El recurso sobre el cual trabaja la Informática Forense es muy distinto a cualquier otro en los casos de delitos, pues las evidencias por ser digitales son volátiles y cualquier manipulación indebida o inadecuada puede acarrear que la evidencia se estropee y pierda validez en un caso judicial.

Imágen tomada de El Espectador: http://www.elespectador.com/tecnologia/articulo147802-el-sherlock-holmes-informatico

Es por esta razón que los procedimientos a llevar a cabo sobre la evidencia digital se deben realizar siguiedo estas fases para preservar la evidencia.

FASE DE IDENTIFICACION

El primer paso que debe realizar el analista es identificar todos aquellos elementos que harán parte de la investigación. A la vez que se identifican deberán ser marcados o rotulados claramente para poder darles adecuado tratamiento a través de todo el proceso.

Un disquette, disco duro, memorias, portátil, todos podrán ser parte de la evidencia y así mismo serán marcados con un identificador único.

Etapa 1: Levantamiento de información Inicial

En esta etapa de la identificación es en la que el administrador del sistema solicita el análisis forense de la evidencia. Para esto debe suministrar al equipo de análisis información como fecha del incidente, duración y detalles del mismo. También información sobre datos de contacto del responsable del sistema afectado como teléfonos, correos, direcciones, etc. Es importante también suministrar información sobre el dispositivo o equipo afectado con el mayor detalle posible, como su dirección IP, marca, modelo, seriales, sistema operativo, etc.

Acá es importante sacar copias de la información para trabajar sobre la copia y no la original. Para esto son útiles las herramientas que permiten sacar imágenes exactas de discos duros para su posterior análisis.

Etapa 2: Asegurar la escena

Los dispositivos que se toman como evidencia en el caso deberán ser correctamente identificados según el tipo de dispositivo, si es un sistema informático, dispositivo móvil, sistemas embebidos, etc., así como también según el medio de almacenamiento. En este punto la evidencia podrá ser volátil si se puede perder al apagar el sistema, por ejemplo se encuentra en ejecución en memoria, y no volátil como en el caso de información almacenada en un disco duro.

Ya teniendo claro el tipo de evidencia que se va a manejar, identificada y marcada, se continúa con la siguiente fase.

FASE DE VALIDACION Y PRESERVACION

Es muy importante preservar correctamente las evidencias recolectadas en la fase anterior. De poco o nada vale recopilar las evidencias si no se lleva un registro exacto de quienes han tenido acceso a ella, pues es el sustento ante un caso judicial de que las mismas no han sido alteradas durante el proceso.

Etapa 1: Copias de la Evidencia

El primer paso es sacar dos copias de las evidencias obtenidas. De esta manera nos aseguramos que mantenemos el original intacto y se trabajará solo con las copias y en todo momento habrá manera de comprobar que la evidencia no ha sido alterada.

Cada copia deberá tener una suma de comprobación de la integridad haciendo uso de funciones como MD5 o SHA1.

Se marcará cada copia con un identificador unico, y esta información quedará consignada junto con la hora y fecha en la cual se sacó la copia, la suma de comprobación y los datos de la persona que realizó la misma.

Etapa 2: Cadena de Custodia

En todo momento se debe conocer quien ha tenido acceso a las evidencias recolectadas. Para esto exsite la cadena de custodia. En cada etapa se preparará un documento donde se registran los datos de las personas que han accedido a la evidencia y en que fechas exactas. Toda la información que se pueda registrar será de apoyo en el proceso, como por ejemplo como se ha transportado la evidencia, a que sitios, etc. Es poder seguirle el rastro a la evidencia y garantizar su integridad.

Fuente: Canal Versión Beta en Youtube. Análisis Forense en Colombia

FASE DE ANALISIS

Existen herramientas que se utilizan para analisar las evidencias digitales. En esta fase se debe identificar cuales de ellas son las más pertinentes para el análisis, y de esta manera conseguir elaborar la línea de tiempo donde se ubique cuando sucedieron los hechos del ataque.

Etapa 1: Preparación para el análisis

En esta etapa lo que se busca es montar todo lo necesario para el análisis de las evidencias. Se necesitará en algunos casos equipos donde se montarán las imágenes de las evidencias para su análisis, sistemas operativos, en fin, lo necesario para este análisis.

Etapa 2: Reconstrucción del ataque

Esta es la etapa que puede tomar mucho más tiempo. Lo que se busca es crear la línea de tiempo con la información recolectada sobre la evidencia, fechas en las que fueron manipulados archivos o borrados. Para esto el analista debe profundizar en el análisis mirando para cada archivo información sobre tamaños de archivo, marcas de tiempo MACD, rutas, permisos.

Habrá que ser muy metódicos y recurrir a herramientas que nos faciliten esta tarea. Se debe establecer que archivos son de mayor interés en el análisis, y una posible guía serán aquellos archivos que fueron accedidos, modificados o borrados más recientemente, tomando como referencia la fecha de instalación del sistema operativo.

Los logs también juegan un papel muy importante en esta etapa pues de ahí el analista puede comparar fechas de registros de eventos del sistema contra las fechas de manipulaciones de los archivos y empezar a armar el rompecabezas para ir acercándose a un veredicto.

Etapa 3: Determinación del ataque

Una vez se haya determinado la línea de sucesos del ataque se pasará a determinar el punto por el cual el atacante ingresó al sistema. Esto pudo ocurrir por accesos no controlados al tener puertos abiertos en la red, sistemas operativos desactualizados, ataques de fuerza bruta, etc.

Etapa 4: Identificación del atacante

Habrá casos en lo que se solicite al analista la identificación del atacante. En este caso el analista hará uso de herramientas para detectar de donde pudo venir el ataque, desde que dirección IP y rastrear esta a quien pertenece.

Etapa 5: Perfil del atacante

Hay distintos tipos de atacantes los cuales podrán ser identificado según el tipo de ataque que han realizado. Entre estos tenemos los hackers, SciptKiddies y profesionales de informática que usan sus conocimientos para realizar el ataque.

Etapa 6: Evaluación del impacto causado en el sistema

No todos los ataques a un sistema tienen el mismo impacto. Algunas veces el atacante sólo ingresa al sistema pero no modifica o altera los archivos. En otras ocasiones si alcanzan a realizar cambios que afectan levemente o gravemente un sistema. En analista deberá medir el impacto causado, pues se podrán tomar medidas para corregir y mitigar el riesgo.

FASE DE DOCUMENTACION Y PRESENTACION DE LAS PRUEBAS

Consiste en documentar todos los pasos realizados sobre la evidencia, para posteriormente realizar los informes técnicos.

Etapa 1: Utilización de formularios de registro del incidente

Entre otros se deberán llenar los siguiente formularios

- Documento de custodia de la evidencia

- Formulario de identificación de equipos y componentes

- Formulario de incidencias tipificadas

- Formulario de publicación del incidente

- Formulario de recogida de evidencias

- Formulario de discos duros.

Etapa 2: Informe técnico

Es la elaboración de un reporte con todos aquellos aspectos técnicos del análisis efectuado. Tendrá un perfil para ser entregado como soporte técnico, dirigido a personal que conozca de los sistemas y pueda manejar este tipo de lenguaje.

Etapa 3: Informe Ejecutivo

Este informe deberá ser mucho más sencillo en su presentación, empleando palabras mucho más entendibles, no dirigidas a personal técnico. En este documento se exponen los hechos ocurridos en el sistema atacado.

Fuente:

http://datateca.unad.edu.co/contenidos/233012/unidad_1/u1_fases_de_la_informatica_forense.pdf