Mòdul Professional 4: Anàlisi forense informàtic - Estudi preliminar

Índex

1 Fases d'un anàlisi forense

Per aprofundir en l'estudi de la informàtica forense descriurem les fases per les quals passa l'anàlisi forense i en descriurem tant els procediments, els aspectes legals i els tècnics.

Remarcar que, com que la major part de fases contenen punts crítics, s'acostuma a fer un ús molt intensiu de checklist per a que un cop enmig del proces puguem centrar-nos en els aspectes importants i no haguem de patir per no deixar-nos d'executar algun pas o recollir alguna evidència.

Les fases seran les següents:

  1. Estudi preliminar.
  2. Captura d'evidències.
  3. Anàlisis d'evidències.
  4. Generació d'informes (tècnic i executiu).
  5. Defensa de l'informe (testificar en judici).

1.1 Estudi preliminars

L'estudi preliminar forense té com a objectius recollir informació suficient del cas d'estudi de manera que ens permeti conèixer l'entorn a estudiar i prendre les desicions correctes alhora de realitzar les actuacions, especialment les relacionades amb la recollida d'evidències digitals.

És important entendre que aquesta fase ens ha de permetre preparar-nos per a realitzar la recollida de dades amb totes les garanties tècniques, professionals i legals. Per tant aquí voldrem recollir un seguit d'informació tant tècnica, episòdica i sobre el client que ens faciliti aquestes actuacions.

A partir d'aquestes preguntes podrem saber què ens trobarem quan arribem a l'empresa, tant a nivell de incident, d'equips afectats i sobretot de l'estructura d'empresa i les persones amb les que hem d'interactuar.

Amb totes aquestes dades podrem establir un pla d'actuació que s'ajusti al cas, determinant la urgència de l'actuació, preparar tot el material de HW i SW necessari, resoldre qualsevol dubte legal o tècnic que puguem tenir.

En aquesta fase també és important assegurar alhora que quan fem l'actuació també hi serà present el fedetari per a que tot el que fem quedi registrat i correctament documentat i pugui ser utilitzar a posteriori en la defensa judicial.

Algunes de les preguntes que ens poden ajudar en tot aquest procés són:

  1. Preguntes sobre l'incident
    • Què ha passat?
    • Com s'ha detectat?
    • Quan s'ha detectat?
    • On s'ha detectat?
  2. Preguntes sobre els sistemes afectats
    • Quins sistemes s'ha detectat que han estat afectats?
    • Segueixen en funcionament?
    • Quins serveis / funcions fan?
    • On estan situats tant físicament com lògicament?
    • Quines dades contenen? (especialment dades personals).
    • Característiques tècniques de HW (arquitectura, interfícies, tipus de dispositius, etc).
    • Característiques tècniques de SW (S.O., pegats instal·lats, software amb versions, etc).
    • Necessitat de continuïtat del negoci.
    • Plans de contingència i recuperació (quins? S'han activat?).
    • Actuacions fetes fins al moment.
    • Es disposa de sistemes de logs i traçabilitat.
    • Rols i permisos dins de l'empresa i dels sistemes (personal).
  3. Preguntes sobre l'empresa client
    • Activitat econòmica.
    • Dades personals que utilitzen.
    • Model de negoci.
    • Organització interna, especialment personal.
    • Responsables de IT i de seguretat.
    • Qui és el desicion maker?

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-17 ds. 10:42