias investigaciones, los hackers han robado ferencing teleconferencia-los servicios de una compañía telefónica y se utiliza este modo de comunicación para planificar y ejecutar ataques de piratas informáticos.

Enmienda: La sección 202 modifica la 18 USC § 2516 (1) - la subsección que se enumeran los delitos por los cuales los investigadores pueden obtener una orden judicial para el cable de comunicaciones, mediante la adición de delito grave violaciónes de 18 USC § 1030 a la lista de predídelitos Cate.

Esta provisión llegarían a 31 de diciembre 2005.

269


La obtención de la Sección 209 de buzón de voz y otras comunicaciones de voz almacenadosLa ley anterior: Bajo la ley anterior, la Electronic Communications Privacy Act ("ECPA"), 18 USC § 2703 et seq., Govemed la ley la aplicación de acceso a comunicaciones electrónicas almacenadas (como el correo electrónico), pero no se almacenan de comunicaciones de cable (como el buzón de voz). En cambio, el estatuto de escuchas telefónicas Govemed como el acceso debido a la definición de "comunicación por cable" (18 USC § 2510 (1)) incluye las comunicaciones almacenadas, podría decirse que requiere la aplicación de la ley para usar una orden judicial (en lugar de una orden de registro) para obtener comunicaciones de voz sin abrir. Por lo tanto, las autoridades policiales utilizan una orden judicial para obtener comunicaciones de voz almacenados con un proveedor de terceros, pero podría utilizar una orden de cateo, si esa misma información se almacena en un contestador automático dentro de la casa de un criminal.

Regulación de las comunicaciones electrónicas a través almacenados sección 2510 (1) crea una gran carga e innecesario para las investigaciones criminales. Comunicaciones de voz almacenados poseen algunas de las sensibilidades asociadas con la interceptación en tiempo real de teléfonos, haciendo que la carga extremadamente proceso de obtención de una orden judicial no razonable.

Por otra parte, en gran parte, el marco legal prevé un mundo en el que mediados por la tecnología, las comunicaciones de voz (como el teléfono Calyos) son conceptualmente diferentes de los no-voz (comunicaciones, como faxes, mensajes de buscapersonas y correo electrónico). En la medida limitada de que el Congreso reconoció que los datos y de voz pueden coexistir en una sola transacción, no lo hizo Anticípaté de la convergencia de estos dos tipos de comunicaciones propios de las telecomunicaciones de hoy en día las redes. Con la llegada de MIME Multipurpose Internet Mail Extensions - y características similares, un correo electrónico puede incluir uno o más "Archivos adjuntos" que consiste en cualquier tipo de datos, incluidas las grabaciones de voz. Como resultado, un oficial de policía tratando de obtener de un sospechoso sin abrir el correo electrónico de un ISP a través de una orden de registro (según lo dispuesto en 18 USC § 2703 (a)) no tenía manera de saber si los mensajes de la bandeja de entrada incluyen archivos adjuntos de voz (es decir, comunicaciones por cable) que no podían ser obligados mediante una orden de allanamiento.

Enmienda: La Sección 209 de la Ley altera la forma en que la ley escuchas telefónicas y la ECPA se aplican a las comunicaciones de voz almacenados. Las modificaciones que eliminar "almacenamiento electrónico" de las comunicaciones electrónicas desde la definición de "comunicación por cable" en la sección 2510 y insertar un texto en el sección 2703 para asegurar que las comunicaciones almacenados cables están cubiertos por las mismas reglas que almacenan las comunicaciones electrónicas. Por lo tanto, la aplicación de la ley ahora pueden obtener este tipo de comunicaciones utilizando los procedimientos establecidos en la sección 2703 (tal como una orden de allanamiento), en lugar de aquellos en el alambreestatuto del grifo (tal como una orden de intervención telefónica).

Esta provisión llegarían a 31 de diciembre 2005.

Ámbito de aplicación Sección 210 de citaciones de pruebas

electrónicasLa ley anterior: Subsección 2703 (c) permite que el gobierno utilice una citación para obligar a una clase limitada de información, tales como el cliente ñombre, dirección, tiempo de servicio, y los medios de pago-ción. Antes de las enmiendas de la Sección 210 de la ley, sin embargo, la lista de registros que se inves-Gators podrían obtener con una citación no incluye ciertos registros (como el número de tarjeta de crédito u otra forma de pago por el servicio de comunicación) pertinentes para determinar verdadera identidad de un cliente. En muchos casos, los usuarios se registren con los proveedores de servicios de Internet con falsas ñAmes. Con el fin de mantener estos individuosais responsables de actos delictivos cometidos en línea, el método de pagoción es un medio esencial para determinar la verdadera identidad.

Apéndice C: Guía de campo sobre Ley Patriota de EE.UU. 2001

271

Por otra parte, muchas de las definiciones en la sección 2703 (c), fue la tecnología específica, sobre la enseñanza pri-ilia a las comunicaciones telefónicas. Por ejemplo, la lista incluye "locales y de larga distancia de facturación telefónica al número de registros," pero no incluye términos paralelos para las comunicaciones en redes informáticas, tales como "los registros de los tiempos y la duración de la sesión." Del mismo modo, la lista anterior permitió que el gobierno -mento de utilizar una orden judicial para obtener el cliente "número de teléfono o número de abonado o la identidad de otra," pero no define lo que significa esa frase en el contexto de las comunicaciones por Internet.

Enmienda: Las enmiendas a la sección 2703 (c) actualizar y ampliar la lista reducida de los registros que las autoridades policiales pueden obtener con una citación. El nuevo inciso 2703 (c) (2) incluye "los registros de tiempo de la sesión y la duración", así como "cualquier dirección asignada temporalmente de la red." En el contexto de Internet, estos registros incluyen el protocolo de Internet (IP) asignada por el proveedor para el cliente o abonado para una sesión determinada, así como la dirección IP remota de la que un cliente se conecta al proveedor. La obtención de los registros puedan hacer que el proceso de identificación de equipo criminais y el rastreo de sus comunicaciones por Internet más rápido y más fácil.

Por otra parte, las enmiendas aclaran que los investigadores pueden utilizar una citación judicial para obtener el "medio y fuente de pago" que un cliente utiliza para pagar por su cuenta con un proveedor de comunicaciones ", incluyendo cualquier tarjeta de crédito o número de cuenta bancaria", 18 USC § 2703 (c) (2) (F). Aunque, en general útil, esta información será particularmente valiosa en la identificación de los usuarios de los servicios de Internet que una empresa no verifica la información de sus usuarios biográfica. (Esta segción no está sujeta a la provisi extinciónón en el artículo 224 de la Ley).

Artículo 211 de aclarar el alcance de la Ley de CableLa ley anterior: La ley contiene dos conjuntos diferentes de normas relativas a protección de la privacidad de la comunidadcaciones y su divulgación a la aplicación de la ley: un servicio de cable de gobierno (la "Ley de Cable") (47 USC § 551), y el otro se apliquen al uso del servicio telefónico y acceso a Internet (el estatuto de escuchas telefónicas, 18 USC § 2510 y ss .; ECPA, 18 USC § 2701 y ss;. y el registro de la pluma y el estatuto de la trampa y rastro (la "pluma / trampa de" la ley), 18 USC § 3121 y ss.).

Antes de las enmiendas de la Sección 211 de la Ley, la Ley de Cable establecido un sistema extremadamente restrictivas de las normas que rigen el acceso aplicación de la ley a la mayoría de los registros que posee una compañía de cable. Por ejemplo, la Ley de Cable no permitir el uso de citaciones o incluso buscar garantías para obtener esos registros. En cambio, la compañía de cable tuvieron que dar aviso previo al cliente (incluso si él o ella fueron objeto de la investigación), y el gobierno tuvo que permitir que el cliente pueda comparecer ante el tribunal con un abogado y luego justificar ante el tribunal de la investigación necesidad de obtener los registros. Entonces, el tribunal podría ordenar la divulgación de los registros sólo si se encontró "evidencia clara y convincente", un estándar mayor que la causa probable o incluso una preponderancia de la evidencia de que el suscriptor se "sospecha razonable" de la participación en actividades delictivas. Este procedimiento era totalmente inviable para prácticamente cualquier investigación criminal.

El régimen jurídico creado por la Ley de Cable causado graves dificultades en las investigaciones criminales, porque hoy, a diferencia de 1984 cuando el Congreso aprobó la Ley de Cable, muchas empresas de cable ofrecen no sólo servicios tradicionales de programación por cable, sino también el acceso a Internet y servicio telefónico. En los últimos años, algunas

compañías de cable han negado a aceptar las citaciones y órdenes judiciales de conformidad con el estatuto de la pluma / trampa y la ECPA, teniendo en cuenta la aparente inconsistencia de estos estatutos, con severas restricciones de la Ley de Cable. Ver En la solicitud de re de los Estados Unidos, 36 F. Supp. 2d 430 (D. Mass. 09 de febrero 1999) (teniendo en cuenta el conflicto legal aparente y en última instancia, la concesión de solicitud de orden en virtud del 18 USC 2703 (d) para los registros de la compañía de cable que ofrecen servicio de Internet). El tratamiento de registros idénticos de manera diferente dependiendo de la tecnología utilizada para acceder a Internet no tiene mucho sentido. Por otra parte, estas complicaciones a veces retrasa o terminado las investigaciones importantes.


Enmienda: El artículo 211 de la Ley modifica el Título 47, sección 551 (c) (2) (D), para aclarar que la ECPA, el estatuto de escuchas telefónicas, y la trampa y el estatuto de seguimiento regular las revelaciones de las compañías de cable que se relacionan con la provisión de los servicios de comunicación, tales como los servicios de telefonía e Internet. La enmienda mantiene, sin embargo, la primacía de la Ley de Cable con respecto a los documentos que revelen lo ordinario cable de Televisión la programación de un cliente decide comprar, como particulares de prima canales o "pay-per-view" espectáculos. Así, en el caso de que un cliente recibe acceso a Internet y cable convencional Televisión de servicios de un proveedor de un solo cable, una entidad del gobierno puede utilizar un proceso legal en virtud de ECPA para obligar al proveedor a revelar sólo los registros de los clientes relacionados con el servicio de Internet. (Esta sección no está sujeto a la provisi puesta de solón en la sección 224 de la Ley).

Sección 212 Declaraciones de emergencia por parte de los Proveedores de ComunicacionesLa ley anterior: La ley anterior en relación con la divulgación voluntaria por los proveedores de servicios de comunicaciones era insuficiente en dos sentidos. En primer lugar, no contenía ninguna especial provisión permitiendo a los proveedores para visualizarcerca de los registros de clientes o las comunicaciones en situaciones de emergencia. Si, por ejemplo, un proveedor de servicios de Internet ("ISP") de forma independiente se enteró de que uno de sus clientes era parte de una conspiración para com-MIT un ataque terrorista inminente, la pronta divulgación de la información de la cuenta a la ley cumpli-miento puede salvar vidas. Puesto que proporcionar esta información no estaba comprendida en una de las excepciones establecidas por ley, sin embargo, un proveedor de Internet lo que tal revelación podría ser demandado civilmente.

En segundo lugar, antes de la ley, la ley no autorice expresamente que un proveedor a revelar voluntariamente sin contenido registros (como registros de conexión de un suscriptor) a hacer cumplir la ley con fines de auto-protección, a pesar de que los proveedores podrían revelar el contenido de comunicaciones para esta razón. Véase 18 USC § 2702 (b) (5), 2703 (c) (l) (B). Sin embargo, el derecho de revelar el contenido de las comunicaciones implica necesariamente la posibilidad menos intrusiva a revelar sin contenido registros. Cf. Estados Unidos v Auler, 539 F. 2d 642, 646 n.9 (7th Cir. 1976) (autoridad de la compañía telefónica para monitorear y dar a conocer las conversaciones para proteger contra el fraude implica necesariamente el derecho a cometer menos invasión del uso y divulgación de las frutas de la pluma dispositivo de registro) (citando Estados Unidos v Freeman, 524 F. 2d 337, 341 (7th Cir. 1975)). Por otra parte, como cuestión práctica, los proveedores deben tener el derecho de revelar a la policía los hechos que rodearon los ataques a sus sistemas. Por ejemplo, cuando un ISP hacks de los clientes en la red del ISP, obtiene un control total sobre un servidor de correo electrónico, y lee o modifica el correo electrónico de otros clientes, el proveedor debe tener la capacidad legal de reportar la comdetalles completos del delito a la policía.

Enmienda: Sección 212 corrige estas dos deficiencias en la ley anterior. La sección 212 modifica el inciso 2702 (b) (6) para permitir, pero no exigir, un proveedor de servicios de revelar a la aplicación de la ley de contenido o no el contenido de registros de clientes en casos de emergencia que impliquen un riesgo inme-diata de la muerte o lesiones físicas graves a cualquier

persona. Esta revelación voluntaria, sin embargo, no crécomió una obligación positiva de examinar las comunicaciones de los clientes en la búsqueda de tales peligros inminentes.

Las modificaciones contenidas en la Sección 212 de la Ley ECPA también cambian para permitir que los proveedores a revelar información para proteger sus derechos y la propiedad. Se lleva a cabo este cambio por dos conjuntos relacionados de enmiendas. En primer lugar, las enmiendas a las secciones 2702 y 2703 del título 18 simplificar el tratamiento de la divulgación voluntaria por los proveedores, moviendo todas las disposiciones de 2702. Así, el artículo 2702 regula ahora todas las revelaciones permisivas (de contenido y registros sin contenido igual), mientras que la sección 2703


273

cubre únicamente las divulgaciones obligatorias por parte de los proveedores. En segundo lugar, una enmienda al nuevo inciso 2702 (c) (3) aclara que los proveedores de servicios tienen la autoridad legal de revelar sin contenido registros para proteger sus derechos y la propiedad. Todos estos cambios queden sin efecto al 31 de diciembre 2005.

La Sección 216 de registro de pluma y de Trampa y el Estatuto de seguimientoEl registro de la pluma y el estatuto de la trampa y rastro (la "pluma / trampa" estatuto) regula el potencial col-lección de información de tráfico no contenidos relacionados con las comunicaciones, tales como los números de teléfono marcados por un teléfono en particular. Artículo 216 se actualiza el estatuto lápiz / trampa de tres maneras importantes: (1) las enmiendas aclaran que la policía puede usar la pluma / trampa de las órdenes de rastrear las comunicaciones en Internet y otras redes informáticas, (2) de la pluma / trampa de las órdenes dictadas por los tribunales federales Ahora tienen un efecto en todo el país, y (3) las autoridades policiales deben presentar un informe espe-cial en el tribunal cada vez que utilicen una orden de la pluma / trampa para instalar su dispositivo de vigilancia propia (como DCS1000 del FBI) en los equipos que pertenecen a un proveedor público . En las secciones siguientes se describen estas disposiciones con mayor detalle. (Esta sección no está sujeta a las dis puesta de solsión en la Sección 224 de la Ley).

A. usar la pluma / TRAMPA DE ÓRDENES DE COMUNICACIONES TRACE En las redes informáticasLa ley anterior: Cuando el Congreso aprobó el Estatuto de la pluma / nasa en 1986, no podía anticípaté de la expansi dramáticoón en las comunicaciones electrónicas que se producirían en los siguientes quince años. Por lo tanto, la ley contiene cierto lenguaje que parecía aplicarse a las comunicaciones telefónicas y de forma inequívoca que no abarcan las comunicaciones por redes informáticas. A pesar de numerosos tribunales de todo el país han solicitado la estatua de la pluma / trampa para las comunicaciones en la comunidadlas redes de computadora, ningún distrito federal o tribunal de apelación ha pronunciado de forma expresa en su propiedad. Además, ciertas prílos litigantes privados han cuestionado la aplicación de la ley lápiz / trampa para tales comunicaciones electrónicas, basado en el teléfono específico del lenguaje del estatuto.

Enmienda: La Sección 216 de la Ley de enmienda las secciones 3121, 3123, 3124 y 3127 del título 18 para aclarar que el estatuto de la pluma / trampa se aplica a una amplia variedad de tecnologías de la comunicación. ". Línea u otra instalación" Las referencias a la diana "línea", por ejemplo, se revisan para abarcar una Dicha instalación puede incluir, por ejemplo, un número de teléfono celular; un teleobjetivo celular específicade teléfono identifica por su número de serie electrónico, una cuenta de usuario de Internet o dirección de correo electrónico, o una dirección de Protocolo de Internet, número de puerto o dirección similar red informática o rango de direcciones. Además, porque la ley tiene en cuenta una amplia variedad de estas instalaciones, las enmiendas a la sección 3123 (b) (l) (C) permiten ahora a los solicitantes de las órdenes de la pluma / trampa en aportar una descripción de las comunicaciones que se trazó utilizando cualquiera de estos u otros identificadores.

Por otra parte, las enmiendas aclaran que las órdenes para la instalación de registro de la pluma y la trampa y los dispositivos de rastreo puede obtener cualquier falta de contenido de la información para todos "marcación, enrutamiento, direccionamiento y señalización de la información" - utilizado en el procesamiento y la transmisión de cable y las comunicaciones

electrónicas . Dicha información incluye las direcciones IP y números de puerto, así como la información "a" y "De" que figura en un encabezado de correo electrónico. Pen / trampa de órdenes no pueden, sin embargo, autorizar la interceptación del contenido de una comunicación, tales como palabras en el "asunto" o el cuerpo de un e-mail. Los agentes y fiscales que tengan preguntas acerca de si un determinado tipo de informacióninformación que constituye un contenido debe ponerse en contacto con la Oficina de Operaciones encargados de hacer cumplir en el contexto de teléfono (202-514-6809) o la Sección de Delitos Informáticos y Propiedad Intelectual en la comordenador contexto (202-514-1026).


Además, debido a que el registro de la pluma o la trampa y rastro "dispositivo" a menudo no pueden estar físicamente "unido" a la instalación de destino, la Sección 216 hace dos cambios relacionados con otros. En primer lugar, en reconocimiento de los el hecho de que estas funciones se realizan comúnmente hoy por software en lugar de mecanismos físicos, el estatuto modificado permite el registro de la pluma o trampa y el dispositivo de seguimiento para ser "unido o aplicada" a la instalación prevista. Del mismo modo, el artículo 216 revisa las definiciones de "registro de la pluma" y "trampas y el dispositivo de rastreo" en la sección 3127 para incluir un intangible "proceso" (como un software de rou-diente), que recoge la misma información que un dispositivo físico.

B. EL PAÍS efecto de las órdenes de PEN / TRAPLa ley anterior: Bajo la ley anterior, un tribunal sólo puede autorizar la instalación de un dispositivo de lápiz / trampa "dentro de la jurisdicción de la corte." Debido a la desregulación de las telecomunicaciones en la indus-tria, sin embargo, una sola comunicación puedan ser realizadas por muchos proveedores. Por ejemplo, un teléfono calyopuede ser transportado por un vehículo de cambio competitivo local, lo que le pasa a una empresa de Bell operativo local, lo que le pasa a un proveedor de larga distancia, que se la da a un carrier local en otros lugares en los EE.UU., que a su vez, finalmente podrá entregar a un portador celular. Si estos vehículos no pasan la información con cada fuente de calyo, La identificación de esa fuente puede requerir información convincente de una cadena de proveedores en todo el país - que obliga a un septiembreátipo de orden.

Además, dado que, según la ley anterior, un tribunal sólo puede autorizar la instalación de un dispositivo de lápiz / trampa dentro de su propia jurisdicción, cuando un proveedor se indica que la fuente de una comunicaciónción era un proveedor diferente en otro distrito, una de segundo orden en el nuevo distrito se convirtió es necesario. Esta orden tuvo que ser adquirida por un fiscal de apoyo en el nuevo distrito de un juez federal local - ninguno de los cuales tenía ningún otro interés en el caso. De hecho, en un caso, los investi-gadores necesitan tres septiembreálas órdenes de los tipos de rastrear las comunicaciones de un hacker. Este proceso de duplicación de la obtención de un septiembreáPara la tasa para cada eslabón de la cadena de las comunicaciones ha retrasado o-dada la dificultad de localización en tiempo real - completamente frustradas investigaciones importantes.

Enmienda: La Sección 216 de la Ley se divide la sección 3123 del título 18 del septiembre en dosátipo de disposiciones. Nuevo inciso (a) (l) Otorga a los tribunales federales la autoridad para obligar a la asistencia de cualquier proveedor de servicios de comunicación en los Estados Unidos, cuya asistencia es apropiada para efec-tuate la orden.

Por ejemplo, un fiscal federal puede obtener una orden de rastrear calyos hizo a un teléfono en el distrito local de la fiscalía. La orden se aplica no sólo a la compañía local de servicio de esa línea, sino también a otros proveedores (como el de larga distancia y las compañías regionales en otras partes del país) a través del cual calyos se colocan en el teléfono de destino. En algunas circunstancias, los investigadores pueden tener para servir a la orden en la primera compañía en la cadena y recibir de esa información de la aseguradora identificar el camino de la comunicación para transmitir a la compañía siguiente en la cadena. El investigador entonces servir a la misma orden judicial en el soporte que viene, incluyendo la información de conexión adicional pertinente aprendido de la primera compañía, la segunda aerolínea entonces proporcionar la información de conexión en su poder para la comunicación. El investigador que

repetir este proceso hasta que la orden ha sido notificada al transportista de origen que es capaz de identificar la fuente de la comunicación.

Cuando los fiscales solicitar una orden de la pluma / trampa de utilizar este procedimiento, por lo general no se conoce la ñombre de los proveedores de segundas o posteriores en la cadena de comunicación cubiertas por la orden. Por lo tanto, la aplicación y el orden no necesariamente se ñame a estos proveedores. Las enmiendas a la sección 3123 por lo tanto, especificar que, si un proveedor que solicite, las autoridades deben ofrecer una "certificación escrita o electrónica" que la orden se aplica a ese proveedor.


275

Las modificaciones contenidas en la Sección 216 de la Ley que también permiten a los tribunales para autorizar la instalación y el uso de dispositivos de la pluma / trampa en otros distritos. Así, por ejemplo, si una investigación penal contra el terrorismo o la otra con sede en Virginia descubre una conspiración utilizando un teléfono o una cuenta de Internet en Nueva York, el tribunal de Virginia puede obligar a los proveedores de comunicaciones en Nueva York para ayudar a los inves-caimanes en la recopilación de información en virtud de un lápiz de Virginia / trampa de la orden.

De acuerdo con el cambio anterior, la Sección 216 de la Ley modificatoria del artículo 3123 (b) (l) (C) del título 18 de Elimídominan el requisito de que los federales de la pluma / trampa de las órdenes de especificar sus límites geográficos. Sin embargo, debido a que la nueva ley da cumplimiento a nivel nacional para federales de la pluma / trampa de órdenes, una enmienda a la sección 3127 (2) (A) impone un "nexo" requisito: el tribunal que debe tener competencia sobre el delito en particular se está investigando.

C. INFORMES PARA EL USO DE CUMPLIMIENTO DE LA LEY PEN / TRAMPA DE DISPOSITIVOS En las redes informáticasLa Sección 216 de la Ley también establece un requisito adicional para el uso de dispositivos de la pluma / trampa en una clase estrecha de los casos. Por lo general, cuando la policía sirve a un fin de la pluma / trampa en un proveedor de servicios de comunica-ción que proporciona acceso a Internet u otros servicios de computación para el público, el propio proveedor debe ser capaz de recoger la información necesaria y le facilitará a la policía. En algunos casos raros, sin embargo, el proveedor puede ser incapaz de llevar a cabo la orden de la corte, necessi-litación instalación de un dispositivo (como Etherpeek o DCS1000 del FBI) para recoger la informaciónción. En estos casos poco frecuentes, las modificaciones en el artículo 216 requiere que la agencia policial para proporcionar la siguiente información a la corte bajo el sello dentro de los treinta días: (1) la identidad de los funcionarios que instalaron o se accede al dispositivo, (2) la fecha y la vez que el dispositivo se ha instalado, el acceso y desinstalado, (3) la configuración del dispositivo en la instalación y cualquier modificación a esa configuración, y (4) la información recogida por el dispositivo. 18 USC § 3123 (un) (3).

Sección 217 interceptar las comunicaciones de Intrusos informáticosLa ley anterior: Aunque la ley permite a los propietarios de ordenadores escuchas telefónicas para monitorear la actividad en sus máquinas para proteger sus derechos y la propiedad, hasta que la Sección 217 de la Ley fue promulgada no estaba claro si los propietarios de ordenadores podría obtener la ayuda de la aplicación de la ley en la realización de dichos controles. Esta falta de claridad impide aplicación de la ley de asistencia a las víctimas a tomar las medidas naturales y razonables en su propia defensa que sería totalmente legal en el mundo físico. En el mundo físico, las víctimas de robo podrá invitar a la pólos piojos en sus casas para ayudarles a ponerse los ladrones en el acto de cometer sus crímenes. El estatuto de escuchas telefónicas no deben bloquear las investi-gadores de responder a las solicitudes similares en el contexto informático, simplemente porque el medio para cometer el robo ocurre a caer en la definición de un "cable o electrónica comunica-ción" de acuerdo con la ley escuchas telefónicas. En efecto, porque los proveedores a menudo carecen de la experiencia, el equipo, los recursos financieros necesarios, o para controlar los ataques de sí mismos, suelen tener una forma efectiva de ejercer sus derechos

para protegerse de los atacantes no autorizados. Esta anomalía en la ley de creación, como un comentarista ha señalado, "un resultado extraño", en el que una comunidad "hackers de ordenador legales inmerecidos triunfos derecho a la intimidad del legítimoílos derechos de privacidad de las víctimas de yerba mate de los hackers ". Orin S. Kerr, ¿Estamos sobreproteger Código? Reflexiones sobre la primera generación Derecho de Internet, 57 Washington & Lee L. Rev. 1287, 1300 (2000).


Enmienda: Para corregir este problema, el aménuncióneen la Sección 217 de la Ley que las víctimas de los ataques informáticos a autorizar a las personas "que actúa con apariencia de legalidad" para vigilar a los intrusos en sus sistemas informáticos. En la nueva sección 2511 (2) (i), aplicación de la ley pueden interceptar las comuni-caciones de un intruso informático de transmisión, a través, o desde un ordenador protegido. Antes de que el control puede ocurrir, sin embargo, cuatro requisitos que deben cumplirse. En primer lugar, la sección 2511 (2) (i) (I) requiere que el propietario u operador de la computadora protegida debe autorizar la interceptación de las comunicaciones del intruso. La segunda sección, 2511 (2) (i)(Ii) requiere que la persona que intercepteela comunicación se lícitamente a una investigación en curso. Tanto las investigaciones de inteligencia criminal y los requisitos, pero la autoridad para interceptar deja en la conclusión de los la investigación.

Sección Tercera, 2511 (2) (i) (III) requiere que la persona que actúa con apariencia de legalidad que razonables de los motivos para creer que el contenidoede la comunicación al ser interceptados serán relevantes para la investigación en curso. Sección Cuarta, 2511 (2) (i) (iv) requiere que los investigadores sólo interceptar las comunicaciones enviadas o recibidas por los intrusos. Por lo tanto, esta sección sólo se aplicaría cuando la configuración del sistema informático permite la interceptación de las comunicaciones desde y hacia el intruso, y no la interceptación de no consienten los usuarios autorizados para utilizar el ordenador.

Finalmente, la sección 217 de la Ley modifica el artículo 2510 del título 18 de crécomió una definición de "cominformáticos intruso. "Estos intrusos incluir a cualquier persona que tenga acceso a una computadora protegida (tal como se define en la sección 1030 del título 18, sin autorización. Además, la definición explícita exeLudes cualquier persona "conocida por el propietario u operador de la computadora protegida para tener una relación existen-ción contractual con el propietario o el operador de acceso a la totalidad o parte de la computadora." 18 USC § 2510 (21). Por ejemplo, algunos proveedores de servicios de Internet no permiten a sus clientes para el envío masivo correos electrónicos no solicitados (o "spam"). Los clientes que envían correo basura estaría en violación de los términos del proveedor de servicio, pero no califica como intrusos, tanto porque son los usuarios autorizados y porque tienen una relación contractual existente con el proveedor. Estas disposiciones llegarían a 31 de diciembre 2005.

Sección 220 Warrants búsqueda nacional de E-MailLa ley anterior: Sección 2703 (a) requiere que el gobierno utilice una orden de registro para obligar a un prestador de revelar sin abrir el correo electrónico menos de seis meses oíd. Debido a la Regla 41 de las Reglas Federales de Procedimiento Penal exige que la "propiedad" que se obtenga será "dentro del distrito" de la corte de emisión, sin embargo, algunos tribunales se han negado a emitir la sección 2703 (a) garantiza que para el correo electrónico ubicado en otra distribuciónets. Lamentablemente, esta negativa ha colocado una enorme fresa administrativa-den en los diseTS en la que los principales ISPs están ubicados, como el Distrito Este de Virginia y el Distrito Norte de California, a pesar de que éstos distribucióneTS puede tener ninguna relación con el acto criminalebajo investigación. Además, exige a los investigadores a obtener órdenes de dis-tantes jurisdicciones se ha desacelerado sensibles al tiempo las investigaciones.

Enmienda: El artículo 220 de la Ley modifica el artículo 2703 (a) del título 18 (y disposiciones paralelas en otras partes de la sección 2703) para permitir a los investigadores a utilizar la sección

2703 (a) para obligar a los registros de órdenes de fuera del distrito en el que se encuentra el tribunal, al igual que que utilizan gran jurado federal sub-poenas y órdenes bajo la sección 2703 (d). Este cambio permite que los tribunales con jurisdicción sobre investitigaciones para obligar a las pruebas directamente, sin necesidad de la intervención de un agentee, Los fiscales y los jueces de la distribuciónets, donde los principales ISPs están ubicados. Esta provisión la voluntad puesta de sol el 31 de diciembre 2005.


277

Sección 814 disuasión y prevención del ciberterrorismoSección 814 hace una serie de cambios para mejorar la 18 USC § 1030, la Ley de Fraude y Abuso. En esta sección se aumenta las penas para los piratas informáticos que dañan los equipos protegidos (a partir de mañanaáximum de 10 años a un máximum de 20 años), aclara el mens rea requerido para tales delitos para hacer explícito que un hacker sólo necesita la intención de daño, no un tipo particular de daño, añade un nuevo delito para los equipos utilizados para dañar la seguridad nacional o la justicia penal; amplía la cobertura de la ley para incluir computadoras en los países extranjeros, siempre y cuando no hay un efecto en EE.UU. el comercio interestatal o extranjero; convicciones recuento de Estado como "delitos anteriores" por razones de mejoras sentencia reincidentes, y permite que las pérdidas de varios equipos del campo de un hacker de conducta que se suman a los efectos de cumplir con el umbral de 5.000 dólares jurisdiccional. A continuación analizamos estas y otras disposiciones con mayor detalle.

A. Sección 1030 (C) - AUMENTO DE LA MÁPENA DE XIMUM que los hackersDAÑOS Y ELIMINACIÓN DE PROTECCIÓN DE COMPUTADORAS M OBLIGATORIAÍNIMUMSLa ley anterior: Bajo la ley anterior, los infractores por primera vez que viófinales de la sección 1030 (a) (5) podría ser castigado por no más de cinco años de prisión, mientras que los reincidentes podrían recibir hasta diez años. Ciertos delincuentes, sin embargo, puede causar daños graves a las computadoras protegidas que esta m de cinco añosáximum no tiene debidamente en cuenta la gravedad de sus delitos. Por ejemplo, David Smith se declaró culpable de violar la sección 1030 (a) (5) para la liberación del virus "Melissa" que miles de computadoras dañadas a través de Internet. Aunque Smith estuvo de acuerdo, como parte de su declaración, que su conducta causó más de $ 80 millones de dólares en pérdidas (el mácifra en dólares ximum con-tenida en los Sentencing Guidelines), los expertos estícompañero de que la pérdida real fue hasta diez veces de esa cantidad.

Además, la ley anterior establece una sentencia obligatoria m directricesínimum de seis meses de prisión por cualquier violación de la sección 1030 (a) (5), así como por violaciónes de la sección 1030 (a) (4) (El acceso a una computadora protegida, con la intención de defraudar).

Enmienda: Sección 814 de la Ley plantea la mápena de ximum de violaciónes de dañar un ordenador protegido a diez años para los delincuentes en primer lugar, y por veinte años para los infractores reincidentes. 18 USC § 1030 (c) (4). El Congreso eligió, sin embargo, a ElimíNate m obligatoriaínimum directrices sentencción de la sección 1030 violaciónes.

B. SUBSECCIÓN 1030 (C) (2) (C) y (E) (8) - Los hackers necesitan sólo la intención deNO CAUSAR DAÑO, A PARTICULARÓNSEQUENCE O GRADO DE DAÑOSLa ley anterior: Bajo la ley anterior, con el fin de vióincisos finales (a) (5) (A), un delincuente tuvo que "intencionalmente [causa] daños sin autorización." Sección 1030 define el "daño" como poner en peligro-ción a la integridad o la disponibilidad de los datos, un programa, un sistema, o la información que (1) la pérdida causada por lo menos $ 5.000; (2) tratamiento modificado o altere el médico; (3) causado un daño físico, o (4) en peligro la salud o la seguridad pública.

La pregunta repetidamente aróse, sin embargo, si un delincuente debe tener la intención de la pérdida de $ 5.000 o daño especial, o si se produce una violación, si la única persona que tiene la

intención de dañar la comordenador, que en realidad termina causando la pérdida de $ 5.000 o dañar el indiais. Parece ser que el Congreso nunca la intención de que el lenguaje contenido en la definición de "daño" sería crécomió elementos adicionales de prueba del estado mental del actor. Además, en la mayoría de los casos, sería casi imposible demostrar esta intención adicional.


Enmienda: Sección 814 de la Ley del Estatuto de reestructura para dejar claro que una persona sólo necesita la intención de dañar el equipo o la información que contiene, y no una cantidad específica de dólares de pérdida o daño especial. Las modificaciones que se mueven estos requisitos jurisdiccionales para 1030 (a) (5) (B), de forma explícita lo que elementos de la ofensa, y definir el "daño" como "cualquier daño a la integridad o la disponibilidad de los datos, un programa, un sistema o la información ". 18 USC § 1030 (e) (8) (el subrayado es nuestro). Bajo esta estructura aclaró, a fin de que el gobierno para demostrar una violación de 1030 (a) (5), debe demostrar que el actor causó daños a una computadora protegida (con uno de los Usted estados mentales), y que la conducta del actor causada ya sea la pérdida de 5.000 dólares, el deterioro de los registros médicos, daño a una persona, o la amenaza a la seguridad pública. 18 USC § 1030 (a) (5) (B).

C. Sección 1030 (C)-AGREGAR LOS DAÑOS OCASIONADOS PORUN HACKER'S TODO EL CURSO DE CONDUCTALa ley anterior: La ley anterior no estaba claro si el gobierno se pudieron combinar la consiguiente pérdida de los daños causados a una persona a los diferentes equipos protegidos en la búsqueda para alcanzar el umbral jurisdiccional de 5.000 dólares en pérdidas. Por ejemplo, una persona podría tener acceso ilegalmente cinco equipos de una red de diez fechas diferentes - como parte de un curso relacionado con la conducta, pero sólo causan la pérdida de 1.000 dólares a cada equipo en cada intrusión. Si la ley anterior se interpreta de no permitir la agregación, entonces esa persona no habría cometido un delito federal en absoluto, ya él o ella no había hecho más de $ 5.000 a cualquier equipo en particular.

Enmienda: En virtud de las enmiendas de la Sección 814 de la Ley, el gobierno puede ahora agregar "la pérdida resultante de un curso relacionado con la conducta que afecta a uno o varios otros equipos protegidos" que se produce dentro de un período de un año para probar el umbral de 5.000 dólares jurisdiccional para dañar un ordenador protegido. 18 USC § 1030 (a) (5) (B) (i).

D. Nuevo delito PARA ORDENADORES DE DEPREDADORES - 1030 (C) (2) (C)UTILIZA NACIONAL DE LA SEGURIDAD Y LA JUSTICIA PENALLa ley anterior: Sección 1030 antes no tenían especial de provisión que mejore el castigo de los piratas informáticos que utilizan los ordenadores daños en apoyo de la administración de justicia, de defensa nacional o la seguridad nacional. Por lo tanto, los investigadores y fiscales federales no tienen jurisdicción sobre los esfuerzos para dañar la justicia penal y los equipos militares, donde el ataque no causó pérdida de más de $ 5.000 (o cumplir con uno de los requisitos especiales). Sin embargo, estos sistemas sirven para las funciones críticas y enjuiciamientos por delitos graves de mérito, aun cuando el daño es relativamente leve. De hecho, los ataques a equipos que se utilizan en la defensa nacional que se producen durante los períodos de compromiso militar activo son particularmente graves - incluso si no causan daños o perturbar las capacidades bélicas de las fuerzas armadas -, ya que el tiempo y desviar la atención de la objetivos propios militares. Del mismo modo, la interrupción de los sistemas informáticos de la corte y los datos podrían seri-

ously poner en peligro la integridad del sistema de justicia penal.Enmienda: Las enmiendas de la Sección 814 de la Ley de crécomió la sección 1030 (a) (5) (B)

(v) para resolver esta insuficiencia. Bajo esta provisión, un hacker viola la ley federal al dañar una computadora ", utilizada por o para una entidad del gobierno en apoyo de la administración de justicia, de defensa nacional o la seguridad nacional", aun cuando ese daño no se traduce en una pérdida demostrable de más de $ 5.000.


279

E. SUBSECCIÓN 1030 (E) (2) - Ampliar la definición de "PROTEGIDOORDENADOR"PARA INCLUIR LAS COMPUTADORAS EN EL EXTRANJEROLa ley anterior: Antes de las enmiendas de la Sección 814 de la Ley, la sección 1030 del título 18 se define "computadora protegida" como un ordenador utilizado por el gobiern federalmción o de una institución financiera, o un "que se utiliza en el comercio interestatal o extranjero." 18 USC § 1030 (e) (2). La definición hizo no incluye explícitamente las computadoras fuera de los Estados Unidos.

Debido a la interdependencia y la disponibilidad de las redes mundiales de informática, los hackers en los Estados Unidos están cada vez más centrado en los sistemas situados totalmente fuera de este país. La ley no contempla explícitamente la persecución de los piratas informáticos tales. Además, individuosais en el extranjero con frecuencia enrutar las comunicaciones a través de los Estados Unidos, incluso a medida que hackear de un país extranjero a otro. En tales casos, la esperanza puede ser que la falta de EE.UU. Vic-tim que impida o desalentar a las agencias policiales estadounidenses de ayudar en cualquier deextranjera investigación o el enjuiciamiento.

Enmienda: Sección 814 de la Ley modifica la definición de "computadora protegida" para dejar claro que este término incluye los equipos fuera de los Estados Unidos siempre y cuando afecta a "entreEstado o de comercio exterior o la comunicación de los Estados Unidos. "18 USC § 1030 (e) (2) (B). Al aclarar el hecho de que existe un delito interno, los Estados Unidos ahora pueden usar la agilización de los procedimientos internos a participar en las investigaciones de hackers internacionales. A medida que estos crímenes a menudo implican los investi-gadores y las víctimas en más de un país, el fomento de la cooperación policial internacional es esencial.

Además, la enmienda crea la opción de, en su caso, de procesar tales Criminais en los Estados Unidos. Desde los EE.UU. insta a otros países para asegurar que puedan vindíCate los intereses de las víctimas de Estados Unidos por delitos informáticos que origíNate en sus naciones, esta provisión se permitiría a los EE.UU. para proporcionar una cobertura recíproca.

F. SUBSECCIÓN 1030 (E) (10) - CONTEO DE CONDENAS DEL ESTADOComo "delitos anteriores"La ley anterior: Bajo la ley anterior, el tribunal en la sentencia podría, por supuesto, tenga en cuenta las condenas anteriores del delincuente por delitos estatales de delitos informáticos. Convicciones del Estado, sin embargo, no provocó las disposiciones sobre la detención reincidentes de la sección 1030, que el doble de la másanciones disponibles ximumpoder en virtud de la ley.

Enmienda: Sección 814 de la Ley modifica la definición de "convicción" de manera que incluya Conconvicciones por delitos graves piratería informática bajo la ley estatal, es decir, delitos estatales en un ele-mento de la infracción es de 18 ", acceso no autorizado, o excediendo el acceso autorizado a una computadora". USC § 1030 (e) (10).

G.SUBSECCIÓN 1030 (E) (11) - DEFINICIÓN DE "PÉRDIDA"La ley anterior: Cálculo de la "pérdida" es importante que el gobiernmción busca demostrar que una indicaciónindividual causado la pérdida de más de $ 5.000 con el fin de cumplir con los requisitos jurisdiccionales que se encuentran en 1030 (a) (5) (B) (i). Sin embargo,

antes de las modificaciones de la Sección 814 de la Ley, la sección 1030 del título 18 no tenía ninguna definición de "pérdida". El tribunal sólo para abordar el alcance de la definición de la pérdida adoptó una lectura integradora de lo que cuesta el gobiemción pueden incluir. En Estados Unidos v Middleton, 231 F.3d 1207, 1210/11 (9th Cir. 2000), el tribunal sostuvo que la definición de la pérdida incluye una amplia gama


de los daños sufridos por lo general las víctimas de los delitos informáticos, incluidos los costos de la respuesta a la ofensiva, llevando a cabo una evaluación de los daños, restaurar el sistema y los datos a su estado anterior al delito, y cualquier pérdida de ingresos o gastos ocasionados por la interrupción del servicio.

Enmiendas: Las enmiendas de la Sección 814 codificar la definición suficientemente amplia de la pérdida de adoptada en Middleton. 18 USC § 1030 (e) (ll).

Sección 815 de Defensa adicional a las acciones civiles relativas a los expedientes de Conservación en respuesta a peticiones del GobiernoSección 815 añadido a una defensa existente a una causa por daños y perjuicios por violaciónes de la Ley de Comunicaciones Electrónicas de privacidad, el Capítulo 121 del Título 18. Bajo la ley anterior era una defensa de una causa de acción que confiar en la buena fe, con una orden judicial o una orden, una citación del gran jurado, una autorización legis-lativo, o una autorización legal. Esta enmienda deja claro que la "autorización legal" incluye la defensa de buena fe la dependencia de una solicitud del gobierno para preservar las pruebas en virtud de 18 USC § 2703 (f).

Sección 816 Desarrollo y apoyo a la ciberseguridad Capacidades forenses

La sección 816 exige que el Fiscal General que establezca regional de este tipo de ordenadores, laboratorios-rios que estime convenientes, y para proporcionar apoyo a los laboratorios forenses informáticos existentes, para que puedan proporcionar ciertas capacidades forenses y la formación. La provisión también autoriza el gasto de dinero para apoyar a los laboratorios.

Apéndice D

Los registros informáticos y las Reglas Federales de EvidenciaEn este artículo (EE.UU. Bulletin, marzo de 2001, por la Oín S. Kerr, el Abogado Litigante) explica algunas de las cuestiones importantes que pueden surgir cuando el gobiemción busca la admisión de los registros informáticos conforme a las Reglas Federales de Evidencia. El material que aquí es un extracto de un manual de más grande del Departamento de Justicia dere-tellas "Evidencia Búsqueda y embargaron computadoras y obtención de electrónica en investigaciones criminales," que está disponible en Internet en www.cybercrime.gov / searchmanual.htm.

Delitos Informáticos y Propiedad Intelectual Propiedad SecciónMayoría de los tribunales federales que han evaluado la admisibilidad de los registros informáticos se han centrado en los registros informáticos como rumor potencial. General, los tribunales han admitido los registros informáticos sobre una muestra de que los registros de acogerse a la excepción de registros comerciales, la Reserva Federal. R. Evid. 803 (6):

Los registros de la actividad realizada regularmente. Un memorándum, informe, registro o recopilación de datos, en cualquier forma, de los actos, eventos, condiciones, opiniones o diagnósticos, realizado en o cerca del momento, o de la información transmitida por, una persona con conocimiento, si se mantiene en el curso de una actividad empresarial a cabo regularmente, y si era la práctica habitual de que la actividad comercial para hacer la memorándum, informe, registro o recopilación de datos, todo como lo demuestra el testimonio del custodio o testigo calificado, a menos que la fuente de información o el método o las circunstancias de la preparación indíCate falta de honradez. El término "empresa" tal como se utiliza en el presente apartado incluye el negocio, institución, asociación, profesión, ocupación, y la vocación de todo tipo, o no fines de lucro.

Véase, por ejemplo, United States v Cestnik, 36 F. 3d 904, 909-10 (lOth Cir. 1994), Los Estados Unidos contra Moore, 923 F. 2d 910, 914 (lº Cir. 1991), Los Estados Unidos contra Briscoe, 896 F. 2d 1476, 1494 (7th Cir 1990),. Estados Unidos contra Catabran, 836 F. 2d 453, 457 (9th Cir 1988);. Capital Marine Supply v M / V Roland Thomas II, 719 F. 2d 104, 106 (5th Cir. 1983). Aplicando este criterio, los tribunales han señalado que los registros informáticos en general,

http://www.cybercrime.gov/searchmanual.htm

http://www.cybercrime.gov/searchmanual.htm

pueden ser admitidos como registros comerciales si se mantiene en virtud de una procedimiento de rutina por motivos que tienden a asegurar su exactitud.

Sin embargo, los tribunales federales es probable que se alejan de este "one size fits all" enfoque a medida que estén más cómodos y familiarizados con los registros informáticos. Al igual que los registros en papel, los registros informáticos no son monolíticas: las cuestiones probatorias planteadas por su admisión dependerá de qué tipo de registros informáticos una propuesta solicita la han admitido. Por ejemplo, los registros informáticos que contienen texto a menudo se puede dividir en dos categorías: generados por ordenador, los registros

281


y los registros que no son más que computadoras almacenan. Ver People v Holowko, 486 N.E.2d 877, 878-79 (111. 1985). Las bisagras de la diferencia sobre si una persona o una máquina creada el contenido de los documentos. Registros almacenados por ordenador se refieren a documentos que contienen los escritos de alguna persona o personas para pasar a ser en forma electrónica. Mensajes de correo electrónico, archivos de procesadores de texto y mensajes de chat de Internet son ejemplos comunes. Como con cualquier otro testimonio o prueba documental que contiene las declaraciones humanos, ordenador almacena los registros deben cumplir con la regla de rumor. Si los registros son admitidos para probar la verdad de la materia afirman, el oferente de los registros deben mostrar las circunstancias que indican que los estados humanos contenidos en el expediente son fiables y de confianza, vea las notas del Comité Asesor a propuesta de la Regla 801 (1972), y los registros debe ser auténtico.

En cambio, generadas por computadora registros contienen la salida de los programas de ordenador, tocada por manos humanas. Registros de entrada de los proveedores de servicios de Internet, registros de llamadas telefónicas y recibos de cajeros automáticos tienden a ser generados por computadora los registros. A diferencia de los registros almacenados en ordenador, computadora de generaciónaceleradas registros no contienen humanos "declaraciones", sino sólo la salida de un programa de computadora diseñado para procesar la entrada después de un algoritmo definido. Por supuesto, un programa de ordenador puede dirigir un equipo de generaciónétasa de un registro que imita una declaración humana: un programa de correo electrónico puede anunciar "Tienes un mensaje!" cuando el correo llega a la bandeja de entrada, y un recibo del cajero automático se puede afirmar que 100 dólares fue depositado en una cuenta a las 2:25 pm. Sin embargo, el hecho de que una computadora, en lugar de un ser humano, ha creado el registro altera los problemas de carácter probatorio que los documentos generados por ordenador presentan. Véase, por ejemplo, 2 J. Fuerte, McCormick en la Evidencia § 294, a 286 (4 ª ed., 1992). La cuestión probatoria ya no es si un ser humano fuera de la cancha declaración era veraz y precisión de cambio (una cuestión de oídas), pero en cambio si el programa de computadora que generó el registro estaba funcionando correctamente (una cuestión de autenticidad). Vea Identificación;. Richard O. Lempert y Steven A. Saltzburg, un enfoque moderno de la evidencia 370 (2d ed 1983.); Holowko, 486 NE2d en 878-79.

