Informatica Forense

De FdIwiki ELP
Saltar a: navegación, buscar

Introduccion

La Informática forense (o Forensic) consiste en la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar preservar analizar y presentar datos que sena validos dentro de un proceso legal.

Incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Esta técnicas ayuda a encontrar pistas sobre ataques informáticos,robo de información conversaciones o pistas de emails y chats.

Conceptos de la informática forense

- ¿De que sirve la informática forense? Garantiza la efectividad de las políticas de seguridad tanto de la información como de las tecnologías que facilitan la gestión de dicha información.

- ¿En que consiste esta técnica? Consiste en investigar sistemas de información con el fin de encontrar evidencias de haber existido una vulneración en un sistema.

-¿Que finalidad tiene esto?

Perseguir objetivos preventivos , anticipándose al posible problema u objetivos correctivos para dar una solución favorable una vez que la vulneración y las infracciones se han producido ,Según se de el caso.

Pasos del Forensic

El proceso de análisis forense se describe en los siguientes pasos:

Identificación

Para empezar a realizar el análisis hay que conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. Entre ella incluimos su uso en la red,verificar su integridad y manejo adecuado , revisión de su entorno legal y el apoyo para tomar la decisión con respecto al siguiente paso una vez revisados los resultados.

Preservación

Se trata de la revisión y generación de imágenes forenses de la evidencia para poder realizar el análisis. Se duplica utilizando tecnología para poder mantener la integridad de la evidencia y su cadena de custodia.Una imagen forense de la misma consiste en generar una copia bit a bit de todo el disco el cual permita recuperar toda la información contenida y borrada del disco. Se evita la contaminación con bloqueos de escritura de hardware.

Análisis

Consiste en aplicar técnicas científicas y analíticas a los duplicados utilizando el proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden utilizar varios métodos de búsqueda,como por ejemplo, buscar cadenas de caracteres , acciones especificas de usuarios en el sistema (Uso de dispositivos , busqueda de archivos ,sitios visitados , etc...).

Presentación

A partir del análisis realizado, se obtiene una recopilación de las actividades realizadas en el sistema y se realiza un informe presentándose a los abogados y si se da el caso se genera un informe pericial de su interpretación con un lenguaje común , libre de tecnicismos.

Varias herramientas

  • Sleuth Kit (Forensics Kit)
  • Py-Flag (Forensics Browser)
  • Autopsy (Forensics Browser for Sleuth Kit)
  • dcfldd (DD Imaging Tool command line tool and also works with AIR)
  • foremost (Data Carver command line tool)
  • Air (Forensics Imaging GUI)
  • md5deep (MD5 Hashing Program)
  • netcat (Command Line)
  • cryptcat (Command Line)
  • NTFS-Tools
  • qtparted (GUI Partitioning Tool)
  • regviewer (Windows Registry)
  • Viewer
  • X-Ways WinTrace
  • X-Ways WinHex
  • X-Ways Forensics
  • R-Studio Emergency (Bootable Recovery media Maker)
  • R-Studio Network Edtion
  • R-Studio RS Agent
  • Net resident
  • Faces
  • Encase
  • Snort
  • Helix

Bibliografia

"Informática Forense - 44 casos reales". Autor: Ernesto Martínez de Carvajal Hedrich (2012).

"Peritaje Informático y Tecnológico". Autor: Rafael López Rivera.

"Introducción al análisis forense telemático y ejemplo práctico". Autor: José Luis Rivas López.

"Informatica Forense". Autor:Giovani Zuccardi,Juan David Gutierrez..

EcuRed Informatica forense

Blog de informatica forense