Informática Forense
La Informática Forense, aplicando procedimientos estrictos y rigurosos ayuda a resolver grandes crímenes apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales.
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional [ReEx00].
La informática forense hace entonces su aparición como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proce[Acis06].
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.
Dentro de lo forense encontramos varias definiciones [Acis06]:
Computación forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos.
Principios forenses
Existe un número de principios básicos que son necesarios al examinar un computador o un cadáver. Estos principios son:
· Evitar la contaminación
· Actuar metódicamente
· Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia
· Actuar metódicamente
· Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia
Evitar la contaminación
En televisión salen los examinadores forenses ataviados con batas blancas y guantes, cogiendo todas las pruebas con pinzas y poniéndolas en bolsa de plástico selladas. Todo ello es para prevenir la contaminación. Aquí es donde las evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y deja sus huellas digitales en la hoja del cuchillo (¿te acuerdas de la película del Fugitivo? Piensa en los problemas que llegó a tener!).
Actuar metódicamente
En cualquier cosa que se haga, si tuvieras que ir a un juicio, necesitarías justificar todas las acciones que hayas tomado. Si actúas de una manera científica y metódica, tomando cuidadosas notas de todo lo que haces y cómo lo haces, esta justificación es mucho más fácil. También permite a cualquier otra persona poder seguir tus pasos y verificar que tú no has cometido ningún error que pueda poner en duda el valor de tu evidencia.
Cadena de Evidencias
Siempre se debe mantener lo que se denomina la Cadena de Evidencias. Esto Significa que, en cualquier momento del tiempo, desde la detección de la Evidencia hasta la presentación final en el juicio, puedes justificar quién ha Tenido acceso y dónde ha sido. Esto elimina la posibilidad de que alguien haya Podido sabotearlo o falsificarlo de alguna manera.
Metodología Forense
Como en todo proceso de análisis existe una metodología a seguir que nos marca los pasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y con unos resultados altamente fiables.
Estudio preliminar:
En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red, etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir para llegar a buen puerto.
En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red, etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir para llegar a buen puerto.
Adquisición de datos:
En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio. Para esta fase la forma más común de realizarlo es mediante el comando `dd' de Linux, que nos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entonces no tenemos más remedio que recurrir al uso de la cámara blanca.
En esta fase ha de estar presente un notario para dar fe de los actos realizados.
En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio. Para esta fase la forma más común de realizarlo es mediante el comando `dd' de Linux, que nos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entonces no tenemos más remedio que recurrir al uso de la cámara blanca.
En esta fase ha de estar presente un notario para dar fe de los actos realizados.
Análisis
Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar una lectura a nivel físico y determinar la solución mediante los bits.
Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar una lectura a nivel físico y determinar la solución mediante los bits.
Presentación
Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos al cliente. Si éste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez.
Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos al cliente. Si éste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez.
La Evidencia Digital
La Evidencia Digital o la prueba electrónica es cualquier valor probatorio de la información almacenada o transmitida en formato digital de tal manera que una parte o toda puede ser utilizada en el juicio .
Antes de aceptar la evidencia digital un tribunal determinará si la prueba es pertinente, auténtica, si es un rumor y si es aceptable una copia o el original es requerido.
Cuando hablamos de Relevancia en términos legales, es la tendencia de un determinado artículo de la evidencia para probar o refutar uno de los elementos legales del caso, o para tener valor probatorio para hacer uno de los elementos del caso más probable o no. Probatorio es un término usado en la ley para significar "que tiende a demostrar." Pruebas: "busca la verdad".
Por lo general en la legislación, la evidencia que carece de valor probatorio (no tiende a probar la proposición para que se le ofrecía) es inadmisible y las reglas de evidencia permiten que sea excluida de un procedimiento o afectadas por el expediente u objetada por oposición un abogado. Una prueba digital puede ser aceptada si el valor de la misma puede ser sopesado frente a su naturaleza perjudicial.
Herramientas Análisis Científico
Dado que la mayoría de nosotros usamos un sistema Windows de algún tipo, que tiene sentido mirar a través de algunas herramientas simples para hacer análisis forense en contra de un sistema para ver si estaba comprometida.
Herramientas y Técnicas
Una de las primeras cosas que tendríamos que hacer es sacar una imagen del sistema comprometido. Live View , una utilidad de código abierto, crea una máquina virtual fuera del sistema existente. Y si no VMware Workstation 5.5 o 1.x Server, lo descargará para usted.
Crea un disco virtual del sistema que le permite investigar de manera segura una copia del sistema sin interferir en nada instalado. En otra fase, se puede usar VMware Converter para crear un vmdk (el disco de máquina virtual) para su uso en las versiones más recientes del servidor o estación de trabajo.
Una vez que haya reiniciado el sistema, a continuación, puede descargar StartupList . Esta es una gran manera de comenzar la investigación de un sistema y determinar qué cosas podrían haber sido potencialmente puestas en el sistema al reiniciarse el sistema. Por supuesto, usted puede usar HijackThis como una herramienta adicional y descartar malware evidente u otros elementos que se atan en el Registro.
El siguiente truco es determinar qué archivos adicionales, que no sea el habitual, están abiertos. En Linux usamos lsof, que enumera los archivos abiertos, pero para Windows, por defecto, no hay un mandato similar. En cambio, hay OpenFilesView , un ejecutable de Windows que muestra todos los archivos y procesos - tanto locales como de red - en el sistema.
Mientras que se está ejecutando, Wireshark puede dejar de revisar todo el tráfico de red para ver si algo inesperado se envió a otro lugar. Si es así, vale la pena habilitar un cortafuegos para bloquear el tráfico o mejor aún, simplemente quite el cable de red para evitar la posibilidad de salida de la información, la propiedad intelectual o robo del sistema.
DERECHOS DEL AUTOR PERTENECE A:
http://www.informaticaforense.com.co/index.php
0 comentarios:
Publicar un comentario