Recolección de Evidencia en Ambientes de Red Es común encontrar estas preguntas, cuando se ha perpetrado un ataque Que fue lo que hicieron..... Como

Recolección de Evidencia en Ambientes Recolección de Evidencia en Ambientes de Redde Red

Es común encontrar estas preguntas , cuando se

ha perpetrado un ataque

Que fue lo que hicieron ..... ?Que fue lo que hicieron ..... ?

Como Fue que lo hicieron .... ?Como Fue que lo hicieron .... ?

Es donde la recolección de eventos en la red juega Es donde la recolección de eventos en la red juega

un papel importante al igual que su análisisun papel importante al igual que su análisis

[email protected]/05junio/05


Objetivos

✔ Mostrar los aspectos mas importantes en la recolección de evidencia

en ambientes de red.

✔ Cuestionar los conocimientos de los ambientes de red existentes hoy

en día, para el proceso de recolección de evidencia en redes.


Plan de Temas

✔ Introducción

✔ Definiciones

✔ Proceso de recolección de evidencia

✔ Herramientas del proceso

✔ Conclusiones


Existe un aumento creciente en

las vulnerabilidades de los

sistemas. (1220 1Q-2005) según

CERT

A su vez existe mayor interés y

creciente sobre las implicaciones

de la seguridad en los ambientes

organizacionales. Según

E-Crime Survey 2005

Introducción

0

500

1000

1500

2000

2500

3000

3500

4000

4500

2000 2001 2002 2003 2004 2005

Vulnerabilidades


Virus o código malicioso, spyware, pishing, y spam de mayor proyección.

Siendo el pishing uno de los de mayor crecimiento contra el 2003. Según

E-Crime Survey 2005

Sin embargo existe más de un 30% no poseen sistemas para registrar

los incidentes y un 39% no tienen procedimientos para responder ante

una intrusión. Dejando espacio para la improvisación. Según

E-Crime Survey 2005

Un 19% no sabe de donde provino el ataque.

Introducción


Un 80% reportan que realizan un procedimiento continuo de monitoreo a

sus infraestructuras de red. Aunque el manejo de los incidentes en su

mayoría (78%) siguen siendo manejados por la empresa.

En muchos casos estas situaciones se dan por el desconocimiento de la

normatividad vigente.

La educación se ha vuelto un factor importante a la hora de generar

cultura de seguridad y tratar de disminuir las amenazas existentes.

Introducción


La evidencia puede ser definida como “cualquier información de valor

probatorio” .

El término “evidencia” implica que tanto quien recoge la evidencia como

el proceso para recoger dicha evidencia son reconocidos por estamentos

legales. Corte, juzgado, legislación.

Para el FBI (Federal Bureau of Investigation) existen algunos conceptos

críticos en la computación forense.

Objetos de Datos. Objetos o información de valor probatorio, que está

asociado con elementos físicos. Pueden estar en diferentes formatos

( NTFS,EXT3), sin la alteración de la información original

Definiciones Básicas


Elementos Físicos. Elementos sobre los cuales los objetos de datos o

información son almacenados y/o transferidos. (Diskettes, Discos, etc)

Evidencia Digital Original. Elementos físicos y objetos de datos o

información asociados a ellos en el momento de la adquisición

Duplicado de la Evidencia Digital. Replicación exacta de todos los

objetos de datos contenidos en los elementos físicos originales



Definiciones

Básicas Evidencia Digital. Cualquier dato almacenado o transmitido utilizando un

computador que soporte o refute una teoria de como una ofensa ocurrió

(Chisum 1999)

Evidencia Digital. Cualquier dato que puede establecer que un crimen ha

sido cometido o que suministre un enlace entre el crimen y la víctima o

entre el crimen y su perpetrador. (Casey 2000)

Evidencia Digital. Cualquier información de valor probatorio que sea

almacenada o transmitida de manera digital. (SWGDE. Standar Working

Group on Digital Evidence)

Evidencia Digital. Información almacenado o transmitida de manera

binaria que pueda ser confiable en una corte. (IOCE. International

Organization of Computer Evidence )



Computación Forense. “Ciencia que se encarga de adquirir, recuperar,

preservar y presentar datos que han sido procesados electrónicamente y

están almacenados en medios electrónicos”.

