La ciencia forense estocástica es un método para reconstruir de forma forense la actividad digital que carece de artefactos , mediante el análisis de propiedades emergentes resultantes de la naturaleza estocástica de las computadoras modernas. [1] [2] [3] A diferencia de la informática forense tradicional , que se basa en artefactos digitales , la forense estocástica no requiere artefactos y, por lo tanto, puede recrear actividades que de otro modo serían invisibles. [3] Su principal aplicación es la investigación de información privilegiada robo de datos . [1] [2] [4]
Historia
Estocásticos forense fue inventado en 2010 por el informático Jonathan Grier para detectar e investigar información privilegiada robo de datos . [2] El robo de datos internos ha sido notoriamente difícil de investigar con métodos tradicionales, ya que no crea ningún artefacto (como cambios en los atributos del archivo o en el Registro de Windows ). [3] [5] En consecuencia, la industria exigió una nueva técnica de investigación. [6]
Desde su invención, la ciencia forense estocástica se ha utilizado en la investigación del mundo real del robo de datos internos, [6] ha sido objeto de investigación académica, [1] [7] y ha respondido a la demanda de herramientas y formación de la industria. [2] [8] [9]
Orígenes de la mecánica estadística
La ciencia forense estocástica se inspira en el método de mecánica estadística utilizado en física . [2] [6] La mecánica newtoniana clásica calcula la posición exacta y el momento de cada partícula en un sistema. Esto funciona bien para sistemas, como el sistema solar , que constan de una pequeña cantidad de objetos. Sin embargo, no se puede usar para estudiar cosas como un gas , que tiene un número increíblemente grande de moléculas . La mecánica estadística, sin embargo, no intenta rastrear las propiedades de las partículas individuales, sino solo las propiedades que surgen estadísticamente. Por lo tanto, puede analizar sistemas complejos sin necesidad de conocer la posición exacta de sus partículas individuales.
No podemos predecir cómo se moverá y temblará una molécula individual; pero al aceptar esa aleatoriedad y describirla matemáticamente, podemos usar las leyes de la estadística para predecir con precisión el comportamiento general del gas. La física experimentó un cambio de paradigma de este tipo a fines del siglo XIX ... ¿Podría la ciencia forense digital también necesitar un cambio de paradigma de este tipo?
- Jonathan Grier, Investigación del robo de datos con análisis forense estocástico, Revista de análisis forense digital, mayo de 2012
Asimismo, los sistemas informáticos de hoy en día, que pueden tener más estados, son demasiado complejos para ser analizados por completo. Por lo tanto, la ciencia forense estocástica ve a las computadoras como un proceso estocástico que, aunque impredecible, tiene propiedades probabilísticas bien definidas . Al analizar estas propiedades estadísticamente , la mecánica estocástica puede reconstruir la actividad que tuvo lugar, incluso si la actividad no creó ningún artefacto. [2] [3] [6]
Uso para investigar el robo de datos internos
Estocásticos forense jefe de la aplicación es la detección e investigación de información privilegiada robo de datos . El robo de datos internos a menudo lo realiza alguien que está técnicamente autorizado para acceder a los datos y que los usa regularmente como parte de su trabajo. No crea artefactos ni cambia los atributos del archivo o el Registro de Windows . [5] En consecuencia, a diferencia de los ataques informáticos externos , que, por su naturaleza, dejan rastros del ataque, el robo de datos internos es prácticamente invisible. [3]
Sin embargo, la distribución estadística de los metadatos de los sistemas de archivos se ve afectada por este tipo de copias a gran escala. Al analizar esta distribución, la ciencia forense estocástica puede identificar y examinar este tipo de robo de datos. Los sistemas de archivos típicos tienen una gran distribución de acceso a archivos. Copiar a granel perturba este patrón y, en consecuencia, es detectable. [1] [2]
Basándose en esto, se ha utilizado la mecánica estocástica para investigar con éxito el robo de datos internos donde otras técnicas han fallado. [1] [2] [3] [6] Normalmente, después de que los forenses estocásticos hayan identificado el robo de datos, se requiere un seguimiento utilizando técnicas forenses tradicionales. [6]
Crítica
La ciencia forense estocástica ha sido criticada por proporcionar solo pruebas e indicaciones de robo de datos, y no pruebas concretas. De hecho, requiere que un practicante "piense como Sherlock, no como Aristóteles". Ciertas actividades autorizadas además del robo de datos pueden causar alteraciones similares en las distribuciones estadísticas. [1] [6]
Además, muchos sistemas operativos no rastrean las marcas de tiempo de acceso de forma predeterminada, lo que hace que el análisis forense estocástico no sea directamente aplicable. Se están realizando investigaciones para aplicar la ciencia forense estocástica a estos sistemas operativos, así como a las bases de datos . [2]
Además, en su estado actual, la ciencia forense estocástica requiere un analista forense capacitado para aplicar y evaluar. Ha habido llamados para el desarrollo de herramientas para automatizar el análisis forense estocástico por parte de Guidance Software y otros. [2]
Referencias
- ↑ a b c d e f Grier, Jonathan (2011). "Detección de robo de datos mediante análisis forense estocástico" . Revista de Investigación Digital . 8 (Suplemento), S71-S77.
- ↑ a b c d e f g h i j Schwartz, Mathew J. (13 de diciembre de 2011). "Cómo el análisis forense digital detecta el robo de información privilegiada" . Semana de la información .
- ↑ a b c d e f Chickowski, Ericka (26 de junio de 2012). "Nuevo método forense puede atrapar a los ladrones de información privilegiada" . Lectura oscura .
- ^ "Enfoque de amenazas internas" . (Agosto 2012). Revista SC
- ^ a b Carvey, Harlan. "Kit de herramientas de DVD de análisis forense de Windows". 2ª ed. Syngress Publishing; 2009.
- ↑ a b c d e f g Grier, Jonathan (mayo de 2012). "Investigar el robo de datos con estocástico forense" . "Revista Digital Forense".
- ^ Nishide, T., Miyazaki, S. y Sakurai, K. (2012). "Análisis de seguridad de sistemas de efectivo electrónico sin conexión con información privilegiada maliciosa". Revista de redes móviles inalámbricas, computación ubicua y aplicaciones confiables, 3 (1/2), 55-71.
- ^ Centro de Delitos Cibernéticos del Departamento de Defensa , Agenda 2012 DC3 .
- ^ Black Hat Briefings , EE. UU. 2012. Detección del robo de datos internos con análisis forense estocástico .
enlaces externos
- "Detección del robo de datos mediante análisis forense estocástico" , Journal of Digital Investigation
- "Cómo el análisis forense digital detecta el robo de información privilegiada" , Semana de la información
- "Un nuevo método forense puede atrapar a los ladrones con información privilegiada" , Dark Reading