Se reconocen como fases de informática forense, aquellos procedimientos que los investigadores profesionales tienen en cuentan para mantener la idoneidad en el procedimiento forense, tales como: identificación: se realiza estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disquette o un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización. Validación y preservación de los datos adquiridos: realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación. Análisis y descubrimiento de evidencia: realizar una colección de pruebas en el laboratorio sobre la copia validada. Informe: se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.
Fase de Identificación: la fase de identificación se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense).
Fase de Validación y preservación: aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en tal caso se deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación.
Fase de Análisis: antes de iniciar esta fase se deben preparar herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores. Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, iniciamos la fase más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. En esta fase es importante mencionar las etapas que la proceden: Etapa 1: Preparación para el análisis. Etapa 2: Reconstrucción del ataque. Etapa 3: Determinación del ataque. Etapa 4: Identificación del atacante. Etapa 5: Perfil del atacante. Etapa 6: Evaluación del impacto causado al sistema.
Fase de Documentación y Presentación de las pruebas: se le da valor a la toma de notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.
Para finalizar, es de vital importancia tener en cuenta la línea de tiempo de la investigación ya que constituye el marco que permite a un investigador indagar en base a un criterio de tiempo determinando que ficheros pueden o no ser importantes para el caso. La línea de tiempo se define en 2 momentos dentro de una investigación:
La línea previa: surge con la entrevista inicial, nos muestra la pauta para iniciar los análisis y hace referencia a los detalles de tiempos y sucesos iniciales dados por las personas que nos encarga la investigación. Y, la línea de investigación: Se inicia con la fase del análisis, las conclusiones previas permitirían establecer un inicio, pero la línea de tiempo más exacta se vera durante la fase del análisis. Esta línea de tiempo se hace con las evidencias encontradas dentro del análisis.
No hay comentarios:
Publicar un comentario