Computación forense. Aplicación de investigación sobre medios

electrónicos y aplicación de técnicas de análisis, con el interés de

determinar evidencia potencial. Judd Robins


Definiciones Básicas Incidente de Seguridad. Son eventos que interrumpen los procedimientos

normales de operación y precipitan a algún nivel de crisis. Específicamente

Incidentes pueden ser considerados intrusiones en computadores,

denegaciones de servicios, actividad de red no permitida o no autorizada

que requieran de personal de seguridad , administradores o investigadores

para responder.

Investigación. Un proceso que desarrolla y evalua hipotesis para responder

preguntas acerca de un incidente que ha ocurrido.

Investigación Forense Digital. Un proceso que usa la ciencia y la tecnología

para examinar objectos digitales que desarrollen y prueben teorias, las

cuales puedan ser entregadas en una corte, para responder preguntas de

los incidentes ocurridos.


Conducir una investigación estructurada

Preservar y asegurar los datos electrónicos usando métodos que sean

aceptados legalmente

Obtener la mayor cantidad de datos relevantes frente a una intrusión

Documentar

Saber que fue lo que sucedió

Conducir un proceso legal

Objetivos de la Investigación Forense


Por que existe un propósito

Dentro de los mas comunes están

Uso inapropiado de Internet, email, y/o recursos de la corporación

Robo o perdida de la información

Violación de políticas o normas de seguridad

Infracción de la propiedad intelectual

Invasión de la red

Por que Investigar


Derivación de Computación Forense

“Captura, almacenamiento y análisis de los eventos presentados en

una red, para identificar la fuente de un posible ataque o presencia de

un incidente”. Según searchSecurity.com

“Principio de reconstruir las actividades que conducen a un evento y

poder determinar las respuestas de ¿ Que hicieron ? y ¿ Como lo

hicieron ?”

La recolección y centralización de los eventos, así como su análisis son

de gran importancia.

Network Foresinc


Trabajar con evidencias digitales en red presentan ciertos desafíos

para el investigador.

Los datos en los sistemas de red son volátiles y dinámicos, haciendo

difícil tomar una fotografía en un instante de tiempo.

A diferencia de un PC es difícil tener abajo un ambiente de red. Uno

de los retos de los investigadores forenses es asegurar la evidencia

con la mínima interrupción de la operacional del negocio que confía en

la red.

Proceso Forense


Debido a la diversidad de ambientes de red se debe seleccionar los

procedimientos adecuados para recoger de ellas la mejor información

Aislar una escena del crimen es mas difícil debido a que tenemos un

contexto multidimensional, se pueden presentar en varios escenarios

de red y a su vez en cualquier momento.

Al tener la evidencia digital en varios contextos y ambientes genera

ventajas con relación a la eliminación de la evidencia digital.

Proceso Forense


Proceso ForenseAutorización y Preparación

Identificación

Documentación, Recolección yPreservación

Examinación y Análisis

Reconstrucción

Reportes y Resultados


Autorización y Preparación

Antes de recoger cualquier prueba se debe preocuparse por no

infringir , ninguna normativa referente al manejo de la evidencia o que

genere alguna responsabilidad.

Se debe obtener los permisos necesarios para recolectar e indagar en

el escenario propuesto.

Estos permisos deberían ser escritos y estar autorizados por los

abogados o los encargados.

Se deben revisar las políticas de utilización de los recursos

computacionales. Para no ir en contra de la violación de la privacidad.


Autorización y Preparación

El investigador debe conocer y entender claramente el escenario de

red que esta bajo investigación. Identificando actores y el(los)

incidente(s) presentados. Comunicar y definir que tipo de evidencia

necesita en su totalidad.

Algunas veces deben recoger información antes de la autorización,

para definir que clase de herramientas utilizar.

Se debe planear que es lo que se desea recolectar, particularmente

cuando la cooperación es nula con los administradores del sistema.

Es importante definir los procedimientos necesarios para preservar

dicha información


Identificación

Identificar todos los factores que interviene para el proceso de

recolección de la red.

Deben existir métodos para identificar los sistemas que mas evidencia

pueden tener.

Fase uno

Buscar en puntos terminales

Buscar en puntos intermedios. Switches, Routers, Proxys

Fase dos

Buscar eventos en los archivos de logs, que suministran un

panorama de las actividades de la red. Sistemas de monitoreo.


Identificación

Fase tres

Buscar en los sistemas de aplicaciones, para relacionar individuos.

Es necesario procedimientos estándares para lo colección de

evidencia de los diferentes dispositivos de red.

Crear mapas digitales de evidencia que ayuden a realizar de manera

metódica los procesos de búsqueda de evidencia.

Utilizar los mapas de red de la organización y verificar sus niveles de

detalles.

Localización de los puntos de entrada y servidores claves, son las

fuentes mas extensas de evidencia. Routers, Firewalls


Documentación, Recolección y Preservación

La primera diferencia cuando se trabaja en ambientes de red, es que

muchas veces no es posible realizar una copia bit a bit de la evidencia.

Por razones como

El sistema no puede estar abajo

Disco con demasiada información

No existe la autorización para copiar los datos

En muchos casos se requiere recolectar la evidencia de manera

remota



Preservación de la evidencia digital dinámica, Ej: Redireccionar la

salida estándar de una maquina *nix a un archivo o dispositivo. Para

recolectar evidencia de routers, firewall, y dispositivo de línea serial

HyperTerminal de Windows es una solución.

Se utiliza la figura de un segundo investigador que tome atenta nota y

documente los resultados, con el objetivo de mejorar los

procedimientos de recolección por parte de una sola persona

Para garantizar la preservación de los datos se pueden utilizar

mecanismos como grabaciones (video tapes), las firmas digitales son

de gran uso para comprobar la integridad y evitar manipulaciones al

futuro



La mayoría de veces es necesario utilizar herramientas que capturen

el trafico de la red.

La recolección de los logs se vuelve vital en los dispositivos de red.

Logs de IDS, de firewalls, de proxys y de mas elementos de

comunicaciones.

Es importante de todos los eventos de recolección para su

preservación mantener la “cadena de custodia”. Documentar

Quien recoge y manipula la evidencia ?, Como se recoge la

evidencia ?, Desde donde la recoge ?, Cuando fue realizado el

proceso?, y Por que fue realizado el proceso?



En muchos casos cuando las copias bits a bits no son posibles se

siguiere

Notificar la hora y fecha del sistema para el archivo de log

correspondiente

Documentar la localización del archivo, y los datos del metadata

(tamaño, firmas de tiempo)

Utilizar algoritmos de hash para los archivos. MD5

Impresión de los logs en caso de ser pequeños

Tratar de salvar el archivo o logs archivos en otro medio, y

verificar su lectura para futuros usos. Mejor el archivo completo



Para ayudar a documentar y demostrar integridad y autenticidad de la

maquina que recolecta la evidencia en red se debe saber.

Seguir estándares de operaciones

Esencial conservar un registro de las acciones tomadas durante el

proceso de recolección de la evidencia y tomar las pantallas de los

ítems más relevantes

Es necesario documentar que servidor es de donde se esta

extrayendo la información, por que es posible que quien examine

tenga que ir a otro servidor en alguna otra parte.



Calcular las huellas MD5/SHA1 de toda la evidencia antes y

después de transferirla de la máquina remota.

Fírmelos digitalmente, cífrelos y sálvelos en dispositivos de solo

lectura

Trate de utilizar más de una forma de recolectar la información


Examinar y Analizar

Examinar la información es vital

para poder realizar su posterior

análisis.

La profundización en la

examinación de la evidencia

depende en gran medida, del

conocimiento de la escena del

crimen y de las restricciones

colocadas por el investigador.

Este proceso es divido en tres

grandes labores

Clasificación y

Evaluación de la

Fuente

Recuperación

de los datos

Filtraje y

Reducción de

Datos


Filtrado y Reducción de Datos

Cantidades extensas de información que en algunos casos no esta

relacionada con la investigación.

Se debe realizar para obtener la evidencia concluyente e importante.

Para extraer la información relevante de los archivos se debe tener en

cuenta.

Todo los archivos irrelevantes a la investigación. No tenerlos en

cuenta

Enfocar la investigación en los archivos mas probables creados por

los usuarios

Manejar redundancia de archivos

Discrepancias entre las evidencias digitales recolectadas. Ej: MD5


tcpdump –i eth0 tcp[13]==24 and host 172.30.8.54 and host 172.30.4.1 and port 3128tcpdump –i eth0 tcp[13]==24 and host 172.30.8.54 and host 172.30.4.1 and port 3128

Filtrado y Reducción de Datos

Es útil utilizar filtros a nivel de las aplicaciones de recolección de datos

A menudo es muy útil utilizar las técnicas de búsquedas por patrones

dentro de los archivos de logs.

