Facultad de Ciencias Fisico-Matematicas.

LSTI Nombre: Aln Yatzael Maldonado Obregn. Matricula: 1388744 Materia: Normatividad y Regulaciones

23-Feb-12

ACPI
ACPI es una especificacin industrial abierta que define interfaces estndar para hardware y software que pueden ser usadas por el sistema operativo para la configuracin de dispositivos y gestin de consumo. Define un conjunto de pautas, destinadas a facilitar la configuracin directa, tanto de gestin de potencia como de gestin trmica de ordenadores de sobremesa, porttiles, servidores, y dispositivos Plug & Play y a permitir el paso a estados de menor consumo de los diferentes componentes del sistema en periodos de inactividad. Estructura ACPI. ACPI es una capa de abstraccin, que garantiza que el hardware y el software estn sincronizados y que evolucionen independientemente. La especificacin ACPI se divide en dos partes: configuracin y gestin de potencia. La gestin de potencia ser controlada por los sistemas operativos y por los controladores (drivers) de dispositivos, que son los encargados de decidir cundo apagar dispositivos que no estn en uso y cundo llevar al sistema completo a hibernacin / letargo (sleep). La BIOS proporcionar al sistema operativo el acceso a los controles hardware que gestionan potencia en el sistema, existiendo una nica interfaz de usuario para controlar la potencia que funciona en todos los sistemas ACPI. El sistema operativo podr acceder, mediante un controlador ACPI, a los registros y tablas que proporcionan las capacidades de consumo de las componentes del hardware, permitiendo gestionar su configuracin en funcin de las demandas particulares del sistema. Estados del consumo de la energa. La especificacin ACPI define seis posible estados, denominados S0-S5, cada uno de los cuales supone un consumo menor que el anterior. El paso de un estado a otro puede ser de forma manual o de forma automtica. La figura mostrada representa los estados definidos en el estndar ACPI y transiciones entre los mismos S0 (Work State o estado de trabajo). Corresponde al estado de trabajo del ordenador. La CPU est activa y procesando, y los dispositivos pueden estar activos o no dependiendo de las necesidades de cada momento y de sus posibilidades. S1 (Sleep State 1 o estado de suspensin 1). La CPU est parada, pero la RAM permanece refrescndose. Este es el estado que normalmente se conoce como POS (Power On Suspend) y viene asociado a la opcin Stand-by o Suspender de Windows.

S2 (Sleep State 2 o estado de suspensin 2). El estado de la CPU y de la memoria cach no se conserva. El contenido de la RAM se sigue refrescando y el sistema se mantiene trabajando en un modo de bajo consumo, similar al de S1. S3 (Sleep State 3 o estado de suspensin 3). El contexto de la cach y del chipset no se conserva. La RAM se refresca de un modo mucho ms lento y la fuente de alimentacin normalmente entra en un modo de baja potencia. El hardware mantiene la memoria del sistema y restaura algunos datos de la CPU y de la memoria cach.

S4 (Sleep State 4 o estado de suspensin 4). En este estado el consumo de

energa se reduce al mnimo y se mantiene el contexto de la plataforma. Este modo es tambin conocido con las siglas STD (Suspend To Disk). Permite que al apagar el sistema se almacene todo el contenido de la RAM en disco, por lo que al iniciar de nuevo el mismo se encontrarn todas las aplicaciones y los datos tal y como se dejaron antes de apagar, incluso en el caso de que no se hubieran salvado los documentos abiertos. STD presenta tiempos de apagado y encendido largos, sin embargo, presenta un menor consumo de energa que en el estado de suspensin 3, pues no es necesario refrescar de forma peridica el contenido de la RAM y no se ve afectado por un corte en el suministro elctrico. S5 (Soft Off o apagado). El hardware y el sistema operativo estn apagados. No se mantiene ningn dato y se requiere de un arranque completo para activar el sistema.

RFC 3227
De acuerdo con este documento, la idea es ofrecer a los administradores de sistemas guas para adelantar la recoleccin y manejo de evidencia digital relevante a un incidente de seguridad. Tal recoleccin representa un esfuerzo considerable de parte de los administradores, dada la carga de las labores que desarrollan y los esfuerzos de afinamiento constante de los servicios y aplicaciones de las cuales son responsables. Si la evidencia es recogida de una manera adecuada, habr mayores posibilidades de establecer una ruta hacia los atacantes y contar con mayores elementos probatorios en el evento de una persecucin y juzgamiento del intruso. Mantenga adherencia estricta a su poltica de seguridad organizacional y su relacin formal con el equipo de atencin de incidentes y las personas responsables del campo jurdico. Capture la escena del incidente lo ms preciso posible.

Mantenga notas detalladas. Estas deben incluir fechas y horas. Si es posible generar un reporte automtico, es decir contar con un script, que pueda ser usado para generar un archivo como parte de la evidencia. Establezca las diferencias entre el reloj del sistema y la hora de referencia internacional, GMT. Est preparado para testificar (posiblemente aos despus) detallando las acciones adelantadas y en qu momento. Sus notas detalladas son vitales. Minimice los cambios en los datos que ha recolectado. Debe evitar la actualizacin de horas o fechas en archivos y directorios. Remueva posibles formas externas de modificacin de la informacin Primero recolecte la informacin y luego analice sus hallazgos. Aunque usted necesita indicar que sus procedimientos de atencin de incidentes son realizables, debe asegurar su viabilidad y funcionamiento en una crisis. En la revisin de cada dispositivo o mecanismo presente en el incidente, se debe seguir un acercamiento metdico para la recoleccin de evidencia. La rapidez y claridad es crtica para una adecuada y oportuna recoleccin de evidencia. Es importante efectuar este procedimiento gradualmente. Proceda recolectar la evidencia desde la voltil a la menos voltil: Registros, cach Tablas de enrutamiento, cache de arp, tabla de procesos, estadsticas del kernel, memoria Sistema de archivos temporales Diskettes Registro remoto y datos de monitoreo relevante al sistema en estudio Configuracin fsica, Topologa de la red Medios de almacenamiento Si usted va adelantar un anlisis forense debe hacer una o varias copias bit a bit del medio de almacenamiento, con el fin de utilizar una de las copias para efectuar sus anlisis, preservando el medio original.

No apague el sistema hasta que la recoleccin de la evidencia se halla completado. Mucha evidencia se puede perder y el atacante puede haber alterado el proceso de inicio/apagado y las rutinas de inicio de los servicios para destruir la evidencia. No confe en los programas del sistema. Ejecute programas de recoleccin de evidencia apropiados, que protejan adecuadamente los medios originales. No ejecute programas que modifiquen las fechas de acceso a todos los archivos del sistema. Cuando remueva dispositivos de acceso externo, note que una simple desconexin o filtro de la red puede disparar la alarma de switches cados que una vez detectados pueden eliminar evidencia en la red. Como se puede observar el RFC 3227 ofrece una gua genrica que puede ser utilizada como marco conceptual bsico para incorporar en las organizaciones al crear grupos de atencin de incidentes. Si bien, los documentos anteriores ofrecen un camino para enfrentar los posibles incidentes de seguridad en las organizaciones con relacin a la tecnologa, en el mundo legal, la problemtica contina. Particularmente, la falta de una adecuada formacin en tecnologa de los jueces y fiscales, y escasa legislacin sobre la materia, hace que los posibles incidentes de seguridad que conlleven a daos en las propiedades de las personas jurdicas y naturales, puedan quedar en la impunidad. Por tanto, se hace necesario que el aparato judicial desarrolle una estrategia de formacin y entrenamiento para comprender la delincuencia en medios tecnolgicos, con el fin de conocer las maneras de vulnerar los bienes jurdicamente tutelados y adelantar esfuerzos en la formulacin de un discurso probatorio en informtica, que permita a los fiscales conceptuar sin ambigedad sobre la pertinencia y veracidad de la informacin en medios tecnolgicos.