Análisis de la evidencia

En esta fase de la investigación, se pueden encontrar grandes cantidades de información, que según el tipo de ataque o suceso que se produjo durante el incidente, puede acarrear gran tiempo de la investigación, en procesos como reconstrucción de la evidencia, e identificación de acciones puntuales. En esta fase, seguramente se requerirá que haga uso de un toolkit especializado, para que no se produzcan cambios en la evidencia original, y facilite el trabajo del investigador, para encontrar más fácilmente rastros y producir informes de forma clara y precisa. Es importante realizar lo siguiente para comenzar a trabajar sobre la evidencia :

• Saber por dónde se va a comenzar, en términos de ubicación física de archivos clave.

• Establecer una línea de tiempo, la cual debe comprender el posible instante en el cual ocurrió el incidente, así como el momento en que se supo de su ocurrencia. Trabajar en lo posible sobre copias exactas de la evidencia original, comprobadas a través de funciones hash como MD5 o SHA1.

Una vez hecho esto, lo ideal sería que los análisis y pruebas realizados sobre los datos de evidencia, se llevaran a cabo en un sistema idealmente idéntico al original donde ocurrió el incidente, esto con el fin de que no se produzcan alteraciones sobre la evidencia original, y que el trabajo sea certero debido al entorno y un poco más flexible; esto se conoce como preparación del entorno de trabajo .

El siguiente paso consiste en intentar recuperar la información que se encuentre ya sea eliminada o modificada, teniendo en cuenta que estas acciones se hayan producido durante la línea de tiempo que se planteo en un comienzo. Una buena práctica, seria comenzar por buscar datos que se supone, no deben cambiar su estado, ya que estos son uno de los objetivos principales de los atacantes, así mismo como instalaciones de elementos extraños que hayan permitido al atacante la modificación y/o eliminación de datos implicados, ya que con esto es posible acotar mejor la línea de tiempo

12 julio, 2014
Juan Carlos Osorio
Legal

Juan Carlos Osorio

Ingeniero del laboratorio de E--‐Evidence forense informático , Tiene más de 20 años de experiencia en consultoría en investigación. Administra y complejas investigaciones de fraude corporativo que involucran aspectos financieros, Especialista En Seguridad Informática de la Universidad Autónoma del Occidente, certificada como primer respondiente de incidentes informáticos en manejo de Evidencias digitales – Department of states united states of america , Certificado en Auditoría Interna ISO 27001 , Certificado en criminalidad Informática Universidad de los andes , Certificado ENCASE , FTK – Guidance . Certification Wet Stone Technologies, Certification The Investigation of Transnational and Organized Intellectual Property (IP) Crime INTERPOL, Certification HBgary. Certificado Ethical Pentester , Certificado en entrenamiento Evaluación, de seguridad con la implementación de un CSIRI, Certifies Consultation on Computer Forensic Equipment - Department of states united states of america, Docente y Conferencista nacional e internacional etc.

Juan Carlos Osorio

UNA REALIDAD… NUEVOS ESCENARIOS

TECNOLOGÍA APLICADA A LA FIGURA DEL AGENTE ENCUBIERTO VIRTUAL. ASPECTOS PROCESALES PARA SU USO

Definicion Análisis de la evidencia