Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informatica Forense
Informatica Forense
Informtica forense Es tambin llamado computo forense, computacin forense, anlisis forense digital o exanimacin forense digital y consiste en la aplicacin de tcnicas especializadas a infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales, autenticar datos y explicar las caractersticas tcnicas del uso aplicado a los datos y bienes informticos esta disciplina hace uso no solo de tecnologa de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que tambin requiere de una especializacin y conocimientos avanzados en materia de informtica y sistemas para poder detectar dentro de cualquier dispositivo electrnico lo que ha sucedido. El conocimiento del informtico forense abarca el conocimiento no solamente del software si no tambin de hardware, redes, seguridad, hacking, cracking, recuperacin de informacin. La informtica forense ayuda a detectar pistas sobre ataques informticos, robo de informacin, conversaciones o pistas de emails, chats. Entre los casos mas comunes de estudio se encuentran: La recuperacin de archivos eliminados Desencriptacin elemental Bsqueda de cierto tipo de archivos Bsqueda de ciertas fases Observacin de reas interesantes del computador: Leer archivos de registro Reconstruir acciones Rastrear el origen
Dispositivos a analizar Todos los equipos que pueden ser analizados son los que tengan una Memoria, por lo que se pueden analizar los siguientes dispositivos: Disco duro de una Computadora o Servidor
Dentro de la informtica forense Existen diferentes aspectos a estudiar: Cadena de Custodia: La identidad de personas que manejan la evidencia en el tiempo del suceso y la ltima revisin del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los artculos son registrados y contabilizados durante el tiempo en el cual estn en su poder, y que son protegidos, llevando un registro de los nombres de las personas que manejaron la evidencia o artculos con el lapso de tiempo y fechas de entrega y recepcin. Imagen Forense: Llamada tambin "Espejo" (en ingls "Mirror"), la cual es una copia bit a bit de un medio electrnico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las reas borradas incluyendo particiones escondidas. Anlisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de informacin relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo), autor, tamao, nombre y ruta, as como su creacin, ltimo acceso y fecha de modificacin.
ENCASE es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el anlisis de un crimen digital. Algunas de las caractersticas ms importantes de encase se relacionan a Continuacin: Copiado Comprimido de Discos Fuente. Encase emplea un estndar sin prdida (loss-less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales). Esta caracterstica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismo tiempo, examinando la evidencia y buscando en paralelo. Bsqueda y Anlisis de Mltiples partes de archivos adquiridos. EnCase permite al examinador buscar y analizar mltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extrables, discos zip y otros tipos de dispositivos de almacenamiento de la informacin. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista. Diferente capacidad de Almacenamiento.
Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar informacin. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan informacin sobre las teclas que son presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del computador, o hasta casos donde la mquina es controlada remotamente . KeyLogger
KeyLogger es un ejemplo de herramientas que caen en esta categora. Es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e-mail. Los datos generados son complementados con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen dos versiones: la registrada y la de demostracin. La principal diferencia es que en la versin registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la mquina no notar que sus acciones estn siendo registradas. Herramientas de Marcado de documentos
Post-Mortem
He aqu la palabra que encauza el ttulo de nuestro artculo, el anlisis post-mortem se realiza mayoritariamente para la recuperacin de datos con los que poder trabajar posteriormente, obviamente para no tener que acudir a ste recurso se aconsejan la copias de seguridad peridicas.
Bibliografa Informtica Forense - 44 casos reales. ISBN 978-84-615-8121-4. Autor: Ernesto Martnez de Carvajal Hedrich (2012)