"Tras el ataque del pasado día 11 de septiembre a las Torres Gemelas de EEUU, expertos forenses informáticos están colaborando con el gobierno en la búsqueda de rastros dejados por los atacantes durante su navegación por Internet que revelen más información sobre el atentado. VIRUSPROT.COM acerca a sus lectores a este interesante tema de la mano de un experto en delitos informáticos y computación forense de reconocido prestigio internacional, el Doctor Jeimy J. Cano.
window.google_render_ad();
Pese a que el Doctor Cano no está participando en la investigación relacionada con los atentados, encuentra interesante la coalición que los diferentes expertos en el mundo han formado para integrar las diferentes habilidades y especialidades para acelerar la obtención, análisis y presentación de las pruebas relacionadas con los lamentables incidentes ocurridos en USA.Cuando navegamos dejamos rastros pero ¿qué tipo de rastro podemos encontrar de manera más evidente?Algunos rastros más evidentes que permanecen en las máquinas son los caché del browser (navegador), las copias de los correos electrónicos, las cookies almacenadas en la navegación, los archivos borrados que aun pueden ser recuperados, los registros de conexión del módem, entre otros.¿Qué tipo de tecnología o programas se utilizan para llevar a cabo las búsquedas?Algunos programas utilizados son conocidos como la suite de Norton Utilities y demás aplicaciones de uso generalizado para recuperación de archivos, directorios y datos en disco duros y disquetes. De otra parte, existen aplicaciones más sofisticadas para encontrar, identificar, analizar y preservar evidencia digital que requieren entrenamiento y preparación en diferente ambientes operacionales como UNIX, MAC, Windows NT.¿Qué metodología o pasos se siguen?Básicamente los investigadores forenses en informática, independiente de las plataforma o sistema operacional donde estén efectuando sus actividades, deben procurar cumplir tres requisitos con la información o evidencia identificada o recolectada:
- Se deben utilizar medios forenses estériles (para las copias de la información).- Mantener la integridad del medio original.- Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultado de la investigación.Las metodologías utilizadas pueden ser diversas, pero lo importante es asegurar estos tres requisitos, dado que si no se aseguran, la evidencia puede ser rebatida y descartada como medio probatorio.Debido a que los terroristas han utilizado Internet y lo que es peor, desde equipos públicos, llevar a cabo la investigación podría ser más complicado, ¿cuánto tiempo podría transcurrir hasta obtener pistas relevantes?Meses o inclusive años. Ha habido casos como el del hacker "Mafiaboy" en que el FBI norteamericano y agencias canadienses se demoraron alrededor de 1 a 2 años en registrar, analizar, procesar y presentar la evidencia que permitiera la condena para este personaje.La investigación forense como ya nos comentaba es una ciencia reciente, ¿cree que a raíz de este trágico suceso podría favorecer su crecimiento o incluso, el desarrollo de nuevas técnicas de investigación?Definitivamente sí. Los eventos ocurridos y las marcada intrusiones de seguridad en el mundo, han venido concienciando a los legisladores y por tanto a los proveedores de software, en que existe una necesidad sentida de contar con nuevas maneras de enfrentar el desafío del delito informático, nuevas posibilidades de avanzar en el reconocimiento y análisis de evidencia y así, disminuir la incertidumbre del proceso y los tiempos de respuesta en los mismos.Como comentaba en su artículo la certificación CFEC se reconoce en una gran mayoría de tribunales de todo el mundo por lo tanto, entendemos que las pistas encontradas por estos profesionales son totalmente legales, ¿es esto cierto?Las pistas encontradas, son legales y válidas, siempre y cuando se sigan los procedimientos internacionalmente aceptado por IACIS, que es la institución que ofrece la certificación CFEC. Esta institución de mucho prestigio en el campo forense, ofrece un claro escenario de análisis yconceptual que le permite a cualquier juez o demandante las características técnicas y formales necesarias para obtener, analizar, conservar y preservar evidencia digital.¿Podría un hacker encontrar con sus propios métodos algún tipo de pista? ¿Serían buenos colaboradores en este caso?La utilización de hackers es una opción que puede en un momento confundir a la justicia en la valoración de las pruebas, pues no es claro su sentido de la ética y profesionalismo en este tipo de diligenciastécnico-judiciales. Por lo tanto, contar con profesionales certificados en computación forense permite contar con un escenario formal y técnico que ofrece confianza y claridad al proceso de recolección, análisis, conservación y preservación de evidencia digital."
