La informática forense o data forensics se considera la parte de la informática cuya finalidad comprende el análisis, la recogida y recuperación de información disponible, oculta o borrada que se encuentra en soportes informáticos.
Recopilamos las principales funciones de un INFORME DATA FORENSICS que solemos realizar en BorealOS
Como principales funciones para las que se usa la informática forense o también conocida como data forensics, tenemos:
- Recuperar datos por fallas en los sistemas.
- Recuperar datos por errores humanos.
- Buscar el origen de posibles ataques informáticos.
- Securizar sistemas y certificarlos como seguros.
- Crear copias de seguridad.
A la hora de realizar un análisis informático, se llevarán a cabo las siguientes acciones:
Análisis del cableado que compone la red.
Se observará toda la conexión cableada de la que haga uso la red, retirando cableado innecesario que pueda ser utilizado para acceder a ella. Además, hay que tener en cuenta el estado del cableado con la finalidad de retirar todo el que favorezca la producción de cortocircuitos.
Análisis del hardware.
Se hará una recogida de información del hardware de la empresa para obtener las características que puedan favorecer, posteriormente a los técnicos, para realizar un análisis de vulnerabilidades. También, se analizará el estado y los componentes del hardware tanto de las computadoras como de los servidores y periféricos.
Análisis del software.
Se procederá a realizar una recolección de software instalado en todo tipo de sistema conectado a la red, con la finalidad de hacer un listado analizando las vulnerabilidades de cada programa con medidores de riesgo que tendrán como elementos indicadores; el historial de ataques que ha tenido la aplicación, conexiones que puede realizar la aplicación, permisos que pide, ...etc.
| # | 1ª | Sistema | 2º | Datos | 3º | Privilegios |
|---|---|---|---|
| 1 | Propiedades del sistema operativo | Archivos ax | Recursos de datos ODBC |
| 2 | Funciones del sistema operativo | Archivos dll | Conexión |
| 3 | Versión de los componentes | Información sobre las licencias | Usuarios |
| 4 | Programas al iniciar | Estadísticas de actividad | Grupos locales |
| 5 | Tareas programadas | Estadísticas de caídas del sistema | Grupos globales |
| 6 | Programas instalados | Informe de sucesos | Red de Windows y PCI/PNP |
| 7 | Tipos de archivos | Actualización de Windows | IAM-RAS |
| 8 | Procesos abiertos | Seguridad de cuentas | Rutas |
| 9 | Controladores del sistema | Cookies de Internet Explorer / otros | Recursos de red |
| 10 | Archivos del sistema | Administrador de base de datos | Internet (configuración y proxys) |
| 11 | Sesión actual | Controladores BDE | Archivos abiertos |
| 12 | Servicios | Seguridad de Windows | Historial del navegador |
Antivirus.
Se comprobará el uso del antivirus y se harán recomendaciones sobre funciones que puedan usarse para beneficiar la seguridad de la empresa.
Análisis de dispositivos de red.
Se hará uso de un barrido de puertos con la finalidad de inspeccionar posibles accesos que puedan aprovechar los atacantes y se tomarán las medidas posibles para mitigar vulneraciones.
Análisis forense / forensics
Se realizará un análisis forense mediante software que nos permitirá identificar malware establecido en los sistemas.
- MALWARE: Software malicioso que se utiliza para llevar a cabo con mayor facilidad los ataques informáticos o incrementar el daño que puedan llegar a causar.
- ATAQUE INFORMÁTICO: Actos que se realizan por medio de las tecnologías y las telecomunicaciones con la finalidad de comprometer la confidencialidad, integridad o disponibilidad de los dispositivos, sistemas, redes, comunicaciones o datos que puedan tener o estar compartiendo.
A continuación, se va a enumerar distintos tipos de malware:
- Ransomware. Rapto de datos mediante cifrado para posteriormente pedir una recompensa por ellos.
- Adware. Distribución de código dañino a través de anuncios.
- Spyware. Software con la finalidad de recoger y observar información del sistema infectado sin ser reconocido.
- Virus. Especializado en la contaminación y propagación en archivos del sistema con la finalidad de dañar o crear cierta ralentización en los sistemas infectados.
- Troyano. Establecer una puerta trasera con la que poder entrar al sistema infectado y así poder establecer un control remoto.
- Gusanos. Malware autoreplicante que mediante el uso de la red puede expandirse.
- Scareware. Infunde el miedo en forma de avisos de seguridad o de antivirus con el objetivo de que la víctima descargue malware en forma de actualizaciones.
- RootKit. Tipo de malware cuya característica principal es atacar a la BIOS del sistema con la intención de hacerse con privilegios de administrador sin ser reconocido.
Recuperación de datos.
Especializados en la recuperación de datos en sistemas RAID, USB, dispositivos móviles y discos duros. Sin importar, que la causa sea por fallo de hardware o por fallo de software.
Disponemos de tres tipos de recuperación de datos:
- Recuperación lógica.
Hace uso de procesos lógicos para obtener la totalidad de los datos y posteriormente ser grabados en un disco nuevo.
- Recuperación electrónica..
Método de recuperación de datos en el que se debe abrir el disco para realizar modificaciones físicas (separación de los “platos de datos” de la electrónica que maneja el motor de dichos discos y del cabezal de lectura y escritura).
- Recuperación mecánica.
Clonado.
Se llevará a cabo una copia de los contenidos del disco duro de una computadora a otro disco o un archivo “imagen”. La creación de un archivo “imagen” se usa como medida de seguridad que se lleva a cabo para un posterior traspaso del archivo a un segundo disco.
Certificación de redes.
La certificación de una red sirve para demostrar que cumple con los estándares y normas internacionales, verificando su correcto funcionamiento.
