Descargo de responsabilidad: No hemos realizado ninguna investigación en vivo. Esta fue una parte de nuestra tarea universitaria, en la que asumimos los roles de investigador forense, determinando qué métodos eran aplicables. Puedes aportar tus propias conclusiones y resolver el caso. Intentamos seguir la metodología global, ilustrando cómo debe ser un informe básico de investigación forense.
Créditos
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Introducción
La tecnología informática es la mayor parte integrante de la vida humana cotidiana, y está creciendo rápidamente, al igual que los delitos informáticos como el fraude financiero, la intrusión no autorizada, el robo de identidad y el robo intelectual. Para contrarrestar estos delitos informáticos, la informática forense desempeña un papel muy importante. «La informática forense implica la obtención y el análisis de información digital para su uso como prueba en casos civiles, penales o administrativos (Nelson, B., et al., 2008)».
Una investigación informática forense generalmente investiga los datos que podrían extraerse de los discos duros de los ordenadores o de cualquier otro dispositivo de almacenamiento con el cumplimiento de las políticas y procedimientos estándar para determinar si esos dispositivos han sido comprometidos por un acceso no autorizado o no. Los investigadores informáticos forenses trabajan en equipo para investigar el incidente y llevar a cabo el análisis forense utilizando diversas metodologías (por ejemplo, estáticas y dinámicas) y herramientas (por ejemplo, ProDiscover o Encase) para garantizar la seguridad del sistema de red informática en una organización. Un investigador forense informático exitoso debe estar familiarizado con varias leyes y reglamentos relacionados con los delitos informáticos en su país (por ejemplo, la Ley de Uso Indebido de Ordenadores de 1990, en el Reino Unido) y varios sistemas operativos informáticos (por ejemplo, Windows, Linux) y sistemas operativos de red (por ejemplo, Win NT). Según Nelson, B., et al., (2008), las investigaciones públicas y las investigaciones privadas o corporativas son las dos categorías distintivas que se incluyen en las investigaciones informáticas forenses. Las investigaciones públicas serán llevadas a cabo por agencias gubernamentales, y las investigaciones privadas serán llevadas a cabo por equipos forenses informáticos privados. Este informe se centrará en las investigaciones privadas, ya que se produjo un incidente en una nueva PYME con sede en Luton.
Este informe también incluye un modelo de investigación informática, las recopilaciones de datos y sus tipos, las adquisiciones de pruebas, las herramientas forenses, la investigación maliciosa, los aspectos legales de la informática forense y, por último, este informe también proporciona las recomendaciones necesarias, las contramedidas y las políticas para garantizar que esta PYME se sitúe en un entorno de red seguro.
Estudio de caso
Una nueva PYME (pequeña y mediana empresa) con sede en Luton y con un modelo de administración electrónica ha comenzado recientemente a notar anomalías en su contabilidad y registros de productos. Ha realizado una comprobación inicial de los archivos de registro del sistema, y hay una serie de entradas y direcciones IP sospechosas con una gran cantidad de datos que se envían fuera del cortafuegos de la empresa. También han recibido recientemente una serie de quejas de clientes que afirman que a menudo aparece un mensaje extraño durante el procesamiento de los pedidos, y que a menudo son redirigidos a una página de pago que no parece legítima.
La empresa utiliza un paquete de comercio electrónico de uso general (OSCommerce) y cuenta con un pequeño equipo de seis profesionales de apoyo informático, pero no creen que tengan la experiencia necesaria para llevar a cabo una investigación de malware/forense a gran escala.
Como la competencia en el ámbito de la alta tecnología es cada vez mayor, la empresa quiere asegurarse de que sus sistemas no están en peligro y ha contratado a un investigador forense digital para determinar si se ha producido alguna actividad maliciosa y asegurarse de que no hay malware en sus sistemas.
Su tarea es investigar las sospechas del equipo y sugerirle cómo pueden desinfectar cualquier máquina afectada con malware, y asegurarse de que ninguna otra máquina en sus instalaciones o a través de la red ha sido infectada. El equipo también quiere que lleve a cabo una investigación forense digital para ver si puede rastrear la causa de los problemas y, si es necesario, preparar un caso contra los autores.
La empresa utiliza Windows Server NT para sus servidores. El equipo de soporte informático aplica parches mensualmente, pero el equipo ha observado que varias máquinas no parecen haber sido parcheadas.
Entregables
Su entregable en esta tarea es un informe de 5.000 palabras en el que exponga cómo abordaría lo siguiente:
– Investigación de malware
– Investigación forense digital
Deberá exponer una visión general de la metodología que utilizará y proporcionar un argumento razonado de por qué la metodología concreta elegida es pertinente.
También debe discutir el proceso que utilizará para recoger las pruebas y discutir las directrices pertinentes que deben seguirse al recoger las pruebas digitales.
Como discusión contenida en su informe, también debe proporcionar una evaluación crítica de las herramientas y técnicas existentes que se utilizan para las investigaciones forenses digitales o de malware y evaluar su eficacia, discutiendo cuestiones tales como la coherencia de los enfoques adoptados, las habilidades necesarias por los investigadores forenses, y los problemas relacionados con las metodologías existentes (especialmente con respecto a la ausencia de un único enfoque global común para llevar a cabo tales investigaciones y los problemas que pueden resultar cuando hay una necesidad de realizar una investigación que cruza las fronteras internacionales).
Asociación de Jefes de Policía (ACPO)
Esta investigación forense se llevará a cabo según las directrices de la Asociación de Jefes de Policía (ACPO) y sus cuatro principios. Hay cuatro principios de la ACPO relacionados con las pruebas electrónicas basadas en ordenadores. Estos principios deben seguirse cuando una persona lleva a cabo la investigación forense informática. El resumen de esos principios es el siguiente (ACPO, 2013);
Principio 1: Los datos almacenados en un ordenador o medio de almacenamiento no deben ser alterados o modificados, ya que esos datos pueden ser presentados posteriormente en el tribunal.
Principio 2: Una persona debe ser lo suficientemente competente en el manejo de los datos originales guardados en un ordenador o medio de almacenamiento si es necesario, y también deberá ser capaz de dar las pruebas que explican la relevancia y el curso de sus acciones.
Principio 3: Debe crearse y conservarse una pista de auditoría u otra documentación de todos los procesos aplicados a las pruebas electrónicas basadas en ordenador. Un tercero independiente debería poder examinar esos procesos y obtener el mismo resultado.
Principio 4: Una persona responsable de la investigación debe tener la responsabilidad general de dar cuenta de que se cumplen la ley y los principios de la ACPO.
Modelo de investigación informática
Según Kruse II, W.G., y Heiser, J.G. (2010), una investigación informática consiste en identificar las evidencias, preservar esas evidencias, extraerlas, documentar todos y cada uno de los procesos, y validar esas evidencias y analizarlas para encontrar la causa raíz y por la cual proporcionar las recomendaciones o soluciones.
«La informática forense es un campo nuevo y hay menos estandarización y consistencia entre los tribunales y la industria» (US-CERT, 2012). Cada modelo de informática forense se centra en un área particular, como la aplicación de la ley o el descubrimiento de pruebas electrónicas. No existe un único modelo de investigación forense digital que haya sido aceptado universalmente. Sin embargo, en general se aceptó que el marco del modelo forense digital debe ser flexible, para que pueda soportar cualquier tipo de incidentes y nuevas tecnologías (Adam, R., 2012).
Kent, K., et.al, (2006) desarrolló un modelo básico de investigación forense digital llamado Proceso Forense de Cuatro Pasos (FSFP) con la idea de Venter (2006) de que la investigación forense digital puede ser conducida incluso por personas no técnicas. Este modelo ofrece más flexibilidad que cualquier otro, de modo que una organización puede adoptar el modelo más adecuado en función de las situaciones que se produzcan. Estas son las razones por las que elegimos este modelo para esta investigación. El FSFP contiene los siguientes cuatro procesos básicos, como se muestra en la figura:
Figura 1: Modelo de investigación forense FSFP
Fuente: Kent, K., et.al, (2006)
La marca de la flecha «Preservar y documentar las evidencias» indica que debemos preservar y documentar todas las evidencias durante el curso de la investigación, ya que esto puede ser presentado al tribunal como evidencia en algunos casos. En los siguientes apartados hablaremos de todos y cada uno de los procesos o etapas del modelo de investigación del FSFP.
Alcance de la investigación
Los alcances de las investigaciones forenses para este caso son los siguientes:
- Identificar las actividades maliciosas con respecto a las 5W (Por qué, Cuándo, Dónde, Qué, Quién).
- Identificar el fallo de seguridad en su red.
- Averiguar el impacto si el sistema de la red se vio comprometido.
- Identificar los procedimientos legales, si son necesarios.
- Proporcionar las medidas correctoras para endurecer el sistema.
Desafíos legales de la investigación
Según Nelson, B., et al., (2008), los retos legales antes de comenzar nuestra investigación forense son los siguientes:
-
Determinar si se necesita la asistencia de las fuerzas del orden, y si es así, pueden estar disponibles para ayudar durante la investigación, o bien tenemos que presentarles el informe de la investigación al final de la misma.
-
Obtener un permiso por escrito para llevar a cabo la investigación forense, a menos que exista otro procedimiento de autorización de respuesta a incidentes.
-
Discutir con los asesores legales para identificar los posibles problemas que puedan surgir durante el manejo inadecuado de las investigaciones.
-
Asegurarse de que se tienen en cuenta las cuestiones confidenciales y de privacidad de los clientes.
Preparación inicial
Es obvio que antes de comenzar la investigación, necesitamos tener una preparación para llevarla a cabo de manera eficiente. Esto se considera una medida proactiva de investigación (Murray, 2012). En la etapa de preparación es necesario seguir los siguientes pasos:
-
Reunir toda la información disponible a partir de la evaluación del incidente, como la gravedad del mismo.
-
Identificar el impacto de la investigación en la empresa de la PYME, como el tiempo de inactividad de la red, la duración de la recuperación del incidente, la pérdida de ingresos y la pérdida de información confidencial.
-
Obtener información de las redes, los dispositivos de red, como el router, los conmutadores, el hub, etc, documentación de la topología de la red, ordenadores, servidores, cortafuegos y diagrama de la red.
-
Identificación de los dispositivos de almacenamiento externo como pen drive, flash drive, disco duro externo, CD, DVD, tarjetas de memoria y ordenador remoto.
-
Identificación de las herramientas forenses que se pueden utilizar en esta investigación.
-
Captura del tráfico de red en vivo en caso de que las actividades sospechosas sigan funcionando con las herramientas ‘netmon’.
-
Documentar todas las actividades durante la investigación que pueden ser utilizadas en los tribunales para verificar el curso de acción que se siguió en la investigación.
-
Hacer una imagen del disco duro de los dispositivos de destino y hacer un hash con MD5 para la integridad de los datos.
Recogida
«La fase de recogida es la primera fase de este proceso consiste en identificar, etiquetar, registrar y adquirir datos de las posibles fuentes de datos relevantes, mientras se siguen las directrices y procedimientos que preservan la integridad de los datos» (CJCSM 6510.01B, 2012). Hay dos tipos diferentes de datos que pueden recogerse en una investigación informática forense. Son los datos volátiles y los datos no volátiles (datos persistentes). Los datos volátiles son los que existen cuando el sistema está encendido y se borran cuando se apaga, por ejemplo, la memoria de acceso aleatorio (RAM), el registro y las cachés. Los datos no volátiles son los que existen en el sistema cuando está encendido o apagado, por ejemplo, los documentos en el disco duro. Dado que los datos volátiles son de corta duración, un investigador informático forense debe conocer la mejor manera de capturarlos. Las pruebas pueden recogerse de forma local o remota.