window.google_render_ad();
Pese a que el Doctor Cano no está participando en la investigación relacionada con los atentados, encuentra interesante la coalición que los diferentes expertos en el mundo han formado para integrar las diferentes habilidades y especialidades para acelerar la obtención, análisis y presentación de las pruebas relacionadas con los lamentables incidentes ocurridos en USA.Cuando navegamos dejamos rastros pero ¿qué tipo de rastro podemos encontrar de manera más evidente?Algunos rastros más evidentes que permanecen en las máquinas son los caché del browser (navegador), las copias de los correos electrónicos, las cookies almacenadas en la navegación, los archivos borrados que aun pueden ser recuperados, los registros de conexión del módem, entre otros.¿Qué tipo de tecnología o programas se utilizan para llevar a cabo las búsquedas?Algunos programas utilizados son conocidos como la suite de Norton Utilities y demás aplicaciones de uso generalizado para recuperación de archivos, directorios y datos en disco duros y disquetes. De otra parte, existen aplicaciones más sofisticadas para encontrar, identificar, analizar y preservar evidencia digital que requieren entrenamiento y preparación en diferente ambientes operacionales como UNIX, MAC, Windows NT.¿Qué metodología o pasos se siguen?Básicamente los investigadores forenses en informática, independiente de las plataforma o sistema operacional donde estén efectuando sus actividades, deben procurar cumplir tres requisitos con la información o evidencia identificada o recolectada:
- Se deben utilizar medios forenses estériles (para las copias de la información).- Mantener la integridad del medio original.- Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultado de la investigación.Las metodologías utilizadas pueden ser diversas, pero lo importante es asegurar estos tres requisitos, dado que si no se aseguran, la evidencia puede ser rebatida y descartada como medio probatorio.Debido a que los terroristas han utilizado Internet y lo que es peor, desde equipos públicos, llevar a cabo la investigación podría ser más complicado, ¿cuánto tiempo podría transcurrir hasta obtener pistas relevantes?Meses o inclusive años. Ha habido casos como el del hacker "Mafiaboy" en que el FBI norteamericano y agencias canadienses se demoraron alrededor de 1 a 2 años en registrar, analizar, procesar y presentar la evidencia que permitiera la condena para este personaje.La investigación forense como ya nos comentaba es una ciencia reciente, ¿cree que a raíz de este trágico suceso podría favorecer su crecimiento o incluso, el desarrollo de nuevas técnicas de investigación?Definitivamente sí. Los eventos ocurridos y las marcada intrusiones de seguridad en el mundo, han venido concienciando a los legisladores y por tanto a los proveedores de software, en que existe una necesidad sentida de contar con nuevas maneras de enfrentar el desafío del delito informático, nuevas posibilidades de avanzar en el reconocimiento y análisis de evidencia y así, disminuir la incertidumbre del proceso y los tiempos de respuesta en los mismos.Como comentaba en su artículo la certificación CFEC se reconoce en una gran mayoría de tribunales de todo el mundo por lo tanto, entendemos que las pistas encontradas por estos profesionales son totalmente legales, ¿es esto cierto?Las pistas encontradas, son legales y válidas, siempre y cuando se sigan los procedimientos internacionalmente aceptado por IACIS, que es la institución que ofrece la certificación CFEC. Esta institución de mucho prestigio en el campo forense, ofrece un claro escenario de análisis yconceptual que le permite a cualquier juez o demandante las características técnicas y formales necesarias para obtener, analizar, conservar y preservar evidencia digital.¿Podría un hacker encontrar con sus propios métodos algún tipo de pista? ¿Serían buenos colaboradores en este caso?La utilización de hackers es una opción que puede en un momento confundir a la justicia en la valoración de las pruebas, pues no es claro su sentido de la ética y profesionalismo en este tipo de diligenciastécnico-judiciales. Por lo tanto, contar con profesionales certificados en computación forense permite contar con un escenario formal y técnico que ofrece confianza y claridad al proceso de recolección, análisis, conservación y preservación de evidencia digital."
por: D. Jeimy J. Canojcano@uniandes.edu.co
Ingeniero de Sistemas y ComputaciónUniversidad de los Andes COLOMBIA
No hay comentarios:
Publicar un comentario