Informatic

¿Que es la Informática Forense?

Forense digital:

Las técnicas de forense son la aplicación de una técnica de investigación metódica para reconstruir una secuencia de eventos. Las técnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. Existen dos aspectos de estas técnicas:

que ha hecho la gente en su computador, esto incluye:

La recuperación de archivos eliminados

Desencriptación elemental

Búsqueda de cierto tipo de archivos

Búsqueda de ciertas fases

Observación de áreas interesantes del computador

que ha hecho un usuario remoto en la computadora de alguien más. Esto incluye:

Leer archivos de registro

Reconstruir acciones

Rastrear el origen

Principios forenses:

Existe un número de principios básicos que son necesarios al examinar un computador o un cadáver. Estos principios son:

Evitar la contaminación

Actuar metódicamente

Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha manipulado la evidencia

Evitar la contaminación

En televisión salen los examinadores forenses ataviados con batas blancas y

guantes, cogiendo todas las pruebas con pinzas y poniéndolas en bolsa de

plástico selladas. Todo ello es para prevenir la “contaminación”. Aquí es donde

las evidencias se pueden echar a perder, por ejemplo, si alguien coge un cuchillo y deja sus huellas digitales en la hoja del cuchillo (¿te acuerdas de la película del Fugitivo?… Piensa en los problemas que llegó a tener!).

Actuar metódicamente

En cualquier cosa que se haga, si tuvieras que ir a un juicio, necesitarías justificar todas las acciones que hayas tomado. Si actúas de una manera científica y metódica, tomando cuidadosas notas de todo lo que haces y cómo lo haces, esta justificación es mucho más fácil. También permite a cualquier otra persona poder seguir tus pasos y verificar que tú no has cometido ningún error que pueda poner en duda el valor de tu evidencia.

Cadena de Evidencias

Siempre se debe mantener lo que se denomina la “Cadena de Evidencias”. Esto Significa que, en cualquier momento del tiempo, desde la detección de la

Evidencia hasta la presentación final en el juicio, puedes justificar quién ha

Tenido acceso y dónde ha sido. Esto elimina la posibilidad de que alguien haya

Podido sabotearlo o falsificarlo de alguna manera.

Metodología

Como en todo proceso de análisis existe una metodología a seguir que nos marca los pasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y con unos resultados altamente fiables.

Estudio preliminar:

En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red, etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir para llegar a buen puerto.

Adquisición de datos:

En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio.

Para esta fase la forma más común de realizarlo es mediante el comando `dd' de Linux, que nos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entonces no tenemos más remedio que recurrir al uso de la cámara blanca.

En esta fase ha de estar presente un notario para dar fe de los actos realizados.

Análisis

Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar una lectura a nivel físico y determinar la solución mediante los bits.

Presentación

Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos al cliente. Si éste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez.

Evidencia Digital

El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos.

Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignación de archivos del soporte.

Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyes referentes a ello, cada juez lo valora subjetivamente como prueba

...