Preservación de Evidencia Digital – Análisis Forense Digital

Posted on by Rudeus Greyrat

A medida que el ámbito de Internet, la tecnología y el análisis forense digital se expande constantemente, es necesario que se familiarice con las formas en que contribuyen a preservar la evidencia digital. La importancia fundamental de la preservación de la evidencia digital es bastante clara. A través de este artículo, queremos resaltar la necesidad de seguir una serie de pasos para preservar la evidencia digital, ya que incluso un pequeño movimiento desatendido podría conducir a la pérdida de evidencia y la ruptura de un caso.

En este artículo, cubriremos los siguientes temas:

  1. Los 11 pasos críticos principales para preservar la evidencia digital.
  2. Detalles que debe planear compartir.
  3. Tres métodos para preservar la evidencia digital.
  4. Problemas en la Preservación de Evidencia Digital.

Comencemos discutiendo cada sección en detalle.

Los 11 pasos más importantes para preservar la evidencia digital

En esta sección, discutiremos los pasos críticos que deben seguirse para evitar la pérdida de datos antes de llevarlos a los expertos forenses. El tiempo es muy importante en la preservación de la evidencia digital.

  1. No cambie el estado actual del dispositivo: si el dispositivo está APAGADO, debe mantenerse APAGADO y si el dispositivo está ENCENDIDO, debe mantenerse ENCENDIDO. Llame a un experto forense antes de hacer nada.
  2. Apaga el dispositivo: En el caso de teléfonos móviles, si no está cargado, no lo cargues. En caso de que el teléfono móvil esté ENCENDIDO, apáguelo para evitar que se borren o sobrescriban datos debido al arranque automático.
  3. No deje el dispositivo en un área abierta o en un lugar no seguro: asegúrese de que el dispositivo no se deje desatendido en un área abierta o en un área no segura. Debe documentar cosas como: dónde está el dispositivo, quién tiene acceso al dispositivo y cuándo se mueve.
  4. No conecte ningún medio de almacenamiento externo en el dispositivo: las tarjetas de memoria, las unidades de memoria USB o cualquier otro medio de almacenamiento que pueda tener no deben conectarse al dispositivo.
  5. No copie nada hacia o desde el dispositivo: Copiar cualquier cosa hacia o desde el dispositivo provocará cambios en el espacio libre de la memoria.
  6. Tome una fotografía de la evidencia: Asegúrese de tomar la fotografía de la evidencia desde todos los lados. Si se trata de un teléfono móvil, capture imágenes desde todos los lados para asegurarse de que el dispositivo no haya sido manipulado hasta que lleguen los expertos forenses.
  7. Asegúrese de conocer el patrón de PIN/contraseña del dispositivo: es muy importante que conozca las credenciales de inicio de sesión del dispositivo y las comparta con los expertos forenses, para que puedan realizar su trabajo sin problemas.
  8. No abra nada como imágenes, aplicaciones o archivos en el dispositivo: abrir cualquier aplicación, archivo o imagen en el dispositivo puede ocasionar la pérdida de datos o la sobrescritura de la memoria.
  9. No confíe en nadie sin capacitación forense: solo un experto forense certificado debe poder investigar o ver los archivos en el dispositivo original. Las personas no capacitadas pueden provocar la eliminación de datos o la corrupción de información importante.
  10. Asegúrese de no apagar la computadora, si es necesario, hibernarla: ya que la evidencia digital se puede extraer tanto de las unidades de disco como de la memoria volátil. El modo de hibernación conservará el contenido de la memoria volátil hasta el próximo arranque del sistema.

Detalles que debe planear compartir

Para que los investigadores forenses adquieran la evidencia de manera profesional, se incauta el dispositivo o se crea una copia forense en el lugar de la escena del “crimen”. Puntos clave para recordar para acelerar el proceso de preservación de evidencia digital y facilitar el proceso para las autoridades:

  • Prepárese para compartir sus códigos de autenticación, como patrones de pantalla y contraseñas.
  • También es posible que deba compartir los manuales del dispositivo, los cargadores y los cables.
  • Las interacciones de los dispositivos con Internet también se pueden analizar para crear una imagen completa y más adecuada de la actividad general.
  • Tener la propiedad del dispositivo que planea presentar a la policía. En caso de que no tenga la autoridad o no envíe voluntariamente el dispositivo, entonces, en ese caso, es posible que la policía deba confiscar el dispositivo según sus poderes legales.
  • Es más fácil compartir el almacenamiento de la memoria externa que sus dispositivos con la policía en lugar de regalar su teléfono cada vez, por lo que se recomienda que tenga una memoria externa configurada para su teléfono.
  • Realice copias de seguridad periódicas de los datos de su teléfono y guarde copias de estas copias de seguridad para usarlas en el futuro. Esto lo ayudará a restaurar otro teléfono o su teléfono si es necesario más tarde hoy, y también puede ayudar a registrar un rastro de incidencia.

Tres métodos para preservar una evidencia digital

En esta sección, discutiremos tres métodos que pueden usar los expertos forenses para preservar cualquier evidencia antes de comenzar la fase de análisis.

  1. Drive Imaging: antes de que los investigadores forenses comiencen a analizar la evidencia de una fuente, deben crear una imagen de la evidencia. La generación de imágenes de una unidad es un proceso forense en el que un analista creará un duplicado bit a bit de la unidad. Al analizar una imagen, los expertos forenses deben tener en cuenta los siguientes puntos:
    • Incluso las unidades borradas pueden retener datos importantes y recuperables para identificar.
    • Los expertos forenses pueden recuperar todos los archivos eliminados utilizando técnicas forenses.
    • Nunca realice análisis forenses en los medios originales. Opere siempre en la imagen duplicada.

      • Una pieza de hardware o software que ayuda a facilitar la defensa legal de una imagen forense es un «bloqueador de escritura», que los investigadores forenses deben usar para crear la imagen para el análisis.

  2. Valores hash: cuando un investigador forense crea una imagen de la evidencia para el análisis, el proceso genera valores hash criptográficos como MD5, SHA1, etc. Los valores hash son críticos como:
    • Se utilizan para verificar la Autenticidad e Integridad de la imagen como una réplica exacta del medio original.
    • Al admitir pruebas en el tribunal, los valores hash son fundamentales, ya que alterar incluso el bit más pequeño de datos generará un valor hash completamente nuevo.
    • Cuando realiza modificaciones, como crear un nuevo archivo o editar un archivo existente en su computadora, se genera un nuevo valor hash para ese archivo.
    • El valor hash y otros metadatos del archivo no son visibles en una ventana normal del explorador de archivos, pero los analistas pueden acceder a esta información mediante un software especial.

      • Si los valores hash de la imagen y la evidencia original no coinciden, puede generar preocupaciones en el tribunal de que la evidencia ha sido alterada.

  3. String de Custodia: A medida que los investigadores forenses recopilan medios del cliente y los transfieren, deben documentar todos los pasos realizados durante la transferencia de medios y la evidencia en los formularios de String de Custodia (CoC) y capturar firmas, fecha y hora en el momento de la transferencia. entrega de medios. Es imprescindible realizar el papeleo de CoC por las siguientes razones:
    • CoC demuestra que la imagen ha estado bajo posesión conocida desde el momento en que se creó la imagen.
    • Cualquier lapso en el CoC anula el valor legal de la imagen, y por ende del análisis.
    • Cualquier vacío en el registro de la procesión, como cualquier momento en que la evidencia se dejó desatendida en un espacio abierto o en un lugar no seguro, es problemático.

Problemas en la preservación de la evidencia digital

En esta sección, discutiremos algunos problemas que se encuentran al preservar la evidencia.

  • Admisibilidad legal: el mayor riesgo es la admisibilidad legal. Si la evidencia de un delito es una pieza de medios digitales, debe ponerse en cuarentena de inmediato y colocarse bajo el CoC: un investigador puede crear una imagen más tarde.
  • Destrucción de evidencia: si, en el caso, los actores de amenazas han instalado una aplicación en un servidor, el análisis forense futuro se basará en que la aplicación esté disponible y no se elimine del sistema.
  • Los medios aún están en servicio: si los medios aún están en servicio, el riesgo de destrucción de evidencia vital aumenta con la cantidad de tiempo transcurrido desde que ocurrió el incidente.

Referencias : https://en.wikipedia.org/wiki/Digital_evidence

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *