Identificando las vulnerabilidades informáticas.
En el consenso general entre los expertos en seguridad informática la gran mayoría de los delitos informáticos no están detectados o reportados, esto se debe a que muchos delitos informáticos no son fácilmente detectados, ya que si un individuo roba información de un computador , el intruso hará una copia de la información y los datos originales permanecen sin alteraciones en el computador
y siguen siendo accesibles para el propietario, por ello es importante identificar ciertas vulnerabilidades informáticas como:
• Los empleados hacen mal uso de los sistemas por ejemplo, violaciones de las políticas de uso de Internet
• Código malicioso por ejemplo, virus, los gusanos o troyanos.
• Las intrusiones o piratería: Monitoreo electrónico no autorizado (sniffers, eyloggers,)
• Web site falsas o vandalismo
• El acceso no autorizado a información confidencial
• Las herramientas automatizadas de escaneo
• Sabotaje ejecutivo a través de espionaje o empleados descontentos.
Preservar la escena del Fraude.
Id entificado la posible causa del fraude informático se considera necesario cuidar los dispositivos que contienen la evidencia del ataque por lo cual se hace necesario preservar los elementos en el momento de hacer el análisis forense en la o las máquinas atacadas, cuidando los procedimientos a realizar con los equipos para evitar alteraciones de la siguiente manera:
- Aislamiento del sistema informático.
- Procedimiento de apagado para preservar la evidencia.
- Inspeccionar el sistema operativo
Algunas características de los sistemas operativos más comunes, se menciona el procedimiento para su cierre:
- Sistema Operativo Ms – Dos
- Sistema Operativo Windows 3.X
- Sistema Operativo Windows NT 3.51
- Sistema Operativo Windows 95/98/NT 4.0/2000
- Sistema Operativo Unix / Linux
- Sistema Operativo Mac OS
Claridad de la evidencia.
La evidencia digital es información de valor probatorio constituida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.
Para ser valorada como tal, el proceso de recolección de la misma debe ser avalado por las leyes propias del lugar y debe ser reconocida como evidencia por una entidad oficial. La evidencia digital hace parte de la evidencia física, pero tiene como características propias que puede ser duplicada y copiada sin alteraciones respecto a la original. Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como prueba legal. Con el fin de garantizar su validez probatoria, debe reunir las siguientes características:
- Autenticidad
- Precisión
- Suficiencia
Además, la IOCE definió que los principios de la evidencia digital debían estar regidos por los siguientes atributos:
- Consistencia con todos los sistemas legales.
- Permitir el uso de un lenguaje común.
- Durabilidad.
- Habilidad para cruzar límites internacionales.
- Habilidad para infundir confianza en la integridad de la evidencia.
- Aplicabilidad a toda la evidencia forense.
- Aplicabilidad en todos los niveles, incluido el individuo, la organización y el país.
Los principios fueron presentados y aprobados en la Conferencia Forense Internacional de crimen de alta tecnología, en octubre de 1999.
Un formato de archivo es una forma específica de codificar datos digitales que van de acuerdo al programa donde fue diseñado (hoja de calculo, procesadores de texto, base de datos o diseñadores gráficos entre otros) El formato de un archivo es necesarios para ser identificado dentro de un máquina computacional, ya que de acuerdo a su formato se podrá almacenar, manipular y borrar.
El tipo de archivo más común es el de texto. De éste, el más simple y útil es el texto plano, que consiste únicamente en los códigos binarios de los caracteres legibles (como las letras de un alfabeto, los números y los signos de puntuación) y los de un grupo de caracteres de control. Una de las ventajas más grandes del formato de archivo de texto plano es que es fácilmente legible, rápido de examinar y hacer búsqueda en sus contenidos, aún si no se cuenta con software especializado, y además, es fácil hacer conversiones desde otros formatos de archivo.
Realizadas las diferentes inspecciones iniciales se hace necesario tener especial cuidado sobre los equipos atacados, para ello se hace necesario tener en cuenta las siguientes observaciones:
- Esterilidad de los medios informáticos de trabajo
- Verificación de las copias en medios informáticos
- Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados
- Mantenimiento de la cadena de custodia de las evidencias digitales
- Informe y presentación de resultados de los análisis de los medios informáticos
- Administración del caso realizado
- Auditoría de los procedimientos realizados en la investigación
No hay comentarios:
Publicar un comentario