INFORMÁTICA FORENSE
Por 'investigación forense en computación' se conoce al conjunto de herramientas y técnicas que son necesarias para encontrar, preservar y analizar pruebas digitales frágiles, que son susceptibles de ser borradas o sufrir alteración de muchos niveles. Quienes la practican reúnen esos datos y crean una llamada prueba de auditoría para juicios penales.
Buscan información que puede estar almacenada en registros de acceso, registros específicos, modificación de archivos intencionalmente, eliminación de archivos y otras pistas que puede dejar un atacante a su paso. La idea principal en este tipo de análisis es contar completamente con todo el apoyo del cliente y depende exclusivamente del manejo inmediato que el cliente le haya dado al incidente, ya que al ingresar al sistema o apagar el servidor se puede perder información valiosa para análisis posteriores.
Cuando navegamos dejamos rastros pero ¿qué tipo de rastro podemos encontrar de manera más evidente?
Algunos rastros más evidentes que permanecen en las máquinas son los caché del browser (navegador), las copias de los correos electrónicos, las cookies almacenadas en la navegación, los archivos borrados que aun pueden ser recuperados, los registros de conexión del módem, entre otros.
¿Qué tipo de tecnología o programas se utilizan para llevar a cabo las búsquedas?
Algunos programas utilizados son conocidos como la suite de Norton Utilities y demás aplicaciones de uso generalizado para recuperación de archivos, directorios y datos en disco duros y disquetes. De otra parte, existen aplicaciones más sofisticadas para encontrar, identificar, analizar y preservar evidencia digital que requieren entrenamiento y preparación en diferente ambientes operacionales como UNIX, MAC, Windows , Linux.
¿Qué metodología o pasos se siguen?
Básicamente los investigadores forenses en informática, independiente de las plataforma o sistema operacional donde estén efectuando sus actividades, deben procurar cumplir tres requisitos con la información o evidencia identificada o recolectada:
- Se deben utilizar medios forenses estériles (para las copias de la información).
- Mantener la integridad del medio original.
- Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultado de la investigación.
Las metodologías utilizadas pueden ser diversas, pero lo importante es asegurar estos tres requisitos, dado que si no se aseguran, la evidencia puede ser rebatida y descartada como medio probatorio.
Debido a que los terroristas han utilizado Internet y lo que es peor, desde equipos públicos, llevar a cabo la investigación podría ser más complicado, ¿cuánto tiempo podría transcurrir hasta obtener pistas relevantes?
Meses o inclusive años. Ha habido casos como el del pseudohacker "Mafiaboy" (todo un DoSsero, asi que cudense amigos de hacer esas bobadas) en que el FBI norteamericano y agencias canadienses se demoraron alrededor de 1 a 2 años en registrar, analizar, procesar y presentar la evidencia que permitiera la condena para este personaje.
Dejo este link para que lean la patetica historia de este individuo:
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer SesionLas pistas encontradas, son legales y válidas, siempre y cuando se sigan los procedimientos internacionalmente aceptado por IACIS, que es la institución que ofrece la certificación CFEC. Esta institución de mucho prestigio en el campo forense, ofrece un claro escenario de análisis conceptual que le permite a cualquier juez o demandante las características técnicas y formales necesarias para obtener, analizar, conservar y preservar evidencia digital.
Suerte!!!
Autor