Investigación forense: estudio para determinar los métodos usados en la intrusión del caso del banco jbr

El presente trabajo tiene como objetivo dilucidar si la institución bancaria JBR sufrió un ataque de intrusión informática. Para reconstruir la escena de los hechos analizaremos todo tipo de archivos o registros que nos sirvan para descubrir los rastros que el posible atacante pudo haber dejado. Com...

Descripción completa

Detalles Bibliográficos
Autores: Donoso, Diego, Quiñoñez, Daniel
Tipo de recurso: artículo
Estado:Versión publicada
Fecha de publicación:2013
País:Ecuador
Institución:Escuela Superior Politécnica del Litoral
Repositorio:Repositorio Escuela Superior Politécnica del Litoral
Idioma:español
OAI Identifier:oai:www.dspace.espol.edu.ec:123456789/24361
Acceso en línea:http://www.dspace.espol.edu.ec/handle/123456789/24361
Access Level:acceso abierto
Palabra clave:ANÁLISIS
AUTOPSY
TCPDUMP
FORENSE
CAPTURA DE DATOS EN VIVO
Descripción
Sumario:El presente trabajo tiene como objetivo dilucidar si la institución bancaria JBR sufrió un ataque de intrusión informática. Para reconstruir la escena de los hechos analizaremos todo tipo de archivos o registros que nos sirvan para descubrir los rastros que el posible atacante pudo haber dejado. Como pista principal se encontró un archivo update.exe de 0 bytes de longitud en la carpeta raíz de uno de los servidores del Banco JBR, gracias a esto comenzó la investigación realizando la captura de datos en vivo, seguida de la obtención de imágenes forenses, finalizando con el apagado del sistema para evitar que el evento continúe. El análisis empieza con la interpretación de los datos capturados en vivo, es decir, conexiones, puertos procesos, sesiones abiertas; cualquier información que permita determinar si hubo un ataque. Seguido del análisis de sesiones capturadas con la herramienta tcpdump y terminamos con la interpretación de la información en la imagen forense, que con la ayuda de la herramienta Autopsy se pude recrear una línea de tiempo de la actividad en los archivos y así concluir si existió un ataque y si el mismo tuvo éxito.