Informatica Forense - Ensayo

Informática Forense

La informática forense es la práctica de recopilar, analizar e informar sobre datos digitales de una manera que sea legalmente admisible. Puede ser utilizado en la detección y prevención de delitos y en cualquier disputa donde la evidencia se almacena digitalmente. Informática forense sigue un proceso similar a otras disciplinas forenses, y enfrenta problemas similares.

La informática forense es una práctica meticulosa. Cuando se sospecha de un delito que involucra la electrónica, un investigador forense de computador toma cada uno de los siguientes pasos para alcanzar - con suerte - una conclusión exitosa:

1. Obtener la autorización para buscar y aprehender.
2. Asegurar el área, que puede ser una escena del crimen.
3. Documentar la cadena de custodia de cada artículo que fue confiscado.
4. Sacar, etiquetar y transportar con seguridad el equipo y la evidencia electrónica.
5. Adquirir la evidencia electrónica del equipo usando métodos y herramientas forenses para crear una imagen forense de la evidencia electrónica.

Mantenga el material original en un lugar seguro y seguro.

1. Diseñe su estrategia de revisión De la evidencia electrónica, incluyendo listas de palabras clave y términos de búsqueda.
2. Examinar y analizar imágenes forenses de la evidencia electrónica (nunca la original!) De acuerdo con su estrategia.
3. Interpretar y hacer inferencias basadas en hechos recopilados en la evidencia electrónica. Revisa tu trabajo.
4. Describa su análisis y conclusiones en un informe fácil de entender y claramente escrito.
5. Preste testimonio bajo juramento en una deposición o tribunal.

Hay pocas áreas del crimen o de la discusión donde la forense de la computadora no puede ser aplicada. Las agencias de aplicación de la ley han estado entre los usuarios más tempranos y más pesados ​​de la informática forense y consecuentemente han estado a menudo en la vanguardia de los acontecimientos en el campo.

Las computadoras pueden constituir una «escena de un crimen», por ejemplo, con ataques de piratería informática [1] o de denegación de servicio [2] o pueden contener pruebas en forma de correos electrónicos, antecedentes de Internet, documentos u otros archivos relacionados con delitos como el asesinato , Secuestro, fraude y tráfico de drogas.

No es sólo el contenido de correos electrónicos, documentos y otros archivos que pueden ser de interés para los investigadores, sino también los 'metadatos' [3] asociados con esos archivos. Un examen forense de computadora puede revelar cuando un documento apareció por primera vez en un equipo, cuando fue editado por última vez, cuando fue guardado o impreso por última vez y qué usuario llevó a cabo estas acciones.

Más recientemente, las organizaciones comerciales han utilizado la informática forense en su beneficio en una variedad de casos, tales como;

* Robo de Propiedad Intelectual

* Espionaje industrial

* Disputas laborales

* Investigaciones de fraude

Falsificaciones

* Investigaciones de quiebra

* Uso inapropiado de correo electrónico e internet en el lugar de trabajo

* Cumplimiento normativo

¿En qué situaciones serían necesarios cambios en la computadora de un sospechoso por un examinador forense de computadoras?

Tradicionalmente, el examinador forense de la computadora haría una copia (o adquirirá) la información de un dispositivo que se apague. Un bloqueador de escritura [4] sería utilizado para hacer un bit exacto para la copia bit [5] del medio de almacenamiento original. El examinador trabajaría de esta copia, dejando el original demostradamente inalterado.

Sin embargo, a veces no es posible o deseable apagar una computadora. Puede que no sea posible si, por ejemplo, ello ocasionara pérdidas financieras o de otra índole para el propietario. El examinador también puede desear evitar una situación en la que apagar un dispositivo puede hacer que la evidencia valiosa se pierda permanentemente. En ambas circunstancias, el examinador forense de computadoras necesitaría llevar a cabo una "adquisición en vivo" que implicaría ejecutar un pequeño programa en el ordenador sospechoso con el fin de copiar (o adquirir) los datos al disco duro del examinador.

Al ejecutar tal programa y adjuntar una unidad de destino a la computadora sospechosa, el examinador hará cambios y / o adiciones al estado de la computadora que no estaban presentes antes de sus acciones. Sin embargo, las pruebas producidas se considerarán generalmente admisibles si el examinador pudiera demostrar por qué se consideraron necesarias tales acciones, que registraron esas acciones y que deben explicar a un tribunal las consecuencias de esas acciones.

5. Etapas de un examen

Hemos dividido el proceso de examen forense en seis etapas, presentadas en su orden cronológico habitual.

Preparación

La preparación forense es una etapa importante y ocasionalmente pasada por alto en el proceso de examen. En informática forense comercial puede incluir educar a los clientes sobre la preparación del sistema; Por ejemplo, los exámenes forenses proporcionarán pruebas más sólidas si las funciones de auditoría de un dispositivo se han activado antes de que se produzca cualquier incidente.

Para el examinador forense, la preparación incluirá capacitación apropiada, pruebas regulares y verificación de su software y equipo, familiaridad con la legislación, problemas inesperados (por ejemplo, qué hacer si las imágenes indecentes de niños se encuentran presentes durante un trabajo comercial) y Asegurando que el kit de adquisición (extracción de datos) en el sitio está completo y en buen estado de funcionamiento.

Evaluación

La etapa de evaluación incluye la recepción de instrucciones, la aclaración de esas instrucciones si son poco claras o ambiguas, el análisis de riesgos y la asignación de funciones y recursos. El análisis de riesgos para la aplicación de la ley puede incluir una evaluación sobre la probabilidad de amenaza física al ingresar a la propiedad de un sospechoso y la mejor manera de contrarrestarla.

Las organizaciones comerciales también deben ser conscientes de las cuestiones de salud y seguridad, conflictos de intereses y de los posibles riesgos - financieros y de su reputación - en la aceptación de un proyecto en particular.

...