Ha aparecido un interesante documento en SecurityFocus Infocus, titulado Método para inspecciones forenses (en lengua inglesa) en el que Timothy E. Wright, auditor certificado CISA, expone muy correcta y ordenadamente los principios de una correcta inspección forense en Tecnologías de la Información.
El documento tiene varios epígrafes, y da comienzo con una introducción bastante original titulada A Classic scene from the information security professional’s work life, o lo que se podría traducir como una escena clásica en la vida laboral de un profesional de la seguridad de la información.
El documento continúa con una descripción del proceso de auditoría forense, y la inexcusable narración de las cuatro fases esenciales de un proceso de este tipo:
- Investigación preliminar
- Operaciones en la red pasiva
- Operaciones en la red activa
- Operaciones en el host activo
cuyo resultado debe concluír en la adquisición de información relativa al sistema básico de información, los procesos en ejecución, los trabajos temporizados, logs, estructura de autenticación y disponibilidad del espacio en disco. El documento finaliza con una exposición de cómo presentar y expedir los resultados de nuestro proceso de investigación.
El autor cita algunas referencias muy interesantes que conviene consultar:
http://www.sans.org/score/checklists/ID_Windows.pdf
http://www.sans.org/score/checklists/ID_Linux.pdf
http://www.sysinternals.com
http://www.cisecurity.org
http://www.cert.org
http://www.cybercrime.gov/s&smanual2002.htm#_IIIA_
http://www.sleuthkit.org/index.php
http://www.securityfocus.com/infocus/1244
http://www.cycom.se/dl/sbd
http://farm9.org/Cryptcat/
http://www.e-fense.com/helix/
Un saludo.