3. Objetivos Tácticos/Estratégicos

El objetivo principal de un investigador forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, los objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido. La información obtenida tiene que ser compartida con el resto de los miembros del equipo forense, a fin de evitar la pérdida de información. También es el objetivo del investigador la protección del estado de sitio contra modificaciones para evitar pérdidas de información (pruebas).

Posible persecución es un objetivo secundario, pero como he dicho anteriormente, como un investigador forense su trabajo primario es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro. Eso significa poner el sistema fuera de servicio cuando todo el mundo está presionando para volver a ponerlo on-line.

Si el sistema, por parte del administrador, fue forzado a seguir funcionando, eliminando las posibles vulnerabilidades o cualquier otra supuesta vía de acceso al servidor, la investigación forense no podrá seguir el rumbo correcto ya que:

1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.

2. Hay muchas posibilidades de que se le paso algo importante por alto al administrador y el intruso (o intrusos) siguen teniendo acceso al sistema. Por lo tanto es mejor sufrir un "downtime" de red, mientras que se realiza el análisis forense del sistema.

Se tiene que establecer una prioridad entre:

(a) Funcionamiento inmediato, teniendo presente que las huellas dejadas por el/los intruso/s pueden haberse eliminado por descuido del administrador y su equipo, y que el servidor puede seguir teniendo puertas traseras bien ocultas. Esta opción permite estar operativo en poco tiempo.

(b) Investigación forense detallada que permite conseguir los objetivos mencionados en la sección 1a del capítulo Introducción, asegurarse 100% de que el equipo está seguro y recoger pruebas suficientes para poder iniciar el trámite legal. Esta opción supone un mayor tiempo de permanencia off-line si no existen planes de contingencia y procedimientos para el backup del servicio.

Asumiendo que el análisis es una prioridad, ¿cuáles son los siguientes pasos?

[Subir]