Cat /var/log/messages | grep “\(conecction\|172.30.8.41\)Cat /var/log/messages | grep “\(conecction\|172.30.8.41\)


Clasificación y Evaluación de la Fuente

Cuando se analiza la evidencia es importante responder a las

siguientes preguntas

Que es ?. Permite Identificar y Clasificar la Evidencia

De donde viene ?

El proceso de identificar involucra clasificar basados en características

similares. “class characteristic”

Un ítem es clasificado cuando este puede ser colocado en una clase

de ítems con características similares. (Inman and Rudin 1997)



Cuando se evalúa el origen de una pieza de evidencia, el investigador

compara todos los ítems, determinando si son iguales o parecidos o si

viene del mismo origen

Examina característica por característica para determinar si tienen

relación.

Entre más características en común tenga un ítem y su origen mayor

será la probabilidad de que estén relacionadas.

Los ítems pueden tener características que los diferencien.

“características individuales”.



En los ambientes de red, las clases de características así como las

características individuales, son utilizadas para poder identificar el

origen de la evidencia.

2003-01-23 12:52:40 172.16.1.19 - 192.168.1.3 80 GET /documents/ project21.html - 200 Mozilla/4.75+[en]+(Windows+NT+5.0;+U)2003-01-23 12:52:40 172.16.1.19 - 192.168.1.3 80 GET /documents/ project21.html

- 200 Mozilla/4.75+[en]+(Windows+NT+5.0;+U)

Clases de Características

Clases de Características

Características Individuales

Características Individuales


Recuperación de la Evidencia

Tratar de recuperar archivos de logs y/o eventos de las operaciones de

red

Se deben utilizar las herramientas apropiadas para la recuperación de

dichos datos. Sniffer en el caso de red

Existen hoy en día grandes retos relacionados con el cifrado de los

datos.

Utilización de las técnicas acordes a procedimientos forenses claras

para la obtención de los datos cuando se encuentren cifrados.


Reconstrucción del Escenario

La reconstrucción con lleva a un escenario mas complejo y completo

del incidente. En ella se pueden encontrar respuestas a preguntas

como

Que sucedió ?, Quien ?, Cuando ?, Donde ?, Como ?, y Por Que ?

Existen tres formas de realizar la reconstrucción

Análisis Funcional: De acuerdo a como funcionan las aplicaciones

y/o programas comprometidos, y como generan la evidencia.

Análisis Relacional: Análisis basado en la relación de la evidencia y

la escena.

Análisis Temporal: Análisis que relaciona los eventos y crea

secuencias de acuerdo a los tiempos presentados en los sistemas



En ambientes de red se empiezan los procesos de reconstrucción a

través de los tráficos generados y con ellos revisar si se han

comprometido otros sitios.

La reconstrucción de manera relacional tiene un grado de dificultad

mayor por la variabilidad de sus elementos. Ej: Ips, DNS.

Por lo tanto es necesario examinar todas las alternativas posibles de

evidencia.

Es importante ayudarse de los otros enfoques de reconstrucción de los

escenarios para validar la evidencia que se esta utilizando.

Los ambientes de red generalmente siempre tienen más de un origen

para corroborar los datos.



En algunos casos se recomienda hacer extracción de los datos

relevantes de las evidencias encontradas.

Cuando se manejan volúmenes grandes de datos relacionados con la

re, se recomienda reconstruir escenarios pequeños antes de integrarlo

toda la escena del crimen.

En el caso de los análisis temporales es importante relacionar los

eventos de los diferentes elementos, antes de presentar un resultado

puesto que podría ser pasado por alto. “Fechas de los dispositivos”

Cuando se recolecta la evidencia de los ambientes de red, es posible

identificar los patrones de comportamiento de los ataques y atacantes.

Poder en muchos caso establecer el “modus operandi”


Reporte de resultados

Se debe integrar todo lo

encontrado en un reporte

final que de las

conclusiones de la

investigación.

Pieza clave cuando se

presenta como evidencia

en estamentos legales.

Normalmente un reporte

tiene una estructura

como sigue

Introducción: Quien solicito el reporte, que se buscó,

quien escribió el reporte, cuando y que fue encontrado

Resumen de evidencias: Que evidencias fueron

examinadas, cuando, de donde y cuando se obtuvieron

las pruebas

Resumen de proceso: Que herramientas fueron

utilizadas, que datos fueron recuperados

Examinación de evidencias: Archivos de logs, tráficos

de red o archivos.