Por último, una tercera categoría de los registros informáticos existe: algunos archivos de computadora son generadas por ordenador y el ordenador almacena. Por ejemplo, a un sospechoso en un caso de fraude puede utilizar un programa de hoja de cálculo para procesar los datos económicos relacionados con el esquema fraudulento. Un registro informático que contiene la salida del programa se derivan de ambas declaraciones humanos (entrada del sospechoso a la hoja de cálculo) y el procesamiento de equipo (las operaciones matemáticas de la hoja de cálculo). En consecuencia, el registro combina las preocupaciones en materia de prueba planteadas por compor ordenador, almacenar y registros generados por ordenador. La parte que solicita la admisión del registro debe abordar tanto las cuestiones rumores implicados por la entrada original y la autenticidad de la cuestiones planteadas por el tratamiento por ordenador.

Como los tribunales federales de desarrollar una apreciación más matizada de las distinciones que se harán entre los diferentes tipos de archivos de computadora, es probable que se vea que la admisión de los registros informáticos en general, plantea dos cuestiones distintas. En primer lugar, el gobierno debe establecer la autenticidad de todos los registros informáticos, proporcionando "pruebas suficientes para apoyar la conclusión de que el asunto

en cuestión es lo que afirma su autor". Fed. R. Evid. 901 (uno). En segundo lugar, si los registros informáticos computadora almacena los registros que contienen los estados humanos, el gobierno debe demostrar que los declaraciones humanos no son oídas inadmisible.

A. autenticaciónAntes de que una Parte podrá proponer para la admisión de un registro informático o cualquier otra prueba, el proponente debe demostrar que es auténtico. Es decir, el gobierno debe ofrecer pruebas "suficientes para apoyar la conclusión de que [el registro informático o cualquier otra prueba] en cuestión es lo que afirma autor de la propuesta". Fed. R. Evid. 901 (uno). Véase United States v Simpson, 152 F. 3d 1241, 1250 (lOth Cir. 1998).

Apéndice D: los registros informáticos y las Reglas Federales de Evidencia

283

El estándar para la autenticación de los registros informáticos es el mismo que para la autenticación de otros registros. El grado de authenticatión no varía simplemente porque un registro pasa a ser (o ha estado en un punto) en formato electrónico. Véase United States v DeGeorgia, 420 F. 2d 889, 893 n.ll (9th Cir 1969.); Estados Unidos contra Vela, 673 F.2d 86, 90 (5th Cir 1982.). Pero ver a Estados Unidos contra Scholle, 553 F. 2d 1109, 1125 (8th Cir. 1977) (indicando en dicta que "la naturaleza compleja de equipo de almacenamiento de calyos de una base más amplia "). Por ejemplo, los testigos que dan fe de la auténtica-dad de los registros informáticos no necesitan tener una especial cualificación. El testigo no es necesario que haya programado la computadora sí mismo, o incluso necesario para entender la operación de mantenimiento y técnicos de la computadora. Véase United States v Moore, 923 F2d 910, 915 (lº Cir. 1991) (citando los casos). En su lugar, el testigo simplemente debe tener conocimiento de primera mano de los hechos pertinentes a la que él o ella testifica. Véase, en general los Estados Unidos contra Whitaker, 127 F. 3d 595, 601 (7th Cir. 1997) (agente del FBI que estaba presente cuando el ordenador del acusado fue capturado puede autenticar los archivos incautados) Estados Unidos vs Miller, 771 F. 2d 1219, 1237 (9th Cir 1985.) (supervisor de facturación de la compañía telefónica puede autenticar los registros telefónicos de la empresa); Moore, 923 F.2d en 915 (jefe de créditos de consumo del banco departamento de TI puede autenticar los datos informatizados de los préstamos).

Impugnación de la autenticidad de los registros informáticos a menudo toman una de las tres formas. En primer lugar, las partes podrán impugnar la autenticidad de ambos registros generados por computadora y la computadora almacena-por el cuestionamiento si los registros se han alterado, manipulado o dañado después de que fueron creados. En segundo lugar, las partes podrán cuestionar la autenticidad de los registros generados por computadora, desafiando la fiabilidad del programa de computadora que genera los registros. Los terceros, podrá impugnar la autenticidad de los registros almacenados en ordenador, cuestionando la identidad de su autor.

1. AUTENTICIDAD y la alteración de los registros informáticosLos registros informáticos se puede alterar fácilmente, y los partidos de oposición a menudo alegan que los registros informáticos carecen de autenticidad, ya que han sido alterados o modificados después de su creación. Por ejemplo, en Estados Unidos contra Whitaker, 127 F3d 595, 602 (7th Cir. 1997), el gobierno de recuperar los archivos informáticos de la computadora de un traficante de drogas llamado Frost. Los archivos de la comunidad de Frostordenador incluye un registro detallado de las ventas de narcóticos por parte de tres alias: "Yo" (Frost sí mismo, presumiblemente), "Gator" (el apodo de Frost co-acusado Whitaker), y "Cruz" (el apodo de otro distribuidor). Después de que el gobierno permitió a Frost para ayudar a recuperar la evidencia de su equipo y se negó a establecer una cadena formal de la custodia de la computadora en el juicio, Whitaker argumentó que los archivos que implican a él a través de sus alias no habían sido debidamente autenticadas. Whitaker sostuvo que "con algunos golpes de teclado rápidos pocos, Frost fácilmente podría haber añadido el alias de Whitaker," Gator "de las impresiones con el fin de Whitaker y los dedos para parecer más útil para el gobierno". Id. en 602.

Los tribunales han respondido con escepticismo a estas afirmaciones sin fundamento que el COMlos registros informáticos han sido alterados. A falta de pruebas específicas que se produjo el sabotaje, la mera posibi-lidad de manipulación no afecta a la autenticidad de un registro informático. Ver Whitaker, 127 F3D a 602 (disminución de molestar a la decisión del juez de primera instancia de que los registros informáticos eran admisibles por denuncia de la manipulación era "especulación casi con los ojos desorbitados ... [sin] la evidencia para apoyar

esa hipótesis"), los Estados Unidos contra Bonallo , 858 F. 2d 1427, 1436 (9th Cir 1988.) ("El hecho de que es posi-ble modificar los datos contenidos en una computadora es claramente insuficiente para establecer poca confianza."); Estados Unidos contra Glasser, 773 F2d 1553 , 1559 (llth Cir. 1985) ("La existencia de un hermético sistema de segu-ridad [para evitar la manipulación] no es, sin embargo, un requisito previo para la admisibilidad de las impresiones de computadora. Si tal requisito existía, sería prácticamente imposible de admitir comgenerada por computadora los registros, la parte contraria la admisión tendría que demostrar sólo que mejor


sistema de seguridad era viable. "). Identificación. en 559. Esto es consistente con la regla utilizada para establecer la autenticidad de otras pruebas, tales como los narcóticos. Véase Estados Unidos contra Alyoes, 106 F. 3d 695, 700 (6th Cir. 1997) ("El solo hecho que plantea la posibilidad de manipulación es insuficiente para hacer pruebas inadmisibles-ble."). A falta de pruebas específicas de manipulación, las acusaciones de que los registros informáticos han sido alterados ir a su peso, no su admisibilidad. Ver Bonallo, 858 F.2d en 1436.

2. Establecer la fiabilidad de los programas informáticosLa autenticidad de los registros generados por computadora en ocasiones implica la fiabilidad de la comprogramas de ordenador que se crécomieron los registros. Por ejemplo, un registro generado por computadora podría no ser auténtico si el programa que crea el registro contiene errores graves de programación. Si la salida de la pro-grama es inexacta, el registro no puede ser "lo que su autor afirma que" de acuerdo a la Reserva Federal. R. Evid. 901.

Los acusados en tres penalesais a menudo tratan de cuestionar la autenticidad de la computadora-generATED registros cuestionando la fiabilidad de los programas. Véase, por ejemplo, United States v Dioguardi, 428 F. 2d 1033, 1038 (2d Cir 1970.); Estados Unidos contra Liebert, 519 F. 2d 542, 547-48 (3d Cir 1975.). Los tribunales han señalado que el gobierno puede máseoyo a este reto, siempre y cuando "el Go-bierno ofrece fa suficienteeTS para justificar la conclusión de que los registros son dignos de confianza y de la parte contraria se le concede la oportunidad de indagar en la unaecurato del mismo [.] "Los Estados Unidos contra Briscoe, 896 F. 2d 1476, 1494 (7th Cir. 1990). Véase también Liebert, 519 F.2d en 547; DeGeorgia, 420 F. 2d. en el 893 n.ll. Comparar la Reserva Federal. R. Evid. 901 (b) (9) (que indica que los asuntos creados de acuerdo con un proceso o sistema puede ser autenticado con "[e] vidence describe un proceso o sistema utilizado ... y mostrando que el proceso o sistema produce un unoecomisariar resultado "). En la mayoría de los casos, la fiabilidad de un programa de ordenador puede ser establecida por mostrando que los usuarios del programa en realidad se basan en ella sobre una base regular, como en el curso ordinario de los negocios. Véase, por ejemplo, United States v Moore, 923 F. 2d 910, 915 (lº Cir. 1991) ("[L] as circunstancias comerciales normales descritos sugieren la honradez, ... al menos que sea absolutamente nada en el registro de ninguna manera implica la falta de ella.") (Registros computarizados de impuestos realizadas por el IRS), Briscoe, 896 F.2d en 1494 (computarizado que se grabaciones telefónicas realizadas por Illinois Bell). Cuando el programa de ordenador no se utiliza de forma regular y el gobierno no puede establecer la fiabilidad basada en la confianza en el curso ordinario de los negocios, el gobierno puede verse obligado a revelar "lo que las operaciones de la computadora había sido instruido para llevar a cabo [así como] la precisa instrucción que había recibido "si las solicitudes parte contraria. Dioguardi, 428 F2d en 1038. Notablemente, una vez mínimum norma de confiabilidad se ha establecido, las preguntas en cuanto a la unaecurato de los registros informáticos "como resultado de. . . el funcionamiento del programa informático "afectan sólo al peso de la evidencia, no su admisibilidad. Los Estados Unidos contra Catabran, 836 F. 2d 453, 458 (9th Cir. 1988).

Los fiscales pueden en cuenta el solapamiento conceptual entre establecer la autenticidad de un comgenerada por computadora de registro y el establecimiento de la confiabilidad de un registro informático para el negociodad récord de excepción a la regla de rumores. De hecho, los tribunales federales que evalúcomió la autenticidad de los registros generados por computadora a menudo asumen que los registros contienen rumores, y luego aplicar la excepción de registros comerciales. Véase, por ejemplo, United States v Linn, 880 F. 2d 209,

216 (9th Cir 1989.) (Aplicación de negocio de los registros a excepción de los registros telefónicos generados "automáticamente" por una computadora), los Estados Unidos contra Vela, 673 F2d 86, 89-90 (5th Cir. 1982) (lo mismo). Como veremos más adelante en este artículo, este análisis es técnicamente incorrecto en muchos casos: los registros generados por computadora en su totalidad por computadoras no pueden contener rumores y no pueden acogerse a la excepción de registros comerciales, ya que no contienen humanos Véase la parte B, infra "declaraciones".. En la práctica, sin embargo, los fiscales que sentar las bases para establecer un registro generado por computadora, como un registro de negocios


285

También sentará las bases para establecer la autenticidad del registro. Prueba de que el equipo pro-grama es lo suficientemente confiable para que sus resultados califican como los registros comerciales de acuerdo a la Reserva Federal. R. Evid. 803 (6) también establece la autenticidad de la grabación. Comparar Estados Unidos contra Saputski, 496 F. 2d 140, 142 (9th Cir. 1974).

3. IDENTIFICACIÓN DEL AUTOR DE LOS REGISTROS almacenados en ordenadorAunque los registros escritos a mano puede ser escrito en un estilo de escritura distintivo, los registros almacenados en ordenador consisten en oíuna larga cadena de ceros y unos que no necesariamente se identifican a su autor. Este es un problema particular con las comunicaciones por Internet, que ofrecen a sus autores un grado inusual de no ser identificado. Por ejemplo, las tecnologías de Internet permiten a los usuarios enviar efectivamente Anónimos e-mails, y los canales de Internet Relay Chat permite a los usuarios comunicarse sin revelar su verdadera ñAmes. Cuando los fiscales buscan la admisión de tales registros almacenados en ordenador contra un acusado, el acusado puede impugnar la autenticidad de dicho documento por desafiar la identidad de su autor.

Las pruebas circunstanciales en general, proporciona la clave para establecer la autoría y la autenticidad de un registro informático. Por ejemplo, en Estados Unidos contra Simpson, 152 F. 3d 1241 (lOth Cir. 1998), la fiscalía trató de demostrar que el acusado había hablado con un agente encubierto del FBI en un chat de Internet dedicado a la pornografía infantil. El gobierno ofreció una impresión de una conversación de chat de Internet entre el agente y una persona identificada como "Stavron", y trató de demostrar que "Stavron" era el acusado. El tribunal de distrito admitió la impresión de pruebas en el juicio. En la apelación tras ser declarado culpable, Simpson argumentó que "porque el gobierno no pudo identificar que las declaraciones atribuidas a [él] se de puño y letra, su estilo de escritura, o su voz", la impresión no había sido autenticada y deberían haber sido excluidas. Identificación. en 1249.

El X Circuito rechazó este argumento, teniendo en cuenta la considerable evidencia circunstancial de que "Stavron" era el acusado. Ver id. en 1250. Por ejemplo, "Stavron" le había dicho al agente encubierto que su verdadera ñAME fue "B. Simpson, "dio un domicilio que hacía juego con Simpson, y parecía estar accediendo a Internet desde una cuenta registrada a Simpson. Además, el pólos piojos encontrado registros en la casa de Simpson de que la lista ñombre, dirección y número de teléfono que el agente encubierto le había enviado a "Stavron." En consecuencia, el gobierno había aportado pruebas sufi-ciente para apoyar la conclusión de que el acusado era "Stavron", y la impresión se ha autenticado correctamente. Ver id. en 1250. Véase también Estados Unidos contra tanque, 200 F. 3d 627, 630-31 (9th Cir. 2000) (concluyendo que el tribunal de distrito admitió la charla adecuadamente las impresiones del registro de habitaciones en circunstancias simiLAR a los de Simpson). Pero ver a Estados Unidos contra Jackson, 208 F. 3d 638 (7th Cir. 2000) (conclución que los mensajes en Internet que pretenden ser las declaraciones formuladas por los grupos supremacistas blancos fueron excluidos por razones de autenticación adecuada en ausencia de evidencia de que los mensajes eran en realidad Publicado por los grupos).

B. RumoresLos tribunales federales han a menudo se supone que todos los registros informáticos contienen rumores. Una visión más matizada sugiere que en realidad sólo una parte de los registros informáticos contienen rumores. Cuando un registro informático contiene las afirmaciones de una persona, aunque no sean procesados por un ordenador, el registro puede contener rumores.

En tales casos, el gobierno debe ajustarse el registro dentro de una excepción de oídas, como la excepción de registros comerciales, la Reserva Federal. R. Evid. 803 (6). Cuando un registro informático sólo contiene los datos generados por ordenador sin tocar por manos humanas, sin embargo, el registro no puede contener rumores. En tales casos, el gobierno debe establecer la autenticidad de la grabación, pero no es necesario establecer una excepción que de oídas se aplica para los registros de la admisibilidad.


1. Inaplicabilidad de las normas Hearsay A generados por computadora REGISTROSLas reglas existen para evitar rumores poco fiables fuera de los tribunales las declaraciones de los declarantes humanos de influir indebidamente en los resultados de tresais. Porque la gente puede malinterpretar o tergiversar sus experiencias, las normas basadas en rumores expresan una fuerte preferencia por la prueba de las afirmaciones de humanos en la corte, donde se puede el declarante colocados en el soporte y sometidos a interrogatorio. Ver Ohio v Roberts, 448 EE.UU. 56, 62-66 (1980). Este razonamiento no se aplica cuando un animal o una máquina que hace una afirmación: máquinas de pitidos y los perros que ladran no puede ser llamado al estrado para ser interrogada en el juicio. Las reglas federales han adoptado esta lógica. Por definición, una afirmación que no puede contener rumores, si no fue hecho por un ser humano. ¿Podemos utilizar la palabra persona? Ver Reserva Federal. R. Evid. 801 (a) ("Una 'declaración' es (1) una aseveración oral o escrita o (2) la conducta no verbal de una persona, cuando esté prevista por la persona como una afirmación.") (Énfasis añadido); la Reserva Federal. R. Evid. 801 (b) ("Un declarante es una persona que hace una declaración.") (Énfasis añadido).

Como varios tribunales y comentaristas han señalado, esta limitación de las normas basadas en rumores necesariamente-ilia significa que los registros generados por ordenador sin tocar por manos humanas no pueden contener rumores. Una Corte Suprema del Estado articuló la distinción en un caso anterior que implica el uso de la auto-apareadas registros telefónicos:

La impresión de los resultados del equipo está enFoperaciones ernal no es el testimonio de oídas. No representa la salida de los estados ubicados en la computadora por los declarantes fuera de la corte. Ño podemos decir que esta misma impresión es una "declaración" que constituye el testimonio de oídas. La justificación de menores de mentira de la regla de rumor es que tales afirmaciones se hacen sin un juramento y su verdad no puede ser probado por el interrogatorio. De interés es la posibilidad de que un testigo puede consciente o inconscientemente, tergiversar lo que el declarante le dijo o que el declarante puede, consciente o inconscientemente tergiversar un hecho o evento. Con una máquina, sin embargo, no hay posibilidad de una tergiversación consciente, y la posibilidad de inexacta o engañosa los datos sólo se materializa si la máquina no está funcionando correctamente.

El Estado contra Armstead, 432 So. 2d 837, 840 (Luisiana, 1983). Véase también el pueblo contra Holowko, 486 NE2d 877, 878-79 (111. 1985) (trap automático y registros de seguimiento), los Estados Unidos contra Duncan, de 30 MJ 1284, 1287-1289 (NM.CMR 1990) (los registros computarizados de transacciones en cajeros automáticos), 2 J. Fuerte, McCormick en la Evidencia § 294, a 286 (4 ª ed.1992), Richard O. Lempert y Stephen A. Saltzburg, un enfoque moderno de Evidencia 370 (2 ª edición 1983.). Cf. Los Estados Unidos contra Fernández Roque, 703 F. 2d 808, 812 n.2 (5th Cir. 1983) (rechazando la objeción de oídas a la admisión de los registros telefónicos automatizados porque "el hecho de que estos Calyos producido no es una declaración de oídas. "). En consecuencia, un debidamente autenticada generada por ordenador de registro es admisible. Ver Lempert y Saltzburg, en el 370.

La idea de que los registros generados por ordenador no puede contener rumor es importante porque los tribunales que asumen la existencia de rumores puede injustamente exelude generada por computadora pruebas de oídas, si una excepción no se aplica. Por ejemplo, en Estados Unidos contra el Blackburn, 992 F. 2d 666 (7th Cir. 1993), un ladrón de bancos a la izquierda detrás de sus anteojos en un auto abandonado robado. La evidencia de fis-ción contra el acusado incluyó una impresión de computadora en una máquina que pone a prueba la curvatura de las lentes de gafas. La impresión reveló que la prescripción de los lentes que se encuentran en el

vehículo robado eran exactamente iguales a la del demandado. En el juicio, el tribunal de distrito asume que la impresión de la computadora era de oídas, pero llegó a la conclusión de que la impresión era un registro de negocios admisible conforme a la Reserva Federal. R. Evid. 803 (6). En la condena tras la apelación, el Séptimo Circuito supone también que la copia impresa contenida en rumores, pero estuvo de acuerdo con el acusado que la impresión no podía ser admitida como un registro de negocios: el [generadas por ordenador] Informe en este caso no se mantuvo en el curso de una actividad de negocios realizados con regularidad, sino que fue preparado especialmente en el


287

instancias del FBI y con el conocimiento de que toda la información que suministra se utiliza en una investigación penal en curso. . . . En la búsqueda de este informe inadmisible de conformidad con la Regla 803 (6), nos adherimos a la norma bien establecida de que los documentos realizados en anticipo de litigio no son admisibles bajo la excepción de registros comerciales. Identificación. en 670. Véase también de comer. R. Evid. 803 (6) (que indica que registros de negocios debe ser "hecha. . . por, o transmitida por, una persona ").

Afortunadamente, el tribunal Blackburn en última instancia, confirmó la condena, concluyendo que la comimpresión de ordenador era lo suficientemente confiable que podría haber sido admitido en virtud de la excepción de oídas residual, la Regla 803 (24). Ver id. en 672. Sin embargo, en vez de coquetear con la idea de excluir las impresiones, porque la Regla 803 (6) no era aplicable, el tribunal debería haber preguntado si la impresión de computadora de la máquina de la lente de prueba de contenido de oídas del todo. Esta pregunta habría revelado que la impresión generada por computadora no se puede excluir en rumores motivos porque no contenía humanos "declaraciones".

2. Aplicabilidad de las reglas de oídas a la computadora-REGISTROS ALMACENADOSOrdenador almacena los registros que contienen las declaraciones humanos deben satisfacer una excepción a la regla de rumor si se les ofrece para la verdad del asunto afirmó. Antes de que un tribunal admitirá los expedientes, el tribunal debe establecer que las declaraciones contenidas en el registro se hizo en circunstancias que tienden a asegurar su confiabilidad. Véase, por ejemplo, Jackson, 208 F.3d en 637 (la conclusión de que anuncios de los sitios web de grupos de supremacía blanca que figura en rumores, y rechazando el argumento de que los mensajes fueron los registros comerciales de los proveedores de Internet que alojan los sitios).

Como se mencionó anteriormente en este artículo, los tribunales suelen permitir que los registros almacenados en ordenador para ser admitidos como los registros comerciales de acuerdo a la Reserva Federal. R. Evid. 803 (6). Diferentes circuitos han articulado las normas ligeramente diferentes para la admisibilidad de los registros almacenados en ordenador de negocios. Algunos tribunales simplemente aplicar el lenguaje directo de la Reserva Federal. R. Evid. 803 (6). Véase, por ejemplo, United States v Moore, 923 F. 2d 910, 914 (lº Cir. 1991), Los Estados Unidos contra Catabran, 836 F. 2d 453, 457 (9th Cir 1988).. Otros circuitos se han articulado las pruebas doctrinales específicamente para los registros informáticos que en gran medida (aunque no exactamente) un seguimiento de los requisitos de la Regla 803 (6). Véase, por ejemplo, United States v Cestnik, 36 F. 3d 904, 909-10 (lOth Cir. 1994) ("los registros informáticos de negocios son admisibles si (1) que se lleven con arreglo a un procedimiento de rutina, diseñado para garantizar su precisión, (2) que se crean por motivos que tienden a asegurar la precisión (por ejemplo, sin incluir los que se preparan para casos de litigio) y (3) no son ellos mismos acumulaciones de meros rumores ") (citando capital Marine Supply v M / V Roland Thomas II, 719 F. 2d 104, 106 (5th Cir 1983.));. Estados Unidos contra Briscoe , 896 F. 2d 1476, 1494 (7th Cir. 1990) (almacenados en ordenador son registros comerciales admisibles si "se mantienen en el curso de la actividad empresarial a cabo regularmente, y [que] era la práctica habitual de que la actividad empresarial para hacer los registros, como lo demuestra el testimonio del custodio o de un testigo cualificado. ") (citando el caso United States v Chappell, 698 F2d 308, 311 (7th Cir. 1983)). Cabe destacar que el propio impreso se puede producir en anticipo de litigio sin conflicto con el funcionamiento de la excepción los registros de negociosción. El requisito de que el registro se mantendrá "en el curso de una actividad empresarial a cabo regularmente" se refiere a los datos subyacentes no, la impresión real de los datos. Véase United States v Sanders, 749 F. 2d 195, 198 (5th Cir. 1984).

Desde una perspectiva práctica, el procedimiento para la admisión de un registro por computadora almacena en virtud de la excepción de registros comerciales es lo mismo que admitir cualquier registro de otra empresa. Consideremos un caso de acoso e-mail. Para ayudar a establecer que el acusado era el remitente de los men-sajes de acoso, la fiscalía puede solicitar la introducción de los registros del ISP del remitente de que el demandado era el propietario registrado de la cuenta desde la que los e-mails fueron enviados. Por lo general, esto requerirá el testimonio de un empleado del proveedor de Internet ("el custodio u otro cualificado


testigo ") que el ISP mantiene regularmente registros de cuentas de clientes para la facturación y otros fines, y que los registros que se ofrecerán para la admisión son los registros de este tipo que se hicieron en o cerca del momento de los hechos que se describen en el curso regular de la negocio ISP. Una vez más, la clave es establecer que el sistema informático del que se obtuvo el registro se mantiene en el curso ordinario de los negocios, y que es una práctica habitual de la empresa a confiar en los registros de su exactitud.

La excepción registro de negocios es la excepción rumor más común aplicado a los registros informáticos. Por supuesto, otras excepciones rumores pueden ser aplicables en los casos apropiados. Véase, por ejemplo, Hughes contra los Estados Unidos, 953 F. 2d 531, 540 (9th Cir. 1992) (concluyendo que computarizado del IRS las formas son admisibles como los registros públicos en virtud de la Reserva Federal. R. Evid. 803 (8)).

C. Otras cuestionesEl authenticatión requisito de la regla de rumor y suelen proporcionar los obstáculos más importantes que los fiscales se encuentran en la búsqueda de la admisión de los registros informáticos. Sin embargo, algunos agentes y fiscales en ocasiones han considerado dos cuestiones adicionales: la aplicación de la regla de la mejor evidencia de que los registros informáticos, y si las impresiones de ordenador son "resúmenes" que deben cumplir con la Reserva Federal. R. Evid. 1006.

1.EL MEJOR EVIDENCIA LA REGLALos estados mejor evidencia de que la regla para probar el contenido de un escrito, grabación, o la fotografía, el "original" por escrito, grabación o fotografía se requiere generalmente. Ver Reserva Federal. R. Evid. 1002. Los agentes y fiscales en ocasiones expresar la preocupación de que una impresión simple de una computadora almacena elec-trónico archivo no puede ser un "original" con el propósito de la regla de la mejor evidencia. Después de todo, el archivo original no es más que una colección de 0 y l'S. En contraste, la impresión es el resultado de la manipulación del archivo a través de una complicada serie de procesos electrónicos y mecánicos.

Afortunadamente, las Reglas Federales de Evidencia se refirió expresamente a esta preocupación. Reglas de Estado federal que [S] i los datos se almacenan en una computadora o dispositivo similar, cualquier impresión u otra salida legible a simple vista, que se muestra para reflejar los datos con precisión, es un "original" de la Fed. R. Evid. 1001 (3). Por lo tanto, una impresión exacta de los datos informáticos siempre se cumple la regla de la mejor evidencia. Ver Doe v Estados Unidos, 805 F. Supp. 1513, 1517 (D. Hawai. De 1992). De acuerdo con la Comisión Consultiva observa que acompañaron a esta regla, cuando se propuso por primera vez, esta norma fue adoptada por razones de orden práctico. Aunque estrictamente hablando, el original de una fotografía podría pensarse que es sólo la práctica negativa, y el uso común exigir que cualquier impresión de lo negativo se considerará como un original. Del mismo modo, la practicidad y el uso de conferir el carácter de original a cualquier impresión de la computadora. Notas del Comité Asesor, la Regla Federal de Evidencia propuesta 1001 (3) (1972).

2. IMPRESIÓN de ordenador como "resúmenes"Regla Federal de Evidencia 1006 permite a las partes para ofrecer resúmenes de la evidencia voluminosa en forma de "una carta, el resumen o el cálculo", sujeto a ciertas restricciones. Los

agentes y fiscales en ocasiones preguntar si una impresión de la computadora es necesariamente un "resumen" de las pruebas que deben cumplir con la Reserva Federal. R. Evid. 1006. En general, la respuesta es no. Ver Sanders, 749 F2d en 199; Catabran, 836 F2d en 456-57; Estados Unidos contra Russo, 480 F. 2d 1228, 1240/41 (6th Cir 1973.). Por supuesto, si la impresión de computadora no es más que un resumen de las pruebas admisibles otra parte, el artículo 1006 se se aplican del mismo modo que hace a los resúmenes de pruebas.

Sobre el autor: Orin S. Kerr es un abogado litigante, Delitos Informáticos y Propiedad Intelectual Sección Penal División, los Estados Unidos Departamento de Justicia.

Apéndice E

GlosarioAuditoría Examen y / o evaluación de las acciones y registros para garantizar el cumplimiento de las políticas y procedimientos operacionales. Si se encuentran problemas, se hacen recomendaciones para cambiar las políticas o los procedimientos.

Registro de auditoría Una demostración registro cronológico que ha tenido acceso a un sistema informático y lo opera-ciones se llevaron a cabo durante los períodos de tiempo específicos. Esto normalmente incluye el acceso a archivos, inicio de sesión del usuario, y si hay violaciónes de seguridad reales o el intento de haber ocurrido.

Autenticación El proceso de verificación de que un individuo o de datos es realmente quien o lo que es pro-decía ser. A menudo se utiliza como un requisito previo para permitir el acceso a los recursos en un sistema.

Backdoor Un agujero en la seguridad de un sistema informático dejado deliberadamente en su lugar autorizado pro-programadores o personal de reparación, pero estos también pueden ser dejados atrás por los intrusos maliciosos para volver a un sistema después de haberla violado una vez. Sinónimo de una puerta trampa, que es un oculto suavesoftware o un aparato de hardware utilizado para eludir los mecanismos de seguridad.

Copia de seguridad Una copia de los archivos y programas realizados para faciíTate recuperación de datos perdidos o dañados, si necesario.

Incumplimiento Cualquier penetración prohibido o acceso no autorizado a un sistema informático que causa daño o tiene el potencial de causar daño.

Plan de Continuidad de Negocio (BCP) Un conjunto predeterminado de los procedimientos o directrices que describen cómo una organizaciónFunciones 's de negocios continuaédurante y después de una interrupción del sistema.

Cadena de Custodia Protección de datos de todos los individuosais con acceso a evitar la pérdida, rotura, alteración o manipulación no autorizada. Esto incluye identificar con precisión, asegurando, y salir con todas las pruebas.

Compromiso Invasión de un sistema por el zócalo de su seguridad.

Compromiso de Integridad La modificación no autorizada de la información autenticada.

Computer Incident Response Team Un grupo de investigadores e ingenieros técnicos de seguridad que responde a los e investiga incidentes de seguridad informática.

289


Incidentes de Seguridad Informática Un evento adverso en el que algún aspecto de un sistema informático se ve amenazada por ejemplo, la pérdida de confidencialidad de los datos, la alteración de datos o la integridad del sistema, y la interrupción o la negación de la disponibilidad.

Copiar El resultado o acción de la lectura de datos electrónicos de una fuente, dejando que los datos sin cambios, y escribir los mismos datos en otra parte de amémediano que puede diferir de la fuente.

Galleta Un individuo que intencionalmente violaciones de seguridad informática (por lo general mediante el uso de una herramienta de paso a la palabra de craqueo) de infíltrado una computadora o red, lo más a menudo con malas intenciones.

Daño Modif intencional o accidentalícación, la destrucción o eliminación de información de un sistema informático. Este tipo de daño a la información puede resultar en lesiones a una organización de reputaciónción y / o FíLas pérdidas financieras.

Datábase Una colección de datos de información que consiste en al menos un archivo, normalmente se almacena en un solo lugar, lo que puede estar a disposición de varios usuarios de forma simultánea para varias aplicaciones.

Denegación de Servicio (DoS) La imposibilidad de utilizar los recursos del sistema debido a la no disponibilidad derivadas de una variedad de causas, por ejemplo, infíltrations de los hackers, la inundación de las direcciones IP de mensajes externos, y los gusanos de red.

Plan de Recuperación de Desastres Un plan (por escrito), que expondrá las medidas y procedimientos que deben seguirse en el caso de un hardware de mayor o error de software o destrucción de las instalaciones (a diferencia del Plan de Continuidad de Negocios, que se centra principalmente en el mantenimiento y la recuperación normal del negocio operaciones).

Los datos que se pueden descubrir Los datos electrónicos que pueden obtenerse a través de un oponente en un proceso de litigio.

Denegación de Servicio Distribuida (DDoS) Denegación de servicio que envuelven a los intentos de múltiple conectados a Internet sistemas de lanzamiento, o se utilizan en los ataques contra uno o más sistemas de destino.

Registros Electrónicos La información almacenada en un formato que sólo puede ser leída y procesada por un ordenador.

Cifrado Una técnica de codificación de datos para evitar que los usuarios no autorizados puedan leer o tam-revenido con esos datos. Los datos pueden incluir mensajes, archivos, carpetas o discos, y sólo aquellos con un contraseña o la clave puede descifrar y utilizar los datos.

Enhanced Metafile (EMF) En el sistema operativo Windows, el formato de 32-bit de archivo de

cola utilizado en la impresión. El formato EMF fue creado para solucionar la definiciónídeficiencias de la original de Windows Metafile formato de impresión de gráficos de los programas gráficos más sofisticados.

Evento Un episodio discernible o fase de una investigación del incidente informático que puede ser documentada, verificada, y se analizaron.

Apéndice E: Glosario 291

Visor de sucesos En Windows NT, una herramienta usada para mostrar los registros de sucesos. Con el Visor de sucesos, los usuarios pueden supervisar los eventos registrados en la aplicación, seguridad, y los registros del sistema.

Explotar Para utilizar un programa o una técnica consistente en tomar ventaja de las vulnerabilidades o fallas en el hardware o software.

Tabla de asignación de archivos Una de MS-DOS del sistema de archivos situado en el sector de arranque del disco que almacena la direcciones de todos los archivos contenidos en un disco.

Intercambio de archivos El intercambio de datos informáticos, por lo general dentro de una red, los usuarios tendrán distintos grados de privilegios de acceso. Los usuarios pueden ser capaces de ver, escribir, modificar o imprimir la información o desde el archivo compartido.

Firewall De hardware y dispositivos de software diseñadas para frustrar las conexiones no autorizadas hacia o desde un ordenador (o red). Cortafuegos cumplir una organizaciónLas políticas de acceso a la red de s exa-ción y la evaluación de las conexiones a Internet a medida que pasan a través del firewall.

Análisis Forense El examen de los materiales e información para determinar sus características vitales para descubrir la evidencia de una manera que es admisible en un tribunal de justicia.

Hacker Un individuo (por lo general un programador competente) que es experto en informática penetrante sistemas, a menudo aplicando una variedad de métodos para hacerlo.

Engaño Por lo general, transmite a través de correo electrónico, un engaño contiene un mensaje para enviar la alerta a tantos otros como sea posible. Aunque no se virunses, las bromas pueden causar una interrupción de trabajo a través de alarmas falsas o provocar una denegación de servicio a través de su proliferación por parte de la sobrecarga del sistema de correo electrónico.

Honeypot Un señuelo creado para los piratas informáticos de captura y los usuarios con malas intenciones en su intento de ganar entrada en un sistema informático.

Incidente Un equipo de seguridad de eventos adversos o una serie de acontecimientos que afecta a la organización'S equipo de seguridad y / o su capacidad para hacer negocios.

Manejo de Incidentes La acción o acciones tomadas para resolver un incidente de seguridad informática.

Supervisión de Incidentes La vigilancia continua de las redes y los sistemas para descubrir deficiencias en el la seguridad y tomar medidas antes de los incidentes pueden ocurrir.

De notificación de incidentes El reconocimiento formal de que un incidente de seguridad informática ha sido detectado.

Respuesta a Incidentes El proceso de análisis de un incidente de seguridad la forma en que pudo ocurrir y cómo para evitar incidentes similares en el futuro.


Plan de Respuesta a Incidentes Un plan documentado de las directivas de acción y procedimientos para identificar, combatir y mitigar los daños causados por los ataques maliciosos en contra de una organizaciónciónLos sistemas informáticos.

Intruso Una persona que es el autor de un incidente de seguridad informática refiere a menudo como hackers o crackers (ver "Hacker" más arriba). Un intruso es un vándalo que pueden estar operando dentro de los límites de una organización o un ataque desde el exterior.

IntrusiónInadecuado no autorizado, y / o ¡Yoactividad legal por los autores, ya sea dentro o fuera de una organización que puede ser considerada como una penetración en el sistema.

Intrusión Sistema de Detección de Un mecanismo de seguridad que monitorea y analiza los eventos del sistema para proporcionar en tiempo casi real las advertencias para el acceso no autorizado a los recursos del sistema o en el registro de archivo y información de tráfico para su posterior análisis.

Nivel de Consecuencia El impacto de un incidente tiene en una organización, incluyendo la pérdida de datos, neg-creativas consecuencias para la organización (por ejemplo, daño a la reputación), y la magnitud de daño que debe ser corregido.

Local Área de red (LAN) Un grupo de ordenadores y otros dispositivos de red que existen en un número limitado de área como un solo edificio. Estos dispositivos están conectados por un enlace de comunicaciones especial que permite que cualquier dispositivo para interactuar con cualquier otro dispositivo en la red.

Iniciar sesión El acto de la conexión a un sistema informático (o red) por un usuario, por lo general después de introducir un contraseña y el ID de usuario.

Código malicioso Código de programación diseñado para dañar un sistema informático o los datos contenidos en un sistema. Tradicionalmente se clasifican en tres categorías: virunses, los gusanos y caballos de Troya, basado en el comportamiento del código.

Medios de comunicación Varios formatos utilizados para la grabación de datos electrónicos, incluidos los discos, películas, cintas magnéticas, y papel.

Aplicación de misión crítica Una aplicación que es vital para una organizaciónLa capacidad de 's para llevar a cabo requiere operaciones.

El mal uso El uso o explotación de un ordenador de un usuario no autorizado (ya sea desde dentro o intruso).

¿Necesitas a Saber de la Base La necesidad de acceder a, el conocimiento de, o la posesión de información confidencial con el fin de llevar a cabo tareas requeridas y autorizadas.

Puerto de red Escaneo El proceso de sondeo números seleccionados de los servicios portuarios (por ejemplo, NetBIOS -139, -21 FTP, etc) sobre una red IP con el propósito de

identificar los servicios de red disponibles en ese sistema. Red de escaneo de puertos es un proceso de recopilación de información suele ser útil para solucionar problemas del sistema o reforzar la seguridad del sistema, pero'S frecuencia a cabo como un preludio a un ataque.


New Technology File System (NTFS) El sistema de archivos utilizado con el sistema operativo Windows NT para almacenar y recuperar archivos en un disco duro.

Packet Sniffer Un programa o un dispositivo que captura y analiza los datos que viaja entre red computadoras.

Contraseña Una secuencia de caracteres que un usuario como un código de autenticación para obtener acceso a las computadoras y de los expedientes sensibles.

Pruebas de Penetración El intento de discernir el nivel de seguridad que protege a un sistema o red de trabajo. Este tipo de pruebas incluye tratando de evadir las medidas de seguridad que utilizan las mismas herramientas y téc-nicas de que un potencial atacante podría utilizar. Las pruebas de penetración puede ser utilizada por una compañía a identificar y corregir las debilidades de seguridad.

Seguridad Física Los procedimientos utilizados por una organización para asegurar que el material (físico) los recursos están protegidos tanto de deliétasa y las amenazas no intencionales.

Puerto Un punto de conexión (puerta de enlace o portal) entre un ordenador y otro dispositivo. Identificados con los números que van de cero a 65.536, los puertos de permitir el establecimiento de una sesión entre un host y un servidor Web para los servicios de red. Los servicios más populares se han reservado los números de puerto: TELNET es en el puerto 23, y HTTP en el puerto 80 es, por ejemplo. Los puertos son generalmente objeto de ataques por hackers y Caballos de Troya con el fin de tener acceso a un sistema informático.

Imprimir archivo de cola de impresión La cola de impresión es un archivo ejecutable que gestiona el proceso de impresión y es responsable de programar el trabajo de impresión para la impresión.

Modo promiscuo Cuando una interfaz Ethernet lee toda la información, independientemente de su destino. Esto es lo contrario de modo normal, cuando la interfaz lee los paquetes destinados a sí mismo sólo.

Mantenimiento de Registros La gestión de expedientes electrónicos o de otra manera a partir de su creación (o recibo) a través de su distribución, procesamiento y almacenamiento a su destino final.

Registro En el sistema operativo Windows, el sitio donde la información se mantiene.

Evaluación de Riesgos Determinación de la eficacia de los procedimientos de seguridad destinados a un sistema o red. La evaluación de riesgos evalúa la probabilidad de que ocurran las amenazas y los intentos de estícompañero el grado de pérdidas que pueden ser esperados por la organización.

Rootkit Una colección de herramientas de software que permite a un hacker para crear una puerta

trasera en un sistema informático. Los rootkits recopilar información acerca de otros sistemas en la red, mientras que disimular el hecho de que el sistema está en peligro. Los rootkits son un ejemplo clásico de software de caballo de Troya y son disponible para una amplia gama de sistemas operativos.

SATÁN (Herramienta de Administrador de Seguridad para el Análisis de Redes) Un programa gratuito que las redes de forma remota las sondas para identificar las debilidades en la seguridad del sistema.


Script Kiddies Sin experiencia, a veces inmaduros, los hackers novatos con poca formación en la escritura de código mali-espacioso, así que, sin embargo la ejecución de buscar y explotar la seguridad informática vulnera-nerabilities, usando a menudo bien conocida, fácil de encontrar scripts y programas.

Auditoría de Seguridad Una investigación autorizada oíun sistema informático para identificar sus deficiencias y vulnerabilidades.

Políticas de Seguridad Una organizaciónSerie documentada @ s de leyes, reglamentos, normas y directrices que-dardizes cómo los controles de la organización, guardias, y distribuye los datos sensibles.

Slack espacio de ficheros El espacio de almacenamiento de datos vacía que existe desde el final oíun archivo de ordenador para el final del último grupo asignado a ese archivo.

Ingeniería social Una técnica de hacking que se basa en la debilidad de la gente en lugar de software con el objetivo de engañar a la gente a revelar contraseñas u otra información que comprometa un sistema de destino'S de seguridad.

Esteganografía El escondite de un mensaje secreto dentro de un mensaje común que se decodifica a su destino por el receptor. Que el mensaje contiene un mensaje oculto inserta sigue siendo desconocido (y por lo tanto, sin ser detectados por) toda persona está viendo que no se ha hecho consciente de su presencia.

Actividad Sospechosa Los patrones de tráfico de la red que se encuentran fuera de las definiciones habituales de la norma de tráficoFIC y que podría indíCate no autorizado actividad en la red.

Intercambio de archivos El espacio en un disco duro que se utiliza para ampliar una computadora'S de memoria. Los archivos no utilizados recientemente se almacenan temporalmente en el disco duro, dejando espacio para los archivos nuevos.

Amenaza Una condición o evento que tiene el potencial de causar daño a una organización, su persona-nel, o sus bienes, incluidos los recursos del sistema informático. Las amenazas incluyen el daño, divulgación o alteración de los datos, así como ataques de denegación de servicio, el fraude y otros abusos. Amenazas de la red de seguridad incluyen la suplantación de personal autorizado, las escuchas, denegación de servicio, y paquete de MODIFICACIón.

Traceroute Una herramienta de Unix / Linux que los rastros (identifica), la vía tomada por los paquetes de datos a medida que atraviesan (salto) a través de una conexión de red entre dos hosts y muestra la hora y la ubicación de la ruta seguida para llegar al equipo de destino. En Windows, esta misma utilidad que se conoce como tracert.

Caballo de Troya Un programa útil y aparentemente inocente que contiene código oculto

adicional que permite la recolección no autorizada, la explotación, falsificación o destrucción de datos. Un caballo de Troya realiza algunas inesperadas o no autorizadas (generalmente maliciosos) acciones, tales como la visualización de mensajes, borrar archivos o formatear un disco. Un caballo de Troya doesn'T infectar otros archivos de acogida, por lo tanto limpieza no es necesario.


El espacio no asignado Archivo Espacio que queda detrás de un archivo borrado, que todavía pueden albergar los datos. El espacio no asignado archivo puede contener un número de archivos valiosos para una investigación forense, tales como archivos intactos, los restos de archivos, subdirectorios y los archivos temporales creados y eliminados por equipo aplicaciones y el sistema operativo.

Vendedor Productor de aplicaciones de hardware o software que se asocian con la computadora de la tecnología (routers, sistemas operativos, computadoras, y los interruptores, por ejemplo).

Virus Un malicioso, auto-replicante (o en algunos casos, ejecutable) del programa con el potencial de dejar un ordenador o una red completa deje de funcionar. Un virus se adhiere y se extiende a los archivos, pro-gramas, mensajes de correo electrónico y otros medios de almacenamiento y pueden drenar los recursos del sistema (espacio en disco, conexiones, y la memoria) y modificar o eliminar archivos o mensajes en pantalla.

Vulnerabilidad Una falla en una computadora o red que lo deja susceptible a posibles explota-ción, como a través del uso o acceso no autorizado. Las vulnerabilidades incluyen, pero no se limitan a, la debilidad de las debilidades en los procedimientos de seguridad, administrativa o enFcontroles ernal o la configuración física, o características o errores que permiten a un atacante eludir las medidas de seguridad.

Análisis de Vulnerabilidad La práctica de la exploración e identificación de las vulnerabilidades conocidas de los sistemas informáticos en una red informática. Desde el escaneo de vulnerabilidades es un proceso de recopilación de información, cuando es realizada por individuos desconocidosais se considera un preludio a un ataque.

Web Cache El almacenamiento en caché Web es una técnica para mejorar el rendimiento del navegador Web mediante el almacenamiento frecuentemente solicitados páginas Web, imágenes y otros objetos Web en un lugar especial en el usuarioDisco duro 's para un acceso más rápido. En

las solicitudes posteriores para el mismo objeto, la memoria caché proporciona el objeto de su almacenamiento en lugar de pasar la solicitud al origen sirvenn

Gusano Un gusano informático es un programa autónomo (o conjunto de programas) que es capaz de difundir copias funcionales de sí mismo o de sus segmentos a otros sistemas informáticos. La propagación por lo general se lleva a cabo a través de conexiones de red o archivos adjuntos de correo electrónico.

