UNIDAD 1.
FUNDAMENTOS DE LA INFORMÁTICA FORENSE
La Informática forense es una nueva disciplina dedicada a la recolección de pruebas digitales desde una maquina computacional para fines judiciales mediante la aplicación de técnicas de análisis y de investigación.
 |
El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada y minuciosa para reconstruir a través de todos los medios el log de acontecimientos que tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro hasta el momento de detección de un estado comprometedor.
La investigación en informática forense es una ciencia que permite la aplicación de herramientas informáticas que forman parte importante de la consecución de evidencias en la escena del crimen cuyo contenido se basa en la parte vivencial, estrategias metodológicas, y aspectos que contribuyen a la formación de un investigador.
Los delitos informáticos son “toda conducta que revista características delictivas, es decir, sea típica, antijurídica y culpable, y atente contra el soporte lógico de un sistema de procesamiento de información, sea sobre programas o datos relevantes, a través del empleo de las tecnologías de la información, y el cual se distingue de los delitos computacionales o tradicionales informatizados” estos a su vez llegan a clasificarse en fraudes cometidos mediante manipulación de equipos informáticos, falsificaciones informáticas, daños a datos computarizados; también existen tipos de delitos informáticos como los hacking, cracking, phreaking, carding.
La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente en computadores para ser a continuación impresos.
Se evidencian una serie de fases que llevan a una investigación real y verídica como son la de identificación, validación y preservación, análisis, documentación y presentación de pruebas todas ellas con una serie de procesos en base a todos ellos se destaca la importancia que tiene la informática forense mediante un adecuada recolección de pruebas digitales, aplicando técnicas de análisis y de investigación encontrando las causas de un delito informático.
UNIDAD 2.
ANÁLISIS DE LAS EVIDENCIAS Y HERRAMIENTAS COMPUTACIONALES PARA INFORMÁTICA FORENSE.
Hoy en día la computación forense tiene gran importancia dentro del área de la informática cumple un papel importante ya que al realizar un crimen la información o registros de las actividades queda almacenada en forma digital, y esta a su vez puede ser utilizada como prueba relevante; igualmente permite resolver y aclarar las acciones no autorizadas en el sistema, e identificar entre otras cosas los causantes del ataque y los efectos causados dentro de los sistemas informáticos.
Con la informática forense se puede identificar aquellos sistemas que ha sido manipulado por intrusos y preservarlos sin alteración alguna por ningún proceso accidental o intencional que sea objeto de una investigación forense y comprender todos los métodos utilizados para el análisis forense hasta encontrar la manipulación o alteración de la información.
El principio rector de la informática forense es reunir las posibles pruebas que luego serán analizadas y presentadas a un tribunal para demostrar la presencia de una actividad ilegal. Es importante aclarar que la información en un caso de informática forense no haya alteración, daño o alteración de los datos recolectados. El primer paso para llevar a cabo un análisis forense adecuado es recopilar evidencia informática.
Para resolver un caso de seguridad informática se tienen en cuenta; Antecedentes que describen la información que existe del sistema afectado una vez detectado el incidente; Entorno de investigación que detalla la arquitectura del entorno para la realización del análisis forense usado para la investigación; Preparación del proceso de análisis: para lograr descripción del entorno en el proceso de investigación; Cronología de actividades: para describir todas las actividades realizadas por los atacantes en forma secuenciada, desde el inicio del ataque hasta la realización de la imagen del sistema; Análisis de ficheros encontrados: se muestran los ficheros creados en el sistema como consecuencia del ataque, indicando su objetivo; Análisis del sistema de Información involucrados: se muestra la información obtenida de los Sistemas de Información que se han implicado en el incidente y por ultimo las conclusiones: se resumen los principales puntos modificados en el sistema
En un caso de ataque informático, se puede presentar de diferentes maneras según la ley 1273 de 2009 en Colombia, de acuerdo al ataque se origina el delito informático, una vez determinado el ataque se hace necesario establecer el tipo de fraude se desea comprobar para esto se hace necesario realizar un análisis a los equipos computacionales involucrados para obtener las pruebas suficientes que demuestren el fraude, los aspectos más relevantes para iniciar la investigación en su orden está el Levantamiento de Información: a partir de la evidencia recolectada se levanta la información relacionada; Aislamiento del sistema afectado: Se procede al aislamiento del sistema afectado y todos los elementos cercanos y relacionados, con el fin de prevenir la corrupción de la evidencia y tener un entorno limpio para trabajar; Inspeccionar del sistema operativo instalado para determinar la forma de apagado del sistema; Apagar el sistema de acuerdo a las condiciones dadas para cada sistema operativo; Recolectar la evidencia: Se procede a recolectar la evidencia encontrada, además de su correspondiente etiquetado e identificación, almacenamiento y cadena de custodia; Crear las imágenes de los dispositivos encontrados en la escena del incidente; Definir la cadena de custodia: Se procede a definir y/o establecer la cadena de custodia para la evidencia recolectada, Documentar el proceso de recolección de evidencia: En presencia de un testigo por parte de la compañía afectada se procede a documentar todo el proceso mediante registro escrito y fotográfico; Analizar la evidencia: Con la evidencia recolectada se procede a realizar un análisis de la misma
El aspecto más importante a la hora de recolectar evidencia, es la preservación de la integridad de la misma; en el caso particular de que la información almacenada en medios magnéticos sea de naturaleza volátil, hace que dicha labor sea particularmente difícil; la recolección de la evidencia electrónica puede ser costoso en términos de horas - hombre y del tiempo de inactividad del sistema, ya que los procesos de recolección pueden consumir mucho tiempo y los sistemas involucrados pueden no estar disponibles para su uso normal durante un tiempo prolongado mientras se llevan a cabo la recopilación y análisis de los datos.Lo que hacen los sniffers es analizar el tráfico en un segmento de red Ethernet escuchando el tráfico de red, al ejecutar un sniffer en una red se pueden recoger pruebas de intrusión en un sistema informático, hay muchos sniffers entre los cuales se tiene, los Snort: programa de código abierto (freeware) de intrusiones de red del sistema de detección de Unix y Linux, es capaz de realizar análisis en tiempo real del tráfico y paquetes sesión en las redes IP. Mientras que sobresale como un sistema de detección de intrusiones, también puede ser utilizado como un analizador de paquetes y los Ngssniff: es pequeño y fácil de usar, captura de paquetes de red y el programa de análisis. Se requiere Windows 2000 o XP para operar y permite a los usuarios capturar, guardar, y analizar el tráfico de red.
Dentro de las herramientas para crear imágenes de disco se encuentran entre las pocas que en la actualidad cumplen con los requisitos dispuestos por el NIST: Linux dd es una utilidad gratuita para cualquier sistema Linux que crea la imagen y copia de todos los sectores en todos los discos duros SCSI e IDE y SnapBack DatArrest, por Columbia Data Producís, Inc. (CDP), es una completa aplicación para crear imágenes de disco se ejecuta desde un solo disquete. Según su fabricante, se puede acceder a datos a una velocidad de hasta 300MB por minuto, así como también crear una copia de seguridad para DOS, Windows, Windows 95, Windows NT, y Unix, los detalles adicionales.
No hay comentarios.:
Publicar un comentario