Posts etiquetados ‘análisis forense’

Logo Mundohackertv

Ver el video completo – Online

MUNDOHACKERTV – Análisis Forense Informático

Definición de Análisis Forense

1. El análisis forense se da cuando tienes la sospecha de que algo ha sucedido en un sistema o en un grupo de sistemas, y mediante una orden judicial  requieres extraer las suficientes evidencias para poder analizar qué ha pasado de una forma válida a ojos de un juez, para poder luego incriminar a una persona o entidad.

Lorenzo Martínez.

2. Es un proceso de recabar esas evidencias y preservarlas para que sean válidas ante un juzgado.

Jean Paul.

3. El análisis forense informático es el estudio de cuatro atributos:

  • Identificar
  • Preservar
  • Analizar
  • Presentar

Una serie de evidencias digitales que van a ser correctas a nivel judicial.

Jesus.

Preservar la evidencia

En cuanto a preservar la evidencia se recomienda que el analista forense no realice sus estudios en caliente, es decir; que el sistema comprometido no se encuentre en funcionamiento ya que es más cómodo preservar la evidencia mientras el sistema se encuentra apagado.

Para realizar estos análisis se cuenta con herramientas libres y privativas que  deberían brindar una copia igual y exacta de la evidencia. En esta situación la validez de la copia realizada con o sin certificado debe ser la misma.

¿Para qué se clonan los dispositivos?

La idea de clonar dispositivo es trastear, para después entrar al análisis de la información. Este clon o copia se realiza con el objetivo de que la evidencia original se mantenga. El clon de un dispositivo de almacenamiento se puede hacer bajo Software Libre, Software privativo o bien mediante la utilización de Hardware que se encuentre especializado para estos fines.

Cuando un bien es clonado es necesario que se le calcule su Hash – MD5, para comprobar frente a la evidencia original  que la clonación que se ha realizado es exacta. A partir de este momento es posible continuar trabajando en el análisis.

Recuperar la información 

Después de clonar la evidencia es necesario entrar a recuperar información perdida. Para ello se utilizan herramientas que logren identificar las cabeceras o indices de los archivos que esten perdidos y que  finalmente el sistema de recuperación logre reconstruir dichas cabeceras y por ende rescatar los ficheros extraviados.

Entrega del Informe

La entrega del informe debe ser entendible y con poco tecnisimo. Hay que tener en cuenta que el juez debe entender lo que se ha escrito el el informe forense.

Herramientas forenses

  • Distribución BackTrack
  • Distribución CAINE
  • Autopsy

Recomendaciones para usuarios de Iphone

Instalación de la herramienta Sysinfo Plus, que nos permitirá hacer seguimiento a los procesos que estén levantados en teléfonos Iphone, evitando de esta forma cualquier tipo de  actividad malintencionada.

Palabras del grupo de amigos MundoHackerTV  🙂

by Mauroxan