Mejores prácticas para la informática forense en el campo - inteligenciaes

Mejores prácticas para la informática forense en el campo

[ad_1]

Introducción

Los examinadores forenses informáticos son responsables de la agudeza técnica, el conocimiento de la ley y la objetividad en el curso de las investigaciones. El éxito se basa en resultados informados verificables y repetibles que representan evidencia directa de sospecha de irregularidades o posible exoneración. Este artículo establece una serie de mejores prácticas para el practicante de informática forense, que representan la mejor evidencia para soluciones defendibles en el campo. Las mejores prácticas en sí mismas están destinadas a capturar aquellos procesos que han demostrado repetidamente ser exitosos en su uso. Este no es un libro de cocina. Las mejores prácticas están destinadas a ser revisadas y aplicadas en función de las necesidades específicas de la organización, el caso y el entorno del caso.

Conocimiento del trabajo

Un examinador solo puede estar informado cuando ingresa al campo. En muchos casos, el cliente o el representante del cliente proporcionará alguna información sobre cuántos sistemas están en cuestión, sus especificaciones y su estado actual. Y con la misma frecuencia, están críticamente equivocados. Esto es especialmente cierto cuando se trata de tamaños de disco duro, descifrado de computadoras portátiles, pirateo de contraseñas e interfaces de dispositivos. Una incautación que devuelva el equipo al laboratorio debe ser siempre la primera línea de defensa, proporcionando la máxima flexibilidad. Si debe actuar en el sitio, cree una lista de trabajo completa de información que se recopilará antes de salir al campo. La lista debe constar de pequeños pasos con una casilla de verificación para cada paso. El examinador debe estar completamente informado de su próximo paso y no tener que “pensar en sus pies”.

Sobreestimar

Sobreestime el esfuerzo en al menos un factor de dos, la cantidad de tiempo que necesitará para completar el trabajo. Esto incluye acceder al dispositivo, iniciar la adquisición forense con la estrategia adecuada de bloqueo de escritura, completar la documentación correspondiente y la cadena de custodia, copiar los archivos adquiridos a otro dispositivo y restaurar el hardware a su estado inicial. Tenga en cuenta que es posible que necesite manuales de taller que le indiquen cómo desarmar dispositivos pequeños para acceder a la unidad, lo que crea más dificultades para lograr la adquisición y la restauración del hardware. Viva según la ley de Murphy. Algo siempre te desafiará y tomará más tiempo del anticipado, incluso si lo has hecho muchas veces.

Lee mas  Absceso pulmonar - Tratamiento herbal ayurvédico

Equipo de inventario La mayoría de los examinadores tienen suficiente variedad de equipos que les permiten realizar adquisiciones forenses sólidas de varias formas. Decida de antemano cómo le gustaría llevar a cabo la adquisición de su sitio de manera ideal. Todos veremos que el equipo se estropea o que alguna otra incompatibilidad se convierte en un obstáculo en el momento más crítico. Considere llevar dos bloqueadores de escritura y una unidad de almacenamiento masivo adicional, limpia y lista. Entre trabajos, asegúrese de verificar su equipo con un ejercicio de hash. Verifique dos veces y haga un inventario de todo su equipo usando una lista de verificación antes de despegar.

Adquisición flexible

En lugar de tratar de hacer “las mejores conjeturas” sobre el tamaño exacto del disco duro del cliente, utilice dispositivos de almacenamiento masivo y, si el espacio es un problema, un formato de adquisición que comprimirá sus datos. Después de recopilar los datos, cópielos en otra ubicación. Muchos examinadores se limitan a adquisiciones tradicionales en las que se rompe la máquina, se quita la unidad, se coloca detrás de un bloqueador de escritura y se adquiere. También existen otros métodos de adquisición que ofrece el sistema operativo Linux. Linux, iniciado desde una unidad de CD, permite al examinador realizar una copia sin formato sin comprometer el disco duro. Familiarícese lo suficiente con el proceso para comprender cómo recopilar valores hash y otros registros. La adquisición en vivo también se analiza en este documento. Deje la unidad con la imagen con el abogado o el cliente y lleve la copia a su laboratorio para su análisis.

