lunes, 21 de octubre de 2019

Pasos a seguir para la recuperación de datos rastro de un ataque (informática forense).


Lo primero que debemos saber es que es un ciber ataque, podemos citar el siguiente concepto:

En computadoras y redes de computadoras un ataque es un intento de exponer, alterar, desestabilizar, destruir, eliminar para obtener acceso sin autorización o utilizar un activo. Un ciberataque o ataque informático, es cualquier maniobra ofensiva de explotación deliberada que tiene como objetivo de tomar el control, desestabilizar o dañar un sistema informático (ordenador, red privada, etcétera). El atacante es un individuo u organización que intenta obtener el control de un sistema informático para utilizarlo con fines maliciosos, robo de información o de hacer daño a su objetivo. Un ciberataque utiliza códigos maliciosos, para corromper los códigos, datos privados o algoritmos, generando consecuencias que comprometen y vulneran la seguridad de los sistemas de información.
Fuente: Wikipedia

Teniendo ya una mejor idea con el concepto citado y tomando como punto de partida el caso de que, ya, se haya realizado un ataque a un sistema informático, Que pasos ó métodos debemos seguir para recopilar información en base a los rastros dejados por el ó la atacante o atacantes en dicho sistema informático o información vulnerada.

En los siguientes pasos se describirá de manera resumida que pasos se suelen seguir usualmente:

Primer paso:

Lo primero que se debe hacer es poner los equipos o sistema informático en una especie de cuarentena donde no sea utilizado o siga en producción una vez que se detecte que se ha perpetrado un ataque sobre los mismos o el mismo, ya que esto podría borrar los datos que son rastros de un ataque.

Segundo paso:

Determinar el alcance del ataque y en que momento se ejecuto, para determinar el alcance nos podemos dar una idea con el siguiente texto citado de wikipedia:


  • Daños triviales: Daños que no ocasionan ninguna pérdida grave de funcionalidad del sistema y que originan una pequeña molestia al usuario. En este tipo de daños los VIRUS que los causan son muy fáciles de remover y eliminar, por lo que se pueden quitar solo en segundos o minutos.
  • Daños menores: Daños que ocasionan una pérdida de la funcionalidad de las aplicaciones que poseemos. En el peor de los casos se tendrá que reinstalar las aplicaciones afectadas. En este tipo de daños se tiene que tener en cuenta el VIRUS Jerusalén. Este virus, los viernes 13, borra todos los programas que uno trate de usar después de que el virus haya infectado la memoria. Lo peor que puede suceder es que tocaría volver a instalar los programas borrados por dicho virus.
  • Daños moderados: Este daño sucede cuando un virus formatea el disco duro y/o mezcla los componentes de la tabla de asignación de archivos (en inglés, File Allocation Table FAT) y/o también puede que sobrescriba el disco duro. Sabiendo esto se puede reinstalar el sistema operativo y usar el último respaldo de datos.
  • Daños mayores: Algunos virus pueden pasar desapercibidos y pueden lograr que ni utilizando el backup se pueda llegar a los archivos. Un ejemplo es el virus Dark Avanger que infecta los archivos acumulando. Cuando llega a 16, el virus escoge un sector del disco duro al azar y en ella escribe:  "Eddie lives... somewhere in time" (Eddie vive... en algún lugar del tiempo) Cuando el usuario se percata de la existencia del virus ya será demasiado tarde pues los archivos más recientes estarán infectados con el virus.
  • Daños severos: Los daños severos son hechos cuando los VIRUS hacen cambios mínimos y progresivos. El usuario no sabe cuando los datos son correctos o han cambiado, pues no se ve fácilmente, como en el caso del VIRUS Dark Avanger. También hay casos de virus que infectan aplicaciones que al ser descontaminadas estas aplicaciones pueden presentar problemas o perder funcionalidad.
  • Daños ilimitados: Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema. En el caso de CHEEBAS, crea un nuevo usuario con el privilegio máximo poniendo el nombre del usuario y la clave. El daño lo causa la tercera persona, que ingresa al sistema y podría hacer lo que quisiera.
Fuente: Wikipedia


Tercer paso:

Identificar el tipo de ataque una vez determinados los daños causados ya con esto se tiene una primera pista para determinar el tipo de ataque que se realizó aunque se debe buscar de forma concienzuda para determinar que tipo de ataque se realizó, a continuación se lista algunos de los tipos de ataques más usuales:

Cuarto paso:

Determinar su procedencia sea local (desde que equipo de la intranet se ejecuto) o si proveniente de Internet (este paso requiere seguir direcciones ip hasta su posible fuente aveces se logra descubrir desde que lugar del planeta se efectuó el ataque con mucha precisión).

Para esto se puede hacer recuperando los logs del sistema con textdisk y haciendo un seguimiento de la red con nmap y otros programas.

Quinto paso:

Documentar y guardar toda evidencia posible sin hacer ningún tipo de modificación para posibles litigios legales contra el o los atacantes (esto quiere decir si es necesario mantener la cuarentena de los equipos de hardware afectados y usar otros en sustitución temporal para el funcionamiento de la empresa o particular).

Sexto paso:

Teniendo en cuenta los datos que no fueron afectados por el ataque se procede a restaurar los últimos datos que no fueron afectados por el mismo junto a los respaldos de seguridad si no se tienen respaldos de seguridad se restauran los datos y software que no fueron afectados pero englobándolos con nuevas medidas se seguridad que tengan en cuenta este tipo de ataque.

Si el ataque fue por eliminación de toda la información un excelente programa para recuperar las direcciones de memoria y reconstruir los archivos borrados es testdisk si los mismos no fueron sobre escritos o borrados de forma segura si esto es así ninguna data podrá ser restaurada generando perdidas para la empresa o persona particular.


Estos pasos que listo los realice a mi criterio personal cualquier sugerencia para mejorarlos será bien recibida.

Si te gusto esta entrada no dudes en realizar un donativo en la sección Ayúdame


No hay comentarios:

Publicar un comentario