Informática forense

Ciencia forense
Parte de una serie sobre

Fisiológico Antropología Biología Análisis del patrón de manchas de sangre Odontología Fenotipado de ADN Perfil de ADN Entomología Epidemiología Limnología Medicamento Palinología Patología Podología Toxicología
Social Psiquiatría Psicología Psicoterapia Trabajo Social
Criminalística Contabilidad Identificación del cuerpo Química Colorimetría Forense electoral Reconstrucción facial Análisis de huellas dactilares Examen de armas de fuego Evidencia de calzado Artes forenses Perfilado Análisis de huella de guante Análisis palmprint Examen de documentos cuestionados Emparejamiento de venas Geofísica forense Geología forense
Forense digital Exámenes de computadora Análisis de los datos Estudio de base de datos Análisis de malware Dispositivos móviles Análisis de red Fotografía Análisis de video Análisis de audio
Disciplinas afines Ingenieria Eléctrica Ingenieria Investigación de incendios Detección de acelerante de fuego Fractografía Lingüística Ingeniería de materiales Ingeniería de polímeros Estadísticas Reconstrucción de colisiones de tráfico
Artículos relacionados Escena del crimen Efecto CSI Síndrome de Perry Mason Calendario de polen Marca de patín Rastrear pruebas Uso de ADN en entomología forense
Esquema Categoría
v t mi

El análisis forense informático no se limita solo a los medios informáticos

La informática forense (también conocida como ciencia forense informática ^[1] ) es una rama de la ciencia forense digital relacionada con la evidencia encontrada en las computadoras y los medios de almacenamiento digital . El objetivo de la informática forense es examinar los medios digitales de una manera forense sólida con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital.

Aunque se asocia con mayor frecuencia con la investigación de una amplia variedad de delitos informáticos, la informática forense también se puede utilizar en procedimientos civiles. La disciplina involucra técnicas y principios similares a la recuperación de datos , pero con pautas y prácticas adicionales diseñadas para crear una pista de auditoría legal .

La evidencia de las investigaciones forenses informáticas generalmente está sujeta a las mismas pautas y prácticas de otras pruebas digitales. Se ha utilizado en una serie de casos de alto perfil y se está volviendo ampliamente aceptado como confiable dentro de los sistemas judiciales de EE. UU. Y Europa.

Resumen [ editar ]

A principios de la década de 1980, las computadoras personales se volvieron más accesibles para los consumidores, lo que llevó a su mayor uso en actividades delictivas (por ejemplo, para ayudar a cometer fraudes ). Al mismo tiempo, se reconocieron varios nuevos "delitos informáticos" (como craqueo ). La disciplina de la informática forense surgió durante este tiempo como un método para recuperar e investigar pruebas digitales para su uso en los tribunales. Desde entonces, los delitos informáticos y los delitos relacionados con la informática han crecido y se han disparado un 67% entre 2002 y 2003. ^[2] Hoy en día se utiliza para investigar una amplia variedad de delitos, incluidos la pornografía infantil , el fraude, el espionaje y el acoso cibernético., asesinato y violación. La disciplina también figura en los procedimientos civiles como una forma de recopilación de información (por ejemplo, descubrimiento electrónico )

Se utilizan técnicas forenses y conocimientos especializados para explicar el estado actual de un artefacto digital , como un sistema informático, un medio de almacenamiento (por ejemplo, disco duro o CD-ROM ) o un documento electrónico (por ejemplo, un mensaje de correo electrónico o una imagen JPEG). ^[3] El alcance de un análisis forense puede variar desde la simple recuperación de información hasta la reconstrucción de una serie de eventos. En un libro de 2002, Computer Forensics , los autores Kruse y Heiser definen la informática forense como "la preservación, identificación, extracción, documentación e interpretación de datos informáticos". ^[4]Continúan describiendo la disciplina como "más un arte que una ciencia", lo que indica que la metodología forense está respaldada por la flexibilidad y un amplio conocimiento del dominio. Sin embargo, aunque se pueden utilizar varios métodos para extraer pruebas de una computadora determinada, las estrategias utilizadas por las fuerzas del orden son bastante rígidas y carecen de la flexibilidad que se encuentra en el mundo civil. ^[5]

Usar como evidencia [ editar ]

En los tribunales, las pruebas forenses informáticas están sujetas a los requisitos habituales para las pruebas digitales . Esto requiere que la información sea auténtica, obtenida de manera confiable y admisible. ^{[6] Los} diferentes países tienen pautas y prácticas específicas para la recuperación de evidencia. En el Reino Unido , los examinadores a menudo siguen las pautas de la Asociación de Jefes de Policía que ayudan a garantizar la autenticidad e integridad de las pruebas. Si bien son voluntarias, las directrices son ampliamente aceptadas en los tribunales británicos.

