Phenquestions
En 2015, se descubrió una red de corrupción israelí integrada por policías y fiscales de alto nivel como Ruti David mientras se retiraban y presentaban cargos falsos contra ciudadanos que pagaron o se negaron a pagar sobornos. Cuando un policía clave, Ronal Fisher, fue detenido, su teléfono celular fue confiscado para una mayor investigación, el teléfono de Fisher fue encriptado y la policía israelí no pudo, durante mucho tiempo, desencriptar el contenido que dañaba la investigación y resultó en la pronta liberación de corruptos oficiales. Aquí es donde entra en juego la informática forense para analizar y recuperar cualquier información compatible con la evidencia.
El objetivo de la informática forense es reconstruir eventos en un dispositivo con el fin de recopilar pruebas o rastros de la misma para respaldar o negar una reclamación ante un tribunal. Es por eso que la principal tarea que realizan los agentes forenses informáticos es recuperar datos, también datos borrados o cifrados. La diferencia entre el software utilizado por un agente forense informático y un usuario habitual que recupera datos perdidos es el registro de auditoría que documenta el procedimiento y los eventos en un formato legalmente aceptable, en algunos casos los agentes graban todo el proceso en video, pero la tarea en sí está entre el más fácil ya que cuando eliminamos información de un disco duro no estamos eliminando los datos sino marcando el sector como libre para almacenar nueva información, hasta que la nueva información no llegue al sector del disco la información se puede restaurar, para evitar esto, debemos borrar nuestros datos en lugar de simplemente eliminarlos.
Computer Forensics incluso es capaz de recuperar datos no guardados almacenados en la memoria RAM, por eso existen herramientas para trabajar en imágenes del dispositivo y en sesiones en vivo, este segundo método se conoce como Análisis en vivo y es el primer paso cuando se enciende el dispositivo para investigar.
Métodos más modernos como Forense estocástico nos permite saber si se filtraron datos identificando marcas de tiempo relacionadas con una actividad como copiar un archivo, algo imposible antes ya que instrucciones como copiar no dejan rastros en el sistema.
En la práctica, la informática forense se trata principalmente de recuperar y descifrar datos, pero también permite detectar elementos comprometedores dentro de un sistema, como malware, código malicioso o ataques de piratería contra un dispositivo.
Cuando el fiscal argentino Alberto Nisman fue asesinado horas antes de que se esperara que presentara cargos contra el expresidente, agentes forenses informáticos encontraron conexiones intrusivas remotas a su computadora personal que lideraban la investigación contra su propio asistente informático.
Kali Linux, la distribución de Linux más popular para tareas de seguridad, viene con las herramientas más poderosas y populares para realizar tareas de informática forense sin necesidad de conocimientos previos. Dado que Kali se puede lanzar como live cd / usb, es una excelente opción para explorar estas herramientas que presentaré en el próximo artículo.
Espero que esta introducción a la informática forense le haya resultado útil. Siga siguiendo LinuxHint para obtener más tutoriales y actualizaciones sobre Linux.
