Documente Academic
Documente Profesional
Documente Cultură
La informtica forense est adquiriendo una gran importancia dentro del rea de la
informacin electrnica, esto debido al aumento del valor de la informacin y/o al
uso que se le da a sta, al desarrollo de nuevos espacios donde es usada (por Ej.
El Internet), y al extenso uso de computadores por parte de las compaas de
negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un
crimen, muchas veces la informacin queda almacenada en forma digital. Sin
embargo, existe un gran problema, debido a que los computadores guardan la
informacin de informacin forma tal que no puede ser recolectada o usada como
prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales. Es de aqu que surge el estudio de la computacin forense como
una ciencia relativamente nueva.
Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica,
de la electricidad y el magnetismo. Es gracias a fenmenos electromagnticos que
la informacin se puede almacenar, leer e incluso recuperar cuando se crea
eliminada.
La informtica forense, aplicando procedimientos estrictos y rigurosos puede
ayudar a resolver grandes crmenes apoyndose en el mtodo cientfico, aplicado
a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales.
INFORMATICA FORENSE
El cmputo forense, tambin llamado informtica forense, computacin
forense, anlisis forense digital o examinacin forense digital es la aplicacin
de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que
permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro
de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del uso aplicado
a los datos y bienes informticos.
Como la definicin anterior lo indica, esta disciplina hace uso no solo de tecnologa
de punta para poder mantener la integridad de los datos y del procesamiento de
los mismos; sino que tambin requiere de una especializacin y conocimientos
avanzados en materia de informtica y sistemas para poder detectar dentro de
cualquier dispositivo electrnico lo que ha sucedido. El conocimiento del
informtico forense abarca el conocimiento no solamente del software sino
tambin de hardware, redes, seguridad, hacking, cracking, recuperacin de
informacin.
La informtica forense ayuda a detectar pistas sobre ataques informticos, robo de
informacin, conversaciones o pistas de emails, chats.
La importancia de stos y el poder mantener su integridad se basa en que la
evidencia digital o electrnica es sumamente frgil. El simple hecho de darle doble
clic a un archivo modificara la ltima fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cmputo
forense puede llegar a recuperar informacin que haya sido borrada desde el
sistema operativo.
Es muy importante mencionar que la informtica forense o cmputo forense no
tiene parte preventiva, es decir, la informtica forense no se encarga de prevenir
delitos, para ello que encarga la seguridad informtica, es importante tener claro el
marco de actuacin entre la informtica forense, la seguridad informtica y
la auditora informtica.
DISPOSITIVOS A ANALIZAR
La infraestructura informtica que puede ser analizada puede ser toda aquella que
tenga una Memoria (informtica), por lo que se pueden analizar los siguientes
dispositivos:
Logs de seguridad.
Informacin de Firewalls
Credenciales de autentificacin
Dispositivos de GPS.
Impresora
Memoria USB
BIOS
DEFINICIONES:
Identificacin
Es muy importante conocer los antecedentes a la investigacin "HotFix", situacin actual y el
proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las
bsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a
realizar, herramientas de extraccin de los registros de informacin a localizar). Incluye
muchas veces (en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza,
esto se llama criterio profesional que origina la investigacin) la identificacin del bien
informtico, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la
integridad y manejo adecuado de la evidencia), la revisin del entorno legal que protege el
bien y del apoyo para la toma de decisin con respecto al siguiente paso una vez revisados
los resultados.
Preservacin
Este paso incluye la revisin y generacin de las imgenes forenses de la evidencia para
poder realizar el anlisis. Dicha duplicacin se realiza utilizando tecnologa de punta para
poder mantener la integridad de la evidencia y la cadena de custodia que se requiere
(soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para
generar una copia bit-a-bit (copia binaria) de todo el disco duro, el cual permitir recuperar
en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar la
contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de
hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una
alteracin no deseada en los medios.
Anlisis
Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por medio del
proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar
bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la
mquina como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos
especficos, recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos
sitios visitados, recuperacin del cach del navegador de Internet, etc.
Presentacin
Es el recopilar toda la informacin que se obtuvo a partir del anlisis para realizar el reporte y
la presentacin a los abogados, jueces o instancias que soliciten este informe, la generacin
(si es el caso) de una pericial y de su correcta interpretacin sin hacer uso de tecnicismos; se
deber presentar de manera cauta, prudente y discreta al solicitante la documentacin ya que
siempre existirn puertas traseras dentro del sistema en observacin y debe ser muy
especfica la investigacin dentro del sistema que se documenta porque se compara y vincula
una plataforma de telecomunicacin y computo forense y que estn muy estrechamente
enlazadas no omitiendo los medios de almacenamiento magnticos portables estos son
basamentos sobre software libre y privativo. Deber ser muy cuidadosa la informacin a
entregar porque se maneja el prestigio tcnico segn las plataformas y sistemas
LA CIENCIA FORENSE
La ciencia forense nos proporciona los principios y tcnicas que facilitan la
investigacin del delito criminal, en otras palabras: cualquier principio o tcnica
que puede ser aplicada para identificar, recuperar, reconstruir o analizar la
evidencia durante una investigacin criminal forma parte de la ciencia forense.
Los principios cientficos que hay detrs del procesamiento de una evidencia son
reconocidos y usados en procedimientos como:
1
Recoger y examinar huellas dactilares y ADN.
Recuperar documentos de un dispositivo daado.
Hacer una copia exacta de una evidencia digital.
Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto
para asegurar que este no se ha modificado.
Firmar digitalmente un documento para poder afirmar que es autntico y
preservar la cadena de evidencias.
Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir
el crimen y encontrar pistas. Aplicando un mtodo cientfico analiza las evidencias
disponibles, crea hiptesis sobre lo ocurrido para crear la evidencia y realiza
pruebas, controles para confirmar o contradecir esas hiptesis. Esto puede llevar a
una gran cantidad de posibilidades sobre lo que pudo ocurrir, esto es debido a que
un forense no puede conocer el pasado, no puede saber qu ocurri ya que slo
dispone de una informacin limitada. Por esto, slo puede presentar posibilidades
basadas en la informacin limitada que posee.
Un principio fundamental en la ciencia forense, que usaremos continuamente para
relacionar un criminal con el crimen que ha cometido, es el Principio de
Intercambio o transferencia de Locard, (Edmond Locard, francs fundador del
instituto de criminalistica de la universidad de Lion, podemos ver el esquema en la
figura
dcfldd (DD Imaging Tool command line tool and also works with AIR)
NTFS-Tools
Viewer
X-Ways WinTrace
X-Ways WinHex
X-Ways Forensics
R-Studio RS Agent
Net resident
Faces
Encase
Snort
Helix
NetFlow
Deep Freeze
hirens boot
Canaima 3.1
Mini XP
Paraben
SilentRunner - AccessData
USBDeview
SilentRunner - AccessData