• Fecha: Abr 15, 2004
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: ComputerWorld Colombia Autor: Andrés Velázquez, CISSP

Si bien cada negocio es diferente, muchas veces tenemos que centrarnos en la pregunta: ¿Prevenir o Reaccionar?

Para poder prevenir debemos de contar con políticas de seguridad dentro de nuestras empresas y apoyarnos de tecnología que cumpla con las políticas y que nos ayuden a cumplirlas. Esto puede ser desde los firewalls, detectores de intrusos, filtrados de contenido, antivirus y otros.

Lo importante a destacar al respecto es que a nivel Latinoamérica no estamos acostumbrados a reaccionar ante los incidentes, ya que son pocas las empresas que cuentan con políticas, procedimientos y equipos de respuesta a incidentes y son menos aún los que siguen los planes y procedimientos cuando sucede el incidente.

En este caso podemos acudir al cómputo forense, una ciencia dentro de la seguridad informática poco conocida.

El cómputo forense identifica la evidencia digital, la preserva, la analiza y la presenta de una manera entendible.

Existe una premisa importante al respecto. A diferencia con la evidencia cuando llegamos a la escena del crimen de un caso de homicidio, muchas veces buscamos el arma homicida. El arma, con algo de suerte se encontrará cerca de la víctima, por ejemplo una pistola. En el caso del cómputo forense, nos enfrentamos a que la evidencia cambia cada segundo y es muy volátil.

Recuerde que con el simple hecho de abrir un archivo, éste cambia la fecha de modificación del archivo. Esto significa que debemos de seguir ciertos pasos para poder mantener la integridad de la evidencia. Para ello se deben realizar copias bit a bit de la evidencia para poder trabajar en una copia.

Al presentar la evidencia, se tiene que proporcionar una documentación exacta de los pasos que se siguieron para realizar la examinación, de tal manera que si alguien más la ejecuta, deben llegar al mismo resultado. Para ello se entrega siempre la evidencia original.

Por ejemplo, por medio del cómputo forense se puede recuperar información que fue borrada de un medio magnético, por lo tanto los sistemas que pueden ser usados en el cómputo forense van desde los disquetes, CD’s, cámaras digitales, pagers, teléfonos celulares, impresoras y por supuesto las computadoras en general.

También por medio de esta práctica, se puede buscar imágenes o textos que se encuentran ocultos dentro de algún otro tipo de archivo, ciencia conocida como la esteganografía.

Si bien es difícil el término, realmente viene de la parte investigativa, recordemos los foros médicos (de ahí viene la palabra forense). Poco después podemos asociarlo a la ciencia forense, parte de las investigaciones; solo que en este caso, las computadoras no mueren, pero sí dejan huellas en otras computadoras y en ellas mismas.
El investigador forense tendrá como responsabilidad recuperar y encontrar estas huellas que llamaremos evidencia digital dentro del dispositivo electrónico.

¿Cómo puede esto entonces ayudar el Cómputo Forense a las empresas?

Es obvio que exista el cómputo forense en empresas públicas (Gobierno) y de hecho países latinoamericanos ya cuentan con investigadores y áreas especializadas, los cuales poco a poco han ido capacitándose para poder realizar esta labor.

Pero dentro de las empresas nos permite establecer y conocer cuando un ataque se ha realizado, el saber lo que el atacante hizo.

Muchas veces cuando las empresas son atacadas con el vandalismo de página, que es cuando cambian el contenido de la página, lo que hace el administrador del sistema es reestablecer la página y aplicar todos los parches de seguridad que pueda encontrar en ese momento.

Esta sería una buena práctica, si no tomamos en cuenta que el atacante pudo ya instalar algún tipo de software (troyano) para poder hacer conexiones a esa computadora. Lo que entonces sucede es que no importa que el administrador haya parchado el sistema, el intruso sigue adentro de su organización. Y puede estar mucho tiempo ahí.

Me he encontrado con casos donde me consultan clientes porque sus sistemas se actualizan automáticamente. Viéndolo desde un punto de seguridad sería bueno que se actualizaran, el problema radica en que ellos no configuraron el sistema para que se actualizara por sí solo.

Al realizar una revisión del servidor, pude percatarme que el servidor estaba siendo controlado por un externo, es decir, alguien había atacado el sistema; pero para evitar que alguien más atacara y obtuviera permisos en ese sistema, el mismo atacante inicial había parchado todo el sistema para volverlo seguro y que solo él tuviera acceso desde el exterior.

El cómputo forense en sus diferentes áreas nos permite investigar diferentes tipos de conductas no deseables o ilícitas, como las amenazas por correo electrónico, robo de secreto industrial o información confidencial, pornografía infantil, narcotráfico, terrorismo, etc.

Pregúntese si usted esta listo para reaccionar ante un incidente, y pregúntese hace cuánto tiene usted un atacante dentro de su organización.

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.