Visualización: agosto, 2016

Ago 15

agosto 15, 2016

CICLO DE VIDA DE LAS EVIDENCIAS DIGITALES

A.-Razón de ser:

Durante la investigación y análisis forense realizado por expertos en informática, se precisa tener en cuenta los distintos ciclos de vida de la evidencia, lo que afectará al procedimiento jurisdiccional correspondiente y de cara a utilizar la investigación como prueba de cargo.

B.-El Auditor:

La intervención del auditor (tanto interno como externo) en el ciclo de vida de los sistemas de información, es un procedimiento valioso para la evaluación indicada en el párrafo anterior. En este sentido:

• los datos e información contenidos en soportes electrónicos, informáticos y telemáticos: representan la versión intangible de muchas pistas visibles de transacciones que son rastreadas por los auditores, de modo que no se dispone en algunos casos de documentos físicos para visualizar, comprobar firmas, tildar, fotocopiar. Se destacan del resto de la evidencia documental por su característica de ilegibilidad. Comprende tanto los documentos que contienen información de texto y numérica, como los que contienen imágenes, sonido, u otros.

• Se considera conveniente analizar las particularidades de las evidencias de auditoría digitales en cuanto a su obtención, procesamiento, conservación, y oposición, considerando además la perdurabilidad de la fuente como una dificultad particular asociada a ellas.

(más…)

Publicado por Ciberseguridad. | Por

Ago 14

agosto 14, 2016

La importancia de la Ciberdefensa en la Defensa Nacional.

En un mundo plenamente dependiente de las nuevas tecnologías, se desarrollan a través del ciberespacio, actividades que el ciudadano de a pie no percibe directamente o con la gravedad con la que se ha producido. Por ejemplo:

1º.-Si una página web ha sido atacada, notará que no puede acceder a la misma o que va más lenta de lo habitual.

2º.-Si se ha producido una contaminación de alimentos, creerá que ha sido un producto en mal estado.

3º.-Si existe una epidemia de diarreas, fiebre y de intoxicación general, creerá que es típico de la época, el calor, etc.

Admitiendo que el Derecho y los sistemas judiciales no podrán enfrentarse a ataques que atenten a nuestra Seguridad Nacional, será preciso concienciar a la sociedad del papel de las Unidades Militares especializadas en Ciberdefensa, así como los centros civiles y militares dedicados a la protección de las infraestructuras críticas. No se trata de perseguir a un delincuente que ha creado un troyano y ha infectado a miles de ordenadores, sino hablamos de estados que puedan afectar a millones de personas y para lo que se requiere una alerta preventiva y continuada, para lo que sólo vale la monotorización constante de la red informática y que no entiende de de jurisdicciones ni de competencias.

(más…)

Publicado por Ciberdefensa | Por

Ago 13

agosto 13, 2016

ARP Spoofing

A.-Definición:

Consiste en un tipo de ataque en el que un actor (sujeto persona física o software) con intenciones malintencionadas,  envía mensajes falsificados ARP (Address Resolution Protocol) a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de un equipo legítimo o servidor en la red. Una vez que la dirección MAC del atacante se conecta a una dirección IP auténtica, el atacante comenzará a recibir cualquier dato que está destinado a esa dirección IP.

B.-CONSECUENCIAS TÉCNICAS Y PERSONALES:

ARP Spoofing puede permitir a los atacantes para interceptar, modificar o incluso detener los datos en tránsito. Los ataques de suplantación ARP sólo pueden ocurrir en las redes de área local que utilizan el protocolo de resolución de direcciones.

Los efectos de los ataques de suplantación ARP pueden tener graves consecuencias para las empresas. En su aplicación más básica, los ataques de suplantación ARP se utilizan para robar información sensible. Más allá de esto, los ataques de suplantación de ARP se utilizan a menudo para facilitar otros ataques tales como:

1º.-Ataques de denegación de servicio: los ataques DoS a menudo destacan la suplantación ARP para enlazar varias direcciones IP con la dirección MAC de un solo objetivo. Como resultado, el tráfico que se destina para muchas direcciones IP diferentes será redirigido a la dirección MAC del destino, la sobrecarga de la diana con el tráfico.

2º.-Secuestro de sesión: ataques de secuestro de sesión pueden utilizar ARP Spoofing para robar los identificadores de sesión, la concesión de acceso a los atacantes y los sistemas privados de datos.

3º.-Man-in-the-middle ataques: ataques MITM pueden confiar en ARP Spoofing para interceptar y modificar el tráfico entre las víctimas.

C.-SOLUCIONES TECNOLÓGICO-LEGALES:

Los siguientes métodos son medidas recomendadas para la detección, prevención y protección contra ataques de suplantación ARP:

1º.-Se requiere un análisis previo por Abogado Especializado en Nuevas Tecnologías que sea Perito informático:

El profesional emitirá informe de viabilidad del Estado de la cuestión, tras un análisis previo de los datos suministrados por el cliente y en contraste con las pruebas tecnológicas. Las soluciones recomendadas son la práctica de una pericial informática forense, ante notario quien emitirá Acta notarial para luego iniciar acciones legales que deberán ser consultadas al profesional y que este mostrará en su hoja de encargo.

2º.-Desde un punto de vista tecnológico. Medidas:

2.1.-El filtrado de paquetes: Los filtros de paquetes inspeccionan los paquetes que se transmiten a través de una red. Los filtros de paquetes son útiles en la prevención ARP Spoofing, ya que son capaces de filtrar y bloquear los paquetes con información de la dirección fuente de conflicto (paquetes desde fuera de la red que muestran las direcciones de origen desde el interior de la red y viceversa).

2.2.-Evitar las relaciones de confianza: Las organizaciones deben desarrollar protocolos que se basan en relaciones de confianza lo menos posible. Las relaciones de confianza se basan únicamente en las direcciones IP para la autenticación, por lo que es mucho más fácil para los atacantes para ejecutar ataques de suplantación ARP cuando están en su lugar.

2.3.-Utilice software de detección de ARP Spoofing: Hay muchos programas disponibles que ayudan a las organizaciones detectar ataques de suplantación ARP. Estos programas de trabajo mediante la inspección y la certificación de los datos antes de su transmisión y el bloqueo de los datos que parece ser falsa.

2.4.-Utilizar protocolos de red criptográficos: Transport Layer Security (TLS), Secure Shell (SSH), HTTP seguro (HTTPS) y otros protocolos de comunicaciones seguras refuerzan ARP Spoofing prevención de ataques mediante el cifrado de los datos antes de la transmisión de datos y la autenticación cuando se recibe.

D.-RESUMEN:

Este tipo de ataques precisan un examen forense inmediato de los dispositivos informáticos afectados. El volcado y clonado de los datos obteniendo imagen fiel de todo, supone el paso previo para cualquier intervención legal posterior. Del examen forense, pudieran únicamente extraerse evidencias de las consecuencias que han facilitado o producido los ataques, sin poder obtener la autoría del atacante. Ahora bien, todo depende del origen del ataque: a) Ataque interno por conocimiento del estado de la red local de la víctima: se puede conocer los accesos y el ataque empleado. Hay que distinguirlo de un ataque con fines legítimos; b) Ataque externo: con Arpwatch que es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía correo electrónico al administrador de la red, cuando una entrada ARP cambia, se pueden detectar las intrusiones. Asimismo, comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser también un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legítimos de la clonación de direcciones MAC. Finalmente, con RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.

 

Publicado por Bienvenidos | Por

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies