Python Digital Forensics - Introducción
Este capítulo le dará una introducción a lo que es la ciencia forense digital y su revisión histórica. También comprenderá dónde puede aplicar la ciencia forense digital en la vida real y sus limitaciones.
¿Qué es el análisis forense digital?
La ciencia forense digital puede definirse como la rama de la ciencia forense que analiza, examina, identifica y recupera las evidencias digitales que residen en dispositivos electrónicos. Se utiliza comúnmente para el derecho penal y las investigaciones privadas.
Por ejemplo, puede confiar en la extracción de evidencias forenses digitales en caso de que alguien robe algunos datos en un dispositivo electrónico.
Breve reseña histórica de la ciencia forense digital
La historia de los delitos informáticos y la revisión histórica de la ciencia forense digital se explica en esta sección como se indica a continuación:
Década de 1970-1980: primer delito informático
Antes de esta década, no se reconocía ningún delito informático. Sin embargo, si se supone que suceda, las leyes vigentes se ocuparon de ellos. Más tarde, en 1978, se reconoció el primer delito informático en la Ley de delitos informáticos de Florida, que incluía una legislación contra la modificación o eliminación no autorizada de datos en un sistema informático. Pero con el tiempo, debido al avance de la tecnología, también aumentó la gama de delitos informáticos que se cometían. Para hacer frente a los delitos relacionados con los derechos de autor, la privacidad y la pornografía infantil, se aprobaron varias otras leyes.
Década de 1980 a 1990: Década del desarrollo
Esta década fue la década del desarrollo de la ciencia forense digital, todo debido a la primera investigación (1986) en la que Cliff Stoll rastreó al hacker llamado Markus Hess. Durante este período, se desarrollaron dos tipos de disciplinas forenses digitales: la primera fue con la ayuda de herramientas y técnicas ad-hoc desarrolladas por profesionales que lo tomaron como un pasatiempo, mientras que la segunda fue desarrollada por la comunidad científica. En 1992, el término“Computer Forensics”se utilizó en la literatura académica.
Década de 2000-2010: década de estandarización
Después del desarrollo de la ciencia forense digital hasta cierto nivel, existía la necesidad de elaborar algunos estándares específicos que se puedan seguir al realizar investigaciones. En consecuencia, varias agencias y organismos científicos han publicado pautas para el análisis forense digital. En 2002, el Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE) publicó un documento titulado "Mejores prácticas para la informática forense". Otra pluma en el gorro fue un tratado internacional liderado por Europa, a saber“The Convention on Cybercrime”fue firmado por 43 naciones y ratificado por 16 naciones. Incluso después de tales estándares, todavía existe la necesidad de resolver algunos problemas que han sido identificados por los investigadores.
Proceso de análisis forense digital
Desde el primer delito informático en 1978, ha habido un enorme incremento en las actividades delictivas digitales. Debido a este incremento, existe la necesidad de una forma estructurada para tratar con ellos. En 1984, se introdujo un proceso formalizado y después se desarrollaron un gran número de procesos de investigación forense informática nuevos y mejorados.
Un proceso de investigación de informática forense implica tres fases principales, como se explica a continuación:
Fase 1: Adquisición o generación de imágenes de exhibiciones
La primera fase de la ciencia forense digital consiste en guardar el estado del sistema digital para poder analizarlo posteriormente. Es muy similar a tomar fotografías, muestras de sangre, etc. de la escena del crimen. Por ejemplo, implica capturar una imagen de áreas asignadas y no asignadas de un disco duro o RAM.
Fase 2: Análisis
La entrada de esta fase son los datos adquiridos en la fase de adquisición. Aquí, estos datos fueron examinados para identificar evidencias. Esta fase da tres tipos de evidencias de la siguiente manera:
Inculpatory evidences - Estas evidencias apoyan una historia determinada.
Exculpatory evidences - Estas evidencias contradicen una historia determinada.
Evidence of tampering- Estas evidencias muestran que el sistema fue templado para evitar la identificación. Incluye examinar los archivos y el contenido del directorio para recuperar los archivos eliminados.
Fase 3: Presentación o informe
Como sugiere el nombre, esta fase presenta la conclusión y las evidencias correspondientes de la investigación.
Aplicaciones de la ciencia forense digital
La ciencia forense digital se ocupa de recopilar, analizar y preservar las evidencias contenidas en cualquier dispositivo digital. El uso de análisis forense digital depende de la aplicación. Como se mencionó anteriormente, se utiliza principalmente en las siguientes dos aplicaciones:
Derecho penal
En derecho penal, la evidencia se recopila para apoyar u oponerse a una hipótesis en el tribunal. Los procedimientos forenses son muy similares a los que se utilizan en las investigaciones penales, pero con diferentes requisitos y limitaciones legales.
Investigación privada
El mundo empresarial utiliza principalmente la ciencia forense digital para la investigación privada. Se utiliza cuando las empresas sospechan que los empleados pueden estar realizando una actividad ilegal en sus computadoras que va en contra de la política de la empresa. El análisis forense digital proporciona una de las mejores rutas que puede tomar una empresa o una persona al investigar a alguien por mala conducta digital.
Ramas de la ciencia forense digital
El delito digital no se limita solo a las computadoras, sin embargo, los piratas informáticos y los delincuentes están utilizando pequeños dispositivos digitales como tabletas, teléfonos inteligentes, etc., también a gran escala. Algunos de los dispositivos tienen memoria volátil, mientras que otros tienen memoria no volátil. Por lo tanto, dependiendo del tipo de dispositivos, la ciencia forense digital tiene las siguientes ramas:
Informática forense
Esta rama de la ciencia forense digital se ocupa de las computadoras, los sistemas integrados y las memorias estáticas, como las unidades USB. La informática forense puede investigar una amplia gama de información, desde registros hasta archivos reales en la unidad.
Forense móvil
Se trata de la investigación de datos de dispositivos móviles. Esta rama es diferente de la informática forense en el sentido de que los dispositivos móviles tienen un sistema de comunicación incorporado que es útil para proporcionar información útil relacionada con la ubicación.
Análisis forense de redes
Se trata de la supervisión y el análisis del tráfico de la red informática, tanto local como WAN (red de área amplia) con el fin de recopilar información, recopilar pruebas o detectar intrusiones.
Análisis forense de bases de datos
Esta rama de la ciencia forense digital se ocupa del estudio forense de bases de datos y sus metadatos.
Habilidades necesarias para la investigación forense digital
Los examinadores forenses digitales ayudan a rastrear a los piratas informáticos, recuperar datos robados, seguir los ataques informáticos hasta su origen y ayudar en otros tipos de investigaciones que involucran computadoras. Algunas de las habilidades clave necesarias para convertirse en examinador forense digital, como se explica a continuación:
Excelentes capacidades de pensamiento
Un investigador forense digital debe ser un pensador sobresaliente y debe ser capaz de aplicar diferentes herramientas y metodologías en una tarea particular para obtener el resultado. Debe poder encontrar diferentes patrones y hacer correlaciones entre ellos.
Habilidades técnicas
Un examinador forense digital debe tener buenas habilidades tecnológicas porque este campo requiere el conocimiento de la red, cómo interactúa el sistema digital.
Apasionado de la seguridad cibernética
Debido a que el campo de la ciencia forense digital tiene que ver con la resolución de delitos cibernéticos y esta es una tarea tediosa, se necesita mucha pasión para que alguien se convierta en un investigador forense digital experto.
Habilidades de comunicación
Las buenas habilidades de comunicación son imprescindibles para coordinarse con varios equipos y extraer cualquier dato o información que falte.
Hábil en la elaboración de informes
Después de la implementación exitosa de la adquisición y el análisis, un examinador forense digital debe mencionar todos los hallazgos en el informe final y la presentación. Por lo tanto, debe tener buenas habilidades para la elaboración de informes y atención a los detalles.
Limitaciones
La investigación forense digital ofrece ciertas limitaciones, como se analiza aquí:
Necesidad de producir evidencias convincentes
Uno de los principales contratiempos de la investigación forense digital es que el examinador debe cumplir con los estándares que se requieren para la evidencia en el tribunal de justicia, ya que los datos se pueden alterar fácilmente. Por otro lado, el investigador forense informático debe tener un conocimiento completo de los requisitos legales, el manejo de pruebas y los procedimientos de documentación para presentar pruebas convincentes en el tribunal de justicia.
Investigar herramientas
La efectividad de la investigación digital radica completamente en la experiencia del examinador forense digital y la selección de la herramienta de investigación adecuada. Si la herramienta utilizada no cumple con los estándares especificados, entonces en el tribunal de justicia, el juez puede negar las pruebas.
Falta de conocimiento técnico entre la audiencia
Otra limitación es que algunas personas no están completamente familiarizadas con la informática forense; por tanto, mucha gente no comprende este campo. Los investigadores deben asegurarse de comunicar sus hallazgos a los tribunales de tal manera que todos puedan comprender los resultados.
Costo
Producir evidencias digitales y preservarlas es muy costoso. Por lo tanto, este proceso puede no ser elegido por muchas personas que no pueden pagar el costo.