El computo forense o simplemente forense, es una rama de la informática, la cual tiene por objetivo analizar información en un dispositivo "post mortem" aunque no se limita solo a eso; en el computo forense se hace todo lo que un investigador en la vida real haría, solo que con métodos digitales.
En estos tiempos, la tecnología se ha hecho indispensable para la sociedad; todo está en Internet, pero eso no siempre es bueno, puesto que hay delitos que se cometen directamente en la red y es ahí donde el computo forense hace presencia.
Todo el publico en cuanto abre el navegador, queda expuesto al robo de información, pero las mas vulnerables son las empresas puesto que si la seguridad no está entre sus prioridades, los defaces, las inyecciones de código malicioso, el robo de identidad, robo de secretos industriales, etcétera, pueden hacer que una empresa tenga perdidas económicas criticas.
Pero en muchas ocasiones los criminales pueden estar caminando incluso dentro de los pasillos de la empresa.
Pongamos un ejemplo:
Una empresa tiene que hacer un recorte de presupuesto y tiene que despedir un 15% de la nomina.
<sarcasmo>En el mejor de los casos, no pasa nada y todo mundo está contento con su liquidación</sarcasmo>
Pero en el peor, que por experiencia es el que siempre pasa, alguien que está en descontento con su finiquito, se lleva información de prioridad 1 en su disco duro, para venderla a la competencia.
Pues es ahí donde el computo forense realiza todo un procedimiento para saber quien, como y donde se cometió el delito informático.
El computo forense tiene un proceso para llevar a cabo un análisis; que son: La identificación; la preservación, el análisis y la presentación.
Identificación:
A partir de aquí la cadena de custodia es muy importante, también se tiene que conocer todo lo que hay detrás del ataque, puesto que las pistas están en todas partes, identificar el dispositivo al que se le realizará el análisis.
Preservación:
La preservación es el punto mas importante, puesto que aquí se ponen a prueba el conocimiento del investigador, también esencial porque puesto que si la maquina está prendida y no ha sido manipulada hay mas probabilidades de tener una investigación exitosa.
Con el dispositivo en nuestro poder procedemos a realizar una imagen del disco duro, (en la certificación que hice, dijeron que como mínimo una imagen, las mejores practicas dictan que puede haber dos copias para hacer comparaciones), con una buena herramienta se pueden sacar las imágenes necesarias; recomiendo dcfldd.
Análisis:
En esta parte el investigador tendrá que poner a prueba todo su conocimiento para verificar, desde los logs del sistema, hasta la recuperación de archivos y correos borrados, pasando por la revisión de navegadores, caches, dispositivos conectados etcétera.
Presentación:
Toda la información obtenida será entregada en un reporte, esta parte es muy importante puesto que si el cliente quiere llevar una acción legal en contra del criminal, el reporte y la información recopilada, se entregará a un representante legal y se le dará asesoría con todos los términos técnicos.
lunes, 28 de mayo de 2012
Introducción a la informatíca Forenese
0 comentarios:
Publicar un comentario