Identificación
Estando
en el lugar de la escena donde se realizó el ataque informático se
debe rotular con sus respectivas características físicas el
elemento que va ser objeto del análisis forense, para preservar el
elemento que puede ser desde un disquette o un disco rígido de un
computador hasta un conjunto de discos de un servidor, un juego de
cintas, o varias computadoras de una organización.
Validación
y preservación de los datos adquiridos
Con
el elemento identificado se procede a realizar una imagen exacta del
contenido de la evidencia asignando un código único correspondiente
a una combinación única de bytes que constituye la totalidad del
medio en observación.
Este
código de validación ha de ser lo suficientemente complejo como
para evitar vulneraciones en la información rescatada e impedir que
cualquier auditor pueda por su cuenta verificar la autenticidad de la
imagen tomada, es decir, crear un código que solamente personal
calificado y legalmente autorizado pueda manipular para proteger el
elemento a ser analizado; esto con el fin de establecer una cadena de
custodia consistente. Desde este momento ya se pueden efectuar copias
exactamente iguales de la imagen a los efectos de que diferentes
actores puedan conservar una copia de seguridad.
Análisis
y descubrimiento de evidencia
Se
procede a realizar una colección de pruebas en el laboratorio sobre
la copia validada. Es posible analizar y buscar información a muchos
niveles.
El
punto de partida del análisis comienza al detectar una tipo de
ataque informático o la sospecha de manipulación no autorizada de
información. Una actividad ilícita reportada puede ser el borrado
la información que puede comprometer a una persona o información
que pudo haber sido ocultada o almacenada en medios no convencionales
como disquetes, cd rom, dvd rom, flash drive. El análisis forense
está orientado por un caso en particular y aquí es necesaria la
información que provee quien solicita la investigación forense.
En
el análisis forense se pueden buscar: archivos borrados, archivos
creados, accedidos o modificados dentro de determinado rango de
fechas, tipos de archivos con un formato particular que hayan sido
alterados, por ejemplo archivos de un sistema de contabilidad
renombrados como archivos de un procesador de texto, imágenes,
mensajes de correo electrónico, actividad desarrollada en internet,
a diferentes niveles palabras claves tales como un número
telefónico, el nombre de una ciudad o una empresa, etc.
En
base a este análisis se determina un patrón de comportamiento del
usuario en cuanto a la creación, modificación y borrado de
mensajes, actividad de correo electrónico, etc.
Informe
Se
presenta un informe escrito en un lenguaje a la vez técnico y claro
y un Cd donde se hace accesible al usuario no especializado de una
forma ordenada la evidencia recuperada y su interpretación.
Aunque
a menudo se subestima la importancia de los pasos 1 y 2 y se
considera el paso 3 el específico de la informática forense, hay
que tener en cuenta que la evidencia informática es por definición
frágil y puede ser alterada haciendo que la misma pierda su validez
frente a un tribunal.
No hay comentarios:
Publicar un comentario