Datos volátiles
La siguiente figura muestra cómo capturar los datos volátiles. La estación de trabajo forense debe estar situada en la misma LAN en la que se encuentra la máquina objetivo, en este caso el servidor Windows NT. Las herramientas ‘Cryptcat’ pueden utilizarse en la estación de trabajo forense para escuchar el puerto del servidor de Windows NT. Cree la unidad óptica del conjunto de herramientas de confianza en el servidor de Windows NT y abra la consola de confianza cmd.exe y utilizar el siguiente comando:
cryptcat <dirección ip> 6543 -k key
Para capturar los datos en la estación de trabajo forense, utilizamos el siguiente comando:
cryptcat -l -p 6543 -k key >> <nombre del archivo>
Figura 2: Configuración de la recogida de datos volátiles
Fuente: Reino, A., (2012)
La siguiente tabla muestra las herramientas de la Interfaz Gráfica de Usuario, y su uso y resultado pueden ser utilizadas en la investigación forense informática.
Tabla 1: Herramientas forenses de datos volátiles y su uso y resultado
Fuente: Reino, A., (2012)
También utilizamos varias herramientas basadas en Windows para capturar los datos volátiles como sigue:
HBGray’s FastDump – Adquisición de memoria física local.
HBGray’s F-Response – Adquisición de memoria física remota
ipconfig – Recogida de detalles del sistema del sujeto.
netusers y qusers – Identificación de los usuarios que han iniciado sesión
doskey/history – Recogida del historial de comandos
netfile – Identificación de los servicios y controladores
Por último, la recogida del contenido del portapapeles también es muy importante en una investigación informática forense. Se pueden encontrar más pruebas de una máquina que todavía está en funcionamiento, por lo que si las anomalías todavía están allí en la PYME, entonces podemos recuperar una gran cantidad de pruebas importantes de los procesos en ejecución, la conexión de red y los datos que se almacenan en la memoria. Hay muchas pruebas cuando la máquina está en estado volátil, por lo que hay que asegurarse de que los ordenadores afectados no estén apagados para poder recoger dichas pruebas.
Datos no volátiles
Una vez que se han capturado los datos volátiles, vamos a investigar los datos no volátiles. El primer paso en la recopilación de datos no volátiles es copiar el contenido de todo el sistema de destino. A esto se le llama también «imagen forense». La creación de imágenes ayuda a preservar los datos originales como evidencia sin ningún tipo de mal funcionamiento o cambios en los datos que se producen durante la investigación forense. Las imágenes forenses serán creadas por herramientas forenses como EnCase, ProDiscover y FTK. Un investigador forense utiliza un bloqueador de escritura para conectarse al sistema de destino y copiar todo el contenido de la unidad de destino a otro dispositivo de almacenamiento utilizando cualquiera de esas herramientas forenses. La clonación de discos duros no es más que hacer un duplicado de todo el sistema. La diferencia entre la creación de imágenes forenses y la clonación de discos duros es que no se puede acceder a las imágenes forenses sin herramientas forenses, pero se puede acceder fácilmente a la clonación de discos duros con una unidad de montaje. La clonación del disco duro sólo contiene una imagen sin procesar, y cada bit se copiará, y no se añadirá ningún otro contenido extra. La imagen forense contiene metadatos, es decir, hashes y marcas de tiempo, y comprime todos los bloques vacíos. Las imágenes forenses se someten a hash con MD5 o SHA-2 para garantizar la integridad de las pruebas digitales (Nelson, B., et al., 2008).
La recopilación de datos puede realizarse en una investigación fuera de línea y en una investigación en línea. Las imágenes forenses se pueden realizar con la investigación fuera de línea. El tráfico de red en vivo se puede hacer con la investigación en línea mediante el uso de herramientas Ethereal o Wireshark. Los registros del cortafuegos, los registros del antivirus y los registros del controlador de dominio se recopilarán para la investigación en el marco de la recopilación de datos no volátiles. También recogeremos los registros del servidor web, los registros de eventos de Windows, los registros de la base de datos, los registros de IDS y los registros de las aplicaciones. Una vez que hayamos recogido todas las pruebas digitales, debemos documentarlas en la documentación del registro de la cadena de custodia. La documentación del registro de la cadena de custodia sirve para mantener la integridad de las pruebas desde el principio hasta el final de la investigación, hasta que se presente este informe de investigación (Nelson, B., et al., 2008).
Antes de llevar a cabo cualquier otro proceso, tenemos que crear una imagen del disco bit a bit, que accederá a todo el volumen y copiará los medios originales, incluidos los archivos eliminados. Después de crear la imagen del disco, debemos hacer un hash de todo lo que asegurará que los datos son auténticos y que la integridad de los datos se mantendrá durante toda la investigación. Los valores hash deben registrarse en múltiples ubicaciones y debemos asegurarnos de que no hacemos ningún cambio en los datos desde el momento de la recogida de los mismos hasta el final de la investigación. La mayoría de las herramientas ayudan a conseguirlo accediendo a los medios en estado de sólo lectura (SANS, 2010). Los discos duros del sistema de destino, los dispositivos de almacenamiento externo y el disco duro del servidor de Windows NT deben ser adquiridos para la investigación forense digital en este caso.
Examen
Una vez que hayamos reunido todas las pruebas disponibles, tenemos que llevar a cabo el examen con la ayuda de varias herramientas de investigación forense informática. También examinamos el sistema de archivos, el registro de Windows, la red y el examen forense de la base de datos, de la siguiente manera:
Examen del sistema de archivos
NTFS es el sistema de archivos de nueva tecnología y el disco NTFS es un archivo. MFT es la tabla maestra de archivos que contiene información sobre todos los archivos y discos, y también es el primer archivo de NTFS. Los registros de la MFT también se denominan metadatos. Los metadatos son datos sobre datos (Nelson, B., et. al., 2008). Los archivos pueden almacenarse en la MFT de dos maneras: residente y no residente. Un archivo de menos de 512 bytes puede alojarse en la MFT como archivos residentes y un archivo de más de 512 bytes puede almacenarse fuera de la MFT como archivos no residentes. Cuando se elimina un archivo en Windows NT, el archivo será renombrado por el sistema operativo y trasladado a la papelera de reciclaje con una identidad única. El sistema operativo almacena información sobre la ruta original y el nombre original del archivo en el archivo info2. Pero si un archivo es borrado de la papelera de reciclaje, entonces los clusters asociados son marcados como disponibles para nuevos datos. NTFS es más eficiente que FAT, ya que es más rápido en la recuperación de su espacio eliminado. Los discos NTFS son un flujo de datos, lo que significa que pueden añadirse a otro archivo existente. Un archivo de flujo de datos puede almacenarse de la siguiente manera:
C:echo text_mess > file1.txt:file2.txt
Este archivo puede recuperarse mediante el siguiente comando:
C:more < file1.txt:file2.txt
W2K.Stream y Win2K.Team son virus que se desarrollaron utilizando un flujo de datos, y fueron desarrollados con la intención de alterar el flujo de datos original. Como investigador, debemos conocer a fondo los sistemas de archivos de Windows FAT y NTFS (Nelson, B., et. al., 2008).
