Tutoriales

Conceptos básicos de la ciencia forense digital

La ciencia forense es el trabajo de investigar pruebas y descubrir los hechos de interés asociados con un incidente. En este artículo solo discutimos algo sobre análisis forense digital. Aquí estamos tratando de dar una introducción a la ciencia forense digital, ya que creemos que es necesario tener un plan de respuesta si uno de nuestros activos, como un servidor o una aplicación web, se ve comprometido. También recomendamos investigar otras fuentes para una formación más completa, ya que este tema va más allá de las herramientas disponibles en Kali Linux. El análisis forense digital es un área de interés en ciberseguridad en rápido crecimiento, con muy pocas personas que la conozcan.

Antes de entrar en el mundo de Digital James Bond, debemos recordar algunas reglas. No mucho, creemos que estas tres reglas deben ser seguidas por un experto en forense digital. Si no seguimos estas reglas, es posible que no hayamos resuelto el caso.

Ahora no es como tocar evidencia física. Significa «nunca trabajar con datos originales», siempre usando una copia de la evidencia para las pruebas forenses. También debemos asegurarnos de no haber alterado los datos cuando hicimos una copia. En el momento en que tocamos o cambiamos los datos originales, nuestro caso se vuelve inútil. La evidencia adulterada nunca puede usarse en un procedimiento legal, independientemente de lo que se encuentre. La razón de esto es que una vez que se ha modificado un original, existe la oportunidad de identificar evidencia falsa que puede tergiversar el incidente real. Un ejemplo es un cambio que ajusta la marca de tiempo en los registros del sistema. No habría forma de distinguir entre este cambio y el error de un analista novato o un atacante que intenta cubrir sus huellas.
La mayoría de los analistas forenses digitales utilizan equipos especializados para copiar datos bit a bit. También existe un software de gran reputación que hace lo mismo. Es importante que nuestro proceso esté muy bien documentado. La mayoría de las copias digitales descartadas en procedimientos legales se eliminaron porque un hash de un medio de almacenamiento, como un disco duro, no coincidía con los datos copiados. El hash de un disco duro no coincide con una copia contaminada, incluso si solo se cambia un bit. Una coincidencia de hash significa que los datos originales, incluidos los registros de acceso al sistema de archivos, la información del disco eliminada y los metadatos, probablemente sean una copia exacta de la fuente de datos original.

La segunda regla importante en el análisis forense digital es que se debe investigar todo lo que pueda almacenar datos. En casos famosos de medios digitales, se ha encontrado evidencia crítica en cámaras, grabadoras DVR, consolas de videojuegos, teléfonos, iPods y otros dispositivos digitales incidentales. Si el dispositivo tiene la capacidad de almacenar datos del usuario, es posible que se utilice en una investigación forense. No dispare un dispositivo solo porque es poco probable. Los delincuentes podrían utilizar un sistema de navegación para automóviles que almacena mapas y música en tarjetas SD para ocultar datos y proporcionar pruebas del uso de Internet en función de las etiquetas de música descargadas.

Esta es la última regla crucial en el análisis forense digital. La mayoría de los recién llegados lo ignoran, pero DEBEMOS asegurarnos de que nuestros resultados estén documentados. Todas las pruebas y los pasos utilizados para llegar a una conclusión deben ser fáciles de entender para que sean creíbles. Más importante aún, nuestros resultados deben ser reproducibles. Los investigadores independientes deben llegar a la misma conclusión que nosotros cuando utilizamos nuestra documentación y técnicas. También es importante que nuestra documentación establezca una línea de tiempo de los eventos, cuándo ocurrieron los detalles y cómo ocurrieron. Todas las conclusiones del cronograma deben estar documentadas.
Una investigación forense tiene que ver con la percepción de ser un profesional de la seguridad que valida la evidencia relacionada con un incidente. Es fácil quedar atrapado en la búsqueda de los malos y sacar conclusiones de las opiniones sobre lo que pudo haber sucedido. Ésta es una de las formas más rápidas de desacreditar nuestro trabajo.

Como especialista forense, solo tenemos que dar los hechos. ¿La persona robó los archivos de Tony Steve o la cuenta que inició sesión con el nombre de usuario Tony tenía una copia del directorio de inicio de la cuenta de usuario Steve en una unidad USB con el número de serie XXX con la marca de tiempo XXX en la fecha XXX? Ver la diferencia El verdadero chico malo podría haber robado las credenciales de Tony (usando los métodos descritos en este libro) y haber robado los datos de Steve mientras se hacía pasar por Tony. El momento en que llega a una conclusión es el momento en que su caso no es concluyente debido a una interferencia personal. Recuerde, a nosotros, como científicos forenses, se nos puede pedir que testifiquemos bajo juramento sobre lo que sucedió exactamente. Cuando algo ajeno a los hechos queda registrado, nuestra credibilidad se pone en tela de juicio.

Conversaciones adicionales

Estas son las reglas básicas de la ciencia forense digital que debemos recordar y seguir en todo momento. La ciencia forense digital no es tan simple y tiene un gran potencial como opción profesional. Como base, necesitamos recopilar la información cuidadosamente y analizada cuidadosamente para extraer evidencia relacionada con el incidente para responder preguntas como se muestra en la siguiente figura:

Eso es por hoy, si seguimos los conceptos básicos y usamos nuestro cerebro y nuestros ojos, podemos resolver casos y convertirnos en un James Bond digital. El mundo necesita un héroe.

¿Te encantan nuestros artículos? Asegúrate de eso Síguenos en Gorjeo y GitHub publicamos actualizaciones de artículos allí. A unirse a nosotros KaliLinuxIn Familia ven a nosotros Grupo de telegramas. Estamos tratando de construir una comunidad para Linux y ciberseguridad. Siempre estamos felices de ayudar a todos en el para todo. como sección. Como sabemos, nuestra sección de comentarios siempre está abierta a todos. Leemos cada comentario y siempre respondemos.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba