El proceso forense digital es un proceso científico y forense reconocido que se utiliza en las investigaciones forenses digitales . [1] [2] El investigador forense Eoghan Casey lo define como una serie de pasos desde la alerta de incidente original hasta la notificación de los hallazgos. [3] El proceso se utiliza principalmente en investigaciones forenses móviles e informáticas y consta de tres pasos: adquisición , análisis e informes .
Los medios digitales incautados para la investigación suelen denominarse "pruebas" en la terminología jurídica. Los investigadores emplean el método científico para recuperar evidencia digital para respaldar o refutar una hipótesis, ya sea para un tribunal de justicia o en un proceso civil . [2]
Personal
Las etapas del proceso de análisis forense digital requieren una formación y unos conocimientos especializados diferentes. Hay dos niveles aproximados de personal: [3]
- Técnico forense digital
- Los técnicos recopilan o procesan pruebas en la escena del crimen. Estos técnicos están capacitados en el manejo correcto de la tecnología (por ejemplo, cómo preservar la evidencia). Es posible que se requiera que los técnicos realicen un "análisis en vivo" de la evidencia. Se han creado varias herramientas para simplificar este procedimiento, entre las que destaca el COFEE de Microsoft .
- Examinadores de evidencia digital
- Los examinadores se especializan en un área de evidencia digital; ya sea a un nivel amplio (es decir , análisis forense informático o de redes, etc.) o como subespecialista (es decir, análisis de imágenes)
Modelos de proceso
Ha habido muchos intentos de desarrollar un modelo de proceso, pero hasta ahora ninguno ha sido aceptado universalmente. Parte de la razón de esto puede deberse al hecho de que muchos de los modelos de proceso se diseñaron para un entorno específico, como la aplicación de la ley, y por lo tanto no se pueden aplicar fácilmente en otros entornos, como la respuesta a incidentes. [4] Esta es una lista de los principales modelos desde 2001 en orden cronológico: [4]
- El modelo forense digital abstracto (Reith, et al., 2002)
- El proceso de investigación digital integrado (Carrier & Spafford, 2003) [1]
- Un modelo extendido de investigaciones sobre delitos cibernéticos (Ciardhuain, 2004)
- El modelo de proceso de investigación digital mejorado (Baryamureeba & Tushabe, 2004) [2]
- El modelo de análisis de la escena del crimen digital (Rogers, 2004)
- Un marco jerárquico basado en objetivos para el proceso de investigaciones digitales (Beebe & Clark, 2004)
- Marco para una investigación digital (Kohn, et al., 2006) [3]
- El proceso forense de cuatro pasos (Kent, et al., 2006)
- FORZA - Marco de investigación forense digital (Ieong, 2006) [4]
- Flujos de proceso para operaciones y capacitación en ciber forense (Venter, 2006)
- El modelo de proceso común (Freiling & Schwittay, (2007) [5]
- Modelo de proceso de amplificación de confiabilidad de evidencia bidimensional (Khatir, et al., 2008) [6]
- El marco de investigaciones forenses digitales (Selamat, et al., 2008)
- El modelo de investigación forense digital sistemática (SRDFIM) (Agarwal, et al., 2011) [7]
- El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital (Adams, 2012) [8]
Embargo
Antes del examen real, se incautarán los medios digitales. En casos penales, esto a menudo será realizado por personal encargado de hacer cumplir la ley capacitado como técnicos para garantizar la preservación de las pruebas. En asuntos civiles, por lo general, será un funcionario de la empresa, a menudo sin formación. Varias leyes cubren la incautación de material. En materia penal, se aplica la ley relacionada con las órdenes de registro . En los procedimientos civiles, se asume que una empresa puede investigar su propio equipo sin una orden judicial, siempre que se preserve la privacidad y los derechos humanos de los empleados.
Adquisición
Una vez que se han incautado las pruebas, se crea un duplicado exacto a nivel de sector (o "duplicado forense") de los medios, generalmente a través de un dispositivo de bloqueo de escritura . El proceso de duplicación se conoce como adquisición de imágenes o adquisición . [5] El duplicado se crea utilizando un duplicador de disco duro o herramientas de imagen de software como DCFLdd , IXimager , Guymager , TrueBack, EnCase , FTK Imager o FDAS. Luego, la unidad original se devuelve a un lugar de almacenamiento seguro para evitar alteraciones.
La imagen adquirida se verifica utilizando las funciones hash SHA-1 o MD5 . En puntos críticos a lo largo del análisis, los medios se verifican nuevamente para asegurar que la evidencia aún se encuentra en su estado original. El proceso de verificación de la imagen con una función hash se llama "hash".
Dados los problemas asociados con la creación de imágenes de unidades grandes, varias computadoras en red, servidores de archivos que no se pueden apagar y recursos en la nube, se han desarrollado nuevas técnicas que combinan la adquisición forense digital y los procesos de descubrimiento electrónico .
Análisis
Después de la adquisición, el contenido de los archivos de imagen (HDD) se analiza para identificar pruebas que apoyen o contradigan una hipótesis o señales de manipulación (para ocultar datos). [6] En 2002, el International Journal of Digital Evidence se refirió a esta etapa como "una búsqueda sistemática en profundidad de pruebas relacionadas con el delito sospechoso". [7] Por el contrario, Brian Carrier, en 2006, describe un "procedimiento más intuitivo" en el que la evidencia obvia se identifica por primera vez después de lo cual "se realizan búsquedas exhaustivas para comenzar a llenar los agujeros" [8]
Durante el análisis, un investigador generalmente recupera material de evidencia utilizando una serie de metodologías (y herramientas) diferentes, a menudo comenzando con la recuperación del material eliminado. Los examinadores utilizan herramientas especializadas (EnCase, ILOOKIX, FTK, etc.) para ayudar a ver y recuperar datos. El tipo de datos recuperados varía según la investigación, pero los ejemplos incluyen correo electrónico, registros de chat, imágenes, historial de Internet o documentos. Los datos se pueden recuperar desde un espacio de disco accesible, espacio eliminado (no asignado) o desde archivos de caché del sistema operativo. [3]
Se utilizan varios tipos de técnicas para recuperar evidencia, que generalmente implican alguna forma de búsqueda de palabras clave dentro del archivo de imagen adquirido, ya sea para identificar coincidencias con frases relevantes o para filtrar tipos de archivos conocidos. Ciertos archivos (como las imágenes gráficas) tienen un conjunto específico de bytes que identifican el inicio y el final de un archivo. Si se identifica, se puede reconstruir un archivo eliminado. [3] Muchas herramientas forenses utilizan firmas hash para identificar archivos notables o para excluir archivos conocidos (benignos); los datos adquiridos se procesan y comparan con listas precompiladas, como el Conjunto de datos de referencia (RDS) de la Biblioteca de referencia de software nacional [5]
En la mayoría de los tipos de medios, incluidos los discos duros magnéticos estándar, una vez que los datos se han eliminado de forma segura , nunca se pueden recuperar. [9] [10]
Una vez recuperada la evidencia, se analiza la información para reconstruir eventos o acciones y llegar a conclusiones, trabajo que muchas veces puede ser realizado por personal menos especializado. [7] Los investigadores digitales, particularmente en investigaciones criminales, deben asegurarse de que las conclusiones se basen en datos y en su propio conocimiento experto. [3] En los EE. UU., Por ejemplo, las Reglas Federales de Evidencia establecen que un experto calificado puede testificar “en forma de opinión o de otro modo” siempre que:
(1) el testimonio se basa en hechos o datos suficientes, (2) el testimonio es el producto de principios y métodos confiables, y (3) el testigo ha aplicado los principios y métodos de manera confiable a los hechos del caso. [11]
Reportando
Cuando se completa una investigación, la información a menudo se presenta en un formato adecuado para personas sin conocimientos técnicos . Los informes también pueden incluir información de auditoría y otra metadocumentación. [3]
Cuando se completan, los informes generalmente se envían a quienes comisionan la investigación, como las fuerzas del orden (para casos penales) o la empresa empleadora (en casos civiles), quienes luego decidirán si utilizar las pruebas en el tribunal. Generalmente, para un tribunal penal, el paquete de informes consistirá en una conclusión experta por escrito de la evidencia, así como la evidencia en sí (a menudo presentada en medios digitales). [3]
Referencias
- ^ " ' Guía de investigación de la escena del crimen electrónico: una guía para los socorristas" (PDF) . Instituto Nacional de Justicia. 2001.
- ^ a b Varios (2009). Eoghan Casey (ed.). Manual de investigación y análisis forense digital . Prensa académica. pag. 567. ISBN 978-0-12-374267-4. Consultado el 4 de septiembre de 2010 .
- ^ a b c d e f g Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición . Elsevier. ISBN 0-12-163104-4.
- ^ a b Adams, Richard (2012). " ' El modelo avanzado de adquisición de datos (ADAM): un modelo de proceso para la práctica forense digital" (PDF) .
- ^ a b Maarten Van Horenbeeck (24 de mayo de 2006). "Investigación de delitos tecnológicos" . Archivado desde el original el 17 de mayo de 2008 . Consultado el 17 de agosto de 2010 .
- ^ Carrier, B (2001). "Definición de herramientas de análisis y examen forense digital". Taller de Investigación Digital II. CiteSeerX 10.1.1.14.8953 . Falta o vacío
|url=
( ayuda ) - ^ a b M Reith; C Carr; G Gunsch (2002). "Un examen de modelos forenses digitales". Revista Internacional de Evidencia Digital. CiteSeerX 10.1.1.13.9683 . Falta o vacío
|url=
( ayuda ) - ^ Carrier, Brian D (7 de junio de 2006). "Conceptos básicos de investigación forense digital" .
- ^ "Limpieza de disco: una pasada es suficiente" . 17 de marzo de 2009. Archivado desde el original el 16 de marzo de 2010 . Consultado el 27 de noviembre de 2011 .
- ^ "Limpieza de disco: una pasada es suficiente - Parte 2 (esta vez con capturas de pantalla)" . 18 de marzo de 2009. Archivado desde el original el 23 de diciembre de 2011.
- ^ "Reglas Federales de Evidencia # 702" . Archivado desde el original el 19 de agosto de 2010 . Consultado el 23 de agosto de 2010 .
enlaces externos
- Departamento de Justicia de EE. UU. - Examen forense de pruebas digitales: una guía para las fuerzas del orden
- FBI - Evidencia digital: estándares y principios
- Warren G. Kruse; Jay G. Heiser (2002). Informática forense: elementos esenciales de respuesta a incidentes . Addison-Wesley. págs. 392 . ISBN 0-201-70719-5.
Otras lecturas
- Carrier, Brian D. (febrero de 2006). "Riesgos del análisis forense digital en vivo" . Comunicaciones de la ACM . 49 (2): 56–61. doi : 10.1145 / 1113034.1113069 . ISSN 0001-0782 . Consultado el 31 de agosto de 2010 .