La informática forense (también conocida como informática forense) es una rama de la ciencia forense digital relacionada con las pruebas encontradas en las computadoras y los medios de almacenamiento digital. El objetivo de la informática forense es observar los medios digitales de una manera muy sólida desde el punto de vista forense con el objetivo de distinguir, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital.
El análisis forense informático juega un papel importante en una corporación porque nuestra dependencia de los dispositivos informáticos e Internet aumenta día a día. de acuerdo con una encuesta realizada por la Universidad de California, el 93% de toda la información generada a lo largo de 1999 se generó en formato digital, en computadoras, solo el 7% de la información restante se generó utilizando diferentes fuentes como papel, etc. adelante para reunir piezas de evidencia porque el conocimiento también es templado, borrado, oculto o encriptado.
La investigación forense digital puede ser una tarea extremadamente candente que requiere la exposición de diversas herramientas, técnicas y consejos para encontrar y dañar la evidencia digital de la escena del crimen o el equipo digital utilizado en el crimen. Dado que los equipos digitales, como teléfonos inteligentes, tabletas, computadoras portátiles, televisores inteligentes, etc., tienen capacidades de proceso y velocidad de cómputo cada vez mayores, la probabilidad de uso de esos dispositivos en el delito cibernético no se puede descartar. Un investigador forense no solo debe tener una comprensión profunda del funcionamiento de esos dispositivos y, al mismo tiempo, una exposición activa a las herramientas para la recuperación correcta de datos a fin de preservar el valor y la integridad de la información.
Una computadora a menudo se usa a propósito o accidentalmente para cometer delitos cibernéticos. El uso intencional es usar su computadora para enviar correos electrónicos de odio o poner una versión descifrada de un código con licencia de grado asociado en su computadora. El uso involuntario es que la computadora que está victimizando contiene el virus y se propaga en la red y fuera de la red causando una gran pérdida a alguien en términos monetarios. Del mismo modo, una computadora a menudo se utiliza directamente para cometer un delito digital. por ejemplo, su computadora se emplea para acceder a conocimientos confidenciales y clasificados y, por lo tanto, los datos se distribuyen a alguien dentro o fuera de la red, la Organización Mundial de la Salud utilizará estos datos para su propio beneficio. El uso indirecto de la computadora es una vez que se descarga un crack de código, un troyano se aferra dentro de la computadora, mientras que crea una puerta trasera dentro de la red para facilitar el hacker. actualmente, el pirata informático inicia sesión en su computadora y la usa para cometer delitos cibernéticos. El investigador forense informático con conocimientos de grado asociado juega un papel vital en la identificación del ataque directo e indirecto. Los consultores forenses informáticos también son útiles para la recuperación de la pérdida accidental de conocimientos, para detectar trabajos industriales encubiertos, falsificaciones, etc.
En las organizaciones masivas, dado que actualmente el ciberdelito es detectado por el equipo de manejo de incidentes, que es responsable de la observación y detección de eventos de seguridad en una computadora o red, se siguen procesos iniciales de gestión de incidentes. este es a menudo un método interno de grado asociado. Sigue los siguientes pasos:
- Preparación: La organización prepara consejos para la respuesta a incidentes y asigna roles y por lo tanto las responsabilidades de cada miembro del equipo de respuesta a incidentes. La mayoría de las grandes organizaciones ganan un nombre en el mercado y cualquier sentimiento negativo puede tener un efecto negativo en las emociones de los accionistas. Por lo tanto, se necesita una comunicación eficiente para declarar el incidente. Por lo tanto, la distribución de los roles respaldados por el conjunto de habilidades de un miembro es vital.
- Identificación: según las características, el equipo de respuesta a incidentes verifica si realmente ocurrió un evento. uno de los procedimientos más comunes para verificar el evento es
examinar los registros. Una vez verificada la prevalencia del evento, se debe evaluar el impacto del ataque. - Contención: De acuerdo con los comentarios del equipo de evaluación, durante este paso se planifica el curso de acción a largo plazo para responder al incidente.
- Erradicación: durante este paso, la estrategia para eliminar o mitigar la razón detrás de la amenaza está planificada y muerta.
- Recuperación: Es el método de volver al estado operativo convencional cuando se erradica la materia.
- Lección aprendida: si una forma de reemplazo del incidente es un encuentro, se documenta para que esta información pueda manejar tales cosas en el futuro.
El segundo paso del método es que se realiza una investigación forense informática para encontrar la prueba del delito, que generalmente es realizada por empresas de terceros. La investigación informática forense implica los siguientes pasos:
- Establecer incidente y evidencia: este es a menudo el primer paso realizado por el administrador del sistema cuando intenta recopilar la mayor cantidad de información posible sobre el incidente. compatible con esta información, se evalúa el alcance y la gravedad del ataque. Una vez que se descubre la prueba del ataque, se realiza una copia de seguridad de la misma para fines de investigación. La investigación retórica rara vez se realiza en la primera máquina, sino en los datos que se remodelan a partir de la copia de seguridad.
- Recolectar y preservar evidencia: herramientas variadas como Helix, WinHex, FKT Imager, etc. suelen capturar la información. Una vez obtenido el respaldo de la información, se toma la custodia de la prueba y por ende el respaldo. El hash MD5 (resumen del mensaje) de la copia de seguridad se calcula y se compara con el primero para probar la integridad de la información. También se capturan otras fuentes importantes de conocimiento, como el registro del sistema, la información de la red, los registros generados por los sistemas de detección de intrusos (IDS), la información del puerto y del método.
- Investigar: la imagen del disco se remodela a partir de la copia de seguridad y, por lo tanto, la investigación se realiza revisando los registros, archivos del sistema, archivos eliminados y actualizados, usos del procesador y registros del proceso, archivos temporales, archivos secretos protegidos y cifrados, imágenes, videos y archivos de conocimiento para mensajes esteganográficos alcanzables, etc.
- Resumen y Presentación: El resumen del incidente se da en orden cronológico. Se apoyó la investigación, se sacaron conclusiones y se explicó la posible causa.
Al finalizar la investigación forense digital, se deben aplicar reglas y procedimientos. Especialmente mientras se captura la prueba. Se debe asegurar que las acciones que se tomen para capturar la información no modifiquen la prueba. Se debe mantener la integridad de la información. Se debe asegurar que los dispositivos utilizados para capturar la copia de seguridad estén libres de contaminación. Además, todas las actividades asociadas con la incautación, el acceso, el almacenamiento o la transferencia de pruebas digitales deben estar absolutamente documentadas, conservadas y disponibles para la revisión. la prevención suele ser más alta que la cura. siempre se recomienda ajustar su sistema de detección de intrusos como el firewall, de vez en cuando realizar pruebas de penetración en su red para evitar rezar al hacker. sin embargo, por último, pero no menos importante, denunciar el delito.