íNDICEAPolítica de Uso Aceptable. 5eeAUP listas de

control de acceso, Windows XP, 165-167

AccessData Forensic Toolkit, 117.146

adquisición de evidencia digital, 2-4 de

admisibilidad de las pruebas, 150

autenticación, 151-152

mejor prueba de la regla, 152-153

el examen de los ordenadores

incautados, 153

Frye prueba, 152

la preservación, el 153 de la

cadena de custodia, 61-63,149-150


personalizados, 146-147 e-mail,

123

correo electrónico eliminado,

recuperación, 125-126

encontrar, 124-

125 datos ocultos,

130

protegidos con contraseña los datos

comprimidos, 131-132

esteganografía, 130-131, 116

búsquedas de palabras clave

BinText, 117

Investigador de disco, 117

Encajar el programa de búsqueda de

palabras clave, 117

Forensic Toolkit palabras clave de

búsqueda programa, 117

utilidades gratuitas, 117

exámenes de disco duro, 120

Maresware Suite de búsqueda por

palabra clave

programa, 117

SectorSpyXP, 117-119

orden de volatilidad, 140-

141, 144-146 rastreadores de

paquetes postcompromise, 135

los requisitos legales, 136

banderas de inicio de sesión, 136-139

orden de recogida, 139-140

imprimir archivos de cola

de impresión, 129-130

cuarentena y la

contención, 156

los mecanismos de auditoría, 157

determinar el riesgo de las

operaciones continuas, 156

de intercambio de archivos asuntos,

160-167

la integridad de la preservación, 157

la ruptura de las

conexiones de red e

Internet, 159-160

detectados por el usuario

vulnerabilidades técnicas, 157

Formulario de Reporte de la

vulnerabilidad, 157-159 en modo real

discos de arranque de forenses, 141

FAT, 142

Linux, 143-144

Windows, 142-143

TCT (Kit de herramientas

de forense), 147-149

memoria caché del

navegador Web, 126

explorador de la localización de

evidencias de la historia, 127-128

Web de la localización de pruebas

de caché, 128-129 De Windows los

archivos de intercambio, 121

los archivos de localización, 121-122

contenidos televisivos de los

archivos de intercambio / página, 123

hechos

Cable, 271

Equipo de abuso Ley de Enmiendas de

1994,

42-43 Equipo de Fraude y

Abuso de la ley de 1986,39-42 Ley

de Seguridad Informática de la

Lucha contra el Crimen y la Ley de

1997.171 Calles Seguras, 28 de AECA

(Privacidad de Comunicaciones

Electrónicas

Ley), 29 de FOIA (Freedom of

Information Act), 30 de HIPAA (Health

Insurance Portability and

Ley de Responsabilidad de 1996),

228-232 de la Ley Patriota de EE.UU.

2001,43-44, 269

autoridad para interceptar la voz

las comunicaciones en la piratería

informática investigaciones, 269

297

298 íNDICE

hechos seguido

Ley de Cable, 271-272

comunicaciones de delitos informáticos,

¡nterception, 275-276 capacidades

de ciberseguridad forenses, 280 de

defensa a las acciones civiles relativos

a la

los registros de la preservación de la

disuasión, 280 de ciberterrorismo, 277-

280 revelaciones de emergencia por

parte de las comunicaciones

proveedores, 272-273 órdenes de

allanamiento en todo el país para el

correo electrónico,

276 registro de la pluma, 273-

275 citaciones para las pruebas

electrónicas,

270-271 trampa y rastro estatuto, 273-275

de correo de voz de comunicaciones, 270

disposiciones de la Simplificación

Administrativa (HIPAA),

228 pruebas admisibles, 140.150 de

autenticación, registros electrónicos 151-152,

185 mecanismos de alerta, la respuesta de

incidentes informáticos

capacidad, 17 de American Power

Conversión la Corporación de UPS

Selector, 187

AnalogX PacketMon, 145

análisis de las pruebas

admisibilidad de las pruebas, 150 la

autenticación, la mejor regla 151-152

pruebas, 152-153 prueba de Frye, 152

período de tiempo permitido para el

examen de

confiscaron

computadoras, 153, 153 de

preservación de la cadena de

custodia, 149-150

contención


determinar el riesgo de las operaciones

continuas,

156 para compartir

archivos temas, la

preservación de la

integridad de 160-167,

157

la ruptura de las conexiones de

red e Internet, 159-160

detectados por el usuario vulnerabilidades

técnicas, 157

Formulario de Reporte de la vulnerabilidad,

herramientas forenses personalizados 157-159,

146-147 correo electrónico, 123

localizar e-mail, 124-125

recuperar el correo electrónico

eliminado, 125-126 datos ocultos, 130





BinText, 117


Encajar el programa de búsqueda de palabras

clave, 117

Forensic Toolkit palabras clave de búsqueda

programa, 117



Maresware Suite de búsqueda por palabra

clave

programa, 117

SectorSpyXP, 117-119 orden

de volatilidad, 140-141

rastreadores de paquetes, 144-

146


144 Ethereal,

NGSSniff, 144

Snort, 144 después

del incidente, 190-191

postcompromise, 135




archivos de cola de impresión, 129-

130 156 de cuarentena,



continuas, 156

de intercambio de archivos asuntos, 160-167


la ruptura de las conexiones

de red e Internet, 159-160

íNDICE 299


técnicas, 157 Formulario de Reporte de

Vulnerabilidad, 157-159 en modo real discos

de arranque forenses, 141 FAT, 142 Linux,

Windows 143-144, 142-143 TCT (Kit de

herramientas de forense), 147-149

almacenamiento en caché del navegador

web, 126

la localización de pruebas del navegador

de la historia,

127-128 Web localizar evidencias de

caché, los archivos de intercambio de

Windows 128-129, 121, 121-122 archivos de

localización de contenidos televisivos de los

archivos de intercambio / página, 123 de

software antivirus, la respuesta de código

malicioso, 202 Aplicación del cuadro de

diálogo Propiedades (Windows XP),

51 la evaluación, un incidente de

equipo de respuesta,

19-20 Astonsoft, ZIP

Password Finder, 131 ataques

anticipando, 191-194

211-213 privilegiada,

prevención, 215-216

estaciones de trabajo de auditoría y

servidores,

219-223 HIPAA (Health Insurance Portability

and Accountability Act de 1996), 228-232

Honeynet Project, las pruebas de 232 de

penetración, 223-227 políticas y

procedimientos de evaluación, auditoría 216-

219

proceso de auditoría, 218-219 de

contención de las pruebas, la recogida

de datos 157, 46,49, 51 políticas de

seguridad, listas de control de auditoría,

216-217 217-218, 216 metas estaciones

de trabajo y servidores, 219-223 AUP

(Política de Uso Aceptable), 138

pruebas fehacientes, 140,151-152 CCIPS,

282-285 electrónic registros, 184 modelos de

confianza, 167 robos de identidad, 171 del

sistema operativo de confianza, 169-170 ID

de usuario y contraseña de confianza, 168-

169 listas de autor en CD-ROM, 249-252

Automachron (Un individuo Codificación), 53

Bprogramas de puerta trasera

el reconocimiento de incidentes, 5-7

los archivos de registro de cheques, 9

tipos más comunes de los incidentes, 6

herramienta de gestión informática

(Windows), 9 la inspección de las

configuraciones de red, 13 los derechos de

usuario no válidas, 9 carpetas de inicio de

seguimiento, 11 cuentas de usuarios no

autorizados observando, 8 alteraciones de

archivos de programa, 13 los resultados de

la detección inadecuada, 6-7 aplicaciones no

autorizadas en ejecución, 9 puertos de copia

de seguridad inusuales, 13 y Asistente de

restauración (Windows XP),

189-190, 187 procedimientos

de respaldo de la creación de un

plan de copias de seguridad

diferenciales, 188, 188, 188

herramientas gratuitas de

seguridad incrementales, 188

copias de seguridad normales,

188 Editor del Registro

(Windows), 74

Utilidad de restauración, de 78 años

shareware y freeware, de 78 años

Windows 2000, 75-76

Windows NT, de 75 años

Windows XP, 77-78 Windows,

189-190 utilidad Copia de

seguridad (Windows XP), 77

pruebas creíbles, 140

300 íNDICE

mejor prueba de la regla, 288,152-153 BIA

(Business Impact Analysis), el 64 binario

valiosaé (Claves del Registro de Windows),

el 71 BinText (Foundstone, Inc.), los

sistemas de 117 BioNet, LLC NetNanny,

209 BIOS

Parámetros de bloque. Ver BPB

programa de instalación, a 80 cuadras,

sistema de archivos ext2, 87 discos de

arranque, la creación de modo real de discos

de arranque, 141

FAT, 142

Linux, 143-144

Windows, 142-143 BPB (BIOS

Parameter Block), 82 sucursales,

Windows Registry Editor, 70-71

violaciones de la seguridad

informar a la policía, el 30 príorganizaciones del

sector privado, 32-33 justificación para no

informar de intrusiones, 31 análisis del impacto

empresarial (BIA), 64 empresas

previsión de ataques futuros, 191-194

la continuidad y la planificación de

contingencia, 63-68

planificación de la recuperación de

desastres, el desarrollo de un plan de

179, 180 a 181 casos de desastre de

contingencia muestra de recuperación

de plan, 181-183

cLey de Cable, 271

CacheMonitor II,

almacenamiento en

caché de 129

Navegadores de Internet, 126


de la historia,

127-128 pruebas de localización de caché

Web, 128-129 Cain & Abel v2.5 beta20, 131

sistema Carnivore, 144

CCIPS (Delitos Informáticos y Propiedad

Intelectual Sección), 281-288 autenticación,

282-285 rumores, 285-288

Ley Patriota de EE.UU. de

2001.269 autoridad para

interceptar la voz


informática investigaciones, 269 de

cable, la Ley 271-272 de comunicación

de delitos informáticos,

intercepción, 275-276 capacidades



a la










electrónicas,

270-271 trampa y rastro estatuto,

273-275 de correo de voz de

comunicaciones, 270 CD-ROM (libro

que la acompaña), 247 componentes de

la, 249-252 eBook versión de la

respuesta a incidentes, 255 Linux, los

requerimientos de 248-249, el software

de 247, 252-254 solución de problemas,

Windows 255, 248 CD-R, de 81 años

CD-RW (CD regrabables), 81 CDP (Columbia

Data Producís, Inc), de 61 años CDs (discos

compactos), 81 Centros de Servicios de

Medicare y Medicaid. Ver

CMS CERT (Computer Emergency

Response Team),

232 de la cadena de custodia,

recolección de evidencia, 61-63,

149-150 directores ejecutivos de información.

Ver ClOs CIFS / SMB (Common Internet File

System / servidor Mensajería Bloque), 221

íNDICE 301

ClOs (los directores de información), 20

Cisco Systems, Inc., 211

CMS (Centers for Medicare & Medicaid

Servicios), 228

error de código rojo, 170

Cogswell, Bryce, de 73

años la reunión de

pruebas, 2-4

admisibilidad de las pruebas, 150 de

autenticación, 151-152 mejor regla de

la prueba, 152-153 examen de los

ordenadores incautados, 153 Frye

prueba, 152 preservaciónrde, 153

de la cadena de custodia, 61-

63,149-150 herramientas forenses


123

localizar e-mail, 124-125 recuperar el

correo electrónico eliminado, 125-

126 datos ocultos, 130


comprimidos,

131-132 esteganografía, 130-131

búsquedas de palabras clave, 116

BinText, 117 Disk Investigator, 117

Encase programa de búsqueda por

palabra clave, 117 Forensic Toolkit

palabras clave de búsqueda

programa, 117 empresas de

servicios públicos gratuitos, 117


Maresware Suite de palabras clave

de búsqueda

programa, 117

SectorSpyXP, 117-119 orden

de volatilidad, 140-141, 144-

146 rastreadores de paquetes

AnalogX PacketMon Ethereal,

145, 144 NGSSniff, Snort 144,

postcompromise 144, 135

requisitos legales, las

banderas de inicio de sesión

136, 136-139 orden de

recogida , 139-140

imprimir archivos de cola de impresión,

129-130 cuarentena y la contención, 156

mecanismos de auditoría, 157 de riesgo

determinante de operaciones continuas,

156 para compartir

archivos temas, la

preservación de la

integridad de 160-167, 157

ruptura de la red e Internet

conexiones, 159-160 detectados por

el usuario vulnerabilidades técnicas, 157




FAT, 142 Linux, de Windows 143-144,

142-143 TCT (Kit de herramientas de

forense), 147-149 Web memoria caché

del navegador, 126

la localización de pruebas del

navegador de la historia,



Windows 128-129, 121, 121-122 archivos

de localización de contenidos televisivos de

los archivos de intercambio / página, 123

de Columbia Data Producís, Inc. 5eeCDP

común de archivos de Internet del sistema /

servidor de mensajería

Bloque. 5eeCIFS / SMB

Commonwealth Films, 172 Compact

Disc Read-Only Memory discos. Ver

CDs discos compactos. Ver CD de

pruebas completa, volcados de

memoria completos 140, de 57 años

la disponibilidad, el cumplimiento de

229 a 232, HIPAA (Health Insurance

Portability and Accountability Act de

1996), 228 la confidencialidad,

integridad de datos 229-232, 229-232

ordenador abuso Ley de Enmiendas

de 1994,

42-43 de Delitos Informáticos y Propiedad

Intelectual (Departamento de Justicia), 31

de Computer Emergency Response

Team.5eeCERT

302 íNDICE

Equipo de Fraude y Abuso de la ley de 1986,39-

42 herramienta de administración de PC

(Windows),

monitoreo de las cuentas de los usuarios no

autorizados, 8 Ley de Seguridad Informática

1997.171 equipo acerca de la seguridad, 171

Ley de Seguridad Informática 1997.171

documentación multimedia, 172 Constitución,

la Cuarta Enmienda, 28-30,138-139 de

contención de las pruebas, 156, 157

mecanismos de auditoría incidentes

informáticos del equipo de respuesta, 19-20

de riesgo determinante de las operaciones

continuadas, 156 de intercambio de archivos,

160 temas

la configuración de Windows, 161-162

archivo incapacitante y uso compartido de

impresoras, 167 Windows XP, 162-167

respuesta de código malicioso, la

integridad de la preservación de 202, 157

evitar que los trabajadores vean material

inadecuado, 208-210 CyberPatrol, Net

Nanny 209, 209 red de corte y conexión a

Internet,

159-160 detectados por el usuario

vulnerabilidades técnicas, 157 Formulario de

Reporte de Vulnerabilidad, 157-159 planes de

contingencia planificación de negocios, 63

TI de contingencia proceso de planificación,

63-68 de desastres de la muestra recupera el

plan, 181-183 supuestos, el procesamiento

de datos 181 / Clima de Negocios

descripción, 181 por supuesto el

reconocimiento de desastre de las acciones,

procedimientos de respuesta de emergencia

181, 183 Lista de teléfonos de emergencia,

183 mantienen el plan, 183 equipos de

recuperación, la continuidad de 181-183, la

continuidad del negocio y de contingencia

planificación, 63-68

Panel de control (¡ProtectYou),

210

Kit de herramientas de forense.5eeTCT

Corporativo Evidencia Procesamiento Suite

(Nueva

Technologies, Inc), 146 comandos de

choque (Unix), de 58 de Control del Crimen y

la Ley de Calles Seguras, 28 investigaciones

sobre la delincuencia, las cuestiones de

intercambio de información,

33-34 delitos, el uso de equipo

inadecuado,

203 criptografía, 131 kits de

herramientas forenses personalizados,

recolección de pruebas,

146-147 equipo de soporte al cliente (el

equipo de recuperación), 183 CyberPatrol

(Patrulla de Surf), 209

Danálisis de daños, la respuesta de incidentes

informáticos

equipo, 20 procedimientos

de copia de seguridad de

datos, la creación de un plan

de 187, 188, 188 copias de

seguridad diferenciales

herramientas freeware, 188

copias de seguridad

incrementales, 188, 188

copias de seguridad normales

de Windows, 189-190

recopilación de datos

La respuesta preliminar, 55 archivos de

volcado de memoria, 56-59 orden de la

volatilidad, la preparación de los sistemas

operativos de 56, 45 procedimientos de

auditoría y registro, de 46 años,

49-51 de registro centralizado,

51-52 habilitar la auditoría y el

registro de

Windows, 47-49 archivos de

registro, 46 Editor del Registro

(Windows), 73 lnCntrl5 utilidad, la

utilidad Regmon 73-74, 73-74 datos

volátiles, 73 objetos de datos, 2

íNDICE 303

procesamiento de datos,

almacenamiento de datos

181, 78 CD-ROM,

disquetes, 80-81 79-80,

78-79 discos duros de

Unix / Linux, 87-88 Datum,

Inc, 54 archivos

borrados

sistema de archivos ext2, la

recuperación de 87, 85-86 seguimiento,

84-85 Departamento de Energía de

Primeros Auxilios

Manual, de 21 años del Departamento

de Justicia, Delitos Informáticos y

Sección de la Propiedad Intelectual,

de 31 años Deraison, Renaud, 173

incidentes de detección, 5, 7

tipos más comunes de los

incidentes, 6, 7 sistema de

monitoreo de los archivos de

registro de cheques, de 9

herramienta de gestión informática (Windows), 9

la inspección de las configuraciones de red, 13

los derechos de usuario no válidas, 9

alteraciones de archivos de programas,

aplicaciones no autorizadas 13, 9-11 cuentas

de usuario no autorizado o grupos, 8 puertos

inusuales, 13 los resultados de la detección

inadecuada, cajas de diálogo de 6-7, Ejecutar

(Windows), de 72 años, Dick, Ronald, 3 - 4

copias de seguridad diferenciales, 188

pruebas digitales, 2-4,61-63,116-117 de

adquisición. 5eeadquisición de digitales

pruebas

DUPLíCate

, original de

3, 2

postcompromise seguimiento y análisis, 190

registros de seguridad, programas, 183-186 la

admisibilidad de los expedientes, 185 de

autenticación de los registros, 184

procedimientos de copia de seguridad de

datos, 187-190

UPS (suministro ininterrumpido de

energía), 186-187 medios de

almacenamiento, 183-184 digital de

sellado de tiempo de servicio. Ver DTS

directorios, el sistema de archivos ext2, 87

incapacitante

uso compartido de archivos, 167 de

NetBIOS nuyosesiones de l, 221 2000.223

de Windows Windows NT, Windows XP 223,

222, 167 compartir impresoras Coordinador

de Planificación de Desastres (equipo de

recuperación),

181 casos de desastre planificación de la

recuperación, el desarrollo de un plan de

177-179, 180-181 de contingencia muestra

de plan de recuperación de desastres, 181-

183

supuestos, 181 descripción de

procesamiento de datos, 181 cursos de

reconocimiento de desastre de las acciones,

procedimientos de respuesta de emergencia

181, 183 Lista de teléfonos de emergencia,

el plan de mantenimiento de 183, 183

equipos de recuperación, divulgación 181-

183, aplicación de la ley, 36-38

Recuperación de descuento contraseña, el

descubrimiento de 131 , aplicación de la ley,

36-38 Disk Investigator (Soloway, Kevin),

117 discos

disquete, disco duro

79-80, 78-79, 59

herramientas de

imágenes de Linux

dd, 61

NIST especificaciones, 60-61 SnapBack

DatArrest, 61 DiskSearch Pro (Nuevas

Tecnologías, Inc), 120 Proyecto de

almacenamiento de correo electrónico, 125

DrvClonerXP (Lexun Freeware), 120 DTS

(Digital sellado de tiempo de servicio), de 54

años Dumpchk, de 58 años

304 íNDICE

DumpSec (SomarSoft), 9

DWORD valiosaé (Claves del Registro de Windows), de 71 años

Eutilidad de e2undel, la recuperación de

archivos ext2, de 88 años e-mail

reunir pruebas, 123 localizar, 124-

125 recuperar el correo electrónico

eliminado, 125-126 EasyRecovery

Professional (Kroll

Ontrack, Inc.), 86 libros electrónicos

(incidente de Informática Forense de

Respuesta

Kit de herramientas), 255

ECPA (Comunicaciones

Electrónicas

Ley de Privacidad), 29 de EDI

(intercambio electrónico de datos), 229

edición, el Editor del Registro

(Windows), de 72 años la EEOC (Equal

Employment Opportunity

Comisión), 206-208 planes eficientes

de seguridad de respuesta, 16 de Electronic

Communications Privacy Act. Ver ECPA

intercambio electrónico de datos. Ver EDI

divulgación electrónica, de 36 años de

pruebas electrónicas. Ver de emergencia

digitales de gestión de pruebas del equipo (la

recuperación

equipo), el disco de reparación de

emergencia 182 (ERD), 75 procedimientos de

respuesta a emergencias, 183 de la lista

telefónica de emergencia, 183 CEM

(metarchivo mejorado), 129 sistemas en

guardia, Inc, 227 habilitar la auditoría y el

registro de Windows, 47-49 Encase palabras

clave de búsqueda programa, 117

metarchivos mejorados (EMF), 129 Comisión

de Igualdad de Oportunidades

(EEOC), 206-208

erradicación de los incidentes, 173

aplicación de técnicas de protección, 173

herramientas de análisis de vulnerabilidad,

173-174

Nessus, 173

SAINT, 174

Ethereal, 144

Ethernet, 144

Visor de sucesos (Windows XP), 50

Evertrust.net, 54 pruebas

adquisición

admisibilidad de las pruebas, 150-153 de la

cadena de custodia, 61-63,149-150 contención,

156-167 herramientas personalizadas

forenses, 146-147 e-mail, datos ocultos, 123-

126 130-132 116-119 búsquedas de palabras

clave, el orden de volatilidad, 140-141, 144-

146 rastreadores de paquetes

postcompromise y 135-140 de impresión cola

de archivos, 129-130 156-167 cuarentena, en

modo real discos de arranque forenses, 141-

144 TCT (Kit de herramientas de forense),

147-149 memoria caché del navegador Web,

archivos de intercambio de Windows 126-

129, 121-122 contenidos televisivos de

intercambio / página ficheros, 123 digitales.

Ver evidencia digital "potencial" evidencia, 3

conservación, equipo equipo de respuesta a

incidentes, 21 ampliable valiosa cadena deé

(Registro de Windows

teclas), 71 bloques

del sistema de archivos

ext2, 87, 87 directorios

de eliminación de

archivos, el 87 de

recuperación de

archivos, 87-88

FFarmer, Dan, 147

FAT (File Allocation Table), de 81 años

crear en modo real discos de arranque de

forenses, 142

FAT12, de 82 años

FAT16, de 82 años

FAT32, de 82 años

http://Evertrust.net/

íNDICE 305

FedCIRC (Equipo Federal de Respuesta a

Incidentes

Centro), 5 Incidentes Federal de Centro

de Cómputo de respuesta.

