Vés al contingut

Informàtica forense

De la Viquipèdia, l'enciclopèdia lliure
Disc dur

La informàtica forense és aquella disciplina que té per objecte la identificació, recollida, adquisició, anàlisi i presentació de les evidències digitals emmagatzemades en suports informàtics i electrònics, sovint amb transcendència judicial.[1]

La informàtica forense intervé en la investigació de qualsevol delicte que hagi deixat indicis en un sistema informàtic. Convé distingir-la de la criminalística forense, que és l'especialitat de la criminalística que s'ocupa dels ciberdelictes.[2]

Són els estudis i investigacions orientats a l'obtenció d'una prova informàtica d'aplicació en un assumpte judicial perquè serveixi a un jutge per decidir sobre la culpabilitat o innocència d'una de les parts. Són també els estudis i investigacions usats en assumptes privats per a la recerca de proves i arguments que serveixin a una de les parts en discussió per decantar la discrepància al seu favor. Habitualment es recorre a proves pericials informàtiques en assumptes penals en què la infraestructura informàtica mitjana com eina del delicte, per exemple la pornografia infantil a Internet. Són altres assumptes els delictes contra la propietat privada i intel·lectual, espionatge industrial, protecció de dades personals, fraus o sabotatges.[cal citació]

Etapes de l'anàlisi forense

[modifica]

En general, les fases o etapes (abans esmentades) de què consta la informàtica forense són les següents (podeu trobar una descripció molt acurada de les etapes d'identificació, recollida i adquisició a la norma ISO/IEC 27037[3]):

* Identificació: Aquesta etapa consisteix en la recerca, reconeixement i documentació de l'evidència digital en l'escena de l'incident. Aquest procés ha de permetre la identificació dels mitjans d'emmagatzemament que puguin contenir evidència digital potencial rellevant relacionada amb l'incident ocorregut. Aquesta etapa hauria d'incloure un procés de tria que permeti prioritzar la recollida i/o adquisició de l'evidència en funció de la seva volatilitat o rellevància.

* Recollida: Una vegada identificada l'evidència digital potencial, l'especialista haurà de decidir si recull l'evidència o bé si l'adquireix. Aquesta tria dependrà de diversos factors: circumstàncies, cost, temps i recursos disponibles. La recollida és la fase del procediment de gestió de l'evidència digital en la qual els dispositius que potencialment poden contenir evidència digital, són recollits i transportats a un laboratori per a una adquisició (aquesta operació també es pot fer in situ) i anàlisi posterior. L'evidència digital pot existir en dues condicions: quan el sistema es troba encès o bé apagat.

* Adquisició: El procediment d'adquisició comporta la creació d'una còpia bit a bit de l'evidència continguda en els dispositius digitals, així com la documentació dels mètodes emprats i dels passos realitzats. Hi ha una gran varietat de mètodes d'adquisició i eines validades (tant de maquinari com programari). L'expert ha d'adoptar el millor mètode d'adquisició segons la situació, el cost i temps disponible, així com documentar qualsevol decisió que hagi pogut prendre.

* Anàlisi: En aquesta etapa, els pèrits o analistes (computer forensics analysts) estudien les evidències digitals obtingudes a l'etapa anterior i elaboren les seves hipòtesis. Aquesta etapa requereix personal molt tècnic, així com l'ús d'eines especialitzades, com per exemple: Encase, Autopsy [1], etc. Aquesta etapa sempre es durà a terme en el laboratori.

* Presentació: Finalment, a conseqüència de l'etapa d'anàlisi, s'elaborarà un informe pericial que pot tenir diversos destins. En aquest sentit, l'informe s'adreça sovint a persones no tècniques en la matèria (jutges, responsables d'empreses, etc.). Per aquest motiu, cal que l'informe contingui descripcions i indicacions clares (glossaris), així com les conseqüències i el desenvolupament dels fets succeïts. És molt important que es tingui en compte que les evidències digitals s'han d'haver adquirit a l'empara dels requisits legals per a ésser considerades vàlides.

Figura 1:Etapes de l'evidència digital

La figura 1 mostra les etapes per les quals passen les evidències digitals. El diagrama és un exemple d'un cas típic delictiu (la majoria dels casos no seran així, però) que comença amb l'assegurament de l'escena del delicte per part de les Forces i Cossos de Seguretat de l'Estat (FCS) i que acaba amb el lliurament de l'informe pericial al Jutjat. Cal remarcar que, com ja s'ha apuntat anteriorment, l'adquisició es pot dur a terme (segons circumstàncies diverses), tant a l'escena del delicte, com al laboratori d'anàlisi. En totes aquestes etapes cal tenir molt present la preservació de la integritat de les evidències, tant pel que fa a evitar la possibilitat que es puguin malmetre accidentalment (cops, arcs magnètics, etc.), com intencionadament.

Referències

[modifica]
  1. Serra Ruiz, J.; Colobran Huguet, M.; Arqués Soldevila, Josep M.; Guasch Petit, A. (2009). Anàlisi forense de sistemes d'informació (Fases i metodologia de l'anàlisi forense). Barcelona: Universitat Oberta de Catalunya.
  2. «Cercaterm | TERMCAT». [Consulta: 30 gener 2024].
  3. ISO/IEC 27037:2012  Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence

Bibliografia

[modifica]

Casey, E. (2011). Digital Digital Evidence and Computer Crime, 3rd Edition. United States of America: Academic Press