Recopilación de Evidencias
Las evidencias digitales se clasifican en dos tipos: volátiles y no volátiles.
Evidencias volátiles: Son aquellas que se pierden al apagar el equipo (por ejemplo: estado de la memoria, procesos en ejecución, conexiones de red)
Evidencias no volátiles: Son aquellas que se encuentran almacenadas en el sistema de ficheros (por ejemplo un programa)
Cuando se detecta una intrusión, el primer paso es asegurar el escenario de la intrusión para recopilar el máximo número de evidencias posibles. Para ello, primero debe determinar y comprobar el estado de los sistemas afectados.
El el equipo se encuentra encendido, existe discrepancia en lo que debe realizar: algunos administradores prefieren apagar directamente el equipo para impedir que el intruso siga actuando, mientras que otros administradores piensan que lo mejor es recopilar las evidencias volátiles antes de apagar.
La mejor forma es recoger las evidencias del equipo siguiendo la normativa RFC 3227. Dicha normativa establece el seguimiento de volatilidad de las evidencias.
- Registros, caché
- Tabla de enrutado, caché arp, tabla de procesos, estadísticas del kernel, memoria.
- Ficheros temporales del sistema
- Discos Duros
- Registros y datos de monitorización remotos que sean relevantes para el sistema en cuestión.
- Configuración física y topología de la red.
Más información: Administración de Sistemas Operativos. Universidad de Almería