La informática forense se ha utilizado como prueba en el derecho penal desde mediados de la década de 1980, algunos ejemplos notables incluyen: ^[7]

BTK Killer: Dennis Rader fue condenado por una serie de asesinatos en serie que ocurrieron durante un período de dieciséis años. Hacia el final de este período, Rader envió cartas a la policía en un disquete. Los metadatos de los documentos implicaban a un autor llamado "Dennis" en "Christ Lutheran Church"; esta evidencia ayudó a conducir al arresto de Rader.
Joseph Edward Duncan : una hoja de cálculo recuperada de la computadora de Duncan contenía evidencia que lo mostraba planeando sus crímenes. Los fiscales utilizaron esto para mostrar premeditación y asegurar la pena de muerte . ^[8]
Sharon Lopatka : Cientos de correos electrónicos en la computadora de Lopatka llevan a los investigadores a su asesino, Robert Glass. ^[7]
Corcoran Group : Este caso confirmó los deberes de las partes de preservar la evidencia digital cuando el litigio ha comenzado o se anticipa razonablemente. Los discos duros fueron analizados por un experto en informática forense que no pudo encontrar los correos electrónicos relevantes que deberían haber tenido los Demandados. Aunque el experto no encontró evidencia de eliminación en los discos duros, surgió evidencia de que se descubrió que los acusados habían destruido correos electrónicos intencionalmente, y engañaron y no revelaron hechos materiales a los demandantes y al tribunal.
Dr. Conrad Murray : El Dr. Conrad Murray, el médico del fallecido Michael Jackson , fue condenado parcialmente por evidencia digital en su computadora. Esta evidencia incluía documentación médica que mostraba cantidades letales de propofol .

Proceso forense [ editar ]

Un bloqueador de escritura portátil de Tableau conectado a un disco duro

Las investigaciones forenses informáticas suelen seguir el proceso o las fases forenses digitales estándar que son la adquisición, el examen, el análisis y la presentación de informes. Las investigaciones se realizan en datos estáticos (es decir, imágenes adquiridas ) en lugar de sistemas "en vivo". Este es un cambio de las primeras prácticas forenses donde la falta de herramientas especializadas llevó a los investigadores a trabajar comúnmente con datos en vivo.

Técnicas [ editar ]

Se utilizan varias técnicas durante las investigaciones forenses informáticas y se ha escrito mucho sobre las muchas técnicas utilizadas por las fuerzas del orden en particular.

Análisis de transmisión cruzada: Una técnica forense que correlaciona la información que se encuentra en varios discos duros . El proceso, aún en investigación, se puede utilizar para identificar redes sociales y realizar la detección de anomalías . ^[9]^[10]

Análisis en vivo: El examen de equipos desde el sistema operativo mediante análisis forense personalizado o herramientas de administrador de sistemas existentes para extraer pruebas. La práctica es útil cuando se trata de sistemas de archivos cifrados , por ejemplo, donde se pueden recopilar las claves de cifrado y, en algunos casos, se puede obtener una imagen del volumen del disco duro lógico (lo que se conoce como adquisición en vivo) antes de que se apague la computadora.

Archivos eliminados: Una técnica común utilizada en la informática forense es la recuperación de archivos eliminados. El software forense moderno tiene sus propias herramientas para recuperar o crear datos eliminados. ^[11] La mayoría de los sistemas operativos y de archivos no siempre borran los datos de los archivos físicos, lo que permite a los investigadores reconstruirlos a partir de los sectores del disco físico . La talla de archivos implica buscar encabezados de archivos conocidos dentro de la imagen del disco y reconstruir los materiales eliminados.

Forense estocástico: Un método que utiliza propiedades estocásticas del sistema informático para investigar actividades que carecen de artefactos digitales. Su uso principal es investigar el robo de datos .

Esteganografía: Una de las técnicas utilizadas para ocultar datos es a través de la esteganografía, el proceso de ocultar datos dentro de una imagen o imagen digital. Un ejemplo sería ocultar imágenes pornográficas de niños u otra información que un delincuente determinado no quiere que se descubra. Los profesionales de la informática forense pueden combatir esto mirando el hash del archivo y comparándolo con la imagen original (si está disponible). Si bien las imágenes parecen idénticas en la inspección visual, el hash cambia a medida que cambian los datos. ^[12]

Datos volátiles [ editar ]

Los datos volátiles son cualquier dato que se almacena en la memoria, o existe en tránsito, que se perderá cuando la computadora se apague o se apague. Los datos volátiles residen en registros, caché y memoria de acceso aleatorio (RAM). La investigación de estos datos volátiles se denomina "análisis forense en vivo".