Examen del Registro de Windows
Según (Carvey, H., 2005) un registro puede ser tratado como un archivo de registro porque contiene datos que pueden ser recuperados por un investigador forense los valores de la clave asociada se llama el tiempo «Lastwrite», que se almacena como FILETIME y se considera que es la última hora de modificación de un archivo. Con los archivos a menudo es difícil obtener una fecha y hora precisas de modificación del archivo, pero el Lastwrite muestra cuando el registro fue modificado por última vez. Fantástico revisará algunos ciertos pasos (Carvey, H., 2005) que se enumeran a continuación para analizar el registro de windows de la organización para asegurarse de que el problema dentro y fuera de la organización son conocidos y están siendo resueltos para proteger y mantener la reputación de la empresa.
El registro de windows es un orden de bases de datos en un ordenador utilizado por Microsoft en Windows 98, Windows CE, Windows NT y Windows 2000 para almacenar un usuario o aplicación de usuario y la configuración de los dispositivos de hardware, que se utiliza como punto de referencia durante la ejecución de un programa o procesos (Windows, 2013). La estructura común del registro de windows se divide en «Hives» que son:
-
HKEY_CLASSES_ROOT: asegura que los programas requeridos se están ejecutando.
-
HKEY_CURRENT_USER: contiene información general de un usuario que actualmente ha iniciado sesión en el sistema.
-
HKEY_LOCAL_MACHINE: contiene información sobre el hardware, unidades, etc. de un sistema.
-
HKEY_USERS: contiene toda la información de los usuarios de un sistema concreto.
-
HKEY_CURRENT_CONFIG: almacena información sobre la configuración actual del sistema.
El registro de Windows consta de información volátil y no volátil. Esto significa que un investigador debe, como mínimo, estar familiarizado con cada uno de los significados y funcionalidades de las colmenas, claves, datos y valores de un registro de Windows antes de llevar a cabo cualquier investigación forense de un ordenador para obtener un informe de investigación forense satisfactorio.
Localización de inicio automático: es una ubicación en el registro en la que se configuran las aplicaciones para que se lancen sin que el usuario las inicie. Con esta funcionalidad, un malware que afecta a Luton SME puede ejecutarse de forma persistente cuando se enciende la máquina sin una interacción directa del usuario porque ya estaba programado para autoiniciarse o cuando un usuario ejecuta algunos comandos o procesos específicos.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option es un registro de Windows en el que un atacante puede utilizar la clave para redirigir la copia original de una aplicación a su copia troyanizada (Carvey, H., 2005). Luton SME podría sufrir este ataque: una redirección de la página de pago del cliente a una ilegítima.
Un investigador forense puede examinar la ubicación del autoarranque para determinar si el problema de Luton SME es resultado de una acción realizada por un usuario, un malware o por un atacante en la organización. Según (Carvey, H., 2005), la forma más fiable de acceder a la autolocalización es utilizar las herramientas AutoRuns de SysInternals.com, que pueden proporcionar un listado de ubicaciones de autoinicio.
Actividad del usuario: las acciones y actividades de un usuario pueden investigarse en la colmena HKEY_CUREENT_USER, que se crea a partir de la colmena HKEY_USERSID. La información del usuario se asigna al HKEY_CURRENT_USER. El NTUSER.DAT contiene información sobre la configuración de las especificaciones del registro de un usuario. El examen de esta colmena dará a un investigador forense una buena pista de las actividades y acciones realizadas por un usuario.
Lista de usuarios más recientes (MRU): La MRU contiene las acciones específicas recientes realizadas por un usuario y mantiene un registro de las actividades para futuras referencias. Por ejemplo, HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU mantiene una lista de comandos ejecutados por un usuario. Cada comando ejecutado en el cuadro de ejecución añadirá una entrada de valor de clave al panal, como se muestra a continuación:
Figura3: Contenido de la clave ExplorerRunMRU.
Fuente: Carvey, H., (2005)
Un investigador forense puede estudiar esta colmena para obtener la hora de última escritura de cada comando de la lista MRU como se muestra arriba. Con esto, el investigador de SME Luton podrá analizar desde el registro si fue una actividad del usuario, una acción de malware o un ataque que está afectando a la organización.
UserAssist: según (Carvey, H., 2005) UserAssist, que se encuentra bajo el archivo HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist, consta de dos claves que suelen parecerse a identificadores únicos globales que guardan registros cifrados de cada objeto, aplicación, etc. a los que un usuario ha accedido en el sistema. Si un investigador ha accedido al registro cifrado, que ya no es definitivo, podría indicar alguna acción que el usuario realizó para activar el malware a través de una aplicación o cualquier actividad que haya realizado.
Almacenamiento extraíble USB: según Farmer, College y Vermont (2008) todos los dispositivos conectados al sistema se mantienen en un registro del ordenador bajo la siguiente clave HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. La siguiente figura muestra un ejemplo de los ID de unidad de una unidad USB:
Figura 4: Ejemplo de contenido de la llave USBSTOR, mostrando los IDs de las instancias de los dispositivos.
Fuente: Carvey, H., (2005)
Usando las colmenas de la unidad montada, un investigador tendrá una pista cuando analice el contenido del ID del dispositivo mantenido en el registro para saber qué dispositivo se estaba montando en la organización de la PYME de Luton. Con el examen persistente de cada clave de valor, un investigador puede identificar los dispositivos de almacenamiento USB extraíbles y asignarlos a la parentidprefix.
Sociedades inalámbricas: Según (Carvey, H., 2005) los SSID de las redes inalámbricas utilizadas en un ordenador pueden encontrarse en HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Cuando se navega a los valores de las claves, contienen subclaves que parecen identificadores únicos globales, que cuando se abren, un investigador puede navegar a los ActiveSettings que revela cada SSID inalámbrico en forma de tipo de datos binarios. Cuando se hace clic con el botón derecho del ratón para modificar, se revelan los SSID en formato escrito. Aunque la dirección IP y otra información de red se puede encontrar en HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, un investigador puede utilizar esta información para vincular a un usuario de la organización de la PYME de Luton a un marco temporal concreto si la dirección IP de la persona aparece descubierta en el registro de la ventana anterior.
El registro de Windows también puede ser una fuente vital de pruebas en una investigación forense si el investigador sabe dónde obtener los datos disponibles que pueden ser bien presentables para la organización de la PYME de Luton. Fantastic ha tratado de analizar algunos de los registros básicos de Windows que podrían haber causado la redirección de su página web, ha rastreado la actividad de los usuarios y todos los programas necesarios que un usuario había ejecutado, los dispositivos utilizados en el servidor o en cualquiera de los ordenadores de la organización, y también ha revelado la dirección IP de los usuarios.
Examen forense de la red
La adquisición, recopilación y análisis de los eventos que tienen lugar en la red se conoce como análisis forense de la red. A veces también se conoce como forense de paquetes o minería de paquetes. El objetivo básico de la ciencia forense de la red es el mismo, es decir, recopilar información sobre los paquetes en el tráfico de la red, como los correos, las consultas, la navegación por el contenido de la web, etc., y mantener esta información en una fuente y llevar a cabo una inspección posterior (WildPackets, 2010).
La ciencia forense de la red puede aplicarse de dos maneras principales. La primera está relacionada con la seguridad, en la que se supervisa una red en busca de tráfico sospechoso y cualquier tipo de intrusión. Es posible que el atacante borre todos los archivos de registro de un host infectado, por lo que en esta situación las pruebas basadas en la red entran en juego en el análisis forense. La segunda aplicación de la ciencia forense de la red está relacionada con la aplicación de la ley, donde el tráfico de red que ha sido capturado podría ser trabajado para recoger los archivos que han sido transferidos a través de la red, la búsqueda de palabras clave y el análisis de la comunicación humana que se hizo a través de correos electrónicos u otras sesiones similares. (Hunt, 2012)
Herramientas y técnicas de análisis forense de la red
Podemos realizar cualquier operación con un DVD/CD-ROM de arranque forense, una memoria USB o incluso un disquete. En primer lugar, debemos volcar la memoria, y esto es preferible hacerlo con una memoria USB de tamaño suficiente. También debemos realizar una evaluación de riesgos cuando vayamos a recoger datos volátiles para evaluar si es seguro y relevante recoger esos datos vivos, que pueden ser muy útiles en una investigación. Debemos utilizar conjuntos de herramientas forenses durante todo el proceso, ya que esto ayudará a cumplir los requisitos de una investigación forense. Estas herramientas deben ser de confianza, y se puede adquirir desde las de libre distribución hasta las comerciales. (7safe, 2013)
Se debe recopilar cierta información muy importante y discreta de una máquina en funcionamiento, con la ayuda de herramientas de confianza como:
-
Listados de procesos.
-
Listados de servicios.
-
Información del sistema.
-
Usuarios conectados y registrados.
-
Conexiones de red.
-
Información del registro.
-
Volcado binario de la memoria.
Hay muchos tipos diferentes de herramientas forenses de red, cada una con diferentes funciones. Algunas son simplemente rastreadores de paquetes y otras se ocupan de la identificación, la toma de huellas dactilares, la localización, el mapeo, las comunicaciones por correo electrónico, los servicios web, etc. La siguiente tabla enumera algunas de las herramientas de código abierto que se pueden utilizar para la investigación forense de redes y sus funcionalidades. (Hunt, 2012)
Herramienta | Plataforma | Sitio web | Atributos |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: Filtro &recoger; L: Análisis de registro; R: Reensamblaje del flujo de datos; C: Correlación de datos; A: Vista de la capa de aplicación
Tabla 2: Herramientas forenses de red
Fuente: (Hunt, 2012)
Examen forense de bases de datos
Una base de datos es una colección de datos o información que se representa en forma de archivos o una colección de archivos. La recuperación de los datos de la base de datos puede hacerse con un conjunto de consultas. La ciencia forense de las bases de datos puede definirse como la aplicación de la investigación informática y las técnicas de análisis para reunir las pruebas de la base de datos y presentarlas ante un tribunal. Es necesario realizar una investigación forense en las bases de datos, porque una base de datos tiene datos sensibles y existe una alta probabilidad de que los intrusos violen la seguridad para obtener esta información personal.
En el caso de estudio se menciona que se está enviando una gran cantidad de datos de la base de datos, por lo que ahora la tarea del equipo de Fantastic es realizar una investigación forense en la base de datos con la ayuda de herramientas forenses. La investigación forense de bases de datos se centra en la identificación, la conservación y el análisis de los datos. Según Khanuja, H.K., y Adane, D.S., (2011), para acceder a la base de datos los usuarios necesitan obtener permisos como la autorización y la autenticación de los servidores de la base de datos. Una vez hecha la autorización, sólo el usuario puede acceder a los datos y si lo desea puede alterar los datos. Ahora, si comprobamos los registros de auditoría de la base de datos, podemos obtener una lista de los usuarios que tienen permisos para acceder a los datos. El equipo tiene que buscar en la base de datos las direcciones IP que están conectadas de forma remota, porque hay posibilidades de alterar los datos por el usuario autorizado o el usuario no autorizado.
Según Dave, P., (2013), con la ayuda de la investigación podemos rastrear las operaciones del DDL (Lenguaje de Definición de Datos), que se utilizan para definir la estructura de la base de datos, y DML (Lenguaje de Manipulación de Datos), que se utilizan para la gestión de los datos dentro de la base de datos y puede identificar si hay alguna transacción previa y posterior ocurrida en la base de datos. Esta investigación también puede ayudarnos a saber si hay alguna fila de datos que haya sido borrada por el usuario intencionadamente, y es capaz de recuperarla, y también nos ayuda a probar o refutar que se ha producido una violación de la seguridad de los datos dentro de la base de datos, y nos ayuda a determinar el alcance de la intrusión de la base de datos. La herramienta forense de Windows v1.0.03 se utiliza con un archivo de configuración personalizado que ejecutará los comandos DMV (Distributed Management Views) y DBCC (Database Consistency Checker) para recopilar los datos suficientes para demostrar o rechazar la intrusión, tal y como se ha indicado anteriormente (Fowler, K., 2007).
