Blogs

Ventajas Forenses de la Recolección en Vivo

Hasta hace relativamente un corto lapso de tiempo, el desconectar el enchufe o cortar el fluido eléctrico de una computadora o dispositivo, era la única opción real en la mayoría de escenarios forenses. Por contraste, el capturar la memoria principal de una computadora en funcionamiento, es decir la memoria RAM, no era una opción realista. Simplemente las soluciones existentes en años anteriores, no eran prácticas para ser utilizadas en un escenario relacionado a un incidente.

Consideraciones Forenses para la Adquisición en Vivo

En el lado positivo de la adquisición forense en vivo, desconectar o interrumpir el fluido electrónico de una computadora, laptop, servidor u otro, elimina la necesidad de interactuar con la máquina en funcionamiento. Interactuar con una computadora en funcionamiento, de cualquier manera causa cambios hacia el sistema. Cualquier cambio en una pieza de evidencia es inadecuado, y puede causar problemas mayores desde el punto de vista legal.

Formatos de Imágenes Forenses

El resultado final de realizar el proceso para la creación de una imagen forense desde un dispositivo de almacenamiento sospechoso, generalmente es un archivo conteniendo una copia exacta del dispositivo de origen. Este archivo puede tener diferentes formatos. Siendo la extensión del archivo, la manera más viables de indicar su formato. Algunos de los formatos de imágenes forenses más comunes son:

  • EnCase (Extensión .E01)
  • DD (Extensión .001 o .dd)
  • AccessData Custom Content Image (Extensión .AD1)

Proceso para Realizar una Imagen Forense

El proceso para crear una imagen forense desde un dispositivo de almacenamiento como un disco duro, debería ser un proceso bastante sencillo, al menos en teoría. Típicamente se creará la imagen forense desde un dispositivo de almacenamiento hacia otro. El dispositivo de almacenamiento original es conocido como el dispositivo de origen, y el dispositivo donde se creará la imagen forense, se denomina el dispositivo destino. La unidad de destino debe ser tan grade (sino más grande), comparado con el dispositivo origen.

Propósito de Realizar una Imagen Forense

Como ya se debe conocer sobre el ámbito forense, la evidencia digital es extremadamente volátil por naturaleza. Y como tal, nunca se debe realizar un examen o análisis sobre la evidencia original, a menos se esté en circunstancia muy exigentes donde no haya otra opción disponible. Estas circunstancias peculiares, podrían incluir situaciones en las cuales un niño ha sido raptado. Algunas veces no existen herramientas o técnicas para poder resolver este problema.

Reconocimiento de una Aplicación Web

Existen muchas maneras de realizar el reconocimiento de una aplicación web, para encontrar todos los recursos relacionados. Quizás la guía más común es, “entender completamente como se comporta una aplicación”, y de esta manera estar en la mejor posición posible para la fase de explotación. El reconocimiento de una aplicación web incluye actividades como:

Introducción al Reconocimiento y Escaneo de una Aplicación Web

Las fases de reconocimiento y escaneo para la aplicación web, proporcionan información detallada sobre los recursos (páginas, archivos, directorios, enlaces, imágenes, etc.), los cuales constituyen la aplicación web. Existen partes muy importantes de información las cuales pueden ser utilizadas durante la posterior explotación de la aplicación web.

Explotación en el Ámbito Web

La explotación es el momento donde toda la información recopilada, los escaneo de puertos, y los escaneos de vulnerabilidades incrementan su valor, pudiendo ser factible ganar acceso no autorizado o ejecutar comandos remotos en la máquina objetivo. Uno de los objetivos de la explotación en red, es ganar derechos con nivel administrativo sobre la máquina objetivo (el servidor web en este ámbito), y ejecutar consecuentemente código.

Escanear un Servidor Web utilizando Nikto

Nikto es una escaner de vulnerabilidades Open Source o de fuente abierta, el cual está escrito en el lenguaje Perl, siendo originalmente publicado en el año 2011. Nikto proporciona la capacidad de escanear servidores web en busca de vulnerabilidades. Realiza más de 6,400 verificaciones por archivos o scripts potencialmente peligrosos, realiza 1,200 pruebas para versiones desactualizadas de servidores, y verifica cerca de 300 problemas específicos a versiones de servidores web.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1