Al incautar pruebas, si la máquina aún está activa, se puede perder cualquier información almacenada únicamente en la RAM que no se recupere antes de apagarla. ^[8] Una aplicación del "análisis en vivo" es recuperar datos de RAM (por ejemplo, usando la herramienta COFEE de Microsoft , WinDD, WindowsSCOPE ) antes de eliminar una exhibición. CaptureGUARD Gateway omite el inicio de sesión de Windows para computadoras bloqueadas, lo que permite el análisis y la adquisición de memoria física en una computadora bloqueada. ^{[ cita requerida ]}

La RAM se puede analizar en busca de contenido anterior después de una pérdida de energía, porque la carga eléctrica almacenada en las celdas de memoria tarda en disiparse, un efecto que se aprovecha del ataque de arranque en frío . El tiempo durante el cual se pueden recuperar los datos aumenta debido a las bajas temperaturas y los voltajes de celda más altos. Mantener la RAM sin alimentación por debajo de -60 ° C ayuda a preservar los datos residuales en un orden de magnitud, lo que mejora las posibilidades de una recuperación exitosa. Sin embargo, puede resultar poco práctico hacerlo durante un examen de campo. ^[13]

Sin embargo, algunas de las herramientas necesarias para extraer datos volátiles requieren que una computadora esté en un laboratorio forense, tanto para mantener una cadena legítima de evidencia como para facilitar el trabajo en la máquina. Si es necesario, las fuerzas del orden aplican técnicas para mover una computadora de escritorio en funcionamiento. Estos incluyen un jiggler de mouse , que mueve el mouse rápidamente en pequeños movimientos y evita que la computadora se duerma accidentalmente. Por lo general, una fuente de alimentación ininterrumpida (UPS) proporciona energía durante el tránsito.

Sin embargo, una de las formas más fáciles de capturar datos es guardando los datos de la RAM en el disco. Varios sistemas de archivos que tienen funciones de registro en diario, como NTFS y ReiserFS, mantienen una gran parte de los datos de RAM en el medio de almacenamiento principal durante la operación, y estos archivos de página se pueden volver a ensamblar para reconstruir lo que estaba en la RAM en ese momento. ^[14]

Herramientas de análisis [ editar ]

Existe una serie de herramientas comerciales y de código abierto para la investigación forense informática. El análisis forense típico incluye una revisión manual de material en los medios, revisar el registro de Windows en busca de información sospechosa, descubrir y descifrar contraseñas, búsquedas de palabras clave para temas relacionados con el crimen y extraer correos electrónicos e imágenes para su revisión. ^[7] Autopsia (software) , COFEE , EnCase son algunas de las herramientas que se utilizan en el análisis forense digital.

Certificaciones [ editar ]

Hay varias certificaciones de informática forense disponibles, como el examinador informático certificado por la ISFCE, el profesional de investigación forense digital (DFIP) y el examinador forense informático certificado por la IACRB.

La certificación independiente de proveedor superior (especialmente dentro de la UE) se considera el [ CCFP - Profesional certificado en ciber forense [1] ]. ^[15]

Otros, que vale la pena mencionar para EE. UU. O APAC son: La Asociación Internacional de Especialistas en Investigación en Computación ofrece el programa de Examinador de Computadoras Certificado .

La Sociedad Internacional de Examinadores de Computadoras Forenses ofrece el programa de Examinador de Computadoras Certificado .

Muchas empresas de software forense con base comercial ahora también ofrecen certificaciones patentadas en sus productos. Por ejemplo, Guidance Software ofrece la certificación (EnCE) en su herramienta EnCase, AccessData ofrece la certificación (ACE) en su herramienta FTK, PassMark Software ofrece la certificación en su herramienta OSForensics y X-Ways Software Technology ofrece la certificación (X-PERT) para su software, X-Ways Forensics. ^[dieciséis]

Ver también [ editar ]

Examinador informático certificado
Examinador informático forense certificado
Contador forense
Criptoanálisis
Remanencia de datos
Cifrado de disco
Cifrado
Archivo oculto y directorio oculto
Auditoría de tecnología de la información
Tiempos MAC
Esteganálisis
Estados Unidos contra Arnold

