Como en todo ámbito de investigación, y más en disciplinas tan vivas como el análisis forense son muchas las definiciones posibles pero todas convergen en lo esencial: El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia. Normalmente se aplican los estudios de análisis forense sobre un sistema debido a que se sospecha o se tiene la certeza de que ha sido víctima de una intrusión, un ataque o desde él se ha realizado alguna acción maliciosa. El objetivo que Informática 64 busca a través del análisis forense será obtener evidencias que puedan certificar lo ocurrido.
Las distintas herramientas y técnicas dedicadas al proceso de análisis forense, van a presentar como una de sus principales tareas la recogida de evidencias, buscando en ella la obtención de la mayor cantidad posible de información útil para el proceso. El volumen de datos de interés puede ser diverso. De entre los aspectos que suelen ser de utilidad en una investigación se encuentran:
- El método utilizado por el atacante para introducirse en el sistema.
- Las actividades ilícitas realizadas por el intruso en el sistema.
- El alcance y las implicaciones de dichas actividades.
- Las "puertas traseras"(backdoors) instaladas por el intruso.
- Otras actividades realizadas por el sistema.
Hay que tener en cuenta que cuando un usuario no autorizado toma el control de un sistema, éste puede instalar múltiples “puertas traseras” que le permitan entrar al sistema en un futuro, aún cuando se corrija la vulnerabilidad original que le permitió el control del sistema. Será labor del análisis forense conocer que acciones realizó el atacante en el sistema para detectar este tipo de actividades.
La correcta realización de un análisis forense, una vez que el sistema ha sido objeto de algún tipo de actuación maliciosa, entre otras cosas va a proporcionar una recreación del incidente, permitiendo crear un proceso de corrección segura. Además, debe permitir conocer el fallo que provocó la intrusión para poder evitar, desarrollando las acciones adecuadas para ello, que se repita la misma situación de riesgo en un futuro.
Informática 64 ejecuta sus técnicas de análisis forenses para poder dar respuestas al mayor número de cuestiones posibles. Estas variarán en función de los objetivos específicos que se persigan con el análisis, pero las más relevantes serán las siguientes:
- ¿En qué momento exacto se ha producido la intrusión o actuación maliciosa?.
- ¿Quién ha sido el sujeto que ha realizado la acción?.
- ¿Qué metodología o técnica se ha utilizado para ello?
- ¿Qué daños y modificaciones ha producido en el sistema?
|