Guía para Digital Forensics

Informática forense o análisis forense digital es un término en ciencias de la computación para obtener pruebas legales en medios digitales o computadoras de almacenamiento. Con la investigación forense digital, el investigador puede encontrar lo que sucedió con los medios de comunicación digitales, como mensajes de correo electrónico, disco duro, registros, sistema informático, y la propia red. En muchos casos, la investigación forense puede producir como el crimen pudo haber ocurrido y cómo podemos protegernos contra ella la próxima vez.

Algunas razones por las que necesitamos para llevar a cabo una investigación forense: 1. Para reunir evidencias para que pueda ser empleado en el tribunal para resolver los casos legales. 2. Para el análisis de nuestra fuerza de la red, y para llenar el agujero de seguridad con parches y correcciones. 3. Para recuperar archivos borrados o cualquier otro archivo en caso de fallo de hardware o software

En la informática forense, las cosas más importantes que deben tenerse en cuenta al llevar a cabo la investigación son los siguientes:

1. La prueba original no debe ser alterado en cualquier caso, y llevan a cabo el proceso, el investigador forense debe hacer una imagen de flujo de bits. Flujo de bits de imagen es un poco por copia bit a bit del medio de almacenamiento original y copia exacta de los medios de comunicación original. La diferencia entre una imagen bit-stream y una copia normal del almacenamiento original es el flujo de bits de imagen es el espacio de holgura en el almacenamiento. Usted no encontrará ninguna información de espacio de holgura en los medios de copia.

2. Todos los procesos forenses deben seguir las leyes legal en el país correspondiente, donde los crímenes que pasó. Cada país tiene traje de ley en campo de las TI. Algunos toman muy en serio las reglas de TI, por ejemplo: Reino Unido, Australia.

3. Todos los procesos forenses sólo puede llevarse a cabo después de que el investigador tiene la orden de allanamiento.

Los investigadores forenses normalmente mirando la cronología de cómo los crímenes ocurrió en el momento oportuno. Con esto, podemos producir la escena del crimen sobre cómo, cuándo, qué y por qué delitos podían sucedido. En una gran empresa, se sugiere la creación de un equipo digital forense o del equipo de primera respuesta, de modo que la empresa podría preservar la prueba hasta que el investigador forense llegan a la escena del crimen.

Las primeras reglas de respuesta son: 1. Bajo ninguna circunstancia se debe a nadie, con la excepción de analista forense, para que cualquier intento de recuperar la información desde cualquier ordenador o dispositivo que contiene la información electrónica. 2. Cualquier intento de recuperar los datos de dicha persona en el número 1, se debe evitar, ya que podría comprometer la integridad de la evidencia, en el que se convirtió en inadmisible en un tribunal legal.

Sobre la base de que las normas, que ya ha explicado el importante papel de tener un primer equipo de respuesta de una empresa. La persona no calificada sólo se puede asegurar el perímetro para que nadie pueda tocar la escena del crimen hasta el analista forense ha llegado (Esto se puede hacer al tomar la foto de la escena del crimen. También puede tomar notas sobre la escena y que estaban presentes en ese momento .

Medidas deben tomarse cuando se produjeron los crímenes digitales de una manera profesional: 1. Asegurar la escena del crimen hasta que el analista forense llegar.

2. Analista forense debe solicitar la orden de registro de las autoridades locales o la gestión de la empresa.

3. Analista forense que tomar una foto de la escena del crimen en caso de que si no hay ninguna foto ha sido tomada.

4. Si el equipo todavía está encendido, no se apaga la computadora. En su lugar, utiliza una herramienta forense como hélice para obtener alguna información que sólo se puede encontrar cuando el equipo todavía está encendido, como los datos sobre RAM, y los registros. Este tipo de herramientas tiene su función especial como no escribir nada nuevo al sistema por lo que la integridad de la ingesta de estancia.

5. Una vez que todas las pruebas en vivo se recoge, analista forense no puedo apagar el ordenador y tener el disco duro de nuevo a laboratorio forense.

6. Todas las evidencias deben ser documentados, en el que la cadena de custodia se utiliza. Cadena de Custodia mantener registros de las pruebas, tales como: ¿quién tiene la evidencia de la última vez.

7. Asegurar las pruebas deben estar acompañados por un funcionario judicial, como la policía como una formalidad.

8. En el laboratorio, analista forense para recibir la declaración para crear el flujo de bits de la imagen, como las pruebas originales no deben ser utilizados. Normalmente, analista forense creará 2-5 flujo de bits de imagen en caso de que una imagen está dañado. Por supuesto, la Cadena de Custodia todavía se utiliza en esta situación para mantener registros de las pruebas.

9. Hash de la evidencia original y la imagen de flujo de bits se crea. Esto actúa como una prueba de que la evidencia original y la imagen de flujo de bits es la copia exacta. Por lo que cualquier alteración en la imagen de poco tendrá como resultado hash diferente, lo que hace que las evidencias encontradas serán inadmisibles ante un tribunal.

10. Analista forense empieza a encontrar pruebas en la imagen bit-stream con cuidado buscando en el lugar correspondiente depende de qué tipo de crimen que ha sucedido. Por ejemplo: Archivos temporales de Internet, espacio de inactividad, archivos eliminados, los archivos de esteganografía.

11. Cada prueba se les debe hash, así que la integridad de la ingesta de estancia.

12. Analista forense va a crear un informe, normalmente en formato PDF.

13. Analista forense de enviar el informe a la compañía junto con las cuotas.