Referencias [ editar ]

^ Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (octubre de 2000). "Recuperación y examen de pruebas forenses informáticas" . Consultado el 26 de julio de 2010 .
^ Leigland, R (septiembre de 2004). "Una formalización de la ciencia forense digital" (PDF) .
^ A Yasinsac; RF Erbacher; Marcas DG; MM Pollitt (2003). "Educación informática forense". Seguridad y privacidad de IEEE. CiteSeerX 10.1.1.1.9510 . Falta o vacío |url=( ayuda )
^ Warren G. Kruse; Jay G. Heiser (2002). Informática forense: elementos esenciales de respuesta a incidentes . Addison-Wesley. pag. 392 . ISBN 978-0-201-70719-9. Consultado el 6 de diciembre de 2010 .
^ Gunsch, G (agosto de 2002). "Un examen de modelos forenses digitales" (PDF) .
^ Adams, R. (2012). " ' El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital" .
↑ a b c Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición . Elsevier. ISBN 978-0-12-163104-8.
^ a b Varios (2009). Eoghan Casey (ed.). Manual de investigación y análisis forense digital . Prensa académica . pag. 567. ISBN 978-0-12-374267-4. Consultado el 27 de agosto de 2010 .
^ Garfinkel, S. (agosto de 2006). "Extracción de características forenses y análisis de unidades cruzadas" .
^ "EXP-SA: predicción y detección de pertenencia a la red mediante análisis automatizado de disco duro" .
^ Aaron Phillip; David Cowen; Chris Davis (2009). Hacking expuesto: informática forense . Profesional de McGraw Hill. pag. 544. ISBN 978-0-07-162677-4. Consultado el 27 de agosto de 2010 .
^ Dunbar, B (enero de 2001). "Una mirada detallada a las técnicas esteganográficas y su uso en un entorno de sistemas abiertos" .
^ J. Alex Halderman , Seth D. Schoen , Nadia Heninger , William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum y Edward W. Felten ( 21 de febrero de 2008 ). "Para que no recordemos: ataques de arranque en frío en claves de cifrado" . Universidad de Princeton . Consultado el 20 de noviembre de 2009 . Cite journal requires |journal= (help)CS1 maint: multiple names: authors list (link)
^ Geiger, M (marzo de 2005). "Evaluación de herramientas comerciales contra-forenses" (PDF) . Archivado desde el original (PDF) el 30 de diciembre de 2014 . Consultado el 2 de abril de 2012 .
^ "Encuestas de sueldos CCFP" . ITJobsWatch. Archivado desde el original el 19 de enero de 2017 . Consultado el 15 de junio de 2017 .
^ "Programa de certificación X-PERT" . X-pert.eu . Consultado el 26 de noviembre de 2015 .

Lectura adicional [ editar ]

Una guía práctica de informática forense, primera edición (rústica) por David Benton (Autor), Frank Grindstaff (Autor)
Casey, Eoghan; Stellatos, Gerasimos J. (2008). "El impacto del cifrado de disco completo en el análisis forense digital". Revisión de sistemas operativos . 42 (3): 93–98. CiteSeerX 10.1.1.178.3917 . doi : 10.1145 / 1368506.1368519 .
YiZhen Huang; YangJing Long (2008). "Demosaicking del reconocimiento con aplicaciones en autenticación de fotografías digitales basadas en un modelo de correlación de píxeles cuadráticos" (PDF) . Proc. Conferencia IEEE sobre visión artificial y reconocimiento de patrones : 1–8. Archivado desde el original (PDF) el 17 de junio de 2010 . Consultado el 18 de diciembre de 2009 .
Respuesta a incidentes y análisis forense informático, segunda edición (rústica) de Chris Prosise (Autor), Kevin Mandia (Autor), Matt Pepe (Autor) "La verdad es más extraña que la ficción ..." (más)
Ross, S .; Gow, A. (1999). ¿Arqueología digital? Rescate de recursos de datos dañados o desatendidos (PDF) . Bristol y Londres: Biblioteca Británica y Comité Conjunto de Sistemas de Información. ISBN 978-1-900508-51-3.
George M. Mohay (2003). Informática e intrusión forense . Casa Artech. pag. 395. ISBN 978-1-58053-369-0.
Chuck Easttom (2013). Sistema Forense, Investigación y Respuesta . Jones y Bartlett. pag. 318. ISBN 978-1284031058. Archivado desde el original el 14 de junio de 2013 . Consultado el 23 de septiembre de 2013 .