Análisis
Primero tenemos que analizar las pruebas que hemos recopilado y examinado. Vamos a mirar en los datos para ver si cualquier archivo oculto o archivos inusuales se presentan o no. Luego si hay algún proceso inusual en ejecución y si hay algún socket abierto inusualmente. También miraremos si alguna solicitud de aplicación se produjo inusualmente. Entonces comprobaremos la cuenta, si se presenta alguna cuenta inusual o no. También encontraremos el nivel de parcheo del sistema, si se ha actualizado o no. Por el resultado de estos análisis, llegaremos a saber si se presenta alguna actividad maliciosa o no. A continuación, desarrollaremos una estrategia adicional para la investigación forense, como el análisis completo de la memoria, el análisis completo de los sistemas de archivos, la correlación de eventos y el análisis de la línea de tiempo (Nelson, B., et. al., 2008). De acuerdo con este estudio de caso, hay actividades maliciosas presentes en su sistema de red y también ha sido confirmado por nuestro análisis inicial. Para encontrar las capacidades del código malicioso y su objetivo, tenemos que hacer el análisis del ejecutable del malware. El análisis de ejecutables de malware se puede dividir en análisis estático y análisis de comportamiento.
Análisis de malware
Según el informe de Verizon «2012 Data Breach Investigations Report», el 99% de las vulnerabilidades han llevado a comprometer los datos durante unos días o menos, mientras que el 85% tardaron varias semanas en ser investigadas. Esto supone un serio reto para los departamentos de seguridad, ya que los atacantes disponen de mucho tiempo para trabajar en un entorno comprometido. Más «tiempo libre» conduce a más datos robados y a daños más graves. Esto se debe principalmente al hecho de que las medidas de seguridad actuales no están pensadas para hacer frente a amenazas más complejas (2012 Data Breach Investigations Report, Verizon, 2012).
El punto cuando se realiza una investigación de la escena del crimen de malware: ciertas partes de un PC con Windows están bien encaminadas para albergar datos que se identifican con la instalación y utilización del malware. Los exámenes legales de los marcos intercambiados incorporaron una auditoría de los valores hash de los registros, las confusiones de las firmas, los archivos empaquetados, los registros de colisión, los puntos de restauración del sistema y el archivo de páginas. Una investigación mundana de los Sistemas de Archivos y Registros de Eventos puede ser dirigida a distinguir ejercicios alrededor del tiempo en que el malware fue animado en el sistema. Los especialistas avanzados también pueden revisar el Registro en busca de entradas inusuales, como en las áreas de inicio automático, y ajustes en el momento de la instalación del malware. Se pueden realizar búsquedas de palabras clave para descubrir referencias al malware y asociaciones con otros hosts negociados. Se reconocen los vectores de ataque normales, incorporando archivos adjuntos de correo electrónico, el historial de navegación web y los inicios de sesión no autorizados.
Según Syngress «Malware Forensics – Investigating and Analyzing Malicious Code, 2003» se debe hacer una investigación basada en lo siguiente:
-
Buscar malware conocido
-
Revisar programas instalados
-
Examinar Prefetch
-
Inspeccionar ejecutables
-
Revisar autostart
-
Revisar trabajos programados
-
Examinar registros
-
Revisar cuentas de usuario
-
Examinar sistema de archivos
-
Examinar el Registro
-
Restaurar puntos
-
Búsqueda de palabras clave
Antes de comenzar el análisis de malware, necesitamos crear el entorno de análisis de malware como VMware y Norton Ghost. VMware es un entorno virtual de análisis de malware y Norton Ghost es un entorno de análisis de malware dedicado.
Análisis estático
El análisis estático es el tipo de análisis de malware que se utiliza para realizar el análisis sin ejecutar la programación del malware. El análisis estático es mejor que el análisis dinámico en términos de seguridad. Dado que el programa de malware no se está ejecutando, no hay miedo de borrar o cambiar los archivos. Siempre es mejor hacer el análisis estático de malware en un sistema operativo diferente, donde el malware no está diseñado para ejecutarse o impactar. Porque un investigador puede hacer doble clic accidentalmente en el programa de malware para que se ejecute, y éste afectará al sistema. Hay muchas formas de realizar el análisis estático, como la huella digital de archivos, el escaneo de virus, la detección de paquetes, las cadenas, el formato de archivos dentro de la FE y el desensamblaje (Kendall, K., 2007).
Análisis dinámico
El análisis dinámico es el tipo de análisis de malware en el que se ejecuta el código del malware y se observa su comportamiento. También se denomina análisis de malware de comportamiento. El Análisis Dinámico no es seguro de realizar a menos que estemos dispuestos a sacrificar el entorno de análisis de malware. Podemos analizar el malware simplemente monitorizando el comportamiento de las funciones del malware. Hay muchas herramientas para llevar a cabo el análisis dinámico de malware, pero Process Monitor de SysInternals y Wireshark son las más utilizadas y de uso gratuito (Kendall, K., 2007).
Según Kendall, K., (2007), en casi todos los casos de malware, un simple análisis estático y dinámico de malware encontrará todas las respuestas que necesitarán los investigadores de malware para el código de malware concreto.
Hallazgos
Tras nuestra investigación, resumimos nuestros hallazgos como sigue:
-
Se identificó el acceso remoto persistente del atacante a los ordenadores de la empresa.
-
El análisis forense identificó que los sistemas habían sido comprometidos.
-
Los parches del SO no estaban instalados en algunos sistemas.
-
Se encontró un presunto malware en el sistema comprometido.
-
La identificación de ese malware y su funcionalidad &objetivo del malware nos llevó a concluir que se trata de un malware de «spam».
-
Se determinó que los atacantes tuvieron acceso a los sistemas del cliente utilizando el malware al suministrar en enlace del sitio web apropiado para la pasarela de pago.
Acciones de recuperación
Se consideraron arriba las formas más comunes de entrada de software malicioso en la red. De lo anterior, es posible hacer dos conclusiones importantes:
-
La mayoría de los métodos descritos están de alguna manera relacionados con el factor humano, por lo tanto, la formación de los empleados y la formación periódica en materia de seguridad mejorará la seguridad de la red;
-
Los casos frecuentes de piratería de sitios legítimos llevan al hecho de que incluso un usuario competente puede infectar su ordenador. Por lo tanto, salen a relucir las medidas clásicas de protección: el software antivirus, la instalación oportuna de las últimas actualizaciones y la supervisión del tráfico de Internet.
Según Shiner, D.L.D., y Cross, M., (2002), existen importantes contramedidas para protegerse del malware:
-
Autenticación y protección por contraseña
-
Software antivirus
-
Firewalls (hardware o software)
-
DMZ (zona desmilitarizada)
-
IDS (sistema de detección de intrusiones)
-
Filtros de paquetes
-
Routers y switches
-
Servidores proxy
-
VPN (redes privadas virtuales)
-
Registro y auditoría
-
Tiempo de control de acceso
-
El software/hardware propietario no está disponible en el dominio público
En nuestro caso, los más útiles son los siguientes:
-
Firewall
-
Registro y Auditoría
El Firewall comprueba todas las páginas Web que entran al ordenador del usuario. Cada página web es interceptada y analizada por el cortafuegos en busca de código malicioso. Si una página web a la que accede el usuario contiene código malicioso, se bloquea el acceso a la misma. Al mismo tiempo, muestra una notificación de que la página solicitada está infectada. Si la página web no contiene código malicioso, se pone inmediatamente a disposición del usuario.
Por registro se entiende la recopilación y el almacenamiento de información sobre los eventos que se producen en el sistema de información. Por ejemplo, quién y cuándo intentó entrar en el sistema y cómo terminó este intento, quién y qué recursos de información se utilizaron, qué y quién modificó los recursos de información, y muchos otros.
La auditoría es un análisis de los datos acumulados, realizado puntualmente, casi en tiempo real (Shiner, D.L.D., y Cross, M., 2002). La implementación del registro y la auditoría tiene los siguientes objetivos principales:
-
Responsabilidad de los usuarios y administradores;
-
Proporcionar oportunidades para la reconstrucción de eventos;
-
Detectar intentos de violaciones de la seguridad de la información;
-
Proporcionar información para identificar y analizar problemas.
Políticas de seguridad
Los criterios más completos para evaluar los mecanismos de seguridad a nivel organizativo se presentan en la norma internacional ISO 17799: Código de prácticas para la gestión de la seguridad de la información, adoptada en 2000. La ISO 17799 es la versión internacional de la norma británica BS 7799. La ISO 17799 contiene normas prácticas para la gestión de la seguridad de la información y puede utilizarse como criterio para evaluar los mecanismos de seguridad a nivel organizativo, incluidas las medidas de seguridad administrativas, de procedimiento y físicas (ISO/IEC 17799:2005).
Las reglas prácticas se dividen en las siguientes secciones:
-
política de seguridad;
-
organización de la seguridad de la información;
-
gestión de activos;
-
seguridad de los recursos humanos;
-
seguridad física y medioambiental;
-
gestión de las comunicaciones y operaciones;
-
control de acceso;
-
adquisición, desarrollo y mantenimiento de sistemas de información;
-
gestión de incidentes de seguridad de la información;
-
gestión de la continuidad del negocio;
-
cumplimiento.
Estas secciones describen los mecanismos de seguridad a nivel organizativo que se aplican actualmente en las organizaciones gubernamentales y comerciales de todo el mundo (ISO1799, 2005).
Surgen varias preguntas tras considerar la necesidad mencionada de alguna combinación de requisitos empresariales para Internet. ¿Qué medidas de software y hardware y de organización deben implementarse para satisfacer las necesidades de la organización? ¿Cuál es el riesgo? ¿Cuáles deben ser las normas éticas para que la organización lleve a cabo sus tareas con la ayuda de Internet? ¿Quién debe ser responsable de ello? La base de las respuestas a estas preguntas es una política de seguridad conceptual para la organización (Swanson, M., 2001).
La siguiente sección contiene fragmentos de políticas de seguridad hipotéticas de trabajo seguro en Internet. Estos fragmentos se diseñaron basándose en el análisis de los principales tipos de equipos de seguridad.
Las políticas de seguridad pueden dividirse en dos categorías: la política técnica, implementada mediante hardware y software, y la política administrativa, realizada por las personas que utilizan el sistema y las personas que lo dirigen (Swanson, M., 2001).
Política de seguridad común para una organización:
-
Todo sistema de información debe tener una política de seguridad
-
La política de seguridad debe ser aprobada por la dirección de la organización
-
La política de seguridad debe llegar a todos los empleados de forma sencilla y comprensible
-
La política de seguridad debe incluir:
-
la definición de la seguridad de la información, sus principales objetivos y su alcance, así como su importancia como mecanismo que permite utilizar colectivamente la información
-
la posición de liderazgo sobre los propósitos y principios de la seguridad de la información
-
identificar las responsabilidades generales y específicas para proporcionar la seguridad de la información
-
enlaces a documentos relacionados con las políticas de seguridad, como las directrices de seguridad detalladas o las normas para los usuarios
-
La política de seguridad debe satisfacer ciertos requisitos:
-
corresponder a la legislación nacional e internacional
-
contar con disposiciones para la formación del personal en materia de seguridad
-
incluir instrucciones de detección y prevención de software malicioso
-
definir las consecuencias de las violaciones de la política de seguridad política de seguridad
-
considerar los requisitos de continuidad del negocio
-
Debe definirse una persona responsable del procedimiento de revisión y actualización de las disposiciones de la política de seguridad
-
La revisión de la política de seguridad debe llevarse a cabo como consecuencia de los siguientes casos:
-
Cambios en la infraestructura organizativa de la organización
-
Cambios en la infraestructura técnica de la organización
-
Son objeto de revisión periódica de la política de seguridad las siguientes características:
-
el coste y el impacto de las contramedidas en el rendimiento de la organización(ISO/IEC 17799:2005)
Informe
Un informe forense pone de manifiesto las pruebas en el tribunal y también ayuda a reunir más pruebas y puede utilizarse en las audiencias judiciales. El informe debe contener el alcance de la investigación. Un investigador forense informático debe conocer el tipo de informe forense informático, como el informe formal, el informe escrito, el informe verbal y el plan de examen. Un informe formal contiene los hechos de los hallazgos de la investigación. Un informe escrito es como una declaración o un affidávit que puede ser declarado bajo juramento, por lo que debe ser claro, preciso y detallado. Un informe verbal está menos estructurado y es un informe preliminar que aborda las áreas de investigación que aún no se han cubierto. Un plan de examen es un documento estructurado que ayuda al investigador a entender las preguntas que se espera que haga cuando justifique las pruebas. Un plan de examen también ayuda al abogado a entender los términos y las funciones que se utilizan en la investigación informática forense (Nelson, B., et al., 2008). Por lo general, un informe informático forense contiene las siguientes funciones:
-
Propósito del informe
-
Autor del informe
-
Resumen del incidente
-
Pruebas
-
Análisis
-
Conclusiones
-
Documentos de apoyo
.
Hay muchas herramientas forenses para generar el informe de investigación forense como ProDiscover, FTK y EnCase (Nelson, B., et al., 2008).
Conclusiones
Este informe contiene cómo llevar a cabo la investigación forense de ordenadores y la investigación de malware en varios métodos y utilizando varias herramientas. Este informe también contiene los cuatro principales de la ACPO y los procedimientos de la política de seguridad IS017799 que deben ser implementados en cada organización para mejorar la arquitectura de la red de seguridad. También se analiza el modelo de investigación forense en cuatro pasos y por qué elegimos este modelo para llevar a cabo la investigación forense de este caso. También tiene importantes pasos de preparación antes de comenzar la investigación. A continuación, este informe tiene una parte de análisis en la que analizamos los datos que recogimos mediante varios métodos para obtener las conclusiones. Este informe también contiene recomendaciones para evitar la violación de la seguridad en el futuro.
La investigación forense digital es un proceso desafiante, porque cada incidente difiere de otros. Un investigador forense informático debe ser lo suficientemente competente en materia técnica y jurídica para llevar a cabo la investigación. Dado que las pruebas aportadas por un investigador informático forense pueden ser una parte importante del caso, el informe de la investigación debe ser preciso y detallado.
-
7safe, (2013) «Good Practice Guide for Computer-Based Electronic Evidence», Disponible en: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Consultado el 12 de enero de 2014.
-
ACPO (2013), «Good Practice Guide for Computer-Based Electronic Evidence», V4.0
-
Adams, R., (2012), «Evidence and Digital Forensics», Australian Security Magazine, Disponible en http://www.australiansecuritymagazine.com.au/, consultado el 31 de diciembre de 2013.
-
Aquilina, M.J., (2003), «Malware Forensics, Investigating and Analyzing Malicious Code», Syngress,
-
Carvey, H., (2005), «Windows Forensics and Incident Recovery», Boston: Pearson Education Inc.
-
Casos prácticos, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, «Cyber Incident Handling Program», Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), «SQL – ¡Una carrera en la ciencia forense de las bases de datos!», Disponible en http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, consultado el 2 de enero de 2014.
-
Fowler, K., (2007), «Forensic Analysis of a SQL Server 2005 Database Server», Disponible en https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, consultado el 2 de enero de 2014.
-
Han, D.R., (2012), «SME Cyber security and the Three Little Pigs», ISACA journal, Vol 6, disponible en www.isaca.org/journal, consultado el 05 de enero de 2014
-
Hunt, R., (2012), «New Developments In Network Forensics – Tools and Techniques», Nueva Zelanda, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), «Information technology – Security techniques – Code of practice for information security management», Disponible en http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, Consultado el 10 de enero de 2014.
-
ISO1799, (2005), «ISO 17799 Information and Resource Portal», Disponible en http://17799.denialinfo.com/ , Consultado el 10 de enero de 2014.
-
Kendall, K,(2007), «Practical Malware Analysis», Mandiant Intelligent Information Security, Disponible en http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Consultado el 10 de enero de 2014.
-
Kent, K, y Grance, T., (2006), «Guide to Integrating Forensic Techniques into Incident Response», Disponible en: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Consultado el 13 de enero de 2014.
-
Kent, K., et.al., (2006). «Guide to Integrating Forensic Techniques into Incident Response», National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., y Adane, D.S., (2011), «Database Security Threats and Challenges in Database Forensic: A Survey», IPCSIT vol.20 (2011), Singapur: IACSIT Press.
-
Kruse II, W.G., y Heiser, J.G. (2010), «Computer Forensics: Incident Response Essentials», 14ª edn, Indianápolis: Pearson Education
-
Microsoft, (2013), «Windows Registry Information for Advanced Users» Disponible en https://support.microsoft.com/kb/256986, Consultado el 10 de enero de 2014
-
Nelson, B., et. al., (2008), «Guide to Computer Forensics and Investigations», 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), «Forensics of a Windows System», Roche.
-
SANS, (2010), «Integrating Forensic Investigation Methodology into eDiscovery», Disponible en: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Consultado el 13 de enero de 2014.
-
Shiner, D.L.D., y Cross, M., (2002), » Scene of the Cybercrime», 2ª edn, Syncress: Burlington.
-
Swanson, M., (2001), «NIST Security Self-Assessment Guide for Information Technology Systems» Disponible en http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Consultado el 9 de enero de 2014.
-
US-CERT, (2012), «Computer Forensics», Disponible en http://www.us-cert.gov/reading-room/forensics.pdf, consultado el 30 de diciembre de 2013.
-
Venter, J. P., (2006), «Process Flows for Cyber Forensics Training and Operations», Disponible en http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, consultado el 30 de diciembre de 2013.
-
Wong, L.W.,(2006) «Forensic Analysis of the Windows Registry» Disponible en http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf Consultado el 10 de enero de 2014