Análisis: Descripción del o los análisis realizados

Conclusiones: Resumen que se enlace lógicamente y

se refiera a todas las evidencias recolectadas

Glosario de Términos: Explicación de los términos

técnicos utilizados.

Apéndices: Relación de la evidencia encontrada de

manera numerada y ordenada

Introducción: Quien solicito el reporte, que se buscó,

quien escribió el reporte, cuando y que fue encontrado

Resumen de evidencias: Que evidencias fueron

examinadas, cuando, de donde y cuando se obtuvieron

las pruebas

Resumen de proceso: Que herramientas fueron

utilizadas, que datos fueron recuperados

Examinación de evidencias: Archivos de logs, tráficos

de red o archivos.

Análisis: Descripción del o los análisis realizados

Conclusiones: Resumen que se enlace lógicamente y

se refiera a todas las evidencias recolectadas

Glosario de Términos: Explicación de los términos

técnicos utilizados.

Apéndices: Relación de la evidencia encontrada de

manera numerada y ordenada


Herramientas utilizadas en el proceso

Existen una gran cantidad de

herramientas que ayudan al proceso de

recolección de datos.

Lo importante es entender cual puede

ser su utilidad y cual es el momento

indicado para utilizarlos.

Herramientas de carácter global.

Agrupación de herramientas

Herramientas de carácter individual.

Entre algunas de las herramientas más

utilizadas y su clasificación están

Patrón Función

C Colección y Filtrado de datos

L Análisis de logs

S Reensamble de datos

R Correlación y análisis de múltiples fuentes de datos

A Visores de capa de aplicaciones

W Workflow

Clasificación de Herramientas



Nombre Suministrada por Plataforma Características

TCPDump,Windump http://windump.polito.it http://www.tcpdump.org Linux, Windows C

Ngrep http://ngrep.sourceforge.net *nix C

Network Stumbler http://netstumbler.com Windows C

Kismet www.kismetwireless.net Windows, Linux C

Argus www.qosient.com/argus7/ *nix CL

Flow-tools www.splintered.net/sw/flow-tools/ *nix CL

Flow extract, Flow Scripts http://security.uchicago.edu/tools/net-forensics/ *nix L

Etherape http://etherape.sourceforge.net *nix C

Ethereal www.ethereal.com Windows-Linux CLS

Etherpeek www.wildpackets.com Windows CLS



Nombre Suministrada por Plataforma Características

Flag(Forensic and Log Analysis GUI )

www.dsd.gov.au/library/software/flag/ *nix L

Shadow www.nswc.navy.mil/ISSEC/CID/index.html *nix LS

Sleuth9 www.deepnines.com/sleuth9.html *nix CSR

Dragon IDS www.enterasys.com/products/ids/ *nix CLSR

NSM Incident response www.intellitactics.com Windows CLSRW

neuSecure www.guarded.net *nix CLSRW

NetIntercept www.sandstorm.net Linux box CSRA

NetWitness www.forensicexplorer.com Windows CLSRA

OSSIM www.ossim.net *nix CLSRA

SGUIL http://sguil.sourceforge.net/ *nix, Windows CSR



Algunas otras herramientas que ayudan en el proceso de

recolección de la información.

Nessus. www.nessus.org

Nmap. www.insecure.org

También existen las llamadas distribuciones booteables, que

son definidas como el conjunto de herramientas en el

proceso forense. FIRE,Sleuth,Helix,Plan-B

Dentro del conjunto de herramientas existen dos

herramientas que se consideran vitales para el manejo de

incidentes y análisis forense.

IDS/IPS

Honeytrap


IDS

Considerada de las herramientas de nuestro arsenal la más poderosa.

Por las operaciones que realiza.

Herramienta de apoyo en los procesos de seguridad

Recolección de Información

Basado en el análisis de la información contra patrones previamente

definidos

Tengo como objetivo primario el de informar, puede llegar a tomar

medidas (IPS)


IDS

Dentro de las funciones básicas de un IDS están

Monitorea las actividades a nivel de usuario o procesos y actividades

de un sistema (HIDS), o las actividades de una red (NIDS)

Basa su trabajo en los estándares de protocolos construidos. Cifrado

de datos uno de los retos actuales

Debe garantizar el 100% de confianza en los reportes presentados.

Falsos positivos

Hace un diagnostico completo del ataque

En algunos casos puede dar recomendaciones de cómo controlar el

ataque


IDS

IDS

Red InternaInternet

Router

Firewall

DMZNetwork

WWWServer

Desktop

RedInternaInternet

Router

Firewall

DMZNetwork

WWWServer

Desktop

IDS


Honeytrap

Sistemas diseñados para ser comprometidos

Su característica principal es que no tendrán datos reales o información

relevante

Su objetivo principal es el recolectar, capturar y analizar los datos en

orden para aprender sobre los ataques realizados en una red.

Están dividido en dos clases o grupos

Honeypots: Máquinas con servicios activos, aislados con el objetivo

de atraer a los atacantes, y capturar las actividades realizadas por

ellos

Honeynets: Redes donde se encuentran sistemas de producción y

honeypots interconectados, con el objetivo de recoger, analizar la

información de un ataque, para aprender de el


Validez Jurídica

La evidencia digital deben cumplir con algunos requerimientos para

tener validez jurídica

Autenticidad: La evidencia no ha sido modificada

Precisión: Tanto las herramientas, como los procedimientos no

deben presentar dudas, además debe estar relacionada con el

incidente

Suficiencia: Debe mostrar todo los eventos que relacionan a un

incidente


Validez Jurídica

En colombia la Ley 527. Art. 10, referencia la fuerza probatorio de los

mensajes de datos

La ley 527. Art. 11, Presenta los criterios probatorio de los mensajes de

datos. “confiabilidad en la forma que se generó la evidencia”,

“confiabilidad en la forma en que se conservó la evidencia” y la

“confiabilidad en la forma en como se identificó al autor”

Sentencia No. C-662 de junio 8 de 2000, da el mismo valor de peso a la

evidencia digital frente a otros medios probatorios existentes.


Conclusiones

Grandes retos por parte de los investigadores forenses frente a los modelos

de red de hoy y sus posibles situaciones. Spoofing, Robo de Identidad.

Complejidad de los protocolos y a su vez inseguridad de los mismos,

naturaleza volátil de las conexiones

Los investigadores deben ser muy cuidadosos en las formas como recojan la

evidencia en ambientes de red, para darle un peo y valor probatorio

Uno de los grandes retos en estos escenarios es el dinamismo y multiplicidad

de ambientes a los que se enfrenta un investigador forense.

Nuevamente la educación y formación en estos temas es de gran ayuda para

poder enfrentarse a estas situaciones


Conclusiones

En muchos casos muchos de estos delitos son cometidos desde punto fuera

de control “Café Internet”, haciendo que la investigación pueda llegar a

hasta este punto. No existe una normativa vigente de mayor control para

este tipo de situaciones.

Independiente de la legislación sobre la que se encuentre debe haber un

manejo adecuado de la evidencia.

Dada la gran proyección de delitos que día a día se comente deberían existir

mayores proyecciones en la presencia de procedimientos forenses en

informática para contrarrestar esta situación.

Fortalecer la utilización y creación de los grupos de manejo de incidentes

que ayuden en el proceso.


I. Jhon R. Vacca (2002). Computer Forensic: Computer Crime Scene Investigaction. Charles Rivera Media

II. Eogan Casey (2004). Digital Evidence and Computer Crime: Forensic Science,

Computers and Internets. Second Edition. Academic Press

III. Julie Lucals, Brian Moller (2003). Effective Incident Response Team. Addison

Wesley

IV. Douglas Schweitzer (2003). Incident Response: Computer Forense Toolkit.

Wiley

V. Debra Littlejohn Shinder (2002). Scene of the cyber crime: Computer Forensic

Handbook. Syngress.

VI. Evidencia Digital en el contexto colombiano. Consideraciones técnicas y

Juridicas para su Manejo. Daniel A. Torres, Jeimy J. Cano, Sandra Rueda

Referencias


VII. Honeytraps, A Network Forensic Tool. Alec Yasinac y Yanet Manzano

VIII. A Framework of Distributed Agent-Based Network Forensic System. Dr Ren

Wei

Referencias

Documents

Recolección de Evidencia en Ambientes de Red Es común encontrar estas preguntas, cuando se ha perpetrado un ataque Que fue lo que hicieron..... Como