DESARROLLO DE UN CASO DE INFORMÁTICA FORENSE
Después de la BIOS, el sistema operativo (SO) es el primer programa de software que se encuentra cuando se enciende un computador, el sistema operativo permite que las aplicaciones (programas) se comuniquen con el equipo y entre otros programas a un nivel básico. Hay esencialmente dos tipos de sistemas operativos, los dirigidos hacia el usuario doméstico y los orientados a las empresas o usuarios avanzados. Si bien todos los sistemas operativos actuales ofrecen alguna medida de seguridad, son los sistemas operativos de red los que poseen las capacidades más grandes de seguridad.
El principio rector de la informática forense es reunir las posibles pruebas que luego serán analizadas y presentadas a un tribunal para demostrar la presencia de una actividad ilegal. Es importante aclarar que la información en un caso de informática forense no haya alteración, daño o alteración de los datos recolectados. Crear una imagen del disco indica que se hace una copia espejo o una reproducción de los datos contenidos en el disco duro. Las siguientes herramientas para crear imágenes de disco se encuentran entre las pocas que en la actualidad cumplen con los requisitos dispuestos por el NIST:
• Linux dd es una utilidad gratuita para cualquier sistema Linux que crea la imagen y copia de todos los sectores en todos los discos duros SCSI e IDE. Esta utilidad incluye un mecanismo de MD5, Linux dd se puede encontrar en www.redhat.com.
• SnapBack DatArrest, por Columbia Data Producís, Inc. (CDP), es una completa aplicación para crear imágenes de disco se ejecuta desde un solo disquete. Según su fabricante, se puede acceder a datos a una velocidad de hasta 300MB por minuto, así como también crear una copia de seguridad para DOS, Windows, Windows 95, Windows NT, y Unix, los detalles adicionales y los precios pueden ser encontrado en www.snapback.com.
Iniciar un caso de informática forense.
Un caso de ataque informático, se puede presentar de diferentes maneras según la ley 1273 de 2009 en Colombia, de acuerdo al ataque se origina el delito informático, una vez determinado el ataque se hace necesario establecer que tipo de fraude se desea comprobar para esto se hace necesario realizar un análisis a los equipos computacionales afectados para obtener las pruebas suficientes que demuestren el fraude, los aspectos más relevantes para iniciar la investigación en su orden:
1. Inspeccionar el sistema operativo instalado para determinar la forma de apagado del sistema
2. Apagar el sistema de acuerdo a las condiciones dadas para cada sistema operativo
3. Aislar los equipos informáticos, medios de almacenamiento y anotaciones
4. Crear las imágenes de los dispositivos encontrados en la escena del incidente
5. Determinar la cantidad de Información a recolectar.
6. Documentar todas las acciones realizadas anteriormente
Donde buscar evidencia.
Evidencia Digital Almacenada en Dispositivos
Cuando se presenta el caso en que la evidencia está en formato digital el objetivo de la investigación debe ser el contenido del computador, no el hardware. Hay dos opciones cuando se recolecta evidencia digital: copiar todo, o sólo copiar la información necesaria.
Evidencia Digital en Redes Otra categoría de evidencia que puede ser recolectada en el caso de los crímenes informáticos es la evidencia presente en las redes. Todo el flujo de información que corre a través de una red, sea interna o externa a una organización o aún en Internet podría contener evidencia potencialmente útil a la hora de investigar un delito informático.
Recolección: Tal y como se a mencionado con anterioridad, en lo referente a la cadena de custodia que se puede aplicar a la evidencia forense, la recolección adecuada de los rastros de evidencia implica establecer un mecanismo el cual asegure a quien debe realizarse la evaluación y el juicio, que los elementos ofrecidos como prueba documental informática, son confiables, esto quiere decir que durante su recolección o manipulación para su análisis, no han sufrido alteración o adulteración alguna
Resguardo y traslado de las pruebas
Cuando el proceso de recolección finaliza se debe continuar con el procedimiento para el resguardo de la prueba y preparación para su traslado, para lo cual es necesario, seguir los siguientes pasos:
1. Proceda al apagado del equipo, mediante el uso del comando de apagado de la distribución CAINE, en la opción de finalización con expulsión del CD.
2. Desconecte el bus de datos y la alimentación del disco duro o retire el PenDrive u otro dispositivo.
3. Ubíquese en una zona despejada, para realizar el proceso de rotulado y registro.
Análisis: Para el análisis de la información existen diferentes técnicas que pueden ser aplicadas, las cuales dependen de la información que se desee recolectar, como se esta haciendo uso de la distribución CAINE, se empleara el software Autopsy para el análisis de las evidencias recolectadas a continuación se presenta en detalle los pasos a seguir para realizar el proceso según sea el tipo de datos que se busca identificar.
No hay comentarios:
Publicar un comentario