sábado, 2 de agosto de 2014

Introducción y conceptos básicos de Computo Forense.


Bien, empecemos con este nuevo proyecto que traigo en mente, espero sea de su agrado... :)

Objetivo:

Familiarizarse con los conceptos básicos del computo forense.


Empecemos:

Que es la computo forense?????

Básicamente el computo forense esta relacionado con la preservación, identificación, recolección, documentación e interpretación de datos de una computadora.

Para que me puede servir????
  • Saber quién es el intruso.
  • Qué fue lo que hizo (rastreo de las actividades del intruso).
  • Cómo lo hizo (metodología, vulnerabilidades,    herramientas empleadas, etc.)
  • Cuándo lo hizo.
  • Valoración de daños ocasionados por el intruso. Qué vio, modificó, copió, transfirió, instaló, eliminó, etc.
  • Identificar, recolectar y preservar evidencia en caso de un procedimiento legal.
  • Otros no relacionados, tal como: resolución de problemas, monitoreo, recuperación de datos, etc.

Por que requieren el computo forense???
  • Abuso interno de empleados de una organización.
  • Revelación no autorizada de información y datos corporativos ya sea de forma accidental o intencional
  • Robo de propiedad intelectual (patentes, base de datos de clientes, información financiera, etc.)
  • Espionaje industrial
  • Evaluación de daños relacionados con un incidente.
  • Fraude criminal
  • Etc...
Aspectos Legales
  • En el campo de las leyes, la evidencia lo es todo.
  • La evidencia es utilizada para establecer o descartar hechos; por ejemplo, si una persona en específico realizó un acto ilegal o no.
  • Los especialistas en cómputo forense no pueden ser subjetivos.
  • La evidencia recolectada debe ser precisa, confiable, inalterable y suficiente.

Fases del proceso de la investigación:

  • No existe un método único para llevar a cabo una investigación.La investigación digital se puede basar en el proceso de investigación física de la escena del crimen.
  • El proceso se divide en tres grandes fases: preservación del sistema, búsqueda de evidencia y reconstrucción de eventos.
  • Cabe señalar que las fases no necesariamente ocurren en secuencia.

Pasos a seguir en una investigación:

  • Preparación: herramientas, equipo de trabajo, datos del incidente. 
  • Aseguramiento de la escena: perímetro, control de acceso, cadena de custodia, etc. 
  • Entrevistas y reconocimiento: identificación de potenciales fuentes de evidencia por ejemplo tarjetas de memoria, cables de conexión a la computadora, accesorios, etc. 
  • Documentación de la escena: fotografías, bosquejos, diagramas, etc. de la escena.
  • Recolección de datos volátiles: Si el equipo no ha sido reiniciado podemos encontrar evidencia volátil valiosa.
  • Recolección de datos no volátiles: además de los discos duros, incluye la recolección de datos de tarjetas de memoria, tarjetas SIM (Subscriber Identity Module), etc.
  • Preservación: empacado, transportación y almacenamiento del dispositivo.
  • Preparación: antes de iniciar se debe respaldar la evidencia ya que la original pudiera perderse. Se emplean técnicas comunes como búsqueda de cadenas de texto, reducción de archivos a analizar, etc.
  • Análisis: se analiza la evidencia correlacionando datos, reconstruyendo eventos, obteniendo conclusiones, etc.
  • Presentación: se elabora el reporte y se presentan los hallazgos, conclusiones y opiniones de experto.
CONTINUARA...


Publicadas por a la/s

3 comentarios:

  1. Anónimo12 de agosto de 2014 a las 8:58 a.m.

    Estare a la expectativa de este material me interesa mucho

    ResponderBorrar
  2. Anónimo13 de agosto de 2014 a las 2:00 p.m.

    Para ser la primera introduccion, me parecio muy detallado e informativo,,,, gracias¡¡

    ResponderBorrar
  3. Anónimo14 de agosto de 2014 a las 9:35 a.m.

    Dale no mas, estaremos esperando

    ResponderBorrar

Suscribirse a: Comentarios de la entrada (Atom)