Ver FedCIRC Código Federal de la

Delincuencia, la divulgación de la

computadora

¡nformación, 37-38

las leyes federales, 38

Enmiendas a la Ley Informática abuso

de fraude informático

1994,42-43 Acta de Abuso y

1986,39-42 de la Ley Patriota de

EE.UU. de 2001, 43-44, 269

autoridad para interceptar la voz


informática ¡nvestigations, 269 Cable

Act, 271-272 comunicación de delitos

informáticos,




a la






allanamiento en todo el país para el correo

electrónico, 276 registro de la pluma, 273-275

citaciones para las pruebas electrónicas, la

trampa y el estatuto de seguimiento 270-271,

273-275 de correo de voz de

comunicaciones, 270 Reglas Federales de

Evidencia, 61-62,123,281 -288 ámbito de la

orientación

Ley Patriota de EE.UU. de 2001,

269 autoridad para interceptar

la voz


informática ¡nvestigations, 269 Cable

Act, 271-272 comunicación de delitos

informáticos,




a la



280

las revelaciones de las comunicaciones de

emergencia






electrónicas,

270-271 trampa y rastro estatuto, 273-275

de correo de voz de comunicaciones, 270 File

Allocation Table. Ver Programa de archivos

FAT (TCT), 147 para compartir archivos,

pruebas de cuarentena y la contención, 160

configuración de Windows, 161-162

deshabilitar compartir archivos e impresoras,

Windows XP 167, 162-167 uso compartido de

archivos ficha Propiedades (Windows XP),

165 First Responder de instrucciones

( EE.UU. Departamento de

Energía), 21

disquetes, 79-80

FOIA (Freedom of Information Act), 30 en

Opciones de carpeta (Windows XP), 164

carpetas cuadro Opciones (Windows XP),

122 de seguimiento, los incidentes de

hackers, 201 preparación forense, 45

la continuidad del negocio y de

contingencia planificación, de 63

años

TI de contingencia proceso de

planificación, 63-68 de la cadena de custodia

para la recopilación de pruebas,

61-63 recopilación de datos de la

memoria, 55 archivos de volcado de

memoria, 56-59 orden de volatilidad, la

identificación de 56 dispositivos de red,

unidades de imagen de disco duro 54-55,

59-61 preparación de los sistemas

operativos de recogida de datos, auditoría

y los procedimientos de registro de 45, 46,

49,

51 de registro centralizado, 51-

52 habilitar la auditoría y el

registro de

Windows, 47-49

los archivos de

registro, 46

306 íNDICE

la preparación forense seguido

sincronización de tiempo, 52-53

Automachron, de 53 años NIST Servicio

de hora de Internet, el 53 por NTP

(Network Time Protocol), de 52 años

hora mundial, el 53 de sellado de

tiempo, 53-54 herramientas forenses

personalización, 146-147 Forensic Toolkit

(AccessData), 146 Forensic Toolkit palabra

clave de búsqueda de programa, 117 de

Foundstone, Inc. BinText, 117 SuperScan, 13

de la Cuarta Enmienda de la Constitución de

los EE.UU.,

28-30,138-139 fragmentación, 81-

82,124 Freedom of Information Act. Ver

FOIA gratuito

CacheMonitor II, 129 Cain & Abel

v2.5 beta20, 131 herramientas de

copia de seguridad de datos, 188

¡ProtectYou, 209-210 búsqueda de

palabras, programas, 117-119, 173

Nessus escáner NetBrute, 225, 144

Snort

Ultícompañero de ZIP Cracker, 131-132 copia

de seguridad de Windows y los

procedimientos de restauración, 78 ZIP

Password Finder, 131 prueba de Frye, la

admisibilidad de la prueba informática, 152

funciones, NIPC (Nacional de Protección de

la Infraestructura del Centro), 35

Greunir pruebas, 2-4

admisibilidad de las pruebas, 150 de

autenticación, 151-152 mejor regla

de la prueba, 152-153 examen de

los ordenadores incautados, 153

Frye prueba, 152


cadena de custodia, 61-63,149-

150 herramientas forenses


123






esteganografía, 130-131,

116 búsquedas de palabras

clave

BinText, 117



palabras clave, 117





Maresware Suite de búsqueda por palabra

clave programa, 117


orden de volatilidad, 140-141,

144-146 rastreadores de

paquetes postcompromise,

135




archivos de cola de impresión,

129-130 de cuarentena y la

contención, 156



continuas, 156

de intercambio de archivos asuntos, 160-

167



de red e Internet, 159-160


técnicas, 157

Formulario de Reporte de la vulnerabilidad,

157-159 en modo real discos de arranque de

forenses, 141

FAT, 142

Linux, 143-144

Windows, 142-143

íNDICE 307

TCT (Kit de herramientas de

forense), 147-149 memoria caché

del navegador Web, 126


de la historia,



Windows 128-129, 121, 121-122 archivos de

localización de contenidos televisivos de los

archivos de intercambio / página, 123 GFI

LANguard Network Security Scanner, 55.174

GFI LANguard Security Event Log Monitor,

52 GMT (Greenwich Mean Time), de 52 años

ladrón de tumbas (TCT de recolección de

datos del programa), 147-148

funcionamiento, 148-149 hora media de

Greenwich.5eeGMT Guidance Software, Inc.,

Encase programa de búsqueda por palabra

clave, 117

Hlos piratas informáticos, 195

actividad de los hackers activo, 198-200

los ataques de medidas preventivas, 191-

194

categorías de incidentes, 196

puertos comúnmente atacados, 257-267

de seguimiento, 201

los piratas informáticos de identificación, 197-

198

Entrada de acceso a Internet, 196

monitorización de la actividad hacker, 200

puerto de entrada de acceso, 196

incidentes anteriores, 201

Troya, 196 programas de caballo de acoso,

el uso de equipo inadecuado, 203-205

evitar los juicios, 205-206

las políticas sobre el acoso sexual, 206-

208 discos duros, unidades de disco

duro 78-79

imágenes, la respuesta preliminar, 59-61

búsquedas de palabras clave, 120 de

Portabilidad y Responsabilidad de Seguros

Ley de 1996. Ver Oídas

HIPAA, CCIPS, 285-288

datos ocultos, recogida de pruebas, 130

protegida con contraseña los datos comprimidos,

131-132 esteganografía, 130-131 de alto nivel

de incidentes, 19 Boletín Destacados (INCP),

178 de HIPAA (Health Insurance Portability y

Ley de Responsabilidad de 1996),

228-232 colmenas, Editor del Registro de

Windows, 70-71

HKEY_CLASSES_ROOT rama (Windows

Registro), 70 rama

HKEY_CURRENT_CONFIG (Windows

Registro), 71

HKEY_CURRENT_USER rama

(Windows

Registro), el 70 HKEY_DYN_DATA

rama (Registro de Windows), de 71 años

rama HKEY_LOCAL_MACHINE (Windows

Registro), 70 (rama HKEY_USERS del

Registro de Windows), el 70 Honeynet

Project, el acoso sexual, ambiente hostil, 232,

203

YoIAP / PUA, 208 (acceso a Internet y de uso

aceptable

políticas), 208 del

programa ICAT (TCT),

147 la identificación de

hackers, 197-198

dispositivos de red, 54-55 el

robo de identidad, 171

programa de ILS (TCT), 147

imágenes de unidades de disco duro, la

respuesta preliminar, 59-61 en casa de pruebas

de penetración, 224-226 inapropiadas del uso

de los incidentes, 202

infracciones penales, 203

molestias, 203

evitar que los empleados vean material

inapropiado contení filtros, 208-

210 IAP / PUA, 208

uso prohibido, 203

una ética cuestionable, 203

reconociendo el uso apropiado, 203

308 íNDICE

¡nappropriate incidentes de uso seguido

el acoso sexual, 203-208 uso tolerable,

203 Bandeja de entrada de correo

electrónico de almacenamiento, 125

incidentes


evaluación de las vulnerabilidades de la

organización con

modelos de confianza, 167

el robo de identidad, 171

el sistema operativo de confianza, 169-

170

ID de usuario y contraseña de confianza,

168-169 equipo de sensibilización de

seguridad de programas, 171


documentación multimedia, 172

planes de recuperación de desastres,

177-179

desarrollar un plan, 180-181

de contingencia muestra de plan de

recuperación de desastres, 181-183

erradicación, 173

aplicación de técnicas de protección,

173

herramientas de análisis de

vulnerabilidades, 173-174 objetivos de la

respuesta, 5 hackers, 195

actividad de los hackers activo, 198-200

categorías, 196

de seguimiento, 201

identificar al hacker, 197-198


monitorización de la actividad hacker,

200



Programas de caballo de

Troya, 196 de alto nivel, 19

¡nappropriate incidentes de uso,

202


molestias, 203

impedir que los trabajadores

puedan ver ¡material de

nappropriate, 208-210

uso prohibido, 203



el acoso sexual, 203-208

uso tolerable, 203

espionaje industrial, 210-211

los ataques internos y 211-213

casos aislados, 19

de bajo nivel, 18

código malicioso, 201-202

de nivel medio, 18

después del incidente de seguimiento y

análisis, 190-191

preparación

centralización, 16

desarrollo de la capacidad de respuesta, 16-

21 concienciación de usuario mejorada, 16

planes de seguridad, factores de

amenaza, 15-16 14-15 cuarentena, 156

los mecanismos de auditoría,

157 de riesgo determinante

de la continua

156 operaciones, de

intercambio de archivos, los

problemas de la

preservación de la

integridad de 160-167, 157

y ruptura de la red de

Internet

conexiones, 159-160 detectados por el

usuario vulnerabilidades técnicas, 157


vulnerabilidad, el reconocimiento 158-

159, 5, 7,14

tipos más comunes de los incidentes, 6

sistema de monitoreo, 7-13 resultados

de la detección inadecuada, 6-7

lnCntrl5 utilidad, 73-74 copias de

seguridad incrementales, 188

incidentes de espionaje industrial, 210-

211 ¡NETPATROL, 225

el intercambio de información, la investigación

de delitos, 33-34 Tecnología de la Información

Asociación de AméRica, el 30 INFOWARCON

Conferencia de 2001, 3-4 de la inoculación de los

sistemas, el código malicioso

respuesta, 202

inodes, 87

los ataques internos, 211-213

instalación, banderas de inicio

de sesión Unix / Linux, 137-139

Windows 2000/XP, Windows

NT 137, 136 la preservación de

integridad, 157

íNDICE 309

Acceso a Internet y las políticas de uso

aceptable.

Ver IAP / PUA

Internet

entrada de acceso, los incidentes de

hackers, 196 conexiones, corte, 159-160

gusanos, 201 Internet Explorer

explorador de la localización de

evidencias de la historia, 127 gestión de la

configuración de caché, 128 Tiempo de

Servicios de Internet. Ver SU intrusión

la detección, 5,7,14 tipos comunes de

incidentes, incidente del 6 de

centralización de las preparaciones, 16

desarrollo de la capacidad de respuesta,

16-21 concienciación de usuario

mejorada, de 16 factores que contribuyen

a la creciente presencia de

de las amenazas, 14-15,

15-16 planes de seguridad

del sistema de monitoreo, 7

archivos de registro de

cheques, 9

herramienta de gestión informática (Windows),

9 ¡nspecting configuraciones de red, 13

¡NVALID derechos de los usuarios, 9

alteraciones de archivos de programas,

aplicaciones no autorizadas 13, 9-11

cuentas de usuario no autorizado o grupos,

8 puertos inusuales, 13 los resultados de la

detección inadecuada, 6-7 ¡ProtectYou, 209

Panel de control, la pantalla de inicio rápido

210, 209 de Ipswitch, Inc. WhatsUp Gold, de

55 años IraqiWorm, 221 ¡solated incidentes,

19

¡sistemas solating, la respuesta de código

malicioso, 202 ISS Internet Scanner, 212 TI

proceso de planificación de contingencia, de

63 años la realización de la BIA, de 64 años

de desarrollo, de 65 años

Notificación / Fase de activación, el

66 Plan de fase de los Apéndices,

de 66 años declaración de política,

63-64

Fase de reconstitución, de 66 años

Recun / a fase, 66

las estrategias de recuperación, 65

Información de Apoyo a la fase, de 66

años ¡dentificar los controles preventivos,

64-65 el mantenimiento del plan, de 68

años de pruebas, de 67 años de

formación, el 67 ITS (Internet Service

Time), de 53 años ITSecure, 227

KKatz v EE.UU. (en cursiva), 28

volcados de memoria del núcleo, 57

Kevin V. DiGregory (cursiva), 29

teclas, Windows rama de Editor del Registro

valúes, 70-71, 116

búsquedas de palabras

clave

Encajar el programa de búsqueda de palabras

clave, 117 Forensic Toolkit palabras clave de

búsqueda

programa, 117 empresas de servicios

públicos gratuitos, 117, 117 BinText

investigador del disco, 117, 117-119

SectorSpyXP exámenes de disco duro, 120

Maresware Suite de palabras clave de

búsqueda del programa, 117 Kiwi Syslog

Daemon, de 52 años gusano Klez de

2002.160 Kroll Ontrack, Inc. EasyRecovery

Professional , 86

Ltierras, la tecnología de CD, 81

LANPATROL, 225 lastcomm

programa (TCT), 147

aplicación de la ley

Control del Crimen y la Ley de

seguridad en las calles, la revelación y el

descubrimiento de 28, 36-38

divulgación electrónica, 36 Código

Federal del Crimen, 37-38

divulgación de papel, de 36 años

310 íNDICE

aplicación de la ley seguido

las leyes federales, 38

Equipo de abuso Enmiendas a la Ley de

1994,42-43 equipo de Fraude y

Abuso de la ley de 1986,

39-42 Ley Patriota de EE.UU. de 2001,

43-44, 269-280 FOIA (Freedom of

Information Act), 30 de la Cuarta

Enmienda de la Constitución de los

EE.UU.,

28-30,138-139 temas de

intercambio de información, 33-34

NIPC (Protección de la

Infraestructura Nacional

Centro), 35 violaciones a la seguridad de

información, 30 príorganizaciones del sector

privado, 32-33 justificación para no informar de

intrusiones, 31 requisitos para la recolección de

pruebas, el acoso sexual 136 (equipo

inadecuado uso), 205-206 Lázaro (TCT

programa de reconstrucción de datos), 147

configuración del Registro

LegalNoticeCaption, el establecimiento de

136 Registro LegalNoticeText, 136 Lexun

Freeware DrvClonerXP, 120 SectorSpyXP,

117-118

búsqueda de información específica, 119

pruebas para la escritura del mismo lugar que

no sea Una unidad de disco, 118-119 Linux

CD-ROM de libro de acompañamiento,

la creación de 248 a 249 en modo real

discos de arranque de forenses,

143-144 de

almacenamiento

de datos, 87

sistema de archivos ext2, 87-88 Linux dd

herramienta de imágenes de disco, de 61

años de instalación bandera de inicio de

sesión, 137-139 consola Directiva de

seguridad localé, Edición de inicio de sesión

instalación de la bandera, 137 de

seguridad local ventana de Configuración

(Windows XP), de 49 años

la localización de

e-mail las pruebas, 124-125

Navegador de Internet la historia de las

pruebas, 127-128

Web de pruebas de memoria caché, 128-129

De Windows los archivos de

intercambio, 121-122 los archivos de

registro

recopilación de datos para sistemas

operativos, de 46 años

de monitoreo para intrusión, 9

procedimientos de registro

El acceso centralizado, 51-52

la preparación de sistemas operativos para los

datos recolección, 46,49-51 banderas de

inicio de sesión, el mantenimiento de los

derechos de privacidad de los usuarios, 136

Unix / Linux de la instalación, 137-139

Instalación de Windows 2000/XP, 137

Instalación de Windows NT, 136

bajo nivel de incidentes, 18

Mmactime (TCT sistema de archivos de sello de

tiempo

representanteórter),

147 medios magnéticos,

184 mantenimiento

plan de desastre, el desastre de la muestra de

contingencia plan de recuperación, 183

Planes de contingencia de TI, el

68 del programa major_minor (TCT),

147 códigos maliciosos, 14.201

contención, 202

inoculando el sistema, 202

aislar el sistema, 202

notificación personal adecuado, 202

volver al funcionamiento normal del sistema

modo, 202

Programas de caballo de Troya, 201

gusanos, 201 Mares and

Company, LLC, 117

íNDICE 311

Maresware Suite de búsqueda por palabra clave

programa, 117 de MBSA (Microsoft

Baseline Security Analyzer), 174 McCamy,

Nick (SectorSpyXP), 117-118


por escrito las pruebas a la ubicación que no

sea un unidad, 118-119 programa de md5

(TCT), 147 medios de comunicación, medios

de almacenamiento, 3, 78,183-184

CD-ROM, 80-81

disquetes, 79-80

discos duros, 78-79

Unix / Linux, 87-

88 memoria

la recopilación de datos, 55

los archivos de volcado de

memoria, 56-59 orden de la

volatilidad, 56

no volátil, 55

vertederos volátiles,

la memoria 56, 57-58

Dumpchk, de 58 años

Unix sysdump comando, 58-59 de

metadatos, NTFS (New Technology File

System), el 83 de Microsoft Baseline Security

Analyzer. Ver MBSA de nivel medio de

incidentes, 18 Miller, N. Harris, de 30 años

actividad de los hackers de vigilancia, 200

sistema de monitoreo para intrusióN, 7

los archivos de registro de cheques, 9


(Windows), 9

inspección de las configuraciones de red, 13

los derechos de usuario no válidas, 9

alteraciones del programa de archivos, 13

aplicaciones no autorizadas, 9

examinar el registro de Windows, 9-11

servicios no válidos, 10

Carpetas de inicio del sistema, 11

cuentas no autorizadas de los usuarios o

grupos, 8

puertos poco comunes, 13

Morch, Pedro, 211

Morris, Daniel M., 197-198

Mover íMET caja (Microsoft Outlook para

Windows XP), 126 documentos

multimedia, seguridad informática-

programas de sensibilización, 172

multistring Valué (Claves del Registro de

Windows), de 71 años

NN.S.S. (Network Security Scanner), 174 de

la Infraestructura Nacional Centro de

Protección.

Ver NIPC Instituto Nacional de

Estándares y Tecnología.

Ver NIST nativo de

Inteligencia, Inc., 172 Nessus,

173

Net Nanny (BioNet Systems, LLC), 209 de

NetBIOS nuyol sesiones, desactivar 221

2000.223 de Windows de Windows NT,

Windows XP 223, 222 Scanner NetBrute

(software de lógica en bruto), Netscape

Navigator 225

explorador de la localización de evidencias

de la historia, gestión de las

configuraciones de almacenamiento en

caché 127, 128 redes

configuraciones

la inspección de entradas no autorizadas, 13

operadores, 9 dispositivos, mapas, 54-55

rastreadores de paquetes, la evidencia

recogida, 144-146 acciones, 160

la configuración de Windows, 161-162 archivo

incapacitante y uso compartido de impresoras,

167 Windows XP, 162-167 Red de

Propiedades de la herramienta, la red de la

inspección

configuraciones para intrusión,

13 escáner de seguridad de red. Ver

N.S.S. Network Time Protocol. Ver NTP

312 íNDICE

Nuevas Tecnologías, Inc.

Las empresas de procesamiento de

evidencia Suite 146 DiskSearch Pro, 120

New Technology File System. Ver NTFS

NGSSniff, 144 NIPC (Protección de la

Infraestructura Nacional

Centro), 35 funciones, 35, 178 Boletín

resalta Protección por contraseña

101,168-169 del NIST (Instituto Nacional

de Estándares y

Tecnología), 60 imágenes de disco

especificaciones de la herramienta, 60-

61 de TI proceso de planificación de

contingencia, de 63 años

la realización de la BIA, de 64 años

desarrollo del plan de contingencia,

65-66

la política de desarrollo de la

declaración, 63-64

el desarrollo de estrategias de

recuperación, 65

Identificación de los controles

preventivos, 64-65

el mantenimiento del plan, de 68 años

pruebas, 67

la formación, el 67 NIST Servicio de

hora de Internet, 53 Noble, David, de 79

años de memoria no volátil, de 55 copias

de seguridad normales, 188 Norton

Commander, visualización de intercambio

de Windows

123 ficheros, Norton Diskedit,

visualización de intercambio de Windows

archivos, 123 Notificación / Fase de

activación (TI de contingencia

planes), 66 ntbackup, Windows NT

procedimiento de copia de seguridad, el

75 de NTFS (New Technology File

System, 82-83 NTP (Network Time

Protocol), el 52 nuyol sesiones (NetBIOS),

discapacitante, 221-223

OO'Connorv. Ortega, 138

Object Linking and Embedding.5eeOLE

Objeto ventana de tipo (Windows XP), 166

OLE (Object Linking and Embedding), 70

Olmsteadv. Estados Unidos, 28 ÓLucha

contra el Crimen y la Ley mnibus Calles

Seguras, de 28 años de One Guy

Codificación Automachron, de 53 años

paginación sistemas operativos, 121 para

la preparación de la recopilación de datos,

45

de auditoría y el registro de los

procedimientos, 46,49-51 El acceso

centralizado, 51-52 habilitar la

auditoría y el registro de

Windows, archivos de registro de 47-

49, 46 de volver al modo normal de

funcionamiento, 202 de riesgo de las

operaciones en curso, 156 modelos de

confianza, 169-170 de Windows. Ver

Óptica de Windows los medios de

comunicación, 184

orden de la recopilación de pruebas,

139-140 orden de volatilidad, 56,140-

141 la evidencia digital original, 2

Bandeja de salida de correo

electrónico de almacenamiento, 125

Outlook, recuperar correos

electrónicos eliminados, las pruebas

de penetración de 126

subcontratados, 224

Prastreadores de paquetes, la evidencia

recogida, 144-146

paginación, 121

la divulgación de papel, 36

Crackers de contraseñas, Inc, 131

Protección por contraseña 101 (INCP), 168-

169

Recuperar Contraseña Asistente (ZIP

Cracker), 132

contraseña de confianza, 168-169


comprimidos, recogiendo datos

ocultos, 131-132

PawPrint.net Hora mundial, de 53 años

PC Inspector File Recovery, 84-85

PCAT programa (TCT), 148

pruebas de penetración, 223

en la casa frente a la externalización,

224 software para las auditorías

internas, 225-226 pruebas realizadas

por terceros, 227


íNDICE 313

personal, un incidente de equipo de respuesta,

17 de evaluación y de contención, 19-20 de

análisis de daños y la determinación de los

procedimientos de cierre, 20 daños, 21 las

operaciones de recuperación, el 20 proceso

de información, 18-19 asegurar una escena,

18 físicos ÍTEMS, 2 pozos, la tecnología del

CD, 81

Apéndices Plan de fase (planes de contingencia

de TI), de 66 años Pochron, David M., 129

políticas

la evaluación de sistemas de seguridad,

listas de control de auditoría, 215-217

217-218 objetivos, 216

visión general del proceso de auditoría, 218-219

declaraciones, el proceso de planificación de

contingencia, 63-64 puertos

entrada de acceso, los incidentes de

hackers, 196 puertos comúnmente

atacado, 257-267 intrusión la detección,

el 13 PortScan, 225-226

postcompromise la recopilación de

pruebas, 135, 190-191 requisitos

legales, las banderas de inicio de

sesión 136, 136

Unix / Linux de la instalación, la

instalación de Windows 2000/XP 137-

139, 137 de instalación de Windows NT,

el orden 136 de la colección, 139-140

preliminar/respuesta, 45

la continuidad del negocio y de contingencia

planificación, 63-68 de la cadena de

custodia para la recopilación de pruebas,


memoria, 55 archivos de volcado de

memoria, 56-59 orden de volatilidad,

la identificación de 56 dispositivos de

red, unidades de imagen de disco

duro 54-55, 59-61

la preparación de sistemas operativos para

los datos

colección, 45


procedimientos, 46-51


habilitar la auditoría y el registro de

Windows, 47-49

los archivos de registro,

el 46 de sincronización de

tiempo, 52-53

Automachron, de 53 años

NIST de servicios de Internet Time, de 53

años

NTP (Network Time Protocol), de 52 años

Hora mundial, el 53 de

sellado de tiempo, la

preparación para

incidentes de 53-54, de 45

años

la continuidad del negocio y de contingencia

planificación, 63-68 de la cadena de

custodia para la recopilación de pruebas,


memoria, de 55 años

los archivos de volcado de memoria, 56-

59

orden de la volatilidad,

de 56 años de recopilación

de datos, 45


procedimientos, 46,49-51


habilitar la auditoría y el registro de

Windows, 47-49

archivos de registro, desarrollo de

la capacidad de respuesta 46, 16

mecanismos de alerta, 17

centralización, 17

equipo de respuesta a incidentes, 17-21

estructura, la identificación de 17

dispositivos de red, unidades de

imagen de disco duro 54-55, 59-61,

15 planes de seguridad

centralización, 16

respuesta eficiente, 16

la conciencia de usuario

mejorada, 16 factores de

amenaza, 14-15, 52-53

sincronización de tiempo

Automachron, de 53 años

NIST de servicios de Internet Time, de 53

años

íNDICE

la preparación para incidentes seguido

NTP (Network Time Protocol), de 52

años

Hora mundial, el 53 de

sellado de tiempo, 53-54

preservación de las pruebas

admisibilidad de las pruebas, 150-153



Frye prueba, 152

período de tiempo permitido para

examinar ordenadores incautados,

153 de la cadena de custodia, 149-

150 incidentes informáticos del equipo

de respuesta, 21 kits de herramientas

forenses de encargo, la integridad

146-147, 157

orden de la volatilidad, 140-

141 rastreadores de

paquetes, 144-146


144 Ethereal,

NGSSniff, 144

Snort, 144

postcompromise, 135



orden de recogida, 139-140 en

modo real discos de arranque de

forenses, 141

FAT, 142

Linux, 143-144

Windows, 142-143 TCT (Kit de

herramientas de forense), 147-149

prevenir los ataques, 215-216

evaluación de las políticas de seguridad

del sistema y


listas de verificación de auditoría,

217-218

objetivos, 216

visión general del proceso de auditoría,

218-223 HIPAA (Health Insurance

Portability and

Ley de Responsabilidad de 1996), 228-

232 Honeynet Project, 232

pruebas de penetración, 223

en la casa frente a la externalización, 224

software para las auditorías internas, 225-

226 pruebas realizadas por terceros, 227

Controles de prevención, 64-65

prevención de los incidentes, la

planificación de recuperación de

desastres, 179 el desarrollo de un plan

de contingencia de desastres, 180-181

muestra de recuperación del plan, 181-

183 incidentes anteriores, hackers, 201

archivos de cola de impresión, la

recolección de pruebas, 129 -130

derechos de privacidad

Cuarta Enmienda de la Constitución de

los EE.UU.,

28-30,138-139 banners

inicio de sesión, 136-139

O'Connor v Ortega, 138

príorganizaciones del sector

privado, 32 temas de

intercambio de información, 33-

34 Reno dirección de la cumbre,

32-33 Process Explorer, 170

programas

equipo acerca de la seguridad, 171

Ley de Seguridad Informática

1997.171 documentación multimedia,

172 los registros de seguridad, 183-

186 la admisibilidad de los

expedientes, 185 de autenticación

de los registros, 184 procedimientos

de copia de seguridad de datos,

187-190 de UPS (Uninterruptible

Power Supply), 186-187 TCT (Kit

de herramientas de forense), 147-

148 caballo de Troya, 14 prohíbe el

uso del ordenador , 203 modo

promiscuo, Ethernet, 144 cuadro de

propiedades (la papelera de

reciclaje), 84 protocolos, TELNET,

196 de compra UPS (suministro

ininterrumpido de energía), 187

íNDICE 315

Qla cuarentena de las pruebas,

156, 157 mecanismos de

auditoría


continuadas, 156 de intercambio de

archivos, 160 temas

la configuración de Windows, 161-162

archivo incapacitante y uso compartido de

impresoras, 167 Windows XP, 162-167

preservar la integridad, 157 Severing

conexiones de red e Internet,

159-160 usuario detecta las

vulnerabilidades técnicas, 157 Formulario de

Reporte de Vulnerabilidad, 157-159 ética

cuestionable, 203 de la pantalla de inicio

rápido (¡ProtectYou), 209 acoso quid pro quo

sexual, 203

RRAID (Redundant Arrays of Independent Disks), de

65 años RAM (memoria de acceso aleatorio),

56 de memoria de acceso aleatorio. Ver

Memoria RAM de software Logic Raw

NetBrute escáner, 225 RDISK utiYodad,

Windows NT procedimiento de copia de

seguridad, 75 de modo real forense discos de

arranque, 141, 142 FAT Linux, Windows, 143-

144 142-143 signos de reconocimiento de un

incidente, 5-7,14 tipos comunes de

incidentes, 6, 7 sistema de monitoreo de los

archivos de registro de cheques, 9


(Windows), 9 la inspección de las

configuraciones de red, 13 los derechos de

usuario no válidas, 9 alteraciones de

archivos de programas, aplicaciones no

autorizadas 13, 9-11 cuentas de usuario

no autorizado o grupos, 8 puertos

inusuales, 13 los resultados de la

detección inadecuada, 6-7

programa de reconfiguración (TCT), 148 fase

de reconstitución (TI planes de contingencia),

66 discos compactos grabables.5eeCD-R de

registros (registros electrónicos), 183

registros de seguridad, programas, 183-186

admisibilidad de los expedientes, 185 de

autenticación de los registros, 184

procedimientos de respaldo de datos, 187-

190 de UPS (Uninterruptible Power Supply),

186-187, 183 medios de almacenamiento -

184 registros, programas de seguridad, 183-

186 de admisibilidad de los expedientes, 185

de autenticación de los registros, 184

procedimientos de copia de seguridad de

datos, la creación de un plan de 187, 188,

188 copias de seguridad diferenciales

herramientas freeware, 188 copias de

seguridad incrementales, 188, 188 copias de

seguridad normales de Windows, 189-190

UPS (suministro ininterrumpido de energía),

186 beneficios de la UPS, 187

UPS continua versus espera, 186-187

adquisitivo, la recuperación de archivos 187,

sistema de archivos ext2, 87-88 recun / a

operaciones, equipo de respuesta a incidentes

equipo, 20 de recun / a fase (planes de

contingencia de TI), de 66 años recun / a

estrategias, la planificación de contingencias

proceso, 65 equipos de

recuperación, 181-183 del equipo de

atención al cliente, 183 Coordinador de

Planificación de Desastres, 181 equipos

de manejo de emergencias, el equipo

de 182 proyectos especiales, el equipo

de soporte técnico 182, 182 Papelera

de reciclaje (Windows), 83 pruebas

restantes, 83 archivos borrados de

seguimiento, el 84 -85

316 íNDICE

Red Hat, Inc., 227

Redundant Arrays of Independent Disks.

VerRAID

RegCleaner, 12

REGEDIT. Ver Editor del Registro (Windows)

Regedt32.exe, de 72 años el Editor del

Registro (Windows), 11.9, 70 y copia de

seguridad de los procedimientos de

restauración de servicios de restauración, el

74, shareware y freeware 78, 78 Windows

2000, Windows NT 75-76, el 75 de Windows

XP, 77-78 de recopilación de datos, 73

lnCntrl5 utilidad, la utilidad Regmon 73-74,

73-74, 73 datos volátiles de edición para el

inicio de sesión de la bandera de instalación,

los archivos de volcado de memoria de

generación de 136, la estructura de 56-57,

71-72 visualización y edición, de 72 años de

utilidad Regmon, recopilación de datos, 73-

74 REG_BINARY valiosaé (Claves del Registro

de Windows), el 71 REG_DWORD valiosaé

(Claves del Registro de Windows), el 71

REG_EXPAND_SZ valiosaé (Registro de

Windows

teclas), el 71 REG_MULTI_SZ Valué

(Claves del Registro de Windows), el 71 REG_SZ

valiosaé (Claves del Registro de Windows), de 71

años pruebas fiables, 140 actividad de los

hackers activo, 198-200 Reno, la Fiscal

General Janet, 32-33 brechas de seguridad

de información, 30 temas de intercambio de

información, 33-34 príorganizaciones del

sector privado, 32-33 justificación para no

informar de intrusiones, 31 de proceso de

información, respuesta a incidentes informáticos

equipo, los requisitos de 18-19, CD-ROM

libro de acompañamiento, 247 la capacidad

de respuesta (el desarrollo de un incidente

de la capacidad de respuesta), 16

mecanismos de alerta, 17 de la

centralización, 17

equipo de respuesta a incidentes, 17

la evaluación y contención, 19-20

análisis de daños y la determinación, el

20

procedimientos de cierre de daños, 21

las operaciones de recuperación, 20

proceso de presentación de informes,

18-19

asegurando una escena,

18 estructura,

procedimientos de

respuesta de 17 incidentes

de hackers, 195

actividad de los hackers activo, 198-

200

categorías, 196

de seguimiento, 201

identificar al hacker, 197-198


monitorización de la actividad hacker,

200



Programas de caballo de Troya,

196 incidentes de uso inadecuado,

202


molestias, 203

impidiendo que los trabajadores vean

material inadecuado, 208-210

uso prohibido, 203



el acoso sexual, 203-208

uso tolerable, 203

espionaje industrial, los

ataques internos 210-211,

211-213 código malicioso,

201

contención, 202

inoculando el sistema, 202

aislar el sistema, 202

notificación personal adecuado, 202

volver al funcionamiento normal del

sistema modo, 202

Programas de caballo de Troya, 201

gusanos, 201 procedimientos de

restauración, Editor del Registro (Windows)

74, 78

íNDICE 317

Restaurar utiYodad, Windows copia

de seguridad, de 78 años

recuperación de datos

admisibilidad de las pruebas, 150



Frye prueba, 152

período de tiempo permitido para

examinar ordenadores incautados,

153


cadena de custodia, 149-150



123








BinText, 117



palabras clave, 117





Maresware Suite de búsqueda por

palabra clave programa, 117


orden de volatilidad, 140-

141 rastreadores de

paquetes, 144-146


144 Ethereal,

NGSSniff, 144

Snort, 144

postcompromise, 135




archivos de cola de impresión,

129-130

de cuarentena y la contención, 156



continuas, 156

de intercambio de archivos asuntos,

160-167



de red e Internet, 159-

160

detectados por el usuario

vulnerabilidades técnicas, 157




FAT, 142

Linux, 143-144

Windows, 142-143 TCT

(Kit de herramientas de

forense), 147,149 memoria

caché del navegador Web,

126

la localización de pruebas del

navegador de la historia, 127-

128

Web de la localización de pruebas de

caché, 128-129 De Windows los archivos

de intercambio, 121


contenidos televisivos de los archivos

de intercambio / página, 123 CD regrabables.

Ver CD-RW derechos

Cuarta Enmienda de la Constitución de los

EE.UU.,

28-30,138-139 banners

inicio de sesión, 136-139

O'Connorv. Ortega, 138

riesgo


organización con

modelos de confianza, 167



170


la conciencia de seguridad informática 168-

169, 171


documentación multimedia, 172

operaciones continuas, 156 directorio raíz,

localizar los archivos de intercambio de

Windows, 121 Rubenking, Neil J., 73

318 íNDICE

Cuadro de diálogo Ejecutar

(Windows), de 72 años

Russinovich, Mark

Process Explorer, 170

Regmon de utilidad, de 73 años

sSAINT (Security Administrator está integrado

Red de herramientas), 174, 212

Salgado, Richard P., de 31 de SANS

(Administración de sistemas y de redes, y

Instituto de Seguridad), 232 SATÁN

(Herramienta de administración de seguridad para

el Análisis de

Redes), 225 herramientas de búsqueda,

las búsquedas de palabras clave, 116, 117

BinText Disk Investigator, 117 Encase

programa de búsqueda por palabra clave,

117 Kit de herramientas de forense en

palabras clave de búsqueda

programa, 117 empresas de

servicios públicos gratuitos, 117


Maresware Suite de palabras clave

de búsqueda

programa, 117 SectorSpyXP, 117-119

SectorSpyXP (Lexun Freeware), 117-118


archivo de evidencia por escrito a los lugares,

118-119 de seguridad

evaluación de las políticas y procedimientos,

215-217 listas de verificación de

auditoría, 217-218, 216 metas

visión general del proceso de auditoría, 218-

219 puestos de trabajo de auditoría y

servidores, 219-223 incidente de equipo del

equipo de respuesta, 18 equipo de toma de

conciencia de seguridad, 171 programas de

seguridad informática de la Ley de 1997.171

documentación multimedia, desarrollo de la

capacidad de respuesta 172, 16

mecanismos de alerta, 17, 17

centralización

equipo de respuesta a incidentes,

17-21 estructura, la erradicación

de 17 incidentes, 173



173-174 de la HIPAA (Health Insurance

Portability and Accountability Act de 1996),

228 cumplimiento, 228-232 Honeynet

Project, la aplicación de la ley 232

temas de intercambio de información,

33-34 brechas de seguridad de

información, 30-33 pruebas de

penetración, 223

en la casa frente a la externalización, 224

software para las auditorías internas, 225-226

pruebas realizadas por terceros, 227

después del incidente de seguimiento y

análisis,

190-191 preparación de los incidentes,

los registros 15-16, programas de

seguridad, 183-186 de admisibilidad de

los expedientes, 185 de autenticación de

los registros, los datos de 184

procedimientos de respaldo, 187-190 de

UPS (Uninterruptible Power Supply),

186-187 Seguridad Herramienta de

administración para el análisis de

Redes. Ver SATÁHerramienta de red

integrada n de Seguridad del Administrador

de.

Ver SAINT Opciones de seguridad

(Windows XP), 222 convulsiones, período de

tiempo permitido para el examen de

ordenadores incautados, 153 Seleccionar

usuarios ventana Grupos (Windows XP), 166

mensajes enviados por e-mail de

almacenamiento, 125 de auditoría de

servidor, 219-221 de nivel de servicio. Ver

SLA programa de configuración, BIOS, 80

Seccionamiento de las conexiones de red e

Internet, 159-160

íNDICE 319

el acoso sexual, uso de la computadora

inadecuada,

203-205 205-206 demandas evitar, las

políticas sobre el acoso sexual, 206-208

pestaña Compartir de permisos (Windows

XP), 165 carpetas de documentos

compartidos (Windows XP), 163 m

compartidaémediano redes, Ethernet, 144

Programas de evaluación, procedimientos de

Windows de copia de seguridad, uso compartido

de 78 y ficha Opciones de seguridad (las

propiedades del disco

para Windows XP), 162 Shugart,

Alan, 79 procedimientos de cierre,

incidentes informáticos

equipo de respuesta, 21

característica de uso compartido simple

de archivos (Windows XP),

163-165 SLAs (acuerdos de

nivel de servicio), volcados de

memoria de 65 pequeños, 57

SnapBack DatArrest (CDP), el 61

de Snort, 144 software

CD-ROM de libro de acompañamiento,

252-255 gratuito

CacheMonitor II, 129

Cain & Abel v2.5 beta20, 131

de datos de herramientas de backup, 188

¡ProtectYou, 209-210

búsqueda de palabras, programas, 117-

119

Nessus, 173

NetBrute escáner, 225

Snort, 144

Ultícompañero de ZIP Cracker, 131-132

Ventanas de backup y de

restauración

procedimientos, 78

ZIP Password Finder, 131 en la casa de

las pruebas de penetración, 225-226

Soloway, Kevin, 117 SomarSoft DumpSec, 9

equipo de proyectos especiales (equipo de

recuperación), 182 Spitzner, Lance, 232 de

cola de impresión, la recuperación de los

archivos de cola de impresión, 129-130

notificación personal, la respuesta de códigos

maliciosos, 202 UPS UPS de reserva frente a

continuos, 186-187 carpetas de inicio, sistema

de seguimiento

intrusión, 11 de

esteganografía, 130-131

stegdetect, 131 medios de

almacenamiento, 3,78,183-

184

CD-ROM, 80-81

disquetes, 79-80

discos duros, 78-79

Unix / Linux, 87-88 cadena valiosaé

(Claves del Registro de Windows), el 71

strip_tct_home programa (TCT), 148

estructura

un incidente de la capacidad de respuesta,

17

Editor del Registro (Windows), 70-72

subclaves, Editor del Registro de Windows,

70 resúmenes de la evidencia voluminosa,

288 SuperScan (de Foundstone, Inc.), 13

en fase de información de soporte (IT de

contingencia

planes), 66 Surf Patrol

CyberPatrol, 209 archivos de

intercambio (Windows), 121

los archivos de localización, 122

contenidos televisivos de los archivos de

intercambio / página, 123 sincronización, 52-53

sysdump de comandos (Unix), 58-59 de

administración del sistema, Redes y

Seguridad

Instituto. Ver SANS

Sistema Estatal de copia de

seguridad

Windows 2000, 75-76

Windows XP, 77-78

TTCT (Kit de herramientas de forense), 147

Ladrón de tumbas, 148-149

programas, 147-148 del equipo de apoyo

técnico (equipo de recuperación), la

tecnología de 182, discos compactos, 81

320 íNDICE

TELNET protocolo, 196

archivos temporales, 123

probar los planes de contingencia de TI, 67

Búsqueda de texto Plus, 120

TFTP (Trivial File Transfer Protocol), 169

de terceros de pruebas de penetración, 227

amenazas



organización con modelos de confianza,

167 robos de identidad, 171 del sistema

operativo de confianza, 169-170 ID de

usuario y contraseña de la confianza, la

conciencia de seguridad informática 168-

169, 171-172 desarrollo de la capacidad

de respuesta, 16 mecanismos de alerta,

17, 17 centralización del equipo de

respuesta a incidentes, 17-21 estructura,

la erradicación de 17 incidentes, 173



173-174 planes de seguridad, factores de

amenaza, 15-16 14-15 sincronización de

tiempo, 52-53, 53 Automachron NIST

Servicio de hora de Internet, el 53 por NTP

(Network Time Protocol), de 52 años hora

mundial, el 53 de sellado de tiempo, 53 a 54

del Título III ÓLucha contra el Crimen mnibus y

calles seguras

Acta, de 28 años el

uso del ordenador tolerable,

203 herramientas

Copia de seguridad (Windows XP), de 77

años

CacheMonitor II, 129

Cain & Abel v2.5 beta20, 131

Descuento recuperación de la contraseña, 131

de imágenes de disco, 59-61

DrvClonerXP, 120

e2undel, recuperando archivos ext2, 88

lnCntrl5 la recopilación de datos, 73-74

búsqueda de palabras, programas, 117-

119

Propiedades de red, 13

Norton Commander, 123

Norton DiskEdit, 123

Crackers de contraseñas, Inc, 131

Rdisk (Windows NT), 75

Regmon, 73-74

Restaurar, de 78 años

SAINT (Security Administrator está

integrado Network Tool), 174

Stegdetect, 131

Ultícompañero de ZIP Cracker, 131-132

ZIP Password Finder, 131 archivos

borrados de seguimiento de la papelera

de reciclaje (Windows),

84-85 Seguimiento de un hacker

(entre comillas) del boletín

(Morris), 197-198 de

formación en TI planes de

contingencia, 67 archivos de

transitorios, 123, 14 de Tripwire

Trivial File Transfer Protocol.5eeTFTP

Troya programas de caballos, 14.201

puertos comúnmente atacados, 257-267

incidentes de hackers, 196 solución de

problemas de CD-ROM (que acompaña a

libro), 255 modelos de confianza, la

evaluación de las vulnerabilidades

de la organización, 167



170


168-169

UConstitución de los EE.UU. Cuarta

Enmienda, 28-30,

138-139 EE.UU. Departamento de

Energía de la Primera respuesta

Manual, 21 de EE.UU. Oficina Federal

de Investigaciones, 2-3 Ultícompañero de ZIP

Cracker, 131-132

íNDICE 321

aplicaciones no autorizadas, el sistema de

monitoreo para

intrusión, 9 de examinar el registro de

Windows, servicios de 9-11 no válidos, 10

configuraciones de red, 13 alteraciones de

archivos de programa, 13 carpetas de inicio,

11 puertos inusuales, 13 cuentas de usuarios

no autorizados de cheques, 8, 9 archivos de

registro de derechos de usuario no válidas, el

9 de monitoreo con el equipo de gestión

herramienta

(Windows), 9 de alimentación

ininterrumpida suministra. Ver UPS Unidad y

Fortalecimiento AméRica mediante el Suministro

de

Herramientas Apropiadas Requeridas

para Interceptar

y Obstruir el Terrorismo de 2001 (EE.UU.

Patriot Act de 2001) la autoridad para

interceptar las comunicaciones de voz

en las investigaciones de piratería

informática, 269 Ley de Cable, 271-272


intercepción, 275-276 capacidades de

ciberseguridad forenses, 280 de defensa a

las acciones civiles relativas a la

preservación de

registros, 280 de disuasión del

terrorismo cibernético y 277-280

revelaciones de emergencia por parte de

las comunicaciones



electrónico, 276 pluma de registro, 273-

275

citaciones para las pruebas electrónicas, trampa

de 270-271 y el estatuto de seguimiento, 273-

275 de correo de voz de comunicación, 270 Unix

comandos de choque, 58

almacenamiento de datos, 87-88

de inicio de sesión de instalación de la

bandera, 137-139

sysdump comando, 58-59

Tripwire, 14

UPS (sistemas de alimentación ininterrumpida),

64-65,186 beneficios, 187

UPS continua versus espera, 186-187 compra,

187 de la Ley Patriota de EE.UU. 20014, 43-

44, 269

autoridad para interceptar las

comunicaciones de voz

en las investigaciones de piratería

informática, 269 Ley de Cable, 271-272


intercepción, 275-276 capacidades de

ciberseguridad forenses, 280 de defensa a

las acciones civiles relativas a la

preservación de

registros, 280 de disuasión del

terrorismo cibernético y 277-280

revelaciones de emergencia por parte de

las comunicaciones



electrónico, 276 pluma de registro, 273-

275

citaciones para las pruebas electrónicas, trampa

de 270-271 y el estatuto de seguimiento, 273-275

de correo de voz de comunicación, 270 las

cuentas de usuario

los archivos de registro de

cheques, el 9 de sensibilización

de usuario mejorada, 16 de

derechos de usuario no válidas,

9 aplicaciones no autorizadas, 9

examinar el registro de Windows, 9-11

inspección de las configuraciones de red,

13

servicios no válidos, 10

Carpetas de inicio del sistema, 11

alteraciones del programa de archivos, 13

puertos inusuales, 13 de ID

de usuario de confianza, 168-169

herramienta Administrador de

usuarios (Windows NT), 8 de los

derechos de los usuarios

banderas de inicio de sesión, 136

Unix / Linux de la instalación, 137-139

Instalación de Windows 2000/XP, 137

Instalación de Windows NT, 136 el

seguimiento de la validez, 9 por el

usuario detecta las vulnerabilidades

técnicas, 157

322 íNDICE

Vvalúes, del Registro de Windows las teclas del

editor de la rama,

70-71 Software Ultimate ZIP Cracker

VDG, 131-132 Venema, Wietse, 147 videos,

documentación multimedia (ordenador

concienciación sobre la

seguridad), 172 ver

Editor del Registro (Windows), de 72 años De

Windows los archivos de intercambio, 123 e

vigilante, 225-227, 201 virus de datos

volátiles, Editor del Registro (Windows) de

datos

recolección, el 73 pruebas volátiles, el

orden de la volatilidad, 140-141 memoria no

volátil, de 56 vulnerabilidades


evaluar el riesgo de organización con la

confianza modelos, 167 robos de

identidad, 171 de confianza del sistema

operativo, 169-170 ID de usuario y

contraseña de confianza, la conciencia

de seguridad informática 168-169, 171


documentación multimedia, la

erradicación de 172 incidentes, 173



173-174 detectado por el usuario, 157-159

vulnerabilidad modelo de informe, 157-159

Vuorio, Jouni, 12

W-ZWAN (wide área de redes), 14

Navegadores Web, caché, 126

explorador de la localización de evidencias

de la historia, 127-128 pruebas de

localización de caché Web, 128-129

WebBrute, 225-226

WhatsUp Gold (de Ipswitch, Inc), 55

de ancho área de redes.5eeWAN

De Windows

CD-ROM de libro de acompañamiento, 248

para compartir archivos de la configuración,

la creación de 161-162 en modo real discos

de arranque de forenses,

142-143 de datos de

herramientas de copia de

seguridad, 189-190

almacenamiento de

datos, 78

CD-ROM, 80,81

disquetes, 79-80

discos duros, 78-79 de archivos

incapacitante y uso compartido de

impresoras, 167 de auditoría que

permite y la tala, 47-49

2000,48 de Windows

Windows NT 4.0,47

Windows XP, 48 FAT (File Allocation

Table), 81-82 Configuración de seguridad

local (Windows XP), de 49 años de

seguimiento de intrusión

herramienta de gestión informática, 9

cuentas no autorizadas de los usuarios,

el 8 de NTFS (New Technology File

System), 82-83 recuperación de datos

borrados, 85-86 Papelera de reciclaje, de

83 años

pruebas restantes, el 83

el seguimiento de archivos

borrados, 84-85 RegCleaner,

12 de Editor del Registro, 9-

11, 70

una copia de seguridad y restaurar los


la recopilación de datos, 73-74

la edición para la instalación de inicio

de sesión bandera, 136

generación de archivos de volcado de

memoria, 56-57

estructura, 70-72

visualización y edición,

Ejecutar cuadro de diálogo

72, 72 los archivos de

intercambio, 121


contenidos televisivos de los archivos de

intercambio / página, 123

VuorioRegCleaner, 12

íNDICE 323

Windows 2000

procedimientos de respaldo, 75-76 de

intercambio de archivos de

configuración, deshabilitar NetBIOS

161 nuyosesiones de l, 223 de

instalación bandera de inicio de

sesión, 137

Windows NT, 9

procedimientos de copia de

seguridad, el 75 de intercambio de

archivos de configuración,

deshabilitar NetBIOS 161

nuyosesiones l, 223

Windows XP

Propiedades de aplicación el cuadro

de diálogo, de copia de seguridad 51

y Asistente de restauración, 189-190

procedimientos de copia de

seguridad, 77-78 deshabilitar

NetBIOS nuyosesiones l, 222 Visor de

sucesos, de 50 años

uso compartido de archivos, 162

acceder a las listas de control, 165-167

ficha Uso compartido de archivos de

propiedades, 165 carpetas Documentos

compartidos, 163 cuentan con sencillo

compartir archivos, 163-165 Opciones

de Carpeta caja, 122 de seguridad

local ventana de Configuración,

instalación de 49 banners de inicio de

sesión, 137 Mover íMET caja, 126

utilidad de búsquedas, privacidad

122 lugares de trabajo, O'Connorv.

Ortega, 138 auditoría de estación de

trabajo, 219-220 hora mundial

(PawPrint.net), 53 Worms (Write

Once, Read Múmedios ltiple), 81, 201


Wiley Publishing, Inc. End-User License AgreementLEA ESTE. Usted debe leer cuidadosamente estos términos y condiciones antes de abrir el paquete de software (s) incluido en este libro "Reservar". Se trata de un acuerdo de licencia "Acuerdo" entre usted y Wiley Publishing, Inc. "IPM". Al abrir el paquete de software que lo acompaña (s), usted reconoce que ha leído y acepta los siguientes términos y condiciones. Si usted no está de acuerdo y no quiere estar sujeto a los términos y condiciones, devuelva inmediatamente el Libro y el paquete de software cerrado (s) al lugar que los haya obtenido para un reembolso completo.

1. Concesión de licencia. IPM le otorga a usted (ya sea un individuo o entidad) una licencia no exclusiva para utilizar una copia del programa de software adjunto (s) (colectivamente, el "Software", únicamente para su uso personal o con fines comerciales en una sola computadora (ya sea una norma ordenador o estación de trabajo un componente de una red multi-usuario). El software está en uso en un equipo cuando está cargado en la memoria temporal (RAM) o instalado en la memoria permanente (disco duro, CD-ROM o dispositivo de almacenamiento). IPM se reserva todos los derechos no concedidos expresamente en este documento.

2. Propiedad. IPM es el dueño de todos los derechos, títulos e intereses, incluyendo los derechos de autor, en y para la compilación del software grabado en el disco (s) o CD-ROM "Software de Medios de Comunicación". Derechos de Autor de los distintos programas grabados en el soporte de software es propiedad del autor o de otro au-AUTORIZADO propietario de los derechos de cada programa. La propiedad del Software y todos los derechos de propiedad intelectual rela-Ing mismo permanecer con el IPM y sus licenciadores.

3. Restricciones en el uso y transferencia.

(A) Sólo se puede (i) hacer una copia del Software con fines de copia de seguridad o de archivo, o trans (ii)fer el Software a un disco duro único, siempre que mantenga el originalcon fines de copia de seguridad o de archivo. Usted no puede (i) el alquiler o léASE el Software, (ii) la copia o reproducción del Software a través de una LAN o un sistema de red de otra oa través de cualquier equipo sub-sistema de trazador o un sistema de tablón de anuncios, o (iii) modificar, adaptar, o crécomió trabajos derivados basados en el Software.

(B) Usted no podrá realizar ingeniería inversa, descompilar o desensamblar el Software. Usted puede transferir elDocumentación del software y el usuario de forma permanente, siempre que el cesionario se compromete aAcepto los términos y condiciones de este Acuerdo y no conserva ninguna copia. Si el software esuna actualización o ha sido actualizado, cualquier transferencia debe incluir la actualización más reciente y antes de todos losversiones.

4. Restricciones en el uso de los programas individuales. Usted debe seguir las necesidades individuales y

restricciones detalladas para cada programa en el Sobre el apéndice de CD-ROM de este libro.Estas limitaciones también están contenidos en los acuerdos de licencia individuales registradas en elMedios de software. Estas limitaciones pueden incluir un requisito de que después de usar el programa para unaperíodo de tiempo especificado, el usuario debe pagar una cuota de inscripción o de discontinuidadéutilizar. Al abrir elPaquete de software (s), se compromete a cumplir con las licencias y las restricciones para estos individuales programas que se detallan en el anexo Acerca de la unidad de CD-ROM y en los medios de software.Ninguno de los materiales en este medio de software o que figuran en este libro que nunca puede ser redistribuido, enforma original o modificada, para propósitos comerciales.

5. Garantía Limitada.

(a) WPI garantiza que el soporte de software y el software están libres de defectos en materiales y mano de obra bajo condiciones normales de uso durante un período de sesenta (60) días a partir de la fecha de la compra de este libro. Si IPM recibe la notificación dentro del plazo de garantía de defectos en materiales o mano de obra, IPM sustituirá a la detMedios ectantes Software.

(b) IPM Y EL AUTOR DEL LIBRO RECHAZAN TODAS LAS OTRAS GARANTÍAS, EXPRESAS O IMPLÍCITAS, INCLUYENDO, SIN LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN-DAD Y APTITUD PARA UN PROPÓSITO PARTICULAR, CON RESPECTO AL SOFTWARE, LOS PROGRAMAS, EL CÓDIGO FUENTECONTENIDOS EN EL MISMO, Y / O las técnicas descritas en este libro. IPM NO GARANTIZA QUE LAS FUNCIONES CONTENIDAS EN EL SOFTWARE CUMPLAN CON SUS NECESIDADES O QUE EL FUNCIONAMIENTO DEL SOFTWARE ESTÉ LIBRE DE ERRORES.

(C) Esta garantía limitada le otorga derechos legales específicos, y usted puede tener otros derechos que varíande jurisdicción en jurisdicción.

6. Remedios.

(a) Toda la responsabilidad de WPI y el recurso exclusivo de los defectos en materiales y mano de obra deberá se limitará a la sustitución de los medios de software, que pueden ser devueltos a IPM con una copia de su recibo en la siguiente dirección: Departamento de Cumplimiento de software de medios, la atención de:. Respuesta a Incidentes: Computer Forensics Toolkit, Wiley Publishing, Inc., 10475 Cruce Blvd.. , Indianapolis, IN 46256, o calyo1-800-762-2974. Por favor, espere de cuatro a seis semanas para la entrega. Este Garantía Limitada es nula si el fallo de los medios de comunicación de software es el resultado de un accidente, abuso o uso indebido. Todos los Medios de Comunicación Software de sustitución estará garantizado durante el resto del período de garantía original o treinta (30) días, lo que es más largo.

(b)En ningún caso, IPM o el autor sea Hes responsable por ningún daño de ningún tipo (incluyendo, sin limitación daños por pérdidas de beneficios comerciales, interrupción del negocio, pérdida de negocios informa-ción, o cualquier otra pérdida pecuniaria) derivados del uso o la imposibilidad de utilizar el libro o el software, incluso si WPI ha sido advertido de la posibilidad de tales daños.

(c) Debido a que algunas jurisdicciones no permiten la exclusión o limitación de responsabilidad por daños consecuenciales esenciales o accidentales, la limitación o en exclusiva,ón no se apliquen a usted.

7. Gobierno de EE.UU. Derechos restringidos. El uso, duplicación o divulgación del Software por o en nombre de los Estados Unidos de AméRica, sus agencias y / o instrumentos "EE.UU. Gobierno "está sujeto a restricciones como se indica en el párrafo (c) (1) (ii) de los Derechos sobre Datos Técnicos y la cláusula de tecnología de la información de DFARS 252.227-7013, o en los subapartados (c) (1) y (2) del Código de Comercio Computer Software - cláusula de Derechos restringidos en FAR 52.227-19, y en cláusulas similares en el suplemento de la NASA FAR, según proceda.

8. General. Este Acuerdo constituye el completo entendimiento de las partes y revoca y reemplaza todos los acuerdos previos, orales o escritos, entre ellos, y no podrá ser modificado o enmendado,

excepto por un escrito firmado por ambas partes del mismo que se refiere específicamente a este Acuerdo. El presente Acuerdo tendrá prioridad sobre cualquier otro documento que puedan estar en entrar en conflicto a la misma. Si uno o más de las disposiciones contenidas en el presente Acuerdo se llevan a cabo por cualquier juzgado o tribunal para ser inválida, ¡Yolegal, o inaplicable, todas y todos los demás provisión se mantendrán en completa FORCéy efecto.

GNU General Public LicenseVersión 2, junio de 1991Copyright (C) 1989, 1991 Free Software Foundation, Inc.59 Temple Place - Suite 330, Bostón, MA 02111-1307, EE.UU.Se permite la copia y distribución de copias literales de este documento, peroel cambio no está permitido.

PreámbuloLas licencias de la mayoría del software están diseñadas para quitarle a usted la libertad de compartirlo y modificarlo. Por el contrario, la Licencia Pública General de GNU pretende garantizarle la libertad de compartir y modificar software libre-para asegurar que el software es libre para todos sus usuarios. Esta Licencia Pública General se aplica a la mayoría de software de la Free Software Foundation ya cualquier otro programa si sus autores se comprometen a utilizarla. (Existe otro software de Free Software Foundation que está cubierto por la Licencia Pública General de GNU para Bibliotecas en su lugar.) Usted también puede aplicarla a sus propios programas.

Cuando hablamos de software libre, nos estamos refiriendo a la libertad, no de precio. Nuestras Licencias Públicas Generales están diseñadas para asegurarse de que usted tiene la libertad de distribuir copias de software libre (y cobrar por ese servicio si quiere), que reciba el código fuente o que pueda conseguirlo si lo quiere, de que puede cambiar el software o usar fragmentos de él en nuevos programas libres, y que usted sabe que puede hacer estas cosas.

Para proteger sus derechos necesitamos algunas restricciones que prohiban a cualquiera negarle a usted estos derechos o pedirle que renuncie a los derechos. Estas restricciones transícomió en ciertas obligaciones que para usted si distribuye copias del software, o si lo modifica.

Por ejemplo, si distribuye copias de tal programa, ya sea gratuitamente, oa cambio de una contraprestación, debe dar a los receptores todos los derechos que usted tiene. Usted debe asegurarse de que ellos también reciban o puedan conseguir el código fuente. Y debe mostrarles estas condiciones de forma que conozcan sus derechos.

Nosotros protegemos sus derechos con dos pasos: (1) los derechos de autor del software, y (2) le ofrecemos esta licencia que le da permiso legal para copiar, distribuir y / o modificar el software.

Además, para la protección de cada autor y la nuestra, queremos asegurarnos de que todo com-prende que no hay ninguna garantía para este software libre. Si el software es modificado por alguien y lo distribuye, queremos que sus receptores sepan que lo que tienen no es el original, por lo que cualquier problema introducido por otros no afecte a la reputación de los autores originales.

Por último, cualquier programa libre está constantemente amenazado por las patentes de software. Queremos evitar el peligro de que los redistribuidores de un programa libre obtengan licencias de patentes, en efecto MAK-ción del propio programa. Para evitar esto, hemos dejado claro que cualquier patente debe ser el uso libre de cualquiera, o no ser pedida.

Los términos exactos y las condiciones para la copia, distribución y modificación.

Términos y condiciones para la copia, distribución y modificación

0. Esta Licencia se aplica a cualquier programa u otro trabajo que contenga una nota colocada porel titular del copyright diciendo que puede ser distribuido bajo los términos de este público en generalLicencia. La "Programa", más adelante, se refiere a cualquier programa o trabajo, y sobre la base de una obra "en el Programa »se referirá bien al Programa oa cualquier trabajo derivado de él según la ley de copyrightes decir, un trabajo que contenga el Programa o una parte de ella, ya sea literal o conmodificaciones y / o traducido a otro idioma. (En adelante, la traducción esincluida sin limitaciones en el término "modificación".) Cada concesionario se dirigecomo "usted".

Cualquier otra actividad que no sea la copia, distribución y modificación no están cubiertas por esta Licencia, está fuera de su alcance. El acto de ejecutar el Programa no está restringido, y los resultados del Programa están cubiertos únicamente si sus contenidos constituyen un trabajo basado en el Programa (independiente de haber sido producido mediante la ejecución del Programa). Si eso es verdad depende de lo que haga el programa.

1. Usted puede copiar y distribuir copias literales del ProgramaCódigo 's de origen a medida quereciben, en cualquier mémedio, si adecuada y bien visible publiqueen cada copia un anuncio de copyright adecuado y un repudio de garantía, mantenga intactos todos loslos anuncios que se refieran a esta Licencia ya la ausencia de cualquier garantía y dar unaotros destinatarios del Programa una copia de esta licencia junto con el Programa.

Usted puede cobrar una cuota por el acto físico de transferir una copia, y puede, según su opción de ofrecer protección de garantía a cambio de una cuota.

2. Puede modificar su copia o copias del Programa o cualquier porción de él, formando así untrabajo basado en el Programa, y copiar y distribuir esa modificación o trabajo bajolos términos del apartado 1 anterior, siempre que además cumpla las siguientes condiciones:

a) Debe hacer que los archivos modificados lleven anuncios prominentes indicando que cambió los archivos y la fecha de cualquier cambio.

b) Debe hacer que cualquier trabajo que distribuya o publique y que en su totalidad o en

parte contenga o sea derivado del Programa o de cualquier parte del mismo, sea licenciado como un todo, sin costo alguno a todos los terceros en los términos de esta Licencia.

c) Si el programa modificado lee normalmente órdenes interactivamente cuando es ejecutado, debe hacer que, cuando comience su ejecución para ese uso interactivo de la forma más habitual, muestre o escriba un mensaje que incluya un anuncio de copyright y un anuncio de que no hay ninguna garantía (o por el contrario que sí se ofrece garantía) y que los usuarios pueden redistribuir el programa bajo estas condiciones, e indicando al usuario cómo ver una copia de esta licencia. (Excepción: si el propio programa es interactivo pero normalmente no muestra ese anuncio, su trabajo basado en el Programa no es necesario para imprimir un anuncio).

Estos requisitos se aplican al trabajo modificado como un todo. Si partes identificables de ese trabajo no son derivadas del Programa, y pueden ser razonablemente consideradas independientes y septiembreátipo de obras en sí mismas, entonces esta Licencia y sus términos no se aplican a esas partes cuando sean distribuidas como septiembreátipo de trabajos. Pero cuando usted distribuye las mismas secciones como parte de un todo que es un trabajo basado en el Programa, la distribución del todo debe ser según los términos de esta Licencia, cuyos permisos para otros licenciatarios se extienden al todo completo, y por lo tanto a cada uno y todas las partes, con independencia de quién la escribió.

Por lo tanto, no es la intención de este apartado reclamar derechos o desafiar sus derechos sobre trabajos escritos totalmente por usted mismo, sino que la intención es ejercer el derecho a controlar la distribuciónción de trabajos derivados o colectivos basados en el Programa.

Además, el simple hecho de reunir un trabajo no basado en el Programa con el Programa (o con un trabajo basado en el Programa) en un volumen de almacenamiento o distribución de mémediano, no hace que dicho trabajo entre dentro del ámbito de esta Licencia.

3. Usted puede copiar y distribuir el Programa (o un trabajo basado en él, bajo la Sección 2) en código objeto o en formato ejecutable según los términos de los apartados 1 y 2 anteriores, siempre que además cumpla una de las siguientes:

a) Acompañarlo con el código fuente completo correspondiente en formato electrónico, que debe ser distribuido bajo los términos de las Secciones 1 y 2 anteriores, en amémediano utilizado para el intercambio de programas, o

b) Acompañarlo con una oferta por escrito, válida durante al menos tres años, para dar a cualquier tercero, por un coste no mayor que el costo de realizar físicamente la distribución fuente, una completa copia legible por máquina del código fuente correspondiente, para ser descontribuido en los términos de las Secciones 1 y 2 anteriores, en amémediano habitualmente utilizado para el intercambio de programas, o

c) Acompañarlo con la información que recibiste ofreciendo distribuir el correspon-correspondiente código fuente. (Esta opción se permite sólo para distribución no comercialción y sólo si usted recibió el programa como código objeto o en formato ejecutable con tal oferta, de acuerdo con el apartado b anterior.)

El código fuente para un trabajo significa la forma preferida de la obra para realizar modifica-ciones a la misma. Para un trabajo ejecutable, el código fuente completo significa todo el código fuente de todos los módulos que contiene, más cualquier fichero asociado de definición de interfaz, más los guiones utilizados para controlar la compilación e instalación del ejecutable. Sin embargo, como excepción especial, el código fuente distribuido no necesita incluir nada que sea distribuido normalmente (Ya sea en la fuente o forma binaria) con los componentes principales (compilador, kernel, etc) del sistema operativo en el cual funciona el ejecutable, a menos que el

propio componente acompañe al ejecutable.

Si la distribución del ejecutable o del código objeto se hace ofreciendo acceso a copiar desde un lugar designado, entonces ofrecer un acceso equivalente para copiar el código fuente desde el mismo lugar como distribución del código fuente, a pesar de que la tercera parteíes que no son com-sintieron la necesidad de copiar el código fuente junto con el código objeto.

4. Usted no puede copiar, modificar, sublicenciar, o distribuir el Programa excepto como está expresamente pro ESTABLECIDO bajo esta Licencia. Cualquier intento de copiar, modificar, sublicenciar o distribuir el programa es nulo, y la voluntad plazo, de forma automáticaínate sus derechos bajo esta Licencia. Sin embargo, las partes que hayan recibido copias o derechos de usted bajo esta Licencia no verán sus licencias terminadas mientras estas partes continúen cumpliéndola.

5. Usted no está obligado a aceptar esta licencia, ya que no la ha firmado. Sin embargo, nada más le concede permiso para modificar o distribuir el Programa o sus trabajos derivados. Estas acciones están prohibidas por la ley si no acepta esta Licencia. Por lo tanto, si modifica o distribuye el Programa (o cualquier trabajo basado en el Programa), se indícado a la aceptación de esta Licencia para poder hacerlo, y todos sus términos y condiciones para copiar, distribuir o modificar el Programa o trabajos basados en él.

6. Cada vez que redistribuya el Programa (o cualquier trabajo basado en el Programa), el bene-ENT recibe automáticamente una licencia del licenciatario original para copiar, distribuir o modcificar el Programa sujeto a estos términos y condiciones. Usted no puede imponer ninguna restricción adicional sobre el ejercicio de los beneficiarios de los derechos aquí garantizados. Usted no es respon-ble de asegurar el cumplimiento por parte de terceros de esta Licencia.

7. Si, como consecuencia de una sentencia judicial o una acusación de infracción de patente o por cualquier otra razón (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden judicial, acuerdo o de otra manera) que contradigan las condiciones de esta Licencia, no le exime de cumplir las condiciones de esta Licencia. Si no puede realizar distribuciones de forma que se satisfagan simultáneamente sus obligaciones bajo esta licencia y cualquier otra obliga-ciones pertinentes, entonces, como consecuencia, no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permitiera la redistribución libre de regalías del Programa por todos aquellos que reciban copias directa o indirectamente a través de ti, entonces la única forma en que podría satisfacer tanto esta Licencia sería evitar completamente la distribución de la Programa.

Si cualquier porción de este apartado se considera inválida o inaplicable en virtud de cualquier particular, circunstancia, el equilibrio de la sección está destinada a aplicarse y es la sección como un todo destinado a aplicarse en otras circunstancias.

No es el propósito de esta sección para inducir a infringir ninguna patente u otros derechos de propiedad o impugnar la validez de ninguna de dichas reivindicaciones esta sección tiene el soléfin de proteger la integridad del sistema de distribución de software libre, que se realiza mediante prácticas de licencia pública. Mucha gente ha hecho contribuciones generosas a la amplia gama de software distribuido mediante ese sistema con la confianza en la aplicación consistente de ese sistema, sino que es responsabilidad del autor / donante quien decida si él o ella está dispuesto a distribuir software mediante cualquier otro sistema y una licenciatario no puede imponer esa elección.

En esta sección se pretende dejar completamente claro lo que se cree que es una

consecuencia del resto de esta Licencia.

8. Si la distribución y / o uso del Programa está restringida en ciertos países, bien porpatentes o por interfaces bajo copyright, el tenedor del copyright que coloca a laPrograma bajo esta Licencia puede añadir una limitación explícita de distribución geográficaexcluyendo esos países, de modo que la distribución se permita sólo en o entre los países

no excluidos. En tal caso, esta Licencia incorpora la limitación como si estuviese escrita en el cuerpo de esta Licencia.

9. La Free Software Foundation puede publicar versiones revisadas y / o nuevas versiones de la Licencia Pública General de vez en cuando. Tales versiones nuevas serán similares en espíritu a la pre-enviado versión, pero pueden diferir en detalles para solucionar nuevos problemas o preocupaciones.

Cada versión se le da un distintivo Versiónúmero n. Si el Programa especifica un versión número de esta Licencia que se refiere a ella ya "cualquier versión posterior versión ", usted tiene la opción de seguir los términos y condiciones de la versión, o de cualquier posterior Versión publicada por la Free Software Foundation. Si el Programa no especifica un versiónúmero n de esta Licencia, puedes escoger cualquier versión publicada por la Free Software Foundation.

10. Si desea incorpópartes de la tasa de Programa en otros programas libres cuyas condiciones de distribu-lución condiciones son diferentes, escribe al autor para pedirle permiso. Para el softwaretiene copyright de la Free Software Foundation, escriba a la Free SoftwareFundación: algunas veces hacemos excepciones para esto. Nuestro Decisión será guiada por eldos objetivos de preservar la libertad de todos los derivados de nuestro software libre y de pro-Moting el intercambio y la reutilización de software en general.

NINGUNA GARANTÍA11. Como el programa se licencia libre de cargas, NO HAY GARANTÍA PARA EL PROGRAMA, EN

LA MEDIDA PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE POR ESCRITO, LOS TITULARES DE DERECHOS DE AUTOR Y / U OTRAS PARTES PROPORCIONAN EL PROGRAMA "TAL CUAL" SIN GARANTÍA DE NINGÚN TIPO, EXPRESA O IMPLÍCITAS, INCLUYENDO, PERO NO LIMITADO A, LAS GARANTÍAS DE COMERCIALIZACIÓN Y APTITUD PARA UN PROPÓSITO PARTICULAR . EL RIESGO EN CUANTO A LA CALIDAD Y LA EJECUCIÓN DEL PROGRAMA ES CON USTED. SI EL PROGRAMA TIENE UN ERROR, USTED ASUME EL COSTE DE CUALQUIER SERVICIO, REPARACIÓN O CORRECCIÓN.

12. EN NINGÚN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O DE ACUERDO POR ESCRITO, EL TITULAR DE DERECHOS DE AUTOR O CUALQUIER OTRA PARTE QUE PUEDA MODIFICAR Y / O REDISTRIBUIR EL PROGRAMA COMO SE PERMITE ARRIBA, SERÁ RESPONSABLE ANTE USTED POR DAÑOS, INCLUYENDO CUALQUIER DAÑO GENERAL, ESPECIAL, INCIDENTAL O consecuen-tes DAÑOS CAUSADOS POR EL USO O IMPOSIBILIDAD DE USO DEL PROGRAMA (INCLUYENDO PERO NO LIMITADO A LA PÉRDIDA DE DATOS O LA datos oa pérdidas sufridas por usted o por terceras partes oa un fallo del Programa al OPÉTARIFA CON OTROS PROGRAMAS), INCLUSO SI TAL TITULAR U OTRA PARTE HA SIDO ADVERTIDO DE LA POSIBILIDAD DE TALES DAÑOS.

FIN DE TÉRMINOS Y CONDICIONES

Date post:	30-Nov-2015
Category:	Documents
Upload:	alexdazao
View:	103 times
Download:	1 times

Engineers Cyber Crime Incident Response Manual.en.Es (2)

Documents