RECOLECCIÓN DE EVIDENCIA DIGITAL.
Estrategias para la recolección de pruebas electrónicas
Llevar un orden de recopilación de información: Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos
Buscar la evidencia: Determinar dónde puede estar la evidencia que se esta buscando y si esta se encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado de verificación que puede ayudar en el proceso de recolección, comprobando que todo lo que se está buscando este en el sistema
Determinar la relevancia de los datos: Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso, para estar seguro, se debe recopilar toda la información necesaria y no excluir ninguna prueba que tenga afinidad con el caso reportado, es necesario trabajar rápido y no perder tiempo recogiendo información que no será de utilidad para el caso.
Determinar la volatilidad de la información: Una vez que se haya determinado en qué lugares se va ha buscar la información, también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información
Eliminar la interferencia exterior: Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación, en algunos casos los atacantes pueden instalar un interruptor que puede borrar evidencia una vez el equipo se desconecta de la red o de Internet.
Recoger la evidencia: Para iniciar el proceso de recolección puede utilizar todas las herramientas de software disponibles para esta tarea, recuerde que existen programas libres y propietarios que ayudan a esta tarea
Documentar todas las acciones realizadas: En los litigios legales cualquier método de recolección de evidencia que se presenta podrá ser puesto en duda, por lo cual es indispensable mantener un registro de todo lo que se hace en el proceso de recolección
Orientaciones para Recolección de Evidencias
El procedimiento para la recolección de evidencia varía de país a país, sin embargo, existen unas guías básicas que pueden ayudar a cualquier investigador forense.
Cantidad de Información recolectada: La primera gran decisión que se debe tomar a la hora de recolectar evidencias, es la cantidad. Un investigador podría estar tentado a llevarse todo el equipo computacional que encuentre en la escena, con el fin de no arriesgarse a dejar piezas de información potencialmente importantes
Cuidados al Hardware: Es uno de los elementos que se debe tener en cuenta a la hora de la recolección de evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto del crimen.
Volatilidad de la evidencia
Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos, por lo cual se debe tener en consideración las siguientes apreciaciones:
La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios, Cada paso podrá destruir la información, por lo que todas las medidas que tome deben ser bien aplicadas la primera vez o se puede perder mucha información valiosa.
Recomendaciones Generales
El proceso de recolección de evidencia electrónica puede ser costoso en términos de horas - hombre y del tiempo de inactividad del sistema, ya que los procesos de recolección pueden consumir mucho tiempo y los sistemas afectados pueden no estar disponibles para un uso normal durante un tiempo prolongado mientras se llevan a cabo la recopilación y análisis de los datos.
Análisis de la Evidencia Recolectada
Recolección: La recolección de evidencia informática es un aspecto frágil del la informática forense porque requiere de prácticas y cuidados adicionales que no se tienen en la recolección de evidencia convencional.
Con el fin de resolver un delito informático o violación a los sistemas con eficacia, es necesario examinar el sistema más como un detective que como un usuario de computador, en este sentido se debe examinar cada elemento con cuidado ya que pueden presentar información que nunca se pueda recuperar si se ha hecho alguna manipulación sobre los elementos, por lo cual se debe tener en consideración las siguientes apreciaciones:
La evidencia desaparece con el tiempo, ya sea como resultado de la actividad normal del sistema o como resultado de los actos de los usuarios, Cada paso podrá destruir la información, por lo que todas las medidas que tome deben ser bien aplicadas la primera vez o se puede perder mucha información valiosa.
Recomendaciones Generales
El proceso de recolección de evidencia electrónica puede ser costoso en términos de horas - hombre y del tiempo de inactividad del sistema, ya que los procesos de recolección pueden consumir mucho tiempo y los sistemas afectados pueden no estar disponibles para un uso normal durante un tiempo prolongado mientras se llevan a cabo la recopilación y análisis de los datos.
Análisis de la Evidencia Recolectada
Recolección: La recolección de evidencia informática es un aspecto frágil del la informática forense porque requiere de prácticas y cuidados adicionales que no se tienen en la recolección de evidencia convencional.
Análisis: Antes de iniciar esta fase se deben preparar las herramientas técnicas, autorizaciones de monitoreo y soporte administrativo, para iniciar el análisis forense propiamente dicho cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de
acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento
acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento
Reconstrucción de la secuencia temporal del ataque: Si ya se tienen montadas las imágenes del sistema atacado en una estación de trabajo independiente y con un sistema operativo anfitrión de confianza, se procede con la ejecución de los siguientes pasos:
1. Crear una línea temporal o timeline de sucesos, para ello se debe recopilar la siguiente información sobre los ficheros:
2. Ordenar los archivos por sus fechas MAC6, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los ficheros más antiguos.
3. Comenzar a examinar con más detalle los ficheros logs y registros que se examinaron durante la búsqueda de indicios del ataque, intentar buscar una correlación temporal entre eventos.
4. Examinar los fragmentos del archivo donde se detectan y registran los accesos FTP, estos nos permitirá descubrir si sobre esa fecha y hora se crearon varios archivos bajo el directorio de la máquina comprometida, además, se debe tener presente que este directorio puede ser borrado por el atacante y deberá ser recuperado.
Referencias:
Referencias:
Cabrera H. (2014), Syllabus del curso Informática Forense
Cabrera H. (2014), Agenda integrada de actividades
H.E.
Cabrera Meza, Modulo Informática Forense,
Universidad Nacional Abierta y A Distancia. 2014.
Ley de los Delitos Informáticos en Colombia Recuperado de http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
No hay comentarios:
Publicar un comentario