Revistas relacionadas [ editar ]

Transacciones IEEE sobre seguridad y análisis forense de la información
Revista de forense digital, seguridad y derecho
Revista Internacional de Crimen Digital y Forense
Revista de investigación digital
Revista Internacional de Evidencia Digital
Revista Internacional de Ciencias de la Computación Forense
Revista de práctica forense digital
Cryptologia
Diario forense de dispositivos digitales a pequeña escala

[noblett-1] Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley (octubre de 2000). "Recuperación y examen de pruebas forenses informáticas" . Consultado el 26 de julio de 2010 .

[leigland-2] Leigland, R (septiembre de 2004). "Una formalización de la ciencia forense digital" (PDF) .

[cf-education-3] A Yasinsac; RF Erbacher; Marcas DG; MM Pollitt (2003). "Educación informática forense". Seguridad y privacidad de IEEE. CiteSeerX 10.1.1.1.9510 . Falta o vacío |url=( ayuda )

[kruse-4] Warren G. Kruse; Jay G. Heiser (2002). Informática forense: elementos esenciales de respuesta a incidentes . Addison-Wesley. pag. 392 . ISBN 978-0-201-70719-9. Consultado el 6 de diciembre de 2010 .

[gunsch-5] Gunsch, G (agosto de 2002). "Un examen de modelos forenses digitales" (PDF) .

[theadam-6] Adams, R. (2012). " ' El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital" .

[casey-7] Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición . Elsevier. ISBN 978-0-12-163104-8.

[handbook-8] Varios (2009). Eoghan Casey (ed.). Manual de investigación y análisis forense digital . Prensa académica . pag. 567. ISBN 978-0-12-374267-4. Consultado el 27 de agosto de 2010 .

[garfinkel-9] Garfinkel, S. (agosto de 2006). "Extracción de características forenses y análisis de unidades cruzadas" .

[nsf-10] "EXP-SA: predicción y detección de pertenencia a la red mediante análisis automatizado de disco duro" .

[exposed-11] Aaron Phillip; David Cowen; Chris Davis (2009). Hacking expuesto: informática forense . Profesional de McGraw Hill. pag. 544. ISBN 978-0-07-162677-4. Consultado el 27 de agosto de 2010 .

[dunbar-12] Dunbar, B (enero de 2001). "Una mirada detallada a las técnicas esteganográficas y su uso en un entorno de sistemas abiertos" .

[ColdBoot-13] J. Alex Halderman , Seth D. Schoen , Nadia Heninger , William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum y Edward W. Felten ( 21 de febrero de 2008 ). "Para que no recordemos: ataques de arranque en frío en claves de cifrado" . Universidad de Princeton . Consultado el 20 de noviembre de 2009 . Cite journal requires |journal= (help)CS1 maint: multiple names: authors list (link)

[geiger-14] Geiger, M (marzo de 2005). "Evaluación de herramientas comerciales contra-forenses" (PDF) . Archivado desde el original (PDF) el 30 de diciembre de 2014 . Consultado el 2 de abril de 2012 .

[15] "Encuestas de sueldos CCFP" . ITJobsWatch. Archivado desde el original el 19 de enero de 2017 . Consultado el 15 de junio de 2017 .

[16] "Programa de certificación X-PERT" . X-pert.eu . Consultado el 26 de noviembre de 2015 .

vtmiForense digital
Sucursales	Informática forense Análisis forense de dispositivos móviles Análisis forense de redes Análisis forense de bases de datos
Hardware	Controlador de disco forense
Software	Investigador de pruebas digitales de ADF Solutions Encerrar Principal FTK Reconocimiento de registro Medicina forense de PTK El kit de detective El juego de herramientas del forense COFEE HashKeeper Xplico
Certificación	Examinador informático forense certificado (CFCE) Certificación de aseguramiento de la información global
Procesos	Proceso forense digital Adquisición de datos Evidencia digital eDiscovery Análisis forense antiinformático
Organizaciones	Biblioteca de referencia de software nacional Sociedad Estadounidense de Investigación Forense Digital y eDiscovery Centro de Delitos Cibernéticos del Departamento de Defensa Unidad Nacional de Delitos de Alta Tecnología (NHTCU) Centro australiano de delitos de alta tecnología (AHTCC)
Personas	María Aiken Annie Antón Rebecca Bace Josh Brunty Eoghan Casey Hany Farid Simson Garfinkel Clifford Stoll Erik Laykin Robert Zeidman
Glosario de términos forenses digitales