Protocolos

Solo disponible en BuenasTareas
  • Páginas : 8 (1788 palabras )
  • Descarga(s) : 0
  • Publicado : 9 de diciembre de 2010
Leer documento completo
Vista previa del texto
Metodología
Como en todo proceso de análisis existe una metodología a seguir que nos marca los pasos a desarrollar de forma que siempre acabaremos con los cabos bien atados y con unos resultados altamente fiables.
Estudio preliminar:
En el primer paso nos hemos de plantear a la situación en la que nos encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topologíade la red, etcétera. Esta es la toma de contacto y de aquí saldrá, a priori, el camino a seguir para llegar a buen puerto.
Adquisición de datos:
En esta fase obtenemos una copia exacta del disco duro a tratar para poder trabajar con ellos en el laboratorio.
Para esta fase la forma más común de realizarlo es mediante el comando `dd' de Linux, que nos realiza un volcado de un disco a otro. Si eldisco está dañado físicamente entonces no tenemos más remedio que recurrir al uso de la cámara blanca.
En esta fase ha de estar presente un notario para dar fe de los actos realizados.
Análisis
Procedemos a realizar las comprobaciones necesarias y a la manipulación de los datos, para ello puede ser tan fácil como arrancar el sistema operativo y mirarlo en modo gráfico, o bien realizar unalectura a nivel físico y determinar la solución mediante los bits.
Presentación
Después de un trabajo duro llega el momento de la entrega de los resultados obtenidos al cliente. Si éste requiere presentar una denuncia judicial aportando como pruebas las conclusiones obtenidas, se le realiza un informe judicial para su exposición ante el juez.
Evidencia Digital
El propio significado del conceptopuede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisises la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos.
Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistemaoperativo, e incluso tener que leer la tabla de asignación de archivos del soporte.
Este procedimiento se suele requerir para dejar constancia fehaciente de los hechos ante un juez, tener pruebas de técnicos que expliquen objetivamente lo que realmente ha sucedido. Lamentablemente este tema aún está muy verde en España y al no haber leyes referentes a ello, cada juez lo valora subjetivamente comoprueba válida o no.
Herramientas para la Recolección de Evidencia
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de
Herramientas sofisticadas se hace necesario debido a:
1. La gran cantidad de datos que pueden estar almacenados en un computador.
2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistemaoperativo.
3. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.
4. Limitaciones de tiempo para analizar toda la información.
5. Facilidad para borrar archivos de computadores.
6. Mecanismos de encripción, o de contraseñas.
• EnCase
ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. Permiteasistir al especialista forense durante el análisis de un crimen digital. Algunas de las características más importantes de encase se relacionan a Continuación:
Copiado Comprimido de Discos Fuente.
Encase emplea un estándar sin pérdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera...
tracking img