Aplicativos para realizar análisis forense

Herramientas de software que comúnmente son utilizadas en la informática forense, estás permiten realizar análisis, permiendo realizar exploración de la evidencia, como los archivos, el sistema operativo (SO), los usuarios, las acciones realizadas.

A continuación se presentan las más comunes:

- EnCase (http://www.guidancesoftware.com)

- Osforensics 

- Access Data Forensic Tool Kit (Ftk)

- Forense Toolkit (TCT)

- Caine

Imagen 9. EnCase ForensicV7.10

Fuente: https://www.guidancesoftware.com/products/PublishingImages/forensic/01encase_forensic-s.jpg

Esteganografía

El arte de ocultar, es una práctica  de estrategias y técnicas que permite enviar información de forma que el mensajero o la persona que no esta implicada no acceda a esta, solo llegue el mensaje de emisor a receptor.

En tiempos antiguos, más de 400 antes de Cristo es utilizada está práctica:

- Herodoto, las tablillas de archilla

- En la cabeza de los esclavos se ocultaba un mensaje, tatuado en el cuero cabelludo.

- En la Segunda Guerra Mundial, perforaciones sobre letras

- Tinta invisible

Del griego steganos (oculto) y graphos (escritura), la esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. (INTECO, 2010).

Imagen 10. Imagen en formato .bpm para ocultar otro tipo de archivo

Mediante, las herramientas adecuadas y diferentes técnicas se puede realizar la encriptación (cifrado) de un mensaje y la desencriptación (descifrado) del mismo cuyo fin es que solo sea visualizado solo a quien se le envía este tipo de información.

Ejemplo mediante la utilización de una imagen se puede ocultar información, pero esta imagen tiene que contener características .bpm y asi se puede enviar un mensaje oculto que solo el recepto teniendo conocimiento de como desencriptar dicho mensaje podra acceder a el.

Fase de documentación y presentación de las pruebas

Cada paso identificado en la evidencia debe ser documentado, desde la fecha de inicio hasta la fecha donde se resolvió, es decir una vez finalizado el proceso de análisis forense, por lo cual para concluir se debe tener en cuenta llevar a cabo los siguientes pasos:

1. Utilización de formularios de registro de incidente

Los formularios permiten la elaboración del informe técnico y ejecutivo, los cuales son llenados por los departamentos, áreas afectadas o administrador del equipo.

- Formulario de identificación de equipos y componentes

- Formulario de incidencias tipificadas

- Formulario de publicación del incidente

- Formulario de recogida de evidencias

- Formulario de discos duros.

2. Informe técnico

Es la descripción detallada del análisis efectuado, que incluye la metodolía utilizada, técnicas y hallazgos, los cuales hacen parte de las tres primeras etapas.

3. Informe ejecutivo

Este es el resumen del análisis realizado, escrito de forma legible para exponer lo sucedido a la organización.

- Introducción

- Análisis

- Sumario

- Principales conclusiones

- Solución del incidente

- Recomendaciones finales

Fuente: http://www.cromacomunicacion.com/wp-content/uploads/imagen_presidencia_fulp.jpg

Fase de análisis

En esta fase, se realiza la reconstrucción de los hechos que dieron lugar al ataque informático, desde el inicio de este hasta el descubrimiento del mismo. Es aquí donde se identifica: qué, quiénes, cuándo, cómo, dónde y que daños a causado.

1. Preparación para el análisis
2. Reconstrucción del ataque
3. Determinación del ataque
4. Identificación del atacante
5. Perfil del atacante
6. Evaluación del impacto causado al sistema

Imagen 8. Fase Análisis

Imagen 9. Línea temporal MACD

Fase de validación y preservación

En esta fase se debe documentar de forma clara como se ha preservado la evidencia después de la recopilación. Las evidencias deben conservarsen intactas puesto que son "huellas del crimen", en este paso a toda costa se debe buscar la forma de preservar la información (UNAD, 2013). Este consta de las siguientes etapas:

1. Copias de evidencia
2. Cadenas de custodia

Imagen 5. Copias de evidencia

Imagen 6. Cadena de Custodia

Fase de identificación

La identificación debe asegurar la preservación de la evidencia, a patir de la recolección de la información. Como se decía anteriormente, esta se refiere al levantamiento de la información, la cuál contine las siguientes etapas:

1. Levantamiento de información inicial para el análisis forense
2. Asegurar la escena

Imagen 3. Levantamiento de información

Imagen 4. Asegurar la evidencia

Fases de la informática forense

Fuente: http://www.redusers.com/noticias/wp-content/uploads/2011/09/ciberdelito1.png

Como parte de la informática forense, existen procesos especiales al identificarse un posible delito informático, por lo cual se requiere de idoneidad para el proceso, es preciso tener en cuenta las fases que un especialista de informática forense debe tener en cuenta para este tema, tales como medidas de seguridad y control. Los procedimientos llevados a cabo se dividen en tres fases.

Fase de identificación

En esta primera fase se realiza la recopilación de toda la información, en la escena del delito informático, donde ha ocurrido y fuente donde se originó.

Fase de validación y preservación de los datos

En este punto se documenta toda las pruebas recolectadas, y allí se define los controles de preservación de la información para almacenimiento, etiquetado de las evidencias.

Fase de análisis y descubrimiento de la evidencia

Se preparan técnicas, herramientas, autorizaciones, responsables y soporte administrativo para dar inicio al análisis. Cuyo objetivo es determinar los acontecimientos que dieron lugar al inicio del ataque hasta el momento del descubrimiento (UNAD, 2013). El análisis es concluido una vez se identifica comó, quiénes, cuándo, dondé y qué produjo el ataque, que objetivo tenía este.