Tirar del enchufe

Se produce una acalorada discusión sobre lo que uno debe hacer cuando se encuentra con una máquina en funcionamiento. Existen dos opciones claras; desenchufar o realizar un apagado limpio (suponiendo que pueda iniciar sesión). La mayoría de los examinadores desconectan, y esta es la mejor manera de evitar que se ejecute cualquier tipo de proceso malévolo que pueda borrar y borrar datos o algún otro error similar. También permite al examinador acceder para crear una instantánea de los archivos de intercambio y otra información del sistema tal como se ejecutó por última vez. Cabe señalar que desconectar el conector también puede dañar algunos de los archivos que se ejecutan en el sistema, haciendo que no estén disponibles para el examen o el acceso del usuario. Las empresas a veces prefieren un cierre limpio y se les debe dar la opción después de que se les explique el impacto. Es fundamental documentar cómo se derribó la máquina porque será un conocimiento absolutamente esencial para el análisis.

Lee mas  Cómo tomar una captura de pantalla en Windows 7

Adquisiciones en vivo

Otra opción es realizar una adquisición en vivo. Algunos definen “en vivo” como una máquina en funcionamiento tal como se encuentra, o para este propósito, la máquina en sí estará funcionando durante la adquisición a través de algún medio. Un método es arrancar en un entorno Linux personalizado que incluye suficiente soporte para tomar una imagen del disco duro (a menudo entre otras capacidades forenses), pero el kernel se modifica para que nunca toque la computadora host. También existen versiones especiales que permiten al examinador aprovechar la función de ejecución automática de la ventana para realizar la respuesta a incidentes. Estos requieren un conocimiento avanzado de Linux y experiencia en informática forense. Este tipo de adquisición es ideal cuando, por razones de tiempo o complejidad, el desmontaje de la máquina no es una opción razonable.

Los fundamentos

Un descuido sorprendentemente descarado que los examinadores suelen hacer es descuidar el arranque del dispositivo una vez que el disco duro está fuera de él. La verificación del BIOS es absolutamente fundamental para poder realizar un análisis completamente validado. Se deben informar la hora y la fecha informadas en el BIOS, especialmente cuando las zonas horarias son un problema. Se encuentra disponible una gran variedad de otra información según el fabricante que haya escrito el software BIOS. Recuerde que los fabricantes de unidades también pueden ocultar ciertas áreas del disco (áreas protegidas de hardware) y su herramienta de adquisición debe poder hacer una copia de flujo de bits completo que lo tenga en cuenta. Otra clave que debe comprender el examinador es cómo funciona el mecanismo de hash: algunos algoritmos de hash pueden ser preferibles a otros, no necesariamente por su solidez tecnológica, sino por cómo pueden percibirse en una sala de audiencias.

Lee mas  Elegir el curso de formación PHP adecuado

Almacenar de forma segura

Las imágenes adquiridas deben almacenarse en un entorno protegido y no estático. Los examinadores deben tener acceso a una caja fuerte cerrada en una oficina cerrada. Las unidades deben almacenarse en bolsas antiestáticas y protegerse mediante el uso de materiales de embalaje no estáticos o el material de envío original. Cada unidad debe estar etiquetada con el nombre del cliente, la oficina del abogado y el número de prueba. Algunos examinadores copian las etiquetas de las unidades de disco en la fotocopiadora, si tienen acceso a una durante la adquisición y esto debe almacenarse con la documentación del caso. Al final del día, cada unidad debe vincularse con un documento de cadena de custodia, un trabajo y un número de evidencia.

Establecer una política

Muchos clientes y abogados presionarán por la adquisición inmediata de la computadora y luego se quedarán sentados en la evidencia durante meses. Deje en claro con el abogado cuánto tiempo está dispuesto a mantener la evidencia en su laboratorio y cobre una tarifa de almacenamiento para trabajos críticos o de gran escala. Es posible que esté almacenando evidencia crítica de un delito o acción civil y, si bien desde una perspectiva de marketing puede parecer una buena idea guardar una copia de la unidad, puede ser mejor desde la perspectiva del caso devolver todas las copias al abogado. o cliente con la documentación apropiada de la cadena de custodia.

Conclusión

Los examinadores informáticos tienen muchas opciones sobre cómo llevar a cabo una adquisición in situ. Al mismo tiempo, la adquisición in situ es el entorno más volátil para el examinador. Las herramientas pueden fallar, las limitaciones de tiempo pueden ser severas, los observadores pueden agregar presión y los sospechosos pueden estar presentes. Los examinadores deben tomar en serio el mantenimiento de sus herramientas y el desarrollo del conocimiento continuo para aprender las mejores técnicas para cada situación. Utilizando las mejores prácticas en este documento, el examinador debe estar preparado para casi cualquier situación que pueda enfrentar y tener la capacidad de establecer metas y expectativas razonables para el esfuerzo en cuestión.

[ad_2]

Leave a Comment