Informática Forense (Computer Forensic)

Introducción
Es un término que suena muy fuerte a primera vista. La mayoría relacionamos la práctica forense con asesinatos, cadáveres y muerte en general. En informática, la verdad es que no es tan diferente, acá los asesinatos podrían paralelizarse con los delitos de robo de información (el crimen), los cadáveres con datos, dispositivos de almacenamiento o periféricos.
Para mi es apasionante el tema de la seguridad informática en general, y la informática forense podría clasificarse como una sub-area dentro de la seguridad.



Definición:
El término Informática Forense(Digital Forensic) viene de la unión de las tecnologías de información con la necesidad de obtener, identificar, examinar y preservar información-evidencia criminal y/o legar relevante en algún aspecto computacional dentro de un caso relacionado con la justicia.

Forense:

Del lat. forensis.

* adj. Perteneciente o relativo al foro.

* adj. ant. Público y manifiesto.

En realidad no estoy completamente seguro que solamente se deba llevar al ámbito judicial, pero es lo que normalmente se hace. Por ejemplo cuando una compañia sufre un ataque desde el interior del robo de información por parte de un empleado, lo lógico sería que dicha empresa levantara cargos contra las personas que resultaren responsables, pero probablemente habrá casos en que a la empresa solamente le interesa contar con la información. Creo es es un tema debatible, pero no acá :)

Origen:
En la mayoría de los sitios dan como precursores de la informática forense a los creadores del primer "Forensic toolkit"

Alcances.
Entre los usos más comunes de un análisis forense están:

• Recuperación de evidencias en discos
• Recuperación de contraseñas
• Detección y recuperación de Virus, Spyware y Troyanos
• Recuperación de correos electrónicos
• Análisis de redes P2P

Etapas:

• Adquisición: en esta etapa se debe copiar la información del sistema en observación. podría requerir desde realizar una imagen del disco duro hasta rescatar un disco que se haya caído al mar, que haya sufrido daños físicos o que haya sido borrado. Es importante en esta etapa tener en cuenta que el simple arranque del computador, podría modificar archivos del sistema. Es por eso que actualmente se usan sistemas operativos del tipo "portable" es decir que arrancan desde el CD o desde una entrada USB (En otro post me extenderé mas acerca de esto).
  
• Validación y preservación de los datos; Con el fin de resguardar los datos, se intenta mantener la confidencialidad de estos, por lo que se recomienda el uso de passwords robustas para que sea difícil el obtenerlas por terceras personas.
  
• Análisis y descubrimiento de evidencia: Se realiza una batería de operaciones y pruebas sobre los datos en diferentes niveles y lo que se busca generalmente es:
  

*Archivos borrados, creados, accesados y modificados
*Tipos de archivos con formatos en particular (documentos, planillas, presentaciones, etc)
*Imágenes, mensajería, correos electrónicos, direcciones web visitadas, tráfico de internet.
*Palabras claves como nombres, ciudades, números telefónicos

• Emisión de informe: Se determina si hay un patrón del uso con respecto al análisis anterior. Y se entrega la información en lenguaje técnico e idealmente un CD u otro con los archivos donde se interpreta la evidencia.
  

Proyectos en curso:
http://cp4df.sourceforge.net/
http://sourceforge.net/projects/oscfmanual/
http://www.ioce.org/2002/core.php?ID=1

Recursos:
Una revista dedicada al tema. Se puede bajar el primer número gratis.

Sistemas operativos especializados:
Caine (Computer Aided INvestigative Environment) es una distribución de GNU/Linux del tipo Live-CD creado por Giancarlo Giustini como un projecto del CRIS (Digital Forensics for Interdepartment Center for Research on Security) de la Universidad de modena.