Informatica Forense
Contenido
Introduccion
La Informática forense (o Forensic) consiste en la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar preservar analizar y presentar datos que sena validos dentro de un proceso legal.
Incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.
Esta técnicas ayuda a encontrar pistas sobre ataques informáticos,robo de información conversaciones o pistas de emails y chats.
Conceptos de la informática forense
- ¿De que sirve la informática forense? Garantiza la efectividad de las políticas de seguridad tanto de la información como de las tecnologías que facilitan la gestión de dicha información.
- ¿En que consiste esta técnica? Consiste en investigar sistemas de información con el fin de encontrar evidencias de haber existido una vulneración en un sistema.
-¿Que finalidad tiene esto?
Perseguir objetivos preventivos , anticipándose al posible problema u objetivos correctivos para dar una solución favorable una vez que la vulneración y las infracciones se han producido ,Según se de el caso.
Pasos del Forensic
El proceso de análisis forense se describe en los siguientes pasos:
Identificación
Para empezar a realizar el análisis hay que conocer los antecedentes, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la estrategia de investigación. Entre ella incluimos su uso en la red,verificar su integridad y manejo adecuado , revisión de su entorno legal y el apoyo para tomar la decisión con respecto al siguiente paso una vez revisados los resultados.
Preservación
Se trata de la revisión y generación de imágenes forenses de la evidencia para poder realizar el análisis. Se duplica utilizando tecnología para poder mantener la integridad de la evidencia y su cadena de custodia.Una imagen forense de la misma consiste en generar una copia bit a bit de todo el disco el cual permita recuperar toda la información contenida y borrada del disco. Se evita la contaminación con bloqueos de escritura de hardware.
Análisis
Consiste en aplicar técnicas científicas y analíticas a los duplicados utilizando el proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden utilizar varios métodos de búsqueda,como por ejemplo, buscar cadenas de caracteres , acciones especificas de usuarios en el sistema (Uso de dispositivos , busqueda de archivos ,sitios visitados , etc...).
Presentación
A partir del análisis realizado, se obtiene una recopilación de las actividades realizadas en el sistema y se realiza un informe presentándose a los abogados y si se da el caso se genera un informe pericial de su interpretación con un lenguaje común , libre de tecnicismos.
Varias herramientas
- Sleuth Kit (Forensics Kit)
- Py-Flag (Forensics Browser)
- Autopsy (Forensics Browser for Sleuth Kit)
- dcfldd (DD Imaging Tool command line tool and also works with AIR)
- foremost (Data Carver command line tool)
- Air (Forensics Imaging GUI)
- md5deep (MD5 Hashing Program)
- netcat (Command Line)
- cryptcat (Command Line)
- NTFS-Tools
- qtparted (GUI Partitioning Tool)
- regviewer (Windows Registry)
- Viewer
- X-Ways WinTrace
- X-Ways WinHex
- X-Ways Forensics
- R-Studio Emergency (Bootable Recovery media Maker)
- R-Studio Network Edtion
- R-Studio RS Agent
- Net resident
- Faces
- Encase
- Snort
- Helix
Bibliografia
"Informática Forense - 44 casos reales". Autor: Ernesto Martínez de Carvajal Hedrich (2012).
"Peritaje Informático y Tecnológico". Autor: Rafael López Rivera.
"Introducción al análisis forense telemático y ejemplo práctico". Autor: José Luis Rivas López.
"Informatica Forense". Autor:Giovani Zuccardi,Juan David Gutierrez..