Archive for the ‘Informática Forense’ Category

Generar copias de particiones en Unix

Monday, May 31st, 2010

En general, en las plataformas Unix, como son Solaris y GNU/ Linux, existe una variedad de comandos útiles para todo tipo de propósitos que van desde listar archivos hasta regenerar la distribución misma.

Para propósitos de esta materia, existe un comando llamado dd (convierte y copia un fichero) el cual copia de una partición el contenido y genera otra. Un ejemplo común es crear una partición vacia, especificando la fuénte de datos, la de salida, y el tamaño, entre otras cosas:

lyonn@filemona:~$ dd if=/dev/zero of=miRespaldo count=1 bs=1G

El comando pasado usa como imput file (if) zero, que son caracteres nulos y por tanto para nuestros fines la nueva partición estará vacia, miRespaldo (output file, of) es el identificador de la nueva partición. count son los blooques y bs el tamaño que deseamos. Hasta aquí es una masa de bytes sin forma, por tanto para que sea completada la formación de la partición debemos especificar el tipo de file system a usar, eso se hace con (como root):

filemona:/home/lyonn# mkfs.ext4 miRespaldo
mke2fs 1.41.3 (12-Oct-2008)
miRespaldo no es un dispositivo especial de bloques.
¿Continuar de todas formas? (s,n) s
Etiqueta del sistema de ficheros=
Tipo de SO: Linux
Tamaño del bloque=4096 (bitácora=2)
Tamaño del fragmento=4096 (bitácora=2)
65536 nodos-i, 262144 bloques
13107 bloques (5.00%) reservados para el superusuario
Primer bloque de datos=0
Número máximo de bloques del sistema de ficheros=268435456
8 bloque de grupos
32768 bloques por grupo, 32768 fragmentos por grupo
8192 nodos-i por grupo
Respaldo del superbloque guardado en los bloques:
32768, 98304, 163840, 229376

Escribiendo las tablas de nodos-i: hecho
Creating journal (8192 blocks): hecho
Escribiendo superbloques y la información contable del sistema de ficheros: hecho

Este sistema de ficheros se revisará automáticamente cada 26 montajes o
180 días, lo que suceda primero. Utilice tune2fs -c o -i para cambiarlo.

Ahora ya está lista, podemos en seguida montar y usar la partición como mejor nos convenga:

filemona:/media/Disk# mkfs.ext3 /home/lyonn/miRespaldo

Voila!!!!

Para comprobar muestren las particiones monatadas, en GNU/ Linux es con el comando df (Solaris también)

¿Cómo se relaciona con la informática forense?

Pues bien, a medida que Unix nos da la posibilidad de copiar particiones enteras, podemos hacerlo con aquella partición que ha sido comprometida y trabajar con la copia en un ambiente estéril. Lo que cambiaría sería el imput file (/dev/zero) por el lugar donde está la partición a copiar.

Espero les sirva la información presentada, la cual no es más que la simple administración de algún sistema operativo tipo Unix.

echo $SALUDOS;

Posted in Informática Forense, Sistemas Operativos | 2 Comments »

Informática Forense

Saturday, May 22nd, 2010

Pues como saben, me gusta mucho esta materia, inlcuso podemos decir que medio me obsesione al hablar de este tipo de temas. Sé que hay mucha información, pero me gustaría recopilar un poco de información y complementarla para dejar evidencia de cuánto y como voy creciendo.

Un poco más a fondo...

En el mundo informático existe una cantidad enorme de deficiencias, o errores en las soluciones o aplicaciones de software, aunado a todo esto, la mala experiencia y malas prácticas de los administradores y/o desarrolladores. A estos problemas que he mencionado podemos llamarlos vulnerabilidades los cuales podemos después aprovechar. Las fallas o vulnerabilidades puedo considerar tres, las fallas tecnológicas, las fallas procidementales y las fallas humanas.

Uno de los objetivos también de la informática forense es hallar las motivaciones que llevaron a atacante informático a perpetrar el ataque.

La justicia actual se está apoyando cada vez más en la informática forense, obteniendo evidencia digital y una serie de metodologías para la conservación y análisis de ésta.

Es importante recalcar que son procesos formales y una técnica precisa las que le dan la la veracidad a la informática forense.

En pocas palabras, podemos decir que la informática forense es una ciencia que auxilia a otras ramas como la criminalistica común para llevar a juicio a delincuentes informáticos. La psicología, el derecho, y las TI son indispensables para esta matería.

Los procedimientos que se llevan a cabo son los siguientes: identificaión, preservación, extracción, análisis, interpretación, documentación y presentación de las pruebas.

Posted in Informática Forense | No Comments »