sábado, 9 de enero de 2016

Análisis Forense Digital I


Hoy vamos a dar inicio a una serie de artículos de relacionados la informática forense, seguro que para muchos será ya algo conocido, pero sin duda alguna para otros será el inicio en este rama de la informática.

Si bien existe toda una teoría que definitivamente no debe ser “saltada” vamos a tratar de resumir un poco sobre las fases de un análisis forense digital. Primero lo primero la definición:

Análisis forense digital

"Se considera como la aplicación de la ciencia en la identificación, recolección, examinación y análisis de los datos preservando la integridad de la información y mantener una estricta cadena de custodia para los datos."



Preservación

Etapa fundamental donde se debe garantizar que no se pierda las evidencias (datos, información) que van a ser adquiridas o recopiladas para su análisis. En esta etapa aparecen aspectos críticos como el de apagar o encender un equipo o dispositivo, la correcta rotulación de los elementos que posteriormente serán analizados, la preservación de la memoria volátil.

Esta etapa da inicio a lo que se conoce como la “cadena de custodia” un documento donde se mantiene un registro continuo donde se debe detallar todos los movimientos realizados con los dispositivos a fin de preservar una validez jurídica.

En el caso de que los elementos o dispositivos deberían ser transportados, esto debe ser realizado con sumo cuidado y evitar en el transcurso la información o los datos contenidos sean alterados.

Adquisición

Etapa en la cual se recopilan las evidencias, una evidencia puede ser definida como cualquier prueba que en caso de ser necesario puede ser presentada en un proceso legal y la misma tendría valor legal. La evidencia debe tener estrictamente las siguientes características: admisible, autentica, completa, creíble, confiable.

Podemos inferir que existen dos tipos de evidencias las físicas y digitales. En el tipo de evidencia física podemos encontrar: discos duros, dispositivos de almacenamiento móviles, cualquier dispositivo que almacene información.

En el caso de la evidencia digital podríamos definir algunas como: archivos, procesos, conexiones, Archivos temporales, entrada de registros, bitácoras (logs, eventos).

Análisis

Como el nombre lo indica, etapa importante donde se debe analizar toda la evidencia adquirida o recolectada en las anteriores etapas. Punto importante a tomar en cuenta; ya entrando en lo técnico se debe considerar el tipo de incidente, la arquitectura del sistema operativo, el sistema de archivo esto determinara las herramientas, técnicas y artefactos a analizar.

Documentación

Algo fundamental en el proceso del análisis forense digital es la documentación detallada y metódica de todo lo realizado, en este caso debemos concluir desde dos puntos de vista técnico y ejecutivo. Fotografías, cadena de custodia, línea de tiempo de lo sucedido.

Presentación

Aquí se define todo tu trabajo realizado, no importa la cantidad de hojas, las técnicas de samurái utilizadas para el análisis digital de las evidencias sino se presentan conclusiones claras, precisas y entendibles, en caso de un dictamen pericial no podemos presentar algo tan técnico ya que las personas no tendrán las habilidades para entender (no es su obligación).
  

Espero que sirva de ayuda esta introducción, las siguientes entradas ya no serán "teóricas", si tienes consultas no dudes de hacerlas, deja tu comentario que responderemos todas tus inquietudes.

I.A


1 comentario: