Fases De La Informática Forense
Páginas: 22 (5352 palabras)
Publicado: 15 de febrero de 2013
Informática Forense
CAPÍTULO 3
FASES DE LA INFORMÁTICA FORENSE
La Policía Nacional, ante el manejo de evidencias sobre un crimen o delito informático cometido, deberá actuar como cualquier proceso criminal, el primer paso es asegurara la escena del delito restringiendo el acceso a la misma para no modificar la evidencia. Los peritos que manejen el caso deberán poseer conocimientos sobrelas metodologías del análisis forense informático que se deben aplicar según el caso.
Analizar las evidencias Preservar las evidencias - Fase crítica - Preservar de forma que no exista duda de la evidencia -Creación de imágenes a nivel de bit - Generar checksum de original y copias - Propósito: dar respuestas a las preguntas. ¿Quién, que cuando y como? - Analizar requerimientos del cliente.Búsqueda de las evidencias acorde al caso.
Presentación de evidencia - Dar un informa claro, conciso, estructurada y sin ambigüedad de las evidencias. - No se debe usar un lenguaje muy técnico - Deberá contener las evidencias encontradas de acuerdo al caso
Identificar evidencia
- Según prioridad -Conservación inicial
Figura 3.1 Metodología del Análisis Forense 8
Para llevar a cabo unainvestigación forense es adecuado conocer ciertos aspectos tales como: x Conocer las condiciones bajo las cuales, la evidencia será considerada como : o Admisible o Autentica
8
Equipo de Investigación de Incidentes y Delitos Informáticos. WWW.EIIDI.COM
34
Informática Forense
o Completa o Confiable o Creíble x Conocer el procedimiento para llevar a cabo una investigación, cuando debellevarse a cabo las cuestiones legales a tener en cuenta, dependiendo del país donde se lleve a cabo.
Existen modos de Análisis para la Informatica Forense, estos son:
• Análisis post-mortem: se realiza con un equipo dedicado específicamente para fines forenses para examinar discos duros, datos o cualquier tipo de información recabada de un sistema que ha sufrido un incidente. En este caso,las herramientas de las que se puede disponer son aquellas que existan en el laboratorio destinado al análisis de discos duros, archivos de logs de firewalls, etc.
• Análisis en caliente: se lleva a cabo cuando un sistema presume que ha sufrido un incidente o está sufriendo un incidente de seguridad. En este caso, se debe emplear un CD con las herramientas de Respuesta ante Incidentes yAnálisis Forense compiladas de forma que no realicen modificaciones en el sistema. Una vez hecho este análisis en caliente, y confirmado el incidente, se realiza el análisispost-mortem.
Cadena de custodia: el es conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en un proceso judicial. No existe un estándar reconocidopúblicamente.
La cadena de custodia debe: – Reducir al máximo la cantidad de agentes implicados en el manejo o tratamiento de evidencias. – Mantener la identidad de las personas implicadas desde la obtención hasta la presentación de las evidencias. – Asegurar la firmeza de las evidencias. – Registros de tiempos, firmados por los agentes, en los intercambios entre estos de las evidencias. Cada unode ellos se hará responsable de las evidencias en cada momento. 35
Informática Forense
– Asegurar la firmeza de las evidencias cuando las evidencias están almacenadas asegurando su protección.
La secuencia de la cadena de la evidencia debe seguir el siguiente orden: – Recolección e identificación de evidencia. – Análisis. – Almacenamiento. – Preservación. – Transporte. – Presentación enel juzgado. – Retorno a su dueño.
La cadena de la evidencia muestra:
– Quién obtuvo la evidencia. – Dónde y cuándo la evidencia fue obtenida. – Quién protegió la evidencia. – Quién ha tenido acceso a la evidencia.
3.1
Identificación de la Evidencia Digital
En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias, ya que muchas veces la información que...
CAPÍTULO 3
FASES DE LA INFORMÁTICA FORENSE
La Policía Nacional, ante el manejo de evidencias sobre un crimen o delito informático cometido, deberá actuar como cualquier proceso criminal, el primer paso es asegurara la escena del delito restringiendo el acceso a la misma para no modificar la evidencia. Los peritos que manejen el caso deberán poseer conocimientos sobrelas metodologías del análisis forense informático que se deben aplicar según el caso.
Analizar las evidencias Preservar las evidencias - Fase crítica - Preservar de forma que no exista duda de la evidencia -Creación de imágenes a nivel de bit - Generar checksum de original y copias - Propósito: dar respuestas a las preguntas. ¿Quién, que cuando y como? - Analizar requerimientos del cliente.Búsqueda de las evidencias acorde al caso.
Presentación de evidencia - Dar un informa claro, conciso, estructurada y sin ambigüedad de las evidencias. - No se debe usar un lenguaje muy técnico - Deberá contener las evidencias encontradas de acuerdo al caso
Identificar evidencia
- Según prioridad -Conservación inicial
Figura 3.1 Metodología del Análisis Forense 8
Para llevar a cabo unainvestigación forense es adecuado conocer ciertos aspectos tales como: x Conocer las condiciones bajo las cuales, la evidencia será considerada como : o Admisible o Autentica
8
Equipo de Investigación de Incidentes y Delitos Informáticos. WWW.EIIDI.COM
34
Informática Forense
o Completa o Confiable o Creíble x Conocer el procedimiento para llevar a cabo una investigación, cuando debellevarse a cabo las cuestiones legales a tener en cuenta, dependiendo del país donde se lleve a cabo.
Existen modos de Análisis para la Informatica Forense, estos son:
• Análisis post-mortem: se realiza con un equipo dedicado específicamente para fines forenses para examinar discos duros, datos o cualquier tipo de información recabada de un sistema que ha sufrido un incidente. En este caso,las herramientas de las que se puede disponer son aquellas que existan en el laboratorio destinado al análisis de discos duros, archivos de logs de firewalls, etc.
• Análisis en caliente: se lleva a cabo cuando un sistema presume que ha sufrido un incidente o está sufriendo un incidente de seguridad. En este caso, se debe emplear un CD con las herramientas de Respuesta ante Incidentes yAnálisis Forense compiladas de forma que no realicen modificaciones en el sistema. Una vez hecho este análisis en caliente, y confirmado el incidente, se realiza el análisispost-mortem.
Cadena de custodia: el es conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en un proceso judicial. No existe un estándar reconocidopúblicamente.
La cadena de custodia debe: – Reducir al máximo la cantidad de agentes implicados en el manejo o tratamiento de evidencias. – Mantener la identidad de las personas implicadas desde la obtención hasta la presentación de las evidencias. – Asegurar la firmeza de las evidencias. – Registros de tiempos, firmados por los agentes, en los intercambios entre estos de las evidencias. Cada unode ellos se hará responsable de las evidencias en cada momento. 35
Informática Forense
– Asegurar la firmeza de las evidencias cuando las evidencias están almacenadas asegurando su protección.
La secuencia de la cadena de la evidencia debe seguir el siguiente orden: – Recolección e identificación de evidencia. – Análisis. – Almacenamiento. – Preservación. – Transporte. – Presentación enel juzgado. – Retorno a su dueño.
La cadena de la evidencia muestra:
– Quién obtuvo la evidencia. – Dónde y cuándo la evidencia fue obtenida. – Quién protegió la evidencia. – Quién ha tenido acceso a la evidencia.
3.1
Identificación de la Evidencia Digital
En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias, ya que muchas veces la información que...
Leer documento completo
Regístrate para leer el documento completo.