Documente Academic
Documente Profesional
Documente Cultură
Parte 1
Análisis Forense
Adquisición de evidencia
Para ello es importante conocer las herramientas a utilizar. No sólo hay que
conocer el tipo de información que extrae o qué informes genera, sino saber,
con detalle, cual es la interacción de la herramienta con el sistema sobre el que
corre: cómo afecta a la memoria, qué ficheros modifica, a qué recursos del
sistema accede, etc.
¿Apagar o no apagar?
En los casos donde la actividad maliciosa está clara, y en los que cada
segundo que pasa se hace más daño a la organización, puede ser buena
práctica tirar del cable de alimentación (mejor que apagar usando la función de
“shutdown” del sistema, que tiende a alterar más el estado de la evidencia). Por
supuesto, en este caso tenemos que haber decidido que el contenido de la
memoria no es importante, o haber obtenido previamente una imagen de
memoria o información útil sobre los procesos activos.
• Apagar el dispositivo
• Mantenerlo encendido pero aislado de la red
Está claro que no es posible poner un teléfono móvil encendido en una bolsa, y
esperar a que siga encendido varios días después cuando se va a realizar la
investigación de la evidencia.
Cadena de custodia
El método científico
Análisis de la evidencia
Protección de la intimidad
6. Analisis Forense y el cuidado se debe de tener en manejo evidencia
¿Qué medidas se toman para proteger esa información? ¿Quién tiene acceso a
ella? La comisión de una infracción o delito no implica la suspensión de las
leyes y normas sobre protección a la intimidad y la privacidad de datos de
carácter personal.
Sistemas Anti-Forense
En esta tercera y última parte del artículo sobre la práctica de análisis forense
examinaremos las limitaciones de la práctica forense en entornos corporativos
complejos, terminando con unas conclusiones generales.
Las técnicas y herramientas existentes para análisis forense tienen una cierta
madurez, pero en general adolecen de un defecto: están orientadas al mundo
del PC. Acceso físico al hardware, discos duros de tamaño razonable,
posibilidad de desconectar el sistema y confiscarlo, etc.
Jugando con las configuraciones RAID es posible en ciertos casos utilizar uno
de los discos en “espejo” para realizar la copia, pudiendo extraerlo “en caliente”
sin afectar a la continuidad del servicio.
Conclusiones
Existe cierta sensación de que es posible que la práctica forense esté pasando
por un “bache de la desilusión” (“trough of disillusionment”) en terminología de
Gartner. Esto es debido a la incapacidad de las técnicas y herramientas
9. Analisis Forense y el cuidado se debe de tener en manejo evidencia
actuales para cubrir las necesidades de los entornos modernos. Esto hace que
la práctica deje de ser “interesante” y parezca que ha “pasado de moda”.