Informatica Forense - Ensayo
Enviado por Kate • 7 de Diciembre de 2018 • 2.493 Palabras (10 Páginas) • 669 Visitas
...
Colección
La parte principal de la etapa de recolección, la adquisición, se ha introducido anteriormente.
Si la adquisición se lleva a cabo en el lugar y no en un laboratorio forense informático, en esta etapa se incluirán dispositivos de identificación y fijación que pueden almacenar evidencias y documentar la escena. Normalmente, se llevarán a cabo entrevistas o reuniones con personal que pueda tener información relevante para el examen (que podría incluir a los usuarios finales de la computadora y al gerente y persona responsable de proporcionar servicios informáticos, como un administrador de TI).
La etapa de recolección también implica el etiquetado y embolsado de los elementos probatorios del sitio, para ser sellados en bolsos numerados de manipulación indebida. Se debe considerar el transporte seguro y seguro del material al laboratorio del examinador.
Análisis
El análisis depende de los detalles de cada trabajo. Normalmente, el examinador proporciona retroalimentación al cliente durante el análisis y, a partir de este diálogo, el análisis puede tomar un camino diferente o ser reducido a áreas específicas. El análisis debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro de las escalas de tiempo disponibles y los recursos asignados.
Hay una miríada de herramientas disponibles para el análisis forense de computadoras. Es nuestra opinión que el examinador debe utilizar cualquier herramienta que se sientan cómodos con, siempre y cuando puedan justificar su elección. Los principales requisitos de una herramienta forense de computación es que hace lo que se pretende hacer y la única manera de que los examinadores estén seguros de esto es que ellos prueben y calibren regularmente las herramientas en las que confían antes de que se realice el análisis.
La verificación de la herramienta dual puede confirmar la integridad del resultado durante el análisis (si con la herramienta 'A' el examinador encuentra el artefacto 'X' en la posición 'Y', entonces la herramienta 'B' debería replicar estos resultados).
Presentación
Esta etapa suele implicar que el examinador produzca un informe estructurado sobre sus hallazgos, abordando los puntos en las instrucciones iniciales junto con las instrucciones subsiguientes. También cubriría cualquier otra información que el examinador considere pertinente para la investigación.
El informe debe ser escrito con el lector final en mente; En muchos casos el lector no será técnico, por lo que debería utilizarse la terminología apropiada para el lector. El examinador también debe estar preparado para participar en reuniones o conferencias telefónicas para discutir y elaborar el informe.
revisión
Al igual que con la etapa de preparación, la etapa de revisión es a menudo ignorada o desatendida. Esto puede deberse a los costos percibidos de hacer un trabajo que no es facturable, o la necesidad de 'continuar con el próximo trabajo'.
Sin embargo, una etapa de revisión incorporada en cada examen puede ayudar a ahorrar dinero y elevar el nivel de calidad haciendo que los exámenes futuros sean más eficientes y eficaces en el tiempo.
Una revisión de un examen puede ser simple, rápida y puede comenzar durante cualquiera de las etapas anteriores. Puede incluir un análisis básico de lo que salió mal, lo que salió bien, y cómo el aprendizaje de esto puede ser incorporado en los exámenes futuros ". También se debería solicitar la retroalimentación de la parte encargada de la instrucción.
Las lecciones aprendidas de esta etapa deben ser aplicadas al siguiente examen y alimentadas en la etapa de preparación.
6. Cuestiones relativas a la informática forense
Las cuestiones a las que se enfrentan los examinadores forenses de informática pueden desglosarse en tres grandes categorías: técnica, jurídica y administrativa.
Problemas técnicos
Cifrado - Los datos cifrados pueden ser imposibles de ver sin la clave o contraseña correctas. Los examinadores deben considerar que la clave o contraseña puede ser almacenada en otro lugar en la computadora o en otro equipo al que el sospechoso ha tenido acceso. También podría residir en la memoria volátil de una computadora (conocida como RAM [6] ) que normalmente se pierde en el apagado de la computadora; Otra razón para considerar el uso de técnicas de adquisición en vivo, como se ha indicado anteriormente.
Aumento del espacio de almacenamiento - Los medios de almacenamiento contienen cantidades cada vez mayores de datos, lo que para el examinador significa que sus computadoras de análisis necesitan tener suficiente capacidad de procesamiento y capacidad de almacenamiento para tratar eficientemente la búsqueda y el análisis de grandes cantidades de datos.
Nuevas tecnologías - La informática es un campo en continua evolución, con nuevos hardware, software y sistemas operativos emergentes constantemente. Ningún examinador forense de computadoras puede ser un experto en todas las áreas, aunque con frecuencia se puede esperar que analicen algo que no han encontrado previamente. Para hacer frente a esta situación, el examinador debe estar preparado y ser capaz de probar y experimentar con el comportamiento de las nuevas tecnologías. La conexión en red y el intercambio de conocimientos con otros examinadores forenses son muy útiles a este respecto, ya que es probable que alguien más ya haya encontrado el mismo problema.
Anti-forensics - Anti-forensics es la práctica de intentar frustrar el análisis forense del ordenador. Esto puede incluir encriptación, sobreescritura de datos para que sea irrecuperable, la modificación de metadatos de archivos y ofuscación de archivos (archivos de disfrazación). Al igual que ocurre con el cifrado, la evidencia de que tales métodos se han utilizado puede ser almacenada en otro lugar en el ordenador o en otro ordenador al que el sospechoso ha tenido acceso. En nuestra experiencia, es muy raro ver herramientas anti-forenses utilizadas correctamente y con la suficiente frecuencia para oscurecer totalmente su presencia o la presencia de la evidencia que se utilizaban para esconderse.
Asuntos legales
Las cuestiones jurídicas pueden confundir o distraer de los resultados
...